摘  要： 提出新的(t，n)門限數(shù)字簽名方案，即基于橢圓曲線可追蹤的門限數(shù)字簽名方案，構(gòu)造以橢圓曲線為基礎(chǔ)和核心的門限數(shù)字簽名，以實現(xiàn)用更短的密鑰達(dá)到和RSA同等安全強(qiáng)度的門限簽名系統(tǒng)。同時，實現(xiàn)在事后發(fā)生爭執(zhí)或需要追究責(zé)任時，可以通過仲裁機(jī)制追查出參與簽名成員的身份。
關(guān)鍵詞： 橢圓曲線密碼體制；數(shù)字簽名；門限簽名；可追蹤

    自1991年DESMEDT F首次提出門限簽名方案以來，門限簽名引起了密碼學(xué)界的廣泛關(guān)注和研究，并且提出了各種各樣的(t，n)門限群簽名方案[1]，也對這些方案提出了很多攻擊方法和改進(jìn)措施。與普通的數(shù)字簽名相比，由于門限群簽名需要多方參與，其安全性和健壯性有了很大的提高；與群簽名相比，門限簽名具有易操作性和方便性[2]。
    橢圓曲線密碼體制ECC(Elliptic Curve Cryptography)[3-5]的安全性是基于橢圓曲線上離散對數(shù)問題ECDLP(Ellip tic Curve Discrete Logarithm Problem)的。與其他公鑰密碼相比，橢圓曲線具有每比特數(shù)據(jù)最高的安全強(qiáng)度，這樣的好處是計算參數(shù)更小、密鑰更短、運算速度更快、簽名也更加短小。
參考文獻(xiàn)[1]證明了(t，n)門限群簽名方案不能抵抗合謀攻擊和偽造攻擊，也不具備可追蹤性。本文針對這些問題對上述方案進(jìn)行了改進(jìn)，提出了一種基于橢圓曲線的可追蹤門限數(shù)字簽名方案。該方案以橢圓曲線為基礎(chǔ)，采用二次簽名等方式，可有效地避免參考文獻(xiàn)[1]所暴露的缺陷和不足。
1 橢圓曲線的可追蹤門限簽名方案
    該方案根據(jù)分工不同，有三種角色，即簽名者、簽名組合者和秘密處理者。
    簽名者pi進(jìn)行門限簽名操作。用集合T={p1、p2、p3…pn}表示由n個簽名者組成的簽名者群體。該方案主要由參數(shù)選擇、子密鑰產(chǎn)生過程、簽名過程、簽名驗證和事后追蹤等5個部分組成。
    簽名組合者C，收集單個簽名者的操作結(jié)果，然后將收集的數(shù)據(jù)進(jìn)行驗證并組合。C同時是群簽名消息的唯一發(fā)布者，C自選一個合適的簽名體制(稱為群簽名消息發(fā)布簽名系統(tǒng))來對群簽名消息再次簽名。這樣通過將群簽名消息的發(fā)布權(quán)進(jìn)行控制以提高系統(tǒng)安全。C保留其私鑰Dc，公開公鑰Ec。
秘密處理者D，即可信任中心，主要是在系統(tǒng)初始化階段處理、協(xié)調(diào)系統(tǒng)參數(shù)設(shè)置和子密鑰分配等操作。一旦系統(tǒng)初始化成功則退出簽名系統(tǒng)。





