程小剛, 郭 韌, 周長(zhǎng)利

1. 華僑大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 廈門(mén)361021

2. 華僑大學(xué) 工商管理學(xué)院, 泉州362021

1 引言

群簽名[1,2]是指一群人中的任一個(gè)人都可以生成合法的簽名, 外界只能驗(yàn)證此簽名合法但不知道具體是這群人中的哪一個(gè)做的簽名, 只有擁有密鑰的群管理員(Group Manager, GM) 才能打開(kāi)簽名找出真正的簽名者. 由于群簽名同時(shí)具有隱私保護(hù)和可追蹤的良好特性, 所以是一種具有中心地位的密碼系統(tǒng), 可應(yīng)用于眾多領(lǐng)域, 如電子投票[3–5]、電子貨幣[6–9]、電子拍賣[10–13]、可信計(jì)算[14,15]和車載自組網(wǎng)[16–18] 等等.

群簽名方案中一個(gè)重要的問(wèn)題是成員撤銷問(wèn)題[19], 即如果一個(gè)成員離開(kāi)群(比如從公司離職) 或成為惡意成員(如做了很多不負(fù)責(zé)任的簽名) 等, 那么他的簽名能力就要被撤銷.

最簡(jiǎn)單的撤銷方法是GM 更新群簽名驗(yàn)證公鑰, 并給每個(gè)合法的群成員重新發(fā)送一個(gè)私鑰(排除撤銷的成員), 顯然開(kāi)銷為O(N), N 是群的大小.

VLR (Verifier Local RevocRevoc) 驗(yàn)證方本地撤銷[20], 指的是GM 把撤銷成員的信息放入一個(gè)列表中, 群簽名時(shí)每個(gè)合法群成員都要證明自己不在撤銷列表中, 顯然此種方式下每個(gè)群簽名的簽名與驗(yàn)證開(kāi)銷為O(R), R 是撤銷成員的數(shù)量.

DA (Dynamic Accumulator) 動(dòng)態(tài)聚集器撤銷[21], 動(dòng)態(tài)聚集器就是可以把許多數(shù)據(jù)合并成一個(gè)數(shù)據(jù),并有高效NIZK 協(xié)議來(lái)證明簽名者持有被聚合數(shù)據(jù)中的一個(gè), 此種方式下GM 只要廣播一條短消息給所有簽名者和驗(yàn)證者即可.

群簽名還有其他多種不同的撤銷方式來(lái)適應(yīng)不同應(yīng)用場(chǎng)景的需要, 如雙重撤銷[22], 即同時(shí)支持兩種撤銷方式: 正常撤銷(不可鏈接撤銷) 和惡意用戶的撤銷(可鏈接撤銷), 正常撤銷后, 群成員不能再生成合法的群簽名, 但其以前做的簽名任然保持匿名, 而惡意成員被撤銷后, 不僅其不能生成新的群簽名, 其以前做的群簽名也喪失匿名性被曝光了; K +L 次條件撤銷[23], 簽名次數(shù)K 次以內(nèi)不可追蹤(完全匿名), 而超過(guò)K 次小于K +L 次則GM 可追蹤, 超過(guò)K +L 次則任何人都可追蹤了即被曝光; 三重撤銷[24],可以三種不同的方式撤銷群簽名: 根據(jù)已泄露的群成員私鑰撤銷、根據(jù)某個(gè)惡意成員的群簽名撤銷和GM強(qiáng)制撤銷.

本文提出一種新的撤銷方式的概念: 層次撤銷, 其支持普通的單個(gè)成員撤銷, 然后若某個(gè)小組(由多個(gè)成員構(gòu)成) 不可信, 則可以撤銷此小組, 當(dāng)然簡(jiǎn)單的方法是對(duì)每個(gè)成員進(jìn)行普通撤銷, 但效率非常低; 而層次撤銷中支持高效撤銷一個(gè)小組, 其開(kāi)銷同撤銷單個(gè)成員是差不多的; 類似還撤銷大組(由多個(gè)小組構(gòu)成)、更大的組等等, 即層次撤銷.

