廖鈺城， 王立斌， 黃杰彬

(華南師范大學(xué)計(jì)算機(jī)學(xué)院， 廣州 510631)

簽密方案(Signcryption Scheme,SC)[1]是一個(gè)邏輯步驟內(nèi)同時(shí)實(shí)現(xiàn)數(shù)字簽名和公鑰加密功能的非對(duì)稱密碼協(xié)議，其在有效提高簽名和加密效率的同時(shí)，還能夠提供保密性、認(rèn)證性和完整性等安全性保障，是公鑰密碼體制下確保網(wǎng)絡(luò)環(huán)境中多方通信安全的重要密碼技術(shù)。

混合簽密方案(Hybrid Signcryption Scheme,HSC)是在傳統(tǒng)簽密方案的基礎(chǔ)上，通過(guò)引入對(duì)稱加密體制的協(xié)議構(gòu)件來(lái)進(jìn)一步提升了協(xié)議的計(jì)算效率，從而解決了傳統(tǒng)簽密方案在長(zhǎng)明文通信時(shí)效率不佳的問(wèn)題[2]。得益于此優(yōu)勢(shì)，近年所提出的簽密方案[3-8]實(shí)質(zhì)均為混合簽密方案。為了方便實(shí)例化混合簽密方案，BJ?RSTAD和DENT[9]提出了帶標(biāo)簽的簽密密鑰封裝機(jī)制(Signcrytion tag Key Encapsulation Mechanism,SC-tag-KEM)，可通過(guò)“帶標(biāo)簽的簽密密鑰封裝機(jī)制+被動(dòng)安全對(duì)稱加密機(jī)制”(SC-tag-KEM+DEM)的構(gòu)造來(lái)實(shí)例化混合簽密方案。

混合簽密方案的完整內(nèi)部安全[10]是指在多方內(nèi)部安全模型下，混合簽密方案同時(shí)達(dá)到適應(yīng)性選擇密文不可區(qū)分性(IND-CCA2)安全和選擇報(bào)文攻擊強(qiáng)存在性不可偽造(SUF-CMA)安全。當(dāng)前，許多研究致力于實(shí)現(xiàn)完整內(nèi)部安全的混合簽密方案[3-4,11]。2013年，LI等[11]基于簽名后加密提出了一種簽密方案，并聲稱其達(dá)到了完整內(nèi)部安全，但實(shí)質(zhì)上由于其未完整重用隨機(jī)數(shù)，可通過(guò)解密后選取新鮮隨機(jī)數(shù)重新加密的方式攻擊其SUF-CMA安全，因此該方案并不具備完整內(nèi)部安全。2014年，LU等[12]基于文獻(xiàn)[11]實(shí)現(xiàn)了混合簽密方案，但認(rèn)證性上僅達(dá)到了存在性不可偽造(EUF-CMA)安全，未達(dá)到完整內(nèi)部安全。2018年，GéRARD和MERCKX[8]提出了基于格密碼的后量子安全混合簽密方案(SETLA)，但在加密算法設(shè)計(jì)上，誤差分布的定義參數(shù)及誤差參數(shù)均遠(yuǎn)超出既定限制范圍，因此該協(xié)議不具備正確性。為解決上述正確性問(wèn)題，劉鎮(zhèn)等[13]放棄了隨機(jī)數(shù)重用方式，提出了一種簽名后加密的簽密方案，但該方案僅能達(dá)到EUF-CMA安全，同樣不具備完整內(nèi)部安全。2019年，YANG等[14]提出了標(biāo)準(zhǔn)模型下的高效混合簽密方案，但該方案的安全性僅達(dá)到了多方內(nèi)部的IND-CCA2和EUF-CMA安全，無(wú)法達(dá)到完整內(nèi)部安全。

