UC安全的自認證盲簽密協議*

李建民，俞惠芳，趙 晨

青海師范大學 計算機學院，西寧 810008

UC安全的自認證盲簽密協議*

李建民，俞惠芳+，趙 晨

青海師范大學 計算機學院，西寧 810008

LI Jianmin,YU Huifang,ZHAO Chen.Self-certified blind signcryption protocol with UC security.Journal of Frontiers of Computer Science and Technology,2017,11(6)：932-940.

自認證盲簽密（self-certified blind signcryption，SCBSC）協議能夠同時實現公鑰加密和盲簽名，并且當發送方與接收方對簽名存在爭議時，任何第三方都能驗證簽名的有效性。然而，現有的自認證盲簽密協議還不具有UC（universally composable）安全性，針對這個問題，引入UC安全框架，利用該框架可以模塊化分析與設計自認證盲簽密協議。定義了自認證盲簽密協議在UC安全框架下對應的理想函數；證明了在適應性敵手模型下，自認證盲簽密協議實現該理想函數，當且僅當簽密協議滿足不可區分適應性選擇密文攻擊（indistinguishability against adaptive chosen-ciphertext attacks，IND-CCA2）。

自認證盲簽密；UC安全性；理想函數；適應性選擇密文攻擊

1 引言

1997年，Zheng提出的簽密方案[1]能夠在一個邏輯步驟內同時完成簽名[2]和加密，相對于傳統的先簽名后加密來說，它的計算量和通信成本較低。2002年，Zheng等人[3]改進了1997年提出的簽密方案，并對新方案給出了安全性定義和安全性證明。2011年，Fan等人[4]改進了2002版簽密方案，改進方案在哈希函數的輸入中添加了接收方和發送方的公鑰。近年來，對于簽密方案的研究一直都是現代密碼學所關注的重點。將簽密與一些特殊性質的簽名結合起來，構造一些可以應用在不同的公鑰密碼體制上的簽密體制。何俊杰等人[5]利用雙線性對技術提出了一個基于身份簽密方案。張宇等人[6]又進一步改進了基于身份簽密方案。龐遼軍等人[7]針對現有多接收者簽密存在的接收者身份暴露和解密過程不公平等問題，提出了一個新的接收者簽密方案。俞惠芳等人提出了基于無證書的盲簽密方案[8]和使用自認證公鑰的盲簽密方案[9]，同時進一步研究了混合簽密方案[10]。雖然自認證思想結合簽密方案的研究取得了一些成果，但研究還不夠深入，特別是在對自認證盲簽密方面的研究。

自認證盲簽密不僅能夠在一個邏輯步驟內同時完成盲簽名和公鑰加密功能，而且在發送方和接收方對密文的合法性產生爭議時，任何第三方都可以驗證簽密的有效性。由于自認證盲簽密本身的優點和越來越廣泛的應用，使基于UC（universally composable）安全框架下實現其安全性很有必要。但是目前很少有這方面的研究，現有的自認證盲簽密還不具有通用可組合安全性。

2001年，Canetti[11]提出了UC安全的概念。它的主要特點是滿足協議的模塊化設計要求，可以單獨來設計協議，只要協議滿足UC安全性，那么就可以保證和其他協議并發組合運行的安全性。設計一個UC安全的協議，首先要將協議所希望完成的功能抽象為一個理想函數，這個理想函數就相當于現實世界中一個不可攻破的可信第三方。而Canetti給出了在UC框架下被理想化的一些實現方案。2003年，Canetti等人在通用參考串模型中提出了通用可組合的兩方和多方安全計算[12]。2008年，Kiayias等人[13]提出了能夠抵抗自適應性攻擊者UC安全的盲簽名。2012年，Canetti等人[14]基于OT（oblivious transfer）協議的兩方PAKE（password-authenticated key exchange）提出了該協議的理想功能，同時給出了基于OT協議構造一個雙向認證PAKE協議的通用方法。在國內對UC安全的研究也取得了一些成果，如安全多方計算[15-16]、認證和密鑰交換[17-18]、零知識[19]、數字簽密[20]。

