广播多重签名方案中阈下信道的封闭协议
- 格式:pdf
- 大小:209.88 KB
- 文档页数:3
文档推荐
-
第一节 信道及其分类页数:17
-
椭圆曲线数字签名中阈下信道通信研究页数:7
-
广播多重签名方案中阈下信道的封闭协议页数:3
-
信息安全原理-- 阈下信道页数:75
下载文档原格式
合集下载
基于RSA的无证书广播多重代理签名方案
0 引 言
公 钥 密 码 体 制是 实现 网络 和 信 息安 全 的一 种 重 要 技术 ,为 了解 决传 统公 钥 密码 体制 中的证 书管 理 问 题 和基 于 身份 密 码 体 制 中 的密 钥 托 管 问题 ,A1一Riya— mi和 Paterson… 于 2003年首 次提 出 了无 证 书 公钥 密 码 系统 。在 一个 无证 书 密码 体制 中 ,用 户 的私 钥 不是 由密钥 生成 中心 (KGC)独 自产 生 的 ,而 是 由 KGC生 成部 分 私钥 和 用 户 选 取 的 秘 密 值 一 起 组 成 的 ,由 于 KGC没 有用 户 的秘 密值 ,从 而 不 能 获得 用 户 的私 钥 , 也就 解决 了密钥 托管 问题 。在 无证 书 密码 体制 中 ,存 在 2种敌 手攻 击 :1)密 钥替 换 攻 击 ,即攻 击 者 不 可 能 拥 有 系统 主密 钥 ,也 就 没 办 法 得 到 用 户 的 部 分 私钥 , 但 可 以替换 任何 用 户 的公 私 密 钥 对 ;2)恶 意 的 KGC 攻击 ,即攻 击者 拥 有 系 统 主 密 钥 ,可 以生 成 用 户 的 部
A Certif icateless Broadcasting M ulti-proxy Signature Schem e Based on RSA
(College of Mathematics and Information Science,Bali University of Arts and Sciences,Bali 721013,China)
2016年 第 6期 文章编号 :1006-2475(2016)06-0113-04
计 算 机 与 现 代 化 JISUANJI YU XIANDAIHUA
广播多重数字签名方案研究
S a—a UN Xioh n,L U Jn I ig ( o eeo te a c adIf ao cec ,WennT ahr U i r t,Wenn7 4 0 ,C ia C H g f h m ts n no tnS i e Ma i mli n ia eces n esy v i ia 0 0 h ) 1 n
件 ”。根据多重签名顺序和过程 的不同, '] 可分为有
序 多重 签名 和广 播 多重 签 名 。有 序 多 重 数 字 签 名 是 由文件 的发送 者规 定 好签 名 的顺序 , 每一 位签 名 者 只 要验 证前 一 位签 名 者 的签 名 信 息 , 果通 过 验 证 , 如 就 在原 来 的基 础上 加 上 自己的数 字 签 名 后 把 文 件 发 送 给 下 一 位 签 名 者 , 果 验 证 失 败 则 终 止 签 名 过 如 程 'J l。最后 一 名 签 名 者 把文 件 和最 终 的签 名 传 送 I
2 1 年 第 9期 01 文 章 编 号 :062 7 (0 )90 - 10 —4 5 2 1 0 -19 3 1 10
计 算 机 与 现 代 化 JS A J U X A D I U IU N IY I N A H A
第 13期 9
广 播 多 重 数 字 签名 方 案 研 究
mut sg au e i o s u t d l - in t r sc n t ce .T e f e wh c ssg e y e c i e e t o t e s n tr ol co h l s n h sz ef— i r h l i h i i n d b a h s i n g ri s n h i au e c l trw o wi y te ie t i s t g e l h h lsg au .F n H a in t r e i a y,t e f a i au e c n b o fr d b h e f r h c e ic s e a e a an t h xe a t h n l g t r a e c n ime yt e v r e .T e s h me d s u s d c n b g i s e e t r l — i sn i i t n a t c s m d t ec n p r c t c so o in r h s e t i sC e if re .B tt ec n p r c fs me sg e sa d t ev i・ a k a o s ia y a a k fs me sg e sw o e i ni e a b e r d u o s ia y o o in r n e h t d t n n h h l i a o n n t t rc n n t e fu d i i . e b o me K e r s r d o mut sg au e u d a i e iu ;c n p r c t c y wo d :a i l — i t r ;q a rt r sd e o s i y at k i n c a a
件 ”。根据多重签名顺序和过程 的不同, '] 可分为有
序 多重 签名 和广 播 多重 签 名 。有 序 多 重 数 字 签 名 是 由文件 的发送 者规 定 好签 名 的顺序 , 每一 位签 名 者 只 要验 证前 一 位签 名 者 的签 名 信 息 , 果通 过 验 证 , 如 就 在原 来 的基 础上 加 上 自己的数 字 签 名 后 把 文 件 发 送 给 下 一 位 签 名 者 , 果 验 证 失 败 则 终 止 签 名 过 如 程 'J l。最后 一 名 签 名 者 把文 件 和最 终 的签 名 传 送 I
2 1 年 第 9期 01 文 章 编 号 :062 7 (0 )90 - 10 —4 5 2 1 0 -19 3 1 10
计 算 机 与 现 代 化 JS A J U X A D I U IU N IY I N A H A
第 13期 9
广 播 多 重 数 字 签名 方 案 研 究
mut sg au e i o s u t d l - in t r sc n t ce .T e f e wh c ssg e y e c i e e t o t e s n tr ol co h l s n h sz ef— i r h l i h i i n d b a h s i n g ri s n h i au e c l trw o wi y te ie t i s t g e l h h lsg au .F n H a in t r e i a y,t e f a i au e c n b o fr d b h e f r h c e ic s e a e a an t h xe a t h n l g t r a e c n ime yt e v r e .T e s h me d s u s d c n b g i s e e t r l — i sn i i t n a t c s m d t ec n p r c t c so o in r h s e t i sC e if re .B tt ec n p r c fs me sg e sa d t ev i・ a k a o s ia y a a k fs me sg e sw o e i ni e a b e r d u o s ia y o o in r n e h t d t n n h h l i a o n n t t rc n n t e fu d i i . e b o me K e r s r d o mut sg au e u d a i e iu ;c n p r c t c y wo d :a i l — i t r ;q a rt r sd e o s i y at k i n c a a
《安全协议》期末考试复习题(带答案)4.doc
测试题四一、判断题(12分)1.通过执行协议必须完成某项任务或达成某项共识。
2.在对称密钥体制中,加密密钥和解密密钥是一样的或者彼此之间是容易相互确定的。
3.否认签名和普通数字签名最本质的不同在于:对于不可否认签名,在得不到签名者配合情况下其他人不能正确进行签名验证,从而可以防止非法复制和扩散签名者所签署的文件。
4.在公钥协议中,数字证书可离线担保实体确实是公钥的所有者。
5.Rabin体制和RSA体制基于大数问题。
6.阈下信道有密钥保护,安全性很高。
7.部分盲签名这里的部分就意味着代签名的消息是由签名申请方和签名方共同生成的。
8.在Rabin的一次签名方案中签名的验证只需要签名者。
9.无线网络的工作模式可分为基础结构模式和自组织网络模式。
10.部分盲签名这里的部分就意味着代签名的消息是由签名申请方和签名方共同生成的。
11.在Rabin的一次签名方案中签名的验证只需要签名者。
12.无线网络的工作模式可分为基础结构模式和自组织网络模式。
二、填空题(18分)1.秘密共享是一种将的密码技术。
2.根据RFID标签的能量来源,可以将其分为三大类:3.零知识证明具有正确性、、。
4.常用的保证新鲜值的机制有、、。
5.零知识证明的简单模型有、分割选择协议、一般的协议。
6.从证书包含的信息数量来看,数字证书的选择性泄露分为两种:单一数字证书内容泄露和。
7. _________________________________________ 在重放中,攻击者介入协议运行,通过 ______________________________________ 再重放的方式实现攻击。
8.理论上不可攻破的密码系统通常称作。
9.部分盲签名较好的克服了的一些固有的缺点。
10.若至多可以用来对一个消息进行签名,否则签名就可能被伪造,我们称这种签名为。
11.当用户接收到的信息都是二进制串时,用户无法判断二进制串是否经过加密等处理,就是利用这一点使得用户将一个消息错误的解释成其他的消息。
EDL签名中可证明安全的阈下信道封闭协议
ZHANG n - u Yi g h i 。 ’ M A u W ANG a - a g H a B oc n 2
( c o lo ce c Xiin Unv r i Xia 1 0 1 Chn ) S h o fS in e, da iest y, ’n 7 0 7 , ia
Dfeh l n 问题 是 困难 的 假 设 下 , 协 议 被 证 明是 安 全 的 。在 新 协 议 中 , 守 虽 然参 与 了签 名 的 生 成 , 却 不 能 伪 ii ema ) f- l 新 看 但
造签名, 从而保证 了签名者的签名权力。在计 算量方面, 签名者和 看守分别执行 2次和 3次模 指数 运算。
第3 7卷 第 9 期 21 0 0年 9月
计
算机科ຫໍສະໝຸດ 学 Co p t r ce c m u e S in e
Vo. 7No 9 13 . S p2 1 e 0 0
E L签 名 中可 证 明安 全 的 阈 下信 道 封 闭协 议 D
张应 辉 马 。 华 王保 仓。 ( 安 电子科 技大 学理 学院 西安 7 0 7 ) 西 1 0 1
关键 词 密码 学 , 字签 名 , 息 隐藏 , 下信 道 , 闭协 议 , 机 预 言机 模 型 数 信 阈 封 随 T 39 P 0 文献 标 识 码 A 中 图 法分 类 号
Pr v b y S c r u i n lf e o o o n EDL g t lS g a u e o a l e u e S blmi a — r e Pr t c li Diia i n t r
Ab ta t Su l n lc a n l i sr c b i a h n es n EDL s n t r r o sr c e is l t e n i t r ci e s b i ia r e p o o o mi i a u e we e c n t u t d fr t g y, h n a n e a tv u l n bfe r t c l m wa e i n d I i s o h t h r p s d p o o o a o l t l l s u l ia h n es e itn n t e r n o p — sd s e . t s h wn t a ep o o e r t c l n c mp e ey co e s b i n l a n l x si g i h a d m a g t c m c r me e s i a tr n EDI in t r . e p o o e r t c li p o e o b e u e i sg a u e Th r p s d p o o o s r v d t e s c r n RO ( a d m r ce mo e s u ig t e rn o o a l) d la s m n h CDH ( o u a i n l fi h l n c mp t t a f  ̄ el o Di e ma )p o lm a d I h e p o o o , h r e a t i a e h e e a in o i — r b e i h r . n t en w r t c l t ewa d n p ri p t st eg n r t fsg s c o n t r , u a o i n me s g s Th s t e sg a u ea t o i ft e s n ri u r n e d To g n r t in t r 。t a u e b tc n n tsg s a e . u ,h i n t r u h rt o h i e sg a a t e . e e a e a sg a u e i y g o l e d o p ro m n d l re p n n it n f r t e s n r a d t ewa d n r s e t ey n y n e st e f r 2 a d 3 mo u a x o e t i o h i e n h r e e p c i l . ao g v Ke wo d Cr p o r p y Di i lsg a u e I f r a in h d n , u l n l h n e , e r t c l Ra d m r cemo e y rs y t g a h , g t in t r , n o m t i i g S b i a o mi a c a n l Fr ep o o o , n o o a l d l