為解決上述問(wèn)題，本文主要基于SC-tag-KEM的通用構(gòu)造，展開(kāi)對(duì)完整內(nèi)部安全的混合簽密方案的相關(guān)研究。首先，提出了一種帶標(biāo)簽的簽密密鑰封裝機(jī)制(SC-tag-KEM)的通用構(gòu)造方案(SCtKstd)，該方案通過(guò)數(shù)字簽名構(gòu)件綁定標(biāo)簽與密鑰封裝報(bào)文，進(jìn)一步將得到的簽名和臨時(shí)密鑰通過(guò)消息認(rèn)證碼進(jìn)行外部信息綁定，從而在標(biāo)準(zhǔn)模型下可證明達(dá)到完整內(nèi)部安全。然后，將SCtKstd方案應(yīng)用在“SC-tag-KEM+DEM”的通用構(gòu)造中，提出了可達(dá)完整內(nèi)部安全的混合簽密的通用構(gòu)造方案(HSCstd)，并對(duì)其進(jìn)行了安全性分析。

1 預(yù)備知識(shí)

下面對(duì)本文的符號(hào)進(jìn)行說(shuō)明，并列舉方案構(gòu)造以及分析中使用到的密碼學(xué)原語(yǔ)。

1.1 符號(hào)說(shuō)明

對(duì)于函數(shù)negl(n)，如果對(duì)于任意的正多項(xiàng)式p(·)，皆存在正整數(shù)N，使得對(duì)于任意的λ>N,皆有negl(n)<1/p(λ),則稱negl(n)是可忽略函數(shù)。

1.2 密鑰封裝機(jī)制

密鑰封裝機(jī)制(Key Encapsulation Mechanism,KEM)由以下4個(gè)算法構(gòu)成：

(1)KEMSetup(1λ)→prm：該算法以安全參數(shù)λ為輸入，輸出公共參數(shù)prm。

(2)KEMKeyGen(prm)→(pk,sk)：該算法以公共參數(shù)prm為輸入，輸出用戶的公私密鑰(pk,sk)。

(3)KEMEncap(prm,pk)→(K,C)：該算法輸入公共參數(shù)prm和用戶公鑰pk，輸出臨時(shí)隨機(jī)密鑰K和對(duì)應(yīng)該密鑰的密鑰封裝報(bào)文C。

(4)KEMDecap(prm,sk,C)→Kor ⊥：該算法輸入公共參數(shù)prm、用戶私鑰sk和密鑰封裝報(bào)文C，輸出密鑰K或錯(cuò)誤信息⊥。

稱密鑰封裝機(jī)制KEM有正確性，當(dāng)且僅當(dāng)對(duì)prm←KEMSetup(1λ)和任意(pk,sk)←KEMKeyGen(prm)、(K,C)←KEMEncap(prm,pk)，K=KEMDecap(prm,sk,C)以(1-negl(λ))的概率成立。

定義1[15](KEM的 IND-CCA2安全)稱密鑰封裝機(jī)制KEM具備IND-CCA2安全，當(dāng)且僅當(dāng)對(duì)任意的概率性多項(xiàng)式時(shí)間攻擊者，在KEM的協(xié)議環(huán)境下執(zhí)行KEM的IND-CCA2安全游戲，獲得游戲勝利的優(yōu)勢(shì)概率為：

且該優(yōu)勢(shì)概率關(guān)于安全參數(shù)λ可忽略。

1.3 數(shù)字簽名

數(shù)字簽名方案(SignatureScheme,SIG)由以下4個(gè)算法構(gòu)成：

(1)SIGSetup(1λ)→prm：該算法以安全參數(shù)λ為輸入，輸出公共參數(shù)prm。

(2)SIGKeyGen(prm)→(pk,sk)：該算法以公共參數(shù)prm為輸入，輸出用戶的公私密鑰(pk,sk)。

(3)SIGSign(prm,sk,m)→σ：該算法輸入公共參數(shù)prm、用戶私鑰sk和明文信息m，輸出對(duì)應(yīng)的數(shù)字簽名信息σ。

