標(biāo)準(zhǔn)模型下可證明安全的基于身份的多代理簽名*

安徽機(jī)電職業(yè)技術(shù)學(xué)院公共基礎(chǔ)部 劉莉

1984 年Shamir 首次提出了身份密碼學(xué)（IBC）的概念，在IBC 系統(tǒng)里，不需要證書，使用用戶的標(biāo)識(shí)如姓名、IP 地址、手機(jī)號(hào)碼等作為公鑰。用戶的私鑰由密鑰生成中心(簡(jiǎn)稱PKG)根據(jù)系統(tǒng)主密鑰和用戶標(biāo)識(shí)計(jì)算得出。用戶的公鑰由用戶標(biāo)識(shí)唯一確定，不需要額外生成和存儲(chǔ)，從而用戶不需要第三方來保證公鑰的真實(shí)性。IBC 體系比傳統(tǒng)的PKI 體系具有實(shí)現(xiàn)成本低、效率較高、運(yùn)營管理方便等優(yōu)勢(shì)。1996 年Mambo 等人提出了代理簽名的概念，在一個(gè)代理簽名方案中，涉及原始簽名人、代理簽名人和驗(yàn)證人三方。原始簽名人授權(quán)給代理簽名人，代理簽名人代表其執(zhí)行簽名。后續(xù)幾年國外有學(xué)者整合了IBC 機(jī)制與代理簽名，對(duì)外提出以身份為基礎(chǔ)的代理簽名實(shí)施方案。2004 年，Hwang 等人在前人的基礎(chǔ)上對(duì)代理簽名進(jìn)行改進(jìn)，拓展成為多代理多簽名，其含有的原始、代理簽名者分別有d(>1)個(gè)、n(>1)個(gè)[1]。多代理簽名方案具有巨大的研究及應(yīng)用價(jià)值，國內(nèi)外在長(zhǎng)期的研究中也出現(xiàn)了很多變種，基于身份的多代理簽名方案（IBMPMS）具備密鑰管控結(jié)構(gòu)簡(jiǎn)潔的優(yōu)勢(shì)，目前在社交網(wǎng)絡(luò)系統(tǒng)內(nèi)實(shí)現(xiàn)了規(guī)?；瘧?yīng)用。盡管IBMPMS 取得的實(shí)際研究成績(jī)是值得肯定的，但一些成果仍然存在著安全漏洞，所以基于標(biāo)準(zhǔn)模型下可證明安全的IBMPMS 方案研究很有必要。

基于身份的多代理簽名形成的兩種形式化安全模型，在具體應(yīng)用時(shí)暴露出兩個(gè)問題，一個(gè)是敵手攻擊目標(biāo)模糊；另一個(gè)是敵手分類不完善。在既有安全模型的基礎(chǔ)上，對(duì)以基于身份的多代理簽名為基礎(chǔ)的標(biāo)準(zhǔn)安全模型進(jìn)行了再定義，新模型運(yùn)用了完善的敵手分類標(biāo)準(zhǔn)，科學(xué)定義了各類型敵手的行為方式與攻擊目標(biāo)，在全新安全模型框架的支撐下，設(shè)計(jì)出一種可靠的多代理簽名方案。

1 背景知識(shí)介紹

1.1 雙線性映射問題

給出大素?cái)?shù)p,是p的循環(huán)加法群G1與循環(huán)乘法群G2，g是G1內(nèi)的1 個(gè)獨(dú)立生成元，若有e:G1×G1→G2為G1到G2的雙線性映射，滿足如下幾個(gè)條件[2]：

（1）雙線性：給出任意u,v∈G1與a,b∈Zp*，有（e u a,vb) =e(u,v)ab；

（2）非退化性：e(g,g) ≠1；

（3）可運(yùn)算性：任意給出u,v∈G1，存在基于多項(xiàng)式時(shí)間算法能算出e(u,v)。

關(guān)于CDH 問題。對(duì)于任何不可預(yù)知的a,b∈Zp，給出g,g a,g b∈G1，據(jù)此算出gab。CDH 假定：在時(shí)間t范疇內(nèi)，不存在多項(xiàng)式時(shí)間的算法,能夠基于ε以上的概率求出CDH 問題，那么認(rèn)定G1之上(ε,t)-CDH 成立。

1.2 IBMPMS 模型

IBMPMS 方案由如下8 個(gè)算法共同構(gòu)成：

（1）系統(tǒng)創(chuàng)建（Setup）：PKG 是該算法執(zhí)行的主體，輸進(jìn)安全參數(shù)k，輸出的是公開參數(shù)與PKG 持有的主密鑰。

