用基于身份的环签密构造的并发签名方案

开篇：润墨网以专业的文秘视角，为您筛选了一篇用基于身份的环签密构造的并发签名方案范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：

基于身份的环签密算法兼具基于身份的密码体制与签密技术高效性的优点，同时具备环签名的模糊性。针对罗铭等提出的基于签密的公平交换协议（罗铭，邹春华，胡军，等. 基于签密的公平交易协议. 通信学报，2010，31（8A）：146-150）中公平性水平与算法效率不高的问题，新方案引入了一个更加高效的基于身份的环签密算法，并将绑定签名身份与解密密文分开处理，构造了一种新的并发签名方案，并基于该方案构造了一个公平交换协议。分析表明，该方案克服了原方案公平性的不足，并在算法效率上有所提高，能很好地应用在电子支付、合同签署等电子商务活动中。

关键词：

基于身份；环签密；并发签名；公平交易协议；公平性

0引言

当今时代，电子商务越来越频繁，网上购物正在成为越来越普及的购物形式。公平交换在这个网络电子时代更是被赋予了新的形式。如果一个签名方案要满足公平性，那么一个必要条件是：在协议结束的时候，参与交换的双方要么都得到了对方有效的签名，要么都没有得到对方有效的签名。近年来，人们围绕公平交换的问题已经提出了很多种解决方案，主要有三种：

1）渐进交换协议。参与双方不得不进行大量而且繁琐的交互步骤以达到交换数字信息的目的。然而，这些解决方法仍不能保证完整的公平性，因为在协议结束的时候，一方往往比另一方拥有1 bit的优势。

2）许多关于公平交换协议的研究主要是集中在利用可信第三方（Trusted Third Party，TTP）上，在这一类协议中TTP要么一直保持在线（online）或者在发生纠纷的时候出面解决（offline）。因此，不管是online还是offline的TTP都很容易引起瓶颈问题，至少是执行效率低下。

3）并发签名协议。基本思想是：初始签名者随机选择一个称为keystone的秘密，然后交易双方分别做一个环签名发给对方。因为环签名具有模糊性，双方都无法向任何第三方证明签名的真实主人，所以此时的签名不是有效的签名。当keystone释放（“释放”指的是初始签名者把keystone公布或发给与之发生交易的对方，由对方公布）之后，两个模糊签名同时生效，即任何知道keystone的人可以通过一个验证算法得知签名的真实主人。基于并发签名的公平交换协议直接由参与交换的双方通过环签名来交换数字信息，不需要TTP的参与。

1相关工作

并发签名的概念是由Chen等[1]于2004年提出的，并给出了协议的一个具体方案。不久，Susil 等[2]指出，Chen提出的具体方案在keystone释放之前，假如签名双方是诚实的，任何人都可以将签名与签名者的身份绑定（“绑定”指可以通过验证算法确定签名的真实签名者）；并且Susil 等同时提出了完美并发签名的概念，即使在双方是诚实的情况下，在keystone释放之前任何人都不能将签名与签名者的身份绑定，并给出了两个具体的方案。然而，Wang等[3]指出Susil等的方案会导致不公平的发生。初始签名者可以精心选择keystone，使得keystone释放之后，匹配签名者的签名可以与其身份绑定，但初始签名者的身份却不能与其身份绑定，这样对匹配签名者是不公平的。Wang等对Susil 等的方案进行了改进，提出了更加公平的并发签名方案。Wang等的思路是：keystone不是只由初始签名者选择，而是由两部分组成，一部分由初始签名者选择，一部分由匹配签名者选择。在Susil等提出完美并发签名的概念后不久，又提出了基于身份的并发签名方案[4]，但是在公平性上的缺陷并没有改进。之后Huang等[5]发现了这个缺陷，并给出了针对此方案的一个攻击，同时给出了对方案的改进，提出了两套新的并发签名方案。

对于并发签名，还有很多人提出了自己的方案。Huang等提出的基于身份的并发签名方案[6]，在释放keystone之后并不能实现对签名双方身份的绑定。Qin等[7]为了能让匹配签名者也知道keystone，设计了一个keystone的提取算法，让匹配签名者在签名之前就可以知道keystone。但是这样却使得匹配签名者可以将keystone释放从而得到初始签名者的有效签名。而此时匹配签名者还没有把他的签名发给初始签名者，所以对于初始签名者来说这是不公平的。刘景伟等[8]提出了一种新的公平交换方案，做法是将并发签名中的环签名替换为普通的签名。这样就不能利用环签名的模糊性了，作者指出新的方案利用的是未激活签名的沉睡性，但是对于沉睡性这一新概念并没有给出明确的阐述。

