一种可撤销匿名性的环签名方案
实用的本地验证者撤销群签名方案
‘ 一
●
-
●
・
●
●
・ ●
…
l
●Hale Waihona Puke Fr c i a r uP s g t e S he e w ih ve i r l c lr v C to a tc lg o i na ur C m t r ne -o a e O a i n
LIJ — u ig o,S UN n ZHANG — h n Ga g, Yic e
a o e p o lm s n i a h p l a i n o r u i n t r s f r e a l g p i a y p e e vn te tto , r c ia b v r b e ,a d am tt e a p i t f g o p sg au e n b i r c - r s r i g at sai n a p a t l c o o n v c r u in t e s h mewi v rf r l a v c to a e n t t n f - l n a s mp i n a d d c so n a g o p sg a r c e t e i e - c l e o ai n b s d o e s o gDi e He l a su to n e ii n l e r u h i o r h r i m i
( 海大 学 计 算机 与信 息学 院 ,江 苏 南京 2 0 9) 河 108
摘
要: 本地验证者撤销是一种有效 的群成 员撤 销方法, 该方法只需将撤销信息发给验证者而无需签名者 的参与 。
目前本地验证 者撤销群签 名方案 中普遍存在 不能防止 陷害攻 击 以及撤 销验证计算量 与撤销列表 长度 呈线性增 长 等问题。为了解决这些 问题 ,并针对群签名在 隐私保护证 明方面 的应 用,基于 qS .DH 假设和 DL DH 假设,提 出
具有可撤销机制的群签名方案
方案的具体实现流程
4. 撤销机制触发
当满足特定的撤销条件(如时间周期到期、特定事件发生、信誉度低于阈值)时,撤销机制被触发。根据设计思 路的不同,撤销机制可以是自动的或由管理员手动触发。
5. 撤销处理
一旦撤销机制被触发,相应的群成员的签名权限将被撤销。具体来说,可以采取更新群公钥、吊销个人私钥等方 式,使被撤销的群成员无法继续生成有效签名。同时,需确保撤销处理的及时性和准确性,防止被撤销的群成员 在撤销后仍然能够生成有效签名。
群签名方案的安全模型
机密性保护
可撤销性
安全模型应确保在群签名过程中,签名者 的身份保持匿名,即使在面对强大的敌手 攻击时,也无法揭示签名者的身份。
抗量子计算攻击
安全模型应考虑在发生签名争议或安全问 题时,群管理者能够撤销特定签名者的签 名能力,防止其继续进行恶意行为。
安全性和效率平衡
随着量子计算的发展,群签名方案应能够 抵抗量子计算机对签名算法的攻击,确保 方案在未来依然保持安全性。
性质
匿名性:在群签名中,签名者的身份是匿名的,无法直接从签名中 获取签名者的具体信息。
可追踪性:尽管签名者是匿名的,但在需要的情况下,群管 理者能够揭示签名者的真实身份。
无关联性:对于两个不同的群签名,无法判断它们是否由同 一签名者产生。
抗伪造性:只有群成员才能代表群进行合法签名,外部实 体无法伪造有效的群签名。
具有可撤销机制的群 签名方案
汇报人: 日期:
目录
• 引言 • 群签名方案基础 • 具有可撤销机制的群签名方案设计 • 方案的安全性与性能分析 • 方案的应用与未来展望
01
引言
群签名方案简介
匿名性
群签名方案允许群体成员在进行签名时保持匿名,其 他人无法得知签名者的具体身份是什么。
一种新型的撤销成员的无加密短群签名方案
一种新型的撤销成员的无加密短群签名方案马海英;曾国荪【期刊名称】《计算机科学》【年(卷),期】2012(039)004【摘要】针对撤销成员的群签名中如何降低群成员的计算量、缩短签名长度等问题,提出了一种新型的撤销成员的无加密短群签名方案,并证明了其安全性.基于XDDH,LRSW和SDLP假设,通过将有效期属性编入签名钥来实现成员的有效撤销;为了提高签名的效率,没有使用加密算法,而是采用签名随机化的方法来保持签名者的匿名性.在成员的通信和计算开销方面,本撤销方案比以往撤销方案有很大的优势,成员可以错过任意多次更新,签名时只需下载最新更新值即可,群公钥保持不变,签名和验证的计算开销与撤销成员数无关,签名长度仅为1195bits.%Aiming at the intrinsic problems in revocation group signatures,such as reducing group member's computational costs,shortening the signature length and so on,a novel revocation short group signature scheme without encryption was proposed based on the XDDH,LRSW and SDLP assumptions,and it's security was proven. Member revocation was implemented by encodingthe validity time into group signature key. In particular, our scheme does not use standard encryption and relies on re-randomizable signature schemes that hide the signed message so as to preserve the anonymity of signers. Our solution outperforms all prior solutions for member revocation in terms of communication and computational costs for the members. Group public key remains constant, and computational costs ofsigning and verifying are independent of the revocable number,and the signature is only 1195 bits in size.