(4)SIGVer(prm,pk,m,σ)→or ⊥：該算法輸入公共參數(shù)prm、用戶公鑰pk、明文m和數(shù)字簽名信息σ，輸出接受信息或錯(cuò)誤信息⊥。

稱數(shù)字簽名方案SIG具有正確性，當(dāng)且僅當(dāng)對(duì)prm←SIGSetup(1λ)和任意的(pk,sk)←SIGKeyGen(prm)及明文m，SIGVer(prm,pk,m,SIGSign(prm,sk,m))=成立的概率為(1-negl(λ))。

定義2[16](SIG的SUF-CMA安全)：稱數(shù)字簽名方案SIG具備SUF-CMA安全，當(dāng)且僅當(dāng)對(duì)任意的概率性多項(xiàng)式時(shí)間攻擊者，在SIG的協(xié)議環(huán)境下執(zhí)行數(shù)字簽名的SUF-CMA安全游戲，獲得游戲勝利的優(yōu)勢(shì)概率為：

∧(m′,σ′)]≤negl(λ)，

且該優(yōu)勢(shì)概率關(guān)于安全參數(shù)λ可忽略。

1.4 消息認(rèn)證碼

對(duì)稱加密的消息認(rèn)證碼(Message Authentication Code,MAC)主要包含MACSign算法和MACVer算法。使用M表示消息認(rèn)證碼的對(duì)稱密鑰空間，該空間通常取決于安全參數(shù)λ。對(duì)任意的對(duì)稱密鑰mkM，明文消息τ{0,1}*，有MACVer(mk,σ=MACSign(mk,τ),τ)=以(1-negl(λ))的概率成立，稱σ為明文消息τ關(guān)于對(duì)稱密鑰mk的消息認(rèn)證碼。

消息認(rèn)證碼的One-to-One屬性：稱消息認(rèn)證碼MAC是One-to-One的，當(dāng)且僅當(dāng)對(duì)任意的mkM，任意的明文消息τ{0,1}*，有且僅有唯一的消息認(rèn)證碼σ=MACSign(mk,τ)，滿足MACVer(mk,σ,τ)=。

1.5 對(duì)稱加密算法

(1)SYMENC(dk,m)→C：算法以對(duì)稱密鑰dkD和明文m為輸入，輸出密文C。

(2)SYMDEC(dk,C)→m：該算法以對(duì)稱密鑰dkD和密文C為輸入,輸出明文m。

稱對(duì)稱加密方案SYM具有正確性，當(dāng)且僅當(dāng)對(duì)任意的密鑰dkD、明文m,m=SYMDEC(dk,SYMENC(dk,m))以(1-negl(λ))的概率成立。

定義3[17](對(duì)稱加密算法的IND- PA安全)稱對(duì)稱加密方案SYM具備IND- PA安全，當(dāng)且僅當(dāng)對(duì)任意的概率性多項(xiàng)式時(shí)間攻擊者，在SYM的協(xié)議環(huán)境下執(zhí)行SYM的IND-PA安全游戲，獲得游戲勝利的優(yōu)勢(shì)概率為：

且該優(yōu)勢(shì)概率關(guān)于安全參數(shù)λ可忽略。

1.6 密鑰推導(dǎo)函數(shù)

D0={(dk,mk)|(dk,mk)←D×M},

D1={(dk,mk)K←K,(dk,mk)←KDF2(K)},

|Pr[b←{0,1},(dk,mk)←Db,b′←(KDF2,(dk,

mk)),b′]-1/2|≤negl(λ)

