子签名联合。接收到输入(Combine,sid,m,σ1,PV1,…,σt,PVt),并验证这些子签名的正确性后,联合者C输出(Combined,sid,m,δ)。门限签名δ按以下方式计算:
。
可以很容易计算出a、b,使4Δ2a+eb=1,则。
门限签名验证。接收到输入(Verify,sid,m,δ,V),验证y=δemodN。如果成立,输出(Verified,sid,m,δ,1),否则输出(Verified,sid,m,δ,0)。
与FThSign类似,门限签名协议ρ也分为5部分,分别是密钥生成、子签名生成、子签名验证、子签名联合和门限签名验证。因为协议ρ只是在方案的基础上加上sid等通信信息,所以协议ρ与方案可以相互转换,且同样是不可伪造的和强壮的。根据定理1,很容易推出协议ρ具有UC安全性。
推论1由Shoup门限签名方案转变的协议ρ安全实现了门限签名理想功能FThSign。
4.2基于FThSign的应用
在这一节中,将介绍如何应用UC框架下的门限签名理想函数FThSign设计“高层的”的协议。这很好地体现了UC框架的优点:模块化设计思想。其基础就是UC定理:单独设计协议。只要协议满足了UC安全,那么就能保证其与其他协议并行执行时的安全性。对于门限签名理想功能FThSign,同样可以利用UC定理设计其他的“高层的”协议,如前摄门限签名协议。它可以把门限签名功能作为其子任务,因为FThSign假设是物理安全的,所以设计时不需要考虑其门限签名子任务的安全性。然后根据UC定理,把安全实现了FThSign的协议ρ插入协议π,替代协议π中对FThSign的访问,最后得到的完整协议πρ/F必定安全仿真了协议π。而且,在协议π的具体化过程中,还可以把满足UC安全的另一个协议ρ’插入协议π来得到另一个完整协议πρ’/F。也就是说,同一个协议π可以得到具有不同性质的完整协议,而且这2个实际协议的安全性都不需要重新证明。这就是模块化设计协议的一个十分吸引人的优点。
以前摄门限签名协议为例说明上面的思路。首先定义安全的前摄门限签名混合协议,该协议的设计还需要理想更新功能FRefresh的帮助。
FRefresh接收的输入是签名者S的消息(Refresh,sid)。验证会话标识sid的有效性后,FRefresh的输出是每个用户更新后的4个多项式时间算法PS、PV、C、V。 (FThSign,FRefresh)-混合模型下的前摄门限签名协议πPrThSign具体如下。
子签名生成。接收到输入(ThSign,sid,m)后,签名者Si首先验证sid=(Si,sid’),如果等式不成立,忽略该请求,否则如下运行。
如果是签名Si第一次激活,把(KeyGen,sid)输出给FThSign,并保存FThSign的输出(VerificationAlgo-rithms,sid,PV,V)。
如果不是Si第一次激活,Si把(ThSign,sid,m)输出给FThSign,Si能得到FThSign的输出(ThSignature,sid,m,σ)。
子签名验证。接收到输入(ThVerify,sid,m,σ,PV)后,验证者V把(ThVerify,sid,m,σ,PV)输出给FThSign,并输出FThSign给他的结果(ThVerified,sid,m,σ,f)。
子签名联合。接收到输入(Combine,sid,m,σ1,PV1,…,σt,PVt)后,参与者C再把该消息输出给FThSign,并输出FThSign给他的结果(Combined, sid,m,δ)。
门限签名验证。接收到输入(Verify,sid,m,δ,V),验证者V把(Verify,sid,m,δ,V)输出给FThSign,并输出FThSign给他的结果(Verified,sid,m,δ,g)。
密钥更新。接收到输入(Refresh,sid)后,S把(Refresh,sid)输出给FThSign,并保存FThSign提供的结果(Refreshed,sid,PV,V)。
πPrThSign分为5部分,分别是子签名生成、子签名验证、子签名联合、门限签名验证和更新密钥。每次需要生成和验证子签名、子签名联合、门限签名验证时,协议πPrThSign都调用功能FThSign,每次更新密钥时,协议πPrThSign则调用FRefresh。因为篇幅的限制,协议πPrThSign的安全性证明略去。根据UC定理,用ρ替代协议FThSign后得到的完整协议πρ/FPrThSign的安全性很容易推导。
5结束语
本文定义了门限签名协议在UC框架下的安全模型,并证明该安全模型等价于门限签名协议标准概念下的安全性(即不可伪造性和强壮性)。如果方案满足了标准概念下的安全性就确保了该方案还具有UC安全性。相比于Almansa等人在2006年欧密会上提出的门限签名理想功能FThSign06,本文的FThSign不管在协议定义还是安全性证明方面都有一些改进。证明Shoup方案是满足UC安全的,可以很方便地用来设计其他的“高层的”协议,并以前摄门限签名协议为例描述这种设计思路。但是因为篇幅的限制,对于本文得到的前摄门限签名协议只是一个混合模型下的协议,还需要调用某些理想功能。
本文提出了设计门限签名协议的模块化思路,但是还有一些不足,如本文考虑的是静态攻击者,攻击者必须在攻击一开始就选择被攻击的用户身份等。在以后的工作中,将继续研究如何完善门限签名协议的UC框架。