本文在已有的自認證盲簽密協議[9]基礎上，對UC安全框架進行了理論分析。首先定義了一般性的自認證盲簽密協議，其次給出了UC安全框架下實現的自認證盲簽密協議的理想函數的定義，然后給出了自認證盲簽密協議的UC安全性與IND-CCA2（indistinguishability against adaptive chosen-ciphertext attacks）安全性之間的等價關系，最后給出具體協議實例和計算量分析。

2 基本概念

2.1 UC安全框架

UC安全框架由現實模型、理想模型和混合模型組成。在UC框架中使用交互式圖靈機（interactive Turing machine，ITM）來表示協議的參與者、攻擊者和環境機，并且每個ITM的運行都被限定在概率多項式時間內。如果說一個協議是UC安全的，那么對于任何敵手來說，環境機Z所看到的一切都可以在“理想世界”中看到。而在理想世界中，用戶之間不用交互?，F實協議所希望完成的任務可以通過訪問理想功能來完成。

ITM：是一個標準的數學模型，它具有只讀身份帶、只讀安全參數帶、只讀隨機數帶、輸入帶、輸出帶、輸入通信帶、輸出通信帶、工作帶和一比特的激活帶。選擇用ITM來實現UC框架是因為它能夠很好地表示交互和計算復雜性之間的關系，而且很好地融合了復雜理論中的標準模型，同時也很形象地表示了計算機的工作方式。

現實模型：描述了協議在現實環境中的執行情況，其中實體有協議π、參與方P1,P2,…,Pn、敵手A和環境機Z。參與方之間可以直接交互，而且都誠實地執行協議π，敵手A可以入侵參與者，一旦參與方Pi被敵手A入侵，則A將獲得Pi的內部狀態及以前的歷史信息。

理想模型：描述了協議執行的理想情況，在此模型下協議可以得到無條件的安全，其中實體有虛擬參與方P1,P2…,Pn、仿真者S、環境機Z及理想函數F。理想模型與現實模型不同的是，虛擬參與方之間不能直接交互，只能通過理想函數F來轉發消息。理想函數F只能和參與方Pi及敵手S進行通信，F是人們想要達到的安全目標，仿真者S與現實環境中的敵手A能力相當。

混合模型：是現實模型和理想模型的結合，其中實體有參與方P1,P2…,Pn、敵手A、環境機Z、協議π和理想函數F。與現實模型和理想模型不同的是，混合模型中不但有協議π，還有理想函數F的多個副本，且副本之間不傳遞消息。

根據文獻[11]直接給出如下在UC安全框架下的定義。

定義1（不可區分性）兩個二元分布X和Y是不可區分的（記為X≈Y），如果對于任何c∈N都存在k0∈N，使得所有滿足k>k0及所有a，都有：

定義2（UC仿真）令F是一個理想函數，π是一個現實協議，如果對任何現實攻擊者A都存在一個理想敵手S，則對于任何環境機Z都有：

定義3（組合定理）令F和G是理想函數，π是F-混合模型下的一個協議，協議ρ在G-混合模型下可以安全地實現F。那么對于任何敵手AG，都存在一個AF，使得對于任何環境機Z，都有：

2.2 自認證盲簽密協議

定義4[9]自認證盲簽密協議（self-certified blind signcryption，SCBSC）由系統設置、用戶注冊、盲簽密和解簽密四部分組成。該協議的參與者有權威機構CA、消息擁有者M、盲簽密者Pi和接收者Pj。算法描述如下。

（1）系統設置：該算法由CA執行。輸入安全參數k，輸出系統主密鑰s和系統參數param，CA保密s，公開param。

（2）用戶注冊：輸入系統參數param和用戶U的身份IDU，輸出(IDU,PU)，這部分由U完成；輸入(IDU,PU)，輸出QU和用戶U的部分私鑰xU，這部分由CA完成。

（3）盲簽密：輸入系統參數param、Qj、Pj、明文m和盲簽密者Pi的私鑰Si，輸出密文σ=(X,Y,Z)。

（4）解簽密：輸入系統參數param、Qi、Pi及接收者的私鑰Sj，輸出明文或者失敗。

2.3 IND-CCA2安全性

定義5[9]如果沒有任何多項式有界的敵手A能夠以一個不可忽略的概率贏得以下游戲，則稱一個自認證盲簽密協議在適應性選擇密文攻擊下具有不可區分性（IND-CCA2）。

