李建民，俞惠芳，趙 晨

青海師范大學(xué) 計(jì)算機(jī)學(xué)院，西寧 810008

UC安全的自認(rèn)證盲簽密協(xié)議*

李建民，俞惠芳+，趙 晨

青海師范大學(xué) 計(jì)算機(jī)學(xué)院，西寧 810008

LI Jianmin,YU Huifang,ZHAO Chen.Self-certified blind signcryption protocol with UC security.Journal of Frontiers of Computer Science and Technology,2017,11(6)：932-940.

自認(rèn)證盲簽密（self-certified blind signcryption，SCBSC）協(xié)議能夠同時(shí)實(shí)現(xiàn)公鑰加密和盲簽名，并且當(dāng)發(fā)送方與接收方對簽名存在爭議時(shí)，任何第三方都能驗(yàn)證簽名的有效性。然而，現(xiàn)有的自認(rèn)證盲簽密協(xié)議還不具有UC（universally composable）安全性，針對這個(gè)問題，引入U(xiǎn)C安全框架，利用該框架可以模塊化分析與設(shè)計(jì)自認(rèn)證盲簽密協(xié)議。定義了自認(rèn)證盲簽密協(xié)議在UC安全框架下對應(yīng)的理想函數(shù)；證明了在適應(yīng)性敵手模型下，自認(rèn)證盲簽密協(xié)議實(shí)現(xiàn)該理想函數(shù)，當(dāng)且僅當(dāng)簽密協(xié)議滿足不可區(qū)分適應(yīng)性選擇密文攻擊（indistinguishability against adaptive chosen-ciphertext attacks，IND-CCA2）。

自認(rèn)證盲簽密；UC安全性；理想函數(shù)；適應(yīng)性選擇密文攻擊

1 引言

1997年，Zheng提出的簽密方案[1]能夠在一個(gè)邏輯步驟內(nèi)同時(shí)完成簽名[2]和加密，相對于傳統(tǒng)的先簽名后加密來說，它的計(jì)算量和通信成本較低。2002年，Zheng等人[3]改進(jìn)了1997年提出的簽密方案，并對新方案給出了安全性定義和安全性證明。2011年，F(xiàn)an等人[4]改進(jìn)了2002版簽密方案，改進(jìn)方案在哈希函數(shù)的輸入中添加了接收方和發(fā)送方的公鑰。近年來，對于簽密方案的研究一直都是現(xiàn)代密碼學(xué)所關(guān)注的重點(diǎn)。將簽密與一些特殊性質(zhì)的簽名結(jié)合起來，構(gòu)造一些可以應(yīng)用在不同的公鑰密碼體制上的簽密體制。何俊杰等人[5]利用雙線性對技術(shù)提出了一個(gè)基于身份簽密方案。張宇等人[6]又進(jìn)一步改進(jìn)了基于身份簽密方案。龐遼軍等人[7]針對現(xiàn)有多接收者簽密存在的接收者身份暴露和解密過程不公平等問題，提出了一個(gè)新的接收者簽密方案。俞惠芳等人提出了基于無證書的盲簽密方案[8]和使用自認(rèn)證公鑰的盲簽密方案[9]，同時(shí)進(jìn)一步研究了混合簽密方案[10]。雖然自認(rèn)證思想結(jié)合簽密方案的研究取得了一些成果，但研究還不夠深入，特別是在對自認(rèn)證盲簽密方面的研究。

自認(rèn)證盲簽密不僅能夠在一個(gè)邏輯步驟內(nèi)同時(shí)完成盲簽名和公鑰加密功能，而且在發(fā)送方和接收方對密文的合法性產(chǎn)生爭議時(shí)，任何第三方都可以驗(yàn)證簽密的有效性。由于自認(rèn)證盲簽密本身的優(yōu)點(diǎn)和越來越廣泛的應(yīng)用，使基于UC（universally composable）安全框架下實(shí)現(xiàn)其安全性很有必要。但是目前很少有這方面的研究，現(xiàn)有的自認(rèn)證盲簽密還不具有通用可組合安全性。

2001年，Canetti[11]提出了UC安全的概念。它的主要特點(diǎn)是滿足協(xié)議的模塊化設(shè)計(jì)要求，可以單獨(dú)來設(shè)計(jì)協(xié)議，只要協(xié)議滿足UC安全性，那么就可以保證和其他協(xié)議并發(fā)組合運(yùn)行的安全性。設(shè)計(jì)一個(gè)UC安全的協(xié)議，首先要將協(xié)議所希望完成的功能抽象為一個(gè)理想函數(shù)，這個(gè)理想函數(shù)就相當(dāng)于現(xiàn)實(shí)世界中一個(gè)不可攻破的可信第三方。而Canetti給出了在UC框架下被理想化的一些實(shí)現(xiàn)方案。2003年，Canetti等人在通用參考串模型中提出了通用可組合的兩方和多方安全計(jì)算[12]。2008年，Kiayias等人[13]提出了能夠抵抗自適應(yīng)性攻擊者UC安全的盲簽名。2012年，Canetti等人[14]基于OT（oblivious transfer）協(xié)議的兩方PAKE（password-authenticated key exchange）提出了該協(xié)議的理想功能，同時(shí)給出了基于OT協(xié)議構(gòu)造一個(gè)雙向認(rèn)證PAKE協(xié)議的通用方法。在國內(nèi)對UC安全的研究也取得了一些成果，如安全多方計(jì)算[15-16]、認(rèn)證和密鑰交換[17-18]、零知識[19]、數(shù)字簽密[20]。

