一种在标准模型下安全的基于身份广义签密方法.pdf

本发明公开了一种标准模型下安全的基于身份广义签密方法，该方法首先进行用户的私钥提取，提取私钥后再进行基于身份的广义签密，然后再进行解签密。当接收者收到签名（签名功能）或密文（加密功能和签密功能）进行验证或解密时，如果密文解密后通过验证，则输出接受；否则输出拒绝；本发明是在标准模型下安全的基于计算性Diffie-Hellman困难问题（CDH）和判定性双线性Diffie-Hellman困难问题（DBDH）的一种基于身份广义签密方法，能够实现签密、签名和加密三种功能，保护电子文档的机密性、完整性、不可伪造性和不可否认性。

权利要求书
1.  一种在标准模型下安全的基于身份广义签密方法，其特征在于，包括三种工作模式：签密、签名和加密；每次只有一个模式发生，当接收者收到广义签密后的签名进行验证或解签密时，若验证解密结果与签名的消息一致，则表示接受密文；否则表示拒绝密文；
所述签密为在一个逻辑步骤内同时实现数字签名和加密两种功能；所述签名为发送方以电子形式签名一个消息或文件，签名后的消息或文件能在计算机网络中传送，并表示签名人对该消息或文件的内容负有责任；所述加密为利用技术手段把重要数据变为乱码传送。

2.  根据权利要求1所述的在标准模型下安全的基于身份广义签密方法，具体按照以下步骤进行：
步骤一、系统建立
1）给定安全系数k，密钥生成中心任意选取素数p阶循环群G1,G2，g2∈G1，双线性映射e:G1×G1→G2；
2）PKG选取两个密码学哈希函数H:{0,1}*→{0,1}l和Hm:{0,1}*→{0,1}nm;]]>
3）PKG随机选择g2∈G1，计算g1＝gα和z＝e(g1,g2)；其中为模q的乘法循环群；
4）PKG随机选择u′,m′∈G1，nu维向量u＝{ui}和nm维向量m＝{mj}，ui,mj∈G1；则系统参数为params＝{G1,G2,e,p,g,g1,g2,H,Hm,z,u′,m′,u,m}，主密钥为设f(ID)是一个特定的函数，其中如果身份为空时，令ID＝IDΦ，f(ID)＝0；否则f(ID)＝1；
步骤二、用户密钥生成
1)假定用户身份ID为长度为nu的比特串，ID[i]表示身份ID的第i比特，定义为满足ID[i]＝1的指数i的集合；
2）PKG随机选择rID∈Zq*,]]>计算dID=(dID1,dID2)=(g2α(u′Πi∈UIDui)rID,grID);]]>则身份为IDA的发送者A和身份为IDB的接收者B的私钥分别为：
dA=(dA1,dA2)=(g2α(u′Πi∈UAui)rA,grA);]]>
dB=(dB1,dB2)=(g2α(u′Πi∈UBui)rB,grB);]]>
步骤三、广义签密
假设发送者A想要给接收者B发送签密消息m∈{0,1}l；发送者A随机选取执行如下步骤：
1）计算σ1＝gr；
2）计算w=zrf(IDB);]]>
3）计算c=m⊕H(w);]]>
4）计算σ2=(dA2)f(IDA);]]>
5）计算σ3=(u′Πi∈UBui)rf(IDB);]]>
6）计算π＝Hm(m,σ1,σ2,σ3,w)，其中π为长为nm的比特串，π[j]表示π的第j个比特，定义为满足π[j]=1的指数j的集合；
7）计算σ4=(dA1)f(IDA)·σ3·(m′Πj∈Mmj)r;]]>
则密文为σ＝(σ1,σ2,σ3,σ4,c)；
步骤四、广义解签密
当接收者B接收到密文σ＝(σ1,σ2,σ3,σ4,c)时，执行如下步骤：
1）计算f(IDB)；
2）计算w=e(dB1,σ1f(IDB))·e(dB2,σ3)-1;]]>
3）计算m=c⊕H(w);]]>
4）计算π＝Hm(m,σ1,σ2,σ3,w)其中π为长为nm的比特串，π[j]表示π的第j个比特，定义为满足π[j]=1的指数j的集合；
5）验证以下方程的有效性：
e(σ4,g)=e(g2,g1)f(IDA)e(u′Πi∈UAui,σ2)e(u′Πi∈UBui,σ1)f(IDB)e(m′Πj∈Mmj,σ1)]]>