假設攻擊者A為一般用戶，下面是攻擊者A和挑戰者Γ共同完成的游戲。

Γ使用安全參數k運行系統設置算法，得到主密鑰和系統參數，并將系統參數發送給A。

階段1在詢問階段，A向Γ請求如下詢問。

密鑰詢問：A請求任意身份的公鑰及私鑰，Γ運行相應的算法，返回A所需要的請求值。

盲簽密詢問：A請求對任意消息m的關于身份IDi和IDj的盲簽密者詢問，Γ返回一個密文σ。

解簽密詢問：A選擇兩個身份IDi、IDj及密文σ，Γ計算身份IDj對應的私鑰，并把解密的結果給A。

挑戰階段：A生成兩個長度相同的明文m0、m1和希望挑戰的兩個身份IDi、IDj，身份IDj所對應的私鑰不能被詢問。Γ隨機選取c∈{0,1}，Γ執行對消息mc的盲簽密算法，并將密文σ發給A，

階段2A像階段1那樣執行詢問，但是身份IDj所對應的私鑰不能被執行詢問，也不能對密文σ執行解密詢問。

猜測階段：Γ輸出c′∈{0,1}對c的猜測。如果c′=c，則A贏得游戲。

2.4 UC框架下的自認證盲簽密協議πSCBSC

一個具體的自認證盲簽密協議通常是由一個可信的第三方CA來控制Setup和Extract算法。在UC安全框架模塊化的設計下它沒有定義好合適的功能接口。因此最主要的目標就是給出在UC框架下的自認證盲簽密協議SCBSC的功能接口。

下面描述一般性的自認證盲簽密協議πSCBSC= (Setup,Extract,Bsc,Dsc,Verify)。

Setup：系統參數生成算法，生成主密鑰s和系統參數param。

Extract：密鑰生成算法，生成簽密者的密鑰對(PKi,Si)和接收者的密鑰對(PKj,Sj)。

Bsc：盲簽密算法，通過(Bsc,sid,m,PKj)被簽密參與方激活，運行Bsc(m)→σ。

Dsc：解簽密算法，通過(Dsc,sid,σ,PKi)被解簽密參與方激活，運行Dsc(σ)→m。

Verify：驗證算法，在簽密者否認自己的行為時，通過解密者給可信第三方(Verify,sid,m,σ)進行仲裁。

協議πSCBSC在UC框架下運行步驟如下：

當收到請求(CA,Setup,sid)后，首先驗證sid= (CA,sid′)，運行Setup(1k)→(s,param)，并返回相應的參數param。

在收到某參與方Pi的請求(Key,sid,Pj)后，運行Extract(param,s,IDj)→(PKj,Sj)，返回相應的產生值PKj。

在收到某參與方Pj的請求(Key,sid,Pi)后，運行Extract(param,s,IDi)→(PKi,Si)，返回PKi。

在收到某參與方的請求(Bsc,sid,m,PKj)后，運行Bsc(param,sid,m,Si)→σ，得到盲簽密σ。

在收到某參與方的請求(Dsc,sid,σ)后，運行Dsc(param,sid,σ,Sj)→m，得到消息m。

在收到某參與方的請求(Verify,sid,m,σ)后，運行Verify(m,σ)→f，并返回f的值。

3 理想函數FSCBSC

這里所定義的理想函數FSCBSC應該與協議πSCBSC有完全一樣的接口。也就是說，希望理想函數FSCBSC在滿足一定條件下能夠被自認證盲簽密協議SCBSC實現。理想函數FSCBSC的執行如下。

（1）系統設置

若收到來自某參與方的請求(CA,Setup,sid)，驗證sid=(CA,sid′)，如果驗證不成功，則忽略請求，否則，將此消息轉發給理想敵手S，在得到理想敵手S回復的(Setup,Verify,sid,param)后，記錄下算法Verify。

（2）用戶注冊

若收到來自盲簽密者Pi的請求(Key,sid,Pj)后，將此消息轉發給敵手S，在得到敵手S回復的(Pj,sid,PKj)時，將PKj發給參與者Pi。

若收到來自接收者Pj的請求(Key,sid,Pi)后，將此消息轉發給敵手S，在得到敵手S回復的(Pi,sid,PKi)時，將PKi發給參與者Pj。之后，忽略所有的(Key,sid,Pi/Pj)。

