高效的基于身份的簽密方案

鄧倫治，王祥斌，瞿云云

(貴州師范大學數學與計算機科學學院，貴州 貴陽 550001)

高效的基于身份的簽密方案

鄧倫治，王祥斌，瞿云云

(貴州師范大學數學與計算機科學學院，貴州 貴陽 550001)

簽密能夠以較低的通信成本同時完成認證和加密兩種功能。提出了一個新的基于身份的簽密方案，并在隨機預言模型下證明了其安全性。本方案在簽密階段不需要雙線性對的計算，解密階段也只需要兩次雙線性對計算，與以往方案比較，該方案的運算量更低。

基于身份的密碼；簽密; 雙線性對；隨機預言模型

1 引言

公鑰密碼是實現網絡和信息安全的重要技術，傳統的公鑰設施需要一個可信的第三方，由其向成員發放證書，將成員的身份和公鑰邦定。由此，也導致了證書管理問題的出現。為了取消公鑰證書的使用，Shamir A[1]提出了基于身份的密碼體制思想，它也需要建立一個可信的第三方，將用戶的個人信息(如姓名、身份證號、E-mail地址等)作為用戶的公鑰，根據用戶的公鑰，向其發放私鑰，從而使用戶不再需要公鑰證書，提高了管理效率。

隨著網絡的普及，電子商務、電子貨幣等方式的大量出現對網絡安全提出更高要求，公開網絡中傳輸的數據必須同時實現保密和認證。傳統方法采用對數據先簽名后加密的方法。為了提高效率，Zheng Y L[2]提出簽密概念，其基本思想是在一個邏輯步驟中同時完成簽名和加密功能，因此計算代價比先簽名后加密方法的低。Baek J等人[3]給出了簽密的安全模型，并對文獻[2]的方案給出了嚴格的安全證明。

公鑰密碼的一個研究方向就是將基于身份的密碼與簽密方案融合，設計出安全、高效的基于身份的簽密方案。Malone-Lee J[4]提出了第一個基于身份的簽密方案，并定義了基于身份的簽密方案的安全模型。然而，Libert B和 Quisquater J J[5]指出Malone-Lee J的方案是不安全的，并利用雙線性對構造了一個新的方案。隨后，許多安全高效的基于身份的簽密方案被提出[6～14]。Jin Z P等人[15]給出了在標準模型下的基于身份的簽密方案。

2 準備工作

雙線性映射在密碼學理論中是一個重要的工具，設G1和G2是兩個素數q階循環群，P是群G1的一個生成元。e:G1×G1→G2是一個滿足下列要求的映射：

(1)任取P1、P2∈G1，a、b∈Zq，則e(aP1,bP2)=e(P1,P2)ab;

(2)存在P1、P2∈G1使e(P1,P2)≠1G2;

(3)存在一個高效的計算方法，對于任意P1、P2∈G1，可計算e(P1,P2)。

3 安全模型

定義3(不可區分性) 如果沒有多項式有界的敵手以一個不可忽略的優勢贏得以下的游戲，那么稱一個基于身份的簽密方案在適應性選擇密文攻擊下具有密文不可區分性(IND-IBSC-CCA2)。

系統初始化：挑戰者C輸入安全參數k，運行參數設置算法，并將系統參數params發送給敵手A。

第一階段：敵手A執行多項式次數的適應性查詢，即每次查詢可以根據前一次查詢所得的結果而作出。

Hash函數查詢：敵手A可以查詢任何的Hash函數值。

私鑰查詢：敵手A選擇身份ID，挑戰者C運行私鑰生成算法得到SID，并將其發送給敵手A。

簽密查詢：敵手A選擇簽密者身份IDs、接收者身份IDr、消息M，并把它們發送給挑戰者C。挑戰者C運行簽密算法得到密文σ，并將其發送給敵手A。

解簽密查詢：敵手A選擇接收者身份IDr、密文σ，并把它們發送給挑戰者C。挑戰者C運行解密算法得到明文M或者“⊥”(如果σ是無效的密文)。

響應：敵手A輸出μ′∈{0,1}，如果μ′=μ，則在游戲中獲勝。

敵手A的優勢定義為：

定義4(不可偽造性) 如果沒有多項式有界的敵手以一個不可忽略的優勢贏得以下的游戲，那么稱一個基于身份的簽密方案在適應性選擇密文攻擊下具有密文不可偽造性(UNF-IBSC-CCA)。

