环签密方案
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(2)Key Extract。PKG 收到用户身份 后,计算用户的公钥 、私钥 ,并将 发送给用户。
(3)Anonysigncrypt。假设发送者 打算将消息 M 匿名发送给 m个不同的接收者集合 , 执行以下步骤:
1)选择一个不同于 的用户集合 (其中包括 )。
2)选择 ,计算: 。
3)选择 ,计算: , , 。'
(2)计算Diffie-Hellman 问题:随机给定一个三元组 ,其中 ,计算 。
(3)双线性Diffie-Hellman 问题:随机给定一个四元组 ,其中 ,计算 。
2.2文献[8]的环签名方案
文献[8]提出了一个匿名的环签密方案MIBAS,可以实现发送者匿名签名加密信息,同时适应多个接收者的应用环境。MIBAS 方案具体包括以下 5个步骤:
(1)Setup。给定一个安全参数 ,私钥生成器(Private KeyGenerator, PKG)选择 2个具有相同素数阶的群 、 和一个双线性映射 , 为 的生成元,PKG 的主密钥为 ,其公钥为 ,PKG , ,计算 ,选择哈希函数: , , ,t 为明文和密文的长度。则系统公共参数为param= 。
本方案如果不涉及匿名撤销的问题,就与普通环签名方案一样,并不需要环中其他成员的参与。只有在需要撤销签名者匿名性时,才需要其他环成员的协作,而且接收者和环
成员之间只需要一次交互即可,这种情况不常发生,因此,对环签名的效率影响不大。
4.2 安全性分析
本文方案是在 MIBAS 通信方案的基础上提出的。如果不考虑密钥生成和追踪签名者部分,本文方案的加密算法和验证算法的构造与 MIBAS 相似。因此,在 MIBAS 通信方案的基础上证明本文方案是安全的。
4.1.2 匿名可撤销性
当接收者 发现发送者有不诚实或其他一些破坏行为时,可通过环中所有节点的协作追踪签名者的真实身份。追踪过程的可行性分析如下:(1) 将 发送给环中各个成员。这时 要将自己的真实身份附上,以便环中成员验证,以防非法用户提出请求。(2)环成员 收到 后,先验证环签名的有效性和用户 身份的有效性,如果均有效,再根据 计算 : ,将 发送给 。此时只有环成员 可以计算 ,攻击者不可能根据 和 计算出 ,这是一个椭圆曲线离散对数问题。另外,环成员包括签名者在内,签名者如果不配合计算 ,则其将被识别出就是签名者。(3) 收齐所有 后,先通过判断等式 ,是否成立来验证 的有效性,此时,如果某个 无效,则可以向 重新索取,同时保证了 中途不被篡改,然后计算所有 之和即 ,通过验证等式 成立,即可找出 ,进而得到 。
(1)双线性。对于 ,都有 ,即对于 ,都有 。
(2)非退化性。 使得 。
(3)可计算性。对于 ,存在一个有效的算法计算 , 。
对于以上定义的群G1,可以定义以下难解问题:
(1)椭圆曲线离散对数问题(Elliptic Curve Discrete Logarithm Problem, ECDLP):给定 ,计算 a。
本文在 MIBAS 通信方案的基础上提出了一个基于双线性映射和环签名的匿名签密方案。该方案利用环签名实现了匿名签密通信,同时,由于在环签名中附加了一些与环成员相关的信息,因此在必要时可通过环中所有节点的协线性对是基于身份的密码体制中非常重要的概念,可以利用椭圆曲线上的 Weil pairing 或 Tate pairing 构造得到 。其基本思想如下:假设 是一个由 生成的循环加法群,它的阶是 , 是一个阶为 的循环乘法群,则双线性对是映射 ,它满足以下性质:
1概述
通过环签名和群签名技术实现匿名通信为节点提供隐私保护的同时,也为犯罪分子提供了利用匿名技术进行违法活动的机会,因此,在提供匿名服务的同时还应有可控的匿名机制。群签名的匿名性在必要时可通过群管理员追踪真正的签名者,而在环签名中无法揭示签名者,除非签名者本身想暴露身份或者在签名中添加额外的信息。文献[6]提出了一个可验证的环签名方案,如果真实签名者希望验证者知道自己的身份,则其可以通过透露自己掌握的秘密信息来证实自己的身份。文献[6]中提到的可验证性属于签名者主动的,而在有些场合下,比如签名者进行违法活动或有一些恶意行为时,签名者并不想暴露自己,这时就要借助第三方或在签名中附加额外信息来撤销其匿名性。本文利用环签名实现了匿名签
