一種基于群簽名技術的可控匿名系統研究

張旋+曹建民

摘 要：為了解決當前匿名系統中匿名控制技術存在的主要問題，文章提出一種基于群簽名機制的可控匿名通信層，通過在傳輸層建立可控匿名連接，為端到端應用提供統一的匿名控制機制，并且通過CACL和具體匿名通信網絡結合，可以有效構建可控匿名通信系統，解決現有匿名系統存在的問題。

關鍵詞：隱私；匿名控制；群簽名

1 匿名和匿名控制

匿名技術是保護用戶隱私的重要手段，學者Claudia將匿名服務分為數據匿名和通信匿名兩類。相對于通信匿名，數據匿名方面的研究比較多，但大多都只針對某一個領域內的匿名應用，而為了保證用戶行為的強匿名性，匿名系統應該同時保證數據匿名和通信匿名兩方面的匿名性。因此，匿名控制技術和可控匿名系統便成了匿名技術研究的一個重要方面。

通過分析現有的匿名系統，發現存在幾點不足：（1）缺乏對一般應用系統的統一匿名控制機制；（2）缺乏對匿名通信系統的有效匿名控制；（3）現有的可控匿名通信系統運行復雜，效率低并缺乏可用性，其設計出發點往往是國家或者暴力機構的網絡監視工具。

針對以上問題，本文提出一種基于群簽名機制的可控匿名通信層（Controllable Anonymity Communication Layer，CACL），通過在傳輸層建立可控匿名連接，為端到端應用提供統一的匿名控制機制，并且通過CACL和具體匿名通信網絡結合可以有效構建可控匿名通信系統，解決現有匿名系統存在的問題。

2 可控匿名通信層CACL

2.1 基于群簽名機制的CACL系統模型

利用群簽名（Group Signature，GS）方案，群成員可以匿名地代表整個群體進行簽名；當簽名發生糾紛時系統中的群管理員（Group Manager，GM）可以打開群簽名獲得簽名者的真實身份，群簽名被廣泛應用在需要匿名認證的許多場合，在CACL系統中，群簽名是核心的密碼學算法。

CACL系統模型主要包含3個角色：群管理員、群成員和驗證方。其中匿名身份認證中心（Anonymous Identity CA，AICA）負責生成并管理一個公開的“群”；用戶向認證機構AICA注冊個人真實身份信息，認證機構驗證信息的真實性后，給用戶生成并發送群成員私鑰和群公鑰證書。當用戶建立到服務方的CACL可控匿名連接時，用戶使用群成員私鑰對服務方發送的挑戰值進行響應，服務方驗證響應值（GS）的合法性之后，接受用戶的CACL連接請求。當服務方日后檢測到用戶行為的非法性之后，則向用戶所在群的認證機構發送糾紛數據和用戶建立連接時保留的群簽名，AICA確認撤銷匿名請求的合法性之后打開群簽名，獲得用戶的真實身份信息。CACL工作在傳輸層，目的是使匿名控制即獨立于具體的應用，又獨立于具體的匿名通信網絡，提供統一的匿名控制機制。

2.2 CACL建立可控匿名連接協議

CACL協議由3個不同的子協議組成，它們都建立在CACL的基本協議層上。（1）可控匿名連接建立協議：此協議完成從用戶端到服務方的可控匿名連接的初始化，是CACL最重要的子協議；（2）可控匿名數據傳輸協議：CACL連接初始化成功后，上層的應用數據便被封裝到數據傳輸協議中進行傳輸；（3）可控匿名通知協議：雙方在整個通過過程中，都可以使用通知協議來通知對方通信中出現的異常狀態。連接建立分為兩階段，第一階段雙方協商好用戶所屬群信息和密碼學算法，并建立認證信道；第二階段用戶接受服務方挑戰并產生群簽名響應。

