引言

年 创 造 性 地 提 出 了 基 于 身 份的公钥密码学解决了传统公钥密码体制中庞大的公钥证书存储 和 验 证 开 销 问 题 在 基 于 身 份 的 密码体制中用 户 的 公 钥 为 能 够 标 识 用 户 身 份 的 信息如用户的姓名身份证号码等用户的私钥则由可信 第 三 方 生 成年 和 基于超奇异椭圆曲线上的双线性对技术提出了第一个高效实用的基于身份的加密方案 他们的工作开创了身份密码学研究的新时代此后许多利用双线性对技术构造的基于身份密码方案 被相继提出

匿名性是密码学应用中的一个重要属性 环签名 首先 由 等 人 提 出 它由环成员中的某一具体成员产生 环签名验证者可以确认该签名确实由该环中的成员生成 然而却无法确定真实签名者的身份因此环签名可以实现签名者的无条件匿名性 环 签 名 可 看 作 是 简 化 了 的 群 签 名它是作为一种泄露秘密的技术而被提出的可以实现泄密者的无条件匿名性年 等人 在随 机 模 型 下 提 出 了第一个门限环签名方案 随后人们又陆续提出了一些具有不同 性 质 的 门 限 环 签 名 方 案年 等 人 在随机模型下提出了第一个基于身份的门限环签名方案由于基于身份的公钥密码体制有其自身的优点 因而在基于身份的公钥体制下对门限环签名的研究也相继展开不少方案被提出无 线 传 感 器 网 络 是 门 限 环 签 名 的 一 个 典 型 应用 在无线传感器网络中网 络 规 模 庞 大 节 点 数目众多由于节 点 往 往 受 到 电 池 能 量计 算 能 力 和存储容量方面的限制 因而在对无线传感器网络中的安全协议进行 设 计 时 需要考虑通信带宽 计 算量及存储空间 等 方 面 的 影 响 针对无线传感器网络的特点在进 行 环 签 名 方 案 设 计 时由 一 个 数 目变化的子群来替代整个群完成签名过程更加适合无线传感器网络

本 文 首 先 给 出 基 于 身 份 门 限 环 签 名 的 形 式 化定义和安全模型 然后利用秘密共享技术提出一个在标准模型下可证安全的基于身份门限环签名方案最 后 利 用问题的困难性证明方案满足存在不可伪造性同时也证明方案满足无条件匿名性预备知识双线性对设 是阶为 素 数 的 循 环 加 法 群 和 循 环乘法群 是群 的生成 元双 线 性 对 是 满 足 如 下性质的映射双 线 性对 于 所 有 的 与 任 意都有非退化性可 计 算 性 存 在 一 个 有 效 的 算 法 计 算其中困难问题假设离散对数 问题已知 是群 的生成元给定任 意 的 求 满 足 方 程 的 解问题已知 是 群 的 生 成 元给 定其中 计算方案方案描述令 是阶 为 素 数 的 循 环 群 是 群的生成元 是 一 个 双 线 性 映 射 两个无碰 撞 的 哈 希 函 数 和分别将任意长度的身份和消息 转换为长度为 和 的位串 方案由如下算法构成系统参数生成算法选取 计 算 选 取维向 量 维 向量 其中 令则系统公开参数为主密钥为私钥生成算法给定 用 户 身 份 令 为 身 份的长度为 的位串 表示 该 位 串 中 的 第位 为 的 序 号 的 集合 任选 计算身份 的私钥为然后通过安 全 信 道 将 其 发 送 给 用 户 用 户收到 私 钥 后首 先 对 其 进 行 验 证 若 等 式成 立则 可 确 认 私 钥 为产生的否则用户重新向 询问其私钥门限环签名生成算法设 为 门 限 环 签 名 中 个成员身份的集合 不妨设实际参 与 签 名 的 个 签 名者的身 份 下 标 为 待 签 名 消 息 为通过执行下面的步骤 实际的签名者可以产生基于孙 华 等标准模型下可证安全的基于身份门限环签名身份的门限环签名每个签名者 随机选取 为其子秘密构 造 系 数 在 上次 数 为 的 多 项 式令计 算 并 向 其它 签名者广播 计算秘密分享 然后把它们发送 给 其 它 成 员自己保留签名者 从 那 里 得 到 分 享 后用如下等式验证其有效性 如果没有通过验证则 发出对 的控告每 个 签 名 者 计 算 其 私 有 秘 密 为对于 设每个签名者 的私钥为 它计算 令为消息 的位串中的序号 的集合计算并把 发送给 个签名者中任意一个产生门限环签名的签名者其中为拉格朗日系数该 签 名 者 随 机 选 取 计 算其 中令则最 终 生 成 门 限 环 签 名 为验证签名验证者可按照如下步骤来验证对消息的门限环 签 名 是 否是由环成员集合 中至少 个签名者生成的检验多项式 的次 数 是 否 为 并 且 验证 等式 是否成立若是则进行下面的计算否则验证失败当 且 仅 当 等 式成立时 是 一 个 有 效的门限环签名方案正确性方案的正确性可以由下面的等式进行验证

