Page 278 - 《软件学报》2021年第10期

P. 278

3250 Journal of Software 软件学报 Vol.32, No.10, October 2021

是 euf-CMA 安全的.如果存在伪造者 FR 以不可忽略的优势   Adv CMA ()k 伪造一个上述标准签密方案的合
FR  ,FR
 qq 1 
法签密文,那么存在敌手 FB,以不可忽略的优势  FB  FA  1 ≥ SC H 1  2  攻破小整数解(SIS)问题.
 2 k 2  k
 qq 1    qq 1 
综合可得  FB  FA  1 ≥ SC H 1  2  ≥ MFA  1 SC H 1  2  , 上述 PRRU-MM-MR 签密方案 M的 euf-
 2 k 2  k N  2 k 2  k
CMA 安全性得证. □
4.3.4 相关参数的选取
本文的多接收方签密方案是基于标准签密方案 LWWD16 构造的,相关参数值的选取与 LWWD16 方案相
同.由于 LWWD16 的方案中只对某些参数选取给出了简要说明,并未给出详细的参数选取,结合 LWWD16 的前
人工作 BG14 [21] ,我们在表 1 中给出具体的参数选取及建议值.
Table 1 Parameter selection and recommended values
表 1 参数选取及建议值
参数选取要求建议值
n n=2k 1 280
k 640
 
k
 2  ≥ 128 18


logq q≥2 d 34
d 24
6
B B  14 (k  1) 2.20110
-9
 =q 3.37610
 58
4
u u  7  4.35810
k
N 正整数 1 000

4.3.5 效率分析
随机数重用的多接收方签密在保持高安全性的同时,可节约系统开销.这里,我们首先将本文多接收方签密
方案与所基于的标准签密方案 LWWD16 进行比较,然后再将其与现有的基于格的多接收方签密进行比较.
考虑发送方 S 有 N 个消息分别发送给 N 个不同用户的情况.采用上述标准签密方案签密,共需运行签密算
法 N 次;而采用上述 PRRU-MM-MR 签密方案,由于重用了随机数 e 1 和 e 2 ,各接收方的密文中 v 1 是相同的,于是,v 1
只需计算 1 次并广播即可,因此显著地节约了系统计算和通信开销.表 2 给出了该通信场景下标准签密方案
LWWD16 与 PRRU-MM-MR 签密方案 M的效率对比,其中,公私钥尺寸只表示一个用户的量,l me 表示消息长
度,l ID 表示身份的比特长度,模数 q 为安全参数 k 的多项式,S D 表示高斯采样运算,S T 表示原像抽样,S B 表示陷门
基抽样,Invert 表示带陷门的求逆运算,l r 表示安全随机数 r 的比特长度,M V 表示矩阵向量乘法运算.
Table 2 Efficiency comparison between LWWD16 and M (N messages-N receivers)
表 2 LWWD16 与 M的效率对比(N 消息-N 接收方)
LWWD16 方案 M 节约开销
密文量 N(l me+4klogq) N(l me+3klogq)+klogq k(N1)logq
签密运算量 N(4S D+6M V) N(4S D+5M V)+M V (N1)M V
解签密运算量 3M V 3M V 0
( kN  1)logq
从上表可以看出:方案 M与 LWWD16 相比,在密文量上节省了 (当 N 较大时,由于基于格
k
N (l  4 log ) q
me
(N  1)M
的签密消息大小远小于密文增量,密文量上节省约 25%);在签密运算量上节省了 V (当 N 较大时,
N (4S  6M )
D V
签密运算的计算量得到显著节约).

273 274 275 276 277 278 279 280 281 282 283