陳尚弟，卞廣旭（中國(guó)民航大學(xué)理學(xué)院，天津 300300）

一種新的基于身份的群體簽密方案

陳尚弟，卞廣旭
（中國(guó)民航大學(xué)理學(xué)院，天津 300300）

在公開的網(wǎng)絡(luò)通信系統(tǒng)中安全地傳送敏感消息時(shí)，有時(shí)會(huì)由于通信雙方的權(quán)限過于集中而引起欺騙行為，而面向群體的簽密方案能解決通信系統(tǒng)中個(gè)體的權(quán)限過于集中而引起的安全問題。利用基于身份的密碼體制和橢圓曲線離散對(duì)數(shù)問題，提出了一種新的基于身份的群體簽密方案。在方案中，任何t個(gè)或者多于t個(gè)簽密組成員相互協(xié)作能夠生成有效的群簽密，少于t個(gè)簽密組成員則不能生成有效的群簽密；任何w個(gè)或者多于w個(gè)接收組成員相互協(xié)作可以驗(yàn)證群簽密的合法性及恢復(fù)加密的消息。通過對(duì)提出的方案進(jìn)行安全性分析，該方案具有認(rèn)證性、保密性、數(shù)據(jù)完整性、不可否認(rèn)性及不可偽造性等特性。

基于身份；門限方案；簽密；橢圓曲線離散對(duì)數(shù)問題

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和通信技術(shù)的發(fā)展，網(wǎng)絡(luò)通信技術(shù)在現(xiàn)實(shí)社會(huì)中的各個(gè)領(lǐng)域均得到了廣泛的應(yīng)用。在某些特殊的情況下，當(dāng)通信系統(tǒng)中的雙方在公開的網(wǎng)絡(luò)環(huán)境中傳送敏感的消息時(shí)，不僅需要使敏感的消息滿足認(rèn)證性，而且還需要使敏感的消息滿足保密性。針對(duì)需要同時(shí)滿足認(rèn)證性和保密性的應(yīng)用能在公開的網(wǎng)絡(luò)環(huán)境中得以實(shí)現(xiàn)，Zheng[1]于1997年首次提出了一種稱之為“簽密”密碼學(xué)術(shù)語(yǔ)的認(rèn)證加密方案，該方案能在一個(gè)單一的邏輯步驟里同時(shí)實(shí)現(xiàn)認(rèn)證性和保密性，并且運(yùn)算量和通信成本也比傳統(tǒng)的“先簽名后加密”低得多。為了避免由于通信系統(tǒng)中雙方個(gè)體的權(quán)限過于集中而引起欺騙行為，則可基于Shamir[2]的（t，n）門限方案構(gòu)造面向群體的簽密方案。

為了簡(jiǎn)化基于證書的公鑰密碼體制系統(tǒng)中的身份驗(yàn)證和密鑰管理機(jī)構(gòu)的公鑰分發(fā)問題，Shamir[3]于1984年首次提出了基于身份的公鑰密碼體制，在這一新的公鑰密碼體制中，使用者的公鑰可以由使用者的身份信息產(chǎn)生，而使用者的私鑰可由可信的私鑰生成器PKG（private key generator）通過使用者的身份信息計(jì)算獲得。利用文獻(xiàn)[3]提出的密碼體制，2002年Malone-Lee[4]首次提出了一種新的基于身份的簽密方案。自此之后，許多基于身份的面向群體的簽密方案[5-7]相繼提出，但是這些方案主要是在隨機(jī)預(yù)言模型下基于雙線性對(duì)問題提出的，2010年，文獻(xiàn)[8]提出了一種新的基于身份的（t，n）門限簽密方案，雖然該方案不是在隨機(jī)預(yù)言模型下基于雙線性對(duì)提出的，但卻是基于一般有限域離散對(duì)數(shù)問題提出的，而其計(jì)算效率比基于橢圓曲線離散對(duì)數(shù)問題的構(gòu)造方案較低，通信成本較大。

本文利用基于身份的密碼體制和橢圓曲線離散對(duì)數(shù)問題提出了一種新的基于身份的群體簽密方案，該方案不僅保證任何t個(gè)或多于t個(gè)的簽密組成員相互協(xié)作能生成有效的群體簽密，而且使任何w個(gè)或多于w個(gè)的接收組成員相互協(xié)作能夠恢復(fù)加密的消息并對(duì)恢復(fù)的消息進(jìn)行驗(yàn)證。除此之外，本文對(duì)方案的有效性進(jìn)行了證明，同時(shí)對(duì)方案的安全性也進(jìn)行了分析。

