基于自證明公鑰認證的安全高效在線/離線簽密方案

湯鵬志 劉啟文 左黎明 陳仁群

基于自證明公鑰認證的安全高效在線/離線簽密方案

湯鵬志 劉啟文*左黎明 陳仁群

(華東交通大學理學院 江西 南昌 330013)

基于自證明公鑰密碼體制，提出一種適用于物聯網通信的高效在線/離線簽密方案，以解決物聯網中因信息在不安全信道上傳輸而被竊取或篡改的問題。運用隨機預言機模型，在適應性選擇身份和消息攻擊下，證明了新方案的密文是語義安全的，并且簽密是存在性不可偽造的。由于新方案無雙線性對運算，比現有的在線/離線簽密方案更高效。同時，新方案具有可公開驗證性以及無密鑰托管等優點。

在線/離線 自證明 簽密 隨機預言機

0 引 言

1990年，Girault首次提出了自證明公鑰的概念[1]，以解決基于證書的公鑰密碼體制中證書管理的問題以及基于身份的公鑰密碼體制中密鑰托管的問題。Girault在文獻[1]中提出了第一個基于RSA的自證明公鑰認證方案。不過，Saeednia[2]在2003年指出 Girault 所提出的自證明公鑰中，由于可信中心可以選擇惡意的大整數，使其能夠通過求解離散對數得到用戶私鑰，因此同樣存在密鑰托管的問題。1997年，Etersen等提出了基于弱Schnorr盲簽名的自證明公鑰方案[3]，利用弱Schnorr盲簽名協議[4]的盲性和存在性不可偽造等特點解決用戶密鑰托管和公鑰認證的問題。相比于無證書公鑰密碼體制[5]，自證明公鑰密碼體制具有密鑰短，且無公鑰替換攻擊的漏洞[6]。

1997年，zheng提出了數字簽密的概念[7]。數字簽密是指能夠在一個邏輯步驟內完成數據加密和簽名的密碼學技術。相比于傳統的先簽名后加密技術，簽密具有計算量小、傳輸密文更短和效率更高的特點。不過，Zheng的方案是基于證書的且簽密不能公開驗證。

在線/離線的概念最早由Even等[8]在其數字簽名方案中提出，其主要思想是將簽名分成離線階段和在線階段，一些復雜的、且與待簽名消息無關的計算在離線階段完成；在線階段只需一些簡單的計算即可。An等在文獻[9]中對簽密安全性做了系統性的分析，將在線/離線的思想應用到簽密方案中，提出了在線/離線簽密的概念。

在線/離線簽密是一種非常實用的技術。特別是在移動互聯網中，利用在線/離線簽密可以提供高效的解決方案。隨著智能終端的普及和第三代、第四代移動通信網絡的推廣，為物聯網產業發展提供了一個強大的基礎平臺，人們可以利用智能手機很方便地遠程控制家中的智能設備。物聯網極大地便利人們生活的同時，也增加了個人隱私和數據泄露的風險。因為用戶數據在公開信道上傳輸，存在數據被非授權用戶訪問或修改的風險。數字簽密所提供的機密性和數據完整性機制，可以很好保護數據的機密性和完整性。同時，利用在線/離線的思想將復雜的計算提前完成，在線階段只需做少量的計算就可得到一個的簽密，以解決智能終端的計算能力弱和續航差等問題。

自在線/離線簽密的概念提出以來，迅速成為密碼學領域的一個研究熱點。2005年， Zhang等[10]提出了第一個具體的在線/離線簽密方案。2008年，Sun等[11]首次提出了基于身份的在線/離線簽密方案。Liu等[12]指出，在文獻[10,11]中，離線階段需要簽密接收者的公鑰和身份，因此，并不實用。Liu在文獻[12]提出了一個改進方案。Selvi等[13]指出Liu等[12]方案是不安全的，并提出了改進方案。2012年，Li等[14]提出了一個在離線階段更高效的基于身份的在線/離線簽密方案。2013年，Luo等[15]提出了一個適用于物聯網的高效無證書在線/離線簽密方案。Shi等[16]指出Luo等[15]方案存在嚴重的安全漏洞，攻擊者能夠僅利用一個簽密就可以計算出簽密發送者的簽密密鑰。

