基于群签名构造实用数字指纹方案

基于群签名构造实用数字指纹 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 1102009,45(24)ComputerEngineeringandApplications计算机工程与应用 基于群签名构造实用数字指纹方案 柳欣2,徐秋亮2,秦然1 LIUXin1,2,XUQiu—liang;,QINRan 1.山东省青年管理干部学院信息工程系,济南250014 2.山东大学计算机科学与技术学院,济南250101 1.DepartmentofInformationEngineering,ShandongYouthCoUege,Jinan250014,China 2.SchoolofComputerScienceandTechnology,ShandongUniversity,Jinan250101,China E—mail:Konne@163.com LIUXin,XUQiu-Hang,QINRan.Buildingpracticalanonymousfingerprintingschemebasedongroupsignature.Computer EngineeringandApplications,2009.45(24):110-113. Abstract:Digitalfingerprintingschemesareeryptographietechniquesforsupportingcopyrightprotectionofdigitaldata.Thispaper extendsthestateoftheartgroupsignatureofCamenischandGroth,whichisconsideredtobehighlyefficientatpresent,andon thatbasispresentsapracticalanonymousfingerprintingscheme.Thisscheme'Smainmeritsmakeitpracticalforapplications.More precisely,aftertheregistrationthebuyercanpurchasethepreferreddataanonymously,andthenumberoftransactionsisunlimit— ed.Inaddition,asopposedtoanordinarygroupsignaturescheme,thereisnofixedrevocationmanager.Instead,thebuyerhimself choosesasecretfortraceabilityandtakestheroleoftherevocationmanager.Itcanbeprovedthatthenewprotocolfulfillsthe followingproperties,i.e.,thesecurityofthemerchant,thebuyerandtheregistrationcenter,aswellasbuyer'Sanonymity. Keywords:copyrightprotection;anonymousfingerprinting;groupsignature;traceability 摘要:数字指纹方案是一种能实现对数字数据进行版权保护的密码机制.对目前较为高效的由Camenisch与Groth提出的群签 名方案进行了扩展,提出了一个实用的基于群签名的匿名数字指纹方案.新方案有如下实用特点,即客户注册成功后可以匿名地 购买所需数据,且不受购买次数限制.另外,与普通群签名不同,群体中不设固定的身份撤销管理员,而是由客户自行选取用于进 行身份追踪的秘密信息并充当这个角色.可以证明:新方案确保了商家,顾客,注册中心的隐私,以及顾客的匿名性. 关键词:版权保护;匿名数字指纹;群签名;可追踪性 DOI:10.3778~.issn.1002—8331.2009.24.033文章编号:1002—833l(2009)24—0110—04文献标识码:A中图分类号:TP309 1引言 随着网络的普及与互联网的发展,如何对以数字形式存储 的重要信息进行保护已成为—个亟待解决的重要问题.数字指 纹方案是一种能实现对数字数据进行版权保护的密码机制.此 类方案允许客户合法地购得数据并能对其进行复制.但是,客 户可能会无视版权条件地滥用数据,即非法地对所购数据进行 重新分发,此时该客户就被称为叛逆者.