（3）盲簽密階段

若收到參與方M的請求(Bsc,sid,m,PKj)，驗證sid= (Pi,sid′)，如果驗證不成功，則忽略發來的消息請求，否則，執行如下：

①如果參與方M是誠實的，那么M將通過(signcryption,sid)來通知盲簽密者Pi和敵手S，并且要求產生一個簽密，即Bsc(m)→σ，待盲簽密者Pi和敵手S都同意的情況下，將簽密消息(signcryption,sid,m,σ)發給M。

②如果參與方M是被收買過的，那么將會發送(Bsc,sid,m)給敵手S，并且從敵手S返回(signcryption,sid,m,σ)，如果(m,σ,PKj,0)在之前已經被記錄過，則取消當前的發送，然后把(signcryption,sid)發給Pi。

只要上述情況之一發生就記錄(m,σ,PKj,1)。

（4）解簽密階段

若收到接收者Pj的請求(Dsc,sid,σ,PKi)，驗證sid= (Pj,sid′)，如果驗證不成功，則忽略發來的消息請求，否則，執行如下：

①如果記錄過(m,σ)，則設置f=1，并把(m,f)發給Pj。

②否則，將(Dsc,sid,σ,PKi)發給敵手S，并將敵手處返回的m以(m,f=0)的形式發給所有的參與者Pj。

（5）驗證階段

若收到參與方Pj的請求(Verify,sid,m,σ)，驗證sid=(Pj,sid′)，如果驗證不成功，則忽略發來的消息請求，否則，執行如下：

①如果已經記錄過(m,σ)，則設置f=1。（成功的簽密）

②否則，如果參與者沒有被敵手收買，則令f=0，并記錄(m,σ,0)。（偽造簽密）

③否則，令f=Verify(m,σ)，且將(m,σ,f)記錄下來。（敵手決定簽密是否有效）

4 協議πSCBSC的安全性分析

定理1在適應性腐敗敵手模型下，協議πSCBSC安全實現了理想函數FSCBSC，當且僅當自認證盲簽密協議SCBSC滿足IND-CCA2安全性。

證明（1）充分性。假如協議πSCBSC安全實現了FSCBSC，那么對于任何環境機都不可區分它是與(πSCBSC,A)交互還是與(FSCBSC,S)交互，則自認證盲簽密協議SCBSC滿足IND-CCA2安全性，即沒有任何敵手A能夠以不可忽略的概率贏得IND-CCA2游戲。

首先構造理想敵手S，運行過程如圖1所示。

在收到FSCBSC的消息(CA,Setup,sid)后，運行參數生成算法Setup(1k)→(s,param)，并返回相應的(Setup,Verify,param)；否則，返回錯誤或不動作。

在收到FSCBSC發過來的消息(Key,sid,Pj)時，運行密鑰生成算法Extract(param,s,IDj)，產生(PKj,Sj)，并返回產生值PKj。

Fig.1 Running process of ideal adversaryS圖1 理想敵手S的運行過程

在收到FSCBSC發過來的消息(Key,sid,Pi)時，運行Extract(param,s,IDi)，產生(PKi,Si)，并返回產生值PKi。

在收到FSCBSC的消息(Bsc,sid,m,PKj)時，如M是誠實的，則返回Bsc(param,sid,m,Si)→σ，并記錄(m,σ)；否則會收到FSCBSC發送的消息(Bsc,sid,m)，并返回(signcryption,sid,m,σ)。

在收到FSCBSC的消息(Dsc,sid,σ)時，返回Dsc(param,sid,σ,Sj)→m。以(m,f=0)的形式發給所有參與者Pj；否則，將(m,f=1)發給Pj。

