适用于电子认证的高效无证书混合签密方案(上)

适用于电子认证的高效无证书混合签密方案（上）

摘要：无证书混合签密解决了证书管理问题、密钥托管问题，具有能够处理任意长度消息等多重优势，适用于电子认证领域.对Sun提出的高效签密方案进行了分析，发现其不满足不可抵赖性和可公开验证性.提出了一个改进的无证书混合签密方案，新方案满足不可抵赖性、公开验证性以及前向安全性，同时保持了原方案的高效性.在随机预言模型中，基于双线性Diffie-Hellman问题和计算Diffie-Hellman问题对新方案进行了证明.关键词：无证书混合签密，不可抵赖性，公开验证性，双线性对，随机预言模型，电子认证电子认证是信息安全的基础，保密性和认证性是电子认证的基本要求.Zheng[1]于1997年提出了签密的概念.签密能够在一个合理的逻辑步骤内同时完成数字签名和公钥加密2项功能，而其计算量和通信成本都要低于传统的“先签名后加密”.然而，通常的签密方案要求被传输的消息取自某个特定的集合，限制了其应用范围.针对这一问题，Dent[2-3]提出了混合签密的概念，文献[4-5]对混合签密进行了深入研究.文献[6]提出了无证书公钥密码体制，既克服了基于身份密码学[7-8]中用户密钥托管问题，也消除了基于传统公钥基础设施中公钥证书的复杂性管理问题.无证书体制下的签密方案相继被提出[9-11].2009年，Li等人[12]首次提出了无证书混合签密的概念，综合了无证书公钥体制和混合签密体制的优点，适用于电子认证领域.文献[12]提出了一种高效的无证书混合签密方案，该签密方案的计算效率高于已有的其他混合签密方案，但不满足公开验证性，不能抵御内部伪造攻击.文献[13]提出了一种前向安全的可公开验证无证书混合签密方案.针对文献[12]存在的不可抵赖性和不可公开验证性的缺陷，本文提出了一种改进的无证书混合签密方案，满足保密性、前向安全性、公开验证性，并且可以抵御内部伪造攻击，同时具有高效性.在随机预言模型下对新方案进行了证明.1基础知识1.1双线性对令G1为由P生成的q阶循环加法群，G2为具有相同阶的循环乘法群，a，b是ℤq*中的元素.双线性对是指满足下列性质的一个映射e：G1×G1→G2：1）双线性性—e（aP，bQ）=e（P，Q）ab；2）非退化性——存在P，Q∈G1，使得e（P，Q）≠1；3）可计算性——对所有的P，Q∈G1，存在有效的算法计算e（P，Q）.1.2复杂性假设设G1，G2为阶数是素数q的2个循环群，e：G1×G1→G2为一个双线性映射，P为G1的生成元.BDH（bilinearDiffie-Hellman）问题：对于任意未知a，b，c∈ℤq*，由〈P，aP，bP，cP〉计算e（P，P）abc.CDH（computeDiffie-Hellman）问题：对于任意未知a，b∈ℤq*，由〈P，aP，bP〉计算abP.1.3无证书混合签密的定义无证书混合签密由无证书签密密钥封装机制CLSC-KEM与数据封装机制DEM构成，具体算法如下：1）系统建立（Setup）.由PKG完成.输入安全参数k，输出主密钥s和系统参数params，其中s保密，params公开.2）提取部分私钥（Extract-Partial-Private-Key）.由PKG完成.输入params，s和1个用户身份ID，输出该用户的部分私钥DID.3）生成用户密钥（Generate-User-Keys）.由用户完成.输入params和用户身份ID，输出1个秘密值xID和公钥PKID.秘密值xID和部分私钥DID构成用户的完整私钥SKID.4）签密算法（Signcrypt）.由发送者完成.输入params、发送者私钥SKsender、身份IDsender和公钥PKsender、接收者身份IDreceiver和公钥PKreceiver，输出1个对称密钥K和1个密文φ.然后输入对称密钥K和消息m，输出密文C.①（K，φ）←Encap（params，SKsender，IDsender，PKsender，IDreceiver，PKreceiver）；②c←Enc（K，m）；③输出密文C=（φ，c）.5）解密验证算法（Unsigncrypt）.由接收者完成，输入params、接收者私钥SKreceiver、身份IDreceiver和公钥PKreceiver、发送者身份IDsender和公钥PKsender，输出1个对称密钥K.输入对称密钥K和密文c.输出消息m或⊥.①K←Decap（params，SKreceiver，IDreceiver，PKreceiver，IDsender，PKsender，φ）；②m/⊥←Dec（K，c）；③输出明文m或者⊥.1.4无证书（混合）签密安全模型无证书体制下存在2类攻击者[6]：第1类攻击者A1和第2类攻击者A2.