（计算机科学与技术专业论文）椭圆曲线群签名方案及其在电子现金系统中的应用.pdf

椭网曲线群签名方案及其在电子现会系统中的应用摘要随着电子商务的迅速发展，作为其核心的电子支付发生了巨大的变革，现代化的支付工具一一电子现金应运而生并日益发展，由此对现代支付体系也提出更高的要求。但是目前电子现金中还存在成员撤销、可转移性、可分割性、多银行等技术难题没有很好解决。群签名作为一种特殊的数字签名，能够用来隐藏组织的内部结构，故在诸多领域都有广泛的用途，例如它可以用在电子选举、电子投标以及电子现金系统与身份托管等许多电子政务与电子商务活动中。本课题以基于椭圆曲线群签名的多银行电子现金系统为研究对象，针对目前群签名和电子现金中存在的问题，设计出椭圆曲线上具有安全高效成员撤销功能，并能减少密钥泄漏损失的群签名方案和功能比较完善的多银行电子现金系统方案。首先，针对已有的以椭圆曲线公钥密码为基础的群签名方案中存在的问题，本文同时引入系统时间分段法和动态累加器思想，设计出高效安全的群签名方案。方案中增加或撤销一个成员时，群管理员只需进行密钥演化和证据更新，运算量只是椭圆曲线上的点乘；签名和密钥的长度较短，签名和验证过程相对简单。此外，本文还在b s z 模型中证明了该方案的安全性。其次，利用本文设计的群签名方案，构造出一种离线的多银行电子现金系统方案，该方案中系统可以有效的防止用户篡改电子现金的金额，防止敲诈，可撤销成员，识别重复花费，具有可撤销匿名性，因此具有较高的安全性。同时，由于采用了更安全更高效的群签名方案，本系统方案还具有更高的效率。关键词：群签名；电子现金；多银行；成员撤销；前向安全性；椭圆曲线a bs t r a c tw i t ht h er a p i dd e v e l o p m e n to fe l e c t r o n i cc o m m e r c e ，a si t sc o r et e c h n 0 1 0 9 v ，e l e c t r o n i cp a y m e n th a se v o l v e dg r e a t l yi nr e c e n ty e a r s t h em o d e mp a y m e n tt o o l e l e c t r o n i cc a s he m e r g e sa n dd e v e l o p sq u i c k l y t h e r e f o r e ，i tb r i n g s h i g h e rr e q u l r e m e n t so nt h em o d e mp a y m e n ts y s t e m s b u tt h e r ea r em a n yo p e np r o b le m si nt h ec u r r e n te l e c t r o n i cc a s hs y s t e m ，s u c ha sm e m b e r s h i pr e v o c a t i o n ，t r a n s f e r a b i l i t y ，d i v i s i b i l i t y , m u l t i p l eb a n k sa n ds oo n t h eg r o u ps i g n a t u r e ，a sa ne s p e c i a ld i g i t a ls i g n a t u r e ，o f f e r st h ea b i l i t yt oh i d ei n t e r i o rs t r u c t u r eo ft h eo r g a n i z a t i o n s s oi tc a nb ew l d e l yu s e df o re l e c t r o n i cv o t i n g ，e l e c t r o n i cb i d d i n g ，e l e c t r o n i cc a s hs y s t e m i d e n t i t ve s c r o wi ne l e c t r o n i cg o v e r n m e n ta f f a i ra n de l e c t r o n i cc o m m e r c e ih es u b j e c ti n v e s t i g a t e di nt h i sp a p e ri sa ne l e c t r o n i cc a s hs y s t e ms c h e m ew i t hm u l t i p l eb a n k sb a s e do nt h ee l l i p t i c a lc u r v eg r o u ps i g n a t u r e a i m i n ga tt h ee x i s t i n gp r o b l e m so ft h eg r o u ps i g n a t u r ea n de l e c t r o n i cc a s h ，w eh a y ed e s i g n e dan e wg r o u ps i g n a t u r ew i t hs e c u r ea n de f f