張俊偉，馬建峰，楊力

（西安電子科技大學(xué) 計(jì)算機(jī)網(wǎng)絡(luò)與信息安全教育部重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071）

1 引言

并發(fā)組合是現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中的實(shí)際情形，在孤立模型中證明安全的協(xié)議在組合情形下不一定是安全的。因此，在孤立模型中證明協(xié)議的安全性還是不夠的。UC（universally composable）安全的概念源于由Canetti在2001年提出的基于計(jì)算復(fù)雜性的UC框架[1]。UC框架主要用于描述和分析并發(fā)環(huán)境下的協(xié)議安全問題。UC框架中最重要的屬性是它能夠確保協(xié)議的UC安全，即在UC框架下證明安全的協(xié)議，在與其他協(xié)議并發(fā)運(yùn)行的情況下，或者該協(xié)議作為一個(gè)系統(tǒng)的組件時(shí)，仍能保證協(xié)議的安全性。理想函數(shù)是UC框架中非常重要的安全概念，它扮演著一個(gè)不可攻陷的可信第三方的角色，能夠完成協(xié)議所需的特定功能。UC框架中已經(jīng)定義了多個(gè)最基本的理想函數(shù)，如認(rèn)證消息傳輸、安全消息傳輸、密鑰交換、公鑰加密及簽名、承諾、不經(jīng)意傳輸[2]等。

Lamport首次提出了一次簽名的概念[3]，即使用一對(duì)公/私鑰對(duì)只能對(duì)一條消息進(jìn)行簽名。BiBa[4]是第一個(gè)高效地適用于低能量設(shè)備的一次簽名方案。Mitzenmacher和Perrig改進(jìn)了BiBa并提出了Powerball[5]。然而，BiBa和Powerball僅能在隨機(jī)預(yù)言（RO, random oracle）模型下證明是安全的。Reyzin L和Reyzin N提出了另一個(gè)高效的一次簽名方案 HORS[6]。HORS的安全性是基于單向函數(shù)（one-way functions）和subset-resilient散列函數(shù)的。由于 subset-resilient散列函數(shù)是一個(gè)較強(qiáng)的安全假設(shè)，針對(duì)HORS出現(xiàn)了一些改進(jìn)方案：Pieprzyk等設(shè)計(jì)了一個(gè)基于單向函數(shù)和cover-free families可證明安全的一次簽名方案[7]，但其通信開銷和密鑰長(zhǎng)度都比HORS要大很多，不適合低能量設(shè)備。Park和Cho提出了2個(gè)一次簽名方案[8]：方案1的安全性基于無碰撞散列函數(shù)（collision-resistant hash functions）和單向函數(shù)，但該方案簽名生成的開銷較大；而方案2僅是在RO模型下安全的。

基于一次簽名的廣播認(rèn)證作為廣播認(rèn)證的一種解決方案具有以下優(yōu)點(diǎn)[9]：1）計(jì)算效率高，一次簽名的計(jì)算效率比傳統(tǒng)的數(shù)字簽名高，適用于低能量設(shè)備；2）即時(shí)認(rèn)證，不存在認(rèn)證時(shí)延，適用于對(duì)認(rèn)證時(shí)間敏感的環(huán)境；3）不需要時(shí)間同步；4）不可否認(rèn)性。

本文在UC框架下研究了基于一次簽名的廣播認(rèn)證的問題。具體貢獻(xiàn)如下。1）設(shè)計(jì)了一次簽名的理想函數(shù)FOTS，F(xiàn)OTS滿足一次簽名的安全需求且具有適應(yīng)性選擇消息的不可偽造性（EU-COMA,existential unforgeable against chosen one message attack）。2）改進(jìn) HORS，提出了一次簽名協(xié)議HORS+?；趩蜗蚝瘮?shù)和無碰撞散列函數(shù)，HORS+能夠安全實(shí)現(xiàn)理想函數(shù) FOTS。3）構(gòu)造了廣播認(rèn)證理想函數(shù)FBAUTH，在(FOTS，F(xiàn)REG)-混合模型下設(shè)計(jì)了能夠安全實(shí)現(xiàn)FBAUTH的協(xié)議πBAUTH。4）根據(jù)組合定理，組合HORS+，在πBAUTH的基礎(chǔ)上構(gòu)造UC安全的廣播認(rèn)證協(xié)議。

