全俊杰

（厦门大学嘉庚学院信息与计算科学系 福建 厦门 363105）

1 引言

群签名是一种将签名密钥分给多人掌握，并同时参与才能生成合法签名的重要匿名签名方案，它于1991年由两位密码学家D Chaum和E Van Heyst提出[1]。在群签名方案中引入秘密共享机制后，就加入了门限的思想。门限群签名方案允许群中部分参与者能代表群产生一个有效的签名，与普通群签名方案相比，门限群签名具有更高的安全性，第一个门限群签名方案由Desmedt和Frankel于1991年提出[2]。此后，门限签名的思想得到了广泛的研究，提出各种各样门限签名的思想。综合各种群签名的思想，在文献[12]中指出一个安全有效的门限群签名机制应具备以下一些安全特性：（1）群体中任意一个成员可匿名代表群体对消息生成签名；（2）门限特性；（3）不可伪造性；（4）签名有效性；（5）可控制的匿名性；（6）身份可追查性；（7）系统的稳定性和强壮性。本文参考文献[3][4][6][7]中的秘密共享方案，采用Gap-Diffie-Hellman群上的困难问题[5]，并参考文献[8][9][10][11][13]给出一种高效的具有网络应用背景的门限群签名机制。分析表明，该方案具有签名的不可伪造性、身份可追查性、可控制的匿名性等一系列安全特性，而且所有签名成员将个体签名都发送给群中心，无需发送给所有其他成员，所以在信息携带比率、运算效率和网络传输方面具有一定的优势，是一个高效的门限群签名方案。

2 预备知识

在本方案中，我们假定群中心是可信赖的，它的作用是建立整个门限群签名系统中涉及的一些公开参数，以及为群体中的每个群成员分发秘密信息。

2.1 基于中国剩余定理的秘密共享

群中心选择正整数p0和一组两两互素数的正整数，满足，并且，将mi公开，并将其发送给各个群成员Ui.同时，群中心选择私钥s∈Zp0，并且选取一个整数α，使得。接下来，群中心计算群成员Ui分享的份额，并将si发送给群成员Ui，。

若有t个群成员要恢复密钥s，假定其份额为，通过求解

并利用中国剩余定理可得唯一解，这里，，然后通过计算，恢复密钥s。

2.2 Gap Diffie-Hellman群的定义

设有一个阶为素数P的乘法群G=，其中g为其生成元，它具有如下的两个问题：

（1）：给定群G的三个元素。

（2）： 给定G的四个元素，若他们是G中等概率选取的四个随机元素，则输出0；若满足，则输出1，并称为一个有效的DH四元组。

定义：一个素数阶群G，称它是一个GDH群，假如DDHP问题在多项式时间内是可解的，但是CDHP问题却找不到它的一个有效概率算法。本文给出的网络门限群签名方案，其安全性就是基于GDH群上CDHP问题求解的困难性[5]。

3 基于中国剩余定理的网络门限群签名方案

3.1 系统参数的设定及初始化过程

假定群体中有n个用户，每个用户Ui，都有一对RSA公钥和私钥，其中pi,qi是两个1024位的大素数，满足。

令G=为P阶GDH群(P为整数），为hash函数。群中心选取密钥s∈Zp0，然后利用预备知识中基于中国剩余定理的秘密共享方案，计算出整个群体中的所有成员的分享到的秘密份额。

由文献[3]可知t个群成员的联合，比如就可以计算出，然后恢复出群密钥，而成员少于t个时则不能恢复x。群中心秘密保存s，计算并公开y=gx，接下来群中心还要做如下一些计算：

（1）选取β1，β2,…βt并定义；

（2）计算。

在计算过程中，群中心得保证秘密选取的参数β1，β2,…βt能够使得λ1，λ2，…λt互不相等。群中心秘密保存β1，β2,…βt，把λ1，λ2，…λt作为每个群成员的签名私钥，并公布z。

在分发个体签名私钥的过程中，群中心要使用群成员Ui的RSA公钥(ni,ei)，把λi加密成，并把发送给各个群成员Ui。群成员Ui得到Ci后，使用自己的RSA私钥(pi,qi,di)把Ci解密出来得到。同时群中心把所有的个体签名验证公钥值yi=gλi公布出来。