【总页数】6页(P41-45,66)【作者】马海英;曾国荪【作者单位】同济大学计算机科学及技术系上海201804;嵌入式系统与服务计算教育部重点实验室上海201804;南通大学计算机科学与技术学院南通226019;同济大学计算机科学及技术系上海201804;嵌入式系统与服务计算教育部重点实验室上海201804【正文语种】中文【中图分类】TP393【相关文献】1.群签名中成员撤销问题解决方案 [J], 张德栋;马兆丰;杨义先;钮心忻2.基于Kiltz Tag加密的可撤销群签名方案 [J], 王占君;马海英3.FI05群签名方案中一种新的成员撤销方案 [J], 朱俊杰;李乔良4.ACJT群签名方案中一种新的成员撤销方案 [J], 娄静;李乔良;徐兴中5.一种新的无随机预言的短群签名方案 [J], 袁艳因版权原因,仅展示原文概要,查看原文内容请购买。
一种可撤销匿名性的环签名方案
2 1 ,6 2 ) 0 0 4 (4
C m ue E gn eiga d p l ain 计算机工程与应用 o p t n ier n A p i t s r n c o
一
种 可撤 销 匿 名性 的环 签 名 方 案
黄 大威 杨 晓元 , , 陈海 滨
HUANG — i, Da we YANG a ・ ua , Xi o y n CHEN Ha・ n ibi
i g a d Ap l ain .0 0 4 ( 4) 8 -9 n n pi to s 2 1 。 6 2 :8 8 . c
’
A bsr t Ri g inaur p ov d s fe t al a s o t ac : n sg t e r i e e f c u w y t diti t i o a in a n srbu e nf r to m no ym o l l s f i sg a r s h m e ha usy,ot o rng i n t e c e s u ve
te p o lm h tt e r o be o tae te ie t ftu in  ̄ s d o d ni u l e rpts s m n h e h h rbe t a h y ae n ta l r c h d ni o re sg e Ba e n ie t p bi k y cy o y t t y t y t c e a d te tc — n lg o in a arn , cas f rn sg a r sh me s p o o e ,h sh me aife b sd s u c n io a a o y t oo y f bl e rp iig a ls o ig in t e c e i rp sd t e c e st i s eie n o dt n l n n mi i u s i y a d u fr ebly, lo me t te rv c be a o y t ,ri a ei e KG a o ae te ie t fte tu in r n n og a it i as es h e o a l n n mi abt lv rf r P i t y r i c n lct h d ni o h r e s e. y t g
可撤销匿名性的盲代理群签名方案
An a n o n y mi t y - r e v o ki ng b l i nd pr o x y g r o u p s i g na t u r e s c h e me
XUE Yi - mi n, MI J u n - l i
( ch s o o1 o f Ma t he ma t i c s a n d Ph y s i c a l S c i e n c e ,Xuz h o u I n s t i t u t e o f Te c h n o l o gy ,Xu z h o u 2 2 1 1 1 1,Ch i n a )
第3 6 卷 第1 2 期 2 0 1 3年 1 2月
合肥 工 业 大 学 学报 ( 自然科 学版)
J OU RNAL OF HE F E I UNI Ⅶ RS I T Y O F TE C HNOL 0GY
Vo 1 . 3 6 No . 1 2
De c .2 0 1 3
文献[ 1 — 2 ] 提 出代理签名 的概念 。当原始签
严重缺陷; 文献[ 6 ] 指出该方案无法避免原始签名 者 的伪造攻击和签名接收者的伪造攻击 , 不具备
强盲 性 的特点 l _ 6 j 。
名者因健康 、 资源 限制或其他原 因不能履行签名
职责时 , 便将签名权交给代理签名者 , 由代理签名 者代替履行签名权 利。一般代 理签名中, 签名验 证者不仅可以验证此签名 , 而且能够鉴别 出代理 签名人 的身份。但在有些网络环境 中, 不是 所有 的代理签名者都希望别人 知道其 身份 , 而原始签 名者又希望在发生争执 时, 可以知道代 理签 名者 的身份 , 因此人们就提出了盲代理签名体制 。文
s a r y ,t h e a n o n y mi t y c a n b e r e v o k e d b y t h e p r o x y s i g n a t u r e ma n a g e me n t c e n t e r .
