CN112528312A - 一种基于Cocks身份密码体制的签密方法及系统 - Google Patents

Abstract

本发明公开了一种基于Cocks身份密码体制的签密方法及系统。该方法包括参数的初始化、签密者的签密以及接收者的解签密，该签密方法采用改进Cocks身份密码体制，结合二次剩余问题构造签密方案，实现加密签名能在一个逻辑步骤完成的效果，而且本发明结合了数论中雅克比符号运算及模运算，基于雅克比符号运算及模运算的高效性，有效解决了现有技术中基于双线性对的签密方案计算效率不高的问题，并满足签密方案的保密性和不可伪造性。本发明的高效性与安全性可以为5G网络提供基础安全保障。

Description

一种基于Cocks身份密码体制的签密方法及系统

技术领域

本发明涉及信息安全的公钥密码领域，特别是涉及一种基于Cocks身份密码体制的签密方法及系统。

背景技术

在信息安全理论中，加密技术用来保证信息的保密性，签名技术可为消息的完整性和可认证性提供保障。在通信过程中，为了同时保证信息的保密性、完整性和可认证性，通常可先对消息签名，再对消息(包含签名)进行加密。但这种“先签名后加密”方法的代价是加密和签名的代价之和，效率较低。签密(Signcryption)的核心思想就是要求在一个合理的逻辑步骤内同时完成加密和签名的工作，从而降低计算量和通信成本。不同的签密方案也被广泛地应用于电子支付、移动代理安全等轻量级计算场景。

5G作为第五代移动通信网络，除了终端基本的安全需求外，增强型移动宽带(eMBB,enhance mobile broadband)场景的传输效率非常高，终端必须具备高速率的加解密能力。此外，eMBB场景涉及的敏感信息较多(如个人身份标识、地址信息等)，因此终端还需要重视用户隐私数据的保护，该种场景下就需要设计安全高效的密码算法和认证协议来确保其正常运行。因此，面对日趋尖锐复杂的网络空间安全竞争和不断进化的密码分析技术与攻击手段，签密方法的安全性和高效性受到了严峻的挑战。现有的基于身份的签密方法大多是由双线性对构造，在不牺牲安全性的前提下可使用较短的密钥，但其在签密过程中需要进行大量复杂的双线性对运算，造成了昂贵的计算开销，降低了签密、解签密速率。

发明内容

本发明的目的是提供一种基于Cocks身份密码体制的高效签密方法及系统。

为实现上述目的，本发明提供了如下方案：

一种基于Cocks身份密码体制的签密方法，包括：

步骤101：签密者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、签密者私钥、签密者公钥R₁以及接收者公钥R₂；其中，N＝pq，p,q为两个不同的素数，H₀、H₁、H₂、H₃为抗碰撞安全哈希函数，哈希函数H₀:{0,1}^*→J_N，哈希函数

哈希函数

哈希函数

λ为安全参数，λ₀为明文消息的长度，λ₁为第一预设参数，λ₂为第二预设参数，

Z_N＝{x|0≤x≤N,N∈Z}，

表示x对N的雅克比符号为1，μ为随机选择的模N的二次非剩余且μ∈J_N\QR_N；签密者私钥r₁根据

确定，其中，QR_N为模N的所有二次剩余组成的集合；签密者公钥R₁根据R₁＝H₀(ID₁)确定，其中，ID₁为签密者身份；接收者公钥R₂根据R₂＝H₀(ID₂)确定，其中，ID₂为接收者身份；

步骤102：签密者调用哈希函数H₁和哈希函数H₂，对待签密消息m进行哈希运算：令

ω←H₁(m||k₀)，

步骤103：签密者调用Cocks身份密码体制中的加密算法Encrypt，随机选择t∈Z_N，使得其满足

其中m′表示t对N的雅克比符号，并根据

计算c₀；

步骤104：如果|c₀|＞λ时，则密文c₀分为c₁，c₂两部分，其中，c₀＝c₁||c₂且|c₂|＝λ，如果c₁＝c₂，则返回步骤103中重新选择t并重新计算c₀；如果|c₀|≤λ，则令c₀＝c₁＝c₂；

步骤105：如果|c₀|＞λ，则令

如果|c₀|≤λ，则令

其中l表示在c₂前补0的个数；其中，如果s₁＞R₁，则s₁＝s₁-(12)^λ-1；

步骤106：签密者计算

步骤107：签密者向接收者发送关于m的签密σ＝(c₁,s₂)。

可选的，所述签密方法还包括：

步骤201：接收者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、接收者私钥、签密者公钥R₁以及接收者公钥R₂，其中，接收者私钥r₂根据