如果有效，输出接受；否则输出拒绝。

说明书一种在标准模型下安全的基于身份广义签密方法
技术领域
本发明属于计算机信息安全技术领域，涉及一种签密方法，尤其是一种在标准模型下可证安全的基于身份广义签密方法。
背景技术
1997年，北卡罗来纳大学夏洛特分校的郑玉良(Yuliang Zheng)教授首次提出签密的概念，其核心思想是在一个逻辑步骤内同时实现数字签名和公钥加密两项功能，和传统先签名再加密或先加密再签名的方法相比，签密技术能够减少计算成本和通信开销。由于其特殊功能，广泛的应用于防火墙、电子现金和密钥分配等实际应用中。虽然签密在同时需要加密和认证功能的场合效率高,但当系统只需要机密性或认证性时,签密技术就不再适用了。此时系统需要分别使用加密算法或者数字签名算法才能满足需求,这将大大增加系统的开销。
为了解决上述问题，2006年，Han等学者首次提出了广义签密的概念。该思想能够实现签密、加密和签名三种功能。当需要同时满足机密性和认证性时，使用签密功能;当仅仅需要满足机密性或认证性时，无须附加其他步骤即可使用加密或签名功能。Wang等学者改进了Han等学者广义签密安全模型。2008年，Lal等学者首次提出了基于身份广义签密方案。然而，Yu等学者指出该安全模型是不完善的，并给出了正式的基于身份广义签密的安全模型。2011年，Kushwah等学者对Yu等学者提出的安全性模型进行了简化，并给出一个目前 效率最高的基于身份广义签密方案。
上述所有的方案都是在随机预言机模型下可证明安全的。在该模型中，哈希函数被看作为一个完全随机的理想模型，是一个很强的要求。在随机预言机模型下是可证安全的方案，但在具体应用中却无法构造出相应的实例。因此，研究标准模型（无随机预言机）下设计可证明安全的基于身份广义签密具有十分重要的现实意义。
发明内容
本发明的目的在于克服上述现有技术的缺点，提供一种在标准模型下安全的基于身份广义签密方法。该方法满足机密性和不可伪造性，即在DBDH假设下适应性选择密文攻击下的不可区分性；CDH假设下适应性选取消息攻击下的存在不可伪造性。广义签密方法在通常签密能同时提供机密性和认证性基础上，即能够实现签密功能，又能够只实现机密性和认证性的单一功能。
本发明的目的是通过以下技术方案来实现的：
本发明在标准模型下安全的基于身份广义签密方法包括三种工作模式：签密、签名和加密；每次只有一个模式发生，当接收者收到广义签密后的签名进行验证或解签密时，若验证解密结果与签名的消息一致，则表示接受密文；否则表示拒绝密文；
所述签密为在一个逻辑步骤内同时实现数字签名和加密两种功能；所述签名为发送方以电子形式签名一个消息或文件，签名后的消息或文件能在计算机网络中传送，并表示签名人对该消息或文件的内容负有责任；所述加密为利用技术手段把重要数据变为乱码传送。
进一步的，以上方法具体按照以下步骤进行：
步骤一、系统建立
1）给定安全系数k，密钥生成中心(PKG)任意选取素数p阶循环群G1,G2，g2∈G1，双线性映射e:G1×G1→G2；
2）PKG选取两个密码学哈希函数H:{0,1}*→{0,1}l和Hm:{0,1}*→{0,1}nm;]]>
3）PKG随机选择g2∈G1，计算g1＝gα和z＝e(g1,g2)；其中为模q的乘法循环群；
4）PKG随机选择u′,m′∈G1，nu维向量u＝{ui}和nm维向量m＝{mj}，ui,mj∈G1。
则系统参数为params＝{G1,G2,e,p,g,g1,g2,H,Hm,z,u′,m′,u,m}，主密钥为设f(ID)是一个特定的函数，其中如果身份为空时，令ID＝IDΦ，f(ID)＝0；否则f(ID)＝1。
步骤二、用户密钥生成
1)假定用户身份ID为长度为nu的比特串，ID[i]表示身份ID的第i比特，定义为满足ID[i]＝1的指数i的集合；
2）PKG随机选择rID∈Zq*,]]>计算dID=(dID1,dID2)=(g2α(u′Πi∈UIDui)rID,grID);]]>则身份为IDA的发送者A和身份为IDB的接收者B的私钥分别为