1 基于身份的群體簽密方案的模型

記方案的簽密組為A={A1，A2，…，An}，其中使用者Ai的身份記為IDi（i=1，2，…，n）；接收組為B= {B1，B2，…，Bm}，其中使用者Bj的身份記為IDj*（j= 1，2，…，m）。本文提出的方案由以下4個(gè)階段組成：系統(tǒng)的初始化、密鑰提取階段、簽密階段及解簽密階段。

1.1 系統(tǒng)的初始化

輸入一個(gè)安全的參數(shù)k，PKG進(jìn)行如下操作：PKG隨機(jī)選取2個(gè)安全大素?cái)?shù)p和q，并且使其滿足q整除p-1；選取有限域GF（p）上一條安全的橢圓曲線E，并設(shè)P是E上具有q階的基點(diǎn)，且記G為由P生成的q階加法循環(huán)群；選取密鑰為k*的安全對(duì)稱加密及解密算法（Ek*，Dk*）；定義兩個(gè)安全的hash函數(shù)H1和H2；輸出系統(tǒng)的公開參數(shù)params={p，q，P，E，G，該算法由PKG運(yùn)行。

1.2 私鑰提取階段

這一階段是通過簽密組中使用者的身份IDi和接收組中使用者的身份IDj*來(lái)提取使用者的密鑰和群體密鑰。輸入系統(tǒng)的公開參數(shù)params、簽密組中使用者的身份IDi和接收組中使用者的身份IDj*。輸出簽密組的群密鑰對(duì)（QA，aA）及使用者的密鑰對(duì)（Qi，ai）；輸出接收組的群密鑰對(duì)（QB*，bB）及使用者的密鑰對(duì)（Qj*，bj）。該算法由PKG運(yùn)行。

1.3 簽密階段

簽密組A輸入系統(tǒng)的公開參數(shù)params、使用者的密鑰對(duì)（Qi，ai）、使用者的身份IDi（i=1，2，…，n）、消息m及接收組的群公鑰QB*，輸出簽密σ，并將簽密σ傳送給接收組。

1.4 解簽密階段

接收組B輸入系統(tǒng)的公開參數(shù)params、使用者的密鑰對(duì)（Qj*，bj）、使用者的身份IDj*（j=1，2，…，m）和簽密σ，輸出合法的m并接收簽密，否則拒絕接收簽密的消息并輸出符號(hào)⊥。

2 一種新的基于身份的群體簽密方案

2.1 系統(tǒng)初始化

首先輸入一個(gè)安全的秘密參數(shù)k，PKG隨機(jī)選取2個(gè)安全大素?cái)?shù)p和q，并且使它們滿足q整除p-1；選取有限域GF（p）上一條安全的橢圓曲線E，并設(shè)P 是E上具有q階的基點(diǎn)，且記G為由P生成的q階加法循環(huán)群；選取密鑰為k*的安全對(duì)稱加密及解密算法（Ek*，Dk*）；定義2個(gè)安全的hash函數(shù)H1：{0，1}*→Zq*和H2：G→Zq*；輸出系統(tǒng)的公開參數(shù)params={p，q，P，

2.2 密鑰提取階段

記方案的簽密組為A={A1，A2，…，An}，其中使用者Ai的身份記為IDi（i=1，2，…，n）；接收組為B= {B1，B2，…，Bm}，其中使用者Bj的身份記為IDj*（j= 1，2，…，m）。

1）PKG隨機(jī)選取α0，α1，…，αt-1∈Zq*，β0，β1，…，βw-1∈Zq*，并分別構(gòu)造多項(xiàng)式：f（x）=α0+α1x+… + αt-1xt-1及g（x）=β0+β1x+…+βw-1xw-1，則記簽密組的群私鑰為aA=f（0），群公鑰為QA=f（0）P；接收組的群私鑰為bB=g（0），群公鑰為QB*=g（0）P。

2）PKG利用使用者的身份IDi（i=1，2，…，n）及IDj*（j=1，2，…，m），計(jì)算簽密組使用者相應(yīng)的私鑰和公鑰ai=f（IDi）modq、Qi=aiP，接收組中使用者相應(yīng)的私鑰和公鑰bj=g（IDj*）modq、Qj*=bjP。最后PKG將私鑰ai及bj通過安全的通道分別傳送給IDi和IDj*，相應(yīng)的公鑰Qi及Qj*公開。

