基于自證明公鑰認(rèn)證的安全高效在線/離線簽密方案

湯鵬志 劉啟文 左黎明 陳仁群

基于自證明公鑰認(rèn)證的安全高效在線/離線簽密方案

湯鵬志 劉啟文*左黎明 陳仁群

(華東交通大學(xué)理學(xué)院 江西 南昌 330013)

基于自證明公鑰密碼體制，提出一種適用于物聯(lián)網(wǎng)通信的高效在線/離線簽密方案，以解決物聯(lián)網(wǎng)中因信息在不安全信道上傳輸而被竊取或篡改的問(wèn)題。運(yùn)用隨機(jī)預(yù)言機(jī)模型，在適應(yīng)性選擇身份和消息攻擊下，證明了新方案的密文是語(yǔ)義安全的，并且簽密是存在性不可偽造的。由于新方案無(wú)雙線性對(duì)運(yùn)算，比現(xiàn)有的在線/離線簽密方案更高效。同時(shí)，新方案具有可公開(kāi)驗(yàn)證性以及無(wú)密鑰托管等優(yōu)點(diǎn)。

在線/離線 自證明 簽密 隨機(jī)預(yù)言機(jī)

0 引 言

1990年，Girault首次提出了自證明公鑰的概念[1]，以解決基于證書(shū)的公鑰密碼體制中證書(shū)管理的問(wèn)題以及基于身份的公鑰密碼體制中密鑰托管的問(wèn)題。Girault在文獻(xiàn)[1]中提出了第一個(gè)基于RSA的自證明公鑰認(rèn)證方案。不過(guò)，Saeednia[2]在2003年指出 Girault 所提出的自證明公鑰中，由于可信中心可以選擇惡意的大整數(shù)，使其能夠通過(guò)求解離散對(duì)數(shù)得到用戶私鑰，因此同樣存在密鑰托管的問(wèn)題。1997年，Etersen等提出了基于弱Schnorr盲簽名的自證明公鑰方案[3]，利用弱Schnorr盲簽名協(xié)議[4]的盲性和存在性不可偽造等特點(diǎn)解決用戶密鑰托管和公鑰認(rèn)證的問(wèn)題。相比于無(wú)證書(shū)公鑰密碼體制[5]，自證明公鑰密碼體制具有密鑰短，且無(wú)公鑰替換攻擊的漏洞[6]。

1997年，zheng提出了數(shù)字簽密的概念[7]。數(shù)字簽密是指能夠在一個(gè)邏輯步驟內(nèi)完成數(shù)據(jù)加密和簽名的密碼學(xué)技術(shù)。相比于傳統(tǒng)的先簽名后加密技術(shù)，簽密具有計(jì)算量小、傳輸密文更短和效率更高的特點(diǎn)。不過(guò)，Zheng的方案是基于證書(shū)的且簽密不能公開(kāi)驗(yàn)證。

在線/離線的概念最早由Even等[8]在其數(shù)字簽名方案中提出，其主要思想是將簽名分成離線階段和在線階段，一些復(fù)雜的、且與待簽名消息無(wú)關(guān)的計(jì)算在離線階段完成；在線階段只需一些簡(jiǎn)單的計(jì)算即可。An等在文獻(xiàn)[9]中對(duì)簽密安全性做了系統(tǒng)性的分析，將在線/離線的思想應(yīng)用到簽密方案中，提出了在線/離線簽密的概念。

在線/離線簽密是一種非常實(shí)用的技術(shù)。特別是在移動(dòng)互聯(lián)網(wǎng)中，利用在線/離線簽密可以提供高效的解決方案。隨著智能終端的普及和第三代、第四代移動(dòng)通信網(wǎng)絡(luò)的推廣，為物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展提供了一個(gè)強(qiáng)大的基礎(chǔ)平臺(tái)，人們可以利用智能手機(jī)很方便地遠(yuǎn)程控制家中的智能設(shè)備。物聯(lián)網(wǎng)極大地便利人們生活的同時(shí)，也增加了個(gè)人隱私和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。因?yàn)橛脩魯?shù)據(jù)在公開(kāi)信道上傳輸，存在數(shù)據(jù)被非授權(quán)用戶訪問(wèn)或修改的風(fēng)險(xiǎn)。數(shù)字簽密所提供的機(jī)密性和數(shù)據(jù)完整性機(jī)制，可以很好保護(hù)數(shù)據(jù)的機(jī)密性和完整性。同時(shí)，利用在線/離線的思想將復(fù)雜的計(jì)算提前完成，在線階段只需做少量的計(jì)算就可得到一個(gè)的簽密，以解決智能終端的計(jì)算能力弱和續(xù)航差等問(wèn)題。

