5G網絡下的無證書身份隱藏簽密方案

呂 佳,曹素珍,寇邦艷,張志強,韓龍博

(西北師范大學 計算機科學與工程學院,蘭州 730070)

0 概述

隨著5G網絡的迅速發展[1-2],用戶在體驗5G網絡帶來便利的同時[3-4],也承擔著隱私信息被泄露的風險,因此安全問題成為當前5G網絡研究的熱點之一[5-6]。無證書的發展歷程從傳統公鑰密碼體制開始,由于傳統公鑰密碼體制存在公鑰證書管理的問題,因此文獻[7]提出基于身份的密碼體制,但是基于身份的密碼體制存在密鑰托管問題。為解決密鑰托管這一問題,文獻[8]提出基于無證書的公鑰密碼體制,其中用戶私鑰由兩部分組成,一部分是用戶秘密值,另一部分是密鑰生成中心(Key Generation Center,KGC)產生的部分私鑰。

5G網絡環境下的安全問題越來越突出。文獻[9]指出5G網絡的安全問題可能會成為制約其發展的瓶頸,并明確5G網絡中用戶身份與數據隱私保護的重要性。文獻[10]給出5G網絡初級階段的系統架構,并闡述5G網絡中涉及的網絡安全、用戶安全及應用安全等問題。文獻[11]通過不同的5G網絡切片部署不同的公共密鑰密碼系統來解決5G環境下異構系統之間的安全性問題,但忽視了身份隱私泄露問題。文獻[12]提出將數字簽名和身份信息隱藏相結合的方案,由于該方案需建立零往返傳輸時間連接,因此對信息傳輸的安全性有所忽視。文獻[13]提出基于KP-ABE的匿名接入認證方案,通過加密算法及建立用戶設備與歸屬網絡之間的假名來保護用戶身份隱私信息。文獻[14]所提方案基于身份的簽密技術[15],使協議運行所產生的記錄不會泄露參與者身份信息,從而保護用戶身份隱私。文獻[16]提出簽密概念并得到了廣泛應用和關注。為避免5G技術為用戶提供方便快捷的同時[17],敏感隱私數據被惡意盜取的問題,本文在文獻[14,16]的基礎上,結合無證書密碼體制,提出基于5G網絡的無證書身份隱藏簽密方案。該方案在解簽密階段,簽密者的身份信息不作為輸入數據,以此完成對用戶身份信息的隱藏。與此同時,簽密者的身份信息作為解密階段的輸出之一用于解決用戶認證的正確性驗證問題,敵手就無法攻擊并獲取簽密者的隱私,從而有效防止數據傳輸過程中可能存在的各種攻擊。

1 相關知識

1.1 雙線性映射

設G1和G2是階為素數q的循環群,P是G1的一個生成元,若e:G1×G1→G2符合以下性質的描述,則稱e是一個雙線性映射[18-19]。

2)非退化性:e(P,P)≠1。

1.2 困難問題假設

2 系統模型與算法模型

2.1 系統模型

系統模型參與實體包括密鑰生成中心、發送方Alice、接收方Bob及5G互聯網環境,如圖1所示。

1)密鑰生成中心:產生部分密鑰,并將其安全密鑰發送給用戶。

2)發送方Alice:將明文進行加密,通過5G移動通信網與接收方之間建立對話。

3)接收方Bob:接收發送方發送的密文,并獲取發送方Alice的請求和身份信息,通過驗證解密的消息,Bob可以確定請求是否來自Alice,然后選擇是否接受會話。

4)5G移動通信網:為發送者和接收者之間建立實現雙方合法會話的通信連接。

圖1 系統模型

2.2 算法模型

無證書簽密方案由以下6個算法組成。

1)Setup:安全參數k作為輸入,KGC生成系統參數params作為公開參數和主密鑰ω,其中KGC保存ω秘密。

2)Partial-Key-Extract:輸入用戶身份IDi、主密鑰ω和系統參數params,KGC計算生成用戶IDi的部分私鑰Di和部分公鑰Ri并發送給用戶IDi。

