基于HECC的門限群簽密研究*

馮 陽，汪學(xué)明

(1.貴州大學(xué) 大數(shù)據(jù)與信息工程學(xué)院 ，貴州 貴陽 550025；2.貴州大學(xué) 計算機科學(xué)與技術(shù)學(xué)院 貴州 貴陽 550025)

?

基于HECC的門限群簽密研究*

馮 陽1，汪學(xué)明2

(1.貴州大學(xué) 大數(shù)據(jù)與信息工程學(xué)院 ，貴州 貴陽 550025；2.貴州大學(xué) 計算機科學(xué)與技術(shù)學(xué)院 貴州 貴陽 550025)

分析了已有的門限群簽密方案，針對現(xiàn)有方案中抗合謀攻擊及身份追查等不足的問題，在(t,n)門限簽密的基礎(chǔ)上，基于HECC提出了一種可抗合謀攻擊、身份可追查的高安全性門限群簽密方案。該方案在可抵御合謀攻擊的同時，可分辨攻擊是來自于群成員還是外部，并可針對群成員的欺詐行為進行身份追查。該方案的安全性是建立在超橢圓曲線離散對數(shù)問題的難解性上，在保障安全的同時，也具備了HECC的諸多優(yōu)點。

門限群簽密；超橢圓曲線密碼體制；合謀攻擊；身份追查

0 引 言

1997年第一次提出“簽密”概念[1]，指在一個合理的邏輯步驟中同時完成數(shù)字簽名和信息加密兩個步驟，其計算量和通信成本都要低于傳統(tǒng)的“先簽名后加密”[2]，在群體之間的網(wǎng)絡(luò)通信過程中，門限群簽密方案有著較高的安全性及可操作性，研究人員也提出了很多門限群簽密方案。文獻[3]首次提出了同時具備具備(t,n)簽密和(k,l)解簽密的門限群簽密方案，之后文獻[4]指出此方案有安全缺陷并進行了改進。針對文獻[4]在群簽密階段計算效率較低的問題，文獻[5]提出了新的簽密方案，提高了計算效率。但在群簽密組成員存在惡意欺詐行為時，上述方案都無法防范，而在解簽密階段，由于是先解密后驗證，不能防止惡意信息的攻擊，文獻[6]針對上訴問題，提出了一種基于HECC的高安全性群簽密方案，大大提高了群簽密方案的安全性。

本文基于超橢圓曲線密碼體制，針對上述方案中在抗合謀攻擊以及對欺詐成員身份追查的不足，提出了一種新的改進方案，該方案在(t,n)門限群簽密的基礎(chǔ)上，受到攻擊時可分辨該攻擊是來自于群成員還是外部，并且可針對群成員的欺詐行為進行身份追查。該方案的安全性是建立在超橢圓曲線離散對數(shù)問題的難解性上，在保障安全的同時，也具備了HECC的諸多優(yōu)點。

1 超橢圓曲線密碼體制

超橢圓曲線密碼體制是橢圓曲線密碼體制的推廣。Koblitz 在 1988 年提出了超橢圓曲線密碼體制，其安全性基于有限域上超橢圓曲線的 Jacobian 上的離散對數(shù)問題(HCDLP)的難解性。

HECC作為ECC的推廣，使其有ECC所不具備的優(yōu)勢，文獻[9]中HP實驗室在Pentium Pro334MHZ及NT平臺下，使用Visual C++實現(xiàn)了ECDSA和HECDSA(超橢圓曲線數(shù)字簽名)的對比分析；文獻[10]中研究了ECC與RSA在同等安全強度下秘鑰大小的具體函數(shù)表達，從而間接證明了HECC綜合安全性更好。所以HECC較ECC具有以下優(yōu)點：第一，ECC是虧格為1的超橢圓曲線，而在定義域相同的情況下，虧格越大曲線越多，意味著可用于選取的安全曲線越多，具有更高的安全性；第二，如同已經(jīng)被廣泛應(yīng)用的ECC一樣，可以模擬基于乘法群上如RSA、Elgamal等幾乎所有協(xié)議；第三，安全水平相同時，HECC可選取更小的基域，而基域相同時，意味著HECC有更高的安全性，使HECC具有更高的研究價值。本文方案中如果選取虧格為3基域為60 bit，則與基域為180 bit的ECC安全性相同，遠大于1 024 bit的RSA。