自在線/離線簽密的概念提出以來(lái)，迅速成為密碼學(xué)領(lǐng)域的一個(gè)研究熱點(diǎn)。2005年， Zhang等[10]提出了第一個(gè)具體的在線/離線簽密方案。2008年，Sun等[11]首次提出了基于身份的在線/離線簽密方案。Liu等[12]指出，在文獻(xiàn)[10,11]中，離線階段需要簽密接收者的公鑰和身份，因此，并不實(shí)用。Liu在文獻(xiàn)[12]提出了一個(gè)改進(jìn)方案。Selvi等[13]指出Liu等[12]方案是不安全的，并提出了改進(jìn)方案。2012年，Li等[14]提出了一個(gè)在離線階段更高效的基于身份的在線/離線簽密方案。2013年，Luo等[15]提出了一個(gè)適用于物聯(lián)網(wǎng)的高效無(wú)證書(shū)在線/離線簽密方案。Shi等[16]指出Luo等[15]方案存在嚴(yán)重的安全漏洞，攻擊者能夠僅利用一個(gè)簽密就可以計(jì)算出簽密發(fā)送者的簽密密鑰。

基于弱Schnorr盲簽名的自證明公鑰方案[3]，構(gòu)造了一個(gè)高效安全的在線/離線簽密方案。在隨機(jī)預(yù)言機(jī)模型下討論了新方案的機(jī)密性和不可偽造性。效率上，與現(xiàn)有的在線離線簽彌方案相比，新方案在離線簽密階段和簽密驗(yàn)證階段都具有明顯的優(yōu)勢(shì)。

1 預(yù)備知識(shí)

設(shè)p是一個(gè)大素?cái)?shù)。群G1和G2是階為p的加法循環(huán)群和乘法循環(huán)群，P是G1的一個(gè)生成元。

判定Diff-Hellman問(wèn)題(DDHP)

2 基于自證明在線/離線簽密方案

在線簽密 A為簽密發(fā)送者，公私鑰為(sA,PKA)；B為簽密接收者，公私鑰為(sB,PKB)；m為待簽密消息。從離線簽密列表中取出一個(gè)離線簽密對(duì)(x,R)，解密，并將(x,R)從離線簽密列表中刪除。計(jì)算k=H2(sA(PKB+H1(IDB,PKB)Ppub),R)，y=k⊕m，v=xH3(m,PKA,PKB,R)+sA。消息m的完整簽密為σ=(y,R,v)。

解簽密 當(dāng)簽密接收者B收到簽密σ=(y,R,v)時(shí)，計(jì)算加密密鑰k=H2(sB(PKA+H1(IDA,PKA)Ppub),R)，解密m=k⊕y，驗(yàn)證簽名：vP=H3(m,PKA,PKB,R)·R+PKA+H1(IDA,PKA)·P，若等式成立，則接收消息m，否則拒絕。

3 安全性分析

定理1 解密算法和簽名驗(yàn)證等式是正確的。

證明：因?yàn)椋?/p>

sA(PKB+H1(IDB,PKB)Ppub) =sAsBP

=sB(PKA+H1(IDA,PKA)Ppub

那么：

k =H2(sB(PKA+H1(IDA,PKA)Ppub),R)

=H2(sA(PKB+H1(IDB,PKB)Ppub),R)

因此，解密算法是正確的。

由于：

vP =[xH3(m,PKA,PKB,R)+sA]P

=xH3(m,PKA,PKB,R)P+sAP

=H3(m,PKA,PKB,R)R+PKA+H1(IDA,PKA)Ppub

因此，簽名驗(yàn)證等式是正確的。

定理2 用戶密鑰僅授權(quán)用戶才可訪問(wèn)，并且，是存在性不可偽造。

證明：用戶密鑰生成協(xié)議是一個(gè)schonorr弱盲簽名方案[4]。用戶密鑰是由可信中心對(duì)用戶身份和公鑰的盲簽名，由schonorr弱盲簽名的盲性和存在性不可偽造的性質(zhì)[17]可知，用戶密鑰是不可追蹤的且是存在性不可偽造的。因此，只有授權(quán)用戶才可訪問(wèn)其密鑰。