i c i e n tm e m b e rr e v o c a t i o n ，a n dr e d u c e dl o s sf o r t h el e a k a g eo fk e yf i r s t l y a n dt h e nan e we l e c t r o n i cc a s hs y s t e ms c h e m eo fm u l t i p l eb a n k sw i t hm o r ef u n c t i o n sh a sb e e ne s t a b l i s h e d f i r s t l y , t os o l v et h ep r o b l e m so ft h ee x i s t e dg r o u ps i g n a t u r eb a s e do nt h ee l l i p t i c a lc u r v ep k c ，t h i sp a p e rh a sd e s i g n e da ne f f i c i e n ta n ds e c u r eg r o u ps i g n a t u r es c h e m ew i t ht h em e t h o do fd i v i d i n gs y s t e mt i m ei n t os e c t i o n sa n dt h ei d e ao fd y n a m i ca c c u m u l a t o r s w h e ng r o u pm e m b e r sh a v et ob ei n c r e a s e do rw i t h d r a w n ，t h eg r o u pm a n a g e ro n l yn e e d st oe v o l v et h ek e ya n du p d a t et h ee v i d e n c e ，t h ec a l c u l a t e da m o u n ti sj u s tt h ed o tp r o d u c to nt h ee l l i p t i c a lc u r v e ；t h el e n g t ho ft h es i g n a t u r ea n dt h ek e vi ss h o r t e r ，t h ep r o c e s so fs i g n a t u r ea n dv e r i f yi sc o m p a r a t i v e l ys i m p l e m o r e o v e r t h en e wg r o u ps l g n a t u r es c h e m eh a sb e e np r o v e ds e c u r i t yi nt h eb s zm o d e l s e c o n d l y , t h i sp a p e rh a sd e s i g n e daf a i ro f f - l i n ee l e c t r o n i cc a s hs y s t e ms c h e m ew i t hm u l t i p leb a n k sb a s e do nt h en e wg r o u ps i g n a t u r es c h e m ei n t r o d u c e da b o v e t h i ss y s t e mp r o v i d e st h ef u n c t i o n so fp r e v e n t i n gc u s t o m e r sf r o mj u g g l i n gt h es u mo fe l e c t r o n i cc a s h ，m e m b e rr e v o c a t i o n ，f i n d i n gd o u b l e s p e n d i n g ，p r e v e n t i n gc r i m i n a la c t i v i t i e ss u c ha sb l a c k m a i l i n g ，m o n e yl a u n d e r i n ga n di l l e g a lp u r c h a s e s a n dr e v o c a b l ea n o n y m i t yf o rc u s t o m e r s m o r e o v e r , t h i ss y s t e ms c h e m eh a sb e e ns h o w e dm o r ee f f i c i e n tb e c a u s ei ti sb a s e do nt h en e ws e c u r ea n de f f i c i e n tg r o u ps i g n a t u r e k e yw o r d s ：g r o u ps i g n a t u r e ；e le c t r o n i cc a s h ；m u l t i b a n k s ；m e m b e rr e v o c a t i o n ；f o r w a r ds e c u r i t y ；e l l i p t i c a lc u r v ei i i椭网f f f f 线群签名方案及其在i 【l 予现金系统中的应用插图索引图2 1 电子现金系统分类1 6图2 2 公平电子现金系统分类1 7图2 3 基本的电子现金模型- 19图2 4 带电子钱包的电子现金模型1 9图2 5 公平离线电子现金模型2 0图2 6 多银行电子现金模型2 0图2 。