CN109413078A - 一种基于标准模型下群签名的匿名认证方案 - Google Patents

Abstract

本发明涉及一种基于标准模型下群签名的匿名认证方案，属于网络信息安全领域。其能够满足平台之间的匿名认证要求和远程证明的匿名认证算法。包括：步骤1：发布者生成系统参数,群公钥及发布者私钥。步骤2：为群管理员GM及群成员A提取密钥。步骤3：当用户i要对一个消息m进行群签名时，首先重新随机化他的证书，生成密钥对；用自己的群签名密钥对消息m，成员证书，强一次签名的验证密钥进行签名，并给出零知识证明。步骤4：接收方收到该签名后，对签名及用户身份证书进行验证，若身份和签名都满足验证等式，则验证通过，接受签名，否则拒绝。步骤5：当群成员发生纠纷时，群管理员GM打开群成员证书返回i，证据，从而确定群成员身份。

Description

一种基于标准模型下群签名的匿名认证方案

技术领域

本发明涉及一种基于标准模型下群签名的匿名认证方案，属于网络信息安全领域。

背景技术

随着电子技术与网络技术的不断发展，人们对网络的依赖性越来越强，特别是通信技术已经成为人们生活中不可或缺的一部分，网络与信息安全也随着技术的发展而日益受到广泛的关注。在群签名体制中，一些签名成员构成一个群，每个成员有不同的签名密钥，签名密钥和群中唯一的群公钥相对应。群中任何一个成员都可以代表这个群对消息进行签名，验证者可以利用群公钥来检验签名的有效性，但无法从一个群签名中确定签名者的身份。当发生纠纷时，能且只能由群中负责打开签名的管理员追踪出签名者的身份。这种签名体制，主要用于保护签名者的匿名性，能够很好地隐藏群中的内部结构，可适用于政府管理、企业管理、电子商务以及军事等领域，比如电子现金、电子投标、车辆安全通信等。自从引入这种密码认证机制以来，已经提出了几种方案，但是只有少数方案在标准模型中有安全性。此外，在标准模型中提供的那些提供了对非标准假设的依赖，或者所产生的签名的昂贵的成本和带宽。

自从引入以来，已经引入了许多群签名应该满足的安全性质，直到Bellare，Micciancio和Warinschi提供了适当的定义并且形式化了以前作品的直观的非正式要求。事实上，他们提出了静态群的两个属性，即完全匿名性和完全可追溯性，满足所有以前的要求。

完全匿名性要求群签名不显示关于签名者的信息，即使存在一个强大的对手有权访问开放的预言和所有用户的密钥。完全可追溯性要求群管理者总是能够识别有效群签名的签名者或联合发布的成员。

Bellare，Shi和Zhang将这些概念扩展到动态群，并增加了不可陷害的概念，即使是不诚实的群管理者和多个群体成员联合起来也不能虚假地指控诚实用户发布了群签名。Boneh和Shacham提出了一个较弱的匿名概念，称为不包括自己的匿名性selessanonymity，其中签名者可以追踪自己的签名。

大多数已经提出的实用的群签名方案在随机预言模型(ROM)中证明了安全性，ROM的效率比标准模型比效率更好，但是ROM存在着固有的缺陷，即现实中哈希函数无法实现完全随机。Ateniese等人在标准模型中给出了高效的群签名方案，但是是在非标准假设下证明的其安全性。在2007年，Groth给出了第一个在标准模型中实现完全匿名有效的方案，其中群签名的大小约为50个元素。群签名的大小过大。

发明内容

本发明就是针对现有技术存在的缺陷，本发明的目的在标准假设下的标准模型中被证明是安全的，这改进了签名验证所需的群签名的大小和配对的数量，同时保持密钥和群签名的恒定大小。本发明克服了现有技术的缺陷，提供一种算法复杂度较低，能够满足平台之间的匿名认证要求和远程证明的匿名认证算法。

