孫瑾，胡予濮

(1.西安電子科技大學(xué) 計(jì)算機(jī)網(wǎng)絡(luò)與信息安全重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071;2.西安理工大學(xué) 理學(xué)院，陜西 西安710054)

信息安全研究的一個(gè)重要目標(biāo)就是使消息既保密又認(rèn)證的傳輸，能實(shí)現(xiàn)這一目標(biāo)的傳統(tǒng)方法是“先簽名后加密”，它所需的代價(jià)是簽名和加密的代價(jià)之和，因而效率很低.為了提高效率，Zheng［1］于1997年首先提出簽密的概念，它能夠在一個(gè)邏輯步驟內(nèi)同時(shí)完成簽名和加密兩項(xiàng)功能，而又保持較低的計(jì)算成本與通信成本.2002年，An等系統(tǒng)地研究了簽密方案的性質(zhì)［2］，同年Malone-Lee［3］定義了基于身份的簽密方案的安全模型，并利用雙線性對(duì)構(gòu)造了第一個(gè)基于身份的簽密方案，Malone-Lee的模型能處理消息的保密性和簽名的不可偽造性，隨后一系列的基于身份的簽密方案［4-5］相繼被提出.

廣播加密的概念最先由Fiat和Naor提出［6］，它應(yīng)用于將密文發(fā)給一組用戶的場(chǎng)合.在廣播加密系統(tǒng)中，其核心思想是廣播者將消息加密通過(guò)廣播方式發(fā)送給大量用戶，其中只有擁有授權(quán)的合法用戶才可以解密并獲得真實(shí)信息.目前，這種加密方式已成為密碼學(xué)的一個(gè)新研究熱點(diǎn).國(guó)內(nèi)外學(xué)者紛紛涉獵于此，很多具有特殊用途的廣播加密方案也相繼被提出［7-11］.但是，這些方案存在明顯的不足，比如，基于的困難太強(qiáng)，僅具有Selective-ID安全性或安全性依賴于隨機(jī)預(yù)言機(jī)模型等，而此處方法的眾多，正表明大家沒有形成統(tǒng)一的認(rèn)識(shí).無(wú)證書密碼系統(tǒng)是介于身份型公鑰密碼和傳統(tǒng)公鑰密碼之間的中間產(chǎn)物，繼承了二者的優(yōu)點(diǎn)而摒棄了它們的不足.在無(wú)證書公鑰密碼體制中，需要可信機(jī)構(gòu)KGC來(lái)完成系統(tǒng)參數(shù)的初始化協(xié)議，并利用系統(tǒng)主密鑰和實(shí)體用戶的身份信息生成用戶的部分私鑰，然后，用戶利用自己選取的秘密信息值與部分密鑰計(jì)算生成自己的完全私鑰，同時(shí)利用秘密信息值與KGC產(chǎn)生的系統(tǒng)參數(shù)計(jì)算生成自己的公鑰.所以負(fù)責(zé)密鑰生成的可信機(jī)構(gòu)KGC僅知道用戶的部分密鑰，卻不能以用戶的名義來(lái)生成對(duì)消息的數(shù)字簽名，由此避免了基于身份的密碼體制中的密鑰托管問題.2008年，Barbosa提出了第一個(gè)基于雙線性對(duì)的無(wú)證書簽密方案［13］，然而，此方案的安全性僅建立在隨機(jī)喻言模型下，不能達(dá)到可證明安全的要求.

針對(duì)上述問題，提出一種新的無(wú)證書的廣播簽密方案.該方案建立在標(biāo)準(zhǔn)模型下，針對(duì)“惡意但被動(dòng)”的KGC攻擊，引入了能抵抗惡意但被動(dòng)的KGC攻擊的無(wú)證書廣播簽密的形式化安全模型，并同時(shí)提出了新的無(wú)證書廣播簽密方案.我們的方案依賴于DBDH假設(shè)可以證明是IDN-CCA2安全的，同時(shí)依賴于CDH假設(shè)是EUF-CMA安全的，具有較高的安全性和實(shí)用性.