2 基于HECC的門限群簽密方案

本方案基于HECC提出了一種可抗合謀攻擊、身份可追查的高安全性門限群簽密方案，方案有以下四部分組成：初始化、門限群簽密生成、群簽密驗證和解簽密階段。

2.1 初始化階段

設(shè)有秘鑰分發(fā)中心KDC(可為不可信分發(fā)中心)負責該階段分配簽密成員秘鑰。秘鑰分配過程如下：

(1)KDC隨機選取s∈Zq為簽密組私鑰。簽密組公鑰Ds=s·D.

(2)利用Shamir的(t,n)門限方案[7], 隨機選擇ai(i=1,2,…,t-1)，利用拉格朗日插值定理構(gòu)造t-1次多項式：

fs(x)=s+a1x+…+at-1xt-1∈Zq[x]

(1)

(3)設(shè)現(xiàn)有哈希函數(shù)(HashFunction)記為H，KDC計算所需公布信息：簽密組成員公鑰Dsi以及Dai。

Dsi=si·D Dai=ai·D

(2)

(4)利用Pedersen提出的一個可驗證秘密分享方案VSS[8]，對KDC分發(fā)給簽密組的秘鑰進行驗證。

(3)

由于現(xiàn)實情況中完全可信的分發(fā)中心幾乎不存在，本方案通過上面兩組驗證可對分發(fā)中心KDC進行驗證，防范了KDC的欺詐行為，所以該方案中KDC可以是不可信的。

2.2 門限群簽密生成

2.2.1 成員簽密生成

所有成員Ui收到其他成員Uj(i≠j)的廣播信息后，為防范簽密組成員間欺詐行為，通過下式對信息進行驗證：

(4)

在所有Ui對廣播信息進行驗證通過后，計算:

(5)

2.2.2 群簽密生成

KDC收到Si后，通過下式驗證成員個體簽名的有效性：

Si·D=R·Dei+Di1

(6)

S·D=R·Ds+D1

(7)

(8)

又由Largrange插值多項式可知：

(9)

綜合以上可以得出：

S·D=s·D·R+D1=Ds·R+D1

(10)

2.3 群簽密驗證

(11)

因為如果簽密組成員個人簽名都通過驗證是有效的且KDC和成員也通過S·D=R·Ds+D1驗證，則可通過上式驗證證明群簽密的有效性，因為：

(12)

2.4 解簽密階段

通過上述一系列驗證之后，解簽密組成員通過下式恢復(fù)出秘密值m：

(13)

3 方案安全性分析

該方案是基于有限域上超橢圓曲線的Jacobian上的離散對數(shù)問題的難解性和(t,n)門限簽名的安全性。目前,對于一般的低虧格(g<4)的超橢圓曲線離散對數(shù)問題的攻擊都是指數(shù)時間的，所以本方案在計算上是安全的。方案利用Largrange門限方法實現(xiàn)方案的門限性，并通過一系列安全驗證保證方案的安全性，如秘密分發(fā)時對KDC的驗證、簽密組成員間驗證、群簽密生成時對個人簽名及KDC合成者的驗證等。

3.1 方案門限性分析

本文方案在秘鑰分配階段利用拉格朗日插值多項式構(gòu)造t-1次多項式：

(14)

(15)

其行列式為：

(16)

由范德蒙行列式性質(zhì)可知IDi互不相等，則含有t-1個未知數(shù)的t個線性方程組可以解出t-1個未知數(shù)s,a1,…,at-1，可以看出少于t個參與者無法求解。

(17)

3.2 秘鑰分配階段的可驗證性

利用Pedersen可驗證秘密分享方案VSS[7]來驗證KDC分發(fā)給成員的秘鑰：

(18)

3.3 簽密成員間個人簽密的可驗證性

(19)