在收到FSCBSC的消息(Verify,sid,m,σ)時，返回Verify(m,σ)。如果參與者是被收買的，則令f=0，且記錄(m,σ,0)；否則，令f=1。

接下來證明仿真敵手S模擬了敵手A，構造如下IND-CCA2游戲中的敵手AZ，運行如圖2所示。

在得到挑戰者Γ的param后，激活Z。

在收到Z的請求(CA,Setup,sid)時，Γ以sid= (sid,param)回應。

在收到Z的請求(Key,sid,Pj)時，向挑戰者發出(Extract,sid)請求，得到(PKj,Sj)應答。

在收到Z的請求(Key,sid,Pi)時，向挑戰者發出(Extract,sid)請求，得到(PKi,Si)應答。

Fig.2 Running process ofAZin IND-CCAgame圖2 IND-CCA游戲中AZ的運行過程

在收到Z的請求(Bsc,sid,m,PKj)時，向挑戰者發(Bsc,sid,m,PKj)請求，挑戰者Γ運行Bsc(param,sid,m,Si)→σ，并返回σ。

在收到Z的請求(Dsc,sid,σ,PKi)時，向挑戰者發(Dsc,sid,σ)請求，然后挑戰者Γ運行Dsc(param,sid,σ,Sj)→m，并返回m。

在收到Z的請求(Verify,sid,m,σ)時，運行Verify(param,m,σ)→f并返回f，當f=1時，簽密成功；否則是偽造的消息簽密或者是由敵手來決定簽密是否有效。

當Z停止時，輸出失敗并停止。

顯然，當AZ驗證成功時，也就是AZ在定義5的IND-CCA2游戲中成功猜對了c′=c。此時，環境Z與(πSCBSC,A)交互和與(FSCBSC,S)交互時的情況是完全一樣的。換句話說，如果環境Z以概率|Pr(Z(πSCBSC,A))→1-Pr(Z(FSCBSC,S))→1|區分它是與(πSCBSC,A)交互還是與(FSCBSC,S)交互（在現實世界中Pr(Z(πSCBSC,A))→1是一個可忽略的概率，而理想世界中Pr(Z(FSCBSC,S))→1總是等于0），則AZ將以概率|Pr(Z(πSCBSC,A))→1-Pr(Z(FSCBSC,S))→1|贏得IND-CCA2游戲。

（2）必要性。如果協議SCBSC是IND-CCA2安全的，即沒有任何敵手A以不可忽略的概率贏得IND-CCA2游戲，則協議πSCBSC安全實現了FSCBSC，即對于任何環境ZA不可區分它是與(πSCBSC,A)交互還是與(FSCBSC,S)交互。構造這樣的一個環境機ZA運行如下。

ZA首先給協議發Setup請求，在收到sid回復后，將param作為輸入啟動A。

對于A的請求(Extract,sid)，ZA可以先向協議發(CA,Setup,sid)，再發(Key,sid,Pj)，得到盲簽密者Pi的密鑰對，把后者的值返回給A，同樣可得到接收者Pj的密鑰對，把相應值返回給A。

對于A的請求(Bsc,sid,m)，ZA可以先向協議發(CA,Setup,sid)，再發(Key,sid,Pj)，最后發相應的(Bsc,sid,m,PKj)，以后者的返回值回應A。

對于A的請求(Dsc,sid,σ)，ZA可以先向協議發(CA,Setup,sid)，再發(Key,sid,Pj)，最后發相應的(Dsc,sid,σ)請求，將后者的返回值發給A。

當A輸出(m′,σ′)時，檢驗(m′,σ′)是否為合法的簽密，則對協議發送請求(Verify,sid,m′,σ′)，輸出返回值f。

顯然在現實世界中，ZA輸出1的概率正是A贏得IND-CCA2游戲的概率。而在理想世界中，ZA總是輸出0。也就是說，在現實模型當中，當敵手A以一個可忽略的概率贏得IND-CCA2游戲時，則ZA是以一個可忽略的概率輸出1，在理想模型當中，ZA輸出1的概率為0。 □

5 具體協議實例

上面證明了一般性的自認證盲簽密協議是具有UC安全性的，根據前面設計的一般性的自認證盲簽密協議πSCBSC，現在結合已有的自認證盲簽密協議[9]給出具體協議實例。下面描述中CA是可信第三方，M是消息擁有者，Pi是盲簽密者，Pj是接收者。

參數設置：sid為會話標識，k為安全參數，G1、G2分別是階為q的加法群和乘法群，P是G1的生成元，e是G1×G2→G2的雙線性對映射。H0:{0,1}*×是3個哈希函數。

若收到消息(CA,sid,Setup)，則參與方CA選取主密鑰計算系統公鑰PCA=sP，并且公開參數

若收到消息(Key,sid,Pi)，則Pi選取計算PKi=riP，將(IDi,PKi)發給CA，CA計算Qi=H0(IDi,Pi)，xi=sQi，然后返回(IDi,Qi,xi)給Pi，Pi計算Si=riQi+xi，并公開PKi。