1 預(yù)備知識(shí)

1.1 雙線性映射

設(shè)G、GT是2個(gè)素?cái)?shù)p階的循環(huán)乘法群，g是G的生成元，a、b是中的元素.雙線性映射e(*，*)是G×G→GT并滿足以下性質(zhì):

1)雙線性性:?g，h∈G，e(ga，hb)=e(g，h)ab.

2)非退化性:?g，h∈G，使得e(g，h)≠1.

3)可計(jì)算性:?g，h∈G存在有效算法計(jì)算e(g，h).

雙線性對(duì)可以通過(guò)有限域上的超奇異橢圓曲線或超奇異超橢圓曲線中的Weil對(duì)或Tate對(duì)推導(dǎo)出來(lái)［14］.

1.2 困難性問題

1.2.1 計(jì)算性Diffie-Hellman問題(CDH)

定義1(CDH問題)給定(g，ga，gb)∈G3計(jì)算gab∈G，其中a、b∈Zp*是未知的整數(shù).

算法C解決CDH問題的優(yōu)勢(shì)至少是ε，定義為

其中概率的計(jì)算是基于a，b∈Zp*上的隨機(jī)選取以及算法C的隨機(jī)選取.

定義2(CDH困難假設(shè))如果不存在時(shí)間t算法C以至少ε的優(yōu)勢(shì)解決CDH問題，則稱(ε，t)－ CDH困難假設(shè)成立.

1.2.2 判定性雙線性Diffie-Hellman問題(DBDH)

定義3(DBDH問題)給定(g，ga，gb，gc)以及z∈GT，判斷z=e(g，g)abc是否成立，其中a，b，c∈是未知的整數(shù).

算法C解決DBDH問題的優(yōu)勢(shì)至少是ε，定義為:

其中，概率的計(jì)算是基于a，b，c，z∈Zp*上的隨機(jī)選取以及算法C的隨機(jī)選取.

定義4(DBDH困難假設(shè))如果不存在時(shí)間t算法C以至少ε的優(yōu)勢(shì)解決DBDH問題，則稱(ε，t)－DBDH困難假設(shè)成立.

1.3 廣播簽密的形式化定義及其安全模型

一個(gè)無(wú)證書廣播簽密方案由以下幾個(gè)算法組成:

1)系統(tǒng)建立:輸入安全參數(shù)λ，輸出系統(tǒng)參數(shù)params和KGC的主私鑰msk.

2)部分私鑰提取:輸入系統(tǒng)參數(shù)params、主私鑰msk及用戶身份ID∈{0，1}n，輸出相應(yīng)用戶的部分私鑰dID，并通過(guò)安全通道廣播給用戶.

3)私鑰提取:輸入系統(tǒng)參數(shù)params、用戶的身份IDi∈{0，1}n，該用戶隨機(jī)選擇一個(gè)秘密值x，和自己的部分私鑰dID，輸出相應(yīng)的公鑰pki及完整私鑰ski.注意，此算法一旦被用戶執(zhí)行，生成的公鑰將不會(huì)被證書認(rèn)證，但是很容易區(qū)分于病態(tài)的公鑰.

4)簽密:輸入系統(tǒng)參數(shù)params、消息M、發(fā)送者的身份IDS及其公/私鑰對(duì)(pkS，skS)，接收者的身份集合{IDR}，其中R={R1，R2，…，Rh}及其公鑰PKRi，輸出密文σ或者無(wú)效符號(hào)⊥.

5)解簽密:設(shè)接收者IDi是誠(chéng)實(shí)用戶，其私鑰是SKRi，輸入系統(tǒng)參數(shù)params、密文σ、發(fā)送者身份IDS及其公鑰PKS，接收者私鑰SKRi，輸出明文M或者無(wú)效符號(hào).

1.4 廣播簽密的安全性模型

下面考慮惡意但被動(dòng)KGC攻擊，給出抵抗“惡意但被動(dòng)”的無(wú)證書廣播簽密方案的安全模型.