本文在已有的自認(rèn)證盲簽密協(xié)議[9]基礎(chǔ)上，對UC安全框架進(jìn)行了理論分析。首先定義了一般性的自認(rèn)證盲簽密協(xié)議，其次給出了UC安全框架下實(shí)現(xiàn)的自認(rèn)證盲簽密協(xié)議的理想函數(shù)的定義，然后給出了自認(rèn)證盲簽密協(xié)議的UC安全性與IND-CCA2（indistinguishability against adaptive chosen-ciphertext attacks）安全性之間的等價(jià)關(guān)系，最后給出具體協(xié)議實(shí)例和計(jì)算量分析。

2 基本概念

2.1 UC安全框架

UC安全框架由現(xiàn)實(shí)模型、理想模型和混合模型組成。在UC框架中使用交互式圖靈機(jī)（interactive Turing machine，ITM）來表示協(xié)議的參與者、攻擊者和環(huán)境機(jī)，并且每個(gè)ITM的運(yùn)行都被限定在概率多項(xiàng)式時(shí)間內(nèi)。如果說一個(gè)協(xié)議是UC安全的，那么對于任何敵手來說，環(huán)境機(jī)Z所看到的一切都可以在“理想世界”中看到。而在理想世界中，用戶之間不用交互。現(xiàn)實(shí)協(xié)議所希望完成的任務(wù)可以通過訪問理想功能來完成。

ITM：是一個(gè)標(biāo)準(zhǔn)的數(shù)學(xué)模型，它具有只讀身份帶、只讀安全參數(shù)帶、只讀隨機(jī)數(shù)帶、輸入帶、輸出帶、輸入通信帶、輸出通信帶、工作帶和一比特的激活帶。選擇用ITM來實(shí)現(xiàn)UC框架是因?yàn)樗軌蚝芎玫乇硎窘换ズ陀?jì)算復(fù)雜性之間的關(guān)系，而且很好地融合了復(fù)雜理論中的標(biāo)準(zhǔn)模型，同時(shí)也很形象地表示了計(jì)算機(jī)的工作方式。

現(xiàn)實(shí)模型：描述了協(xié)議在現(xiàn)實(shí)環(huán)境中的執(zhí)行情況，其中實(shí)體有協(xié)議π、參與方P1,P2,…,Pn、敵手A和環(huán)境機(jī)Z。參與方之間可以直接交互，而且都誠實(shí)地執(zhí)行協(xié)議π，敵手A可以入侵參與者，一旦參與方Pi被敵手A入侵，則A將獲得Pi的內(nèi)部狀態(tài)及以前的歷史信息。

理想模型：描述了協(xié)議執(zhí)行的理想情況，在此模型下協(xié)議可以得到無條件的安全，其中實(shí)體有虛擬參與方P1,P2…,Pn、仿真者S、環(huán)境機(jī)Z及理想函數(shù)F。理想模型與現(xiàn)實(shí)模型不同的是，虛擬參與方之間不能直接交互，只能通過理想函數(shù)F來轉(zhuǎn)發(fā)消息。理想函數(shù)F只能和參與方Pi及敵手S進(jìn)行通信，F(xiàn)是人們想要達(dá)到的安全目標(biāo)，仿真者S與現(xiàn)實(shí)環(huán)境中的敵手A能力相當(dāng)。

混合模型：是現(xiàn)實(shí)模型和理想模型的結(jié)合，其中實(shí)體有參與方P1,P2…,Pn、敵手A、環(huán)境機(jī)Z、協(xié)議π和理想函數(shù)F。與現(xiàn)實(shí)模型和理想模型不同的是，混合模型中不但有協(xié)議π，還有理想函數(shù)F的多個(gè)副本，且副本之間不傳遞消息。

根據(jù)文獻(xiàn)[11]直接給出如下在UC安全框架下的定義。

定義1（不可區(qū)分性）兩個(gè)二元分布X和Y是不可區(qū)分的（記為X≈Y），如果對于任何c∈N都存在k0∈N，使得所有滿足k>k0及所有a，都有：

定義2（UC仿真）令F是一個(gè)理想函數(shù)，π是一個(gè)現(xiàn)實(shí)協(xié)議，如果對任何現(xiàn)實(shí)攻擊者A都存在一個(gè)理想敵手S，則對于任何環(huán)境機(jī)Z都有：

定義3（組合定理）令F和G是理想函數(shù)，π是F-混合模型下的一個(gè)協(xié)議，協(xié)議ρ在G-混合模型下可以安全地實(shí)現(xiàn)F。那么對于任何敵手AG，都存在一個(gè)AF，使得對于任何環(huán)境機(jī)Z，都有：

2.2 自認(rèn)證盲簽密協(xié)議

定義4[9]自認(rèn)證盲簽密協(xié)議（self-certified blind signcryption，SCBSC）由系統(tǒng)設(shè)置、用戶注冊、盲簽密和解簽密四部分組成。該協(xié)議的參與者有權(quán)威機(jī)構(gòu)CA、消息擁有者M(jìn)、盲簽密者Pi和接收者Pj。算法描述如下。