成立。

2 SCtKstd方案

本節(jié)將提出一種帶標(biāo)簽的簽密密鑰封裝機(jī)制的通用構(gòu)造方案(SCtKstd)，并進(jìn)行安全性分析。

2.1 帶標(biāo)簽的簽密密鑰封裝機(jī)制

帶標(biāo)簽的簽密密鑰封裝機(jī)制的協(xié)議概念[4]和安全模型[17]的具體表述如下。

定義4[4]帶標(biāo)簽的簽密密鑰封裝機(jī)制(SCtK)由以下6個(gè)算法構(gòu)成：

(1)SCtKSetup(1λ)→prm：該算法以安全參數(shù)λ為輸入，輸出公共參數(shù)prm。

(2)SCtKKeyGenS(prm)→(pkS,skS)：該算法以公共參數(shù)prm為輸入，輸出用戶的發(fā)送方公私密鑰(pkS,skS)。

(3)SCtKKeyGenR(prm)→(pkR,skR)：該算法以公共參數(shù)prm為輸入，輸出用戶的接收方公私密鑰(pkR,skR)。

(4)SCtKSym(prm,skS,pkR)→(K,ω)：該算法輸入公共參數(shù)prm、發(fā)送方私鑰skS和接收方公鑰pkR，輸出臨時(shí)隨機(jī)密鑰K和中間狀態(tài)信息ω。

(5)SCtKEncap(prm,skS,pkR,ω,τ)→C：算法輸入公共參數(shù)prm、發(fā)送方私鑰skS、接收方公鑰pkR、中間狀態(tài)信息ω和標(biāo)簽信息τ，輸出帶標(biāo)簽的簽密密鑰封裝報(bào)文C。

(6)SCtKDecap(prm,skR,pkS,C,τ)→Kor⊥：該算法輸入公共參數(shù)prm、接收方私鑰skR、發(fā)送方公鑰pkS、簽密密鑰封裝報(bào)文C和標(biāo)簽信息τ，輸出密鑰K或錯(cuò)誤信息⊥。

稱帶標(biāo)簽的簽密密鑰封裝機(jī)制SCtK具有正確性，當(dāng)且僅當(dāng)對(duì)任意的prm←SCtKSetup(1λ)、(pkS,skS)←SCtKKeyGenS(prm)、(pkR,skR)←SCtKKey-GenR(prm)、(K,ω)←SCtKSym(prm,skS,pkR)及C←SCtKEncap(prm,skS,pkR,ω,τ)，SCtKDecap(prm,skR,pkS,C,τ)=K以(1-negl(λ))的概率成立。

定義5[17](帶標(biāo)簽的簽密密鑰封裝機(jī)制的DM-IND-iCCA安全游戲)挑戰(zhàn)者與攻擊者按以下步驟進(jìn)行安全游戲：

定義6[17](帶標(biāo)簽的簽密密鑰封裝機(jī)制的DM-IND-iCCA安全)稱簽密密鑰封裝機(jī)制SCtK具備DM-IND-iCCA安全，當(dāng)且僅當(dāng)對(duì)任意概率性多項(xiàng)式時(shí)間攻擊者，在SCtK的協(xié)議環(huán)境下執(zhí)行SC-tag-KEM的DM-IND-iCCA安全游戲，獲得游戲勝利的優(yōu)勢(shì)概率為：

且該優(yōu)勢(shì)概率關(guān)于安全參數(shù)λ可忽略。

定義7[17](帶標(biāo)簽的簽密密鑰封裝機(jī)制的DM-SUF-iCMA安全游戲)挑戰(zhàn)者與攻擊者按以下步驟進(jìn)行安全游戲：

定義8[17](帶標(biāo)簽的簽密密鑰封裝機(jī)制的DM-SUF-iCMA安全)稱帶標(biāo)簽的簽密密鑰封裝機(jī)制SCtK具備DM-SUF-iCMA安全，當(dāng)且僅當(dāng)對(duì)任意的概率性多項(xiàng)式時(shí)間攻擊者，在SCtK的協(xié)議環(huán)境下執(zhí)行DM-SUF-iCMA安全游戲，獲得游戲勝利的優(yōu)勢(shì)概率為：

