湯鵬志，李彪，鄧俊蕾，徐雷

（1.華東交通大學(xué) 基礎(chǔ)科學(xué)學(xué)院，江西 南昌 330013；2.武警九江市消防支隊(duì) 德安大隊(duì)，江西 九江 330400）

＊標(biāo)準(zhǔn)模型下基于身份的盲簽名方案

湯鵬志1，李彪1，鄧俊蕾1，徐雷2

（1.華東交通大學(xué) 基礎(chǔ)科學(xué)學(xué)院，江西 南昌 330013；2.武警九江市消防支隊(duì) 德安大隊(duì)，江西 九江 330400）

由于隨機(jī)預(yù)言模型實(shí)現(xiàn)過(guò)程存在安全缺陷，提出一種標(biāo)準(zhǔn)模型下基于身份的安全盲簽名方案.方案中首先定義基于身份盲簽名的安全模型；然后利用雙線性對(duì)構(gòu)建盲簽名方案；最后，在標(biāo)準(zhǔn)模型下給出基于CDH假設(shè)的方案安全性證明.因此，在自適應(yīng)選擇消息和身份攻擊下，該方案是安全的.

盲簽名；標(biāo)準(zhǔn)模型；CDH－問(wèn)題；基于身份密碼；雙線性對(duì)

0 引言

盲簽名［1］的概念是Chaum在1982年提出的，它是一種具有特殊性質(zhì)的數(shù)字簽名.消息擁有者在不公布消息真實(shí)內(nèi)容的情況下，獲得消息簽名者對(duì)真實(shí)消息的合法簽名.基于身份的密碼學(xué)方案［2］是由Shamir于1984年提出的，其主要觀點(diǎn)是：使用用戶唯一標(biāo)識(shí)（如：姓名、IP地址、電子郵件地址等）作為公鑰，私鑰則由可信的密鑰生成中心PKG（Private Key Generator）進(jìn)行計(jì)算得到.結(jié)合盲簽名和基于身份密碼學(xué)，利用雙線性對(duì)映射［3］，Zhang和Kim提出了基于身份的盲簽名方案［4］.目前，不少研究者仍致力于基于身份的盲簽名方案［5－6］的研究，但大多是在隨機(jī)預(yù)言模型［7］下證明安全或者沒(méi)有安全模型證明.然而隨機(jī)預(yù)言機(jī)模型在實(shí)現(xiàn)過(guò)程中，仍存在安全隱患.而今，盲簽名協(xié)議已經(jīng)廣泛應(yīng)用在電子商務(wù)協(xié)議中，故在標(biāo)準(zhǔn)模型下證明盲簽名安全性具有很好的應(yīng)用前景.

自Waters于2005年首次提出標(biāo)準(zhǔn)模型下基于身份的高效密碼方案［8］以來(lái)，便引來(lái)眾多信息安全研究者的青睞，并陸續(xù)提出許多新的標(biāo)準(zhǔn)模型簽名方案［9－12］.本文結(jié)合文獻(xiàn)［8］思想，利用雙線性對(duì)映射，提出一種基于身份的盲簽名方案，并在標(biāo)準(zhǔn)模型下將協(xié)議的安全性規(guī)約至雙線性群中的CDH問(wèn)題假設(shè)，即方案在適應(yīng)性選擇消息和身份攻擊下是不可偽造的.

1 基礎(chǔ)知識(shí)

1.1 雙線性對(duì)

假設(shè)｜G｜為群G的階；＋是加群的運(yùn)算；×是乘群的運(yùn)算；n∈N＋；Z p為模p的剩余類整環(huán)；Z＊p是Z p可逆元集合.

定義1 設(shè)（G1，＋），（G2，×）分別是階為p的循環(huán)加群和循環(huán)乘群.p為素?cái)?shù)，g是G1的生成元.存在對(duì)映射：e：G1×G1→G2，如果對(duì)映射滿足以下性質(zhì)：

（1）雙線性：對(duì)所有的a，b∈Z＊p，滿足等式：e（g a，g b）＝e（g，g）ab；

（2）非退化性：e（g，g）≠ρ，其中ρ是G2的幺元.

（3）可計(jì)算性：存在有效算法計(jì)算e（g a，gb），則稱該對(duì)映射e為雙線性映射.

