摘要: 广义签密可以只用一个算法实现加密、签名和签密3种功能。提出了无可信中心的基于身份的广义签密体制的形式化定义,并定义了其较为全面的安全模型,进而利用双线性对提出一个具体方案。在BDH和CDH困难问题假设下,证明了方案在随机预言机模型下的安全性。效率比较表明,方案是高效的。
[1] Shamir A.Identity-based cryptosystems and signature schemes[C]∥Proceeding of Crypto’84,LNCS196.Berlin:Springer-Verlag,1984:47-53 [2] Boneh D,Frankklin M.Identity Based Encryption From the Weil Pairing[C]∥Proceeding of Crypto’01,LNCS2139.Berlin:Springer-Verlag,2001:213-229 [3] Al-Riyami S S,Paterson K G.Certificateless public key cryptography [C]∥Proceeding of ASIACRYPT 2003,LNCS2894.Berlin:Springer-Verlag,2003:452-473 [4] 所定义的Level 3安全,在随机预言机模型中证明了方案的安全性,对方案的效率也进行了分析。 2一些基本概念 2.1双线性对 设G1是素数q阶加法循环群,G2是同阶乘法循环群。映射e:G1×G1→G2称作双线性对,如果该映射具有以下3个性质: 双线性性:对任意的P,Q∈G1,a,b∈Zq,都有e(aP,bQ)=e(P,Q)ab; 非退化性:存在P,Q∈G1,满足e(P,Q)≠1G2; 可计算性:对任意的P,Q∈G1,存在一个有效的算法计算e(P,Q)。 2.2困难问题 定义1对任意a,b,c∈Z*q,由(P,aP,bP,cP)计算e(P,P)abc就是BDH(Bilinear Diffie-Hellman)问题(这里并不知道具体的a,b,c的值)。 定义2在G1中给定(P,aP,bP),a,b∈Zq未知,要求计算abP∈G1就是CDH(Computational Diffie-Hellman)问题。 3无可信中心的基于身份的广义签密体制 3.1定义 定义3一个无可信中心的基于ID的广义签密由6个算法构成:系统初始化、用户密钥生成、部分私钥解析、广义签密、解广义签密和追踪算法。 系统初始化(Setup):一个全局初始化算法,以安全参数1k为输入,输出一个主密钥s和系统全局参数Params。该算法由KGC运行,保密s,公开Params。 用户密钥生成(User-Key-Generation):该算法输入一个用户身份ID和公开参数Params,输出一个秘密值xID和一个公钥R。该算法由用户运行得到一个公钥和一个秘密值,该秘密值用于构造完整私钥。 部分私钥解析(Partial-Key-Extract):该算法输入一个用户身份ID、用户秘密值xID的使用期限T、用户公钥R、系统主密钥s和全局参数Params,输出相应于该ID的部分私钥DID。该算法由KGC运行,验证完用户身份后运行。 广义签密(GSC):有3种可能模式,但每次只有一种模式发生(根据输入的身份是否为空)。 (a)签密。若IDA,IDB,则对应签密模式。σ= GSC(m,IDA,IDB)=signcrypt(m,IDA,IDB)。 (b)签名。若IDA,IDB∈,则对应签名模式。σ=GSC(m,IDA,)=sign(m,IDA)。 (c)加密。若IDA∈,IDB,则对应加密模式。σ=GSC(m,,IDB)=encrypt(m,IDB)。 解广义签密(UGSC):对应3种模式中的一种(根据输入的身份是否为空)。 (a)解签密。若IDA,IDB,则对应解签密。m or⊥=UGSC(σ,IDA,IDB)=unsigncrypt(σ,IDA,IDB)。 (b)签名验证。若IDA,IDB∈,则对应签名验证。T or ⊥=UGSC(σ,IDA,)=verify(σ,IDA)。 (c)解密。若IDA∈,IDB,则对应解密。