（2）用戶私鑰生成（KeyGen）：PKG 負(fù)責(zé)執(zhí)行，輸入、輸出項(xiàng)分別是params，IDu，用戶私鑰sku。

（3）基于身份簽名（IB-Sign）：這是DelegateUen 與MProxySign 算法實(shí)施的基礎(chǔ)，輸入params，IDu，sku，簽名消息m及輸出簽名σIBS。

（4）身份驗(yàn)證（BISVerify）：輸入params，IDu，sku，m及σIBS，輸出T、⊥分別代表的是接受簽名、簽名無效[3]。

（5）代理授權(quán)簽名（DelegateUen）：原簽名者負(fù)責(zé)實(shí)施該算法，輸入項(xiàng)包括 params，原始簽名ID0及其持有的私鑰sku，代理者身份列表，授權(quán)書編號(hào)w，輸出項(xiàng)是代理授權(quán)簽名δ。

（6）授權(quán)驗(yàn)證（DelegateVer）：各位代理人員分別實(shí)施。

（7）多代理簽名（MProxySign）：全部代理人員共同實(shí)施該算法，輸入項(xiàng)包括params，ID0，及對(duì)應(yīng)的私鑰，ω,δ,m輸出項(xiàng)為多代理多簽名σ[4]。

（8）多代理驗(yàn)證（MProxyVerify）：驗(yàn)證者是該算法的執(zhí)行主體，按照一定規(guī)程依次輸入params，ID0，，ω,δ,m,σ，輸出T、⊥依次表示接受簽名、簽名信息無效。

1.3 IBMPMS 安全模型

本文以Paterson 等形成的標(biāo)準(zhǔn)化簽名模型作為理論基礎(chǔ)，融合拓展Huang、Boldyreva 的模型，提出了IBMPMS 方案的新標(biāo)準(zhǔn)安全模型。IBMPMS 方案應(yīng)具有的安全屬性有身份可辨識(shí)性、可檢驗(yàn)性、不可偽造性和不可否認(rèn)性。

結(jié)合前人的研究成果，合理定義了模型的敵手A∈{A2,A3,A4}（A2,A3,A4即Gu-IBMPS 模型允許敵手）和挑戰(zhàn)者之間進(jìn)行的游戲（IBMPMS-EUF-CMA Game），進(jìn)而更加合理的模擬方案自身具有的不可偽造屬性。鑒于不考慮標(biāo)準(zhǔn)簽名（A1）敵手被用在模擬簽名方案的安全性方面，本文的標(biāo)準(zhǔn)簽名直接運(yùn)用了Paterson 機(jī)制，已經(jīng)有充分的論據(jù)證實(shí)該機(jī)制符合安全要求，故而本文建立的安全模型不必考慮敵手A1[5]。

2 IBMPMS 的設(shè)計(jì)

陳明[4]在研究中制定了基于身份的多代理簽名方案（CY-IBMPMS），并清楚定義了符合該方案分析形式的標(biāo)準(zhǔn)化模型。本文在CY-IBMPMS 方案基礎(chǔ)上，有效拓展了原始簽名者的身份集，提出了一種新的IBMPMS 方案。和傳統(tǒng)IBMPMS 方案相比，提出的新方案安全假設(shè)強(qiáng)度降低，方案的安全性直接轉(zhuǎn)變成求算CDH 問題[6]。

本方案執(zhí)行過程中無需組員之間相互傳輸參數(shù)信息，只需組長(zhǎng)采集、聚合各個(gè)組員的簽名信息，這種運(yùn)作模式大大地減少了通信成本。方案包含的算法如下：

Setup：輸入一個(gè)安全的參數(shù)k，PKG 自動(dòng)生成并公示公開參數(shù)。

params={G1,G2,e,g1,g2,Q,u',U,w',W,m',M,H1,H2}。g是G1的生成元，g2∈G1與α∈Zp， PKG 公鑰是g1=ga與Q=e(g1,g2)；PKG 主密鑰可以表示成g2a；u',w',m'∈G1。向量U={ui},W={wi},M={mi}，長(zhǎng)度依次是nu,n w,nm，ui,wi,mi∈G1。H1,H2為安全Hash 函數(shù)[7]。

KeyGen：輸入項(xiàng)是用戶身份ui，PKG選擇ri∈Zp，生成用戶私鑰基于前期設(shè)置好的安全信道把ski傳送給ui。ui的對(duì)應(yīng)長(zhǎng)度是nu，Vi?{1,2,...,nu}代表的是nu內(nèi)比特值是1 的部位d的集。