基于弱Schnorr盲簽名的自證明公鑰方案[3]，構造了一個高效安全的在線/離線簽密方案。在隨機預言機模型下討論了新方案的機密性和不可偽造性。效率上，與現有的在線離線簽彌方案相比，新方案在離線簽密階段和簽密驗證階段都具有明顯的優勢。

1 預備知識

設p是一個大素數。群G1和G2是階為p的加法循環群和乘法循環群，P是G1的一個生成元。

判定Diff-Hellman問題(DDHP)

2 基于自證明在線/離線簽密方案

在線簽密 A為簽密發送者，公私鑰為(sA,PKA)；B為簽密接收者，公私鑰為(sB,PKB)；m為待簽密消息。從離線簽密列表中取出一個離線簽密對(x,R)，解密，并將(x,R)從離線簽密列表中刪除。計算k=H2(sA(PKB+H1(IDB,PKB)Ppub),R)，y=k⊕m，v=xH3(m,PKA,PKB,R)+sA。消息m的完整簽密為σ=(y,R,v)。

解簽密 當簽密接收者B收到簽密σ=(y,R,v)時，計算加密密鑰k=H2(sB(PKA+H1(IDA,PKA)Ppub),R)，解密m=k⊕y，驗證簽名：vP=H3(m,PKA,PKB,R)·R+PKA+H1(IDA,PKA)·P，若等式成立，則接收消息m，否則拒絕。

3 安全性分析

定理1 解密算法和簽名驗證等式是正確的。

證明：因為：

sA(PKB+H1(IDB,PKB)Ppub) =sAsBP

=sB(PKA+H1(IDA,PKA)Ppub

那么：

k =H2(sB(PKA+H1(IDA,PKA)Ppub),R)

=H2(sA(PKB+H1(IDB,PKB)Ppub),R)

因此，解密算法是正確的。

由于：

vP =[xH3(m,PKA,PKB,R)+sA]P

=xH3(m,PKA,PKB,R)P+sAP

=H3(m,PKA,PKB,R)R+PKA+H1(IDA,PKA)Ppub

因此，簽名驗證等式是正確的。

定理2 用戶密鑰僅授權用戶才可訪問，并且，是存在性不可偽造。

證明：用戶密鑰生成協議是一個schonorr弱盲簽名方案[4]。用戶密鑰是由可信中心對用戶身份和公鑰的盲簽名，由schonorr弱盲簽名的盲性和存在性不可偽造的性質[17]可知，用戶密鑰是不可追蹤的且是存在性不可偽造的。因此，只有授權用戶才可訪問其密鑰。

定理3 在隨機預言機模型和橢圓曲線上的DDH困難問題假設下，對適應性選擇身份和消息攻擊，密文是IND-CCA2安全的。

證明：設(aP,bP,cP)是群G1中的一個任意的DDH問題實例，即aP、bP、cP已知，a、b、c未知，判斷abP=cP是否成立。

假設存在攻擊者Att能夠在多項式時間t內以優勢ε區分密文?，F在，構造算法B求解以上DDH問題。算法B模擬挑戰者與攻擊者Att交互，完成以下步驟：

公鑰詢問 Att最多能做qP次公鑰詢問。B維護列表LPK，隨機選取1≤K,J≤qP，當B收到Att關于IDi(1≤i≤qP)的公鑰詢問(假設沒有做過IDi的公鑰詢問)：

密鑰提取詢問 Att最多能做qE次密鑰提取詢問，當B收到關于身份IDi的密鑰提取詢問，(假設已經做過關于身份IDi的公鑰詢問和H1詢問，否則先執行公鑰詢問和H1詢問)：

b) 若i=K或i=J，算法B終止。

簽密詢問 Att最多能做qS次簽密詢問；當B收到關于(IDi,IDj,m)的簽密詢問(其中，IDi是簽密發送者，IDj是簽密接收者，m是待簽密消息)：

a) 若i≠K,J，通過做關于身份IDi的公鑰詢問、密鑰提取詢問可得到其公私鑰對(si,PKi)，通過做關于身份IDj的公鑰詢問，可以得到IDj的公鑰PKj；那么，通過運行正常的簽密算法即可得到關于(IDi,IDj,m)的簽密σ，將σ返回給Att。