系統初始化：與不可區分性游戲中一樣。

查詢階段：與不可區分性游戲中一樣，敵手A執行多項式次數的適應性查詢。

4 提出的方案

(3)簽密：IDr是指定的接收者，M是給定的消息，IDs按下列步驟給出密文：

步驟3 輸出密文σ=(C,T,Z,V)。

(4)解簽密：接收者IDr收到密文σ=(C,T,Z,V)后，按下列步驟解密：

步驟1 計算B=e(T,SIDr),M=H2(B)⊕C,h=H3(M‖B‖Z‖IDr‖IDs)。

步驟2 檢查e(V,Ppub+dIDsP)=ZYh是否成立，如果等式成立，則接受σ是有效密文；否則，認定σ是無效的。

(5)方案的正確性：

5 安全分析

定理1 在隨機預言模型下，設A是一個自適應的選擇密文攻擊者，在時間t內，至多做qH1次H1查詢，qH2次H2查詢，qH3次H3查詢，qE次私鑰查詢，qS次簽密查詢，qU次解密查詢，如果A能有ε的優勢區分密文，則存在挑戰者C，能有ε/qH1的概率解決n-DBDH問題。

參數設置：C設置Y=e(P,P),params={G1,G2,e,P,Ppub=aP,Y,H1,H2,H3}。

第一階段：敵手A將對挑戰者C作多項式次數的各種查詢。不失一般性：總假定每次的查詢互不相同；A將身份ID用作其他查詢前，必先對ID做了H1查詢；A不會把簽密查詢的結果拿來做解密查詢。

H1查詢：C以(IDi,di)的格式設置列表L1。當A查詢H1(IDi)時，C按下列方法回答A的查詢：

在A的第j次查詢，C設定H1(ID*)=b回答A。當i≠j時，C設定H1(IDi)=di。并將(IDi,di)儲存在L1中。注意這里n>qH1。

H2查詢：C以(U,α)的格式設置列表L2。當A查詢H2(U)時，C隨機選擇α∈{0,1}l，設定H2(U)=α，并把(U,α)儲存在L2中。

簽密查詢：當A對消息M、指定的簽密者IDs和接收者IDr做簽密查詢時，C按下列方法回答A的查詢：如果IDs≠ID*，C調用簽密算法回答A；如果IDs=ID*，C按下列步驟給出密文：

步驟3 存儲h=H3(M‖Yt‖Z‖IDr‖IDs)到列表L3，若發生碰撞，重新執行步驟1～步驟3。

步驟4 輸出密文σ=(C,T,Z,V)。

解密查詢：當A對密文σ=(C,T,Z,V)、接收者IDr做解密查詢時，如果IDr≠ID*，C計算SIDr，然后調用解密算法回答A；如果IDr=ID*，C告訴A密文σ是無效的。注意IDr=ID*且σ是合法密文的概率不超過1/2k。

挑戰：A做了多項式次的查詢后，選擇兩個等長的明文M0、M1∈Ω，指定的簽密者IDs和指定的接收者IDr，并將這些信息發送給C，要求A在第一階段并未查詢IDr的私鑰。如果IDr≠ID*，C失??；否則，C選擇μ∈{0,1}并按下列步驟計算Mμ的密文σ*：

步驟1 設定T=X，C=H2(Yc)⊕Mμ。

步驟3 輸出密文σ*=(C,T,Z,V)。

第二階段：A像第一階段一樣，做多項式次查詢。他依然不能查詢接收者IDr的私鑰并且不能對密文σ*做解密查詢。

響應：A輸出μ′∈{0,1}。若μ′=μ，則C輸出1；若μ′≠μ，則C輸出0。如果X=c(aP+bP)，則σ*是有效密文，因而A有優勢ε區分μ。因此:

Pr[C→1|X=c(aP+bP)]=

如果X≠c(aP+bP)，則當μ=0或μ=1時，密文各部分具有相同的分布概率，因而A在區分μ上不具有任何優勢。因此:

Pr[C→1|X≠c(aP+bP)]=

□

參數設置：C設置Y=e(P,P)，params={G1,G2,e,P,Ppub=aP,Y,H1,H2,H3}

查詢階段：與定理1中第一階段所做的查詢完全一樣。

偽造：A給出一個偽造簽密σ*=(C,T,Z,V)，A沒有查詢過簽密者IDs的私鑰。

□

6 效率分析

將本文方案與已經提出的效率較高的簽密方案進行比較，結果如表1所示。盡管許多學者在分析雙線性對的復雜性和加速雙線性對的計算方面做了很多工作，減少雙線性對的運用，降低運算成本，構造高效的密碼方案依然是人們關心的問題。從表1中可見，以往方案中，最少也要用四次雙線性對的計算，而本方案僅需兩次雙線性對的計算，因此其效率更高。

Table 1 Comparison between our scheme and other schemes

7 結束語

本文提出了一個新的基于身份的簽密方案,并在隨機預言模型下證明了其安全性，與其他方案的比較結果說明該方案是高效的，其通信成本低、計算量少，因此具有更高的實用價值。

[1] Shamir A. Identity-based cryptosystems and signature schemes[C]∥Proc of CRYPTO’84, 1984:47-53.