文章剩余部分安排如下：第2節(jié)簡(jiǎn)要介紹UC框架的相關(guān)概念；第3節(jié)設(shè)計(jì)了一次簽名理想函數(shù)FOTS和協(xié)議HORS+；第 4節(jié)提出了廣播認(rèn)證理想函數(shù)FBAUTH和協(xié)議πBAUTH；第5節(jié)是結(jié)束語。

2 UC框架

UC框架如圖1所示。首先，UC框架定義了現(xiàn)實(shí)環(huán)境?，F(xiàn)實(shí)環(huán)境描述協(xié)議的真實(shí)運(yùn)行情況，其中所有參與方在真實(shí)敵手攻擊A存在的環(huán)境下運(yùn)行真實(shí)協(xié)議。其次，UC框架定義了理想環(huán)境用來描述密碼協(xié)議的理想運(yùn)行。在理想環(huán)境下，存在虛擬參與方，理想敵手S和理想函數(shù)F。參與方之間以及敵手S與參與方不直接通信；所有參與方和敵手S均與理想函數(shù)交互。理想函數(shù)本質(zhì)上是一個(gè)不可攻陷的可信角色，用來完成協(xié)議所需的理想運(yùn)行和功能。在UC的安全框架中，環(huán)境Z來模擬協(xié)議運(yùn)行的整個(gè)外部環(huán)境（包括其他并行的協(xié)議、攻擊者等），Z可以與所有的參與者以及攻擊者A和S直接通信，Z不允許直接訪問理想函數(shù)F。

圖1 UC框架

UC仿真[1]。協(xié)議 π能夠 UC仿真理想函數(shù) F當(dāng)且僅當(dāng)對(duì)于任意真實(shí)敵手 A，存在理想敵手 S，使得任意環(huán)境Z，至多以一個(gè)可忽略的概率來區(qū)分：存在A及協(xié)議π的現(xiàn)實(shí)環(huán)境和存在S及理想函數(shù)F的理想環(huán)境。如果協(xié)議π能夠UC仿真理想函數(shù)F，稱協(xié)議π在UC框架下安全實(shí)現(xiàn)了理想函數(shù)F，也稱協(xié)議π是UC安全的。

組合定理[1]。如果協(xié)議ρ安全實(shí)現(xiàn)理想函數(shù)F，且 π 是 F-混合模型[1]下的協(xié)議，那么協(xié)議 πρ/F（用協(xié)議ρ替換協(xié)議π中的理想函數(shù)F所得到的組合協(xié)議）UC仿真 F-混合模型下的協(xié)議π。特別地，如果協(xié)議π在F-混合模型下安全實(shí)現(xiàn)理想函數(shù)G，那么協(xié)議πρ/F也安全實(shí)現(xiàn)理想函數(shù)G。

通常復(fù)雜的協(xié)議由多個(gè)子協(xié)議構(gòu)成，每個(gè)子協(xié)議都可以實(shí)現(xiàn)某個(gè)安全任務(wù)。根據(jù)組合定理，利用UC安全的協(xié)議可以安全構(gòu)建一個(gè)更為復(fù)雜的協(xié)議，從而實(shí)現(xiàn)指定的任務(wù)，并保證相應(yīng)的安全屬性。

3 一次簽名

3.1 理想函數(shù)FOTS

一次簽名的理想函數(shù)FOTS如下。

Key Generation

當(dāng)從S收到(KeyGen, sid)后，其中sid = (S, sid’)。

1) 將(KeyGen, sid)發(fā)送給敵手。

當(dāng)從敵手收到(VerificationKey, sid, v’)。

2) 如 果 存 在 記 錄 (m’, σ’, v’, 1), 發(fā) 送KEY_INVALID給敵手。

3) 否則, 令 v =v’, t=0, 并輸出(VerificationKey,sid, v)給 S。

Signature Generation

當(dāng)從 S收到(Sign, sid, m), 其中 sid=(S, sid’)。

1) 如果 t=1或者 v =⊥, 則發(fā)送響應(yīng)KEY_INVALID。

2) 否則, 發(fā)送(Sign, sid, m)給敵手并令t=1。

當(dāng)從敵手收到(Signature, sid, m, σ), 驗(yàn)證記錄(m, σ, v, 0)是否存在:

1) 如果存在, 則令t=0, 輸出一個(gè)錯(cuò)誤信息給S；

2) 否則, 輸出(Signature, sid, m, σ)給 S, 并記錄(m, σ, v, 1)。

Signature Verification

當(dāng)從 V 收到(Verify, sid, m, σ, v’), 發(fā)送(Verify,sid, m, σ, v’)給敵手。

當(dāng)從敵手收到(Verified, sid, m, φ):

1) 如果 v’=v且存在記錄(m, σ, v, 1), 令 f=1；

2) 否則, 如果 v’=v, 簽名者未被攻陷, 且不存在記錄(m, σ’, v, 1), 令 f=0 并記錄(m, σ, v, 0)；

3) 否則, 如果存在記錄(m, σ, v’, f’), 令 f = f’；

4) 否則, 令 f=φ 并記錄(m, σ, v’, φ)；

5) 輸出(Verified, sid, m, f)給 P。

與傳統(tǒng)的數(shù)字簽名不同，一次簽名使用一個(gè)公/私鑰對(duì)只能對(duì)一條消息簽名。因此，當(dāng)FOTS收到來自簽名者的請(qǐng)求時(shí)，F(xiàn)OTS首先驗(yàn)證公鑰的正確性。其中，v記錄當(dāng)前的公鑰，t表示當(dāng)前公鑰是否被使用。如果不存在公鑰或者現(xiàn)有的公鑰已經(jīng)被使用，F(xiàn)OTS不會(huì)產(chǎn)生消息的簽名。

EU-COMA: 一次簽名方案Σ = (gen, sig, ver)，其中g(shù)en為密鑰生成算法；sig為簽名生產(chǎn)算法；ver為簽名驗(yàn)證算法。一次簽名Σ滿足EU-COMA當(dāng)且僅當(dāng)對(duì)于任意概率多項(xiàng)式時(shí)間(PPT, probabilistic polynomial time)的敵手F，在獲得一個(gè)正確簽名(m,σ)后，成功偽造簽名(m’, σ’)的概率是可忽略的，即Prob[(m’, σ’)←F(m, σ): ver(m, σ, v)=1; m’≠m; ver(m’,σ’, v)=1] ＜ v(k)。

定理1 一次簽名Σ安全實(shí)現(xiàn)理想函數(shù)FOTS當(dāng)且僅當(dāng)一次簽名Σ滿足EU-COMA。

定理1的證明過程與文獻(xiàn)[10]中定理2的證明過程類似，唯一不同的是敵手在一次簽名中只能詢問一條消息的簽名。因此，這里不再贅述。

3.2 一次簽名HORS+

HORS的安全性基于強(qiáng)的假設(shè)，即散列函數(shù)為subset-resilient散列函數(shù)[6]。但是，用現(xiàn)有的復(fù)雜性理論假設(shè)來實(shí)現(xiàn) subset-resilient散列函數(shù)仍然是一個(gè)公開問題。為了不依賴subset-resilient散列函數(shù)，利用單向函數(shù)和無碰撞散列函數(shù)來構(gòu)造協(xié)議HORS+。單向函數(shù)和無碰撞散列函數(shù)的定義請(qǐng)參考文獻(xiàn)[11]。與HORS不同，在HORS+的密鑰生成階段，簽名者計(jì)算(x, y=g(x))，將x作為私鑰，y作為公鑰；在簽名生成階段，簽名者將消息與x串聯(lián)計(jì)算散列值，并將x作為簽名中的一部分；在簽名驗(yàn)證階段，驗(yàn)證者首先驗(yàn)證x是否為y的原像，然后再計(jì)算消息和x的散列值。協(xié)議HORS+如下：