第1类攻击者是1个普通的攻击者，不知道PKG的私钥，但能替换任意用户的公钥；第2类攻击者是指好奇但诚实的PKG，知道任何用户的部分私钥，但是不能替换任何用户公钥.通过以下攻击者与挑战者之间的游戏来定义无证书混合签密的安全性[12].这2类攻击者在攻击阶段可作如下询问.部分私钥询问：A1询问用户ID的部分私钥.挑战者运行算法Extract-Partial-Private-Key（params，s，ID）→DID，将DID返回给A1.秘密值询问：A1，A2询问用户ID的秘密值.挑战者运行算法Generate-User-Key（params，ID）→xID，将xID返回给A1，A2.如果该用户的公钥已经被替换，则攻击者不能作此询问.公钥询问：A1，A2询问用户ID的公钥.挑战者运行算法Generate-User-Key（params，ID）→PKID，将PKID返回给攻击者.替换公钥：A1替换用户的公钥.A1可以用指定范围内的任意值替换任意用户的公钥.Signcrypt询问：A1，A2对（IDsender，IDreceiver，m）进行签密询问.挑战者运行算法Signcrypt（params，SKsender，IDsender，PKsender，IDreceiver，PKreceiver，m）→C，将C返回给攻击者.Unsigncrypt询问：A1，A2对（IDsender，IDreceiver，C）进行Unsigncrypt询问.挑战者运行算法Unsigncrypt（params，IDsender，PKsender，SKreceiver，IDreceiver，PKreceiver，C）→m/⊥，将m或⊥返回给攻击者.1.4.1可认证性初始化：挑战者运行算法Setup，并把params发送给攻击者A1；把params和s同时发送给攻击者A2.攻击：攻击者作一系列如上询问.伪造：攻击者输出（IDsender*，IDreceiver*，C*）.注意，A1不能询问过IDsender*或IDreceiver*的部分私钥；A2不能询问过IDsender*或IDreceiver*的秘密值.另外，C*不能来自攻击者对某个（IDsender*，IDreceiver*，m）的签密询问.若C*为1个有效密文，则攻击者获胜.定义攻击者在以上游戏中的优势为攻击者获胜的概率Pr[A1（2）win].定义1.如果没有任何多项式有界的攻击者在以上游戏中以不可忽略的优势获胜，则称一个无证书（混合）签密方案在选择消息攻击下具有不可伪造性（UF-CMA）.1.4.2机密性初始化：挑战者运行算法Setup，并把params发送给攻击者A1；把params和s同时发送给攻击者A2.第1阶段攻击：攻击者作一系列如上询问.挑战：攻击者输出他想挑战的发送者的身份IDsender*、接收者的身份IDreceiver*和2个消息（m0，m1），然后挑战者随机选取1个消息mb，b∈{0，1}，计算其密文C*并发送给攻击者.注意A1不能询问过IDsender*或IDreceiver*的部分私钥，A2不能询问过IDsender*或IDreceiver*的秘密值.第2阶段攻击：攻击者继续进行如第1阶段的询问，但是受下列约束：1）A1不能询问IDsender*或IDreceiver*的部分私钥，A2不能询问IDsender*或IDreceiver*的秘密值；2）攻击者不能对（IDsender*，IDreceiver*，C*）进行Unsigncrypt询问，除非替换了发送者或者接收者的公钥.猜测：攻击者输出猜测b＇∈{0，1}.定义攻击者在以上游戏中获胜的优势为｜2Pr[b＇=b]-1｜.定义2.如果没有任何多项式有界的攻击者在以上游戏中以不可忽略的优势获胜，则称一个无证书混合签密方案在选择密文攻击下具有不可区分性（IND-CCA）.1.4.3公开验证性当签密发送方与解签密方对于一个签密密文发生矛盾时，可以通过验证等式证明密文是由签密者签发.签名的验证不需要接收者的私钥，可以由任何第三方验证.1.4.4不可抵赖性发送者不能否认他已经签密过的消息.1.4.5前向安全性如果某个用户的私钥被意外泄露或偷走，第三方也不能恢复出他过去所签密消息的明文.2文献[12]方案及分析2.1文献[12]方案该方案由以下5种算法组成.1）Setup：输入安全参数k.该算法执行以下步骤：①选取2个阶为素数q的循环群G1，G2，e：G1×G1→G2是1个双线性对；②选取G1的1个生成元P；③从ℤq*中随机选取1个s，并计算P0=sP；④选取2个Hash函数H1：{0，1}*→G1，H2：ℤq*×G2×G1→{0，1}λ；⑤选取一种对称加密算法（Enc，Dec），该算法满足可认证性和机密性[2]，其密钥空间为{0，1}λ.这里，（Enc，Dec）可以任意选择对称加密模块，如CBC，加上消息认证码，或使用认证加密模块[14-15].