這種層次撤銷群簽名方案可應(yīng)用于如下的場(chǎng)合: 一個(gè)單位里要撤銷某個(gè)部門(mén), 若用普通VLR 撤銷群簽名方案, 那么部門(mén)中的每個(gè)人都要單獨(dú)撤銷, 效率很低; 而用本文提出的層次撤銷群簽名方案, 可簡(jiǎn)單撤銷此部門(mén), 效率同撤銷單個(gè)成員近似. 還有就是如果某個(gè)小團(tuán)體中多人出現(xiàn)問(wèn)題, 成為惡意成員, 那么可認(rèn)為此小團(tuán)體整體不可信, 作為處罰, 就可用本文的方案高效撤銷整個(gè)小團(tuán)體.

同本文相關(guān)的工作還有文獻(xiàn)[25,26] 等, 也是采用層次結(jié)構(gòu)組織成員, 成員撤銷采用VLR 撤銷, 主要的區(qū)別在于撤銷時(shí)要把每個(gè)成員的信息放入RL 中去, 而本文支持高效撤銷一整個(gè)小組、大組等等, 即能高效進(jìn)行整體撤銷.

并基于RSA 假設(shè)、多項(xiàng)式、NIZK (非交互零知識(shí)證明) 等構(gòu)建了一個(gè)具體的方案, 其基本思想是多項(xiàng)式的解作為私鑰, 群簽名就是NIZK 證明簽名者擁有私鑰滿足公鑰多項(xiàng)式; 同一小組的成員其公鑰的值被安排在同一條直線上, 這樣撤銷時(shí)公布此條直線方程即可; 而大組所有成員的公鑰被安排在一個(gè)平面上,撤銷時(shí)公布此平面方程; 以此類推來(lái)進(jìn)行層次撤銷.

本文安排如下: 第2 節(jié)介紹了層次撤銷群簽名的定義和一些預(yù)備知識(shí); 第3 節(jié)給出層次撤銷群簽名的具體構(gòu)建; 方案的安全性和效率在第4 節(jié)進(jìn)行了分析和對(duì)比; 最后第5 節(jié)是結(jié)束語(yǔ)和一些值得進(jìn)一步研究的方向.

2 預(yù)備知識(shí)

定義1 (可撤銷群簽名) 一般由下面的6 個(gè)隨機(jī)多項(xiàng)式算法組成:

(1) 設(shè)置: 給定一安全參數(shù)K, 群管理員(GM) 生成一個(gè)群公鑰(GPK) 可用于群簽名的驗(yàn)證, 和一群私鑰(GSK) 可用于生成成員私鑰;

(2) 加入: 用戶向GM 申請(qǐng)加入群成為群成員, GM 驗(yàn)證用戶身份并同意其加入后, 生成成員私鑰并秘密傳給此新成員; 同時(shí)保存相關(guān)信息以便將來(lái)打開(kāi)此用戶所做的群簽名;

(3) 簽名: 群成員可利用自己的成員私鑰生成對(duì)任一消息的群簽名;

(4) 驗(yàn)證: 任何人獲得GPK 和一個(gè)消息/簽名對(duì), 可驗(yàn)證此群簽名是否合法, 但對(duì)合法的群簽名他不能找出實(shí)際的簽名者;

(5) 打開(kāi): 對(duì)于合法的群簽名, GM 能打開(kāi)并找出實(shí)際的簽名者;

(6) 撤銷: GM 可撤消某成員的簽名權(quán)利, 之后此用戶就再也不能生成合法的群簽名.

定義2 (層次撤銷群簽名) 我們的層次撤銷群簽名對(duì)上述的加入和撤銷操作進(jìn)行了擴(kuò)展:成員加入時(shí), 將相關(guān)成員放在同一小組中, 相關(guān)小組放在同一大組中, 以此類推.

