不含雙線性對的高效無證書聚合簽密方案

蘇靖楓，柳菊霞

(1.河南城建學院 計算機與數據科學學院，河南 平頂山467036；　2.洛陽師范學院 信息技術學院，河南 洛陽 471934)(*通信作者電子郵箱33751752@qq.com)

0　引言

簽密能夠在合理的邏輯步驟內同時實現對消息的簽名和加密，與傳統的“先簽名后加密”的分步密碼實現相比，簽密機制通信量少、效率高。1997年，Zheng[1]首次提出了簽密的概念及具體的簽密方案。2002年，Baek等[2]設計出簽密方案的安全模型并對Zheng方案的安全性進行了證明。為結合無證書密碼體制的優勢，2008年，Barbosa等[3]提出一個無證書的簽密方案并給出具體的安全模型。隨后，多個無證書簽密方案相繼被提出[4-6]。

聚合簽密能組合多個簽密密文并進行批量驗證，在能耗及實時性要求較高的分布式通信的多對一模式下非常適用，如路由協議、車載網及銀行數據處理等。2009年Selvi等[7]提出了一個基于身份的聚合簽密方案并證明其安全性，Lu等[8]則提出一個基于雙線性對的無證書聚合簽密方案(Certificateless Aggregate SignCryption, CLASC)，但這兩個方案都不具備可公開驗證性，簽密及驗證簽密階段需要較多的雙線性對運算，效率不高。因此，設計安全性能完備且高效的聚合簽密方案成為研究熱點。如Jiang等[9]、張雪楓等[10]、Eslami等[11]、劉建華等[12]和Yin等[13]提出的CLASC方案。在聚合簽密驗證階段，文獻[14]的方案需要2n+2個雙線性對運算，文獻[9，11-13]的方案需要n+3個雙線性對運算。分析以上五個CLASC方案，發現它們所使用的雙線性對個數均與用戶數有關，其高效性只是相對而言的。為進一步減少聚合簽密驗證階段的雙線性對運算，張玉磊等[14]提出了一個雙線性對數為常數、與簽密用戶數無關的CLASC方案，但在簽密階段仍需要n個雙線性對運算。現有的聚合簽密方案都是基于耗時的雙線性映射構造的，而與指數運算、乘法運算及其他運算相比，雙線性對的運算代價要高得多[15]。因此，研究設計不含雙線性對的無證書聚合簽密方案，能夠更好地適用于車載自組織網、無線傳感網等資源受限的應用環境

本文基于無證書聚合簽密安全模型[11]，提出一種無需雙線性對的無證書聚合簽密方案。該方案不含復雜的雙線性對運算和指數運算，基于計算Diffie-Hellman問題(Computational Diffie-Hellman Problem， CDHP)的困難性構造的部分私鑰傳輸不需要安全信道；同時，聚合簽密驗證過程不需要任何秘密信息，可以保證方案的可公開驗證性。最后，在隨機預言模型下證明了該方案滿足機密性和不可偽造性。

1　預備知識

1.1　計算困難問題

1.2　無證書聚合簽密方案形式化定義

本文提出的CLASC方案包含6個算法，分別為系統初始化、用戶密鑰對生成、簽密、聚合簽密、聚合簽密驗證和聚合解簽密。

1)系統建立算法：輸入一個安全參數k，密鑰生成中心(Key Generation Center，KGC)生成系統公開參數params和系統主密鑰z，z由KGC秘密保存。

2)用戶密鑰對生成算法：用戶首先選取秘密值xi并計算部分公鑰Xi。輸入系統參數params、用戶身份IDi及Xi，KGC接著輸出部分私鑰源di及部分公鑰Ri。最后，用戶驗證di的有效性并計算出部分私鑰Di。

3)簽密算法：輸入系統參數params、消息mi、簽密者身份IDi、簽密者私鑰SKi、接收者身份IDB、接收者公鑰PKB，輸出簽密密文σi。

4)聚合簽密算法：輸入簽密者Ui對消息mi的簽密密文σi(1≤i≤n)，輸出聚合簽密密文δ。

5)聚合簽密驗證算法：輸入系統參數params、簽密用戶的身份-公鑰對(IDi,PKi)(1≤i≤n)，接收者驗證聚合密文δ的合法性。如果驗證通過，則輸出true，否則輸出false。