3.2 群签名Ui的生成与验证过程

群成员Ui签名的生成过程：对消息，利用hash函数，计算出消息m的hash值H(m)∈G，则群成员Ui对消息m的签名为，然后发送签名消息给验证者。

群成员Ui签名的验证过程：验证者检查是否成立，若成立，则认为为一个有效的DH四元组，则接受为成员Ui对消息m生成的一个有效的签名。

接下来，群成员把各自的签名发送给签名收集者，由其合成一个群签名。

3.3 群签名的生成与验证

群签名的生成过程：当签名收集者收到签名消息，后，首先他使用上述的方法验证各个签名的有效性，接着计算群签名

并把四元组作为这t个群成员代表整个群对消息m生成的一个签名，接着发送群签名给验证者。

群签名的验证过程：验证者收到后，检验是否为一个有效的DH四元组，即检查，若成立，就将做为消息m的一个有效的群签名。

4 安全性分析

（1）根据文献[3][4]可知，只有当群中至少t个成员联合时，才能恢复出群私钥s，从而才能生成一个有效的群签名；而少于t个群成员时，由于无法恢复群私钥s，因此无法得到有效的群签名。

（2）从y,yi,z确定x,λi,l是困难的，这是由于求解离散对数问题的困难性。

（3）验证者只要验证是否为一个有效的DH四元组，而在GDH群上验证该问题是容易的，所以保证了验证的效率。

（4）为了验证λi确实是由群中心分发的，当群成员Ui得到个体签名私钥λi后，他首先计算yi'=gλi，看是否与群中心公开的公钥yi相等，若相等，则接受λi是由群中心发送的这个事实，将λi视为其签名私钥，yi为其公钥。群中心保存(yi,IDi)，其中IDi为群成员Ui的身份信息，这个用来确定签名者的身份。一旦发生争议时，由于群中心能够通过(yi,IDi)很容易确定签名者的身份，而其他人却无法辨别出是谁对消息m生成了签名。

5 结语

本文基于中国剩余定理所构造的秘密共享思想，采用基于GDH群上的困难问题，提出了一种新的门限群签名方案。当参与签名的成员个数少于 个时，即使份额密钥泄露也不会导致签名方案收到攻击。分析表明，该方案具有签名不可伪造性，签名验证高效性，身份可追查性等安全特性。

[1] Ghaum D,Van E Heyst.Group Signatures Proc of Euprocrypt’91.Lecture Notes in Computer Science,1991,547:257-265.

[2] Desmedt Y,Frankel Y.Shared Generation of Authenticators and signatures.In:Feigenbaum J ed Advances in cryptology-crypto’91.Proceedings Berlin:Springer-Verlag,1992,457-469.

[3] C.A.Azimuth and J.Bloom.A modular approach to key safeguardin.IEEE Transactions on Information Theory,vol.29,no.2,pp.208-210,1983.

[4] L.Harn,F.Miao,and,C.C.Chang.Verifiable secret sharing based on the Chinese remainder theorem.Security and Communication Networks.2013.

[5] Boneh D,Lynn B and Shacham H.Short Signature from the weil pairing.In Proceedings of Asiacrypt 2001,volume 2248 of LNCS.Springs-Verlag.Berlin,2001,514-532.

[6] M.Mignotte.How share a secret.in:Proceedings of the Workshop on Crytography,Heidelberg,Springer.1983,pp.371-375.

[7] C.Guo,C.C.Chang.A construction for secret sharing scheme with general access structure,J.inf.Hiding Multimedia Signal Process.4(1)(2013)1-8.

[8] 刘丹妮，王兴伟，郭磊，黄敏.一种高效的(t,n)门限群签名方案.计算机科学,Vol.38 No.1 Jan2011.

[9] Huang Dongping,Liu Duo,DaiYiqi Weighted Threshold Secret Sharing.Journal of Computer Research and Development.ISSN 1000-1239/CN11-1777/TP44(8):1378-1382,2007.

[10] 马春波，何大可.矢量空间秘密共享群签名方案.软件学报，2005.133(2):103-105.

[11] 陈泽文，张龙军，王育民，黄继武，黄达人.一种基于中国剩余定理的群签名方案.电子学报，2004，32（7）：7-10.

[12] 王贵林，卿斯汉.几个门限群签名方案的弱点.软件学报，2000,11(10)：1324-1332.

[13] 全俊杰.基于MSP秘密共享的（t,n）门限群签名方案.数学研究，2008，41(1)：65-71.