撤銷時(shí)分成下面幾種情況:

(6.1) 撤銷某個(gè)成員, 同原來(lái)的撤銷功能;

(6.2) 撤銷某個(gè)小組, 即撤銷后, 此小組的任一成員都不能生成合法群簽名;

(6.3) 撤銷某個(gè)大組, 即撤銷后, 此大組中的任一小組都被撤銷了;

(6.4) 以此類推可撤銷更大的組.

參見(jiàn)圖1, 其中Ln層為群成員, 而L1層為最大的組.

圖1 層次撤銷成員組織圖Figure 1 Membership structure of hierarchy revocation

定義3 (可追蹤性安全定義模型) 博弈游戲定義如下, 敵手為A, 挑戰(zhàn)者C:

(1) C 作為群管理員GM, 生成群公私鑰GPK 和GSK, 并把GPK 發(fā)給敵手A;

(2) 利用GPK, A 可以向GM 申請(qǐng)加入群Join, 成為群成員并得到成員公私鑰MPK 和MSK; A 也可以申請(qǐng)得到對(duì)某個(gè)消息m 的群簽名Sm; A 可以要求得到某個(gè)群成員的私鑰MSK; A 也可以要求GM 撤銷某個(gè)群成員;

(3) A 輸出一個(gè)消息m 和簽名對(duì)(m,Sm), 如果簽名合法(未被撤銷), 且A 未要求查詢得到過(guò)m 的群簽名, 且簽名Sm不能被GM 追蹤為A 已經(jīng)查詢過(guò)或攻破過(guò)的群成員, 則稱A 贏得勝利.可追蹤性安全則指沒(méi)有多項(xiàng)式時(shí)間的敵手A 能以高概率贏得上述博弈游戲.

定義4 (零知識(shí)證明系統(tǒng)(ZK)) 有兩方, 證明者P (Prover) 和驗(yàn)證者V (Verifier), 通過(guò)一個(gè)交互協(xié)議, P 要向V 證明他具有某個(gè)知識(shí)(如離散對(duì)數(shù)、整數(shù)的因子分解等), 協(xié)議要滿足下述兩個(gè)安全性條件:

(1) 零知識(shí)特性: 即V 只能確信P 擁有某個(gè)知識(shí), 但不能夠獲取到這個(gè)知識(shí)的任何信息;

(2) 公正性: P 不能欺騙V, 即如果P 沒(méi)有某個(gè)知識(shí), 他就不能使V 相信他有.

定義5 (非交互式ZK (NIZK)) 取消上述ZK 協(xié)議中的交互過(guò)程, 只要P 要V 發(fā)送一條消息來(lái)實(shí)現(xiàn)ZK 證明. 如著名的Schnorr 簽名就是一個(gè)NIZK, 來(lái)證明簽名者擁有作為私鑰的離散對(duì)數(shù).

3 層次撤銷群簽名構(gòu)建

3.1 初始普通撤銷群簽名方案構(gòu)建

本方案群公鑰就是一個(gè)模N (N 為一安全的RSA 模) 的多項(xiàng)式, 成員私鑰就是此多項(xiàng)式的一個(gè)解,群簽名就是NIZK 來(lái)證明成員擁有一個(gè)解, 如可用文獻(xiàn)[27–30] 等中提出的NIZK 方案.假設(shè)群有3 個(gè)成員, 則選擇一個(gè)有三個(gè)變量的隨機(jī)多項(xiàng)式如:

N 是一安全的RSA 模數(shù), 給定其中的(i,j,k), 而系數(shù)(a,b,c,d) 待定, 3 個(gè)成員隨機(jī)選取三組數(shù)

則可代入上式解出 (a,b,c,d), 三個(gè)方程四個(gè)未知數(shù)是因?yàn)樯鲜龇匠虄蛇吙赏艘?1/a 得到(1,b/a,c/a,d/a).