文獻(xiàn)［13］中定義了無(wú)證書簽密方案安全模型，考慮了2種不同類型的敵手，其中TypeⅡ攻擊者AⅡ可以看作“內(nèi)部”敵手，他擁有主私鑰，能夠獲取用戶的完全私鑰，做簽密質(zhì)詢和解簽密質(zhì)詢，但是不能替換用戶的公鑰.而基于Type II敵手的安全定義僅包含“誠(chéng)實(shí)但好奇”的KGC.“惡意但被動(dòng)”的KGC在系統(tǒng)參數(shù)中嵌入額外的陷門能夠解密密文或者偽造簽名.因此，建立一個(gè)更強(qiáng)的安全模型來(lái)捕獲“惡意但被動(dòng)”的KGC的攻擊是有必要的.考慮到模擬環(huán)境與實(shí)際環(huán)境的差別，為了模擬“惡意但被動(dòng)”的KGC攻擊，此處采取Au等［17］的改進(jìn)方法，允許Type II敵手(不是模擬器)來(lái)產(chǎn)生所有的系統(tǒng)參數(shù)和主私鑰.

1.4.1 機(jī)密性

無(wú)證書廣播簽密方案的機(jī)密性即適應(yīng)性選擇密文攻擊下的密文不可區(qū)分性，游戲在Type II敵手和挑戰(zhàn)者B之間進(jìn)行，算法如下:

1)初始化:AⅡ執(zhí)行Setup算法，獲取主私鑰msk和系統(tǒng)參數(shù)params，然后發(fā)送msk和params給B.注意AⅡ自己選擇產(chǎn)生msk和params.

2)階段1:敵手AⅡ適應(yīng)性提出質(zhì)詢q1，q2，…，qn0，每次質(zhì)詢依賴于以前詢問的結(jié)果.AⅡ不能替換公鑰，但是能使用主私鑰計(jì)算任何身份的部分私鑰.第i次詢問qi的詳細(xì)描述如下:

①公鑰獲取質(zhì)詢:當(dāng)AⅡ詢問用戶ID的公鑰，算法B返回與身份ID相關(guān)的公鑰pkID.

②私鑰質(zhì)詢:AⅡ向B提交身份ID的完全私鑰質(zhì)詢，挑戰(zhàn)者B返回相應(yīng)的私鑰skID.

③簽密質(zhì)詢:當(dāng)AⅡ提交發(fā)送者身份IDS，接收者身份集合IDR和消息M的簽密質(zhì)詢.B對(duì)消息M，發(fā)送者的私鑰skS和接收者的公鑰pkR運(yùn)行簽密算法，并返回所得到的密文σ.

④解簽密質(zhì)詢:當(dāng)AⅡ提交密文σ，發(fā)送者身份IDS，接收者身份IDR的解簽密質(zhì)詢，對(duì)密文σ，接收者的私鑰skR和發(fā)送者的公鑰pkS運(yùn)行解簽密算法，并返回相應(yīng)的結(jié)果.

3)挑戰(zhàn):當(dāng)敵手AⅡ決定階段1結(jié)束時(shí)，選擇2個(gè)不同的身份{IDS，IDR}和2個(gè)等長(zhǎng)的消息{M0，M1}，然后挑戰(zhàn)者隨機(jī)選取 γ，計(jì)算 σ*=Signcryp (tparams，Mγ，skS，IDR，pkR*)，并把σ*發(fā)送給敵手AⅡ.

4)階段2:敵手繼續(xù)進(jìn)行質(zhì)詢qn0+1，…，qn，每一次詢問類似于階段1.

5)猜測(cè):最后，敵手要輸出猜測(cè)γ'.當(dāng)γ=γ'時(shí)并滿足以下條件，則宣布敵手在游戲中獲勝:

①AⅡ在任何階段不能詢問挑戰(zhàn)者身份的私鑰.

