黃 海,祁正華,楊紅塵

(南京郵電大學 計算機學院，江蘇 南京 210003)

標準模型下基于身份的高效多簽密方案

黃 海,祁正華,楊紅塵

(南京郵電大學 計算機學院，江蘇 南京 210003)

簽密能夠同時實現(xiàn)加密和認證功能，并且其計算代價小于傳統(tǒng)的將兩者組合使用的方式。所以用標準模型來構建高效安全的基于身份的簽密方案是當下密碼學領域的熱點問題之一。該方案利用橢圓曲線上的雙線性對，構建了將標準模型下基于身份的加密算法同多接收者情況下的簽名算法兩者優(yōu)點相結合的基于身份的多接收者簽密方案構架和安全概念，形成了具有安全、高效性的多接收者簽密方案。針對現(xiàn)有基于身份的多簽密方案存在效率不高的問題，提出了一種高效的基于身份的多簽密方案。新方案在參與簽密者人數(shù)為n(n>1)時減少了大量的冪運算，并在標準模型下進行了安全性分析及效率分析，證明了新方案可歸約于CDH困難假定以及計算量的減少。與原有方案相比，在保證安全性的同時，多簽密效率有了大幅提高。

基于身份；多簽密；標準模型；雙線性對

0 引 言

基于身份公鑰密碼體制是由Shamir[1]在1984年首次提出，其基本思想是由用戶的身份信息，如身份證號、郵箱、姓名或者其他已知標識符作為該用戶的公鑰,解決了傳統(tǒng)使用公鑰證書帶來的各種問題。1997年，Zheng[2]在一個邏輯步驟中提出同時完成加密與簽名兩項任務的簽密概念，相較于傳統(tǒng)的先簽名后加密的方式，簽密擁有更好的計算效率。將基于身份的密碼體制的優(yōu)點進一步添加到簽密方案中形成基于身份的簽密方案。2002年，一個完整的基于身份的簽密方案由Malone-Lee[3]提出。2004年，Boneh[4]提出了基于標準模型下的基于身份的加密方案。因其基于標準模型下的分析設計，其安全性規(guī)約于公認的困難問題假定，顯然，安全性問題得到了保障。2009年，Yu等[5]提出了建立在標準模型下的基于身份的簽密方案，而后又陸續(xù)有其他的基于身份的簽密方案被提出[6-9]。簽密在十多年中得到了廣泛研究，所提方案總體上可分為三大類:基于離散對數(shù)的方案、基于RSA的方案和基于雙線性映射的方案[10]。

在同一個消息要求多個簽密者進行簽名加密后再發(fā)送給接收者的情形下，多簽密方案日漸成為研究熱點。2001年，Mitomi等[11]提出了一種并未給出安全性證明的多簽密方案。2010年，張波等[12]提出了一種基于身份的多簽密方案，但此方案的計算效率較低。

文中在張波等[12]簽密方案及李聰?shù)人岢龅囊粋€基于身份的多簽密方案的基礎上[13]，提出了效率更高的基于標準模型下可證安全的基于身份的多簽密方案。當簽密者人數(shù)為n(n>1)時，其簽密過程中冪運算的計算次數(shù)比李聰?shù)人岱桨干倭?n-1)個。文中給出了其正確性的證明，然后根據(jù)判定性雙線性Diffie-Hellman問題假設了一個無隨機預言機模型下的方案，由計算結果可得該方案在標準模型下是安全的。

1 相關基礎

設G1,G2分別為加法循環(huán)群和乘法群，大素數(shù)q為G1,G2的階。p是群G1的生成元，e:G1×G2→G2是一個雙線性映射，當且僅當其滿足下列性質(zhì)。

(2)可計算性：對于所有的P,Q∈G1，存在一個有效的多項式時間算法計算e(P,Q)。

(3)非退化性：存在P,Q∈G1使e(P,Q)≠1成立。

CDH問題:設p是G1的生成元，已知pa,pb(a,b∈Zq,p∈G1)計算e(p,p)ab。

2 基于身份的多簽密方案

(2)計算σi2=dAi2；

解簽密階段(Unsigncyrpt)：接收者(Bob)接收密文，解密算法如下：

計算

如果下面等式成立，則Bob就接收消息：

3 安全性分析

3.1 正確性

方案的正確性證明如下：

3.2 安全性

系統(tǒng)參數(shù)設置：

(1)隨機選擇兩個整數(shù)ku和km(0≤ku≤nu,0≤km≤nm)；

為了便于分析，對消息u和消息m定義如下函數(shù)：

算法Y按以下方式回答詢問。

階段1：C回答Λ如下詢問。

令

有

則du是身份u的一個有效私鑰。

(3)解簽密詢問(不大于qU次)：Λ可以在任何時間針對密文σ進行解簽密詢問。如果F(uB)≠0modlu,C則先按照密鑰提取算法生成身份uB的密鑰，而后執(zhí)行算法Unsigncrypt(σ,dB,IDA1,IDA2,…,IDAn)來回應Λ的詢問。

令

則

模擬成功。

依據(jù)上述分析得到能夠模擬成功的4個條件，下面分析模擬成功的概率：

(1)密鑰詢問過程中滿足F(u)≠0modlu。

(3)解簽密詢問中滿足F(uB)≠0modlu。

為了能夠使表達清晰，假設qI≤qE+qS+qU。定義：

另一方面，對于任意i,Ai和A′也是相互獨立的:

類似的，可以求出：

結合以上這些結果，可以得到：

即

定理2：在CDH假設下，提出的基于身份的簽密方案在適應性選擇消息攻擊下能夠抵抗存在性偽造。

證明：假設存在一個偽造者Λ對簽密密文進行有效的偽造，那么文中可以通過Λ的偽造能力來構造一個挑戰(zhàn)者C，使得挑戰(zhàn)者C來解決CDH問題的實例。挑戰(zhàn)者C使用證明密文的不可區(qū)分性中的設置方法來設置公共參數(shù)，C指定g1=ga,g2=gb，定義函數(shù)F(u),J(u),K(m),L(m)和公共參數(shù)u′,m′,ui,mj，則有

也即是輸出CDH問題。

4 效率分析

表1 計算效率

5 結束語

保證方案在標準模型下具有可證安全性的基礎上，針對以往的多簽密方案的效率進行改進提升，提出了新的基于身份的多簽密方案。該方案在多簽密者的情況下，其簽密過程中減少了多個冪運算，提高了在簽密過程階段的計算效率。如何縮短密文長度同時又保證安全性，繼續(xù)進一步提高運算效率還有待在日后的工作中深入研究。

[1]ShamirA.Identity-basedcryptosystemsandsignatureschemes[C]//Proceedingsofadvancesincryptology.Berlin:Springer-Verlag,1985:47-53.

[2]ZhengY.Digitalsigncryptionorhowtoachievecost(si-gnature&encryption)<

[3]Malone-LeeJ.Identitybasedsigncryption[R/OL].[2011-10-01].http://eprint.iacr.org/2002/098.pdf.

[4]BonehD,FranklinM.Identity-basedencryptionfromtheWeilpairing[C]//Crypto’2001.Berlin:Springer-Verlag,2001:213-229.

[5]YuY,YangB,SunY,etal.Identity-basedsigncryptionschemewithoutrandomoracles[J].ComputerStandards&Interfaces,2009,31(1):56-62.

[6]LiX,QianH,WengJ,etal.Fullysecureidentity-basedsigncryptionschemewithshortersigncryptextinthestandardmodel[J].MathematicalandComputerModelling,2013,57(3):503-511.

[7] 肖鴻飛，劉長江.一種基于身份的改進高效簽密方案[J].計算機工程，2011,37(24):126-128.

[8] 祁正華,楊 庚,任勛益,等.標準模型下基于身份的多接收者簽密方案[J].江蘇大學學報:自然科學版,2011,32(5):573-577.

[9] 龐遼軍,崔靜靜,李慧賢,等.新的基于身份的多接收者匿名簽密方案[J].計算機學報,2011,34(11):2104-2113.

[10] 岳澤輪，韓益亮，楊曉元.基于Paillier公鑰密碼體制的簽密方案[J].小型微型計算機系統(tǒng)，2013,34(10):2310-2314.

[11]MitomiS,MiyajiA.Ageneralmodelofmulti-signatureschemeswithmessageflexibility,orderflexibilityandorderverifiability[J].IEICETransactionsonFundamentalsofElectronics,CommunicationsandComputerSciences,2001,84(10):2488-2499.

[12] 張 波，徐秋亮.無隨機預言機的基于身份的多簽密方案[J].計算機學報，2010,33(1):103-110.

[13]ShamirA,TaumanY.Improvedonline/offlinesignaturesche-mes[C]//Advancesincryptology.Berlin:Springer-Verlag,2001:355-367．

[14]MehtM,HarnL.Efficientone-timeproxysignatures[J].IEEEProceedingsCommunications,2005,152(2):129-133.

An Efficient Identity-based Multi-signcryption in Standard Model

HUANG Hai,QI Zheng-hua,YANG Hong-chen

(School of Computer,Nanjing University of Posts and Telecommunications,Nanjing 210003,China)

Signcryption can achieve encryption and signature at the same time,and less computational complexity than the traditional secure schemes that fulfill the functions both.Therefore it becomes one of the hottest topics in today’s cryptography to construct a secure and efficient Identity-Based Signature (IBS) under standard model.In the IBS,identity-based encryption algorithm and multi-receiver signature algorithm are combined with bilinear pairing on elliptic curves to establish the structure and security concept of ID-based signcryption scheme for multiple receivers,forming an efficient identity-based multi signcryption.In view of the low efficiency of existing identity-based multi-signcryption,an efficient identity-based multi-signcryption algorithm is proposed,and it reduces the amount of power operation when the number of the signcrypter isn(n>1)andgivesthesecurityandefficiencyanalysisinthestandardmodel.Ithasprovedthatthenewscheme’ssecureunderCDHassumptionandreducesthecalculation.Comparedwiththeoriginalscheme,thesigncryptionefficiencyhasbeensignificantlyimproved.

identity-based;multi-signcrytion;standard model;bilinear pairing

2016-01-20

2016-05-11

時間：2016-10-24

國家自然科學基金資助項目(61073188)

黃 海(1990-)，男，碩士研究生，研究方向為網(wǎng)絡信息與安全；祁正華，副教授，博士，研究方向為網(wǎng)絡與信息安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20161024.1113.026.html

TP

A

1673-629X(2016)12-0122-05

10.3969/j.issn.1673-629X.2016.12.027