一个新的无证书环签密方案
A w ri c tls n i n r p i n S h me Ne Ce t a ee sRi g S g c y t c e i f o
HoU ng i HE -f n Ho -x a. Ye e g
( co l f o S h o mmu i t n a d Ifr t n E gn eig X ’ l U ies y o C nc i n noma o n i r , i a nv r t ao i e n l i
设 G 是 由 P生成 的加法循 环群 , 阶为素数 q。 : G 是一个乘法循环群 , 阶也为 q, G 和 G 中离散对数 在 ,
问题是难解 的。
1 1 双 线 性 对 .
文中利用双线性对构造 了一个新的无证书环签密
方案 , 该方案基于文献 [ 2 的环签名方案 。算 法构造 1]
发送 并 同时具有 保密 性和 认证性 , 收方 仅知道 消息 来 自于某 个 群体 , 不 能 确认 是 这个 群 体 中 的哪 个 成员 。在 随机 预 接 但
言模 型下 , 基于决 定性 双线 性 Dfe H l a ii em n困难 问题假 设 , 中方 案是 安全 的。较 之传 统 的 “ — l 文 先签 名 后加 密 ” 模式 , 的 文
e fc i e fe t . v Ke r s c r f ae e s p b i y c p o r p y; n i a u e; g ey fo Di e y wo d : e ti t ls u lc k r t g a h r g s ic e y i gn t r f n r p n; f -He l n r b e i i i l ma p o l m
b tt e a t a n e e i su k o u cu l h e S d rr man n n wn. e s h me i r v e s c r n t e r n o o a l d l n e e h r n s s u Th c e sp o e t b e u e i a d m r ce mo e d rt a d e sa s mpt nso d O h u h i o f h e ii n b l e Di —He l n r b e . mp r d wi e ta i o a ”sg au et e n r p i n”p r d g , h ss h me i r t e d c so a i n a f e l i r i lma p o l m Co a e t t r d t n h h i l in tr ne c h y t o a a i m t i c e mo e s
一种高效无证书可追踪环签名方案
一种高效无证书可追踪环签名方案作者:杨华杰缪祥华朱海韬李一然来源:《信息安全与技术》2014年第07期【摘要】环签名是一种匿名泄露秘密的有效方法,但事后不能追踪不诚实的真实签名者问题也限制了其在某些场合的使用。
无证书密码体制不仅简化了传统公钥体制负担过重的密钥管理问题,又有效解决了基于身份密码体制的密钥托管问题。
鉴于无证书密码体制的优点,提出一种新的高效的无证书可追踪环签名方案,利用在环签名中附加一些相关信息,在必要时可通过可信的第三方和环中所有成员协同追踪签名者的真实身份。
方案除了满足环签名的匿名性和不可伪造性外,还具有追踪性,与现有的方案相比新方案的效率显著提高。
【关键词】环签名;无证书;身份追踪【中图分类号】 TP309【文献标识码】 AEfficient Certificateless Ring Signature Scheme with Identity TracingYang Hua-jieMiao Xiang-huaZhu Hai-taoLi Yi-ran(College of Information Engineering & Automation, Kunming University of Science and Technology YunnanKunming650500)【 Abstract 】 Ring signature is an effective way for anonymous information disclosure, but the issue that the untruthful actual signers cannot be traced afterwards leads to its limited application in many occasions. Certificateless public key cryptography both simplifies the burdensome private key management process