适用于电子认证的高效无证书混合签密方案(下).docx

《适用于电子认证的高效无证书混合签密方案(下).docx》由会员分享，可在线阅读，更多相关《适用于电子认证的高效无证书混合签密方案(下).docx（9页珍藏版）》请在咨信网上搜索。

1、 适用于电子认证的高效无证书混合签密方案（下） 阶段1：攻击者可以进行如下一系列询问.H1询问：C维护一个列表L1，由元素（IDi，Qi，di）组成，最初该列表为空.当C接收到H1（IDi）询问时，C首先检查列表中是否已存在元素（IDi，Qi，di）.如果是，则返回Qi；否则，按如下步骤进行：1）如果IDiID，C从q*中随机选取di，计算Qi=diP，并把（IDi，Qi，di）加入列表L1，然后返回Qi；2）如果IDi=ID，则C返回Qi=bP，并把（IDi，Qi，）加入列表L1.不妨设攻击者在进行其他询问时，总是已进行过相应的H1询问.H2询问：C维护一个列表L2，由元素（R1，R2，R3

2、，K）组成，最初该列表为空.当C接收到H2（R1，R2，R3）询问时，首先检查列表中是否已存在条目（R1，R2，R3，K），如果是，则返回K；否则C从0，1中随机选取一个元素K作为回答，并把（R1，R2，R3，K）加入L2.H3询问：C维护一个列表L3，由元素（m，h1）组成，最初为空.当C接收到H3（m）询问时，首先检查L3中是否已存在条目（m，h1）.若存在，则返回h1.否则从q*随机选择L3中未出现过的h1，将（m，h1）加入L3并返回h1.H4询问：C维护一个列表L4，由元素（h1，U，h2）组成，最初为空.当C接收到H4（h1，U）询问时，首先检查L4中是否已存在条目（h1，U，h2

3、）.若存在，则返回h2.否则从q*随机选择L4中未出现过的h2，将（h1，U，h2）加入L4并返回h2.部分私钥询问：C维护一个列表Lp，由元素（IDi，Di）组成，最初该列表为空.当C接收到Extract-Partial-Private-Key（IDi）询问时，如果i=，则C退出游戏；否则，C从列表L1中查找到（IDi，Qi，di），计算出部分私钥Di=diP0，并把（IDi，Di）加入列表Lp，然后返回Di.秘密值询问：C保存一个秘密值列表Ls，由元素（IDi，xi）组成，最初该列表为空.当C接收到Generate-User-Key（IDi）询问时，首先检查Ls中是否已存在条目（IDi，x

4、i）.如果已存在，则返回xi，否则从q*中随机选取xi，并把（IDi，xi）加入秘密值列表Ls，然后返回xi.公钥询问：C维护列表LPK，由元素（IDi，xi）组成，该列表最初为空.当C接收到对用户IDi的公钥询问时，先检查秘密值列表Ls是否存在（IDi，xi），若存在，则计算，将（IDi，xi）加入列表LPK，返回；否则C首先进行秘密值询问操作，然后再进行公钥询问.公钥替换：当A1输入（IDi，）时，C检查条目（IDi，xi）是否包含在LPK中.如果包含，那么将该条目替换为（IDi，xi）（这里，假设C可以从A1处得到与相应的秘密值xi17）.如果不包含，C先执行公钥询问产生条目（IDi，x

5、i），并将其替换为（IDi，xi）.2种情况下都需要将Ls中的相应条目（IDi，xi）同步更新为（IDi，xi）.Signcrypt询问：A1询问（IDi，IDj，m）的密文.如果i，则C正常签密.否则，C随机选择S，h2q*，g2G2，计算h1=H3（m|IDj）（通过H3询问），计算U=S（h2P+QiP0+PKi），如果L4存在（h1，U，h2），并且h2h2，则重新选择S，h2q*，直到找到3元组的前2元并未在L4中出现过，将条目（h1，U，h2）加入列表L4.K=H2（U，g2，xiPKj）（通过H2询问），将（U，g2，xiPKj，K）加入列表L2.计算V=EncK（m|S），返回

6、密文C=（U，V）给A1.Unsigncrypt询问：A1询问（IDi，IDj，C=（U，V）的明文.如果j，则C正常解签密.否则，C按以下步骤遍历列表L2中的条目（U，R2，R3，K）.如果UU或R3xjPKi，则移到L2中的下一个条目并重新开始.计算.如果获得结果为，则移到L2中的下一个条目并重新开始.如果mL3，移到L2中的下一个条目并重新开始；否则通过H3询问计算h1=H3（m）.如果（h1，U）L4，移到L2中的下一个条目并重新开始；否则通过H4询问计算h2=H4（h1，U）.如果等式U=S（h2P+QiP0+PKi）成立，则返回m.如果遍历完列表L2还是没有消息返回，则返回.挑战：

