異構系統(tǒng)下的雙向簽密方案

劉景偉 張俐歡 孫蓉

?

異構系統(tǒng)下的雙向簽密方案

劉景偉*張俐歡 孫蓉

(西安電子科技大學綜合業(yè)務網(wǎng)理論及關鍵技術國家重點實驗室 西安 710071)

在過去的研究中，人們通常假設通信雙方都處在同一個公鑰密碼體制環(huán)境中，但隨著科技的發(fā)展和網(wǎng)絡的普及，不同的地區(qū)可能采用不同的公鑰密碼體制。為了解決異構系統(tǒng)之間的通信安全問題，該文提出兩種在公共密鑰基礎設施(PKI)和無證書公鑰密碼體制(CLC)下安全通信的異構簽密方案。同時在雙線性Diffie-Hellman問題(BDHP)和計算性Diffie-Hellman問題(CDHP)的難解性下，所提方案在隨機預言模型中具有自適應選擇密文攻擊下的不可區(qū)分性(IND-CCA2)和自適應選擇消息攻擊下的不可偽造性(EUF-CMA)。

簽密；異構系統(tǒng)；選擇密文攻擊；不可偽造性

1 引言

在傳統(tǒng)公共密鑰基礎設施(PKI)系統(tǒng)中，通常存在一個可信認證中心CA(Certification Authority)，CA為每一個用戶頒發(fā)一個與其公鑰匹配的公鑰證書，實現(xiàn)公鑰認證，但這種方法會在證書管理上浪費大量的計算時間和存儲空間。為了解決該問題，文獻[1]提出了一種基于身份的公鑰密碼體制IBC (Identity-Based Cryptosystem)。在IBC系統(tǒng)中，用戶的私鑰是由秘鑰生成中心KGC(Key Generation Center identity-based cryptosystem)生成，KGC里存放的秘鑰則是通過用戶的身份生成用戶的私鑰。這種方法面臨著密鑰托管的問題。基于該問題，文獻[2]提出了無證書公鑰密碼體制(CLC)。在CLC系統(tǒng)中，公鑰由用戶生成，私鑰由用戶選擇的秘密值和KGC產(chǎn)生的部分私鑰共同構成。KGC無法得知用戶的完整私鑰，因此有效解決了上述的密鑰托管問題。

如需同時實現(xiàn)保密性、完整性、認證性和不可否認性，傳統(tǒng)的方法是先簽署一份郵件，然后對它進行加密，稱為“先簽名后加密”。1997年文獻[3]首次提出了簽密的概念，這個新的密碼學原語在一個邏輯步驟內(nèi)同時實現(xiàn)數(shù)字簽名和公鑰加密的功能，在成本上顯著低于傳統(tǒng)的先簽名后加密方法。2002年文獻[4]提出了正式的簽密安全模型。簽密在許多應用中都可以發(fā)揮優(yōu)勢，如電子商務、移動通信和智能卡等。目前，雖然已經(jīng)提出了很多基于PKI的簽密方案和基于CLC的簽密方案，但這些方案不能用于異構密碼系統(tǒng)間的通信。為了確保異構系統(tǒng)間的安全通信，本文提出了兩種異構系統(tǒng)下的簽密方案，實現(xiàn)了PKI和CLC這兩個公鑰密碼系統(tǒng)間的安全通信。

目前已經(jīng)提出的針對異構通信的簽密方案主要有以下幾種：2010年文獻[16]提出了一方屬于PKI，另一方屬于IBC的異構簽密機制，但他們的方案只能抵抗外來攻擊者，并不能滿足不可否認性；2011年文獻[17]提出了發(fā)送端屬于PKI，接收端屬于IBC的異構簽密方案，但該方案只允許在PKI系統(tǒng)的用戶發(fā)送消息，在IBC系統(tǒng)的用戶接收消息，并不能完成雙向的安全通信；2013年文獻[18]提出了兩個異構簽密方案，第1個方案是PKI中的發(fā)送端給基于IBC中的接收端發(fā)送消息，第2個方案是基于IBC的發(fā)送端給PKI中的接收端發(fā)送消息。在上述簽密方案中，并沒有適用于PKI和CLC異構系統(tǒng)間安全通信的簽密方案，因此本文提出了兩個適用于PKI和CLC異構系統(tǒng)間的簽密方案PCHS (PKI-CLC Heterogeneous System)和CPHS(CLC- PKI Heterogeneous System)。

