一種新的無證書多代理簽密方案

湯鵬志， 張慶蘭， 楊俊芳， 郭紅麗

(1.華東交通大學 理學院 江西 南昌 330013；2.華東交通大學 系統工程與密碼學研究所 江西 南昌 330013)

一種新的無證書多代理簽密方案

湯鵬志1,2， 張慶蘭1,2， 楊俊芳1,2， 郭紅麗1,2

(1.華東交通大學 理學院 江西 南昌 330013；2.華東交通大學 系統工程與密碼學研究所 江西 南昌 330013)

將無證書簽密與多代理簽名相結合，提出了一種新的無證書多代理簽密方案，同時，在判定雙線性Diffie-Hellman問題困難性的假設下證明了方案的機密性和不可偽造性.而且該方案是基于橢圓曲線公鑰密碼算法，通過與其他方案的對比，發現該方案計算量和通信成本都比較小，安全性和效率相對較高.

數字簽名； 多代理簽密； 不可偽造性； 機密性

0 引言

2003年，Al Riyami和Paterson提出了首個無證書簽名方案，解決了基于身份和基于證書公鑰密碼體制中的證書管理問題以及密鑰托管問題[1].2008年，Barbosa和Farshim結合無證書密碼和簽密體制，首次提出了無證書簽密[2].代理簽密是代理簽密者行使原始簽密的簽密權利，而無證書代理簽密方案是無證書簽密和代理簽名的結合，沒有密鑰托管和證書管理的問題.2010年，俞慧芳等提出了一種可行性高的無證書代理簽密方案[3].2010年，Yu等提出了一種自認證多代理簽密方案[4].2012年，張龍軍等提出了基于無證書簽密的代理移動IPv6認證方案，該方案結合了無證書簽密和代理移動 IPv6 的實際環境，有效地解決了無限網絡環境中的密鑰管理問題[5].2013年，Li等提出了具有前向安全性的無證書多代理簽密方案，該方案能有效地防止無證書密碼體制中公鑰替換和惡意的秘鑰生成中心攻擊[6].2013年，李超零等提出基于身份的代理重簽名廣播簽密方案，該方案利用代理重簽名將原簽密者的廣播簽密轉換為重簽密者的廣播簽密，同時在困難問題假設下證明了方案的安全性[7].2014年，明洋等提出標準模型下安全基于身份代理簽密方案，該方案在Diffie-Hellman問題假設下具有機密性和不可偽造性[8].2015年，劉禎等提出了基于二次剩余的匿名代理者簽密方案，此方案將二次剩余的方法應用到簽密方案中，提高了方案的安全性和效率[9].王冠眾等提出基于可轉換代理簽密的SAML跨域單點登錄認證協議，該方案利用可轉換代理簽密算法在減少計算量的同時也可以保證用戶隱私安全[10].

本文將無證書簽密和多代理簽名相結合，提出一個計算量和通信成本都相對較小的無證書多代理簽密方案，并且在移動設備等有限的帶寬場合有一定的實用性.

1 預備知識

2 安全模型[13]

在無證書密碼體制中，有兩種類型且具備不同能力的敵手AI，AⅡ.假設AI模擬的是不誠實用戶，而AⅡ是一個惡意但被動的密鑰生成中心(KGC).

類型Ⅰ的敵手AⅠAⅠ不知道系統主密鑰及用戶的部分私鑰，但是可以替換用戶的公鑰.因為在無證書公鑰密碼系統中，公鑰和持有者之間沒有認證存在.

類型Ⅱ的敵手AⅡAⅡ知道系統主密鑰和用戶的部分私鑰，但是它不能替換用戶的公鑰.

由于類型Ⅱ的敵手攻擊性更強，本文只證明在類型Ⅱ攻擊者攻擊下的機密性和不可偽造性，對于類型Ⅰ的證明過程類似(只是訊問過程有些不同[14])

游戲1 (針對類型Ⅱ敵手AⅡ的IND-CLSC-CCA2游戲)

這是一個挑戰者C和攻擊無證書多代理簽密方案機密性的類型Ⅱ敵手AⅡ之間的游戲.

初始化階段：AⅡ生成系統主密鑰msk和系統參數params，并將params和msk發送給挑戰者C.

