基于身份的同時(shí)生效簽密體制研究

劉文琦 顧 宏 楊建華

(大連理工大學(xué)電信學(xué)部 大連 116023)

基于身份的同時(shí)生效簽密體制研究

劉文琦*顧 宏 楊建華

(大連理工大學(xué)電信學(xué)部 大連 116023)

簽密體制能夠在一個(gè)邏輯步驟內(nèi)完成數(shù)字簽名和加密兩項(xiàng)功能。某些場(chǎng)合下，通信雙方存在利益沖突，同時(shí)生效簽名體制可以在不需要可信第三方的條件下提供簽名交換的公平性?；诖耍撐奶岢鐾瑫r(shí)生效簽密概念及其安全模型，并利用雙線性對(duì)建立了一個(gè)基于身份的同時(shí)生效簽密方案，證明了在BDH問(wèn)題及Co-CDH是困難的假設(shè)下，方案是安全的。

簽密；同時(shí)生效簽名；雙線性對(duì)；隨機(jī)預(yù)言模型

1 引言

為在網(wǎng)絡(luò)信息傳輸中同時(shí)滿足機(jī)密性及認(rèn)證性的要求，Zheng[1]于1997年首次提出一個(gè)簽密方案，將簽名和加密的功能結(jié)合，同時(shí)保證了機(jī)密性、認(rèn)證性和不可偽造性。簽密方法相對(duì)于傳統(tǒng)“先簽名后加密”的方法而言，計(jì)算時(shí)間和存儲(chǔ)空間上的代價(jià)都大為降低。

早期許多簽密方案大多采用基于證書(shū)的機(jī)制實(shí)現(xiàn)數(shù)字簽名，因此存在著需要維護(hù)復(fù)雜的證書(shū)庫(kù)、客戶端的運(yùn)算和存儲(chǔ)開(kāi)銷較大的問(wèn)題?；谏矸莸墓€密碼體制以表明身份的字符串為公鑰，不依賴于數(shù)字證書(shū)，減少了密鑰管理帶來(lái)的容量和開(kāi)銷問(wèn)題。2002年，Malonee-Lee[2]提出了基于身份簽密方案的安全模型，利用雙線性對(duì)構(gòu)造了第1個(gè)基于身份的簽密方案。之后，研究者提出了許多基于身份的簽密方案，并且更加關(guān)注公開(kāi)驗(yàn)證性、前向安全性等屬性及簽密在特殊場(chǎng)合中的應(yīng)用[3?8]。其中，文獻(xiàn)[3]提出的方案滿足機(jī)密性、認(rèn)證性、不可否認(rèn)性和匿名性，而且具有較高的效率。

為保證有利益沖突的雙方在交互過(guò)程中利益均不受損害，需實(shí)現(xiàn)簽名的公平交換，Chen等人[9]于2004年首次提出同時(shí)生效簽名，簽名雙方在沒(méi)有可信第三方的幫助下交換簽名，發(fā)起協(xié)議的一方掌握一個(gè)關(guān)鍵數(shù)(keystone)，關(guān)鍵數(shù)釋放之前，從任何第三方角度來(lái)看這兩個(gè)簽名是匿名的，可由簽名的任何一方產(chǎn)生；關(guān)鍵數(shù)公開(kāi)后，簽名就與各自的簽名者綁定。針對(duì)是否能實(shí)現(xiàn)真正的公平性，許多同時(shí)生效簽名方案被提出[10?15]。Susilo等人[10]指出文獻(xiàn)[9]的方案中若簽名者均是誠(chéng)實(shí)參與者，任意第三方在關(guān)鍵數(shù)公布之前就可判斷簽名真正的簽名人，因此提出了完美同時(shí)生效簽名的概念，即使簽名的雙方均可信賴，關(guān)鍵數(shù)公開(kāi)之前簽名仍保持完全模糊，并提出了滿足這個(gè)模型的兩個(gè)方案。但 Wang等人[11]指出這兩個(gè)方案都不滿足公平性，因此不是真正的同時(shí)生效簽名。之后，文獻(xiàn)[12]提出兩個(gè)基于身份的完美同時(shí)生效簽名方案。但Huang等人[13]指出文獻(xiàn)[12]的方案中，兩個(gè)關(guān)鍵數(shù)都由起始簽名人產(chǎn)生，起始簽名人可以欺騙匹配簽名人，因而方案是不公平的，由此給出了含兩個(gè)關(guān)鍵數(shù)的同時(shí)生效簽名協(xié)議中公平性的形式化定義，并提出了兩個(gè)完美同時(shí)生效簽名方案。

