論文題目：具有實(shí)體匿名性的簽密體制的研究 專業(yè)：通信與信息系統(tǒng) 碩士生：歐華銀 指導(dǎo)教師：韋寶典副教授 摘要 如何有效地同時(shí)實(shí)現(xiàn)信息保密和可認(rèn)證的功能是信息安全領(lǐng)域的一個(gè)熱點(diǎn) 問(wèn)題。簽密體制的提出就是要達(dá)到計(jì)算量和通信成本都優(yōu)于傳統(tǒng)的“先簽名后加 密”方案的目的，并同時(shí)為傳輸?shù)男畔⑻峁┍Ｃ芎驼J(rèn)證功能。在解決這一問(wèn)題的 基礎(chǔ)上，本文還注重研究保護(hù)通信雙方實(shí)體隱私性的方法，即設(shè)計(jì)可證明安全的 基于屬性的簽密方案。 本文采用了s a h a i 和w a t e r s 提出的基于屬性的加密( a b e ) 思想，將基于屬性 的概念引入到簽密領(lǐng)域，提出了可證明安全的具有實(shí)體匿名性的簽密體制，并圍 繞這一簽密類型展開(kāi)研究，主要的研究成果包括： 1 ) 給出了可證明安全的基于屬性的簽密方案的形式化定義和安全模型，提 出了個(gè)具體的簽密方案，并在隨機(jī)預(yù)言機(jī)模型下對(duì)其保密性、不可偽造性和實(shí) 體匿名性進(jìn)行了嚴(yán)謹(jǐn)?shù)淖C明； 2 ) 進(jìn)一步提出了兩個(gè)高效的基于屬性的簽密方案，對(duì)它們的應(yīng)用前景也進(jìn) 行了初步的探討。與“先簽名后加密”方案的性能比較表明，這兩個(gè)方案在效率 上得到明顯的提高。 關(guān)鍵字：簽密，基于身份的密碼體制，基于屬性的簽密體制，可證明安全。 i i 丑! 幽厶生熊塵世論塞 埴鑒 t i t l e ：r e s e a r c ho ns i g n c r y p t i o ns c h e m e sw i t ha n o n y m i t y m a j o r ：c o m m u n i c a t i o na n di n f o r m a t i o ns y s t e m s n a m e ：o uh u a y i n s u p e r i o r ：a s s o c i a t ep r o f e s s o rw e ib a o d i a n a b s t r a c t h o ww ec a na c h i e v ee f f e c t i v e l yc o n f i d e n t i a l i t ya n da u t h e n t i c a t i o na to n el o g i c s t e ph a sb e c o m ea h o ti s s u ei nt h er e s e a r c ha r e ao fi n f o r m a t i o ns e c u r i t yt h e s ey e a r s s i g n c r y p t i o ns c h e m e sw e r ei n v e n t e dt os o l v et h i sp r o b l e m s i n c et h e yc a na c h i e v e “c o s t ( s i g n a t u r e & e n c r y p t i o n ) 可計(jì)算性：對(duì)于所有的g 。，g ：g 。，存在有效的算法計(jì)算e ( g 。，g ：) 的值。 2 1 2 合數(shù)階雙線性群的定義及性質(zhì) 合數(shù)階雙線性群吲是最近幾年用來(lái)解決諸多密碼學(xué)問(wèn)題的一個(gè)t 具，這一概 念首先由b o n e h ，g o h 和n i s s i m 提出，他們將這個(gè)工具應(yīng)用到隱私信息提取、 在線選舉和普遍可驗(yàn)證計(jì)算等問(wèn)題中。此后，許多學(xué)者在他們工作的基礎(chǔ)上，制 定了各種各樣的協(xié)議，如非交互零知識(shí)證明【3 8 1 【3 9 】、群簽名【刪和環(huán)簽名【4 1 1 、基于 屬性的加密【4 2 】1 4 3 1 、叛逆者追蹤方案【4 4 1 和分層i b e 方案【4 5 1 【4 6 】等。 這里，我們采用文獻(xiàn) 4 7 1 的符號(hào)，令為群生成器，其輸入為安全參數(shù)五z ， 7 l 山大學(xué)顧上學(xué)俯論文 具仃實(shí)體匿名性的簽密體制的研究 輸出為數(shù)組( p ，g ，g ，g ，e ) ，其中p 和q 是不同的素?cái)?shù)，g 和g 是階為玎= p q 的 循環(huán)群稱為合數(shù)階雙線性群，e 為雙線性映射p ：g x g jg 。 分別構(gòu)造g = 的p 階和g 階予群q = 和g q = ，對(duì)應(yīng)地，g r p 和g 7 ，。分別是g 7 的p 階和g 階子群。對(duì)隨機(jī)選取的g ，g p ，9 2 g q ，存在a e z p ，b z 口，使得g l = g ；，9 2 = g ；，所以p ( g 。，9 2 ) = p ( g ；，g ；) = e ( g q , g p ) 口6 = e ( g ， g ) p q a b = 1 。 可以很容易地將兩因子合數(shù)階雙線性群推廣到多因子合數(shù)階雙線性群的情 形。令刀= p i p 2 p l ，吩= ，l 仍，分別構(gòu)造g = 的p i 、p 2 、r e p ，階子群 q 。