且該優(yōu)勢(shì)概率關(guān)于安全參數(shù)λ可忽略。

2.2 方案構(gòu)造

定義密鑰封裝機(jī)制KEM=(KEMSetup,KEMKeyGen,KEMEncap,KEMDecap)，數(shù)字簽名方案SIG=(SIGSetup,SIGSign,SIGVer)，信息認(rèn)證碼MAC=(MACSign,MACVer)，密鑰推導(dǎo)函數(shù)KDF2:K→D×M，其中，K、D、M分別為KEM、DEM、MAC密鑰空間。標(biāo)準(zhǔn)模型下，帶標(biāo)簽的簽密密鑰封裝機(jī)制的通用構(gòu)造方案(SCtKstd)如圖1所示。

圖1 帶標(biāo)簽的簽密密鑰封裝機(jī)制的通用構(gòu)造方案(SCtKstd)Figure1 The generic construction scheme (SCtKstd) of signcryption tag key encapsulation mechanism

2.3 安全性證明

定理1密鑰封裝機(jī)制KEM具備IND-CCA2安全，數(shù)字簽名方案SIG具備SUF-CMA安全，密鑰推導(dǎo)函數(shù)KDF2安全，信息認(rèn)證碼MAC滿足一次選擇信息攻擊安全并具備One-to-One屬性，則SCtKstd方案在標(biāo)準(zhǔn)模型下達(dá)到完整內(nèi)部安全。

證明完整內(nèi)部安全包含DM-IND-iCCA安全和DM-SUF-iCMA安全，以下從這2個(gè)方面給出SCtKstd方案的具體安全性證明，其中省略了協(xié)議內(nèi)部的公共環(huán)境參數(shù)prm。

(1)SCtKstd方案的DM-IND-iCCA安全證明。假設(shè)存在攻擊者以不可忽略的優(yōu)勢(shì)概率成功攻擊SCtKstd方案的DM-IND-iCCA安全，考慮以下的一系列安全游戲：

除K的選取方式不同外，Game 0和Game 1完全一致。此時(shí)若存在攻擊者，其在Game 0和Game 1中進(jìn)行SC-tag-KEM的DM-IND-iCCA安全游戲的獲勝優(yōu)勢(shì)分別為ε0和ε1，且獲勝優(yōu)勢(shì)的差距是不可忽略的:|ε0-ε1|>negl()，則以攻擊者為子算法,可構(gòu)造區(qū)分器用于攻擊KEM的IND-CCA2安全。

③進(jìn)入DM-IND-iCCA安全游戲的階段1。此時(shí)，攻擊者將發(fā)起適應(yīng)性查詢(pkS,(C,σ1,σ2),τ)，要求返回SCtKDecap(skR,pkS,(C,σ1,σ2),τ)。

⑤進(jìn)入DM-IND-iCCA安全游戲的挑戰(zhàn)階段。此時(shí)，攻擊者發(fā)送給攻擊者KEM。攻擊者KEM根據(jù)其本身的挑戰(zhàn)報(bào)文(pk,Kb,C*)，計(jì)算(dk0,mk*)=KDF2(Kb)，dk1←D，并隨機(jī)拋幣c{0,1}，將dkc返回給攻擊者。在攻擊者返回標(biāo)簽信息τ*后，攻擊者KEM調(diào)用返回給攻擊者。

因此，若密鑰推導(dǎo)函數(shù)安全，則攻擊者視角的Game 1和Game 2完全一致；否則,可構(gòu)造區(qū)分器來(lái)區(qū)分該密鑰推導(dǎo)函數(shù)的輸出分布，從而得到：

最終可得到：

(2)SCtKstd方案的DM-SUF-iCMA安全證明。SCtKstd方案本質(zhì)仍為加密后簽名的結(jié)構(gòu)，對(duì)于接收方內(nèi)部敵手獲取到的任意的簽密報(bào)文((C,σ1,σ2),τ)，可通過(guò)對(duì)C解簽密來(lái)獲取對(duì)應(yīng)σ2的MAC密鑰mk。但在MAC的One-to-One屬性情況下，若其成功構(gòu)造出新鮮的合法簽密報(bào)文來(lái)攻擊DM-SUF-iCMA安全，則必然生成了新鮮的合法簽名以此可攻擊數(shù)字簽名方案SIG的SUF-CMA安全。從而以攻擊者為子算法，可構(gòu)造對(duì)簽名方案SIG的多項(xiàng)式時(shí)間攻擊者SIG。