( c o lo ce c Xiin Unv r i Xia 1 0 1 Chn ) S h o fS in e, da iest y, ’n 7 0 7 , ia
Dfeh l n 问题 是 困难 的 假 设 下 , 协 议 被 证 明是 安 全 的 。在 新 协 议 中 , 守 虽 然参 与 了签 名 的 生 成 , 却 不 能 伪 ii ema ) f- l 新 看 但
造签名, 从而保证 了签名者的签名权力。在计 算量方面, 签名者和 看守分别执行 2次和 3次模 指数 运算。
第3 7卷 第 9 期 21 0 0年 9月
计
算机科ຫໍສະໝຸດ 学 Co p t r ce c m u e S in e
Vo. 7No 9 13 . S p2 1 e 0 0
E L签 名 中可 证 明安 全 的 阈 下信 道 封 闭协 议 D
张应 辉 马 。 华 王保 仓。 ( 安 电子科 技大 学理 学院 西安 7 0 7 ) 西 1 0 1
关键 词 密码 学 , 字签 名 , 息 隐藏 , 下信 道 , 闭协 议 , 机 预 言机 模 型 数 信 阈 封 随 T 39 P 0 文献 标 识 码 A 中 图 法分 类 号
Pr v b y S c r u i n lf e o o o n EDL g t lS g a u e o a l e u e S blmi a — r e Pr t c li Diia i n t r
Ab ta t Su l n lc a n l i sr c b i a h n es n EDL s n t r r o sr c e is l t e n i t r ci e s b i ia r e p o o o mi i a u e we e c n t u t d fr t g y, h n a n e a tv u l n bfe r t c l m wa e i n d I i s o h t h r p s d p o o o a o l t l l s u l ia h n es e itn n t e r n o p — sd s e . t s h wn t a ep o o e r t c l n c mp e ey co e s b i n l a n l x si g i h a d m a g t c m c r me e s i a tr n EDI in t r . e p o o e r t c li p o e o b e u e i sg a u e Th r p s d p o o o s r v d t e s c r n RO ( a d m r ce mo e s u ig t e rn o o a l) d la s m n h CDH ( o u a i n l fi h l n c mp t t a f  ̄ el o Di e ma )p o lm a d I h e p o o o , h r e a t i a e h e e a in o i — r b e i h r . n t en w r t c l t ewa d n p ri p t st eg n r t fsg s c o n t r , u a o i n me s g s Th s t e sg a u ea t o i ft e s n ri u r n e d To g n r t in t r 。t a u e b tc n n tsg s a e . u ,h i n t r u h rt o h i e sg a a t e . e e a e a sg a u e i y g o l e d o p ro m n d l re p n n it n f r t e s n r a d t ewa d n r s e t ey n y n e st e f r 2 a d 3 mo u a x o e t i o h i e n h r e e p c i l . ao g v Ke wo d Cr p o r p y Di i lsg a u e I f r a in h d n , u l n l h n e , e r t c l Ra d m r cemo e y rs y t g a h , g t in t r , n o m t i i g S b i a o mi a c a n l Fr ep o o o , n o o a l d l
应急广播安全保护技术规范数字签名
应急广播安全保护技术规范数字签名1 范围本技术文件规定了应急广播信息主体文件、应急广播消息指令文件和传输覆盖指令的数字签名安全保护机制。
本技术文件适用于应急广播从应急信息接入、制播、调度控制、传输覆盖到接收全流程的安全保护。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 32905—2016 信息安全技术 SM3密码杂凑算法GB/T 32918(所有部分)信息安全技术 SM2椭圆曲线公钥密码算法3 术语和定义下列术语和定义适用于本文件。
3.1应急广播消息 emergency broadcasting message各级应急广播平台之间,以及应急广播平台到广播电视频率频道播出系统、各类应急广播传输覆盖资源和终端之间传递的播发指令等相关数据。
应急广播消息包括应急广播信息主体文件、应急广播信息主体签名文件、应急广播节目资源文件、应急广播消息指令文件、应急广播消息指令签名文件。
3.2应急广播数字证书 emergency broadcasting certificate由数字证书签发编号和数字证书编号唯一标识,包括数字证书格式版本号、数字证书签发编号、数字证书编号、数字证书有效期、公钥信息、数字签名信息等,用于应急广播各级系统之间、系统与终端之间的认证。
3.3数字签名 digital signature附加在数据单元上的数据,或是对数据单元所作的密码变换,这种数据或变换允许数据单元的接收者用以确认数据单元的来源和完整性,并保护数据防止被人(例如接收者)伪造或抵赖。
3.4应急广播数字证书管理系统 emergency broadcasting certificate management systemGD/J 081—2018进行应急广播各级系统和接收端数字证书生成、发放和撤销的管理系统。
通用可复合的ElGamal型广播多重签密协议
通用可复合的ElGamal型广播多重签密协议李建民;俞惠芳;谢永【摘要】多重签密是指2个以上参与方对同一则消息进行签密,并且要求签密结果不能因为签密者数目增多而呈线性增长.普通的ElGamal型多重签名虽然具有不可伪造性,但不能抵制多个签名者的联合攻击.为了克服现有ElGamal型多重签名的缺点,将ElGamal型多重签名和公钥签密组合在一起研究,提出了一种新的ElGamal 型广播多重签密(ElGamal broadcasting multi-signcryption,EBMSC)协议,并给出了该协议的算法定义和安全模型,也在随机预言模型中证明了该协议在离散对数和计算性Diffie-Hellman假设下是语义安全的;然后在通用可复合框架下定义了ElGamal型广播多重签密协议的理想函数和现实协议,进而证明了现实协议能够实现广播多重签密协议的理想功能,同时还证明了现实协议是满足选择消息攻击下的不可伪造性;最后给出了ElGamal型广播多重签密协议与其他协议的效率比较.结果表明:该协议不仅在效率上要优于现有方案,而且在通用可复合框架下实现了多重签密功能.该协议适合应用在电子商务、合同签署、网上交易和财务出账等方面.【期刊名称】《计算机研究与发展》【年(卷),期】2019(056)005【总页数】11页(P1101-1111)【关键词】ElGamal多重签名;ElGamal型广播多重签密;语义安全;随机预言模型;通用可复合安全【作者】李建民;俞惠芳;谢永【作者单位】青海省气象台西宁 810001;青海师范大学计算机学院西宁 810008;西安邮电大学通信与信息工程学院西安 710121;青海大学计算技术与应用系西宁810003【正文语种】中文【中图分类】TP309多重签名[1]是指2个以上的签名者对同一则消息进行签名,同时要求签名的长度不会因为签名者数目增多而呈线性增长,该类方案在电子商务领域被广泛应用.目前多重签名主要使用RSA(rivest shamir adleman)[2]、ElGamal[3-4]、双线性对[5]、离散对数[6-7]等思想来设计.1994年Harn[8]提出了Meta-ElGamal多重签名.1996年Wu等人[9]依据签名的签署顺序不同,将多重签名区分为顺序多重签名和广播多重签名.顺序多重签名意味着签名者必须按照特有的顺序依次对消息进行签名;广播多重签名是指签名者不必拘泥于固有的顺序,按广播的方式对消息进行签名,由收集者合并且输出签名.广播多重签名相比顺序多重签名应用更为广泛,ElGamal 型多重签名的安全性基于DL(discrete logarithm)问题的难解性,满足不可伪造性,缺点是不具备签名者的身份验证,不能抵制多个签名者的联合攻击. 1997年Zheng[10]提出了签密方案.签密方案相对于传统的签名方案而言,能够同时完成签名和加密2项功能.签名方案只是确保设计方案的不可伪造性,在安全性分析时,只要方案满足选择消息攻击的不可伪造性,那么就说设计的方案是语义安全的.签密方案能够在一个合理的逻辑步骤内同时完成签名和加密,在安全性分析时,不仅要分析方案的保密性,还要分析方案的不可伪造性.2002年Baek等人[11]对Zheng的签密方案进行了改进,同时给出了随机预言模型下的安全性证明.2011年Fan等人[12]改进了2002版本的签密方案,在Hash函数的输入中添加了接收方和发送方的公钥.近年来,越来越多的学者将签密和具有特殊性质的签名结合起来进行研究,使用不同的认证方法来认证用户公钥[13-19].2016年周才学[20]指出很多签密方案还存在安全问题,同时他认为在解签密算法的验证等式中不应出现明文信息,加密部分应该包含发送者的公钥或身份信息,签名部分应包含接收者的公钥或身份信息,在无证书密码体制的签名部分中不要让部分私钥和秘密值之间只是存在简单的线性关系.UC(universally composalble)安全框架[21]满足协议的模块化设计要求,可以单独用来设计协议.只要协议满足UC安全性,则可以保证和其他协议并发组合运行的安全性.设计一个UC安全协议,首先要将协议所希望完成的功能抽象为一个理想函数,该理想函数相当于现实世界中一个不可攻破的可信第三方.2003年Canetti等人[22]纠正了自己在2001年提出的签名理想函数的定义,通过添加SID(session identifier)来编码签名者的身份,允许被收买的签名者对合法的签名进行验证,对公钥、签名、验证消息进行储存;2007年Kristian等人[23]利用用户友好交互提出了一个安全消息传递理想函数,给出了签密的理想函数;2012年Canetti等人[24]提出了不经意传输(oblivious transfer, OT)协议的理想函数,同时给出了使用OT协议的双向认证协议的通用方法.国内对UC安全的研究也取得了一些成果,冯涛等人[25]利用可否认加密体制和可验证平滑投影Hash函数提出了一个UC安全的高效不经意传输协议;苏婷等人[26]基于密钥注册模型形式化定义了签密协议的安全模型(即签密协议的理想函数),设计了一般化的签密协议,给出了UC框架下的证明;张忠等人[27]形式化定义了信息处理集合和无线射频识别(radio frequency identification, RFID)组证明的理想函数,然后设计了一个组证明RFID协议,证明了该协议安全地实现了理想功能;田有亮等人[28]利用身份签密机制提出了一个UC安全的群通信协议,解决了多播群组通信的组合安全问题,之后,他们又设计了一个通用可组合的安全多方计算协议[29],即在UC框架下能实现公平的安全两方计算协议,使人们认为的两方公平安全计算不能实现的问题得到解决.本文结合自认证公钥和Meta-ElGamal多重签名协议的思想,在UC框架下设计了一个ElGamal型广播多重签密(ElGamal broadcasting multi-sign-cryption, EBMSC)协议,进而在UC安全框架下分析了该协议的安全性.也给出了ElGamal型广播多重签密协议的UC安全性证明.1 预备知识1.1 困难假设定义1. DL假设.设G是阶为素数p的循环群, g是G的一个生成元.已知(p,G,w),找到一个a∈Z使得w∈ga是困难的.定义2. CDH假设.设G是素数阶p的循环群,g是G的一个生成元.已知(ga,gb∈G*,其中a,b∈Z找到ga b∈G是困难的.1.2 UC安全框架UC安全框架是由现实模型、理想模型和混合模型组成.在UC框架中,用交互式图灵机(inter-active turing machine, ITM)来描述协议的参与方、敌手和环境机等实体.