= 6 p ：= ，e e o 9 q ，= 。對(duì)隨機(jī)選取的& q ，g q ， 存在口乙，6 乙，使得毋= g 芻，g j = ，f f i 以e ( g ，毋) = p ( g ；，蘚，) = e ( g 唧， ，m | _ 9 4 ) 西= e ( g ，g ) 易乃= 1 。 2 1 3 拉格朗日插值公式 拉格朗日插值公式是利用若干個(gè)點(diǎn)來(lái)計(jì)算多項(xiàng)式的算法。設(shè)某個(gè)域一卜的多項(xiàng) 式廠的次數(shù)是，l ，給定廠上任意n + 1 個(gè)點(diǎn)( ，廠( t ) ) ，其中i = 1 , 2 ，n + l ，可以 唯一地確定這個(gè)多項(xiàng)式： f ( x ) = 芝訛) 塒1 娜- i t = i州囂il s ，i s n + l j o o 拉格朗日系數(shù)定義為，j ( z ) = ，職魯號(hào)，其中s 是這”+ 1 個(gè)點(diǎn)的橫坐標(biāo)集 j e j ，l # t _ ， 行+ l 合，f s 。由此，廠( x ) = 廠( t ) 謬( x ) 。 2 2 困難問(wèn)題 8 以下列舉本文方案所采用的幾個(gè)困難性問(wèn)題及相應(yīng)的困難假設(shè)。 2 2 1c d h p 問(wèn)題及假設(shè) 計(jì)算d i f f i e h e l l m a n 問(wèn)題c d h p ( c o m p u t a t i o n a ld i f f i e h e l l m a np r o b l e m ) ：g 是 素?cái)?shù)p 階的循環(huán)群，隨機(jī)選取一個(gè)生成元g g ，給定g ，9 1 ，g g ，其中 x ，y z 。，計(jì)算g 夥。 在概率多項(xiàng)式時(shí)間( p r o b a b i l i s t i cp o l y n o m i a lt i m e ，p p t ) 算法a 在解決c d h p 問(wèn)題的優(yōu)勢(shì)定義如下： a d v c d u e ( a ) = p r 及( g ，9 7 ) 一9 1 fx ，y z p 】。 c d h a 假設(shè)：對(duì)任意p p t 算法a ，a d v c d n ( a ) 是可以忽略的。 2 2 2d b d h p 問(wèn)題及假設(shè) 判定雙線性d i f f i e h e l l m a n 問(wèn)題d b d h p ( d e c i s i o n a lb i l i n e a rd i m e h e l l m a n p r o b l e m ) ：g 和g 是素?cái)?shù)p 階的循環(huán)群，雙線性對(duì)e 定義為e ：g g 寸q ，隨機(jī) 選取一個(gè)生成元g g ，給定g ，9 4 ，9 6 ，g 。g ，其中a , b ，c z 。，區(qū)分e ( g ，g ) 幽 6 和e ( g ，g ) 。6 ，其中z z 蘆。 在概率多項(xiàng)式時(shí)間內(nèi)( p r o b a b i l i s t i cp o l y n o m i a lt i m e ，p p t ) 算法b 解決d b d h p 問(wèn)題的優(yōu)勢(shì)定義如下： 么咖刪( 當(dāng)) = ip r 留( 9 4 ，g b , g o , e ( g ，g ) 咖) = 0 】一p r b ( g a , g b , g o , e ( g ，g ) 。) = 0 】l 。 d b d h a 假設(shè)：對(duì)任意p p t 算法b ，a d v d b d m p ( b ) 是可以忽略的。 2 3 可證明安全性理論基礎(chǔ) 2 3 1 可證明安全性簡(jiǎn)介 近年來(lái)，可證明安全性在密碼學(xué)界已經(jīng)成為一個(gè)研究熱點(diǎn)。文獻(xiàn) 4 8 】對(duì)此進(jìn) 行了比較完整的說(shuō)明。傳統(tǒng)安全性證明中，人們通常是證明自己的方案可以抵抗 現(xiàn)有的攻擊技術(shù)。但是，新的攻擊技術(shù)隨時(shí)都可能出現(xiàn)，依靠傳統(tǒng)的證明方法不 能使人們確信密碼算法的安全性。g o l d w a s s e r 和m i c a l i 在1 9 8 2 年提出了可證明 安全性4 9 1 的概念，從而革新了傳統(tǒng)的設(shè)計(jì)密碼學(xué)方案的技術(shù)。 9 中山大學(xué)頤上學(xué)位論文具彳f 實(shí)體匿私性的簽密體制的研究 根據(jù)文獻(xiàn) 4 8 的分析，可證明安全性理論主要分兩類，一類是基于計(jì)算復(fù)雜 度理論，另一類是形式化方法。由于本文是采用第一類方法證明方案的安全性的， 所以這罩簡(jiǎn)要介紹一下基于復(fù)雜度理論的證明方法。 基于復(fù)雜度理論的證明方法實(shí)際上就是一種“規(guī)約”思想，即首先確定密碼 方案或協(xié)議的安全日標(biāo)，如保密性、不可偽造性、匿名性等等，然后根據(jù)敵手的 能力定義一個(gè)攻擊模型或者游戲，并確定密碼方案或協(xié)議所基于的困難問(wèn)題( 如 c d h p 問(wèn)題) ，再用定義的敵手模型去分析密碼方案或協(xié)議，最后將攻破密碼方 案或協(xié)議的方法規(guī)約到解決相應(yīng)的困難問(wèn)題，并計(jì)算它們?cè)趶?fù)雜度上的聯(lián)系。 