6)聚合解簽密算法：如果“聚合簽密驗證算法”輸出為true，則執行該算法。輸入聚合密文δ、接收者身份IDB及其私鑰SKB。輸出消息mi(1≤i≤n)。

1.3　無證書聚合簽密方案安全模型

參照文獻[11]所定義的安全模型，CLASC方案需考慮兩種類型的敵手：AⅠ和AⅡ。AⅠ屬于一般用戶，可以查詢和替換合法用戶的公鑰，實施公鑰替換攻擊；AⅡ代表惡意的KGC，能夠獲取系統主密鑰和用戶的部分私鑰，實施偽造攻擊。因此，CLASC方案的安全性需分別考慮兩類敵手攻擊下的保密性和不可偽造性，具體定義如下。

定義1如果CLASC方案能夠抵抗敵手AⅠ和AⅡ的適應性選擇密文攻擊，則方案在適應性選擇密文攻擊下具有不可區分的安全屬性[11]。

定義2如果CLASC方案能夠抵抗敵手AⅠ和AⅡ的適應性選擇消息攻擊，則方案在適應性選擇消息攻擊下具有存在不可偽造性[11]。

2　不含雙線性對的無證書聚合簽密方案

在車載自組織網應用場景中，當城市交通擁堵時，1個路邊單元(Road Side Unit, RSU)通常需要管轄上百輛車輛，可以利用聚合簽密技術，在短時間內對來自大量的車載基礎單元(On-Board Unit, OBU)的簽密信息進行批量驗證。本文提出一個不含雙線性對的無證書聚合簽密方案，結合車載自組織網應用場景來詳細描述本文方案的實現過程。方案的合法參與者有服務中心(Service Center， SC)、車載基礎單元OBUi(1≤i≤n)、聚合簽密器Agg-tor和路邊單元RSU，密鑰生成階段集成了密鑰的選擇及部分私鑰的提取。具體實現過程如下：

1)系統參數建立。

2)密鑰生成。

此過程包括私鑰生成及部分私鑰提取，步驟如下：

c)為確保(Ri,di)的有效性，OBUi首先驗證等式Ri+PpubH1(IDi,Ri,Xi)+PH3(xiPpub)=diP是否成立，若成立，接著計算其部分私鑰Di=di-H3(xiPpub)(若需要，SC也可以計算出OBUi的部分私鑰Di=ri+zH1(IDi,Ri,Xi))。這樣，OBUi的私鑰為SKi=(Di,xi)，公鑰為PKi=(Ri,Xi)。

同樣,路邊單元RSU的私鑰為SKB=(DB,xB)，公鑰為PKB=(RB,XB)

3)簽密。

假定參與簽密的車載基礎單元OBUi的身份信息為IDi，聚合簽密接收者RUS的身份和公鑰分別為IDB和PKB，待簽密的消息為mi(1≤i≤n)。具體步驟如下：

4)聚合簽密。

5)驗證聚合簽密。

給定n個OBUi的身份-公鑰對(IDi,PKi)及系統公開參數，RUS驗證δ=(T1,T2,…,Tn,C1,C2,…,Cn,S)的合法性，步驟如下：

b)驗證下面等式是否成立:

如果等式成立，證明聚合簽密是有效的，否則拒絕接受。

6)解聚合簽密。

如果聚合簽密驗證通過，RSU則利用自己的私鑰SKB解密出消息，其中1≤i≤n。執行步驟如下：

3　方案的安全性分析

3.1　正確性

a)聚合簽密的合法性驗證。

b)解密密文的正確性檢查。

ai(XB+RB+PpubH1(IDB,RB,XB))=Qi

3.2　不可偽造性

定理1隨機預言模型下，基于DLP，本文提出的CLASC方案在適應性選擇消息攻擊下是存在性不可偽造的(EUF-CLASC-CMA)。

證明挑戰者?給定一個隨機的DLP實例(P,aP)，?的目的是通過與敵手AⅠ的交互求解DLP，即求出a。

1)系統初始化階段。

?設Ppub=aP(這里a默認作為系統主密鑰，并且對AⅠ保密)，選擇并發送系統參數params=(p,q,P,Ppub,H1,H2,H3)給敵手AⅠ。

2)問詢階段。

AⅠ適應性地執行以下預言機問詢，?維護以下6個列表L1、L2、L3、Ls、Lsk、Lpk分別用于記錄AⅠ對預言機H1、H2、H3、秘密值提取、部分私鑰提取、公鑰提取的問詢數據，列表初始化均為空。