为实现上述目的，本发明采用如下技术方案，其特征在于，包括以下步骤：

步骤1：发布者运行系统初始化算法，生成系统参数gk，群公钥gpk及发布者私钥sk_cert，具体包括以下步骤：

步骤1-1：发布者生成系统参数gk，gk：(G₁，G₂，G_T，e，g₁，g₂)，其中G₁，G₂为椭圆曲线上两个阶为素数p的乘法循环群，e为其上的一个非退化的双线性映射，它把G₁，G₂中的元素映射到G_T，即e：G₁×G₂→G_T。g₁为G₁中的一个随机元素，g₂为G₂中的一个随机元素；

步骤1-2：为gk：(G₁，G₂，G_T，e，g₁，g₂)生成Groth-Sahai证明系统的通用参考字符串crS；

步骤1-3：运行参数密钥生成算法∑_cert，生成发布者issue的私钥和公钥sk_cert，pk_cert，群公钥gpk包括(gk，pk_cert，crs，reg)，其中reg为群的公共存储器，其中包含用户ID：i及其公钥upk_i；

步骤2：为群管理员GM及群成员A提取密钥，系统参数由上述步骤1的发布者生成，并且每个用户i都使用签名方案∑₀生成了一个用户密钥对(usk_i；upk_i)；在上述Keygen算法的最后，发行者保留其私钥sk_cert；当一个新成员加入该群时，使用签名方案∑₁创建一个密钥对(sk_i；vk_i)，然后为sk_i生成一个证书σ_cert(i)(使用用于获得承诺值签名的协议)用于证明群成员身份，最后发送vk_i和其一个签名(使用用户私钥usk_i)给群管理者，将其记录在秘密寄存器Sreg中；

步骤2-1：群成员中的每个用户i都各自运行签名方案∑₀的密钥生成算法为自己生成一个个人密钥对(usk_i；upk_i)，其中usk_i是用户i的个人私钥，其中upk_i是与i相关联的且公开；

步骤2-2：当一个新用户加入该群时，他使用签名方案∑₁生成一个群签名密钥对(sk_i；vk_i)，其中sk_i是用户i的群签名密钥，用于用户i对其要发送的消息进行签名；vk_i是用户i的证明密钥，用于接收方验证该消息的签名的有效性；

然后发布者利用其步骤1中生成的私钥sk_cert用∑_cert算法为用户i的群签名密钥sk_i生成一个成员证书σ_cert(i)(使用用于获得承诺值签名的协议σ_cert(i)←∑_cert·comSign(sk_cert，Commit(ski)，π)；

步骤2-3：最后用户i利用∑₀的签名算法使用其个人私钥usk_i对其证明密钥vk_i进行签名生成签名值σ_i；

然后用户i将证明密钥vk_i和签名值σ_i发送给群管理者GM，群管理者GM将其记录在他的秘密寄存器Sreg中；

步骤3：当用户i要对一个消息m进行群签名时，他首先重新随机化他的证书σ_cert(i)并且生成用于强一次签名的密钥对(sk_ots；vk_ots)；然后，用户用自己的群签名密钥ski对m，成员证书σ_cert(i)，强一次签名的验证密钥vk_ots进行签名，并给出知识的非交互式零知识证明，用来证明是使用sk_i进行的有效的签名，步骤如下：

步骤3-1：用户i重新随机化他的证书σ_cert(i)，生成签名的密钥对(sk_ots；vk_ots)；

σ_cert(i)←∑_cert.sigRand(σ_cert(i))；(sk_ots，vk_ots)←∑_ots.keygen

步骤3-2：用户i使用其群签名密钥ski对消息m，成员证书σ_cert(i)，验证密钥vk_ots进行签名；

(a，b，c)←∑₁.sign(sk_i，m||vk_ots||σ_cert(i))

并给出知识的非交互式零知识证明，来证明证书是使用sk_i进行的有效的签名；

π←POK{(sk_i)：(a，b，c)＝∑₁.sign(sk_i，m||vk_ots||σ_cert(i))∧

σ_cert(i)＝∑_cert.sign(sk_cert，sk_i)}(m，(a，b，c)，σ_cert(i))