dA=(dA1,dA2)=(g2α(u′Πi∈UAui)rA,grA);]]>
dB=(dB1,dB2)=(g2α(u′Πi∈UBui)rB,grB).]]>
步骤三、广义签密
假设发送者A想要给接收者B发送签密消息m∈{0,1}l；发送者A随 机选取执行如下步骤：
1）计算σ1＝gr；
2）计算w=zrf(IDB);]]>
3）计算c=m⊕H(w);]]>
4）计算σ2=(dA2)f(IDA);]]>
5）计算σ3=(u′Πi∈UBui)rf(IDB);]]>
6）计算π＝Hm(m,σ1,σ2,σ3,w)，其中π为长为nm的比特串，π[j]表示π的第j个比特，定义为满足π[j]=1的指数j的集合；
7）计算σ4=(dA1)f(IDA)·σ3·(m′Πj∈Mmj)r;]]>
则密文为σ＝(σ1,σ2,σ3,σ4,c)。
步骤四、广义解签密
当接收者B接收到密文σ＝(σ1,σ2,σ3,σ4,c)时，执行如下步骤：
1）计算f(IDB)；
2）计算w=e(dB1,σ1f(IDB))·e(dB2,σ3)-1;]]>
3）计算m=c⊕H(w);]]>
4）计算π＝Hm(m,σ1,σ2,σ3,w)其中π为长为nm的比特串，π[j]表示π的第j个比特，定义为满足π[j]=1的指数j的集合；
5）验证方程
e(σ4,g)=e(g2,g1)f(IDA)e(u′Πi∈UAui,σ2)e(u′Πi∈UBui,σ1)f(IDB)e(m′Πj∈Mmj,σ1)]]>
的有效性；如果有效，输出接受；否则输出拒绝。
本发明具有以下有益效果：
本发明针对签密使用环境中，系统只需要机密性或认证性时，系 统必须使用额外的加密算法或签名算法，增加系统负担；随机预言机模型下安全方案现实中无法构建具体实例的问题。本发明利用双线性对技术，提出标准模型下安全的基于身份广义签密方法解决上述问题。基于计算性Diffie-Hellman假设和判定性双线性Diffie-Hellman假设下，本发明能够满足不可伪造性和机密性。
本发明提供电子文档的标准模型下安全的基于身份广义签密，能够同时提供签密、签名和加密三种功能，保护了电子文档的机密性、完整性、不可伪造性和不可否认性。
具体实施方式
这种在标准模型下安全的基于身份广义签密方法，包括三种工作模式：签密、签名和加密；每次只有一个模式发生，当接收者收到广义签密后的签名进行验证或解签密时，若验证解密结果与签名的消息一致，则表示接受密文；否则表示拒绝密文。所述签密为在一个逻辑步骤内同时实现数字签名和加密两种功能；所述签名为发送方以电子形式签名一个消息或文件，签名后的消息或文件能在计算机网络中传送，并表示签名人对该消息或文件的内容负有责任；所述加密为利用技术手段把重要数据变为乱码传送。
该方法按照以下步骤实施：
步骤一、系统建立
1）给定安全系数k，密钥生成中心(PKG)任意选取素数p阶循环群G1,G2，g2∈G1，双线性映射e:G1×G1→G2；
2）PKG选取两个密码学哈希函数H:{0,1}*→{0,1}l和Hm:{0,1}*→{0,1}nm;]]>
3）PKG随机选择g2∈G1，计算g1＝gα和z＝e(g1,g2)；其中为模q的乘法循环群；
4）PKG随机选择u′,m′∈G1，nu维向量u＝{ui}和nm维向量m＝{mj}，ui,mj∈G1。则系统参数为params＝{G1,G2,e,p,g,g1,g2,H,Hm,z,u′,m′,u,m}，主密钥为设f(ID)是一个特定的函数，其中如果身份为空时，令ID＝IDΦ，f(ID)＝0；否则f(ID)＝1。
步骤二、用户密钥生成
1)假定用户身份ID为长度为nu的比特串，ID[i]表示身份ID的第i比特，定义为满足ID[i]＝1的指数i的集合；
2）PKG随机选择rID∈Zq*,]]>计算dID=(dID1,dID2)=(g2α(u′Πi∈UIDui)rID,grID);]]>则身份为IDA的发送者A和身份为IDB的接收者B的私钥分别为
