黃 海,祁正華,楊紅塵

(南京郵電大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 南京 210003)

標(biāo)準(zhǔn)模型下基于身份的高效多簽密方案

黃 海,祁正華,楊紅塵

(南京郵電大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 南京 210003)

簽密能夠同時(shí)實(shí)現(xiàn)加密和認(rèn)證功能，并且其計(jì)算代價(jià)小于傳統(tǒng)的將兩者組合使用的方式。所以用標(biāo)準(zhǔn)模型來構(gòu)建高效安全的基于身份的簽密方案是當(dāng)下密碼學(xué)領(lǐng)域的熱點(diǎn)問題之一。該方案利用橢圓曲線上的雙線性對(duì)，構(gòu)建了將標(biāo)準(zhǔn)模型下基于身份的加密算法同多接收者情況下的簽名算法兩者優(yōu)點(diǎn)相結(jié)合的基于身份的多接收者簽密方案構(gòu)架和安全概念，形成了具有安全、高效性的多接收者簽密方案。針對(duì)現(xiàn)有基于身份的多簽密方案存在效率不高的問題，提出了一種高效的基于身份的多簽密方案。新方案在參與簽密者人數(shù)為n(n>1)時(shí)減少了大量的冪運(yùn)算，并在標(biāo)準(zhǔn)模型下進(jìn)行了安全性分析及效率分析，證明了新方案可歸約于CDH困難假定以及計(jì)算量的減少。與原有方案相比，在保證安全性的同時(shí)，多簽密效率有了大幅提高。

基于身份；多簽密；標(biāo)準(zhǔn)模型；雙線性對(duì)

0 引 言

基于身份公鑰密碼體制是由Shamir[1]在1984年首次提出，其基本思想是由用戶的身份信息，如身份證號(hào)、郵箱、姓名或者其他已知標(biāo)識(shí)符作為該用戶的公鑰,解決了傳統(tǒng)使用公鑰證書帶來的各種問題。1997年，Zheng[2]在一個(gè)邏輯步驟中提出同時(shí)完成加密與簽名兩項(xiàng)任務(wù)的簽密概念，相較于傳統(tǒng)的先簽名后加密的方式，簽密擁有更好的計(jì)算效率。將基于身份的密碼體制的優(yōu)點(diǎn)進(jìn)一步添加到簽密方案中形成基于身份的簽密方案。2002年，一個(gè)完整的基于身份的簽密方案由Malone-Lee[3]提出。2004年，Boneh[4]提出了基于標(biāo)準(zhǔn)模型下的基于身份的加密方案。因其基于標(biāo)準(zhǔn)模型下的分析設(shè)計(jì)，其安全性規(guī)約于公認(rèn)的困難問題假定，顯然，安全性問題得到了保障。2009年，Yu等[5]提出了建立在標(biāo)準(zhǔn)模型下的基于身份的簽密方案，而后又陸續(xù)有其他的基于身份的簽密方案被提出[6-9]。簽密在十多年中得到了廣泛研究，所提方案總體上可分為三大類:基于離散對(duì)數(shù)的方案、基于RSA的方案和基于雙線性映射的方案[10]。

在同一個(gè)消息要求多個(gè)簽密者進(jìn)行簽名加密后再發(fā)送給接收者的情形下，多簽密方案日漸成為研究熱點(diǎn)。2001年，Mitomi等[11]提出了一種并未給出安全性證明的多簽密方案。2010年，張波等[12]提出了一種基于身份的多簽密方案，但此方案的計(jì)算效率較低。

文中在張波等[12]簽密方案及李聰?shù)人岢龅囊粋€(gè)基于身份的多簽密方案的基礎(chǔ)上[13]，提出了效率更高的基于標(biāo)準(zhǔn)模型下可證安全的基于身份的多簽密方案。當(dāng)簽密者人數(shù)為n(n>1)時(shí)，其簽密過程中冪運(yùn)算的計(jì)算次數(shù)比李聰?shù)人岱桨干倭?n-1)個(gè)。文中給出了其正確性的證明，然后根據(jù)判定性雙線性Diffie-Hellman問題假設(shè)了一個(gè)無隨機(jī)預(yù)言機(jī)模型下的方案，由計(jì)算結(jié)果可得該方案在標(biāo)準(zhǔn)模型下是安全的。

