刘镇  等:安全随机数部分重用及在多接收方签密的应用                                                      3239


                        部分随机数重用多接收方签密方案;接着,定理 6 和定理 7 分别给出并证明该方案的保密和不可伪造性
                        安全性(定理 6 的证明可由定理 1 和定理 5 得到,定理 7 的证明可由定理 2 和定理 5 得到),然后介绍方
                        案相关参数的选取;最后,将构造的随机数部分重用的多接收方签密方案与原标准签密方案独立运行
                        N 次以及其他基于格的多接收方签密方案的效率进行对比分析.

                 2    模型及定义

                 2.1   通信模型
                    我们的通信模型主要考虑 MM-MR 的场景,如图 2 所示.设发送方 S 想要以广播的方式分别将 N 个不同的
                 消息(m 1 ,m 2 ,…,m N )发送给 N 个不同的接收方(R 1 ,R 2 ,…,R N ),发送方将消息签密后得到签密文 C=(c 1 ,c 2 ,…,c N )并加
                 以广播,对 i=1,2,…,N,接收方 R i 从广播的消息中获得自己的密文 c i 并解密.

                                                                          R 1
                                                                    c 1
                                                S
                                             m 1                     c 2  R 2
                                             m 2  (c 1,c 2,...,c N)  广播通道
                                             ...
                                             m N                         ...
                                                                     c N
                                                                          R N

                                       Fig.2    Communication model of MM-MR signcryption
                                                 图 2   MM-MR 签密通信模型

                    值得注意的是:MM-MR 签密可以看作是签密的一般情况,标准的一对一签密和 SM-MR 签密都可以看作是
                 其特殊情况.当 m 1 =m 2 =…=m N 时,MM-MR 签密退化成 SM-MR 签密;当 N=1 时,MM-MR 签密退化成标准的一对
                 一签密.

                 2.2   标准的签密方案
                    在签密方案的构造中,我们需要用到一些随机数,它们的选取方法与具体算法相关,通常在签密方案的定义
                 中并不描述.由于我们研究的是多接收方签密方案构造中的随机数部分重用的安全性问题,需区分方案中重用
                 和非重用的随机数两种情况.为了方案的定义更规范、清晰,本文用 Coin SC 来描述签密算法 SC 按照具体要求选
                 取方案所需的所有随机数,用 CoinsRu SC 来描述签密算法 SC 按照具体要求选取方案所需可重用的随机数,用
                 CoinsNRu SC 来描述签密算法 SC 按照具体要求选取方案所需非重用的随机数,用 Coins MSC 来描述签密算法 MSC
                 按照具体要求选取方案所需的全部随机数.
                    定义 1(标准签密方案).  一个语义安全的签密方案=(Gen,Kgen,SC,DSC)是一个四元组,Gen 是随机化的参
                 数生成算法,输入安全参数 kN,输出随机化系统参数 parm,可表示为 parm Rnd Gen(k);Kgen 是随机化的密钥生
                 成算法,输入系统参数 parm,输出随机化系统通信双方密钥对(pk S ,sk S )和(pk R ,sk R ),用(pk S ,sk S )(pk R ,sk R ) Rnd Kgen

                 (parm)来表示;SC 是随机化签密算法,输入发送方私钥 sk S ,接收方公钥 pk R ,明文 m,随机数集合 r Rnd Coins SC
                 (parm,sk S ,pk R ),输出签密文 c=SC(sk S ,pk R ,m,r),用 c Rnd SC(sk S ,pk R ,m)来表示;DSC 是确定性的解签密算法,输入密
                 文 c,发送方的公钥 pk S ,接收方私钥 sk R ,输出明文 m 或者终止符,用(m,)DSC(c,pk S ,sk R )来表示.
                    设系统参数 parm,Mspc(parm)表示明文 m 的消息空间,要求对于所有 mMspc(parm),满足:
                                                DSC(SC(sk S ,pk R ,m,r),pk S ,sk R )=m.
                    保密性和不可伪造性是签密方案两个基本的安全概念,我们给出定义如下.
                    定义 2(保密安全性)     [14] .  给定一个签密方案=(Gen,Kgen,SC,DSC),attk={CPA,CCA2},对于任意多项式时间
                 敌手 A,考虑以下 attkExp 实验.
                       attkExp attk ,A -b ().k
                              