dA=(dA1,dA2)=(g2α(u′Πi∈UAui)rA,grA);]]>
dB=(dB1,dB2)=(g2α(u′Πi∈UBui)rB,grB).]]>
步骤三、广义签密
假设发送者A想要给接收者B发送签密消息m∈{0,1}l；发送者A随机选取执行如下步骤：
1）计算σ1＝gr；
2）计算w=zrf(IDB);]]>
3）计算c=m⊕H(w);]]>
4）计算σ2=(dA2)f(IDA);]]>
5）计算σ3=(u′Πi∈UBui)rf(IDB);]]>
6）计算π＝Hm(m,σ1,σ2,σ3,w)，其中π为长为nm的比特串，π[j]表示π的第j个比特，定义为满足π[j]=1的指数j的集合；
7）计算σ4=(dA1)f(IDA)·σ3·(m′Πj∈Mmj)r;]]>
则密文为σ＝(σ1,σ2,σ3,σ4,c)。
步骤四、广义解签密
当接收者B接收到密文σ＝(σ1,σ2,σ3,σ4,c)时，执行如下步骤：
1）计算f(IDB)；
2）计算w=e(dB1,σ1f(IDB))·e(dB2,σ3)-1;]]>
3）计算m=c⊕H(w);]]>
4）计算π＝Hm(m,σ1,σ2,σ3,w)其中π为长为nm的比特串，π[j]表示π的第j个比特，定义为满足π[j]=1的指数j的集合；
5）验证方程
e(σ4,g)=e(g2,g1)f(IDA)e(u′Πi∈UAui,σ2)e(u′Πi∈UBui,σ1)f(IDB)e(m′Πj∈Mmj,σ1)]]>
的有效性；如果有效，输出接受；否则输出拒绝。
基于身份广义签密方法的安全性基于三种模式证明，即签密模式（IDGSC-SC），签名模式（IDGSC-SG）和加密模式（IDGSC-EN）。
下面分别给出本发明标准模型下安全基于身份广义签密方法的正确性和安全性证明：
■正确性
本发明标准模型下安全的基于身份广义签密方法是正确的。
接收方收到发送方关于消息M的密文σ＝(σ1,σ2,σ3,σ4,c)，若该密
文是按照如上步骤进行并且传输的过程中没有改变，不难证明：
e(dB1,σ1f(IDB))e(dB2,σ3)]]>
=e(g2α(u′Πi∈UBui)rB,grf(IDB))e(grB,(u′Πi∈UBui)rf(IDB))=e(g2α,grf(IDB))e((u′Πi∈UBui)rB,grf(IDB))e(grB,(u′Πi∈UBui)rf(IDB))]]>
=e(g1,g2)rf(IDB)]]>
e(σ4,g)]]>
=e(g2αf(IDA)·(u′Πi∈UAui)rAf(IDA)·(u′Πi∈UBui)rf(IDB)·(m′Πj∈Mmj)r,g)]]>
=e(g2αf(IDA),g)e(u′Πi∈UAui)rAf(IDA),g)e((u′Πi∈UBui)rf(IDB),g)e((m′Πj∈Mmj)r,g)]]>
=e(g2,g1)f(IDA)e(u′Πi∈UAui,grAf(IDA))e(u′Πi∈UBui,grf(IDB))e(m′Πj∈Mmj,gr)]]>
=e(g2,g1)f(IDA)e(u′Πi∈UAui,σ2)e(u′Πi∈UBui,σ1)f(IDB)e(m′Πj∈Mmj,σ1)]]>
分别考虑IDGSC-EN模式，IDGSC-SG模式和IDGSC-SC模式。
IDGSC-SC模式
该模式中IDA≠IDΦ,IDB≠IDΦ，即f(IDA)＝f(IDB)＝1。在该签密模式下广义签密方法如下所示：
签密：
1）计算σ1＝gr；
2）计算w＝zr；
3）计算c=m⊕H(w);]]>
4）计算σ3=(u′Πi∈UBui)r;]]>
5）计算π＝Hm(m,σ1,σ2,σ3,w)，π为长为nm的比特串，π[j]是π中第j个比特，为所有满足π[j]=1的指数j的集合；
6）计算σ4=dA1·σ3·(m′Πj∈Mmj)r.]]>
则密文为σ＝(σ1,σ2,σ3,σ4,c)。
解密：
1）计算w＝e(dB1,σ1)·e(dB2,σ3)-1；