如假設(shè)我們選定的多項(xiàng)式為(如上所述我們令a=1):

隨機(jī)選擇:

可得下面三個(gè)方程:

在有理數(shù)上可解得: x=?2702/143, y =?583/26, z =1272082/143, 模N =323 后得到:

即公鑰多項(xiàng)式為:

可驗(yàn)證(xi,yi,zi),i ∈{1,2,3} 都是此多項(xiàng)式方程的解. 如果GM 想撤銷第一個(gè)用戶, 那么他可以令(x1,y1,z1) 為其他值, 再重新生成新的公鑰多項(xiàng)式. 如令(x1,y1,z1)=(7,8,9), 那么方程組為:

可解得: x=?7291/520, y =4559/1040, z =521017/260, 即:

即新的公鑰多項(xiàng)式為:

代入顯然可得f(3,4,5) = 215= 0, 而f(4,5,6) = f(5,6,7) = f(7,8,9) = 0, 即第一個(gè)用戶(密鑰為(x1=3,y1=4,z1=5)) 已被撤銷.

也有可能出現(xiàn)的情況是對(duì)于隨機(jī)選擇的新密鑰, 有可能會(huì)出現(xiàn)同余方程組無(wú)解的情況; 因?yàn)榫€性方程組一般會(huì)有唯一的有理數(shù)解, 但若此有理數(shù)的分母同RSA 模不互素, 則線性同余方程組無(wú)解. 比如若上例中我們隨機(jī)選擇的新用戶的密鑰為(6,7,8), 則無(wú)解, 因此時(shí)的線性方程為:

解為: x = ?1436/85,y = ?1941/170,z = 515634/85, 此時(shí)(85,323) = 17,(170,323) = 17, 所以同余方程組無(wú)解.

但顯然對(duì)于安全的RSA 模數(shù)來(lái)說(shuō), 此種情況出現(xiàn)的概率很低, 并且假若出現(xiàn)也只要重新生成一個(gè)新的隨機(jī)密鑰即可.

本方案撤銷比較方便方便, 只要GM 更新群公鑰即可, 正常用戶不需要更新私鑰, 但缺點(diǎn)是公鑰過(guò)長(zhǎng)為O(n), 簽名和驗(yàn)證效率也較低為O(n), n 是群的大小. 下面我們對(duì)此方案進(jìn)行提高來(lái)構(gòu)建我們的層次撤銷群簽名方案.

3.2 層次撤銷群簽名構(gòu)建

下面我們來(lái)基于多項(xiàng)式構(gòu)建層次撤銷群簽名方案:

(1) 群公鑰是一個(gè)多項(xiàng)式如:

其中N 是一個(gè)安全的RSA 模, 變量的個(gè)數(shù)決定了可撤銷的層數(shù).

(2) 群成員的私鑰為(x1,y1,z1,w1),(x2,y2,z2,w2),(x3,y3,z3,w3),··· 等等, 都是上述公鑰多項(xiàng)式的解, 即:

注意對(duì)任意的(x,y,z), 通常都有相應(yīng)的w 滿足公鑰多項(xiàng)式方程(如上述分析, 只有極個(gè)別情況可能無(wú)解).即解空間近似為一個(gè)三維空間(x,y,z). 那么在生成私鑰時(shí), GM 先生成X,Y,Z,W, 再利用N 的因子分解來(lái)求出成員私鑰x,y,z,w. GM 可把同一小組的成員放在一條直線上, 同一大組成員放在同一平面上.即使同一小組成員的: X =xi,Y =Yj,Z =zk滿足一直線方程. 而同一大組成員X,Y,Z 滿足一平面方程等等. 顯然, 公鑰多項(xiàng)式中的變量個(gè)數(shù)同可撤銷的層次式相關(guān)的, 即若有n 個(gè)變量, 則支持撤銷的層次數(shù)為n ?1. 如本例中有四個(gè)變量, 則支持三層撤銷: 單個(gè)成員(點(diǎn))、小組(直線) 和大組(平面).