2.3 簽密階段

本階段將實(shí)現(xiàn)由簽密組A={A1，A2，…，An}中任何t個(gè)或者多于t個(gè)簽密組成員相互協(xié)作對(duì)消息m進(jìn)行簽密，不妨記AT={A1，A2，…，At}是完成簽密的t個(gè)簽密組成員，并記C為AT中群體簽密的合成者。

1）AT中的每個(gè)成員Ai首先隨機(jī)選取一個(gè)整數(shù)ki∈Zq*，并計(jì)算Li1=kiP=（xi1，yi1），Li2=kiQB*=（xi2，yi2）。如果xi1=0或xi2=0，則重新選擇ki，然后將Li1、Li2通過安全信道發(fā)送給AT中的其他簽密成員。2）AT中的每個(gè)成員Ai首先通過Li1、Li2分別合成L1和L2：L1kiQB*；然后Ai隨機(jī)選取一個(gè)整數(shù)li∈Zq*，并計(jì)算Mi=liP，M=，最后分別計(jì)算部分簽名并將部分簽名σ1=（c，r，r1，si，Mi）發(fā)送給簽密合成者C。

3）簽密合成者C收到部分簽名σ1=（c，r，r1，si，Mi）后，利用AT中每個(gè)成員Ai的公鑰Qi驗(yàn)證部分簽名的有效性，其驗(yàn)證等式為

若等式成立，則部分簽名有效。如果所有的部分簽名σi都有效，C合成群體簽名，并可通過下面等式來(lái)驗(yàn)證群體簽名的有效性

4）簽密合成者C將簽密σ=（c，r，r1，s，M）通過公開信道發(fā)送給接收組B。

2.4 解簽密階段

接受組B={B1，B2，…，Bm}收到簽密σ=（c，r，r1，s，M）后，B中的w個(gè)或者多于w個(gè)接受組成員相互協(xié)作恢復(fù)消息m并進(jìn)行驗(yàn)證，不妨記BW={B1，B2，…，Bw}是完成解簽密階段的w個(gè)接收組成員，并記D為BW中解簽密階段的合成者。

1）BW中每個(gè)成員Bj計(jì)算

然后將Li2發(fā)送給解簽密的合成者D。

2）D首先計(jì)算

然后驗(yàn)證等式r*=r和r1*=r1是否同時(shí)成立。若成立，則簽密方案通過驗(yàn)證且消息m得到恢復(fù)，否則拒絕接收簽密的消息并輸出符號(hào)⊥。

3 方案有效性證明

定理1 在簽密階段中的部分簽名si的有效性可以通過式（1）進(jìn)行驗(yàn)證。

即Li1=等式成立。證畢。

定理2 如果AT中簽密組成員都能正確地實(shí)施簽密步驟，則生成的簽密σ=（c，r，r1，s，M）就能在解簽密階段得到有效性驗(yàn)證，BW中的接收組成員也能正確恢復(fù)消息m。

證明 如果AT中簽密組成員都能正確地實(shí)施簽密步驟，則有

又由Lagrange插值多項(xiàng)式的性質(zhì)可知

綜上所述，BW中的接收組成員可以正確求出L1和L2，從而可以通過計(jì)算k*=H2（L2）正確求出m= Dk*（c），并通過計(jì)算r*=H1（m）、r1*=H2（QB*，L1，L2）來(lái)驗(yàn)證等式r*=r和r1*=r1是否同時(shí)成立。若等式成立，則簽密方案通過驗(yàn)證且消息m得到恢復(fù)，否則拒絕接收簽密的消息并輸出符號(hào)⊥。證畢。

4 方案的安全性分析

4.1 認(rèn)證性

由定理1和定理2證明可知，如果AT中簽密組成員能正確地實(shí)施簽密步驟，方案中的式（1）和式（2）都能成立，則部分簽名σi及群體簽名σ都是有效的，并能被接收組得到有效地驗(yàn)證。

4.2 保密性

方案中使用對(duì)稱加密和解密算法分別對(duì)傳送的消息進(jìn)行加密和恢復(fù)，任何第三方攻擊者要想獲得傳送的消息必須要計(jì)算密鑰k*。攻擊者計(jì)算密鑰k*就必須要正確計(jì)算出kiQB*，再通過計(jì)算k*=H2（L2）獲得；然而要想計(jì)算出L2，就需要利用方案中公開的信息Li1=kiP、Li2=kiQB*計(jì)算求出ki，但這是不可能的，因?yàn)橛邢抻蛏蠙E圓曲線離散對(duì)數(shù)問題是難解的。由定理2可知，本文構(gòu)造的方案能保證接收組通過合理的步驟恢復(fù)出消息。

