基于单向陷门置换的长消息签密方案-Signcryption.PDF

836 中国科学 E 辑 信息科学 2006, 36(8): 836~853 * ** 胡振宇 林东岱 吴文玲 冯登国 ( 中国科学院软件研究所信息安全国家重点实验室, 北京 100080; 中国科学院研究生院, 北京 100039) 摘要 在随机 Oracle 模型的基础上, 提出一种基于单向陷门置换(trapdoor permutations, TDPs) 的、可并行的、长消息签密方案——PLSC (parallel long-message signcryption). 该方法采用“整体搅乱, 局部加密(scramble all, and encrypt small)” 的思想, 用一个伪随机数对要传送的消息和用户的身份(ID) 进行“搅乱 (scrambling operation)”, 然后对两个固定长度的小片段(并行地)进行单向陷门置 换(TDP)操作. 这种设计使得整个方案可直接高效地处理任意长度的消息, 既可 避免循环调用单向陷门置换(如CBC 模式)所造成的计算资源的极度消耗, 也可避 免由“对称加密方案”与“签密方案”进行“黑盒混合(black-box hybrid)”所造成的填 充(padding)冗余. 不仅可以显著地节约消息带宽, 而且可以显著地提高整体效率. 具体地说, 该方法对任何长度的消息进行签密, 仅需进行一次接收方的TDP 运算 (相当于加密), 以及一次发送方的 TDP 运算(相当于签名), 从而最大限度地降低 了TDP 运算的次数, 提高了整体的运算效率. 因为, 对于公钥加密算法来说, 运 算量主要集中在TDP 运算上, TDP 运算是整个算法的瓶颈所在. 另一方面, 由于 避免了填充上的冗余, 新方案的效率也高于标准的“黑盒混合”方案. 重要的是, 新方案能够达到选择密文攻击下的紧致的语义安全性(IND- CCA2) 、密文完整性(INT-CTXT) 以及不可否认性(non-repudiation). 而且所有这些 安全要求都可以在多用户(multi-user) 、内部安全(insider-security) 的环境下得以实 现. 另外, 尽管新方案主要针对长消息的签密, 但它也可应用于某些不能进行大 块数据处理的环境(智能卡或其他只有少量内存的环境). 也就是说, 对于这些小 内存设备来说, 仍然可以用该方案来实现长消息的签密处理. 关键词 认证加密 签密 单向陷门置换 并行 收稿日期: 2005-12-28; 接受日期: 2006-05-16 * 国家“973”计划(2004CB318004)和自然科学基金(批准号:资助项目 ** E-mail: zhenyu@ SCIENCE IN CHINA Ser. E Information Sciences 第 8 期 胡振宇等: 基于单向陷门置换的长消息签密方案 837 1 引言 1.1 背景知识 一直以来, 保密性和完整性都被看成是两个完全独立的安全目标, 前者用来 保证受到保护的信息不能让除了目的接收方外的第三方知道, 后者则用来保证 受到保护的信息在传递的途中不被篡改.