高效的無證書多接收者匿名簽密方案

秦艷琳，吳曉平，胡衛(wèi)

?

高效的無證書多接收者匿名簽密方案

秦艷琳，吳曉平，胡衛(wèi)

（海軍工程大學(xué)信息安全系，湖北武漢 430033）

針對已有的基于身份的多接收者簽密方案存在的密鑰托管問題，研究了無證書多接收者簽密安全模型，進而基于橢圓曲線密碼體制，提出一個無證書多接收者簽密方案，并在隨機預(yù)言機模型下證明方案的安全性建立在計算Diffie-Hellman問題及橢圓曲線離散對數(shù)問題的困難性之上。該方案無需證書管理中心，在簽密階段和解簽密階段均不含雙線性對運算，且可確保發(fā)送者和接收者的身份信息不被泄露，可以方便地應(yīng)用于網(wǎng)絡(luò)廣播簽密服務(wù)。

無證書公鑰密碼；多接收者匿名簽密；計算Diffie-Hellman問題；橢圓曲線離散對數(shù)問題；隨機預(yù)言機

1 引言

簽密機制是由Zheng[1]首次提出的一種使用戶同時實現(xiàn)對消息的簽名及加密功能的密碼應(yīng)用算法，該方案所消耗的通信和計算代價遠小于“先簽名，后加密”的傳統(tǒng)方案。在實際應(yīng)用中，學(xué)者將簽密思想與不同的應(yīng)用場景結(jié)合，設(shè)計了多種具有特殊性質(zhì)的簽密算法。如在具體的網(wǎng)絡(luò)應(yīng)用中，某些消息的發(fā)布者或軟件的提供商通常需要對消息（軟件）進行簽密后分發(fā)給特定的多個接收者，付費或授權(quán)的接收者可以對接收到的簽密消息進行解密驗證，過濾掉其中的無用信息，獲得需要的服務(wù)或信息。針對此種實際應(yīng)用，眾多學(xué)者利用傳統(tǒng)公鑰密碼體制和基于身份的公鑰密碼體制提出了多接收者簽密方案[2~9]，文獻[3]利用基于身份的公鑰密碼體制設(shè)計了一種多接收者匿名簽密方案，用戶私鑰完全由KGC產(chǎn)生，導(dǎo)致惡意的KGC可以偽造合法用戶的私鑰，即存在密鑰托管問題。文獻[4]提出一種基于門限解密的多接收者簽密方案，該方案同樣是由基于身份的公鑰密碼體制構(gòu)建，因此存在密鑰托管問題，并且方案聲稱能實現(xiàn)接收者的匿名性，但實際上在傳遞的密文中必須包含與各接收者身份信息對應(yīng)的列表才能實現(xiàn)正確解密，故無法保護接收者的身份隱私，同時方案中沒有明確簽密者身份信息是以何種方式傳遞給接收者，若為默認的明文傳輸，則無法確保簽密者身份的匿名性。文獻[5]提出一種基于身份的多接收者簽密方案，存在密鑰托管問題，且算法的驗證等式中沒有使用簽密者的身份信息，導(dǎo)致無法確定簽密消息的來源，同時密文中仍包含了接收者身份信息列表，無法實現(xiàn)接收者的匿名性。文獻[6]提出2種基于身份的廣播簽密方案，存在密鑰托管問題，并且所提2種算法在簽密階段和解簽密階段均使用了系統(tǒng)主密鑰，與基于身份的簽密方案的基本構(gòu)造違背，同時文獻[7]指出這2種方案均存在簽密密文偽造，難以實現(xiàn)消息的機密性和認證性；在密文中雖然沒有接收者的身份信息，但是每個接收者在恢復(fù)原始消息時實際上需要用到其他用戶的身份信息，因此無法確保接收者身份的匿名性，同時該算法中沒有明確給出簽密的驗證算法，解簽密算法還包含了復(fù)雜的雙線性對運算。文獻[8,9]中的多接收者簽密方案均利用基于身份的公鑰密碼體制構(gòu)建，且文獻[9]并未給出具體的簽密算法。文獻[10]中的多接收者簽密方案基于傳統(tǒng)公鑰密碼構(gòu)建，但傳統(tǒng)公鑰密碼體制中公鑰證書的管理需要巨大的通信、存儲開支，不方便大規(guī)模的網(wǎng)絡(luò)應(yīng)用。為突破上述2類公鑰密碼體制的局限性，Alriyami等[11]提出了無證書公鑰密碼學(xué)，文獻[12]提出一種基于多變量公鑰密碼體制的無證書多接收者簽密方案，該方案具有較高的運算效率，消除了密鑰托管的隱患，密文中對接收者的身份信息進行了加密處理，使攻擊者無法從中得到接收者的身份，但是方案沒有對簽密者的身份進行保護且接收群組內(nèi)的成員可以獲知其他接收者的身份，這在某些情境下也不利于用戶隱私的保護。

