一种基于群签名技术的可控匿名系统研究

张旋+曹建民

摘 要：为了解决当前匿名系统中匿名控制技术存在的主要问题，文章提出一种基于群签名机制的可控匿名通信层，通过在传输层建立可控匿名连接，为端到端应用提供统一的匿名控制机制，并且通过CACL和具体匿名通信网络结合，可以有效构建可控匿名通信系统，解决现有匿名系统存在的问题。

关键词：隐私；匿名控制；群签名

1 匿名和匿名控制

匿名技术是保护用户隐私的重要手段，学者Claudia将匿名服务分为数据匿名和通信匿名两类。相对于通信匿名，数据匿名方面的研究比较多，但大多都只针对某一个领域内的匿名应用，而为了保证用户行为的强匿名性，匿名系统应该同时保证数据匿名和通信匿名两方面的匿名性。因此，匿名控制技术和可控匿名系统便成了匿名技术研究的一个重要方面。

通过分析现有的匿名系统，发现存在几点不足：（1）缺乏对一般应用系统的统一匿名控制机制；（2）缺乏对匿名通信系统的有效匿名控制；（3）现有的可控匿名通信系统运行复杂，效率低并缺乏可用性，其设计出发点往往是国家或者暴力机构的网络监视工具。

针对以上问题，本文提出一种基于群签名机制的可控匿名通信層（Controllable Anonymity Communication Layer，CACL），通过在传输层建立可控匿名连接，为端到端应用提供统一的匿名控制机制，并且通过CACL和具体匿名通信网络结合可以有效构建可控匿名通信系统，解决现有匿名系统存在的问题。

2 可控匿名通信层CACL

2.1 基于群签名机制的CACL系统模型

利用群签名（Group Signature，GS）方案，群成员可以匿名地代表整个群体进行签名；当签名发生纠纷时系统中的群管理员（Group Manager，GM）可以打开群签名获得签名者的真实身份，群签名被广泛应用在需要匿名认证的许多场合，在CACL系统中，群签名是核心的密码学算法。

CACL系统模型主要包含3个角色：群管理员、群成员和验证方。其中匿名身份认证中心（Anonymous Identity CA，AICA）负责生成并管理一个公开的“群”；用户向认证机构AICA注册个人真实身份信息，认证机构验证信息的真实性后，给用户生成并发送群成员私钥和群公钥证书。当用户建立到服务方的CACL可控匿名连接时，用户使用群成员私钥对服务方发送的挑战值进行响应，服务方验证响应值（GS）的合法性之后，接受用户的CACL连接请求。当服务方日后检测到用户行为的非法性之后，则向用户所在群的认证机构发送纠纷数据和用户建立连接时保留的群签名，AICA确认撤销匿名请求的合法性之后打开群签名，获得用户的真实身份信息。CACL工作在传输层，目的是使匿名控制即独立于具体的应用，又独立于具体的匿名通信网络，提供统一的匿名控制机制。

2.2 CACL建立可控匿名连接协议

CACL协议由3个不同的子协议组成，它们都建立在CACL的基本协议层上。（1）可控匿名连接建立协议：此协议完成从用户端到服务方的可控匿名连接的初始化，是CACL最重要的子协议；（2）可控匿名数据传输协议：CACL连接初始化成功后，上层的应用数据便被封装到数据传输协议中进行传输；（3）可控匿名通知协议：双方在整个通过过程中，都可以使用通知协议来通知对方通信中出现的异常状态。连接建立分为两阶段，第一阶段双方协商好用户所属群信息和密码学算法，并建立认证信道；第二阶段用户接受服务方挑战并产生群签名响应。

