基于身份的同時生效簽密體制研究

劉文琦 顧 宏 楊建華

(大連理工大學電信學部 大連 116023)

基于身份的同時生效簽密體制研究

劉文琦*顧 宏 楊建華

(大連理工大學電信學部 大連 116023)

簽密體制能夠在一個邏輯步驟內完成數字簽名和加密兩項功能。某些場合下，通信雙方存在利益沖突，同時生效簽名體制可以在不需要可信第三方的條件下提供簽名交換的公平性。基于此，該文提出同時生效簽密概念及其安全模型，并利用雙線性對建立了一個基于身份的同時生效簽密方案，證明了在BDH問題及Co-CDH是困難的假設下，方案是安全的。

簽密；同時生效簽名；雙線性對；隨機預言模型

1 引言

為在網絡信息傳輸中同時滿足機密性及認證性的要求，Zheng[1]于1997年首次提出一個簽密方案，將簽名和加密的功能結合，同時保證了機密性、認證性和不可偽造性。簽密方法相對于傳統“先簽名后加密”的方法而言，計算時間和存儲空間上的代價都大為降低。

早期許多簽密方案大多采用基于證書的機制實現數字簽名，因此存在著需要維護復雜的證書庫、客戶端的運算和存儲開銷較大的問題。基于身份的公鑰密碼體制以表明身份的字符串為公鑰，不依賴于數字證書，減少了密鑰管理帶來的容量和開銷問題。2002年，Malonee-Lee[2]提出了基于身份簽密方案的安全模型，利用雙線性對構造了第1個基于身份的簽密方案。之后，研究者提出了許多基于身份的簽密方案，并且更加關注公開驗證性、前向安全性等屬性及簽密在特殊場合中的應用[3?8]。其中，文獻[3]提出的方案滿足機密性、認證性、不可否認性和匿名性，而且具有較高的效率。

為保證有利益沖突的雙方在交互過程中利益均不受損害，需實現簽名的公平交換，Chen等人[9]于2004年首次提出同時生效簽名，簽名雙方在沒有可信第三方的幫助下交換簽名，發起協議的一方掌握一個關鍵數(keystone)，關鍵數釋放之前，從任何第三方角度來看這兩個簽名是匿名的，可由簽名的任何一方產生；關鍵數公開后，簽名就與各自的簽名者綁定。針對是否能實現真正的公平性，許多同時生效簽名方案被提出[10?15]。Susilo等人[10]指出文獻[9]的方案中若簽名者均是誠實參與者，任意第三方在關鍵數公布之前就可判斷簽名真正的簽名人，因此提出了完美同時生效簽名的概念，即使簽名的雙方均可信賴，關鍵數公開之前簽名仍保持完全模糊，并提出了滿足這個模型的兩個方案。但 Wang等人[11]指出這兩個方案都不滿足公平性，因此不是真正的同時生效簽名。之后，文獻[12]提出兩個基于身份的完美同時生效簽名方案。但Huang等人[13]指出文獻[12]的方案中，兩個關鍵數都由起始簽名人產生，起始簽名人可以欺騙匹配簽名人，因而方案是不公平的，由此給出了含兩個關鍵數的同時生效簽名協議中公平性的形式化定義，并提出了兩個完美同時生效簽名方案。

基于簽密和完美同時生效簽名，本文提出了同時生效簽密的概念，對其形式化概念及安全模型給出詳細的描述，設計了一個可證明語義安全的基于身份的同時生效簽密方案。同時生效簽密體制可用于電子商務、電子政務協議的設計，在存在利益沖突的信息交互雙方之間傳遞機密的信息時，這樣的協議可以保證信息的機密性和雙方的公平性。

2 先驗知識

3 基于身份同時生效簽密的形式化定義及安全模型

3.1 基于身份同時生效簽密的形式化定義

3.2 安全模型

安全的同時生效簽密方案應滿足：正確性、機密性、不可否認性、不可偽造性、模糊性以及公平性。

(1)正確性 給定系統參數params、消息m∈M，由Signcrypt算法生成m的簽密值c、由Amsign算法生成的模糊簽名σ。Amverify算法會以絕對大概率輸出“Yes”接受簽名；關鍵數對公開后，Unsign算法輸出m′∈M，且Verify算法會以絕對大的概率輸出“Yes”驗證m′有效。

(2)機密性 任何攻擊者試圖從密文中獲取相關明文信息的嘗試在計算上不可行。若方案可以達到適應性選擇密文攻擊下的不可區分安全性，則該方案滿足機密性。可以采用挑戰者C和敵手A之間進行游戲的方式定義此概念：

