当前位置:文档之家 › 可证明安全的基于身份的聚合签密方案

可证明安全的基于身份的聚合签密方案

  • 格式:doc
  • 大小:32.50 KB
  • 文档页数:8

下载文档原格式

  / 8

合集下载

可证安全的基于身份的签密方案

可证安全的基于身份的签密方案

可证安全的基于身份的签密方案摘要对高键鑫等(高键鑫,吴晓平,秦艳琳.无双线性对的无证书安全签密方案.计算机应用研究,2014,31(4 1195-1198提出的基于无双线性对的签密方案进行了分析,发现其方案存在公钥替换攻击,在此基础上提出了一种新的无双线性对的基于身份的签密方案,并在随机预言机模型下证明了该方案存在第1类攻击者条件下的不可伪造性。

最后把新方案与其他签密方案作了效率分析对比,新方案仅使用了3次哈希运算和7次点乘运算,结果表明新方案具有较好的计算效率。

关键词数字签名;基于身份;双线性对;随机预言机;签密中图分类号TP309.2文献标志码 A0引言1984年,Shamir[1]首次提出了基于身份的密码体制,其思想就是将用户的身份作为公钥,简化传统的公钥基础设施中证书颁发结构(Certificate Authority,CA对用户公钥证书的管理。

1997年,Zheng [2]首次提出了签密的概念和签密方案。

与传统的数字签名相比,签密方案将对消息签名和加密同时进行,有计算量小、通信量少的优势。

Zheng [2]方案中仍存在证书管理繁琐和密钥托安全管问题,AlRiyami等[3]在此基础上提出了无证书签密机制,进一步提高了签密的效率。

随后其他研究者也参与对高效可证安全的签密方案的研究,2008年Barbosa等[4]提出了无证书签密方案,并给出了签密机制的第一个安全模型。

国内朱辉等[5]和刘文浩等[6]分别提出了基于无双线性配对的无证书签密机制,但二者均不能抵抗替换公钥攻击,文献[7-9]都对二者的方案进行了攻击分析并作出了改进。

2013年高键鑫等[10]提出的无双线性对的无证书安全签密方案,通过对其进行安全性分析研究发现该方案存在公钥替换攻击问题。

在此基础上结合国密SM2[11]标准签名算法设计和实现技巧,本文提出了一个新的无双线性对的基于身份的签密方案,并在随机预言机模型下证明了该方案。

可证安全的基于身份的广义签密方案

可证安全的基于身份的广义签密方案
XI ANG S h u n . b o
(G u a n g d o n g U n i v e r s i t y o f P e t r o c h e m i c a l T e c h n o l o g y , Ma o m i n g G u a n g d o n g 5 2 5 0 0 0 , C h i n a )
受到影 响,为解决该 问题 ,韩益亮 等人 提出了广义签密 的概 念 ,它能实现 _ 一 种不 同的功能 :当同时需要 机密性和认证 性时,
提供了签密功能 ;当仅要求机密性或认证性时,无需其他操作即可独立实现签密或加密名功能 。
1 9 8 4 年,S h a m i r 提出基于身份的密码学概念 ,其主要思想 是把一些公开可识别的用户身份 信息 ( 如姓名、邮箱地址、身 份证号码等 ) 作为用户的公 钥,实现了用户身份信息与用户公 钥之间的绑定 ,用户的私钥 由 一个称之为私钥生成 中心 P K G的可信
di ic f ul t p r o bl e ms . Th e s e c u r i t y o ft he p r o po s e d s c he me wa s g i v e n s o me p r o o f s .
Ke y wo r d s : I D— b a s e d ; g e n e r a l i z e d s i g n c r y p t i o n ; s i g n a t u r e ; u n f o r g e a b i l i t y ; f o r wa r d s e c u r i y t
2 0 1 3 年第0 1 期
■ d o i : 1 0 . 3 9 6 9 / j . i s s n 1 6 7 1 — 1 1 2 2 2 0 1 3 0 1 0 1 5

一种安全有效的基于身份的聚合签名方案

一种安全有效的基于身份的聚合签名方案

Ge t [ 等人提出了基于身份 的聚合签名 。C me i h“ 等 nr y a ns [ c
其得到的聚合 签名方 案则 可能是不 安全 的, C en 方 案 而 h o[]
本 身对 安全性 证 明所 进行 的规约 就是 不安全 的。后来 He- r
rn [] 出了确定性的部分 聚合身份签名 , az 提 当对 同一个签 名
者的多个 签名 进 行 聚 合 时 , 聚 合 签 名 的 长 度 是个 常 量 。 其
案在 适应性选择 消息和 身份攻击下的不可伪造性。
关键词 身份签名 , 聚合签 名, 双线性对, 计算 Df eHel n问题 ii- l ma
中图 法 分 类 号 T 39 P 0 文 献 标识 码 A
S c r n fc e de tt - a e g e a e Sina u e S h me e u e a d Efi intI n iy b s d Ag r g t g t r c e
的加密和签名 方案被相继提 出 , 然而早 期的方案 因为计算 过
于复杂而很难推广 。2 0 年 B n h和 F aki[ 利用双线性 01 oe rn l 妇 n 对技术提 出了一个实用 的基 于身份 的加密方 案 , 随后 人们又 利用双线性对 所特 有 的性质 提出 了一些 基于 身份 的签名 方 案 。尽管 基于双线性对 的身份签名有一些优点 , 可是效 率
18 9 4年 ,h mi妇首 先 提 出 了 基 于身 份 的 签 名 思 想 , Sa r  ̄ 用
将某一种基 于身 份的签名 方案 简单地通过聚合技术来生成 基 于身份的聚合签名方案 , 虽然签名方案本身是安全的, 可是 由
以简化基于证书 的 P 中 的密 钥管 理 。后来 一些 基 于身份 KI

安全有效的可验证加密签名方案

安全有效的可验证加密签名方案

安全有效的可验证加密签名方案潘帅;高德智;翟正元;李晓琳【摘要】Since the fairness of the existing Verifiably Encrypted Signature(VES)scheme depends entirely on a neutral arbiter, a safe and effective ID-based VES scheme is proposed on the basis of Shim’s signature scheme. An adjudicator signs a guarantee to avoid refusing to resume the common signature when resolving conflicts, thereby the equity of exchange signature protocols is enhanced. Compared to the previous schemes, the proposed scheme has less pairing operations and higher security. At last, the proposed scheme is provably secure in the random oracle model under the CDH problem assumption.%针对目前可验证加密签名方案的公平性完全依赖仲裁者中立问题,基于Shim的数字签名方案,提出一个安全有效的基于身份的可验证加密签名方案。

方案中仲裁者对自己的保证书签名,有效地解决了仲裁者在解决冲突时拒绝恢复普通签名问题,从而加强了交换签名的公平性。

与已有的方案相比,该方案不仅具有极少的对运算,而且具有更高的公平性。

在CDH问题难解的假设下,该方案在随机预言模型中可证明是安全的。

基于身份的公开验证签密方案

基于身份的公开验证签密方案
的有 效签密值。
关键 词 : 密方 案; 签 公开验证 ; 安全 ; 于身份 ; 可证 基 随机预 言模型
中 图 分 类 号 : P 0 . T397 文献 标 志 码 : A
I ba e ub i e i a lt i nc y i n s he e D— s d p lc v rf bi y sg r pto c m i i
asmpi a teC m uao a DfeH l a C H rbe ad h e l po oe h m a enpoe e su t nt th o p ttn l i — e m n( D )po l i hr,te wy rp sds e ehdbe rvdt b o h i f i l m s n c o
sg cy t n i a i o e gv n me s g t o tp o i i g t e r c ie ' p v t e . in rp i sv l f rt ie s a e wi u r vd n h e e v r r a e k y o d h h s i Ke r s in rp i n s h me u l e f ain y wo d :sg c y t c e ;p b i v r c t ;p o a l e u e d n i — a e ;rn o o a l d l o c i i o r v b y s c r ;i e t y b s d a d m rc e mo e t
文章 编号 :0 1 9 8 (0 2 0 0 9 0 10 — 0 1 2 1 ) 1— 0 9— 5
di1 .7 4 S ..0 72 1 .09 o:0 3 2/ P J1 8 .02 0 0 9
基 于 身份 的公 开 验 证 签 密 方 案

可证安全的基于身份的签密方案

可证安全的基于身份的签密方案

WU X ,Q I N Y .S e c u r e c e r t i i f c a t e l e s s s i g n c r y p t i o n s c h e m e w i t h o u t b i l i n e a r p a i r i n g . A p p l i c a t i o n R e s e a r c h o f C o m p u t e r s , 2 0 1 4 ,
可 证 安 全 的 基 于 身 份 的 签 密 方 案
左黎 明 , 陈仁群 , 郭红丽
( 华东交通大学 理学 院, 南昌 3 3 0 0 1 3 ) ( 通信作者 电子邮箱 l i mi n g z u o @1 2 6 . c o n )


要: 对高键 鑫等 ( 高键 鑫 , 吴 晓平 , 秦艳琳 . 无双 线性 对 的无证 书安 全签 密 方案. 计 算机 应 用研 究 , 2 0 1 4 。 3 1
文章编号 : 1 0 0 1 . 9 0 8 1 ( 2 0 1 5 ) 0 3 — 7 1 2 . 0 5
C ODE N J YI I DU
h t t p : / / w w w . j o c a . c n
d o i : 1 0 . 1 1 7 7 2 / j . i s s n . 1 0 0 1 — 9 0 8 1 . 2 0 1 5 . 0 3 . 7 1 2
s c h e me w i t h o u t b i t i n e a r p a i i r n g wa s p r o p o s e d a n d t h e p r o p o s e d s c h e me wa s p r o v e d t o b e s e c u r e i n t h e r a n d o m o r a c l e mo d e l u n d e r t h e i f r s t t y p e a t t a c k e r .F i n a l l y ,a c o n t r a s t a n a l y s i s o f e f i f c i e n c y wa s ma d e b e t we e n t h e n e w s c h e me a n d o t h e r s c h e me s .

