引言
　　基 于 身 份 的 公 钥 密 码 是 于 年 提 出 的 目的是简化公钥证书的管理 年 和 利 用椭圆曲线上的双线性对构造了第一个基于身份的加密方案此 后基于身份的密码成为研究热点 但 基 于 身 份 的 密 码 体制天生就具有密钥托管的缺陷为克服这种缺陷 人 们 提 出 了不 同 的 解 决 方 案 年 和 提 出 了无 证 书 公 钥 密 码 体 制成功地解决了密钥托管问题 但 一般只能达到 所定义的 安全性即 如 果替换了用户的公钥 则 仍然存 在 密 钥 托 管问题 同年陈晓峰等人 提出无可信中心的基于身份的密码方案其也消除了密钥托管问题而 且 能 达 到 所 定义 的 安 全 性此后许多无可信中心方案被提出
　　签 密 是 于 年 提 出 的 概 念 它能在一个逻辑步骤内既加密又认证 其 效 率 要 高 于 先 签 名 后 加 密 的 传 统实 现 在一些需要同时实现加密和认证的网络环 境下签 密发挥了巨大的作用 然 而在 某 些 应 用 中 当 系 统 同 时 需 要 实现 签 密加 密 和 签 名 种 功 能 时 普通签密方案便失去其优势 建议将算法切换到另外的签名和加密算法于 是系 统 至 少 要 实 现 个方案才能满足要求 这势必会增加相应的计算和实现复杂性 特别对一些资源受限的环境如智能卡系统和无线传感器网络等会造成沉重的负担 为 解 决 这 种 不足韩 益 亮 等 人 于 年提出了广义签密的概念它 能只用一个算法根据输入的不同实现 种 功 能签 密加 密 和 签名从而简化了实现 非常适合于如电子邮件和资源受限的环境 使 用比 如 无 线 多 播 网 络 网 络 等 此 后出现了许多广义签密方案 年 和 将广义签密的概念推广到基于身份的密码系统中并 提 出 一 个具体 方 案 年 等 人 给出了比以前安全模型更加完整的基于身份的广义签密安全模型 并指出在这种模型 中 是 不 安 全 的 此 后 和 又 对 文 献的安全模型进行了简化
　　在无可信中心的基于身份的广义签密方面 赵 静 首 先提 出 一 个 方 案 据 我 们 所 知 目 前 再 无 其 它 方 案 实 际 上 赵静的方案不是语义安全的且其没有给出无可信中心的基于身份的广义签密的安全模型 本文参考杜红珍 的 可 追 踪 的基于身份的签名的安全模型刘 景 伟 的 基 于 的 无 证 书签名方案的安全模型文 献 的基于身份的广义签密的安全 模 型首次给出较全面的无可信中心的基于身份的广义签密的安全模型和形式化定义 并 参 考 文 献 提 出 一 个 具 体方 案 由 于 文 献 指 出 文 献 是 不 安 全 的 因 此 对 文 献作 了 一 些 改 进 方 案 达 到 了 所 定 义 的安 全在随机预言机模型中证明了方案的安全性 对 方 案 的 效率也进行了分析
　　一些基本概念
　　双 线 性 对设 是 素 数 阶 加 法 循 环 群 是 同 阶 乘 法 循 环 群映 射 称 作 双 线 性 对 如果该映射具有以下个 性 质双线性性对 任 意 的 都 有非 退 化 性存 在 满 足可 计 算 性对 任 意 的 存在一个有效的算法计算困 难 问 题定 义 对 任 意 由 计 算就 是 问 题这 里 并 不 知 道具 体 的 的 值定 义 在 中 给 定 未 知要 求 计算 就 是 问 题无可信中心的基于身份的广义签密体制定 义定 义 一个无可信中心的基于 的 广 义 签 密 由 个算法 构 成系 统 初 始 化 用 户 密 钥 生 成 部 分 私 钥 解 析 广 义 签密解广义签密和追踪算法系 统 初 始 化 一个全局初始化算法以 安 全 参 数为 输 入输出一个主密钥 和系统全局参数 该 算法 由 运 行保 密 公 开用 户 密 钥 生 成 该 算 法 输 入 一 个用 户 身 份 和 公 开 参 数 输出一个秘密值 和 一 个公 钥 该算法由用户运行得到一个公钥和一个秘密值该秘密值用于构造完整私钥部 分 私 钥 解 析 该算法输入一个用户 身 份 用 户 秘 密 值 的 使 用 期 限 用 户 公 钥 系 统主 密 钥 和 全 局 参 数 输 出 相 应 于 该 的 部 分 私 钥该 算 法 由 运 行验证完用户身份后运行广义 签 密 有 种 可 能 模 式 但每次只有一种模式发 生根据输入的身份是否为空签 