m or ⊥=UGSC(σ,,IDB)=decrypt(σ,IDB)。 追踪算法(Trace):如果KGC用两个或两个以上的私钥来绑定同一个用户的ID,从而伪造用户的广义签密,用户可以生成证据提交给仲裁者TA,TA通过检验证据可以判断KGC是否诚实。 3.2安全模型 文献[24]定义了基于身份广义签密体制较为全面的安全模型,攻击者能得到7种预言机服务,即Extract、Sign、Verify、Encrypt、Decrypt、Signcrypt、Unsigncrypt。文献[25]对其进行了简化。本文对文献[25]稍作修改,再参考杜红珍 [5] 的可追踪的基于身份的签名的安全模型、刘景伟[27]的基于ID的无证书签名方案的安全模型,定义了无可信中心的基于身份的广义签密体制的安全模型。 在一个无可信中心的基于身份的广义签密方案中,KGC可能扮演3种角色。 1)可信的:KGC是诚实的,不会与他人合谋; 2)消极不诚实:KGC有可能将用户的部分私钥泄漏给敌手; 3)积极不诚实:KGC伪造用户的秘密值,从而用两个或两个以上的私钥来绑定一个用户的ID,然后泄漏给敌手。 根据KGC的行为,定义3种类型的敌手。 类型I:敌手没有用户的部分私钥,但可以知道用户的秘密值。 类型II:敌手知道用户的部分私钥,但没有用户的秘密值。 类型III:敌手有用户秘密值及部分私钥,但该秘密值是KGC伪造的,与用户真正的秘密值不同。 注意,在机密性游戏中只需考虑广义签密在签密和加密模式下的情形,在不可伪造性游戏中,只需考虑签密和签名模式下的情形。 定义4一个无可信中心的基于身份的广义签密体制,在加密或签密模式下,被称作是抗适应性选择密文和身份攻击安全的(IND-IDGSC-CCA2),如果不存在任何多项式有界的攻击者(类型I或II)以不可忽略的概率赢得下面定义的游戏: 游戏1 初始化:挑战者C运行Setup(1k),生成系统公开参数params和主密钥s。返回params给A,如果A是类型II攻击者,则另外返回s给A。 阶段1攻击者A适应性地进行至多多项式有界次的以下询问: (a)部分私钥解析询问(仅适用于类型I攻击者):输入身份ID,预言机返回相应的部分私钥DID。 (b)秘密值解析询问:对ID的秘密值的访问,C返回xID给A。 (c)公钥询问:输入身份ID,预言机返回相应公钥。 (d)广义签密询问。输入(m,IDA,IDB),预言机返回对消息m的广义签密σ。这里,IDA或IDB可以为空。如果IDA为空,则相当于加密预言机;如果IDB为空,则是签名预言机;如果都不空,则是签密预言机。 (e)解广义签密询问。输入(σ,IDA,IDB),预言机解广义签密,返回m或⊥。这里,IDA或IDB可以为空。如果IDA为空,则是解密预言机;如果IDB为空,则是签名验证预言机,如果都不空,则是解签密预言机。 挑战阶段:A输出两个身份{ID*A,ID*B}和两个等长不同消息{m0,m1},要求ID*B(否则无意义)。C随机取b∈{0,1},计算σ*=GSC(mb,ID*A,ID*B)并返回给A。 阶段2A继续适应性地进行像阶段1中的多项式有界次的询问,但不允许用ID*A和ID*B对σ*进行解广义签密询问。 最后A返回对b的猜测b′,若b=b′且满足以下条件,则A获胜。A在攻击中的优势定义为Adv[A]=|2Pr[b=b′]-1|。 对类型I敌手,不能对ID*B作部分私钥解析询问;对类型II敌手,不能对ID*B作秘密值解析询问。 以上挑战阶段ID*A如果为空,对应加密模式;ID*A不空,对应签密模式。所以加密和签密模式共用同一个游戏。 定义5一个基于身份的广义签密体制,在签密或签名模式下,被称作是在适应性选择消息和身份攻击下不可伪造的(UF-IDGSC-CMA),如果不存在任何多项式有界的攻击者(类型I或II)以不可忽略的概率赢得如下定义的游戏: 游戏2 初始化阶段和阶段1:同游戏1。 伪造:最后,A输出一个新的三元组(σ*,ID*A,ID*B),要求ID*A(否则无意义)且该三元组不是由广义签密预言机产生,如果解广义签密σ*,ID*A,ID*B不是失败,且满足以下条件,则A赢得游戏。 对类型I敌手,不能对ID*A作部分私钥解析询问;对类型II敌手,ID*A没有经过秘密值解析询问。 