7 新的电子现金模型2 1图4 1 多银行电子现金系统模型3 7图4 2 开户过程4 0图4 3 取款过程4 1图4 4 支付过程4 2图4 。5 存款过程4 3v i硕十学位论文附表索引表3 1 新方案与原有方案的比较3 4表3 2 新方案与a c j t 方案的比较一3 4表3 3e c c 与r s a 安全密钥长度对比3 5表3 4e c c 与r s a 的速度对比3 5v i i湖南大学学位论文原创性声明本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或者集体已经发表或者撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式表明。本人完全意识到本声明的法律后果由本人承担。作者签名：彰哟托日期：2 7年，月) 7 日学位论文版权使用授权书本学位论文作者完全了解学校有关保留，使用学位论文的规定，同意学校保留并向国家有关部门或者机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或者部分内容编入有关数据库进行检索，可以采用影印，缩印或者扫描等复制手段保存和汇编本学位论文。本学位论文属于1 、保密口，在年解密后适用本授权书。2 、不保密冈。( 请在以上相应方框内打“ ) 作者签名：鼻吃彰别隧孙韶乳日期：2 口p ，年r 月 日日期：砷年6 月j日硕i j 学位论文1 1 研究背景及意义第1 章绪论随着现代通信技术、多媒体信息技术和计算机网络技术的不断发展，电子商务应运而生。作为2 1 世纪信息时代经济活动全新的技术手段和方法，电子商务已成为i n t e r n e t 最为广阔的应用领域，被公认为是新的经济增长点，因此各国都在加快发展自己的互联网建设，加紧对电子商务相关技术的研究。电子商务就是通过i n t e r n e t 进行的商务活动，为真正实现商务全过程的电子化，货币必须具备适于在网络空间中流通的特性，即支付过程和支付手段必须完全电子化，相应地，银行应具有能够经营这种货币的能力。因此，安全高效的电子支付系统成为电子商务中一个非常关键的要求。从2 0 世纪7 0 年代开始，网络技术的发展促进了电子资金转账( e f t ) 系统的发展，缩短了银行之间支付指令的传递时间，减少了在途资金的占压。紧接着各种电子支付方式也相继出现，其中电子现金最为符合支付完全电子化的要求，成为一种十分重要的电子支付方式。自1 9 8 2 年c h a u m t l 】提出第一个电子现金系统后，电子现金系统经历了从完全匿名到可控匿名、从在线到离线、从不可分到可分的发展历程，并且日趋完善。但在19 9 8 年之前，几乎所有的电子现金系统都是基于所谓的“单银行”模型，即只考虑一家银行签发现金，用户和商家必须在同一家银行开设账户。其实，由多个银行发行电子现金较之单个银行更符合现实生活的需要，因为在一个国家或地区具有电子现金发行能力的银行可能不止一家，这样的多个银行形成一个群体，它们受国家中央银行的管理，每个银行都可以代表银行群体签发电子现金【z j 。因此，多银行电子现金系统才是研究的重点。群签名作为一种特殊的数字签名，能够用来隐藏签名者的身份和组织的内部结构，必要时还可撤销这种匿名性，同时在安全性上也有足够的保证并且具备群体性，故在军事、政治、电子商务和电子政务活动中都具有广泛的用途。因此，基于群签名的多银行电子现金系统能比较真实地模拟现实生活中的实际情况，而且可以防止一些违法的行为发生。目前，虽然群签名及基于群签名的电子现金系统都取得了一些研究成果，并且世界上许多国家也在实用的电子现金系统方面开展研究和开发，如作为电子现金的创始人，c h a u m 首先在荷兰和美国成立了专门从事开发电子支付和数字现金产品的d i g i c a s h 公司，该公司的产品e c a s h 开启了人们对电子现金系统实际应用的先河；信用卡巨头v i s a 公司从2 0 0 0 年6 月开始与6 家信用卡公司和9 家银行椭网帅线群签名方案及l e 在r 乜了现会系统中的应用联合进行的智能卡电子现金“v i s a c a s h ”的实用实验昭示着电子现金系统的应用正日趋走向广泛和成熟。但是，群签名及电子现金系统的研究过程中依然存在诸多技术难题，如群签名中的安全性、成员撤销等问题，电子现金系统中现金的可传递性、多银行性、敲诈及重复花费等问题，这些问题不能得到很好的解决，电子现金系统就无法真正的走向实用。因此，设计安全高效且具备成员撤销功能的群签名方案，并且基于该方案设计功能比较完善的多银行电子现金系统成为信息安全领域和电子商务领域的研究重点。1 2 国内外研究现状1 2 1 离线电子现金系统的发展最初提出的电子现金系统大多是在线的，即要求银行在线验证电子现金的合法性。