(3) 群簽名時(shí), 群成員公布自己的Xt,Yt,Zt,Wt, 然后再NIZK 證明:

對(duì)SPK{x : xi= X}(m) 的基于ROM 模型構(gòu)建如下[27], 即對(duì)消息m 的知識(shí)簽名為(t,T), 其中t = xcr mod N, T = rimod N, r 為隨機(jī)數(shù), c = Hash(m) (Hash 函數(shù)看作是Random Oracle), 驗(yàn)證時(shí)看ti=XcT mod N 是否成立即可.

此種基于ROM 模型的NIZK 優(yōu)點(diǎn)是簡(jiǎn)單, 缺點(diǎn)是安全性較基于標(biāo)準(zhǔn)模型的方案弱. 文獻(xiàn)[28–30] 中的方案是交互式的ZK 協(xié)議不適合構(gòu)建簽名方案, 而且這些方案都是對(duì)多項(xiàng)式函數(shù)的根的零知識(shí)證明, 此處用的方案比較簡(jiǎn)單只是證明擁有一個(gè)RSA 簽名.

(4) 驗(yàn)證當(dāng)然就是驗(yàn)證上述SPK 是否合法, 以及下式是否成立:

成立當(dāng)然說(shuō)明簽名者擁有公鑰多項(xiàng)式的一個(gè)解.

(5) 打開(kāi)簽名: 利用群簽名中的Xt,Yt,Zt,Wt, 以及成員加入時(shí)提供的信息, GM 可簡(jiǎn)單的判斷是誰(shuí)做出的簽名.

(6) 撤銷:

(a) VLR 單個(gè)成員撤銷: 把此成員的(X,Y,Z,W) 信息放入撤銷列表RL (Revocation List) 中去, 這樣驗(yàn)證方很容易判斷一個(gè)簽名是否由其簽署;

(b) 小組撤銷: 公布一條直線方程:

到RL 中去, 這樣驗(yàn)證方可由簽名中的Xt,Yt,Zt,Wt來(lái)判斷簽名者是否屬于被撤銷的小組;(c) 大組撤銷: 公布一個(gè)平面方程到RL 中去:

下面給出一個(gè)具體的例子

例如, 作為公鑰的多項(xiàng)式為:

可取一條直線如下:

任取此直線的兩個(gè)點(diǎn)如(為簡(jiǎn)化描述, 以下運(yùn)算都是模323 的運(yùn)算):

可代入原線性化的公鑰多項(xiàng)式7X +8Y +9Z+10W +2=0 解出對(duì)應(yīng)的

所得的W 值相同, 因?yàn)榇藘牲c(diǎn)在同一直線上, 然后GM 利用私鑰可求出相應(yīng)的成員私鑰:

群成員在簽名時(shí), 先公布(X,Y,Z,W), 然后再零知識(shí)證明[31]:

撤銷時(shí), 若撤銷某個(gè)成員, 可把他的(X,Y,Z,W) 放入RL 中去即可, 而若要撤銷小組, 可把上述的直線方程:

放入RL 中, 這樣此條直線上的所有成員都被撤銷了.

顯然我們的層次群簽名構(gòu)建是可鏈接的, 即同一成員做的簽名雖然匿名但是可分辨的; 所以一個(gè)重要的公開(kāi)問(wèn)題就是如何構(gòu)建不可不可鏈接的層次撤銷群簽名方案.

4 安全性分析與效率對(duì)比

下面我們來(lái)證明上述層次群簽名方案滿足可追蹤性:

定理1 基于RSA 假設(shè), 上述的層次群簽名方案是可追蹤的.