②在第2階段，AⅡ不能詢問挑戰(zhàn)密文σ*在身份和公鑰pkR*下的解簽密結(jié)果.

定義AⅡ的優(yōu)勢(shì)是:其中Pγ［γ'=γ］表示γ'=γ的概率.

定義5 若不存在時(shí)間t敵手AⅡ，做至多q次公鑰質(zhì)詢，qp次私鑰質(zhì)詢，qs次簽密質(zhì)詢，qu次解簽密質(zhì)詢，以至少ε的優(yōu)勢(shì)贏得上面的游戲，則稱一個(gè)無(wú)證書廣播簽密方案是(ε，t，q，0，0，qp，qs，qu)-選擇密文攻擊安全的.

1.4.2 不可偽造性

下面的游戲在AⅡ與挑戰(zhàn)者B之間進(jìn)行，來(lái)證明無(wú)證書廣播簽密方案的不可偽造性，即適應(yīng)性選擇消息攻擊下的存在不可偽造性.交互游戲如下:

1)初始化:AⅡ執(zhí)行Setup算法，獲取主私鑰msk和系統(tǒng)參數(shù)params，然后發(fā)送msk和params給B.注意AⅡ自己選擇產(chǎn)生msk和params.

2)質(zhì)詢:AⅡ可以進(jìn)行多項(xiàng)式有界次適應(yīng)性質(zhì)詢，包括公鑰獲取質(zhì)詢、私鑰提取質(zhì)詢、簽密和解簽密質(zhì)詢.

3)輸出:最后 AⅡ輸出新的元組(σ*，ID*S，ID*R)，這個(gè)密文不是由簽密詢問產(chǎn)生的，敵手AⅡ贏得上述游戲，如果解簽密(σ*，ID*S，pkS*，skR*)的結(jié)果不是符號(hào)，且沒有詢問IDS*的私鑰.

敵手AⅡ成功的概率SuccAⅡ定義為他贏得上述游戲的概率.

定義6 若不存在時(shí)間t敵手AⅡ，做至多q次公鑰質(zhì)詢，qp次私鑰質(zhì)詢，qs次簽密質(zhì)詢，qu次解簽密質(zhì)詢，以至少ε的優(yōu)勢(shì)贏得上面的游戲，則稱一個(gè)無(wú)證書廣播簽密方案是(ε，t，q，0，0，qp，qs，qu)－不可偽造的.

上面的安全模型定義考慮了內(nèi)部安全［2］，因?yàn)樵试S敵手訪問消息接收者的私鑰.即使接收者的私鑰泄露了，機(jī)密性和不可偽造性仍然可以得到保證.

2 新的無(wú)證書廣播加密方案

2.1 方案構(gòu)造

依據(jù)文獻(xiàn)［13］和［16］，提出一種新的標(biāo)準(zhǔn)模型下抵抗“惡意但被動(dòng)”攻擊者的身份型廣播簽密方案.方案涉及三方:KGC，發(fā)送者IDS，接收者IDR.設(shè)身份ID∈{0，1}n，具體算法如下:

1)系統(tǒng)建立:設(shè)循環(huán)群(G，GT)，其中|G|= |GT|=p，p是一個(gè)大素?cái)?shù)，g是G的生成元.雙線性映射e:G×G→GT，目標(biāo)抗碰撞Hash函數(shù)H:{0，1}*→{0，1}m.PKG隨機(jī)選取α∈Zp并計(jì)算g1= gα，繼續(xù)選取g2，u'、v'∈G和向量U=(ui)n，V= (vj)m.其中uiv、j(i=1，2，…，n;j=1，2，…，m)從G中隨機(jī)選取.則公共參數(shù)為PK=(g，g1，g2，u'，v'，U，V，H)，主密鑰為

2)密鑰提取:令S［i］表示身份IDS的第i個(gè)比特，KGC隨機(jī)選取rS、rR∈Zp，并計(jì)算 dS=(dS，1，分別作為發(fā)送者IDS和接收者IDR的部分私鑰;而后任意用戶IDk隨機(jī)選取x，r'∈Zp再計(jì)算其公鑰PKk=e(g1，g2)x和完全私鑰)，其中t=rkx+r'.