Sign/Verify：運(yùn)用PS-IBS 簽名[7]以及驗(yàn)證算法共同執(zhí)行該過程。

各個(gè)ui∈任意選擇si∈Zp，運(yùn)算：命令δi,3=ski,2，隨后把δi,1,δ i,2,δi,3逐一傳送給uo。X?{1,2,...,nu}表示的是H1(W)內(nèi)比特值是1 的部位k的集。

（2）接收到全部<δi,1,δi,2,δi,3>以后，uo運(yùn)算完整的輸出代理權(quán)簽名信息δ=<δ1,δ2,δ3>，將其逐一傳送給各個(gè)代理簽名人員。

（3）MProxy MSign：完整地接收δ以后，基于uj∈檢測(cè)驗(yàn)證e(δ1,g)=Qd。

（4）MPMSVerify：精準(zhǔn)接收σ、w與以后，檢驗(yàn)者先檢測(cè)判斷授權(quán)書W是否有效，如果能斷定其為無效，那么就會(huì)輸出⊥，否則通過運(yùn)算以檢驗(yàn)式（1）成立與否：

如果經(jīng)檢驗(yàn)?zāi)軌虼_定以上等式成立，則輸出T，否則輸出項(xiàng)為⊥。

3 IBMPMS 的安全性分析

3.1 準(zhǔn)確性

當(dāng)式（2）、式（3）成立時(shí)，分別代表用戶私鑰、代理權(quán)簽名及其檢測(cè)驗(yàn)證結(jié)果有效[9]：

3.2 不可偽造性

假定A∈{A2,A3}最多執(zhí)行KeyGen、DelegateGen與MProxyMSign詢問分別為qe,q d,qs次，概率高于ε時(shí)才能成功挑戰(zhàn)IBMPMS-EUF-CMA Game，若(ε',t' )-CDH等式成立，那么本文建立的IBMPMS 機(jī)制符合(ε,t,qe,qd,qs)IBMPMS-EUF-CMA 的安全標(biāo)準(zhǔn)如式（4）所示：

ρ,τ,?依次代表的是G1之上的乘運(yùn)算、指數(shù)運(yùn)算以及對(duì)運(yùn)算時(shí)間，nu,n w,nm分別表示用戶ID、代理授權(quán)文書以及簽名消息本體的比特度。

3.3 分析和對(duì)比

既往國外很多學(xué)者提出的IBMPMS 方案運(yùn)用了基于隨機(jī)預(yù)言的可證明性安全模型，但其實(shí)在客觀世界內(nèi)還不能達(dá)到隨機(jī)預(yù)言機(jī)，這就為敵手辨識(shí)模擬情景與實(shí)際情景創(chuàng)造了便利性。鑒于以上情況，本課題研究中提出了標(biāo)準(zhǔn)化安全模型，該模型采用建造特殊的陷門函數(shù)形式，模擬全程敵手均不能準(zhǔn)確區(qū)別各類情景，這就預(yù)示著其具備超強(qiáng)的安全規(guī)約性能。如表1 所示為幾種常見IBMPS 方案的對(duì)比情況[10]。

表1 幾種常見IBMPMS 方案的對(duì)比Tab.1 Comparison of several common IBMPMS schemes

綜合分析，ASS-IBMPMS 方案在運(yùn)算性能方面稍有優(yōu)越性，但該方案執(zhí)行的廣播通信、單播通信次數(shù)均達(dá)到了d+n次，而本文設(shè)計(jì)的新方案只需要進(jìn)行d+n次的單播通信，因此，ASS-IBMPMS 方案實(shí)施期間通信成本支出較高。

4 結(jié)語

本文在陳明等人研究的基礎(chǔ)上，對(duì)原始簽名用戶集進(jìn)行了拓展，提出了一種新的基于身份的多代理、多簽名的方案，并建立了IBMPMS-EUF-CMA 這一新的標(biāo)準(zhǔn)安全模型，在該模型下檢測(cè)新代理簽名方案，分析表明該方案自身具有較高的不可偽造性，這是其實(shí)現(xiàn)不可否定性、身份可辨識(shí)性與防濫用性的重要基礎(chǔ)。通過幾種常見IBMPMS 方案的比較結(jié)果可以看出，新建立的安全模型功能更加完善，在標(biāo)準(zhǔn)模型下基于身份的多代理簽名可以驗(yàn)證是一種安全、可靠的身份密碼方案。