陈颖 等: 具有用户自主链接及验证者条件撤销的格基群签名                                                    4445


                  1   引 言

                    在现代数字化社会中, 以区块链          [1] 为代表的分布式计算架构为数字资产的确权、交易、流通和计算等提供了
                 可靠、安全、公平的解决方案. 具备隐私保护功能的密码技术成为其底层支撑, 以防止因类架构具备的透明性造
                 成用户数据、行为记录等隐私泄露问题. 特别地, 群签名、环签名、盲签名等密码原语的引入, 允许用户以匿名的
                 方式进行可信数据交换, 为用户隐私提供了有效保护, 推动其在金融、医疗、物联网等敏感领域广泛应用. 然而,
                 这种强匿名性也为恶意用户滥用提供了可能. 因此, 如何较好地平衡用户隐私与平台管理, 对匿名签署机制提出了
                 新的挑战和要求.
                    群签名   (group signature, GS) 技术在隐私保护领域具有重要意义, 最早由        Chaum  等人  [2] 提出. 群签名允许群成
                 员代表整个群组签署任意消息, 验证者可以确认该签名来自群组中的某个群成员, 但无法确切地知晓签名者的身
                 份. 根据群成员是否可以在系统生成后动态地入群或退出, 群签名又可以被分为静态群签名和动态群签名两大类                                   [3] .
                 当前, 量子计算机的威胁严重冲击了以大整数分解、离散对数问题等为基础的传统公钥密码体制, 因此, 建立在经
                 典困难问题假设上的群签名方案           [2,4] 已然不能满足抗量子需求. Gordon    等人  [5] 于  2010  年提出了首个基于格的群签
                 名方案, 奠定了后量子群签名研究的基础. 以高效率、更安全、多功能为目标, 基于格的群签名研究在近年来得到
                 了飞速发展. 在效率方面, 以       Libert 等人  [6] 提出基于默克尔树累加器构造格上群签名为代表的方案, 将群签名尺寸
                 从线性级别降低为对数级别; Esgin        等人  [7] 基于  one-out-of-many  技术并解决了多轮重复才可忽略可靠性误差的问
                 题, 实现了群    (环) 签名效率的进一步优化; Lyubashevsky      等人  [8] 在  LANES  框架的基础上应用    BDLOP  承诺和
                 Regev  加密形式上的相似性, 使得其中“先加密, 后证明”的代价更小. 在安全方面, Piekert 等人                [9] 基于带错误学习问
                 题构造了相关性难处理        (correlation intractability, CI) 性质的哈希函数以替代随机谕言机, 得到公共字符串模型下
                 的非交互式零知识证明系统, 进而可转换为群签名方案.
                    然而, 普通群签名中的群管理员可以对签名进行打开, 从而追溯用户身份, 这与区块链去中心化的特性相悖,
                 同时, 撤销用户操作将导致其他未撤销用户更新密钥, 造成额外开销, 不便于大规模用户平台采用; 另一方面, 匿名
                 方式也使得用户难以在日后有需要时对自己的历史签名进行链接. 验证者本地撤销的群签名                               (group signature with
                 verifier local revocation, GS-VLR) [10] 很大程度上削弱了群管理员的权利, 同时撤销用户操作对其他未撤销用户不产
                 生任何影响. 其中, 群管理员仅参与群组的维护, 无法对签名进行打开追溯签名者具体身份; 验签算法需额外输入
                 一个公开的撤销列表, 用于存放撤销用户的撤销令牌, 当某个用户被撤销时, 其产生的签名无法通过签名验证, 并
                 且, 被撤销用户产生的签名可以被链接. 支持用户自主链接的群签名                    (group signatures with user-controlled linkability,
                 GS-UCL) [11] 允许用户根据实际需求自主选择自己的历史签名并链接, 证明这些签名都是由自己生成的, 这样的链
                 接方式称为隐式链接; 而与此相对, 用户对于同一个事件主题下产生的签名可以自动被链接, 这样的链接方式称为
                 显式链接. 近年来, 对于验证者本地撤销的群签名有了后量子方案的迁移, Langlois 等人                    [12] 首次提出了基于格的方
                 案, 但这一方案仅支持固定群成员数. 此后, Huang           等人  [12] 提出了支持群成员动态加入的验证者本地撤销群签名.
                 而对于支持用户自主链接的群签名            [13] , Fiore 等人  [13] 将自主链接的性质扩展到环签名并给出了基于匿名密钥随机
                 化签名转换的格上版本, 但后量子安全的支持用户自主链接群签名尚未有人提出. 同时, 现有验证者本地撤销群签
                 名缺乏撤销条件, 且撤销过程较为模糊, 难以避免验证者恶意撤销用户等行为, 极大地限制了其在实际应用中的落
                 地. 防双重认证签名      (double-authentication-preventing signature, DAPS) [14] 旨在对于两个具有相同第  1  部分  (地址)
                 和不同第   2  部分  (荷载) 的消息生成签名的用户进行私钥提取, 以此作为惩罚, 可视为一种“自发的”条件撤销机制,
                 在防止双花攻击、一票多投等场景中有着重要应用.
                    针对现有验证者本地撤销群签名中可能存在的恶意撤销行为, 本文结合防双重认证签名技术的自发条件撤销
                 机制, 提出了具有用户自主链接及验证者条件撤销的群签名                    (group signature with user-controlled linkability and
                 verifier conditional revocation, GS-UCL-VCR) 的形式化定义和安全模型, 并以带错误学习问题和带舍入学习问题
                 为底层困难问题构造了格上实例化方案. 对于动态加入群组的成员, 限定其在同一个事件主题下仅可以对一个消
                 息签名, 否则触发撤销条件, 使得验证者可以很容易地提取其撤销令牌并加入撤销列表, 强迫用户下线, 该过程不