高效安全的身份混合签密方案

高效安全的身份混合签密方案
( 1 . 河南城建学 院 计算机科学与工程系, 河南 平顶 山 4 6 7 0 3 6 ; 2 . 重庆大学 计算机学 院, 重庆 4 0 0 0 4 4 )
({通信作 者电子 邮箱 t o n g r y @h n c j . e d u . c n )

要: 现有 的基 于身份混合签 密方案要 么存在 已知安全缺陷 , 要 么计算 开销较 高。通过 引入 v B N N - I B S签名算
c o mp u t a t i o na l c o s t s .W i t h t he v BNN— I BS s i g na t ur e a l g o it r h m,a n e w i d e n t i t y- b a s e d h yb id r s i g n c r y p t i o n s c h e me wa s p r o p o s e d.
Ab s t r a c t :T h e e x i s t i n g i d e n t i t y — b a s e d h y b i r d s i g n e r y p t i o n s c h e me s h a v e e i t h e r k n o w n s e c u it r y f l a w s o r h i g h e r
a n d h a d o n l y 7 s c a l a r mu h i p l i c a t i o n o p e r a t i o n s O U e l l i p t i c c u r v e ,w h i c h w e r e mu c h l o we r t h a n t h e o t h e r s i l i ma r s c h e me s .I n t h e r a n d o m o r a c l e mo d e l ,t h e n e w s c h e me wa s v e i r f i e d s a f e e n o u g h t o a c h i e v e t h e u n f o r g e a b i l i t y a n d c o n f i d e n t i li a t y .I n a d d i t i o n ,

高效的可证明安全的基于证书聚合签名方案

高效的可证明安全的基于证书聚合签名方案

高效的可证明安全的基于证书聚合签名方案作者:刘云芳左为平来源:《计算机应用》2014年第09期摘要:聚合签名主要适用于需要将不同用户对不同消息的签名聚合成一个单一签名的场合。

针对已有的基于证书聚合签名方案效率不高的问题,利用双线对构造了一个高效的基于证书聚合签名方案。

在随机预言模型中证明了方案在适应性选择消息和身份攻击下是存在性不可伪造的,其安全性归约为计算DiffieHellman(CDH)困难问题。

分析表明该方案的对运算是常量,而且只需3次双线性对运算,因此运算效率较高。

关键词:聚合签名;基于证书签名体制;计算DiffieHellman问题;双线性对;随机预言模型0引言2003年,Gentry[1]首次提出了基于证书的密码体制(Certificatebased Cryptography)。

在该密码体制中,每个用户都有一对公私钥和一个证书,其中,公私钥对是用户自己生成的,而证书是由认证中心(Certificate Authority,CA)生成的,用户首先生成自己的公私钥对,然后把身份信息和公钥发送给CA,在确认用户的真实身份后,CA用自己的主私钥生成证书并发送给用户。

用户使用私钥和证书的某种组合进行签名或解密,而用自己的身份信息和公钥以及CA的公钥验证签名或加密消息。

基于证书的密码体制不仅简化了传统的公钥密码体制中存在的证书管理问题,而且克服了基于身份密码体制中存在的密钥托管问题和无证书密码体制中存在的对可信第三方信任级别较低的问题[2]。

目前,对基于证书密码体制的相关研究是密码学的研究热点之一,许多基于证书密码体制的签名方案相继被提出[3-10]。

聚合签名[11]是指n个不同用户对n个不同消息m分别进行签名,这n个签名可以被聚合成一个单一签名,而验证者只需对聚合后的签名进行验证就可以确定签名是否来自特定的n个用户。

由于聚合签名可以大大缩减计算量和降低通信成本,因此聚合签名在低带宽、低存储容量的通信环境中有着广泛的应用前景。

基于身份高安全性的签密方案

基于身份高安全性的签密方案
该 方 案 在 实 际 中 的应 用 。鉴 于 此 ,本 文 对 该方 案进 行
l 概 述
签密【能够在 一个 合 理的逻辑 步骤 内同时完成 数 】
字签名和公钥加密两项 功能 ,同时实现 了消息传输 的
密 密 文 的安 全 性 即前 向安 全 性 是 签 密 研 究 的难 题 。
文献【】 5定义 了一个 新的安全模 型,并在 新模 型下
提 出 了一个 满足 前 向安 全性 和 公开验 证 性 的签 密 方 案 ,然 而,该方案缺陷也很 明显 ,如密文 的无 关联性 和匿名性 。文献【] 6虽然也提出了同时满足前 向安全 性 和 公开验证性的签密方案 ,但是 ,该文所述 方案需要 两个私钥 ,一个用于签密 ,一个用于解签密 。 文 献 【】 于 双 线 性对 提 出 了一 个 适 用 于 A 1基 D. H C网络的签密方案,并在随机 预言机模 型下证明了 O 所述方案 的安全性。然而 ,经分析发现 ,该 方案 既不 满足前 向安全 性 ,也不满足公开验证性 ,这 就限制 了
wi r rds c r y p bi e f bl n e i ig teP o e t pa esmet . i l n o s , h e t f wa e ui , u l v ri i t a d rs Rn h KG t nr tt a i ho t c i a i y s a h me Smut e u l ten w a y
新方案在解签密过程 中,签名验证通 过后再进行解密密文 ,避免 了恶 意信 息的攻击 。 关键词 :基于 身份 的签密 ;前 向安全性 ;公开验证性 ;P G的不可诬陷性 K
I Ba e g r pto t g e u iy D- s d Si nc y i n wih Hi h S c r t

08现代密码学之基于双线性对及身份的数字签名

08现代密码学之基于双线性对及身份的数字签名
第八部分
基于双线性对和基于身份的数字签名
主要内容 一、基于双线性对的数字签名方案 二、基于身份的数字签名方案 三、签密方案
4.5 基于双线性对的证书签名方案
一、双线性对及有关难题
定义1(非对称双线性对): 设k为安全参数,p是一个素数,满足2k<p≤2k+1。
G1和G2为两个具有相同阶p的加法群,GT为一个阶为p的乘 法群,令P和Q分别为G1和G2的生成元。
该签名方案的签名长度大约为160比特。设G1为由P生 成的循环加法群,其阶为q,G2为具有相同阶q的循环 乘法群,e:G1×G1→G2为一个双线性映射。定义一 个安全的杂凑函数H:{0,1}*→G1*。系统参数为 {G1,G2,q,e,P,H}。
(1)密钥生成(Key Generation):签名用户随机选 取x∈Zq*,作为私钥,并计算Y=xP作为公钥。
计算的耗时如下: (1)对运算:47.40ms (2)标量乘运算:6.83ms (3)点加运算:0.06ms 因此,一个基于双线性对设计的密码体制中,
对运算的次数是衡量该体制的一个重要指标。
4.5.2 签名方案
两个利用双线性对实现的基于公钥证书的签名方案。
一、Boneh-Lynn-Shacham短签名方案
e(U,V)。
如果e存在,则(G1,G2)称为对称双线性映射群。 对称双线性对服从交换律,即对任意U,V∈G1,有
e(U,V)=e(V,U)。
这种映射可以通过有限域上的超奇异椭圆曲线或超 奇异超椭圆曲线中的Weil对或Tate对推导出来。
非对称双线性对与对称双线性对相比,前者在相同 安全条件下群的规模可以更小,因而更适用于带宽 受限的方案设计中。
计算
abP∈G1, 这里a,b∈Zq*是未知的整数。

标准模型中基于身份的多PKG签密方案

标准模型中基于身份的多PKG签密方案

第 l 期 8
冀会芳 ,韩文报 ,刘连东 :标准模 型中基 于身份的多 P KG签密 方案
2 3
A所使用 的随机 比特 。
( /: D ) , , 。该三元组不是由签密预言机产生,并且 F没 D ,
定 义 2 如果 不存在攻 击者 以至 少 £的优势解决 如上游
戏 ,则称 £ C 一 DH假设成立 。
第3 7卷 第 l 期 8
、0 .7 ,13






2 1 年 9月 01
S p e e 2 e t mb r 01 1
N o.8 1
Co p e g n e i g m utrEn i e rn
博士论文 ・
文 编 1 o 3 8 o ) — 0 —1 文 标 码: 章 号: o - 4 ( ll 02 一 0 - 2 2 18 2 3 献 识 A
计算 eg g 。 ( ,)
个 P G 为系统 中所有 用户 生成私钥 ,这一做法存在私钥泄 K 露问题 ,而且 分发用户私钥需要许 多安全信道 。另外 ,同一
个系统内的用户需 要一 个 P G 为之分配私钥 ,然后互相进 K
2 困难假设 . 2
() DH Deio a Bl er f eH l n假 设 1DB ( cs nl ina i— el ) i i Di ma
已有的不同 P G 环境 中基于身份的签密方案由文献[—] K 24 分别给出 ,文献【1 5还给出一个不同 P G 环境中安全 的 A E K K 协议 ,这些方案都是在随机预言模型下可证明安全 的。一 些 在随机预言模型中可证明安全的方案在 实际应 用过程 中却存 在一定的安全隐患 。因此 ,研究标准模 型中可证 明安 9

可证安全的基于身份代理聚合签名方案

可证安全的基于身份代理聚合签名方案

可证安全的基于身份代理聚合签名方案胡江红【摘要】对一个基于身份代理聚合签名方案进行了安全性分析,证明该方案的聚合签名不能抵抗伪造攻击。

在此基础上,利用双线性技术构造了一个新的基于身份代理聚合签名方案,并且利用Diffie-Hellman困难问题,在随机预言模型下,证明了新方案是存在性不可伪造的。

效率分析结果表明,新方案的验证等式需要3个对运算,比已有的代理聚合签名方案更安全更高效。

%Through secure analysis of an identity-based proxy aggregate signature scheme, this paper proved the aggregate signature couldn't resist forgery attack. Based on the scheme, this paper proposed a new identity-based proxy aggregate signature scheme with the bilinear pairings,and proved the proposed scheme is secure against existential forgery attack under the computational Diffie-Hellman problem in the random oracle model. The new scheme only needs three pairing computation in the verification stage and is more efficient than the known schemes.【期刊名称】《电子设计工程》【年(卷),期】2016(024)018【总页数】4页(P10-12,15)【关键词】代理聚合签名;基于身份签名;双线性对;Diffie-Hellman困难问题【作者】胡江红【作者单位】宝鸡文理学院数学与信息科学学院,陕西宝鸡 721013【正文语种】中文【中图分类】TN918代理签名[1]能够实现数字签名权利的委托,允许原始签名者因生病,出差等原因将签名权力委托给代理签名者,代理签名者将代表原始签名者产生有效的代理签名。