1.2 困難問(wèn)題假定

定義2 CDH問(wèn)題：假設(shè)素?cái)?shù)p為群G的階，g是G的生成元，若已知a，b∈RZ＊p和g a，gb∈G，計(jì)算g ab.

定義3 （ε，t）－CDH假設(shè)：在概率多項(xiàng)式時(shí)間t內(nèi)，不存在任何算法以大于或等于ε的概率解決群G上的CDH問(wèn)題.

2 基于身份的盲簽名體制

2.1 體制定義

定義4 （IBBS簽名體制）設(shè)基于身份的簽名體制IBS＝｛ψ，φ，ξ，υ｝，則基于身份的盲簽名體制為IBBS＝｛ψ，φ，ζξτ，υ｝

（1）系統(tǒng)建立（Setup）：系統(tǒng)參數(shù)設(shè)置算法ψ，其輸入一個(gè)安全參數(shù)1k，輸出系統(tǒng)參數(shù)Params和主密鑰msk（其中params，msk←ψ（1k）），密鑰生成中心（PKG）公開系統(tǒng)參數(shù)Params，并秘密保存系統(tǒng)主密鑰msk.

（2）私鑰提?。‥xctract）：PKG運(yùn)行概率多項(xiàng)式密鑰生成算法φ，輸入用戶身份IDs，輸出相應(yīng)身份的密鑰：s←φ（IDs，msk，Params）.首先PKG通過(guò)安全信道將密鑰發(fā)送給用戶，然后用戶驗(yàn)證私鑰的正確性.

（3）盲簽名（Blind Sign）：盲簽名算法（ζξτ）是簽名者和用戶之間執(zhí)行的概率多項(xiàng)式時(shí)間交互協(xié)議.首先，用戶運(yùn)行盲化算法（ζ），輸入消息M，輸出M盲化后的信息σu←ζ（M），將σu發(fā)送給簽名者.然后簽名者運(yùn)行簽名算法（ξ），輸入密鑰s和σu，輸出σs←ξ（σu，s），將σs返回給用戶.最后用戶運(yùn)行去盲算法（τ），輸入σs，輸出消息 M 的簽名信息σ←τ（σs）.

（4）驗(yàn)證（Verify）：給定系統(tǒng)參數(shù)Params、簽名者身份IDs、消息 M和簽名σ，確定性驗(yàn)證算法（υ）輸出盲簽名σ的合法性Legality＝υ（Params，IDs，M，σ）.若盲簽名有效，輸出true；否則輸出false.

2.2 安全模型

定義5 在滿足盲性的情況下，如果不存在任何多項(xiàng)式有界的攻擊者，以ε的優(yōu)勢(shì)贏得挑戰(zhàn)者C和攻擊者A之間的攻擊游戲，則稱基于身份的盲簽名方案是自適應(yīng)性選擇消息和身份攻擊下存在不可偽造性的安全模型.攻擊游戲如下所示：

（1）準(zhǔn)備階段（Setup）：挑戰(zhàn)者運(yùn)行系統(tǒng)參數(shù)設(shè)置算法ψ，得到系統(tǒng)參數(shù)Params和主密鑰msk.并發(fā)送給攻擊者系統(tǒng)參數(shù)Params，保密主密鑰msk.

（2）詢問(wèn)階段（Queries）：攻擊者自適應(yīng)性的向挑戰(zhàn)者提出一系列密鑰詢問(wèn)和盲簽名詢問(wèn).

密鑰詢問(wèn)（Extract Queries）：攻擊者能夠獲取任何身份IDsi的私鑰si.挑戰(zhàn)者運(yùn)行φ（IDsi，msk，Params）來(lái)進(jìn)行響應(yīng)，并將私鑰si發(fā)送給攻擊者.

盲簽名詢問(wèn)（Blind Sign Queries）：攻擊者能夠獲取任意身份IDsi對(duì)消息M的簽名σ.

① 攻擊者通過(guò)運(yùn)行ζ（M），獲取消息的盲化信息σu，并將其發(fā)送給挑戰(zhàn)者.

② 挑戰(zhàn)者運(yùn)行φ（IDsi，msk，Params），獲取身份IDsi的私鑰si；然后通過(guò)運(yùn)行ξ（σu，si）來(lái)獲取σs，并將其發(fā)送給攻擊者.