1 相關(guān)基礎(chǔ)

設(shè)G1,G2分別為加法循環(huán)群和乘法群，大素?cái)?shù)q為G1,G2的階。p是群G1的生成元，e:G1×G2→G2是一個(gè)雙線性映射，當(dāng)且僅當(dāng)其滿足下列性質(zhì)。

(2)可計(jì)算性：對(duì)于所有的P,Q∈G1，存在一個(gè)有效的多項(xiàng)式時(shí)間算法計(jì)算e(P,Q)。

(3)非退化性：存在P,Q∈G1使e(P,Q)≠1成立。

CDH問題:設(shè)p是G1的生成元，已知pa,pb(a,b∈Zq,p∈G1)計(jì)算e(p,p)ab。

2 基于身份的多簽密方案

(2)計(jì)算σi2=dAi2；

解簽密階段(Unsigncyrpt)：接收者(Bob)接收密文，解密算法如下：

計(jì)算

如果下面等式成立，則Bob就接收消息：

3 安全性分析

3.1 正確性

方案的正確性證明如下：

3.2 安全性

系統(tǒng)參數(shù)設(shè)置：

(1)隨機(jī)選擇兩個(gè)整數(shù)ku和km(0≤ku≤nu,0≤km≤nm)；

為了便于分析，對(duì)消息u和消息m定義如下函數(shù)：

算法Y按以下方式回答詢問。

階段1：C回答Λ如下詢問。

令

有

則du是身份u的一個(gè)有效私鑰。

(3)解簽密詢問(不大于qU次)：Λ可以在任何時(shí)間針對(duì)密文σ進(jìn)行解簽密詢問。如果F(uB)≠0modlu,C則先按照密鑰提取算法生成身份uB的密鑰，而后執(zhí)行算法Unsigncrypt(σ,dB,IDA1,IDA2,…,IDAn)來回應(yīng)Λ的詢問。

令

則

模擬成功。

依據(jù)上述分析得到能夠模擬成功的4個(gè)條件，下面分析模擬成功的概率：

(1)密鑰詢問過程中滿足F(u)≠0modlu。

(3)解簽密詢問中滿足F(uB)≠0modlu。

為了能夠使表達(dá)清晰，假設(shè)qI≤qE+qS+qU。定義：

另一方面，對(duì)于任意i,Ai和A′也是相互獨(dú)立的:

類似的，可以求出：

結(jié)合以上這些結(jié)果，可以得到：

即

定理2：在CDH假設(shè)下，提出的基于身份的簽密方案在適應(yīng)性選擇消息攻擊下能夠抵抗存在性偽造。

證明：假設(shè)存在一個(gè)偽造者Λ對(duì)簽密密文進(jìn)行有效的偽造，那么文中可以通過Λ的偽造能力來構(gòu)造一個(gè)挑戰(zhàn)者C，使得挑戰(zhàn)者C來解決CDH問題的實(shí)例。挑戰(zhàn)者C使用證明密文的不可區(qū)分性中的設(shè)置方法來設(shè)置公共參數(shù)，C指定g1=ga,g2=gb，定義函數(shù)F(u),J(u),K(m),L(m)和公共參數(shù)u′,m′,ui,mj，則有

也即是輸出CDH問題。

4 效率分析

表1 計(jì)算效率

5 結(jié)束語

保證方案在標(biāo)準(zhǔn)模型下具有可證安全性的基礎(chǔ)上，針對(duì)以往的多簽密方案的效率進(jìn)行改進(jìn)提升，提出了新的基于身份的多簽密方案。該方案在多簽密者的情況下，其簽密過程中減少了多個(gè)冪運(yùn)算，提高了在簽密過程階段的計(jì)算效率。如何縮短密文長度同時(shí)又保證安全性，繼續(xù)進(jìn)一步提高運(yùn)算效率還有待在日后的工作中深入研究。

[1]ShamirA.Identity-basedcryptosystemsandsignatureschemes[C]//Proceedingsofadvancesincryptology.Berlin:Springer-Verlag,1985:47-53.