3.4 對群簽密合成者的可驗證性

群簽密生成階段，KDC對收到的個人簽密進行驗證：Si·D=R·Dei+Di1，驗證通過說明個人簽密的有效性，之后解簽密人可利用S·D=R·Ds+D1對KDC進行驗證，以確保KDC無欺詐行為，因為：

(20)

所以S·D=s·D·R+D1=Ds·R+D1同時通過上述驗證可判斷在遭受攻擊時，攻擊是否來自外部。

3.5 驗證的匿名性和身份可追查性

4 結(jié)束語

[1]ZHENGYU-liang.DigitalSigncryptionorHowtoAchievecost(Signature&Encryption)<

[2] 雷詠,楊世平. 基于PKI的簽密體制[J]. 通信技術(shù),2013,46(1):43-46. LEI Yong, YANG Shi-ping. Signcryption System based on PKI[J] Communications Technology, 2013,46(1):43-46.

[3] WANG C T,CHANG C C,LIN C H. Generalization ofThreshold Signature and Authenticated Encryption for Group Communications[J]. IEICE Transactions on Fundamentals, 2000, E83-A (6): 1228-1237.

[4] Hsu C L,Wu T S,Wu T C. Improvements ofGeneralization of Threshold Signature and Authenticated Encryption for Group Communications[J]. Information Processing Letters. 2002, 81(1):41-45.

[5] 彭長根,李祥,羅文俊. 一種面向群組通信的通用門限簽密方案[J]. 電子學(xué)報,2007,01:64-67. PENG Chang-gen, LI Xiang, LUO Wen-jun. A Generalized Group-Oriented Threshold Signcryption Schemes[J]. Electronic journals, 2007,01:64-67.

[6] 馮君,汪學(xué)明. 一種高安全的門限群簽密方案[J]. 計算機應(yīng)用研究,2013,02:503-506. FENG Jun,WANG Xue-ming.Threshold group signcryption scheme with high security[J]. Computer application research, 2013,02:503-506.

[7] Sharmir A.How to Share a Secret [J]. Communication of the ACM, 1979, 22(11):612-6130.

[8] Pedersen T P.Distributed Provers with Applications to Undeniable Signatures. [C]//Eurocrypt'91,Lecture Notes in Computer Science 547 .New York: Springer-Verlag,1991.221-238.

[9] Solinas J. Efficient Arithmetic on Koblitz Curves [J], Designes, Codes and Cryptography 19(2000),195-249.

[10] Blake I，Seroussi G, Smart N. Elliptic Curves in Cryptography [J]. Cambridge: University Press,1999.

Threshold Group Signcryption based on HECC

FENG Yang1, WANG Xue-ming*2

(1.College of Big Data and Information Engineering, Guizhou University , Guiyang Guizhou 550025,China；2.College of Computer Science and Technology, Guizhou University, Guiyang Guizhou 550025,China)

This paper analyzes the existing threshold group signcryption schemes,and aiming at the problems of anti-conspiracy attack and limited identity-tracing and with (t, n) signcryption as the basis, proposes a more secure threshold group signcryption scheme based on HECC (Hyperelliptic Curve Cryptosystem). This scheme could effectively resist conspiracy and distinguish between external attacks and internal attacks, and meanwhile carry out identity-tracing in accordance with the fraudulent practice of group members. Scheme security relies on the difficult solution of discrete logarithm problem of hyperelliptic curve, and thus to guarantee security while enjoy many advantages of HECC.

threshold group signcryption; HECC; conspiracy attack; identity- tracing

10.3969/j.issn.1002-0802.2015.05.020

2015-01-05；

2015-04-20 Received date:2015-01-05；Revised date：2015-04-20

國家自然科學(xué)基金項目[2011]61163049；貴州省自然科學(xué)基金項目黔科合J字[2011]2197

Foundation Item:National natural science fund project[2011]61163049; Guizhou province natural science fund project[2011]2197

TP393

A

1002-0802(2015)05-0607-04

馮 陽(1986-)，男，碩士研究生，主要研究方向為密碼學(xué)與信息安全；

汪學(xué)明(1965-)，男，博士，教授，主要研究方向為無線與移動通信、協(xié)議分析與模型檢測、密碼學(xué)與信息安全。