确定；

步骤202：将签密σ解析成σ＝(c₁,s₂)的形式；

步骤203：计算

步骤204：计算

如果c₁＝c₂，则c₀＝c₁＝c₂，否则有c₀＝c₁||c₂；

步骤205：调用Cocks身份密码体制中的解密算法Decrypt解出s：如果有(r₂)²≡H(ID₂)≡R₂modN，则令

并计算

否则令

并计算

步骤206：判断H₁(mk₀)是否等于ω，若是，输出消息m，若否，则计算

并执行步骤204、步骤205，之后，再次判断H₁(mk₀)是否等于ω，若是，输出消息m，若否，则认为消息不是来自诚实的发送者。

可选的，所述签密方法还包括：

调用Cocks身份密码体制中的初始化算法Setup(1^λ)与密钥生成算法KeyGen(PP,ID₁,ID₂)，其中，λ为安全参数，PP表示公共参数，ID₁表示签密者的身份，ID₂表示接收者的身份；

生成两个不同的素数p,q，计算N＝pq；

选择抗碰撞安全的哈希函数H₀:{0,1}^*→J_N、哈希函数

哈希函数

以及哈希函数H₃:{0,1}^*→{0,1}^λ；

随机选择模N的二次非剩余μ∈J_N\QR_N，发布公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}；

根据R_i＝H₀(ID_i),i＝1,2计算签密者公钥R₁以及接收者公钥R₂；

根据

计算签密者公钥r₁以及接收者公钥r₂。

本发明还提供了一种基于Cocks身份密码体制的签密系统，包括：

签密者参数获取模块，用于签密者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、签密者私钥、签密者公钥R₁以及接收者公钥R₂；其中，N＝pq，p,q为两个不同的素数，H₀、H₁、H₂、H₃为抗碰撞安全哈希函数，哈希函数H₀:{0,1}^*→J_N，哈希函数

哈希函数

哈希函数H₃:{0,1}^*→{0,1}^λ，λ为安全参数，λ₀为明文消息的长度，λ₁为第一预设参数，λ₂为第二预设参数，

Z_N＝{x|0≤x≤N,N∈Z}，

表示x对N的雅克比符号为1，μ为随机选择的模N的二次非剩余且μ∈J_N\QR_N；签密者私钥r₁根据

确定，其中，QR_N为模N的所有二次剩余组成的集合；签密者公钥R₁根据R₁＝H₀(ID₁)确定，其中，ID₁为签密者身份；接收者公钥R₂根据R₂＝H₀(ID₂)确定，其中，ID₂为接收者身份；

签密模块，用于签密者调用哈希函数H₁和哈希函数H₂，对待签密消息m进行哈希运算：令

ω←H₁(m||k₀)，

调用Cocks身份密码体制中的加密算法Encrypt，随机选择t∈Z_N，使得其满足

其中m′表示t对N的雅克比符号，并根据

计算c₀；如果|c₀|＞λ时，则密文c₀分为c₁，c₂两部分，其中，c₀＝c₁||c₂且|c₂|＝λ，如果c₁＝c₂，则重新选择t并重新计算c₀；如果|c₀|≤λ，则令c₀＝c₁＝c₂；如果|c₀|＞λ，则令

如果|c₀|≤λ，则令

其中l表示在c₂前补0的个数；其中，如果s₁＞R₁，则s₁＝s₁-(1/2)^λ-1；计算

签密发送模块，用于签密者向接收者发送关于m的签密σ＝(c₁,s₂)。

可选的，所述签密系统还包括：

接收者参数获取模块，用于接收者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、接收者私钥、签密者公钥R₁以及接收者公钥R₂，其中，接收者私钥r₂根据

确定；

解签密模块，用于将签密σ解析成σ＝(c₁,s₂)的形式；计算

计算

如果c₁＝c₂，则c₀＝c₁＝c₂，否则有c₀＝c₁||c₂；调用Cocks身份密码体制中的解密算法Decrypt解出s：如果有(r₂)²≡H(ID₂)≡R₂mod N，则令

并计算

否则令

并计算

判断H₁(m||k₀)是否等于ω，若是，输出消息m，若否，则计算

并再次调用Cocks身份密码体制中的解密算法Decrypt解出s，之后，再次判断H₁(m||k₀)是否等于ω，若是，输出消息m，若否，则认为消息不是来自诚实的发送者。

可选的，所述签密系统还包括：

初始化模块，用于调用Cocks身份密码体制中的初始化算法Setup(1^λ)与密钥生成算法KeyGen(PP,ID₁,ID₂)，其中，λ为安全参数，PP表示公共参数，ID₁表示签密者的身份，ID₂表示接收者的身份；生成两个不同的素数p,q，计算N＝pq；选择抗碰撞安全的哈希函数H₀:{0,1}^*→J_N、哈希函数

哈希函数

以及哈希函数H₃:{0,1}^*→{0,1}^λ；随机选择模N的二次非剩余μ∈J_N\QR_N，发布公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}；根据R_i＝H₀(ID_i),i＝1,2计算签密者公钥R₁以及接收者公钥R₂；根据