定理3 在隨機(jī)預(yù)言機(jī)模型和橢圓曲線上的DDH困難問(wèn)題假設(shè)下，對(duì)適應(yīng)性選擇身份和消息攻擊，密文是IND-CCA2安全的。

證明：設(shè)(aP,bP,cP)是群G1中的一個(gè)任意的DDH問(wèn)題實(shí)例，即aP、bP、cP已知，a、b、c未知，判斷abP=cP是否成立。

假設(shè)存在攻擊者Att能夠在多項(xiàng)式時(shí)間t內(nèi)以優(yōu)勢(shì)ε區(qū)分密文。現(xiàn)在，構(gòu)造算法B求解以上DDH問(wèn)題。算法B模擬挑戰(zhàn)者與攻擊者Att交互，完成以下步驟：

公鑰詢問(wèn) Att最多能做qP次公鑰詢問(wèn)。B維護(hù)列表LPK，隨機(jī)選取1≤K,J≤qP，當(dāng)B收到Att關(guān)于IDi(1≤i≤qP)的公鑰詢問(wèn)(假設(shè)沒(méi)有做過(guò)IDi的公鑰詢問(wèn))：

密鑰提取詢問(wèn) Att最多能做qE次密鑰提取詢問(wèn)，當(dāng)B收到關(guān)于身份IDi的密鑰提取詢問(wèn)，(假設(shè)已經(jīng)做過(guò)關(guān)于身份IDi的公鑰詢問(wèn)和H1詢問(wèn)，否則先執(zhí)行公鑰詢問(wèn)和H1詢問(wèn))：

b) 若i=K或i=J，算法B終止。

簽密詢問(wèn) Att最多能做qS次簽密詢問(wèn)；當(dāng)B收到關(guān)于(IDi,IDj,m)的簽密詢問(wèn)(其中，IDi是簽密發(fā)送者，IDj是簽密接收者，m是待簽密消息)：

a) 若i≠K,J，通過(guò)做關(guān)于身份IDi的公鑰詢問(wèn)、密鑰提取詢問(wèn)可得到其公私鑰對(duì)(si,PKi)，通過(guò)做關(guān)于身份IDj的公鑰詢問(wèn)，可以得到IDj的公鑰PKj；那么，通過(guò)運(yùn)行正常的簽密算法即可得到關(guān)于(IDi,IDj,m)的簽密σ，將σ返回給Att。

解簽密詢問(wèn) Att最多能做qD次解簽密詢問(wèn)；當(dāng)B收到關(guān)于簽密(IDi,IDj,σ=(y,R,v))的解簽密詢問(wèn)：

a) 若i≠K,J，通過(guò)做關(guān)于身份IDi的公鑰詢問(wèn)、密鑰提取詢問(wèn)可得到其公私鑰對(duì)(si,PKi)，通過(guò)做關(guān)于身份IDj的公鑰詢問(wèn)，可以得到IDj的公鑰PKj；計(jì)算PL=siPKj，做關(guān)于(PL,R)的H2詢問(wèn)，得到k=H2(PL,R)，解密m=y⊕k，將m返回給Att。

b) 若i=K或i=J，但j≠K,J，通過(guò)公鑰詢問(wèn)，可以得到IDi和IDj的公鑰PKi和PKj，因?yàn)閖≠K,J，可以通過(guò)密鑰提取詢問(wèn)，得到IDj的私鑰sj。那么通過(guò)正常的解簽密算法即可得到(IDi,IDj,σ=(y,R,v))的明文m，將m返回給Att。

c) 若i=K，j=J，查詢簽密列表Lsin，如果Lsin中存在項(xiàng)(IDi,IDj,σ=(y,R,v),m)，則將m返回給Att；否則拒絕解簽密。

第二階段詢問(wèn) Att可以再做多項(xiàng)式次公鑰詢問(wèn)、哈希詢問(wèn)、密鑰提取詢問(wèn)、簽密詢問(wèn)和解簽密詢問(wèn)。但是不能做關(guān)于IDJ和IDK的密鑰提取詢問(wèn)，且不能做關(guān)于挑戰(zhàn)σ=(y,R,v)的解簽密詢問(wèn)。