[2]ZhengY.Digitalsigncryptionorhowtoachievecost(si-gnature&encryption)<

[3]Malone-LeeJ.Identitybasedsigncryption[R/OL].[2011-10-01].http://eprint.iacr.org/2002/098.pdf.

[4]BonehD,FranklinM.Identity-basedencryptionfromtheWeilpairing[C]//Crypto’2001.Berlin:Springer-Verlag,2001:213-229.

[5]YuY,YangB,SunY,etal.Identity-basedsigncryptionschemewithoutrandomoracles[J].ComputerStandards&Interfaces,2009,31(1):56-62.

[6]LiX,QianH,WengJ,etal.Fullysecureidentity-basedsigncryptionschemewithshortersigncryptextinthestandardmodel[J].MathematicalandComputerModelling,2013,57(3):503-511.

[7] 肖鴻飛，劉長江.一種基于身份的改進(jìn)高效簽密方案[J].計(jì)算機(jī)工程，2011,37(24):126-128.

[8] 祁正華,楊 庚,任勛益,等.標(biāo)準(zhǔn)模型下基于身份的多接收者簽密方案[J].江蘇大學(xué)學(xué)報(bào):自然科學(xué)版,2011,32(5):573-577.

[9] 龐遼軍,崔靜靜,李慧賢,等.新的基于身份的多接收者匿名簽密方案[J].計(jì)算機(jī)學(xué)報(bào),2011,34(11):2104-2113.

[10] 岳澤輪，韓益亮，楊曉元.基于Paillier公鑰密碼體制的簽密方案[J].小型微型計(jì)算機(jī)系統(tǒng)，2013,34(10):2310-2314.

[11]MitomiS,MiyajiA.Ageneralmodelofmulti-signatureschemeswithmessageflexibility,orderflexibilityandorderverifiability[J].IEICETransactionsonFundamentalsofElectronics,CommunicationsandComputerSciences,2001,84(10):2488-2499.

[12] 張 波，徐秋亮.無隨機(jī)預(yù)言機(jī)的基于身份的多簽密方案[J].計(jì)算機(jī)學(xué)報(bào)，2010,33(1):103-110.

[13]ShamirA,TaumanY.Improvedonline/offlinesignaturesche-mes[C]//Advancesincryptology.Berlin:Springer-Verlag,2001:355-367．

[14]MehtM,HarnL.Efficientone-timeproxysignatures[J].IEEEProceedingsCommunications,2005,152(2):129-133.

An Efficient Identity-based Multi-signcryption in Standard Model

HUANG Hai,QI Zheng-hua,YANG Hong-chen

(School of Computer,Nanjing University of Posts and Telecommunications,Nanjing 210003,China)

Signcryption can achieve encryption and signature at the same time,and less computational complexity than the traditional secure schemes that fulfill the functions both.Therefore it becomes one of the hottest topics in today’s cryptography to construct a secure and efficient Identity-Based Signature (IBS) under standard model.In the IBS,identity-based encryption algorithm and multi-receiver signature algorithm are combined with bilinear pairing on elliptic curves to establish the structure and security concept of ID-based signcryption scheme for multiple receivers,forming an efficient identity-based multi signcryption.In view of the low efficiency of existing identity-based multi-signcryption,an efficient identity-based multi-signcryption algorithm is proposed,and it reduces the amount of power operation when the number of the signcrypter isn(n>1)andgivesthesecurityandefficiencyanalysisinthestandardmodel.Ithasprovedthatthenewscheme’ssecureunderCDHassumptionandreducesthecalculation.Comparedwiththeoriginalscheme,thesigncryptionefficiencyhasbeensignificantlyimproved.

identity-based;multi-signcrytion;standard model;bilinear pairing

2016-01-20

2016-05-11

時(shí)間：2016-10-24

國家自然科學(xué)基金資助項(xiàng)目(61073188)

黃 海(1990-)，男，碩士研究生，研究方向?yàn)榫W(wǎng)絡(luò)信息與安全；祁正華，副教授，博士，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20161024.1113.026.html

TP

A

1673-629X(2016)12-0122-05

10.3969/j.issn.1673-629X.2016.12.027