每个ITM的运行都被限定在概率多项式时间内.在现实模型中,包括了参与方P、敌手A、协议π和环境机Z等实体,参与方P不仅诚实地执行协议π,而且相互之间还可以直接通信.在理想模型中,包括了参与方P、模拟者S、理想函数F和环境机Z等实体.和现实模型不一样的是,参与方P相互之间不能直接通信,而是通过理想函数F来转发信息,现实模型和理想模型的外部环境Z相同.由于模块化的设计思想,只要证明某个协议能满足UC安全性,则和其他协议并发运行也能保证其安全性.定义3. 不可区分性[21].X和Y是2个不可区分的二元分布集合(记作X≈Y),如果任何c∈N都有k0∈N,使得所有k>k0和所有的a,都有:|Pr(X(k,a)=1)-Pr(Y(k,a)=1)|<k-c.定义4. UC仿真[21].设n∈N,令F是理想函数,π具有n个参与方的协议,τ是现实中某类敌手.若对任何现实攻击者A∈τ都存在一个理想过程中的敌手S,使得任何环境机Z都不能区分它是与(π,A)交互还是与(F,S)交互,则称π安全实现了F,记作: IDEAL F,S,Z≈REALπ,A,Z.定义5. 组合定理[21].令F和G是理想函数,π是F-混合模型下的一个协议,ρ协议在G-混合模型下可以安全地实现F.则对于任何敌手AG,都存在一个AF,使得对于任何环境机Z,都有:1.3 基于离散对数的多重签名回顾Harn[8]利用离散对数提出了一种有效的多重签名方案.假设n个签名者对同一消息m进行签名.1) 每一个签名者ui从[1,p-1]中随机选取ki,计算然后将ri广播给所有的签名者.一旦来自所有签名者的ri(i=1,2,…,n),汇聚在广播通道中,每一签名者计算r的值:2) 签名者ui用秘钥zi和ki对消息m运行签名算法.即si=(zi(m′+r)-ki) mod p,其中0≤si≤p-2和m′=f(m).签名者把元组(m,si)发送给消息收集者.3) 收集者收到来自各个ui的签名(m,si),验证这里m′=f(m),yi是ui的公钥.4) 消息收集者将对通过验证的消息进行合并:s=(s1+s2+…+sn) mod p,得到完整的签名(r,s).5) 验证者计算公钥:6) 验证ym′+r=r αsmod p,这里m′=f(m).2 EBMSC协议的形式化定义2.1 EBMSC算法定义一个EBMSC协议由4个算法组成:参与方包括消息发起者或签密收集者UC、签密者U1,U2,…,Un、接收者UV.系统设置算法:输入安全参数1k,生成系统主密钥s和系统参数params.密钥提取算法:身份IDu的用户随机选择秘密钥生成其公钥yu,而密钥生成中心(key generator central, KGC)随机选择秘密钥ηu,然后根据用户身份IDu和公钥yu生成其部分私钥Tu,之后安全的形式发给用户.用户收到部分私钥Tu后,计算完整私钥xu.多重签密算法:输入系统的参数params、明文m、签密者Ui的私钥xi及接收者UV的公钥yV,输出多重签密密文σ.解签密算法:输入密文σ、参数params、签密者Ui的公钥yi及接收者UV的私钥xV,输出明文m或者解签密符号⊥.2.2 安全模型一个EBMSC协议有2类敌手,即A1和A2.敌手A1无法得到系统的主密钥,但是可以替换用户的公钥(敌手A1相当于模拟了不诚实的用户);敌手A2可以得到系统的主密钥,但不能替换用户的公钥(敌手A2相当于模拟了恶意的KGC).定义6. 如果存在任何多项式有界的敌手A1和A2赢得游戏IND-CCA2-I和IND-CCA2-II的优势是可忽略的,则称EBMSC 协议是具有适应性选择密文攻击下的不可区分性(indistinguishability against adaptive chosen ciphertext attacks, IND-CCA2).IND-CCA2-I:这是挑战者C和敌手A1之间的交互游戏.初始化.C运行系统设置算法得到系统参数params和系统主密钥s,之后将系统参数params发给A1,但保留主密钥s.阶段1. A1进行多项式有限次询问.公钥询问:当收到A1的公钥询问时,C运行密钥提取算法中的用户公钥生成算法得到yi,返回给A1.部分私钥提取询问:A1可以请求身份IDu的部分私钥询问,C运行密钥提取算法中的部分密钥生成算法得到Tu,之后把Tu返回给A1.私钥提取询问:A1可以请求身份IDu的私钥询问,C运行密钥提取算法中的私钥生成算法得到xu,之后把xu返回给A1.签密询问:A1收到(IDi,IDV,m)的签密询问时,C通过调用签密算法得到多重签密密文σ,之后将σ发给A1.解签密询问:A1收到(IDi,IDV,σ)时,C通过调用解签密算法得到的消息mi之后返给A1.挑战阶段.A1生成2个等长的消息(mo,m1)及2个身份但要求接收者的部分私钥不能被询问.C随机选择δ∈{0,1},然后执行对δ的多重签密,之后将δ*发给A1.阶段2. A1可以像阶段1那样进行多项式有界次询问,但仍然要求的私钥不能被询问,此外不能做σ*的解签密询问.最后,输出δ′={0,1}作为对δ的猜测.如果δ′=δ,则A1赢得游戏.IND-CCA2-II: 前面各阶段和敌手A1一样,只是敌手A2最后赢得游戏的条件是的私钥不能被询问,而且不能做σ*的解签密询问,除非接收者的公钥被替换.定义7. 如果存在任何多项式有界的敌手A1和A2赢得游戏UF-CMA-I和UF-CMA-II的优势是可忽略的,则称EBMSC协议是具有适应性选择消息攻击下的不可伪造性(unforgeability against adaptive chosen message attacks, UF-CMA). UF-CMA-I:C和伪造者A1之间的交互游戏.初始化. C运行系统设置算法得到系统参数params和系统主密钥s,之后将系统参数params发给A1,但保留主密钥s.训练. A1进行的多项式有界次询问和定义6中IND-CCA2-I的阶段1一样.伪造. 当询问结束后,A1输出伪造的多重签密密文询问期间,不能做的部分私钥询问.如果密文通过解签密验证,则定义A1在游戏中获胜.UF-CMA-II:C和伪造者A2之间的交互游戏.初始化. C运行系统设置算法得到系统参数params和系统主密钥s,之后将系统参数params发给A2,但保留主密钥s.训练. A2进行的多项式有界次询问和定义6中IND-CCA2-II游戏的阶段1一样. 伪造. 询问结束后,A2输出伪造多重签密密文询问期间,不能做的秘密钥询问.如果σ*通过解签密验证,则定义A2在游戏中获胜.3 一个具体的EBMSC协议3.1 初始化(Setup)密钥生成中心(KGC)随机选择大素数p,g是Z上阶为p的生成元.定义4个安全Hash函数H1:{0,1}*×ZZZZZZZ随机选择系统主密钥s∈Z计算系统公钥PPub=gsmod p.最后KGC保密系统主密钥s,公开系统参数(p,g,l,PPub,H1,H2,H3,H4).3.2 密钥生成(Extract)1) 用户Ui随机选择ki∈Z并进一步计算公钥之后返回给KGC.2) KGC选择ηi∈RZ计算mod p, Ti=(ηi+sH1(IDi,λi,yi)) mod (p-1),将(λi,Ti)返回给用户Ui.3) 用户Ui验证 mod p, 如果等式成立,则Ui计算xi=kiTimod (p-1),并把xi作为其私钥.通过以上步骤,签密者Ui将得到公私钥(xi,yi),接收者UV将获得公私钥(xV,yV).3.3 广播多重签密(MultiSC)签密者Ui选择ri∈RZ计算然后广播给其他的签密者,通过下面步骤得到密文,并发送给签密收集者UC.2) h=H2(m,α).4) C i=m⊕H3(Wi).5) μi=H4(m,Ti,TV,Wi).6) βi=(ki(μi+Ti+h α)-ri) mod (p-1).7) 输出(αi,α,βi,h,Ti,TV,Ci),通过验证是否成立,若等式成立,则计算:8) 签密收集者UC将进一步输出签密密文σ=(α,βi,h,Ti,TV,{C1,C2,…,Cn}) 给接收者UV.3.4 解签密(USC)接收者UV收到签密密文σ后,执行步骤.2) m=Ci⊕H3(Wi).3) μi=H4(m,Ti,TV,Wi).4) 验证:其中,若等式成立,则接受明文m;否则,输出⊥符号表示广播多重签密无效.3.5 正确性分析可通过验证等式确保所提协议的正确性:3.6 ROM下的安全性分析3.6.1 保密性在随机预言模型(ROM)下的安全性分析,我们参考文献[18]的思路.定理1. 在ROM中,如果没有任何多项式有界的敌手A1能以不可忽略的优势ε赢得定义6中的游戏IND-CCA2-I(至多进行qi次Hi询问(i=1,2,3,4),qPK次公钥替换询问,qPSK次部分私钥提取询问,qSK次私钥提取询问,qSC次签密询问,qUSC次解签密询问),则存在一个挑战者C能至少以ε′的优势解决CDH问题,这里:证明. 给定一个随机的CDH问题实例(p,g,ga,gb),其中a,b∈Z目标为了计算ga b mod p.为了达到这个目标,A1作为C的子程序在交互游戏中充当敌手.游戏开始之时,C运行Setup(1k),得到参数:params={p,g,l,PPub=ga,H1,H2,H3,H4},同时将params发给A1.在交互游戏中,表L1到L4用于记录H1至H4的询问与应答值,Lk用于记录公私钥的询问与应答值.阶段1.A1进行多项式有界次适应性询问.H1询问:C从个身份q1中选择第i个身份作为挑战的目标身份,A1发出H1询问.如果A1向C询问的Hash函数值已经在L1中存在,则返回相应的值给A1;否则,C 选取ψ∈R{0,1}.如果ψ=1,则将(IDi,yi,-,ψ)记录到L1中;否则选择h1∈RZ返回将(IDi,yi,λi,h1,ψ)记录到L1表中.这里设ψ=0的概率是ρ,即ρ=Pr[ψ=0].H2询问:A1发出H2询问时.C检查元组(m,α,h2)是否存在于L2,如果存在,则返回h2;否则,C随机选取h2∈Z然后将h2发给A1,并将(m,α,h2)记录到L2中.H3询问:A1发出H3询问.C检查元组(Wi,h3)是否存在于L3表中,如果存在,则返回h3;否则,C随机选取h3∈R{0,1}l,然后将h3发给A1,记录(Wi,h3)到L3中.H4询问:A1发出H4询问时,检查元组(m,Ti,TV,Wi,μ)是否存在于L4中,如果存在,则返回μ;否则,C选取h4∈RZ然后将h4发给A1,记录(m,Ti,TV,Wi,μ)到L4中.公钥询问:收到A1公钥询问时,C随机选择ki,并计算公钥之后将其添加到Lk表中. 部分私钥询问:A1询问身份IDi的部分私钥.若ψ=0,则C选择Ti∈Z将(IDi,Ti,ψ)记录到L1中,并返回Ti;否则,放弃仿真.私钥询问:A1询问身份IDi的私钥.假设已经询问过H1预言机.若ψ=0,则返回完整私钥xi=kiTimod p;否则,放弃仿真,之后将私钥添加到Lk中.公钥替换询问:A1对身份IDi进行公钥替换询问时.C用来替换Lk中的原有记录. 多重签密询问:A1可对任何消息m及签密人的身份IDi、接收者的身份IDV进行签密询问.假设在此之前已经做过Hash函数值询问和密钥提取询问.如果ψ=0,则正常执行多重签密算法;否则执行操作:1) 挑战者C选择ri∈RZ计算:继续执行操作:2) 计算3) 计算Ci=m⊕H3(Wi).4) 计算μi=H4(m,TV,Ti,Wi).5) 计算βi=(ki(μi+Ti+h α)-ri) mod (p-1).验证:是否成立.如果成立,则计算:6) 计算7) 输出σ=(α,β,h,Ti,TV,{C1,C2,…,Cn}).解签密询问:A1通过提供的多重签密密文,当A1询问σ是否合法时,挑战者C先从表中查找出记录yi,再查找表L1.如果ψ=0,则正常执行解签密算法;否则,挑战者C 计算⊕H3(Wi),μi=H4(m,TV,Ti,Wi),然后将(Wi,m)提交给预言机.如果:则通过解签密;否则认为不合法.挑战阶段.通过上面的询问过后,如果ψ=0.则放弃仿真;否则挑战者C随机选择δ={0,1},计算⊕然后提交多重签密密文阶段2. A1可以像阶段1那样进行多项式有界次适应性询问.但是要求身份IDV的私钥仍然不能被询问,此外不能做σ*的解签密询问.猜测.最后,输出δ′={0,1},用δ′作为对δ的猜测.如果δ′=δ,那么C计算输出作为CDH问题实例的解答,原因如下:概率分析[14]在阶段1或阶段2挑战者C不放弃仿真的概率是即在密钥提取阶段,至少有一个身份IDV的私钥xV没被A1询问,C不放弃游戏的概率为1e(qSK+qPSK),同时,A1对做H3询问的概率为1q3,那么C将成功.所以C解决CDH问题的概率是证毕.定理2. 在ROM中,如果没有任何多项式有界的敌手A2能以不可忽略的优势ε赢得定义6中的游戏IND-CCA2-Ⅱ(至多进行qi次Hi询问(i=1,2,3,4),qPK次公钥替换询问,qSK次私钥提取询问,qSC次签密询问,qUSC次解签密询问),则存在一个挑战者C能够至少以ε′的优势解决CDH问题,这里:证明. 给定一个随机的CDH问题实例(p,g,ga,gb),其中a,b∈Z目标为了计算ga b mod p.为了达到这个目的,A2作为C的子程序,在交互游戏IND-CCA2-II中充当敌手.游戏开始后,C运行Setup(1k),得到参数:params={p,g,l,PPub=gs,H1,H2,H3,H4},同时将params发给A2.在游戏中,表L1到L4用于记录H1至H4的询问与应答值,Lk用于记录公私钥的询问与应答值.阶段1.除了部分私钥询问,其他询问同定理1.挑战阶段. 通过上面的询问过后,若ψ=0.则放弃游戏;否则挑战者C随机选择δ∈{0,1},计算,yi=ga,⊕返回密文阶段2. A2可以像阶段1那样进行多项式有界次适应性询问.但是要求身份为IDV 的私钥仍然不能被询问,并且不能做关于σ*的解签密询问.猜测. 最后,输出δ′∈{0,1},用δ′作为对δ的猜测.