證明: 基于RSA 假設(shè), 下面來(lái)證明能贏得上述可追蹤游戲的敵手A 是不存在的:

挑戰(zhàn)者C 作為群管理員生成群公鑰GPK 為N 和一個(gè)隨機(jī)多項(xiàng)式

私鑰 GSK=(p,q), 滿足N =pq, C 并把GPK 發(fā)給A: 如果A 發(fā)出Join 的請(qǐng)求, 那么C 就利用GSK生成一個(gè)MSK=(xi;yi;zi;wi) 發(fā)送給A; 如果A 發(fā)出Sign 的請(qǐng)求, 那么C 就利用任意群成員的MSK來(lái)生成群簽名

并發(fā)送給A; 如果A 發(fā)出Corruption 的請(qǐng)求, 要求得到對(duì)應(yīng)某個(gè)群成員公鑰MPK=(X;Y;Z;W) 的成員私鑰, 那么C 就利用GSK 來(lái)計(jì)算對(duì)應(yīng)的MSK=(x;y;z;w), 滿足:并把此MSK 發(fā)給敵手A; 如果A 發(fā)出Revoke 的請(qǐng)求, 那么就把此成員的MPK = (X;Y;Z;W) 放到撤銷列表RL 中去.

最后輸出階段, 來(lái)看A 的輸出, A 能贏得可追蹤的游戲, 即敵手A 能偽造簽名, 即A 能造出(?x,?y,?z, ?w), 滿足公鑰多項(xiàng)式且不同于任一組成員的私鑰, 即:

且

那么下面來(lái)證明這樣的敵手A 是不可能存在的, 否則就違反了RSA 假設(shè):

首先, 易見(jiàn)生成(X,Y,Z,W) 滿足方程

是容易的, 只需要隨機(jī)選擇(X,Y,Z), 然后再解一個(gè)線性方程就可求出對(duì)應(yīng)的W; 對(duì)于A 來(lái)說(shuō)困難在于如何生成成員秘鑰(x,y,z,w) 滿足

因A 沒(méi)有對(duì)應(yīng)的GM 私鑰p,q :N =pq, 即RSA 模的因子分解.

由于(?X, ?Y, ?Z, ?W) /∈{(Xi,Yi,Zi,Wi)}, 必定有:

因?yàn)閃 可由(X,Y,Z) 唯一確定(他們滿足一個(gè)線性方程), 不失一般性假設(shè)?Z /∈{(Zi)}:

(1) 如果ADV 先選定?z, 再計(jì)算?Z = ?zkmod N, 那么根據(jù)RSA 是隨機(jī)置換的假設(shè)?Z 就是隨機(jī)的,類似的可以生成隨機(jī)的 ?X 和?Y, 那么由之而確定出來(lái)的 ?W 也是必然是隨機(jī)的, 根據(jù)RSA 假設(shè),給定一個(gè)隨機(jī)數(shù) ?W, 來(lái)計(jì)算相應(yīng)的?w, 即其l 次方根是困難的.

(2) 如果如上所述, 先生成(?X, ?Y, ?W), 再計(jì)算?Z, 那么類似上述?Z 是隨機(jī)的, 那么根據(jù)RSA 假設(shè)計(jì)算?z = ?Z1/kmod N 就是困難的.

所以, 根據(jù)RSA 假設(shè), 能贏得可追蹤游戲的敵手A 是不存在的.

關(guān)于匿名性, 我們的方案只滿足有限匿名的特性, 即驗(yàn)證方不能知道簽名者的身份信息, 因?yàn)楹灻泄嫉?X,Y,Z,W) 都是隨機(jī)值, 在加上NIZK, 都不會(huì)暴露簽名者身份; 但同一成員所做的簽名是可以被分辨出來(lái)的, 因簽名中用的是相同的(X,Y,Z,W), 而GM 利用其數(shù)據(jù)庫(kù)中保存的成員加入時(shí)提供的信息可知道其身份.