安全參數(shù) l, L, k, t

無碰撞散列函數(shù) H: X→Y, L=|Y|=k lb t

單向函數(shù) f, g: X→Y, |X|=|Y|=l

Key Generation

當(dāng)簽名者 S收到(KeyGen, sid), 其中 sid=(S,sid’)。

1) 產(chǎn)生隨機(jī)數(shù)x和t個(gè)隨機(jī)的l-比特串s0, s1,…,st-1, 令 y=g(x)和 vi=f(si) (0≤i≤t-1)。

2) 令 v=(y, v0, v1, … , vt-1), s=(x, s0, s1,…, st-1).將s作為私鑰, v作為公鑰, 并輸出(VerificationKey,sid, v)。

Signature Generation

當(dāng)簽名者 S收到(Sign, sid, m), 其中 sid=(S,sid’)。

1) 計(jì)算 h=H(m||x)。

2) 令 h=h1|| h2|| … || hk, ij=hj, 其中|hj|=lb t, 1≤j≤k。

3) σ=(x,si1,si2,…,sik), 輸出(Signature, sid, m, σ)。Signature Verification

當(dāng)驗(yàn)證者 V收到(Verify, sid, m, σ, v), 其中sid=(S, sid’), 令 σ = (x,s1′,s2′, … ,sk′), v = (y, v0,v1, … , vt-1)。如果 y≠g(x)，輸出(Verified, sid, m, 0),否則:

1) 計(jì)算 h = H(m||x)；

2) 令h=h1|| h2|| … || hk, ij= hj, 其中|hj|=lb t, 1≤j≤k；

3) 如果對(duì)于每一個(gè)j (1≤j≤k), f(sj′)=vij, 令f=1; 否則, 令 f =0；

4) 輸出(Verified, sid, m, f)。

3.3 協(xié)議HORS+實(shí)現(xiàn)FOTS

定理2 如果f和g是單向函數(shù)，H是無碰撞散列函數(shù)，那么HORS+滿足EU-COMA。

證明 令Setk(x)={x1, x2, … , xk| (x1, x2, … ,xk)=x, |x1|=|x2|=…=|xk|=|x|/k}。 在 HORS+中 ，Setk(σ’) ? Setk(σ)與 Setk(h’) ? Setk(h)等 價(jià) 。 令FORGER是偽造簽名的攻擊者。給定一個(gè)合法簽名(m, σ)，當(dāng)敵手 FORGER 成功偽造簽名(m’, σ’)時(shí)，有以下3種可能的情況。

1) σ’≠ σ 且 Setk(σ’) ? Setk(σ)。 假 定 敵 手FORGER 可以偽造簽名(m’, σ’)且滿足 σ’≠ σ，Setk(h’)?Setk(h)。可以構(gòu)造敵手 Af求出單向函數(shù) f的逆。假設(shè)FORGER能以不可忽略的概率ε1偽造簽名。令εf是敵手Af輸出z且f(z) = y的概率。可以得到

因此εf也是不可忽略的（通常l至少為80，而2-80是可忽略的），這與單向函數(shù)的定義相矛盾，因此，敵手 FORGER成功偽造簽名(m’, σ’)的概率是可忽略的。

2) σ’= σ。如果敵手 FORGER可以成功偽造簽名(m’, σ)，可以構(gòu)造敵手AH輸出散列函數(shù)H的碰撞對(duì)。如果敵手FORGER 能以不可忽略的概率ε2成功偽造簽名，那么AH輸出碰撞對(duì)的概率εH為

通常情況下的散列函數(shù)，L至少是128，概率2-128是可忽略的，因此εH是不可忽略的。這與無碰撞散列函數(shù)的概念相矛盾。由此得出結(jié)論，F(xiàn)ORGER只能以可忽略的概率偽造簽名。

3) σ’≠ σ 且 Setk(σ’)? Setk(σ)。在這種情況下，給定(m, σ)，敵手 FORGER 可以找到 m’滿足Setk(h’)? Setk(h)，其中 h = H(m||x)，h’ = H(m’||x’)，y=g(x’)。如果 FORGER找到這樣的 m’，可以構(gòu)造Ag求出單向函數(shù)g的原像。如果敵手FORGER成功偽造簽名的概率為ε3，則敵手Ag找到單向函數(shù)g的原像的概率εg為