針對上述問題，本文基于無證書公鑰密碼，在對前人提出的不使用雙線性對的無證書簽密方案[13~15]進行分析研究的基礎(chǔ)上，借鑒文獻[3]中保護接收者匿名性的思想，設(shè)計了一個無證書多接收者簽密方案，并在隨機預(yù)言機模型下證明了方案的安全性，方案能同時保護簽密者和接收者的身份隱私，而且由于方案中沒有使用雙線性對運算，因此與同類方案相比具有較高的運行效率。

2 背景知識

2.1 無證書簽密方案的構(gòu)成

無證書簽密方案由簽密方（ID）、接收方（ID）及密鑰生成中心(KGC)通過執(zhí)行以下算法構(gòu)成。

設(shè)置系統(tǒng)參數(shù)：以安全參數(shù)作為輸入，KGC設(shè)置公開的系統(tǒng)參數(shù)，產(chǎn)生系統(tǒng)主密鑰并嚴格保密。

設(shè)置用戶部分公、私鑰：以系統(tǒng)參數(shù)、主密鑰和用戶身份u作為輸入，KGC設(shè)置用戶的部分公、私鑰（u,u）。

設(shè)置用戶秘密值：以系統(tǒng)參數(shù)、用戶身份u作為輸入，簽密用戶設(shè)置自己的秘密值u。

設(shè)置用戶私鑰：以系統(tǒng)參數(shù)、用戶身份u、部分私鑰u、秘密值u作為輸入，簽密用戶設(shè)置自己的完整私鑰u。

設(shè)置用戶公鑰：算法由簽密用戶執(zhí)行。以系統(tǒng)參數(shù)、用戶身份u、部分公鑰u、秘密值u作為輸入，設(shè)置自己的完整公鑰u。

簽密算法：該算法以系統(tǒng)參數(shù)、明文消息、簽密者身份ID、簽密者私鑰SK、接收者身份ID、接收者公鑰PK作為輸入，簽密方最終輸出對消息的簽密密文。

2.2 困難問題

計算性Diffie-Hellman問題（CDLP）：設(shè)是由橢圓曲線上的點構(gòu)成的階為素數(shù)的加法循環(huán)群，為中的一個生成元，已知,∈，計算。

橢圓曲線離散對數(shù)問題（ECDLP）：設(shè)是由橢圓曲線上的點構(gòu)成的階為素數(shù)的加法循環(huán)群，為中的一個生成元，已知∈，求解。

3 無證書多接收者簽密安全模型

文獻[4]給出了基于身份的門限解密多接收者簽密方案的安全模型，文獻[14]給出了無證書簽密方案的安全模型，本節(jié)在對文獻[4,14]中的2類安全模型進行分析研究的基礎(chǔ)上給出無證書多接收者簽密的安全模型。首先，攻擊無證書簽密方案的敵手目前主要分為2類：一類敵手可以任意替換用戶的公開密鑰，但是無法得到系統(tǒng)主密鑰，將該類敵手標記為I；另一類敵手可以得到系統(tǒng)主密鑰，但是不能對用戶公鑰進行替換，將該類敵手標記為II。

一個安全的無證書簽密方案通常應(yīng)滿足選擇消息攻擊下密文的機密性和簽名的不可偽造性。本文利用一個由敵手（包括I和II）和挑戰(zhàn)者參與的游戲來定義無證書多接收者簽密的安全模型。

定義1 假設(shè)攻擊者為第一類敵手I，如果I在概率多項式時間內(nèi)不能以不可忽略的優(yōu)勢在以下設(shè)置的游戲中勝出，則稱無證書多接收者簽密方案在適應(yīng)性選擇密文攻擊下滿足不可區(qū)分性。

參數(shù)設(shè)置：挑戰(zhàn)者設(shè)置系統(tǒng)主密鑰和公共參數(shù)，并將系統(tǒng)公共參數(shù)傳遞給I。在接收到系統(tǒng)公共參數(shù)后，I輸出個目標身份。I向挑戰(zhàn)者發(fā)起以下幾種詢問。