如果δ′=δ,那么挑战者C计算即C 输出作为CDH问题实例的应答,因为:⟺⟺概率分析在阶段1或阶段2挑战者C不放弃仿真的概率是因为不进行部分私钥询问,即C不放弃游戏的概率为1e(qPK+qSK),同时,A1对做H3询问的概率为1q3,那么C将成功.所以C解决CDH问题的概率是证毕.3.6.2 不可伪造性定理3. 如果任何多项式有界的敌手A1和A2赢得定义7中的游戏UF-CMA-I和UF-CMA-II的优势是可忽略的,则EBMSC协议具有适应性选择消息攻击下的不可伪造性(至多进行qi次Hi询问(i=1,2,3,4),qPK次公钥替换询问,qPSK次部分私钥提取询问,qSK次私钥提取询问,qSC次签密询问,qUSC次解签密询问),在UF-CMA-I中,则存在一个挑战者C至少能够以的优势解决离散对数问题;在UF-CMA-II中,则存在一个挑战者C至少能够以的优势解决离散对数问题.证明. 给定一个随机的离散对数问题实例(p,g,ga),目标为了计算a∈Z为了达到这个目的,A1作为挑战者C的子程序,在交互游戏UF-CMA-I中充当敌手,C充当敌手A1的挑战者.在交互游戏开始之时,游戏开始后,C运行Setup(1k),得到参数:params={p,g,l,PPub,H1,H2,H3,H4},并将params发给A1.在游戏中,表L1到L4记录H1至H4的预言机,Lk用于追踪公私钥的询问与应答值.询问阶段.和定理1相同.伪造. 对于不同的敌手伪造的过程不一样.1) A1输出一个伪造的广播多重签密密文σ*.如果A1没做过身份的私钥或部分私钥询问,σ*通过解签密验证,则A1赢得定义7中UF-CMA-I.设A1输出有效的伪造广播多重签密密文计算:①② PPub=ga.调用预言机H1可以得到h1,输出:作为离散对数问题实例的解答,原因如下:⟺⟺分析C成功解决离散对数问题的概率,A1没做过IDi的私钥或部分私钥询问的概率为通过解签密验证的概率为1qUSC,所以C解决离散对数问题的概率为ε′,这里:2) A2输出有效的伪造广播多重签密密文σ*.如果A2没有做过的私钥询问,同时σ*通过解签密验证,则A2赢得定义7中UF-CMA-II.设A2输出有效的伪造广播多重签密密文这里:①②③ yi=gamod p.分别调用预言机H2和H4得到h和h4.C输出:作为离散对数问题实例的应答,因为:⟺⟺分析C成功解决离散对数问题的概率,A2没有作过私钥询问的概率为1e qSK,σ*通过解签密验证的概率为1qUSC,所以C解决离散对数问题的概率为ε′,这里:证毕.4 EBMSC协议的UC安全性分析4.1 理想函数FEBMSC理想模型中,EBMSC协议的理想函数FEBMSC、参与方P1,P2,…,Pn及敌手S一起运行,执行过程如下:① 在收到(KGC,Setup,sid)请求后验证,若验证sid=(KGC,sid′)成功,则将此消息发送给敌手S.② 在收到敌手S回复的(Setup,Verify,sid,params)后,记录下Verify.③ 在收到Pi的(Key,sid,Pi)请求后,验证sid=(Pi,sid′),若验证成功,则将此消息发送给敌手S,然后收到敌手S回复的(Pi,sid,yi).④ 在收到PV的(Key,sid,PV)请求后,验证sid=(PV,sid′),若验证成功,则将此消息发送给敌手S.在收到敌手S回复的yV后,将yV发送给Pi.一旦收到来自Pi的消息(Key,sid,PV),则将此消息发送给敌手S,从敌手S处收到yi时,将yi发送给PV.之后,忽略所有的(Key,sid,PiPV).⑤ 在收到Pi多重签密者的请求后,验证sid=(Pi,sid′),若验证不成功,则将忽略发送过来的消息;否则,执行如下:如果同时参与方PV是诚实的,则发送(MultiSC,sid,|m|)给敌手S,这里|m|是消息长度;否则,发送(MultiSC,sid,m)给敌手.当从敌手S处收到σ时,将(MultiSC,sid,m,σ)给PV,并存储(m,σ).⑥ 在收到接受者PV的(USC,sid,σ,yi)请求后,验证sid=(PV,sid′),若验证不成功,则将忽略发送过来的消息;否则,执行如下:如果(m,σ)已经记录过,则验证Verify((params,sid,m,σ),f=1),并把(m,f)发给S.否则,将(USC,sid,σ,yi)发给敌手S,并从敌手S处得到m,并以(m,f=0)的形式发送给PV.4.2 协议πEBMSC下面是设计的ElGamal型广播多重签密协议πEBMSC=(Setup,Extract,MultiSC,USC),在UC框架下该协议运行如下:① 一旦收到(KGC,Setup,sid)消息请求,则验证sid=(KGC,sid′),运行Setup(1k)得到(s,params),返回参数params.② 收到(U,Key,sid),运行Extract(params,s,ID),得到(xID,yID),然后将(xID,yID)返回.③ 收到(MultiSC,m,yV,sid)消息请求后,运行MultiSC(params,m,xi,yV)→σ,并将σ返回.④ 收到(USC,sid,σ),运行USC(params,m,yi,xV),得到消息m,若收到(Verify,sid,m,σ)请求,则运行Verify(params,sid,m,σ)→f,并返回f的值.4.3 UC框架下协议的安全性证明定理4. 协议πEBMSC实现了广播多重签密理想函数FEBMSC.证明. 假设A为现实模型中的敌手.现在构造一个理想敌手S,使得对于任何环境机Z 都不能区分是与FEBMSC和S在理想模型下的交互,还是与πEBMSC和A在现实过程中的交互.理想敌手S、环境机Z、敌手A以及参与方P1,P2,…,Pn一起运行. 构造敌手S:在理想过程中,敌手S可以调用A的副本来与FEBMSC和S交互,模拟A在现实过程与协议πEBMSC的交互.首先,敌手S把输出带上的内容写到A的输入带上,并把A输出带的内容拷贝到Z的输出带上.模拟签密者Pi和接收者PV都不被入侵.当S收到FEBMSC的消息(Setup,sid),运行Setup算法生成公钥yV,并把消息(Verify,v)输出给FEBMSC.当S收到来自FEBMSC的一个消息(MultiSC,sid,m),运行多重签密算法MultiSC,得到签密σ并把(MultiSC,sid,m)输出给FEBMSC.当S收到来自FEBMSC的一个消息(Verify,sid,m,σ,v′)后,运行验证签名算法Verify,得到验证结果f,把(Verify,sid,m,f)输出给FEBMSC.现实环境下签密者对消息进行签密,并将签密结果发送给接收者.接收者验证签密的有效性.理想环境中仿真器S对真实过程进行仿真,仿真签密过程和验证过程,同样发送签密和验证结果,因而,环境机Z不能区分出是FEBMSC与S在理想模型中的交互,还是πEBMSC与A在现实过程中的交互.模拟签密者Pi被入侵.敌手S模拟A伪装成参与方Pi把(Setup,sid)发送给FEBMSC.同样,当S收到来自FEBMSC的消息(Extract,sid)后.运行密钥生成算法Setup,得到签密者公钥yi并将其返回给FEBMSC.当S收到来自FEBMSC的消息(MultiSC,sid),运行多重签密算法,得到密文并将其返回给FEBMSC.S模拟A入侵参与方Pi,并将(MultiSC,sid,m′)发送给FEBMSC.同样,当S接收到(MultiSC,sid,m′)时,可以得到多重签密σ′,即把(MultiSC,sid,m′,σ′)发送给FEBMSC.由此看来,环境Z 并不能区分现实过程和理想模型.模拟接收者PV被入侵.若参与方PV被收买,敌手S可以模拟参与方的身份把(Verify,sid,m′,σ′,v′)发送给FEBMSC,随后,当S接收到(Verify,sid,m′,σ′,v′)时,计算验证结果f,把(Verify,sid,m′,σ′,v′,f) 发送给FEBMSC.此时,环境机Z不能区分(m,σ)与(m′,σ′).模拟签密者Pi和接收者PV都被入侵.当多重签密者Pi和解签密者PV都被攻陷时,S将获得双方的所有输入信息,即Z可产生真实的数据来仿真协议的运行.综合上述4种情形,环境机Z不能区分出是FEBMSC与S在理想模型中的交互,还是πEBMSC与A在现实过程中的交互.即协议πEBMSC能够实现广播多重签密理想函数FEBMSC.证毕.定理5. 在UC安全框架下,协议πEBMSC满足选择消息攻击下的不可伪造性.证明. 假设存在伪造者F,则构造环境机Z和敌手A,使得对于任何敌手A,Z都以不可忽略的概率区分它是与(πEBMSC,A)交互还是与(FEBMSC,S)交互.构造环境机Z.当收到来自A的多重签密请求时,则Z激活Pi,然后输出多重签密密文σ,并返回给A.当收到来自A的解签密请求时,Z激活Pi,并输出(m,f)给A.构造敌手A.当A要求对消息m进行多重签密时,敌手A首先要求环境机Z对m进行多重签密,然后把多重签密密文σ给F;当F需要对σ′解签密时,敌手A首先要求环境机Z对σ′进行解签密,然后把(m′,f)返回给A,再发给伪造者F.一旦F收到了m′,并且f=1,则F伪造的多重签密是有效的,此时,Z输出f=1.显然,如果F以可忽略的概率赢得了定理3中的UF-CMA-I和UF-CMA-II游戏,则F能够成功地伪造出有效的F, 假设伪造者F以可忽略的概率存在,则Z以可忽略的概率输出f=1.而在理想模型。
使用阈下信道的可逆R-S数字水印
使用阈下信道的可逆R-S数字水印
赵险峰;李宁;黄炜
【期刊名称】《计算机研究与发展》
【年(卷),期】2009(046)001
【摘要】由于难以获得足够的冗余水印容量,一些面向内容认证的可逆水印方案仅嵌入了用对称算法加密的杂凑值,它的数据尺寸显著地小于数字签名,但这使不诚实的验证者能伪造合法的内容.然而研究发现,虽然当前公钥签名的长度是杂凑值的数倍,但通过使用阈下信道,在方案中引入公钥签名仅需增加数个字节的容量.据此,一个改进的R-S(regular-singular)可逆数字水印方案被提出,它采用RSAPSS公钥签名,并利用签名中阈下信道存储部分或全部压缩的R-S向量.该方案仅需增加4个字节的额外水印容量,也具有篡改定位功能和可靠的安全性.
【总页数】8页(P100-107)
【作者】赵险峰;李宁;黄炜
【作者单位】中国科学院软件研究所信息安全国家重点实验室,北京,100190;中国科学院软件研究所信息安全国家重点实验室,北京,100190;中国科学院软件研究所信息安全国家重点实验室,北京,100190
【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于可逆数字水印认证的无线传感网数据融合协议 [J], 蒋文贤;张振兴;吴晶晶
2.双层差值扩展可逆数字水印算法 [J], 苏文桂;沈玉龙;王祥
3.基于DCT-SVD和标记矩阵的鲁棒可逆数字水印算法 [J], 阮涛;张学波
4.应用可逆数字水印的无线传感器网络层级安全模型 [J], 蒋建峰;尤澜涛
5.ε~λ(R-ε_CT_Hσ)最大时不可逆卡诺制冷机的ε、R [J], 解文方
因版权原因,仅展示原文概要,查看原文内容请购买。
封闭阈下信道的若干方法研究
了封 闭 阈下 信 道 的意 义 。在 分 析 了封 闭 阑 下信 道 的 某 些 方 案及 其 存 在 的缺 陷之 后 ,提 出 了 改进 的 c a m 零 知 识 证 明协 议 以及 一 种 可 转换 协 议 ,成 功 地 封 闭 了 已知 的 几种 阈 下信 道 。 hu 关键 词 :阈 下 信道 :封 闭 零 知 识 证 明 { 可转 换 协 议
张 彤 1 ,杨 , 2 波 ‘ ,王育 民 ,李真 富
( 西 安 电 子 科 技 大 学 IN 国京 重 点 实验 室 . 陕 西 西 安 7  ̄ 7 ; 2 I S 1 1 .西 北 棱 技 术 研 究 所 , 陕 西 西 安 7 0 2 10 4)
摘
要 :本 文 介 绍 了 闽下 信 道 的 概 念 、产 生 的历 史 背 景 及其 作 为信 息 隐藏 技 术 的主 要 应 用 ,阐 明
a dtemao p l a o ¥t en n f n oma o iig ̄c n lg . n h j r pi t na ib iga do ifr t nhdn a ci i h oo y Wegv h ieteme nn f a igo
co i g s b i ia  ̄ame s Afe n l zng s l s u lm n lc l l. t ra ay i Om ald s h m e o l sn ubi n lc a n l.we n fi c e sf rco ig s lmi a h n e s e p ee tali r s n l mpr v a r 。 z r k o e g r o r t c la d ad v ri elOt c ih c n cos o e Ch u as e o-n wl d e p o fp oo o n i et d bl X o ol wh c a l e te k o h n wn u l i a h n es s b i n l a n l. m c
信息隐藏技术及应用
信息隐藏技术及应用-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII信息隐藏技术及应用1什么是信息隐藏信息隐藏(InformatiOn Hiding):主要研究如何将某一机密信息秘密(Secret Message)隐藏于另一公开的信息(载体、宿主)中,然后通过公开信息的传输来传递机密信息。
第三方则难以从公开信息中判断机密信息是否存在,难以截获机密信息,从而能保证机密信息的安全。
信息隐藏学是一门新兴的交叉学科,在计算机、通讯、保密学等领域有着广阔的应用前景。
