一种基于身份的改进高效签密方案

一种基于格的高效签密方案的分析与设计郑晓;王茜;鲁龙【摘要】Signcryption is a cryptographic primitive that performs simultaneously both the functions of digital signature and public-key encryption, at a cost significantly lower than that required by the traditional signature-then-encryption approach. Designs an efficient signcryption scheme that can send a message of length L one time. Proves that the proposed scheme has the indistinguishability against adaptive cho-sen ciphertext attacks under the learning with errors assumption and strong unforgeability against adaptive chosen messages attacks under the inhomogeneous small integer solution assumption inthe random oracle model. Compared with the schemes based on factoring or dis-crete log, the public and secret keys of the scheme are large, but it requires only linear operation on small integers.%签密是同时执行数字签名和公共密钥加密两种功能的一个加密原语，所需成本比通过传统的先签名后加密的方法低。

基于身份的高效签密密钥封装方案计算机研究与发展JournalofComputerResearchandDevelopmentISSN1000—1239]CN11—1777]TP46(5):857-863,2009基于身份的高效签密密钥封装方案赖欣.黄晓芳.何大可(西南交通大学信息安全与国家网格计算实验室成都610031)(中国民用航空飞行学院空中交通管理学院四川广汉618307).(北京邮电大学信息安全中心北京100876)(************************)AnID-BasedEfficientSigncryptionKeyEncapsulationSchemeLaiXin.HuangXiaofang,andHeDake (InformationSecurityandNationalComputingGridLaboratory(IS&NC).SouthWest JiaotongUniversity,Chengdu610031)(SchoolofAirTraf}tcManagement,CivilAviationFlightUniversityofChina,Guanghan,Si chuan618307)(InformationSecurityCenter,BeijingUniversityofPostandTelecommunications,BeOing 100876)AbstractHybridschemesinaKEM—DEMstructureisregardedasthemostnaturalapproachto publickeyencryptionwithIND-CCAsecurityandpracticalefficiency.TraditionalKEMisre alizedbypublickeyscheme,whichonlyprovidesconfidentialitysecurityforsessionkeyusedbyDEM .In2005,combiningtheideaofsigncryptionwiththeKEM—DEMmodelhybridencryption,AlexanderproposedflsigncryptionKEM—DEMmodelhybridsigncryptionprimitive.SigneryptionKEMmeansthatthesender'Sprivatekeyandthereceiver'SpublickeyareusedtogethertOgeneratesession