一種基于身份的群簽名方案

摘要：群簽名使得群中任何一個成員均可以代表該群進行簽名，而不會暴露簽名者的身份。當爭議發生時，簽名者的身份可以通過群管理員公開。基于身份的簽名與群簽名有許多相似性，給出了一個由基于身份的簽名轉換而來的群簽名，并給出了它在電子選舉中的應用實例。

關鍵詞：群簽名；基于身份的；電子選舉

中圖分類號：TN918文獻標志碼：A

文章編號：1001－3695(2007)05－0122－03

基于身份的加密系統(Identity－Based Encryption，IBE)首先由Shamir在1984年提出[1]。在一個基于身份的密碼系統中，每一個人的公鑰可以由他們的唯一身份信息（如名稱、郵件地址）來確定，這樣就避免了公鑰目錄的使用，而每個人的私鑰由一個可信任的密鑰生成中心PKGC取得。即使在不用獲得對方的公鑰證書的情形下，也可以完成消息的簽名，同時對消息實現公鑰加密和數字簽名。在Shamir提出基于身份的密碼系統后，出現了許多基于大整數分解的身份加密與簽名方案，可遺憾的是沒有一種完全令人滿意的解決方案。直到2001年，Boneh和Franklin基于橢圓曲線雙線性對的性質[2]，提出了一個功能齊全的、有效的、可證安全的身份加密方案。之后，很多學者也利用橢圓曲線雙線性對的性質，提出了各種基于身份的簽名方案[3， 4]。群簽名是特殊數字簽名的一種，由Chaum和Van Heyst于1991年提出[5]。群簽名的任何一個成員均可以代表該群進行簽名，即簽名者可以利用群簽名機制向驗證者證明他屬于此群體而又不會暴露他/她的身份。當爭議發生時，簽名者的身份可以通過群管理員公開。由于擁有這些特殊的性質，群簽名的應用范圍非常廣泛，如在電子現金、電子投票、電子拍賣等電子商務應用方面。

1基于身份的簽名與群簽名

1．1兩種簽名方案的對比

基于身份的簽名方案與群簽名方案在算法步驟上十分類似。下面作一個對比[6]。一個基于身份的簽名方案由以下四步算法組成：

(5)G_OPEN。一個算法給定一個消息和關于這個消息的一個有效群簽名，以及群公鑰和群管理員的私鑰，確定群成員的身份。因為只有群管理員擁有管理密鑰，所以只有群管理員才能執行這個操作。

1．2基于身份的簽名到群簽名的轉換

如果把基于身份的簽名方案中用戶私鑰（由用戶的ID得來的）看做是從群的管理員處得到，其實基于身份的簽名方案和群簽名方案十分相似[6]。

ID_SETUP和G_SETUP的算法相似。事實上，它們都是輸入一個隨機參數k，生成兩個參數：①公開參數，分別為系統參數（Params）或者群公鑰（GroupPK），以便用來驗證基于身份系統的成員或者群成員的簽名是否有效。②私密參數。管理密鑰（Master－key），被PKGC或者群管理員用來生成每個成員的私鑰。

對比之后，可以很容易發現，如果將一個基于身份簽名系統的系統參數用做群公開密鑰，并且將群簽名的輸出定義為一個基于身份的簽名和用戶公鑰IDi的結合，則任意基于身份的簽名均可以被用做一個群簽名。

2一種基于身份的群簽名

2．1C02，PC02方案的分析

經過1.2節的討論，可以看出基于身份的簽名方案和群簽名方案的自然相似性，可以輕易地將已有的基于身份的簽名方案稍加改動而轉換為群簽名方案。但是，在基于身份簽名方案中，用戶密鑰完全由群管理員生成，所以管理員可以輕而易舉地冒充任意用戶簽名。這在群簽名中是絕對不允許的。為解決這個問題，已經提出過一些方案C02[6]和 PC02[7]，思路均是由用戶生成一對非對稱密鑰對（如RSA/DSA），并將其中的公鑰部分作為用戶的IDi，在進行群簽名時先作一次RSA/DSA簽名再進行一次基于身份的簽名以防止管理員冒充，具體參考文獻[6，7]。以上方法雖然安全可靠，但是缺點也相當明顯。相當于進行了兩次簽名，一次是RSA/DSA等公鑰簽名；一次是基于身份的簽名方案，消耗大，產生的簽名長度較長。

2．2新的基于身份的群簽名

為解決管理員冒充這個問題，本文將管理員分為兩部分，即密鑰頒發中心Issuer和注冊中心Register，來解決管理員可能偽造用戶簽名的問題。在此假設Issuer和Register不相互勾結。

具體方案如下：

2．3方案的安全性分析

由于該方案是由基于身份的群簽名方案直接轉換而來，在正確性和防偽造性方面均與基于身份的群簽名方案相同。

（1）防陷害攻擊。由于只有群成員本人才具有自己的私鑰，任何人（包括注冊中心和頒發中心）均不能偽造出其他群成員的簽名。

（2）可跟蹤性。由于注冊中心掌握成員的ID登記可以輕易地解開一個有效簽名。

（3）匿名性。如果成員的個人標志ID在選取時不泄露自己的真實信息，如取一個別名或無意義字符串等，則該方案可以達到很好的匿名效果。

（4）抗聯合攻擊。由于群私鑰由注冊中心和頒發中心各生成一部分，只要注冊中心和頒發中心不相互勾結，則任意多個成員合謀也無法偽造出一個有效的群簽名。

（5）不關聯性。該方案由基于身份的簽名方案而得出，個人標志ID是簽名的一部分，并不具備不關聯性。但是，在實際運用中，只要群成員不需要進行大量的簽名，不具備不關聯性的缺點可以通過廢棄舊ID解決。在基于身份的簽名本身提供不關聯性的情況下也可以得到解決。具備關聯性的群簽名（Linkable Group Signature），在某些實際情況中反而更具有應用價值，如一人一票的電子選舉。