3)簽密:發(fā)送者IDS為了發(fā)送消息M∈GT給IDR，其中 R={R1，R2，…，Rh}，其公鑰為 PKk= e(g1，g2)xk.發(fā)送者隨機(jī)選取，執(zhí)行以下步驟計(jì)算:

④置σ4=SKS，2.

⑤計(jì)算m=H(σ1，k，σ2，σ3，k，σ4，R，PKk)∈{0，1}m.其中m［j］表示m的第j個(gè)比特.

⑦最后輸出密文σ=(σ1，k，σ2，σ3k，σ4，σ5)，k =1，2，…，h.

4)解簽密:收到密文σ=(σ1，k，σ2，σ3k，σ4，σ5)后，接受者IDRi解簽密過(guò)程如下:

2.2 正確性

設(shè)σ=(σ1，k，σ2，σ3k，σ4，σ5)是合法的密文，則有

2.3 有效性

在本廣播簽密方案中，加密算法不需要雙線性對(duì)運(yùn)算，其中e(g1，g2)可以預(yù)計(jì)算;解密算法中先驗(yàn)證密文是否有效，合法后返回解密明文，需要5個(gè)雙線性對(duì)運(yùn)算和群G上至多n+m+2h+2次乘法運(yùn)算.雖然本方案在密文長(zhǎng)度所增加，驗(yàn)證時(shí)增加了兩個(gè)雙線性對(duì)運(yùn)算，但是卻能夠抵抗惡意但被動(dòng)的KGC攻擊，同時(shí)依賴于DBDH假設(shè)可以證明是IDNCCA2安全的，同時(shí)依賴于CDH假設(shè)是EUF-CMA安全的，具有較高的安全性和實(shí)用性.

3 方案的安全性證明

證明新的身份型廣播簽密方案依賴于DBDH假設(shè)下是IDN-CCA2安全的，同時(shí)依賴于CDH假設(shè)下是EUF-CMA安全的.

定理1 令A(yù)dvhash－tcrA，H(k)表示敵手AⅡ攻擊目標(biāo)抗碰撞Hash函數(shù)H的優(yōu)勢(shì).在標(biāo)準(zhǔn)模型下，若(ε'，t')－DBDH困難性假設(shè)成立，則本方案是(ε，t，q，0，0，qp，qs，qu)－選擇密文安全的，其中

其中，tm、te和tp表示群上計(jì)算一次乘法運(yùn)算、一次指數(shù)運(yùn)算和進(jìn)行一次雙線性對(duì)運(yùn)算所需要的時(shí)間.

證明 假設(shè)存在(ε，t，q，0，0，qp，qs，qu)－惡意但被動(dòng)敵手AⅡ能夠攻擊本廣播簽密方案，則利用AⅡ，可以構(gòu)造一個(gè)算法B在時(shí)間t'內(nèi)以至少ε'的優(yōu)勢(shì)解決DBDH問題.這與(ε'，t')－DBDH困難性假設(shè)矛盾.

假設(shè)B已經(jīng)獲得一個(gè)群系統(tǒng)和一個(gè)DBDH數(shù)組(g，A=ga，B=gb，C=gc，Z∈GT)，要求B輸出一個(gè)猜測(cè)β'∈{0，1}，如果B輸出0，則T=e(g，g)abc，否則輸出1，游戲結(jié)束.為了讓AⅡ解決這個(gè)問題，設(shè)B維護(hù)一個(gè)數(shù)據(jù)庫(kù)DB={IDk，dk，xk，pkk，skk，sta= 0}，初始值設(shè)置為空.交互游戲運(yùn)行如下:

1)初始化:令α1=2(qp+qs+qu)和α2=2qu.敵手AⅡ隨機(jī)選擇一個(gè)整數(shù)α∈Zp作為主私鑰，計(jì)算g1=gα，另外，AⅡ隨機(jī)選擇整數(shù)l1，l2，x'，y'，z'，w'其中0≤l1≤n，0≤l2≤m，x'∈Zα11，z'∈Zα2，y'，w'∈Zp，再隨機(jī)選擇向量X=(xi)n，Y=(yi)n，Z=(zj)m，W=(wj)m，其中 xi∈Zα1，zj∈Zα2，yi、j∈Zp.簡(jiǎn)便起見，對(duì)于IDk和消息m定義函數(shù)

則公開參數(shù)為params=(g1，g2，u'，v'，ui，vj)，主密鑰=gab.其中

于是，對(duì)于任意的身份IDk和消息m，都滿足然后，敵手AⅡ發(fā)送所有系統(tǒng)參數(shù)和主私鑰α給B.

2)階段1:敵手AⅡ自己能夠計(jì)算的部分私鑰，進(jìn)行以下質(zhì)詢:

①公鑰獲取質(zhì)詢.當(dāng)AⅡ詢問身份IDk的公鑰時(shí)，如果數(shù)據(jù)庫(kù)DB包含相應(yīng)的元素，B直接返回其公鑰pkk.否則B先執(zhí)行密鑰生成算法獲取秘密值/公鑰對(duì)(xk，pkk)，其中pkk=e(B，Aα)XK.B存儲(chǔ)這對(duì)密鑰，并返回公鑰pkk.

②私鑰提取質(zhì)詢.當(dāng)AⅡ提交身份IDK時(shí)，如果數(shù)據(jù)庫(kù)DB包含相應(yīng)的元素，B直接返回其公鑰skk.否則 B盡力模擬身份IDk的有效私鑰.若 F (IDk)=0modp則B停止游戲并輸出⊥，否則B能模擬出合法私鑰如下:隨機(jī)選取ru∈Zp計(jì)算:

③簽密質(zhì)詢.當(dāng)AⅡ提交一個(gè)明文M∈GT，發(fā)送者身份IDS和接收者身份IDR的集合(R={R1，R2，…，Rh})，詢問M的簽密密文時(shí)，B查詢數(shù)據(jù)庫(kù)DB，收集到接收者身份IDR的公鑰pkR和發(fā)送者身份IDS的私鑰skS，然后執(zhí)行簽密算法得到密文 σ= (σ1，k，σ2，σ3，k，σ4，σ5)，最后返回密文給敵手AⅡ.若B不能模擬發(fā)送者IDS的私鑰skS，B放棄游戲并返回β的一個(gè)隨機(jī)猜測(cè)β'.

④解簽密質(zhì)詢.當(dāng)AⅡ提交密文σ，發(fā)送者身份IPS和接收者身份IDR及其公鑰pkR=e(B，Aα)XR，B首先解簽密算法的驗(yàn)證部分.若不滿足則拒絕解密并返回，否則B查詢數(shù)據(jù)庫(kù)解簽密如下:

①若F(R)≠0modp，B執(zhí)行密鑰提取詢問獲得skR，然后運(yùn)行解密算法并返回明文.

②若F(R)=0modp，B盡力解密密文.假設(shè)K(m)≠0modα2，B查詢數(shù)據(jù)庫(kù)DB恢復(fù)公鑰pkR=e (B，Aα)xR的秘密值xR，并獲取IDS的私鑰skS.對(duì)于某個(gè)rm∈Zp，由σ2=grm和m=H(σ1，k，σ2，σ3，k，σ4，R，PKk)∈{0，1}m.B能提取從而計(jì)算出e(AαxR，并輸出

若K(m)=0 mod α2，B停止游戲并返回β的一個(gè)隨機(jī)猜測(cè)β'.