keyparedwithtraditionalKEMscheme,SigncryptionKEMcanpro videboth confidentialitysecurityandunforgeabilitysecurityforsessionkey.Inthispaperthedefinition ofsigncryptionKEMisextendedinID-basedcryptography.BasedonSakai—Kasaharaidentity—basedkeycontractureandelliptic-curves-relatedhardproblems,aninstanceschemeofID-basedsigne ryptionkeyencapsulationispioposed.Securitypropertiesoftheproposedschemeareprovenwiththeran domoraclemode1.TheproposedschemeisID-IND-CCAsecureinconfidentialityandID-UF—CMAsecureinunforgeability.Attheencapsulationphaseoftheproposedscheme,noparingcomputingan dnoMapToPointhashfunctionarerequired.Accordingtotherecentadvancesinpairingsoptimiz edcomputingandpointreduction,theproposedschemeisnotonlysecurebutalsohasadvantagei nperformance.Keywordssigncryption;keyencapsulation;ID-basedcryptography;provablesecurity; confidentiality;unforgeability摘要KEM—DEM结构的混合密码体制是获得IND-CCA安全最实际有效的方法,传统的KEM由公钥加密方案实现,仅提供DEM使用的会话密钥的保密性安全.2005年Alexander等人将签密的概念与KEM—DEM结构的混合密码体制相结合,提出了SigncryptionKEM—DEM结构的混合签密.其中SigncryptionKEM是利用发送者私钥和接收者公钥共同生成会话密钥及其密钥封装.该方法可以使密钥封装同时具有保密安全性和不可伪造安全性.在基于身份密码体制上扩展了签密密钥封装的定义,结合Sakai-Kasahara私钥提取结构以及椭圆曲线上相关的困难问题给出了一个基于身份的签密密钥封装收稿日期:2007—10—12;修回日期:2008-11-25基金项目:国防科技重点实验室基金项目(51436050404QT2202)858计算机研究与发展2009,46(5)的实例方案,并在随机预言机模型下对该实例方案的安全性进行了证明.该方案具有ID-IND-CCA保密性安全和ID-UF-CMA不可伪造性安全.提出的实例方案在会话密钥封装阶段不需要进行对计算以及映射到点的Hash函数计算.通过有效的对优化计算和点压缩技术,本实例方案在具有高安全性的同时也具有执行性能上的优势.关键词签密;密钥封装;基于身份密码学;可证明安全;保密性;不可伪造性中圈法分类号TP309;TP393签密最初由Zheng于1997年提出1],它结合了非对称加密和数字签名的优势,可以为信息的传递同时提供保密性,完整性保护.此后许多签密方案被陆续提出[2],这些签密方案从结构上来看都属于混合密码体制.混合密码体制有效地结合了对称密码体制和非对称密码体制优势,在密码学的应用实践中已经使用了很长时间.2003年Cramer和Shoup对混合密码进行形式化定义和分析[6],提出了着名的KEM—DEM结构.2005年Dent等人对KEM—DEM结构进行了扩展[7],借鉴混合加密方案的思想提出了混合签密结构,即把签密分为两部分: SigncryptionKEM—DEM,其中SigncryptionKEM为签密密钥封装,在发送方私钥和接收者公钥的控制下产生会话密钥和会话密钥封装;DEM为数据封装机制,一般由标准的非对称加密算法实现, DEM利用SigncryptionKEM产生的会话密钥对明文进行加密和对密文解密.作为公钥密码体制的一种类型,混合签密体制也不可避免地需要面临一般公钥密码体制中存在的公钥随机化问题.为简化密钥管理问题,在实际应用中把主体和其公钥结合起来确是十分必要的. Shamir最早提出了基于身份的密码体制来解决这一问题[8].