2．4電子選舉協議

電子選舉協議的模型[8]通常有以下幾種：

（1）單選舉中心型。在該類型的方案中，注冊工作與選票的認證及統計工作由一個選舉中心來完成。

（2）多選舉中心型。在該類型的方案中，存在多個地位相同的選舉中心，注冊工作與選票的認證及統計工作由多個選舉中心共同完成。

（3）候選人充當選舉中心型。在該類型的方案中，注冊和統計工作均由投票人與候選人之間的協議共同完成。

由于電子選舉方案采用的模型不同，其步驟也有一些區別。通常說來，一個電子選舉方案包含如下步驟：

(1)注冊。通常是由合法的投票人從選舉中心取得一個以后可以驗證的標志信息。投票人的一些個人信息及投票人的投票信息都有可能隱含在這個標志信息中。

(2)投票。投票人構造出合法選票通過某種方式送給選舉中心。

(3)統計。選舉中心統計選票。

(4)驗證對于一個電子選舉方案，其可驗證性有個人可驗證性和全體可驗證性兩種。個人可驗證性指投票者本人能確認自己的選票被正確地統計在選舉結果之中；整體可驗證性指任何人均可以根據公布出來的選舉信息確認選舉的統計工作的正確性。

常見的電子選舉方案有FOO方案[9]及Sensus系統[10]等。在這里用到的電子選舉系統主要參考文獻[11]中提出的電子選舉方案，它包含兩個選舉中心，即Issuer和Register。步驟如下：

①初始化。Issuer和Register通過G_SETUP確立一個初始的投票機構，由Register確認投票人員名單，并公布在公告牌（Bulletin Board）上宣布投票事項。

②注冊。投票者與Register聯系，通過G_JOIN在Register處進行登記，合法的投票者獲取自己的選票資格后從Issuer處領取選票。

③投票。獲得選票的投票者，進行投票。投票者將投票內容（Yes，No或被選舉人姓名等其他事項）用G_SIGN進行簽名后一并在公告牌上公布。

④統計。投票結束，由Register通過G_OPEN剔出非法選票，Issuer通過G_Verify確認有效票，統計結果，并公布在公告牌上。

⑤驗證。由于票選和結果均在公告牌上公布，方案即滿足個人可驗證性也滿足整體可驗證性。

很容易看出，該投票方案的安全性、效率均與2.2節提出的簽名方案等同。因為簽名方案本身的關聯性，所以可以限制一人僅有一票。由于投票本身包含ID標志，如果此ID標志選取的不是一個短期參數，而是一個長期身份標志，比C2C電子商務中參與者的代碼、身份證號、電子郵件地址等，那么，可以很容易地通過這個ID標志建立投票者的信譽檔案。該方案適合用于網絡信用評估[12]等領域。

3結束語

群簽名方案允許某個組織中的合法成員以組織的名義進行簽名，驗證者不知道具體的簽名人。當簽名發生爭議時，可以由系統的權威打開簽名，找到實際的簽名者。在電子選舉、電子現金等方面均有廣泛的應用。基于身份的密碼系統也是近年來的研究熱點之一，其與群簽名的天然相似性值得關注。本文研究了如何將基于身份的簽名有效地轉換為群簽名，并構造了一個新的基于身份的群簽名方案，給出了它在電子投票中的應用實例。

參考文獻：

［1］SHAMIR A.Identity－based cryptosystems and signature schemes：proc.of the Cryptology－Crypto’84，LNCS 196[C].[S.l.]:Springer－Verlag，1984:47－53.

［2］BONEH D， FRANKLIN M.Idtentity－based eneryption from the weil pairing:proc. of the Cryptology－Crypto 2001， LNCS 2139[C].[S.l.]:Springer－Verlag， 2001:213－229.

［3］CHA J C，CHEON J H.An identity－based signature from gap diffie－hellman groups， cryptology e－print archive[EB/OL].(2002－01－08).http://eprint.iacr.org/.

［4］PATERSON K G.ID－based signatures from pairings on elliptic curves，cryptology e－print archive[EB/OL]．(2002－04).http://eprint.iacr.org/.

［5］CHAUM D， HEYST F.Group signature:proceedings of EUROCRYPT’91[C].[S.l.]:Springer－Verlag， 1992:257－265.

［6］CASTELLUCCIA C.How to convert any ID－based signature scheme into a group signature scheme， cryptology e－print archive [EB/OL].(2002－01－16).http://eprint.iacr.org/.

［7］POPESCU C.An efficient ID－based group signature scheme[J]. Studia Univ. Babes－Bolyai， Informatica， 2002， XLVⅡ(2):29－36.

［8］段琪，孫淑玲.電子選舉研究概況[J].計算機應用，1998，18(4):23－25.

［9］FUJIOKA A， OKAMOTO T，OHTA K.A practical secret voting scheme for large scale elections:proc. of the Auscrypt’92 [C].[S.l.]:[s.n.]，1992:244－251.

［10］CRANOR L. Electronic voting:computerized polls may save money， protect privacyproc of the Hawaii Internet of Conference on System Science[C].Hawaii:[s.n.]，1997:116－124.

［11］LIU J K， WEI V K，WONG D S.Linkable spontaneous anonymous group signature for Ad hoc groups (extended abstract)ACISP’04 [C].[S.l.]:[s.n.]， 2004:325－335. 

［12］RESNICK P， ZECKHAUSER R， FRIEDMAN E，et al. Reputation systems:facilitating trust in internet interactions[J].Communications of the ACM， 2000，43(12): 45－48.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”