需要說明的是(k/t)k可忽略。例如，通常情況下，當(dāng)|H(x)|=160，k=16，t=1 024，概率為可忽略的2-96。如果ε3是不可忽略的，那么εg也是不可忽略的，這與單向散列函數(shù)的定義相矛盾。由此可知，敵手FORGER偽造簽名的概率是可忽略的。

綜上所述，敵手FORGER偽造簽名的概率為

如果f和g為單向函數(shù)，H為無碰撞散列函數(shù)，那么 εf、εH和 εg都是可忽略的，進(jìn)而 εFORGER也是可忽略的，即敵手偽造簽名的概率是可忽略的。由于篇幅限制，這里的證明省略了 Af、AH和 Ag的詳細(xì)描述。

因此，HORS+滿足EU-COMA。 □

由定理1和定理2，進(jìn)一步得到定理3。

定理3 如果f和g是單向函數(shù)，H為無碰撞散列函數(shù)，協(xié)議HORS+安全實(shí)現(xiàn)理想函數(shù)FOTS。

3.4 相關(guān)工作比較

表 1將 HORS+與 BiBa、Powerball、HORS以及文獻(xiàn)[8]中的2個(gè)協(xié)議作比較?；趩蜗蚝瘮?shù)和無碰撞散列函數(shù)，HORS+是可證安全的，HORS+的安全性不依賴于 RO模型。與 HORS相比，HORS+的安全性基于更弱的假設(shè)。同時(shí)，比較了RO模型下各個(gè)方案的安全性，即敵手在RO模型下偽造簽名的概率（見表1）。與HORS相比，HORS+在密鑰生成和簽名驗(yàn)證中增加了一次單向函數(shù)的計(jì)算，而簽名長(zhǎng)度和密鑰長(zhǎng)度增加一個(gè) l bit的 x。

表1 一次簽名協(xié)議比較

4 UC安全的廣播認(rèn)證協(xié)議

4.1 理想函數(shù)FBAUTH

廣播認(rèn)證的理想函數(shù)保證廣播網(wǎng)內(nèi)的合法用戶從未被攻陷的廣播者B收到消息m當(dāng)且僅當(dāng)B發(fā)送了這個(gè)廣播消息。廣播認(rèn)證的理想函數(shù)FBAUTH如下。

當(dāng)從未被攻陷的B收到(Broadcast, sid, m), 其中 sid=(B, sid’): 發(fā)送(Broadcasted, sid, m)給敵手。

當(dāng)從敵手收到(Broadcast, sid, m’):

1) 如果 B未被攻陷, 給廣播網(wǎng)中的所有接受者發(fā)送(Broadcasted, sid, m)；

2) 如果B被攻陷且m尚未發(fā)送, 給廣播網(wǎng)中的所有接受者發(fā)送(Broadcasted, sid, m’)。

非機(jī)密性：FBAUTH將廣播認(rèn)證消息的內(nèi)容發(fā)送給敵手。因此，F(xiàn)BAUTH不保證消息的機(jī)密性。

認(rèn)證性：如果B（未被攻陷）廣播消息m，廣播網(wǎng)中的接收者會(huì)收到消息m。如果發(fā)送者被攻陷且消息尚未發(fā)送，敵手可以篡改廣播消息。

4.2 廣播認(rèn)證協(xié)議πBAUTH

在(FOTS, FREG)-混合模型下，構(gòu)造了廣播認(rèn)證協(xié)議πBAUTH。πBAUTH利用FREG注冊(cè)簽名者的公鑰，驗(yàn)證者從FREG獲得已注冊(cè)的公鑰（FREG的詳細(xì)描述見文獻(xiàn)[1]）。πBAUTH操作如下。