数字指纹方案能够阻 止叛逆者的行为,方法是使得分发原始数据的商家能够对当初 购买过该数据副本的叛逆者进行身份识别.通常,数字指纹方 案可以分为对称方案,非对称方案及匿名非对称方案三种类型. 其中,较为实用的一类是匿名非对称方案.此类方案使得客 户可以匿名地购买数据,而商家也能取得销售证据,从而能在 客户有叛逆行为时向任何第三方证明这一点. 群签名方案口-允许群成员以匿名方式代表其所属群体对 消息签名,此类方案可以确保签名成员的隐私,因为验证者仅 能验证签名的有效性,而无法得知签名者的真实身份,甚至不 能将同—个群成员的多个群签名关联起来.当发生争执时,可 以由群体的身份管理员撤销签名者的匿名身份.群签名方案提 供了许多实用的性质,其中包括签名者的匿名性与无关联性, 群签名本身的不可伪造性,防止对无辜成员的陷害,群成员匿 名身份的可追踪性以及抵抗联合攻击等.文献【2】指出,可以将 群签名视为一种设计实用数字指纹方案的有效工具,但并未给 出具体的实现方案. 该文对目前较为高效的Camenisch—Groth群签名【行了 扩展,提出一个实用的匿名非对称数字指纹方案.新方案的特 点是客户注册成功后就可以匿名地购买所需数据,且不受购买 次数的限制.同时,在由注册客户构成的群体中,不设固定的身 份撤销管理员,而是由客户自己充当这个角色.新方案能确保 基金项日:山东省教育厅科技 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 项目 (theScienceandTechnologyPlanningProjectofEducationalCommissionofShandongProv ince.China underGrantNo.J07WJ21). 作者简介:柳欣(1978一),男,博士研究生,讲师,主要研究领域为密码学与信息安全; 徐秋亮(1960一),男,博士,教授,博士生导师,主要研究领域为 密码学与信息安全;秦然(1956一),女,副教授,主要研究领域为计算机系统设计,Ij 动控制技术与过程自动化. 收稿13期:2008—05—12修回13期:2008—07—23 柳欣,徐秋亮,秦然:基于群签名构造实用数字指纹方案2009,45(24)111 客户将用于打开群签名的秘密信息嵌入到其所购的数据版本 中,且该信息在嵌入过程中不会被泄露,只要今后该用户有叛 逆行为,商家就能从侵权版本中提取出这个秘密信息,并能追 查到叛逆者的真实身份. 2新的基于群签名的数字指纹方案 该文方案的设计思想如下:注册中心充当了群签名方案中 群管理员的角色,他负责客户群体的建立以及特殊隋况下的客 户身份废除.客户需要首先与注册中心执行注册 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 以取得合 法的群成员身份.当客户需要从商家那里购买所需的数据尸0 时,就可以与商家共同执行—个指纹嵌入协议.在该协议中,客 户需要向商家提供一个扩展了的Camenisch—Groth群签名., 用以证明自己的合法客户身份.需要指出的是,为了使得今后 在追踪叛逆者身份时不再需要借助于注册中心,只有客户自己 能打开.另外,指纹嵌入协议还 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 客户对于自行生成的用 于打开的秘密信息R进行承诺,并通过知识签名:证明自 己的确掌握被承诺的秘密信息R.最后,客户与商家共同执行 一 个安全的指纹嵌入算法Embed,从而将嵌入到原始数据 P0中.今后,当商家发现被非法重新分发的数据版本P后,就可 以执行叛逆者身份追踪协议将R提取出来,从而打开群签名 .并获得叛逆者的真实身份. 方案中做出如下假设:共存在4个参与方,分别为:商家 (),注册中心(c),客户(与仲裁者(A).(Embed,Extract) 为一对安全的指纹嵌入艉取算法r7].H为—个安全的抗碰撞的 散列函数. 方案中参数的含义如下:f|为安全参数;为散列函数日 的输出长度;厶表示一个足够大的数,使得商家能为所有的客 户分派一个不同的数字并使得El为素数;为所使用的模数的 长度.另外,必须满足++fl+l<f.以及z+f|+1</2四. 2.1密钥分发 (1)RC选择一个比特的RSA模数ng作为两个安全 素数p=2p+1与g=2g+l的乘积. (2)RC选择o,h,W?QR,利用h产生g并通过知识签名 SPK{(a):g)(")证明gE(^). (3)RC随机选择z.比特的素数Q以及比特的素数P, 使得QMP-1成立.