信息隐藏是上世纪90年代开始兴起的信息安全新技术,并成为信息安全技术研究的热点;传统通信领域为了保证传递的信息能够不被窃听或破坏,常采用密码来保护信息,即让窃听者无法看到或听懂,但是这种技术的缺点是告诉窃听者这就是秘密信息,特别是随着计算机技术的发展,密码的安全性受到很大挑战。
而新的信息隐藏技术是将需要传递的秘密信息,隐藏在一个普通的非秘密消息当中,再进行传输,这样即使窃听者窃听了传输的信息,也只会将其当成普通的消息,而不会怀疑或者无法得知是否有秘密信息的存在。
一般而言,信息隐藏是分为四个阶段:预处理阶段、嵌入阶段、传输阶段和提取阶段。
为了使每个阶段都达到安全,所以必须在预处理阶段,引入加密术中的加密算法。
在嵌入阶段,使用基于小波的隐藏信息的算法,在传输阶段,进行隐蔽通信,从而使用传输阶段也是安全的。
所以这套信息隐藏的处理方案,将形成一个安全的体系,因此既能隐藏秘密信息的内容,也能隐蔽通信的接收方和发送方,从而建立隐藏通信。
信息隐藏的原理如图1。
信息隐藏技术的分类见图2。
信息隐藏不同于传统的加密,传统的加密是研究如何将机密信息进行特殊的编码,以形成不可识别的密码形式进行传递,它仅隐藏了信息的内容;而信息隐藏不但隐藏了信息的内容,而且隐藏了信息的存在。
根据信息隐藏的目的和技术要求,该技术存在以下特性:鲁棒性(Robustness):指不因图像文件的某种改动而导致隐藏信息丢失的能力。
可证安全的无证书多消息同步广播签密方案
第50卷第4期2020年7月 东南大学学报(自然科学版)JOURNALOFSOUTHEASTUNIVERSITY(NaturalScienceEdition)Vol.50No.4July2020DOI:10.3969/j.issn.1001-0505.2020.04.018可证安全的无证书多消息同步广播签密方案方光伟1,2 曹玖新1(1东南大学网络空间安全学院,南京211189)(2宜春学院数学与计算机科学学院,宜春336000)摘要:针对现有多接收者签密方案中只能对单消息加密与密文难以定位等问题,需要进一步研究实现发送者在一个逻辑步骤中签密不同的消息,并同步安全广播给多个接收者的功能,基于椭圆曲线加密机制,提出了一种无证书多接收者多消息同步广播签密方案.该方案以每个接收者的身份标识作为输入,产生拉格朗日插值多项式系数向量,结合随机数生成密文索引,解决了接收者密文定位问题;结合椭圆曲线循环群上随机元素生成加密密钥,解决了接收者解密密文和身份匿名保护问题.在随机谕言机模型下,基于计算性Diffie Hellman假设和椭圆曲线离散对数假设,证明了该方案满足机密性和不可伪造性.性能和效率分析表明,在未降低计算效率和通信效率的同时,该方案是安全性能和完整程度最优的方案.关键词:可证安全;无证书签密;多消息;拉格朗日插值;椭圆曲线中图分类号:TP309.7 文献标志码:A 文章编号:1001-0505(2020)04 0728 13Provablysecurecertificatelessmulti messagesynchronousbroadcastsigncryptionschemeFangGuangwei1,2 CaoJiuxin1(1SchoolofCyberScienceandEngineering,SoutheastUniversity,Nanjing211189,China)(2SchoolofMathematicsandComputerScience,YichunUniversity,Yichun336000,China)Abstract:Inviewoftheexistingmulti recipientsigncryptionscheme,whichcanonlyencryptsinglemessageandciphertextisdifficulttolocate,itisnecessarytofurtherstudytherealizationthatthesendersignsandencryptsdifferentmessagesinonelogicalstep,andsimultaneouslyandsafelybroadcaststomultiplereceivers.Basedontheellipticcurveencryptionmechanism,acertificatelessmulti receivermulti messagesimultaneousbroadcastsigncryptionschemeisproposed.Takingtheidentityofeachreceiverasaninput,thisschemegeneratesaLagrangeinterpolationpolynomialcoef ficientvector,andgeneratesaciphertextindexincombinationwitharandomnumber,whichsolvesthereceiverciphertextpositioningproblem.Combinedwithrandomelementsinanellipticcurvecy clicgroup,theencryptionkeyisgenerated,whichsolvestheproblemsofreceiverdecryptioncipher textandidentityanonymityprotection.Undertherandomoraclemodel,basedoncomputationalDif fie Hellmanhypothesisandellipticcurvediscretelogarithmhypothesis,itisprovedthattheschememeetsconfidentialityandunforgeability.Theperformanceandefficiencyanalysisshowsthatthepro posedschemeistheonewiththebestsecurityperformanceandintegritywithoutreducingthecompu tationalefficiencyandcommunicationefficiency.Keywords:provablesecurity;certificatelesssigncryption;multi message;Lagrangeinterpolating;ellipticcurve收稿日期:2019 09 06. 作者简介:方光伟(1974—),男,副教授,fanggw@263.net.基金项目:国家自然科学基金资助项目(61662083).引用本文:方光伟,曹玖新.可证安全的无证书多消息同步广播签密方案[J].东南大学学报(自然科学版),2020,50(4):728740.DOI:10.3969/j.issn.1001-0505.2020.04.018. 机密性和不可伪造性是网络安全通信的基本需求,加密明文可实现通信的机密性,数字签名可实现通信的不可伪造性.传统方式将签名和加密作为2个过程单独处理,即先签名后加密,这种方式存在计算和通信开销较大的缺点.文献[1]提出了签密密码原语,将签名和加密2个功能融合在一个逻辑步骤中完成,克服了传统方式的缺点,有效提高了计算和通信的效率.广播和组播是计算机网络中一种重要的通信方式,发送者需要将一个或多个消息同时传输给多个接收者.把签密应用于广播安全通信环境,Duan等[2]2006年提出了多接收者签密概念.用签密者的私钥和接收者的公钥对待发送的信息进行签密;把签密密文广播给授权的接收者;接收者用自己的私钥进行解密并用签密者的公钥验证密文的合法性;验证通过则接收解密信息,否则拒绝.相较于一对一签密方案,除了保证方案机密性和不可伪造性之外,对发送者和接收者身份信息的匿名保护是多接收者签密方案中一个重要的安全需求.信息的发送者不希望自己的身份信息暴露给非授权的用户,对信息的接收者而言,自己的身份信息和订阅的某种网络服务更不能泄漏给除发送者之外的其他用户,哪怕是授权接收列表中的其他成员.多接收者签密概念提出后,由于其应用前景广阔,国内外学者对此进行了深入研究,相继提出了许多解决方案[218].文献[2]是一个基于身份密码体制的多接收者签密方案,密文向量应由密文、签名和接收者列表组成.但该方案密文向量缺失了接收者信息列表,导致接收者实际上无法对接收的密文进行解密[3].Yu等[3]改进了文献[2]的签密方案,补充了接收者身份列表信息,并且计算效率也更高.文献[4]是应用于移动网络场景的多接收者加密方案,方案的计算效率高且通信负载低,但该方案只有加密功能,因此接收者不能对消息的来源进行认证.文献[5]利用双线性对构造了一个基于身份的多接收者签密方案,该方案双线性对计算次数较多,计算工作量太大.文献[6]利用拉格朗日插值多项式构造了基于身份的双线性对多接收者匿名签密方案,密文无需添加接收者身份列表,声称任何攻击者(包括授权的接收者)无法获取接收者的身份信息.然而文献[7]安全分析表明文献[6]中授权的接收者身份信息无法实现匿名,并给出了改进方法和接收者匿名性的安全证明.文献[8]提出了标准模型下基于身份的无证书多接收者签密方案,虽然标准模型的安全性不依赖于随机谕言机,但这种可证安全性是以严重牺牲效率为代价[19],制约了其实际应用.文献[9]基于DDH(De cisionDiffie Hellman)困难问题设计了一个无证书的多接收者签密方案,方案无需双线性对运算,具有较高的计算效率.文献[10]借鉴文献[6]中利用拉格朗日插值多项式保护接收者匿名性的思想,构造了一个高效无证书多接收者的签密方案,由于文献[7]证明了文献[6]不具有接收者匿名性这一安全属性,因此文献[10]同样不能实现接收者的匿名性.文献[11]提出了一个基于身份的多接收者(多消息)匿名混合签密方案,声称方案满足机密性和不可伪造性的同时,对发送者具有强匿名性,即通过构造发送者身份伪装集合,密文授权接收者无法准确定位发送者的具体身份,但本文分析表明该方案不具有发送者强匿名性.文献[1213]是基于乘法群上离散对数问题的多接收者多消息签密方案,文献[12]在随机谕言机模型下证明了方案满足机密性和不可伪造性,然而文献[13]指出了文献[12]中存在发送者私钥泄漏问题,并针对密钥泄漏问题提出了改进措施.文献[1415]尽管实现了广播环境下多接收者多消息的发送需求,但方案无法满足收发双方的匿名保护.文献[16]提出了一个满足广播通信环境下多消息匿名发送需求的无证书签密方案,该方案中接收者的匿名性通过定义单向索引函数fIndex来实现,但并未给出fIndex的实现细节,而且fIndex的输出空间为接收者人数,接收者人数不是一个很大的值,因此fIndex不满足单向函数的定义,该方案是一个不完善的方案.综上所述,现有解决广播环境下多接收者签密方案[218]还存在以下不足:①发送者和接收者的匿名性问题,如文献[23,5]在密文中直接包含接收者身份信息;②密钥托管问题,在基于身份的密码体制中,用户私钥由密钥生成中心(keygenera torcenter,KGC)生成,因此存在密钥托管问题[38,11,1718];③只具有单消息签密功能[210,1718],即签密者只能将单个消息签密后广播给多个接收者,如果需要将多个消息同步广播给多个接收者时,则必须回归传统的一对一签密,计算工作量非常大,效率低;④方案的完善程度及其他问题[4,910,1216].针对现有方案的不足,本文基于无证书密码体制(CL PKC)提出了一个多接收者多消息同步广播签密方案,消息发送者通过一个逻辑步骤完成n个消息的签密并同步广播给n个接收者.方案借鉴927第4期方光伟,等:可证安全的无证书多消息同步广播签密方案http://journal.seu.edu.cnhttp://journal.seu.edu.cn了文献[6]中利用拉格朗日插值多项式实现接收者匿名的思想,但与文献[6]不同的是,本文方案利用拉格朗日插值多项式计算椭圆曲线群上的一个随机元素,因此文献[7]中对接收者匿名性攻击方法对本文方案无效,即本文方案有效解决了接收者隐私保护问题;另外本文方案基于椭圆曲线密码体制,没有使用双线性对和指数运算,计算效率更高;最后在随机谕言机模型下证明了方案满足机密性和不可伪造性.1 困难问题和安全模型1.1 困难问题定义1(离散对数问题(DLP)) 设G为椭圆曲线上阶为大素数q的循环群,P是G上的生成元,Zq是阶为q的有限域;算法F随机选择群中元素aP∈G(a∈Z q且未知),F的目标是计算a;对于任意的概率多项式时间算法F成功解决DLP问题概率ε=Pr[F(P,aP)=aa∈Z q]是可忽略的.定义2(计算性Diffie Hellman问题(CDH)) 设G为椭圆曲线上阶为大素数q的循环群,P是G上的生成元,Zq是阶为q的有限域;算法F随机选择群中元素aP,bP∈G(a,b∈Z q且未知),F的目标是计算abP;对于任意的概率多项式时间算法F成功解决CDH问题概率ε=Pr[F(P,aP,bP)=abPa,b∈Zq]是可忽略的.1.2 算法通信模型本文无证书多接收者多消息同步广播签密算法模型同文献[2]中方案类似,由4个算法组成:系统参数建立算法(Setup)、用户密钥生成算法(KeyGen)、多消息匿名签密算法(MASigncrypt)和解签密算法(UnSigncrypt).1)Setup:该算法由KGC执行,KGC输入安全参数(1λ),生成系统公开参数params和主密钥s,秘密保存主密钥s,公开发布系统参数params.2)KeyGen:该算法由KGC和用户合作完成,输入用户身份标识IDi、系统主密钥s和系统公开参数params,输出用户的公钥和私钥,即(PKi,SKi)=KeyGen(IDi,s,params).3)MASigncrypt:该算法由消息的发送者IDS执行,输入系统公开参数params、发送者私钥SKIDS、接收者身份集合{IDR1,IDR2,…,IDRn}、接收者公钥集合{PKR1,PKR2,…,PKRn}和消息集合M={M1,M2,…,Mn},输出签密密文σ=MASigncrypt(params,SKIDS,IDR,M).4)UnSigncrypt:该算法由密文接收者IDR执行,输入系统公开参数params、发送者公钥PKIDS、接收者私钥SKIDR和密文σ,如果验证密文σ为发送者发送的签密密文,则解密消息m=UnSigncrypt(params,PKIDS,SKIDR,σ),否则输出⊥.