2）计算m=c⊕H(w);]]>
3）计算π＝Hm(m,σ1,σ2,σ3,w)，为所有满足π[j]=1的指数j的集合；
4）检验如下等式，如果成立，输出接收；否则输出拒绝。
e(σ4,g)=e(g2,g1)e(u′Πi∈UAui,σ2)e(u′Πi∈UBui,σ1)e(m′Πj∈Mmj,σ1)]]>
IDGSC-SG模式
该模式中IDA≠IDΦ,IDB≠IDΦ，即f(IDA)＝1,f(IDB)＝0。在该签名模式下广义签密方法如下所示：
签名：
1）计算σ1＝gr；
2）计算w=zrf(IDB)=1;]]>
3）计算c=m⊕H(1)=m;]]>
4）计算σ3=(u′Πi∈UBui)rf(IDB)=1;]]>
5）计算π＝Hm(m,σ1,σ2,σ3,w)；π为长为nm的比特串，π[j]是π中第j个比特，为所有满足π[j]=1的指数j的集合；
6）计算σ4=dA1·σ3·(m′Πj∈Mmj)r.]]>
则签名为σ＝(σ1,σ2,σ3,σ4,c)＝(σ1,σ2,σ3,σ4,m)。
验证：
1）计算π＝Hm(m,σ1,σ2,σ3,w)，为所有满足π[j]=1的指数j的集合。
2）如果下面等式成立，则输出接受；否则输出拒绝，
e(σ4,g)=e(g2,g1)e(u′Πi∈UAui,σ2)e(u′Πi∈UBui,σ1)e(m′Πj∈Mmj,σ1)]]>
IDGSC-EN模式
该模式中IDA＝IDΦ,IDB≠IDΦ，即f(IDA)＝0,f(IDB)＝1。在加密模式下广义签密方法如下所示：
加密：
1）计算σ1＝gr；
2）计算w=zrf(IDB)=zr;]]>
3）计算c=m⊕H(w);]]>
4）计算σ2=(dA2)f(IDA)=1;]]>
5）计算π＝Hm(m,σ1,σ2,σ3,w)；π为长为nm的比特串，π[j]是π中第j个比特，为所有满足π[j]=1的指数j的集合；
6）计算σ4=(dA1)f(IDA)·σ3·(m′Πj∈Mmj)r=(u′Πi∈UBui)r·(m′Πj∈Mmj)r.]]>
则密文为σ＝(σ1,σ2,σ3,σ4,c)。
解密：
1）计算w＝e(dB1,σ1)·e(dB2,σ3)-1；
2）计算m=c⊕H(w);]]>
3）计算π＝Hm(M,σ1,σ2,σ3,w)，为所有满足π[j]=1的指数j的集合。
4）如果下面等式成立，则输出接受；否则输出拒绝，
e(σ4,g)=e(u′Πi∈UBui,σ1)e(m′Πj∈Mmj,σ1)]]>
■机密性
1）加密模式（IDGSC-EN）下的机密性
假设攻击者A运行时间t内以优势ε能够区分两个有效的密文，那么存在一个算法D在时间t′＝t内以优势ε′＝ε攻破Waters基于身份的加密方案。
证明：当广义签密使用加密模式时，它由Waters基于身份加密方案和一次性签名方案组成。Canetti等学者证明，该方案在适应性选择密文攻击下是安全的。在签密/解签密询问中，攻击者A不能将目标密文转化成有效的签密密文。基于Paterson-Schuldt方案，加密模式下广义签密方法在适应性选择密文攻击下是不可区分的。
2）签密模式（IDGSC-SC）下的机密性
假设攻击者A在时间t内，进行至多qk次私钥提取询、qs次签名询问、qv验证询问、qe次加密询问、qd次解密询问、qsc次签密询问、qus次解签密询问后，以优势ε区分两个有效的密文，则存在一个区分者D能够在时间t′＝t+(5qk+2qs+4qe+4qsc)te+(4qd+7qus+4qv)tp内以优势ϵ′=ϵ8(qk+qd+qs+qsc+qus)(nu+1)qsc(nm+1)]]>解决DBDH假设。其中te表示群G1中指数运算时间，tp表示计算双线性对(G1,G2)运算时间。
证明：区分者D把A作为子程序来解决一个随机的DBDH问题实例，即给定g,ga,gb,gc,Z下判定Z＝e(g,g)abc是否成立。
D模拟挑战者和攻击者A交互如下：