猜測(cè) 由假設(shè)可知Att能夠以ε的優(yōu)勢(shì)猜得p′=p。那么，算法B能夠判斷abP=cP，即解決了DDH問(wèn)題。

下面分析算法B成功優(yōu)勢(shì)和所需時(shí)間：

t′=t+qPtP+qH1tH1+qH2tH2+qH3tH3+qEtE+qStS+qDtD

其中，tP是一次公鑰詢問(wèn)所需的時(shí)間，tH1、tH2、tH3分別是一次哈希詢問(wèn)所需的時(shí)間，tE是一次密鑰提取詢問(wèn)所需的時(shí)間，tS和tD分別是一次簽密和一次解簽密所需的時(shí)間；容易知道，tPtH1、tH2、tH3、tE、tS和tD都是多項(xiàng)式有界的。而t、qP、qH1、qH2、qH3、qE、qS以及qD都是多項(xiàng)式有界的；因此，t′是多項(xiàng)式有界。

所以，算法B能夠在多項(xiàng)式有界的時(shí)間t′內(nèi)，以不可忽略的優(yōu)勢(shì)Adv解決DDH問(wèn)題；這與DDH問(wèn)題的困難性相矛盾。故假設(shè)不成立，在適應(yīng)性選擇身份和消息攻擊，密文是IND-CCA2安全的。

定理4 在隨機(jī)預(yù)言機(jī)模型和橢圓曲線上的離散對(duì)數(shù)困難問(wèn)題的假設(shè)下，對(duì)適應(yīng)性選擇身份和消息攻擊，簽密是存在性不可偽造的(CCA2)。

證明：反證法。假設(shè)存在攻擊者Att能夠在多項(xiàng)式有界的時(shí)間t，以不可忽略的概率ε偽造簽密。

對(duì)于橢圓曲線上群G中任意CDH問(wèn)題實(shí)例Q=aP，Q已知，a未知，現(xiàn)構(gòu)造算法B計(jì)算a。算法B模擬挑戰(zhàn)者與攻擊者Att交互，完成以下步驟：

系統(tǒng)設(shè)置 同定理3。

公鑰詢問(wèn) Att最多能做qP次公鑰詢問(wèn)。B維護(hù)列表LPK，隨機(jī)選取1≤K≤qP，用a模擬身份IDK的密鑰；當(dāng)B收到Att關(guān)于IDi(1≤i≤qP)的公鑰詢問(wèn)(假設(shè)沒(méi)有做過(guò)IDi的公鑰詢問(wèn))：

H2詢問(wèn) Att最多能做qH2次H2哈希詢問(wèn)。B通過(guò)維護(hù)列表L2來(lái)模擬隨機(jī)預(yù)言機(jī)H2，列表L2初始狀態(tài)為空。具體過(guò)程同定理3。

H3詢問(wèn) Att最多能做qH3次H3哈希詢問(wèn)。B通過(guò)維護(hù)列表L3來(lái)模擬隨機(jī)預(yù)言機(jī)H3，列表L3初始狀態(tài)為空。具體過(guò)程同定理3。

密鑰提取詢問(wèn) Att最多能做qE次密鑰提取詢問(wèn)，當(dāng)B收到關(guān)于身份IDi的密鑰提取詢問(wèn)，(假設(shè)已經(jīng)做過(guò)關(guān)于身份IDi的公鑰詢問(wèn)和H1詢問(wèn)，否則先執(zhí)行公鑰詢問(wèn)和H1詢問(wèn))：

b) 若i=K，算法B終止。

簽密詢問(wèn) Att最多能做qS次簽密詢問(wèn)；當(dāng)B收到關(guān)于(IDi,IDj,m)的簽密詢問(wèn)(其中，IDi是簽密發(fā)送者，IDj是簽密接收者，m是待簽密消息)：

a) 若i≠K，通過(guò)做關(guān)于身份IDi的公鑰詢問(wèn)、密鑰提取詢問(wèn)可得到其公私鑰對(duì)(si,PKi)，通過(guò)做關(guān)于身份IDj的公鑰詢問(wèn)，可以得到IDj的公鑰PKj；那么，通過(guò)運(yùn)行正常的簽密算法即可得到關(guān)于(IDi,IDj,m)的簽密σ，將σ返回給Att。