解簽密詢問 Att最多能做qD次解簽密詢問；當B收到關于簽密(IDi,IDj,σ=(y,R,v))的解簽密詢問：

a) 若i≠K,J，通過做關于身份IDi的公鑰詢問、密鑰提取詢問可得到其公私鑰對(si,PKi)，通過做關于身份IDj的公鑰詢問，可以得到IDj的公鑰PKj；計算PL=siPKj，做關于(PL,R)的H2詢問，得到k=H2(PL,R)，解密m=y⊕k，將m返回給Att。

b) 若i=K或i=J，但j≠K,J，通過公鑰詢問，可以得到IDi和IDj的公鑰PKi和PKj，因為j≠K,J，可以通過密鑰提取詢問，得到IDj的私鑰sj。那么通過正常的解簽密算法即可得到(IDi,IDj,σ=(y,R,v))的明文m，將m返回給Att。

c) 若i=K，j=J，查詢簽密列表Lsin，如果Lsin中存在項(IDi,IDj,σ=(y,R,v),m)，則將m返回給Att；否則拒絕解簽密。

第二階段詢問 Att可以再做多項式次公鑰詢問、哈希詢問、密鑰提取詢問、簽密詢問和解簽密詢問。但是不能做關于IDJ和IDK的密鑰提取詢問，且不能做關于挑戰σ=(y,R,v)的解簽密詢問。

猜測 由假設可知Att能夠以ε的優勢猜得p′=p。那么，算法B能夠判斷abP=cP，即解決了DDH問題。

下面分析算法B成功優勢和所需時間：

t′=t+qPtP+qH1tH1+qH2tH2+qH3tH3+qEtE+qStS+qDtD

其中，tP是一次公鑰詢問所需的時間，tH1、tH2、tH3分別是一次哈希詢問所需的時間，tE是一次密鑰提取詢問所需的時間，tS和tD分別是一次簽密和一次解簽密所需的時間；容易知道，tPtH1、tH2、tH3、tE、tS和tD都是多項式有界的。而t、qP、qH1、qH2、qH3、qE、qS以及qD都是多項式有界的；因此，t′是多項式有界。

所以，算法B能夠在多項式有界的時間t′內，以不可忽略的優勢Adv解決DDH問題；這與DDH問題的困難性相矛盾。故假設不成立，在適應性選擇身份和消息攻擊，密文是IND-CCA2安全的。

定理4 在隨機預言機模型和橢圓曲線上的離散對數困難問題的假設下，對適應性選擇身份和消息攻擊，簽密是存在性不可偽造的(CCA2)。

證明：反證法。假設存在攻擊者Att能夠在多項式有界的時間t，以不可忽略的概率ε偽造簽密。

對于橢圓曲線上群G中任意CDH問題實例Q=aP，Q已知，a未知，現構造算法B計算a。算法B模擬挑戰者與攻擊者Att交互，完成以下步驟：

系統設置 同定理3。

公鑰詢問 Att最多能做qP次公鑰詢問。B維護列表LPK，隨機選取1≤K≤qP，用a模擬身份IDK的密鑰；當B收到Att關于IDi(1≤i≤qP)的公鑰詢問(假設沒有做過IDi的公鑰詢問)：