以上这些并发签名方案只能交易双方的签名，不能交易数字商品（如视频或软件等）。陈光辉等[9]在2008年提出了一个可用于交易数字商品的交易协议，李云峰等[10]基于上述协议提出了一种无需可信第三方的防滥用公平交换协议，但他们的协议存在两个缺陷：一是协议要求通信双方之间的信道是安全的，这极大限制了该方案的适用范围；二是该协议中的keystone由其中一方释放，这样使得该方对另一方有特殊的优势。罗铭等[11]利用签密技术设计了一个基于签密的并发签名方案，并声称使得上面两个问题得以解决。孙艳宾等[12]提出罗铭等的方案是不抗接收者伪造的，并对罗铭等方案进行了改进，从而弥补了这一缺陷。但是孙艳宾等并没有发现罗铭等协议的不公平性，这个不公平性表现为：B（匹配签名者）在获得A（初始签名者）的keystone之后，已经可以像银行证明B与A发生了交易，并从银行获得A的付款。如果B不诚实的话，已经没有必要把自己的keystone发给A。因为要获得数字商品的内容需要B的keystone，这样A就无法获得数字商品的内容，但是B却可以获得A的付款。这使得对A来说是不公平的。

本文将基于身份的密码体制与环签密技术引入并发签名中，减少了通信成本；并通过分析发现导致文献[11-12]中的不公平性的原因是绑定B的签名与解签密都要依赖于B的keystone，使得不管是谁先把自己的keystone释放都会导致不公平性的发生。本文中的方案将解签密与签名身份绑定分开处理，使解签密摆脱了对keystone的依赖，上述不公平性也因此得到了解决。另外本文参考了祁正华[13] 提出的一个更加高效的基于身份的环签密算法，所以整个方案在执行效率上也有所提高。

5结语

本文将基于身份的密码体制与签密技术进行有效的结合，设计了一个用基于身份的环签密构造的并发签名方案，大大提高了并发签名的效率，降低了通信成本，并基于该方案设计了一个公平交换协议。该协议既可用于交易实物又可用于交易数字商品，并将解密密文与绑定签名分开来处理，获得了更好的公平性，使得该协议在电子支付、合同签署、邮件认证等电子商务活动中有着比较广泛的应用前景。

参考文献：

[1]

CHEN L， KUDLA C， PATERSON K G. Concurrent signatures [C]// Advances in Cryptology： EUROCRYPT 2004， LNCS 3027. Berlin： SpringerVerlag， 2004： 287-305.

[2]

SUSIL O W， MU Y， ZHANG F. Perfect concurrent signature schemes [C] // ICICS04：Proceedings of Information and Communications Security， LNCS 3269. Berlin： SprigerVerlag， 2004： 14-26.

[3]

WANG G L， BAO F， ZHOU J Y. The fairness of perfect concurrent signatures[C] // ICICS06：Proceedings of the 8th International Conference on Information and Communications Security，LNCS 4307. Berlin： SpringerVerlag， 2006： 435-451.

[4]

CHOW S S M， SUSILO W. Generic construction of （identitybased） perfect concurrent signatures [C] // ICICS05：Proceedings of the 7th International Conference on Information and Communications Security， LNCS 3783. Berlin： SpringerVerlag， 2005：194-206.

[5]

HUANG Z J， CHEN K F， WANG Y M. Analysis and improvements of two identitybased perfect concurrent signature schemes[J]. Informatica，2007， 18（3）： 375-394.

[6]

HUANG X F， WANG L C. A fair concurrent signature scheme based on identity [C] // HPCA09：Proceedings of the 2nd International Conference on Highperformance Computing and Applications， LNCS 5938. Berlin： SpringerVerlag， 2010： 198-205

[7]

QIN W， ZHOU N R. New concurrent digital signature scheme based on the computational DiffieHellman problem[J]. The Journal of China Universities of Posts and Telecommunications， 2010，17（6）：89-94.

[8]

刘景伟，孙蓉，郭庆燮. 公平交换签名方案[J]. 中国科学：信息科学，2010， 40（6）：786-795.

[9]

陈光辉，卿斯汉，齐志峰，等. 新颖的基于并发签名的公平交换协议[J]. 通信学报，2008，29（7）：39-43.

[10]

李云峰，何大可，路献辉. 无需可信第三方的防滥用公平交换协议[J]. 计算机应用研究，2009，26（8）：3053-3055.

[11]

罗铭，邹春华，胡军，等. 基于签密的公平交易协议[J]. 通信学报，2010，31（8A）：146-150.

[12]

孙艳宾，孙燕，赵辰，等. 基于签密的公平交换协议的安全性分析与改进[J]. 北京邮电大学学报，2011，34（6）：38-41.

[13]

祁正华. 基于身份的签密方案研究[D]. 南京：南京邮电大学，2011.