若收到消息(Key,sid,Pj)，則Pi選取計算PKj=rjP，將(IDj,PKj)發給CA，CA計算Qj=H0(IDj,Pj)，xj=sQj，然后返回(IDj,Qj,xj)給Pj，Pj計算Sj=rjQj+xj，并公開PKj。

若收到消息(Bsc,sid,m)，并且會從Pj處收到PKj，Pi選取密值計算將(R,V)發給M。M隨機選取密值計算X=aR，ω=Va，Y=H2(ω)⊕m，h=aH1(m,X)。隨后將h發給Pi，Pi計算W=k-1hSi，然后再發給M。最后M將(X,Y,Z)發給接收者Pj。

若收到某個參與方的消息(Dsc,sid,m,PKj)，并且會從Pi處收到PKi，Pj計算ω=e(X,Sj)，m=H2(ω)⊕Y，然后驗證等式是否成立，若成立，則令f=1，盲簽密合法；否則認為盲簽密不合法。

若收到消息(Verify,sid,(m,X,Z))，公開計算X′=aR，H1′=H1(m,X′)，然后驗證等式是否成立。如果等式成立，那么盲簽密者Pi的盲簽密(X,Y)和公鑰PKi同時被認證，并且接收者Pj認為(X,Y)就是盲簽密者Pi對消息m的合法盲簽密。否則，(X,Y)不合法。

6 計算量分析

在公鑰密碼體系中，一般用基于身份的方法、基于證書的方法、基于無證書的方法和基于自認證的方法來認證用戶的公鑰，一般用基于雙線性對問題、離散對數問題（discrete logarithm problem，DLP）、橢圓曲線離散對數問題（elliptic curve discrete logarithm problem，ECDLP）來研究自認證公鑰環境下的簽密協議。本文給出的協議實例是基于雙線性對來設計的自認證盲簽密協議，下面給出該協議實例和其他協議的效率比較，考慮雙線性對預處理，如表1所示。

P表示G1上的雙線性對運算，M表示G1上的標量乘，E表示G2上的指數運算，H表示哈希函數。如果設一次G1上的標量乘為單位時間tm，那么根據文獻[21]的總結，可以得到如下關系：P≈1 440tm，H≈23tm，E≈21tm，M≈tm。

從效率上來分析，文獻[2]總開銷為2 909tm，文獻[5]為3084tm，文獻[6]為1581tm，文獻[8]為4520tm，本文為3 016tm。顯然，本文實例明顯優于文獻[8]，與文獻[2,5]效率相當。但是相對于文獻[2]來說，本文協議實例使用了簽密技術，即簽名的同時也對消息進行了加密，而相對于文獻[5]，本文協議實例增加了消息的盲性，提高了安全性。與文獻[6]比較，本文效率稍低，但是本文協議實例在增加了消息盲性的同時，還很好地解決了基于身份簽密中存在的秘鑰托管問題。綜合來講，自認證盲簽密協議還是非常不錯的。

7 結束語

本文在UC框架下設計了一般性的自認證盲簽密協議πSCBSC，形式化定義了在UC框架下的自認證盲簽密協議的理想函數FSCBSC。在適應性腐敗敵手模型下，給出了自認證盲簽密協議的UC安全性與IND-CCA2安全性之間的等價關系。未來研究計劃之一是簽密密鑰封裝機制的通用可復合安全性。

Table 1 Efficiency of this paper compared with other literatures表1 本文方案與其他文獻的效率比較

[1]Zheng Yuliang.Digital signcryption or how to achieve cost (signature&encryption)? cost(signature)+cost(encryption)[C]//LNCS 1294:Proceedings of the 17th Annual International Cryptology Conference,Santa Barbara,USA,Aug 17-21,1997.Berlin,Heidelberg:Springer,1997:165-179.

[2]Tang Pengzhi,Liu Qiwen,Zuo Liming.A modified scheme of partially blind signature based on ID[J].Computer Engineering,2015,41(10):139-143.