H2詢問 Att最多能做qH2次H2哈希詢問。B通過維護列表L2來模擬隨機預言機H2，列表L2初始狀態為空。具體過程同定理3。

H3詢問 Att最多能做qH3次H3哈希詢問。B通過維護列表L3來模擬隨機預言機H3，列表L3初始狀態為空。具體過程同定理3。

密鑰提取詢問 Att最多能做qE次密鑰提取詢問，當B收到關于身份IDi的密鑰提取詢問，(假設已經做過關于身份IDi的公鑰詢問和H1詢問，否則先執行公鑰詢問和H1詢問)：

b) 若i=K，算法B終止。

簽密詢問 Att最多能做qS次簽密詢問；當B收到關于(IDi,IDj,m)的簽密詢問(其中，IDi是簽密發送者，IDj是簽密接收者，m是待簽密消息)：

a) 若i≠K，通過做關于身份IDi的公鑰詢問、密鑰提取詢問可得到其公私鑰對(si,PKi)，通過做關于身份IDj的公鑰詢問，可以得到IDj的公鑰PKj；那么，通過運行正常的簽密算法即可得到關于(IDi,IDj,m)的簽密σ，將σ返回給Att。

解簽密詢問 Att最多能做qD次解簽密詢問；當B收到關于簽密(IDi,IDj,σ=(y,R,v))的解簽密詢問：

a) 若i≠K，通過做關于身份IDi的公鑰詢問、密鑰提取詢問可得到其公私鑰對(si,PKi)，通過做關于身份IDj的公鑰詢問，可以得到IDj的公鑰PKj；計算PL=siPKj，做關于(PL,R)的H2詢問，得到k=H2(PL,R)，解密m=y⊕k，將m返回給Att。

b) 若i=K，那么j≠K，通過公鑰詢問，可以得到IDi和IDj的公鑰PKi和PKj，因為j≠K，可以通過密鑰提取詢問，得到IDj的私鑰sj。那么通過正常的解簽密算法即可得到(IDi,IDj,σ)的明文m，將m返回給Att。

vP =h3·R+PKA+H1(IDA,PKA)·P

=h3·R+aP

(1)

(2)

下面分析算法B成功的概率和所需時間。

t′= t+qPtP+qH1tH1+qH2tH2+qH3tH3+qEtE+qStS+qDtD

其中，tP是一次公鑰詢問所需的時間，tH1、tH2、tH3分別是一次哈希詢問所需的時間，tE是一次密鑰提取詢問所需的時間，tS和tD分別是一次簽密和一次解簽密所需的時間；容易知道，tPtH1、tH2、tH3、tE、tS和tD都是多項式有界的。而t、qP、qH1、qH2、qH3、qE、qS以及qD都是多項式有界的；因此，t′是多項式有界。

因此，算法B能夠在多項式有界的時間t′內，以不可忽略的概率ε′解決離散對數問題Q=aP。這與離散對數問題困難的假設相矛盾，所以不存在攻擊者Att能夠在多項式有界的時間t，以不可忽略的概率ε偽造簽密。故定理得證。

4 性能分析

表1 性能比較

5 結 語

在線/離線簽密方案在移動互聯網中有著廣闊的應用前景。目前，智能終端應用主要是基于C/S架構的，數據在公開信道上傳輸，在線/離線簽密方案可以確保數據完整性和機密性，同時，也可以用于客戶端遠認證。對此，提出了一種基于自證明的安全高效的在線/離線簽密方案，在隨機預言機模型下，證明了方案的安全性。新方案在離線簽密階段和簽密驗證階段有著明顯的優勢。但是，在線簽密階段的計算復雜度并沒有太大的優勢，因此，下階段的工作是在此基礎上，進一步降低在線簽密階段的計算復雜度。

[1] Girault M.Self-certified public keys[C]//Advances in Cryptology-EUROCRYPT’91,LNCS 547,Berlin:Springer-Verlag,1991:491-497.

[2] Shahrokh Saeednia.A note on Girault’s self-certified model[J].Information processing letters,2003,86(6):323-327.

[3] Holger Petersen,Patrick Horster.Self-certified keys-Concepts and Applications[C]//Proc.Communications and Multimedia Security’97,Athens:Chapman Hall,1997:102-116.

[4] Horster P,Michels M,Petersen H.Hidden signature schemes based on the discrete logarithm problem and related concepts[C]//Proc.Communications and Multimedia Security,Chapman & Hall,1995:149-156.