解簽密詢問(wèn) Att最多能做qD次解簽密詢問(wèn)；當(dāng)B收到關(guān)于簽密(IDi,IDj,σ=(y,R,v))的解簽密詢問(wèn)：

a) 若i≠K，通過(guò)做關(guān)于身份IDi的公鑰詢問(wèn)、密鑰提取詢問(wèn)可得到其公私鑰對(duì)(si,PKi)，通過(guò)做關(guān)于身份IDj的公鑰詢問(wèn)，可以得到IDj的公鑰PKj；計(jì)算PL=siPKj，做關(guān)于(PL,R)的H2詢問(wèn)，得到k=H2(PL,R)，解密m=y⊕k，將m返回給Att。

b) 若i=K，那么j≠K，通過(guò)公鑰詢問(wèn)，可以得到IDi和IDj的公鑰PKi和PKj，因?yàn)閖≠K，可以通過(guò)密鑰提取詢問(wèn)，得到IDj的私鑰sj。那么通過(guò)正常的解簽密算法即可得到(IDi,IDj,σ)的明文m，將m返回給Att。

vP =h3·R+PKA+H1(IDA,PKA)·P

=h3·R+aP

(1)

(2)

下面分析算法B成功的概率和所需時(shí)間。

t′= t+qPtP+qH1tH1+qH2tH2+qH3tH3+qEtE+qStS+qDtD

其中，tP是一次公鑰詢問(wèn)所需的時(shí)間，tH1、tH2、tH3分別是一次哈希詢問(wèn)所需的時(shí)間，tE是一次密鑰提取詢問(wèn)所需的時(shí)間，tS和tD分別是一次簽密和一次解簽密所需的時(shí)間；容易知道，tPtH1、tH2、tH3、tE、tS和tD都是多項(xiàng)式有界的。而t、qP、qH1、qH2、qH3、qE、qS以及qD都是多項(xiàng)式有界的；因此，t′是多項(xiàng)式有界。

因此，算法B能夠在多項(xiàng)式有界的時(shí)間t′內(nèi)，以不可忽略的概率ε′解決離散對(duì)數(shù)問(wèn)題Q=aP。這與離散對(duì)數(shù)問(wèn)題困難的假設(shè)相矛盾，所以不存在攻擊者Att能夠在多項(xiàng)式有界的時(shí)間t，以不可忽略的概率ε偽造簽密。故定理得證。

4 性能分析

表1 性能比較

5 結(jié) 語(yǔ)

在線/離線簽密方案在移動(dòng)互聯(lián)網(wǎng)中有著廣闊的應(yīng)用前景。目前，智能終端應(yīng)用主要是基于C/S架構(gòu)的，數(shù)據(jù)在公開(kāi)信道上傳輸，在線/離線簽密方案可以確保數(shù)據(jù)完整性和機(jī)密性，同時(shí)，也可以用于客戶端遠(yuǎn)認(rèn)證。對(duì)此，提出了一種基于自證明的安全高效的在線/離線簽密方案，在隨機(jī)預(yù)言機(jī)模型下，證明了方案的安全性。新方案在離線簽密階段和簽密驗(yàn)證階段有著明顯的優(yōu)勢(shì)。但是，在線簽密階段的計(jì)算復(fù)雜度并沒(méi)有太大的優(yōu)勢(shì)，因此，下階段的工作是在此基礎(chǔ)上，進(jìn)一步降低在線簽密階段的計(jì)算復(fù)雜度。

[1] Girault M.Self-certified public keys[C]//Advances in Cryptology-EUROCRYPT’91,LNCS 547,Berlin:Springer-Verlag,1991:491-497.

[2] Shahrokh Saeednia.A note on Girault’s self-certified model[J].Information processing letters,2003,86(6):323-327.

[3] Holger Petersen,Patrick Horster.Self-certified keys-Concepts and Applications[C]//Proc.Communications and Multimedia Security’97,Athens:Chapman Hall,1997:102-116.

