鄧倫治，王祥斌，瞿云云

(貴州師范大學(xué)數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，貴州 貴陽(yáng) 550001)

高效的基于身份的簽密方案

鄧倫治，王祥斌，瞿云云

(貴州師范大學(xué)數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，貴州 貴陽(yáng) 550001)

簽密能夠以較低的通信成本同時(shí)完成認(rèn)證和加密兩種功能。提出了一個(gè)新的基于身份的簽密方案，并在隨機(jī)預(yù)言模型下證明了其安全性。本方案在簽密階段不需要雙線性對(duì)的計(jì)算，解密階段也只需要兩次雙線性對(duì)計(jì)算，與以往方案比較，該方案的運(yùn)算量更低。

基于身份的密碼；簽密; 雙線性對(duì)；隨機(jī)預(yù)言模型

1 引言

公鑰密碼是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的重要技術(shù)，傳統(tǒng)的公鑰設(shè)施需要一個(gè)可信的第三方，由其向成員發(fā)放證書，將成員的身份和公鑰邦定。由此，也導(dǎo)致了證書管理問題的出現(xiàn)。為了取消公鑰證書的使用，Shamir A[1]提出了基于身份的密碼體制思想，它也需要建立一個(gè)可信的第三方，將用戶的個(gè)人信息(如姓名、身份證號(hào)、E-mail地址等)作為用戶的公鑰，根據(jù)用戶的公鑰，向其發(fā)放私鑰，從而使用戶不再需要公鑰證書，提高了管理效率。

隨著網(wǎng)絡(luò)的普及，電子商務(wù)、電子貨幣等方式的大量出現(xiàn)對(duì)網(wǎng)絡(luò)安全提出更高要求，公開網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)必須同時(shí)實(shí)現(xiàn)保密和認(rèn)證。傳統(tǒng)方法采用對(duì)數(shù)據(jù)先簽名后加密的方法。為了提高效率，Zheng Y L[2]提出簽密概念，其基本思想是在一個(gè)邏輯步驟中同時(shí)完成簽名和加密功能，因此計(jì)算代價(jià)比先簽名后加密方法的低。Baek J等人[3]給出了簽密的安全模型，并對(duì)文獻(xiàn)[2]的方案給出了嚴(yán)格的安全證明。

公鑰密碼的一個(gè)研究方向就是將基于身份的密碼與簽密方案融合，設(shè)計(jì)出安全、高效的基于身份的簽密方案。Malone-Lee J[4]提出了第一個(gè)基于身份的簽密方案，并定義了基于身份的簽密方案的安全模型。然而，Libert B和 Quisquater J J[5]指出Malone-Lee J的方案是不安全的，并利用雙線性對(duì)構(gòu)造了一個(gè)新的方案。隨后，許多安全高效的基于身份的簽密方案被提出[6～14]。Jin Z P等人[15]給出了在標(biāo)準(zhǔn)模型下的基于身份的簽密方案。

2 準(zhǔn)備工作

雙線性映射在密碼學(xué)理論中是一個(gè)重要的工具，設(shè)G1和G2是兩個(gè)素?cái)?shù)q階循環(huán)群，P是群G1的一個(gè)生成元。e:G1×G1→G2是一個(gè)滿足下列要求的映射：

(1)任取P1、P2∈G1，a、b∈Zq，則e(aP1,bP2)=e(P1,P2)ab;

(2)存在P1、P2∈G1使e(P1,P2)≠1G2;

(3)存在一個(gè)高效的計(jì)算方法，對(duì)于任意P1、P2∈G1，可計(jì)算e(P1,P2)。

3 安全模型

定義3(不可區(qū)分性) 如果沒有多項(xiàng)式有界的敵手以一個(gè)不可忽略的優(yōu)勢(shì)贏得以下的游戲，那么稱一個(gè)基于身份的簽密方案在適應(yīng)性選擇密文攻擊下具有密文不可區(qū)分性(IND-IBSC-CCA2)。

系統(tǒng)初始化：挑戰(zhàn)者C輸入安全參數(shù)k，運(yùn)行參數(shù)設(shè)置算法，并將系統(tǒng)參數(shù)params發(fā)送給敵手A。

