無可信ＰＫＧ的基于身份的指定接收者群簽密方案

摘要：利用簽密的思想，對基于身份的群簽名方案進行改進，提出無可信PKG（私鑰生成中心）的基于身份的指定接收者群簽密方案。在提出的方案中，只有指定接收者可以從群簽密密文恢復(fù)出被群簽密消息的明文來驗證群簽密的有效性；并可以通過指定接收者進一步公開相關(guān)信息，轉(zhuǎn)換為不泄露消息明文但可以被公開驗證的群簽名。該方案能夠同時保證消息的機密性、可認證性和不可否認性。此外，群公鑰的大小和群簽密的長度獨立于群成員的個數(shù)。

關(guān)鍵詞：基于身份的密碼體制；私租生成中心；雙線性對；指定接收者；群簽密

中圖分類號：TP309文獻標志碼：A

文章編號：1001-3695(2007)12-0158-04

0引言

群簽名的概念首先由Chaum等人^[1]在1991年提出。它允許每一個群成員代表群對消息匿名地簽名。同時，驗證者可以使用群公鑰驗證簽名是否是群的有效簽名，但不能確定該簽名由哪個群成員所簽，也不能確定兩個不同的群簽名是否由同一個簽名者所簽。在以后發(fā)生糾紛時，群主管可以打開該簽名并揭露簽名者的真實身份。群簽名在電子貨幣、電子選舉等領(lǐng)域得到了廣泛的應(yīng)用。

最初的群簽名方案^[2]均建立在基于證書的公鑰密碼系統(tǒng)下。該系統(tǒng)需要有系統(tǒng)公認的證書認證權(quán)威，參與者在使用一個用戶的公鑰之前必須先驗證其證書的有效性。因此，系統(tǒng)需要大量的存儲空間和計算開銷去管理用戶的公鑰證書。近年來，在基于身份的公鑰密碼系統(tǒng)下，用戶的公鑰可以很容易地由能夠標志用戶身份的信息（如e－mail地址或IP地址等）計算得到，因而它成為基于證書的公鑰密碼系統(tǒng)很好的替代品，并在現(xiàn)實中具有廣泛的應(yīng)用。

基于身份的公鑰密碼體制首先由Shamir^[3]在1984年提出，直到2001年才由Boneh等人^[4]提出了一個實用的基于身份的公鑰密碼系統(tǒng)；之后又提出了一些基于身份的群簽名方案^[5]，但是這些方案均存在一個致命的弱點，即系統(tǒng)必須有一個公共可信任的私鑰生成中心（PKG）。PKG可以計算系統(tǒng)內(nèi)任意用戶的私鑰，所以可以偽造任何用戶的“有效”簽名，而且驗證者無法判斷PKG是否有欺騙行為。由此可見，無條件地信任PKG大大限制了基于身份的群簽名方案的廣泛應(yīng)用。2003年，Chen等人^[6]提出了一個新的無可信PKG的基于身份的系統(tǒng)從而解決了上述問題。

在現(xiàn)實生活中，有時存在這樣的實際應(yīng)用場景：一組技術(shù)人員聯(lián)合繪制了某種零件的加工圖紙，他們需要對圖紙群簽名并加密后發(fā)送給加工者，只有加工者可以恢復(fù)出圖紙的明文并驗證群簽名的有效性。必要時，加工者可以在不泄露圖紙秘密的情況下使公眾均可以驗證群簽名的有效性。考慮到以上的現(xiàn)實需求，以及現(xiàn)有的基于身份的群簽名方案沒有考慮對被群簽名消息的機密性，筆者將簽密的概念應(yīng)用其中。簽密的概念首先由Zheng^[7]在1997年提出，其主要思想是把加密和簽名的功能結(jié)合起來，在一個邏輯步驟內(nèi)同時完成加密和簽名。結(jié)合簽密和群簽名，2000年由Mu等人^[8]提出了群簽密的概念，其主要思想是群A中的任何成員能夠代表群A對消息群簽密，然后將該群簽密發(fā)送給群A指定的接收群B，群B中的任何成員可以恢復(fù)消息并對群簽名驗證。