在 Random Oracle 模型下,MIBAS 通信方案已被证明是[8]安全的 。而从上面 3 点可知,本文方案在密钥生成阶段和签名者身份追踪阶段对 MIBAS 方案的修改并没有影响其安全性。因此,本文方案在 Random Oracle 模型下是安全的。
(1)选择环成员 (包括 )。
(2)选择 ,计算 , , , 。
(3)选择 ,计算: , , , , 。
(4)计算: , 。
(5)计算: , 。
得到密文C= 。
3.3 验证解密阶段
接收者 收到密文 C 后,执行以下步骤:(1)分别计算 , 和 ,其中, 。(2)验证 是否成立,如果成立,接着解密密文,否则,丢弃密文。(3)计算 ,则消息 。
4)计算: , 。
5)计算: , 。
6)计算: , 。'
得到密文C= 。
'
(4)Unsigncrypt。接收到密文 C 后,每个接收者 用自己的私钥解密密文 C,执行以下步骤:1)计算 , ,其中, , 。2)如果 验证成立,计算: ,通过计算 ,获得明文 M,否则,输出 ,表示失败。
(5) Consistency。签名有效性验证及明文获取过程的证明如下:
3.1 系统初始化及密钥生成阶段
设 是由生成元 生成的阶为素数 的加法群, 是阶为 的乘法群, 是双线性对。系统秘密参数 , ,哈希函数设置为: , , ,t 为明文和密文的长度,系统公共参数为param= 。
网络中节点选择随机数 ,计算公钥 、私钥 ,并在网内广播 。
3.2 加密签名阶段
假设发送者 向接收者 匿名发送消息 , 执行以下步骤:
3.5正确性分析
如上文所述,接收者要验证环签名的有效性,只要证明 成立即可,具体证明过程如下:
环签名如验证有效,即可解密密文,解密证明过程如下:
追踪过程中涉及的证明如下:
(1) 的有效性
(2)追踪过程
以上等式成立,即可找出 ,进而得到 。
4 匿名性和安全性分析
4.1 匿名性分析
4.1.1 匿名性与私密性
3 新的可追踪签名者的环签密方案
本文基于文献[8]的匿名签密方案提出了一个新的可追踪签名者的环签密方案。该方案利用环签名实现匿名签密通信,同时在环签名中附加一些额外的信息,在必要时可通过环中所有节点的协作追踪签名者的真实身份,解决了原方案中签名者身份无法追踪的问题。该方案由系统初始化、密钥生成、加解密并验证、追踪 4个部分组成。
首先,环签名本身的特性决定了签名者的匿名性。其次,加密过程中引入的随机数之和 提供了对签名者密钥私密性的保护。对于同一个明文,2次加密使用相同的 值的概率是 ,这是可以忽略的,即得到的密文是不相同的,因此,攻击者很难通过分析密文来识别加密密钥。再次,方案中得到的环签名可以由任意其他节点来验证有效性,但只有指定的接收节点才能利用自己的私钥解密得到明文。
3.4 追踪签名者阶段
当接收者 发现发送者有不诚实或其他一些破坏行为时,可通过环中所有节点的协作来追踪签名者的真实身份,步骤如下:
(1) 将 发送给环中各个成员。
(2)环成员 收到 后,验证环签名的有效性,过程同上,如果签名有效,再根据 计算 : ,将 发送给 。
(3) 收齐所有 后,首先通过判断等式 , 是否成立来验证 的有效性,如果 均有效,则计算 ,逐一代入 ,验证等式 成立,即可找出 ,进而得到 。
定理 本文方案在 Random Oracle 模型下是安全的。
证明:首先假设 MIBAS 通信方案是安全的。在安全性方面,本方案对 MIBAS 本质上的修改是在密钥生成阶段和签名者身份追踪阶段。因此,要证明本方案是安全的,只要证明在密钥生成阶段和签名者身份追踪阶段的变化并不影响其安全性:(1)本文方案采用了无证书的公钥密码体制,不同于 MIBAS 方案中基于身份的密码体制,这 2 种密码体制只是影响了节点公钥、私钥的生成方式,在无证书的公钥密码体制中,节点的公钥、私钥都由节点自己产生,管理节点只是生成节点的部分私钥,而在基于身份的公钥密码体制中,用户的私钥完全由可信中心生成,存在密钥托管的问题。本文采用的无证书的公钥密码体制解决了密钥托管问题,同时对签密信息的生成没有影响。(2)MIBAS 方案是针对多个接收者设计的,本文方案在引用时只考虑了单个接收者的情况,所以,对原方案进行了相应的修改,这种修改不改变原方案的正确性,只是原方案的一个特例。本文方案中 g 值的设置也与原方案略有不同,由原来的 修改为 .但这种改变不影响原方案的正确性。(3)本文方案中独立于MIBAS 方案的追踪模块也是安全的,其只是在环签名中附加了额外的信息,对原方案没有影响。另外,只有在环中所有成员协助的情况下才能追踪出真正的签名者,其他节点无法随意实施追踪,从而避免了追踪的滥用。
