摘  要： 提出新的(t，n)門限數字簽名方案，即基于橢圓曲線可追蹤的門限數字簽名方案，構造以橢圓曲線為基礎和核心的門限數字簽名，以實現用更短的密鑰達到和RSA同等安全強度的門限簽名系統。同時，實現在事后發生爭執或需要追究責任時，可以通過仲裁機制追查出參與簽名成員的身份。
關鍵詞： 橢圓曲線密碼體制；數字簽名；門限簽名；可追蹤

    自1991年DESMEDT F首次提出門限簽名方案以來，門限簽名引起了密碼學界的廣泛關注和研究，并且提出了各種各樣的(t，n)門限群簽名方案[1]，也對這些方案提出了很多攻擊方法和改進措施。與普通的數字簽名相比，由于門限群簽名需要多方參與，其安全性和健壯性有了很大的提高；與群簽名相比，門限簽名具有易操作性和方便性[2]。
    橢圓曲線密碼體制ECC(Elliptic Curve Cryptography)[3-5]的安全性是基于橢圓曲線上離散對數問題ECDLP(Ellip tic Curve Discrete Logarithm Problem)的。與其他公鑰密碼相比，橢圓曲線具有每比特數據最高的安全強度，這樣的好處是計算參數更小、密鑰更短、運算速度更快、簽名也更加短小。
參考文獻[1]證明了(t，n)門限群簽名方案不能抵抗合謀攻擊和偽造攻擊，也不具備可追蹤性。本文針對這些問題對上述方案進行了改進，提出了一種基于橢圓曲線的可追蹤門限數字簽名方案。該方案以橢圓曲線為基礎，采用二次簽名等方式，可有效地避免參考文獻[1]所暴露的缺陷和不足。
1 橢圓曲線的可追蹤門限簽名方案
    該方案根據分工不同，有三種角色，即簽名者、簽名組合者和秘密處理者。
    簽名者pi進行門限簽名操作。用集合T={p1、p2、p3…pn}表示由n個簽名者組成的簽名者群體。該方案主要由參數選擇、子密鑰產生過程、簽名過程、簽名驗證和事后追蹤等5個部分組成。
    簽名組合者C，收集單個簽名者的操作結果，然后將收集的數據進行驗證并組合。C同時是群簽名消息的唯一發布者，C自選一個合適的簽名體制(稱為群簽名消息發布簽名系統)來對群簽名消息再次簽名。這樣通過將群簽名消息的發布權進行控制以提高系統安全。C保留其私鑰Dc，公開公鑰Ec。
秘密處理者D，即可信任中心，主要是在系統初始化階段處理、協調系統參數設置和子密鑰分配等操作。一旦系統初始化成功則退出簽名系統。





    否則該等式不成立。因此C可利用該等式對各簽名者身份的真實性進行判斷。
2.2 抗群內成員合謀攻擊
    由于本方案采用了二次簽名的方式，同時簽名者的選取是由C來完成的，因此可以有效地抵抗T內成員的合謀攻擊。在整個簽名過程中C都必須參與其中。簽名者的選取必須由C來完成，bi和g’(0)等數據計算要C來完成，S的合成也要由C來完成。即使假設在這些過程中合謀者繞過C來進行，不要C的參與，T內成員的合謀也是不可能成功的。這是因為群簽名消息的發布權限完全是局限在C的身上，沒有C的參與，T內的成員是無法產生有效的群簽名消息的。因此沒有最后一步C的簽名，接收者可以立即發現該簽名消息異常，從而拒絕該簽名。
2.3 抗C偽造簽名攻擊
    由于在本方案中，C只是對簽名過程進行組織以及對簽名消息進行發布，他除了掌握簽名發布密鑰外并不掌握系統其他的任何密鑰，即C不能獲取到簽名者的私有密鑰di，也就是不能偽造T內成員進行簽名。同時也不能通過構建多項式獲取群的私鑰d。這是因為，在Lagrange公式中要恢復d必須要有t個簽名者的私鑰di和身份標志ui。而C只能獲得簽名者的身份標志，但是不能獲得簽名者的私鑰。同時，由于在本方案中對群簽名消息發布的權限進行了綁定和限制，整個群消息的發布只能是C來完成。因此，如果C和T內的t個成員進行合謀對某個文件m′進行非法簽名，在事后追查時，則首先就可以確定C是參與了m′的簽名。這是因為只有C知道他自己的私鑰Dc，別人不得而知，其他人也就不能對群簽名消息進行發布。因此，只要接收者公布其接收到對m′的簽名消息，仲裁者就可以通過驗證確認C是否參與了合謀。一旦發現C參與了合謀就必須對其進行嚴厲的制裁，使其承擔所有責任。因此，通過綁定群簽名消息的發布權限在C身上，采用二次簽名的方式從實際上阻止了合謀攻擊。
2.4 抗群外人員選擇消息攻擊
    選擇消息攻擊是指攻擊者通過分析簽名群體對多個消息的簽名，從而構造出對另一消息(設為N)的有效簽名[7]。
　攻擊者可從簽名者群體公開的參數和發送的數據得到以下信息：E，P，Q，q，g(x)，H()，S，r。如果群體外攻擊者要對消息N構造出一個有效的簽名，則必須通過對以前的簽名進行分析(假設以對消息m的簽名進行分析為例)，以構造一個S0、e0和g0(x)。攻擊者將面臨以下難題：

    本文提出了一個基于橢圓曲線的可追蹤(t，n)門限數字簽名方案，并對該方案進行了安全性分析。在本方案中，除了秘密共享階段需要保密通信外，在簽名和驗證過程中都不需要進行保密通信，這可以保證方案方便使用。基于橢圓曲線密碼體制保證了方案的安全性。通過將群簽名消息的權限綁定在C身上，采用二次簽名的方式，不僅可以抵抗外部成員的攻擊，也可以有效地抵抗T集合內部成員的合謀攻擊，同時還可以有效地防止簽名組織者C的攻擊。
參考文獻
[1] 黃梅娟，張建中．一種安全的門限群簽名方案[J]．計算機應用研究，2006(6)：116-117.
[2] 王化群，張力軍，趙君喜．基于橢圓曲線的無可信中心(t，n)門限群簽名[J]．信號處理，2006，2(22)：189-192.
[3] 張方國，王常杰，王育民. 基于橢圓曲線的數字簽名與盲簽名[J]. 通信學報，2001，18(2)：186-192.
[4] 龍芳. 數字簽名算法研究[J].信息安全與通信保密，2007(5)：143-145.
[5] 秦志光，張險峰，周世杰，等．基于ECC的門限數字簽名方案及其安全性[J]．電子科技大學學報，2005，34(1)：109-112.
[6] 王書文．秘密分享密碼體制進展[J]．西北民族大學學報，2003，24(2)：53-68.
[7] 楊義先，鈕心忻．應用密碼學[J]．北京：北京郵電大學出版社，2005．