（1）系統(tǒng)設(shè)置：該算法由CA執(zhí)行。輸入安全參數(shù)k，輸出系統(tǒng)主密鑰s和系統(tǒng)參數(shù)param，CA保密s，公開param。

（2）用戶注冊：輸入系統(tǒng)參數(shù)param和用戶U的身份IDU，輸出(IDU,PU)，這部分由U完成；輸入(IDU,PU)，輸出QU和用戶U的部分私鑰xU，這部分由CA完成。

（3）盲簽密：輸入系統(tǒng)參數(shù)param、Qj、Pj、明文m和盲簽密者Pi的私鑰Si，輸出密文σ=(X,Y,Z)。

（4）解簽密：輸入系統(tǒng)參數(shù)param、Qi、Pi及接收者的私鑰Sj，輸出明文或者失敗。

2.3 IND-CCA2安全性

定義5[9]如果沒有任何多項(xiàng)式有界的敵手A能夠以一個(gè)不可忽略的概率贏得以下游戲，則稱一個(gè)自認(rèn)證盲簽密協(xié)議在適應(yīng)性選擇密文攻擊下具有不可區(qū)分性（IND-CCA2）。

假設(shè)攻擊者A為一般用戶，下面是攻擊者A和挑戰(zhàn)者Γ共同完成的游戲。

Γ使用安全參數(shù)k運(yùn)行系統(tǒng)設(shè)置算法，得到主密鑰和系統(tǒng)參數(shù)，并將系統(tǒng)參數(shù)發(fā)送給A。

階段1在詢問階段，A向Γ請求如下詢問。

密鑰詢問：A請求任意身份的公鑰及私鑰，Γ運(yùn)行相應(yīng)的算法，返回A所需要的請求值。

盲簽密詢問：A請求對任意消息m的關(guān)于身份IDi和IDj的盲簽密者詢問，Γ返回一個(gè)密文σ。

解簽密詢問：A選擇兩個(gè)身份IDi、IDj及密文σ，Γ計(jì)算身份IDj對應(yīng)的私鑰，并把解密的結(jié)果給A。

挑戰(zhàn)階段：A生成兩個(gè)長度相同的明文m0、m1和希望挑戰(zhàn)的兩個(gè)身份IDi、IDj，身份IDj所對應(yīng)的私鑰不能被詢問。Γ隨機(jī)選取c∈{0,1}，Γ執(zhí)行對消息mc的盲簽密算法，并將密文σ發(fā)給A，

階段2A像階段1那樣執(zhí)行詢問，但是身份IDj所對應(yīng)的私鑰不能被執(zhí)行詢問，也不能對密文σ執(zhí)行解密詢問。

猜測階段：Γ輸出c′∈{0,1}對c的猜測。如果c′=c，則A贏得游戲。

2.4 UC框架下的自認(rèn)證盲簽密協(xié)議πSCBSC

一個(gè)具體的自認(rèn)證盲簽密協(xié)議通常是由一個(gè)可信的第三方CA來控制Setup和Extract算法。在UC安全框架模塊化的設(shè)計(jì)下它沒有定義好合適的功能接口。因此最主要的目標(biāo)就是給出在UC框架下的自認(rèn)證盲簽密協(xié)議SCBSC的功能接口。

下面描述一般性的自認(rèn)證盲簽密協(xié)議πSCBSC= (Setup,Extract,Bsc,Dsc,Verify)。

Setup：系統(tǒng)參數(shù)生成算法，生成主密鑰s和系統(tǒng)參數(shù)param。

Extract：密鑰生成算法，生成簽密者的密鑰對(PKi,Si)和接收者的密鑰對(PKj,Sj)。

Bsc：盲簽密算法，通過(Bsc,sid,m,PKj)被簽密參與方激活，運(yùn)行Bsc(m)→σ。

Dsc：解簽密算法，通過(Dsc,sid,σ,PKi)被解簽密參與方激活，運(yùn)行Dsc(σ)→m。

Verify：驗(yàn)證算法，在簽密者否認(rèn)自己的行為時(shí)，通過解密者給可信第三方(Verify,sid,m,σ)進(jìn)行仲裁。

協(xié)議πSCBSC在UC框架下運(yùn)行步驟如下：

當(dāng)收到請求(CA,Setup,sid)后，首先驗(yàn)證sid= (CA,sid′)，運(yùn)行Setup(1k)→(s,param)，并返回相應(yīng)的參數(shù)param。

在收到某參與方Pi的請求(Key,sid,Pj)后，運(yùn)行Extract(param,s,IDj)→(PKj,Sj)，返回相應(yīng)的產(chǎn)生值PKj。

在收到某參與方Pj的請求(Key,sid,Pi)后，運(yùn)行Extract(param,s,IDi)→(PKi,Si)，返回PKi。

在收到某參與方的請求(Bsc,sid,m,PKj)后，運(yùn)行Bsc(param,sid,m,Si)→σ，得到盲簽密σ。

在收到某參與方的請求(Dsc,sid,σ)后，運(yùn)行Dsc(param,sid,σ,Sj)→m，得到消息m。

在收到某參與方的請求(Verify,sid,m,σ)后，運(yùn)行Verify(m,σ)→f，并返回f的值。

3 理想函數(shù)FSCBSC

這里所定義的理想函數(shù)FSCBSC應(yīng)該與協(xié)議πSCBSC有完全一樣的接口。也就是說，希望理想函數(shù)FSCBSC在滿足一定條件下能夠被自認(rèn)證盲簽密協(xié)議SCBSC實(shí)現(xiàn)。理想函數(shù)FSCBSC的執(zhí)行如下。