计算签密者公钥r₁以及接收者公钥r₂。

根据本发明提供的具体实施例，本发明公开了以下技术效果：本发明提供的基于Cocks身份密码体制的签密方法及系统利用改进的Cocks身份密码体制，结合二次剩余问题构造签密方案，实现了加密签名在一个逻辑步骤完成的效果。而且，本发明中雅克比符号的求值运算相对于传统签密方案中的双线性对运算，在计算效率上有较大的优势，解决了传统签密方案运算效率不高的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例1中签密者的签密流程示意图；

图2为本发明实施例1中接收者的解签密流程示意图；

图3为不同明文长度下方案执行时间的对比图；

图4为本发明与基于双线性对的方案执行时间对比图；

图5为本发明与基于离散对数的方案执行时间对比图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

实施例1

本实施例提供的基于Cocks身份密码体制的签密方法具体涉及参数的初始化、签密者的签密过程以及接收者的解签密过程。

1)参数的初始化

a、调用Cocks身份密码体制中的初始化算法Setup(1^λ)与密钥生成算法KeyGen(PP,ID₁,ID₂)，其中，λ为安全参数，PP表示公共参数，ID₁表示签密者的身份，ID₂表示接收者的身份；

b、生成两个不同的大素数p,q(p＝q＝3mod 4)，计算N＝pq；

c、选择四个抗碰撞安全的哈希函数H₀:{0,1}^*→J_N，

H₃:{0,1}^*→{0,1}^λ，其中λ₀为明文消息的长度，J_N为Jacobi符号的值为1的所有元素的集合，即

其中Z_N＝{x|0≤x≤N,N∈Z}，将哈希函数H₀,H₁,H₂,H₃看作随机预言机；

d、随机选择模N的二次非剩余μ∈J_N\QR_N，即满足

输出主密钥MSK＝{p,q}，并将其秘密保存，计算并发布公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}；

e、对于签密者ID₁和接收者ID₂，利用哈希函数H₀对通信双方身份进行哈希运算得到其对应的公钥R_i＝H₀(ID_i),i＝1,2，再根据其对应的公钥是否为模N的二次剩余，计算通信双方的私钥，即若R_i∈QR_N，其中

为所有模N的二次剩余组成的集合，其中定义

计算私钥

否则计算r_i＝(μR_i)¹²mod N。由此可得，签密双方的公私钥分别为：

且|R₁|＝|R₂|＝λ＝λ₀+λ₁+λ₂，通过安全通道将r_i发送给ID_i,i＝1,2。

2)签密者的签密过程

签密者要将消息m发送给接收者ID₂，则输入公共参数PP、消息m∈{0,1}(|m|＝λ₀)(此处表示将消息编码成长为λ₀的0，1字符串)、签密者私钥

和接收者身份ID₂对消息签密，所得密文σ包括两部分有σ＝(c₁,s₂)，具体步骤包括：

步骤101：签密者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、签密者私钥、签密者公钥R₁以及接收者公钥R₂。

步骤102：签密者调用哈希函数H₁和哈希函数H₂，对待签密消息m进行哈希运算：令

ω←H₁(m||k₀)，

其中k0是在集合

中任意选取的长为λ₁的0,1字符串。

步骤103：签密者调用Cocks身份密码体制中的加密算法Encrypt，随机选择t∈Z_N，使得其满足

其中m′表示t对N的雅克比符号，并根据

计算c₀；

步骤104：如果|c₀|＞λ时，则密文长度超出密文空间长度，所以在这里将密文分为c₁，c₂两部分，其中，c₀＝c₁||c₂且|c₂|＝λ，其中双竖线代表连接符号，如果c₁＝c₂，则返回步骤103中重新选择t并重新计算c₀；如果|c₀|≤λ，则令c₀＝c₁＝c₂；

步骤105：如果|c₀|＞λ，则令

如果|c₀|≤λ，则令

其中l表示在c₂前补0的个数；其中，如果s₁＞R₁，则s₁＝s₁-(1/2)^λ-1；

步骤106：签密者计算

步骤107：签密者向接收者发送关于m的签密σ＝(c₁,s₂)。

3)接收者的解签密过程

收到签密σ后，接收者ID₂利用公共参数PP、签密σ、接收者私钥

和签密者身份ID₁进行解签密，具体步骤包括：

步骤201：接收者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、接收者私钥、签密者公钥R₁以及接收者公钥R₂，其中，接收者私钥r₂根据

确定；

步骤202：将签密σ解析成σ＝(c₁,s₂)的形式，再用接收者的私钥

计算中间量；

步骤203：计算

步骤204：计算

如果c₁＝c₂，则c₀＝c₁＝c₂，否则有c₀＝c₁||c₂；

步骤205：调用Cocks身份密码体制中的解密算法Decrypt解出s：如果有(r₂)²≡H(ID₂)≡R₂mod N，则令

并计算

否则令

并计算

步骤206：判断H₁(m||k₀)是否等于ω，若是，输出消息m＝F_N(m′)，若否，则计算

并执行步骤204、步骤205，之后，再次判断H₁(m||k₀)是否等于ω，若是，输出消息m，若否，则认为消息不是来自诚实的发送者，拒绝接收消息，算法输出解签密失败符号⊥。其中，