以上伪造阶段ID*B如果为空,对应签名模式;ID*B不空,对应签密模式。所以签名和签密模式共用同一个游戏。 4具体方案 Setup:设G1为由P生成的循环加法群,阶为q,G2为具有相同阶的循环乘法群,e:G1×G1→G2为一个双线性映射。定义4个安全的散列函数H1:{0,1}*×G1→G1,H2:{0,1}*→{0,1}n+k1,H3:{0,1}*→G1,H4:{0,1}*→G1,其中n、k1分别是消息比特长度和G1中元素比特长度。密钥生成中心KGC随机选择一个主密钥s∈Z*q,计算PPub=sP,保密s。系统公开参数{G1,G2,e,q,P,PPub,H1,H2,H3,H4}。定义一个特殊函数f(ID)。当ID∈,f(ID)=0;else f(ID)=1。 User-Key-Generation:用户选取一个随机数x∈Z*q作为秘密值,计算R=xP作为公钥。 Partial-Key-Extract:用户把公钥R、x的使用期限T和他的身份ID送给KGC。KGC验证其身份后,计算QID=H1(ID‖T,R)并公开,计算DID=sQID,将DID通过一个安全信道送给用户。这样用户的公钥是{R,QID},私钥是{x,DID}。如果ID∈,则公钥是{,},私钥是{0,},代表G1中的无穷远点。 GSC(m,IDS,IDR): (1)计算f(IDS),f(IDR),如果都为0,则无意义并终止; (2)随机选取r∈Z*q,计算U=rP; (3)计算H=H3(U,m,IDR); (4)计算H′=H4(U,m,IDR); (5)计算S=f(IDS)DS+rH+f(IDS)xSH′; (6)计算w=e(PPub,QR)rf(IDR); (7)计算h=f(IDR)H2(U,w,rRR,IDS,IDR); (8)计算V=m‖S⊕h; (9)输出σ=(U,V) UGSC(U,V,IDS,IDR): (1)计算f(IDS),f(IDR),如果都为0,则无意义并终止; (2)计算w′=e(U,DR)f(IDR); (3)计算h′=f(IDR)H2(U,w′,xRU,IDS,IDR); (4)计算m‖S=V⊕h′; (5)计算H=H3(U,m,IDR); (6)计算H′=H4(U,m,IDR); (7)判断e(PPub,QS)f(IDS)e(U,H)e(RS,H′)f(IDS)=e(P,S)是否成立,成立则返回m,否则返回⊥。 Trace:若某广义签密能在声称是A的另外一对公钥{R′,Q′ID}下通过验证,则A可以提供证据给仲裁方TA,以证明是主密钥s泄漏或是KGC不诚实。首先,A把公钥R递交给TA,然后证明A知道对应的部分私钥DID=sH1(ID‖T,R)。证明如下:TA选取一个随机数a∈Z*q,把aP给A,A计算S=e(DID,aP)并将S发给TA,TA计算e(aQID,PPub)是否等于S,若成立,则TA可以判定是系统主密钥s泄漏或是KGC不诚实,因为身份ID同时对应了两对公钥{R,QID}和{R′,Q′ID},而主密钥s只有KGC知道。 说明: (1)如果IDS,IDR∈,算法工作于签名模式:这时f(IDR)=0,h=0,V=m‖S⊕h=m‖S,所以最后发送的密文σ=(U,V)=(U,m‖S),即(U,S)为m的签名。 (2)如果IDS∈φ,IDR,算法工作于加密模式:这时f(IDS)=0,S=rH,验证等式变成e(U,H)=e(P,S)。 (3)如果IDSφ,IDR,算法工作于签密模式:这时f(IDS)=1,f(IDR)=1。 5方案分析 5.1安全性分析 限于篇幅,本文只给出定理1的安全性证明。 定理1在随机预言机模型中,在加密模式或签密模式下,若存在一个PPT敌手A(类型I攻击者)以不可忽略的优势ε攻击本文方案的IND-IDGSC-CCA安全,则存在一个算法B利用A以以下优势解决BDH问题: ε′>(ε/qT1qT2)(1-qGSC(qGSC+qUGSC+q3+1)/2k)(1-qUGSC/2k) 其中qT1=q1+qE+2qGSC+2qUGSC+2,qT2=q2+qGSC+qUGSC 。q1、q2、q3、qE、qGSC和qUGSC分别表示攻击者能进行的对H1、H2、H3、部分私钥解析、广义签密和解广义签密的最大询问次数。 