散列詢問：I就輸入的任意散列值進行詢問。

部分私鑰生成詢問：I向發(fā)送對身份的部分私鑰生成詢問，生成該身份的部分私鑰W，進而返回給I。

秘密值生成詢問：I向發(fā)送對身份的秘密值生成詢問，生成該身份的秘密值u，并返回給I。

公鑰生成詢問：I向發(fā)送對身份的公鑰生成詢問，生成用戶的公鑰PK，并返回給I。

用戶公鑰替換：對任意身份，I可以選擇一個新公鑰來替換用戶原有的公鑰PK。

簽密詢問：I選取消息，接收者身份=(1,2,…,ID)及簽密者身份u，向進行簽密詢問，分別生成接收者ID∈的公鑰PK和簽密者u的私鑰u。計算=Signcrypt(,,,u)，并返回給I。

解簽密詢問：收到該詢問后，計算接收者ID∈的私鑰SK和u的公鑰u。由解簽密算法計算Unsigncrypt(,,u,SK)，返回明文或“拒絕”給I。

挑戰(zhàn)：I選擇2個等長的消息0、1和一個希望挑戰(zhàn)的身份，計算的私鑰，隨機選擇∈{0,1},計算，將發(fā)送給I。

猜測：I像詢問階段一樣進行多次詢問（注意不允許對進行部分私鑰生成詢問和私鑰生成詢問，也不能對進行解簽密詢問）。最后，輸出一個作為對的猜測，如果，則I在此游戲中勝出，其優(yōu)勢為

定義2 假設(shè)攻擊者為第二類敵手II，如果II在概率多項式時間內(nèi)不能以不可忽略的優(yōu)勢在以下設(shè)置的游戲中勝出，則稱無證書多接收者簽密方案在適應(yīng)性選擇密文攻擊下具有不可區(qū)分性。

參數(shù)設(shè)置：挑戰(zhàn)者設(shè)置系統(tǒng)主密鑰和公共參數(shù)，并將系統(tǒng)公共參數(shù)傳遞給II。在接收到系統(tǒng)公共參數(shù)后，II輸出個目標身份。

詢問：II進行類似于定義1中的散列詢問、部分私鑰詢問、秘密值詢問、簽密詢問和解簽密詢問，但不能進行“用戶公鑰替換”。

挑戰(zhàn)和猜測階段與定義1相同。

定義3I敵手攻擊下的不可偽造性。假設(shè)攻擊者為第一類敵手I，如果I在概率多項式時間內(nèi)不能以不可忽略的優(yōu)勢在以下設(shè)置的游戲中勝出，則稱無證書多接收者簽密方案在適應(yīng)性選擇消息攻擊下具有不可偽造性。

參數(shù)設(shè)置：挑戰(zhàn)者設(shè)置系統(tǒng)主密鑰和公共參數(shù)，并將系統(tǒng)公共參數(shù)傳遞給I。在接收到系統(tǒng)公共參數(shù)后，I輸出一個目標身份。

詢問階段與定義1中相同。

偽造：I輸出偽造的簽密消息，如果I沒有對進行部分私鑰查詢和秘密值查詢，不是經(jīng)過簽密詢問產(chǎn)生，且可以通過接收者集合中的任意一個接收者的解密驗證，則說I在這個游戲中勝出。

定義4II敵手攻擊下的不可偽造性。假設(shè)攻擊者為第二類敵手II，如果II在概率多項式時間內(nèi)不能以不可忽略的優(yōu)勢在以下設(shè)置的游戲中勝出，則稱無證書多接收者簽密方案在適應(yīng)性選擇消息攻擊下具有不可偽造性。

系統(tǒng)參數(shù)設(shè)置及詢問階段與定義2中相同。

偽造：II輸出偽造的簽密消息，如果II沒有對進行部分私鑰查詢和秘密值查詢，不是經(jīng)過簽密詢問產(chǎn)生，且可以通過接收者集合中的任意一個接收者的解密驗證，則說II在這個游戲中勝出。

4 無證書多接收者簽密方案

1) 設(shè)置系統(tǒng)參數(shù)

KGC設(shè)定一個系統(tǒng)安全參數(shù)，生成符合安全要求的大素數(shù), 選擇階為素數(shù)的橢圓曲線加法循環(huán)群，選取為加法群的一個生成元；定義如下4個安全的散列函數(shù)。