第一階段：AⅡ可以適應性地執行多項式有界次以下預言機詢問.

(1) 哈希詢問：AⅡ可以向挑戰者C詢問任何哈希函數的值;

(2) 部分密鑰提取詢問：當AⅡ提交身份IDU詢問其對應的部分密鑰時，C將部分密鑰返回給AⅡ;

(3) 公鑰詢問：當AⅡ提交身份IDU詢問其對應的公鑰時，C將公鑰pkU返回給AⅡ;

(4) 私鑰提取詢問：當AⅡ提交身份IDU請求詢問其完整私鑰時，如果該身份對應的公鑰沒有被替換過，C將該身份對應的私鑰skU返回給AⅡ，否則不能詢問該身份對應的私鑰;

(5) 代理密鑰提取詢問：當AⅡ提交身份IDU詢問其對應的代理密鑰時，C將代理密鑰返回給AⅡ.

(6) 代理簽密詢問：當AⅡ提交發送者身份IDS、接收者的身份IDR和消息M,C將消息M、發送者的私鑰skS、接收者的公鑰pkR、代理密鑰作為輸入，執行簽密算法并將結果σ返回給AⅡ.但是有可能C不知道發送者的秘密值，因為與其身份對應的公鑰可能已經被替換，這就需要敵手AⅡ提供發送者的密鑰;

(7) 解簽密詢問：當AⅡ提交一個密文σ、發送者的身份IDS和接收者身份IDR，C將密文σ、接收者的私鑰skR、發送者的公鑰pkS、代理密鑰作為輸入，執行解簽密算法并將結果返回給AⅡ.如果接收者的公鑰被替換過，則需要敵手AⅡ提供接收者的密鑰.

挑戰階段：AⅡ提交兩個不同的身份S*、R*和兩個等長的消息M0、M1，C隨機選擇b∈{0,1}，利用S*對應的私鑰和R*對應的公鑰對消息Mb進行簽密，得到密文σ*，然后將σ*返回給AⅡ.

第二階段：AⅡ可以適應性地執行與第一階段相同類型的詢問.

猜測：AⅡ輸出比特b′.如果b′=b，而且以下2個條件均成立，那么敵手AⅡ獲勝.

(1)AⅡ從來沒有詢問過被挑戰者R*的私鑰；

(2) 在第二階段，AⅡ不能以S*和R*的名義對被挑戰密文σ*進行解簽密詢問.

游戲2 (針對類型Ⅱ敵手AⅡ的EUF-CLSC-CMA游戲)

這是一個挑戰者C和攻擊無證書簽密方案不可偽造性的類型Ⅱ敵手AⅡ之間的游戲.

初始化階段：AⅡ選擇系統主密鑰msk和系統參數params，并將params和msk發送給挑戰者C.

詢問階段：AⅡ執行與游戲1中完全一樣的詢問.

最后，AⅡ輸出一個不是由簽密詢問得到的σ*.如果將IDS*、pkS*、skR*和σ*作為輸入執行解簽密算法得到的結果不是⊥，AⅡ且從來沒有詢問過S*的私鑰，那么敵手AⅡ獲勝.

定義3 (機密性) 對于無證書簽密方案，如果敵手AⅡ不能在多項式時間內，以不可忽略的優勢贏得游戲IND-CLSC-CCA2，那么稱該方案在適應性選擇密文攻擊下是語義安全，或者密文是不可區分的.

定義4 (不可偽造性) 對于無證書簽密方案，如果敵手AⅡ不能在多項式時間內，以不可忽略的優勢贏得游戲EUF-CLSC-CMA，那么稱該方案在適應性選擇消息攻擊下是存在性不可偽造的.

3 無證書多代理簽密方案

3.1 參數選取

3.2 密鑰生成

3.3 委托過程

原始簽密人A將簽密權利授權給代理簽密組成員.