2 預備知識與安全模型

在本節(jié)中簡要地描述了文中涉及到的困難性問題，并給出了所提方案對應的安全模型。

2.1困難性問題

(1)Bilinear Diffie-Hellman(BDH)問題：給定，計算，其中是一個雙線性映射，是的生成元，,是階為素數(shù)的兩個群。

(2)Computational Diffie-Hellman(CDH)問題：給定，計算。

2.2 PCHS安全模型：

本文在其安全模型中考慮兩類敵手。第1類敵手無法獲得KGC的主密鑰，但能夠自適應地替換用戶的公鑰；第2類敵手無法替換用戶的公鑰，但可以獲得KGC的主密鑰[19]。

定義1 若任何概率時間多項式有界的兩類敵手贏得IND-CCA2的優(yōu)勢可忽略，則稱該方案滿足自適應選擇密文攻擊下的不可區(qū)分性。

定義2 若任何概率時間多項式有界的偽造者贏得EUF-CMA的優(yōu)勢是可忽略的，則稱方案滿足在自適應選擇消息攻擊下的不可偽造性。

CPHS方案的安全模型與PCHS方案類似。

3 具體方案描述

在本節(jié)中，我們提出了兩個適用于PKI和CLC異構系統(tǒng)間的簽密方案PCHS和CPHS。

CLC-KG:

PCHS簽密過程：已知明文, CLC系統(tǒng)的公鑰和PKI系統(tǒng)的私鑰

即

驗證成功。

即

驗證成功。

4 安全性證明

在本節(jié)中，我們對所提出方案的安全性進行證明。

定理1(PKI -CLC IND-CCA2-1) 假設存在一個IND-CCA2-1敵手。經(jīng)過詢問,次CLC部分私鑰詢問，次CLC私鑰詢問和次CLC公鑰替換詢問后，能以一個不可忽略的優(yōu)勢攻破PCHS方案的IND-CCA2-1安全性，則存在一個挑戰(zhàn)者能以優(yōu)勢解決BDH問題，這里為：。

H1詢問：選擇一系列身份詢問相應雜湊值。接收到身份的H1詢問時，若L1中含有,返回作為應答；否則，任選整數(shù)，在不泄露具體數(shù)值的情況下，將作為挑戰(zhàn)身份發(fā)送給，若收到第次詢問，設置，返回，添加到L1．如果接收到的不是第次詢問，選擇一個隨機數(shù)，返回，添加到L1。

H2詢問：進行H2詢問時，比對列表L2中是否存在。若存在，返回；否則，返回任意的，添加到L2。

H3詢問：進行H3詢問時，比對列表L3中是否存在。若存在，返回3；否則，返回任意的，添加到L3。

H4詢問：進行H4詢問時，比對列表L4中是否存在。若存在，返回4；否則，返回任意的，添加到L4。

猜測：L3中儲存有個雜湊值，從L3中隨機等概率地選擇。

證畢

定理2(PKI- CLC IND-CCA2-2) 假設存在一個IND-CCA2-2敵手，定義同上，其中為：。

證明 初始化：階段2與PKI-CLC IND- CCA2-1相似，因為第2類攻擊者知道KGC的主密鑰，但不具備替換任意用戶公鑰的能力，所以階段1無需進行公鑰替換詢問。

證畢

定理3(PKI-CLC EUF-CMA)假設存在一個EUF-CMA偽造者，經(jīng)過詢問,次部分私鑰詢問，次CLC私鑰詢問和次CLC公鑰替換詢問后，能以一個不可忽略的優(yōu)勢攻破PCHS方案的EUF-CMA安全性，則存在一個挑戰(zhàn)者能以優(yōu)勢解決CDH問題，這里為：

訓練：H1詢問：選擇一系列身份詢問相應雜湊值。接收到身份的H1詢問時，若L1中含有,返回作為應答；否則，任選整數(shù)，在不泄露具體數(shù)值的情況下，將作為挑戰(zhàn)身份發(fā)送給，若收到第次詢問，設置，返回，添加到L1。如果接收到的不是第次詢問，選擇一個隨機數(shù)，返回，添加到L1。

H2~H4同PKI -CLC IND-CCA2-1。

證畢

CLC-PKI的安全性證明與上述方案類似。

5 效率分析

本小節(jié)對各異構簽密方案的性能進行分析，假設|1|=160 b, |2|=1024 b, ||=160 b, |ID|=160 b。PKI指該簽密方案是在公鑰基礎設施環(huán)境下工作的；IBC指該簽密方案是在基于身份的公鑰密碼環(huán)境下工作的；CLC指該簽密方案是在無證書環(huán)境下工作的；箭頭代表該方案是異構的簽密方案，BP表示雙線性對運算；EXPC表示冪指數(shù)運算；SCM標量乘運算；密文長度表示通信開銷。