那时电子商务发展还不普及，网上交易不频繁，在线系统不会造成网络银行的阻塞，而且还可以及时解决用户的重复消费问题。但是随着网上交易的频繁进行，这种在线的系统会造成银行的通信阻塞，使得服务失败，易发生大量交易纠纷。因此，为了提高效率，越来越多的电子现金系统采用银行离线的方式。19 8 8 年，c h a u m 、f i a t 和n a o r 3 】在c r y p t o 8 8 提出了离线匿名电子现金的概念，采用“发现”而不是防止的方法来解决重复花费问题。该方案的安全性依赖于一些随机性假设，但并没有给出安全性证明，所以不适于实际的电子现金系统。但是他们详细论述了如何构建一个离线电子现金系统，为后来出现的更加安全、高效的离线电子现金系统打下了基础。在方案的提取和支付协议中使用的零知识证明所采用的是首次引入的“分割选择技术”【4 ，每一次购物都必须传送、存储和验证k 个货币，导致了额外的通信、计算和存储开销，所以该方案的效率有待提高5 1 。l9 8 9 年，o k a m o t o 和o h t a 6 】最先对这种系统【4 提出了改进。他们把取款协议中最复杂的部分( 即用户身份的零知识证明部分) 转移到开户协议( 建立帐户阶段)中去实现。由于用户开户协议执行的频率比取款协议要小得多，所以在一定程度上提高了系统的效率。但是，方案存在以下缺点：由于匿名性是以“假名 的方式实现的，同一次开户协议所对应的不同的取款行为中提取的电子现金是可关联的，即可以利用常规技术来跟踪用户的行为【5 j 。1 9 9 1 年，p f i t z m a n n 和w a i d n e r 1 7 】对d a m g a r d 8 】的在线电子现金方案进行了改进，将其变成了离线方案，但该方案基于通用计算协议，因此实现效率不高。f r a n k l i n 和y u n g 在d a m g b r d 方案 8 】的基础上提出了一种理论上安全的电子现金方案【9 ，】，它不是基于通用计算协议，而是基于离散对数假设和已存在的相互信任关系。f r a n k l i n 和y u n g 第一个举例说明了如何基于离散对数假设构造一个离线电2 硕十学位论文子现金方案，从而构造了一个正式的安全模型【5 】。他们的安全模型被后来许多电子现金系统所采用i l i 1 2 j 。为了增强f r a n k l i n 和y u n g 基本模型的功能，c h a u m 和p e d e r s e n 【l j 提出了一种新的概念，即“带有观察器的钱包 ，后来c r a m e r 和p e d e r s e n 1 4 对该方案进行了改进。上述两种方案都采用“单符号”技术，而且都是基于离散对数假设，但是其安全性依赖的却是几个广泛而绝对的假设【5 】。b r a n d s 1 5 , 1 6 的方案也是一个“单符号 理论，它是到目前为止最为有效的离线电子现金方案，它的安全性基于s c h n o r r 签名和素数阶群上的表示问题( 等价于离散对数问题) ，可以被归纳到随机预言模式和绝对假设中。如果等到用户已经重复花费了电子现金后才去“事后发现它，往往是不安全的，应该采取“事先阻止 的方法。防篡改智能卡的用途之一就是通过去掉己经花费的电子现盒或使得己经花费的电子现金变得无效来防止重复花费。b r a n d s 对此做了较为详细的描述，其基本原理是在用户的电子钱包中装入观察器( o b s e r v e r ) 。鉴于智能卡的计算能力和存储能力有限，将电子现金扩展到使用“带有观察器的钱包”就要求附加计算必须是最小限度的【5 j 。c h a n ，f r a n k e l 和t s i o u n i s 1 1 提出了一种基于r s a 的理论上可证明安全性的离线电子现金方案。虽然还是采用“分割选择 技术，但它对f r a n k l i n 和y u n g的方案【9 , 1 0 进行了改进。为了得到可证明的安全性，它不是基于通用计算协议，而是基于r s a 以及随机预言类哈希函数的存在特性。该方案不需要任何可信任实体，也不需要复杂的基于通用计算协议的初始化程序，其效率和采用“启发式分割选择”技术的系统相当【5 】。c a m e n i s c h 等人【1 7 和f r a n k e l 等人【18 】分别基于b r a n d s 的离线电子现金系统提出了一种高效的公平离线电子现金系统。在这两种方案中，除了用户注册和跟踪两个过程需要在线进行以外，其它步骤均可离线进行，而且b r a n d s 离线电子现金协议本身就具有高效性，所以这两个系统效率较高【5 j 。2 0 0 1 年，m a i t l a n d 和b o y d 基于a t e n i e s e 等人【l9 】的群签名方案( 又被称为a c j t方案) 设计了一个公平电子现金方案【2 0 1 ，可以识别重复消费，但是不能防敲诈。2 0 0 4 年，c o n s t a n t i n 2 1 提出一种具有可撤销匿名性的离线电子现金系统，是基于a c j t 群签名方案的，他的方案可以防止非法购买、敲诈和洗钱，但是该方案中，银行发行电子现金时，使用的是盲签名技术，银行无法防止用户篡改电子现金金额，而且该方案没有成员撤销功能。2 0 0 5 年，李进等人【2 2 对b r a n d s 电子现金方案进行了改进，银行发行不同面值的电子现金只需要选择一个私钥，效率更高。