系统建立：D随机选取整数0≤lu≤q和0≤lm≤q以及0≤ku≤nu和 0≤km≤nm，满足lu(nu+1)＜q和lm(nm+1)＜q）。D随机选取整数y′=Zlm,]]>z′∈Zq，ω′∈Zq，nu维向量(x1,...,xnu)∈Zlu,]]>nm维向量(y1,...,ynm)∈Zlm,]]>nu维向量(z1,...,znu)∈Zq]]>和(ω1,...,ωnm)∈Zq.]]>为了便于分析，定义以下四种函数：
F(ID)=x′+Σi∈Uxi-luku]]>和J(ID)=z′+Σi∈Uzi]]>
K(M)=y′+Σi∈Myi-lmkm]]>和L(M)=ω′+Σi∈Mωi]]>
D执行以下操作：
（1）g1＝ga和g2＝gb。
（2）和（1≤i≤nu），对于任意身份ID满足u′Πi∈UIDui=g2F(ID)gJ(ID).]]>
（3）和（1≤i≤nm），对于任意π满足m′Πi∈Mmi=g2K(π)gL(π).]]>
最后，D将所有的参数返回给A。
阶段1.攻击者A适应性进行多项式有界次以下询问：
私钥提取询问：攻击者A询问身份ID的私钥时，D进行：
（1）如果F(ID)＝0modlu，D放弃。
（2）如果F(ID)≠0modlu，D随机选取计算dID=(dID1,dID2)=(g1-J(ID)F(ID)(g2F(ID)gJ(ID))rID,g1-1F(ID)grID).]]>
最后D返回dID＝(dID1,dID2)给A。
加密询问：攻击者A对接收者IDB下明文m进行加密询问时，D运行加密模式下的加密算法回答A的询问。
解密询问：攻击者A对接受者IDB的密文σ进行解密询问时，D进 行：
（1）如果F(IDB)＝0modlu，D放弃。
（2）如果F(IDB)≠0modlu，D首先得到IDB的私钥，然后运行加密模式下的解密算法回答A的询问。
签名询问：攻击者A对发送者IDA下的消息m进行签名询问时，D进行：
（1）如果F(IDA)＝0modlu，D放弃。
（2）如果F(IDA)≠0modlu，D首先得到IDA的私钥，然后运行签名模式下的签名算法回答A的询问。
验证询问：攻击者A对发送者IDA下的消息/签名对(m,σ)进行验证询问，D运行签名模式下的验证算法回答A的询问。
签密询问：攻击者A对发送者IDA和接收者IDB下的明文m进行签密询问时，D进行：
（1）如果F(IDA)＝0modlu，D放弃。
（2）如果F(IDA)≠0modlu，D首先得到IDA的私钥，然后运行签密模式下的签密算法回答A的询问。
解签密询问：攻击者A对发送者IDA和接收者IDB的密文σ进行解签密询问时，D进行：
（1）如果F(IDB)＝0modlu，D放弃。
（2）如果F(IDB)≠0modlu，D首先得到IDB的私钥，然后运行签密模式下的解签密算法回答A的询问。
挑战阶段：阶段1结束后，A选择两个挑战身份。这里 不能进行私钥提取询问。A提交消息m0,m1∈{0,1}l和给D，如果则D放弃；否则D随机选取γ∈{0,1}构造mγ密文如下:
D随机选取计算
πγ*=H(mγ,gc,g1-1F(IDA*)gIDA*,(gc)J(IDB*),mγ⊕H(Z))]]>
为所有满足π[j]=1的j指数集合。如果则D放弃；否则，D设置密文为
σ*=(gc,g1-1F(IDA*)gIDA*,(gc)J(IDB*),g1-J(IDA*)F(IDA*)(g2F(IDA*)gJ(IDA*))r*(gc)J(IDB*)(gc)L(πγ*)).]]>
阶段2.和阶段1相同，攻击者A进行多项式有界次的询问，除了不能对进行私钥提取询问；不能对下的密文σ*进行解签密询问。
猜想：最后，攻击者A输出γ′。如果γ′＝γ，则D回答1（Z＝e(g,g)abc）；否则，D回答0。
下面分析D成功的概率。如果满足下面的条件，D不会放弃：
（1）私钥提取询问中满足F(ID)≠0modlu。
（2）解密询问中满足F(IDB)≠0modlu。
（3）签名询问中满足F(IDA)≠0modlu。
（4）签密询问中满足F(IDA)≠0modlu。