效率比較參見(jiàn)表1, 表中N 是群的大小, 即群成員的人數(shù); R 表示被撤銷成員的個(gè)數(shù); L 表示可撤銷的層數(shù); 更新私鑰是指在GM 撤銷成員時(shí), 合法的群成員需不需要更新自己的私鑰; VLR 方案的驗(yàn)證開(kāi)銷為O(R), 是因?yàn)轵?yàn)證方要對(duì)RL 中的每一項(xiàng)來(lái)進(jìn)行檢驗(yàn); DA 方案的撤銷開(kāi)銷為O(N), 因?yàn)槊總€(gè)未被撤銷的群成員都要更新自己的私鑰, 所以撤銷一個(gè)成員對(duì)整個(gè)群來(lái)說(shuō)總體開(kāi)銷為O(N); NFHNF 方案比較高效, 主要缺點(diǎn)為公鑰較大為O(N); 綜合來(lái)看目前最高效的可撤銷群簽名方案是LPY 方案, 公鑰為O(log N), 簽名驗(yàn)證效率都為常量級(jí)O(1), 而且撤銷成員是合法群成員也不需要更新私鑰, 只是撤銷開(kāi)銷為O(R). 表中也對(duì)各個(gè)方案所基于的數(shù)學(xué)假設(shè), 和是否基于ROM 模型進(jìn)行了比較; LPY 方案是基于標(biāo)準(zhǔn)模型, 安全性較高, 但其所基于的數(shù)學(xué)假設(shè)較復(fù)雜.

作為引例的我們的第一個(gè)方案效率較低, 公鑰大小為O(N), 簽名驗(yàn)證的效率都為O(N), 撤銷成員的開(kāi)銷也是O(N), 優(yōu)點(diǎn)就是撤銷時(shí)合法成員不用更新私鑰; 我們的第二個(gè)方案效率有所提高, 公鑰大小、簽名效率是O(L), 即依賴于所需要撤銷的層次數(shù), 驗(yàn)證效率是O(R)/O(1), 即假如撤銷的單個(gè)成員, 那么驗(yàn)證效率是O(R), 而假如撤銷的是一組成員, 那么效率比較高近似為O(1), 撤銷操作也比較高效為O(1),即GM 只要把相關(guān)信息放入RL 中即可.

總體上看, 我們的方案的效率同其他可撤銷群簽名方案相比, 效率上并沒(méi)有優(yōu)勢(shì), 但我們的方案時(shí)支持層次撤銷的, 具有其他方案所沒(méi)有的可撤銷小組、大組、更大組的功能.

表1 效率與安全性比較Table 1 Comparison of efficiency and security

5 結(jié)束語(yǔ)

本文提出一種新的群簽名撤銷的概念: 層次撤銷, 即把所有成員組織成小組、大組、更大的組等這種層次結(jié)構(gòu), 這樣撤銷時(shí)可選擇撤銷個(gè)人、小組、大組等.

基于RSA 假設(shè)、多項(xiàng)式、NIZK 等技術(shù)給出了一個(gè)具體的方案, 撤銷時(shí)對(duì)未撤銷的用戶沒(méi)有任何影響, 只要GM 把成員、或小組或大組的相關(guān)信息加入RL 中即可, 簽名驗(yàn)證者下載RL 后即可驗(yàn)證簽名是否合法(即VLR 撤銷), 但比傳統(tǒng)VLR 撤銷更高效, 因傳統(tǒng)VLR 的RL 中每一項(xiàng)只能撤銷一個(gè)成員, 而我們的方案的RL 中一項(xiàng)既可以撤銷一個(gè)成員, 也可以撤銷一組成員.

但我們構(gòu)建方案的缺點(diǎn)是簽名是可鏈接的, 即同一群成員的簽名雖然是匿名的, 但是可被發(fā)現(xiàn)是同一成員簽署的; 所以一個(gè)重要的公開(kāi)問(wèn)題就是如何構(gòu)建不可鏈接的層次撤銷群簽名方案.