7、阶段1结束后，A1选取2个新鲜等长的明文m0，m1，以及2个身份IDsender*，IDreceiver*，如果r则C退出游戏，阶段1期间IDreceiver部分私钥不能被询问.C按照如下方式计算挑战密文：设置U=cP，随机选取0，1和K0，1，随机选取t并计算S，计算V=EncK（m|S）返回挑战密文C=（U，V）.阶段2：A1继续阶段1的询问，但是不能询问IDreceiver的部分私钥，也不能对挑战密文进行解签密询问.最后A1猜测*，若*=，则A1胜利.C从列表L2中随机均匀地选择第2项R2*，输出R2*=e（P0，H1（IDreceiver*）t）=e（aP，bP）c=a（P，P）abc

8、作为BDH问题实例的解答.分析：如果A1以不可忽略的优势赢得上述游戏，那么C利用A1成功求解BDH问题的优势为证毕. 证毕.定理3.假设（Enc，Dec）具有机密性，那么新方案在随机预言模型和CDH困难性假设下对第2类攻击者A2具有IND-CCA安全性.证明简述.C接收一个随机的CDH问题实例（P，aP，bP），其目标是求出abP.C把A2作为子程序并在游戏中扮演A2的挑战者.将被挑战的发送者公钥设为aP，接收者公钥设为bP，A2若能以一个不可忽略的优势区分挑战密文，则其必定以一个不可忽略的概率询问过H2（，abP）.最后，C从列表L2中选取匹配的元素并输出其第3项作为对CDH问题的解答.定理

9、4.假设（Enc，Dec）具有机密性，那么新方案在随机预言模型和BDH困难性假设下对第1类攻击者A1具有IND-CMA安全性.证明简述.C接收一个随机的BDH问题实例（P，aP，bP，cP），目标是计算出e（P，P）abc.C把A1作为子程序并在游戏中扮演A1的挑战者，将KGC公钥P0设为aP，将被挑战发送者和接收者ID的H1值分别设为bP和cP，若A1能以一个不可忽略的优势区分挑战密文，则其必定以一个不可忽略的概率询问过H2（，e（P，P）abc，）.最后，C从列表L2中选取1个匹配的元素，并输出其第2项作为BDH问题的解答.定理5.假设（Enc，Dec）具有可认证性.新方案在随机预言模型和

10、CDH困难性假设下对第2类攻击者A2具有UF-CMA安全性.证明简述.C接收一个随机的CDH问题实例（P，aP，bP），其目标是求出abP.C把A2作为子程序并在游戏中扮演A2的挑战者.令被挑战的发送者公钥设为aP，接收者公钥设为bP，A2若能以一个不可忽略的优势伪造一个有效密文，则其必定以一个不可忽略的概率询问过H2（，abP）.最后，C从列表L2中选取匹配的元素并输出其第3项作为对CDH问题的解答.定理6.新方案满足不可抵赖性.证明简述.假设接收方可以伪造发送方的签名，那么他就能伪造文献16中椭圆曲线上的短签名SECDSSl.SECDSSI是将文献1中的签名方案SDSSl移植到椭圆曲线密码

11、体制中的形式.文献1指出在离散对数困难问题下，如果将散列函数视作随机函数，那么，SDSSl是在适应性选择消息攻击下存在性不可伪造的.综上，可以得出结论：假设椭圆曲线上离散对数问题是困难的，那么在随机预言机模型下，本文提出的签密方案是适应性选择消息攻击下存在性不可伪造的.定理7.新方案满足公开验证性和前向安全性.证明简述.当通信双方产生争议时，只需提交（U，S，h1，h2）给第三方验证者，验证者进行如下验证：U=S（h2P+QsenderP0+PKsender），h2=H4（h1，U）是否都成立.另外，本方案验证过程不需要接收者的私钥，也不需要访问明文，因此实施验证的第三方无法解签密得到m，实现

12、公开验证性的同时保证了保密性.假设签密者的私钥意外泄露，但是如果不知道签密时所选取的随机数t，则不能计算出e（P0，Qsender）t，求不出对称密钥K，无法获取明文.因此，本文方案是前向安全的.4.2 效率分析本节从计算量和通信成本，2个方面来评价本文提出的签密方案.为了简便，用pair，mul，exp分别表示双线性对运算次数、G1中的标量乘运算次数和G2中的指数运算次数.x（+y）表示需要x次双线性对运算、y次双线性对预计算.G1表示G1中一个元素的长度，q表示有限域q*中一个元素的长度，m表示明文长度.本方案签密过程中，需要1次指数运算、2次标量乘运算、1次双线性对运算；解签密过程中，不

