书书书收稿日期:20071017基金项目:国家自然科学基金资助(60473027,60772736);国家“863”高技术研究发展计划项目基金资助(2007AA01Z435)作者简介:张跃宇(1978),男,讲师,西安电子科技大学博士研究生,Email:yyzhang@xidian.edu.cn.一种基于群签名的安全电子拍卖方案张跃宇,李 晖,王育民(西安电子科技大学计算机网络与信息安全教育部重点实验室,陕西西安 710071)摘要:基于线性CramerShoup加密方案提出了一种新的短群签名方案,该方案的完全匿名性抗适应性选择密文攻击,允许攻击者在攻击匿名性时打开签名.以该群签名为构造模块设计了一种安全的电子拍卖方案,在相同的安全性要求下,签名长度、群公钥长度、签名密钥长度、注册密钥长度和追踪密钥长度指标与基于RSA问题的同类拍卖方案相比,分别约是它的1/14,1/7,1/17,1/40和1/4.与投标者是抗选择明文攻击完全匿名的基于双线性对的拍卖方案相比,新方案投标者具有抗选择密文攻击完全匿名,而通信量和计算量与前者相当.关键词:电子拍卖;群签名;线性CramerShoup加密;完全匿名性中图分类号:TN918.1 文献标识码:A 文章编号:10012400(2008)04061406犛犲犮狌狉犲犲犾犲犮狋狉狅狀犻犮犪狌犮狋犻狅狀狊犮犺犲犿犲犫犪狊犲犱狅狀狋犺犲犵狉狅狌狆狊犻犵狀犪狋狌狉犲犣犎犃犖犌犢狌犲狔狌,犔犐犎狌犻,犠犃犖犌犢狌犿犻狀(MinistryofEducationKeyLab.ofComputerNetworkandInformationSecurity,XidianUniv.,Xian 710071,China)犃犫狊狋狉犪犮狋: BasedonLinearCramerShoupencryption,anewshortgroupsignatureisproposed.Theanonymitypropertyofthisschemeissecureagainstadaptivechosenciphertextattacks(CCA2),whichallowstheadversarytoopenthesignaturewhentryingtobreaktheanonymitynotion.Usingthisgroupsignatureasabuildingblock,asecureelectronicauctionschemeisdesigned.Underthesamesecurityconditions,theschemehassizesofsignature,grouppublickey,signingkey,registerkeyandtracingkey1/14,1/7,1/17,1/40and1/4thoseoftheschemebasedontheRSAproblem.Comparedwiththepairingbasedschemeinwhichthebidder’sanonymityisCPAsecure,thecomplexitiesofcommunicationandcomputationinthispaperareapproximatetothoseintheformer,buttheCCA2fullanonymityofbiddersisachievedinthisnewscheme.犓犲狔犠狅狉犱狊: electronicauction;groupsignature;linearCramerShoupencryption;fullanonymity随着科技的发展和保密系统的完善,尤其是网络技术的发展,拍卖这种交易正逐渐从传统模式转向基于Internet的电子模式———电子拍卖.电子拍卖是一种特殊的现货交易方式,一个由拍卖群体决定价格及分配的过程,投标者的身份在拍卖期间不能泄漏,在拍卖结束后,只有中标者的身份泄漏.