3)偽造階段。

即

E1：?在模擬過程中沒有終止的情況；

E2：偽造的聚合簽密δ*是有效且非平凡的；

E3：在E2發生的前提下，不失一般性，滿足c1=1，ci=0(2≤i≤n)。

證明挑戰者?給定一個隨機的DLP實例(P,aP)，?的目的是通過與敵手AⅡ的交互求解DLP，即求出a。敵手AⅡ在這里充當惡意的SC，除掌握引理1中的給定的條件外，還擁有系統主密鑰z。AⅡ能夠執行除引理1中的“公鑰替換問詢”和“部分私鑰提取問詢”以外的所有詢問。除“公鑰提取問詢”和“簽密問詢”外，其他同引理1。

3.3　機密性

定理2隨機預言模型下，基于CDHP，本文提出的CLASC方案在適應性選擇密文攻擊下是不可區分的(IND-CLASC-CCA2)。

引理3隨機預言模型下，如果存在概率多項式時間敵手AⅠ(或AⅡ)以不可忽略的概率贏得游戲，則存在挑戰者?能夠以不可忽略的概率解決CDHP的一個實例。

引理3的證明方法與Eslami方案[11]的保密性證明方法類似，限于篇幅，此次不再給出具體過程。

4　方案性能及效率分析

4.1　性能分析

4.1.1部分私鑰生成不需要安全信道

在本文方案中，服務中心SC首先計算出車載基礎單元OBUi的部分私鑰對應的部分私鑰源di=ri+zH1(IDi,Ri,Xi)+H3(zXi)，然后通過公開信道發送di給OBUi，最后OBUi通過計算Di=di-H3(xiPpub)得到自己的部分私鑰Di。若有需要，SC也可以通過計算Di=ri+zH1(IDi,Ri,Xi)得到OBUi的部分私鑰。若部分私鑰源di在經公開信道傳遞時被攻擊者監聽到，攻擊者將會嘗試借助兩種方法得到部分私鑰：其一，計算Di=di-H3(xiPpub)，由于得不到OBUi的秘密值xi，所以計算不出Di；其二，計算Di=ri+zH1(IDi,Ri,Xi)，也會由于無法得到系統主密鑰而失敗。所以，本文方案的部分密鑰的分發不需要安全信道。

4.1.2可公開驗證性

當簽密發送者車載基礎單元OBUi和簽密接收者路邊單元RSU關于聚合簽密密文的真偽發生爭執時，任意第三方均可驗證下面等式：

因為該等式的驗證無需接收者的參與，且不需要任何用戶的秘密信息，因此方案具有可公開驗證性。

4.2　效率分析

表1對本文方案和已有的典型方案的效率進行了比較。假設參與簽密的用戶有n個，這里考慮三種運算：指數運算(標識為E)、群G上的乘法運算(標識為S)、雙線性對運算(標識為P)。相比較前三種運算，散列函數運算和異或運算的耗時對整體效率的影響可以忽略不計。為分析方案的通信開銷，表2對本文方案和已有的典型方案的密文長度進行了比較。其中，|G1|和|G|為相應群中元素的長度，|m|和|U|分別表示消息和用戶身份的長度。

表1　計算效率與密文長度比較Tab. 1　Comparison of computational efficiency and ciphertext size

5　結語

無證書聚合簽密利用了無證書密碼體制的優勢，能夠對簽密的信息進行聚合傳輸和批量驗證，大大降低了計算復雜度和通信代價。本文設計了一個無需雙線性對的無證書聚合簽密方案，對比已有的方案，本文方案有效地提高了計算效率且密文長度更短。同時，在隨機預言模型下，基于CDHP和DLP證明了方案滿足不可偽造性和機密性，并且部分私鑰的傳輸不需要安全信道。因此，本文方案適用于計算資源和帶寬受限的聚合簽密應用環境。

參考文獻:

[1]ZHENG Y. Digital signcryption or how to achieve cost(signature & encryption)<

[2]BAEK J, STEINFELD R, ZHENG Y L. Formal proofs for the security of signcryption [C]// PKC 2002: Proceedings of the 2002 International Workshop on Public Key Cryptography, LNCS 2274. Berlin: Springer, 2002: 80-98.