步骤3-3：利用上述的结果生成消息m的签名值μ；

σ_ots←∑_ots.sign(sk_ots，a||π)

μ←(m，vk_ots，σ_ots，(a，b，c)，σ_cert(i)，π)

步骤4：接收方收到该签名后，对签名μ＝(m，vk_ots，σ_ots，(a，b，c)，σ_cert(i)，π)及用户身份证书进行验证，若身份和签名都满足验证等式，则验证通过，接受签名，否则拒绝；

步骤5：当群成员发生纠纷时，群管理员GM利用其私钥SK_M及群秘密存储器和群成员A产生的签名μ打开群成员证书返回i，证据T，从而确定群成员身份。

与现有技术相比本发明有益效果。

1.发明方案建立在椭圆曲线密码体制模型上，改进了签名验证所需的群签名的大小和配对的数量，同时保持密钥和群签名的恒定大小，大大简化了计算量。

2.在方案中的证书签名体制，用户将生成一个非交互零知识证明(NIZK)来证明该消息使用的签名密钥是有保证的，这减少了验证时成员之间交互的开销。

3.不可伪造性，为了防止任何其他人随机化他的群签名，用户对其中的一些元素进行强一次性签名算法。发明方案可抵抗这类攻击。

4.本方案的安全性不依赖于随机预言机，故不存在大部分随机预言模型(ROM)存在的固有缺陷。

附图说明

下面结合附图和具体实施方式对本发明做进一步说明。本发明保护范围不仅局限于以下内容的表述。

图1是本发明各步骤示意图。

图2是本发明从生成签名密钥到签名验证的流程图。

具体实施方式

如图1-2所示，本发明采用的方案是零知识证明，基于了Camenisch-Lysyanskaya签名方案，吸收了群签名、身份托管等技术的优点，在实现验证用户身份的同时，又保护了用户隐私，其根本思想是运用了零知识证明(Zero Knowledge Proof)。在零知识证明中，一个人无需揭开某个秘密也可以向其他人证明自己知道这个秘密。

本发明包括该方案中涉及的主体为一些处理特定操作步骤的连接在网络中计算机节点，包括发布者issue、群管理员GM及群成员A，所使用的数字签名方案有∑₀，∑₁，∑_cert，∑_ots。每个签名方案中均包括密钥生成算法keygen，签名算法sign，验证算法verify。

∑₀：一个保持结构的签名方法，用于生成成员的个人密钥对。包括密钥生成算法keygen，签名算法sign，验证算法verify；

∑₁：一个数字签名方案，用于生成成员的群签名密钥。包括密钥生成算法keygen，签名算法sign，验证算法verify；

∑_cert：一个对承诺值的可重新随机化数字签名方案，用于生成成员的证书，证明群成员身份。包括密钥生成算法keygen，签名算法sign，承诺值签名算法comSign，签名随机化算法signRand，验证算法verify；

∑_ots：一个数字签名方案，用于生成成员的强一次签名密钥。包括密钥生成算法keygen，签名算法sign，验证算法verify；

具体包括以下步骤：

步骤1(S1)：发布者运行系统初始化算法，生成系统参数gk，群公钥gpk及发布者私钥sk_cert，其中包括以下步骤：

步骤1-1：选取椭圆曲线上两个阶为素数p的乘法循环群G₁，G₂，以及一个非退化的双线性映射e，它把G₁，G₂中的元素映射到G_T，即e：G₁×G₂→G_T。并随机选择G₁，G₂中的元素g₁，g₂。在本系统中选取G₁≠G₂，且从G₂到G₁存在一个有效的可计算的同态映射：ψ：G₂→G₁；系统参数为gk：(G₁，G₂，G_T，e，g₁，g₂)

步骤1-2：为gk：(G₁，G₂，G_T，e，g₁，g₂)生成Groth-Sahai证明系统的通用参考字符串crs；

步骤1-3：运用上述的系统参数gk运行参数密钥生成算法∑_cert，生成发布者issue的私钥和公钥sk_cert，pk_cert，则群公钥gpk包括(gk，pk_cert，crs，reg)。其中reg为群的公共存储器，用来存储用户ID：i及其公钥upk_i；

