标准模型下广义指定验证者签密

摘 要：

针对现实中签名的安全问题，提出了基于Waters技术的标准模型下安全的广义指定验证者签密方案。签密能够在一个逻辑步骤内同时完成加密和签名的功能。在广义指定验证者签名中，签名持有者即其拥有签名者的签名，能够确认一个指定验证者使其拥有这个签名，而指定验证者不能转移这种认定给其他任何人，仅指定的验证者能够验证签名的存在性。该方案通过广义指定验证者和签密的结合，消除了签名者和签名持有者在签名传输时所需的安全通道。在计算性线性Diffie-Hellman问题假设下，该方案被证明是安全的。和现有的方案相比，所提方案具有较高的计算效率。

关键词：签密；广义指定验证者；标准模型；双线性对

中图分类号： TP309.2

文献标志码：A

Universal designated verifier signcryption scheme in standard model

Abstract：

Concerning the signature security problem in reality， based on the Waterstechnology， a universal designated verifier signcryption scheme in the standard model was proposed. Signcryption is a cryptographic primitive which performs encryption and signature in a single logical step. Universal designated verifier signature allowed a signature holder who had a signature of a signer， to convince a designated verifier that he was in possession of a signers signature， while the verifier could not transfer such conviction to anyone else， only allowed the designated verifier to verify the existence of the signature. The scheme by combining universal designated verifier and signcryption eliminated the signer and signture holders for signature transmission required for a secure channel. Under the assumption of Computational Bilinear Diffie-Hellman （CBDH） problem， the scheme was proved to be safe. Compared with the existing schemes， the proposed scheme has better computational efficiency.

Key words：

signcryption； universal designated verifier； standard model； bilinear pairings

0 引言

1997年，Zheng等[1]首次提出了签密的概念，其核心是在一个逻辑步骤内可以同时完成加密和数字签名的功能，代价远低于传统的先签名后加密的方法，因而它是实现既保密又认证地传输及存储消息的较理想的方法。2002年，Steinfeld等[2]给出签密的正式安全模型；同年，Malone-Lee等[3]提出了第一个基于身份的签密方案。自从签密思想提出以来，大量方案被提出[4-7]。签密的性质得到广泛应用，如电子现金支付系统、安全认证等。

2003年，Steinfeld等[8]首次提出了广义指定验证者签名（Universal Designated Verifier Signature， UDVS）的思想。在广义指定验证者签名中，给定消息以及签名者生成的公开可验证签名下，签名持有者能够把这个签名变为指定验证者签名，仅有指定验证者能够验证该签名，但是其他任何人（包括指定验证者）都不能相信这个事实。广义指定验证者签名方案在电子商务应用中保护签名持有者的隐私以及在证书系统中具有非常重要的作用，广义指定验证者签名能广泛应用于电子投票、电子拍卖等领域。由于其广泛应用，大量的方案被提出[9-13]。

在传统的UDVS 方案中，为了防止签名暴露，需要安全的加密方案。2010年，俞惠芳等[14]通过分析自认证签名方案、自认证签密方案和广义指定验证者签名方案，首次提出了一个自认证广义指定验证者签密方案。2012年，Tang等[15]提出了广义指定验证者签密（Universal Designated Verifier Signcryption， UDVSC）方案，并在随机预言机（Random Oracle Model，ROM）模型下证明了其安全性。新方案继承了UDVS的所有性质并且消除了签名传送所需的安全通道。当前所有的方案都是在随机预言机模型下可证安全的。在这个模型中，Hash 函数被看作为一个完全随机的理想模型，是一个很强的要求。在随机预言机模型下是可证安全的方案，在具体应用中却无法构造出相应的实例。因此，在标准模型下设计广义指定验证者签密方案更具有实际意义。

本文利用Waters技术[16]，首次提出标准模型下广义指定验证者签密，所提方案基于计算性双线性Diffie-Hellman（Computational Bilinear Diffie-Hellman， CBDH）问题是安全的，能够满足机密性、不可伪造性和不可转移性。

