Page 292 - 《软件学报》2021年第11期

P. 292

3618 Journal of Software 软件学报 Vol.32, No.11, November 2021

s = s = ε s ε + 1 = ∑ t s ∏ ξ ε j = ∑ t s ε ξ + 1 ∏ j .
j
ξ 1 1≤≤ t j ξ− ξ = = 1 1≤ j≤ t j ξ−
j ξ ≠ , j I j ξ ∈ ≠ , j I
∈
ε
ε
敌手若要从子秘密集合{ , ,..., ,ss 2 ε s s υ ε + + 1 1 ,...,s ε t + 1 } 中获得系统主密钥 s,则可知:
υ
1
υ j t j υ j t n j
∑ s ε ξ + s ξ ∏ ε 1 = ∑ ∑ s ξ ∏ ε + + ∑ (s + ξ ∏ ε ∑ f i ( ))ξ ∏
jt j ξ−
jt j ξ
j
ξ 1 1≤≤ ξ = υ 1 1≤≤ t j ξ = − ξ + 1 1≤≤ ξ = = υ + 1 i 1 1≤ j≤ t j ξ = − −
j ξ ≠ j ξ ≠ j ξ ≠ j ξ ≠
t j t n j
= s ξ ∏ + ∑ ∑ ∑ f i ( ) ξ ∏
ε
jt j ξ−
ξ 1 1≤≤ ξ = = υ + 1 i= 1 1≤≤ t j ξ−
j
j ξ j ξ≠
≠
t n j
=+ ∑∑ f i ( ) ξ ∏ .
s
jt j ξ−
ξυ=+ 1 i= 1 1≤≤
j ξ≠
由于 ∑ υ s ξ ε j , ∑ ∏ t s ξ ε + 1 ∏ j 已知,因此,敌手若想获得系统主密钥 s,则其必须知道 t−υ个元素
jt j ξ−
ξ 1 1≤≤ ξ = = υ + 1 1≤ j≤ t j ξ−
j ξ ≠ j ξ ≠
⎧ n ( f υ 1), ∑ n ( f υ + ⎨ + 2),..., ∑ n f ( )t ⎬∑ ⎫ 的数值.由于 t−υ>0,数组非空,因此敌手并不能通过在两个时间周期内搜集 t
⎩ i= 1 i i= 1 i i= 1 i ⎭
份 s i 来获得系统主密钥信息.
5.4 前后向兼容性
这里的前后向兼容性代表在 KGC 不同密钥更新周期注册的用户,相互之间能够通信.为了简化起见,这里
设定两个用户在相邻两个周期生成自己的公私钥信息.下面证明这两个用户之间仍然能够进行通信.设定参与
签密的用户 a 在周期ε生成自己的公私钥,用户 b 在周期ε+1 跟 KGC 协作生成自己的公私钥,其中,用户 a 的私
t i t i
i
钥为 γ a ∑ w δ = ξξ + u ,公钥为κ a =U a ;用户 b 的私钥为 γ b ∑ w δ = ξξ + u ,公钥为κ b =U b .其中, w = s h ,i=a,b.
i
b
1
i
a
ξ 1 i = ξ 1 i =
由于不同周期各个 KS i 对应的 s i 会动态更新,因此,不同周期的 w i 并不相同.
t
根据定理 1 可知, γ i ∑ w δ = ξξ + u = i sh + 1 i u ,U i =u i P.用户生成的公私钥信息与周期相关因子 w i 无关,因此,用
i
ξ = 1
户的公私钥不受周期更新的影响.
从本方案具有的前后向兼容性可知,在不同周期注册的用户相互之间不受 KGC 更新子秘密的影响,相互之
间能够通信,不会影响系统的可用性.
5.5 不可否认性
由定理 7 和定理 8 可知,本文方案对于攻击方式 I 和攻击方式 II 具有不可伪造性,恶意第三方无法伪造密
文信息.当密文信息发送至接收方时,接收方利用自己的私钥和发送方的身份信息对密文信息进行校验,发送方
不能对自己合成的密文信息进行否认,因此,本文方案具有不可否认性.
6 安全属性及性能分析
在本部分,将重点考察签密算法的安全属性、计算复杂度以及对应的密文长度.
6.1 安全属性分析
当前,相关研究人员提出的多接收者签密算法,主要是基于离散对数、椭圆曲线、双线性映射等进行实现,
在达到同等安全强度下,基于离散对数的实现算法,所需的密钥长度较长.近几年来,基于离散对数实现的多接
收者签密方案较少,本部分不对其进行考察.本部分将从保密性、不可伪造性、密钥托管安全性、不可否认性
等 4 个维度,对相关签密算法进行对比分析.

287 288 289 290 291 292 293 294 295 296 297