從上面的證明思想可以看出，可證明安全并不是直接去分析方案本身可以達(dá) 到什么樣的安全目標(biāo)，而是通過(guò)將攻擊密碼方案或協(xié)議的安全目標(biāo)規(guī)約到解決某 個(gè)困難問(wèn)題上去。也就是說(shuō)，如果可以攻破方案的某個(gè)安全性，則方案所基于的 困難性問(wèn)題就可以被解決。但在計(jì)算上，該困難性問(wèn)題是不可解的，所以就認(rèn)為 密碼方案或者協(xié)議是安全的，是不能攻破的。 2 3 2 隨機(jī)預(yù)言模型 隨機(jī)預(yù)言機(jī)模型( r a n d o mo r a c l em o d e l ) t 5 0 】在可證明安全領(lǐng)域被廣泛使用，其 主要作用是方便密碼方案或協(xié)議的安全性證明。本文簽密方案的證明也是在隨機(jī) 預(yù)言機(jī)模型下進(jìn)行的，所以這里簡(jiǎn)要介紹一下隨機(jī)預(yù)言模型的理論。 隨機(jī)預(yù)言機(jī)實(shí)際上是一種虛擬的理想化哈希函數(shù)，它具有以下一些性質(zhì)： 1 ) 一致性( c o n s i s t e n c y ) ：對(duì)于相同的輸入值，其輸出的值必然相同； 2 ) 可計(jì)算性( c o m p u t a b i l i t y ) ：在多項(xiàng)式時(shí)間內(nèi)可計(jì)算出相應(yīng)的哈希值； 3 ) 均勻分布性( d i s t r i b u t e d - u n i f o r m l y ) ：哈希值在取值空間上是均勻分布的。 在可證明安全的密碼學(xué)方案中，我們假定隨機(jī)預(yù)言機(jī)是理想化的，是不能被 敵手攻破的哈希函數(shù)。但是，在實(shí)際使用哈希函數(shù)時(shí)敵手是有可能攻破這個(gè)哈希 函數(shù)的。因此，基于隨機(jī)預(yù)言機(jī)的證明只是一個(gè)啟發(fā)性的證明，即假設(shè)一些問(wèn)題 是困難的且敵手不會(huì)對(duì)哈希函數(shù)進(jìn)行攻擊，但并不意味著敵手是不成功的，因?yàn)?敵手可以利用實(shí)際使用中的哈希函數(shù)可能存在的弱點(diǎn)去攻擊密碼學(xué)方案。盡管如 此，目前隨機(jī)預(yù)言機(jī)仍然是密碼學(xué)中可證明安全理論最常用的工具之一，幾乎所 有密碼學(xué)方案都要求至少在隨機(jī)預(yù)言機(jī)模型下中可證明安全。 1 0 第三章保護(hù)實(shí)體匿名性的簽密體制 為了保護(hù)通信實(shí)體的匿名性，本文在這一章定義基于屬性的簽密體制及其安 全模型，構(gòu)造4 個(gè)可證明安全的簽密方案并給出其保密性、不可偽造性和實(shí)體匿 名性的安全性證明。 3 1 基于屬性的簽密體制的形式化定義 本文所研究的基于屬性的簽密體制主要是在s a h a i 和w a t e r s 提出的a b e 思 想下構(gòu)造的，即簽名者的私鑰和密文都與屬性集合相關(guān)聯(lián)。下面是關(guān)于基于屬性 的簽密方案的形式化定義。 個(gè)基于屬性的簽密方案由以下四個(gè)算法組成。 系統(tǒng)初始化：由私鑰產(chǎn)生器p k g 運(yùn)行的一個(gè)概率性算法s e t u p ( k ) ，其中 輸入k 為系統(tǒng)安全參數(shù)，輸出為公共參數(shù)p a r a m s 和系統(tǒng)主私鑰r u s k 。該過(guò)程可 以表示為s e t u p ( k ) _ ( p a r a m s ，m s k ) ； 私鑰提?。簆 k g 運(yùn)行的一個(gè)概率性算法e x t r a c t ( ) ，輸入為主私鑰r u s k 、 公共參數(shù)p a r a m s 和用戶屬性集合w ，輸出是與該屬性集合w 對(duì)應(yīng)的私鑰曲。 該過(guò)程可以表示為e x t r a c t ( p a r a m s ，r u s k ，w ) _ s k 。這里，設(shè)定發(fā)送者的屬性集合 對(duì)應(yīng)的私鑰為s 七。，接收者的屬性集合對(duì)應(yīng)的私鑰為j 七，。； 簽密算法：由簽密方發(fā)送者運(yùn)行的一個(gè)概率性算法s i g n c r y p t ( ) ，輸入為 系統(tǒng)參數(shù)腳m m s 、明文m 、簽密方發(fā)送者簽名所用的屬性集合以及私鑰氏。和 解簽密方接收者的屬性集合，其中w s w s ，輸出為明文m 對(duì)應(yīng)的密文仃。 該過(guò)程可以表示為s i g n c r y p t ( p a r a m s ，m ，w s ，s k 。，w r ) _ 仃； 解簽密算法：由解簽密方接收者運(yùn)行的4 個(gè)確定性算法u n s i g n c r y p t ( ) ， 輸入為系統(tǒng)參數(shù)p a r a m s 、簽密方發(fā)送者所用的屬性集合w ：、解簽密方接收者 的屬性集合對(duì)應(yīng)的私鑰政。和密文仃，輸出為明文m 或者上。