令G口为的唯一素数Q阶子群,并选取生 成元F,Feo,f1). (4)RC选择,%?RZo,设G=,modP,H=fmodP,并获 得私钥gmsk=(p,q,Xc,%),且客户群体公钥为vk=(n,a,g,h, W,Q,P,F,F,G,日). 2.2客户注册 (1选取?,计算Y.=GmodP,并使用ri?.,计算 承诺串com,=g'hmod. (2)B构造Vo=SPK{(c~,口):YI=GmodPhco~=ghpmodn^ ?卜2,2"}】(")=(yf,con,c,,z,),并将Vo送给c. .的构造过程如下: ?选取?R{O,1}"rr'?R{O,1l",计算1=GmodP, 2 hmodn. ?计算挑战c=H(G,g,h,Y,comi,2),并设zx=r~+cx +co 的验证过程如下: ?检查是否满足E{0,1)',计算vz=GymodP,= gecD, f - ~ m0d. ?验证是否满足c=H(G,g,h,Y.,comi,2). (3)若V.有效,RC则确信B掌握用于产生承诺tom的秘 密知识氆,,则选取e?{0,1},使得置=2+e为素数.同时选 取E,H-gy,=(0?cDmf?h)mod,lmodn.最后,RC 需要将(IDB,Y)保存在注册数据库中. (4)RC将(,Ei,)返回给.曰验证是否满足,,=口? c0?hmodn,若是,则秘密保存skz(w',.,+,,ei). 2.3指纹嵌入 (1)B与协商确定一个文本text,用于描述此次购买的 数据以及版权信息. (2分另撒?下的知识签名l,.与:,并将它们发i羞给 1=sK{(,P,,,):nll."g-emodn^=nl0dP^ : F,modPA:GmodP^:H"m0dPA8?f一2''", +2?}^E{一2,+2lJ(把射):(c,,,,,,:, ).V.的构造过程如下: ?选取r?R{0,1},R,R?,计算u=h{modn,F= ' modP.UroodP.Ur=GR+x~modP ,UmodPo ?选取?,1)',rr?o,1】,?,1",R日,?, 并计算:ug—hr,roodn,Vo:FR,modP,Vl=F'R,roodP,V2: Gm0dP,V3;m0dP. ?计算挑战c=H(vk,H,,l,,,,V0,V1,V2,V3,text), 并设zx=r~+cxl,z.=+cef,z,=rr+c(一ri-rEi),zRR+cRmodQ,R,=;R+ cRmodQ. V2=SPK{(a,卢):cD一,modP}(text)=com,,,;R,;:). :的构造过程如下: ?选取互?G口,计算cor=,m0dPo选取r2?RGQ,并 计算=F"modP. ?计算挑战c=H(F,F,COmF,text),并设r1+cRmodP, z;=r2+cxmodP. (3)M验证与:的有效性. M对.的验证过程: ?检查是否满足E{0,1}?,?{0,1).计算:(删)? huc2'modn , Vo=F~'modP , Vl=UmodP,V2: emodP,vF矗~modPo ?验证是否满足 c=H(vk,,,Ul,,,,Vo,Vl,V2,V3,text) 对:的验证过程:验证是否满足 c=H(F,F,cDm,,,F0m--Ctext) (4)若上述验证都通过,则确信为合法的注册客户, 并与其执行指纹嵌入算法Embed,其中的秘密输入为原始 ComputerEngineeringandApplications计算机工程与应用 数据Data,c0m的秘密输入为(R,互,com,).算法Embed结 束后,曰获得嵌入了指纹信息的数据版本D%.最后,保 存(V1,comF,,text)作为销售记录. 2.4对叛逆者的身份识别,追踪 (1)今后,若M发现了被恶意重新分发的数据版本 D‰,则可应用提取算法Extract,得到(R,;,con,.)= Etroct(D%d). (2)M根据con,找到对应于该数据版本的原始销售记录 (.,c0mnte埘),并执行如下计算:G-R:cR+xG-R=G"=Y;modPo 2.5审判 (1)M将原始数据Data,被重新分发的数据版本D 以及证据proof发送给A,其r~proof=-((R,互),(,conntext),Y). (2验证是否为对text的合法群签名,并验证是否满 足conFmodP. (3)若上述验证过程都通过,则A向RC索取所对应的 真实身份IDB,并判定曰为叛逆者. (4)作为—个可选的步骤,RC可以撤销叛逆者的合法客户 身份,方法是:RC首先公开的群成员证 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf 中的日,并用W 替换中的元素.