2 0 0 7 年，周宣武等人【2 3 】分析了现有公平离线电子现金方案的不足，提出了一类基于超椭圆曲线密码的可追踪公平离线电子现金方案。椭网m 线群签名方案及l c 在电了现金系统中的j 衄用1 2 2 多银行电子现金系统的发展自19 9 1 年c h a u m 和h e y s t 2 4 首次提出群签名的概念后，由于群签名所具备的群体性及其他特殊性质，为多银行电子现金系统的提出奠定了基础。19 9 8 年l y s y a n s k a y a 和r a m z a n 2 5 在金融密码会议( f c 9 8 ) 上首次提出的多银行电子现金系统这一概念。他们还利用由他们首次提出的群盲签名技术，构建了一个由中央银行和多个成员银行参与的匿名多银行电子现金系统，很好地模拟了现实生活中银行的实际情况。但该方案是一个完全匿名的在线方案，其“打开”算法的效率也比较低，而且在所用的群盲签名中数据传输量特别大，签名太长，很不实用。2 0 0 1 年，张方国等人也对多银行电子现金系统进行了研究，利用改进的c s 9 7群签名方案【2 6 3 和l y s 9 8 群盲签名方案2 5 3 设计了一个离线可追踪用户的多银行电子现金系统【2 】。该系统由两个方面的改进：一方面，他们将所有用户构成一个群，引入可信第三方作为这个群的管理者，以实现用户追踪；另一方面，他们将l y s 9 8群盲签名方案【25 j 推广到椭圆曲线上，使得传输数据量和签名长度大大降低，从而提高了整个系统的效率。这两个多银行电子现金系统是以】9 9 7 年c a m e n i s c h 和s t a d l e r 设计的群签名方案【2 6 】为基础，这个群签名方案被认为是群签名发展史上的一个里程碑式的方案。但是由于这个群签名方案本身的低效率和不完善导致所构造的多银行电子现金系统不可避免地存在以下两个问题：第一，采用的是计算量很大的双重离散对数知识签名和离散对数e 次根知识签名，从而导致系统的效率很低；第二，系统无法处理成员撤销问题【2 1 。1 9 9 9 年j a c q u e s 的方案【2 7 】和2 0 0 4 年陈少真等人的方案【2 8 】都是离线的完全匿名的多银行电子现金方案。他们各设计了一个新的群盲签名方案，并利用新的群盲签名方案设计了各自的多银行电子现金系统。但由于两个系统都是离线且完全匿名的，一旦电子现金被非法使用，整个系统将无法向非法者追究责任【2 引。2 0 0 3 年，陈庆等【3o 】设计了一个多银行公正可分的电子现金系统，此方案使用限制性群盲签名，中央银行作为管理者，各发币银行是群成员，使用单一的群公钥，任何人都能够验证电子现金的有效性，并将“可分性 解决技术和概率验证技术整合在其中。2 0 0 4 年，周红生等p l 】提出一个基于代理签名的多银行电子现金系统，该系统利用代理签名技术将所有银行构成一个群体，受中央银行和可信第三方管理。每个发币行必须接收到来自中央银行和可信第三方的共同委托才能代表整个群体签发有效的电子现金，即利用代理签名技术构造发币委托协议，实现中央银行与发币银行的签发电子现金能力的转移。用户支付后，商家需要在线核实现金的合法性，虽然能有效防止重复花费，但是对于小额支付来说，效率太低，成本太高 2 9 1 。2 0 0 8 年，张京良、黄华伟、王育民 3 2 】提出了一种基于a c j t 群盲签名的多银4 硕十学位论文行公平电子现金系统，系统拥有可疑货币的商店和发行该货币的银行在中央银行帮助下可联合运用s h a m i r 秘密共享方案对用户进行追踪，而且能够预防敲诈、绑架等犯罪行为。1 3 研究内容本课题研究基于椭圆曲线群签名方案的多银行电子现金系统，针对目前群签名和电子现金中存在的问题，以椭圆曲线公钥密码体制为理论基础，设计一种新的具有高效成员撤销功能及前向安全性的群签名方案，并提出一种功能比较完善的多银行电子现金系统方案。1 ) 深入研究基于椭圆曲线离散对数问题的群签名方案3 ”，发现签名过程容易发生密钥泄漏，并且成员撤销过程效率不高，且整个签名方案不满足前向安全性。2 ) 针对原有群签名方案在成员撤销、安全漏洞及效率等方面的不足，本文通过引入系统时间分段法及动态累加器思想，设计出一种新的群签名方案。新方案能够减少密钥泄漏带来的损失，能够高效安全的撤销群成员代表群体进行签名的合法性，并证明该方案满足b s z 模型中的安全性要求。3 ) 基于提出的椭圆曲线群签名方案，设计出一种离线多银行电子现金系统方案，该方案中系统能够有效的防止用户对电子现金的金额进行篡改；防止敲诈并能识别重复花费；具有可撤销匿名性，从而防止洗钱和非法购买。1 4 论文结构本论文的结构安排如下：第1 章主要介绍本文的研究背景及意义，国内外离线和多银行电子现金系统的研究现状，研究范围和内容。第2 章主要介绍群签名及电子现金系统的基本知识，研究现状及面临的主要问题。第3 章针对原有群签名方案中存在的问题，给出解决方法，从而设计出一个新的椭圆曲线群签名方案并分析方案的性能。第4 章基于改进的椭圆曲线群签名方案，设计出一个离线多银行电子现金系统方案，并分析方案的性能。最后是本文的总结与展望部分，对论文的主要工作进行总结，并指出今后进一步研究工作的展望。