該過(guò)程可以表 示為u n s i g n c r y p t ( p a r a m s ，w s ，s k 。，力一朋上。 山大學(xué)頒上學(xué)位論文具仃實(shí)體匿私性的簽密體制的研究 3 2 基于屬性的簽密體制的安全模型 簽密體制結(jié)合了簽名和加密的功能，邏輯上同時(shí)實(shí)現(xiàn)數(shù)據(jù)的保密性和認(rèn)證 性，但實(shí)現(xiàn)性能遠(yuǎn)高于獨(dú)立地提供保密性和認(rèn)證性的方式。因此，密文的保密性 和簽名的不可偽造性構(gòu)成了簽密體制最基本的安全特性：除此之外，本文基于屬 性的簽密體制還提供實(shí)體匿名性，這里給出保密性、不可偽造性和實(shí)體匿名性的 安全模型。 3 2 1 保密性( c o n f i d e n t i a l i t y ) 保密性是指攻擊者要從密文中獲得任何明文或密鑰信息在計(jì)算上是不可行 的，而簽密體制的機(jī)密性是指在適應(yīng)性選擇密文攻擊下密文的不可區(qū)分性。 定義3 1 在隨機(jī)預(yù)言機(jī)和選擇屬性集合+ 模型下，如果沒(méi)有任何多項(xiàng)式有 界的敵手貝能以一個(gè)不可忽略的優(yōu)勢(shì)贏得以下游戲，則稱該基于屬性的簽密方案 在適應(yīng)性選擇密文攻擊下具有不可區(qū)分性( i n d i s t i n g u i s h a b i l i t yo fa t t r i b u t e - b a s e d s i g n c r y p t i o n sf o rs e l e c t e da t t r i b u t es e tu n d e ra d a p t i v ec h o s e n - c i p h e r t e x t a t t a c k s ， 簡(jiǎn)記作i n d a b s c c c a s a ) 。 初始化階段：敵手貝提出希望挑戰(zhàn)的接收者身份屬性集合w 牙。挑戰(zhàn)者c 運(yùn) 行系統(tǒng)初始化算法s e t u p ( ) ，并將生成的公共系統(tǒng)參數(shù)p a r a m s 發(fā)送給敵手貝，同 時(shí)挑戰(zhàn)者c 保留主私鑰m s k 。 詢問(wèn)階段：敵手兵可以進(jìn)行多項(xiàng)式有限次的四種詢問(wèn)。 哈希函數(shù)值詢問(wèn)：敵手貝向挑戰(zhàn)者c 詢問(wèn)相關(guān)的哈希值，挑戰(zhàn)者c 把對(duì) 應(yīng)的哈希函數(shù)值發(fā)送給敵手及； e x t r a c t 詢問(wèn)：如果敵手貝詢問(wèn)的屬性集合滿足旺也，挑戰(zhàn)者c 運(yùn) 行e x t r a c t ( ) ，生成相應(yīng)的私鑰睹虬，并把結(jié)果s 七h(yuǎn) 發(fā)送給敵手貝； s i g n c r y p t 詢問(wèn)：敵手貝詢問(wèn)( m ，w - ，w ，) 的簽密，其中w v 是簽名所用的屬 性集合，w ，是接收者的屬性集合。挑戰(zhàn)者c 收到詢問(wèn)后，首先運(yùn)行e x t r a c t ( ) ， 計(jì)算w i 對(duì)應(yīng)的私鑰s k ，然后計(jì)算口卜s i g n c r y p t ( p a r a m s ，所，w i ，s k w ，w ，) ，并將結(jié) + 攻擊實(shí)施d 訂，敵手可以選擇要攻擊的接收者屬性集合。這一概念類似于基于身份的密碼體 制中的s e l e c t e d i d 攻擊模型。 1 2 果盯發(fā)送給敵手見(jiàn)。 u n s i g n c r y p t 詢問(wèn)：敵手貝詢問(wèn)p ，w ，w ，) 的解簽密。挑戰(zhàn)者c 收到詢問(wèn) 后，首先計(jì)算私鑰s k 。，卜e x t r a c t ( p a r a m s ，r u s k ，w j ) ，再計(jì)算u n s i g n c r y p t ( p a r a m s ， 仃，w ，s k 。) ，最后發(fā)送明文m 或者符號(hào)“上”給敵手胄。 挑戰(zhàn)階段：敵手及選擇兩個(gè)相同長(zhǎng)度的明文m 。和聊。，發(fā)送給挑戰(zhàn)者c 。挑 戰(zhàn)者c 收到敵手貝的挑戰(zhàn)明文后，隨機(jī)選取6 0 , 1 ，然后以作為解簽密者的 身份屬性集合，生成明文m 。在簽名屬性子集w 下的密文仃，將結(jié)果盯發(fā)送給貝。 再詢問(wèn)階段：貝就像詢問(wèn)階段那樣執(zhí)行多項(xiàng)式有限次的四類詢問(wèn)，但他不能 對(duì)密文仃執(zhí)行u n s i g n c r y p t 詢問(wèn)。 輸出階段：貝輸出一個(gè)值6 作為對(duì)b 的猜測(cè)。 如果= b ，且就贏得游戲，其優(yōu)勢(shì)定義為 1 么咖刪腳翻。8 a ( 只) 爿e r b = 6 卜去l 。 3 2 2 不可偽造性( u n f o r g e a b i l i t y ) 不可偽造性是指攻擊者要產(chǎn)生一個(gè)合法的簽名在計(jì)算上是不可行的。我們對(duì) 不可偽造性的定義主要模仿基于身份的簽密方案的不可偽造性【2 7 1 。 