基于身份的数字签名及签密技术研究

基于身份的数字签名及签密技术研究

数字签名是一种用于验证数据完整性和来源的身份认证机制。它允许发送方对 传输的数据进行加密,并附加一个独特的签名,以证明数据在传输过程中没有 被篡改,且来自特定的发送者。数字签名的实现方法包括哈希函数和公钥密码 体系。发送方使用哈希函数对数据进行处理,生成一个固定长度的摘要,然后 使用自己的私钥对摘要进行加密,形成数字签名。
3.2在政务管理领域的应用
在政务管理领域,基于身份的数字签名及签密技术可用于实现电子政务、数字 证书、电子印章等业务的安全性保障。数字签名技术可验证政府部门的身份和 数据的完整性,保证政务信息的真实性和可信度。签密技术则能够确保机密文 件的传输安全,防止政务信息泄露。
4、未来研究方向和挑战
基于身份的数字签名及签密技术虽然已经得到了广泛应用,但仍存在一些问题 和挑战需要进一步研究和解决。未来的研究方向和挑战包括:
2.4基于身份的签密技术的工作 原理
基于身份的签密技术利用发送者的身份信息进行签密。发送者首先利用自己的 私钥对明文消息进行加密,然后利用自己的私钥对加密后的消息进行签名。将 签名后的密文和公钥一起发送给接收者。接收者利用发送者的公钥进行解密和 签名验证,确保消息的机密性和完整性。基于身份的签密技术可以简化密钥管 理,提高签密效率。
5、结论总结:
基于身份的数字签名及签密技术是网络安全领域的重要技术之一,对于保障各 项业务流程的安全性和可靠性具有重要意义。虽然该技术已经得到了广泛应用, 但仍然存在一些问题和挑战需要进一步研究和解决。
参考内容
基本内容
随着互联网和信息技术的快速发展,信息安全和隐私保护变得越来越重要。数 字签名和签密方案是两种重要的技术手段,用于确保数据传输和存储的安全性。 本次演示将介绍数字签名和签密方案的特殊性质、应用场景及其重要性,并展 望未来的发展趋势。