在第一阶段中双方使用Hello消息协商好用户所属群的信息和相应的密码学算法，主要包括密钥协商方法和消息鉴定算法（Message Authentication Code，MAC）。之后双方分别使用Key Exchange密钥交换消息协商出共享秘密值secret-value，并使用消息认证（Using Message Authentication，UMA）来切换到消息认证信道。另外通常也会有用户对服务器的鉴定过程，这时需要服务器发送证书消息，双方计算得出共享秘密值后产生各自的MAC写密钥：ServerWriteMacSecret=Sha1（“server”||ClientHello||ServerHello||secret-value）；ClientWriteMacSecret=Sha1（“client”||ClientHello||ServerHello||secret-value）；CACL在建立连接协议的第一阶段只利用共享主秘密产生消息认证码MAC密钥，以保证之后交互消息的完整性和可认证性，但对消息不进行加密，这部分工作可以由安全套接层（Secure Sockets Layer，SSL）或者应用自己完成。

第二阶段双方使用已经建立起的可认证的连接进行挑战响应过程，由服务方产生一个随机数挑战值CR，发送给用户，用户对CR进行群签名产生响应值，服务方验证群签名的合法性，签名内容是：GroupSignature= GroupSig（H（m）），H（m）=Hash（CR||ClientHello||ServerHello||secret-value），连接的最后双方发送Finished消息确认连接建立成功，之后双方在此连接上使用第一阶段建立的安全信道发送应用数据和CACL其他类型的消息。

2.3 CACL的不可否认机制和匿名撤销过程

CACL层设计目标是防止匿名性的滥用，当检测到滥用而请求打开用户身份时需要一定的证据支持，因此对于不可否认特性有内在需求。因此在CACL协议中，提供了一个可选的简单的不可否认机制，上层应用也可以使用其自身的不可否认机制。CACL的不可否认机制是粗粒度的原理，用户和服务方都对连接建立成功后发送的每条CACL消息进行摘要，并在结束连接时，让用户端对最终的摘要值进行签名后发送给服务方，服务方验证通过后保存签名和相应的消息和摘要值。

具体操作：当成功建立CACL协议后，用户端和服务方根据连接建立信息生成相同的证据初始值ServerProof和ClientProof。在建立连接之后，通信双方发送数据消息，并且更新证据值；对于用户端，当发送第n条消息时有：ClientProofn=Hash（ClientProofn-1 || MAC（Messagen））；当用户收到一条服务方发送的消息时计算：ServerProofn=Hash（ServerProofn-1 || MAC（Messagen））；双方发送完各自的数据时，应该具有相同的ClientProof和ServerProof值；最后用户端产生对证据的群签名，并发送给服务方：ProofGroupSig = GroupSig （ ClientProof || ServerProof ）。这种不可否认机制具有一定的适用范围，一般适合对少量关键数据进行操作。

3 结语

本文分析并指出了当下可控匿名系统存在的主要问题，提出在传输层进行端到端匿名控制的观点，并给出了可控匿名通信层CACL的系统和协议设计。CACL系统简单安全、效率较高，提供统一的匿名控制机制，减少了应用系统的部署花销，同时能有效防止匿名通信系统的匿名滥用问题，促进匿名系统的发展。

作者简介：张旋（1980— ），男，陕西西安，硕士，讲师；研究方向：差错控制技术，大数据系统中数據的可靠性技术。

[参考文献]

[1]CLAESSENS J，DIAZ C，GOEMANS C，et al. Revocable anonymous access to the Internet[J].Journal of Internet Research，2003（4）：242-258.

[2]CHAUM D. Blind signature for untreaceable payments[C].Berlin：Proceeding of Crypto 83 in Cryptology，1983：199-203.

[3]STADLER M，PIVETEAU JM，CAMENISCH J. Fair blind signatures[M].Berlin：Springer-Verlag Berlin Heidelberg，1995.

Abstract： In order to solve the main problems of anonymous control technology of the existing anonymous system， this paper proposes a controllable anonymous communication layer（CACL）based on group signature mechanism. By establishing a controllable anonymous connection at the transport layer， providing a unified anonymous control mechanism for end to end applications， and through the combination of CACL and the specific anonymous communication network， can effectively construct controllable anonymous communication system to solve the existing problems of the anonymous system.

Key words： privacy； anonymous control； group signature