定義3 2 在隨機(jī)預(yù)言機(jī)和選擇屬性集合模型下，如果沒(méi)有任何多項(xiàng)式有界 的偽造者，能以一個(gè)不可忽略的優(yōu)勢(shì)贏得以下游戲，則稱該基于屬性的簽密方案 在適應(yīng)性選擇消息攻擊下能夠抵抗存在性偽造攻擊( e x i s t e n t i a lu n f o r g e a b i l i t yo f a t t r i b u t e - b a s e ds i g n c r y p t i o n sf o rs e l e c t e da t t r i b u t es e tu n d e ra d a p t i v ec h o s e n - m e s s a g e a t t a c k s ，簡(jiǎn)記為e u f a b s c - c m a - s a ) 。 初始化階段：偽造者歹提出希望挑戰(zhàn)的發(fā)送者身份屬性集合w s ，其中 i 匿d ，d 是預(yù)先定義好的一個(gè)參數(shù)。挑戰(zhàn)者c 輸入安全參數(shù)露，運(yùn)行系統(tǒng)初 始化算法s e t u p ( ) 并將生成的公共系統(tǒng)參數(shù)p a r a m s 發(fā)送給偽造者歹，保留主私鑰 m s k 。 詢問(wèn)階段：偽造者歹可以執(zhí)行多項(xiàng)式有限次的以下四種詢問(wèn)。 隨機(jī)預(yù)言機(jī)詢問(wèn)：歹向隨機(jī)預(yù)言機(jī)詢問(wèn)各類哈希值，c 返回相應(yīng)的結(jié)果 給?。?13 中山大學(xué)碩士學(xué)位論文具鉑實(shí)體匿名性的簽密體制的研究 e x t r a c t 詢問(wèn)：歹可以向私鑰生成預(yù)言機(jī)詢問(wèn)屬性集合k 對(duì)應(yīng)的私鑰， 限制條件是k 旺w u ，c 運(yùn)行e x t r a c t ( p a r a m s ，r u s k ，w u ) ，并把結(jié)果發(fā)送給歹； s i g n c r y p t 詢問(wèn)：歹可以向簽密預(yù)言機(jī)詢問(wèn)( m ，w t ，w ，) 對(duì)應(yīng)的簽密，其中 1w ii d ，w 作為發(fā)送者的簽密屬性集合，w ，作為接收者的解簽密屬性集合：c 首先運(yùn)行e x t r a c t ( p a r a m s ，r u s k ，嵋) ，生成對(duì)應(yīng)的私鑰，再運(yùn)行s i g n c r y p t ( m i ， s k ，w ，) ，得到相應(yīng)的簽密吼，并發(fā)送給歹。 u n s i g n c r y p t 詢問(wèn)：歹可以向解簽密預(yù)言機(jī)詢問(wèn)( 盯，w j ) 對(duì)應(yīng)的結(jié)果；c 收到詢問(wèn)后，首先計(jì)算私鑰站。= e x t r a c t ( p a r a m s l m s k , w j ) ，再運(yùn)行u n s i g n c r y p ( a ， w ，矗。；) ，最后發(fā)送明文m 或者符號(hào)“上”給歹。 偽造階段：偽造者歹給出一個(gè)消息，l 關(guān)于和w r 的密文口。 如果盯是消息m 關(guān)于k 和w r 的有效簽名，9 v f - f l ( m , k ，w r ) 沒(méi)有向簽密 預(yù)言機(jī)詢問(wèn)過(guò)，那么就認(rèn)為偽造者贏得了以上游戲。 少的優(yōu)勢(shì)定義為a d v e 咿一卅妙) 爿p r u n s i g n c r y p t ( t r * , w s , ) = m 】i o 3 2 3 匿名性( a n o n y m i t y ) 文獻(xiàn) 2 8 】提出的匿名性，要求密文不包含任何關(guān)于簽名者和接收者身份的信 息，我們據(jù)此分別給出發(fā)送者身份匿名性和接收者身份匿名性的模型。 定義3 3 在選擇屬性集合模型下，如果沒(méi)有任何多項(xiàng)式有界的敵手貝能以 不可忽略的優(yōu)勢(shì)贏得以下游戲，則認(rèn)為基于屬性的簽密方案在適應(yīng)性選擇密文攻 擊下能夠達(dá)到發(fā)送者身份匿名性( s e n d e ra n o n y m i t yo fa t t r i b u t e b a s e ds i g n c r y p - t i o n sf o rs e l e c t e da t t r i b u t es e ta g a i n s ta d a p t i v ec h o s e n - c i p h e r t e x ta t t a c k ，簡(jiǎn)記作 s a a b s c - c c a s a ) 。 敵手貝提出希望挑戰(zhàn)的屬性集合以，i 落f 0 ，1 1 2 8 ；( e n ，d e ) 是分組密碼( 如a e s ) 的加密解密算法；公共參數(shù)為p a r a m s = ( 【，g l ，g 2 ，( e n ，d e ) ，日l(shuí) ，日2 ，皿，g ，g l ，9 2 ，q ，z ) ，主私鑰為m k = x 。 2 ) 私鑰提取e x t r a c t ( p a r a m s ，m k ，w ) 一s k w 為擁有屬性集w 的用戶選取d 1 次的多項(xiàng)式g ，使得q ( o ) = x ：構(gòu)造新的屬 性集謗= w o n 。