陳尚弟，卞廣旭（中國民航大學理學院，天津 300300）

一種新的基于身份的群體簽密方案

陳尚弟，卞廣旭
（中國民航大學理學院，天津 300300）

在公開的網(wǎng)絡通信系統(tǒng)中安全地傳送敏感消息時，有時會由于通信雙方的權限過于集中而引起欺騙行為，而面向群體的簽密方案能解決通信系統(tǒng)中個體的權限過于集中而引起的安全問題。利用基于身份的密碼體制和橢圓曲線離散對數(shù)問題，提出了一種新的基于身份的群體簽密方案。在方案中，任何t個或者多于t個簽密組成員相互協(xié)作能夠生成有效的群簽密，少于t個簽密組成員則不能生成有效的群簽密；任何w個或者多于w個接收組成員相互協(xié)作可以驗證群簽密的合法性及恢復加密的消息。通過對提出的方案進行安全性分析，該方案具有認證性、保密性、數(shù)據(jù)完整性、不可否認性及不可偽造性等特性。

基于身份；門限方案；簽密；橢圓曲線離散對數(shù)問題

隨著計算機網(wǎng)絡技術和通信技術的發(fā)展，網(wǎng)絡通信技術在現(xiàn)實社會中的各個領域均得到了廣泛的應用。在某些特殊的情況下，當通信系統(tǒng)中的雙方在公開的網(wǎng)絡環(huán)境中傳送敏感的消息時，不僅需要使敏感的消息滿足認證性，而且還需要使敏感的消息滿足保密性。針對需要同時滿足認證性和保密性的應用能在公開的網(wǎng)絡環(huán)境中得以實現(xiàn)，Zheng[1]于1997年首次提出了一種稱之為“簽密”密碼學術語的認證加密方案，該方案能在一個單一的邏輯步驟里同時實現(xiàn)認證性和保密性，并且運算量和通信成本也比傳統(tǒng)的“先簽名后加密”低得多。為了避免由于通信系統(tǒng)中雙方個體的權限過于集中而引起欺騙行為，則可基于Shamir[2]的（t，n）門限方案構造面向群體的簽密方案。

為了簡化基于證書的公鑰密碼體制系統(tǒng)中的身份驗證和密鑰管理機構的公鑰分發(fā)問題，Shamir[3]于1984年首次提出了基于身份的公鑰密碼體制，在這一新的公鑰密碼體制中，使用者的公鑰可以由使用者的身份信息產(chǎn)生，而使用者的私鑰可由可信的私鑰生成器PKG（private key generator）通過使用者的身份信息計算獲得。利用文獻[3]提出的密碼體制，2002年Malone-Lee[4]首次提出了一種新的基于身份的簽密方案。自此之后，許多基于身份的面向群體的簽密方案[5-7]相繼提出，但是這些方案主要是在隨機預言模型下基于雙線性對問題提出的，2010年，文獻[8]提出了一種新的基于身份的（t，n）門限簽密方案，雖然該方案不是在隨機預言模型下基于雙線性對提出的，但卻是基于一般有限域離散對數(shù)問題提出的，而其計算效率比基于橢圓曲線離散對數(shù)問題的構造方案較低，通信成本較大。

本文利用基于身份的密碼體制和橢圓曲線離散對數(shù)問題提出了一種新的基于身份的群體簽密方案，該方案不僅保證任何t個或多于t個的簽密組成員相互協(xié)作能生成有效的群體簽密，而且使任何w個或多于w個的接收組成員相互協(xié)作能夠恢復加密的消息并對恢復的消息進行驗證。除此之外，本文對方案的有效性進行了證明，同時對方案的安全性也進行了分析。

1 基于身份的群體簽密方案的模型

記方案的簽密組為A={A1，A2，…，An}，其中使用者Ai的身份記為IDi（i=1，2，…，n）；接收組為B= {B1，B2，…，Bm}，其中使用者Bj的身份記為IDj*（j= 1，2，…，m）。本文提出的方案由以下4個階段組成：系統(tǒng)的初始化、密鑰提取階段、簽密階段及解簽密階段。