（1）系統(tǒng)設(shè)置

若收到來自某參與方的請求(CA,Setup,sid)，驗(yàn)證sid=(CA,sid′)，如果驗(yàn)證不成功，則忽略請求，否則，將此消息轉(zhuǎn)發(fā)給理想敵手S，在得到理想敵手S回復(fù)的(Setup,Verify,sid,param)后，記錄下算法Verify。

（2）用戶注冊

若收到來自盲簽密者Pi的請求(Key,sid,Pj)后，將此消息轉(zhuǎn)發(fā)給敵手S，在得到敵手S回復(fù)的(Pj,sid,PKj)時(shí)，將PKj發(fā)給參與者Pi。

若收到來自接收者Pj的請求(Key,sid,Pi)后，將此消息轉(zhuǎn)發(fā)給敵手S，在得到敵手S回復(fù)的(Pi,sid,PKi)時(shí)，將PKi發(fā)給參與者Pj。之后，忽略所有的(Key,sid,Pi/Pj)。

（3）盲簽密階段

若收到參與方M的請求(Bsc,sid,m,PKj)，驗(yàn)證sid= (Pi,sid′)，如果驗(yàn)證不成功，則忽略發(fā)來的消息請求，否則，執(zhí)行如下：

①如果參與方M是誠實(shí)的，那么M將通過(signcryption,sid)來通知盲簽密者Pi和敵手S，并且要求產(chǎn)生一個(gè)簽密，即Bsc(m)→σ，待盲簽密者Pi和敵手S都同意的情況下，將簽密消息(signcryption,sid,m,σ)發(fā)給M。

②如果參與方M是被收買過的，那么將會發(fā)送(Bsc,sid,m)給敵手S，并且從敵手S返回(signcryption,sid,m,σ)，如果(m,σ,PKj,0)在之前已經(jīng)被記錄過，則取消當(dāng)前的發(fā)送，然后把(signcryption,sid)發(fā)給Pi。

只要上述情況之一發(fā)生就記錄(m,σ,PKj,1)。

（4）解簽密階段

若收到接收者Pj的請求(Dsc,sid,σ,PKi)，驗(yàn)證sid= (Pj,sid′)，如果驗(yàn)證不成功，則忽略發(fā)來的消息請求，否則，執(zhí)行如下：

①如果記錄過(m,σ)，則設(shè)置f=1，并把(m,f)發(fā)給Pj。

②否則，將(Dsc,sid,σ,PKi)發(fā)給敵手S，并將敵手處返回的m以(m,f=0)的形式發(fā)給所有的參與者Pj。

（5）驗(yàn)證階段

若收到參與方Pj的請求(Verify,sid,m,σ)，驗(yàn)證sid=(Pj,sid′)，如果驗(yàn)證不成功，則忽略發(fā)來的消息請求，否則，執(zhí)行如下：

①如果已經(jīng)記錄過(m,σ)，則設(shè)置f=1。（成功的簽密）

②否則，如果參與者沒有被敵手收買，則令f=0，并記錄(m,σ,0)。（偽造簽密）

③否則，令f=Verify(m,σ)，且將(m,σ,f)記錄下來。（敵手決定簽密是否有效）

4 協(xié)議πSCBSC的安全性分析

定理1在適應(yīng)性腐敗敵手模型下，協(xié)議πSCBSC安全實(shí)現(xiàn)了理想函數(shù)FSCBSC，當(dāng)且僅當(dāng)自認(rèn)證盲簽密協(xié)議SCBSC滿足IND-CCA2安全性。

證明（1）充分性。假如協(xié)議πSCBSC安全實(shí)現(xiàn)了FSCBSC，那么對于任何環(huán)境機(jī)都不可區(qū)分它是與(πSCBSC,A)交互還是與(FSCBSC,S)交互，則自認(rèn)證盲簽密協(xié)議SCBSC滿足IND-CCA2安全性，即沒有任何敵手A能夠以不可忽略的概率贏得IND-CCA2游戲。

首先構(gòu)造理想敵手S，運(yùn)行過程如圖1所示。

在收到FSCBSC的消息(CA,Setup,sid)后，運(yùn)行參數(shù)生成算法Setup(1k)→(s,param)，并返回相應(yīng)的(Setup,Verify,param)；否則，返回錯(cuò)誤或不動作。

在收到FSCBSC發(fā)過來的消息(Key,sid,Pj)時(shí)，運(yùn)行密鑰生成算法Extract(param,s,IDj)，產(chǎn)生(PKj,Sj)，并返回產(chǎn)生值PKj。

Fig.1 Running process of ideal adversaryS圖1 理想敵手S的運(yùn)行過程

在收到FSCBSC發(fā)過來的消息(Key,sid,Pi)時(shí)，運(yùn)行Extract(param,s,IDi)，產(chǎn)生(PKi,Si)，并返回產(chǎn)生值PKi。