從表1可以看出，文獻[16]雖有較低的計算開銷但并不能滿足EUF-CMA安全性使得該方案存在安全隱患問題；文獻[17]雖可以滿足安全性但密文長度過大且標量乘運算過多使得所需要的通信開銷和計算消耗都變大；文獻[18]的通信開銷雖小但其標量乘運算較多則計算消耗也隨之上升；本文方案的通信開銷雖并非最小，但在嚴格保證了方案的安全性下只需計算兩次標量乘具有較低的計算復雜度，可在實際應用中節(jié)省更多的時間和精力。在應用方向上，前3類方案解決的都是PKI和IBC系統(tǒng)間的異構安全通信問題，方案則應用在PKI和CLC系統(tǒng)間，具有創(chuàng)新性。因此綜合計算消耗，安全性，通信開銷，應用方向等各方面的因素考慮本文方案的性能后，可看出本文方案在整體性能中具有的優(yōu)越性和創(chuàng)新性。

表1 各簽密方案性能對比

6 結束語

本文提出了兩種異構系統(tǒng)下的簽密方案，用于公鑰基礎設施環(huán)境(PKI)和無證書公鑰密碼環(huán)境(CLC)這兩個公鑰密碼系統(tǒng)間的安全通信。這兩個方案都只需2個線性對運算、2個標量乘運算和1個冪指數(shù)運算，相比于之前提出的方案，具有較低的計算復雜度；同時在雙線性Diffie-Hellman問題(BDHP)和計算性Diffie-Hellman問題(CDHP)的難解性下，所提方案在隨機預言模型中具有自適應選擇密文攻擊下的不可區(qū)分性(IND-CCA2)和自適應選擇消息攻擊下的不可偽造性(EUF-CMA)。這兩個方案也可應用于電子商務、網(wǎng)上支付、移動互聯(lián)和智能卡等領域。

[1] SHAMIR A. Identity-based cryptosystem and signature scheme [C].Proceedings of CRYPTO 84 on Advances in cryptology,New York, NY, USA, 1984, 196: 47-53. doi:10.1007/3-540-39568-7_5 .

[2] AL-RIYAMI S S and PATERSON K G. Certificateless public key cryptography[C]. International Conference on the Theory and Application of Cryptology and Information Security, Taipei, China, 2003: 452-473.doi:10.1007/978-3-540-40061- 5_29.

[3] ZHENG Yuliang. Digital signcryption or how to achieve cost (signature & encryption)<

[4] BAEK J, STEINFELD R, and ZHENG Yuliang. Formal proofs for the security of signcryption[C]. Proceedings of the Cryptology PKC2002, Paris, France, 2002: 81-98. doi:10.1007/3-540-45664-3_6.

[5] CH A S, UDDIN N, SHER M,An efficient signcryption scheme with forward secrecy and public verifiability based on hyper elliptic curve cryptography [J]., 2015, 74(5): 1711-1723. doi: 10.1007/s11042- 014-2283-9.

[6] LI C K, YANG G, WONG D S,An efficient signcryption scheme with key privacy[C]. Proceedings of the 4th European Public Key Infrastructure Workshop (EuroPKI 2007),Palma de Mallorca, Spain, 2007, 4582: 78-93.doi: 10. 1007/978-3-540-73408-6_6.

[7] QIN Bo, WANG Huaqun, WU Qianhong,An simultaneous authentication and secrecy in identity-based data upload to cloud[J]., 2013, 16(4): 845-859.doi: 10.1007/s10586-013-0258-7.

[8] PANG Liaojun, GAO Lu, LI Huixian,Anonymous multi-receiver ID-based signcryption scheme[J]., 2015, 9(3): 193-201. doi:10.1049/iet-ifs.2014.0360.

[9] BARBOSA M and FARSHIM P. Certificateless signcryption [C]. Proceedings of the ASIACCS2008, New York, USA, 2008: 369-372. doi: 10.1145/1368310.1368364.

[10] 張玉磊, 王歡, 李臣意, 等. 可證安全的緊致無證書聚合簽密方案[J]. 電子與信息學報, 2015, 37(12): 2839-2844. doi: 10.11999/JEIT150407.

ZHANG Yulei, WANG Huan, LI Chenyi,Provable secure and compact certificateless aggregate signcryption scheme[J].&, 2015, 37(12): 2839-2844. doi: 10.11999/JEIT150407.