无证书多接收者多消息同步广播签密方案算法模型和通信模型如图1表示.图1 算法通信模型 在无证书多接收者多消息同步广播签密算法通信模型中,发送者把发送给n个接收者的n个消息在一个逻辑步骤中完成签密,生成签密密文c.通过公开信道把密文c同步广播给每一个接收者.接收者收到密文c后首先验证发送者的签名是否正确,正确则解密密文恢复明文m,否则拒收密文.037东南大学学报(自然科学版) 第50卷http://journal.seu.edu.cn1.3 无证书多接收者匿名签密安全模型密码体制可证安全性是指在特定的敌手能力模型下该体制能达到的安全目标[19].文献[6]给出了基于身份多接收者匿名签密安全模型,机密性安全目标是适应性选择密文攻击下的密文不可区分性(IND sMIBAS CCA2);不可伪造性安全目标是适应性选择消息攻击下不可伪造性(MEUF MIB SC CMA).文献[10]在文献[6]基础上,将基于身份签密机制安全模型推广到无证书多接收者匿名签密机制.本文方案与文献[10]基于相同的密码体制,因此本文方案安全模型参照文献[10].根据文献[10]定义的安全模型,攻击本文方案敌手分为2类:第1类是普通攻击者,定义为AiI(i=1,2),敌手AiI攻击能力为能够替换合法用户公钥但不掌握系统主密钥;第2类是好奇密钥生成中心KGC,定义为AiΠ(i=1,2),敌手AiΠ攻击能力为不能替换用户公钥但掌握系统主密钥.其中,A1Ι和A1Π为攻击方案机密性敌手;A2Ι和A2Π为攻击方案不可伪造性敌手.2 本文方案2.1 方案描述2.1.1 系统参数设置KGC执行如下操作:①选择安全参数(1λ)和安全大素数q(q≥2λ),设置椭圆曲线上阶为大素数q的循环加法群G,在群G上随机选取生成元P.②定义4个满足密码学安全的散列函数:H0:{0,1}l0×G×G→Z qH1:{0,1}l0→ZqH2:G→{0,1}l0+l1+ZqH3:{0,1}l1×G×{0,1}l0×G×G→Zq式中,l0为用户身份ID的长度;l1为明文消息的长度;Z q为Zq中元素的长度.③秘密选取随机数s∈Zq作为系统的主密钥,计算系统公钥Ppub=sP∈G.秘密保存主密钥s,公开发布系统参数params={q,Z q,G,P,Ppub,H0,H1,H2,H3,l0,l1}.2.1.2 用户密钥生成用户公钥和私钥生成由KGC与用户IDi合作完成,具体步骤如下:①用户秘密选取随机数di∈Zq,计算Di=diP,秘密保存di,把身份IDi和Di发送给KGC.②KGC收到用户身份IDi和公开参数Di后,选取随机数ri∈Zq,计算Ei=riP和ei=ri+sH0(IDi,Di,Ei),在安全信道上把部分公钥Ei和部分私钥ei传输给用户IDi.③用户IDi安全收到Ei和ei后,首先根据公开参数params验证部分私钥ei和部分公钥Ei的正确性.即计算等式eiP=Ei+PpubH0(IDi,Di,Ei)是否成立,如果成立,用户设置自己的完整私钥SKi=(di,ei)和完整公钥PKi=(Di,Ei),否则重新请求KGC生成部分公私钥.2.1.3 多消息匿名签密设消息的发送者为Alice,身份标识IDA,IDA输入系统公开参数params,待发送消息集合LM={m1,m2,…,mn},接收者集合LR={ID1,ID2,…,IDn}.IDA按如下步骤进行多消息签密:1)签名Sign①选取随机数k∈Zq,计算K=kP.②计算hi=H3(mi,K,IDA,DA,EA),ui=k/(dA+eAhi),1≤i≤n.2)加密Encrypt①选取随机数序列ti∈Zq,计算Ti=tiP,1≤i≤n.②计算xi=H1(IDi),1≤i≤n,构造拉格朗日插值多项式fi(x)=∏nj=1,j≠ix-xjxi-xj=ai,1+ai,2x+…+ai,nxn-1式中,ai,1,ai,2,…,ai,n∈Zq.③计算Zi=∑nj=1aj,iTi,1≤i≤n.④设发送给用户IDi,i∈{1,2,…,n}的消息为mi,即第i个消息发送给用户IDi.随机从集合{1,2,…,n}选取数值wi(要求n个接收者的wi是唯一的),wi为消息mi的密文在密文集合中的索引,接收者IDi通过wi唯一定位自己接收的密文.计算Wi=∑nj=1aj,iwi,1≤i≤n.⑤计算Yi=tiDi+k(Ei+PpubH0(IDi,Di,Ei)),Cwi=H2(Yi) (mi‖IDA‖ui),1≤i≤n.⑥σ=(K,Z1,Z2,…,Zn,W1,W2,…,Wn,Cw1,Cw2,…,Cwn)为签密密文,Alice将签密密文σ同步广播给接收者集合中的每一位成员.2.1.4 解签密接收者IDi,i∈{1,2,…,n}接收到签密密文σ后,输入系统公开参数params,私钥SKi=(di,ei),完成密文解签密工作,具体步骤如下:137第4期方光伟,等:可证安全的无证书多消息同步广播签密方案http://journal.seu.edu.cn1)解密Decrypt①计算xi=H1(IDi),计算多项式Ti=Z1+Z2xi+…+Znxn-1i(modq),wi=W1+W2xi+…+Wnxn-1i(modn),根据w i获取对应密文Cw i.②计算Y i=T idi+Kei,(m i‖ID A‖ui)=H2(Yi) Cw i,接收者从恢复的原始信息中分离出消息m i、发送者身份信息ID A、签名信息u i.2)验证Verify①根据发送者身份信息IDA计算hA0=H0(IDA,DA,EA)和h′i=H3(m i,K,ID A,DA,EA).②利用发送者的公钥信息验证h′i=H3(mi,u i(DA+(EA+PpubhA0)h′i),IDA,DA,EA)是否成立,如果成立,输出消息mi,否则输出无效密文符⊥.2.2 方案的正确性定理1 接收者IDi能从接收的密文σ=(K,Z1,Z2,…,Zn,W1,W2,…,Wn,Cw1,Cw2,…,Cwn)中恢复出明文消息mi,i∈{1,2,…,n}.证明 接收者IDi,i∈{1,2,…,n},解密过程如下:①计算xi=H1(IDi)T i=Z1+Z2xi+…+Zixn-1i(modq)=∑nj=1aj,1Tj+∑nj=1aj,2Tjxi+…+∑nj=1aj,nTjxn-1i=(a1,1T1+a2,1T2+…+an,1Tn)+(a1,2T1xi+a2,2T2xi+…+an,2Tnxi)+…+(a1,nT1xn-1i+a2,nT2xn-1i+…+an,nTnxn-1i)=∑nj=1a1,jT1xj-1i+…+∑nj=1ai,jTixj-1i+…+∑nj=1an,jTnxj-1i=f1(xi)T1+…+fi(xi)Ti+…+fn(xi)Tn=Tiwi=W1+W2xi+…+Wnxn-1i(modn)=∑nj=1aj,1wj+∑nj=1aj,2wjxi+…+∑nj=1aj,nwjxn-1i=(a1,1w1+a2,1w2+…+an,1wn)+(a1,2w1xi+a2,2w2xi+…+an,2wnxi)+…+(a1,nw1xn-1i+a2,nw2xn-1i+…+an,nwnxn-1i)=∑nj=1a1,jw1xj-1i+…+∑nj=1ai,jwixj-1i+…+∑nj=1an,jwnxj-1i=f1(xi)w1+…+fi(xi)wi+…+fn(xi)wn=wiY i=T idi+Kei=Tidi+K(ri+sHi0)=tiDi+k(Ei+PpubHi0)=Yi②计算(m i‖ID A‖u i)=H2(Yi) Cw i=H2(Yi) Cwi,即m i=mi,ID A=IDA,ui=ui.证毕.定理2 接收者IDi恢复的明文消息mi是合法的.证明 接收者IDi,i∈{1,2,…,n}从恢复的消息(mi‖IDA‖ui)中提取出明文mi、发送者身份标识IDA、签名信息ui.签名验证过程如下:①计算hA0=H0(IDA,DA,EA)和h′i=H3(mi,K,IDA,DA,EA).H3(mi,ui(DA+(EA+PpubhA0)h′i),IDA,DA,EA)=H3mi,kdA+eAh′iDA+(EA+PpubhA0)h′()i,IDA,DA,E()A=H3mi,kdA+eAh′idAP+(rAP+sPhA0)h′()i,IDA,DA,E()A=H3(mi,kP,IDA,DA,EA)=H3(mi,K,IDA,DA,EA)=h′i(1)②判断等式(1)成立,接收者恢复的明文消息mi是发送者IDA签名的合法消息.证毕.上述方案加密过程中,除了加密明文mi外,还对发送者身份IDA和签名ui一同加密.因此非合法接收者无法知晓发送者身份信息,实现发送者身份匿名性;同时,通过接收者身份信息IDi计算xi=H1(IDi),生成拉格朗日插值多项式的系数矩阵,通过矩阵元素ai,j(1≤i,j≤n)计算向量∑ni=1ai,1,∑ni=1ai,2,…,∑ni=1ai,{}n,利用该向量与群G中一个随机元素Ti建立关联,将接收者的身份信息隐藏在集合{Z1,Z2,…,Zn}中,密文中无需包含接收者身份列表,从而实现接收者身份匿名性;其次,利用该向量与集合{1,2,…,n}中一个整数值wi关联,接收者根据wi从密文集合{Cw1,Cw2,…,Cwn}中定位自己的密文Cwi.3 安全性证明3.1 机密性定理3(敌手A1I在随机谕言机模型下的机密性) 若存在敌手A1I赢得文献[10]中定义相关游戏,其获胜概率ε是不可忽略的.则挑战者C能在概率多项式时间内解决CDH困难问题,C成功的概率为succCDHC,A1I()λ≥ε1-nqH()21-1qH()3,其中,qH2为H2询问次数,qH3为H3询问次数.证明 挑战者C输入元组〈P,aP,bP〉(其中,a,b∈Zq且a,b未知),目标是利用敌手A1I输出abP.C以A1I为子程序并运行Setup算法建立系统(令Ppub=bP,b为系统主密钥,C不掌握),生成params=q,Z q,G,P,Ppub,H0,H1,H2,H3,l0,l{}1并237东南大学学报(自然科学版) 第50卷http://journal.seu.edu.cn公开发布;C建立LH0、LH1、LH2、LH3、LSK、LPK索引列表用于跟踪A1I对谕言机H0、H1、H2、H3、生成私钥和生成公钥的查询;C初始各列表为空;A1I选择目标身份列表ID j={ID 1,ID 2,…,IDn}.A1I与C进行下述3个阶段的游戏交互.1)查询阶段H1询问.A1I提交查询访问参数IDi,C查询LH1列表,若存在元组〈IDi,xi〉,则返回xi给A1I,否则随机选取x i∈Z q且〈 ,x i〉 LH1,添加元组〈IDi,x i〉到LH1并返回x i给A1I.H2询问.A1I提交查询访问参数Yi,C查询LH2列表,若存在元组〈Yi,hi2〉,则返回hi2给A1I,否则随机选取h 2∈{0,1}l0+l1+Z q且〈 ,h2〉 LH2,添加元组〈Yi,h 2〉到LH2并返回h2给A1I.H3询问.A1I提交查询访问参数(mi,Ki,IDi,Di,Ei),C查询LH3列表,若存在元组〈mi,Ki,IDi,Di,Ei,hi3〉,则返回hi3给A1I,否则随机选取h3∈Z q且〈 , , , , ,h 3〉 LH3,添加元组〈mi,Ki,IDi,Di,Ei,h 3〉到LH3并返回h 3给A1I.公钥提取询问.A1I提交查询访问参数IDi,C查询LPK列表,若存在元组〈IDi,Di,Ei〉,则返回(Di,Ei)给A1I,否则C按下面的规则生成用户公钥:①IDi≠IDj,j∈{1,2,…,n},C随机选取di,ri,hi0∈Zq,计算Di=diP,Ei=riP-Ppubhi0,其中要求满足条件〈 ,Di,Ei〉 LPK且〈 , , ,hi0〉 LH0且〈 ,di,ri〉 LSK,添加元组〈IDi,Di,Ei〉到LPK中,添加元组〈IDi,di,ri〉到LSK中,添加元组〈IDi,Di,Ei,hi0〉到LH0中,返回(Di,Ei)给A1I.②IDi=IDj,j∈{1,2,…,n},C随机选取d i,r i∈Z q,计算Di=d iP,Ei=riP,其中要求满足条件〈 ,Di,Ei〉 LPK,添加元组〈IDi,Di,Ei〉到LPK中,C随机选取h 0∈Z q,满足〈 , , ,h0〉 LH0,添加元组〈IDi,Di,Ei,h0〉到LH0中,返回(Di,Ei)给A1I.H0询问.A1I提交查询访问参数(IDi,Di,Ei),C查询LH0列表,若存在元组〈IDi,Di,Ei,hi0〉,则返回hi0给A1I,否则C对IDi进行公钥询问后返回相应的hi0给A1I.私钥提取询问.A1I提交查询访问参数IDi(IDi≠ID j,j∈{1,2,…,n}),C查询LSK列表,若存在元组〈IDi,di,ri〉,则返回(di,ri)给A1I,否则C对IDi公钥询问后返回相应的(di,ri)给A1I.公钥替换询问.A1I提交公钥替换数据(IDi,D′i,E′i),C把元组〈IDi,Di,Ei〉替换为〈IDi,D′i,E′i〉.签密询问.A1I提交签密询问参数(IDS,IDR={IDRi},LM={mi}),1≤i≤n,C按下述规则签密:①如果IDS≠IDj,j∈{1,2,…,n},C对IDS私钥提取询问得到元组〈IDS,dS,rS〉;对IDR中每一个身份IDRi公钥提取询问得到元组集〈IDRi,DRi,ERi〉,1≤i≤n;C运行多消息匿名签密算法得到签密密文σ =(K ,Z Ri,W Ri,C Ri),1≤i≤n,将σ返回给A1I.