可证安全基于身份签密方案.docVIP

可证安全基于身份签密方案 　　摘要 对高键鑫等（高键鑫，吴晓平，秦艳琳.无双线性对的无证书安全签密方案.计算机应用研究，2014，31（4 　　1195-1198提出的基于无双线性对的签密方案进行了分析，发现其方案存在公钥替换攻击，在此基础上提出了一种新的无双线性对的基于身份的签密方案，并在随机预言机模型下证明了该方案存在第1类攻击者条件下的不可伪造性。最后把新方案与其他签密方案作了效率分析对比，新方案仅使用了3次哈希运算和7次点乘运算，结果表明新方案具有较好的计算效率。 　　关键词 数字签名；基于身份；双线性对；随机预言机； 签密 　　中图分类号 TP309.2 　　文献标志码 A 　　0引言 　　1984年，Shamir[1]首次提出了基于身份的密码体制，其思想就是将用户的身份作为公钥，简化传统的公钥基础设施中证书颁发结构（Certificate Authority， CA对用户公钥证书的管理。1997年，Zheng [2]首次提出了签密的概念和签密方案。与传统的数字签名相比，签密方案将对消息签名和加密同时进行，有计算量小、通信量少的优势。Zheng [2]方案中仍存在证书管理繁琐和密钥托安全管问题，AlRiyami等 [3]在此基础上提出了无证书签密机制，进一步提高了签密的效率。随后其他研究者也参与对高效可证安全的签密方案的研究，2008年Barbosa等 [4]提出了无证书签密方案，并给出了签密机制的第一个安全模型。国内朱辉等[5]和刘文浩等 [6]分别提出了基于无双线性配对的无证书签密机制，但二者均不能抵抗替换公钥攻击，文献[7-9]都对二者的方案进行了攻击分析并作出了改进。2013年高键鑫等[10]提出的无双线性对的无证书安全签密方案，通过对其进行安全性分析研究发现该方案存在公钥替换攻击问题。在此基础上结合国密SM2[11]标准签名算法设计和实现技巧，本文提出了一个新的无双线性对的基于身份的签密方案，并在随机预言机模型下证明了该方案。 　　1预备知识 　　定义1如果对于所有多项式L（?以及所有概率多项式时间的敌手η，敌手η在下述实验中成功的概率是（作为k的函数可忽略的，那么签名方案（参数生成（Generate，Gen、签名（Signature，Sign、验证（Vertify，Vrfy是适应性选择消息攻击条件下存在性不可伪造的： 　　1运行密钥生成算法Gen（1k生成一对密钥（pk，sk。 　　2将pk给η，并允许η与签名预言机Signsk（?交互，请求任意数量的签名（将其记为ηSignsk（?（pk。令M表示η向签名预言机询问过的消息集合。 　　3η输出（m，σ。 　　4如果①Vrfypk（m，σ=1，且②mM，则η成功。 　　定义2离散对数问题（Discrete Logarithm Problem，DLP[12]。G为椭圆曲线群，已知xP∈G，x∈Z*q，计算x。假设算法ζ是一个解决DLP的概率多项式时间（Probality Polynomial Time， PPT算法ζ，对于概率ε0，满足： 　　ε=Prob[loggh←ζ（desc（Fq，g，h] 　　其中ζ的输入：desc（Fq（有限域Fq的描述，g∈F*q（F*q的生成元，h∈U F*q。 　　令Ig是一个实例生成器，输入1k，在k的多项式时间内运行，输出： 　　1desc（Fq，其中q=k；2一个生成元g∈F*q；3h∈U F*q。 　　如果对所有足够大的k，对于对应于参数k不存在算法ζ以一个不可忽略的概率ε0解决DLP，则称DLP是困难的。 　　2对文献[10]方案的分析及改进 　　2.1对原方案进行公钥替换攻击 　　相关参数说明，符号意义与文献[10]相同，原方案具体过程详见文献[10]，本文不再另行说明。攻击者A1可通过替换用户A的公钥冒充A产生合法的密文，签密过程如下： 　　1A1随机选取α∈Zq，计算u′A=gα/（wA?yh1； 　　2A1利用u′A，wA替换A的公钥uA，从而B认为（u′A，wA为用户A的公钥； 　　3再随机选取r1，r2∈Zq，计算R=gr1，h1=H1（IDB，wB，h=H2（m，R，IDA，UA，r2，s=r1/（α+h，c=E{（wBuByh1r1，{r2，m}}，σ={h，s，c}，并将σ发送给用户B。 　　解签密过程如下： 　　1用户B接收到σ后，计算h1=H1（IDA，wA，v=（wAu′Ayh1′gh′s（zB+tB，恢复消息{r2，m}=D（v，c； 　　2验证等式H2 （m，（wA u′A yh1 ghs，IDA ，UA ，r2 = h是否成立，若成立，则证明密文合法。 　　因为R′=（wAu′Ayh1ghs=（wA?gαwA?yh1?yh1?