3)挑戰(zhàn):當(dāng)AⅡ決定階段1結(jié)束時(shí)，提交2個(gè)不同的身份{IDS，IDR}及{M0，M1}，然后挑戰(zhàn)者B隨機(jī)選取γ∈{0，1}，構(gòu)造Mγ的簽密密文如下:令pkR*=e(B，Aα)xR*和 pkS*=e(B，Aα)xS分別表示IDS*和IDR*的當(dāng)前公鑰.B恢復(fù)秘密值xS*，xR*.如果F(R*)≠0modα1，則挑戰(zhàn)者停止游戲.否則，B設(shè)置，選擇一個(gè)隨機(jī)數(shù)tS*∈Zp，并計(jì)算令，其中mγ［j］表示mγ的第j個(gè)比特.若K(mγ)≠0modp，B停止游戲并作出猜測(cè)b∈{0，1}.否則計(jì)算，隨后返回密文

4)階段2:敵手AⅡ繼續(xù)進(jìn)行類似階段1的詢問，唯一的限制是不能對(duì)IDS*和IDR*進(jìn)行解簽密質(zhì)詢.

5)猜測(cè):AⅡ要輸出猜測(cè)b'=(0，1)，當(dāng)且僅當(dāng)b'=b時(shí)，贏得游戲.

如果AⅡ能夠贏得游戲，則說(shuō)明算法B可以成功的解決(ε'，t')－DBDH困難性問題［10］，其優(yōu)勢(shì)為

而時(shí)間復(fù)雜度為

式中:tm、te和tp表示群上計(jì)算一次乘法運(yùn)算、一次指數(shù)運(yùn)算和進(jìn)行一次雙線性對(duì)運(yùn)算所需要的時(shí)間.

證明 假設(shè)存在一個(gè)EUF－CLSC－CCA2偽造者AⅡ能夠在t'時(shí)間內(nèi)，以ε'的優(yōu)勢(shì)贏得定義6的游戲.我們能夠構(gòu)造一個(gè)模擬器B，利用AⅡ作為子程序來(lái)解決CDH困難問題.

設(shè)B接收到一個(gè)CDH問題的實(shí)例(g，ga，gb)∈，他的目標(biāo)是計(jì)算出.為了使用解決這個(gè)問題，B需要模擬一個(gè)挑戰(zhàn)者，回答AⅡ的所有詢問.

1)初始化:類似定理1，AⅡ指派一系列的系統(tǒng)參數(shù)和主私鑰α，然后發(fā)送給挑戰(zhàn)者.

2)質(zhì)詢:AⅡ可以進(jìn)行多項(xiàng)式有界次詢問，包括公鑰獲取詢問、私鑰提取詢問、簽密詢問和解簽密詢問，挑戰(zhàn)者B回答AⅡ的方式類似定理1.

3)輸出:若AⅡ不放棄游戲，敵手AⅡ?qū)⒎祷匾粋€(gè)新的密文，其中Hash值消息1}m，沒有被簽密詢問過(guò)，身份IDR*，IDS*的公鑰分別是pkR*=e(B，Aα)xR*和pkS*=e(B，Aα)xS.B恢復(fù)秘密值xS*滿足pkS*=e(B，Aα)xS*.若F(S*)≠0modp或者K(m*)≠0modp，則B放棄游戲.否則，F(xiàn)(S*)=0modp和K(m*)=0modp，B計(jì)算

因?yàn)锽知道秘密值xS*和主私鑰α，所以他能輸出gab作為給定CDH問題實(shí)例的解.

4 結(jié)束語(yǔ)