根据秘密共享技术我们有因此签 名 验 证 者 可 通 过 如 下 等 式 对 进 行 验证因而方案是正确的方案安全性下 面 证 明 方 案 满 足 在 自 适 应 选 择 身 份 和 选 择消息攻击下的存在不可伪造性和无条件匿名性定理 在 困 难 问 题 假 设 下 本 文 的 方案是 安全的证明 假设敌手 能 以 不 可 忽 略 的 优 势 攻 击本方 案则 能 够 构 造 算 法 可 以 利 用 解 决问 题 给 定 一 个 问 题 的 实 例其目标 是 利 用 计 算 出 为 此 模仿 的挑战者具体过程如下系统初始化设定 和 其 中是 私钥询 问 的 次 数 是 签 名 询 问 的 次 数随 机选择 和 满足 和并假定 和选择 及长度为 的向量 其中选择 及 长 度 为 的 向 量其中 最后 选择 长度为 的向量 其中对环成员列表 中 的 成 员 身 份 和 消 息的位串 和 而 言我们定义如下几个函数计算机工程与科学算法 按照如下方 式 构 造 上 面 方 案 中 的 公 开参数可以看出这些参数的分布与一个真正挑战者所产生的公开参数的分布是一致的同时我们有下面的等式然后算法 将公开参数发送给敌手询问阶段当敌手 发 起 一 定 数 量 的 询 问时算法 进行如下响应私钥询问 当 敌 手 询 问 身 份 为 的 私钥时虽 然 算 法 不 知 道 主 密 钥但 是 在 假 定的情况下 也 能 够 构 造 其 私 钥任选 并计算算法 将 发送给 对其进行验证对于 敌 手 而 言算 法 所 产 生 的 私 钥 与 真 实 挑战者所生成的私钥是不可 区 分 的 如 果上面的计算将无法进行 将失败退出签名询 问当 敌 手 询问环成员身份列表为 门 限 值 为 以 及消息为 的门限环签名时 算 法 首 先 计 算然 后 按 照 如 下 步 骤 输 出 门 限 环 签名算 法 随 机 选 择构造次数为 的多项式其中假定 中至少有 个 满足 令 为的序号 的集 合为 方 便 起 见 不 妨 设算法 按照私钥询问 中 的 方 法 构 造 它 们 的 私钥并 且 计 算 各 签 名 者 的 私 有 秘 密然后利用门限环签名生成算法产生相应的门限环签名如果 中 满 足 条 件 的少于个 那 么 算 法 也 可 以采用在私钥询问中构造私钥的方法构造出该门限环签名 假定 算 法 随 机 选择 计算其中 可 见是一个有效 的 门 限 环 签 名 如 果上 面 的 计 算 将 无 法 进 行 将失败退出伪造阶段敌手 输 出 在 环 成 员 身 份 列 表门 限 值 和 消 息 下 的伪造门限环签名 如果 在 整 个 过 程 中 算 法 没有失败退出那么算法 检查下列条件是否成立对于所有的都成立其 中如果上述条件不同时成立那 么 算 法 将 失败退出否则 可计算这就是 问题的解因此如果存在一个敌手能以不可忽略的概率伪造一个有效的门限环签名 那么就存在一个有效的算法能够以不可忽 略 的 概 率 解 决 问 题而这与 问题是一个 困 难 问 题 相 矛 盾故 方 案 是安全的定理 本 文 所 提 出 的 基 于 身 份 门 限 环 签 名方案满足签名者的无条件匿名性证明 本 方 案 门 限 环 签 名 中 的 多 项 式是由 个 签 名 者 随 机 选 择 而 得孙 华 等标准模型下可证安全的基于身份门限环签名到的因此 签 名 者 的 私 有 秘 密 是 随 机 分 布 的另外门限环 签 名 中 的 是 随 机 生成的没 有 提 供 实 际 签 名 者 的 任 何 信 息 对 于而 言 其 中 是 由私钥生成中心与实际签名者独立 随机选择 的是由签 名 者 随 机 选 择 的因 而 的分 布 也 是 随 机 的 最 后 我 们 考 虑的 指数 部 分 中都是随机的故其也无法提供有关实际签名者的任何信息 综上所述即使敌手获取环成员身份列表 中 所 有 成 员 的 私 钥 其也无法以不可忽略的优势猜测出实际签名者的身份故本文的门限环签名方案满足签名者的无条件匿名性方案效率相比双线性对计算而言 群中元素的其它计算开销很小因为群元素指数运算的计算量相对于双线性对运算的计算量可以忽略不计 故 这 里 只 考虑双线性对的 计 算 开 销 在 本 方 案 中 由 于和 可 以 进 行 预 计 算 因 而在门限环签名的生成过程中无需双线性对计算 而在签名验证阶段仅需两个双线性对计算因而方案具有较高的效率

结束语

门限环签 名 是 一 种 重 要 的 具 有 特 殊 性 质 的 签名现有基于身份的门限环签名方案的安全性大多是在随机模型下证明的 本文在标准模型下设计了一个基于身 份 的 门 限 环 签 名 方 案 通 过 对 方案的安全性进行分析和证明 指出本文方案在困难问题假设下是安全的 同时通过对方案的计算量进行分析指出本文方案具有较高的效率