标准模型下基于身份的高效多签密方案

黄 海,祁正华,杨红尘

(南京邮电大学 计算机学院，江苏 南京 210003)

标准模型下基于身份的高效多签密方案

黄 海,祁正华,杨红尘

(南京邮电大学 计算机学院，江苏 南京 210003)

签密能够同时实现加密和认证功能，并且其计算代价小于传统的将两者组合使用的方式。所以用标准模型来构建高效安全的基于身份的签密方案是当下密码学领域的热点问题之一。该方案利用椭圆曲线上的双线性对，构建了将标准模型下基于身份的加密算法同多接收者情况下的签名算法两者优点相结合的基于身份的多接收者签密方案构架和安全概念，形成了具有安全、高效性的多接收者签密方案。针对现有基于身份的多签密方案存在效率不高的问题，提出了一种高效的基于身份的多签密方案。新方案在参与签密者人数为n(n>1)时减少了大量的幂运算，并在标准模型下进行了安全性分析及效率分析，证明了新方案可归约于CDH困难假定以及计算量的减少。与原有方案相比，在保证安全性的同时，多签密效率有了大幅提高。

基于身份；多签密；标准模型；双线性对

0 引 言

基于身份公钥密码体制是由Shamir[1]在1984年首次提出，其基本思想是由用户的身份信息，如身份证号、邮箱、姓名或者其他已知标识符作为该用户的公钥,解决了传统使用公钥证书带来的各种问题。1997年，Zheng[2]在一个逻辑步骤中提出同时完成加密与签名两项任务的签密概念，相较于传统的先签名后加密的方式，签密拥有更好的计算效率。将基于身份的密码体制的优点进一步添加到签密方案中形成基于身份的签密方案。2002年，一个完整的基于身份的签密方案由Malone-Lee[3]提出。2004年，Boneh[4]提出了基于标准模型下的基于身份的加密方案。因其基于标准模型下的分析设计，其安全性规约于公认的困难问题假定，显然，安全性问题得到了保障。2009年，Yu等[5]提出了建立在标准模型下的基于身份的签密方案，而后又陆续有其他的基于身份的签密方案被提出[6-9]。签密在十多年中得到了广泛研究，所提方案总体上可分为三大类:基于离散对数的方案、基于RSA的方案和基于双线性映射的方案[10]。

在同一个消息要求多个签密者进行签名加密后再发送给接收者的情形下，多签密方案日渐成为研究热点。2001年，Mitomi等[11]提出了一种并未给出安全性证明的多签密方案。2010年，张波等[12]提出了一种基于身份的多签密方案，但此方案的计算效率较低。

文中在张波等[12]签密方案及李聪等所提出的一个基于身份的多签密方案的基础上[13]，提出了效率更高的基于标准模型下可证安全的基于身份的多签密方案。当签密者人数为n(n>1)时，其签密过程中幂运算的计算次数比李聪等所提方案少了(n-1)个。文中给出了其正确性的证明，然后根据判定性双线性Diffie-Hellman问题假设了一个无随机预言机模型下的方案，由计算结果可得该方案在标准模型下是安全的。

1 相关基础

设G1,G2分别为加法循环群和乘法群，大素数q为G1,G2的阶。p是群G1的生成元，e:G1×G2→G2是一个双线性映射，当且仅当其满足下列性质。

(2)可计算性：对于所有的P,Q∈G1，存在一个有效的多项式时间算法计算e(P,Q)。

(3)非退化性：存在P,Q∈G1使e(P,Q)≠1成立。

CDH问题:设p是G1的生成元，已知pa,pb(a,b∈Zq,p∈G1)计算e(p,p)ab。

2 基于身份的多签密方案

(2)计算σi2=dAi2；

解签密阶段(Unsigncyrpt)：接收者(Bob)接收密文，解密算法如下：

计算

如果下面等式成立，则Bob就接收消息：

3 安全性分析

3.1 正确性

方案的正确性证明如下：

3.2 安全性

系统参数设置：

(1)随机选择两个整数ku和km(0≤ku≤nu,0≤km≤nm)；

为了便于分析，对消息u和消息m定义如下函数：

算法Y按以下方式回答询问。

阶段1：C回答Λ如下询问。

令

有

则du是身份u的一个有效私钥。

(3)解签密询问(不大于qU次)：Λ可以在任何时间针对密文σ进行解签密询问。如果F(uB)≠0modlu,C则先按照密钥提取算法生成身份uB的密钥，而后执行算法Unsigncrypt(σ,dB,IDA1,IDA2,…,IDAn)来回应Λ的询问。

令

则

模拟成功。

依据上述分析得到能够模拟成功的4个条件，下面分析模拟成功的概率：

(1)密钥询问过程中满足F(u)≠0modlu。

(3)解签密询问中满足F(uB)≠0modlu。

为了能够使表达清晰，假设qI≤qE+qS+qU。定义：

另一方面，对于任意i,Ai和A′也是相互独立的:

类似的，可以求出：

结合以上这些结果，可以得到：

即

定理2：在CDH假设下，提出的基于身份的签密方案在适应性选择消息攻击下能够抵抗存在性伪造。

证明：假设存在一个伪造者Λ对签密密文进行有效的伪造，那么文中可以通过Λ的伪造能力来构造一个挑战者C，使得挑战者C来解决CDH问题的实例。挑战者C使用证明密文的不可区分性中的设置方法来设置公共参数，C指定g1=ga,g2=gb，定义函数F(u),J(u),K(m),L(m)和公共参数u′,m′,ui,mj，则有

也即是输出CDH问题。

4 效率分析

表1 计算效率

5 结束语

保证方案在标准模型下具有可证安全性的基础上，针对以往的多签密方案的效率进行改进提升，提出了新的基于身份的多签密方案。该方案在多签密者的情况下，其签密过程中减少了多个幂运算，提高了在签密过程阶段的计算效率。如何缩短密文长度同时又保证安全性，继续进一步提高运算效率还有待在日后的工作中深入研究。

[1]ShamirA.Identity-basedcryptosystemsandsignatureschemes[C]//Proceedingsofadvancesincryptology.Berlin:Springer-Verlag,1985:47-53.

[2]ZhengY.Digitalsigncryptionorhowtoachievecost(si-gnature&encryption)<

[3]Malone-LeeJ.Identitybasedsigncryption[R/OL].[2011-10-01].http://eprint.iacr.org/2002/098.pdf.

[4]BonehD,FranklinM.Identity-basedencryptionfromtheWeilpairing[C]//Crypto’2001.Berlin:Springer-Verlag,2001:213-229.

[5]YuY,YangB,SunY,etal.Identity-basedsigncryptionschemewithoutrandomoracles[J].ComputerStandards&Interfaces,2009,31(1):56-62.

[6]LiX,QianH,WengJ,etal.Fullysecureidentity-basedsigncryptionschemewithshortersigncryptextinthestandardmodel[J].MathematicalandComputerModelling,2013,57(3):503-511.

[7] 肖鸿飞，刘长江.一种基于身份的改进高效签密方案[J].计算机工程，2011,37(24):126-128.

[8] 祁正华,杨 庚,任勋益,等.标准模型下基于身份的多接收者签密方案[J].江苏大学学报:自然科学版,2011,32(5):573-577.

[9] 庞辽军,崔静静,李慧贤,等.新的基于身份的多接收者匿名签密方案[J].计算机学报,2011,34(11):2104-2113.

[10] 岳泽轮，韩益亮，杨晓元.基于Paillier公钥密码体制的签密方案[J].小型微型计算机系统，2013,34(10):2310-2314.

[11]MitomiS,MiyajiA.Ageneralmodelofmulti-signatureschemeswithmessageflexibility,orderflexibilityandorderverifiability[J].IEICETransactionsonFundamentalsofElectronics,CommunicationsandComputerSciences,2001,84(10):2488-2499.

[12] 张 波，徐秋亮.无随机预言机的基于身份的多签密方案[J].计算机学报，2010,33(1):103-110.

[13]ShamirA,TaumanY.Improvedonline/offlinesignaturesche-mes[C]//Advancesincryptology.Berlin:Springer-Verlag,2001:355-367．

[14]MehtM,HarnL.Efficientone-timeproxysignatures[J].IEEEProceedingsCommunications,2005,152(2):129-133.

An Efficient Identity-based Multi-signcryption in Standard Model

HUANG Hai,QI Zheng-hua,YANG Hong-chen

(School of Computer,Nanjing University of Posts and Telecommunications,Nanjing 210003,China)

Signcryption can achieve encryption and signature at the same time,and less computational complexity than the traditional secure schemes that fulfill the functions both.Therefore it becomes one of the hottest topics in today’s cryptography to construct a secure and efficient Identity-Based Signature (IBS) under standard model.In the IBS,identity-based encryption algorithm and multi-receiver signature algorithm are combined with bilinear pairing on elliptic curves to establish the structure and security concept of ID-based signcryption scheme for multiple receivers,forming an efficient identity-based multi signcryption.In view of the low efficiency of existing identity-based multi-signcryption,an efficient identity-based multi-signcryption algorithm is proposed,and it reduces the amount of power operation when the number of the signcrypter isn(n>1)andgivesthesecurityandefficiencyanalysisinthestandardmodel.Ithasprovedthatthenewscheme’ssecureunderCDHassumptionandreducesthecalculation.Comparedwiththeoriginalscheme,thesigncryptionefficiencyhasbeensignificantlyimproved.

identity-based;multi-signcrytion;standard model;bilinear pairing

2016-01-20

2016-05-11

时间：2016-10-24

国家自然科学基金资助项目(61073188)

黄 海(1990-)，男，硕士研究生，研究方向为网络信息与安全；祁正华，副教授，博士，研究方向为网络与信息安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20161024.1113.026.html

TP

A

1673-629X(2016)12-0122-05

10.3969/j.issn.1673-629X.2016.12.027