[11] 孫銀霞, 李暉, 李小青. 無證書體制下的多接收者簽密密鑰封裝機制[J]. 電子與信息學報, 2010, 32(9): 2249-2252.doi: 10.3724/SP. J.1146.2009.01260.

SUN Yinxia, LI Hui, and LI Xiaoqing. Certificateless signcryption KEM to multiple recipients[J].&, 2010, 32(9): 2249-2252. doi:10.3724/SP.J.1146.2009.01260.

[12] 葛愛軍, 陳少真. 具有強安全性的不含雙線性對的無證書簽名方案[J]. 電子與信息學報, 2010, 32(7): 1766-1768. doi: 10.3724/SP.J.1146.2009.00965.

GE Aijun and CHEN Shaozhen. Strongly secure certificateless signature scheme without pairings[J].&, 2010, 32(7): 1766-1768. doi:10.3724/SP.J.1146.2009.00965.

[13] ESLAMI Z and PAKNIAT N. Certificateless aggregate signcryption: security model and a concrete construction secure in the random oracle model[J]., 2014, 26(3): 276-286. doi:10.1016/j.jksuci.2014.03.006.

[14] YIN A and LIANG H. Certificateless hybrid signcryption scheme for secure sommunication of wireless sensor networks [J].,2015, 80(3): 1049-1062. doi:10.1007/s11277-014-2070-y.10.

[15] HAFIZUL ISLAM S K and LI Fagen.Leakage-free and provably secure certificateless signcryption scheme using bilinear pairings[J].,2015, 58(10): 2636-2648. doi:10.1093/comjnl/bxv002.

[16] SUN Yinxia and LI Hui. Eifficient signcryption between TPKC and IDPKC and its multi-receiver construction[J]., 2010, 53(3): 557-566.doi: 10.1007/s11432-010-0061-5.

[17] HUANG Q, WONG D S, and YANG G. Heterogeneous signcryption with key privacy[J].,2011, 54(4): 525-536. doi:10.1093/comjnl/bxq095.

[18] LI Fagen, ZHANG Hui, and TAKAGI T. Efficient signcryption for heterogeneous systems[J]., 2013, 7(3): 420-429. doi:1109/JSYST.2012. 2221897.

[19] 俞惠芳, 楊波. 可證安全的無證書混合簽密[J]. 計算機學報, 2015, 38(4): 805-813.doi: 10.3724/SP.J.1016.2015.00804.

YU Huifang and YANG Bo. Provably secure certificateless hybrid signcryption[J]., 2015, 38(4): 805-813. doi: 10.3724/SP.J.1016.2015.00804.

Mutual Signcryption Schemes under Heterogeneous Systems

LIU Jingwei ZHANG Lihuan SUN Rong

(,,’710071,)

In the past studies, it is generally assumed that both sides of communication are in the same environment of public key cryptography, but with the development of technology and the popularity of the network, different regions may have different public key cryptographies. In order to resolve the communication security problem between heterogeneous systems, two signcryption schemes are proposed, which are used to achieve the communication security between the Public Key Infrastructure (PKI) and CertificatLess public key Cryptography (CLC) under heterogeneous systems. It is proved that the schemes have INDistinguishability against Adaptive Chosen Ciphertext Attacks (IND-CCA2) under Bilinear Diffie-Hellman Problem (BDHP) and Existential UnForgeability against adaptive Chosen Messages Attacks (EUF-CMA) under the Computational Diffie-Hellman Problem (CDHP) in the random oracle model.

Signcryption; Heterogeneous system; Chosen ciphertext attack; Unforgeability

TP309

A

1009-5896(2016)11-2948-06

10.11999/JEIT160056

2016-01-13；改回日期：2016-06-09；

2016-09-01

劉景偉 jwliu@mail.xidian.edu.cn

陜西省自然科學基礎研究計劃 (2016JM6057)，國家科技重大專項(2013ZX03005007)，高等學校學科創(chuàng)新引智計劃(B08038)

The Natural Science Basic Research Plan in Shaanxi Province of China (2016JM6057), The National Science and Technology Major Project of the Ministry of Science and Technology of China (2013ZX03005007), The 111 Project (B08038)

劉景偉： 男，1978年生，博士，副教授，研究方向為信息安全和網(wǎng)絡安全.

張俐歡： 女，1994年生，碩士生，研究方向為密碼學和信息安全.

孫 蓉： 女，1976年生，博士，副教授，研究方向為信息論與編碼理論.