在基于身份密码体制中,主体的公钥及为其身份,这样便于公钥管理和分发,可以大大减少公钥认证的复杂性.2001年Boneh和Franklin应用椭圆曲线对技术建立了第1个实用的基于身份的公钥密码体制[g].2002年Lee将签密的概念扩展到基于身份密码学上,并首次提出了基于身份的签密方案[1,随后多个基于身份的签密体制被陆续提出DHs].目前几乎所有基于身份的密码体制都建立在椭圆曲线对映射函数上,而对映射函数作用于椭圆曲线上的点所构成的阿贝尔群因此对明文消息空间有很大的局限性.为解决这一问题最自然的方式是采用混合密码体制,在非对称密码体制保证会话密钥安全的前提下,采用对称密码体制可以处理任意长度的明文消息.基于上述研究背景,本文根据Sakai-Kasahara私钥提取结构[1.以及椭圆曲线相关的困难问题提出一个基于身份签密密钥封装实例方案.该实例方案的安全性在随机预言机模型下进行了详细证明: 该方案具有ID-IND-CCA保密性安全和ID-UF- CMA不可伪造性安全.提出方案的会话密钥封装阶段不需要进行对计算以及映射到点的Hash函数计算.通过执行优化的对计算和点压缩技术,本方案具有较高的执行效率.1基于身份的高效签密密钥封装方案1.1预备知识本文提出的基于身份签密密钥封装方案建立在椭圆曲线双线性映射上,我们首先对双线性映射及相关困难问题做简单介绍.设G,G2,G是阶为P的循环群.P是GJ的生成元,P是G的生成元.G到G-存在一个可计算的同态映射满足(P.)一P.另外e是一个映射e:G×Gz—G,满足以下特性.1)双线性:对所有U∈G,VEG.,以及所有a,b∈Z,都有e(aU,6V)一e(U,V)曲;2)非退化性:P(Pl,P2)≠1;3)可计算性:存在有效算法,对所有U∈G,V∈G2,e(【,,,厂)可计算.定义1.q-BDHI问题.在阶为P的循环群G-,G上给定一个q+2元组(Q-,Qz,Q2,Q2,…,zQ>,其中Q∈G,Q∈G2,∈RZ;,要求计算e(Q1,Q2)l』.定义2.q-SDH问题.在阶为P的循环群G,G.上给定一个q+2元组<Ql,Q2,zQ2,z.Q2,…,xqQ>,其中Q∈G,Q.∈Gz,xERZ,要求计算输1出(c,—i),其中c是从z;中随即选取的.Cl//51.2实例方案根据Sakai—Kasahara私钥提取结构[12]本文提出一个基于身份的签密密钥封装实例方案,命名为赖欣等:基于身份的高效签密密钥封装方案859 SK—SCKEM.该方案的参与方分别是可信中心TA,发送者S和接收者R,整个方案分为4个子算法:1)执行建立系统参数并生成主密钥算法Setup:SK—SCKEM.Setup(1)一(I,Mp,Mj).TA生成阶为大素数P的循环群(G,+),(G,+),(G,+)从G到G.具有同构映射以及双线性映射e:G×Gz—G,该双线性映射满足双线性, 非退化性和可计算性.tP.为循环群G.中随机选择的生成元,P.为循环群G2中随机选择的生成元,满足P={fI(P),计算Q—e(P,P)随机选取s∈Rz,计算Ppub—sP.,s为主私钥,Ppub为主公钥.选取密码杂凑函数H:{0,1}一,Hz:{0,1}一,H3:{0,1}一{0,l,H:{0,l}一.TA公开系统参数J一{P,G1,G2,e,,Pl,P2,Q,Hl,H,H.,H}以及主公钥P.,保密主私钥S.2)TA执行用户密钥提取算法EJctract:SK—SCKEM.Ewtract(S,ID)一m.将用户身份标识ID提交给,并将ID作为其公开密钥.TA计算用户私钥,D并通过安全信道1发送给用户,工D一P-3)发送者S执行密钥封装算法Encap:SK—SCKEM.Encap(M,山,ID)一(C,K).本阶段中利用发送者的私钥dm,接收者身份及公钥ID以及TA的主公钥P生成会话密钥并对其进行分装,执行过程如下:随机选取seed∈Z,作为产生随机会话密钥的种子;计算Q一Hl(IDR)P2+P;U—seedQR;—seedoH2(Q);获得会话密钥K—H3(IDslIIDR,seed);随机选取∈Rz,计算h—H(Q,【,lllJK);S一(,_+^)fD;令C一((【,,,),(^,S)),最后输出会话密钥K和密钥封装c.4)接收者R执行解密钥封装算法Decap:SK_ SCKEM.Decap(Mp,dm,IDs,C)K/_l-.本阶段利用发送者的身份及ID,接收者私钥d∞以及TA的主公钥Ppub和密钥封装C恢复会话密钥,执行过程如下:分离C一(【,,)Il(^,S);计算seed一oH2(e(U,dm));K:H3(IDslIIDR,seed);h一H4(e(S,Hl(IDs)P2+Pub)?Q,UlIlIK),如果h=h,那么接收会话密钥K.P(U,dJD)一e(Pl,P2)e(S,Hl(IDs)P2+P.)