下面对本发明提供的签密方法的效果进行验证

本发明在3.60GHz的8核64位Intel(R)Core(TM)i7-4790U处理器，8GB内存(RAM)，Windows7操作系统的实验环境进行实验、选用Visualstudio2017作为实验平台，C++作为实验编程语言，分别对KeyGen算法、Signcrypt算法和Unsigncrypt算法进行模拟运行，使用不同长度的明文消息运行9次实验，比较了对不同明文消息进行签密、解签密的执行时间，以达到对方案的计算效率进行评测的目的，如图3。

为了对比方案的执行时间、运行效率，利用上述相同的实验环境。由于基于双线性对及椭圆曲线离散对数的不同方案的效率运算单位及其耗时不统一，为了能够使得不同方案的签密与解签密过程在同一指标下进行效率对比，定义了不同的符号及符号换算，如表1。为了实现与1024比特RSA密钥相当的安全性，基于双线性配对的方案在具有嵌入度2和素数阶p的超奇异椭圆曲线E(F_p):y²＝x³+x上执行Tate配对，其中形式为p＝2¹⁵⁹+2¹⁷+1的160比特的Solinas素数和至少为512比特的素数q满足条件q+1＝12pr。为了达到相同的安全性，基于无配对的椭圆曲线方案在

上定义为y²＝x³+ax²+b的Koblitz曲线上执行运算，其中a＝1且b为一个163比特的随机数。基于配对构造的方案中512比特随机数提供的安全性等同于无配对方案中160比特随机数提供的安全性。因此，在本发明中，假设H_i(i＝0,1,2,3)的输出为160比特，雅克比符号运算为1024比特。

表1符号定义及换算

表2表示利用上述实验环境，实验过程采用密码库(MIRACL)进行操作，得到的表1中相关运算操作单次运行时间，表明雅克比符号及模逆运算所需时间远少于如双线性对等运算所需的时间。

表2各运算单次运行时间

图4、图5、表3对比了该方案与其他方案中用户执行一次签密操作，一次解签密操作需花费的计算成本，对比过程忽略方案中都存在的哈希函数运算以及异或运算。表明该发明无论与已有的基于双线性对还是椭圆曲线上的离散对数构造的签密方案相比，都具有较高的计算效率。

表3计算效率比较

表3中，文献1为REDDI S,BORRA S.Identity-based signcryption groupkeyagreement protocol using bilinear pairing[J].Informatica(Iithuanian Academyof Sciences),2017,41(1),31-37；文献2为ZHOU C,ZHANG Y,WANG L.A provable secureidentity-based generalized proxy signcryption scheme[J].International Journalof Network Security,2018,20(6),1183-1193；文献3为KARATI A,BISWAS G P.Apractical identity based signcryption scheme from bilinear pairing[C]//advances in computing and communications.2016:832-836；文献4为GUO H,DENGL.Certificateless ring signcryption scheme from pairings[J].InternationalJournal of Network Security,2020,22(1):102-111；文献5为ZHOU C,ZHAO Z,ZHOU W,etal.Certificateless key-insulated generalized signcryption scheme withoutbilinear pairings[J].Security and Communication Networks,2017:1-17；文献6为YUH,YANG B.Pairing-free and secure certificateless signcryption scheme[J].TheComputer Journal,2017,60(8):1187-1196。

从以上方案的实际运行来看，签密方案最耗时的部分在于密钥生成部分，签密算法的耗时低于解签密算法耗时，并从某一个初值开始随消息长度增大呈缓慢的增长趋势。由于CBSC签密方案(本发明提供的签密方法)在签密过程除哈希运算外只存在雅克比符号求值运算耗时，而解签密过程除哈希运算外还存在雅克比符号求值及模的求逆运算的耗时，此外，因为签密方案中雅克比符号运算及模逆运算计算效率都相对高，因此方案的签密，解签密过程的耗时都相对少。可以得出，实验结果与方案理论是一致的。

对于一个基于身份的签密方案，其安全性主要考虑方案的正确性、信息的保密性和签密的不可伪造性。下面结合说明书附图对本发明做进一步的验证。

(1)密文正确性验证分析

接收者ID₂收到密文s₂后，通过表达式如下表达式计算s₁，

再利用c₁和s₁计算出

然后验证下列等式是否成立：

如果成立，则签密过程是可信的，得到的密文σ＝(c₁,s₂)是正确的；否则发送者在签密过程中或数据发送过程中存在伪造行为。

(2)解签密正确性分析

如果接收者ID₂收到的是正确的密文σ＝(c₁,s₂)，并且持有合法的解密密钥，则利用自己的私钥r₂、身份ID₂和发送者的公钥R₁，根据c₁与c₂数值上是否相等，可以得到c₀的值，运行Cocks密码体制中的Decrypt算法可以得到m′，即：