現(xiàn)有的無(wú)證書簽密方案，雖然效率上有所改進(jìn)，但仍然存在一些缺陷，如:用戶之間僅能進(jìn)行一對(duì)一簽密和解簽密，基于的困難問題太強(qiáng)，僅達(dá)到Selective-ID安全性，選擇明文安全的，或建立在隨機(jī)預(yù)言機(jī)模型下;針對(duì)以上問題，在標(biāo)準(zhǔn)模型下，提出一種無(wú)證書廣播簽密方案.方案中可信機(jī)構(gòu)KGC僅知道用戶的部分密鑰，卻不能以用戶的名義來(lái)生成對(duì)消息的數(shù)字簽名，由此避免了基于身份的密碼體制中的密鑰托管問題.同時(shí)針對(duì)“惡意但被動(dòng)”的KGC攻擊，該方案引入了能抵抗惡意但被動(dòng)的KGC攻擊的無(wú)證書廣播簽密的形式化安全模型，并給出了具體的無(wú)證書廣播簽密方案.方案依賴于DBDH假設(shè)可以證明是IDN-CCA2安全的，同時(shí)同時(shí)依賴于CDH假設(shè)是EUF-CMA安全的，具有較高的安全性和實(shí)用性.

［1］ZHENG Y.Digital signcryption or how to achieve cost(signature or encryption)cost(signature)+cost(encryption)［J］.LNCS.1294，1997:291-312.

［2］AN J H，DODIS Y，RABIN T.On the security of joint signture and encryption［C］//Advances in cryptology Eurocrypt 2002.Berlin:Springer-Verlag，2002:83-107.

［3］MALONE-LEE J.Identity based signcryption［EB/OL］.［2002-7-19］.Cryptologry ePrint Archive，Report 2002/ 098.http://eprint.iacr.org/2002/098.

［4］CHEN L，MALONE-LEE J.Improved identity-based signcryp-tion［C］//Proc of the 8th Int Workshop on Theory and Practice in Public Key Cryptography 2005，LNCS 3386.Berlin:Springer-Verlag，2005:362-379.

［5］LIBERT B，QUISQUATER J.New identity based signcryption schemes from pairings［C］//Proceedings of the 2003 IEEE Information Theory Workshop.Pairs，F(xiàn)rance，2003:155-158.

［6］FIAT A，NAOR M.Boradcast eneryption［C］//Proceedings of the 13th annual international cryptology conference on Advances in cryptology.New York:Springer-Verlag，1993:480-491.

［7］ZHAN L Y，HU Y P，MU N B.An Identity-based broadcast encryption protocol for ad hoc networks［J］.The 9th Internation Conference for Young Computer Scienilsts，2009: 1619-1623.

［8］DELERABLEE C，PAILLIER P.Fully collusion secure dynamic broadcast encryption with constant-size ciphertexts or decryption keys［C］//Proceedings of the first International Conference on Pairing-based Cryptography.Tokyo，Japan，2007:39-59.

［9］BARBOSA M，F(xiàn)ARSHIM P.Efficient identity-based key encapsulation to multiple parties［C］//Proceedings of Cryptography and coding，［s.l.］，2005:428-441.

［10］DELERABLEE C.Identity-based broadcast encryption with constant size ciphertexts and private keys［C］// Proceedings of the Advances in Crypotology 13th International Conference on Theory and Application of Cryptology and Information Security.［s.l.］，2007:200-215.

［11］ASOKAN N，GINZBORG P.Key-agreement in ad hoc networks［J］.Computer Communication，2000，23(17):162 7-1637.

［12］AL-RIYAMI S S，PATERSON K G.Certificateless public key cryptography［C］//LAIH C S.International Association for Cryptologic Research，［s.l.］，2003:452-473.

［13］BARBOSA M，F(xiàn)ARSHIM P.Certificateless signcryption［C］//ASIACCS＇08.New York:ACM Press，2008:369-372.

［14］BONEH D，F(xiàn)RANKLIN M.Identity-based encryption from the Weil pairing［C］//Proceedings of the 21st Annual International Cryptology on Advanced in Cryption.London:Springer-Verlag，2001:213-229.

［15］CHEN A M，LIU J.Malicous KGC attacks in certificateless cryptography［C］//ASIACCS＇07.New York:ACM Press，2007:302-311.

［16］CRAMER R，SHOUP V.A practical public key cryptosystem provably secure against adaptive chosen ciphertext attack［C］ //Proc of the Advances in Cryptology-Crypto 1998.Berlin:Springer-Verlag，1998:13-25.