of traditional public key cryptography, and also efficaciously tackles with the key-escrow issue of identity-based cryptography. In view of the merits of CLPKC, this paper proposes an efficient new certificateless traceable ring signature. The new scheme attaches valuable relevant information to the ring signature, so that the identity of the signers can be coordinatively traced when necessary with the credible third parties and all ring members. Apart from anonymity and unforgeability enforced by ring signature, our approach exhibits not only traceability but also significantly better efficiency compared with existing methods.【 Keywords 】 ring signature; certificateless ; identity tracing1引言1984年,Shamir提出了基于身份的密码体制,旨在简化传统PKI系统中耗费大量时间传输和验证用户公钥证书的问题。
具有可撤销匿名性的DC—Net匿名通信方案
Ab ta t A - t a o y u o sr c DC Ne n n mo s c mmu ia i n s h me wih r v c b e a o y i s r p s d b s n m t i o y p o o e a e n Go l a d e
b igd tce , t e s t f h u h r y S o a n e f rigp ri p n s a it e rp o lt r tc l s en ee td a a t ea to i ’ tl no c a t ia t c nj n l d cy t mer ae p o o o me — l o t t t n c o y s e d
维普资讯
计算 机科 学 2 0 Vo.4 0 9 0 7 13 N .
具 有 可 撤 销 匿名 性 的 DC N t — e 匿名 通 信 方 案 )
李龙 海 付 少锋 肖国镇 ( 安 电子科 技 大学 计算机 学院 西安 7 07 ) 西 10 1 ( 安 电子 科技 大 学计算 机 网络 与信 息安 全教 育部 重 点实 验 室 西 安 7 0 7) 西 10 1
s g sa d ta e t es n e .C mp r d wih t e o i i a c e ,o rc n tu t n n a l d sn o u a in a d c r — a e n r c h e d r o a e t h rg n l h me u o s r c i e ry a d o c mp t to n o s o n mu ia i n c mp e iy a d h st e s me s c rt . F rDC- t i i c r f iin h n t e t a iin 1me h d o n c t o l x t n a h a e u i o y o Ne .t smu h mo e e f e tt a h r d t a t o f c o p o i i g r v c b e a o y iy b tl i g g o p sg a u e . r vdn e o a l n n m t y u i zn r u i n t r s i Ke wo d An n o s c mmu ia in,DC- t y rs o y u o m nc t o Ne ,Re o a l n n i v c bea o y t m y,Bi n a arn s l e rp ii g i