3)Set-Private-Secret-Value:根據用戶身份信息IDi及系統參數params,計算該用戶的私有秘密值。

5)Signcrypt:將系統參數params、消息m、簽密者的私鑰SKs、簽密者身份信息IDs、解簽密者的身份信息IDr、解簽密者的公鑰PKr作為輸入,計算并輸出簽密密文C。

6)Unsigncrypt:將系統參數params、密文C、簽密者的公鑰PKs及解簽密者私鑰SKr作為輸入,計算并經過驗證判斷所得消息是否合法,如果合法,則輸出消息m和簽密者的身份信息IDs,否則輸出⊥。

3 方案設計

3.1 系統建立

3.2 用戶部分密鑰提取

用戶部分密鑰提取步驟具體如下:

2)KGC將計算得到的Ri、Di分別作為用戶的部分公鑰和私鑰,通過安全信道發送給用戶。

3.3 用戶私有秘密值提取

3.4 用戶完整密鑰產生

用戶完整密鑰產生步驟具體如下:

1)輸入params和數據用戶的私有秘密值,計算Xi=xiP,用戶公鑰PKi為{Ri,Xi}。

2)用戶私鑰SKi為{Di,xi}。

3.5 簽密

為將一段消息m進行簽密,給定IDs、SKs、IDr、PKr,對消息m的簽密過程如下:

2)預共享密鑰為PSSV=e(Ws,H1(IDs,Rs)·P)ω,計算qr=H1(IDr,Rr)、F=u(Rr+qrP0)+vXr。

3)計算g=H2(m,F,U)、h=H3(m,F,V)和δ=gDs+hxs+u+v+H1(IDs,Rs)·ω。

4)計算密文C=(m‖δ‖IDs)⊕F,發送(C,U,V,N)給接收者。

3.6 解簽密

接收者在接收到發送者發來的信息(C,U,V,N)后,執行如下解簽密步驟:

1)計算F′=DrU+xrV、PSSV=e(Wr,N)。

2)對密文C進行解簽密(m‖δ‖IDs)=F′⊕C,解簽密輸出消息m和IDs。

3)計算g′=H2(m,F′,U)、h′=H3(m,F′,V)和qs=H1(IDs,Rs)。

4 安全性分析

4.1 正確性證明

為驗證本文基于無證書的身份隱藏簽密方案的正確性,具體過程如下:

其中,F=F′,故等式成立,正確性驗證成立。

4.2 安全性證明

證明若假設存在敵手能攻破本文方案,則一定存在一個能利用敵手A1來解決DDH困難問題的挑戰者B。

輸入(P,αP,βP,T)∈G為挑戰實例,B的目標是計算并判定等式T=αβP是否成立。將B與A1進行模擬游戲,過程如下:

1)初始化

游戲開始階段,挑戰者B運行Setup算法,產生參數(p,q,G,P,P0),并將產生的參數發送給敵手A1。生成系統公鑰為P0=ωP,不公開主密鑰。

2)第一階段詢問

(1)H1詢問

(2)H2詢問

(3)H3詢問

德國漢諾威展覽公司林業木工展全球總監Christian Pfeiffer、德國木工機械制造商協會總經理Bernhard Dirr博士和漢諾威米蘭展覽會(中國)有限公司董事總經理劉國良在新聞發布會上做了主題發言，漢諾威米蘭展覽(上海)有限公司副總經理申倩主持會議。