然后,其他客户按如下方式更新自己的 私钥sf:即选取,卢,使得olEi+flEj=1.从而,计算出新的,= modn. 3方案的安全性分析 引理1指纹嵌入协议中采用的知识签名是扩展的 Camenisch—Groth群签名,在随机预言模型下,该签名等价于一 个交互式的零知识证明协议. 证明根据Fiat—Shamir启发式方法嘲可知,指纹嵌入协议 中所采用.等价于—个交互式的知识证明协议.为了证明该 协议满足知识证明特陛,可以定义如下—个在知识提取算法 与签名算法S间执行的交互过程: (1)S按照构造过程中描述的方式生成u,,,,, 选取,rr,,RR,R计算,V0,Vl,V2,V3,然后将(u,,Ul,, ,,Vo,Vl,V2,V3)发送给. (2)M返回给S—个挑战e. (3)S向提供应答z,钳). (4)M对S执行重绕,使其返回到(3)之前的状态,并再次 向其提供l_b战c,随后羁衫:获得S提供的应答(,). 于是,获得了两个可满足的元组:(c,u,,UI,,,V, 0,1,2,V3,2,z,,,ZRz)与(C,ll,,,U1,,,,V0,Vl,V2, V,R,).此时,显然满足:y----y,Vo=V0,Vl=1,V2=2, V3=.于是,得出以下相等关系: ()hz:(删),~2Iz-m.d F?:FF—Zr moaP p=FmodP G:=G'modP 矗='modP (1) (2) (3) (4) (5) 进一步地,可以通过式(2),(3)分别提取出秘密知识r/=R= (-z)(c—c)roodQ以及"r=R=(zR--ZR)(c—c-lmodQ.将r值 分别代入式(4),(5),可以分别提取出秘密知识f=(z一)- (c—c),modQ,s=e:(.)(c—c),modQ.由式(1),可以得出: (m)="一一H一"modn(6) 根据文献【9]结论可知,此时将以极大概率满足:(c—c)I(z), (c—C)I(一),以及(c_c)I().于是,可以提取出秘密知识 p:一rEr(z广zr)/(c-co 在随机预言模型下,对于给定的合法群成员公钥及证书 (y,Y1),可以利用标准的模拟技术对有效的签名V=(c,, ,,,,)进行模拟,方法如下: (1)选取rER(0,1}一,R,R?R,计算M=),.modn, F,:'*roodP,:,R*roodP,:GYlmodP,*+e,modP . (2)选取e?{0,l}rx?{0,1}'rr?f0,1, r:ER{0,1l",R,e,计算'=(删).一m.dn, : (F,)modP,::()啪dP,::()+LmodP, .'......... V3=()'modPo最后定义c=H(vk,",F,,,,口, .,.,,V,text).从而得到模拟的签名V=(c,u,,U, ,,,,,,,).对于任何敌手来说,与.在统计上 是不可分辨的.这说明签名本身并未泄露关于秘密知识,p, 8,,的任何信息. 引理2在随机预言模型下,指纹嵌入协议中采用的知识 签名:等价于—个交互式的零知识证明协议.同时,corn,,是对 秘密知识的一个承诺,承诺串com,将不会泄露关于R的任 何信息,且客户将无法以另外一种方式打开该承诺串. 证明显然,采用与引理1证明中的类似方法可以证明知 识签名:等价于—个交互式的知识证明协议,且签名本身并 未泄露关于秘密知识R与的任何信息.由于与互都是在 中随机均匀选取的,从而承诺串com,满足在G.上的均匀分布Ol. 如果客户能以另外一种方式打开承诺串con即能找到Re z.与互?Z.,且满足R?R,使得conroodP成立.则根据 :~'modP,可以得出:xCx'modQ,以及(,)(互,_互),: logFFmodQ.即客户将无法以另外一种方式打开该承诺串,除 非他有能力计算出离散对数log~VmodQ. 根据引理1与引理2可知,该文方案对Camenisch—Groth 群签名方案的扩展是有效的,且并未减弱原始方案本身的安全 特性. 匿名性与无关联性:指纹嵌入协议中的是个扩展了的 Camenisch—Groth群签名,扩展的目的在于削弱注册中心的能 力,使得只有客户自己才能打开.另外,由于用于打开群签 名的关键信息R仅仅使用一次,不会影响群签名本身的无 关联性.商家在整个指纹嵌入协议中所获得的知识仅为对文本 text的群签名以及对被承诺信息R的知识签名:.根据嵌 入算法Embed的安全特性M可知,商家将无法获得有关R的 任何信息.