（5）解签密询问中满足F(IDB)≠0modlu。
（6）挑战阶段满足F(IDB*)=0modq]]>和K(Mγ*)=0modq.]]>
设为出现在私钥提取询问，解密询问，签名询问，签密询问，解签密询问中的身份且不包括挑战阶段，则满足qID≤qk+qd+qs+qsc+qus。
定义下列事件：
Ai:F(IDi)≠0modlu,且i＝1,...,qID。
B：F(IDB*)=0modq.]]>
C：K(Mγ*)=0modq.]]>
D成功的概率为
因为函数F和K独立选取，因此事件和C是独立的。由于lu(nu+1)＜q，所以。即如果F(u)＝0modlu，则存在唯一的0≤ku≤nu满足F(u)＝0modq。由于的随机性可知
Pr[B]=Pr[F(IDB*)=0modq]]]>
=Pr[F(IDB*)=0modlu]Pr[F(IDB*)=0modq|F(IDB*)=0modlu]=(1lu1nu+1).]]>
由于任意的i事件Ai和B都是相互独立的，因此


同理，可得Pr[C]=Pr[K(mγ*)=0modq]=1lm1nm+1.]]>
令lu＝2(qk+qd+qs+qsc+qus)和lm＝2qsc，则


如果攻击者A成功的优势为ε，则D解决DBDH问题优势为
ϵ′=ϵ8(qk+qd+qs+qsc+qus)(nu+1)qsc(nm+1).]]>
算法D的运行时间等于攻击者A的运行时间加上回答qk次私钥提取询的时间、qs次签名询问的时间、qv次验证询问的时间、qe次加密询问的时间、qd次解密询问的时间、qsc次签密询问的时间和qus次解签密询问的时间。每次私钥提取询问需要5个群G1中的指数。每次签名询问需要2个群G1中的指数。每次验证询问需4个双线性对。每次加密询问需要4个群G1中的指数。每次解密询问需要4个双线性对。每次签密询问需要4个群G1中的指数。每次解签密询问需要7双个线性对。定义每个指数运算时间为te，每个双线性对运算时间为tp，则D的运行时间为t+(5qk+2qs+4qe+4qsc)te+(4qd+7qus+4qv)tp。
不可为造型
1）签密模式（IDGSC-SG）下的不可伪造性
如果攻击者A在时间t内以优势ε攻破方案，则存在一个算法B在时间t′＝t内以ε′＝ε的优势伪造有效Paterson-Schuldt的签名。
证明：当基于身份广义签密为签名功能时，它是Paterson-Schuldt所提出的基于身份签名。该签名方案在适应性选择消息攻击下是存在性不可伪造的。如果攻击者A能够在签名模式下攻破方案，则攻破Paterson-Schuldt方案。
2）签名模式（IDGSC-SC）下的不可伪造性
如果攻击者A在时间t内，进行至多qk次私钥提取询、qs次签名询问、qv验证询问、qe次加密询问、qd次解密询问、qsc次签密询问、qus次解签密询问后，以优势ε攻破方案，则存在一个算法B能够在时间t′＝t+(5qk+2qs+4qe+4qsc)te+(4qd+7qus+4qv)tp内以优势ϵ′=ϵ16(qk+qd+qs+qsc+qus)2(nu+1)2qsc(nm+1)]]>解决DBDH问题。其中te表示G1中计算一次指数所用的时间，tp表示计算一次双线性对所需要的时间。
证明.算法B把A作为子程序来解决一个随机的CDH问题实例，即给定(g,ga,gb)下计算gab。
算法B模拟签名模式下不可伪造挑战者和攻击者A交互如下：
初始化：算法B使用签密模式（IDGSC-SC）下的机密性中的系统建立算法来设置系统参数，同时定义g1＝ga和g2＝gb。
询问:攻击者A进行多项式有界次的私钥提取询问、签名询问、验证询问、加密询问、解密询问、签密询问和解签密询问。B使用签密模式（IDGSC-SC）下的机密性中相同的方法回答攻击者A。
伪造：最后攻击者A输出接收者和发送者下消息m*的密文σ*=(σ1*,σ2*,σ3*,σ4*,c*),]]>且满足下列条件：
（1）σ*是有效密文。
（2）不能进行私钥提取询问。
（3）和下的消息m*不能进行签密询问。