[3]BARBOSE M, FARSHIM P. Certificateless signcryption [C]// ASIACCS ’08: Proceedings of the 2008 ACM Symposium on Information, Computer and Communications Security. New York: ACM, 2008: 369-372.

[4]ZHOU C, ZHOU W, DONG X. Provable certificateless generalized signcryption scheme [J]. Designs, Codes and Cryptography, 2014, 71(2): 331-346.

[5]SHI W, KUMAR N, GONG P, et al. Cryptanalysis and improvement of a certificateless signcryption scheme without bilinear pairing [J]. Frontiers of Computer Science, 2014, 8(4): 656-666.

[6]夏昂,張龍軍.一種新的無雙線性對的無證書安全簽密方案[J].計算機應用研究,2014,31(2):532-535. (XIA A, ZHANG L J. New secure certificateless signcryption scheme without pairing [J]. Application Research of Computers, 2014, 31(2): 532-535.)

[7]SELVI S S D, VIVEK S S, SHRIRAM J, et al. Identity based aggregate signcryption schemes [C]// INDOCRYPT 2009: Proceedings of the 10th International Conference on Progress in Cryptology, LNCS 5922. Berlin: Springer, 2009: 378-397.

[8]LU H J, XIE Q. An efficient certificateless aggregate signcryption scheme from pairings [C]// ICECC 2011: Proceedings of the 2011 International Conference on the Electronics, Communications and Control. Piscataway, NJ: IEEE, 2011:132-135.

[9]JIANG Y, LI J, XIONG A. Certificateless aggregate signcryption scheme for wireless sensor network [J]. International Journal of Advancements in Computing Technology, 2013, 5(8): 456-463.

[10]張雪楓,魏立線,王緒安.無證書的可公開驗證聚合簽密方案[J].計算機應用,2013,33(7):1858-1860. (ZHANG X F, WEI L X, WANG X Z. Certificateless aggregate signcryption scheme with public verifiability[J]. Journal of Computer Applications, 2013, 33(7): 1858-1860.)

[11]ESLAMI Z, PAKNIAT N. Certificateless aggregate signcryption: security model and a concrete construction secure in the random oracle model [J]. Journal of King Saud University Computer and Information Sciences, 2014, 26(3): 276-286.

[12]劉建華,毛可飛,胡俊偉.基于雙線性對的無證書聚合簽密方案[J].計算機應用,2016,36(6):1558-1562. (LIU J H, MAO K F, HU J W. Certificateless aggregate signcryption scheme based on bilinear pairings [J]. Journal of Computer Applications, 2016, 36(6): 1558-1562.)

[13]YIN S-L, LI H, LIU J. A new provable secure certificateless aggregate signcryption scheme [J]. Journal of Information Hiding and Multimedia Signal Processing, 2016, 7(6): 1274-1281.

[14]張玉磊,王歡,李臣意,等.可證安全的緊致無證書聚合簽密方案[J].電子信息學報,2015,37(12):2838-2844. (ZHANG Y L, WANG H, LI C Y, et al. Provable secure and compact certificateless aggregate signcryption scheme [J]. Journal of Electronics and Information Technology, 2015, 37(12): 2838-2844.)

[15]DENG L, ZENG J, QU Y. Certificateless proxy signature from RSA [J]. Mathematical Problems in Engineering, 2014, 2014(9): Article ID 373690.

[16]張華,溫巧燕,金正平.可證明安全算法與協議[M].北京:科學出版社,2012:76-77. (ZHANG H, WEN Q Y, JIN Z P. Provable Security Algorithms and Protocols [M]. Beijing: Science Press, 2012: 76-77.)