4.3 數(shù)據(jù)完整性

安全的hash函數(shù)能保證數(shù)據(jù)完整性。假如傳送的消息被第三方攻擊者所篡改，則可通過消息m計(jì)算出的H1（m）與r進(jìn)行比較來(lái)判斷。如果H1（m）=r，則說明接收組恢復(fù)出的消息m是完整的，沒有被攻擊者所篡改；否則，說明接收組恢復(fù)出的消息m不是完整的，且已被第三方攻擊者所篡改。

4.4 不可偽造性

任何第三方攻擊者要想偽造部分簽名σi及群體簽名σ都是不可能的。攻擊者要想偽造一個(gè)簽名，就需要知道保密的參數(shù)ki、li及簽名者的私鑰ai，然而由于有限域上橢圓曲線離散對(duì)數(shù)問題是難解的，所以攻擊者不可能通過方案中公開的信息計(jì)算出上述保密的參數(shù)并偽造簽名。除此之外，由于上述的保密參數(shù)是基于大素?cái)?shù)q形成的有限域Zq*中選取的，所以攻擊者也不可能在有限域Zq*中通過隨機(jī)選取上述參數(shù)進(jìn)行偽造簽名。

4.5 不可否認(rèn)性

由4.4的分析可知，由于方案具有不可偽造性，所以簽名者要想否認(rèn)自己簽名的消息也是不可能的。

5 結(jié)語(yǔ)

現(xiàn)有的基于身份的簽密方案基本上都是在隨機(jī)預(yù)言模型下基于雙線性對(duì)構(gòu)造的，本文利用基于身份的密碼體制和有限域上橢圓曲線離散對(duì)數(shù)問題提出了一種新的基于身份的群體簽密方案。該方案能夠解決通信系統(tǒng)中由于個(gè)體的權(quán)限過于集中而引起的安全問題；通過對(duì)方案的有效性和安全性進(jìn)行分析，本文所提出的方案是有效的、安全的，能夠保證在公開網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)面向群體的保密通信。

[1] ZHENG YULIANG.Signcryption and its application in efficient public key solutions[C]//LNCS1396，Information Security Workshop（ISW'97）. Berlin:Spring-Verlag，1997：291-312.

[2]SHAMIR A.How to share a secret[J].Comm ACM，1979，22（11）：612-613.

[3]SHAMIR A.Identity-Based Cryptosystems and Signature Schemes[M]. BLAKLEY G R，CH AUMD.Advances in Cryptology:CRYPTO 1984，Berlin:Spring-verlag，1997：47-53.

[4]JOHN MALONE-LEE.Identity-based signcrypion[R].Cryptology Eprint Archive，Report 2002/098，2002.

[5] 張 波，徐秋亮.基于身份的面向群組簽密方案[J].通信學(xué)報(bào)，2009，30（11）：23-28.

[6] 徐吉斌，葉 震.一種可公開驗(yàn)證的基于身份的簽密方案[J].計(jì)算機(jī)應(yīng)用，2007，27（6）：1553-1555.

[7] 李 順，曾 超，李 軍.一種基于身份的簽密方案[J].計(jì)算機(jī)工程，2010，36（8）：135-137.

[8]ZHANG XIAOYU，ZHANG RUILING.A New ID-based（t，n）Threshold Signcryption Scheme[C].IEEE，2010：589-592.

（責(zé)任編輯：黨亞茹）

New ID-based group signcryption scheme

CHEN Shang-di，BIAN Guang-xu
（College of Science，CAUC，Tianjin 300300，China）

When sensitive information is safely transmitted in the public network communication system，the overconcentrated privilege between the communication parties can sometimes cause cheating，but such safety problem can be solved by the group signcryption scheme.Based on the ID-based cryptography and elliptic curve discrete logarithm problem，a new ID-based group signcryption scheme is proposed.In the scheme，any t or more than t signcryption group members collaboratively can generate a valid group signcryption，and less than t can not generate a valid group signcryption；any w or more w receiver group members collaboratively can verify the legitimacy of the group signcryption and recover the encrypted message.Through security analysis of the proposed program，the program has authentication，confidentiality，data integrity，nonrepudiation and unforgeability and other features.

ID-based；threshold scheme；signcryption；elliptic curve discrete logarithm problem

TP309

A

1674－5590（2013）01－0093－04

2012-06-11；

2012-09-12

中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)（ZXH2012K003）；中國(guó)民航大學(xué)科研基金項(xiàng)目（2012KYM01）

陳尚弟（1964—），男，山西應(yīng)縣人，教授，博士，研究方向?yàn)榇鷶?shù)、圖論、編碼與密碼.