第一階段：敵手A執(zhí)行多項(xiàng)式次數(shù)的適應(yīng)性查詢，即每次查詢可以根據(jù)前一次查詢所得的結(jié)果而作出。

Hash函數(shù)查詢：敵手A可以查詢?nèi)魏蔚腍ash函數(shù)值。

私鑰查詢：敵手A選擇身份ID，挑戰(zhàn)者C運(yùn)行私鑰生成算法得到SID，并將其發(fā)送給敵手A。

簽密查詢：敵手A選擇簽密者身份IDs、接收者身份IDr、消息M，并把它們發(fā)送給挑戰(zhàn)者C。挑戰(zhàn)者C運(yùn)行簽密算法得到密文σ，并將其發(fā)送給敵手A。

解簽密查詢：敵手A選擇接收者身份IDr、密文σ，并把它們發(fā)送給挑戰(zhàn)者C。挑戰(zhàn)者C運(yùn)行解密算法得到明文M或者“⊥”(如果σ是無(wú)效的密文)。

響應(yīng)：敵手A輸出μ′∈{0,1}，如果μ′=μ，則在游戲中獲勝。

敵手A的優(yōu)勢(shì)定義為：

定義4(不可偽造性) 如果沒有多項(xiàng)式有界的敵手以一個(gè)不可忽略的優(yōu)勢(shì)贏得以下的游戲，那么稱一個(gè)基于身份的簽密方案在適應(yīng)性選擇密文攻擊下具有密文不可偽造性(UNF-IBSC-CCA)。

系統(tǒng)初始化：與不可區(qū)分性游戲中一樣。

查詢階段：與不可區(qū)分性游戲中一樣，敵手A執(zhí)行多項(xiàng)式次數(shù)的適應(yīng)性查詢。

4 提出的方案

(3)簽密：IDr是指定的接收者，M是給定的消息，IDs按下列步驟給出密文：

步驟3 輸出密文σ=(C,T,Z,V)。

(4)解簽密：接收者IDr收到密文σ=(C,T,Z,V)后，按下列步驟解密：

步驟1 計(jì)算B=e(T,SIDr),M=H2(B)⊕C,h=H3(M‖B‖Z‖IDr‖IDs)。

步驟2 檢查e(V,Ppub+dIDsP)=ZYh是否成立，如果等式成立，則接受σ是有效密文；否則，認(rèn)定σ是無(wú)效的。

(5)方案的正確性：

5 安全分析

定理1 在隨機(jī)預(yù)言模型下，設(shè)A是一個(gè)自適應(yīng)的選擇密文攻擊者，在時(shí)間t內(nèi)，至多做qH1次H1查詢，qH2次H2查詢，qH3次H3查詢，qE次私鑰查詢，qS次簽密查詢，qU次解密查詢，如果A能有ε的優(yōu)勢(shì)區(qū)分密文，則存在挑戰(zhàn)者C，能有ε/qH1的概率解決n-DBDH問題。

參數(shù)設(shè)置：C設(shè)置Y=e(P,P),params={G1,G2,e,P,Ppub=aP,Y,H1,H2,H3}。

第一階段：敵手A將對(duì)挑戰(zhàn)者C作多項(xiàng)式次數(shù)的各種查詢。不失一般性：總假定每次的查詢互不相同；A將身份ID用作其他查詢前，必先對(duì)ID做了H1查詢；A不會(huì)把簽密查詢的結(jié)果拿來做解密查詢。

H1查詢：C以(IDi,di)的格式設(shè)置列表L1。當(dāng)A查詢H1(IDi)時(shí)，C按下列方法回答A的查詢：

在A的第j次查詢，C設(shè)定H1(ID*)=b回答A。當(dāng)i≠j時(shí)，C設(shè)定H1(IDi)=di。并將(IDi,di)儲(chǔ)存在L1中。注意這里n>qH1。

H2查詢：C以(U,α)的格式設(shè)置列表L2。當(dāng)A查詢H2(U)時(shí)，C隨機(jī)選擇α∈{0,1}l，設(shè)定H2(U)=α，并把(U,α)儲(chǔ)存在L2中。

簽密查詢：當(dāng)A對(duì)消息M、指定的簽密者IDs和接收者IDr做簽密查詢時(shí)，C按下列方法回答A的查詢：如果IDs≠ID*，C調(diào)用簽密算法回答A；如果IDs=ID*，C按下列步驟給出密文：