在收到FSCBSC的消息(Bsc,sid,m,PKj)時(shí)，如M是誠實(shí)的，則返回Bsc(param,sid,m,Si)→σ，并記錄(m,σ)；否則會收到FSCBSC發(fā)送的消息(Bsc,sid,m)，并返回(signcryption,sid,m,σ)。

在收到FSCBSC的消息(Dsc,sid,σ)時(shí)，返回Dsc(param,sid,σ,Sj)→m。以(m,f=0)的形式發(fā)給所有參與者Pj；否則，將(m,f=1)發(fā)給Pj。

在收到FSCBSC的消息(Verify,sid,m,σ)時(shí)，返回Verify(m,σ)。如果參與者是被收買的，則令f=0，且記錄(m,σ,0)；否則，令f=1。

接下來證明仿真敵手S模擬了敵手A，構(gòu)造如下IND-CCA2游戲中的敵手AZ，運(yùn)行如圖2所示。

在得到挑戰(zhàn)者Γ的param后，激活Z。

在收到Z的請求(CA,Setup,sid)時(shí)，Γ以sid= (sid,param)回應(yīng)。

在收到Z的請求(Key,sid,Pj)時(shí)，向挑戰(zhàn)者發(fā)出(Extract,sid)請求，得到(PKj,Sj)應(yīng)答。

在收到Z的請求(Key,sid,Pi)時(shí)，向挑戰(zhàn)者發(fā)出(Extract,sid)請求，得到(PKi,Si)應(yīng)答。

Fig.2 Running process ofAZin IND-CCAgame圖2 IND-CCA游戲中AZ的運(yùn)行過程

在收到Z的請求(Bsc,sid,m,PKj)時(shí)，向挑戰(zhàn)者發(fā)(Bsc,sid,m,PKj)請求，挑戰(zhàn)者Γ運(yùn)行Bsc(param,sid,m,Si)→σ，并返回σ。

在收到Z的請求(Dsc,sid,σ,PKi)時(shí)，向挑戰(zhàn)者發(fā)(Dsc,sid,σ)請求，然后挑戰(zhàn)者Γ運(yùn)行Dsc(param,sid,σ,Sj)→m，并返回m。

在收到Z的請求(Verify,sid,m,σ)時(shí)，運(yùn)行Verify(param,m,σ)→f并返回f，當(dāng)f=1時(shí)，簽密成功；否則是偽造的消息簽密或者是由敵手來決定簽密是否有效。

當(dāng)Z停止時(shí)，輸出失敗并停止。

顯然，當(dāng)AZ驗(yàn)證成功時(shí)，也就是AZ在定義5的IND-CCA2游戲中成功猜對了c′=c。此時(shí)，環(huán)境Z與(πSCBSC,A)交互和與(FSCBSC,S)交互時(shí)的情況是完全一樣的。換句話說，如果環(huán)境Z以概率|Pr(Z(πSCBSC,A))→1-Pr(Z(FSCBSC,S))→1|區(qū)分它是與(πSCBSC,A)交互還是與(FSCBSC,S)交互（在現(xiàn)實(shí)世界中Pr(Z(πSCBSC,A))→1是一個(gè)可忽略的概率，而理想世界中Pr(Z(FSCBSC,S))→1總是等于0），則AZ將以概率|Pr(Z(πSCBSC,A))→1-Pr(Z(FSCBSC,S))→1|贏得IND-CCA2游戲。

（2）必要性。如果協(xié)議SCBSC是IND-CCA2安全的，即沒有任何敵手A以不可忽略的概率贏得IND-CCA2游戲，則協(xié)議πSCBSC安全實(shí)現(xiàn)了FSCBSC，即對于任何環(huán)境ZA不可區(qū)分它是與(πSCBSC,A)交互還是與(FSCBSC,S)交互。構(gòu)造這樣的一個(gè)環(huán)境機(jī)ZA運(yùn)行如下。

ZA首先給協(xié)議發(fā)Setup請求，在收到sid回復(fù)后，將param作為輸入啟動A。

對于A的請求(Extract,sid)，ZA可以先向協(xié)議發(fā)(CA,Setup,sid)，再發(fā)(Key,sid,Pj)，得到盲簽密者Pi的密鑰對，把后者的值返回給A，同樣可得到接收者Pj的密鑰對，把相應(yīng)值返回給A。

對于A的請求(Bsc,sid,m)，ZA可以先向協(xié)議發(fā)(CA,Setup,sid)，再發(fā)(Key,sid,Pj)，最后發(fā)相應(yīng)的(Bsc,sid,m,PKj)，以后者的返回值回應(yīng)A。

對于A的請求(Dsc,sid,σ)，ZA可以先向協(xié)議發(fā)(CA,Setup,sid)，再發(fā)(Key,sid,Pj)，最后發(fā)相應(yīng)的(Dsc,sid,σ)請求，將后者的返回值發(fā)給A。

當(dāng)A輸出(m′,σ′)時(shí)，檢驗(yàn)(m′,σ′)是否為合法的簽密，則對協(xié)議發(fā)送請求(Verify,sid,m′,σ′)，輸出返回值f。

顯然在現(xiàn)實(shí)世界中，ZA輸出1的概率正是A贏得IND-CCA2游戲的概率。而在理想世界中，ZA總是輸出0。也就是說，在現(xiàn)實(shí)模型當(dāng)中，當(dāng)敵手A以一個(gè)可忽略的概率贏得IND-CCA2游戲時(shí)，則ZA是以一個(gè)可忽略的概率輸出1，在理想模型當(dāng)中，ZA輸出1的概率為0。 □