步骤2(S2)：群管理员GM及群成员A的密钥提取过程，系统参数由上述可信方生成，并且每个用户i都使用签名方案∑₀生成了一个用户密钥对(usk_i；upk_i)。当一个新成员加入该群时，他使用签名方案∑₁创建一个密钥对(sk_i；vk_i)，然后为ski生成一个证书σ_cert(i)(使用用于获得承诺值签名的协议)用于证明群成员身份，最后发送vk_i和其一个签名(使用用户私钥usk_i)给群管理者，将其记录在他的秘密寄存器Sreg中；

步骤2-1：运行签名方案∑₀的密钥生成算法为每个用户i生成一个密钥对(usk_i；upk_i)，其中usk_i是用户i的个人私钥，其中upk_i是与i相关联的且公开；

步骤2-2：当一个新成员加入该群时，他使用签名方案∑₁创建一个密钥对(sk_i；vk_i)，其中sk_i是用户i的群签名密钥，用于用户i对其要发送的消息进行签名；vk_i是用户i的证明密钥，用于接收方验证该消息的签名的有效性；

所采用∑₁具体如下：

Keygen：随机选择Z_p中元素α，β，计算公钥为(X，Y)，私钥为(α，β)；

Sign(sk，m)：随机选择G₁中元素a，计算签名值σ＝(a，a^β，a^α+mαβ)；

Verify(vk，m，σ)：签名值为σ＝(a，b，c)，验证以下等式是否成立，e(a，Y)＝e(b，g₂)e(a，X)·e(b，X)^m＝e(c，g₂)；

步骤2-3：发布者利用其私钥sk_cert用∑_cert为用户i的承诺值sk_i生成一个证书σ_cert(i)(使用承诺值签名算法σ_cert(i)←∑_cert·comsign(sk_cert，Commit(sk_i)，π)；

所采用∑_cert如下：

Keygen：随机选择Z_p中元素α，β，z_i，计算公钥为(X，Y，Z_i)，私钥为(α，β，z_i)；

Sign(sk，(m₀，m₁，…，m_l))：随机选择G₁中元素a，计算签名值σ＝(a，{A_i}，b，{B_i}，c)；

Verify(vk，m，σ)：验证以下等式是否成立，

步骤2-4：用户i用∑₀的签名算法利用其个人私钥usk_i对证明密钥vk_i进行签名生成签名值σ_i；σ_i←∑₀·Sign(usk_i，vk_i)；

步骤2-5：用户i将其证明密钥vk_i和证明密钥的签名值σ_i发送给群管理者GM，以此来确定证明密钥vk_i所对应的用户身份；

步骤2-6：群管理者GM根据用户i发送的证明密钥vk_i和其签名值σ_i确定证明密钥vk_i的有效性，并将用户i的证明密钥vk_i记录在他的秘密寄存器Sreg中，其中用户i和证明密钥vk_i为一一对应的，留在群管理者开启签名时使用；

步骤3(S3)：当用户i要对一个消息m进行群签名时，他首先重新随机化他的证书σ_cert(i)并且生成用于强一次签名的密钥对(sk_ots；vk_ots)。然后，他用自已的群签名密钥sk_i对m，成员证书σ_cert(i)，强一次签名的验证密钥vk_ots进行签名，并给出知识的非交互式零知识证明，用来证明是使用sk_i进行的有效的签名。为了防止故手随机化签名或非交互证明，用户将用强一次性签名对它们签名；

步骤3-1：用户i首先重新随机化他的证书σ_cert(i)：

σ_cert(i)←∑_cert.sigRand(σ_cert(i))

步骤3-2：用户i使用∑_ots生成签名的密钥对(sk_ots；vk_ots)；

(sk_ots，vk_ots)←∑_ots.keygen

所采用∑_ots如下：

Keygen：随机选择Z_p中元素x，计算公钥vk_ots为(g₁，g₂，v，z)，私钥sk_ots为(x)；

Sign(sk_ots，m)：计算签名值

Verify(vk_ots，m，σ)：验证以下等式是否成立，

步骤3-3：用户i便用其群签名密钥sk_i对消息m，强一次签名公钥vk_ots，证书进行签名，

(a，b，c)←∑₁.sign(sk_i，m||vk_ots||σ_cert(i))

