中图分类号：TP309 文献标识码：A

One Properties Signcryption scheme Based on Public-key Cryptosystem

Abstract:Signcryption can be a logical step in the completion of both encryption and digital signature features, its computational and communication costs are lower than traditional first signed and then encrypted. In this paper, based on the secret identity-based Kam, design a public key cryptosystem based on property signcryption scheme and its proof of safety and effectiveness of the program's detailed analysis, with strong practical.

Key Words:signcryption; property; public-key cryptosystem; security

1、前言

对于消息机密性和可验证性，是消息通信的两个重要要求，加密技术主要解决数据通信的机密性，防止未授权用户获取消息；数字签名技术主要是提供可验证的通信，确保消息的完整性、不可抵赖性和不可伪造性等功能。加密和签名是两个完全不同的安全目标，是计算机和通信安全研究的两个重要方面。但一些应用场合要求同时对信息进行加密和签名，达到信息传输的机密性和可验证性，我们称为签密[1]。

随着各种应用的要求，签密得到学术界的重视继尔产生了许多签密算法，比如门限签密、代理签密、多接收者的签密、基于身份签密等，但这些签密还远不能满足实际需要，尤其在云计算安全方面，近年来为了能够同时实现加密存储和细粒度访问控制，Goyal[2]等人提出了基于密钥策略的属性加密系统(KP-ABE)，在他这种系统中密文与一些属性相关联，而用户的私钥是和一个访问结构有关，这个访问结构决定了该用户可以解密；Bethencourt[3]等人提出了基于密文策略的属性加密(CP-ABE)思想，在这种属性加密系统中，加密者选择一个策略，只有那些满足这个策略的用户才可以解密此密文，用户的私钥和属性有关，这和前面的KP-ABE正好相反。但设计一个基于属性的鉴密方案来同时实现加密和数字签名的功能，同时保证数据的机密性和可验证性是有必要的，国内对这方面的研究几乎还是空白。

2、签密方案

本签密方案是在基于属性签名的方案[4]上提出来的，该签密方案由初始化、私钥生成、基于属性的签密 

和基于属性的解签密组成，具体方案如下：

2．1 方案描述

（1）初始化 

选择两个接阶是素数q的群，g是的一个生成元。双线性对,哈希函数，在群中随机抽取一些元素,   ,随机选择。并计算下列各值，该签密系统的主私钥和公共参数，。

（2）密钥生成算法

输入系统主私钥MK和用户相应的属性集S，随机选择一个，，。私钥。

（3）签密

首先访问结构，转换成张成方案，，是将矩阵的行映射到属性，假设是一个的矩阵，是一个的矩阵，它是解鉴密者满足的访问结构，要鉴密的消息是。如果签密者的属性满足访问结构，计算签密消息如下：

1）根据计算   ，。

2）随机选取，，。

3）

4） 计算，，，，。

5）

6）

7）

8），是属性对共享部分， 表示矩阵第i行。

9）令。

10）。

11）则签密消息为

（4）解签密

首先将访问结构转化为单调张成方案表示。如果接收者B的属性满足访问结构，即能找到一个向量，B可以取  使得，B从A那收到签密消息之后运行如下步骤。

1）

=

  2）

 3）。

4）计算 判断下列等式是否成立：

和

5）如果上面等式都验证成功则输出消息m, 否则输出符号表示该签密不是一个合法的签密。

2．2方案证明

一个签密方案的正确性包括加密的正确性和签名的正确性，两个都正确时该签密方案才满足正确性。签密者在签密时定义的解签密者的属性满足的访问结构，如果所有满足该访问结构的接收者都可以通过自己的私钥解签密得到明文消息，则说满足加密的正确性。签名的正确性是指验证者可以验证签密者的属性是否满足一个访问结构。

  （1）方案加密证明

   假设解签密者具有的属性集S满足签密时由签密者指定的访问结构TB，签密者输入对应属性的私钥按照以下步骤计算：

   1）

   2）

   3）

   方案对加密得证，如果接收者的属性集满足签密时由签密者指定的访问结构TB，则可以解密签密得到明文。

  （2）方案签名证明

签名正确性就是验证签名者的属性是否满足一定的访问结构TA，证明如下：

 1）

 2）

=

3）

=

=

 签密方案的签密者的属性满足访问结构，方案签名得证。

3、安全性和性能分析

   一个实用的签密方案必须有较好的安全性和高效性，分析如下：

3．1抗攻击分析

签密发送方A发送一个签密消息给B，B收到消息后可以解密出消息m，并保留么的签名消息，然后，然后重新选择向量访问结构计算，是更改后的访问结构。然后计算，重新计算后的这些信息是更改接收者属性必须满足的访问结构计算的。这样对于外部用户来说相当于是由A签密的消息，所有接收者的属性只要满足访问结构就可以解签密消息，但这种情况在本方案中是通不过验证的，也就是可以防止这种内部攻击。在验证签名的时候要求验证下列等式:

1)

2),如果验证成功，则说明不是按照上面攻击模型伪造的签密。如果验证不成功则说明该签密消息不是一个合法的签密,因为，而这里,中的和签名信息 

中的相同，则有下列等式成立：,如果上面的验证等式成立，则说明是由原签密者产生的，而不是由满足访问结构的接收者重新计算的，所以能够防止合法接收者更改接收者的访问结构攻击.

3．2前向安全性分析

   前向安全性是指在签密者的私钥被泄露之后，他以前签密的消息的安全性也能得到保证。基于属性的签密方案因为私钥泄露后获知私钥的第三方在离散对数困难问题下计算不出，也解密不了签密消息得到明文消息。在本方案中，签密消息的密文是，即使签密者的私钥泄露，不合法的解签密者也计算不出从而也就解密不出明文。所以本文中的基于属性的签密方案满足前向安全性的要求。

3．3可追踪性分析

可追踪性是指为追踪签名者的责任，找出一个消息到底是由谁签名的。本签密方案能够达到签名的可追踪性，当发现问题需要追求签密者责任时能够具体到个人，最终确定一个签密消息到底是由谁签的。在签密者追踪的过程中不需要签密者的参与，只需要在解签密者R和属性管理机构AA(Attribute-Authority)之间进行。接收者和属性管理机构按照如下步骤执行：

1）R收到的签密中有，。

2）AA查找所有的，找到使得的。

3）所有用户的是不同的，找到可以对应一个用户。从而就可以追踪到签密者。

3．4机密性分析

     机密性就是在现有的计算能力下，要破解密文是行不通的。本方案将用来加密的随机数分配给各个属性，只有当解签密者的属性满足签密者指定的访问结构时，解签密者才能够计算出对称密钥k，才能解签密得到明文，否则不能解签密得到明文。 

3．5不可伪造性分析

不可伪造性是指攻击者产生一个合法的签密在计算上是不可行的，基于属性的签密的不可伪造性是指签密者的属性必须满足一定的访问结构，不满足这种访问结构的用户是不能够产生一个与该访问结构对应的合法签密消息。

3．6不可否认性分析

     签密方案的不可否认性和签名方案的不可否认性是一样的，能够防止签密的发送方对签密的消息进行否认，否认这个签密消息是由他签密的。 基于属性的签密方案的不可否认性是指，消息的签密者不能否认自己的属性满足一个特定的访问结构。由于本文中的签密方案具有不可伪造性，所以签密的消息只要通过了验证就说明签密该消息的实体具有满足指定访问结构的属性，属性不满足这个访问结构的用户是不能签密出该消息的。

3．7 效率分析

签密方案与传统的先签名再加密有很大不同，先签名再加密是一个线性操作，必须是做完签名之后再加密，不能并行进行。先签名再加密还会增加很多额外的附加信息，增加计算开销和通信开销.签密是在一个逻辑过程中同时实现签名和加密的功能，签名和加密之间没有线性限制可以并行处理，无额外的附加信息, 降低计算和通信开销,提高算法的执行效率。

4、小结

本文设计的签密方案，能保证信息传输的机密性、完整性、不可伪造性、可验证性和抗攻击性等，其计算量和通信开销都低于传统的签密方案，具有很强的实用性。

参考文献：

[1]X．Pang,k.L Tan,Y.Wang,J.Ren．A secure agent-mediated payment protocol Informationand Communications．Security-IClCS 2002，Lecture Notes in Computer Science2513．Berlin：Springer-Verlag,2002．422-433．

[2]Goyal V．，et a1．Attribute-based encryption for fine-grained access control of encrypted data．In Proceedings of ACM Conference on Computer and Communications Security,2006，PP．221-238．

[3]J．Bethencourt,A．Sahai，B．Waters．Ciphertext-Policy Attribute-Based Encryption．IEEE Symposium on Security and Privacy,2007,321-334．

[4]Pirretti M.,Traynor  P.,McDaniel P.，Waters  B．Secure attribute-based systems．In ACM Conference on Computer and Communications Security,2006．PP, 99-1l2．

作者简介：黄华，男，1974年9月，贵州黔西人，汉族，副教授，硕士，清远职业技术学院，研究方向：信息网络安全、大数据、物联网、云计算， 邮编：5115100

基金项目：清远市科技计划项目（2019A006）