異構(gòu)系統(tǒng)下的雙向簽密方案

劉景偉 張俐歡 孫蓉

?

異構(gòu)系統(tǒng)下的雙向簽密方案

劉景偉*張俐歡 孫蓉

(西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室 西安 710071)

在過(guò)去的研究中，人們通常假設(shè)通信雙方都處在同一個(gè)公鑰密碼體制環(huán)境中，但隨著科技的發(fā)展和網(wǎng)絡(luò)的普及，不同的地區(qū)可能采用不同的公鑰密碼體制。為了解決異構(gòu)系統(tǒng)之間的通信安全問(wèn)題，該文提出兩種在公共密鑰基礎(chǔ)設(shè)施(PKI)和無(wú)證書公鑰密碼體制(CLC)下安全通信的異構(gòu)簽密方案。同時(shí)在雙線性Diffie-Hellman問(wèn)題(BDHP)和計(jì)算性Diffie-Hellman問(wèn)題(CDHP)的難解性下，所提方案在隨機(jī)預(yù)言模型中具有自適應(yīng)選擇密文攻擊下的不可區(qū)分性(IND-CCA2)和自適應(yīng)選擇消息攻擊下的不可偽造性(EUF-CMA)。

簽密；異構(gòu)系統(tǒng)；選擇密文攻擊；不可偽造性

1 引言

在傳統(tǒng)公共密鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)中，通常存在一個(gè)可信認(rèn)證中心CA(Certification Authority)，CA為每一個(gè)用戶頒發(fā)一個(gè)與其公鑰匹配的公鑰證書，實(shí)現(xiàn)公鑰認(rèn)證，但這種方法會(huì)在證書管理上浪費(fèi)大量的計(jì)算時(shí)間和存儲(chǔ)空間。為了解決該問(wèn)題，文獻(xiàn)[1]提出了一種基于身份的公鑰密碼體制IBC (Identity-Based Cryptosystem)。在IBC系統(tǒng)中，用戶的私鑰是由秘鑰生成中心KGC(Key Generation Center identity-based cryptosystem)生成，KGC里存放的秘鑰則是通過(guò)用戶的身份生成用戶的私鑰。這種方法面臨著密鑰托管的問(wèn)題。基于該問(wèn)題，文獻(xiàn)[2]提出了無(wú)證書公鑰密碼體制(CLC)。在CLC系統(tǒng)中，公鑰由用戶生成，私鑰由用戶選擇的秘密值和KGC產(chǎn)生的部分私鑰共同構(gòu)成。KGC無(wú)法得知用戶的完整私鑰，因此有效解決了上述的密鑰托管問(wèn)題。

如需同時(shí)實(shí)現(xiàn)保密性、完整性、認(rèn)證性和不可否認(rèn)性，傳統(tǒng)的方法是先簽署一份郵件，然后對(duì)它進(jìn)行加密，稱為“先簽名后加密”。1997年文獻(xiàn)[3]首次提出了簽密的概念，這個(gè)新的密碼學(xué)原語(yǔ)在一個(gè)邏輯步驟內(nèi)同時(shí)實(shí)現(xiàn)數(shù)字簽名和公鑰加密的功能，在成本上顯著低于傳統(tǒng)的先簽名后加密方法。2002年文獻(xiàn)[4]提出了正式的簽密安全模型。簽密在許多應(yīng)用中都可以發(fā)揮優(yōu)勢(shì)，如電子商務(wù)、移動(dòng)通信和智能卡等。目前，雖然已經(jīng)提出了很多基于PKI的簽密方案和基于CLC的簽密方案，但這些方案不能用于異構(gòu)密碼系統(tǒng)間的通信。為了確保異構(gòu)系統(tǒng)間的安全通信，本文提出了兩種異構(gòu)系統(tǒng)下的簽密方案，實(shí)現(xiàn)了PKI和CLC這兩個(gè)公鑰密碼系統(tǒng)間的安全通信。