给出知识的非交互式零知识证明，证书是sk_i有效的签名；

π←POK{(sk_i)：(a，b，c)＝∑₁.sign(sk_i，m||vk_ots||a_cert(i))∧

σ_cert(i)＝∑_cert.sign(sk_cert，sk_i)}(m，(a，b，c)，σ_cert(i))

步骤3-4：用户i根据上述结果生成消息m的签名值μ；

σ_ots←∑_ots.sign(sk_ots，a||π)

μ←(m，vk_ots，σ_ots，(a，b，c)，σ_cert(i)，π)

步骤4(S4)：接收方收到签名μ后，对签名μ＝(m，vk_ots，σ_ots，(a，b，c)，σ_cert(i)，π)及用户身份证书进行验证，若签名密钥和证书和签名值都满足验证等式，则验证通过，接受签名，否则拒绝；

步骤4-1：使用发布者提供的公共参考串crs，证明π，验证签名密钥和证书的有效性，若V_NI(crs，μ，m，π)＝1则通过；

步骤4-2：使用强一次签名公钥vk_ots验证消息m签名值的有效性，若∑_ots.verify(vk_ots，σ_ots，a||π)＝1则通过；

步骤5(S5)：当群成员发生纠纷时，需要对用户的身份进行追踪，群管理员GM可以利用其私钥SK_M及群秘密存储器Sreg和群成员A产生的签名μ打开群成员证书返回i，证据T，从而确定群成员身份；

步骤5-1：将要打开的签名μ写成如下形式：

μ＝(m，vk_ots，σ_ots，σ₁，σ_cert，π)：

群管理员根据其秘密存储器Sreg中存储的用户证明密钥vk_i来验证如下等式是否成立∑₁.verify(vk_i，m||vk_ots||σ_cert，σ₁)＝1。若成立，则返回用户i及证据T。

步骤5-2：群管理员根据其秘密存储器Sreg中存储的用户i的证明密钥vk_i和其签名值σ_i与其公共存储器reg中存储的用户ID和其个人公钥upk_i来验证如下等式T←POK{(vk_i，σ_i)：∑₁.verify(vk_i，m||vk_ots||σ_cert，σ₁)＝1∧

∑₀.verify(upk_i，vk_i，σ_i)＝1}(m，μ，reg)

步骤5-3：群管理员根据储存的成员信息查找到成员身份后，任何成员都不可抵赖。

可以理解的是，以上关于本发明的具体描述，仅用于说明本发明而并非受限于本发明实施例所描述的技术方案，本领域的普通技术人员应当理解，仍然可以对本发明进行修改或等同替换，以达到相同的技术效果；只要满足使用需要，都在本发明的保护范围之内。

Claims (4)

1.一种基于标准模型下群签名的匿名认证方案，其特征在于，包括以下步骤：

步骤1：发布者运行系统初始化算法，生成系统参数gk,群公钥gpk及发布者私钥sk_cert；

步骤2：为群管理员GM及群成员A提取密钥，系统参数由上述步骤1的发布者生成，并且每个用户i都使用签名方案∑₀生成了一个用户密钥对(usk_i；upk_i)；在上述Keygen算法的最后，发行者保留其私钥sk_cert；当一个新成员加入该群时，使用签名方案∑₁创建一个密钥对(sk_i；vk_i)，然后为sk_i生成一个证书σ_cert(i)用于证明群成员身份，最后发送vk_i和其一个签名给群管理者，将其记录在秘密寄存器Sreg中；

步骤3：当用户i要对一个消息m进行群签名时，首先重新随机化其证书σ_cert(i)并且生成用于强一次签名的密钥对(sk_ots；vk_ots)；然后，用户用自己的群签名密钥sk_i对m，成员证书σ_cert(i)，强一次签名的验证密钥vk_ots进行签名，并给出知识的非交互式零知识证明，用来证明是使用sk_i进行的有效的签名；