1.1 系統(tǒng)的初始化

輸入一個安全的參數(shù)k，PKG進行如下操作：PKG隨機選取2個安全大素數(shù)p和q，并且使其滿足q整除p-1；選取有限域GF（p）上一條安全的橢圓曲線E，并設P是E上具有q階的基點，且記G為由P生成的q階加法循環(huán)群；選取密鑰為k*的安全對稱加密及解密算法（Ek*，Dk*）；定義兩個安全的hash函數(shù)H1和H2；輸出系統(tǒng)的公開參數(shù)params={p，q，P，E，G，該算法由PKG運行。

1.2 私鑰提取階段

這一階段是通過簽密組中使用者的身份IDi和接收組中使用者的身份IDj*來提取使用者的密鑰和群體密鑰。輸入系統(tǒng)的公開參數(shù)params、簽密組中使用者的身份IDi和接收組中使用者的身份IDj*。輸出簽密組的群密鑰對（QA，aA）及使用者的密鑰對（Qi，ai）；輸出接收組的群密鑰對（QB*，bB）及使用者的密鑰對（Qj*，bj）。該算法由PKG運行。

1.3 簽密階段

簽密組A輸入系統(tǒng)的公開參數(shù)params、使用者的密鑰對（Qi，ai）、使用者的身份IDi（i=1，2，…，n）、消息m及接收組的群公鑰QB*，輸出簽密σ，并將簽密σ傳送給接收組。

1.4 解簽密階段

接收組B輸入系統(tǒng)的公開參數(shù)params、使用者的密鑰對（Qj*，bj）、使用者的身份IDj*（j=1，2，…，m）和簽密σ，輸出合法的m并接收簽密，否則拒絕接收簽密的消息并輸出符號⊥。

2 一種新的基于身份的群體簽密方案

2.1 系統(tǒng)初始化

首先輸入一個安全的秘密參數(shù)k，PKG隨機選取2個安全大素數(shù)p和q，并且使它們滿足q整除p-1；選取有限域GF（p）上一條安全的橢圓曲線E，并設P 是E上具有q階的基點，且記G為由P生成的q階加法循環(huán)群；選取密鑰為k*的安全對稱加密及解密算法（Ek*，Dk*）；定義2個安全的hash函數(shù)H1：{0，1}*→Zq*和H2：G→Zq*；輸出系統(tǒng)的公開參數(shù)params={p，q，P，

2.2 密鑰提取階段

記方案的簽密組為A={A1，A2，…，An}，其中使用者Ai的身份記為IDi（i=1，2，…，n）；接收組為B= {B1，B2，…，Bm}，其中使用者Bj的身份記為IDj*（j= 1，2，…，m）。

1）PKG隨機選取α0，α1，…，αt-1∈Zq*，β0，β1，…，βw-1∈Zq*，并分別構造多項式：f（x）=α0+α1x+… + αt-1xt-1及g（x）=β0+β1x+…+βw-1xw-1，則記簽密組的群私鑰為aA=f（0），群公鑰為QA=f（0）P；接收組的群私鑰為bB=g（0），群公鑰為QB*=g（0）P。

2）PKG利用使用者的身份IDi（i=1，2，…，n）及IDj*（j=1，2，…，m），計算簽密組使用者相應的私鑰和公鑰ai=f（IDi）modq、Qi=aiP，接收組中使用者相應的私鑰和公鑰bj=g（IDj*）modq、Qj*=bjP。最后PKG將私鑰ai及bj通過安全的通道分別傳送給IDi和IDj*，相應的公鑰Qi及Qj*公開。

2.3 簽密階段

本階段將實現(xiàn)由簽密組A={A1，A2，…，An}中任何t個或者多于t個簽密組成員相互協(xié)作對消息m進行簽密，不妨記AT={A1，A2，…，At}是完成簽密的t個簽密組成員，并記C為AT中群體簽密的合成者。