椭网m 线群签名方案及其神：乜了现会系统中的应用第2 章群签名与电子现金系统群签名作为一种密码技术，能够用来隐藏组织的内部结构，因此在公共资源的管理、重要军事命令的签发、重要领导人的选举、电子商务、重要新闻的发布、金融合同的签署等事务中发挥着重要作用。例如，它可以用在电子选举、电子投标，以及不可跟踪的电子现金系统与身份托管等许多电子政务与电子商务活动中；一个公司可以利用群签名来认证帐单或数字合同，顾客仅需知道该公司的公开密钥就可以验证这些签名；公司可以利用群签名隐藏它的内部组织结构，但在需要时，公司仍然可以追查出签署某个文件的雇员【3 4 。电子商务中最核心的要求是要有一个安全高效的电子支付体系，随着电子商务的发展，电子现金系统日益成为一种现代的电子支付方式，成为研究的重点。本章的安排如下：第一节主要介绍群签名的基本知识，第二节主要分析群签名中亟待解决的问题及研究方向，第三节介绍电子现金系统的相关知识，第四节分析电子现金系统中存在的问题，最后是本章小结。2 1 群签名概述2 1 1 群签名的定义群签名是一种特殊的数字签名方案，最早是由c h a u m 矛i h e y s t f 2 4 】于19 9 1 年提出的。在个群签名方案中，一个群体中的任意一个成员，都可以以匿名的方式代表整个群体对消息进行签名；签名可以用唯一的群公钥验证，但人们无法获知签名者的身份，也无法判断两个群签名是否出自同一群成员；当有争议发生的时候，群管理员可以通过打开签名来确定签名者的身份。群签名方案是一个包含以下过程的数字签名方案【2 6 】：创建( s e t u p ) ：用一个多项式时间概率算法产生群公钥和私钥的过程。加入( j o i n ) ：用户和群管理员之间的交互式协议，使得用户成为合法的群成员。协议执行过程中可产生群成员的私钥和成员证书，并使群管理员得到群成员的秘密成员管理钥。签名( s i g n ) ：群成员使用自己的私钥对消息进行签名的过程。验证( v e r i f y ) ：验证者使用群公钥验证签名是否合法的过程。打开( o p e n ) ：群管理员使用群私钥打开群签名，确定签名者身份的过程。2 1 2 群签名的安全性要求一个好的群签名方案应满足以下的安全性要求【2 6 j ：6 硕 学位论文正确性( c o r r e c t n e s s ) ：一个群成员使用签名算法生成的签名可以被验证算法所接受。匿名性( a n o n y m i t y ) ：给定一个群签名后，对除了唯一的群管理员之外的任何人来说，确定签名者的身份在计算上是不可行的。不可伪造性( u n f o r g e a b i l i t y ) - 只有群成员才能产生有效的群签名。不可链接性( u n l i n k a b i l i t y ) ：在不打开签名的情况下，确定两个不同的签名是否出自同一个群成员在计算上是困难的。防陷害攻击( c o a l i t i o nr e s i s t a n c e ) ：包括群管理员在内的任何人都不能以其他群成员的名义产生合法的群签名。可跟踪性( t r a c e a b i l i t y ) ：群管理员在必要时可以打开一个签名以确定签名者的真实身份，而且签名者不能阻止一个合法签名的打开。抗联合攻击( e x c u l p a b i l i t y ) ：即使某些群成员串通在一起也不能产生一个合法的不能被跟踪的群签名。可撤销性( r e v o c a b i l i t y ) ：群中任意一个群成员退出后，群管理员都可以安全的撤销该成员，使之不能够再产生有效的群签名，不会对群的安全性构成威胁。2 1 3 群签名方案的效率一个群签名方案的效率依赖于以下参数【3 5 】：1 1 群公钥的大小；2 ) 群签名的长度；3 ) 群签名算法和验证算法的效率；4 ) 创建算法，注册协议以及打开算法的效率。2 1 。4 群签名的发展阶段及主要代表方案1 、第一阶段：19 9 1 年19 9 7 年该阶段提出的群签名方案大都不能灵活地增加新成员，当需要增加新成员时，必须对群公钥作适当的修改( 即必须对外界重新公布群公钥) ，且群公钥的长度与签名长度随群成员人数的增加而成线性增长。因此，该时期提出的的群签名方案并不适于实际中的大群。主要代表方案有：1 9 9 1 年，c h a u m 和v a nh e y s t 在他们的开创性工作文献 2 4 】中不仅给出了群签名的概念，而且给出了四个群签名方案。在这些方案中，群公钥的长度都与群成员的个数成线性关系。其中在第一个方案中，每个群成员所能签署的消息个数是固定的；在前两个方案中，群体不能在初始创建之后接纳新的群成员；有的方案在打开群签名时需要群管理人和每一个群成员联系。19 9 3 年，c a m e n i s h 在文献 3 6 1 中提出了广义群签名的概念，并给出一个有效椭网帅线群签名方案及1 c 存电予现会系统中的心用的方案。该方案能够提供计算上安全的匿名性，在初始创建之后允许添加新的群成员或废除群成员，而且还允许一些群成员集体代表整个群体签名。这个方案还可以推广到由若干个人分享群管理员职责的情况。其缺点是群公钥的长度及签名的长度与群成员的个数成线性关系。1 9 9 5 年，c h e n 和p e d e r s e n 3 7 提出了几个新的群签名方案，并回答了文献 2 4 中提出的一些公开问题，同时首次提出了允许群体增加新成员的群签名方案。