0：{0,1}*××→Z

1：×{0,1}*×→Z

2：→{0,1}*

3：{0,1}*→Z

隨機選擇整數(shù)∈Z作為系統(tǒng)主密鑰，計算sys=作為系統(tǒng)公鑰，對外公開系統(tǒng)參數(shù)(,sys,0,1,2,3)，嚴格保密系統(tǒng)主密鑰，設(shè)定待簽密消息為任意長的二進制序列。

2) 設(shè)置用戶秘密值

用戶ID隨機選擇整數(shù)u∈Z，嚴格保密并作為自己的秘密值，計算U=uP，將U||ID安全傳遞給KGC。

KGC在收到消息U||ID以后，隨機選擇整數(shù)d∈Z，并計算

D=dP,W=d+0(ID,D,U)

進而通過安全渠道將W||D返回給用戶ID，用戶收到KGC的回復(fù)信息后，提取部分私鑰W，將自己的完整私鑰設(shè)置為(u,W)，提取部分公鑰D，將自己的完整公鑰設(shè)置為(U,D)。用戶可進一步驗證等式D+0(ID,D,U)sys=WP是否成立來判斷KGC發(fā)送給自己的部分私鑰的真實性。

3) 簽密算法

簽密者身份為ID，接收者身份集合為{1,2,…,ID}，簽密者執(zhí)行以下步驟對消息進行簽密。

①隨機選擇整數(shù)1∈Z，計算=1和=1(+U,ID,,D),。

②計算h=0(ID,D,U)，隨機選擇整數(shù)2∈Z，計算=2，=2()(||ID||)。

③計算x=3(ID),1≤≤，計算拉格朗日差值多項式，其中，c1,c2,…,c∈Z。

④計算Y=2(U+D+hPsys),,1≤≤。

⑤簽密者將密文=(1,2,…,V,,)分別發(fā)送給接收者1,2,…,ID。

4) 驗證簽密算法

接收者ID(1≤≤)執(zhí)行以下步驟對接收到的簽密密文=(1,2,…,V,,)進行解密并驗證簽名。

①利用自己的身份信息計算x=3(ID)，，計算，恢復(fù)原始消息及簽名。

②從恢復(fù)的消息中得到發(fā)送者的身份信息ID，進而計算和；最后利用發(fā)送者的公鑰信息(U,D)驗證是否成立，如果成立，接收者確認收到的簽密消息為來自ID的真實簽密，否則拒絕該簽密。

下面對簽密算法的正確性和匿名性進行證明。

=2

上述無證書多接收者簽密方案中，對消息發(fā)送者的身份信息ID與消息一起進行了加密處理，非合法接收者無法獲知發(fā)送方的身份信息，由此確保了發(fā)送方身份的匿名性。同時，借鑒文獻[3]中的思想，利用拉格郎日插值多項式將各個接收者的身份信息隱藏在 (1,2,…,V）中，密文中無需加入接收者身份與相關(guān)密文的關(guān)聯(lián)信息，每個接收者在對簽密消息進行解密的過程中只需要利用公共的密文信息= (1,2,…,V,,)和自己的身份信息即可，不需要利用其他接收者的身份信息，因此方案可以確保接收者身份不外泄，即使同一接收群組中的成員也無法獲知其他成員的身份信息。

5 安全性證明

本節(jié)通過以下4個定理在隨機預(yù)言機模型下證明第4節(jié)中所提無證書多接收者簽密方案的安全性。

定理1I敵手攻擊下的不可區(qū)分性。在隨機預(yù)言機模型中，如果有敵手I以不可忽略的概率辨別密文，挑戰(zhàn)者可以利用該敵手解決一個特定的CDHP。

證明是CDHP挑戰(zhàn)者。散列函數(shù)0、1、2和3是隨機預(yù)言機，給定{,,}，期望通過I辨別密文的過程計算出。為了達到挑戰(zhàn)目的，需要設(shè)置系統(tǒng)參數(shù)：sys=及 (,,,sys,0,1,2,3)。把設(shè)置好的系統(tǒng)參數(shù)發(fā)送給I。I輸出個目標身份，并執(zhí)行0，1，2，3散列詢問、部分私鑰詢問、秘密值詢問、公鑰代替詢問、簽密詢問和解簽密詢問，具體詢問過程如下。

0-散列詢問：I提出針對身份ID的0-散列詢問，如果列表-0中存在記錄（ID，，U，h），則返回h。否則，選擇隨機數(shù)h，將（ID，D，U，h）存入-0，并返回h給I。