群签名的概念是由Chaum和Heyst提出的[1],在群签名方案中,群成员可以匿名签名,并且其成员身份可以被验证,在发生争执时,可以通过打开签名揭示签名者的真实身份.群签名具有一些特殊的性质,例如匿名性、无关联性、可追踪性、抗合谋攻击以及不可伪造性等,因此一些文献[2~8]认为群签名技术是设计电子拍卖方案的一个有效工具.其中,文献[6]利用的是可转换群签名方案;文献[3~5]中的电子拍卖方案基于CS97群签名[9],签名的长度约7kByte,计算量大约140000次模乘,拍卖方案效率很低;文献[2]利用的是ACJT群签名方案[10],该签名方案是可证明安全的,抗联合攻击,但签名长度依然很长,并且存在密钥管理问题,在拍卖效率上也不是很高.上述5个方案都是基于RSA问题.2004年,Boneh等人基于双线性对和判2008年8月第35卷 第4期 西安电子科技大学学报(自然科学版)犑犗犝犚犖犃犔 犗犉 犡犐犇犐犃犖 犝犖犐犞犈犚犛犐犜犢 Aug.2008Vol.35 No.4定线性假设提出短群签名方案[11](简称BBS方案),签名长度为1533bit,计算量与前面的方案相比较小.文献[7]利用BBS方案提出一个新的拍卖方案,虽然拍卖效率大大提高,但依然存在问题,即BBS方案是抗选择明文攻击(CPA)完全匿名的,对Bellare等人于2003年给出的完全匿名性定义[12]进行了弱化,在试图攻破匿名性定义时对攻击者作了限制,不允许提问打开预言机,即不能打开签名.笔者首先对BBS方案进行了改进,使用线性CramerShoup加密[13]替换线性加密方案[11],实现了一种抗选择密文攻击(CCA2)完全匿名的群签名方案,允许攻击者在攻击匿名性时打开签名.1 电子拍卖1.1 电子拍卖模型 一般来说,拍卖主体由若干投标者、拍卖行、注册中心以及卖方组成.拍卖过程分为以下4个步骤:(1)拍卖登记:拍卖开始之前每个投标者首先向注册中心提交拍卖申请,注册中心验证申请的合法性后,分配给每个合法的投标者一个秘密的序列号.(2)提交标价:拍卖行宣布拍卖开始后,每个合法的投标者提交他们的标价(公开竞价或者秘密投标)给拍卖行.一般情况下,卖方要给出一个最低价位,投标者的标价不能低于最低价位.(3)结束投标:经过一段时间后,拍卖行宣布投标结束(即不再接收标价).(4)宣布结果:拍卖行宣布最高价位者获胜并且公开获胜标价.最后,中标者支付等量的货币,卖者将货物给中标者.1.2 电子拍卖应具有的安全性质一个电子拍卖方案通常应具有如下安全性质:(1)投标者的匿名性:不能从投标的签名上获得投标者的身份;(2)可追踪性:在宣布中标结果后中标者不能否认他/她所投的标;(3)不可伪造性:不能以一个有效的签名伪造标书;(4)可验证性:任何人都可以验证投标的签名,以确认投标人是否有效;(5)不同拍卖间的无关联性:同一投标者在不同拍卖中的投标不可以联系;(6)标价保密性:只有中标价公开,其他标价保密.2 复杂度假设与犆犆犃2完全匿名的群签名2.1 双线性群 设犌1=<犵1>,犌2=<犵2>和犌3是阶为素数狆的循环群;ψ是犌2到犌1的可计算同构,ψ(犵2)=犵1;犲为可计算的映射犲:犌1×犌2→犌3.犲具有两个性质,一是双线性,即对所有的狌∈犌1,狏∈犌2及犪,犫∈犣,有犲(狌犪,狏犫)=犲(狌,狏)犪犫;二是非退化性,即犲(犵1,犵2)≠1,则称群(犌1,犌2)是一对双线性群[14].2.2 StrongDiffieHellman(SDH)假设设犌=<犵>是阶为素数狆的循环群,对所有的概率多项式时间算法犃,概率犘[狉犃(犵,犵γ,…,犵(γ狇))(=犵1/(γ+狓),)狓∧狓∈犣]狆是可忽略的,其中γ∈犣狆[15].2.3 判定线性假设设犌=<犵>是阶为素数狆的循环群,狌,狏,犺,η∈犚犌且犪,犫∈犚犣狆,对所有的概率多项式时间算法犃,概率犘狉[犃(狌,狏,犺,狌犪,狏犫,犺犪+犫)]-犘狉[犃(狌,狏,犺,狌犪,狏犫,η]是可忽略的[11].2.4 CCA2完全匿名的群签名笔者提出一种CCA2完全匿名的群签名方案,它是以下所述电子拍卖协议的重要构造模块.