系统的公共参数为（G1，G2，q，e，P，P0，H1，H2，Enc，Dec，λ），系统的私钥为s.2）Extract-Partial-Private-Key：输入系统的公共参数、系统的私钥和用户的身份ID，生成用户的部分私钥DID=sH1（ID），并通过秘密信道发送给用户.该算法由PKG运行.3）Generate-User-Key：输入系统的公共参数和用户身份ID，该算法从ℤq*中随机选取1个xID作为用户的秘密值，并计算公钥PKID=xIDP，则用户的完整私钥为SKID=（DID，xID）.该算法由用户运行.4）Signcrypt：输入系统的公共参数、发送者的私钥（Dsender，xsender）、接收者的身份IDreceiver、公钥PKreceiver和消息m.该算法执行以下步骤：①从ℤq*中随机选择1个r，记U=r；②计算K=H2（r，e（Dsender，Qreceiver），xsenderPKreceiver），其中Qreceiver=H1（IDreceiver）；③计算V=EncK（m）；④输出密文C=（U，V）.5）Unsigncrypt：输入系统的公共参数、发送者的身份和公钥（IDsender，PKsender）、接收者的私钥（Drecriver，xreceiver）和密文C=（U，V）.该算法执行以下步骤：①计算K=H2（U，e（Qsender，Dreceiver），xsenderPKreceiver），其中Qsender=H1（IDsender）；②计算m/⊥=DecK（V）；③输出明文m或⊥.2.2文献[12]方案的缺陷分析首先，该方案不提供不可抵赖性.对任意明文m，接收者（身份为IDreceiver）可以通过下述方法伪造发送者（身份为IDsender）产生的合法密文：1）接收者随机选择r＇∈ℤq*，令U＇=r＇，计算K＇=H2（U＇，e（Qsender，Dreceiver），xreceiverPKsender）；2）计算；3）得到密文C＇=（U＇，V）.定理1.接收者通过上述方法产生的密文是合法的.证明.只需证明产生的密文能够通过解密验证过程即可.K＇=H2（U＇，e（Qsender，Dreceiver），xreceiverPKsender）=H2（U＇，e（Qsender，sQreceiver），xreceiverxsenderP）=H2（U＇，e（Dsender，Qreceiver），xsenderPKreceiver）=K.因此，.接收者可以声称密文C＇=（U＇，V）来自发送者IDsender，可以通过验证.证毕.同时，由于验证必须用到接收者的私钥并且需要访问明文，所以该方案不满足公开验证性.3本文的方案本文在文献[12]的基础上提出了一种改进的无证书混合签密方案，弥补了该方案的安全缺陷，同时也保持了高效的计算性，只增加了可以接受的计算负载.本方案由以下5种算法构成.1）Setup：输入安全参数k.该算法执行以下步骤：①选取2个阶为素数q的循环群G1，G2，e：G1×G1→G2是1个双线性对；②选取G1的1个生成元P；③从ℤq*中随机选取1个s，并计算P0=sP；④选取4个Hash函数H1：{0，1}*→G1，H2：G1×G2×G1→{0，1}λ，H3：{0，1}*→ℤq*，H4：Zq×G1→ℤq*.系统的公共参数为（G1，G2，q，e，P，P0，H1，H2，H3，H4，Enc，Dec，λ），系统的私钥为s.2）Extract-Partial-Private-Key：输入系统的公共参数、系统的私钥和用户的身份ID，生成用户的部分私钥DID=sH1（ID），并通过秘密信道发送给用户.该算法由PKG运行.3）Generate-User-Key：输入系统的公共参数和用户身份ID，该算法从ℤq*中随机选取1个xID作为用户的秘密值，并计算公钥PKID=xIDP，则用户的完整私钥为SKID=（DID，xID）.该算法由用户运行.4）Signcrypt：输入系统的公共参数、发送者的私钥（Dsender，xsender）、接收者的身份IDreceiver、公钥PKreceiver和消息m.该算法执行以下步骤：①从ℤq*中随机选择1个t，计算U=tP；②计算h1=H3（m||IDreceiver），计算h2=H4（h1，U），计算；③计算K=H2（U，e（P0，Qreceiver）t，xsenderPKreceiver），其中Qreceiver=H1（IDreceiver）；④计算V=EncK（m||S），输出密文C=（U，V）.5）Unsigncrypt：输入系统的公共参数、发送者的身份和公钥（IDsender，PKsender）、接收者的私钥（Dreceiver，xreceiver）和密文C=（U，V）.该算法执行以下步骤：①计算K=H2（U，e