5 具體協(xié)議實(shí)例

上面證明了一般性的自認(rèn)證盲簽密協(xié)議是具有UC安全性的，根據(jù)前面設(shè)計(jì)的一般性的自認(rèn)證盲簽密協(xié)議πSCBSC，現(xiàn)在結(jié)合已有的自認(rèn)證盲簽密協(xié)議[9]給出具體協(xié)議實(shí)例。下面描述中CA是可信第三方，M是消息擁有者，Pi是盲簽密者，Pj是接收者。

參數(shù)設(shè)置：sid為會話標(biāo)識，k為安全參數(shù)，G1、G2分別是階為q的加法群和乘法群，P是G1的生成元，e是G1×G2→G2的雙線性對映射。H0:{0,1}*×是3個(gè)哈希函數(shù)。

若收到消息(CA,sid,Setup)，則參與方CA選取主密鑰計(jì)算系統(tǒng)公鑰PCA=sP，并且公開參數(shù)

若收到消息(Key,sid,Pi)，則Pi選取計(jì)算PKi=riP，將(IDi,PKi)發(fā)給CA，CA計(jì)算Qi=H0(IDi,Pi)，xi=sQi，然后返回(IDi,Qi,xi)給Pi，Pi計(jì)算Si=riQi+xi，并公開PKi。

若收到消息(Key,sid,Pj)，則Pi選取計(jì)算PKj=rjP，將(IDj,PKj)發(fā)給CA，CA計(jì)算Qj=H0(IDj,Pj)，xj=sQj，然后返回(IDj,Qj,xj)給Pj，Pj計(jì)算Sj=rjQj+xj，并公開PKj。

若收到消息(Bsc,sid,m)，并且會從Pj處收到PKj，Pi選取密值計(jì)算將(R,V)發(fā)給M。M隨機(jī)選取密值計(jì)算X=aR，ω=Va，Y=H2(ω)⊕m，h=aH1(m,X)。隨后將h發(fā)給Pi，Pi計(jì)算W=k-1hSi，然后再發(fā)給M。最后M將(X,Y,Z)發(fā)給接收者Pj。

若收到某個(gè)參與方的消息(Dsc,sid,m,PKj)，并且會從Pi處收到PKi，Pj計(jì)算ω=e(X,Sj)，m=H2(ω)⊕Y，然后驗(yàn)證等式是否成立，若成立，則令f=1，盲簽密合法；否則認(rèn)為盲簽密不合法。

若收到消息(Verify,sid,(m,X,Z))，公開計(jì)算X′=aR，H1′=H1(m,X′)，然后驗(yàn)證等式是否成立。如果等式成立，那么盲簽密者Pi的盲簽密(X,Y)和公鑰PKi同時(shí)被認(rèn)證，并且接收者Pj認(rèn)為(X,Y)就是盲簽密者Pi對消息m的合法盲簽密。否則，(X,Y)不合法。

6 計(jì)算量分析

在公鑰密碼體系中，一般用基于身份的方法、基于證書的方法、基于無證書的方法和基于自認(rèn)證的方法來認(rèn)證用戶的公鑰，一般用基于雙線性對問題、離散對數(shù)問題（discrete logarithm problem，DLP）、橢圓曲線離散對數(shù)問題（elliptic curve discrete logarithm problem，ECDLP）來研究自認(rèn)證公鑰環(huán)境下的簽密協(xié)議。本文給出的協(xié)議實(shí)例是基于雙線性對來設(shè)計(jì)的自認(rèn)證盲簽密協(xié)議，下面給出該協(xié)議實(shí)例和其他協(xié)議的效率比較，考慮雙線性對預(yù)處理，如表1所示。

P表示G1上的雙線性對運(yùn)算，M表示G1上的標(biāo)量乘，E表示G2上的指數(shù)運(yùn)算，H表示哈希函數(shù)。如果設(shè)一次G1上的標(biāo)量乘為單位時(shí)間tm，那么根據(jù)文獻(xiàn)[21]的總結(jié)，可以得到如下關(guān)系：P≈1 440tm，H≈23tm，E≈21tm，M≈tm。

從效率上來分析，文獻(xiàn)[2]總開銷為2 909tm，文獻(xiàn)[5]為3084tm，文獻(xiàn)[6]為1581tm，文獻(xiàn)[8]為4520tm，本文為3 016tm。顯然，本文實(shí)例明顯優(yōu)于文獻(xiàn)[8]，與文獻(xiàn)[2,5]效率相當(dāng)。但是相對于文獻(xiàn)[2]來說，本文協(xié)議實(shí)例使用了簽密技術(shù)，即簽名的同時(shí)也對消息進(jìn)行了加密，而相對于文獻(xiàn)[5]，本文協(xié)議實(shí)例增加了消息的盲性，提高了安全性。與文獻(xiàn)[6]比較，本文效率稍低，但是本文協(xié)議實(shí)例在增加了消息盲性的同時(shí)，還很好地解決了基于身份簽密中存在的秘鑰托管問題。綜合來講，自認(rèn)證盲簽密協(xié)議還是非常不錯(cuò)的。