[4] Horster P,Michels M,Petersen H.Hidden signature schemes based on the discrete logarithm problem and related concepts[C]//Proc.Communications and Multimedia Security,Chapman & Hall,1995:149-156.

[5] Al-Riyami S,Paterson K.Certicateless public key cryptography[C]//Laih CS,ed.Proc.of the Int’l Association for Cryptdology Research 2003.LNCS 2894,Berlin: Springer-Verlag,2003:452-473.

[6] 何德彪.無(wú)證書(shū)簽密機(jī)制的安全性分析[J].軟件學(xué)報(bào),2012,24(3):618-622.

[7] Zheng Y.Digital signcryption or how to achieve cost (signature & encryption) << cost(signature) + cost(encryption)[C]//Advances in Cryptology-CRYPTO’97,LNCS 1294,Berlin:Springer-Verlag,1997:165-179.

[8] Even S,Goldreich O,Micali S.On-line/offline digital signatures[C]//Proc.CRYPTO 89.LNCS 2442,1989:263-277.

[9] An J,Dodis Y,Rabin T.On the Security of Joint Signature and Encryption[C]//Proc.EUROCRYPT 2002,LNCS 2332,2002:83-107.

[10] Zhang F,Mu Y,Susilo W.Reducing security overhead for mobile network[C]//Proceedings of the Advanced information networking and applications,Taipei,Taiwan,2005:398-403.

[11] Sun D,Huang X,Mu Y,et al.Identity-based on-line/off-line signcryption[C]//Proceedings of the Network and parallel computing,Shanghai,China,2008:34-41.

[12] Liu J K,Baek J,Zhou J Y.Online/offline identity-based signcryption re-visited[C]//Proceedings of the Information Security ane Cryptology,LNCS, vol.6584,Springer-Verlag: Berlin,2011:36-51.

[13] Selvi S S D,Vivek S S,Rangn C P.Identity based online/offline signcryption scheme[EB/OL].Crytology ePrint Archieve,2010.Available at:http://eprint.iacr.org/2010/376.pdf.

[14] Li F G,Khan M K,Alghathbar K,et al.Identity-based online/offline signcryption for low power devices[J].Journal of Network and Computer Applications,2012,35(1):340-347.

[15] Luo M,Tu M,Xu J.A security communication model based on certificateless online/offline signcryption for Internet of Things[J].Security and Communication Networks,2013,10.1002/Sec.836.

[16] Shi Wenbo,Neeraj Kumar,Gong Peng,et al.On the security of a certificateless online/offline signcryption for internet of things[J].Peer-to-Peer Netw.New York:Springer Science and Bussiness Media,2014,doi:10.1007/s12083-014-0249-3.

[17] Pointcheval D,Stern J.Security Proofs for Signatures[C]//LNCS 1070,Advances in Cryptology:Proc.Eurocrypt’96,Springer,1996:387-398.

SECURE AND EFFICIENT ONLINE/OFFLINE SIGNCRYPTION SCHEME BASED ON SELF-CERTIFIED PUBLIC KEY AUTHENTICATION

Tang Pengzhi Liu Qiwen*Zuo Liming Chen Renqun

(SchoolofBasicScience,EastChinaJiaotongUniversity,Nanchang330013,Jiangxi,China)

To solve the problem that in Internet of Things the information transmitted over an insecure channel may be eavesdropped or tampered, we proposed a new efficient online/offline signcryption scheme based on self-certified public key authentication suitable for Internet of Things. It was proved that the cipher of new scheme was indistinguishable and the signcryption was existentially unforgeable against the attacks of adaptive chosen message and identity in random oracle model. Because of without bilinear pairing operation, the new scheme was more efficient than those existing online/offline signcryption schemes. At the same time, it has the properties that can be verified in public and without key escrow.

Online/offline Self-certified Signcryption Random oracle model

2014-10-12。國(guó)家自然科學(xué)基金項(xiàng)目(61240025，61472138)；江西省高?？萍悸涞赜?jì)劃項(xiàng)目(KJLD12067)；華東交通大學(xué)校立科研基金項(xiàng)目(11JC04)。湯鵬志，教授，主研領(lǐng)域：信息安全。劉啟文，碩士生。左黎明，副教授。陳仁群，碩士生。

TP301

A

10.3969/j.issn.1000-386x.2016.04.066