密 若 则 对 应 签 密 模 式签 名 若 则对应签名模式加 密 若 则 对 应 加 密 模 式解 广 义 签 密 对 应 种模式中的一种 根 据 输 入的身份是否为空解 签 密 若 则 对 应 解 签 密签 名 验 证 若 则对应签名验证解 密 若 则 对 应 解 密追踪 算 法 如 果 用两个或两个以上的私钥来绑定同一个用户的 从而伪造用户的广义签密用 户 可以 生 成 证 据 提 交 给 仲 裁 者 通过检验证据可以判断是 否 诚 实安 全 模 型文献 定义了基于身份广义签密体制较为全面的安全模 型攻 击 者 能 得 到 种 预 言 机 服 务 即文 献 对 其进 行 了 简 化 本 文 对 文 献 稍 作 修 改 再 参 考 杜 红 珍 的可追踪的基于身份的签名的安全模型刘 景 伟 的 基 于的无证书签名方案的安全模型定义了无可信中心的基于身份的广义签密体制的安全模型在一个无可信中心的基于身份的广义签密方案中可 能 扮 演 种 角 色可 信 的 是 诚 实 的不会与他人合谋消 极 不 诚 实 有可能将用户的部分私钥泄漏给敌手积 极 不 诚 实 伪造用户的秘密值 从 而 用 两 个 或两个以上的私钥来绑定一个用户的 然后泄漏给敌手根 据 的 行 为定 义 种 类 型 的 敌 手类 型 敌手没有用户的部分私钥 但可以知道用户的秘密 值类 型 敌手知道用户的部分私钥 但没有用户的秘密值类 型 敌手有用户秘密值及部分私钥 但 该 秘 密 值 是伪 造 的与用户真正的秘密值不同注 意在机密性游戏中只需考虑广义签密在签密和加密模 式 下 的 情 形 在不可伪造性游戏中 只需考虑签密和签名模式 下 的 情 形定 义 一个无可信中心的基于身份的广义签密体制在加密或签密模式下 被称作是抗适应性选择密文和身份攻击 安 全 的 如果不存在任何多项式有界的攻 击 者类 型 或 以不可忽略的概率赢得下面定义的游戏游 戏初 始 化挑 战 者 运 行 生成系统公开参数和 主 密 钥 返 回 给 如 果 是 类 型 攻击 者则 另 外 返 回 给阶段 攻 击 者 适应性地进行至多多项式有界次的以下 询 问部分私钥解析询问 仅 适 用 于 类 型 攻 击 者 输 入 身份 预言机返回相应的部分私钥秘密值解析询问 对 的秘密值的访问 返 回给公 钥 询 问输 入 身 份 预言机返回相应公钥广 义 签 密 询 问 输 入 预 言 机 返 回 对消 息 的 广 义 签 密 这 里 或 可 以 为 空 如 果为 空则相当于加密预言机如 果 为 空则 是 签 名 预言 机如 果 都 不 空 则是签密预言机解广义签密询问 输 入 预 言 机 解 广 义签 密返 回 或 这 里 或 可 以 为 空 如 果为 空则 是 解 密 预 言 机 如 果 为 空则是签名验证预言机如 果 都 不 空 则是解签密预言机挑 战 阶 段 输 出 两 个 身 份 和两个等长不同消息 要 求 否 则 无 意 义 随 机 取计 算 并 返 回 给阶 段 继续适应性地进行像阶段 中的多项式有界次 的 询 问但 不 允 许 用 和 对 进行解广义签密询问最后 返回对 的猜测 若 且满 足 以 下 条 件 则获胜 在攻击中的优势定义为对 类 型 敌 手不 能 对 作部分私钥解析询问对 类型 敌 手不 能 对 作秘密值解析询问以 上 挑 战 阶 段 如 果 为 空 对 应 加 密 模 式 不空对 应 签 密 模 式 所以加密和签密模式共用同一个游戏定 义 一个基于身份的广义签密体制 在 签 密 或 签 名模 式 下被称作是在适应性选择消息和身份攻击下不可伪造的 如果不存在任何多项式有界的攻击者类 型 或 以不可忽略的概率赢得如下定义的游戏游 戏初始化阶段和阶段 同 游 戏伪 造最 后 输出一个新的三元组 要求 否 则 无 意 义 且该三元组不是由广义签密预言机产 生如 果 解 广 义 签 密 不 是 失 败 且 满 足 以 下条 件则 赢 得 游 戏对 类 型 敌 手不 能 对 作部分私钥解析询问对 类型 敌 手 没有经过秘密值解析询问以 上 伪 造 阶 段 如 果 为 空 对 应 签 名 模 式 不空对 应 签 密 模 式 所以签名和签密模式共用同一个游戏具体方案设 为 由 生 成 的 循 环 加 法 群 阶 为 为 具有相同阶的循环乘法群 为一个双线性映射定 义 