步驟3 存儲(chǔ)h=H3(M‖Yt‖Z‖IDr‖IDs)到列表L3，若發(fā)生碰撞，重新執(zhí)行步驟1～步驟3。

步驟4 輸出密文σ=(C,T,Z,V)。

解密查詢：當(dāng)A對(duì)密文σ=(C,T,Z,V)、接收者IDr做解密查詢時(shí)，如果IDr≠ID*，C計(jì)算SIDr，然后調(diào)用解密算法回答A；如果IDr=ID*，C告訴A密文σ是無(wú)效的。注意IDr=ID*且σ是合法密文的概率不超過1/2k。

挑戰(zhàn)：A做了多項(xiàng)式次的查詢后，選擇兩個(gè)等長(zhǎng)的明文M0、M1∈Ω，指定的簽密者IDs和指定的接收者IDr，并將這些信息發(fā)送給C，要求A在第一階段并未查詢IDr的私鑰。如果IDr≠ID*，C失敗；否則，C選擇μ∈{0,1}并按下列步驟計(jì)算Mμ的密文σ*：

步驟1 設(shè)定T=X，C=H2(Yc)⊕Mμ。

步驟3 輸出密文σ*=(C,T,Z,V)。

第二階段：A像第一階段一樣，做多項(xiàng)式次查詢。他依然不能查詢接收者IDr的私鑰并且不能對(duì)密文σ*做解密查詢。

響應(yīng)：A輸出μ′∈{0,1}。若μ′=μ，則C輸出1；若μ′≠μ，則C輸出0。如果X=c(aP+bP)，則σ*是有效密文，因而A有優(yōu)勢(shì)ε區(qū)分μ。因此:

Pr[C→1|X=c(aP+bP)]=

如果X≠c(aP+bP)，則當(dāng)μ=0或μ=1時(shí)，密文各部分具有相同的分布概率，因而A在區(qū)分μ上不具有任何優(yōu)勢(shì)。因此:

Pr[C→1|X≠c(aP+bP)]=

□

參數(shù)設(shè)置：C設(shè)置Y=e(P,P)，params={G1,G2,e,P,Ppub=aP,Y,H1,H2,H3}

查詢階段：與定理1中第一階段所做的查詢完全一樣。

偽造：A給出一個(gè)偽造簽密σ*=(C,T,Z,V)，A沒有查詢過簽密者IDs的私鑰。

□

6 效率分析

將本文方案與已經(jīng)提出的效率較高的簽密方案進(jìn)行比較，結(jié)果如表1所示。盡管許多學(xué)者在分析雙線性對(duì)的復(fù)雜性和加速雙線性對(duì)的計(jì)算方面做了很多工作，減少雙線性對(duì)的運(yùn)用，降低運(yùn)算成本，構(gòu)造高效的密碼方案依然是人們關(guān)心的問題。從表1中可見，以往方案中，最少也要用四次雙線性對(duì)的計(jì)算，而本方案僅需兩次雙線性對(duì)的計(jì)算，因此其效率更高。

Table 1 Comparison between our scheme and other schemes

7 結(jié)束語(yǔ)

本文提出了一個(gè)新的基于身份的簽密方案,并在隨機(jī)預(yù)言模型下證明了其安全性，與其他方案的比較結(jié)果說明該方案是高效的，其通信成本低、計(jì)算量少，因此具有更高的實(shí)用價(jià)值。

[1] Shamir A. Identity-based cryptosystems and signature schemes[C]∥Proc of CRYPTO’84, 1984:47-53.

[2] Zheng Y L. Digital signcryption or how to achive cost (signature & encryption)《cost (signature)+cost(encryption)》[C]∥Proc of CRYPTO’97, 1997:165-179.

[3] Baek J, Steinfeld R, Zheng R. Formal proofs for the security of signcryption[J]. Journal of Cryptology,2007,20(2):203-235.

[4] Malone-Lee J. Identity-based signcryption[EB/OL].[2009-01-22].http://eprint.Iacr. Org/ 2002/098.

[5] Libert B, Quisquater J J. A new identity based signcryption scheme from pairings[C]∥Proc of the IEEE Information Theory Workshop, 2003:155-168.

[6] Chow S S M, Yiu S M, Hui L C K, et al. Efficient forward and provably secure ID-based signcryption scheme with public verifiability and public ciphertext authenticity[C]∥Proc of Information Security and Cryptology, 2004:352-369.