B对密文σ*解签密得到m*。B计算出定义M*为满足π[j]=1的j指数集合。如果F(IDB*)≠0modq]]>和K(π*)≠0modq,]]>则B放弃。否则当F(IDA*)=0modq,]]>F(IDB*)=0modq]]>和K(π*)=0modq,]]>B计算
e(σ4*,g)=e(g2,g1)e(u′Πi∈UA*ui,σ2*)e(u′Πi∈UB*ui,σ1*)e(m′Πj∈M*mj,σ1*)]]>
=e(ga,gb)e(gJ(IDA*),σ2*)e(gJ(IDB*),σ1*)e(gL(π*),σ1*)]]>
因此，B输出gab=σ4*(σ1*)J(IDB*)(σ2*)J(IDA*)(σ1*)L(π*)]]>为CDH问题的解。
和签密模式（IDGSC-SC）下的机密性分析方法相同，可得B解决CDH问题的概率为ϵ′=ϵ16(qk+qd+qs+qsc+qus)2(nu+1)2qsc(nm+1),]]>所用时间为t′＝t+(5qk+2qs+4qe+4qsc)te+(4qd+7qus+4qv)tp。
实施例:
标准模型下安全的一种基于身份广义签密方法
步骤1.系统建立
1）选取素数p阶循环群G1,G2，g2∈G1，双线性映射e:G1×G1→G2；
2）PKG选取两个密码学哈希函数H:{0,1}*→{0,1}l和Hm:{0,1}*→{0,1}nm;]]>
3）PKG随机选择g2∈G1，计算g1＝gα和z＝e(g1,g2)；其中为模q的乘法循环群；
4）PKG随机选择u′,m′∈G1，nu维向量u＝{ui}和nm维向量m＝{mj}，ui,mj∈G1。
则系统参数为params＝{G1,G2,e,p,g,g1,g2,H,Hm,z,u′,m′,u,m}，主密钥为设f(ID)是一个特定的函数，其中如果身份为空时，令ID＝IDΦ，f(ID)＝0；否则f(ID)＝1。
步骤2、用户密钥生成
1)假定用户身份ID为长度为16的比特串1000000110110011，定义为满足ID[i]＝1的指数i的集合；
2）PKG随机选择rID∈Zq*,]]>计算dID=(dID1,dID2)=(g2α(u′Πi=116ui)rID,grID);]]>
则身份为IDA的发送者A和身份为IDB的接收者B的私钥分别为
dA=(dA1,dA2)=(g2α(u′Πi=116ui)rA,grA);]]>
dB=(dB1,dB2)=(g2α(u′Πi=116ui)rB,grB).]]>
步骤三、广义签密
假设发送者A想要给接收者B发送签密消息m∈{0,1}8；发送者A随机选取执行如下步骤：
1）计算σ1＝gr；
2）计算w=zrf(IDB);]]>
3）计算c=m⊕H(w);]]>
4）计算σ2=(dA2)f(IDA);]]>
5）计算σ3=(u′Πi=116ui)rf(IDB);]]>
6）计算π＝Hm(m,σ1,σ2,σ3,w)，其中π为长为8的比特串1001011，定义为满足π[j]=1的指数j的集合；
7）计算σ4=(dA1)f(IDA)·σ3·(m′Πj=18mj)r;]]>
则密文为σ＝(σ1,σ2,σ3,σ4,c)。
步骤四、广义解签密
当接收者B接收到密文σ＝(σ1,σ2,σ3,σ4,c)时，执行如下步骤：
1）计算f(IDB)；
2）计算w=e(dB1,σ1f(IDB))·e(dB2,σ3)-1;]]>
3）计算m=c⊕H(w);]]>
4）计算π＝Hm(m,σ1,σ2,σ3,w)其中π为长为8的比特串1001011，定义为满足π[j]=1的指数j的集合；
5）验证方程
e(σ4,g)=e(g2,g1)f(IDA)e(u′Πi=116ui,σ2)e(u′Πi=116ui,σ1)f(IDB)e(m′Πj=116mj,σ1)]]>
的有效性；如果有效，输出接受；否则输出拒绝。
本发明提供电子文档的标准模型下安全的基于身份广义签密，能够同时提供签密、签名和加密三种功能，保护了电子文档的机密性、完整性、不可伪造性和不可否认性。