基于簽密和完美同時(shí)生效簽名，本文提出了同時(shí)生效簽密的概念，對(duì)其形式化概念及安全模型給出詳細(xì)的描述，設(shè)計(jì)了一個(gè)可證明語(yǔ)義安全的基于身份的同時(shí)生效簽密方案。同時(shí)生效簽密體制可用于電子商務(wù)、電子政務(wù)協(xié)議的設(shè)計(jì)，在存在利益沖突的信息交互雙方之間傳遞機(jī)密的信息時(shí)，這樣的協(xié)議可以保證信息的機(jī)密性和雙方的公平性。

2 先驗(yàn)知識(shí)

3 基于身份同時(shí)生效簽密的形式化定義及安全模型

3.1 基于身份同時(shí)生效簽密的形式化定義

3.2 安全模型

安全的同時(shí)生效簽密方案應(yīng)滿足：正確性、機(jī)密性、不可否認(rèn)性、不可偽造性、模糊性以及公平性。

(1)正確性 給定系統(tǒng)參數(shù)params、消息m∈M，由Signcrypt算法生成m的簽密值c、由Amsign算法生成的模糊簽名σ。Amverify算法會(huì)以絕對(duì)大概率輸出“Yes”接受簽名；關(guān)鍵數(shù)對(duì)公開(kāi)后，Unsign算法輸出m′∈M，且Verify算法會(huì)以絕對(duì)大的概率輸出“Yes”驗(yàn)證m′有效。

(2)機(jī)密性 任何攻擊者試圖從密文中獲取相關(guān)明文信息的嘗試在計(jì)算上不可行。若方案可以達(dá)到適應(yīng)性選擇密文攻擊下的不可區(qū)分安全性，則該方案滿足機(jī)密性?？梢圆捎锰魬?zhàn)者C和敵手A之間進(jìn)行游戲的方式定義此概念：

(a)初始化：C執(zhí)行Setup(1k)，并將系統(tǒng)參數(shù)params發(fā)送給A，保存秘密s。

(b)階段1：敵手A向挑戰(zhàn)者C執(zhí)行以下基于挑戰(zhàn)/應(yīng)答方式詢問(wèn)：

(i)Extract詢問(wèn)：A向C提交身份，C以該身份的私鑰值作為應(yīng)答。

(ii)Hash詢問(wèn)：A可提出任意值，C計(jì)算其Hash函數(shù)值作為應(yīng)答。

(d)階段2：A與C繼續(xù)采用階段1中同樣方式的詢問(wèn)，但不允許對(duì)IDB簽密的結(jié)果c進(jìn)行 Unsign詢問(wèn)，也不允許就接收者IDB的私鑰進(jìn)行 Extract詢問(wèn)。

(3)不可否認(rèn)性 雙方的簽名都具有模糊性，不誠(chéng)實(shí)一方試圖生成有效關(guān)鍵數(shù)的概率可忽略，即任何簽名不能被包括對(duì)方在內(nèi)的其他人偽造。此概念通過(guò)敵手A和挑戰(zhàn)者C之間的游戲定義：

(a)初始化：C執(zhí)行 Setup(1k)生成系統(tǒng)參數(shù)params發(fā)送給A,C保存秘密s。

(b)詢問(wèn)階段：基于挑戰(zhàn)/應(yīng)答方式，A向C進(jìn)行“機(jī)密性”階段1中的詢問(wèn)以及如下詢問(wèn)：

(v)未對(duì)IDA進(jìn)行過(guò)Extract詢問(wèn)。

則稱A贏得游戲。此時(shí)考慮內(nèi)部安全性，敵手具有成功偽造密文簽名的優(yōu)勢(shì)。

定義 5 令A(yù)表示完成上述游戲的敵手。如可忽略A的優(yōu)勢(shì)Adv(A ) =Pr[A wins]，則稱在內(nèi)部選擇信息攻擊下方案存在性不可偽造。

(4)不可偽造性 任何攻擊者企圖生成合法的簽名在計(jì)算上是不可行的。A在不掌握任何關(guān)于私鑰SID知識(shí)的前提下，不會(huì)生成有效的簽密值通過(guò)Amverify驗(yàn)證并被Unsign有效解簽密。此概念通過(guò)A和C之間的游戲定義：