③ 攻擊者運(yùn)行τ（σs），獲取簽名信息σ.

（3）偽造（Forgery）：攻擊者輸出消息M＊、身份ID＊s、簽名σ＊.若以下3個(gè)條件成立，則攻擊成功.

①υ（Params，ID＊s，M＊，σ＊）＝true；

②攻擊者未對(duì)身份ID＊s做密鑰詢問(wèn)；

③攻擊者未對(duì)（ID＊s，M＊）做盲簽名詢問(wèn).

如果攻擊者成功偽造簽名，游戲返回true，否則返回false.在上述游戲中攻擊者獲勝的優(yōu)勢(shì)定義為：advIBBSA（1k）＝｜Pr［φ（g，g a，gb）＝g ab］－1／2｜.

定義6 對(duì)于基于身份的盲簽名方案，如果攻擊者在t時(shí)間內(nèi)，做qe次密鑰詢問(wèn)和q s次簽名詢問(wèn)，不能以ε的概率獲勝上述游戲，則稱方案是（ε，t，qe，qs）安全的.

3 基于身份的盲簽名方案

假設(shè)簽名者身份和待簽名消息分別是IDs和M，可利用抗碰撞的安全哈希函數(shù)將簽名者身份和消息分別映射到長(zhǎng)為nu，nm的比特串，H u：｛0，1｝＊→｛0，1｝nu，H m：｛0，1｝＊→｛0，1｝nm.

（3）盲簽名生成（Blind Sign）：用戶User，簽名者Signer，消息M按照如下步驟生成盲簽名：

4 方案分析

4.1 正確性分析

（1）用戶私鑰生成階段

（2）簽名去盲階段

（3）驗(yàn)證階段

4.2 安全性分析

基于身份的盲簽名方案需要滿足盲性和不可偽造性.在盲簽名過(guò)程中，簽名者可以獲知（M，σ，σu，σs）；因?yàn)楹灻邿o(wú)法得知盲化因子γ，簽名者無(wú)法知道消息的真實(shí)內(nèi)容，因此本方案已經(jīng)具備盲性.下面在標(biāo)準(zhǔn)模型下，證明本方案仍具有不可偽造性.

證明 假設(shè)簽名偽造者能夠構(gòu)造挑戰(zhàn)者解決CDH問(wèn)題.給定G中元素g，g a，gb，目標(biāo)是計(jì)算g ab，偽造者構(gòu)造算法φ，充當(dāng)挑戰(zhàn)者的身份，模擬挑戰(zhàn)者與攻擊者之間的攻擊游戲.

為便于分析，定義下列函數(shù)：

算法中的時(shí)間復(fù)雜度取決于密鑰詢問(wèn)和盲簽名詢問(wèn)的運(yùn)算量.在詢問(wèn)過(guò)程中，需要消耗時(shí)間較大的是群G中乘法運(yùn)算、指數(shù)運(yùn)算和雙線性對(duì)運(yùn)算.由于密鑰詢問(wèn)和盲簽名詢問(wèn)分別需要O（1），O（nm）次群G中的乘法運(yùn)算和O（1），O（1）次群G中的指數(shù)運(yùn)算，但僅有密鑰詢問(wèn)需要O（1）次雙線對(duì)運(yùn)算.因此，算法φ的時(shí)間復(fù)雜度為：t′＝t＋O（（qe＋nmqs）ρ＋（qe＋qs）τ＋qe?）.

4.3 效率分析

在盲簽名階段，用戶最多需要進(jìn)行nm＋3次（平均nm／2＋3次）群G中乘法運(yùn)算、3次群G中的指數(shù)運(yùn)算和1次雙線性對(duì)運(yùn)算；簽名者需要進(jìn)行1次群G中乘法運(yùn)算和2次群G中的指數(shù)運(yùn)算.在簽名的驗(yàn)證階段，驗(yàn)證者最多需要進(jìn)行nm＋3次（平均nm／2＋3次）群G中乘法運(yùn)算、1次群G中指數(shù)運(yùn)算和1次雙線性對(duì)運(yùn)算.因?yàn)閑（g1，g2）的值是預(yù)先計(jì)算出來(lái)的，故至少減少了1次雙線性對(duì)運(yùn)算和1次群G中的指數(shù)運(yùn)算.