[7] Boyen X. Multipurpose identity-based signcryption:A swiss army knife for identity-based cryptography[C]∥Proc of CRYPTO’03, 2003:383-399.

[8] Barreto P S L M, Libert B, McCullagh N, et al. Efficient and provably-secure identity-based signatures and signcryption from bilinear maps[C]∥Proc of ASIACRYPT’05,2005:515-532.

[9] Lal S, Kushwah P. ID-based generalized signcryption[R]. Report 2008/084 Cryptology Eprint Archive,2008.

[10] Yu G, Ma X, Shen Y, et al. Provable secure identity based generalized signcryption scheme[J] Theoretical Computer Science, 2010,411(40-42):3614-3624.

[11] Chen L, Malone J L. Improved identity-based signcryption[C]∥Proc of 2005 Public Key Cryptography 2005, 2005:362-379.

[12] Li Fa-gen, Hu Yu-pu, Li Gang. An efficient identity based signcryption scheme[J]. Chinese Journal of Computers, 2006, 29(9):1641-1647.(in Chinese)

[13] Li Xiao, He Ming-xing, Luo Da-wen. ID-based signcryption scheme[J]. Computer Engineering, 2009, 35(22):144-146.(in Chinese)

[14] Li Shun, Zeng Chao, Li Jun. Identity-based signcryption scheme[J]. Computer Engineering, 2010, 36(8):135-137.(in Chinese)

[15] Jin Z P, Wen Q Y, Du H Z. An improved semantically-secure identity-based signcryption scheme in the standard model[J]. Computers and Electrical Engineering,2010,36(3):545-552.

附中文參考文獻(xiàn):

[12] 李發(fā)根,胡予濮,李 剛. 一個(gè)高效的基于身份的簽密方案[J].計(jì)算機(jī)學(xué)報(bào), 2006, 29(9):1641-1647.

[13] 李虓，何明星，羅大文. 基于身份的簽密方案[J]. 計(jì)算機(jī)工程，2009, 35(22):144-146.

[14] 李順，曾超，李軍. 一種基于身份的簽密方案[J]. 計(jì)算機(jī)工程, 2010, 36(8):135-137.

DENG Lun-zhi,born in 1979,PhD,associate professor,his research interest includes algebra and information security.

王祥斌(1979-),男,貴州桐梓人，碩士，副教授，研究方向?yàn)樗惴ㄅc數(shù)據(jù)挖掘。E-mail:40162855@qq.com

WANG Xiang-bin,born in 1979,MS,associate professor,his research interests include algorithm, and data mining.

瞿云云(1983-),男,貴州金沙人，碩士，講師，研究方向?yàn)樾畔踩?。E-mail:1074708656@qq.com

QU Yun-yun,born in 1983,MS,lecturer,his research interest includes information security.

High-efficient signcryption scheme based on identity

DENG Lun-zhi，WANG Xiang-bin,QU Yun-yun
(School of Mathematics and Computer Science,Guizhou Normal University,Guiyang 550001,China)

Signcryption offers authentication and confidentiality simultaneously with a lower cost. A new identity based signcryption scheme is proposed, which is proved to be secure under the random oracle model. The proposed scheme does not require pairing operation in signcryption, and only have 2 pairing operations in unsigncryption. Compared with the previous schemes, the computation cost of the proposed scheme is less.

identity-based cryptography;signcryption;bilinear pairings;random oracle model

2012-08-24;

2013-01-04

貴州師范大學(xué)2013年博士科研基金資助項(xiàng)目；貴州省科學(xué)技術(shù)基金資助項(xiàng)目(黔科合J字LKS[2013]02號(hào))；貴州省科學(xué)技術(shù)基金資助項(xiàng)目(黔科合J字[2013]2214)

1007-130X(2014)03-0441-05

TN918.4

A

10.3969/j.issn.1007-130X.2014.03.011

鄧倫治(1979-),男,貴州桐梓人，博士，副教授，研究方向?yàn)榇鷶?shù)與信息安全。E-mail:denglunzhi@163.com

通信地址：550001 貴州省貴陽(yáng)市貴州師范大學(xué)數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院

Address:School of Mathematics and Computer Science,Guizhou Normal University,Guiyang 550001,Guizhou,P.R.China