標準模型下可證明安全的基于身份的多代理簽名*

安徽機電職業技術學院公共基礎部 劉莉

1984 年Shamir 首次提出了身份密碼學（IBC）的概念，在IBC 系統里，不需要證書，使用用戶的標識如姓名、IP 地址、手機號碼等作為公鑰。用戶的私鑰由密鑰生成中心(簡稱PKG)根據系統主密鑰和用戶標識計算得出。用戶的公鑰由用戶標識唯一確定，不需要額外生成和存儲，從而用戶不需要第三方來保證公鑰的真實性。IBC 體系比傳統的PKI 體系具有實現成本低、效率較高、運營管理方便等優勢。1996 年Mambo 等人提出了代理簽名的概念，在一個代理簽名方案中，涉及原始簽名人、代理簽名人和驗證人三方。原始簽名人授權給代理簽名人，代理簽名人代表其執行簽名。后續幾年國外有學者整合了IBC 機制與代理簽名，對外提出以身份為基礎的代理簽名實施方案。2004 年，Hwang 等人在前人的基礎上對代理簽名進行改進，拓展成為多代理多簽名，其含有的原始、代理簽名者分別有d(>1)個、n(>1)個[1]。多代理簽名方案具有巨大的研究及應用價值，國內外在長期的研究中也出現了很多變種，基于身份的多代理簽名方案（IBMPMS）具備密鑰管控結構簡潔的優勢，目前在社交網絡系統內實現了規?；瘧?。盡管IBMPMS 取得的實際研究成績是值得肯定的，但一些成果仍然存在著安全漏洞，所以基于標準模型下可證明安全的IBMPMS 方案研究很有必要。

基于身份的多代理簽名形成的兩種形式化安全模型，在具體應用時暴露出兩個問題，一個是敵手攻擊目標模糊；另一個是敵手分類不完善。在既有安全模型的基礎上，對以基于身份的多代理簽名為基礎的標準安全模型進行了再定義，新模型運用了完善的敵手分類標準，科學定義了各類型敵手的行為方式與攻擊目標，在全新安全模型框架的支撐下，設計出一種可靠的多代理簽名方案。

1 背景知識介紹

1.1 雙線性映射問題

給出大素數p,是p的循環加法群G1與循環乘法群G2，g是G1內的1 個獨立生成元，若有e:G1×G1→G2為G1到G2的雙線性映射，滿足如下幾個條件[2]：

（1）雙線性：給出任意u,v∈G1與a,b∈Zp*，有（e u a,vb) =e(u,v)ab；

（2）非退化性：e(g,g) ≠1；

（3）可運算性：任意給出u,v∈G1，存在基于多項式時間算法能算出e(u,v)。

關于CDH 問題。對于任何不可預知的a,b∈Zp，給出g,g a,g b∈G1，據此算出gab。CDH 假定：在時間t范疇內，不存在多項式時間的算法,能夠基于ε以上的概率求出CDH 問題，那么認定G1之上(ε,t)-CDH 成立。

1.2 IBMPMS 模型

IBMPMS 方案由如下8 個算法共同構成：

（1）系統創建（Setup）：PKG 是該算法執行的主體，輸進安全參數k，輸出的是公開參數與PKG 持有的主密鑰。

（2）用戶私鑰生成（KeyGen）：PKG 負責執行，輸入、輸出項分別是params，IDu，用戶私鑰sku。

（3）基于身份簽名（IB-Sign）：這是DelegateUen 與MProxySign 算法實施的基礎，輸入params，IDu，sku，簽名消息m及輸出簽名σIBS。

（4）身份驗證（BISVerify）：輸入params，IDu，sku，m及σIBS，輸出T、⊥分別代表的是接受簽名、簽名無效[3]。

（5）代理授權簽名（DelegateUen）：原簽名者負責實施該算法，輸入項包括 params，原始簽名ID0及其持有的私鑰sku，代理者身份列表，授權書編號w，輸出項是代理授權簽名δ。

（6）授權驗證（DelegateVer）：各位代理人員分別實施。

（7）多代理簽名（MProxySign）：全部代理人員共同實施該算法，輸入項包括params，ID0，及對應的私鑰，ω,δ,m輸出項為多代理多簽名σ[4]。

（8）多代理驗證（MProxyVerify）：驗證者是該算法的執行主體，按照一定規程依次輸入params，ID0，，ω,δ,m,σ，輸出T、⊥依次表示接受簽名、簽名信息無效。

1.3 IBMPMS 安全模型

本文以Paterson 等形成的標準化簽名模型作為理論基礎，融合拓展Huang、Boldyreva 的模型，提出了IBMPMS 方案的新標準安全模型。IBMPMS 方案應具有的安全屬性有身份可辨識性、可檢驗性、不可偽造性和不可否認性。

結合前人的研究成果，合理定義了模型的敵手A∈{A2,A3,A4}（A2,A3,A4即Gu-IBMPS 模型允許敵手）和挑戰者之間進行的游戲（IBMPMS-EUF-CMA Game），進而更加合理的模擬方案自身具有的不可偽造屬性。鑒于不考慮標準簽名（A1）敵手被用在模擬簽名方案的安全性方面，本文的標準簽名直接運用了Paterson 機制，已經有充分的論據證實該機制符合安全要求，故而本文建立的安全模型不必考慮敵手A1[5]。