由于群签名本身满足匿名性与无关联性,只要客户 柳欣,徐秋亮,泰然:基于群签名构造实用数字指纹方案2009.45(24)113 今后不对所购数据进行非法的重新分发,被嵌入的R值也就 仅为客户所知,即其他人将无法打开,因而诚实客户的购买 行为将保持匿名性与无关联性. 保护诚实的客户不受陷害:为了陷害诚实客户,合谋者 可以选择三种途径发动陷害攻击.方法一是自行选取秘密信息 ,并对它进行承诺.显然,知识签名是可以伪造的.但是, 由于不掌握曰的群成员私钥以及成员证书,根据群签名的不 可伪造性可知,合谋者将无法实现对群签名的伪造.方法二 是若商家也参与合谋,他可以设法取得曰在某次购买过程中 所嵌入的秘密信息,但是根据安全嵌入算法的安全特性,商 家将无法做到这一点.方法三是,若合谋者获得了对文本text 的有效签名,则设法利用中的元素(",,,,,瓦,, )来伪造对于伪造文本text的签名,由于c=H(vk,M, ,,,,,,.,2,V,text),根据散列函数的单向性,合 谋者将无法伪造出c,使得.---(c,",Ft,U.,,, zR,)能通过群签名的验证过程. 身份撤销与抵抗合谋攻击:根据嵌入算法Embed的抗合 谋攻击陛质以及正确性,只要对嵌入算法发动合谋攻击的客 户不超过Embed所能容忍的最大合谋个数,商家就能通过执 行对叛逆者的身份追踪协议而追查到其中的至少一个合谋者. 只要掌握了叛逆者所嵌入的秘密信息R,商家就能撤销叛逆者 的匿名身份. 4结束语 对Cameniseh—Groth群签名方案进行了扩展,提出一个实 用的基于群签名的匿名非对称数字指纹方案.新方案使得客户 注册成功后就可以匿名地购买所需数据,且不受购买次数的限 制.另外,与普通群签名不同,群体中不设固定的身份撤销管理 员,而是由客户自行选取用于进行身份追踪的秘密信息并充当 这个角色.安全陛分析表明,新方案的指纹嵌入协议等价于两 个交互式的零知识证明协议,因而能确保客户的匿名性和不受 陷害.另外,新方案具备匿名性,无关联性,保护诚实客户不受 陷害,身份撤销,抵抗联合攻击等诸多实用性质. 参考文献: [1]MyungsumK,JongseongK,KwangjoK.Anonymousfingerprintingas secureasthebilinearDiffie—Hellmanassumption[C]//DengRH, Qings,BaoF,eta1.LNCS2513:ProceedingsofICICS'2002,Sin- gapore,December9-12,2002.Berlin:Springer-Verlag,2002:97—108. 【2】CamenischJ.Efficientanonymousfingerprintingwithgroupsigna- tures[C]//OkamotoT.LNCS1880:AdvancesinCryptology—ASI— ACRYPT2000,Kyoto,Japan,December3—7,2000.Berlin:Springer- Verlag,2000:93—111. [3]PfitzmannB,SadeghiAR.Coin-basedanonymousfingerprinting[C]// SternJ.LNCS1592:AdvancesinCryptology—EUROCRYPT1999, Prague,CzechRepublic,May2'6,1999.Berlin:Springer-Verlag,1999: 15O一164. [4]孙中伟,冯登国,武传坤.基于加同态公钥密码体制的匿名数字指纹 方案【J].软件,2005,16(10):1816—1821. [5】CamenischJ,GrothJ.Groupsignatures:Betterefficiencyandnew theoreticalaspects[C],/Blund0C,CimatoS.LNCS3352:Securityin CommunicationNetworks,4thInternationalConference,SCN2004, Amalfi,Italy,September8—10,2004.Berlin:Springer—Verlag,2005: 120一l33.. 【6]IsshikiT,MoriK,SakoK,eta1.Usinggroupsignaturesforidentity managementanditsimplementation[C]//GotoA.Proceedingsofthe SecondACMWorkshoponDigitalIdentityManagement,DIM 2006,Alexandria,Virginia,uSA,November03-03,2006.IS.1.】:ACM Press,2006:73—78. 