1)当(r₂)²≡H₀(ID₂)≡R₂mod N，令

有

输出

2)否则当(r₂)²≡H₀(ID₂)≡μR₂mod N，令

则

有

进而可以得到相应的明文m＝F_N(m')。

为对本发明解释的更加清楚，本发明在二次剩余假设下，能够实现信息的保密性和签密的不可伪造性，下面就本发明的可行性展开详细的说明。

保密性说明：如果存在一个概率多项式时间敌手A能够以

的优势来赢得游戏(最多进行

次H₁询问、

次H₂询问、

次H₃询问、q_SK次密钥生成询问、q_SC次签密询问、q_USC次解签密询问)，那么存在一个挑战者C可以以

的优势判断出模N的二次剩余问题，其中

证明：设敌手A是攻击签密体制CBSC-IND-CCA2安全性的攻击者，通过定义

L_SK四个记录表来记录相应的预言机询问和密钥生成询问。定义

及g_U(x,y)→σ＝(c₁,s₂)，令x←c₀,y←H₃(c₁)；则签密过程可以看作g_S(f_R,H₃(c₁))→σ。对询问阶段的各个预言机询问、密钥生成询问、签密询问和解签密询问定义如下：

H₁询问：若想在H₁-oracle中询问(m||β)，在记录表

中查询记录

(其中符号Δ,

对应签密体制中产生的c₀与σ)，若记录表中存在相应记录，则直接返回ω；否则，随机选取

并在表

中添加相应记录

同时返回ω。

H₂询问：若向H₂-oracle询问ω，在记录表

中查找记录(ω,h)，若记录存在，则返回h；否则，随机生成

将(ω,h)添加到

表中，并返回h。

H₃询问：如果向H₃-oracle询问c₁，查询记录(c₁,ρ)在记录表

中，若该记录存在，则直接返回ρ；否则，预言机随机选取

添加(c₁,ρ)到

记录表中，并返回ρ。

KeyGen询问：进行密钥生成询问，当接收到对身份ID_i对应的私钥

询问时，查询L_SK记录表，若存在对应项，则返回x_i；否则选择任意随机数

计算

将该项添加到列表L_SK中，并返回x_i。

Signcrypt询问：设签密过程中签密者的身份为ID_i，接收者身份为ID_r，明文为m，进行签密询问。随机生成

由此得m||β；通过调用H₁-oracle得到ω，调用H₂-oracle得到h，计算得

调用H₃-oracle随机选取

则有σ＝g_S(c₀,ρ)，如果H₂-oracle已经定义ω作为输入，或输入c₁已经在H₃-oracle中被定义，则算法模拟失败；反之，则分别将记录

(c₁,ρ)、(m||β,ω,c₀,σ)添加到表

表

与表

中，并返回σ。

Unsigncrypt询问：设签密者的身份为ID_i，接收者身份为ID_r，签密文为σ，在记录表

中寻找(m||β,ω,c₀,σ)的记录，若该记录存在，则返回明文消息m；否则，拒绝这个签密文σ。

若有下列情形发生，则上述各类预言机的模拟被认为是失败的：

KeyGen询问中，若询问x_i时，该记录在列表L_SK中不存在，则对应的公钥被替换，从而导致模拟失败，该事件发生的概率不超过

Signcrypt询问中，若输入ω在H₂-oracle中已经被定义，或H₃-oracle已经定义了c₁作为输入，均会导致模拟失败，此事件发生的概率分别不超过

和

在H₁询问输入m||β时，若该记录不存在于记录表

中，则Unsigncrypt预言机将拒绝一些有效的密文，其发生的概率不会大于

综上所述，预言机模拟成功的概率不会低于

下面定义通过上述模拟的预言机来攻破签密体制的游戏：

(1)初始化阶段：挑战者C运行Setup算法，生成系统主密钥MSK和公开参数PP，并将PP发给敌手A；

(2)询问阶段：A通过上述预言机向挑战者发起多次的KeyGen、Signcrypt和Unsigncrypt询问；

(3)挑战阶段：A输出两个消息{m₀,m₁}，挑战者C随机选择一个比特b，对消息m_b计算签密文σ^*，并将σ^*发送给A；

(4)第二次询问阶段：敌手A仍可进行各种预言询问，但不能对将要挑战的密文σ^*进行相应的Unsigncrypt询问；

(5)猜测阶段：攻击者A输出比特b′，经分析知，该模拟等同于敌手A的实际攻击环境，敌手A只有通过询问H₁-oracle得到ω，才能猜测成功，定义事件E_A为挑战者C在记录表