1 基础知识

1.1 双线性对

令G1、GT是两个p阶循环群，其中p为素数，g是G1的生成元。定义双线性映射e：G1×G1GT，满足下面性质：

双线性性 e（ga，gb）=e（g，g）ab， 对所有的a，b∈Z*p均成立。

非退化性 e（g，g）≠1。

可计算性 存在有效算法计算e。

1.2 困难假设

计算性双线性Diffie-Hellman（CBDH）问题：给定g，ga，gb，gc∈G1，对于未知的a，b，c∈Z*q，计算e（g，g）abc∈G2。

判定性双线性Diffie-Hellman（Decision Bilinear Diffie-Hellman， DBDH）问题：给定g，ga，gb，gc∈G1以及Z∈G2，对于未知的a，b，c∈Z*q，判断Z=e（g，g）abc是否成立。

2 广义指定验证者签密

2.1 形式化定义

广义指定验证者签密方案由以下七个算法组成：系统建立、密钥生成、签密、解密、签名转换、逆转换和指定验证。具体如下：

1）系统建立算法：输入系统参数k，算法输出系统的公共参数Params。

2）密钥生成算法：输入系统参数Params，算法生成公私钥对（ski，pki），i∈{A，B，C}分别代表原始签密者、签密持有者和指定验证者。

3）签密算法：输入消息m，A的私钥skA和B的公钥pkB，输出一个密文δ。

4）解签密算法：输入B的私钥skB和密文δ，如果密文有效，输出签名σ；否则输出拒绝。

5）签名转换算法：输入C的公钥pkC和签名σ，输出一个转换签名σ

2 广义指定验证者签密

2.1 形式化定义

广义指定验证者签密方案由以下七个算法组成：系统建立、密钥生成、签密、解密、签名转换、逆转换和指定验证。具体如下：

1）系统建立算法：输入系统参数k，算法输出系统的公共参数Params。

2）密钥生成算法：输入系统参数Params，算法生成公私钥对（ski，pki），i∈{A，B，C}分别代表原始签密者、签密持有者和指定验证者。

3）签密算法：输入消息m，A的私钥skA和B的公钥pkB，输出一个密文δ。

4）解签密算法：输入B的私钥skB和密文δ，如果密文有效，输出签名σ；否则输出拒绝。

5）签名转换算法：输入C的公钥pkC和签名σ，输出一个转换签名σ

2.2 安全模型

广义指定验证者签密必须满足机密性、不可伪造性和不可转移性。

机密性 假设一个攻击者F能在被定义的机密性游戏中区分两个有效的密文，选择密文攻击的攻击者F和挑战者D之间的交互游戏。

1）系统设置：挑战者D生成公共参数params，并且发送给F。

2）阶段1：F向D适应性的进行询问，D作出相应的回答。

签密询问：F输入消息m，A的公钥pkA和B的公钥pkB，D返回一个相应的密文δ给F。

解签密询问：F输入B的公钥pkB和密文δ，如果它是有效的签名，则D返回σ给F；否则拒绝。

3）挑战：完成阶段1的询问后，F任意选取两个相等长度的消息{m0，m1}。D随机选择一个比特b∈{0，1}，并运行签密算法产生一个密文δ*，然后发送给F。

4）阶段2：攻击者 F进行如第一阶段中进行适应性询问，但是F不能询问签密接收者B的私钥以及不能对δ*进行解签密询问。

定义1 如果不存在一个有界多项式的攻击者以不可忽略的优势Adv赢得了上述游戏，则广义指定验证者签密方案具有机密性。

不可伪造性 如果不存在多项式时间内的敌手能以不可忽略的优势赢得以下游戏，则称广义指定验证者签密方案具有适应性选择消息和选择身份攻击下的不可伪造性。该游戏是通过攻击者F和挑战者D之间的交互来定义的，具体如下：