3.4 代理簽密的生成過程

假設B負責將每個代理簽密者的密文組合成最終密文.R為接收者，簽密過程如下：

(4) 每個代理簽密成員nj計算hj=H4(IDR,m,Yj,T,K1+K2)，sj=tj(Xj+hj)-1，將sj作為部分簽密發送給B;

3.5 代理簽密的簽名驗證和解密過程

R收到簽密數σ=(W,S,T,K1,K2,c)之后,執行以下步驟：

4 正確性分析

(1) 代理授權過程密鑰生成的正確性.接收者收到(K1,K2,w)之后驗證下列等式.

(2) 解簽密過程的正確性.

即驗證等式成立,接收者R接受該簽名.

5 安全性與效率分析

5.1 保密性

定理1(類型2攻擊下的保密性) 在隨機預言機模型和BDHP困難問題假設下，對于類型Ⅱ的攻擊者AⅡ能以不可忽略的概率贏得游戲IND-CLSC-CCA2.那么，存在算法C能夠解決BDH問題.

證明 假設算法C能解決BDHP，即輸入(P,uP,vP,wP),計算e(P,P)uvw.以算法C模擬挑戰者，與攻擊者AⅡ進行交互游戲.假設攻擊者AⅡ在多項式時間內可向C進行多項式有限次H1詢問、H2詢問、H3詢問、H4詢問，部分密鑰提取詢問、用戶私鑰提取詢問、公鑰提取詢問、代理密鑰詢問、代理簽密詢問、解密詢問；列表LH1、LH2、LH3、LH4、LBM、LSK、LPK、LPR、LPQM、LJM用于記錄每次詢問的情況.

系統參數設置:挑戰者C，生成系統參數param={G1,G2,q,P,Ppub,H1,H2,H3,e}，并將系統參數發送給攻擊者AⅡ；假設用戶的長期公鑰ykgc=uP，以u來模擬用戶的長期私鑰，且在詢問過程中不能詢問目標用戶的私鑰；目標用戶ID*=IDk，0

(6) 私鑰提取詢問 當C收到AⅡ關于IDi的私鑰提取詢問，C先檢查列表LSK.若(IDi,xi,yi)在列表LSK中，那么C將相應的xi發送給AⅡ；否則：

(b) 當i=k時，算法停止.

(7) 公鑰提取詢問 當C收到AⅡ關于IDi的公鑰提取詢問，C先檢查列表LPK.若(IDi,xi,yi)在列表LPK中，那么C將相應的xi發送給AⅡ；否則：

(b) 當i=k時，用戶私鑰用⊥表示，公鑰為yk，將yk發送給AⅡ，并且將(IDi,⊥,yk)添加到列表LPK.

(10) 解簽密詢問 當C收到AⅡ關于(IDi,IDj,IDRi)的解密詢問，若(IDi,IDjIDRi,Wi,Si,Ti,K1i,K2i,ci,mi)在列表LJM中，則返回mi給AⅡ；否則：

1) α=1；

2) 若α

4) 查詢列表LH3，得到h3i，計算mi=c⊕h3i；

5)α=α+1，跳到第2)步.

最后C將輸出的mi發送給AⅡ.

5.2 不可偽造性

定理2(類型2攻擊下的不可偽造性) 在隨機預言機模型和DL困難問題假設下，對于類型Ⅱ的攻擊者，AⅡ能以不可忽略的概率贏得游戲EUF-CLSC-CMA.那么，存在算法C能夠解決DL問題.

證明 算法C能解決DL問題，即輸入y=uP，輸出u.假設系統參數設置和詢問過程與定理1相同.

5.3 效率以及與其他方案的性能比較分析

方案是基于橢圓曲線加密體制[15]，只在代理簽密階段和解簽密階段分別運用了1次雙線性對運算,代理委托階段只進行橢圓曲線上的數乘運算,因此，此方案的效率相比與文獻[4]和[6]都要高.用H表示哈希函數運算，用M表示橢圓曲線上的數乘運算，E表示指數運算，P表示雙線性對運算，具體的方案效率分析及比較見表1.

表1 與其他方案的性能比較

6 實現與應用

在實際應用中，多代理簽密在移動設備和無線傳感網絡等有限帶寬的場合有一定的實用性.汽車的自動駕駛依賴于車聯網，汽車要能夠安全的自動駕駛，各輛汽車之間必須能夠進行相互的信息交流，在信息交流的過程中需要保證信息的完整性、正確性和保密性，這就必須通過有效的密碼系統對消息進行加密認證來實現.本文方案的計算和通信成本都比較低，將此多代理簽密算法應用到自駕系統中來保證消息的安全傳輸是可行的.