前面步驟與不可否認(rèn)性完全相同，僅在判斷A贏得游戲的條件上最后一個(gè)條件變?yōu)椋?/p>

(vi)未對(duì)IDA和IDB進(jìn)行過(guò)Extract詢問(wèn)。

定義 6 如果可以忽略完成上述游戲的敵手A的優(yōu)勢(shì)Adv(A)=Pr[A wins]，則稱方案在外部選擇消息攻擊下滿足存在性密文不可偽造性。

(5)模糊性 給定模糊簽名對(duì) (σ1,σ2)，關(guān)鍵數(shù)公開(kāi)之前，從A看來(lái)，σ1和σ2均由起始簽名人產(chǎn)生或匹配簽名人產(chǎn)生或分別由兩個(gè)簽名人產(chǎn)生的概率相同，因而不能區(qū)分誰(shuí)是實(shí)際簽名人。通過(guò)敵手A和挑戰(zhàn)者C之間的游戲定義此概念：

(a)初始化及階段 1：與不可否認(rèn)性及不可偽造性定義中對(duì)應(yīng)階段相同。

定義 7 如果可以忽略完成上述游戲的敵手A的優(yōu)勢(shì)Adv(A) =Pr[Awins]，則稱方案滿足簽名模糊性。

(6)公平性 模糊簽名將會(huì)在關(guān)鍵數(shù)公開(kāi)后對(duì)應(yīng)其簽名人。不會(huì)出現(xiàn)起始簽名人的簽名與其關(guān)鍵數(shù)能夠?qū)?yīng)而匹配簽名人不可的情況，反之亦然。通過(guò)敵手A和挑戰(zhàn)者C之間的游戲定義這個(gè)概念：

(a)初始化、詢問(wèn)：與不可否認(rèn)性游戲中初始化及Amsign詢問(wèn)之外的詢問(wèn)相同。

定義 8 如果任何多項(xiàng)式有界的敵手能夠贏得公平性游戲的概率可以忽略，則稱方案是公平的。

如一個(gè)基于身份的同時(shí)生效簽密方案滿足正確性、機(jī)密性、不可否認(rèn)性、不可偽造性、模糊性及公平性，則稱該方案是安全的。

4 一個(gè)基于身份同時(shí)生效簽密方案

5 安全性分析

(2)機(jī)密性 基于文獻(xiàn)[3]方案的機(jī)密性，可以通過(guò)引理1給出本文方案的機(jī)密性。

(3)不可否認(rèn)性

引理2 隨機(jī)預(yù)言模型下，本文方案基于Co-CDH問(wèn)題和BDH問(wèn)題困難的假設(shè)在內(nèi)部適應(yīng)性選擇消息攻擊下滿足存在不可偽造性。

分析：文獻(xiàn)[3]中證明基于BDH問(wèn)題是困難的假設(shè)，其簽密算法在選擇消息攻擊下是存在不可偽造的。文獻(xiàn)[13]證明基于Co-CDH問(wèn)題是困難的假設(shè)，其方案在適應(yīng)性選擇消息攻擊下是存在不可偽造的。本文方案基于文獻(xiàn)[13]中的同時(shí)簽名方案及文獻(xiàn)[3]中的簽密方案，可以采用類似證明基于Co-CDH問(wèn)題和BDH問(wèn)題是困難的假設(shè)，本文方案在內(nèi)部適應(yīng)性選擇消息攻擊下是存在不可偽造的。

(4)不可偽造性

引理3 隨機(jī)預(yù)言模型下，基于Co-CDH問(wèn)題和BDH問(wèn)題困難的假設(shè)，本文方案在外部適應(yīng)性選擇消息攻擊下滿足存在不可偽造性。

分析：與引理2類似。

(5)模糊性

引理4 隨機(jī)預(yù)言模型中，關(guān)鍵數(shù)公布之前，雙方的簽名是模糊的。

分析：

隨機(jī)預(yù)言模型中的單向哈希函數(shù)輸出均勻分布，故上述兩個(gè)分布相同。在關(guān)鍵數(shù)釋放之前，H3輸出隨機(jī)，使得簽名V可以是G1中任意元素，因此敵手贏得模糊性游戲的概率，即確定V的簽名者的概率為1/2，因此方案滿足模糊性。

(6)公平性

引理5 隨機(jī)預(yù)言模型中，本文方案滿足公平性。

基于Co-CDH問(wèn)題和BDH問(wèn)題是困難的假設(shè)，本文方案在隨機(jī)預(yù)言模型中是安全的。

6 結(jié)論

本文提出了基于身份的同時(shí)生效簽密概念，在其基礎(chǔ)上給出了同時(shí)生效簽密的形式化定義和安全模型?；贑hen和Malone-Lee基于身份的簽密方案及Huang等人的同時(shí)生效簽名方案，提出了一個(gè)具體的基于身份同時(shí)生效簽密方案，并在隨機(jī)預(yù)言模型中進(jìn)行了安全性證明。在BDH問(wèn)題和Co-CDH問(wèn)題是困難的假設(shè)下，所提方案被證明是安全的，該方案可以用于構(gòu)建電子商務(wù)、電子簽章協(xié)議，以確保協(xié)議公平性、機(jī)密性等安全屬性的實(shí)現(xiàn)。

[1] Zheng Y. Digital signcryption or how to achieve cost(signature&encryption)＜＜cost (signature)+cost(encrytion)[C]. Advances in cryptology - CRYPTO ′97, Santa Barbara,USA, Aug. 17-21, 1997, LNCS 1294: 165-179.