13、需要指数运算，需要3次标量乘运算、1次双线性对运算.本文提出的方案中，需要传输的信息是=U，V，传输量是U+V=G1+q+m.表1给出了本文方案与目前已有的几个重要的无证书签密方案效率的比较.表1 无证书签密方案之间的比较方案签密解签密密文长度pairmulexppairmulexp文献181415102G1+m文献191343042G1+2q+m文献120（+1）100（+1）10q+m文献131404202G1+m本文方案0（+1）210（+1）30G1+q+m通过对比可以看出，本方案计算效率仅略低于文献12所提的方案，与其他方案相比均有明显的提高.但经过分析可知，文献12的方案并不提供不

14、可抵赖性及公开验证性.本文提出的方案同时满足保密性、不可伪造性、公开验证性、不可否认性和前向安全性.5 结束语针对文献12方案存在的不可抵赖性和不可公开验证性的缺陷，本文提出了一种改进的无证书混合签密方案，满足保密性、公开验证性、前向安全性，并且可以抵御内部伪造攻击，同时保持了高效.在随机预言模型下对新方案进行了证明.参考文献：1Zheng Y. Digital signcryption or how to achieve cost（signature & encryption） cost （signature）+cost （encryption）C/Proc of CRYPTO 97. Be

15、rlin: Springer, 1997: 165-1792Dent A W. Hybrid signcryption schemes with outsider securityM/Information Security. Berlin: Springer, 2005: 203-2173Dent A W. Hybrid signcryption schemes with insider securityC/Information Security and Privacy. Berlin: Springer, 2005: 253-2664Li F, Shirase M, Takagi T.

16、Efficient signcryption key encapsulation without random oraclesC/Information Security and Cryptology. Berlin: Springer, 2009: 47-595张串绒.签密方案的分析、设计和应用研究D.西安：西安电子科技大学，20076Al-Riyami S S, Paterson K G. Certificateless public key cryptographyC/Proc of ASIACRYPT 2003. Berlin: Springer, 2003: 452-4737田野，张

17、玉军，李忠诚.使用对技术的基于身份密码学研究综述J.计算机研究与发展，2006，43（10）：1810-18198Yu G, Ma X, Shen Y, et al. Provable secure identity based generalized signcryption schemeJ. Theoretical Computer Science, 2010, 411（40/41/42）: 3614-36249Kushwah P, Lal S. An efficient identity based generalized signcryption scheme J. Theoretic

18、al Computer Science, 2011, 412（45）: 6382-638910Barbosa M, FarshimP. Certificateless signcryptionC/Proc of the 2008 ACM Symp on Information, Computer and Communications Security. New York: ACM, 2008: 369-37211Xie W, Zhang Z. Efficient and provably secure certificateless signcryption from bilinear map

19、sC/Proc of IEEE Int Conf on Wireless Communications, Networking and Information Security. Piscataway, NJ: IEEE, 2010:558-56212Li F, Shirase M, Takagi T. Certificateless hybrid signcryptionM/Information Security Practice and Experience Berlin: Springer, 2009: 112-12313孙银霞，李晖.高效无证书混合签密J.软件学报，2011，22（7

20、）：1690-169814卢万谊，韩益亮.前向安全的可公开验证无证书混合签密方案J.小型微型计算机系统，2013，34（12）：2814-281715Gligor V D, Donescu P. Fast encryption and authentication: XCBC encryption and XECB authentication modesC/Fast Software Encryption Berlin: Springer, 2002: 92-10816Jutla C S. Encryption modes with almost free message integrity

21、C/Proc of EUROCRYPT 2001. Berlin: Springer, 2001: 529-54417Zheng Y, Imai H. How to construct efficient signcryption schemes on elliptic curvesJ. Information Processing Letters, 1998, 68（5）: 227-23318Du H, Wen Q. Efficient and provably-secure certificateless short signature scheme from bilinear pairings J. Computer Standards & Interfaces, 2009, 31（2）: 390-39419Wu C, Chen Z. A new efficient certificateless signcryption schemeC/Proc of Int Symp on Information Science and Engineering Piscataway, NJ: IEEE, 2008: 661-664：张宇，博士，工程师，主要研究方向为网络安全.zhangyu18；侯健，硕士，工程师，主要研究方向为计算机仿真.ddahhai。 -全文完-