目前已經(jīng)提出的針對(duì)異構(gòu)通信的簽密方案主要有以下幾種：2010年文獻(xiàn)[16]提出了一方屬于PKI，另一方屬于IBC的異構(gòu)簽密機(jī)制，但他們的方案只能抵抗外來(lái)攻擊者，并不能滿足不可否認(rèn)性；2011年文獻(xiàn)[17]提出了發(fā)送端屬于PKI，接收端屬于IBC的異構(gòu)簽密方案，但該方案只允許在PKI系統(tǒng)的用戶發(fā)送消息，在IBC系統(tǒng)的用戶接收消息，并不能完成雙向的安全通信；2013年文獻(xiàn)[18]提出了兩個(gè)異構(gòu)簽密方案，第1個(gè)方案是PKI中的發(fā)送端給基于IBC中的接收端發(fā)送消息，第2個(gè)方案是基于IBC的發(fā)送端給PKI中的接收端發(fā)送消息。在上述簽密方案中，并沒(méi)有適用于PKI和CLC異構(gòu)系統(tǒng)間安全通信的簽密方案，因此本文提出了兩個(gè)適用于PKI和CLC異構(gòu)系統(tǒng)間的簽密方案PCHS (PKI-CLC Heterogeneous System)和CPHS(CLC- PKI Heterogeneous System)。

2 預(yù)備知識(shí)與安全模型

在本節(jié)中簡(jiǎn)要地描述了文中涉及到的困難性問(wèn)題，并給出了所提方案對(duì)應(yīng)的安全模型。

2.1困難性問(wèn)題

(1)Bilinear Diffie-Hellman(BDH)問(wèn)題：給定，計(jì)算，其中是一個(gè)雙線性映射，是的生成元，,是階為素?cái)?shù)的兩個(gè)群。

(2)Computational Diffie-Hellman(CDH)問(wèn)題：給定，計(jì)算。

2.2 PCHS安全模型：

本文在其安全模型中考慮兩類敵手。第1類敵手無(wú)法獲得KGC的主密鑰，但能夠自適應(yīng)地替換用戶的公鑰；第2類敵手無(wú)法替換用戶的公鑰，但可以獲得KGC的主密鑰[19]。

定義1 若任何概率時(shí)間多項(xiàng)式有界的兩類敵手贏得IND-CCA2的優(yōu)勢(shì)可忽略，則稱該方案滿足自適應(yīng)選擇密文攻擊下的不可區(qū)分性。

定義2 若任何概率時(shí)間多項(xiàng)式有界的偽造者贏得EUF-CMA的優(yōu)勢(shì)是可忽略的，則稱方案滿足在自適應(yīng)選擇消息攻擊下的不可偽造性。

CPHS方案的安全模型與PCHS方案類似。

3 具體方案描述

在本節(jié)中，我們提出了兩個(gè)適用于PKI和CLC異構(gòu)系統(tǒng)間的簽密方案PCHS和CPHS。

CLC-KG:

PCHS簽密過(guò)程：已知明文, CLC系統(tǒng)的公鑰和PKI系統(tǒng)的私鑰

即

驗(yàn)證成功。

即

驗(yàn)證成功。

4 安全性證明

在本節(jié)中，我們對(duì)所提出方案的安全性進(jìn)行證明。

定理1(PKI -CLC IND-CCA2-1) 假設(shè)存在一個(gè)IND-CCA2-1敵手。經(jīng)過(guò)詢問(wèn),次CLC部分私鑰詢問(wèn)，次CLC私鑰詢問(wèn)和次CLC公鑰替換詢問(wèn)后，能以一個(gè)不可忽略的優(yōu)勢(shì)攻破PCHS方案的IND-CCA2-1安全性，則存在一個(gè)挑戰(zhàn)者能以優(yōu)勢(shì)解決BDH問(wèn)題，這里為：。

H1詢問(wèn)：選擇一系列身份詢問(wèn)相應(yīng)雜湊值。接收到身份的H1詢問(wèn)時(shí)，若L1中含有,返回作為應(yīng)答；否則，任選整數(shù)，在不泄露具體數(shù)值的情況下，將作為挑戰(zhàn)身份發(fā)送給，若收到第次詢問(wèn)，設(shè)置，返回，添加到L1．如果接收到的不是第次詢問(wèn)，選擇一個(gè)隨機(jī)數(shù)，返回，添加到L1。