一种基于身份加密的可验证秘密共享方案_李大伟

一种基于身份加密的可验证秘密共享方案_李大伟

一种基于身份加密的可验证秘密共享方案李大伟,杨 庚,朱 莉(南京邮电大学计算机学院,江苏南京210003)摘 要: 提出了一种使用IBE 公钥算法实现的可验证秘密共享方案.该方案中秘密分发者将IBE 私钥作为共享秘密在接入结构中分发,任何参与者可以通过公开的验证信息验证影子秘密的正确性.随后在随机预言模型中证明了所提方案的语义安全性.理论分析和仿真实验表明,方案可以有效检测来自内外部攻击者的欺骗攻击,并具有较低的时间复杂度和通信开销.关键词: 可验证;秘密共享;基于身份加密中图分类号: TP309 文献标识码: A 文章编号: 0372 2112(2010)09 2059 07An ID Based Verifiable Secret Sharing SchemeLI Da wei,YANG Geng,Z HU Li(Colle ge o f Computer Scie nce,Nanjing U nive rsity of Posts and Telecommunications.Nanjing ,Jiangsu 210003,China )Abstract: A verifiable secret sharing scheme based IBE is proposed.In the scheme,the shared secret is the private key which extracted by IBE algorithm and every participator can verify the s hares conveniently by the public information.A formal proof of se mantic security of the scheme is provided in the random oracle model.The theoretical analy sis indicates that the scheme can detect cheatings from both inside and outside attacker.The simulation results demons trate that the proposed scheme has remarkable perfor mance in both computation and communication cost.Key words: verifiable;secret s haring ;identity based encryption (IBE)1 引言秘密共享技术是分布式系统中数据保密的重要手段.其主要思想是将共享的秘密分发给接入结构中不同的参与者,达到门限数量的参与者合作才能重构共享的秘密.目前典型的秘密共享体制是Sha mir 提出的基于拉格朗日插值的方案.Shamir 方案的一个假设前提是系统中所有参与者都是可信的,因此无法抵抗某些不诚实参与者发起的欺骗攻击.为解决这个问题,Chor 等[1]首次提出了可验证秘密共享(Verifiable Secret Sharing,VSS)的概念.通过附加的交互式认证算法,参与者可以检验所收到的影子秘密的正确性.此方案的缺点是参与者只能验证各自收到的影子秘密的正确性,难以验证来自其它参与者的影子秘密.为此,Stadler [2]对Chor 方案进行改进,提出了公开可验证的秘密共享(Publicly Ve rifiable Secret Sharing,PVSS)概念.所谓公开可验证是指任何人可以通过公开信息验证影子秘密是否有效而不泄露共享的秘密和参与者持有的影子秘密.Stadler 分别基于离散对数和复合数取模的e 次方根给出了两个PVSS 方案,但这两个方案通信量和计算量都很大(最坏情况为O( 2n)),难以在实际环境中广泛应用.随后有学者致力于对Stadler 方案效率的改进,例如Fujisaki 和Okamoto [3]提出的方案.为降低验证过程的通信开销,Sc hoenmakers [4]使用非交互零知识证明协议实现了一个PVSS 方案,达到了O ( n)的复杂度.近年来,随着密钥托管系统、具有可撤销匿名性的电子支付协议以及电子选举协议的发展,PVSS 方案研究得到了广泛关注[5~7].Yu 等[8]基于零知识证明协议提出的动态P VSS 方案能灵活处理节点加入和退出.Wang 等[9]和Tar tary 等[10]提出的可验证多秘密共享方案能为每个共享秘密设置不同的门限值,提高了系统灵活性和易用性.Pang 等[11]提出的方案影子秘密具有可重用的特性,而Dehkordi 的方案[12,13]具有较好的可用性.上述方案的缺点是验证过程多基于离散对数难解问题,需进行多次模指数运算实现,计算量较大.当方案中秘密共享过程不以离散对数难题作为安全基础时,则需要额外的算法支持,带来计算开销.收稿日期:2009 06 25;修回日期:2010 04 28基金项目:国家自然科学基金(No.60873231);国家973研究发展规划项目(No.2011CB302903);江苏省高校自然科学基金(No.08KJB520006);江苏省 六大人才高峰 基金(No.06 E 044)第9期2010年9月电 子 学 报ACTA ELECTRONICA SINICA Vol.38 No.9Sep. 2010可验证秘密共享方案主要解决秘密共享中的欺骗问题.秘密共享中欺骗攻击主要包括秘密分发者欺骗和参与者欺骗两种情况.分发者欺骗指秘密分发者为某个参与者分配假的影子秘密,致使该参与者在秘密重构时不能提供有效的秘密份额.而参与者欺骗是参与者在秘密重构过程中对其他合作者提供假的影子秘密,会在不影响自身利益的情况下妨碍其合作者秘密重构.针对以上两种攻击,典型的可验证秘密共享方案应该满足:(1)在秘密分发阶段,每个参与者可有效的检验秘密分发者是否发送了正确的影子秘密.(2)在秘密重构阶段,每个参与者可有效的检验其他参与者是否提供了正确的影子秘密.本文基于IBE公钥加密算法,提出了一个可验证的秘密共享方案.方案使用双线性映射在秘密分发阶段生成影子秘密的同时生成验证信息,不需要额外的辅助算法.验证算法采用基于双线性映射的零知识证明算法,参与者可通过公开信息方便有效的对影子秘密进行验证.2 IBE公钥算法基础IBE公钥算法的安全性建立在CD H(Computa t ional Diffie Hellman)困难问题的一个变形之上,称之为BDH (Bilinear Diffie Hellman)问题[14].记Z q={0,!,q-1}为素数阶q的加法群,Z为正整数,G为加法群,F为乘法群.定义1(双线性映射) 对所有x,y∀G,a,b∀Z,映射^e:G#G∃F称为双线性映射,满足:(1)双线性:^e(ax,b y)=^e(x,y)ab;(2)非退化性: P,Q∀G,满足^e(P,Q)%1;(3)可计算性:存在多项式时间算法计算^e(x,y).给定&G,q,P,aP,b P∋,随机选择a,b∀Z*q,计算abP∀G称群G上的CD H问题.随机算法G( )使用一个安全参数 ∀Z+,在 阶多项式时间内输出阶q的加法群G和乘法群F,及其上的双线性映射^e:G#G∃F.对P∀G*,a,b,c∀Z*q,计算^e(P,P)abc称为BDH 问题.I BE公钥算法由四个函数Setup,Extract,Encrypt和Decrypt组成,分别完成系统参数建立、密钥提取、加密和解密的功能.若s为主密钥,Ppub 为系统公钥,H1,H2为单向散列函数,M为明文,身份I D对应的公私钥分别为QID=H1(ID),D ID=sQ ID.Encrypt:选择r∀Z*q.密文C=(U,V),其中U= rP,V=H2(k)M,k=^e(Q ID,P pub)r.Decrypt:M=V H2(^e(D ID,U)).3 方案构成方案基于IBE公钥加密算法,加密者可以通过特定ID的公钥对消息M进行加密得到C.需要进行解密时,解密者首先需要联系持有共享秘密的解密服务器节点,得到多于门限t份影子秘密后,解密者可以通过拉格朗日插值定理重构解密算子,进而解密密文C得到明文M.方案包括系统初始化,共享秘密分发和秘密重构三个阶段.前两个阶段由秘密分发者D完成,方案中秘密分发者同时作为I BE算法的PKG,在秘密分发过程中运行Setup和Extract算法.影子秘密验证过程基于Chaum和Pede rsen非交互零知识证明算法[15]的改进算法,我们称之为B-DLEQ (g1,h1;g2,h2; )算法.其中g1,g2∀(G,+),h1,h2∀GF(P2)*, 为证明者要证明的秘密参数,满足h1=^e ( ,g1),h2=^e( ,g2).H为安全散列函数.证明者选取w∀(G,+),计算E1=^e(w,g1),E2=^e(w,g2),c= H(E1(E2),r=w- c mod q.公开证据PROOF P=(r, c).验证者V通过等式c)H(^e(r,g1)h c1||^e(r,g2)h c2)验证证明者是否拥有正确的 .3!1 基本假设系统结构和信道假设.系统由秘密分发者D(兼有PKG功能)和n个参与者P={P1,P2,!,P n}组成,P 中参与者是解密服务器节点,同时根据实际需要担当解密者的角色.所有节点共享一条广播信道,该信道在稳定性,延迟等方面处于理想状态.任何两个节点间存在一条私有信道,在此信道中传输的信息无法被第三者获取.私有信道可以由硬件实现也可通过加密方法实现.攻击者假设.攻击者分为内部攻击者和外部攻击者.内部攻击者的攻击行为主要表现为影子秘密欺骗.即通过提供虚假的影子秘密企图阻止其他参与者获得共享秘密,在其理想情况(其他参与者都诚实)下只有欺骗者可获得共享秘密.外部攻击者能获得广播信道中所有的公开信息,其攻击行为表现在攻击P中节点,企图获得节点存储的信息(如ID,影子秘密等),并操纵攻破的节点.所有类型的攻击者都可以访问广播信道,进行诸如插入错误信息等攻击.3!2 方案描述3!2!1 系统初始化阶段给定一个安全参数 ,选择大素数p( bit),找一条满足CD H安全假设的超奇异椭圆曲线E/GF(p),生成E/GF(p)上的q(q>2 )阶子群(G,+)和其生成元P,双线性映射^e:G#G| GF(P2)*.设l为明文长度.单向散列函数H1,H2,H3定义为:2060 电 子 学 报2010年H1:{0,1}*| G*;H2,H3:GF(P2)*| {0,1}l.选择主密钥s∀Z*q,计算系统公钥P pub=sP,返回系统参数pa ra=(G,q,P,^e,H1,H2,H3,P pu b).3!2!2 秘密分发和验证阶段秘密分发过程由秘密分发者D完成.秘密分发者执行Extract算法生成特定I D对应的公私钥对Q ID= H1(I D)和D ID=s Q I D.将D I D作为共享秘密分发给参与者集合P中成员.Step1 随机选择插值多项式的系数集合{a j|a j∀G*;j=1,2,!,t-1;a t-1%0}构造t-1阶多项式F(x)=D I D+∗t-1j=1a j x j, x∀{0}+I N(1)其中I N为正整数集合.Step2 计算参与者P i的影子秘密S i=F(i),计算y i=^e(S i,P),1,i,n;Step3 计算验证密钥U j=^e(a j,P pub),1,j,t-1,U0=^e(D ID,P pub);Setp4 通过私有信道发送S i给P i,通过广播信道公布yi,U j,1,i,n,0,j,t-1.任何参与者可以通过公开信息计算Y i=−t-1j=0U i j j(2)分发者D使用B-DLEQ(Ppub,Y i;P,y i;S i)算法生成证据.首先随机选择wi ∀(G,+),计算E1i=^e(w i,P pub),E2i=^e(w i,P),c i=H3(Y i(y i(E1i(E2i),r i= w i-S i c i mod q.公开证据PROOF i=(r i,c i),1,i,n.收到影子秘密后,参与者Pi 通过公开信息计算E1i=^e(r i,P pub)Y c i i,E2i=^e(r i,P)y c i i.验证等式c i)H3(Y i(yi (E1i(E2i).若等式成立,说明D发送的影子秘密是正确的.3!2!3 秘密重构阶段需要解密M的参与者PD向P中成员提出解密申请,通过身份验证后收到来自P中t个成员的影子秘密,其执行的操作如下(设t个成员组成的授权子集为).Step1 验证收到的影子秘密合法性.一般的,参与者Pi 收到参与者Pj(i%j)的影子秘密S j后,根据公开信息Ui,0,i,t-1计算Y j=−t-1l=0U j l l.结合公开参数运行B-DLEQ(Ppub,Y j;P,y j;S j)中验证算法,若成立则证明收到的影子秘密是正确的.Step2 给定IBE密文(U,V),P i计算k=−j∀^e(S i,U)C0,j.其中C0,j为拉格朗日系数,定义为:Cx,j=−l∀,l%j x-lj-l∀Zq.集合∀{1,2,!,n},.t.于是参与者PD得到解密算子k,根据IBE加密算法,明文M=V H2(k).4 证明和分析4!1 正确性证明下面通过两个定理证明方案的正确性.定理1若参与者P i收到的影子秘密通过B-D LEQ(P p ub,Y i;P,y i;S i)验证,则S i为正确秘密多项式产生的影子秘密且在传输中没有被篡改.证明 已知,秘密分发过程中秘密分发者D发送的公开参数y i=^e(S i,P),验证密钥U0=^e(D ID,P pub), U j=^e(a j,P pub),0,j,t-1.根据双线性映射的性质,参与者P i容易得到:Yi=−t-1j=0U i j j=^e(D ID+∗t-1j=1a j i j,P pub)=^e(S i,P p ub)根据B-DLEQ(Ppub,Y i;P,y i;S i)算法的证据PROOF i,有:E1i=^e(r i,P pub)Y c i i=^e(w i-S i c i,P pub)^e(S i,P p ub)c i=^e(w i,P pub)同理,E2i=^e(r i,P)y c i i=^e(w i,P).显然,正确的影子秘密能够通过前述的基于双线性映射的零知识证明协议.证毕.由于参数PROOFi,y i,U j,(1,i,n,0,j,t-1)在共享秘密分发时已经公开,因此在秘密重构过程中,解密请求者也可通过这些信息验证来自任意参与者的影子秘密.定理2 若存在接入结构中的授权子集,满足.t(t为门限值),则解密者根据中成员提供的影子秘密可以解密密文C得到M.证明 需要解密C的参与者PD向中成员发送解密请求,认证通过后得到通过验证的影子秘密{Si|i∀}.将Si同密文中的分量U做双线性运算,结合拉格朗日插值定理,有:k=−j∀^e(S j,U)C0,j=^e(∗j∀C0,j S j,U)=^e(D ID,U)根据IBE算法,明文为:M=V H2(k).证毕4!2 安全性证明类似于公钥加密算法语义安全性证明,我们给出方案在随机预言模型下的安全性证明.本方案核心为根据特定I D在接入结构下共享IBE私钥,证明的基本2061第 9 期李大伟:一种基于身份加密的可验证秘密共享方案思想是攻击者选择两个ID发送给挑战者,后者随机选择一个ID对应的IBE私钥在授权子集中共享.若攻击者通过重构恢复共享秘密后不能以明显大于1/2的概率正确猜测共享秘密来自哪个ID,就称方案具有语义安全性.关于秘密共享方案语义安全性证明的详细论述,参见文献[16].假设多项式时间算法A对秘密共享方案进行攻击,其过程如下:初始化阶段:攻击者宣布被挑战的参与者集合P.系统运行系统初始化过程,根据安全参数k生成系统参数para并公布.攻击者发出影子秘密询问请求,得到P中子集P/的影子秘密.集合P/满足P0P/=t-1 (t为门限值).询问阶段:攻击者提供2个身份标识I D,I D1提交给秘密分发者.后者随机掷硬币得到b∀{0,1},然后运行秘密分发算法,将ID b对应的IBE私钥D I Db在集合P 成员中分发.猜测阶段:重复前一阶段过程.攻击者通过猜测第t个参与者的影子秘密,重构D IDb.输出对b的猜测b/,攻击算法A的优势定义为adv IND CC AA =Pr[b/=b]-12(3)下面通过一个定理证明对本方案的攻击具有攻破IBE公钥算法具有等同的困难性.定理3 若攻击者能攻破本方案,则存在一个多项式时间模拟算法能以不可忽略的优势攻破IBE公钥算法.证明 假设存在一个多项式时间攻击者能够以优势!攻破本方案,构造一个模拟算法Simulator,使其能模拟本方案,并能对IBE公钥算法进行攻击.运行初始化过程,根据安全参数k选择大素数p(k bit),选择椭圆曲线E/GF(p),生成E/GF(p)上的q(q>2k)阶子群(G,+)和生成元P,双线性映射^e:G #G| GF(P2)*.单向散列函数H1,H2,H3,选择主密钥s∀Z*q,系统公钥P pub=sP,返回系统参数para=(G,q,P,^e,H1,H2,H3,P pub).算法Simulator中Extract函数掷硬币得到∀∀{0, 1}.若∀=0,根据攻击者询问的ID,生成对应的私钥D ID =sQ ID.Simulator选择随机多项式F(x),计算影子秘密S i=F(i),y i=^e(S i,P),1,i,n;计算验证密钥U j=^e (a j,P),1,j,t-1,U0=^e(D ID,P).若∀=1,随机生成与正确私钥等长的信息,在授权子集中分发.询问阶段:攻击者提交挑战信息ID,ID1给模拟算法Simula tor.Si mula tor随机掷硬币得到#∀{0,1}.选择P 中子集P/,满足生成私钥,并将P/中成员应得的影子秘密发送给攻击者,公开验证信息.