[3]Baek J,Steinfeld R,Zheng Yuliang.Formal proofs for the security of signcryption[C]//LNCS 2274:Proceedings of the 5th International Workshop on Practice and Theory in Public Key Cryptosystems:Public Key Cryptography,Paris, Feb 12-14,2002.Berlin,Heidelberg:Springer,2002:80-98.

[4]Fan Jia,Zheng Yuliang,Tang Xiaohu.A single key pair is adequate for the Zheng signcryption[C]//LNCS 6812:Proceedings of the 16th Australasian Conference on Information Security and Privacy,Melbourne,Australia,Jul 11-13, 2011.Berlin,Heidelberg:Springer,2011:371-388.

[5]He Junjie,Jiao Shuyun,Qi Chuanda.Analysis and improvement of ID-based signcryption scheme[J].Application Research of Computers,2013,30(3):913-920.

[6]ZhangYu,Du Ruiying,Chen Jing,et al.Analysis and improvement of an identity-based signcryption[J].Journal on Communications,2015,36(11):174-179.

[7]Pang Liaojun,Li Huixian,Cui Jingjing,et al.Design and analysis of a fair ID-based multi-receiver anonymous signcryption[J].Journal of Software,2014,25(10):2409-2420.

[8]Yu Huifang,Wang Caifen,Yang Lin,et al.Certificateless based blind signcrption scheme[J].Computer Applications and Software,2010,27(7):71-73.

[9]Yu Huifang,Wang Caifen.Self-certified signcryption scheme [J].Journal of ComputerApplications,2009,26(9):3508-3511.

[10]Yu Huifang.Study on provably secure theory for hybrid signcryption[D].Xi’an:Shaanxi Normal University,2015.

[11]Canetti R.Universally composable security:a new paradigm for cryptographic protocols[C]//Proceedings of the 42nd IEEE Symposium on Foundations of Computer Science,Las Vegas,USA,Oct 14-17,2001.Washington:IEEE Computer Society,2001:136-145.

[12]Canetti R,Lindaell Y,Ostrovsky R,et al.Universally composable two-party and multi-party secure computation[C]// Proceedings of the 34th Annual ACM Symposium on Theory of Computing,Montreal,Canada,May 19-21,2002.New York:ACM,2003:494-503.

[13]Kiayias A,Zhou Hongsheng.Equivocal blind signature and adaptive UC-security[C]//LNCS 4948:Proceedings of the 5th Theory of Cryptography Conference,New York,Mar 19-21,2008.Berlin,Heidelberg:Springer,2008:340-355.

[14]Canetti R,Dachman-Soled D,Vaikuntanathan V,et al.Efficient password authenticated key exchange via oblivious transfer[C]//LNCS 7293:Proceedings of the 15th International Conference on Practice and Theory in Public Key Cryptography,Darmstadt,Germany,May 21-23,2012.Berlin,Heidelberg:Springer,2012:449-466.

[15]Lei Feiyu.Studies on UC secure multiparty computation and its application[D].Shanghai:Shanghai Jiaotong University,2007.

[16]Tian Youliang,Peng Changgen,Ma Jianfeng,et al.Universally composable secure multiparty computation protocol with fairness[J].Journal on Communication,2014,35(2): 54-62.

[17]Wang Zhu,Dai Yiqi,Ye Dingfeng.Universally composable identity-based signature[J].Acta Electraonica Sinica,2011, 39(7):1613-1617.

[18]Zhang Zinan,Guo Yuanbo,Yang Kuiwu,et al.Universally composable security authenticated key exchange protocol [J].Journal of Xidian University,2014,41(5):185-191.

[19]Wang Zhu,Dai Yiqi.Ideal functionality and sequential composition of zeroknowledge[J].Information Security and Communications Privacy,2012(6):84-86.

[20]Tian Youliang,Ma Jianfeng,Peng Changgen,et al.Universally composable mechanism for group communication[J]. Chinese Journal of Computers,2012,35(4):645-646.

[21]Fan I,Sun W Z,Huang S M.Provably secure randomized blind signature schemes based on bilinearpairing[J].Computers and Mathmatics withApplication,2010,60(2):285-293.

附中文參考文獻

[2]湯鵬志,劉啟文,左黎明.一種基于身份的部分盲簽名改進方案[J].計算機工程,2015,41(10):139-143.