對(duì)于訪中的任一一屬性i ，選一個(gè)月z 。；計(jì)算d i 。= 酲“日。( 礦， d i l = g ，輸出私鑰s k 。= ( d f 0 ，d f l ) 神。 3 ) 簽密s i g n c r y p t ( p a r a m s ，m ，嵋，s k 。，w r ) 一盯 擁有屬性集w s 的用戶用自己的私鑰。和屬性子集以對(duì)消息m 進(jìn)行簽密， 將結(jié)果發(fā)送給擁有屬性子集w 。的用戶。 令屬性子集以= i l ，之， w s ，1 k d ；從q 中選取一個(gè)缺省屬性子集 q k + p ， 。又令屬性子集w 霹= j 。，歹2 ，j 。) ，從q 中選取缺省屬性子集 q ”= + p ，厶) 。 2 7 l f j 山大學(xué)頌上學(xué)位論文 具釘實(shí)體匿名性的簽密體制的研究 隨機(jī)選取f ，s 膏z 。，計(jì)算r = g ，后= z 件5 ，k = h 3 ( 七) ，隨機(jī)選取_ ， z 。，構(gòu)造d - 1 次多項(xiàng)式i ：1 ( o ) = 0 ；計(jì)算后，= 囂l ( 歹。) 7 ，h = h ：鉚，r ，憊i ，k d ) ， 仃，l = d ：o 日i ( 屯) 凡g ：h 7 ，仃，2 = d ：l g “， 1 v d ； e = e n ( 聊) 。將o r = r ，e ，h ， 以，q ，q ”，( 氏，( t v i ，( 7 v 2 ) i 螂d ) 作為簽密密文。 4 ) 解簽密u n s i g n c r y p t ( p a r a m s ，仃，s k w 。) 寸所上 令y = 以u(píng) q ，t = w ru f 2 ”：擁有屬性子集w r 的用戶接收到密文仃后首先 用自己相應(yīng)的私鑰和發(fā)送者的公鑰恢復(fù)會(huì)話密鑰。由中間值 拈垂( 端廠0 垂( 一廣 可以計(jì)算會(huì)話密鑰k = h 3 ( 后) ，解密m = d e k ( e ) ；驗(yàn)證j i l = 哎( m ，r ，墨，) 是否 成立，若成立返回m ，否則返回上。 由上面的簽密過(guò)程可以看出，傳輸成本由方案i 中的4 d 降低到了3 d ，計(jì)算 復(fù)雜度也得到了改進(jìn)：模指數(shù)運(yùn)算由6 d + 2 次降低到了4 d + 3 次。 4 2 簽密方案 在本小節(jié)中，利用合數(shù)階雙線性群構(gòu)造一個(gè)更為高效的基于屬性的簽密方 案，大大降低了傳輸成本：從方案i i 的3 d 繼續(xù)減少到2 d 。 簽密方案由以下四個(gè)算法組成。 1 ) 參數(shù)設(shè)置s e t u p ( d ) 一( p a r a m s ，i n k ) 屬性全體u 記為z 。，其中，l = p 。p 2 p f ( z 為用戶的最大屬性個(gè)數(shù)) ，d 一1 階 的缺省屬性集合記為q = q 。，q ：，q 。利用文獻(xiàn)【2 】的方法，構(gòu)造甩階循環(huán) h 群g 。和g 2 ，從g 。中選取生成元g ，令鬼= g 鋤= g “，i = 1 , 2 ，；從z 。中隨機(jī) 選取一個(gè)整數(shù)x ，令g = g 。，又從g 中隨機(jī)選取一個(gè)元素g ：，雙線性對(duì)e 定義 為p ：g tx g l g 2 ，計(jì)算z = e ( g l ，9 2 ) 。定義哈希函數(shù)死：m 研寸g l ， ： o ，1 。一 o ，1 ) 眩8 ，再定義哈希函數(shù)i - i , ： o ，1 ) 。寸 ，其中f = 1 , 2 ，。令 ( 勘，d p ) 是分組密碼( 如a e s ) 的加解密算法；設(shè)置公共參數(shù)為p a r a m s = ，n ，g l ， 2 8 g 2 ，( e n ，d e ) ，羈，必，g ，g 。，9 2 ，q ，z ，( h i ，h a 弼，) ，主密鑰為m k = ( z ，p l ，p ，) 。 2 ) 私鑰提取e x t r a e t ( p a r a m s ，m k ，叻一s k 。 為擁有屬性集w 的用戶隨機(jī)選取d - 1 次的多項(xiàng)式g ，使得q ( o ) = x ；構(gòu)造新 的屬性集訪= wu n 。對(duì)于訪中的任一屬性f ，隨機(jī)選取舟z 。；計(jì)算嗄。= g 尹 日；( d m ，d 。l = ，輸出的私鑰為s k ，= ( d i o , d 1 ) 肼。 3 ) 簽密s i 肜c 仰f ( p n 陽(yáng)m s ，m ，以，s k 。，) 一盯 擁有屬性集k 的用戶用自己的私鑰s k ，。和屬性子集以對(duì)消息m 進(jìn)行簽密 并將結(jié)果發(fā)送給擁有屬性子集的用戶。 令屬性子集以= ，f ：， sw s ，l k d ，從q 中選取一個(gè)缺省屬性子 集q = + p ，) 。又令屬性子集w r = j t , j ：， ，從q 中選取缺省屬性子集 q ”= 瓴+ l ，五 。隨機(jī)選取f ，s 露z 。，計(jì)算r = g 。，k i = z h 。，k = 必( 七) ，隨機(jī) d 選取s l ，一，曲異z p ，d 一1 次多項(xiàng)式z ，滿足，( o ) = o ；計(jì)算e = 兀e ( ) 7 ，h i = v = l 萬(wàn)j ( m ，r ，e ) ，盯，i = d ：。