个安全的散列函数其 中分别是消息比特长度和 中元素比特长度 密 钥 生 成 中 心随机选择一个主密钥 计 算 保 密 系统 公 开 参 数 定 义 一个 特 殊 函 数 当用户选取一个随机数 作 为秘 密 值计 算 作 为 公 钥用 户 把 公 钥 的 使 用 期 限 和他 的 身 份 送 给 验 证 其 身 份 后 计 算并 公 开计 算 将 通过一个安全信道 送 给 用 户 这样用户的公钥是 私 钥 是如 果 则 公 钥 是 私 钥 是 代 表 中 的 无穷 远 点计 算 如 果 都 为 则无意义并终止随 机 选 取 计 算计 算计 算计 算计 算计 算计 算 ⊕输 出计 算 如 果 都 为 则无意义并终止计 算计 算计 算 ⊕计 算计 算判 断是 否 成 立成 立 则 返 回 否 则 返 回若某广义签密能在声称是 的另外一对公钥下 通 过 验 证 则 可 以 提 供 证 据 给 仲 裁 方 以 证明 是 主 密 钥 泄 漏 或 是 不 诚 实 首 先 把 公 钥 递 交给 然 后 证 明 知道对应的部分私钥证 明 如 下 选取一个随机数 把 给 计算 并 将 发 给 计 算 是否 等 于 若 成 立则 可以判定是系统主密钥 泄 漏 或 是不 诚 实因 为 身 份 同时对应了两对公钥 和而 主 密 钥 只 有 知 道说 明如 果 算法工作于签名模式 这 时⊕ 所 以 最 后 发 送 的 密文 即 为 的 签 名如 果 算 法 工 作 于 加 密 模 式 这 时验 证 等 式 变 成如 果 算 法 工 作 于 签 密 模 式 这 时方案分析安 全 性 分 析限 于 篇 幅本文只给出定理 的 安 全 性 证 明定 理 在随机预言机模型中在加密模式或签密模式下若 存 在 一 个 敌 手 类 型 攻 击 者以不可忽略的优势 攻 击 本 文 方 案 的 安 全则 存 在 一 个 算法 利 用 以以下优势解决 问 题其中和 分别表示攻击者能进行的对部 分 私 钥 解 析 广义签密和解广义签密的最大询问次 数证 明当 收 到 挑 战 元 组 时 是 生成 元算 法 设 置 随 机 选 取 作为 挑 战 身 份询 问 输 入 是 如 果 中 已 经 包 含 元组 或 则 返 回 或 否 则如果 把 加 入 并 返 回 否 则 随机 取 返 回 并 把 加 到 中询 问 如 果 中已经包含元组则 返 回 该 否 则 返回一个随机的 并 把 元 组加 入询 问 如 果 中已经包含元组则 返 回 否 则 生成一个随机的值 把加 入 返 回询 问 如 果 中已经包含元组则 返 回 否 则 生成一个随机的值 把加 入 返 回公 钥 询 问 输 入 是 如 果 中 已 经 包 含 元 组则 返 回 否 则 随 机 选 取 作 为 的 秘 密值计 算 把 加 入 并 返 回部 分 私 钥 解 析 询 问 输 入 是 如 果 失败 并 终 止 模 拟 否 则 调 出 中 的 元 组 返 回如 果 中 不 含 该 元 组 则 先 作 询 问以 后 类 似情况作相同处理 不 再 另 作 说 明秘密值解析询问 输 入 是 如 果 中 已 经 包 含 元组 则 返 回 否 则 随 机 选 取 作 为 的 秘密 值计 算 把 加 入 并 返 回广 义 签 密 询 问 对每一个新的元组 的询 问若 对 应 加 密 只 需 公 开 参 数 所 以只需简单地按正常方式进行加密 以 下 考 虑 分 两 种情 况由于可以得到两个私钥因 此 只需简单地按正常方式进行广义签密随 机 选 取 设 置把 加 入 如 果中已经包含该元组 则失败并终止模拟 否 则 在 中查 找 元 组 得 到 在 中 查 找 得 到计 算 在 中 查 找 得 到 在中 查 找 得 到 计 算 在中 查 找 元 组 用 该 计 算⊕ 最 后返 回 注 意这 是 一 个 正 确的 广 义 签 密 因 为解广义签密询问 对每一个新的元组的 询 问若 对 应 签 名 验 证 只 需 公 开 参数 按正常方式进行 以 下 考 虑 分 两 种 情 况由 于 可 以 得 到 的 完 整 私 钥按正常方式完成解广义签密遍 历 中 的 所 有 含 的 元 组使 用 计 算 ⊕ 然 后 判 断验证 等 式是 否 成 立其 中 和 都可从相应询问获得成 立则 返 回 否 则 移 到 中下一条目重新开始 如 