(3)進(jìn)入DM-SUF-iCMA安全游戲的查詢階段。對(duì)攻擊者適應(yīng)性選取的接收方公鑰pkR，攻擊者SIG調(diào)用KMEncap(pkR)→(K,C)，生成(dk,mk)=KDF2(K)，設(shè)置中間狀態(tài)信息ω=(mk,C)，返回dk給攻擊者，并等待其后續(xù)查詢。在接收到攻擊者適應(yīng)性選擇的標(biāo)簽信息τ后，攻擊者SIG根據(jù)標(biāo)簽信息τ、中間信息ω=(mk,C)和接收方公鑰pkR，向挑戰(zhàn)者SIG查詢的簽名信息σ1，并生成信息σ2=MACSign(mk,(σ1,pkS))，返回(C,σ1,σ2)給攻擊者。

(4)進(jìn)入DM-SUF-iCMA安全游戲的輸出階段。此時(shí)，攻擊者輸出針對(duì)SCtKstd方案的DM-SUF-iCMA安全的偽裝報(bào)文攻擊者SIG直接令將返回給挑戰(zhàn)者SIG。

因此，在數(shù)字簽名方案SIG本身具備SUF-CMA安全的情況下，SCtKstd方案是具備DM-SUF-iCMA安全的。

綜上，SCtKstd方案在標(biāo)準(zhǔn)模型下可證明滿足DM-IND-iCCA安全和DM-SUF-iCMA安全，進(jìn)而達(dá)到完整內(nèi)部安全。證畢。

3 HSCstd方案

本節(jié)將SCtKstd方案應(yīng)用在“SC-tag-KEM+DEM”的通用構(gòu)造當(dāng)中，提出了一種可達(dá)完整內(nèi)部安全的混合簽密的通用構(gòu)造方案(HSCstd)，并進(jìn)行安全性分析。

定義9[9](簽密方案，SC)完整的SC方案由以下5個(gè)算法構(gòu)成：

(1)SCSetup(1λ)→prm：該算法以安全參數(shù)λ為輸入，輸出公共參數(shù)prm。

(2)SCKeyGenS(prm)→(pkS,skS)：該算法以公共參數(shù)prm為輸入，輸出用戶的發(fā)送方公私密鑰(pkS,skS)。

(3)SCKeyGenR(prm)→(pkR,skR)：該算法以公共參數(shù)prm為輸入，輸出用戶的接收方公私密鑰(pkR,skR)。

(4)SCSC(prm,skS,pkR,m)→C：該算法實(shí)現(xiàn)簽密功能，輸入公共參數(shù)prm、發(fā)送方私鑰skS、接收方公鑰pkR和明文m，輸出簽密密文C。

(5)SCUSC(prm,skR,pkS,C)→mor⊥：該算法實(shí)現(xiàn)解簽密功能，輸入公共參數(shù)prm、接收方私鑰skR、發(fā)送方公鑰pkS和簽密密文C，輸出明文m或錯(cuò)誤信息⊥。

稱簽密方案SC具有正確性，當(dāng)且僅當(dāng)對(duì)prm←SCSetup(1λ)和任意的(pkS,skS)←SCKeyGenS(prm)，(pkR,skR)←SCKeyGenR(prm)，明文m和簽密密文C←SCSC(prm,skS,pkR,m)，SCUSC(skR,pkS,prm,C)=m以(1-negl(λ))的概率成立。