?Q一e(P,P)保证了方案的正确性.2安全性分析本方案中使用的Sakai—Kasahara私钥提取结构实际上是利用主私钥对用户身份进行了一个签名. 在文献[143中指出这个签名形式的密钥在G-群sCAA1困难问题假设下可以抵抗适应性选择消息攻击.因此Sakai—Kasahara私钥提取结构保证了用户私钥的不可伪造性,只有可信第3方TA在已知主私钥的前提下可以进行用户私钥的提取.基于BDHI困难问题假设和q-SDH困难问题假设本方案具有ID-IND-CCA保密性安全和ID-UF—CMA不可伪造性安全.本方案的安全性将在签密内部安全模式下进行讨论,内部安全模式下攻击者不仅可以获得所有公开信息如公开参数和发送者与接收者公钥,还可以拥有发送方或接收方的私钥.2.1保密性安全证明在内部安全模式下由于允许攻击者拥有发送方的私钥dm,攻击者将完全具有密钥封装能力,同时在解签密封装过程中也可进行密文的签名验证.因此在攻击者已知发送者私钥的前提下,SK—SCKEM方案将弱化成一个基于身份的密钥封装算法,命名为ID—KEM.方案描述如图1所示:Fig.1jD_KEMscheme.图1ID_KEM方案在攻击者已知发送方私钥的情况下,生成的会话密钥K的保密性由ID—KEM方案和接收者私钥dIDR提供.如果这个弱化的ID—KEM方案具有会话密钥的保密性,那么本方案在内部安全模型下具有会话密钥的保密性.现对ID—KEM方案的会话密钥保密性进行讨论.对ID—KEM方案的保密性讨论我们采用了文献[15]提出的构建1D-IND-CCA安全的基于身份的密钥封装机制的一般方式进行.首先证明一个基于860计算机研究与发展2009,46(5)身份的加密方案ID—Encryption基于q-BDHI问题假设以及随机预言机假设,在身份攻击和选择明文攻击下是单向安全的(ID-OW—CPA).然后利用文献E153给出的基于身份密钥封装机制一般模型,可将这个ID-OW-CCA安全的基于身份加密方案转化成ID-lND-CCA安全的基于身份的密钥封装方案.基于身份的加密方案ID—Encryption如图2所述: Fig.2IDEncryptionscheme.图2ID_Encryption方案定理1.如果存在一个多项式时间攻击者A,在明文攻击和身份攻击下执行了q私钥提取询问,口次随机预言机H询问后,可以以优势A.w.PA攻击加密方案ID—Encryption的单向性安全性,那么将存在一个多项式时间算法B可以解决q-BDHI 问题,且满足Ad喀ow.PA≤(q+q+1)q2?A肋HJ+去.证明.给算法B输入一个q-BDHI问题实例<口,G1,G2,e9Q2∈Gl,Q2,zQ2,…,xqQ2>,为了解决q-BDHI问题算法B按如下方法仿真构造ID—Encryption方案所需的参数和主公钥:首先随机选择一个整数f∈{1,…,q};随后随机选择^.,…,hq∈z;,令,(z)一II(z+h)一∑CiZ*,因为!二hi≠0,c非零且可计算;再令P一:f(Q):f(x)Q.,P.一Ⅱ(升ci一∑f(Qz)一厂()Q2=xP2;并计算P1=妒(P2)=厂()Ql;Ppub一一P.一^.P.,此时B并不知道潜在的主私钥为z～h.;然后对1≤i<q定义多项式(z)一f(2)/(z+)=∑dzi,那么有∑舻(zQ)=q--2zQ=Q-一P-.对不同的hi+h.,由上式可计算得到对(+^.,彘P-)?令所有对构成一个集合Ps.一{(h+h.,—J[一rgLiIno .q,.-—.1P1):1≤i≤g一1}.最后令t一:CiaCHQ2=i.=——1一q11:(fzQ2--~oQ2)一三(P2一COQ2);t0一P((f),zP2+CoQ2)一e(P1,P2)?e(Ql,Q2)一;B公开系统参数<G.,G,P.,P.,e,Pub>给攻击者A,初始化列表H阱一{ID,H(ID),d∞)为空,HL酐= {U,,K)为空,并准备开始回答A在d阶段的各类询问.关于ID∈{0,1}的H询问,B将进行如下处理:用ID对列表H}研进行检索,如果在H}酐已有对应H】(ID)则直接返回.否则如果ID= ID,,那么B用H(ID一ID)=h.作为响应,并将{ID,h.,上}存入H}璐;否则,从PS1中随机选择一个令H(ID)一h+h.作为响应,并将{ID,(I}I+ h.),_÷『P}存入H}阱.工fni关于X的H.的询问,B将进行如下处理:X进行对H}M检索,如果H}酐已存在(X,Y)对,那么用对应的y作为响应;否则,从Z中随机选择作为响应,并将(X,Y)g-人H关于ID∈{0,1)的私钥提取询问,B将进行如下处理:当ID≠ID,B将从H}玲找到对应的11(ID,(+h.),击P.)