1?散列詢問：I提出針對（T+U,ID, m,D）的1?散列詢問，如果列表-1中存在記錄，則返回。否則，選擇隨機數(shù)∈Z，將存入-1，并返回給I。

2?散列詢問：I提出針對的2-散列詢問，如果列表-2中存在記錄，則返回。否則，選擇隨機數(shù)∈Z，將存入-2，并返回給I。

3?散列詢問：I提出針對身份ID的3-散列詢問，如果列表-3中存在記錄（ID，x），則返回x。否則，選擇隨機數(shù)x∈Z，將（ID，x）存入-3，并返回x給I。

階段I：I向進行以下各項詢問。

1) 公開密鑰詢問：I提出針對身份ID的公開密鑰詢問，如果（ID，D，U）在-中，則返回PK=(D，U)，否則，分2種情況進行回復(fù)。①如果，隨機選擇W，，u∈Z，計算D=WP?sys，U=uP然后，將（ID，，U，）、（ID，，）和（ID，D，U）分別加入-0、-和-中，最后，返回PK=(D，U)給敵手I。②，隨機選擇u，d，∈Z，計算U=uP，D=dP，然后將(ID，，)加入-中，將（ID，D，U）加入-中，并返回PK=(D，U)給I。

2) 秘密值詢問：I提出針對身份ID的秘密值詢問，首先執(zhí)行公開密鑰詢問，在-中得到記錄（ID，D，U），進而查詢-得到（ID，，），最后，返回給I。

3) 部分私鑰詢問：I提出針對身份ID的部分私鑰詢問，執(zhí)行公開密鑰詢問，在-中得到記錄（ID,D,U），若，則查詢-得到（ID,,），并返回給I。否則，返回“拒絕”信息并停止游戲。

4) 公鑰替換詢問：對于身份ID，I選擇新的公鑰并提供給，將(ID，D，U)替換為新公鑰。

5) 簽密詢問：I提出針對身份(,= (1,2,…,ID),u)的簽密詢問，做出如下回應(yīng)。①如果，可以通過查詢-得到(u,u)，繼而執(zhí)行簽密算法得到(1,2,…,V,,)，并將((,,u,1,2,…,V,,)加入-中，最后,返回(1,2,…,V,,)給I。②若，，=1,2,…,，隨機選擇整數(shù)，令，計算，；在-3中查找（ID，x），=1,2,…,，計算Y=2(U+D+hPsys)，進而計算得到(=1,2,…,)，將簽密密文加入-，將和分別加入-1和-2，最后返回給I。

6) 解簽密詢問：對(1,2,…,V,,)和身份ID(=1,2,…,)進行解簽密詢問，在-3中找到(ID，x)，=1,2,…,，并計算，在-中查找（ID，u，W），計算，恢復(fù)，再在-中查找（u,u,u），計算和u=0(u,u,u)，并驗證是否成立，若成立，則(1,2,…,V,,)為有效密文，返回給I；否則，返回“拒絕”。

挑戰(zhàn)階段：I輸出簽密用戶身份u和2個長度相等的明文(0,1)。隨機選取,，令，并計算R=lP，在-3中找到與對應(yīng)的，計算，并得到，最后，將返回給I。

I經(jīng)過執(zhí)行類似于第一階段中的詢問后（但不能詢問的私鑰，也不能對進行解簽密詢問），輸出作為對的猜測，如果猜測與實際吻合，則以極大的概率對R進行了2-散列詢問，可以從-2中查找到，并輸出，從而利用敵手I對密文的辨別解決了一個特定的CDHP。

定理2II敵手攻擊下的不可區(qū)分性。在隨機預(yù)言機模型中，如果有敵手II以不可忽略的概率辨別密文，挑戰(zhàn)者可以利用該敵手解決一個特定的CDHP。

證明 敵手II可以進行類似于定理1中的散列詢問，公開密鑰詢問，秘密值詢問部分私鑰詢問，簽密詢問，解簽密詢問，與I的區(qū)別在于II不能進行公鑰替換詢問，但是能獲知系統(tǒng)主密鑰。

挑戰(zhàn)階段：II經(jīng)過一系列詢問后，II輸出簽密用戶身份u和2個長度相等的明文(0,1)。隨機選取,，令，并計算R=lP，，在-3中找到與對應(yīng)的，計算，并得到，最后，將返回給II。

II經(jīng)過執(zhí)行散列詢問，公開密鑰詢問，秘密值詢問，部分私鑰詢問，簽密詢問及解簽密詢問后（但不能詢問的私鑰，也不能對進行解簽密詢問），輸出作為對的猜測，如果猜測與實際吻合，則以極大的概率對R進行了2-散列詢問，可以從-2中查找到，并輸出，從而利用敵手II對密文的辨別解決了一個特定CDHP。