7 結(jié)束語

本文在UC框架下設(shè)計(jì)了一般性的自認(rèn)證盲簽密協(xié)議πSCBSC，形式化定義了在UC框架下的自認(rèn)證盲簽密協(xié)議的理想函數(shù)FSCBSC。在適應(yīng)性腐敗敵手模型下，給出了自認(rèn)證盲簽密協(xié)議的UC安全性與IND-CCA2安全性之間的等價(jià)關(guān)系。未來研究計(jì)劃之一是簽密密鑰封裝機(jī)制的通用可復(fù)合安全性。

Table 1 Efficiency of this paper compared with other literatures表1 本文方案與其他文獻(xiàn)的效率比較

[1]Zheng Yuliang.Digital signcryption or how to achieve cost (signature&encryption)? cost(signature)+cost(encryption)[C]//LNCS 1294:Proceedings of the 17th Annual International Cryptology Conference,Santa Barbara,USA,Aug 17-21,1997.Berlin,Heidelberg:Springer,1997:165-179.

[2]Tang Pengzhi,Liu Qiwen,Zuo Liming.A modified scheme of partially blind signature based on ID[J].Computer Engineering,2015,41(10):139-143.

[3]Baek J,Steinfeld R,Zheng Yuliang.Formal proofs for the security of signcryption[C]//LNCS 2274:Proceedings of the 5th International Workshop on Practice and Theory in Public Key Cryptosystems:Public Key Cryptography,Paris, Feb 12-14,2002.Berlin,Heidelberg:Springer,2002:80-98.

[4]Fan Jia,Zheng Yuliang,Tang Xiaohu.A single key pair is adequate for the Zheng signcryption[C]//LNCS 6812:Proceedings of the 16th Australasian Conference on Information Security and Privacy,Melbourne,Australia,Jul 11-13, 2011.Berlin,Heidelberg:Springer,2011:371-388.

[5]He Junjie,Jiao Shuyun,Qi Chuanda.Analysis and improvement of ID-based signcryption scheme[J].Application Research of Computers,2013,30(3):913-920.

[6]ZhangYu,Du Ruiying,Chen Jing,et al.Analysis and improvement of an identity-based signcryption[J].Journal on Communications,2015,36(11):174-179.

[7]Pang Liaojun,Li Huixian,Cui Jingjing,et al.Design and analysis of a fair ID-based multi-receiver anonymous signcryption[J].Journal of Software,2014,25(10):2409-2420.

[8]Yu Huifang,Wang Caifen,Yang Lin,et al.Certificateless based blind signcrption scheme[J].Computer Applications and Software,2010,27(7):71-73.

[9]Yu Huifang,Wang Caifen.Self-certified signcryption scheme [J].Journal of ComputerApplications,2009,26(9):3508-3511.

[10]Yu Huifang.Study on provably secure theory for hybrid signcryption[D].Xi’an:Shaanxi Normal University,2015.

[11]Canetti R.Universally composable security:a new paradigm for cryptographic protocols[C]//Proceedings of the 42nd IEEE Symposium on Foundations of Computer Science,Las Vegas,USA,Oct 14-17,2001.Washington:IEEE Computer Society,2001:136-145.

[12]Canetti R,Lindaell Y,Ostrovsky R,et al.Universally composable two-party and multi-party secure computation[C]// Proceedings of the 34th Annual ACM Symposium on Theory of Computing,Montreal,Canada,May 19-21,2002.New York:ACM,2003:494-503.

[13]Kiayias A,Zhou Hongsheng.Equivocal blind signature and adaptive UC-security[C]//LNCS 4948:Proceedings of the 5th Theory of Cryptography Conference,New York,Mar 19-21,2008.Berlin,Heidelberg:Springer,2008:340-355.

[14]Canetti R,Dachman-Soled D,Vaikuntanathan V,et al.Efficient password authenticated key exchange via oblivious transfer[C]//LNCS 7293:Proceedings of the 15th International Conference on Practice and Theory in Public Key Cryptography,Darmstadt,Germany,May 21-23,2012.Berlin,Heidelberg:Springer,2012:449-466.

[15]Lei Feiyu.Studies on UC secure multiparty computation and its application[D].Shanghai:Shanghai Jiaotong University,2007.

[16]Tian Youliang,Peng Changgen,Ma Jianfeng,et al.Universally composable secure multiparty computation protocol with fairness[J].Journal on Communication,2014,35(2): 54-62.

[17]Wang Zhu,Dai Yiqi,Ye Dingfeng.Universally composable identity-based signature[J].Acta Electraonica Sinica,2011, 39(7):1613-1617.

[18]Zhang Zinan,Guo Yuanbo,Yang Kuiwu,et al.Universally composable security authenticated key exchange protocol [J].Journal of Xidian University,2014,41(5):185-191.

[19]Wang Zhu,Dai Yiqi.Ideal functionality and sequential composition of zeroknowledge[J].Information Security and Communications Privacy,2012(6):84-86.

[20]Tian Youliang,Ma Jianfeng,Peng Changgen,et al.Universally composable mechanism for group communication[J]. Chinese Journal of Computers,2012,35(4):645-646.

[21]Fan I,Sun W Z,Huang S M.Provably secure randomized blind signature schemes based on bilinearpairing[J].Computers and Mathmatics withApplication,2010,60(2):285-293.