(4)部分私鑰提取詢問

(5)私有秘密值詢問

敵手A1查詢用戶身份IDi的秘密值,挑戰者B應答并返回對應的私有秘密值xi。

(6)公鑰提取詢問

敵手A1查詢用戶身份IDi的公鑰,挑戰者B將用戶IDi的公鑰作為應答返回給敵手。

(8)簽密詢問

(9)解簽密詢問

提交密文(Ci,Ui,Vi,Ni)、接收者身份IDb,如果IDb≠ID*,B計算F=DbUi+xbVi,解密消息(mi‖δi‖IDa)=Fi⊕Ci,查詢列表L2和L3,如果L2中存在元組或L3中存在元組,取得gi和hi,驗證等式δiP=gi(Ra+qaP0)+hiXa+Ui+Vi+Ni成立,則返回mi作為應答;否則,列表L2和列表L3中如果不存在或者存在元組,通過驗證,結果不成立,那么返回失敗符號⊥;否則,IDb=ID*,B不具有ID*的完整私鑰,不具備解密密文的條件,那么B對列表Ls進行查詢,如果表Ls中存在元組,則B返回mi作為應答,否則Ls中不存在相對應的元組,那么返回失敗符號⊥。

3)挑戰

4)第二階段詢問

在這一階段詢問中,敵手除了不能進行部分私鑰和對于挑戰密文的解簽密詢問外,A1可以繼續進行其他詢問。

5)猜測

證明若先假設存在敵手A2能攻破本文的無證書身份隱藏簽密方案,則一定存在利用A2來解決DDH問題的挑戰者B。

1)初始化

2)第一階段詢問

(1)哈希詢問

H1、H2、H3詢問與定理1相同。

(2)部分私鑰提取詢問

(3)私有秘密值詢問

當敵手A2查詢用戶身份IDi的秘密值時,如果IDi=ID*,則游戲被B終止;否則,B將與之對應的私有秘密值xi作為應答返回給敵手。

(4)公鑰提取詢問

與定理1相同。

(5)公鑰替換詢問

在進行公鑰替換詢問時,敵手A2首先提交用戶的身份IDi以及進行公鑰替換的公鑰Xi′,然后敵手A2進行詢問,若IDi=ID*,則B將終止游戲;否則,B將原公鑰替換為Xi′,并將與之對應的私有秘密值xi作為應答進行返回。

(6)簽密詢問

(7)解簽密詢問

與定理1相同。

3)挑戰

4)第二階段詢問

在這一階段中,敵手A2除了不能進行部分私鑰詢問以及對于挑戰密文的解密詢問外,A2可以執行以上的其他詢問。

5)猜測

5 效率分析

在Visual C++實驗環境下,本文利用PBC庫對文獻[12]方案(方案1)、文獻[14]方案(方案2)與本文方案進行仿真對比,通過折線圖對方案效率進行比較。由圖2可知,在密鑰生成階段,隨著用戶個數的增加,本文方案增長速度較慢,并且效率略高于方案1和方案2。由圖3可知,在簽密階段,隨著用戶個數的增加,本文方案的優勢越來越明顯。由圖4可知,在解簽密階段,不僅本文方案運行時間的增長幅度一直小于方案1和方案2,而且運行時間也一直處于優勢。由圖5可知,在驗證階段,本文方案的運行時間隨著用戶數量的增加一直處于高效狀態。由圖6可知,本文方案在整體運行階段尤其是簽密和解簽密階段具有明顯優勢。

圖2 密鑰生成階段的方案效率比較

Fig.2Comparison of scheme efficiency in the keygeneration phase

圖3 簽密階段的方案效率比較

Fig.3Comparison of scheme efficiency in thesigncryption phase

圖4 解簽密階段的方案效率比較

Fig.4Comparison of scheme efficiency in theunsigncryption phase

圖5 驗證階段的方案效率比較

圖6 4個階段的方案效率比較

6 結束語

5G網絡的普及給人們的生活帶來極大便利的同時,也將用戶的身份信息直接暴露在公開網絡中。因此在5G網絡的使用過程中,安全問題顯得尤為重要,為解決用戶身份信息泄露的問題,本文基于無證書的密碼體制,提出適用于5G網絡環境的簽密方案。該方案將簽密者的身份與其公鑰綁定并且不作為解簽密的輸入信息,既實現了對簽密者身份信息的隱藏及用戶身份信息的隱私保護,又能防止替換公鑰攻擊。安全性分析結果表明,本文方案在隨機預言模型下是可證安全的。下一步將設計結合用戶身份信息與用戶位置信息的隱私保護方案,實現位置和身份的雙重匿名。