3.1 通用構(gòu)造方案

定義密鑰封裝機(jī)制KEM=(KEMSetup,KEMKey-Gen,KEMEncap,KEMDecap)，數(shù)字簽名方案SIG=(SIGSetup,SIGKeyGen,SIGSign,SIGVer)，信息認(rèn)證碼MAC=(MACSign,MACVer)，對(duì)稱加密算法SYM=(SYMENC,SYMDEC)，密鑰推導(dǎo)函數(shù)KDF2:K→D×M，其中，D為臨時(shí)密鑰空間，M為MAC密鑰空間。標(biāo)準(zhǔn)模型下，可達(dá)完整內(nèi)部安全的混合簽密的通用構(gòu)造方案HSCstd如圖2所示。

圖2 可達(dá)完整內(nèi)部安全的混合簽密的通用構(gòu)造方案(HSCstd)Figure 2 The generic construction scheme (HSCstd) of hybrid signatures with full insider security

3.2 安全性分析

HSCstd方案是基于文獻(xiàn)[14]提出的混合簽密通用構(gòu)造方案，該方案的安全性基于定理1和以下引理。

引理1[9]若混合簽密方案SC基于帶標(biāo)簽的簽密密鑰封裝機(jī)制SC-tag-KEM和數(shù)據(jù)封裝機(jī)制DEM進(jìn)行構(gòu)造，并且SC-tag-KEM達(dá)到IND-CCA2安全，DEM達(dá)到IND-PA安全，則混合簽密方案SC達(dá)到IND-CCA2安全。

引理2[9]若混合簽密方案SC基于帶標(biāo)簽的簽密密鑰封裝機(jī)制SC-tag-KEM和數(shù)據(jù)封裝機(jī)制DEM進(jìn)行構(gòu)造，且SC-tag-KEM達(dá)到SUF-CMA安全,則混合簽密方案SC達(dá)到SUF-CMA安全。

因此，只需選取達(dá)到IND-CCA2安全和SUF-CMA安全的SC-tag-KEM以及滿足IND-PA安全的DEM作為混合簽密方案HSCstd的底層協(xié)議構(gòu)件，根據(jù)定理1、引理1和引理2，即可證明HSCstd方案達(dá)到了完整內(nèi)部安全。

4 結(jié)論

本文在不重用隨機(jī)數(shù)的情況下提出了一種帶標(biāo)簽的簽密密鑰封裝機(jī)制的通用構(gòu)造方案(SCtKstd)，該方案通過(guò)使用SIG構(gòu)件綁定了標(biāo)簽和密鑰的外部信息，在標(biāo)準(zhǔn)模型下達(dá)到完整內(nèi)部安全。然后，結(jié)合SCtKstd方案與“SC-tag-KEM+ DEM”通用構(gòu)造[9]，提出了可達(dá)完整內(nèi)部安全的混合簽密通用構(gòu)造方案(HSCstd)，并進(jìn)行了安全性分析。結(jié)果表明：HSCstd方案具備了多方內(nèi)部安全模型下的IND-CCA2安全和SUF-CMA安全，進(jìn)而達(dá)到了完整內(nèi)部安全。同時(shí)，由于模塊化構(gòu)造時(shí)所使用的構(gòu)件具有多種成熟的實(shí)現(xiàn)方案，使得HSCstd方案具備較好的通用性和實(shí)用性。

然而，相對(duì)于經(jīng)典計(jì)算攻擊者，量子攻擊者不僅具有更強(qiáng)的計(jì)算能力，還具有更強(qiáng)的問(wèn)詢能力。SCtKstd方案在安全性證明時(shí)所使用的安全模型為Chiba[17]的動(dòng)態(tài)多方內(nèi)部安全模型，該模型并未考慮量子攻擊者的量子疊加態(tài)問(wèn)詢能力，因此，SCtKstd方案也未被證明能有效抵抗量子攻擊。所以，在后量子安全模型下來(lái)分析混合簽密方案的安全性是下一步研究工作的重點(diǎn)。