(a)初始化：C執行Setup(1k)，并將系統參數params發送給A，保存秘密s。

(b)階段1：敵手A向挑戰者C執行以下基于挑戰/應答方式詢問：

(i)Extract詢問：A向C提交身份，C以該身份的私鑰值作為應答。

(ii)Hash詢問：A可提出任意值，C計算其Hash函數值作為應答。

(d)階段2：A與C繼續采用階段1中同樣方式的詢問，但不允許對IDB簽密的結果c進行 Unsign詢問，也不允許就接收者IDB的私鑰進行 Extract詢問。

(3)不可否認性 雙方的簽名都具有模糊性，不誠實一方試圖生成有效關鍵數的概率可忽略，即任何簽名不能被包括對方在內的其他人偽造。此概念通過敵手A和挑戰者C之間的游戲定義：

(a)初始化：C執行 Setup(1k)生成系統參數params發送給A,C保存秘密s。

(b)詢問階段：基于挑戰/應答方式，A向C進行“機密性”階段1中的詢問以及如下詢問：

(v)未對IDA進行過Extract詢問。

則稱A贏得游戲。此時考慮內部安全性，敵手具有成功偽造密文簽名的優勢。

定義 5 令A表示完成上述游戲的敵手。如可忽略A的優勢Adv(A ) =Pr[A wins]，則稱在內部選擇信息攻擊下方案存在性不可偽造。

(4)不可偽造性 任何攻擊者企圖生成合法的簽名在計算上是不可行的。A在不掌握任何關于私鑰SID知識的前提下，不會生成有效的簽密值通過Amverify驗證并被Unsign有效解簽密。此概念通過A和C之間的游戲定義：

前面步驟與不可否認性完全相同，僅在判斷A贏得游戲的條件上最后一個條件變為：

(vi)未對IDA和IDB進行過Extract詢問。

定義 6 如果可以忽略完成上述游戲的敵手A的優勢Adv(A)=Pr[A wins]，則稱方案在外部選擇消息攻擊下滿足存在性密文不可偽造性。

(5)模糊性 給定模糊簽名對 (σ1,σ2)，關鍵數公開之前，從A看來，σ1和σ2均由起始簽名人產生或匹配簽名人產生或分別由兩個簽名人產生的概率相同，因而不能區分誰是實際簽名人。通過敵手A和挑戰者C之間的游戲定義此概念：

(a)初始化及階段 1：與不可否認性及不可偽造性定義中對應階段相同。

定義 7 如果可以忽略完成上述游戲的敵手A的優勢Adv(A) =Pr[Awins]，則稱方案滿足簽名模糊性。

(6)公平性 模糊簽名將會在關鍵數公開后對應其簽名人。不會出現起始簽名人的簽名與其關鍵數能夠對應而匹配簽名人不可的情況，反之亦然。通過敵手A和挑戰者C之間的游戲定義這個概念：

(a)初始化、詢問：與不可否認性游戲中初始化及Amsign詢問之外的詢問相同。

定義 8 如果任何多項式有界的敵手能夠贏得公平性游戲的概率可以忽略，則稱方案是公平的。

如一個基于身份的同時生效簽密方案滿足正確性、機密性、不可否認性、不可偽造性、模糊性及公平性，則稱該方案是安全的。

4 一個基于身份同時生效簽密方案

5 安全性分析

(2)機密性 基于文獻[3]方案的機密性，可以通過引理1給出本文方案的機密性。

(3)不可否認性

引理2 隨機預言模型下，本文方案基于Co-CDH問題和BDH問題困難的假設在內部適應性選擇消息攻擊下滿足存在不可偽造性。

分析：文獻[3]中證明基于BDH問題是困難的假設，其簽密算法在選擇消息攻擊下是存在不可偽造的。文獻[13]證明基于Co-CDH問題是困難的假設，其方案在適應性選擇消息攻擊下是存在不可偽造的。本文方案基于文獻[13]中的同時簽名方案及文獻[3]中的簽密方案，可以采用類似證明基于Co-CDH問題和BDH問題是困難的假設，本文方案在內部適應性選擇消息攻擊下是存在不可偽造的。

(4)不可偽造性

引理3 隨機預言模型下，基于Co-CDH問題和BDH問題困難的假設，本文方案在外部適應性選擇消息攻擊下滿足存在不可偽造性。

分析：與引理2類似。

(5)模糊性

引理4 隨機預言模型中，關鍵數公布之前，雙方的簽名是模糊的。

分析：

隨機預言模型中的單向哈希函數輸出均勻分布，故上述兩個分布相同。在關鍵數釋放之前，H3輸出隨機，使得簽名V可以是G1中任意元素，因此敵手贏得模糊性游戲的概率，即確定V的簽名者的概率為1/2，因此方案滿足模糊性。

(6)公平性

引理5 隨機預言模型中，本文方案滿足公平性。

基于Co-CDH問題和BDH問題是困難的假設，本文方案在隨機預言模型中是安全的。

6 結論

本文提出了基于身份的同時生效簽密概念，在其基礎上給出了同時生效簽密的形式化定義和安全模型。基于Chen和Malone-Lee基于身份的簽密方案及Huang等人的同時生效簽名方案，提出了一個具體的基于身份同時生效簽密方案，并在隨機預言模型中進行了安全性證明。在BDH問題和Co-CDH問題是困難的假設下，所提方案被證明是安全的，該方案可以用于構建電子商務、電子簽章協議，以確保協議公平性、機密性等安全屬性的實現。

[1] Zheng Y. Digital signcryption or how to achieve cost(signature&encryption)＜＜cost (signature)+cost(encrytion)[C]. Advances in cryptology - CRYPTO ′97, Santa Barbara,USA, Aug. 17-21, 1997, LNCS 1294: 165-179.