2 、第二阶段：1 9 9 7 年一2 0 0 1 年群签名的发展进入了一个比较活跃的阶段，能够实现群成员的灵活增加，并且研究更加注重群签名的安全性、效率和实用性。主要代表方案有：19 9 7 年，c a m e n i s h 和s t a d l e r 2 6 提出了两个群签名方案，被称为c s 9 7 方案。在这两个方案中，群公钥的长度及签名的长度与群成员的个数无关；增加新的群成员无需更改原有群成员的密钥以及群公钥；签名和验证算法的计算复杂性不依赖于群成员的个数，因此适用于大群。他们通过在群签名方案中增加注册协议，使得群体能够灵活地增加新成员，实现了群签名发展史上的第一次飞跃。缺点是打开算法的效率很低。由于c s 9 7 方案中使用的双重离散对数的知识签名及离散对数的e 次根的知识签名效率很低，导致了这一群签名方案整体效率不高。c a m e n i s c h 和m i c h e l s 3 8 】于1 9 9 8 年在c s 9 7 方案2 6 】的基础上提出了一个改进的方案，即c m 9 8 群签名方案，它的安全性基于强r s a 假设与可判定行的d i f f i e h e l l m a n 假设，这个群签名方案也能够在不改变群公钥的条件下自由地增加新成员，且签名长度、签名算法、验证算法与打开算法的计算量均不随群成员数量的增加而增加。2 0 0 0 年，a t e n i e s e 等人在文献 1 9 中提出了一种安全高效的群签名方案，即a c j t 群签名方案，方案中给出了群签名的比较完整的性质，并给出了一个效率较高的方案，是群签名发展过程中的一个里程碑方案。该群签名方案是基于强r s a 假设与判定d i m e h e l l m a n 的，同样可以在不改变群的公开密钥的条件下自由地增加新成员，并且签名长度，以及签名算法，验证算法与打开算法的计算量均不随群成员数量的增加而增加，但是该方案没有实现撤销成员。3 、第三阶段：2 0 0 1 年至今在群签名发展的第二个阶段，虽然增加群成员方面的研究已经取得了很大的成果，但在删除群成员方面的研究仍没有任何突破。直到2 0 0 1 年，b r e s s o n 和s t e r n e 3 9 给出了基于c s 9 7 2 6 第二个方案的一个可撤销成员的群签名方案，群签名在成员撤销方面的研究才有了突破性的进展。随后，密码工作者又相继提出了几个可撤销的群签名方案。例如，有的方案设计了动态累加器算法，并使用该累加器来实现成员撤销，还有的方案使用互素性来删除群成员。但是这些方案的效率仍不够理想，有待于进一步的探讨。另一方面，密码工作者对群签名的形式化定8 硕十学位论文义和提高群签名效率方面做了深入的探讨和研究。主要代表方案有：b r e s s o n 和s t e r n 3 9 】基于c s 9 7 方案【2 6 提出了第一个具有撤销成员功能的群签名方案，但该方案中签名的长度线性依赖于被撤销的成员个数，而且c s 9 7 群签名方案【2 6 】后来被发现存在安全性问题，不能抗联合攻击。2 0 0 1 年，s o n g 4 0 基于a c j t 群签名【1 9 】提出了两个撤销方案，除了实现成员撤销功能外，方案还能处理密钥泄漏问题，具有前向安全性。虽然签名的长度是定长的，但最大的问题在于其验证算法的计算量线性依赖于被撤销成员的个数。其后，a t e n i e s e 等人【4 1 提出了另外一个签名长度独立于撤销成员个数的撤销方案，但其验证算法也线性依赖于被撤销的成员个数，而且使用了双重离散对数方法，增加了签名和验证的计算量。2 0 0 2 年，c a m e n i s c h 和l y s y a n s k a y a 4 2 】给出了一个动态累加器，该累加器允许动态加入和删除数据，并利用该累加器实现了a c j t 群签名【l9 】中的成员撤销问题以及c l 0 1 4 3 】的匿名c r e d e n t i a l 系统中的成员撤销问题。改进后的验证算法，在计算量上仅需增加一个小于2 的常数因子。虽然改进后的方案有很多优点，但还存在下述不足：1 ) 每撤销一个成员，剩余的群成员必须更新自己的证据，而这仍然是线性依赖于被撤销的成员个数；2 ) 证明一个证据是在累加器中的计算量很大且复杂；3 ) 验证者要定期查看群公钥；4 1 群管理员每次撤销成员要经过很多次指数运算来更新群公钥【44 1 。z h a n g 4 5 】等人提出了一个新的支持成员撤销且前向安全的群签名方案，虽然效率比较高，但后来被证明是不安全的【46 | 。2 0 0 3 年，王尚平等人提出了基于c s 9 7 方案成员删除问题的一个新的解决方案【47 1 。新方案使用了群组成员秘密特性钥更新算子方法。新方案中当一个成员加入或被群组删除后，群管理员计算并公布群组新的特性公钥及群组成员秘密特性钥更新算予，群中的每个成员只需利用公开的更新算子重新计算各自的秘密特性钥，系统不需要对每个成员重新颁发成员证书。因此，新方案对大的群组是一个可接受的方案。群组的公开钥、成员的秘密钥及签名的长度都是固定不变的。但是，2 0 0 5 年黄振杰等人【4 8 】对该方案进行了分析，给出了在群管理员更换群密钥后，已被删除成员更新其特性密钥、证明其成员资格和产生有效签名的方法，说明该方案是不安全的，不能真正删除群成员。