[5]何俊杰,焦淑云,祁傳達.一個基于身份的簽密方案的分析與改進[J].計算機應用研究,2013,30(3):913-920.

[6]張宇,杜瑞穎,陳晶,等.對于一個基于身份簽密方案的分析與改進[J].通信學報,2015,36(11):174-179.

[7]龐遼軍,李慧賢,崔靜靜,等.公平的基于身份的多接收者匿名簽密設計與分析[J].軟件學報,2014,25(10):2409-2420.

[8]俞惠芳,王彩芬,楊林,等.基于無證書的盲簽密方案[J].計算機應用與軟件,2010,27(7):71-73.

[9]俞惠芳,王彩芬.使用自認證公鑰的盲簽密方案[J].計算機應用,2009,26(9):3508-3511.

[10]俞惠芳.混合簽密及其可證明安全性理論研究[D].西安:陜西師范大學,2015.

[15]雷飛宇.UC安全多方計算模型及其典型應用研究[D].上海:上海交通大學,2007.

[16]田友亮,彭長根,馬建峰,等.通用可組合公平安全多方計算協議[J].通信學報,2014,35(2):54-62.

[17]王竹,戴一奇,葉頂峰.普適安全的基于身份的簽名機制[J].電子學報,2011,39(7):1613-1617.

[18]張紫楠,郭淵博,楊奎武,等.通用可組合認證密鑰交換協議[J].西安電子科技大學學報,2014,41(5):185-191.

[19]王竹,戴一奇.零知識的理想功能和零知識的序列組合[J].信息安全與通信保密,2012(6):84-86.

[20]田有亮,馬建峰,彭長根,等.群組通信的通用可組合機制[J].計算機學報,2012,35(4):645-646.

LI Jianmin was born in 1991.He is an M.S.candidate at School of Computer,Qinghai Normal University.His research interests include information security and cryptography.

李建民（1991—），男，湖南懷化人，青海師范大學計算機學院碩士研究生，主要研究領域為信息安全，密碼學。

俞惠芳（1972—），女，青海樂都人，博士，青海師范大學教授、碩士生導師，主要研究領域為密碼學，信息安全。已完成973前期專項等10余項，主持在研國家自然基金項目2項，發表學術論文40余篇，出版著作1部。

ZHAO Chen was born in 1992.She is an M.S.candidate at School of Computer,Qinghai Normal University.Her research interests include information security and cryptography.

趙晨（1992—），女，河南南陽人，青海師范大學計算機學院碩士研究生，主要研究領域為信息安全，密碼學。

Self-Certified Blind Signcryption Protocol with UC Security*

LI Jianmin,YU Huifang+,ZHAO Chen
School of Computer,Qinghai Normal University,Xining 810008,China
+Corresponding author:E-mail:yuhuifang@qhnu.edu.cn

Self-certified blind signcryption(SCBSC)protocol can simultaneously fulfill public key encryption and blind signature.When disputation occurs between the sender and recipient,any third party can verify the validity of the signature.However,the existing self-certified blind signcryption protocol does not yet have universally composable(UC)security.Aiming at this problem,the UC security framework is introduced.The use of this framework can analyze and design self-certified blind signcryption protocol in modularity.Firstly,the ideal function of self-certified blind signcryption protocol is defined under the UC security framework;secondly,under the adaptive adversary model,self-certified blind signcryption protocol may achieve functionality,if and only if self-certified blind signcryption protocol satisfies the indistinguishability against adaptive chosen-ciphertext attacks(IND-CCA2)

self-certified blind signcryption;UC security;ideal function;adaptive chosen-ciphertext attacks

g was born in 1972.She

the Ph.D.degree from Shaanxi Normal university.Now she is a professor and M.S.supervisor at Qinghai Normal University.Her research interests include cryptography and information security. She has completed more than 10 research projects including 973 basic research program.She is managing 2 research projects including the National Natural Science Foundation of China.She has published more than 40 papers and 1 work.

A

TP309

*The National Natural Science Foundation of China under Grant No.61363080(國家自然科學基金);the Basic Research Project of Qinghai Province under Grant No.2016-ZJ-776(青海省應用基礎研究項目).

Received 2016-05,Accepted 2016-09.

CNKI網絡優先出版:2016-09-08,http://www.cnki.net/kcms/detail/11.5602.TP.20160908.1045.008.html