[1] AL R S, PATERSON K. Certificateless public key cryptography [J]. Lecture notes in computer science,2003,2894(2):452-473. [2] BARBOSA M,FARSHIM P. Certificateless signcryption [C]∥Proceedings of the 2008 ACM Symposium on Information Computer and Communications Security.Tokyo,2008: 369-372.

[3] 俞惠芳,王彩芬,王之倉. 基于 ECC 的自認證代理簽密方案[J].計算機科學,2010,37(7) : 91-92.

[4] 俞惠芳,趙海興,王之倉,等. 無可信中心的自認證多代理簽密方案[J].計算機工程與科學,2010,32(8) :14-16.

[5] 張龍軍,莫天慶,趙李懿. 基于無證書簽密的代理移動IPv6認證方案[J].計算機應用研究,2012,29(2):640-643.

[6] 李方偉,余航,朱江. 前向安全的無證書多代理簽密方案[J].重慶郵電大學學報(自然科學版),2013,25(6):850-851.

[7] 李超零,陳越,王成良,等. 基于身份的代理重簽名廣播簽密方案[J].計算機科學,2013,40(5):153-157.

[8] 明洋,馮杰,胡齊俊. 標準模型下安全基于身份代理簽密方案[J].計算機應用,2014,34(10):2834-2839.

[9] 劉禎,楊啟良,楊波. 基于二次剩余的匿名代理者簽密方案[J].計算機工程,2015,41(2) :129-134.

[10]王冠眾,張斌,費曉飛,等. 基于可轉換代理簽密的SAML跨域單點登錄認證協議[J].計算機科學,2015,42(4):106-110.[11]李發根. 基于雙線性對的簽密體制研究[D]. 西安: 西安電子科技大學, 2007.

[12]周玉潔, 馮登國. 公開密鑰密碼算法及其快速實現[M]. 北京：國防工業出版社,2002.

[13]張華,溫巧燕,金正平.可證明安全算法與協議[M].北京:科學出版社,2012.

[14]文佳駿,左黎明,李彪.一個高效的無證書代理盲簽名方案[J].計算機工程與科學,2014,36(3):452-457

[15]仇婷婷.基于橢圓曲線加密體制的ONS安全研究[D].鄭州:鄭州大學，2013.

(責任編輯：方惠敏)

A New Certificateless Multi-proxy Signcryption Scheme

TANG Pengzhi1,2, ZHANG Qinglan1,2, YANG Junfang1,2, GUO Hongli1,2

(1.SchoolofBasicScience,EastChinaJiaotongUniversity,Nanchang330013,China;2.SECInstitute,EastChinaJiaotongUniversity,Nanchang330013,China)

By combining certificateless signcryption and multi-proxy signature, a new certificateless multi-proxy signcryption scheme was proposed. At the same time, The confidentiality and unforgeability of the scheme was proved under determine bilinear diffie-Hellman(DBDH) assumption. And the scheme was based on the elliptic curve public key cryptographic algorithms, in comparison with other schemes, the computations and the costs of the scheme were relatively small, but the safety and efficiency were relatively high.

digital signature; multi-proxy signcryption; unforgeability; confidentiality

2015-11-14

國家自然科學基金資助項目 (61472138,61263032); 江西省科技廳科技項目(20151BDH80071);江西省高校科技落地計劃項目(KJLD12067);江西省教育廳科研項目(GJJ13339)；華東交通大學校立科研基金項目(11JC04).

湯鵬志(1961—)，男，江西九江人，教授，碩士，主要從事信息安全研究，E-mail：470620480@qq.com；通訊作者：張慶蘭(1989—)，女，江西贛州人，碩士研究生，主要從事信息安全研究，E-mail：317391072@qq.com.

湯鵬志，張慶蘭，楊俊芳，等.一種新的無證書多代理簽密方案[J].鄭州大學學報(理學版)，2016,48(2)：40-46.

TP309

A

1671-6841(2016)02-0040-07

10.13705/j.issn.1671-6841.2015255