猜测阶段:模拟算法重复前一阶段过程.攻击者猜测#的值,记为#/.当#/=#时,表示攻击者猜中了正确的结果,模拟算法调用Extract函数,输出对应ID的正确的IBE私钥并分发,此时Simulator输出∀/=0.相反,若#/%#,模拟算法输出并分发与正确IBE私钥等长的随机信息,此时Simulator输出∀/=1.考虑以下两种情况:(1)∀=0时,模拟算法分发了正确的IBE私钥,成功的攻击者能恢复正确的共享秘密,表明攻击者攻破了本方案.根据假设条件,这种情况发生的概率为!.于是有:Pr[#/=#|∀=0]=12+!(4)在成功的情况下,∀/=0.事件#/=#等价于事件∀/=∀,由公式(4)可得在∀=0时模拟算法成功攻破IBE 公钥算法的概率为:Pr[∀/=0]=Pr[∀/=∀|∀=0]=12+!(5)(2)∀=1时,模拟算法分发的影子秘密中不包括IBE私钥相关的任何信息,因此攻击者无论如何猜测,都不能得到共享秘密的任何信息.有:Pr[#/%#|∀=1]=Pr[#/=#|∀=1]=12(6)在此情况下,Simulator输出∀/=1,因此事件#/%#的等价事件为∀/=∀.公式(6)可得在∀=1时模拟算法成功攻破IBE算法的概率为:Pr[∀/=1]=Pr[∀/=∀|∀=1]=Pr[#/%#|∀=1]=12(7)结合公式(5)和(7),有:Pr[∀/=∀]=Pr[∀/=0]1Pr[∀=0]+Pr[∀/=1]1Pr[∀=1]=(12+!)112+12112=!2+12故Si mulator成功攻破IBE公钥算法的优势为:advAIND-C C A=Pr[∀/=∀]-12=!2.证毕.4!3 欺骗检测秘密分发者欺骗发生在秘密分发阶段,不诚实的秘密分发者通过为某个参与者分配虚假影子秘密,使该参与者所持的影子秘密无法进行秘密重构.在本方案中,参与者Pi收到影子秘密后,可以通过公开的验证信息PROOFi,y i,U j(1,i,n,0,j,t-1)验证影子秘密的正确性.由于验证密钥是公开的,并且同秘密多项式系数相关联,秘密分发者不能在不影响其他参与者影子秘密验证的情况下对特定的参与者进行欺骗.2062 电 子 学 报2010年在秘密重构阶段,任何参与者都可以通过公开的验证信息判断收到的影子秘密的正确性.验证过程基于双线性映射的零知识证明协议,参与者并不知道秘密多项式的相关信息,无法伪造信息通过验证.因此可以有效检测参与者欺骗行为.综上所述,方案满足前述的可验证秘密共享方案必须满足的两个条件.4!4 抗攻击分析(1)内部攻击内部攻击主要来自于秘密分发者和参与者之间的恶意欺骗.对于参与者来说,发送错误的影子秘密可以在不影响自己秘密重构的前提下防止其他参与者重构共享秘密.在(t,t)密钥共享体制下,存在一种情况使得除恶意参与者之外的其他所有参与者都得不到共享的秘密信息.本文方案的验证机制可有效的对发送方的影子秘密进行正确性验证,从而能阻止内部攻击的发生.此外,由于秘密共享方案具有一定的鲁棒性,在(n, t)秘密共享体制下,即使有恶意参与者存在的情况下,任何包括t个通过影子秘密正确验证的子集都能恢复共享秘密.(2)外部攻击若攻击者A不属于参与者集合P,即A为外部攻击者.A能获取广播信道上传输的所有公开信息,包括系统参数para,验证参数等.公开信息中Uj是秘密多项式系数经过双线性映射计算后的数值.根据双线性映射的性质,攻击者通过U j推测秘密多项式系数面临CD H难解问题的复杂度.同理,攻击者通过y i也无法得到关于影子秘密的任何信息.外部攻击者的另一攻击方法是通过各种手段攻破P中参与者,获得影子秘密等信息.若攻击者获得了少于t个正确的影子秘密企图重构共享秘密,其难度相当于攻破Shamir秘密共享方案.若攻击者获得了t-1个正确的影子秘密企图猜测最后一个影子秘密的值恢复共享秘密,相当于在GF(q)中进行随机猜测,其成功概率仅为1/q.4!5 性能分析与对比(1)计算性能方案主要由共享秘密的分发、影子秘密验证和共享秘密恢复三个协议组成.其中共享秘密的分发和恢复使用基于IBE的门限算法,影子秘密验证使用基于双线性对的零知识证明算法.从计算复杂度方面分析,计算量主要集中在双线性对^e的计算拉格朗日插值等方面(表1).需要指出的是,秘密分发过程包含了分发者对所有影子秘密证明参数的计算,从而带来了一定的计算开销,考虑到实际应用中秘密分发节点通常具有较多的系统资源,因此这些开销不会造成系统瓶颈.表1 方案计算量操作秘密分发份额验证秘密重构^e运算3n+t2tHash运算210Lagrange插值001模指数运算0t+1t-1注:n为节点数量,t为门限值.表1显示,方案的计算量与系统规模有关.设系统中节点数量为n,门限值为t.目前求解双线性映射的一种可行算法是Boneh Franklin提出的基于有限域内超奇异椭圆曲线的算法[17],其计算复杂度为O(log2q).目前普遍使用的快速求幂方法求解模指数运算的计算复杂度为O(log2n).相对于^e运算和模指数运算,拉格朗日插值多项式的运算具有更高的计算复杂度,目前已知的构造经过n个点的插值多项式需要O(n lg2n)次乘法运算,而目前拉格朗日插值算法的复杂度为O(n log22n),插值的计算开销与插值多项式的次数有关.(2)通信量方案通信主要包括广播和单播.众所周知,广播通信是最有效、最节省能量的通信方式.我们方案的各个阶段较多的使用了广播通信,如公布公共参数和验证信息以及系统同步等.相对于广播通信,方案中只有在分发和交换影子秘密时使用安全信道的点对点单播,通信数据量较小.(3)与现有方案的比较与分析下面就秘密共享各阶段的运算量、通信量等方面将本方案与已有方案进行对比分析(表2).比较的标准为复杂运算的调用次数,因为这些运算是方案计算复杂度的主要来源.我们比较的运算包括:双线性对运算(E)、椭圆曲线标量乘运算(M)、模指数运算(S)和拉格朗日插值运算(L),其它运算由于运算量较小而忽略不计.表2 与已有方案的对比分析方案秘密分发阶段影子秘密验证阶段秘密重构阶段通信量验证算法基础本文方案(3n+t)E2E+(t+1)StE+(t-1)S+1L(3n+t)|q|CDH Ti an Peng方案[6](4n+t)M(t+1)E+tS2E+3M+1L(3n+t+1)|q|ECC Yu Kong方案[8](4n+2t+1)S(2n+t+2)S2nS+1L(5n+2)|q|D LPang Li方案[11]>6nM nM tM+1L(3n+1)|q|ECC Dehkordi Mas hhadi方案[13]3nS tS(n-t)S+1L(3n+t+1)|q|D L通过对比可以看出,方案[8,13]由于使用离散对数难题实现影子秘密的验证,引入了较多的模指数运算,其2063第 9 期李大伟:一种基于身份加密的可验证秘密共享方案计算复杂度比使用椭圆曲线(ECC)和CDH 的方案高.而方案[11]在秘密分发阶段生成了一个过n +t 个点的秘密多项式,需要额外付出O ((n +t )lg 2(n +t))的计算量.显然,所提方案在计算量方面具有优势.通信量方面,所提方案主要使用广播信道和非交互式验证,可以用较少通信量实现可验证秘密共享.5 仿真实验为验证方案在实际场景中的性能,我们使用MSVC6.0实现并部署了所提方案.仿真环境是实验室局域网中的计算机集群,节点计算机配置Intel 酷睿2.0GHz CPU,512M DDRII 内存,Windows XP(sp3)操作系统.所有数据均为10次实验结果的平均值.图1显示了秘密分发过程执行时间随网络规模变化呈线性关系.图2为不同门限值下秘密分发过程的计算性能.可以看出,计算时间随网络规模变大而增大,而门限值变化对秘密分发执行时间影响不大.图3、图4显示了影子秘密验证过程的计算性能.结果显示,当系统门限值增大时,验证执行的时间增加,这是因为t 增大时秘密多项式F(x )的阶增加,增大了验证信息处理的复杂度.而验证耗时受网络规模的影响较小,因而方案具有良好的可扩展性.方案中秘密重构过程的计算性能如图5、图6所示.可以看出,秘密重构过程计算时间随网络规模变化不大,但受t 值的影响较为明显.这是因为拉格朗日插值的计算开销与插值多项式的次数相关,实验结果与前述理论分析一致.从绝对量上看,验证和重构所需要的运算量远小于秘密分发需要的计算量,更适合服务器和客户机同时存在的计算环境.图7、图8显示了方案整体的计算性能.从总体上看,所提方案计算性能与网络规模呈斜率较小的线性增长关系,但受t 值的影响较小,因而具有很好的可扩展性.6 结论可验证秘密共享方案具有防欺骗攻击的性质,被广泛应用于密钥分配、电子选举、电子现金等应用环境中.本文基于IBE 公钥算法,提出了一个可验证秘密共享方案.我们使用双线性运算改进了经典的Chaum 和Pederse n 非交互零知识证明算法,提高了方案中影子秘密验证的有效性.通过对方案安全性和可用性的分析显示,所提方案满足可验证秘密共享方案应满足的特2064 电 子 学 报2010年性,同时具有随机预言模型下可证明语义安全性,能抵抗来自内外攻击者的各种攻击.与已有算法的对比显示,所提算法具有较优的时间复杂度和通信开销.参考文献:[1]Chor B,Goldwasser S,Micali S,et al.Verifiable secret sharingand achiev i ng simultaneity in the presence of faults[A].Pro ceedings of26IEEE Symposiu ms on Foundations of Computer Science[C].Washington:IEEE Computer Society,1985.383-395.[2]Stadler M.Publicly verifiable secret s haring[A].Advances inCrypto logy EURO CRYPT296[C].Berlin:Springer Verlag, 1996.32-46.[3]Fujisaki E,Okamoto T.A practical and provably secure schemefor publicly verifiable secret s haring and its applications[A].Advances in Cryptology EUROCRYPT298[C].Berlin: Springer Verlag,1998.32-46.[4]Schoenmakers B.A simple publicly verifiable s ecret sharingscheme and its application to electronic voti ng[A].Advances in Crypto logy Crypto299Proceedings[C].Berlin:Springer V erlag,1999.148-164.[5]Ho u Z F,Han J H,Hu D H.A new authentication schemebas ed on verifiable secret sharing[A].2008International Con ference on Compu ter Science and Software Engineering[C].Wuhan,China:IEEE Computer So ciety,2008.1028-1030. [6]T ian Y L,Peng C G,Z hang R P,et al.A practical publicly verifiable secret s haring scheme based on bilinear pairi ng[A].2nd International Conference on Anti counterfei ting,Security and I dentification,2008(A SID2008)[C].G uiyang,China:IEEE, 2008.71-75.[7]Liu F,Gao D M.On the design of divisible PVSS based electronic cash schemes[A].IEEE International Symposium on Knowledge Acquisition and M odeling Workshop(KAM Work shop2008)[C].Wuhan China:IEEE,2008.112-115.[8]Y u J,Kong F Y,Hao R.Publicly verifiable secret sharing w i thenrollment ability[A].8th ACIS International Conference on Software Engineeri ng,Artificial Intelligence,Networki ng,and Parallel/Distribu ted Computing,2007(SNPD2007)[C].Qing dao,China:IEEE Computer Society,2007.194-199.[9]Wang F,Gu L,Z heng S,et al.A novel verifiable dynamic multi policy secret sharing scheme[A].The12th International Conference on Advanced Communication Techno logy (ICACT2010)[C].Paris France:IEEE,2010.1474-1479. [10]Tartary C,Pieprzyk J,Wang H X.V erifiable multi secret sharing schemes for multiple threshold access structures[A].Infor mation Security and Cryptology2007[C].Berlin:Pringer Ver lag Heidelberg,2008.167-181.[11]Pang L J,Li H X,Y ao Y,et al.A verifiable(t,n)multiples ecret s haring scheme and its analyses[A].2008InternationalSymposiu m on Electronic Commerce and Secu rity(ISECS2008)[C].Guangzho u,China:IEEE Computer Society,2008.22-26.[12]Dehkordi M H,Mashhadi S.An efficient threshold verifiablemulti secret sharing[J].Computer Standards&Interfaces,2008,30(3):187-190.[13]Dehkordi M H,M ashhadi S.New efficient and practical verifiable multi secret sharing schemes[J].Information Sciences:anInternational Journal,2008,178(9):2262-2274.[14]杨庚,王江涛,程宏兵,容淳铭.基于身份加密的无线传感器网络密钥分配方法[J].电子学报,2007,35(1):180 -184.Yang G,Wang J T,Cheng H B,Rong C M.A key establis hscheme for wsn bas ed on ibe and diffie hellman algorithms [J].A cta Electronica Sinia,2007,35(1):180-184.(in Chi nes e)[15]Chaum D,Pedersen T P.Wallet databases w ith observers[A].Advances i n Cryptolo gy CRY PTO292[C].Berlin:SpringerVerlag,1992.89-105.[16]李慧贤,庞辽军.基于双线性变换的可证明安全的秘密共享方案[J].通信学报,2008,29(10):45-50.Li H X,Pang L J.Provably secure secret sharing schemebased on bilinear maps[J].Journal on Communications,2008,29(10):45-50(in Chinese).[17]Boneh D,Franklin M.Identity based encryption from the weilpairing[A].Advances in Cryptology,CRYPTO2001,L ectureNotes in Computer Science[C].Berlin:Springer V erlag,2001.2139.213-229.作者简介:李大伟 男,1981年生于山东潍坊,南京邮电大学计算机学院博士研究生.研究方向为计算机通信网与安全、密钥管理.E mail:lidw1981@杨 庚 男,1961年生于江苏建湖,IEEECE和中国计算机学会会员.南京邮电大学教授、博士生导师.目前研究方向为计算机通信与网络、网络安全、分布与并行计算等.E mail:yangg@朱 莉 女,1984年生于河南商丘,南京邮电大学计算机学院硕士研究生.研究方向为计算机应用技术,信息安全.E mail:zhuli.1984@2065第 9 期李大伟:一种基于身份加密的可验证秘密共享方案。

