可選擇關(guān)聯(lián)和可轉(zhuǎn)換的環(huán)簽名方案研究

濮光寧，侯整風(fēng)

可選擇關(guān)聯(lián)和可轉(zhuǎn)換的環(huán)簽名方案研究

*濮光寧1，侯整風(fēng)2

（1. 安徽財貿(mào)職業(yè)學(xué)院，安徽，合肥 230601；2. 合肥工業(yè)大學(xué)計算機與信息學(xué)院，安徽，合肥 230009）

環(huán)簽名；離散對數(shù)；選擇關(guān)聯(lián)性；可轉(zhuǎn)換性；匿名性

0 前言

Rivest, Shamir和Tauman[1]在2001年首次提出環(huán)簽名的概念，即簽名者自主選擇一些成員的公鑰，其中包括簽名者自己的公鑰，組成一個公鑰環(huán)，然后使用自己的私鑰和公鑰環(huán)完成簽名。環(huán)簽名可以成功地驗證簽名者屬于某一個環(huán)，但卻無法確定簽名者的具體身份，因此，環(huán)簽名可以實現(xiàn)無條件匿名。隨著環(huán)簽名概念的提出，各種環(huán)簽名方案相繼出現(xiàn)。例如Bose等人[2]提出不需要隨機預(yù)言機假設(shè)的定長環(huán)簽名方案，Gritti等人[3]提出O(log2n)長度的環(huán)簽名方案，劉筱茜等人[4]提出多變量公鑰密碼體制下的環(huán)簽名方案。

在某些特殊的應(yīng)用環(huán)境中，例如匿名電子投票，不僅需要保證投票人的匿名性，還需要避免重復(fù)投票，這將需要用到關(guān)聯(lián)環(huán)簽名[5]：在環(huán)簽名中添加關(guān)聯(lián)標簽，保證簽名者匿名性的前提下，證明兩個簽名是否由同一個簽名者所簽發(fā)。第一個關(guān)聯(lián)環(huán)簽名方案（Linkable Spontaneous Anonymous Group, LSAG）由Liu等人[5]提出，之后出現(xiàn)了各種不同的關(guān)聯(lián)環(huán)簽名方案[6-8]。為了提高簽名者的自主性，允許簽名者自主決定其生成的兩個環(huán)簽名之間是否具備關(guān)聯(lián)性，Jeong等人[9]提出了可選擇關(guān)聯(lián)的環(huán)簽名。當(dāng)為匿名者頒獎時，其匿名身份需要被揭秘，環(huán)簽名需要轉(zhuǎn)換成普通簽名，使環(huán)簽名具備可轉(zhuǎn)換性。各種不同方法的可轉(zhuǎn)換環(huán)簽名方案[10-14]被先后出現(xiàn)，但大多數(shù)方案不能抵抗可轉(zhuǎn)換性攻擊。

1 基本概念

1.1 離散對數(shù)假設(shè)

1.2 環(huán)簽名概念

環(huán)簽名需要滿足以下性質(zhì)：

1) 正確性。合法成員生成的環(huán)簽名，可以通過簽名驗證算法。

環(huán)簽名具備的一些特殊性質(zhì)：

2) 可轉(zhuǎn)換性。當(dāng)需要揭秘簽名者真實身份時，可以將合法的環(huán)簽名轉(zhuǎn)換成普通的數(shù)字簽名。

2 文獻[15]的方案

初始化：公開{p,q,H,H,H,L}，其中大素數(shù)是群的階，是的產(chǎn)生子，是的隨機數(shù)，H,H,H是哈希函數(shù)。

環(huán)簽名生成：消息M，事件描述message。

3 基于離散對數(shù)的可選擇關(guān)聯(lián)可轉(zhuǎn)換環(huán)簽名方案

可選擇關(guān)聯(lián)可轉(zhuǎn)換的環(huán)簽名方案的安全性基于離散對數(shù)求解難題，包括系統(tǒng)初始化、環(huán)簽名生成、環(huán)簽名驗證、可轉(zhuǎn)換驗證和關(guān)聯(lián)性驗證五個部分。

3.1 系統(tǒng)初始化

3.2 環(huán)簽名生成

各大權(quán)威機構(gòu)最新出臺的政策已經(jīng)指出：添加輔食不必按照固定順序，大可放心地翻著花樣來。（當(dāng)然主流意見還是建議第一口輔食選擇強化鐵米粉，因為6個月之后母乳中的鐵成分不能滿足寶寶身體的需求。）

3.3 環(huán)簽名驗證

3.4 可轉(zhuǎn)換驗證

3.5 關(guān)聯(lián)性驗證

4 安全分析

4.1 正確性

驗證等式成立，環(huán)簽名正確合法。

4.2 匿名性

4.3 不可偽造性

4.4 轉(zhuǎn)換性

4.5 關(guān)聯(lián)性

5 性能比較

5.1 與文獻[15]比較

5.2 與同類方案比較

我們將本文方案與已有的可選擇鏈接和轉(zhuǎn)換的環(huán)簽名方案[5,13,15]，進行性質(zhì)和運算開銷的比較。為了表示方便，—環(huán)成員的個數(shù)、—冪指數(shù)運算開銷、—多基冪指數(shù)運算開銷、—模逆運算開銷，各個方案的性質(zhì)和運算開銷如表1所示。