(3)Anonysigncrypt。假设发送者 打算将消息 M 匿名发送给 m个不同的接收者集合 , 执行以下步骤:
1)选择一个不同于 的用户集合 (其中包括 )。
2)选择 ,计算: 。
3)选择 ,计算: , , 。'
(2)计算Diffie-Hellman 问题:随机给定一个三元组 ,其中 ,计算 。
(3)双线性Diffie-Hellman 问题:随机给定一个四元组 ,其中 ,计算 。
2.2文献[8]的环签名方案
文献[8]提出了一个匿名的环签密方案MIBAS,可以实现发送者匿名签名加密信息,同时适应多个接收者的应用环境。MIBAS 方案具体包括以下 5个步骤:
(1)Setup。给定一个安全参数 ,私钥生成器(Private KeyGenerator, PKG)选择 2个具有相同素数阶的群 、 和一个双线性映射 , 为 的生成元,PKG 的主密钥为 ,其公钥为 ,PKG , ,计算 ,选择哈希函数: , , ,t 为明文和密文的长度。则系统公共参数为param= 。
本方案如果不涉及匿名撤销的问题,就与普通环签名方案一样,并不需要环中其他成员的参与。只有在需要撤销签名者匿名性时,才需要其他环成员的协作,而且接收者和环
成员之间只需要一次交互即可,这种情况不常发生,因此,对环签名的效率影响不大。
4.2 安全性分析
本文方案是在 MIBAS 通信方案的基础上提出的。如果不考虑密钥生成和追踪签名者部分,本文方案的加密算法和验证算法的构造与 MIBAS 相似。因此,在 MIBAS 通信方案的基础上证明本文方案是安全的。
4.1.2 匿名可撤销性
当接收者 发现发送者有不诚实或其他一些破坏行为时,可通过环中所有节点的协作追踪签名者的真实身份。追踪过程的可行性分析如下:(1) 将 发送给环中各个成员。这时 要将自己的真实身份附上,以便环中成员验证,以防非法用户提出请求。(2)环成员 收到 后,先验证环签名的有效性和用户 身份的有效性,如果均有效,再根据 计算 : ,将 发送给 。此时只有环成员 可以计算 ,攻击者不可能根据 和 计算出 ,这是一个椭圆曲线离散对数问题。另外,环成员包括签名者在内,签名者如果不配合计算 ,则其将被识别出就是签名者。(3) 收齐所有 后,先通过判断等式 ,是否成立来验证 的有效性,此时,如果某个 无效,则可以向 重新索取,同时保证了 中途不被篡改,然后计算所有 之和即 ,通过验证等式 成立,即可找出 ,进而得到 。
(1)双线性。对于 ,都有 ,即对于 ,都有 。
(2)非退化性。 使得 。
(3)可计算性。对于 ,存在一个有效的算法计算 , 。
对于以上定义的群G1,可以定义以下难解问题:
(1)椭圆曲线离散对数问题(Elliptic Curve Discrete Logarithm Problem, ECDLP):给定 ,计算 a。
本文在 MIBAS 通信方案的基础上提出了一个基于双线性映射和环签名的匿名签密方案。该方案利用环签名实现了匿名签密通信,同时,由于在环签名中附加了一些与环成员相关的信息,因此在必要时可通过环中所有节点的协线性对是基于身份的密码体制中非常重要的概念,可以利用椭圆曲线上的 Weil pairing 或 Tate pairing 构造得到 。其基本思想如下:假设 是一个由 生成的循环加法群,它的阶是 , 是一个阶为 的循环乘法群,则双线性对是映射 ,它满足以下性质:
1概述
通过环签名和群签名技术实现匿名通信为节点提供隐私保护的同时,也为犯罪分子提供了利用匿名技术进行违法活动的机会,因此,在提供匿名服务的同时还应有可控的匿名机制。群签名的匿名性在必要时可通过群管理员追踪真正的签名者,而在环签名中无法揭示签名者,除非签名者本身想暴露身份或者在签名中添加额外的信息。文献[6]提出了一个可验证的环签名方案,如果真实签名者希望验证者知道自己的身份,则其可以通过透露自己掌握的秘密信息来证实自己的身份。文献[6]中提到的可验证性属于签名者主动的,而在有些场合下,比如签名者进行违法活动或有一些恶意行为时,签名者并不想暴露自己,这时就要借助第三方或在签名中附加额外信息来撤销其匿名性。本文利用环签名实现了匿名签
在 Random Oracle 模型下,MIBAS 通信方案已被证明是[8]安全的 。而从上面 3 点可知,本文方案在密钥生成阶段和签名者身份追踪阶段对 MIBAS 方案的修改并没有影响其安全性。因此,本文方案在 Random Oracle 模型下是安全的。