步骤4：接收方收到该签名后，对签名μ＝(m，vk_ots，σ_ots，(a，b，c)，σ_cert(i)，π)及用户身份证书进行验证，若身份和签名都满足验证等式，则验证通过，接受签名，否则拒绝；

步骤5：当群成员发生纠纷时，群管理员GM利用其私钥SK_M及群秘密存储器和群成员A产生的签名μ打开群成员证书返回i，证据T，从而确定群成员身份。

2.根据权利要求1所述的一种基于标准模型下群签名的匿名认证方案，其特征在于，所述步骤1包括以下步骤：

步骤1-1：发布者生成系统参数gk，gk：(G₁，G₂，G_T，e，g₁，g₂)，其中G₁，G₂为椭圆曲线上两个阶为素数p的乘法循环群，e为其上的一个非退化的双线性映射，它把G₁，G₂中的元素映射到G_T，即e：G₁×G₂→G_T。g₁为G₁中的一个随机元素，g₂为G₂中的一个随机元素；

步骤1-2：为gk：(G₁，G₂，G_T，e，g₁，g₂)生成Groth-Sahai证明系统的通用参考字符串crs；

步骤1-3：运行参数密钥生成算法∑_cert，生成发布者issue的私钥和公钥sk_cert,pk_cert,群公钥gpk包括(gk，pk_cert，crs，reg),其中reg为群的公共存储器，其中包含用户ID:i及其公钥upk_i。

3.根据权利要求1所述的一种基于标准模型下群签名的匿名认证方案，其特征在于，所述步骤2包括以下步骤：

步骤2-1：群成员中的每个用户i都各自运行签名方案∑₀的密钥生成算法为自己生成一个个人密钥对(usk_i；upk_i)，其中usk_i是用户i的个人私钥，其中upk_i是与i相关联的且公开；

步骤2-2：当一个新用户加入该群时，他使用签名方案∑₁生成一个群签名密钥对(sk_i；vk_i)，其中sk_i是用户i的群签名密钥，用于用户i对其要发送的消息进行签名；vk_i是用户i的证明密钥，用于接收方验证该消息的签名的有效性；

然后发布者利用其步骤1中生成的私钥sk_cert用∑_cert算法为用户i的群签名密钥sk_i生成一个成员证书σ_cert(i)(使用用于获得承诺值签名的协议σ_cert(i)←∑_cert·comSign(sk_cert，Commit(ski)，π)；

步骤2-3：最后用户i利用∑₀的签名算法使用其个人私钥usk_i对其证明密钥vk_i进行签名生成签名值σ_i；

然后用户i将证明密钥vk_i和签名值σ_i发送给群管理者GM，群管理者GM将其记录在他的秘密寄存器Sreg中。

4.根据权利要求1所述的一种基于标准模型下群签名的匿名认证方案，其特征在于，步骤3包括：

步骤3-1：用户i重新随机化他的证书σ_cert(i),生成签名的密钥对(sk_ots；vk_ots)；

σ_cert(i)←∑_cert·sigRand(σ_cert(i))；(sk_ots，vk_ots)←∑_ots·keygen

步骤3-2：用户i使用其群签名密钥sk_i对消息m，成员证书σ_cert(i)，验证密钥vk_ots进行签名；

(a，b，c)←∑₁·sign(sk_i，m||vk_ots||σ_cert(i))

并给出知识的非交互式零知识证明，来证明证书是使用sk_i进行的有效的签名；

π←POK{(sk_i)：(a，b，c)＝∑₁·sign(sk_i，m||vk_ots||σ_cert(i))∧

σ_cert(i)＝∑_cert·sign(sk_cert，sk_i)}(m，(a，b，c)，σ_cert(i))

步骤3-3：利用上述的结果生成消息m的签名值μ；

σ_ots←∑_ots·sign(sk_ots，a||π)

μ←(m，vk_ots，σ_ots，(abc)，σ_cert(i)，π)。