H2詢問(wèn)：進(jìn)行H2詢問(wèn)時(shí)，比對(duì)列表L2中是否存在。若存在，返回；否則，返回任意的，添加到L2。

H3詢問(wèn)：進(jìn)行H3詢問(wèn)時(shí)，比對(duì)列表L3中是否存在。若存在，返回3；否則，返回任意的，添加到L3。

H4詢問(wèn)：進(jìn)行H4詢問(wèn)時(shí)，比對(duì)列表L4中是否存在。若存在，返回4；否則，返回任意的，添加到L4。

猜測(cè)：L3中儲(chǔ)存有個(gè)雜湊值，從L3中隨機(jī)等概率地選擇。

證畢

定理2(PKI- CLC IND-CCA2-2) 假設(shè)存在一個(gè)IND-CCA2-2敵手，定義同上，其中為：。

證明 初始化：階段2與PKI-CLC IND- CCA2-1相似，因?yàn)榈?類攻擊者知道KGC的主密鑰，但不具備替換任意用戶公鑰的能力，所以階段1無(wú)需進(jìn)行公鑰替換詢問(wèn)。

證畢

定理3(PKI-CLC EUF-CMA)假設(shè)存在一個(gè)EUF-CMA偽造者，經(jīng)過(guò)詢問(wèn),次部分私鑰詢問(wèn)，次CLC私鑰詢問(wèn)和次CLC公鑰替換詢問(wèn)后，能以一個(gè)不可忽略的優(yōu)勢(shì)攻破PCHS方案的EUF-CMA安全性，則存在一個(gè)挑戰(zhàn)者能以優(yōu)勢(shì)解決CDH問(wèn)題，這里為：

訓(xùn)練：H1詢問(wèn)：選擇一系列身份詢問(wèn)相應(yīng)雜湊值。接收到身份的H1詢問(wèn)時(shí)，若L1中含有,返回作為應(yīng)答；否則，任選整數(shù)，在不泄露具體數(shù)值的情況下，將作為挑戰(zhàn)身份發(fā)送給，若收到第次詢問(wèn)，設(shè)置，返回，添加到L1。如果接收到的不是第次詢問(wèn)，選擇一個(gè)隨機(jī)數(shù)，返回，添加到L1。

H2~H4同PKI -CLC IND-CCA2-1。

證畢

CLC-PKI的安全性證明與上述方案類似。

5 效率分析

本小節(jié)對(duì)各異構(gòu)簽密方案的性能進(jìn)行分析，假設(shè)|1|=160 b, |2|=1024 b, ||=160 b, |ID|=160 b。PKI指該簽密方案是在公鑰基礎(chǔ)設(shè)施環(huán)境下工作的；IBC指該簽密方案是在基于身份的公鑰密碼環(huán)境下工作的；CLC指該簽密方案是在無(wú)證書環(huán)境下工作的；箭頭代表該方案是異構(gòu)的簽密方案，BP表示雙線性對(duì)運(yùn)算；EXPC表示冪指數(shù)運(yùn)算；SCM標(biāo)量乘運(yùn)算；密文長(zhǎng)度表示通信開銷。

從表1可以看出，文獻(xiàn)[16]雖有較低的計(jì)算開銷但并不能滿足EUF-CMA安全性使得該方案存在安全隱患問(wèn)題；文獻(xiàn)[17]雖可以滿足安全性但密文長(zhǎng)度過(guò)大且標(biāo)量乘運(yùn)算過(guò)多使得所需要的通信開銷和計(jì)算消耗都變大；文獻(xiàn)[18]的通信開銷雖小但其標(biāo)量乘運(yùn)算較多則計(jì)算消耗也隨之上升；本文方案的通信開銷雖并非最小，但在嚴(yán)格保證了方案的安全性下只需計(jì)算兩次標(biāo)量乘具有較低的計(jì)算復(fù)雜度，可在實(shí)際應(yīng)用中節(jié)省更多的時(shí)間和精力。在應(yīng)用方向上，前3類方案解決的都是PKI和IBC系統(tǒng)間的異構(gòu)安全通信問(wèn)題，方案則應(yīng)用在PKI和CLC系統(tǒng)間，具有創(chuàng)新性。因此綜合計(jì)算消耗，安全性，通信開銷，應(yīng)用方向等各方面的因素考慮本文方案的性能后，可看出本文方案在整體性能中具有的優(yōu)越性和創(chuàng)新性。

表1 各簽密方案性能對(duì)比

6 結(jié)束語(yǔ)