【7】7MinW,TrappeW,WangZJ,eta1.Collusion—resistantfingerprint- ingformultimedia[J].IEEESignalProcessingMagazine,2004,21 (2):15—27. [8]AbdallaM,AnJ,BellareM,eta1.Fromidentificationtosignatures viatheFiat—Shamirtransform:Minimizingassumptionsforsecurity andforward-seeurity[C]//KnudsenLR.LNCS2332:Advancesin Cryptol0gy—EUROCRYPT2002,Amsterdam,Netherlands,April28一 May2,2002.Berlin:Springer-Vedag,2002:418-433. [9]CamenischJ,ShoupV.Practicalverifiableencryptionanddecryp tionofdiscretelogarithms[C]//BonehD.LNCS2729:Advancesin Cryptology—CRYPTO2003,SantaBarbara,California,USA,August 17-21,2003.Berlin:Springer—Verlag,2003:126—144. [10】PedersenT.Non—interactiveandinformationtheoreticsecureveri- fiablesecretsharing[C]//FeigenbanmJ.LNCS576:Advancesin Cryptology—CRYPTO1991,SantaBarbara,California,USA,August 11-15,1991.Berlin:Springer—Verlag,1991:129-140. (上接98页) 用性较强.将其扩充到能量受限的QoS单播和多播路由协议 里面,也是今后工作的一个方向. 参考文献: [1】RoyerEM,PerkinsCE.MuhieastAdHocOn-DemandDistance Vector(MAODV)Routing.IETF,InternetDraft:draft-ietf~manet— maodv一00.txt,2000. 【2]Rodopluv,MengTH-YMinimumenergymobilewirelessnetworks[J]. IEEEJournalonSelectedAreasinCommunication,1999,17(8): 1333—1344. [3】BergamoP,GiovanardiA,TravasoniA,eta1.Distributedpower controlforenergyefficientroutinginAdHoenetworks[EB/OL]. 【2005].【4】YuWei,LeeJangwon.DSR—basedenergy—awaremutingprotocols inadhocnetworks[EB/OL].[2005].~ jang2wlee/energy—wei.pdf. [5】PrakashR.UnidirectionallinksprovecostlyinWirelessAd-Hoc networks[C]//ProceedingsoftheDiscreteAlgorithmsandMethods forMobileComputingandCommunications,DialM'99.Seattle, W_A:ACMPress,1998:15—22. 【6】FallK,VaradhanK.Thenetworksimulator—ns-2[EB/OL].[2005]. http:/A~w.isi.edu/ [7】Kasten0.Energyconsumption[EB/OL].[2003]. ch/kasterdResearch/bathtub/energy—consumption.htm1. [8]袁培燕,崔金玲.一种能量负载均衡的自组织网络多播路由协议叨. 河南师范大学:自然科学版,2008,36(6):29—31.