一种基于身份的环签密方案

一种基于身份的环签密方案

码系统中 , 用户的公钥 为 该 用 户 的 身 份 信 息 , 用户的私钥 是由 一 个 可 信 的 密 钥 生 成 中 心 ( 颁 发 的. 这 样, 任 T KG C) 何一对用户都可以安全地通讯 , 而不需要交换他们的公钥 证书 , 不需要使用公钥 字 典 , 也不需要使用第三方的在线
[] 服务 . 但是直到 2 0 0 1年才由 B o n e h和 F r a n k l i n3 提 出 了
2 6 4




2 0 0 6年
们首先提出了一种基于身份的环签密方案 , 该方案建立在
3] 基于身份的环签名方案的基础上 [ , 使得在达到 数 据 的 保
随之解决 .
密性和认证性要求的同时 , 消息的发送者可以完全匿名得 并且密文的长度比传统的 “ 先签名后加密 ” 方法 发送消息 , 有了明显的降低 .
摘 要 : 使用威尔配对 , 本文提出了一种基于身份的环签密方案 , 给出了具体的算法 . 该方案能够使消息 的 发送者以一种完全匿名的方式发送消息 , 并且同时实现保密性和认证性两种功能 . 我们证明了在决策双线性 D i f 新提出的方案对自适应选择密文 攻 击 是 安 全 的 . 与传统的先签名后加密的方案 f i e H e l l m a n 问题难解的假设下 , 相比 , 本方案中密文长度有了明显的降低 , 在低带宽的要求下更加可行 . 关键词 : 威尔配对 ;D i f f i e H e l l m a n 问题 ; 身份 ; 环签密 文献标识码 : A 文章编号 : 0 ) 3 7 2 2 1 1 2( 2 0 0 6 0 2 0 2 6 3 0 4 中图分类号 : T B 1 1
收稿日期 : 修回日期 : 2 0 0 4 0 5 0 8; 2 0 0 5 0 8 2 4 基金项目 : 江苏省高校自然科学研究重点项目 ( ) ; “ 十五 ” “ ” 工程重点学科项目 ( ) N o . 0 3 K J A 5 2 0 0 6 6 2 1 1 N o . 1 8 1 0 7 0 H 9 0 1