证明:当收到BDH挑战元组(Γ,aP,bP,cP)时,P是生成元,算法B设置PPub=aP。B随机选取IDl(1≤l≤qT1)作为挑战身份。 (a)H1询问。输入是(ID,R,T),如果L1中已经包含元组(ID,R,T,y)或(ID,R,T,-),则返回yP或bP;否则,如果ID=IDl,把(ID,R,T,-)加入L1并返回bP;否则,B随机取y∈Z*q,返回yP,并把(ID,R,T,y)加到L1中。 (b)H2询问。如果L2中已经包含元组(U,w,R,IDA,IDB,h),则返回该h;否则B返回一个随机的h,并把元组(U,w,R,IDA,IDB,h)加入L2。 (c)H3询问。如果L3中已经包含元组(U,m,IDR,t,tP),则返回tP;否则B生成一个随机的值t∈Z*q,把(U,m,IDR,t,tP)加入L3,返回tP。 (d)H4询问。如果L4中已经包含元组(U,m,IDR,t′,t′P),则返回t′P;否则B生成一个随机的值t′∈Z*q,把(U,m,IDR,t′,t′P)加入L4,返回t′P。 (e)公钥询问。输入是ID,如果LPK中已经包含元组(ID,R,x),则返回R;否则B随机选取x∈Z*q作为A的秘密值,计算R=xP,把(ID,R,x)加入LPK并返回R。 (f)部分私钥解析询问。输入是ID,如果ID=IDl,B失败并终止模拟;否则B调出L1中的元组(ID,R,T,y),返回D=yaP(如果L1中不含该元组,则先作H1询问,以后类似情况作相同处理,不再另作说明)。 (g)秘密值解析询问。输入是ID,如果LPK中已经包含元组(ID,R,x),则返回x;否则B随机选取x∈Z*q作为A的秘密值,计算R=xP,把(ID,R,x)加入LPK并返回x。 (h)广义签密询问。对每一个新的元组(m,IDS,IDR)的询问,若IDS∈,IDR,对应加密,只需公开参数,所以B只需简单地按正常方式进行加密。以下考虑IDS,分两种情况: Case1IDS≠IDl。由于可以得到两个私钥,因此B只需简单地按正常方式进行广义签密。 Case2IDS=IDl。B随机选取u,v∈Z*q,设置U=vaP,H=v-1(uP-bP),把(U,m,IDR,⊥,H)加入L3,如果L3中已经包含该元组,则失败并终止模拟;否则,B在L4中查找元组(U,m,IDR,t′,t′P)得到t′,在LPK中查找IDS得到RS,计算S=uaP+t′RS。在L1中查找IDR得到yR,在LPK中查找IDR得到xR,计算w=e(U,yRPpub),R=xRU。在L2中查找元组(U,w,R,IDS,IDR,h),用该h计算V=(m‖S)⊕(f(IDR)h)。最后,返回σ=(U,V)。注意,这是一个正确的广义签密,因为S=DS+rH+xSH′=abP+vav-1(uP-bP)+xSt′P=uaP+t′RS。 (I)解广义签密询问。对每一个新的元组(U,V,IDS,IDR)的询问,若IDS,IDR∈,对应签名验证,只需公开参数,B按正常方式进行。以下考虑IDR,分两种情况: Case1IDR≠IDl。由于可以得到IDR的完整私钥,B按正常方式完成解广义签密。 Case2IDR=IDl。B遍历L2中的所有含IDl的元组(U,w,R,IDS,IDl,h),使用h计算m‖S=V⊕h,然后判断验证等式e(PPub,QS)f(IDS)e(U,H)e(RS,H′)f(IDS)=e(P,S)是否成立,其中H、H′、QS和RS都可从相应询问获得,成立则返回m,否则移到L2中下一条目重新开始。如果遍历完L2中的条目没有消息返回,则返回⊥。 最终,A输出两个等长的不同消息(m0,m1)和两个身份ID*S和ID*R。若ID*R≠IDl,B失败并终止模拟;否则B如下处理。设置U*=cP,随机取V*∈{0,1}n+k1,提交挑战密文σ*=(U*,V*)给A。 第二阶段,这些询问与第一阶段相同,对A的限制同游戏1。最终,A输出他的猜测。A不知道σ*=(U*,V*)不是一个正确的密文,除非A用挑战元组(U*,w*,R*,ID*S,IDl)询问H2。如果这种情况发生,由于w*=e(Ppub,Q*R)r=e(aP,bP)c=e(P,P)abc,则BDH问题的候选答案将被保存在L2中,B忽略A的猜测,随机从L2中选择一个w*作为BDH问题的答案,B从这可以成功解决BDH问题。