[2] Malone-Lee J. Identity based signcryption. http://eprint.iacr.org/2002/098.pdf.

[3] Chen L and Malone-Lee J. Improved identity-based signcryption [C]. Public Key Cryptography - PKC′05, Les Diablerets, Switzerland, Jan. 23-26, 2005, LNCS 3386:362-379.

[4] Li Fagen, Xin Xiang-jun, and Hu Yu-pu. Indentity-based broadcast signcryption [J].Computer Standards&Interfaces,2008, 30(1-2): 89-94.

[5] Sharmila Deva Selvi S, Sree Vivek S, and Shriram J,et al..Identity based aggregate signcryption schemes [C]. Indocrypt 2009, New Delhi, India, Dec. 13-16, 2009, LNCS 5922:378-397.

[6] Yu Yong, Yang Bo, Sun Ying, and Zhu Sheng-lin. Identity based signcryption scheme without random oracles [J].Computer Standards&Interfaces, 2009, 31(1): 56-62.

[7] Zhang J and Geng Q. Cryptoanalysis of two signcryption schemes [C]. Fifth International Conference on Information Assurance and Security, Xi’an, China, Aug. 18-20, 2009:65-68.

[8] Hur Jun-beom, Park Cha-nil, and Yoon Hyun-soo. Chosen ciphertext secure authenticated group communication using identity-based signcryption [J].Computers and Mathematics with Applications, 2010, 60(2): 362-375.

[9] Chen L, Kudla C, and Paterson K G. Concurrent signatures[C]. Advances in Cryptology-EUROCRYPT 2004, Interlaken,Switzerland, May 2004, LNCS 3027: 287-305.

[10] Susilo W, Mu Y, and Zhang F. Perfect concurrent signature schemes [C]. Information and communications security -ICICS 2004, Malaga, Spain, Oct. 2004, LNCS 3269: 14-26.

[11] Wang G, Bao F, and Zhou J. The fairness of perfect concurrent signatures [C]. Information and Communications Security - ICICS2006, Raleigh, USA, Dec. 2006, LNCS 4307:435-451.

[12] Chow S and Susilo W. Generic construction of (identitybased) perfect concurrent signatures [C]. International Conference on Information and Communications Security 2005, Beijing, China, Dec. 10-13, 2005, LNCS 3783: 194-206.

[13] Huang Z, Chen K, and Lin X,et al.. Analysis and improvements of two identity-based perfect Concurrent signature schemes[J].Informatica, 2007, 18(3): 375-394.

[14] Huang X and Wang L. A fair concurrent signature scheme based on identity [C]. High Performance Computing and Applications-HPCA2009, Shanghai, China, Aug. 2009:198-205.

[15] Zhang J and Gao S. Efficient strong fair concurrent signature scheme [C]. International Conference on E-Business and E-Government, Guangzhou, China, May 2010: 1327-1330.

Identity-based Concurrent Signcryption Scheme

Liu Wen-qi Gu Hong Yang Jian-hua
(Faculty of Electronic Information and Electrical Engineering,Dalian University of Technology,Dalian116023,China)

Signcryption is a cryptographic primitive that combines both the function of digital signature and encryption in a logical single step. However, in some occasion there are conflicts of interest between the two entities,so concurrent signature is proposed to ensure fair exchange of the signature without special trusted third party.The notion of concurrent signcryption is defined and the security model is proposed in this paper. And an identity-based concurrent signcryption scheme is established using bilinear based on the framework. The scheme is proved to be secure assuming Bilinear Diffie-Hellman problem and Computational Co-Diffie-Hellman problem are hard in the bilinear context.

Signcryption; Concurrent signature; Bilinear pairing; Random oracle model

TP309

A文章編號(hào)：1009-5896(2011)07-1582-07

10.3724/SP.J.1146.2010.01346

2010-12-06收到，2011-01-30改回

*通信作者：劉文琦 wqliu@dlut.edu.cn

劉文琦： 女，1973年生，副教授，研究方向?yàn)榘踩珔f(xié)議、電子商務(wù).

顧 宏： 男，1961年生，教授，研究方向?yàn)殡娮由虅?wù).

楊建華： 男，1958年生，教授，研究方向?yàn)殡娮由虅?wù).