[5] Al-Riyami S,Paterson K.Certicateless public key cryptography[C]//Laih CS,ed.Proc.of the Int’l Association for Cryptdology Research 2003.LNCS 2894,Berlin: Springer-Verlag,2003:452-473.

[6] 何德彪.無證書簽密機制的安全性分析[J].軟件學報,2012,24(3):618-622.

[7] Zheng Y.Digital signcryption or how to achieve cost (signature & encryption) << cost(signature) + cost(encryption)[C]//Advances in Cryptology-CRYPTO’97,LNCS 1294,Berlin:Springer-Verlag,1997:165-179.

[8] Even S,Goldreich O,Micali S.On-line/offline digital signatures[C]//Proc.CRYPTO 89.LNCS 2442,1989:263-277.

[9] An J,Dodis Y,Rabin T.On the Security of Joint Signature and Encryption[C]//Proc.EUROCRYPT 2002,LNCS 2332,2002:83-107.

[10] Zhang F,Mu Y,Susilo W.Reducing security overhead for mobile network[C]//Proceedings of the Advanced information networking and applications,Taipei,Taiwan,2005:398-403.

[11] Sun D,Huang X,Mu Y,et al.Identity-based on-line/off-line signcryption[C]//Proceedings of the Network and parallel computing,Shanghai,China,2008:34-41.

[12] Liu J K,Baek J,Zhou J Y.Online/offline identity-based signcryption re-visited[C]//Proceedings of the Information Security ane Cryptology,LNCS, vol.6584,Springer-Verlag: Berlin,2011:36-51.

[13] Selvi S S D,Vivek S S,Rangn C P.Identity based online/offline signcryption scheme[EB/OL].Crytology ePrint Archieve,2010.Available at:http://eprint.iacr.org/2010/376.pdf.

[14] Li F G,Khan M K,Alghathbar K,et al.Identity-based online/offline signcryption for low power devices[J].Journal of Network and Computer Applications,2012,35(1):340-347.

[15] Luo M,Tu M,Xu J.A security communication model based on certificateless online/offline signcryption for Internet of Things[J].Security and Communication Networks,2013,10.1002/Sec.836.

[16] Shi Wenbo,Neeraj Kumar,Gong Peng,et al.On the security of a certificateless online/offline signcryption for internet of things[J].Peer-to-Peer Netw.New York:Springer Science and Bussiness Media,2014,doi:10.1007/s12083-014-0249-3.

[17] Pointcheval D,Stern J.Security Proofs for Signatures[C]//LNCS 1070,Advances in Cryptology:Proc.Eurocrypt’96,Springer,1996:387-398.

SECURE AND EFFICIENT ONLINE/OFFLINE SIGNCRYPTION SCHEME BASED ON SELF-CERTIFIED PUBLIC KEY AUTHENTICATION

Tang Pengzhi Liu Qiwen*Zuo Liming Chen Renqun

(SchoolofBasicScience,EastChinaJiaotongUniversity,Nanchang330013,Jiangxi,China)

To solve the problem that in Internet of Things the information transmitted over an insecure channel may be eavesdropped or tampered, we proposed a new efficient online/offline signcryption scheme based on self-certified public key authentication suitable for Internet of Things. It was proved that the cipher of new scheme was indistinguishable and the signcryption was existentially unforgeable against the attacks of adaptive chosen message and identity in random oracle model. Because of without bilinear pairing operation, the new scheme was more efficient than those existing online/offline signcryption schemes. At the same time, it has the properties that can be verified in public and without key escrow.

Online/offline Self-certified Signcryption Random oracle model

2014-10-12。國家自然科學基金項目(61240025，61472138)；江西省高?？萍悸涞赜媱濏椖?KJLD12067)；華東交通大學校立科研基金項目(11JC04)。湯鵬志，教授，主研領域：信息安全。劉啟文，碩士生。左黎明，副教授。陳仁群，碩士生。

TP301

A

10.3969/j.issn.1000-386x.2016.04.066