中选择正确记录ω，则该事件发生的概率为

若由选择的记录得到b＝b′，则C将能有效判别ω是否为模N的二次剩余。

下面对挑战者C成功的概率进行分析，定义事件E表示敌手A在猜测阶段成功输出比特b＝b′，事件E′表示模拟成功。在模拟成功并选择正确记录的情况下，敌手A输出正确比特说明挑战者C可以成功解决困难假设。

定义C成功的优势ε′＝Pr[E∩E′∩E_A]，可得

证毕。

保密性分析说明敌手A成功攻破方案保密性的优势与一个不可忽略量的乘积不大于挑战者C成功解决二次剩余假设的优势。

不可伪造性说明：如果在概率多项式时间内存在一个敌手A能够以

的优势来赢得游戏(最多进行

次H₁询问、

次H₂询问、

次H₃询问、q_SK次密钥生成询问、q_SC次签密询问、q_USC次解签密询问)，那么存在一个挑战者C以

的优势判断出模N的二次剩余问题，其中

证明：设敌手A是攻击CBSC-EUF-CMA安全性的攻击者，定义

四个记录表来记录相应的预言机询问和密钥生成询问。与保密性分析中定义相同，签密过程可以看作g_S(f_R,H₃(c₁))→σ。

在攻击签密体制不可伪造性时，进行和上述保密性询问阶段一样的多项式有界次询问，并且其询问也是适应性的，只是不返回明文消息m。

下面定义通过上面模拟的预言机来攻破签密体制的游戏：

(1)初始化阶段：挑战者C运行Setup算法，生成系统主密钥MSK和公开参数PP，并将PP发给敌手A；

(2)询问阶段：敌手A通过上述预言机发起各种询问，同定理3询问阶段相同；

(3)伪造阶段：进行上述有界次询问后，敌手A输出伪造的密文，假设签密接收者为R，由机密性分析可知，该模拟等同于敌手A的实际攻击环境，敌手A必须通过H₁询问和H₂询问来得到消息m^*对应的ω^*，才能伪造成功，其中定义事件E_A为挑战者C在记录表

和

中选择正确记录ω^*，则该事件发生的概率为

若选择的记录正确，则C将能有效判别ω^*是否为模N的二次剩余。

下面分析挑战者C成功的概率，事件E表示敌手A成功伪造一个有效的密文σ^*，并通过了验证，事件E′表示模拟成功。在模拟成功并选择正确记录的情况下，敌手A成功伪造有效密文说明挑战者C可以成功解决困难假设。

定义C成功的优势ε′＝Pr[E∩E′∩E_A]，可得

证毕。

不可伪造性分析说明敌手A成功攻破CBSC方案保密性和不可伪造性的优势与一个不可忽略量的乘积不大于挑战者C成功解决二次剩余假设的优势。

已知任意多项式时间的攻击者都不可能以不可忽略的优势解决二次剩余假设问题，即可知任意多项式时间的敌手不可能攻破方案的机密性和不可伪造性。

本发明利用二次剩余判定困难问题，改进Cocks基于身份的加密体制。以改进基于双线性对构造的签密方案计算开销大的问题，满足方案的高效计算和高安全性，5G网络提供基础安全保障，所以，本发明方法是极高的应用价值。

实施例2

本实施例提供了一种基于Cocks身份密码体制的签密系统，该系统包括：

签密者参数获取模块，用于签密者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、签密者私钥、签密者公钥R₁以及接收者公钥R₂；其中，N＝pq，p,q为两个不同的素数，H₀、H₁、H₂、H₃为抗碰撞安全哈希函数，哈希函数H₀:{0,1}^*→J_N，哈希函数

哈希函数

哈希函数H₃:{0,1}^*→{0,1}^λ，λ为安全参数，λ₀为明文消息的长度，λ₁为第一预设参数，λ₂为第二预设参数，

Z_N＝{x|0≤x≤N,N∈Z}，

表示x对N的雅克比符号为1，μ为随机选择的模N的二次非剩余且μ∈J_N\QR_N；签密者私钥r₁根据

确定，其中，QR_N为模N的所有二次剩余组成的集合；签密者公钥R₁根据R₁＝H₀(ID₁)确定，其中，ID₁为签密者身份；接收者公钥R₂根据R₂＝H₀(ID₂)确定，其中，ID₂为接收者身份；

签密模块，用于签密者调用哈希函数H₁和哈希函数H₂，对待签密消息m进行哈希运算：令

ω←H₁(m||k₀)，

调用Cocks身份密码体制中的加密算法Encrypt，随机选择t∈Z_N，使得其满足

其中m′表示t对N的雅克比符号，并根据

计算c₀；如果|c₀|＞λ时，则密文c₀分为c₁，c₂两部分，其中，c₀＝c₁||c₂且|c₂|＝λ，如果c₁＝c₂，则重新选择t并重新计算c₀；如果|c₀|≤λ，则令c₀＝c₁＝c₂；如果|c₀|＞λ，则令