在第一階段中雙方使用Hello消息協商好用戶所屬群的信息和相應的密碼學算法，主要包括密鑰協商方法和消息鑒定算法（Message Authentication Code，MAC）。之后雙方分別使用Key Exchange密鑰交換消息協商出共享秘密值secret-value，并使用消息認證（Using Message Authentication，UMA）來切換到消息認證信道。另外通常也會有用戶對服務器的鑒定過程，這時需要服務器發送證書消息，雙方計算得出共享秘密值后產生各自的MAC寫密鑰：ServerWriteMacSecret=Sha1（“server”||ClientHello||ServerHello||secret-value）；ClientWriteMacSecret=Sha1（“client”||ClientHello||ServerHello||secret-value）；CACL在建立連接協議的第一階段只利用共享主秘密產生消息認證碼MAC密鑰，以保證之后交互消息的完整性和可認證性，但對消息不進行加密，這部分工作可以由安全套接層（Secure Sockets Layer，SSL）或者應用自己完成。

第二階段雙方使用已經建立起的可認證的連接進行挑戰響應過程，由服務方產生一個隨機數挑戰值CR，發送給用戶，用戶對CR進行群簽名產生響應值，服務方驗證群簽名的合法性，簽名內容是：GroupSignature= GroupSig（H（m）），H（m）=Hash（CR||ClientHello||ServerHello||secret-value），連接的最后雙方發送Finished消息確認連接建立成功，之后雙方在此連接上使用第一階段建立的安全信道發送應用數據和CACL其他類型的消息。

2.3 CACL的不可否認機制和匿名撤銷過程

CACL層設計目標是防止匿名性的濫用，當檢測到濫用而請求打開用戶身份時需要一定的證據支持，因此對于不可否認特性有內在需求。因此在CACL協議中，提供了一個可選的簡單的不可否認機制，上層應用也可以使用其自身的不可否認機制。CACL的不可否認機制是粗粒度的原理，用戶和服務方都對連接建立成功后發送的每條CACL消息進行摘要，并在結束連接時，讓用戶端對最終的摘要值進行簽名后發送給服務方，服務方驗證通過后保存簽名和相應的消息和摘要值。

具體操作：當成功建立CACL協議后，用戶端和服務方根據連接建立信息生成相同的證據初始值ServerProof和ClientProof。在建立連接之后，通信雙方發送數據消息，并且更新證據值；對于用戶端，當發送第n條消息時有：ClientProofn=Hash（ClientProofn-1 || MAC（Messagen））；當用戶收到一條服務方發送的消息時計算：ServerProofn=Hash（ServerProofn-1 || MAC（Messagen））；雙方發送完各自的數據時，應該具有相同的ClientProof和ServerProof值；最后用戶端產生對證據的群簽名，并發送給服務方：ProofGroupSig = GroupSig （ ClientProof || ServerProof ）。這種不可否認機制具有一定的適用范圍，一般適合對少量關鍵數據進行操作。

3 結語

本文分析并指出了當下可控匿名系統存在的主要問題，提出在傳輸層進行端到端匿名控制的觀點，并給出了可控匿名通信層CACL的系統和協議設計。CACL系統簡單安全、效率較高，提供統一的匿名控制機制，減少了應用系統的部署花銷，同時能有效防止匿名通信系統的匿名濫用問題，促進匿名系統的發展。

作者簡介：張旋（1980— ），男，陜西西安，碩士，講師；研究方向：差錯控制技術，大數據系統中數據的可靠性技術。

[參考文獻]

[1]CLAESSENS J，DIAZ C，GOEMANS C，et al. Revocable anonymous access to the Internet[J].Journal of Internet Research，2003（4）：242-258.

[2]CHAUM D. Blind signature for untreaceable payments[C].Berlin：Proceeding of Crypto 83 in Cryptology，1983：199-203.

[3]STADLER M，PIVETEAU JM，CAMENISCH J. Fair blind signatures[M].Berlin：Springer-Verlag Berlin Heidelberg，1995.

Abstract： In order to solve the main problems of anonymous control technology of the existing anonymous system， this paper proposes a controllable anonymous communication layer（CACL）based on group signature mechanism. By establishing a controllable anonymous connection at the transport layer， providing a unified anonymous control mechanism for end to end applications， and through the combination of CACL and the specific anonymous communication network， can effectively construct controllable anonymous communication system to solve the existing problems of the anonymous system.

Key words： privacy； anonymous control； group signature