下面分析B成功的概率,由于L1中最多含有qT1个元素,因此IDl被选为挑战身份的概率为1/qT1。B随机从L2中选择w*作为BDH问题的解,正确的概率是1/qT2。在广义签密阶段,L3冲突B将失败,由于L3最大值为qGSC+qUGSC+q3+1,冲突的概率为qGSC(qGSC+qUGSC+q3+1)/2k;解广义签密阶段,B拒绝有效密文的概率小于qUGSC/2k。 在挑战阶段,ID*S可以为空,如果ID*S为空,则对应加密模式;如果ID*S不为空,则对应签密模式。所以加密模式和签密模式共用同一个游戏。 定理2在随机预言机模型中,在加密模式或签密模式下,若存在一个PPT敌手A(类型II攻击者)以不可忽略的优势ε攻击本文方案的IND-IDGSC-CCA安全,则存在一个算法B利用A以以下优势解决CDH问题: ε′>(ε/qT1)(1-qGSC(qGSC+qUGSC+q3+1)/2k)(1-qUGSC/2k) 其中qT1=q1+2qGSC+2qUGSC+2。q1、q3、qGSC和qUGSC的表示同前。 定理3在随机预言机模型中,在签名或签密模式下,若存在一个PPT敌手A(类型I攻击者)以不可忽略的优势ε攻击本文方案的UF-IDGSC-CMA安全,则存在一个算法B利用A以以下优势解决CDH问题: ε′>(ε/qT1)(1-(qGSC(qGSC+qUGSC+q3+1)+2)/2k)(1-qUGSC/2k) 其中qT1=q1+qE+2qGSC+2qUGSC+1。q1、q3、qE、qGSC和qUGSC的表示同前。 定理4在随机预言机模型中,在签名或签密模式下,若存在一个PPT敌手A(类型II攻击者)以不可忽略的优势ε攻击本文方案的UF-IDGSC-CMA安全,则存在一个算法B利用A以以下优势解决CDH问题: ε′>(ε/qT1)(1-(qGSC(qGSC+qUGSC+q3+1)+2)/2k)(1-qUGSC/2k) 其中qT1=q1+2qGSC+2qUGSC+1。q1、q3、qGSC和qUGSC的表示同前。 定理5如果KGC(类型III攻击者)冒充某个合法用户伪造了广义签密,该用户能向仲裁者证明KGC是不诚实的。 定理5的证明类似本文方案的Trace算法。 5.2效率分析 计算开销和密文长度是影响效率的两个主要方面。在计算开销方面,主要考虑双线性对运算、G1中的点乘运算和G2中的指数运算。表1列出本方案与其它方案的比较。其中P表示对运算(括号表示可以预计算),E表示指数运算,M表示点乘运算。可以看出,本文方案的密文长度最短,方案是高效的。 表1与其它基于身份的广义签密方案的比较方案密文长度加密、签名解密、验证EMPEMP方案[15]2|G1|+|m|+|ID|051013方案[23]2|G1|+|m|+|ID|041013方案[24]2|G1|+|m|+|ID|130(+1)202(+2) 方案[25]2|G1|+|m|+|ID|+|G2|230122方案[26]2|G1|+|m|+2|q|120(+1)103(+1) 本方案2|G1|+|m|140(+1)014(+1)结束语结合无可信中心和基于身份的广义签密的概念,本文首次给出了无可信中心的基于身份的广义签密方案的形式化定义及安全模型,并给出一个具体方案,在随机预言机中证明了方案的安全性。效率比较表明,方案是高效的。广义签密在一般签密方案能同时提供机密性和认证性的基础上,可以只实现机密性或认证性一种功能,在节约时间和成本的基础上满足了不同的需求环境,因而具有更广泛的应用前景。 [1]Shamir A.Identity-based cryptosystems and signature schemes[C]∥Proceeding of Crypto’84,LNCS196.Berlin:Springer-Verlag,1984:47-53 [2]Boneh D,Frankklin M.Identity Based Encryption From the Weil Pairing[C]∥Proceeding of Crypto’01,LNCS2139.Berlin:Springer-Verlag,2001:213-229 [3]Al-Riyami S S,Paterson K G.Certificateless public key cryptography [C]∥Proceeding of ASIACRYPT 2003,LNCS2894.Berlin:Springer-Verlag,2003:452-473 [4]Girault M.Self-certified public keys[C]∥Proceeding of Eurocrypt ’91,LNCS547.Berlin:Springer-Verlag,1991:490-497 [5]杜红珍.数字签名技术的若干问题研究[D].北京:北京邮电大学,2009 [6] Chen Xiao-feng,Zhang Fang-guo,Kim K.A New ID-basedGroup Signature Scheme from Bilinear Pairings[C]∥Procee-dings of WISA’03.2003:585-592 [7] Liao Jian,Xiao Jun-fang,Qi Ying-hao,et al.ID-based signature scheme without trusted PKG[C]∥Proceeding of CISC 2005,LNCS3822.Berlin:Springer-Verlag,2005:53-62 [8] 周亮,李大鹏,杨义先.基于身份的无需可信任PKG的签名方案[J].通信学报,2008,29(6):8-12 [9] Liu Jing-wei,Sun Rong,Kou Wei-dong,et al.Efficient ID-based Signature Without Trusted PKG[EB/OL].http://eprint.iacr.org /2007/135,2007-04-17 [10] 徐玲玲.基于身份的无可信PKG的签名体制[D].济南:山东大学,2008 [11] Zheng Yu-liang.Digital signcryption or how to achieve cost (signature & encryption)< [13] Han Yi-liang.Generalization of signcryption for resources-constrained environments[J].Wireless Communication and Mobile Computing,2007,7(7):919-931 [14] Han Yi-liang,Gui Xiao-lin.Adaptive secure multicast in wireless networks[J].International Journal of Communication Systems,2009,22(9):1213-1239 [15] 2|G1|+|m|+|ID|051013方案[23]2|G1|+|m|+|ID|041013方案[24]2|G1|+|m|+|ID|130(+1)202(+2) 方案[25]2|G1|+|m|+|ID|+|G2|230122方案[26]2|G1|+|m|+2|q|120(+1)103(+1) 本方案2|G1|+|m|140(+1)014(+1)结束语结合无可信中心和基于身份的广义签密的概念,本文首次给出了无可信中心的基于身份的广义签密方案的形式化定义及安全模型,并给出一个具体方案,在随机预言机中证明了方案的安全性。效率比较表明,方案是高效的。广义签密在一般签密方案能同时提供机密性和认证性的基础上,可以只实现机密性或认证性一种功能,在节约时间和成本的基础上满足了不同的需求环境,因而具有更广泛的应用前景。 [1]Shamir A.Identity-based cryptosystems and signature schemes[C]∥Proceeding of Crypto’84,LNCS196.Berlin:Springer-Verlag,1984:47-53 [2]Boneh D,Frankklin M.Identity Based Encryption From the Weil Pairing[C]∥Proceeding of Crypto’01,LNCS2139.Berlin:Springer-Verlag,2001:213-229 [3]Al-Riyami S S,Paterson K G.Certificateless public key cryptography [C]∥Proceeding of ASIACRYPT 2003,LNCS2894.Berlin:Springer-Verlag,2003:452-473 [4]Girault M.Self-certified public keys[C]∥Proceeding of Eurocrypt ’91,LNCS547.Berlin:Springer-Verlag,1991:490-497 [5]杜红珍.数字签名技术的若干问题研究[D].北京:北京邮电大学,2009 [6]Chen Xiao-feng,Zhang Fang-guo,Kim K.A New ID-basedGroup Signature Scheme from Bilinear Pairings[C]∥Procee-dings of WISA’03.2003:585-592 [7]Liao Jian,Xiao Jun-fang,Qi Ying-hao,et al.ID-based signature scheme without trusted PKG[C]∥Proceeding of CISC 2005,LNCS3822.Berlin:Springer-Verlag,2005:53-62 [8]周亮,李大鹏,杨义先.基于身份的无需可信任PKG的签名方案[J].通信学报,2008,29(6):8-12 [9]Liu Jing-wei,Sun Rong,Kou Wei-dong,et al.Efficient ID-based Signature Without Trusted PKG[EB/OL].http://eprint.iacr.org /2007/135,2007-04-17 [10]徐玲玲.基于身份的无可信PKG的签名体制[D].济南:山东大学,2008 [11]Zheng Yu-liang.Digital signcryption or how to achieve cost (signature & encryption)< [17] Yang Xiao-yuan,Li Mao-tang,Wei Li-xian,et al.New ECDSA-Verifiable Multi-Receiver Generalization Signcryption [C]∥The 10th IEEE International Conference on High Performance Computing and Communications.2008:1042-1047 [18] Han Yi-liang,Gui Xiao-lin.BPGSC:Bilinear pairing based genera-lized signcryption scheme[C]∥2009Eighth International Conference on Grid and Cooperative Computing.2009:76-82 [19] 杨晓元,黎茂堂,魏立线.ECDSA可公开验证广播签密[J].解放军理工大学学报:自然科学版,2009,10(4):324-328 [20] Zhang Chuan-rong,Zhang Yu-qing.Secure and Efficient Genera-lized Signcryption Scheme Based on a Short ECDSA[C]∥Proc of IIH-MSP’2010.2010:466-469 [21] 冀会芳,韩文报,刘连东.标准模型下多个PKG的基于身份广义签密[J].电子与信息学报,2011,33(5):1204-1210 |
No related articles found! |
|