果 遍 历 完中的条目没有消息返回 则 返 回最 终 输出两个等长的不同消息 和 两 个 身 份和 若 失败并终止模拟 否 则 如 下处 理 设 置 随 机 取 提 交 挑 战 密 文给第 二 阶 段这 些 询 问 与 第 一 阶 段 相 同 对 的 限 制 同 游戏 最 终 输 出 他 的 猜 测 不 知 道 不 是一 个 正 确 的 密 文 除 非 用 挑 战 元 组询 问 如果这种情况发生由 于则 问题的候选答案将被保存在 中 忽 略 的 猜 测 随 机 从 中 选 择 一 个 作 为问 题 的 答 案 从这可以成功解决 问 题 下 面 分析 成 功 的 概 率 由 于 中 最 多 含 有 个 元 素 因 此被选为挑战身份的概率为 随 机 从 中 选 择 作为 问 题 的 解 正 确 的 概 率 是 在广义签密阶段冲 突 将 失 败由 于 最 大 值 为 冲突 的 概 率 为 解广义签密阶段拒绝有效密文的概率小于在 挑 战 阶 段 可 以 为 空 如 果 为 空则 对 应 加密 模 式如 果 不 为 空则对应签密模式 所 以 加 密 模 式和签密模式共用同一个游戏定 理 在随机预言机模型中在加密模式或签密模式下若 存 在 一 个 敌 手 类 型 攻 击 者以不可忽略的优势 攻 击 本 文 方 案 的 安 全则 存 在 一 个 算法 利 用 以以下优势解决 问 题其 中 和 的 表 示同 前定 理 在随机预言机模型中在 签 名 或 签 密 模 式 下 若存 在 一 个 敌 手 类 型 攻 击 者以不可忽略的优势 攻击 本 文 方 案 的 安 全则 存 在 一 个 算 法 利用 以以下优势解决 问 题其 中 和的 表 示 同 前定 理 在随机预言机模型中在 签 名 或 签 密 模 式 下 若存 在 一 个 敌 手 类 型 攻 击 者以不可忽略的优势攻 击 本 文 方 案 的 安 全则存在一个算法利 用 以以下优势解决 问 题其 中 和 的 表 示同 前定 理 如 果 类 型 攻 击 者冒充某个合法用户伪造了广义签密 该用户能向仲裁者证明 是 不 诚 实 的定 理 的证明类似本文方案的 算 法效 率 分 析计算开销和密文长度是影响效率的两个主要方面 在 计算 开 销 方 面 主要考虑双线性对运算 中的点乘运算和中 的 指 数 运 算 表 列出本方案与其它方案的比较 其 中表 示 对 运 算 括号表示可以预计算 表 示 指 数 运 算 表 示点乘 运 算 可 以 看 出本文方案的密文长度最短 方 案 是 高 效的表 与其它基于身份的广义签密方案的比较方 案 密 文 长 度加 密签 名 解 密验 证方 案方 案方 案方 案方 案本 方 案
　　结 束 语
　　结合无可信中心和基于身份的广义签密的概念本文首次给出了无可信中心的基于身份的广义签密方案的形式化定义及安全模型 并给出一个具体方案 在 随 机 预 言机 中 证 明 了 方 案 的 安 全 性 效 率 比 较 表 明 方 案 是 高 效 的广义签密在一般签密方案能同时提供机密性和认证性的基础上可以只实现机密性或认证性一种功能在节约时间和成本的基础上满足了不同的需求环境 因而具有更广泛的应用前景
　　参 考 文 献杜 红 珍数字签名技术的若干问题研究 北 京北 京 邮 电 大学周 亮李 大 鹏杨 义 先基于身份的无需可信任 的 签 名 方 案通 信 学 报徐 玲 玲基于身份的无可信 的 签 名 体 制 济 南山 东 大学韩 益 亮杨 晓 元 可公开验证广义签密 计 算 机 学 报魏 靓张 串 绒郑 连 清基于广义签密的移动 网 络 密 钥 管理 方 案 计算机工程与应用杨 晓 元李 秀 广郝 斌等基 于 广 义 签 密 和 技 术 的 图 像 水印 算 法 计算机工程与应用杨 晓 元黎 茂 堂魏 立 线 可公开验证广播签密 解 放军理工大学学报 自 然 科 学 版冀 会 芳韩 文 报刘 连 东标准模型下多个 的基于身份广义签 密 电子与信息学报冀 会 芳韩 文 报刘 连 东高效的无证书广义签密方案 四 川大 学 学 报工 程 科 学 版赵 静高效的基于身份和对映射的广义签密方案的研究 秦皇 岛燕 山 大 学刘 景 伟孙 蓉马 文 平高 效 的 基 于 的无证书签名方案 通信 学 报张 建 军李 庆 华瞿 勇基于任务复制的调度算法 计 算 机 工程 与 设 计