本文提出了兩種異構(gòu)系統(tǒng)下的簽密方案，用于公鑰基礎(chǔ)設(shè)施環(huán)境(PKI)和無(wú)證書公鑰密碼環(huán)境(CLC)這兩個(gè)公鑰密碼系統(tǒng)間的安全通信。這兩個(gè)方案都只需2個(gè)線性對(duì)運(yùn)算、2個(gè)標(biāo)量乘運(yùn)算和1個(gè)冪指數(shù)運(yùn)算，相比于之前提出的方案，具有較低的計(jì)算復(fù)雜度；同時(shí)在雙線性Diffie-Hellman問(wèn)題(BDHP)和計(jì)算性Diffie-Hellman問(wèn)題(CDHP)的難解性下，所提方案在隨機(jī)預(yù)言模型中具有自適應(yīng)選擇密文攻擊下的不可區(qū)分性(IND-CCA2)和自適應(yīng)選擇消息攻擊下的不可偽造性(EUF-CMA)。這兩個(gè)方案也可應(yīng)用于電子商務(wù)、網(wǎng)上支付、移動(dòng)互聯(lián)和智能卡等領(lǐng)域。

[1] SHAMIR A. Identity-based cryptosystem and signature scheme [C].Proceedings of CRYPTO 84 on Advances in cryptology,New York, NY, USA, 1984, 196: 47-53. doi:10.1007/3-540-39568-7_5 .

[2] AL-RIYAMI S S and PATERSON K G. Certificateless public key cryptography[C]. International Conference on the Theory and Application of Cryptology and Information Security, Taipei, China, 2003: 452-473.doi:10.1007/978-3-540-40061- 5_29.

[3] ZHENG Yuliang. Digital signcryption or how to achieve cost (signature & encryption)<

[4] BAEK J, STEINFELD R, and ZHENG Yuliang. Formal proofs for the security of signcryption[C]. Proceedings of the Cryptology PKC2002, Paris, France, 2002: 81-98. doi:10.1007/3-540-45664-3_6.

[5] CH A S, UDDIN N, SHER M,An efficient signcryption scheme with forward secrecy and public verifiability based on hyper elliptic curve cryptography [J]., 2015, 74(5): 1711-1723. doi: 10.1007/s11042- 014-2283-9.

[6] LI C K, YANG G, WONG D S,An efficient signcryption scheme with key privacy[C]. Proceedings of the 4th European Public Key Infrastructure Workshop (EuroPKI 2007),Palma de Mallorca, Spain, 2007, 4582: 78-93.doi: 10. 1007/978-3-540-73408-6_6.

[7] QIN Bo, WANG Huaqun, WU Qianhong,An simultaneous authentication and secrecy in identity-based data upload to cloud[J]., 2013, 16(4): 845-859.doi: 10.1007/s10586-013-0258-7.

[8] PANG Liaojun, GAO Lu, LI Huixian,Anonymous multi-receiver ID-based signcryption scheme[J]., 2015, 9(3): 193-201. doi:10.1049/iet-ifs.2014.0360.

[9] BARBOSA M and FARSHIM P. Certificateless signcryption [C]. Proceedings of the ASIACCS2008, New York, USA, 2008: 369-372. doi: 10.1145/1368310.1368364.

[10] 張玉磊, 王歡, 李臣意, 等. 可證安全的緊致無(wú)證書聚合簽密方案[J]. 電子與信息學(xué)報(bào), 2015, 37(12): 2839-2844. doi: 10.11999/JEIT150407.

ZHANG Yulei, WANG Huan, LI Chenyi,Provable secure and compact certificateless aggregate signcryption scheme[J].&, 2015, 37(12): 2839-2844. doi: 10.11999/JEIT150407.

[11] 孫銀霞, 李暉, 李小青. 無(wú)證書體制下的多接收者簽密密鑰封裝機(jī)制[J]. 電子與信息學(xué)報(bào), 2010, 32(9): 2249-2252.doi: 10.3724/SP. J.1146.2009.01260.

SUN Yinxia, LI Hui, and LI Xiaoqing. Certificateless signcryption KEM to multiple recipients[J].&, 2010, 32(9): 2249-2252. doi:10.3724/SP.J.1146.2009.01260.