紧致安全的基于身份的签名方案

紧致安全的基于身份的签名方案

密码学报 ISSN 2095-7025 C N 10-1195/TNJournal of Cryptologic Research , 2021, 8(1): 132-141©《密码学报》编辑部版权所有.h t t p ://w w w .j c r .c a c r n e t .o r g .c n T e l /Fax : +86-10-82789618E -m a i l : j c r @c a c r n e t .o r g .c n 紧致安全的基于身份的签名方案1.上海交通大学计算机科学与工程系,上海2002402.密码科学技术国家重点实验室,北京1008783. 成都卫士通信息产业股份有限公司摩石实验室,北京100070通信作者:刘胜利,E -m a i l : sl l i u @s j t u .e d u .c n 摘要:本文提出了第一个紧致安全的基于身份的签名(IBS )方案.我们的构造基于B e l l a r e 等人提出 的基于证书思想的通用转化方法,包括两个组件,即选择消息攻击下不可伪造安全(EUF -C M A 安全)的 签名方案S .和多用户场景中选择消息攻击&动态密钥窃取攻击下不可伪造安全(M U -EUF -C M A e °"安 全)的签名方案§.组件S 的公私钥用作IBS 的主公钥和主私钥,用户id 的签名私钥包含了组件§所产 生的一对公私钥,以及主私钥对id 和§的公钥的签名证书.用户对消息的签名包含了组件§的公钥和证 书,以及$的私钥对此消息的签名.IBS 的安全性可以紧致归约到组件S 的EUF -C M A 安全性和组件§ 的M U -EUF -C M A e Q n ■安全性.最后,我们给出了组件S 和§的实例化,并分别在随机预言机糢型和标准 糢型下得到了紧致(与几乎紧致)EUF -C M A &C I A 安全的IBS 方案.关键词:基于身份的签名方案;紧致安全;通用构造中图分类号:TP 309.7 文献标识码:A DOI : 10.13868/j .c n k i .j c r .000426中文引用格式:刘翔宇,刘胜利,谷大武.紧致安全的基于身份的签名方案I J j .密码学报,2021, 8(1): 132-141.[DO 1: 10.13868/j .c n k i .j c r .000426]英文引用格式:LIU X Y , LIU S L,GU D W . T i g h t l y s e c u r e i d e n t i t y -b a s e d s i g n a t u r e s c h e m e [J ]. J o u r n a l o f C r y p t o l o g i c R e s e a r c h , 2021, 8(1): 132 141. [DOI : 10.13868/j .c n k i .j c r .000426]T ig h tly S e c u re Id e n tity -B a s e d S ig n a tu re S ch em eLIU Xian g -Yu 12, LIU Sheng -L i 12,3, GU Da -W u 11. Department of Compu t e r Science and Engineering, Shanghai Jiao To n g University, Shanghai 200240, China2. State K e y Laboratory of Cryptology, Beijing 100878, China3. Westone Cryptologic Research Center, Beijing 100070, ChinaCorresponding author: L I U Sheng-Li,E-mail:**************.cnA b s t r a c t : T h i s p a p e r p r o p o s e s a t i g h t l y s e c u r e i d e n t i t y -b a s e d s i g n a t u r e (IBS ) scheme . The c o n ­s t r u c t i o n f o l l o w s t h e c e r t i f i c a t i o n paradigm , d u e t oB e l l a r e et al .^ w h i c h c o n s i s t s o f t w o b u i l d i n g b l o c k s , i .e ., an u n f o r g e a b l e s i g n a t u r e sc he me S s e c u r e a g a i n s t c h o s e n m e s s a g e a t t a c k s (EUF-CMA s e c u r i t y ), and an u n f o r g e a b l e s i g n a t u r e scheme S s e c u r e a g a i n s t c h o s e n m e s s a g e Sz a d a p t i v e c o r r u p t i o n a t t a c k s i n t h e m u l t i -u s e r s e t t i n g (M U -EUF -C M A c o r r s e c u r i t y ). The p u b l i c /p r i v a t e k e y s o f s i g n a t u r e s c he me ** 基金项目:国家自然科学基金(61925207, U1636217);广东省基础与应用基础研究重大项目(2019B030302008)Foundation: National Natural Science Foundation of China (61925207, U1636217); Guangdong Major Project of Basic and Applied Basic Research (2019B030302008)收稿日期:2020-03-31 定稿日期:2020~11-27刘翔宇等:紧致安全的基于身份的签名方案133S s e r v e a s t h e main p u b l i c/p r i v a t e k e y s o f t h€'IBS.F o r e a c h u s e r id,i t s s i g n i n g s e c r e t k e y c o n s i s t s o f a k e y p a i r o f s i g n a t u r e sc heme S,and a s i g n a t u r e o f id and t h e p u b l i c k e y o f S,w h i c h i s s e r v e d a s t h e c e r t i f i c a t e.The f i n a l s i g n a t u r e c o n t a i n s t h e p u b l i c k e y o f S,t h e c e r t i f i c a t e,and a s i g n a t u r e o f t h e m e s s a g e u n d e r S.S e c u r i t y o f I B S c a n b e t i g h t l y r e d u c e d t o t h e EUF-CMA s e c u r i t y o f S and t h e M U-EUF-C M A c o r r s e c u r i t y o f S.At l a s t,we p r e s e n t i n s t a n t i a t i o n s o f S and S,and o b t a i n t i g h t l y(a n d a l m o s t t i g h t l y)EUF-C MA&C IA s e c u r e IBS s c h e m e s i n t h e random o r a c l e and t h e s t a n d a r d models, r e s p e c t i v e l y.Key words:i d e n t i t y-b a s e d s i g n a t u r e;t i g h t s e c u r i t y;g e n e r i c c o n s t r u c t i o ni引言在可证明安全中,密码学方案总是基于某些困难问题,且其安全性是通过安全归约证明来实现的.安 全归约的思路如下:如果存在某个运行时间为t的敌手^能以优势e攻击某个密码方案S,我们通过 调用算法构造出另一个运行时间f的算法使得算法S以e'的优势解决某个困难问题参数L := 定义为安全归约中的损失因子.在安全归约中,一般要求L是一个关于安全参数A的多项式.因为问题P的困难性假设认为不存在算法可以在多项式时间内解决问题P,所以密码方案S不存 在多项式时间的敌手_4,故而证明了 S的安全性.当f = 0(f)时,归约损失因子可等价定义为L := e/e'.如果L是一个常数,那么此安全归约是紧致的.如果L=O(A) (A为安全参数),归约是几乎紧致的.在很 多签名方案(S i g n a t u r e,简称SIG)中,松散安全归约的损失因子L与敌手得到的签名数Q及其涉及的 用户数p紧密相关.假设L»24Q,这就造成了一个很大的安全损失.为了弥补这个损失,在密码方案的实 施过程中,我们需要选择更大的安全参数,导致元素尺寸的增大和计算次数的增加,从而降低算法的效率. 因此,近些年来的许多密码方案都在追求紧致安全性基于身份的签名(i d e n t i t y-b a s e d s i g n a t u r e,IBS).方案最早由Shamir11£)】提出•I BS的实施通常建 立在一个群组中,群组管理员产生主公钥m v k和主私钥msk,并借助m s k为每个用户产生一个与其身 份id关联的私钥s k i d.用户可以用s k i d产生对消息m的签名(T,任何验证者可以结合主公钥m v k和相 应的i d,对(m,a)进行验证.通常一个签名方案的基本安全要求是“选择消息攻击下的不可伪造性”(简称EUF-C M A安全).该安全性是指,即使某一敌手得到了多个消息签名对,他也很难伪造出一个新消息 的合法签名.在基于身份的签名方案中,敌手还可能冒充某个身份,从群组管理员中获得其身份私钥.因 此,IBS安全性要求是:对于用户i d%只要敌手不知道其私钥s k i d*,那么即使敌手得到多个由s k i d*产生 的消息签名对,他也很难伪造一个针对i d*的新消息的签名,这就是EUF-C M A&C I A安全(正式定义见 第2节).紧致安全的签名方案分为单用户和多用户场景(基于身份的签名方案默认为多用户场景).单用户场 景下的紧致安全要求其安全损失因子与敌手得到的签名数Q无关(紧致EUF-C M A安全);多用户场景下 的紧致安全不仅要求损失因子与Q无关,还要求与用户数无关(紧致M U-EUF-C M A安全).目前己有许 多紧致安全的签名方案的研宄.在单用户场景的紧致安全方面,Cramer和Damg&d W基于R S A假设 给出了第一个紧致EUF-C M A安全的签名方案.随后出现了许多基于树结构的紧致安全的签名方案,如 文献[2-7j,另外,紧致安全的签名方案可由紧致安全的基于身份的加密方案导出,如文献[11,12].近年来,还出现了利用非交互零知识证明构造的紧致安全签名方案,如文献丨13,14].在多用户场景的紧致安全方 面,Hofheinz和J a g e r w基于D L I N假设构造了第一个紧致M U-EUF-C M A安全的签名方案.随后,张 等将其扩展为一个通用构造,并在M D D H假设和D C R假设下给出了具体实例.在基于身份的签名 方面,目前鲜有紧致安全的研宂.Ki l t z和Neven在文献丨15]中总结了 IBS的三种通用构造方法,分别基 于证书思想I1'身份认证协议和分层的基于身份的加密方案,但其构造都没有考虑紧致安全性.己有的一 些IBS的具体构造如文献丨17 19]等,其安全归约都是松散的.张等在文献丨7丨中给出了第一个紧致(弱) 安全的IBS,他们在IBS的安全性定义中要求,若敌手得到了某个id下的消息签名对后,不能再获取此 id对应的私钥s k i d,因此方案实际上只达到了弱EUF-CN1A&C I A安全性.目前,还没有真正意义上紧致 EUF-C M A&C I A安全的基于身份的签名方案.134JoumaZ 〇/C V ypfoZ o夕zc/Research 密码学报 Vol.8,No.1,Feb.2021本文主要研宄如何实现紧致安全的IBS.我们进一步研宂了文献115]的第一种通用构造方法,即Be l l a r e等人[161所提出的基于证书思想的通用转化方法,结合一个紧致EUF-C M A安全的签名方案S 和一个安全性更高(紧致M U-EUF-C M A M"安全,见第2节)的签名方案孓构造了第一个紧致EUF-C M A&C I A安全的基于身份的签名方案.与文献[15,16]的通用构造相比,我们的目标是追求紧致安全特 性,因此对子组件的安全要求不同,安全归约证明过程也有所差异.我们分别在随机预言机模型(random o r a c l e model)和标准模型(s t a n d a r d model)下给出相应的具体实例,主要工作如图1所示.R O模型,基于D D H的S I G【2Q I标准模型,基于M D D H的SIG I7】_______紧致E U F-C M A安全签名方案S1用构%紧致E U F-C M A&C I A安全R O模型,基于D D H的SIG [9丨--------标准模型,基于M D D H的SIG [81-------紧致M U-E U F-C M A C Qn■安全 |>签名方案§1IBS 图1构造与实例化F i g u r e 1C o n s t r u c t i o n a n d i n s t a n t i a t i o n s2预备知识本节给出(常规)签名方案与基于身份的签名方案的定义及安全性要求.首先对符号做说明如下.用 A表示安全参数;对于自然数/a用M表示集合{1,2,…,"丨;用a: 4A表示从集合A1中均匀随机地 选取巧用y卜乂(c c)表示输入r r运行算法并将结果赋值给用0表示空字符;用丨|表示串联符 号;P P T是概率多项式时间的缩写;p o l y(_)为多项式函数;可忽略函数n e g l(.)定义为当A足够大时,都 有 n e g l(A) <l/p o l y(A).2.1签名方案及其安全性定义1 (签名方案)一个签名方案S==(Se t u p,KGen,S i g n,V e r)由如下四个算法组成:•S e t u p(l A):预备算法输入安全参数1A,输出公开参数pp.假定pp为Sign和Ver的一个隐式输入.•KGen(pp):密钥生成算法输入pp,输出…对验证公钥/签名私钥(vk,s k).•S i g n(s k,m):签名算法输入私钥sk和消息m,输出一个签名(7.•V e r(vk,m,c T):验证算法输入公钥v k,消息m和签名〇■,输出一个比特,1代表是消息m的一个 合法签名,0代表不合法.正确性:对任意 p p S e t u p(l A), (v k,s k) ■(-KGen(pp),任意消息 m,都有 V e r(vk.m,S i g n(s k,m))=1成立.针对一个签名方案,敌手可能会自主选择一些消息,并获得这些消息的相应签名.不可伪造性要求即 使敌手看到了这些消息签名对,他也不能对一个新的消息伪造出合法签名.安全定义具体如下.定义2 (EUF-C M A安全)对签名方案S = (S e t Up,KGen,S i g n,V er),定义敌手在选择消息攻击下的攻击优势A ,c m a/>N D P P^S e t u p(l A);(v k,s k)KGen(pp),.,»*、,Advs,^(A) := P r,,、:m^ A V e r(v k,m,c r ) = 1(m,a ))(ppj V k)这里〇s,™(.)是个签名预言机,集合Q m用于存储己问询签名的消息.〇s,C N(m)调用<r e S i g n(s k,m),将m存入Q m并返回〇•.如果对于任意P P T敌手有Adv|"^A) =n e g l⑶成立,那么我们称S具有 选择消息攻击下的不可伪造性,即EUF-C M A安全.一般签名方案都部署于多用户场景.即敌手会看到多对(用户)公钥,他可以选择某一用户进行攻击. 在某些多用户应用场景如认证密钥交换中,敌手还可以动态地窃取部分用户的私钥s k,方案安全性在这 时要求没有被窃取密钥的那些用户(以及对应公私钥)下的签名的不可伪造性,即M U-EUF-C M A1^安 全|8).安全定义具体如下.刘翔宇等:紧致安全的基于身份的签名方案135定义3 (M U-EUF-C M A11。

基于身份的签密和代理签密方案

基于身份的签密和代理签密方案
t e u i i s c rt c y;u f r e bi t nog a l y i
0 引 言
基 于身份 密码学 是 S a r 18 hmi于 9 4年提 出 的概 念 , 目的是 为 了简 化传 统 公 钥 密码 体 制 中的证 书管 其
理 问题 。基 于身 份密码 的主要思想 是 把 一些 可识 别 的用户 信 息 ( 姓名 、 如 邮箱 地址 、 份 证 号码 等 ) 为 身 作
冀 会 芳 ,韩 文 报 , 赵 龙
( 息 T 程 大 学 信 息 工 程 学 院 , 南 郑 州 40 0 ) 信 河 5 0 2
摘要 : 首先 , 出基 于 身份 的代理 签 密方 案 , 对 提 并
两 个 新 方 案 的安 全 性 和 效 率 进 行 分 析 。 结 果 表 明 , 基 于 身 份 签 密 方 案 和 基 于 身 份 代 理 签 密 该
第1 1卷 第 4期
21 0 0年 8月
信 息 工 程 大 学 学 报
J u n lo n o ma in En i e rn i est o r a fI fr t g n e i g Un v riy o
Vo . 1 1 1 NO 4 . Au . 01 g2 0
基 于 身 份 的签 密 和 代 理 签 密 方 案
方 案的保 密性在 B H 假 设 下是 语 义 安全 , I D IS — C 2安全 的。在 C H假 设 下 , 案 D 即 N — CC A B D 方 是适应 性选 择消 息和身 份攻 击下存在 性不 可伪 造 的。
关 键词 : 于身份 签 密; 于身 份代理 签 密 ; 线性对 ; 义 安全 ; 可 伪造 性 基 基 双 语 不
中图分类 号 :N 1 . T 9 81

