3238                                 Journal of Software  软件学报 Vol.32, No.10, October 2021

                 多接收方加密方案中的应用,给出了可再生性(reproducibility)定理来验证随机数重用加密方案的安全性,从而
                 为构造安全的随机数重用加密方案提供了思路.如今,随机数重用在构造多接收方加密及具有其他性质的加密
                 方案中得到了广泛应用        [912] .
                    签密由 Zheng   [13] 首次提出,它将加密和签名结合成一步,可同时保护系统的保密性与认证性,是一个重要的
                 密码学原语.韩益亮等人        [14] 将随机数重用理论推广到了签密,对随机数重用签密方案的构造及安全性进行了研
                 究,给出了签密方案的可再生性定理,证明了基于随机数重用可再生的方案构造的多接收方签密与原方案具有
                 相同的安全强度,并基于离散对数困难问题构造了一个随机数重用的多接收方签密方案.随后,一批随机数重用
                 的多接收方签密成果陆续被提出            [1517] .
                    上述现有关于随机数重用的方案都是针对基础方案中所有的随机数.通常,许多安全的点对点密码通信方
                 案,尤其是基于格的签密方案中包含多个随机数,一方面,可再生签密方案的定义对标准方案需要满足的安全条
                 件非常严苛,重用所有随机数对方案的安全性带来了很大的挑战,目前还没有结果证明现有的某个基于格的签
                 密方案是随机数全重用可再生的;另一方面,重用一个或者几个关键的随机数也能有效地节约系统的通信和计
                 算开销.因此,研究如何安全地重用部分随机数来构造多接收方签密,是一件非常有意义的工作.
                    另外,直接构造和随机数全重用构造方式可以看作是随机数重用构造方式的两种情况.当重用的随机数个
                 数为空时,随机数重用构造方式退化到直接构造的方式(即非随机数重用);当重用的随机数个数为标准方案所
                 有随机数时,随机数重用构造方式演化成随机数全重用构造方式.从现实情况来看,还有另一种更常见的情况是
                 重用的随机数个数为标准方案中部分随机数,此时的构造方式称为随机数部分重用构造方式.

                 1.3   本文的工作
                    本文借鉴 Kurosawa、Bellare 和韩益亮等人的思路,结合格基签密方案多随机数的实际情况,以多接收方签
                 密为研究对象,将随机数重用构造多接收方密码的安全理论丰富到随机数部分重用的场景,提出了随机数部分
                 重用的概念,定义了随机数部分重用的多接收方签密方案和随机数部分重用可再生的签密方案,研究了可安全
                 随机数部分重用的条件(标准签密方案是随机数部分重用可再生的方案),给出并证明了随机数部分重用可再生
                 性定理:如果标准密码方案是随机数部分重用可再生的方案,那么采用随机数部分重用构造的多接收方密码方
                 案与标准方案具有相同的安全强度;最后,基于随机数部分重用可再生的签密方案定义,证明了路秀华等人格基
                 签密方案是部分随机数重用可再生的签密方案.然后,基于路秀华的标准签密方案,构造了一个部分随机数重用
                 的格基多接收方签密方案,并基于可再生性定理证明了所构造方案的安全性.效率分析表明:与直接构造相比,
                 随机数部分重用的构造可有效地节约计算和通信开销.
                 1.4   组织结构
                    本文的章节组织如下:
                       第 1 节介绍本文的研究背景、相关工作、本文的工作以及本文的组织结构;
                       第 2.1 节介绍通信模型;第 2.2 节介绍标准签密方案(定义 1)及安全性定义(定义 2 和定义 3);第 2.3 节
                        介绍多接收方签密方案(定义 4)及安全性定义(定义 6 和定义 8),同时还介绍随机数重用的多接收方签
                        密方案(即如何基于定义 1 的标准签密方案,采用随机数重用的方式来构造一个多接收方签密方案的
                        通用方法,见定义 5)及安全性定义(定义 7 和定义 9);
                       第 3 节研究部分随机数重用的多接收方签密安全理论,其中,第 3.1 节给出标准签密方案可部分随机数
                        重用的安全条件(即标准签密方案是可再生的签密方案,见定义 10);第 3.2 节指出:如果一个标准签密方
                        案是定义 10 描述的部分随机数重用可再生的签密方案,那么基于该标准签密方案构造的多接收方签
                        密方案的安全性可规约到标准签密方案,进一步地在定理 1 和定理 2 中给出形式化描述和详细的证明;
                       第 4 节介绍部分随机数重用安全理论的应用,其中,第 4.1 节介绍格相关理论;第 4.2 节介绍一个基于格
                        的标准签密方案 LWWD16;第 4.3 节基于标准签密方案,首先在定理 5 证明该标准签密方案是部分随机
                        数重用可再生的签密方案(即满足部分随机数重用安全条件);然后,采用定义 5 的方法构造一个相应的