2 0 0 4 年，黄振杰等人在文献 4 9 中提出对文献 2 6 】的改进方案，通过缩短其所用知识签名的长度，达到缩短签名长度的目的，所提出的改进方案使签名长度缩短了近一半。同时还利用公钥状态列表和可信时戳提出一个前向安全的高效群成员废除方案，这个方案的提出纠正了不能用证书撤销列表废除群成员的观点。该文还考虑了后加入成员的超前签名问题，所提出的成员废除方案能防止超前签名。椭网曲线群签名方案及其在r f l 了现会系统中的应用2 0 0 4 年，n g u y e n 和s a f a v i n a i n i 5 0 提出了基于双线性对的有效且可证明安全性的无陷门群签名方案，系统的参数可以被属于不同组织的其他群共享，该方案可以有效的构造一个可跟踪的群签名方案和身份托管方案。2 0 0 5 年，l a nn g n y e n 5 l 】构造出了基于双线性对的动态累加器，并把此累加器用在了撤销成员上面。该方案的效率很高，签字的长度仅为a c j t 方案的1 2 ，而且a c j t 方案没有撤销成员过程，该方案却可以高效的撤销成员；该方案没有使用陷门函数，所以系统的参数可以被许多属于不同组织的群共享，方案是形式化可证明安全性的。2 0 0 5 年，陈泽文等人【4 4 】在a c j t 群签名方案【1 9 】的基础上，提出了a c j t 群签名方案中成员撤销的实现方案。与以前的方案相比，新方案更为高效。加入成员撤销功能后，群管理员要发布一个所有相应撤销成员证书( 彳，x ，p ，) 中p ，的乘积。任何成员签名时要给出自己的e 与该乘积互素的零知识证明。一个成员被撤销，g m 仅需要一次乘法来更新群公钥，签名和验证的计算量均独立于目前的成员个数和被撤销的成员个数。但是，e 会随着撤销成员的增加而增大，方案的效率就会随着撤销成员的增加而下降。2 0 0 6 年，陈少真等人【5 2 】提出了一个有效撤销成员且前向安全的群签名方案，也同样存在验证算法的计算量线性依赖于被撤销成员个数的问题。2 0 0 7 年，李如鹏等【53 基于a c j t 群签名方案提出了两个高效撤销成员且前向安全的群签名方案，与以往的同类群签名撤销方案相比，两个方案具有高效撤销性及前向安全性，签名验证算法的计算量不依赖于被撤销成员的个数。2 0 0 7 年，x u a n w uz h o u 3 3 】基于椭圆曲线上的离散对数问题提出了一个群签名方案，该方案简洁、安全、高效，改进了应用中软硬件的开销，同时群成员加入时不需要更改群公钥及每个群成员的私钥。与著名的a c j t 群签名方案( 基于有限域上的离散对数问题) 相比，该方案密钥及签名长度更短、模数与公钥位数更小，运算基于椭圆曲线上的加法群，运算量小。但方案的签名过程中容易产生密钥泄漏，且不能彻底撤销群成员，整个签名方案不满足前向安全性。2 2 群签名中亟待解决的问题2 2 1 效率问题群签名的效率主要取决于群公钥的大小、签名的长度以及签名、验证、打开过程的效率。在已有的群签名方案中，有些方案的打开算法效率很低，打开群签名需要群管理员逐个验证群成员的公开密钥是否满足一个等式，这对于大群来说需要很大的计算量；有些方案中群签名的长度太长，签名过程与验证过程或与群体的合法成员个数相关，或与被撤销的成员个数相关，导致群签名的效率降低，1 0 -硕十学位论文实用性较差。2 2 2 成员撤销问题目前，虽然大量的群签名方案被提出，但大多方案都不能灵活、高效的实现群成员的撤销。a t e n i e s e 和t s u d i k t 5 4 】曾指出群签名应用中的两个重要问题：成员撤销和如何处理密钥泄漏。随后许多的成员撤销方案被提出，主要的撤销方法有两大类：一类是基于撤销链表的方法【4 3 , 5 3 】群管理员公布被撤销成员身份的链表，群成员通过零知识证明的方式来证明签名中含有的身份不等于链表中的任何一个身份。该方法的缺陷是签名长度或者验证算法的计算量与被撤销成员的个数线性相关，随着被撤销成员的增加，验证算法的效率将会降低；另一类比较高效的方法是基于证据的方法，即采用动态累加器【4 2 】来实现，累加器满足伪造一个值在累加器中的证据是困难的。群管理员公布累加值，群成员通过零知识证明的方式来证明他拥有相应于累加值的证据，验证算法的计算量独立于被撤销成员的个数。2 2 3 前向安全性问题数字签名的前向安全性由a n d e r s o n 5 5 】首先提出，用来减少密钥泄漏所造成的损失。在i j 向安全数字签名方案中，系统的有效时间被划分为离散的时间段，签名和时间绑定在一起，签名密钥通过一个公开的单向函数随着时间进行演化，然后将前一时间段的密钥删除，这样一旦当前时间段的密钥泄漏，之前时间段的签名依然有效。在实际应用中，前向安全的群签名应该支持可追溯的公开可撤销和向后不可联接性【4 1 】：假设成员a 的密钥在时间段f 泄漏，在以后的某个时间段，发现密钥泄漏，此时群管理员应该撤销成员a 在时间段f 以后的成员身份，使得时间段f 以后a 的所有签名无效，但时间段f 之前a 所有的签名依然有效并且是匿名的和不可联接的。目前，既具备前向安全性( 能够处理密钥泄漏问题) 又能支持成员撤销的群签名方案为数不多4 5 】【4 9 】【5 2 , 5 3 】，但它们要么效率不是很理想，要么签名或