可证安全的隐私保护多接收者异构聚合签密方案

可证安全的隐私保护多接收者异构聚合签密方案
有签密以及聚合验证的功能' "&!"年, \en 等人($)设计了基于身份密码体
制下可证安全的聚合签密方案, 但是该方案不支持 公开验证° 201Y年,ZiSa等人⑷把聚合签密技术 应用到无证书密码体制中' 很多工业部门开始使 用物联网,传输过程中可能会使用不同的密码技 术°有些使用传统公钥体制TPKI(Traditional Public Key Infrastructure),有些使用基于身份的 密码 IBC(ITentify-BaseT Cryptography)和无证书 公钥密码 CLC ( Certificateless Public Key Cryp­ tography)° 如果发送方和接收方属于2 个不同密 码体制"若要进行系统间的通信"就需要用到异构 技术° Sun 等人(+)在2&!&年设计了异构签密体
YY"
CciputeKEngleeKng N Lcience 计算机工程与科学 2&2&"2(%)
证单个签名的安全"不能保证聚合后的签名安全 性'Song等人()将聚合签名应用到车载网中,但 是提出的方案签名可以被伪造 ' "&&+年"L:7KIiB7 等人(-)首度给出了聚合签密的具体方案,该技术具
密均可被伪造!存在密钥生成中心的被动攻击"首先描述了详细的攻击过程!说明牛淑芬方案存在被动攻
击"其次!改进了牛淑芬方案!并通过安全性分析证明了改进方案没有安全问题显示!改进方案的效率与原方案相当"
关键词!异构#聚合签密#隐私保护#被动攻击
中图分类号!)*%0+
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

可证明安全的基于身份的聚合签密方案摘要:为了更有效地保护网络信息的安全,需要同时实现消息的机密性和认证性。

签密方案能够在一个逻辑步骤内同时实现对消息的签名和加密。

为了提高当前已存在的签密方案的安全性和算法效率,结合聚合签名的思想,提出一种基于身份的聚合签密方案。

在随机语言模型中证明了该方案具有适应性选择密文攻击下的不可区分性,在适应性选择消息攻击下是存在性不可伪造的,其安全性归约为计算椭圆曲线离散对数问题和双线性DiffieHellman问题的困难性。

与目前效率较高、密文长度较短的几个方案进行比较的结果表明,新方案的签密和解签密过程分别仅需1次双线性对运算,具有计算成本低、密文长度短的优良特性。

关键词:双线性对;签密;聚合签密;随机预言模型;可证明安全中图分类号:TP309.7 文献标志码:AAbstract:In order to more effectively protect the security of network information,confidentiality and authentication of message need to be realized at the same time. Signcryption performs signature and encryption simultaneously in one logical step. In order to improve safety and efficiency of existing signcryption,an identitybased aggregate signcryption schemewas proposed by combining the ideas of aggregate signature. Under the random oracle model,the scheme was proved to be indistinguishable against adaptive chosen ciphertext attacks,and existentially unforgeable against adaptive chosen messages attacks. The security could be reduced to the elliptic curve discrete logarithm problem and computational bilinear paring DiffeHellman problem. Compared with serveral schemes with high efficiency and short key length,the analysis of results shows that the new schemes signcryption and unsigncryption has only one pairing operation,thus has the excellent features with low computational cost and short length of ciphertext.Key words:blinear pairing;signcryption;aggregate signcryption;random oracle model;provable security0 引言加密和数字签名是公钥密码体制中分别保证消息的机密性和认证功能的最基本的密码构件。

在诸多实际应用中,为了同时达到认证和机密性要求,通常的做法是先签名后加密。

1997年,Zheng[1]首次提出了一个新的密码原语――签密(Signcryption)。

所谓签密就是在单一逻辑步骤中同时实现数字签名和公钥加密所具有的全部功能,而且它所需要的计算和通信代价应该远小于传统的先签名后加密所需要的代价。

早期的签密方案仅偏向于直观的安全性分析,后来签密得到较深入的研究[2-4]。

An等[2]和Baek等[3]独立地提出了签密的形式化定义,并给出了详细的安全性考虑和具体的安全概念。

MaloneLee等[4]巧妙地运用陷门置换构造签密方案,并给出了基于大整数分解难题的RSA加密和数字签名组合的签密方案。

MaloneLee[5]首次提出基于身份的签密(Identity Based SignCryption,IBSC)方案,但Libert等[6]指出MaloneLee方案并不具有语义安全性,因为该签密方案中对消息的签名可以直接从签密密文“看到”;而且Libert等在文献[6]中提出了三种不同的基于身份签密方案,它们要么满足公开可验证性,要么满足前向安全性。

后来,许多安全高效的IBSC方案被相继提出[7-10]。

其中,Boyen[8]设计出了一个满足许多安全性要求的基于身份的签密方案,诸如机密性、不可否认性等;文献[9-10]对Boyen的方案在效率上进行了提高;据笔者了解,Barreto等[10]提出的改进方案是目前效率最高的基于身份签密方案。

另外,Yu等[11]提出了第一个在标准模型下可证明安全的基于身份的签名方案,也就是说,在判定性双线性对DiffieHellman困难问题假设下证明该方案具有语义安全性;但是Wang等[12]指出该方案并不能完全满足所声称的语义安全性。

聚合签名[13]是近年被关注的一个热点,是一种有广阔前景的关键签名密码部件,对许多应用都有良好的支撑作用。

将聚合签名和签密结合起来形成的聚合签密[14-15]在网络选举和银行系统等方面有着重要的应用。

从提高算法的效率和方案的安全性角度,本文提出了一种可证明安全的基于身份的聚合签密方案。

通过表1可以看出,新方案IBASC的签密过程和解密过程中的计算量比已有文献的计算量要小。

表2则反映了新方案IBASC的密文长度比目前密文长度较短的两种方案的密文还要短一些。

以上的性能分析,表明了新方案在计算效率和密文长度方面具有明显的优势。

5 结语在分布式系统中经常需要处理多个不同用户对不同信息的签名。

聚合签名可有效地用于分级公钥基础设施(Public Key Infrastructure,PKI)中的证书链、无线传感网安全路由等领域。

本文将聚合签名的原理和签密方案相结合,提出了一种在随机语言模型下可证明安全的聚合签密方案。

本文基于密码学困难问题假设证明了该方案满足机密性和签名的不可伪造性,然后从计算代价和密文长度方面与目前效率较高的几种方案作了比较,结果表明本文方案的计算成本更低,并且密文长度更短。

因此,本文方案适合于计算代价有限、存储空间小的移动装置如PDA、智能卡以及手机等,也适合于无线传感器网络的环境。

参考文献:[1]ZHENG Y. Digital signcryption or how to achieve cost (signature & encryption)cost (signature)+ cost(encryption)[C] // CRYPTO 97:Proceedings of the 17th Annual International Cryptology Conference,LNCS 1294. Berlin:SpringerVerlag,1997:165-179.[2]AN J H,DODIS Y,RABIN T. On the security of joint signature and encryption [C]// EUROCRYPT 2002:Proceedings of the International Conference on the Theory and Applications of Cryptographic Techniques,LNCS 2332. Berlin:SpringerVerlag,2002:83-107.[3]BAEK J,STEINFELD R,ZHENG Y. Formal proofs for the security of signcryption [C]// PKC 2002:Proceedings of the 5th International Workshop on Practice and Theory in Public Key Cryptosystems,LNCS 2274. Berlin:SpringerVerlag,2002:80-98.Journal of Cryptology,2007,20(2):203-235.http:///yzheng/publications/files/BaekSteifeldZhe ng-fsps-joc-bsz-261206.pdf[4]MALONELEE J,MAO W. Two birds one stone:signcryption using RSA [C]// CTRSA 2003:Proceedings of the 2003 Cryptographers Track at the RSA Conference,LNCS 2612. Berlin:SpringerVerlag,2003:211-226.[5]MALONELEE J. Identitybased signcryption,Report2002/098 [R/OL]. (20020719)[20140602]. http:///2002/098.[6]LIBERT B,QUISQUATER JJ. A new identity based signcryption schemes from pairings [C]// ITW2003:Proceedings of the 2003 IEEE Information Theory Workshop. Piscataway:IEEE,2003:155-158.http:///2003/023.pdf按作者页码信息应该是这个页面的文章:http:///xpl/login.jsp?tp=&arnumber=1216718&url=http%3A%2F%2Fieeexplore.ieee .org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D1216718[7]CHOW S S M,YIU S M,HUI L C K,et al. Efficient forward and provably secure IDbased signcryption scheme with public verifiability and public ciphertext authenticity [M]// ICISC 2003:Proceedings of the 6th International Conference on Information Security and Cryptology,LNCS 2971. Berlin:SpringerVerlag,2004:352-369.[8]BOYEN X. Multipurpose identitybased signcryption[C]// CRYPTO 2003:Proceedings of the 23rd Annual International Cryptology Conference,LNCS 2729. Berlin:SpringerVerlag,2003:383-399. [9]CHEN L,MALONELEE J. Improved identitybased signcryption [C]//PKC 2005:Proceedings of the 8th International Workshop on Theory and Practice in Public Key Cryptography,LNCS 3386. Berlin:SpringerVerlag,2005:362-379.[10]BARRETO P,LIBERT B,MCCULLAGH N,et al. Efficient and provablysecure identitybased signatures and signcryption from bilinear maps [C]// ASIACRYPT 2005:Proceedings of the 11th International Conference on the Theory and Application of Cryptology and Information Security,LNCS 3788. Berlin:SpringerVerlag,2005:515-532.[11]YU Y,YANG B,SUN Y,et al. Identity based signcryption scheme without random oracles [J]. Computer Standards & Interfaces,2009,31(1):56-62.[12]WANG X,QIAN H. Attacks against two identitybased signcryption schemes [C]// Proceedings of the Second International Conference on Networks Security Wireless Communications and Trusted Computing. Piscataway:IEEE,2010,1:24-27.[13]BONEH D,GENTRY C,LYNN B,et al. Aggregate and verifiably encrypted signatures from bilinear maps [C]// EUROCRPYT 2003:Proceedings of the 2003 International Conference on the Theory and Applications of Cryptographic Techniques,LNCS 2656. Berlin:SpringerVerlag,2003:416-432.[14]REN X,QI Z,GENG Y. Provably secure aggregate signcryption scheme [J]. ETRI Journal,2012,34(3):421-428.[15]SELVI S S D,VIVEK S S,SHRIRAM J,et al. Security analysis of aggregate signature and batch verification signature schemes,Report 2009/290 [R/OL]. [20140624]. http:///2009/290.。