[2] Zheng Y L. Digital signcryption or how to achive cost (signature & encryption)《cost (signature)+cost(encryption)》[C]∥Proc of CRYPTO’97, 1997:165-179.

[3] Baek J, Steinfeld R, Zheng R. Formal proofs for the security of signcryption[J]. Journal of Cryptology,2007,20(2):203-235.

[4] Malone-Lee J. Identity-based signcryption[EB/OL].[2009-01-22].http://eprint.Iacr. Org/ 2002/098.

[5] Libert B, Quisquater J J. A new identity based signcryption scheme from pairings[C]∥Proc of the IEEE Information Theory Workshop, 2003:155-168.

[6] Chow S S M, Yiu S M, Hui L C K, et al. Efficient forward and provably secure ID-based signcryption scheme with public verifiability and public ciphertext authenticity[C]∥Proc of Information Security and Cryptology, 2004:352-369.

[7] Boyen X. Multipurpose identity-based signcryption:A swiss army knife for identity-based cryptography[C]∥Proc of CRYPTO’03, 2003:383-399.

[8] Barreto P S L M, Libert B, McCullagh N, et al. Efficient and provably-secure identity-based signatures and signcryption from bilinear maps[C]∥Proc of ASIACRYPT’05,2005:515-532.

[9] Lal S, Kushwah P. ID-based generalized signcryption[R]. Report 2008/084 Cryptology Eprint Archive,2008.

[10] Yu G, Ma X, Shen Y, et al. Provable secure identity based generalized signcryption scheme[J] Theoretical Computer Science, 2010,411(40-42):3614-3624.

[11] Chen L, Malone J L. Improved identity-based signcryption[C]∥Proc of 2005 Public Key Cryptography 2005, 2005:362-379.

[12] Li Fa-gen, Hu Yu-pu, Li Gang. An efficient identity based signcryption scheme[J]. Chinese Journal of Computers, 2006, 29(9):1641-1647.(in Chinese)

[13] Li Xiao, He Ming-xing, Luo Da-wen. ID-based signcryption scheme[J]. Computer Engineering, 2009, 35(22):144-146.(in Chinese)

[14] Li Shun, Zeng Chao, Li Jun. Identity-based signcryption scheme[J]. Computer Engineering, 2010, 36(8):135-137.(in Chinese)

[15] Jin Z P, Wen Q Y, Du H Z. An improved semantically-secure identity-based signcryption scheme in the standard model[J]. Computers and Electrical Engineering,2010,36(3):545-552.

附中文參考文獻:

[12] 李發根,胡予濮,李 剛. 一個高效的基于身份的簽密方案[J].計算機學報, 2006, 29(9):1641-1647.

[13] 李虓，何明星，羅大文. 基于身份的簽密方案[J]. 計算機工程，2009, 35(22):144-146.

[14] 李順，曾超，李軍. 一種基于身份的簽密方案[J]. 計算機工程, 2010, 36(8):135-137.

DENG Lun-zhi,born in 1979,PhD,associate professor,his research interest includes algebra and information security.

王祥斌(1979-),男,貴州桐梓人，碩士，副教授，研究方向為算法與數據挖掘。E-mail:40162855@qq.com

WANG Xiang-bin,born in 1979,MS,associate professor,his research interests include algorithm, and data mining.

瞿云云(1983-),男,貴州金沙人，碩士，講師，研究方向為信息安全。E-mail:1074708656@qq.com

QU Yun-yun,born in 1983,MS,lecturer,his research interest includes information security.

High-efficient signcryption scheme based on identity

DENG Lun-zhi，WANG Xiang-bin,QU Yun-yun
(School of Mathematics and Computer Science,Guizhou Normal University,Guiyang 550001,China)

Signcryption offers authentication and confidentiality simultaneously with a lower cost. A new identity based signcryption scheme is proposed, which is proved to be secure under the random oracle model. The proposed scheme does not require pairing operation in signcryption, and only have 2 pairing operations in unsigncryption. Compared with the previous schemes, the computation cost of the proposed scheme is less.

identity-based cryptography;signcryption;bilinear pairings;random oracle model

2012-08-24;

2013-01-04

貴州師范大學2013年博士科研基金資助項目；貴州省科學技術基金資助項目(黔科合J字LKS[2013]02號)；貴州省科學技術基金資助項目(黔科合J字[2013]2214)

1007-130X(2014)03-0441-05

TN918.4

A

10.3969/j.issn.1007-130X.2014.03.011

鄧倫治(1979-),男,貴州桐梓人，博士，副教授，研究方向為代數與信息安全。E-mail:denglunzhi@163.com

通信地址：550001 貴州省貴陽市貴州師范大學數學與計算機科學學院

Address:School of Mathematics and Computer Science,Guizhou Normal University,Guiyang 550001,Guizhou,P.R.China