2 IBMPMS 的設計

陳明[4]在研究中制定了基于身份的多代理簽名方案（CY-IBMPMS），并清楚定義了符合該方案分析形式的標準化模型。本文在CY-IBMPMS 方案基礎上，有效拓展了原始簽名者的身份集，提出了一種新的IBMPMS 方案。和傳統IBMPMS 方案相比，提出的新方案安全假設強度降低，方案的安全性直接轉變成求算CDH 問題[6]。

本方案執行過程中無需組員之間相互傳輸參數信息，只需組長采集、聚合各個組員的簽名信息，這種運作模式大大地減少了通信成本。方案包含的算法如下：

Setup：輸入一個安全的參數k，PKG 自動生成并公示公開參數。

params={G1,G2,e,g1,g2,Q,u',U,w',W,m',M,H1,H2}。g是G1的生成元，g2∈G1與α∈Zp， PKG 公鑰是g1=ga與Q=e(g1,g2)；PKG 主密鑰可以表示成g2a；u',w',m'∈G1。向量U={ui},W={wi},M={mi}，長度依次是nu,n w,nm，ui,wi,mi∈G1。H1,H2為安全Hash 函數[7]。

KeyGen：輸入項是用戶身份ui，PKG選擇ri∈Zp，生成用戶私鑰基于前期設置好的安全信道把ski傳送給ui。ui的對應長度是nu，Vi?{1,2,...,nu}代表的是nu內比特值是1 的部位d的集。

Sign/Verify：運用PS-IBS 簽名[7]以及驗證算法共同執行該過程。

各個ui∈任意選擇si∈Zp，運算：命令δi,3=ski,2，隨后把δi,1,δ i,2,δi,3逐一傳送給uo。X?{1,2,...,nu}表示的是H1(W)內比特值是1 的部位k的集。

（2）接收到全部<δi,1,δi,2,δi,3>以后，uo運算完整的輸出代理權簽名信息δ=<δ1,δ2,δ3>，將其逐一傳送給各個代理簽名人員。

（3）MProxy MSign：完整地接收δ以后，基于uj∈檢測驗證e(δ1,g)=Qd。

（4）MPMSVerify：精準接收σ、w與以后，檢驗者先檢測判斷授權書W是否有效，如果能斷定其為無效，那么就會輸出⊥，否則通過運算以檢驗式（1）成立與否：

如果經檢驗能夠確定以上等式成立，則輸出T，否則輸出項為⊥。

3 IBMPMS 的安全性分析

3.1 準確性

當式（2）、式（3）成立時，分別代表用戶私鑰、代理權簽名及其檢測驗證結果有效[9]：

3.2 不可偽造性

假定A∈{A2,A3}最多執行KeyGen、DelegateGen與MProxyMSign詢問分別為qe,q d,qs次，概率高于ε時才能成功挑戰IBMPMS-EUF-CMA Game，若(ε',t' )-CDH等式成立，那么本文建立的IBMPMS 機制符合(ε,t,qe,qd,qs)IBMPMS-EUF-CMA 的安全標準如式（4）所示：

ρ,τ,?依次代表的是G1之上的乘運算、指數運算以及對運算時間，nu,n w,nm分別表示用戶ID、代理授權文書以及簽名消息本體的比特度。

3.3 分析和對比

既往國外很多學者提出的IBMPMS 方案運用了基于隨機預言的可證明性安全模型，但其實在客觀世界內還不能達到隨機預言機，這就為敵手辨識模擬情景與實際情景創造了便利性。鑒于以上情況，本課題研究中提出了標準化安全模型，該模型采用建造特殊的陷門函數形式，模擬全程敵手均不能準確區別各類情景，這就預示著其具備超強的安全規約性能。如表1 所示為幾種常見IBMPS 方案的對比情況[10]。

表1 幾種常見IBMPMS 方案的對比Tab.1 Comparison of several common IBMPMS schemes

綜合分析，ASS-IBMPMS 方案在運算性能方面稍有優越性，但該方案執行的廣播通信、單播通信次數均達到了d+n次，而本文設計的新方案只需要進行d+n次的單播通信，因此，ASS-IBMPMS 方案實施期間通信成本支出較高。

4 結語

本文在陳明等人研究的基礎上，對原始簽名用戶集進行了拓展，提出了一種新的基于身份的多代理、多簽名的方案，并建立了IBMPMS-EUF-CMA 這一新的標準安全模型，在該模型下檢測新代理簽名方案，分析表明該方案自身具有較高的不可偽造性，這是其實現不可否定性、身份可辨識性與防濫用性的重要基礎。通過幾種常見IBMPMS 方案的比較結果可以看出，新建立的安全模型功能更加完善，在標準模型下基于身份的多代理簽名可以驗證是一種安全、可靠的身份密碼方案。