基于雙線性對，本文提出了一個無可信PKG的基于身份的指定接收者群簽密方案。與上述群簽密方案所不同的是，本方案中群簽密的指定接收者是一個指定的用戶而不是一個指定的群。該方案除了滿足群簽名的要求外，還具有以下特性：a）基于身份的特性，但系統(tǒng)中的PKG不必是可信的，它可以解決密鑰的托管問題。b）群簽密的特性，能夠?qū)⑷汉灻图用艿墓δ芙Y(jié)合起來，一次性完成群簽名和加密，同時達到了消息的機密性和可認證性。c）指定接收者恢復(fù)消息的特性，即只能由指定接收者才可以恢復(fù)消息的明文以保持消息的機密性。在恢復(fù)出消息后，必要時指定接收者可以公開消息的hash值等相關(guān)信息，使得任何人可以驗證群簽密的有效性，這樣可以大大縮小消息的擴散范圍，為一些需要保密的消息（如個人隱私）提供了很好的解決途徑。

4結(jié)束語

本文基于GDH問題，提出了一個無可信PKG的基于身份的指定接收者群簽密方案，并對其安全性作了簡要分析。在該方案中，群簽密者代表由n個成員組成的群對消息群簽密，所以適合群成員的個數(shù)是有限的群，因此該方案更加具有實際意義。該方案的優(yōu)點是將消息的機密性、可認證性和不可否認性結(jié)合起來，同時在指定接收者恢復(fù)消息后，其他驗證者在驗證時不能夠看到消息的明文，避免了消息的廣泛公開；缺點是由于同時需要滿足的要求比較多，導(dǎo)致多次使用hash函數(shù)，使方案比較復(fù)雜。如何將該方案簡化是筆者下一步將要研究的問題。

參考文獻：

［1］CHAUM D，HEYST E V.Group signatures[C]//Proc of Advances in Cryptology－EUROCRYPT ’91， LNCS 547.Berlin:Springer－Verlag，1991:257-265.

[2]CAMENISCH J，STADLER M.Efficient group signatures schemes for large groups[C]//Proc of Advances in Cryptology－CRYPTO ’97， LNCS 1294.Berlin:Springer－Verlag， 1997:410-424.

[3]SHAMIR A.Identity－based cryptosystems and signature schemes[C]//Proc of Advances in Cryptology－CRYPTO ’84，LNCS 196. Berlin:Springer－Verlag，1984:47-53.

[4]BONEH D，F(xiàn)RANKLIN M.Identity－based encryption from the Weil pairings[C]//Proc ofAdvances in CryptoLogy－CRYPTO 2001，LNCS 2139. Berlin:Springer－Verlag， 2001:213-229.

[5]TSENG Y，JAN J. A novel ID－based group signature[C]//Proc of International Computer Symposium， Workshop on Cryptology and Information Security. Tainan:[s.n.]，1998:159－164.

[6]CHEN Xiao－feng，ZHANG Fang－guo，LIM K. A new ID－based group signature scheme from bilinear pairings[EB/OL].[2003].http://eprint.iacr.org/2003/116.

[7]ZHENG Yu－liang.Digital signcryption or how to achieve cost(signature encryption)<<cost(signature)+cost(encryption)[C]//Proc of Advances in Cryptology－CRYPTO ’97， LNCS 1294. Berlin:Springer－Verlag， 1997:165－179.

[8]MU Yi，VARADHARAJAN V.Distributed signcryption[C]//Proc of the 1st International Conference on Progress in Cryptology.London:Springer－Verlag， 2000:155－164.

[9]TAN Zuo－wen，LIU Zhuo－jun.A novel identity－based group signature scheme from bilinear maps[EB/OL].[2003].http://www.mmrc.iss.ac.cn/pub/mm22.pdf/17.pdf.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文”