满足ID=ID,将士P工T,'i工I,'作为响应返回;如果ID—ID,,那么返回停止符号, 并终止游戏,定义该事件为Event1.攻击者A结束find阶段询问后获得一些信息State,随后A返回一个挑战身份ID,如果ID≠ID,,B将终止游戏,定义该事件为Event2.B接收到A的挑战身份后执行如下操作:随机选择r∈,'∈;计算U一r'P令挑战密文为C一(U,).B将挑战密文发送给A,A进入guess阶段,该阶段A仍然可以进行以上询问.只要A不对挑战身份进行私钥提取询问,B都将继续进行游戏.最后A给出她对明文的猜测M.按照加密算法的算法描述,可以得到M=①H.(e(【,,dm*)).按照假设H:被模拟化一个随机预言机,那么只有在H}研具有X=e(【,,Dm-)作为输入时A才具有优势,定义该事件为Event3.令￡= X"/|】一e(P.,P2),已知挑战身份ID对应的1私钥具有的形式为d仍一=1—P,,而我们希望能计算e(Q,,Qz),因此令赖欣等:基于身份的高效签密密钥封装方案861t/t0一(Ql,Q2),'/e((厂()一COIx)Q1,(厂(z)+)Q2)一P(Q1,Q2)'o,由此得到P(Q,Q2)=(t]to)1J《.如果A输出正确的明文,我们说A赢得I【)_0w—CPA攻击游戏,因此有: AdvOW~M==Pr(AwinsAEvent3)—Pr(AwinsAEvent3)≤1Pr(AwinsAEvent3)+.同时B要解决q-BDHI问题还必须保证Event1与Event2事件不发生,Event2事件概率包含了Event1事件概率而Pr(Event2)≥l[q,因此可得:Pr(AwinsAEvent3)≤Pr(Awins^Event3fEvent1AEvent3)≤(g?g2)A暑BDH.综上可得定理1结论.由SK—SCKEM在内部安全模式下弱化得到的ID—KEM方案是由上述ID—Encryption方案结合一个密码Hash函数转化而成的基于身份的密钥封装方案.由文献[14]定理6可知,如果ID—Encryption是ID-OW-CPA安全的,且ID—KEM方案中的H.可模拟化为随机预言机,那么ID—KEM方案是ID-IND-CCA安全的.2.2不可伪造性安全证明在内部安全模式下,伪造者可以具有接收方的私钥,这意味着伪造者将完全具有解密能力,同时在签密密钥封装过程中也可进行利用发送方的公钥和随机选取会话密钥种子来计算产生会话密钥,对于伪造者来说唯一的困难就在于如何在未知发送方私钥的情况下伪造对它产生的会话密钥及其封装的签名消息.因此在攻击者已知发送者私钥的前提下,因此我们的签密密钥封装将退化为一个攻击者未知发送者私钥的基本基于身份签名方案ID—Sign,该方案如图3所示:Fig.3ID—Signscheme.图3肛)_Sign方案定理2.假设存在一个多项式时间伪造者,在选择消息攻击和身份攻击下进行了g次随机预言机H询问和g次签名预言机询问,由分叉引理[1]假设可以产生一个有效签名(M,h,S.)的概率为AdvFD—UF—cMA≥10(q+1)(q,+g3)/z是不可忽略的,那么将存在一个多项式时间算法B可以解决g—SDH困难问题.证明.给算法B输入一个q-SDH困难问题实例(Q,Q.,xQ.,.Q.,…,"Q),算法B的目标是找到一个对(c,—).算法B执行如下过程仿真CfiZ"构造ID—Sign方案所需的系统公开参数以及主公钥:首先随机选择h,h.,…,h∈Z;,令(z)一q一1q--1Ⅱz+h一∑z,(…c一t)非零且可计算;随后;1=0.q.--一1令P2:c(Q2)一,(z)Q2,Pl一(P2)一,()i一0Q,计算P一∑.zQ.一X∑.zQ.一xf(x)Q=xP.,B并不知道潜在z的值.再对1≤.q..-—.2i<qa定义多项式(z)=,(z)/(z+i)一∑dz',f;0口一2口一2…那么有∑di(Qz)=∑di'Q=Q一f=0=0….1音P.对不同的h,由上式可计算得到对(h,Z.fn击P.).令所有(h,—击P,)对构成一个集合Zlni0lni 1PS2一{(,.P):1≤i~q--1}.B公开系统参数(G,G2,P,P.,e,PDub)给攻击者,给定攻击者一个挑战身份ID∈{0,1},并初始化H}玲:(ID,H(JD))列表为空.完成上述工作B准备开始回答在find阶段的预言机询问和签名询问.关于工D∈{0,1}的H询问,B将进行如下处理:如果D—ID,B用h—h作为响应;否则从P5.集合中随机选取h,令h=^作为响应,随后B存储(ID,矗)到列表H}研.关于ID∈{0,1)的私钥提取询问,B将进行如下处理:当ID≠ID,B将从H}玲找到对应的1(JD,)对,并从Ps集合中找到h对应的—l_P.正l,' 作为响应;否则如果ID=DB停止游戏.