附中文參考文獻(xiàn)

[2]湯鵬志,劉啟文,左黎明.一種基于身份的部分盲簽名改進(jìn)方案[J].計(jì)算機(jī)工程,2015,41(10):139-143.

[5]何俊杰,焦淑云,祁傳達(dá).一個(gè)基于身份的簽密方案的分析與改進(jìn)[J].計(jì)算機(jī)應(yīng)用研究,2013,30(3):913-920.

[6]張宇,杜瑞穎,陳晶,等.對于一個(gè)基于身份簽密方案的分析與改進(jìn)[J].通信學(xué)報(bào),2015,36(11):174-179.

[7]龐遼軍,李慧賢,崔靜靜,等.公平的基于身份的多接收者匿名簽密設(shè)計(jì)與分析[J].軟件學(xué)報(bào),2014,25(10):2409-2420.

[8]俞惠芳,王彩芬,楊林,等.基于無證書的盲簽密方案[J].計(jì)算機(jī)應(yīng)用與軟件,2010,27(7):71-73.

[9]俞惠芳,王彩芬.使用自認(rèn)證公鑰的盲簽密方案[J].計(jì)算機(jī)應(yīng)用,2009,26(9):3508-3511.

[10]俞惠芳.混合簽密及其可證明安全性理論研究[D].西安:陜西師范大學(xué),2015.

[15]雷飛宇.UC安全多方計(jì)算模型及其典型應(yīng)用研究[D].上海:上海交通大學(xué),2007.

[16]田友亮,彭長根,馬建峰,等.通用可組合公平安全多方計(jì)算協(xié)議[J].通信學(xué)報(bào),2014,35(2):54-62.

[17]王竹,戴一奇,葉頂峰.普適安全的基于身份的簽名機(jī)制[J].電子學(xué)報(bào),2011,39(7):1613-1617.

[18]張紫楠,郭淵博,楊奎武,等.通用可組合認(rèn)證密鑰交換協(xié)議[J].西安電子科技大學(xué)學(xué)報(bào),2014,41(5):185-191.

[19]王竹,戴一奇.零知識的理想功能和零知識的序列組合[J].信息安全與通信保密,2012(6):84-86.

[20]田有亮,馬建峰,彭長根,等.群組通信的通用可組合機(jī)制[J].計(jì)算機(jī)學(xué)報(bào),2012,35(4):645-646.

LI Jianmin was born in 1991.He is an M.S.candidate at School of Computer,Qinghai Normal University.His research interests include information security and cryptography.

李建民（1991—），男，湖南懷化人，青海師范大學(xué)計(jì)算機(jī)學(xué)院碩士研究生，主要研究領(lǐng)域?yàn)樾畔踩?，密碼學(xué)。

俞惠芳（1972—），女，青海樂都人，博士，青海師范大學(xué)教授、碩士生導(dǎo)師，主要研究領(lǐng)域?yàn)槊艽a學(xué)，信息安全。已完成973前期專項(xiàng)等10余項(xiàng)，主持在研國家自然基金項(xiàng)目2項(xiàng)，發(fā)表學(xué)術(shù)論文40余篇，出版著作1部。

ZHAO Chen was born in 1992.She is an M.S.candidate at School of Computer,Qinghai Normal University.Her research interests include information security and cryptography.

趙晨（1992—），女，河南南陽人，青海師范大學(xué)計(jì)算機(jī)學(xué)院碩士研究生，主要研究領(lǐng)域?yàn)樾畔踩?，密碼學(xué)。

Self-Certified Blind Signcryption Protocol with UC Security*

LI Jianmin,YU Huifang+,ZHAO Chen
School of Computer,Qinghai Normal University,Xining 810008,China
+Corresponding author:E-mail:yuhuifang@qhnu.edu.cn

Self-certified blind signcryption(SCBSC)protocol can simultaneously fulfill public key encryption and blind signature.When disputation occurs between the sender and recipient,any third party can verify the validity of the signature.However,the existing self-certified blind signcryption protocol does not yet have universally composable(UC)security.Aiming at this problem,the UC security framework is introduced.The use of this framework can analyze and design self-certified blind signcryption protocol in modularity.Firstly,the ideal function of self-certified blind signcryption protocol is defined under the UC security framework;secondly,under the adaptive adversary model,self-certified blind signcryption protocol may achieve functionality,if and only if self-certified blind signcryption protocol satisfies the indistinguishability against adaptive chosen-ciphertext attacks(IND-CCA2)

self-certified blind signcryption;UC security;ideal function;adaptive chosen-ciphertext attacks

g was born in 1972.She

the Ph.D.degree from Shaanxi Normal university.Now she is a professor and M.S.supervisor at Qinghai Normal University.Her research interests include cryptography and information security. She has completed more than 10 research projects including 973 basic research program.She is managing 2 research projects including the National Natural Science Foundation of China.She has published more than 40 papers and 1 work.

A

TP309

*The National Natural Science Foundation of China under Grant No.61363080(國家自然科學(xué)基金);the Basic Research Project of Qinghai Province under Grant No.2016-ZJ-776(青海省應(yīng)用基礎(chǔ)研究項(xiàng)目).

Received 2016-05,Accepted 2016-09.

CNKI網(wǎng)絡(luò)優(yōu)先出版:2016-09-08,http://www.cnki.net/kcms/detail/11.5602.TP.20160908.1045.008.html