1）系统设置：挑战者D生成公共参数params，并且发送给F。

2）询问：攻击者F适应性进行以下询问：

签密询问：F输入消息m，A的公钥pkA和B的公钥pkB，D返回一个相应的密文δ给F。

解签密询问：F输入B的公钥pkB和密文δ，如果它是有效的签名，则D返回σ给F，否则拒绝。

签名转换询问：F输入C的公钥pkC和签名σ，D返回一个转换签名给F。

指定验证询问：F输入C的公钥pkC和转换签名，如果它是有效的，D返回接受；否则返回拒绝。

3）伪造：攻击者F输出一个消息m*的转换签名

定义2 如果不存在一个多项式有界的攻击者以不可忽略的优势Adv赢得了上述游戏，则广义指定验证者签密方案是不可伪造的。

不可转移性 它的目的是保护签名接收者的秘密，任意第三方不能确信消息m已经被签署。通过挑战者D与区分者Q之间的交互游戏来进行定义。具体如下：

1）系统设置：正如机密性游戏中的参数设置，并返回给区分者Q。

2）阶段1：和机密性游戏中一样，区分者Q适应性进行签密询问、解密询问、签名转换询问。

定义3 如果不存在一个多项式有界的攻击者以不可忽略的优势Adv赢得上述游戏，则该方案是不可转移的。

3 标准模型下广义指定验证者签密方案

3.1 方案步骤

本文基于Waters签名技术提出了标准模型下安全的广义指定验证者签密方案。具体方案如下：

1）系统建立：选择两个素数阶为q的两个群G1、G2，双线性映射e：G1×G1G2，g为G1的生成元。随机选择元素g1∈G1。选择n+1个随机元素u′，u1，u2，…，un∈G1，设置U=（u1，u2，…，un）。选择抗碰撞哈希函数：H1：{0，1}*{0，1}n，H2：G2{0，1}n。

则系统参数为params={q，G1，G2，e，n，g，g1，u′，u1，u2，…，un，U，H1，H2}。

3.2 安全性证明

定理1 机密性。在DBDH假设下，存在一个敌手F能够攻破所提方案，并进行有界的适应性选择密文攻击。

证明 假设存在一个多项式有界的攻击者F能攻破本文的方案，D被给定一个随机的DBDH问题实例（g，ga，gb，gc，Z），要判定Z=e（g，g）abc是否成立。算法D模拟挑战者B与攻击者F进行交互，交互过程具体如下：

从表1可看出，本文方案签密计算量和文献[15]相同，解签密只用了1个指数运算和3个对运算，验证用了2个指数运算和3个对运算，且本文提出的广义指定验证者签密在标准模型下证明了安全性，提高了效率，但是效率还有待进一步提高。

4 结语

广义指定验证者签名的本质在于签名持有者在不拥有签名者私钥下能够把公开验证签名转变为指定验证者签名。本文利用Waters技术，提出了标准模型下可证安全的广义指定验证者签密方案。分析表明所提方案在标准模型下，基于计算性线性Diffie-Hellman问题是安全的，满足机密性、不可伪造性和不可转移性。和已知方案相比，在解签密阶段新方案效率更高。

参考文献：

[1] ZHENG Y L. Digital signcryption or how to achieve cost （signature & encryption） cost （signature）+cost（encryption）[C]// Proceedings of the 17th Annual International Cryptology Conference on Advances in Cryptology. Berlin：Springer，1997：165-179.

[2] BAEK J， STEINFELD R， ZHENG Y L. Formal proofs for the security of signcryption[C]// Proceedings of the 5th International Workshop on Practice and Theory in Public Key Cryptosystems. Berlin：Springer-Verlag，2002：81-98.

[3] MALONE-LEE J. Identity-based signcryption[EB/OL].[2013-06-14].http：///2002 /098.pdf.

[4] ZHANG Z， MIAN C， JIN Q. Signcryption scheme with threshold shared unsigncryption preventing malicious receivers[C]// TENCON 02：Proceedings of the 2002 IEEE Region 10 Conference on Computers， Communications， Control and Power Engineering. Piscataway： IEEE，2002：196-199.