关于(M,JD)的签名预言机询问._B将进行如下处理:随机选择一个S∈,∈Z:,计算r:P(S,Hl(jD)P2+PDub)e(Pl,P2)～,并定义H2(M.r)=h.862计算机研究与发展2009,46(5)分叉引理的本质思想是假设伪造者在进行了q.次随即预言机H.询问和q次签名预言机询问后能以Adv一ID—c≥10(q+1)(q+q.)/z概率伪造一个签名(M,r,(矗,S)),那么存在另一个多项式时间算法F可以利用重放在有效时间内产生两个有效的签名(M,r,(h,S1))(M,r,(h2,S2)),且hl≠2.那么根据分叉定理,算法B可以在有效时间内,在输入公开参数和挑战身份ID的条件下多次执行,从而获得两个有效的签名伪造,(M,r,(l,S1))(M,r,(^2,S2))h1=Ah2.随后B可以通过获得的两个有效签名伪造来解决q-SDH问题.B的执行过程如下:B从H}M中找到(ID,h),而^≠^o,…,h一的概率至少是1一羔;如果上述两伪造都是有效的,那么可以都可以通过验证过程,从而获得下面的等式:e(S1,QJD)(P1,P2)-hj—e(S1,Q仍*)(P1,P2)-h2,其中QJD*=H1(ID)P.+Pb===(^+z)P.由上1式可得丁=(^I--h2)(S一S)一一P.随后q--2B计算f(z)/(z+h)=y一/(z+h)+∑Yiz,从而得到多项式中的系数y～,70,…,一.∈Z,然后计算:.q--2T一fQ2)]一t,1q--2将(|}l',[T一∑(zQz)])作为q-SDH问题实例的输出结果.3方案的执行效率分析本方案中密钥封装阶段涉及的主要运算包括: U—seed(HI(IDR)P2+P曲),一seed(~H2(Q),h:H4(Q,UIIIIK),S一(rs+^)dm;解密钥封装阶段涉及的预算包括e(U,dm),e(S,H(IDd)P2+P曲)?Q～.可见通过预计算Q:e(P,P)作为系统参数的一部分,在密钥封装阶段不需要再进行对运算,而只需要进行指数运算;同时与基于Boneh—Franklin私钥提取结构的密码方案相比本方案避免了映射到椭圆曲线群点(MaptoPoint)的Hash函数操作,MaptoPointHash运算所花费的时间和带宽代价远大于在整数群中进行的Hash运算,且该类Hash计算的有效性目前也存在争议,如文献[173指出如果没有以适当的方式进行点群选择,还导致MaptoPointHash计算输出是不稳定的.在解密密钥封装阶段涉及两次对运算,为此本文建议使用文献[183推荐的基于大素数域的嵌入度为2的非超奇异椭圆曲线E()上的Tate对运算.该类曲线具有良好的计算特性,在该类曲线上Tate对运算可以进行有效的分母消除优化计算策略,且曲线中涉及的点乘运算可以直接在E(F)曲线上进行,而不需要在更高扩域对应的椭圆曲线上进行,具有更高执行效率.结合标准的DEM对称加密算法,本方案可以构成SigncryptionKEM—DEM结构的基于身份混合签密.这种签密结构对于明文的明文空间大小没有限制,在确保每次会话密钥的保密性和不可伪造性的前提下,可以加密任意长度实际数据包,因此本方案具有很好的密文扩展性.本方案中每次输出的密钥封装为C=((【,,),(^,S)),其中U,S分别G2和G上的点,,h是Z上元素,密钥封装占用带宽为ICI==:IGl+IG.l+2l1.通过对U,S点进行适当压缩可以减少带宽.传统的点压缩办法需要传输点的坐标项以及Y坐标项的一部份特征值, 结合对压缩技术[I9]还可进一步省略对Y坐标项比特的选取和传输,从而使密码封装传输占用带宽进一步降低为ICJ≈4IzJ.4结论利用Sakai—Kasahara用户私钥提取方法和椭圆曲线相关困难问题,本文提出一个基于身份的签密密钥封装实例方案,并在随机预言机模型下对其保密性和不可伪造性进行了详细的安全归约证明.本方案通过预计算方式避免了计算开销较大的对计算,同时避免了目前仍然存在争议的MaptoPoint Hash计算,通过执行有效的对优化计算和点压缩技术可有效提高方案的执行效率.