門限簽名是現(xiàn)代電子商務(wù)一種重要的數(shù)字簽名。基于Hess簽名的一個變體簽名方案，提出了一個有效的基于身份的門限數(shù)字簽名方案。為了提高方案的安全性，提出的方案利用Shamir秘密共享技術(shù)共享一個用戶的私鑰，而不是共享密鑰生成中心的主密鑰。利用Gennaro可模擬的思想，證明了提出的方案具有健壯性和不可偽造性，故提出的方案是安全的。與Cheng等人最近提出的方案相比，新方案具有更高的計算效率。

自1991年DESMEDT F首次提出門限簽名方案以來，門限簽名引起了密碼學(xué)界的廣泛關(guān)注和研究，并且提出了各種各樣的（t，n）門限群簽名方案，也對這些方案提出了很多攻擊方法和改進措施。與普通的數(shù)字簽名相比，由于門限群簽名需要多方參與，其安全性和健壯性有了很大的提高；與群簽名相比，門限簽名具有易操作性和方便性。

橢圓曲線密碼體制ECC（ElliptIC Curve Cryptography）[3-5]的安全性是基于橢圓曲線上離散對數(shù)問題ECDLP（Ellip tic Curve Discrete Logarithm Problem）的。與其他公鑰密碼相比，橢圓曲線具有每比特數(shù)據(jù)最高的安全強度，這樣的好處是計算參數(shù)更小、密鑰更短、運算速度更快、簽名也更加短小。

（t，n）門限群簽名方案不能抵抗合謀攻擊和偽造攻擊，也不具備可追蹤性。本文針對這些問題對上述方案進行了改進，提出了一種基于橢圓曲線的可追蹤門限數(shù)字簽名方案。該方案以橢圓曲線為基礎(chǔ)，采用二次簽名等方式，可有效地避免所暴露的缺陷和不足。

1 橢圓曲線的可追蹤門限簽名方案

該方案根據(jù)分工不同，有三種角色，即簽名者、簽名組合者和秘密處理者。

簽名者pi進行門限簽名操作。用集合T={p1、p2、p3…pn}表示由n個簽名者組成的簽名者群體。該方案主要由參數(shù)選擇、子密鑰產(chǎn)生過程、簽名過程、簽名驗證和事后追蹤等5個部分組成。

簽名組合者C，收集單個簽名者的操作結(jié)果，然后將收集的數(shù)據(jù)進行驗證并組合。C同時是群簽名消息的唯一發(fā)布者，C自選一個合適的簽名體制（稱為群簽名消息發(fā)布簽名系統(tǒng)）來對群簽名消息再次簽名。這樣通過將群簽名消息的發(fā)布權(quán)進行控制以提高系統(tǒng)安全。C保留其私鑰Dc，公開公鑰Ec。

秘密處理者D，即可信任中心，主要是在系統(tǒng)初始化階段處理、協(xié)調(diào)系統(tǒng)參數(shù)設(shè)置和子密鑰分配等操作。一旦系統(tǒng)初始化成功則退出簽名系統(tǒng)。

否則該等式不成立。因此C可利用該等式對各簽名者身份的真實性進行判斷。

2.2 抗群內(nèi)成員合謀攻擊

由于本方案采用了二次簽名的方式，同時簽名者的選取是由C來完成的，因此可以有效地抵抗T內(nèi)成員的合謀攻擊。在整個簽名過程中C都必須參與其中。簽名者的選取必須由C來完成，bi和g’（0）等數(shù)據(jù)計算要C來完成，S的合成也要由C來完成。即使假設(shè)在這些過程中合謀者繞過C來進行，不要C的參與，T內(nèi)成員的合謀也是不可能成功的。這是因為群簽名消息的發(fā)布權(quán)限完全是局限在C的身上，沒有C的參與，T內(nèi)的成員是無法產(chǎn)生有效的群簽名消息的。因此沒有最后一步C的簽名，接收者可以立即發(fā)現(xiàn)該簽名消息異常，從而拒絕該簽名。

2.3 抗C偽造簽名攻擊

由于在本方案中，C只是對簽名過程進行組織以及對簽名消息進行發(fā)布，他除了掌握簽名發(fā)布密鑰外并不掌握系統(tǒng)其他的任何密鑰，即C不能獲取到簽名者的私有密鑰di，也就是不能偽造T內(nèi)成員進行簽名。同時也不能通過構(gòu)建多項式獲取群的私鑰d。這是因為，在Lagrange公式中要恢復(fù)d必須要有t個簽名者的私鑰di和身份標志ui。而C只能獲得簽名者的身份標志，但是不能獲得簽名者的私鑰。同時，由于在本方案中對群簽名消息發(fā)布的權(quán)限進行了綁定和限制，整個群消息的發(fā)布只能是C來完成。因此，如果C和T內(nèi)的t個成員進行合謀對某個文件m′進行非法簽名，在事后追查時，則首先就可以確定C是參與了m′的簽名。這是因為只有C知道他自己的私鑰Dc，別人不得而知，其他人也就不能對群簽名消息進行發(fā)布。因此，只要接收者公布其接收到對m′的簽名消息，仲裁者就可以通過驗證確認C是否參與了合謀。一旦發(fā)現(xiàn)C參與了合謀就必須對其進行嚴厲的制裁，使其承擔(dān)所有責(zé)任。因此，通過綁定群簽名消息的發(fā)布權(quán)限在C身上，采用二次簽名的方式從實際上阻止了合謀攻擊。

2.4 抗群外人員選擇消息攻擊

選擇消息攻擊是指攻擊者通過分析簽名群體對多個消息的簽名，從而構(gòu)造出對另一消息（設(shè)為N）的有效簽名[7]。

攻擊者可從簽名者群體公開的參數(shù)和發(fā)送的數(shù)據(jù)得到以下信息：E，P，Q，q，g（x），H（），S，r。如果群體外攻擊者要對消息N構(gòu)造出一個有效的簽名，則必須通過對以前的簽名進行分析（假設(shè)以對消息m的簽名進行分析為例），以構(gòu)造一個S0、e0和g0（x）。攻擊者將面臨以下難題：

本文提出了一個基于橢圓曲線的可追蹤（t，n）門限數(shù)字簽名方案，并進行了安全性分析。在本方案中，只有秘密共享階段需要保密通信，在簽名和驗證過程中都不需要進行保密通信，這樣可以保證方案方便使用。基于橢圓曲線密碼體制保證了方案的安全性。通過將群簽名消息的權(quán)限綁定在C身上，采用二次簽名的方式，不僅可以抵抗外部成員的攻擊，也可以有效地抵抗T集合內(nèi)部成員的合謀攻擊，同時還可以有效地防止簽名組織者C的攻擊。