1）AT中的每個成員Ai首先隨機選取一個整數(shù)ki∈Zq*，并計算Li1=kiP=（xi1，yi1），Li2=kiQB*=（xi2，yi2）。如果xi1=0或xi2=0，則重新選擇ki，然后將Li1、Li2通過安全信道發(fā)送給AT中的其他簽密成員。2）AT中的每個成員Ai首先通過Li1、Li2分別合成L1和L2：L1kiQB*；然后Ai隨機選取一個整數(shù)li∈Zq*，并計算Mi=liP，M=，最后分別計算部分簽名并將部分簽名σ1=（c，r，r1，si，Mi）發(fā)送給簽密合成者C。

3）簽密合成者C收到部分簽名σ1=（c，r，r1，si，Mi）后，利用AT中每個成員Ai的公鑰Qi驗證部分簽名的有效性，其驗證等式為

若等式成立，則部分簽名有效。如果所有的部分簽名σi都有效，C合成群體簽名，并可通過下面等式來驗證群體簽名的有效性

4）簽密合成者C將簽密σ=（c，r，r1，s，M）通過公開信道發(fā)送給接收組B。

2.4 解簽密階段

接受組B={B1，B2，…，Bm}收到簽密σ=（c，r，r1，s，M）后，B中的w個或者多于w個接受組成員相互協(xié)作恢復消息m并進行驗證，不妨記BW={B1，B2，…，Bw}是完成解簽密階段的w個接收組成員，并記D為BW中解簽密階段的合成者。

1）BW中每個成員Bj計算

然后將Li2發(fā)送給解簽密的合成者D。

2）D首先計算

然后驗證等式r*=r和r1*=r1是否同時成立。若成立，則簽密方案通過驗證且消息m得到恢復，否則拒絕接收簽密的消息并輸出符號⊥。

3 方案有效性證明

定理1 在簽密階段中的部分簽名si的有效性可以通過式（1）進行驗證。

即Li1=等式成立。證畢。

定理2 如果AT中簽密組成員都能正確地實施簽密步驟，則生成的簽密σ=（c，r，r1，s，M）就能在解簽密階段得到有效性驗證，BW中的接收組成員也能正確恢復消息m。

證明 如果AT中簽密組成員都能正確地實施簽密步驟，則有

又由Lagrange插值多項式的性質(zhì)可知

綜上所述，BW中的接收組成員可以正確求出L1和L2，從而可以通過計算k*=H2（L2）正確求出m= Dk*（c），并通過計算r*=H1（m）、r1*=H2（QB*，L1，L2）來驗證等式r*=r和r1*=r1是否同時成立。若等式成立，則簽密方案通過驗證且消息m得到恢復，否則拒絕接收簽密的消息并輸出符號⊥。證畢。

4 方案的安全性分析

4.1 認證性

由定理1和定理2證明可知，如果AT中簽密組成員能正確地實施簽密步驟，方案中的式（1）和式（2）都能成立，則部分簽名σi及群體簽名σ都是有效的，并能被接收組得到有效地驗證。

4.2 保密性

方案中使用對稱加密和解密算法分別對傳送的消息進行加密和恢復，任何第三方攻擊者要想獲得傳送的消息必須要計算密鑰k*。攻擊者計算密鑰k*就必須要正確計算出kiQB*，再通過計算k*=H2（L2）獲得；然而要想計算出L2，就需要利用方案中公開的信息Li1=kiP、Li2=kiQB*計算求出ki，但這是不可能的，因為有限域上橢圓曲線離散對數(shù)問題是難解的。由定理2可知，本文構造的方案能保證接收組通過合理的步驟恢復出消息。

4.3 數(shù)據(jù)完整性

安全的hash函數(shù)能保證數(shù)據(jù)完整性。假如傳送的消息被第三方攻擊者所篡改，則可通過消息m計算出的H1（m）與r進行比較來判斷。如果H1（m）=r，則說明接收組恢復出的消息m是完整的，沒有被攻擊者所篡改；否則，說明接收組恢復出的消息m不是完整的，且已被第三方攻擊者所篡改。