[2] Malone-Lee J. Identity based signcryption. http://eprint.iacr.org/2002/098.pdf.

[3] Chen L and Malone-Lee J. Improved identity-based signcryption [C]. Public Key Cryptography - PKC′05, Les Diablerets, Switzerland, Jan. 23-26, 2005, LNCS 3386:362-379.

[4] Li Fagen, Xin Xiang-jun, and Hu Yu-pu. Indentity-based broadcast signcryption [J].Computer Standards&Interfaces,2008, 30(1-2): 89-94.

[5] Sharmila Deva Selvi S, Sree Vivek S, and Shriram J,et al..Identity based aggregate signcryption schemes [C]. Indocrypt 2009, New Delhi, India, Dec. 13-16, 2009, LNCS 5922:378-397.

[6] Yu Yong, Yang Bo, Sun Ying, and Zhu Sheng-lin. Identity based signcryption scheme without random oracles [J].Computer Standards&Interfaces, 2009, 31(1): 56-62.

[7] Zhang J and Geng Q. Cryptoanalysis of two signcryption schemes [C]. Fifth International Conference on Information Assurance and Security, Xi’an, China, Aug. 18-20, 2009:65-68.

[8] Hur Jun-beom, Park Cha-nil, and Yoon Hyun-soo. Chosen ciphertext secure authenticated group communication using identity-based signcryption [J].Computers and Mathematics with Applications, 2010, 60(2): 362-375.

[9] Chen L, Kudla C, and Paterson K G. Concurrent signatures[C]. Advances in Cryptology-EUROCRYPT 2004, Interlaken,Switzerland, May 2004, LNCS 3027: 287-305.

[10] Susilo W, Mu Y, and Zhang F. Perfect concurrent signature schemes [C]. Information and communications security -ICICS 2004, Malaga, Spain, Oct. 2004, LNCS 3269: 14-26.

[11] Wang G, Bao F, and Zhou J. The fairness of perfect concurrent signatures [C]. Information and Communications Security - ICICS2006, Raleigh, USA, Dec. 2006, LNCS 4307:435-451.

[12] Chow S and Susilo W. Generic construction of (identitybased) perfect concurrent signatures [C]. International Conference on Information and Communications Security 2005, Beijing, China, Dec. 10-13, 2005, LNCS 3783: 194-206.

[13] Huang Z, Chen K, and Lin X,et al.. Analysis and improvements of two identity-based perfect Concurrent signature schemes[J].Informatica, 2007, 18(3): 375-394.

[14] Huang X and Wang L. A fair concurrent signature scheme based on identity [C]. High Performance Computing and Applications-HPCA2009, Shanghai, China, Aug. 2009:198-205.

[15] Zhang J and Gao S. Efficient strong fair concurrent signature scheme [C]. International Conference on E-Business and E-Government, Guangzhou, China, May 2010: 1327-1330.

Identity-based Concurrent Signcryption Scheme

Liu Wen-qi Gu Hong Yang Jian-hua
(Faculty of Electronic Information and Electrical Engineering,Dalian University of Technology,Dalian116023,China)

Signcryption is a cryptographic primitive that combines both the function of digital signature and encryption in a logical single step. However, in some occasion there are conflicts of interest between the two entities,so concurrent signature is proposed to ensure fair exchange of the signature without special trusted third party.The notion of concurrent signcryption is defined and the security model is proposed in this paper. And an identity-based concurrent signcryption scheme is established using bilinear based on the framework. The scheme is proved to be secure assuming Bilinear Diffie-Hellman problem and Computational Co-Diffie-Hellman problem are hard in the bilinear context.

Signcryption; Concurrent signature; Bilinear pairing; Random oracle model

TP309

A文章編號：1009-5896(2011)07-1582-07

10.3724/SP.J.1146.2010.01346

2010-12-06收到，2011-01-30改回

*通信作者：劉文琦 wqliu@dlut.edu.cn

劉文琦： 女，1973年生，副教授，研究方向為安全協議、電子商務.

顧 宏： 男，1961年生，教授，研究方向為電子商務.

楊建華： 男，1958年生，教授，研究方向為電子商務.