(1)选择环成员 (包括 )。
(2)选择 ,计算 , , , 。
(3)选择 ,计算: , , , , 。
(4)计算: , 。
(5)计算: , 。
得到密文C= 。
3.3 验证解密阶段
接收者 收到密文 C 后,执行以下步骤:(1)分别计算 , 和 ,其中, 。(2)验证 是否成立,如果成立,接着解密密文,否则,丢弃密文。(3)计算 ,则消息 。
4)计算: , 。
5)计算: , 。
6)计算: , 。'
得到密文C= 。
'
(4)Unsigncrypt。接收到密文 C 后,每个接收者 用自己的私钥解密密文 C,执行以下步骤:1)计算 , ,其中, , 。2)如果 验证成立,计算: ,通过计算 ,获得明文 M,否则,输出 ,表示失败。
(5) Consistency。签名有效性验证及明文获取过程的证明如下:
3.1 系统初始化及密钥生成阶段
设 是由生成元 生成的阶为素数 的加法群, 是阶为 的乘法群, 是双线性对。系统秘密参数 , ,哈希函数设置为: , , ,t 为明文和密文的长度,系统公共参数为param= 。
网络中节点选择随机数 ,计算公钥 、私钥 ,并在网内广播 。
3.2 加密签名阶段
假设发送者 向接收者 匿名发送消息 , 执行以下步骤:
3.5正确性分析
如上文所述,接收者要验证环签名的有效性,只要证明 成立即可,具体证明过程如下:
环签名如验证有效,即可解密密文,解密证明过程如下:
追踪过程中涉及的证明如下:
(1) 的有效性
(2)追踪过程
以上等式成立,即可找出 ,进而得到 。
4 匿名性和安全性分析
4.1 匿名性分析
4.1.1 匿名性与私密性
3 新的可追踪签名者的环签密方案
本文基于文献[8]的匿名签密方案提出了一个新的可追踪签名者的环签密方案。该方案利用环签名实现匿名签密通信,同时在环签名中附加一些额外的信息,在必要时可通过环中所有节点的协作追踪签名者的真实身份,解决了原方案中签名者身份无法追踪的问题。该方案由系统初始化、密钥生成、加解密并验证、追踪 4个部分组成。
首先,环签名本身的特性决定了签名者的匿名性。其次,加密过程中引入的随机数之和 提供了对签名者密钥私密性的保护。对于同一个明文,2次加密使用相同的 值的概率是 ,这是可以忽略的,即得到的密文是不相同的,因此,攻击者很难通过分析密文来识别加密密钥。再次,方案中得到的环签名可以由任意其他节点来验证有效性,但只有指定的接收节点才能利用自己的私钥解密得到明文。
3.4 追踪签名者阶段
当接收者 发现发送者有不诚实或其他一些破坏行为时,可通过环中所有节点的协作来追踪签名者的真实身份,步骤如下:
(1) 将 发送给环中各个成员。
(2)环成员 收到 后,验证环签名的有效性,过程同上,如果签名有效,再根据 计算 : ,将 发送给 。
(3) 收齐所有 后,首先通过判断等式 , 是否成立来验证 的有效性,如果 均有效,则计算 ,逐一代入 ,验证等式 成立,即可找出 ,进而得到 。
定理 本文方案在 Random Oracle 模型下是安全的。
证明:首先假设 MIBAS 通信方案是安全的。在安全性方面,本方案对 MIBAS 本质上的修改是在密钥生成阶段和签名者身份追踪阶段。因此,要证明本方案是安全的,只要证明在密钥生成阶段和签名者身份追踪阶段的变化并不影响其安全性:(1)本文方案采用了无证书的公钥密码体制,不同于 MIBAS 方案中基于身份的密码体制,这 2 种密码体制只是影响了节点公钥、私钥的生成方式,在无证书的公钥密码体制中,节点的公钥、私钥都由节点自己产生,管理节点只是生成节点的部分私钥,而在基于身份的公钥密码体制中,用户的私钥完全由可信中心生成,存在密钥托管的问题。本文采用的无证书的公钥密码体制解决了密钥托管问题,同时对签密信息的生成没有影响。(2)MIBAS 方案是针对多个接收者设计的,本文方案在引用时只考虑了单个接收者的情况,所以,对原方案进行了相应的修改,这种修改不改变原方案的正确性,只是原方案的一个特例。本文方案中 g 值的设置也与原方案略有不同,由原来的 修改为 .但这种改变不影响原方案的正确性。(3)本文方案中独立于MIBAS 方案的追踪模块也是安全的,其只是在环签名中附加了额外的信息,对原方案没有影响。另外,只有在环中所有成员协助的情况下才能追踪出真正的签名者,其他节点无法随意实施追踪,从而避免了追踪的滥用。