[5] BOYEN X. Multipurpose identity-based signcryption[C]// Proceedings of the 23rd Annual International Cryptology Conference on Advances in Cryptology. Berlin： Springer-Verlag， 2003：383-399.

[6] LIBERT B， QUISQUATER J J. Efficient signcryption with key privacy from gap Diffie-Hellman groups[C]// Proceedings of the 7th International Workshop on Theory and Practice in Public Key Cryptography on Public Key Cryptography. Berlin： Springer-Verlag， 2004：187-200.

[7] DENT A W. Hybrid signcryption schemes with insider security[C]// Proceedings of the 10th Australasian Conference on Information Security and Privacy. Berlin： Springer-Verlag，2005：253-266.

[8] STEINFELD R， BULL L， WANG H X， et al. Universal designated-verifier signatures[C]// Proceedings of the 9th International Conference on the Theory and Application of Cryptology and Information Security. Berlin： Springer-Verlag， 2003： 523-542.

[9] ZHANG F， SUSILO W， MU Y， et al. Identity-based universal designated verifier signatures[C]// Proceedings of the 2000 Embedded and Ubiquitous Computing-EUC 2005 Workshops. Berlin：Springer-Verlag，2005：825-834.

[10] ZHANG R， FURUKAWA J， IMAI H. Short signature and universal designated verifier signature without random oracles[C]// Proceedings of the 3rd International Conference on Applied Cryptography and Network Security. Berlin： Springer-Verlag， 2005： 483-498.

[11] LAGUILLAUMIE F， LIBERT B， QUISQUATER J J. Universal designated verifier signatures without random oracles or non-black box assumptions[C]// Proceedings of the 5th International Conference on Security and Cryptography for Networks. Berlin： Springer-Verlag， 2006： 63-77.

[12] HUANG X Y， SUSILO W， MU Y， et al. Secure universal designated verifier signature without random oracles[J]. International Journal of Information Security， 2008， 7（3）： 171-183.

[13] BAKE J， SAFAVI-NAINI R， SUSILO W. Universal designated verifier signature proof （or how to efficiently prove knowledge of a signature）[C]// Proceedings of the 11th International Conference on the Theory and Application of Cryptology and Information Security. Berlin： Springer-Verlag， 2005： 644-661.

[14] YU H， WANG C， WANG Z，et al. Self-certified universal designated verifier signcryption scheme[J]. Computer Engineering and Applications，2010，46（34）： 89-91.（俞慧芳，王彩芬，王之仓，等.自认证广义指定验证者签密方案[J].计算机工程与应用，2010，46（34）： 89-91.）

[15] TANG F， LIN C L， KE P H. Universal designated verifier signcryption[C]// Proceedings of the 6th International Conference on network security and cryptology. Berlin： Springer， 2012： 126-134.

[16] WATERS B. Efficient identity based encryption without random oracles[C]// Proceedings of the 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques. Berlin： Springer， 2005： 114-127.

[17] JAKOBSSON M， SAKO K， IMPAGLIAZZO R. Designated verifier proofs and their applications[C]// Proceedings of the 1996 International Conference on the Theory and Application of Cryptographic Techniques Saragossa. Berlin： Springer， 1996：143-154.

[18] CAO F， CAO Z F. An identity based universal designated verifier signature scheme secure in the standard model[J]. Journal of Systems and Software， 2009，82（4）：643-649.

[19] YU Y， YANG B， SUN Y， et al. Identity based signcryptionscheme without random oracles[J]. Computer Standard and Interfaces， 2009， 31（1）：56-62.

[20] LI F， HU Y， LIU S. Efficient and provably secure multi-recipient signcryption from bilinear pairings[J]. Wuhan University Journal of Natural Sciences，2007，12（1）：17-20.

[21] YU H， WANG C， WANG A， et al. ECC-based certified universal designated verifier signcryption scheme[J]. Journal of Computer Engineering， 2010，36（16）： 124-125.（俞惠芳， 王彩芬，王之仓.基于ECC的自认证广义指定验证者签密方案[J].计算机工程，2010，36（16）： 124-125.）