日f(shuō) ( f v ) g t 2 0 , ) ( ) ，仃，2 = d ：l g “，l 1 ，j ；c = 砌i ( 垅) 。 簽密密文為仃= r ，c ，弘e ，以，q ，w r ，q ”，( 甌。，q 2 ) l “d ) 。 4 ) 解簽密洳s 忉c ，) ( 彤陽(yáng)舢，盯，s k 。) 一m 上 令y = 以u(píng) q ，t = w ru n ”。擁有屬性子集的用戶接收到簽密密文仃后 首先用自己相應(yīng)的私鑰和發(fā)送者的公鑰恢復(fù)會(huì)話密鑰。由中間值 后= p ( 嘭a ，j 。v , t ( o ) ，尺)p ( 嘭，。，尺) p ( 血療 ，d垂( 蒜廠 可以計(jì)算會(huì)話密鑰七= 衛(wèi)( 七) ，進(jìn)而解密消息m = d e k ( c ) ；然后驗(yàn)證1 1 - ，( 所，r ， e ) 是否成立，若成立返回m ，否則返回上。 下面我們描述解簽密過(guò)程的正確性。解簽密過(guò)程中的k 實(shí)際上是由以下兩部 分組成的。 2 9 中山大學(xué)頌上學(xué)位論文 具有實(shí)體匿名性的簽密體制的研究 p ( 兀dd ”，r ) v = l e ( n d “，e ) n 州r ) “”兀d 啦；c ，日刖。) 哪，g 下“) = ! ! ；i 一：= ! ：i 一 n e ( 叱。，e ) 一伸兀dp ( 夕，丌d 吃( ) ) ，伯 兀dp ( 砂 ，日，( j ，) n j r j , g t ) “。) 一v = i 竹p ( ? ，阢( 工) r ) ，( o = e ( 9 2 ，g ) 叼o = z ：兀dp ( 霞t 川，“伊) 上面式子的計(jì)算利用了合數(shù)階雙線性群的推廣性質(zhì)，臣pe ( g ，g ) = l 。 垂( 赫廠屯( 筆器廠 矗降 v = l n 悼 w - if n 降 f l d 兀p ( g v = l 9 2 s q y ( 鼠( v ) ) ” ( 風(fēng)( ) ) g l ( ( j l l tg ) p ( w g “，h v ( 屯) ) p ( g ，h 。) g 羅，g ) p ( ( 風(fēng)( ) ) s n v r v + s v ，g ) p ( ( j | l 。) ，g ) p ( 妒g $ v9 h ，( f v ) ) p ( g ，h ) g 羅“，g ) p ( ( 風(fēng)。，、，x s n v r v + s v ，g ) e ( g v g s v9 h ，( l ) ) 2 凹川u ，g ) 刪，6 ， 廣 ，妻帆“o ) = e ( 9 2 ，g ) ”1 = e ( 9 2 ，g ) “ = z 由此我們可以得到正確的會(huì)話密鑰k = ( z 件) ，進(jìn)而可以正確地解密消息， 并進(jìn)行完整性驗(yàn)證。 方案i 中，簽密過(guò)程的傳輸成本由方案i i 的3 d 成功地降到了2 d ，計(jì)算復(fù)雜 度也得到了改善，尤其是解簽密過(guò)程，由5 d 次雙線性對(duì)運(yùn)算改進(jìn)到3 d + 2 次。 4 3 性能分析 這里將“先簽名后加密”式方案( 見(jiàn)附錄1 ) 與方案i 、方案i i 和方案i 的性 能進(jìn)行比較，主要從傳輸成本和計(jì)算復(fù)雜度兩個(gè)方面進(jìn)行考慮，其結(jié)果如表l 所 示。 表1 各種簽密方案的性能 方案方案0 方案i 方案方案 傳輸成本 ( 彳舟州g ，l + i m l +( 4 丹2 ) i g 州+ i m i +( 3 舟2 ) ig ，i + i ，圳+( 2 舟3 ) i g ，i + | 所i + 削p i塒p l豺例 甜惻 計(jì) 簽 ( 6 d + 2 ) e x p +( 6 d + 2 ) e x p + ( 4 d + 3 ) e x p +4 d + 3 ) e x p + 算 密 ( 2 d + 2 ) h a s h + ( 2 d + 2 ) h a s h + ( 2 d + 2 ) h a s h +( 2 d + 2 ) h a s h + | e n c1 e n ci e n c i e n c 復(fù) 雜 解 5 dp a i r i n 酚5 dp 口i n n g +s dp d i n n g + ( 3 d + 2 ) p a i 一，妒 度 簽 ( d + 2 ) h a s h +( 抖2 m k s j | i + ( 打2 ) 脅5 j i l + ( d 牛2 ) f a s + 密 2 e x p + l d e c2 e x p + 1 d e c 2 e x p + 1 d e c 3 de x p + l d e c 在表1 中，e x p 表示模指數(shù)運(yùn)算，h a s h 表示計(jì)算哈希值運(yùn)算，e n c 和d e c 分別表示對(duì)稱加密和解密，p a i r i n g 表示雙線性對(duì)運(yùn)算；傳輸成本以比特?cái)?shù)衡量。 因?yàn)槌朔ㄟ\(yùn)算和加法運(yùn)算復(fù)雜度都遠(yuǎn)低于模指數(shù)運(yùn)算，所以這里沒(méi)有給出它們的 計(jì)算次數(shù)。 