表1 性質(zhì)和運算開銷比較

從表1可以看出，文獻[5]不具有強匿名性，文獻[13]和文獻[15]具有強匿名性和選擇關(guān)聯(lián)性，但是簽名開銷和驗證開銷大于本文方案。因此，本文方案不僅提供了強匿名性和選擇關(guān)聯(lián)性，還具有較小的計算開銷。

6 結(jié)論

本文提出的可選擇關(guān)聯(lián)可轉(zhuǎn)換環(huán)簽名方案，簽名者通過自己的私鑰和選取的公鑰環(huán)生成環(huán)簽名，通過添加隨機數(shù)生成關(guān)聯(lián)標簽，實現(xiàn)選擇關(guān)聯(lián)性和可轉(zhuǎn)換性。與同類方案相比，本文方案的計算開銷相對較小，在匿名電子投票和頒獎等特殊應(yīng)用中，具有良好的應(yīng)用前景。

[1] Rivest R L, Shamir A, Tauman Y. How to leak a secret[C].Proceedings of ASIACRYPT’01. Berlin, Germany:Springer-Verlag,2001:552-565.

[2] Bose P, Das D, Rangan C P. Constant size ring signature without random oracle[C]. Proceedings of the 20th Australasian Conference on Information Security and Privacy(ACISP 2015). Queensland, Australia, 2015(300):230-247.

[3] Gritti C, Susilo W, Plantard T. Logarithmic size ring signatures without random oracles[J]. Information Security let, 2015,10(1): 1-7.

[4] Liu X Q, Zhao Y M. Variant scheme of ring signature based on multivariate public key cryptosystems[J]. Computer Engineering, 2015, 41(2): 96-99.

[5] Liu J K, Wei V K, Wong D S. Linkable spontaneous anonymous group signature for Ad Hoc groups[J]. Acisp, 2004:325-335.

[6] Tsang P P, Man H A, Liu J K, et al. A suite of non-pairing ID-based threshold ring signature schemes with different levels of anonymity (Extended Abstract)[C]. Proceedings of the 4th International Conference on Provable Security. Malacca, Malaysia, 2010:166-183.

[7] Au M H, Liu J K, Susilo W, et al. Secure ID-based linkable and revocable-iff-linked ring signature with constant-size construction[J]. Theoretical Computer Science, 2013(469):1-14.

[8] Sun S F, Man H A, Liu J K, et al. RingCT 2.0: A Compact Accumulator-Based (Linkable Ring Signature)Protocol for Blockchain Cryptocurrency Monero[C].European Symposium on Research in Computer Security,2017:456-474.

[9] Jeong I, Kwon J, Lee D. Ring signature with weak linkability and its applications[J]. IEEE Transactions on Knowledge and Data Engineering, 2008, 20(8):1145-1148.

[10] 李偉,唐明偉,范明鈺. 標準模型下基于線性對的選擇關(guān)聯(lián)可轉(zhuǎn)換環(huán)簽名方案[J]. 西華大學(xué)學(xué)報:自然科學(xué)版, 2013, 32(2):1-4.

[11] Lee K, Wen H, Hwang T. Convertible ring signature[J]. IEE Proceedings Communications,2005,152(4):411-414.

[12] Hwang J Y, Chang K Y, Cho H S, et al. Collusion -resistant convertible ring signature schemes[J]. Science China Information Sciences, 2015, 58(1): 1-16.

[13] 張文芳,熊丹,王小敏,等. 基于RSA公鑰密碼體制的可選擇可轉(zhuǎn)換關(guān)聯(lián)環(huán)簽名[J].計算機學(xué)報, 2017, 40 (5):1168-1180.

[14] Wang H, Zhang F, Sun Y. Cryptanalysis of a generalized ring signature scheme[J]. IEEE Transactions on Dependable & Secure Computing,2009,6(2):149-151.

[15] 曹素珍,孫晗,戴文潔,等. 基于DLP的可選擇鏈接可轉(zhuǎn)換環(huán)簽名方案[J]. 計算機工程, 2019,45(2):144-147.

Selectively Linkable and Convertible Ring Signature Scheme

*PU Guang-ning1, HOU Zheng-feng2

(1. Anhui Finance and Trade Vocational College, Hefei 230601, Anhui, China; 2. School of Computer and Information, Hefei University of Technology, Hefei 230009, Anhui, China)

ring signature; discrete logarithm problem; selective link-ability; convertibility; anonymity

1674-8085(2020)01-0054-05

TP309.7

A

10.3969/j.issn.1674-8085.2020.01.011

2019-12-02；

2019-12-27

安徽省高等學(xué)校自然科學(xué)研究重點項目(KJ2017A857、KJ2016A010、KJ2019A0727)；安徽省高等學(xué)校省級質(zhì)量工程智慧課堂試點項目(2017zhkt360,2017zhkt019)

*濮光寧(1978-)，男，安徽廬江人，副教授，碩士，主要從事網(wǎng)絡(luò)與信息安全、電子商務(wù)研究(E-mail:pgn_578@126.com）；

侯整風(fēng)(1958-)，男，安徽和縣人，教授，碩士，碩士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)與信息安全(E-mail:houzf@hfut.edu.cn）