参考文献[1]ZhengY.Digitalsigncryptionorhowtoachievecost (Signature&Encryption)cost(Signature)+cost(Encryption)[G]//iNCS1294:AdvancesinCryptology- Crypto'97.Berlin:Springer,1997:165—179[2]ZhengY.Identification,signatureandsigncryptionusing highorderresiduesmoduloanRSAcomposite[C]//LNCS 1992:ProcofPKC'O1.Berlin:Springer,2001:48-63[3]ZhengY.Signcryptionanditsapplicationsinefficientpublic keysolutions[c]//LNCS1397:ProcofISW'97.Berlin: Springer,1998:291—312赖欣等:基于身份的高效签密密钥封装方案863E4]YumBHKcDsA[Springer,,LeePJ.Newsigncryptionschemesbasedon[16]C]//zNCS2288:ProcofICISC'01.Berlin:2001:305-317[53ZhaoFuxiang,ZhaoHongyun,WangYumin.Anovel schemeofthemobileagentwiththeciphertextonly signatureverification口].JournalofComputerResearchand Developmetn,2001,38(7):811—814(inChinese)(赵福祥,赵红云,王育民.一种采用惟密文验证签字的MobileAgent新方案[J].计算机研究与发展,2001,38(7): 811—814)[6]CramerR,ShoupV.Designandanalysisofpracticalpubli~ keyencryptionschemessecureagainstadaptivechosen ciphertextattack[J].SIAMJournalonComputing,2003,33(1):167—226[7]DentAW.Hybridsigncryptionschemeswithoutsider security[(:]//LNCS3650:ProcofISC2005.Berlin: Springer,2005:203—217[8]ShamirA.Identity—basedcryptosystemsandsignature schemes[c]/ItNCS196:AdvancesinCryptology- ProceedingsofCRYPTo'84.Berlin:Springer,1985:48—53 [9]BonehD,FranklinM.Identitybasedencryptionfromthe weilpairing[C]//lNCS2139:AdvancesinCryptologyCrypto2001.Berlin:Springer,2001:213-229[1O]LeeJM.Identitybasedsigncryption[OL].[2002—07—19]. /2002/098[113LibertB,Quisquaterjj.Newident'~xybasedsignerypt:,on schemesfrompairings[()L].[2002—02—04].http://eprint. /2003/023rl2]ChowSMM,YiuSM,HuiLCK,eta1.Efficientforward andprovablysecureII~basedsigncryptionschemewithpublic verifiabilityandpublicciphertextauthenticity[c]//LNCS 2971:ProcofInformationSecurityandCryptology2003. Berlin:Springer,2004:352—369[133SakaiSMR,KasaharaM.AnewtraitortracingEJ].IEICE TransonFundamentalsofElectronics,Communicationsand ComputerScience,2002,E85一A(2):481-484[14]ZhangF,NainiRS,SusiloW.Anefficientsignaturescheme frombilinearpairingsanditsapplications[C]//LNCS2947: ProcofIntWorkshoponPracticeandTheoryinPublicKeyCrypt0graphy.Berlin:Springer,2004:277—290[153BentaharK,FarshimP,LeeJM,eta1.Smart.Generic constructionsofidentity—basedandCertificateIessKEMs [oz].