4.4 不可偽造性

任何第三方攻擊者要想偽造部分簽名σi及群體簽名σ都是不可能的。攻擊者要想偽造一個簽名，就需要知道保密的參數(shù)ki、li及簽名者的私鑰ai，然而由于有限域上橢圓曲線離散對數(shù)問題是難解的，所以攻擊者不可能通過方案中公開的信息計算出上述保密的參數(shù)并偽造簽名。除此之外，由于上述的保密參數(shù)是基于大素數(shù)q形成的有限域Zq*中選取的，所以攻擊者也不可能在有限域Zq*中通過隨機選取上述參數(shù)進行偽造簽名。

4.5 不可否認性

由4.4的分析可知，由于方案具有不可偽造性，所以簽名者要想否認自己簽名的消息也是不可能的。

5 結(jié)語

現(xiàn)有的基于身份的簽密方案基本上都是在隨機預言模型下基于雙線性對構造的，本文利用基于身份的密碼體制和有限域上橢圓曲線離散對數(shù)問題提出了一種新的基于身份的群體簽密方案。該方案能夠解決通信系統(tǒng)中由于個體的權限過于集中而引起的安全問題；通過對方案的有效性和安全性進行分析，本文所提出的方案是有效的、安全的，能夠保證在公開網(wǎng)絡環(huán)境中實現(xiàn)面向群體的保密通信。

[1] ZHENG YULIANG.Signcryption and its application in efficient public key solutions[C]//LNCS1396，Information Security Workshop（ISW'97）. Berlin:Spring-Verlag，1997：291-312.

[2]SHAMIR A.How to share a secret[J].Comm ACM，1979，22（11）：612-613.

[3]SHAMIR A.Identity-Based Cryptosystems and Signature Schemes[M]. BLAKLEY G R，CH AUMD.Advances in Cryptology:CRYPTO 1984，Berlin:Spring-verlag，1997：47-53.

[4]JOHN MALONE-LEE.Identity-based signcrypion[R].Cryptology Eprint Archive，Report 2002/098，2002.

[5] 張 波，徐秋亮.基于身份的面向群組簽密方案[J].通信學報，2009，30（11）：23-28.

[6] 徐吉斌，葉 震.一種可公開驗證的基于身份的簽密方案[J].計算機應用，2007，27（6）：1553-1555.

[7] 李 順，曾 超，李 軍.一種基于身份的簽密方案[J].計算機工程，2010，36（8）：135-137.

[8]ZHANG XIAOYU，ZHANG RUILING.A New ID-based（t，n）Threshold Signcryption Scheme[C].IEEE，2010：589-592.

（責任編輯：黨亞茹）

New ID-based group signcryption scheme

CHEN Shang-di，BIAN Guang-xu
（College of Science，CAUC，Tianjin 300300，China）

When sensitive information is safely transmitted in the public network communication system，the overconcentrated privilege between the communication parties can sometimes cause cheating，but such safety problem can be solved by the group signcryption scheme.Based on the ID-based cryptography and elliptic curve discrete logarithm problem，a new ID-based group signcryption scheme is proposed.In the scheme，any t or more than t signcryption group members collaboratively can generate a valid group signcryption，and less than t can not generate a valid group signcryption；any w or more w receiver group members collaboratively can verify the legitimacy of the group signcryption and recover the encrypted message.Through security analysis of the proposed program，the program has authentication，confidentiality，data integrity，nonrepudiation and unforgeability and other features.

ID-based；threshold scheme；signcryption；elliptic curve discrete logarithm problem

TP309

A

1674－5590（2013）01－0093－04

2012-06-11；

2012-09-12

中央高校基本科研業(yè)務費專項（ZXH2012K003）；中國民航大學科研基金項目（2012KYM01）

陳尚弟（1964—），男，山西應縣人，教授，博士，研究方向為代數(shù)、圖論、編碼與密碼.