门限群签名的改善设计方案介绍

门限签名是现代电子商务一种重要的数字签名。基于Hess签名的一个变体签名方案，提出了一个有效的基于身份的门限数字签名方案。为了提高方案的安全性，提出的方案利用Shamir秘密共享技术共享一个用户的私钥，而不是共享密钥生成中心的主密钥。利用Gennaro可模拟的思想，证明了提出的方案具有健壮性和不可伪造性，故提出的方案是安全的。与Cheng等人最近提出的方案相比，新方案具有更高的计算效率。

自1991年DESMEDT F首次提出门限签名方案以来，门限签名引起了密码学界的广泛关注和研究，并且提出了各种各样的（t，n）门限群签名方案，也对这些方案提出了很多攻击方法和改进措施。与普通的数字签名相比，由于门限群签名需要多方参与，其安全性和健壮性有了很大的提高；与群签名相比，门限签名具有易操作性和方便性。

椭圆曲线密码体制ECC（ElliptIC Curve Cryptography）[3-5]的安全性是基于椭圆曲线上离散对数问题ECDLP（Ellip tic Curve Discrete Logarithm Problem）的。与其他公钥密码相比，椭圆曲线具有每比特数据最高的安全强度，这样的好处是计算参数更小、密钥更短、运算速度更快、签名也更加短小。

（t，n）门限群签名方案不能抵抗合谋攻击和伪造攻击，也不具备可追踪性。本文针对这些问题对上述方案进行了改进，提出了一种基于椭圆曲线的可追踪门限数字签名方案。该方案以椭圆曲线为基础，采用二次签名等方式，可有效地避免所暴露的缺陷和不足。

1 椭圆曲线的可追踪门限签名方案

该方案根据分工不同，有三种角色，即签名者、签名组合者和秘密处理者。

签名者pi进行门限签名操作。用集合T={p1、p2、p3…pn}表示由n个签名者组成的签名者群体。该方案主要由参数选择、子密钥产生过程、签名过程、签名验证和事后追踪等5个部分组成。

签名组合者C，收集单个签名者的操作结果，然后将收集的数据进行验证并组合。C同时是群签名消息的唯一发布者，C自选一个合适的签名体制（称为群签名消息发布签名系统）来对群签名消息再次签名。这样通过将群签名消息的发布权进行控制以提高系统安全。C保留其私钥Dc，公开公钥Ec。

秘密处理者D，即可信任中心，主要是在系统初始化阶段处理、协调系统参数设置和子密钥分配等操作。一旦系统初始化成功则退出签名系统。

否则该等式不成立。因此C可利用该等式对各签名者身份的真实性进行判断。

2.2 抗群内成员合谋攻击

由于本方案采用了二次签名的方式，同时签名者的选取是由C来完成的，因此可以有效地抵抗T内成员的合谋攻击。在整个签名过程中C都必须参与其中。签名者的选取必须由C来完成，bi和g’（0）等数据计算要C来完成，S的合成也要由C来完成。即使假设在这些过程中合谋者绕过C来进行，不要C的参与，T内成员的合谋也是不可能成功的。这是因为群签名消息的发布权限完全是局限在C的身上，没有C的参与，T内的成员是无法产生有效的群签名消息的。因此没有最后一步C的签名，接收者可以立即发现该签名消息异常，从而拒绝该签名。

2.3 抗C伪造签名攻击

由于在本方案中，C只是对签名过程进行组织以及对签名消息进行发布，他除了掌握签名发布密钥外并不掌握系统其他的任何密钥，即C不能获取到签名者的私有密钥di，也就是不能伪造T内成员进行签名。同时也不能通过构建多项式获取群的私钥d。这是因为，在Lagrange公式中要恢复d必须要有t个签名者的私钥di和身份标志ui。而C只能获得签名者的身份标志，但是不能获得签名者的私钥。同时，由于在本方案中对群签名消息发布的权限进行了绑定和限制，整个群消息的发布只能是C来完成。因此，如果C和T内的t个成员进行合谋对某个文件m′进行非法签名，在事后追查时，则首先就可以确定C是参与了m′的签名。这是因为只有C知道他自己的私钥Dc，别人不得而知，其他人也就不能对群签名消息进行发布。因此，只要接收者公布其接收到对m′的签名消息，仲裁者就可以通过验证确认C是否参与了合谋。一旦发现C参与了合谋就必须对其进行严厉的制裁，使其承担所有责任。因此，通过绑定群签名消息的发布权限在C身上，采用二次签名的方式从实际上阻止了合谋攻击。

2.4 抗群外人员选择消息攻击

选择消息攻击是指攻击者通过分析签名群体对多个消息的签名，从而构造出对另一消息（设为N）的有效签名[7]。

攻击者可从签名者群体公开的参数和发送的数据得到以下信息：E，P，Q，q，g（x），H（），S，r。如果群体外攻击者要对消息N构造出一个有效的签名，则必须通过对以前的签名进行分析（假设以对消息m的签名进行分析为例），以构造一个S0、e0和g0（x）。攻击者将面临以下难题：

本文提出了一个基于椭圆曲线的可追踪（t，n）门限数字签名方案，并进行了安全性分析。在本方案中，只有秘密共享阶段需要保密通信，在签名和验证过程中都不需要进行保密通信，这样可以保证方案方便使用。基于椭圆曲线密码体制保证了方案的安全性。通过将群签名消息的权限绑定在C身上，采用二次签名的方式，不仅可以抵抗外部成员的攻击，也可以有效地抵抗T集合内部成员的合谋攻击，同时还可以有效地防止签名组织者C的攻击。