[2005—02—25]./2005/058[17][18][19]PointchevalD,SternJ.Securityargumentsfordigitalsignaturesandblindsignatures[J].JournalofCryptology,2000,I3(3):36I-369BarretoSLM,KimHYFasthashingontoellipticcurvesoverfieldsofcharacteristic一3[oL].[200卜1卜15].http://eprint.iacr.ogr/2001/098putingtheratepairing[C]//iNCS3376:ProcofCT—RSA2005.Berlin:Springer,2005:293—304ScottM,pressedpairings[c]//LNCS3152:CRYPT()'2004.Berlin:Springer,2004:140—156何大可,1944年生,教授,博士生导师,主要研究方向为密码学,信息安全等.ResearehBackground Signcryptionisanewcryptographicprimitivethatperformsdigitalsignatureandpublickeye nc~yptionsimultaneouslywith lowercomputationalcostsandcommunicationoverheadsthansignature-then-encryptiona pproaches.Butsigncryptionalsohas tofacetheproblemsofkeyauthenticationintraditionalpublickeycryptographysystems.ID-basedcryptographycanprovide practicalandconvenientwaysofkeyauthentication.Ontheotherhand,KEM-DEMmodelha sbeenacceptedasthemost popularapproachtopracticalpublickeycryptographyapplication.Inthispaperwepresentan instanceschemeofID-basedsigncryp。

一种基于身份的改进高效签密方案肖鸿飞;刘长江【期刊名称】《计算机工程》【年(卷),期】2011(37)24【摘要】This paper analyzes the security issues of an efficient identity-based signcryption scheme S-IDSC. It indicates its lack of the security characteristics of forward security and public verifiability. An improved signcryption scheme E-IBSC is proposed. Security analysis shows that E-IBSC can satisfy the generic security requirements of signcryption schemes. Performance analysis shows that E-IBSC maintains the equivalent computational overheads with only additional acceptable communication load.%分析一种基于身份的高效签密方案S-IDSC的安全特性,指出其不满足前向安全性和公开验证性.为此,提出一种改进的基于身份的高效签密方案E-IBSC.安全性分析表明,改进方案能满足签密方案的一般安全要求.性能分析表明,改进方案保持了与原方案相当的计算复杂度,增加的通信负载在可接受的范围内.【总页数】3页(P126-128)【作者】肖鸿飞;刘长江【作者单位】解放军信息工程大学电子技术学院,郑州450004;解放军信息工程大学电子技术学院,郑州450004【正文语种】中文【中图分类】TP309【相关文献】1.一种可证明安全的基于身份的高效环签密方案 [J], 孙华;王爱民;郑雪峰2.标准模型下一种高效的基于身份的多签密方案 [J], 吴振国;祁正华;王翔3.对一种基于身份门限签密方案的密码分析及改进 [J], 张学军4.基于Cocks身份密码体制的高效签密方案 [J], 彭长根;张小玉;丁红发;杨善慧5.一种高效的基于身份的签密方案 [J], 王大星;滕济凯因版权原因，仅展示原文概要，查看原文内容请购买。