设双线性群犌的生成元为犵,SDH假设在(犌,犌)上成立,且线性假设在群犌上成立,Hash函数犎:{0,1}→犣狆,CCA2完全匿名的群签名方案由以下算法组成:(1)密钥生成算法KeyGen(狀) 算法中的输入参数狀表示群成员的个数.选择狕1,狕2,狕3∈犚犣狆,令犵1,516第4期 张跃宇等:一种基于群签名的安全电子拍卖方案犵2,犵3∈犌,使犺1←犵狕11犵狕33,犺2←犵狕22犵狕33,并令ω=犵γ,其中γ∈犚犣狆,γ仅有密钥分发者知道.对1≤犻≤狀,选择狓犻∈犚犣狆,令犃犻←犵1/(γ+狓犻),得到关于用户犻的SDH对(犃犻,狓犻).群公钥犽gp为(犵,犵1,犵2,犵3,犺1,犺2,ω),用户犻的私钥犽gs[犻]为(犃犻,狓犻),群管理员用于追踪签名的私钥犽gm为(狕1,狕2,狕3).(2)签名算法Sign(犽gp,犽gs[犻],犕) 该算法的参数为群公钥犽gp,用户犻的私钥犽gs[犻]和待签消息犕∈{0,1}.用户犻首先选择指数α,β∈犚犣狆,计算犃犻的线性CramerShoup加密犜1=犵α1,犜2=犵β2,犜3=犵α+β3,犜4=犃犻犺α1犺β2,然后计算两个辅助值δ1=狓犻α,δ2=狓犻β.接着随机选择盲化值狉α,狉β,狉狓犻,狉δ1,狉δ2∈犚犣狆,计算犚1←犵狉α1,犚2←犵狉β2,犚3←犵狉α+狉β3,犚5←犜狉狓犻1·犵-狉δ11,犚6←犜狉狓犻2·犵-狉δ22,犚7←犜狉狓犻3·犵-狉δ1-狉δ23,犚4←犲(犜4,犵)狉狓犻·犲(犜4,犵)狉狓犻·犲(犺1,犵)-狉δ1·犲(犺1,ω)-狉α·犲(犺2,犵)-狉δ2·犲(犺2,ω)-狉β,将上述值与消息犕进行Hash后得犮←犎(犜1,犜2,犜3,犜4,犚1,犚2,犚3,犚4,犚5,犚6,犚7,犕),然后计算狊α=狉α+犮α,狊β=狉β+犮β,狊狓犻=狉狓犻+犮狓犻,狊δ1=狉δ1+犮δ1,狊δ2=狉δ2+犮δ2∈犣狆,最后,输出签名σ←(犜1,犜2,犜3,犜4,犮,狊α,狊β,狊狓,狊δ1,狊δ2).(3)验证算法Verify(犽gp,犕,σ) 在此算法中,给定群公钥犽gp、消息犕和群签名σ,验证该签名是否为知识(犃犻,狓犻,α,β)的有效签名.验证者重推犚1~犚7:珟犚1←犵狊α1/犜犮1,珟犚2←犵狊β2/犜犮2,珟犚3←犵狊α+狊β3/犜犮3,珟犚5←犜狊狓犻1/犵狊δ11,珟犚6←犜狊狓犻2/犵狊δ22,珟犚7←犜狊狓犻3/犵狊δ1+狊δ23,珟犚4←(犜4,犵)狊狓犻·犲(犺1,犵)-狊δ1·犲(犺1,ω)-狊α·犲(犺2,犵)-狊δ2·犲(犺2,ω)-狊β(·犲(犵,犵)/犲(犜4,ω))-犮.然后验证犮=犎(犜1,犜2,犜3,犜4,珟犚1,珟犚2,珟犚3,珟犚4,珟犚5,珟犚6,珟犚7,犕),如果验证成功则验证者接受.(4)签名打开算法Open(犽gp,犽gm,犕,σ) 群管理员在签名打开算法中输入群公钥犽gp=(犵,犵1,犵2,犵3,犺1,犺2,ω)、消息犕、群签名σ=(犜1,犜2,犜3,犜4,犮,狊α,狊β,狊狓,狊δ1,狊δ2)和群管理员私钥犽gm=(狕1,狕2,狕3),执行该算法揭示此签名的签名者.在验证σ是有效签名后,对线性CramerShoup加密犜1,犜2,犜3,犜4计算犃←犜4/(犜狕11犜狕22犜狕33).群管理员根据用户列表查找犃所对应的用户犃犻即可确定签名者身份.由于在上述群签名方案中所使用的加密方案,即线性CramerShoup加密是CCA2安全的,因此群签名方案是CCA2完全匿名的,与BBS方案一样,本节的群签名也具有完全可追踪性.上述两个性质的证明方法与BBS方案类似,具体的证明过程可参见文献[11].在利用群签名构造的电子拍卖方案中,群管理员对应于拍卖管