如果|c₀|≤λ，则令

其中l表示在c₂前补0的个数；其中，如果s₁＞R₁，则s₁＝s₁-(1/2)^λ-1；计算

签密发送模块，用于签密者向接收者发送关于m的签密σ＝(c₁,s₂)。

接收者参数获取模块，用于接收者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、接收者私钥、签密者公钥R₁以及接收者公钥R₂，其中，接收者私钥r₂根据

确定；

解签密模块，用于将签密σ解析成σ＝(c₁,s₂)的形式；计算

计算

如果c₁＝c₂，则c₀＝c₁＝c₂，否则有c₀＝c₁||c₂；调用Cocks身份密码体制中的解密算法Decrypt解出s：如果有(r₂)²≡H(ID₂)≡R₂mod N，则令

并计算

否则令

并计算

判断H₁(m||k₀)是否等于ω，若是，输出消息m，若否，则计算

并再次调用Cocks身份密码体制中的解密算法Decrypt解出s，之后，再次判断H₁(m||k₀)是否等于ω，若是，输出消息m，若否，则认为消息不是来自诚实的发送者。

初始化模块，用于调用Cocks身份密码体制中的初始化算法Setup(1^λ)与密钥生成算法KeyGen(PP,ID₁,ID₂)，其中，λ为安全参数，PP表示公共参数，ID₁表示签密者的身份，ID₂表示接收者的身份；生成两个不同的素数p,q，计算N＝pq；选择抗碰撞安全的哈希函数H₀:{0,1}^*→J_N、哈希函数

哈希函数

以及哈希函数H₃:{0,1}^*→{0,1}^λ；随机选择模N的二次非剩余μ∈J_N\QR_N，发布公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}；根据R_i＝H₀(ID_i),i＝1,2计算签密者公钥R₁以及接收者公钥R₂；根据

计算签密者公钥r₁以及接收者公钥r₂。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims (6)

1.一种基于Cocks身份密码体制的签密方法，其特征在于，包括：

步骤101：签密者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、签密者私钥、签密者公钥R₁以及接收者公钥R₂；其中，N＝pq，p,q为两个不同的素数，H₀、H₁、H₂、H₃为抗碰撞安全哈希函数，哈希函数H₀:{0,1}^*→J_N，哈希函数

哈希函数

哈希函数H₃:{0,1}^*→{0,1}^λ，λ为安全参数，λ₀为明文消息的长度，λ₁为第一预设参数，λ₂为第二预设参数，

Z_N＝{x|0≤x≤N,N∈Z}，

表示x对N的雅克比符号为1，μ为随机选择的模N的二次非剩余且μ∈J_N\QR_N；签密者私钥r₁根据

确定，其中，QR_N为模N的所有二次剩余组成的集合；签密者公钥R₁根据R₁＝H₀(ID₁)确定，其中，ID₁为签密者身份；接收者公钥R₂根据R₂＝H₀(ID₂)确定，其中，ID₂为接收者身份；

步骤102：签密者调用哈希函数H₁和哈希函数H₂，对待签密消息m进行哈希运算：令

ω←H₁(m||k₀)，

步骤103：签密者调用Cocks身份密码体制中的加密算法Encrypt，随机选择t∈Z_N，使得其满足

其中m′表示t对N的雅克比符号，并根据

计算c₀；

步骤104：如果|c₀|＞λ时，则密文c₀分为c₁，c₂两部分，其中，c₀＝c₁||c₂且|c₂|＝λ，如果c₁＝c₂，则返回步骤103中重新选择t并重新计算c₀；如果|c₀|≤λ，则令c₀＝c₁＝c₂；

步骤105：如果|c₀|＞λ，则令

如果|c₀|≤λ，则令

其中l表示在c₂前补0的个数；其中，如果s₁＞R₁，则s₁＝s₁-(1/2)^λ-1；

步骤106：签密者计算

步骤107：签密者向接收者发送关于m的签密σ＝(c₁,s₂)。

2.根据权利要求1所述的基于Cocks身份密码体制的签密方法，其特征在于，所述签密方法还包括：

步骤201：接收者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、接收者私钥、签密者公钥R₁以及接收者公钥R₂，其中，接收者私钥r₂根据

确定；

步骤202：将签密σ解析成σ＝(c₁,s₂)的形式；

步骤203：计算

步骤204：计算

如果c₁＝c₂，则c₀＝c₁＝c₂，否则有c₀＝c₁||c₂；

步骤205：调用Cocks身份密码体制中的解密算法Decrypt解出s：如果有(r₂)²≡H(ID₂)≡R₂modN，则令

并计算

否则令

并计算

步骤206：判断H₁(m||k₀)是否等于ω，若是，输出消息m，若否，则计算

并执行步骤204、步骤205，之后，再次判断H₁(m||k₀)是否等于ω，若是，输出消息m，若否，则认为消息不是来自诚实的发送者。

3.根据权利要求1或2所述的基于Cocks身份密码体制的签密方法，其特征在于，所述签密方法还包括：

调用Cocks身份密码体制中的初始化算法Setup(1^λ)与密钥生成算法KeyGen(PP,ID₁,ID₂)，其中，λ为安全参数，PP表示公共参数，ID₁表示签密者的身份，ID₂表示接收者的身份；