②如果IDS=IDj,j∈{1,2,…,n},C对IDS公钥提取询问得到元组〈IDS,DS,ES〉,对(IDS,DS,ES)作H0询问得hS0,随机选择u ,h 3∈Zq,计算K =u (DS+(ES+PpubhS0)h 3),将〈mi,K ,IDS,DS,ES,h 3〉(其中,1≤i≤n)插入到LH3中,然后按照多消息匿名签密的Encrypt算法计算σ 并返回给A1I.解签密询问.A1I提交解签密询问参数(IDRj,σ=(K,Zi,Wi,Ci)),1≤i≤n,j∈{1,2,…,n},C按下述规则解签密:①IDRj≠IDj,j∈{1,2,…,n},C对IDRj私钥提取询问得到元组〈IDRj,dRj,rRj〉;C以IDRj为参数进行H1询问得到xRj;计算wRj=W1+W2xRj+…+Wnxn-1Rj(modn),由wRj定位对应密文CRj,计算TRj=Z1+Z2xRj+…+Znxn-1Rj(modq),YRj=TRjdRj+KrRj;以YRj为参数进行H2询问得到hRj2,解密得到hRj2 CRj=(mRj‖IDS‖uRj),对IDS公钥查询得到元组〈IDS,DS,ES〉;对(mRj,K,IDS,DS,ES)作H3询问得hRj,若〈IDS,DS,ES〉∈LPK,计算K=uRj(DS+(ES+PpubhS0)hRj),验证(mRj,K,IDS,DS,ES)的H3询问和(mRj,K ,IDS,DS,ES)的H3询问是否相等,相等返回mRj给A1I,不相等则返回无效密文符⊥.若〈IDS,DS,ES〉 LPK(公钥被替换),计算K=uRj(D′S+(E′S+PpubhS0)hRj),验证(mRj,K,IDS,D′S,E′S)的H3询问和(mRj,K ,IDS,D′S,E′S)的H3询问是否相等,相等返回mRj给A1I,不相等则返回无效密文符⊥.②IDRj=IDj,j∈{1,2,…,n},C遍历LH2列表,对每一元组〈Ti,hi2〉(1≤i≤qH2)计算hi2 CRj=(m i‖ID i‖u i),对(ID i)作公钥得〈ID i,D i,337第4期方光伟,等:可证安全的无证书多消息同步广播签密方案http://journal.seu.edu.cnE i〉,对(m i,K,ID i,D i,E i)作H3询问得hi,若〈ID i,D i,E i〉∈LPK,计算u i(D i+(Ei+Ppubhi0)h i)=K ,验证(m i,K,ID i,D i,Ei)的H3询问和(m i,K ,ID i,D i,E i)的H3询问是否相等,相等返回mi给A1I,不相等则返回无效密文符⊥;若〈ID i,D i,E i〉 LPK(公钥被替换),计算u i(D′i+(E′i+Ppubhi0)hi)=K,验证(m i,K,ID i,D′i,E′i)的H3询问和(m i,K ,IDi,D′i,E′i)的H3询问是否相等,相等返回m i给A1I,不相等则返回无效密文符⊥.2)挑战阶段在查询阶段结束后,A1I提交挑战签密用户(IDS,IDR1,IDR2,…,IDRn)(其中IDRj∈IDj,j∈1,2,…,n),以及2组等长的明文M0={m10,m20,…,mn0}和M1={m11,m21,…,mn1}(其中mi0=mi1,1≤i≤n),C按下述步骤进行签密:①C令K=aP(C不掌握a).②C随机选取β←{0,1},对IDS进行公钥查询得(DS,ES),以(IDS,DS,ES)为参数作H0查询得hS0,以(miβ,K,IDS,DS,ES)为参数做H3查询得h′3,选取u′∈Zq,满足K=u′(DS+(ES+PpubhS0)h′3).③随机选取tRj∈Zq,计算TRj=tRjP,以IDRj为参数作H1查询得xRj,计算fi(x)=∏nj=1,j≠ix-xRjxRi-xRj=ai,1+ai,2x+…+ai,nxn-1,计算ZRj=∑ni=1ai,jTRj,从集合{1,2,…,n}中唯一选取wRi,计算WRi=∑ni=1ai,jwRi;随机选取hRj2∈{0,1}l0+l1+Zq,计算CRj=hRj2 (miβ‖IDS‖u′);C返回挑战密文σ′=(K,ZRj,WRj,CRj)(其中1≤j≤n)给A1I.3)猜测阶段A1I收到挑战密文σ′后,可以继续阶段1)的各种询问,但不能对IDj,j∈{1,2,…,n}进行私钥提取询问,也不能对σ′进行解签密询问.A1I询问结束后,输出猜测β′给C,如果β′=β,则A1I以极大的概率至少提交了一个H2(YRj)询问,C可输出CDH问题的解答:abP=(hRj0)-1(YRj-TRjd Rj-Kr Rj)(其中,d Rj,r Rj为IDRj的私钥,见公钥提取询问第②步),否则C未能解决CDH问题.C为A1I提供了真实模拟攻击环境,若A1I未对n个指定的接收者中的任意一个YRj进行H2询问和未对K进行H3询问,则C能利用A1I成功解决CDH问题.设事件E1表示A1I未对YRj进行H2询问,则Pr[E1]=1-nqH2,设事件E2表示A1I未对K进行H3询问,则Pr[E2]=1-1qH3,因此,C未终止模拟的概率至少为Pr[E1]∧Pr[E2]=1-nqH()21-1qH()3.如果A1I赢得上述游戏概率ε不可忽略,则C未终止且能成功解答CDH问题优势为succCDHC,A1I(λ)≥ε1-nqH()21-1qH()3.证毕.定理4(敌手A1Π在随机谕言机模型下机密性)若存在敌手A1Π赢得文献[10]中定义相关游戏,其获胜概率ε不可忽略.则挑战者C能在概率多项式时间内解决CDH困难问题,C的概率为succCDHC,A1Π(λ)≥ε1-nqH()21-1qH()3.证明 挑战者C输入元组〈P,aP,bP〉(其中,a,b∈Zq且α,b未知),目标是利用敌手A1Π输出abP.C以A1Π为子程序并运行Setup算法建立系统,令v=bP,选取s∈Z q为主密钥并秘密保存,计算Ppub=sP,公开params={q,Zq,G,P,Ppub,H0,H1,H2,H3,l0,l1};C建立LH0、LH1、LH2、LH3、LSK、LPK索引列表用于跟踪A1Π对谕言机H0、H1、H2、H3、生成私钥和生成公钥查询;C初始各列表为空;A1Π输出目标身份列表ID j={ID 1,ID 2,…,ID n};A1Π与C进行下述3个阶段的游戏交互.1)查询阶段A1Π在查询阶段的H1询问、H2询问、H3询问、H0询问、私钥提取询问和签密询问同定理3,A1Π不能进行公钥替换询问.公钥提取询问.A1Π提交查询访问参数IDi,C以IDi为索引查询LPK列表,若存在元组〈IDi,Di,Ei〉,则返回(Di,Ei)给A1Π,否则C按下面规则生成用户公钥:①IDi≠IDj,j∈{1,2,…,n},C随机选取di,ri,hi0∈Zq,计算Di=diP,Ei=riP-Ppubhi0,其中要求满足条件〈 ,Di,Ei〉 LPK且〈 , , ,hi0〉 LH0且〈 ,di,ri〉 LSK,添加元组〈IDi,Di,Ei〉到LPK中,添加元组〈IDi,di,ri〉到LSK中,添加元组〈IDi,Di,Ei,hi0〉到LH0中,返回(Di,Ei)给A1Π.②IDi=IDj,j∈{1,2,…,n},C随机选取d i,r i∈Z q,计算Di=d iv=d ibP,Ei=riP,其中437东南大学学报(自然科学版) 第50卷http://journal.seu.edu.cn要求满足条件〈 ,Di,Ei〉 LPK,添加元组〈IDi,Di,Ei〉到LPK中,C随机选取h 0∈Zq,其中要求满足条件〈 , , ,h0〉 LH0,添加元组〈IDi,Di,Ei,h0〉到LH0中,返回(Di,Ei)给A1Π.解签密询问.A1Π提交解签密参数(IDRj,σj=(K,Zi,Wi,CRj)),1≤i≤n,j∈{1,2,…,n},C按下述规则进行解签密询问:①IDRj≠IDj,j∈{1,2,…,n},C对IDRj私钥提取询问得到元组〈IDRj,dRj,rRj〉;C由H1询问得到xRj;计算wRj=W1+W2xRj+…+Wnxn-1Rj(modn),由wRj定位对应密文CRj,计算TRj=Z1+Z2xRj+…+Znxn-1Rj(modq),YRj=TRjdRj+KrRj;以YRj为参数进行H2询问得到hRj2,解密得到hRj2 CRj=(mRj‖IDS‖uRj),对IDS公钥查询得到元组〈IDS,DS,ES〉;若〈IDS,DS,ES〉∈LPK,计算K=uRj(DS+(ES+PpubhS0)hRj),验证(mRj,K,IDS,DS,ES)的H3询问和(mRj,K,IDS,DS,ES)的H3询问是否相等,相等返回mRj给A1Π,不相等则返回无效密文符⊥.②IDRj=ID j,j∈{1,2,…,n},C遍历LH2列表,对每一元组〈Ti,hi2〉(1≤i≤qH2)计算hi2CRj=(mi‖ID i‖u i),查询ID i公钥,若〈ID i,D i,E i〉∈LPK,计算u i(D i+(E i+Ppubhi0)hi)=K ,验证(m i,K,ID i,D i,E i)的H3询问和(m i,K ,ID i,D i,E i)的H3询问是否相等,相等返回m i给A1Π,不相等则返回无效密文符⊥.2)挑战阶段在查询阶段结束后,A1Π提交挑战签密的用户(IDS,IDR1,IDR2,…,IDRn)(其中,IDRj∈IDj,j∈1,2,…,n)和2组等长明文M0={m10,m20,…,mn0},M1={m11,m21,…,mn1}(其中,mi0=mi1,1≤i≤n),C按下述步骤进行签密:①C随机选取β←{0,1},随机选取k∈Zq,计算K=kP,按Sign算法计算u′.②随机选取tRj∈Zq,令Q=aP(C不掌握a),计算TRj=tRjQ=tRjaP,以(IDRj)为参数作H1查询得xRj,计算fi(x)=∏nj=1,j≠ix-xRjxRi-xRj=ai,1+ai,2x+…+ai,nxn-1,计算ZRj=∑ni=1ai,jTRj,从集合{1,2,…,n}中唯一选取wRi,计算WRi=∑ni=1ai,jwRi;随机选取hRj2∈{0,1}l0+l1+Z q,计算CRj=hRj2 (miβ‖IDS‖u′);C返回挑战密文σ′=(K,ZRj,WRj,CRj)(其中1≤j≤n)给A1Π.3)猜测阶段A1Π收到挑战密文σ′后,可以继续阶段1)的各种询问,但不能对IDj,j∈{1,2,…,n}进行私钥提取询问,也不能对σ′进行解签密询问.A1Π询问结束后,输出猜测β′给C,如果β′=β,则A1Π以极大的概率至少提交了一个H2(YRj)询问,C输出CDH问题的解答:abP=(d RjtRj)-1(YRj-Kr Rj-KshRj0)(其中,d Rjb,r Rj为ID Rj的私钥,C掌握d Rj,r Rj,但不掌握b,见公钥提取询问第②步),否则C未能解决CDH问题.同定理3安全分析相同,若A1Π挑战成功的概率ε不可忽略,则C未终止游戏且能成功解答CDH问题优势为succCDHC,A1Π(λ)≥ε1-nqH()21-1qH()3.证毕.3.2 不可伪造性定理5(敌手A2I在随机谕言机模型下的不可伪造性) 若存在敌手A2I赢得文献[10]中定义相关游戏,其获胜概率ε是不可忽略.则挑战者C能在概率多项式时间内解决DLP困难问题,C的概率为succDLPC,A2I(λ)≥1-qSK2()λεe1-1qH()3,其中,qSK为私钥询问次数,qSC为签密询问次数.证明 挑战者C输入随机元组〈P,aP〉(其中,a∈Zq且a未知),目标是利用敌手A2I的输出计算a.C以A2I为子程序并运行Setup算法建立系统(其中,令Ppub=aP,a为系统主密钥,C不掌握),生成params={q,Zq,G,P,Ppub,H0,H1,H2,H3,l0,l1}并公开发布;C建立LH0、LH1、LH2、LH3、LSK、LPK索引列表用于跟踪A2I对谕言机H0、H1、H2、H3、生成私钥和生成公钥的查询;C初始各列表为空;A2I与C进行下述2个阶段游戏交互.1)查询阶段A2I在查询阶段的H0询问、H1询问、H2询问、H3询问同定理3.公钥提取询问.A2I提交查询访问参数IDi,C以IDi为索引查询LPK列表,若存在元组〈IDi,Di,Ei,ci〉,则返回(Di,Ei)给A2I;否则C随机选取ci←{0,1},要求ci满足Pr[ci=1]=1qSC+1,C根据ci的值按如下规则生成用户公钥:①若ci=0,C随机选取di,ri,hi0∈Zq,计算Di=diP,Ei=riP-Ppubhi0,其中要求满足条件〈 ,537第4期方光伟,等:可证安全的无证书多消息同步广播签密方案http://journal.seu.edu.cnDi,Ei,ci〉 LPK且〈 , , ,hi0〉 LH0且〈 ,di,ri〉 LSK,添加元组〈IDi,Di,Ei,ci〉到LPK中,添加元组〈IDi,di,ri〉到LSK中,添加元组〈IDi,Di,Ei,hi0〉到LH0中,返回(Di,Ei)给A2I.②若ci=1,C随机选取d i,r i∈Zq,计算Di=d iP,Ei=riP,其中要求满足条件〈 ,Di,Ei,ci〉 LPK,添加元组〈IDi,Di,Ei,ci〉到LPK中,C随机选取h 0∈Zq,其中要求满足条件〈 , , ,h 0〉 LH0,添加元组〈IDi,Di,Ei,h 0〉到LH0中,返回(Di,Ei)给A2I.私钥提取询问.A2I提交查询访问参数IDi,C以IDi为索引查询LSK列表,若存在元组〈IDi,di,ri〉,则返回(di,ri)给A2I,否则C对IDi进行公钥询问后得到元组〈IDi,Di,Ei,ci〉,如果ci=0返回相应的(di,ri)给A2I,否则C终止模拟.公钥替换询问.A2I提交公钥替换数据(IDi,D′i,E′i),C把元组〈IDi,Di,Ei〉替换为〈IDi,D′i,E′i〉.签密询问.A2I提交签密询问参数(IDS,IDR={IDR1,IDR2,…,IDRn},LM={m1,m2,…,mn}),C对IDS和IDRi(1≤i≤n)进行公钥查询得到元组〈IDS,DS,ES,cS〉和〈IDRi,DRi,ERi,cRi〉,根据查询结果按下述规则进行签密:①若cS=0,C对IDS私钥提取询问得到元组〈IDS,dS,rS〉;C运行多消息匿名签密算法得到签密密文σ =(K ,Z Ri,W Ri,C Ri),1≤i≤n,将σ 返回给A2I.