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一种可撤销匿名性的环签名方案黄大威;杨晓元;陈海滨【摘要】环签名提供了匿名发布信息的有效方法,现有环签名方案存在不可追踪签名者真实身份的问题.基于身份密码体制和双线性对技术,提出了一种环签名方案,方案除了满足无条件匿名性和不可伪造性,还满足可撤销匿名性,必要时由PKG(Private Key Generator)充当仲裁验证者,达到定位真实签名者的目的.【期刊名称】《计算机工程与应用》【年(卷),期】2010(046)024【总页数】3页(P88-89,200)【关键词】环签名;身份密码体制;可撤销匿名性;双线性对【作者】黄大威;杨晓元;陈海滨【作者单位】武警工程学院电子技术系网络与信息安全武警部队重点实验室,西安,710086;武警工程学院电子技术系网络与信息安全武警部队重点实验室,西安,710086;西安电子科技大学计算机网络与信息安全教育部重点实验室,西安,710071;武警工程学院电子技术系网络与信息安全武警部队重点实验室,西安,710086【正文语种】中文【中图分类】TP3091 概述1984年,Shamir提出了基于身份密码系统的概念[1]。
在此密码系统中,用户的公钥是与其身份紧密相关的字符串,如电子邮件地址、用户名等;由PKG (Private Key Generator)负责给每个用户发放与其身份相对应的私钥。
文献[1]中提出了基于身份的签名方案。
2001年,Boneh和Fraklin[2]利用双线性对给出了第一个可行的基于身份的加密系统。
环签名由Rivest、Shamir和Tauman[3]在2001年正式提出,以实现对消息的完全匿名签名。
接收方只能确认签名来自于某个群体,而不能确认具体签名者。
考虑到具体应用环境的需要,人们对基本的环签名做了适当扩展,如基于身份的环签名[4]、关联性环签名[5]等。
在电子拍卖中,一方面需要保护投标者的隐私权,另一方面又得保证投标者在中标以后不能抵赖。
现有许多环签名方案在提供匿名性的同时却不能定位真实签名者的身份,针对这个问题,基于身份密码体制和双线性对技术提出了一个环签名方案,在满足无条件匿名性和不可仿造性的同时,必要时可以由身份密码体制中的PKG 担当一个仲裁验证者,完成匿名性的撤销,达到定位真实签名者身份的目的。
2 预备知识2.1 双线性映射设G1和G2分别是阶为大素数q的循环加法群和乘法群,P是G1的生成元。
随机数a,b,c∈Zq,假设离散对数问题在G1和G2中都是难解的。
双线性对是这两个循环群之间的一个映射e:G1×G1→G2,满足如下性质:(1)双线性性:e(aP,bQ)=e(P,Q)ab,其中a,b ∈ Zq;(2)非退化性:存在P,Q ∈ G1,使e(P,Q)≠1;(3)可计算性:存在有效的算法计算e(P,Q),其中P,Q ∈ G1。
2.2 困难问题(1)离散对数问题(DLP):任取P,Q ∈ G,找整数n ∈ ,使满足Q=nP;(2)计算性Diffie-Hellman问题(CDHP):已知P、aP、bP,计算abP。
文中假定DLP、CDHP是计算困难的。
2.3 环签名分叉引理环签名分叉引理[6]:设一个环签名方案,安全参数为k,环成员数目为n。
A为一个输入仅仅是公开数据的概率多项式时间图灵机,A向随机预言机请求的数目为Q,向签名预言机请求的签名数目为W。
假设在时间T内,A以概率ε≥产生一个有效的环签名 (m,R,R,...,R,12n h1,h2,...,hn,σ),其中VQ.n表示 Q 个元素的 n 置换数目,VQ.n=Q(Q-1)(Q-2)...(Q-n+1),哈希值hi=H(m,Ri)。
假设环签名能够在时间Ts内,并且在不知道环的任何私钥的情况下以不可区分的概率被仿真,那么就存在另一个概率多项式时间图灵机,该图灵机产生两个有效的环签名(m,R1,R2,...,Rn,h1,h2,...,hn,σ),(m,R1,R2,...,Rn,h′1,h′2,...,h′n,σ′)满足:3 基于身份的可撤销匿名性环签名在基于身份密码体制中,给定双线性对系统(G1,G2,e,q,P),G1和G2分别是阶为大素数q的循环加法群和乘法群,P是G1的生成元。
映射e:G1×G1→G2是两个循环群之间的一个双线性映射。
Setup:PKG随机选择s∈Zq*作为其主私钥,计算Ppub=sP作为其主公钥,计算P′pub=sPpub。
给定哈希函数H1和H2,H1:{0,1}*→G1,而H2:{0,1}*→Zq,则系统的公开参数 params={G1,G2,e,q,P,Ppub,P′pubH1,H2}。
Keygen:用户将身份ID∈{0,1}*送PKG,PKG设定用户公钥为QID=H1(ID),私钥为SID=sQID,PKG通过安全信道将私钥送给用户。
用户的身份集合为L={ID0,ID1,…,IDn-1}。
Sign:(1)签名者k随机选择n-1个成员作为环成员,随机选择t∈Zq*,计算P1=tP。
(2)对于i∈(k+1,...,n-1,0,...,k-1),任选ai∈Zq*,计算Ri=aiP,ci=H2(L‖m‖Ri),R′i=aiPpub。
(3)对于k,任选a∈Zq*,计算(4)生成签名,公开签名σ=(L,m,R0, R1, ..., Rn-1,U,S)。