生成两个不同的素数p,q，计算N＝pq；

选择抗碰撞安全的哈希函数H₀:{0,1}^*→J_N、哈希函数

哈希函数

以及哈希函数H₃:{0,1}^*→{0,1}^λ；

随机选择模N的二次非剩余μ∈J_N\QR_N，发布公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}；

根据R_i＝H₀(ID_i),i＝1,2计算签密者公钥R₁以及接收者公钥R₂；

根据

计算签密者公钥r₁以及接收者公钥r₂。

4.一种基于Cocks身份密码体制的签密系统，其特征在于，包括：

签密者参数获取模块，用于签密者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、签密者私钥、签密者公钥R₁以及接收者公钥R₂；其中，N＝pq，p,q为两个不同的素数，H₀、H₁、H₂、H₃为抗碰撞安全哈希函数，哈希函数H₀:{0,1}^*→J_N，哈希函数

哈希函数

哈希函数H₃:{0,1}^*→{0,1}^λ，λ为安全参数，λ₀为明文消息的长度，λ₁为第一预设参数，λ₂为第二预设参数，

Z_N＝{x|0≤x≤N,N∈Z}，

表示x对N的雅克比符号为1，μ为随机选择的模N的二次非剩余且μ∈J_N\QR_N；签密者私钥r₁根据

确定，其中，QR_N为模N的所有二次剩余组成的集合；签密者公钥R₁根据R₁＝H₀(ID₁)确定，其中，ID₁为签密者身份；接收者公钥R₂根据R₂＝H₀(ID₂)确定，其中，ID₂为接收者身份；

签密模块，用于签密者调用哈希函数H₁和哈希函数H₂，对待签密消息m进行哈希运算：令

ω←H₁(m||k₀)，

调用Cocks身份密码体制中的加密算法Encrypt，随机选择t∈Z_N，使得其满足

其中m′表示t对N的雅克比符号，并根据

计算c₀；如果|c₀|＞λ时，则密文c₀分为c₁，c₂两部分，其中，c₀＝c₁||c₂且|c₂|＝λ，如果c₁＝c₂，则重新选择t并重新计算c₀；如果|c₀|≤λ，则令c₀＝c₁＝c₂；如果|c₀|＞λ，则令

如果|c₀|≤λ，则令

其中l表示在c₂前补0的个数；其中，如果s₁＞R₁，则s₁＝s₁-(1/2)^λ-1；计算

签密发送模块，用于签密者向接收者发送关于m的签密σ＝(c₁,s₂)。

5.根据权利要求4所述的基于Cocks身份密码体制的签密系统，其特征在于，所述签密系统还包括：

接收者参数获取模块，用于接收者获取公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}、接收者私钥、签密者公钥R₁以及接收者公钥R₂，其中，接收者私钥r₂根据

确定；

解签密模块，用于将签密σ解析成σ＝(c₁,s₂)的形式；计算

计算

如果c₁＝c₂，则c₀＝c₁＝c₂，否则有c₀＝c₁||c₂；调用Cocks身份密码体制中的解密算法Decrypt解出s：如果有(r₂)²≡H(ID₂)≡R₂modN，则令

并计算

否则令

并计算

判断H₁(m||k₀)是否等于ω，若是，输出消息m，若否，则计算

并再次调用Cocks身份密码体制中的解密算法Decrypt解出s，之后，再次判断H₁(m||k₀)是否等于ω，若是，输出消息m，若否，则认为消息不是来自诚实的发送者。

6.根据权利要求4或5所述的基于Cocks身份密码体制的签密系统，其特征在于，所述签密系统还包括：

初始化模块，用于调用Cocks身份密码体制中的初始化算法Setup(1^λ)与密钥生成算法KeyGen(PP,ID₁,ID₂)，其中，λ为安全参数，PP表示公共参数，ID₁表示签密者的身份，ID₂表示接收者的身份；生成两个不同的素数p,q，计算N＝pq；选择抗碰撞安全的哈希函数H₀:{0,1}^*→J_N、哈希函数

哈希函数

以及哈希函数H₃:{0,1}^*→{0,1}^λ；随机选择模N的二次非剩余μ∈J_N\QR_N，发布公共参数PP＝{N,H₀,H₁,H₂,H₃,μ}；根据R_i＝H₀(ID_i),i＝1,2计算签密者公钥R₁以及接收者公钥R₂；根据

计算签密者公钥r₁以及接收者公钥r₂。

Images