由此可以看出，方案i 在傳輸成本上比方案0 還多出了1 個(gè)ig i ，但它是我 們構(gòu)造的第一個(gè)可證明安全的簽密方案，而方案和方案i 在傳輸成本上節(jié)省 了很多，方案i i 由4 d 改進(jìn)到3 d ，方案i 則改進(jìn)到2 d ：在計(jì)算復(fù)雜度方面，方 案i 的簽密過(guò)程與方案0 一樣( 這里考慮了預(yù)計(jì)算：私鑰。和d i ：! _ t 可以提前計(jì) 算出來(lái)) ，而方案i i 和方案i i i 在計(jì)算復(fù)雜度方面更有優(yōu)勢(shì)，在簽密過(guò)程由方案 i 中的6 d + 2 次模指數(shù)運(yùn)算改進(jìn)到了4 d + 2 ；在解簽密過(guò)程，方案i 也與先簽名 后加密方案相同，而方案i 利用了合數(shù)階雙線性群的技術(shù)，雙線性對(duì)運(yùn)算由方 案i 的5 d 次改進(jìn)到3 d + 2 次雙線性對(duì)運(yùn)算。由此可見(jiàn)，方案i i 和方案i 是基于 屬性的更為高效的簽密方案。 4 4 基于屬性的簽密方案的應(yīng)用 基于屬性的簽密方案具有廣闊的應(yīng)用前景，這里試舉兩例。 r i v e s t 等人提出的環(huán)簽名【5 l j 是一個(gè)很經(jīng)典的應(yīng)用。在傳統(tǒng)的環(huán)簽名中，簽名 者對(duì)一個(gè)消息進(jìn)行簽名并且聲稱自己是環(huán)中的匿名成員。利用基于屬性的簽密體 制的思想，我們可以很容易地對(duì)r i v e s t 提出的經(jīng)典例子進(jìn)行改造，實(shí)現(xiàn)類似的功 能。譬如，一個(gè)內(nèi)閣大臣b o b 想向記者舉報(bào)首相( 即他的上級(jí)領(lǐng)導(dǎo)) 的丑聞， 他想在保護(hù)自己不被指認(rèn)出來(lái)的情況下讓記者確信這個(gè)舉報(bào)消息來(lái)源于內(nèi)閣成 3 1 l | i 山大學(xué)碩上學(xué)位論文具彳| 實(shí)體匿私性的簽密體制的研究 員，具有權(quán)威性。那么，b o b 就可以用內(nèi)閣成員的屬性對(duì)應(yīng)的私鑰對(duì)舉報(bào)消息進(jìn) 行簽名，再用記者的屬性對(duì)消息加密，把簽密結(jié)果發(fā)給記者。這樣，記者就可以 用自己相應(yīng)的私鑰解密密文，并能確信這是來(lái)自內(nèi)閣成員的消息。當(dāng)然，記者不 能確定是哪位內(nèi)閣成員發(fā)來(lái)的消息。因此，舉報(bào)人的身份得到了保護(hù)?？梢?jiàn)，環(huán) 簽名的應(yīng)用環(huán)境都可以用基于屬性的簽密來(lái)完成。 g o y a l 等人提出的目標(biāo)廣播【1 5 】也可以成為基于屬性的簽密方案的應(yīng)用環(huán)境。 在文獻(xiàn) 1 5 】中的目標(biāo)廣播，商家需要廣播加密的數(shù)字電視節(jié)目。我們可以將這些 加密的節(jié)目與一個(gè)屬性集合關(guān)聯(lián)起來(lái)，這個(gè)屬性集合中的屬性可以是節(jié)目名、節(jié) 目類型、序號(hào)、節(jié)目播放的日期、制作公司名字等。然后，每個(gè)用戶可以訂購(gòu)不 同的數(shù)據(jù)包，而這個(gè)數(shù)據(jù)包也與某個(gè)屬性集合關(guān)聯(lián)。用戶可以用這個(gè)屬性集合相 對(duì)應(yīng)的私鑰對(duì)廣播的信息解密得到相應(yīng)的節(jié)目資源。然而，這個(gè)方案只保障了商 家的利益，因?yàn)槿绻卸嗉夜就瑫r(shí)提供類似的節(jié)目資源時(shí)，就會(huì)出現(xiàn)糾紛。由 于本文提出的基于屬性的簽密方案在邏輯上同時(shí)實(shí)現(xiàn)數(shù)據(jù)的保密性和認(rèn)證性，那 么數(shù)據(jù)保密性可以保障商家的利益，而認(rèn)證性可以保障用戶的利益，同時(shí)還具有 目標(biāo)廣播的功能。 3 2 第五章結(jié)束語(yǔ) s a h a i 和w a t e r s 提出的基于屬性的密碼體制的思想可以擴(kuò)展到簽密領(lǐng)域。此 前，文獻(xiàn)【1 6 】和【1 7 】對(duì)此進(jìn)行過(guò)初步的研究，但是研究發(fā)現(xiàn)，前者不能實(shí)現(xiàn)保密 性，存在消息泄密的缺陷；后者不能實(shí)現(xiàn)認(rèn)證性，不能向第三方證明密文確實(shí)是 由簽名者發(fā)送的。為此，本文提出了一個(gè)新的可證明安全的基于屬性的簽密方案。 本文的主要研究結(jié)果有： 1 ) 給出了可證明安全的基于屬性的簽密方案形式化定義和安全模型，提出 了一個(gè)具體的簽密方案，在隨機(jī)預(yù)言機(jī)模型下對(duì)保密性、不可偽造性和實(shí)體匿名 性進(jìn)行了嚴(yán)謹(jǐn)?shù)淖C明； 2 ) 進(jìn)一步提出了兩個(gè)高效的基于屬性的簽密方案，對(duì)它們的應(yīng)用前景也進(jìn) 行了初步的探討。與“先簽名后加密”方案的性能比較表明，這兩個(gè)方案在效率 上得到了明顯提高。 由于基于屬性的密碼體制是一個(gè)新的密碼范疇，我們基于屬性的簽密體制的 研究也還只是初步的，在以下幾個(gè)方面還可以繼續(xù)進(jìn)行深入的研究。 1 ) 本文提出的第一個(gè)可證明安全的基于屬