    否則該等式不成立。因此C可利用該等式對各簽名者身份的真實性進(jìn)行判斷。
2.2 抗群內(nèi)成員合謀攻擊
    由于本方案采用了二次簽名的方式，同時簽名者的選取是由C來完成的，因此可以有效地抵抗T內(nèi)成員的合謀攻擊。在整個簽名過程中C都必須參與其中。簽名者的選取必須由C來完成，bi和g’(0)等數(shù)據(jù)計算要C來完成，S的合成也要由C來完成。即使假設(shè)在這些過程中合謀者繞過C來進(jìn)行，不要C的參與，T內(nèi)成員的合謀也是不可能成功的。這是因為群簽名消息的發(fā)布權(quán)限完全是局限在C的身上，沒有C的參與，T內(nèi)的成員是無法產(chǎn)生有效的群簽名消息的。因此沒有最后一步C的簽名，接收者可以立即發(fā)現(xiàn)該簽名消息異常，從而拒絕該簽名。
2.3 抗C偽造簽名攻擊
    由于在本方案中，C只是對簽名過程進(jìn)行組織以及對簽名消息進(jìn)行發(fā)布，他除了掌握簽名發(fā)布密鑰外并不掌握系統(tǒng)其他的任何密鑰，即C不能獲取到簽名者的私有密鑰di，也就是不能偽造T內(nèi)成員進(jìn)行簽名。同時也不能通過構(gòu)建多項式獲取群的私鑰d。這是因為，在Lagrange公式中要恢復(fù)d必須要有t個簽名者的私鑰di和身份標(biāo)志ui。而C只能獲得簽名者的身份標(biāo)志，但是不能獲得簽名者的私鑰。同時，由于在本方案中對群簽名消息發(fā)布的權(quán)限進(jìn)行了綁定和限制，整個群消息的發(fā)布只能是C來完成。因此，如果C和T內(nèi)的t個成員進(jìn)行合謀對某個文件m′進(jìn)行非法簽名，在事后追查時，則首先就可以確定C是參與了m′的簽名。這是因為只有C知道他自己的私鑰Dc，別人不得而知，其他人也就不能對群簽名消息進(jìn)行發(fā)布。因此，只要接收者公布其接收到對m′的簽名消息，仲裁者就可以通過驗證確認(rèn)C是否參與了合謀。一旦發(fā)現(xiàn)C參與了合謀就必須對其進(jìn)行嚴(yán)厲的制裁，使其承擔(dān)所有責(zé)任。因此，通過綁定群簽名消息的發(fā)布權(quán)限在C身上，采用二次簽名的方式從實際上阻止了合謀攻擊。
2.4 抗群外人員選擇消息攻擊
    選擇消息攻擊是指攻擊者通過分析簽名群體對多個消息的簽名，從而構(gòu)造出對另一消息(設(shè)為N)的有效簽名[7]。
　攻擊者可從簽名者群體公開的參數(shù)和發(fā)送的數(shù)據(jù)得到以下信息：E，P，Q，q，g(x)，H()，S，r。如果群體外攻擊者要對消息N構(gòu)造出一個有效的簽名，則必須通過對以前的簽名進(jìn)行分析(假設(shè)以對消息m的簽名進(jìn)行分析為例)，以構(gòu)造一個S0、e0和g0(x)。攻擊者將面臨以下難題：

    本文提出了一個基于橢圓曲線的可追蹤(t，n)門限數(shù)字簽名方案，并對該方案進(jìn)行了安全性分析。在本方案中，除了秘密共享階段需要保密通信外，在簽名和驗證過程中都不需要進(jìn)行保密通信，這可以保證方案方便使用?；跈E圓曲線密碼體制保證了方案的安全性。通過將群簽名消息的權(quán)限綁定在C身上，采用二次簽名的方式，不僅可以抵抗外部成員的攻擊，也可以有效地抵抗T集合內(nèi)部成員的合謀攻擊，同時還可以有效地防止簽名組織者C的攻擊。
參考文獻(xiàn)
[1] 黃梅娟，張建中．一種安全的門限群簽名方案[J]．計算機(jī)應(yīng)用研究，2006(6)：116-117.
[2] 王化群，張力軍，趙君喜．基于橢圓曲線的無可信中心(t，n)門限群簽名[J]．信號處理，2006，2(22)：189-192.
[3] 張方國，王常杰，王育民. 基于橢圓曲線的數(shù)字簽名與盲簽名[J]. 通信學(xué)報，2001，18(2)：186-192.
[4] 龍芳. 數(shù)字簽名算法研究[J].信息安全與通信保密，2007(5)：143-145.
[5] 秦志光，張險峰，周世杰，等．基于ECC的門限數(shù)字簽名方案及其安全性[J]．電子科技大學(xué)學(xué)報，2005，34(1)：109-112.
[6] 王書文．秘密分享密碼體制進(jìn)展[J]．西北民族大學(xué)學(xué)報，2003，24(2)：53-68.
[7] 楊義先，鈕心忻．應(yīng)用密碼學(xué)[J]．北京：北京郵電大學(xué)出版社，2005．