Verfiy:(1)签名验证:对∀i∈{0,1,...,n-1}计算验证等式e(P,S),若e(P,S)等于e(Ppub,V+U),则签名成立。
(2)可撤销匿名性:当需要撤销匿名性时,验证者向PKG发送仲裁验证请求,对于任意环成员k1,PKG计算如果等式成立,则确认签名者的真实身份为k1。
4 安全性分析(1)正确性(2)无条件匿名性因为ai,i∈{0,1,...,n-1}\k是在Zq*上随机选择的,所以Ri、R′i是在G上均匀分布的,计算出的ci也是在G上均匀分布的。
签名者随机选择a、t也就是说Rk=aP,R′k=aP2- Σi\kciQIDi也是均匀分布的。
所以说Ri、R′i不会泄露任何有关签名者的信息。
接下来考虑签名S是否会泄露签名者的信息,从S=可以得到为了确认是否是签名者,唯一的方法是验证即验证假如IDk是真实的签名者,那么只需要验证然而对于环中任一成员 IDj,j∈{0,1,...,n-1},等式都是成立的,也就是说签名S不会泄露任何有关签名者的信息,所以说方案满足无条件匿名性。
(3)不可伪造性设挑战者C拥有(P,aP,bP),想求出abP,这是一个CDHP问题。
攻击者A向挑战者C请求预言机应答,C随机产生应答。
挑战者C给予攻击者A系统公钥Ppub=bP,b为系统私钥,b对于C是未知的。
挑战者C存储身份哈希值的请求-应答对,C抛硬币w∈{0,1},当w=0时,随机选择di计算QIDi=diaP,由于a、b都是未知的,其私钥不能得到。
假设攻击者A能够以不可忽略的概率仿造一个有效的环签名σ=(L,m,R0,R1,...,Rn-1,U,S),相应的随机预言为根据环签名分叉引理[6],存在另一个概率多项式的挑战者C能够产生两个环签名σ=(L,m,R0,R1,...,Rn-1,U,S),σ′=(L,m,R0,R1,...,Rn-1,U,S′) 满足① 对某一j∈{1,2,...,n},cj≠ c′j;②任取i∈{1,2,...,j-1,j+1,...,n},ci=c′i。
因此对上面两个式子计算得到SIDj=(S-S′)/(cj-c′j)。
由上面的结论挑战者C能够以不可忽略的概率计算私钥SIDj=(S-S′)/(cj-c′j)=abP,从而以不可忽略概率解决了CDHP问题,所以说方案在随机预言机模型下是不可仿造的。
(4)可撤销匿名性真实签名者选择的随机数a和t对于任何人都是不可知的,包括PKG。
又因为只有PKG拥有主私钥s,所以只有他可以计算P*=sP1=tPpub,对于用户身份集合中的任一成员k1,可以验证等式只有真实的签名者能够满足上述等式,进而完成了可撤销匿名性,定位了真实签名者的身份。
5 结束语对于满足特殊性质的环签名的研究是当前数字签名领域的研究热点之一。
基于身份密码体制提出了一个环签名方案,通过仲裁验证者PKG在必要时撤销环签名匿名性,解决了不能定位真实签名者的问题。
【相关文献】[1]Shamir A.Identity based cryptosystems and signature schemes[C]//Proceedings of Crypto’84 on Ad vances in Cryptology,1984.[S.l.]:Springer-Verlag,1985:47.[2]Boneh D,Franklin M.Identity-based encryption from the weil pairing[C]//LNCS 2139:Advances in Cryptology,2001:213-229.[3]Rivest R L,Shamir A,Tanman Y.How to leak a secret[C]//Boyd C.LNCS 2248:Proc of Asia Crypt01.[S.l.]:Springer-Vedag,2001:552-565.[4]Zhang Fang-guo,Kim Kwangjo.ID-based blind signature and ring signature from pairings[C]//LNCS 2501:Advances in Cryptology—AsiaCrypt 2002:533-547.[5]Mao H A,Chow S S M,Susilo W,et al.Short linkable ring signaturerevisited[C]//LNCS 4043:EuroPKI2006.Berlin:Springer-Verlag,2006:101-115.[6]Herranz J,Saez G.Forking lemmas for ring signature scheme[C]//Indocrypt.Berlin:Springer-Verlag,2003.。