當(dāng)收到(Broadcast, sid, m)時(shí), 其中 sid=(B,sid’)。

1) B發(fā)送(KeyGen, sid)給FOTS，當(dāng)從FOTS收到(VerificationKey, sid, v0), 令 v = v0。

2) B發(fā)送(Sign, sid, m)給FOTS, 之后從FOTS收到(Signature, sid, m, σ)。

3) B發(fā)送(Broadcast, sid, m, σ), 同時(shí), B發(fā)送(Register, sid, v)給 FREG。

當(dāng)收到(Broadcasted, sid, m, σ), 其中 sid=(B,sid’)。

1) 如果v=⊥, R發(fā)送(Retrieve, sid)給FREG, 并獲得(Retrieve, sid, v’)。如果 v’=⊥或者存在一條記錄(m’, v’), R 忽略這條消息; 否則, 令 v=v’。

2) R 發(fā)送(Verify, sid, m, σ, v)給 FOTS，隨后從FOTS收到(Verified, sid, m, f)。

3) 如果f =1, R記錄(m, v)并令v =⊥, 隨后R輸出(Broadcasted, sid, m)，否則R忽略這條消息。

4.3 協(xié)議πBAUTH實(shí)現(xiàn)FBAUTH

定理4 協(xié)議πBAUTH在(FOTS, FREG)-混合模型下安全實(shí)現(xiàn)理想函數(shù)FBAUTH。

證明 令A(yù)為現(xiàn)實(shí)敵手。構(gòu)造理想敵手S使得對(duì)于任意環(huán)境 Z只能以可忽略的概率區(qū)分：協(xié)議πBAUTH及A交互的現(xiàn)實(shí)環(huán)境和理想函數(shù)FBAUTH及S交互的理想環(huán)境。

1) 構(gòu)造S。

Simulating the sender

當(dāng)未被攻陷的B收到(Broadcast, sid, m)后, S從FBAUTH獲得這個(gè)值并為A仿真協(xié)議πBAUTH。

當(dāng)從FOTS獲得(KeyGen, sid), S發(fā)送(KeyGen, sid)給A, 然后將A的響應(yīng)(VerificationKey, sid, v)轉(zhuǎn)發(fā)給FOTS。

2) 當(dāng)從 FOTS收到(Sign, sid, m)后, 給 A 發(fā)送(Sign, sid, m), 并將 A 的響應(yīng)(Signature, sid, m, σ)轉(zhuǎn)發(fā)給FOTS。

3) 當(dāng) A 發(fā)送(Broadcast, sid, m, σ), S發(fā)送(Broadcast, sid, m, σ)。當(dāng)從 FREG收到(Registered, sid,v), S轉(zhuǎn)發(fā)給A。

當(dāng)已被攻陷的B收到(Broadcast, sid, m)后, S從FBAUTH獲得這個(gè)值并為A仿真FOTS和FREG。

1) 當(dāng)從FOTS獲得(KeyGen, sid), S發(fā)送(KeyGen,sid) 給A, 然后將A的響應(yīng)(VerificationKey, sid, v0)轉(zhuǎn)發(fā)給FOTS。

2) 當(dāng)從 FOTS收到(Sign, sid, m)后, 給 A 發(fā)送(Sign, sid, m), 并將 A 的響應(yīng)(Signature, sid, m, σ)轉(zhuǎn)發(fā)給FOTS。當(dāng)從FREG收到(Registered, sid, v), 轉(zhuǎn)發(fā)給A (v可以不等于v0)。

Simulating the recipient

當(dāng)A發(fā)送(Broadcasted, sid, m, σ)給R時(shí), S為A仿真協(xié)議πBAUTH。

1) 如果 v =⊥, 為 A仿真來自 FREG的消息(Retrieve, sid)。當(dāng)A響應(yīng)后, 從FREG獲得(Retrieve,sid, v’)。如果 v’=⊥或者存在記錄(m’, v’), 不做任何行動(dòng); 否則令v = v’。

2) 當(dāng)從FOTS收到(Verify, sid, m, σ, v), 給A發(fā)送(Verify, sid, m, σ, v), 隨后將A的響應(yīng)轉(zhuǎn)發(fā)給FOTS。

3) 如果 FOTS輸出(Verified, sid, m, σ, f = 1)給 R,記錄(m, v)并將來自FBAUTH的(Broadcasted, sid, m)發(fā)送給R。否則, 不做任何行動(dòng)。