[12] 葛愛(ài)軍, 陳少真. 具有強(qiáng)安全性的不含雙線性對(duì)的無(wú)證書簽名方案[J]. 電子與信息學(xué)報(bào), 2010, 32(7): 1766-1768. doi: 10.3724/SP.J.1146.2009.00965.

GE Aijun and CHEN Shaozhen. Strongly secure certificateless signature scheme without pairings[J].&, 2010, 32(7): 1766-1768. doi:10.3724/SP.J.1146.2009.00965.

[13] ESLAMI Z and PAKNIAT N. Certificateless aggregate signcryption: security model and a concrete construction secure in the random oracle model[J]., 2014, 26(3): 276-286. doi:10.1016/j.jksuci.2014.03.006.

[14] YIN A and LIANG H. Certificateless hybrid signcryption scheme for secure sommunication of wireless sensor networks [J].,2015, 80(3): 1049-1062. doi:10.1007/s11277-014-2070-y.10.

[15] HAFIZUL ISLAM S K and LI Fagen.Leakage-free and provably secure certificateless signcryption scheme using bilinear pairings[J].,2015, 58(10): 2636-2648. doi:10.1093/comjnl/bxv002.

[16] SUN Yinxia and LI Hui. Eifficient signcryption between TPKC and IDPKC and its multi-receiver construction[J]., 2010, 53(3): 557-566.doi: 10.1007/s11432-010-0061-5.

[17] HUANG Q, WONG D S, and YANG G. Heterogeneous signcryption with key privacy[J].,2011, 54(4): 525-536. doi:10.1093/comjnl/bxq095.

[18] LI Fagen, ZHANG Hui, and TAKAGI T. Efficient signcryption for heterogeneous systems[J]., 2013, 7(3): 420-429. doi:1109/JSYST.2012. 2221897.

[19] 俞惠芳, 楊波. 可證安全的無(wú)證書混合簽密[J]. 計(jì)算機(jī)學(xué)報(bào), 2015, 38(4): 805-813.doi: 10.3724/SP.J.1016.2015.00804.

YU Huifang and YANG Bo. Provably secure certificateless hybrid signcryption[J]., 2015, 38(4): 805-813. doi: 10.3724/SP.J.1016.2015.00804.

Mutual Signcryption Schemes under Heterogeneous Systems

LIU Jingwei ZHANG Lihuan SUN Rong

(,,’710071,)

In the past studies, it is generally assumed that both sides of communication are in the same environment of public key cryptography, but with the development of technology and the popularity of the network, different regions may have different public key cryptographies. In order to resolve the communication security problem between heterogeneous systems, two signcryption schemes are proposed, which are used to achieve the communication security between the Public Key Infrastructure (PKI) and CertificatLess public key Cryptography (CLC) under heterogeneous systems. It is proved that the schemes have INDistinguishability against Adaptive Chosen Ciphertext Attacks (IND-CCA2) under Bilinear Diffie-Hellman Problem (BDHP) and Existential UnForgeability against adaptive Chosen Messages Attacks (EUF-CMA) under the Computational Diffie-Hellman Problem (CDHP) in the random oracle model.

Signcryption; Heterogeneous system; Chosen ciphertext attack; Unforgeability

TP309

A

1009-5896(2016)11-2948-06

10.11999/JEIT160056

2016-01-13；改回日期：2016-06-09；

2016-09-01

劉景偉 jwliu@mail.xidian.edu.cn

陜西省自然科學(xué)基礎(chǔ)研究計(jì)劃 (2016JM6057)，國(guó)家科技重大專項(xiàng)(2013ZX03005007)，高等學(xué)校學(xué)科創(chuàng)新引智計(jì)劃(B08038)

The Natural Science Basic Research Plan in Shaanxi Province of China (2016JM6057), The National Science and Technology Major Project of the Ministry of Science and Technology of China (2013ZX03005007), The 111 Project (B08038)

劉景偉： 男，1978年生，博士，副教授，研究方向?yàn)樾畔踩途W(wǎng)絡(luò)安全.

張俐歡： 女，1994年生，碩士生，研究方向?yàn)槊艽a學(xué)和信息安全.

孫 蓉： 女，1976年生，博士，副教授，研究方向?yàn)樾畔⒄撆c編碼理論.