5 結(jié)束語(yǔ)

現(xiàn)有的基于身份的盲簽名方案，其安全性大部分是沒(méi)有安全模型證明或者在隨機(jī)預(yù)言機(jī)模型下證明.本文建立能抵抗適應(yīng)性選擇消息和身份攻擊下的安全模型，提出基于身份的盲簽名方案.在標(biāo)準(zhǔn)模型下，將方案的不可偽造性規(guī)約至雙線性群中的CDH問(wèn)題假設(shè).本方案不但滿足盲簽名的特性，并且擁有很高的安全性，在電子商務(wù)中具有較好的應(yīng)用前景.

［1］ Chaum D.Blind Signatures for Untraceable Payments［C］／／Advances in Cryptology－Crypto′82，LNCS，1982：199－203.

［2］ Shamir A.Indentity－based Cryptosystems and Signature Scheme［C］／／Proceedings of Crypto′84，Berlin：Spring－Verlag，1984：47－53.

［3］ Boneh D，F(xiàn)ranklin M.Identity－based Encryption from the Weil Pairing［C］／／Proceedings of Crypto′2001，Berlin：Springer－Verlag，2001：213－229.

［4］ Zhang F，Kim K.Efficient ID－based Blind Signature and Proxy Signature from Bilinear Pairings［C］／／Information Security and Privacy，Heidelberg：Springer－Verlag，2003：312－323.

［5］ 褚萬(wàn)霞，張建中.高效的基于身份的盲簽名方案［J］.計(jì)算機(jī)工程與應(yīng)用，2010，46（36）：112－113.

［6］ 李明祥，鄭艷娟，安文廣.一種高效的基于身份的部分盲簽名方案［J］.計(jì)算機(jī)應(yīng)用研究，2010，27（11）：4299－4303.

［7］ Bellare M，Rogoway P.Random Oracles are Practical：A Paradigm for Designing Efficient Protocols［C］／／Proceedings of the First Conference on Computer and Communications Security，New York：ACM，1993：62－73.

［8］ Waters B.Efficient Identity－based Encryption Without Random Oracles［C］／／Proceedings of Eurocrypt′2005，Berlin：Springer－Verlag，2005：114－127.

［9］ 李繼國(guó)，姜平進(jìn).標(biāo)準(zhǔn)模型下可證安全的基于身份的高效簽名方案［J］.計(jì)算機(jī)學(xué)報(bào)，2009，32（11）：2131－2136.

［10］ 王志偉，張偉.標(biāo)準(zhǔn)模型下基于因子分解問(wèn)題的短簽名［J］.通訊學(xué)報(bào)，2011，32（5）：78－81.

［11］ Hwang Y H，Liu J K，Chow S S M.Certificateless Public Key Encryption Secure Against Malicious KGC Attacks in the Standard Model［J］.JournalofUniversalComputerScience，2008，14（3）：463－480.

［12］ Boneh D，Boyen X.Efficient Selective Identity－based Encryption Without Random Oracles［J］.JournalofCryptology，2011，24（4）：659－693.

Identity－based Blind Signature Scheme Based on the Standard Model

TANG Peng－zhi1，LI Biao1，DENG Jun－lei1，XU Lei2
（1.SchoolofBasicScience，EastChinaJiaotongUniversity，Nanchang330013，China；
2.DeanContingent，JiujiangFireproofofChineseArmedPoliceForce，Jiujiang330400，China）

An identity－based secure blind signature scheme based on the standard model was introduced，because the implementation process of random oracle model presenced security defect.First，the security model of identity－based blind signatures was delimited；second，blind signatures was proposed by bilinear pairing；finally，the proof of scheme’s security was given in the standard model，which based on the Computational Diffie－Hellman assumption.Therefore，the scheme is security under adaptive chosen message and identity attacks.

standard model；CDH－problem；blind signature；identity－based cryptography；bilinear pairing

TP309

A

2012－03－05；

2012－06－03

國(guó)家自然科學(xué)基金（11061014）；江西省教育廳青年科學(xué)基金（GJJ10129）；江西省教育廳科研項(xiàng)目（GJJ10708）

湯鵬志（1961－），男，江西九江人，碩士，教授，碩士生導(dǎo)師，主要研究方向：信息系統(tǒng)及其安全.E－mail：nctpz＠126.com

0253－2395（2012）04－0648－06