②若cS=1,C终止模拟.解签密询问.A2I提交解签密询问参数(IDRj,σj=(K,Zi,CRj)),1≤i≤n,j∈{1,2,…,n},C对IDRj进行公钥查询得到元组〈IDRj,DRj,ERj,cRj〉,根据查询结果按下述规则进行解签密询问:①若cRj=0,C对IDRj私钥提取询问得到元组〈IDRj,dRj,rRj〉;C由H1询问得到xRj;计算多项式TRj=Z1+Z2xRj+…+Znxn-1Rj(modq),YRj=TRjdRj+KrRj;以YRj为参数进行H2询问得到hRj2,解密得到hRj2 CRj=(mRj‖IDS‖uRj),对IDS公钥查询得到元组〈IDS,DS,ES,cS〉;若〈IDS,DS,ES〉∈LPK,计算K=uRj(DS+(ES+PpubhS0)hRj),验证(mRj,K,IDS,DS,ES)的H3询问和(mRj,K ,IDS,DS,ES)的H3询问是否相等,相等返回mRj给A2I,不相等则返回无效密文符⊥;若〈IDS,DS,ES〉 LPK(公钥被替换为〈IDS,D′S,E′S〉),计算K=uRj(D′S+(E′S+PpubhS0)hRj),验证(mRj,K,IDS,D′S,E′S)的H3询问和(mRj,K ,IDS,D′S,E′S)的H3询问是否相等,相等返回mRj给A2I,不相等则返回无效密文符⊥.②若cRj=1,C遍历LH2列表,对每一元组〈Ti,hi2〉(1≤i≤qH2)计算hi2 CRj=(m i‖ID i‖ui),查询ID i公钥,若〈ID i,D i,E i〉∈LPK,计算u i(D i+(E i+Ppubhi0)h i)=K ,验证(m i,K,ID i,D i,E i)的H3询问和(m i,K ,ID i,D i,E i)的H3询问是否相等,相等返回m i给A2I,不相等则返回无效密文符⊥;若〈ID i,D i,E i〉 LPK(公钥被替换),计算u i(D′i+(E′i+PpubhS0)h′i)=K ,验证(m i,K,ID i,D′i,E′i)的H3询问和(m i,K ,ID i,D′i,E′i)的H3询问是否相等,相等返回m i给A2I,不相等则返回无效密文符⊥.2)伪造阶段在查询阶段结束后,A2I提交挑战签名用户IDS的公钥查询,C查询IDS公钥得元组〈IDS,DS,ES,cS〉,若cS=0,C终止模拟;若cS=1,C返回〈IDS,DS,ES,cS〉给A2I.A2I随机选取k′,u′∈Z q,计算K′=k′P,以(m′,K′,IDS,DS,ES)为参数进行H3询问得到h′3,提交伪造签名δ′=(IDS,m′,K′,u′,h′3)给C.C验证签名是否合法,若δ′是合法签名,则C输出DLP问题的解答a=k′-u′(d S+rsh′3)hS0h′3.若δ′是不合法签名,则C未能解决DLP问题.从C为A2I提供的模拟攻击环境表明,C能利用A2I成功解决DLP问题的前提条件是C必须在模拟过程中未终止.询问阶段,设事件E1表示A2I私钥提取询问时未终止,则Pr[E1]=1-qSK2λ;设事件E2表示C在签密询问时未终止,则Pr[E2]=1-1qSC()+1qSC=qSCqSC()+1qSC≥1(e当qSC比较大时,qSCqSC()+1qSC趋向于1)e;伪造阶段,设事件E3表示A2I未对u′进行相应的H3询问,则Pr[E3]=1-1qH3,因此,C未终止模拟的概率至少为Pr[E1]∧Pr[E2]∧Pr[E3]≥1-qSK2()λ1e1-1qH()3.如果A2I赢得上述游戏的概率ε是不可忽略的,则C未终止游戏且能成功解答DLP问题优势为succDLPC,A2I(λ)≥1-qSK2()λεe1-1qH()3.证毕.637东南大学学报(自然科学版) 第50卷。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
n t o g h i n t r s S e sg a u ea t rt ft e sg e s ua a t e Co a e t h i l r t c l t o e ia n l i h wst a e o r e t e sg a u e , O t i n t r uho y o i n ri r n e d. mp r d wih t e smia p o o o ,he r tc l aysss o h t h f h i h g r a t p o s d p o o o l sn u lmi a h n e o l t l n o ri o p t t n c mplx t d h g e n c mm u i ai n f c e c . r po e r t c l sc o i g t s b i n l a n l mp ee y a d l we c m u a i o i he c c n o e iy a i h ri o n n c to s i i n y e
[ yw rs rpo rp y bod at l— g a r;u l nl h n e;repooo;nomao iig Ke o d ]c tgah ; ra csmut s nt e sbi ac a nlf rtclifr t nhdn y ii u mi e i
DOI 1.9 9 .s. 0 .4 82 1.20 1 : 03 6 /i n1 03 2 .0 1 .3 js 0 2
第3 7卷 第 2 期 2
、o .7 ,13
・
计
算
机
工
程
21 0 1年 1 1月
No e e 2 v mb r 01 1
NO-2 2
Co u e n i e r g mp t r g n e i E n
安全技术 ・
文 编 1 0 3 8012 00 _ 文 标 码: 章 号: 0 _ 4 ( 12 1 - 3 o. 22 ) — 2 o - 献 识 A
(. c o l fS in e b. yLa o aoyo mp tr r fCo u e t r s& I fr t nSe uiyo iit fE u ain o no mai c rt f nsr o d c to . o M y
中 分 号 T9 图 类 : N1 8
广播 多重签名 方案 中阈下信道 的封 闭协议
张兴爱 。 ,张应辉 。 史来婧 ,
( 西安电子科技 大学 a 理学院 ;b 计算机 网络与信息安全教育部重点实验室 ,西安 707) . . 10 1 摘 要 :在 EG ma类广播多重签名方案 中,参数的随机 性会引入阈下信 道,造成安全 隐患 。针对该问题,设计一个新 的交互式 阈下信道 1a l
Fr ePr t c l o u l i a a n l e o o o rS b i n l f m Ch n e i o d a t u t.in t r c e e n Br a c s li g a u eS h m M s
Z HANGXiga , HAN Yn -u“S a-n n -i Z G igh i HI i ig , L j
1 概述
多重签名 是指 多个 用户对 同一消息进行签名。多重签 名 分为有序 多重签名 …和广播 多重签名 】 中,广播 多重签 。其 名是指消息发送者将消 息同时发送给每一位签名成员 ,各成 员完成 自己的部分签名后 ,将部分签名发送给签名收集者 , 由收集者生成广播 多重签名 ,再把最终 的签名发送给签名验 证者 以验证签名 的有效性。
封 闭协议 。其 中,看守和每个签名者合作生成部分签 名,签名 中心生成总签名 。哈希函数的无碰撞性使看守不能伪造 签名 ,由此保证签名
者 的签名权 力。理论分析证 明,与 同类协议相 比,该协议可 以完全封闭阈下信道 ,且计算复杂度更低 , 信效率 更高。 通
关健词 :密码学 ;广播 多重签名 ;闽下信道 ;封 闭协议 ;信息隐藏
XiinUnvri , ’l 10 1C ia da iest Xi l7 0 7 , hn) y a
[ src]nte racs l—in tr hme ie 1 a lte a d m aa tr cnit d c esbi nl hn e n a s oet l Abta t I od at ts a es e k G ma,h no prme s a r u eh u l ac an la dcue t i hb mu i g u c l E r e no t mi s p na
s ft o lms aey prb e .Ai n tt e p o e ,a n w ntrcie s bi na—re p oo o sd sg e mig a h rblm e i ea t u l v mi lfe r tc li e in d.Th r e o p r ts wi a h sg rf r e wad n c o eae t e c ine o h g n rtn r in tr , n in t r e trg n rtsmut sg tr . ec liin fe ef r n eof a hf n t ne s rst a r e a e e ai gpat g au e a dsg a ec ne e eae l—ina e Th o l o - ep ro ma c s u ci n ue h thewad nc n s u i u s l h o t
[ yw rs rpo rp y bod at l— g a r;u l nl h n e;repooo;nomao iig Ke o d ]c tgah ; ra csmut s nt e sbi ac a nlf rtclifr t nhdn y ii u mi e i
DOI 1.9 9 .s. 0 .4 82 1.20 1 : 03 6 /i n1 03 2 .0 1 .3 js 0 2
第3 7卷 第 2 期 2
、o .7 ,13
・
计
算
机
工
程
21 0 1年 1 1月
No e e 2 v mb r 01 1
NO-2 2
Co u e n i e r g mp t r g n e i E n
安全技术 ・
文 编 1 0 3 8012 00 _ 文 标 码: 章 号: 0 _ 4 ( 12 1 - 3 o. 22 ) — 2 o - 献 识 A
(. c o l fS in e b. yLa o aoyo mp tr r fCo u e t r s& I fr t nSe uiyo iit fE u ain o no mai c rt f nsr o d c to . o M y
中 分 号 T9 图 类 : N1 8
广播 多重签名 方案 中阈下信道 的封 闭协议
张兴爱 。 ,张应辉 。 史来婧 ,
( 西安电子科技 大学 a 理学院 ;b 计算机 网络与信息安全教育部重点实验室 ,西安 707) . . 10 1 摘 要 :在 EG ma类广播多重签名方案 中,参数的随机 性会引入阈下信 道,造成安全 隐患 。针对该问题,设计一个新 的交互式 阈下信道 1a l
Fr ePr t c l o u l i a a n l e o o o rS b i n l f m Ch n e i o d a t u t.in t r c e e n Br a c s li g a u eS h m M s
Z HANGXiga , HAN Yn -u“S a-n n -i Z G igh i HI i ig , L j
1 概述
多重签名 是指 多个 用户对 同一消息进行签名。多重签 名 分为有序 多重签名 …和广播 多重签名 】 中,广播 多重签 。其 名是指消息发送者将消 息同时发送给每一位签名成员 ,各成 员完成 自己的部分签名后 ,将部分签名发送给签名收集者 , 由收集者生成广播 多重签名 ,再把最终 的签名发送给签名验 证者 以验证签名 的有效性。
封 闭协议 。其 中,看守和每个签名者合作生成部分签 名,签名 中心生成总签名 。哈希函数的无碰撞性使看守不能伪造 签名 ,由此保证签名
者 的签名权 力。理论分析证 明,与 同类协议相 比,该协议可 以完全封闭阈下信道 ,且计算复杂度更低 , 信效率 更高。 通
关健词 :密码学 ;广播 多重签名 ;闽下信道 ;封 闭协议 ;信息隐藏
XiinUnvri , ’l 10 1C ia da iest Xi l7 0 7 , hn) y a
[ src]nte racs l—in tr hme ie 1 a lte a d m aa tr cnit d c esbi nl hn e n a s oet l Abta t I od at ts a es e k G ma,h no prme s a r u eh u l ac an la dcue t i hb mu i g u c l E r e no t mi s p na
s ft o lms aey prb e .Ai n tt e p o e ,a n w ntrcie s bi na—re p oo o sd sg e mig a h rblm e i ea t u l v mi lfe r tc li e in d.Th r e o p r ts wi a h sg rf r e wad n c o eae t e c ine o h g n rtn r in tr , n in t r e trg n rtsmut sg tr . ec liin fe ef r n eof a hf n t ne s rst a r e a e e ai gpat g au e a dsg a ec ne e eae l—ina e Th o l o - ep ro ma c s u ci n ue h thewad nc n s u i u s l h o t