Simulating party corruption

當(dāng)A攻陷一個(gè)參與方，S也攻陷相應(yīng)的參與方并將其內(nèi)部狀態(tài)提供給A。

IDEAL和REAL不可區(qū)分

定義事件P為：對(duì)于消息(Broadcasted, sid, m,σ)，當(dāng)接收者從 FOTS收到(Verified, sid, m, σ, f=1)，而 B在消息傳輸?shù)臅r(shí)刻尚未被攻陷且從未發(fā)送過(Broadcast, sid, m, σ)。然而，根據(jù) FOTS和FREG，事件P不會(huì)發(fā)生。原因如下：首先，接收者會(huì)從 FREG獲得一個(gè)正確的驗(yàn)證密鑰(否則，F(xiàn)OTS不會(huì)發(fā)送(Verified, sid, m, σ, f = 1))；然后，如果 B未被攻陷且未發(fā)送(Broadcasted, sid, m,σ)，那么消息m不會(huì)被FOTS簽名。因此，R會(huì)從FOTS收到(Verified, sid, m, σ, f = 0) (否則，與 FOTS的EU-COMA相矛盾)。

由于事件P不會(huì)發(fā)生，因此上述仿真是完美的，即 πBAUTH在(FOTS, FREG)-混合模型下安全實(shí)現(xiàn)了理想函數(shù)FBAUTH。 □

5 結(jié)束語

本文在UC框架研究了基于一次簽名廣播認(rèn)證協(xié)議。首先，設(shè)計(jì)了一次簽名理想函數(shù)FOTS并提出了UC安全的一次簽名協(xié)議HORS+。與HORS相比，HORS+的安全依賴于較弱的安全假設(shè)。其次，給出了廣播認(rèn)證理想函數(shù) FBAUTH，在(FOTS, FREG)-混合模型下構(gòu)造了 UC安全的廣播認(rèn)證協(xié)議πBAUTH。根據(jù)組合定理，利用HORS+構(gòu)造的組合協(xié)議在 FREG-混合模型下可以安全實(shí)現(xiàn)理想函數(shù)FBAUTH。

[1] CANETTI R. Universally composable security: a new paradigm for cryptographic protocols[EB/OL]. http://eprint. iacr.org/2000/067.

[2] 李鳳華, 馮濤, 馬建峰. 基于VSPH的UC不經(jīng)意傳輸協(xié)議 [J]. 通信學(xué)報(bào), 2007, 28(7):28-34.LI F H, FENG T, MA J F. Universally composable oblivious transfer protocol based on VSPH[J]. Journal on Communications, 2007,28(7):28-34.

[3] LAMPORT L. Constructing Digital Signatures From a One-Way Function[R]. Technical Report SRI-CSL-98, SRI International Computer Science Laboratory, 1979.

[4] PERRIG A. The BiBa one-time signature and broadcast authentication protocol[A]. ACM Conference on Computer and Communications Security[C]. 2001. 28-37.

[5] MITZENMACHER M, PERRIG A. Bounds and Improvements for BiBa Signature Schemes[R]. No. TR-02-02, Computer Science Group,Harvard University, USA, 2002.

[6] REYZIN L, REYZIN N. Better than BiBa: short one-time signatures with fast signing and verifying[A]. Information Security and Privacy,7th Australian Conference, ACISP 2002[C]. 2002. 144-153.

[7] PIEPRZYK J, WANG H X, XING C P. Multiple-time signature schemes against adaptive chosen message attacks[A]. Selected Areas in Cryptography, SAC 2003[C]. 2003. 88-100.

[8] PARK Y, CHO Y. Efficient one-time signature schemes for stream authentication[J]. Journal of Information Science and Engineering 22,2006.611-624.

[9] LUK M, PERRIG A, WHILLOCK B. Seven cardinal properties of sensor network broadcast authentication[A]. ACM Workshop on Security of Ad Hoc and Sensor Networks, (SASN’ 06)[C].2006.

[10] CANETTI R. Universally composable signatures, certification, and authenticated communication[A]. Proceedings of 17th Computer Security Foundations Workshop[C]. 2004.

[11] GOLDREICH O. The Foundations of Cryptography[M]. Cambridge University Press, 2001.