定理3I敵手攻擊下的不可偽造性。假設(shè)I為針對無證書簽密的第一類型敵手，如果在隨機預(yù)言機模型下，經(jīng)過有限次詢問I能以不可忽略的概率偽造出合法簽密，則利用該偽造過程挑戰(zhàn)者能夠給出一個ECDLP問題的解。

給定{,}，ECDLP挑戰(zhàn)者希望利用敵手I偽造一個合法簽密的過程計算出。首先，按照自己的需求將系統(tǒng)參數(shù)設(shè)置為：sys=及 (,,,sys,0,1,2,3)。

接下來，把預(yù)先設(shè)置好的系統(tǒng)參數(shù)發(fā)送給I。I收到系統(tǒng)參數(shù)后，分別執(zhí)行0，1，3散列詢問、部分私鑰詢問、秘密值詢問、公鑰代替詢問、簽密和解簽密詢問（詢問過程與定理1中類似，不再贅述）后，進而通過以下步驟偽造ID的簽密：隨機選取,，計算

在-3中找到與對應(yīng)的，計算，并得到，最后輸出。若該簽密能順利通過驗證，則利用敵手I的上述偽造簽密過程輸出

作為ECDLP的解。因此，只要敵手I能偽造出可以通過驗證的合法簽密，就可以通過I的偽造過程求出一個特定ECDLP的解。

定理4II敵手攻擊下的不可偽造性。假設(shè)II為針對無證書簽密的第一類型敵手，如果在隨機預(yù)言機模型下，經(jīng)過有限次詢問II能以不可忽略的概率偽造出合法簽密，則利用該偽造過程挑戰(zhàn)者能夠給出一個ECDLP問題的解。

給定{,}，ECDLP挑戰(zhàn)者希望利用敵手II偽造一個合法簽密的過程計算出。首先，按照自己的需求將系統(tǒng)參數(shù)設(shè)置為sys=及 (,,,sys,0,1,2,3)，并將系統(tǒng)參數(shù)發(fā)送給II，按照安全模型的定義II還可以獲得系統(tǒng)主密鑰。II依次執(zhí)行類似于定理2中的各項詢問，隨機選取整數(shù),，并計算

在-3中找到與對應(yīng)的，計算并得到，最后輸出偽造的簽密。

如果該簽密能通過驗證，則利用敵手II的偽造過程輸出

因此，只要敵手II能偽造出可以通過驗證的合法簽密，就可以通過II的偽造過程求出一個特定ECDLP的解。

6 性能分析

本節(jié)給出所提無證書多接收者簽密方案與同類方案在計算效率及安全性方面的比較分析。為了對比本文方案與同類方案的運算效率，用記號SM代表橢圓曲線上的點乘運算，用記號E代表乘法群上的指數(shù)運算，記號BP代表雙線性對運算（參數(shù)規(guī)模為512 bit的BP耗費的時間約為模數(shù)大小為1 024 bit的E耗費時間的10倍以上[16]），而BP所花費的運算時間是SM的20倍左右[17]）。由于其他運算（散列運算、點加運算）消耗的時間遠少于SM和E，因此不列入效率比較的范圍。另外，本文方案簽密算法步驟②中計算h=0(ID,D,U)，選擇隨機數(shù)2∈Z及計算=2均未使用對消息簽名時使用的一次性隨機數(shù)1，故可進行預(yù)計算；步驟③中計算x=3(ID)，f()可以預(yù)計算；步驟④中計算Y，V使用了隨機數(shù)2,可以與步驟②中的運算一起進行預(yù)計算，因此本文方案中的步驟③、④可以不列入最終的運算量。對比過程中其他方案按照同樣標準計算運算量，即與用于對消息簽名的一次性隨機數(shù)有關(guān)的運算不可預(yù)計算。

表1給出了本文方案與已有的基于身份的多接收者簽密方案[3~6]的運算效率對比，可以看出本文方案在簽密階段和解簽密階段均不需要進行雙線性對運算，與文獻[3~5]相比具有明顯的運算優(yōu)勢，文獻[6]中的方案2在簽密和解簽密階段的運算量雖然與接收者人數(shù)無關(guān)，但卻無法確保接收者的匿名性，且系統(tǒng)構(gòu)造及安全性存在較大問題[7]。而本文解簽密階段的運算量與有關(guān)，是因為在簽密階段簽密者利用拉格朗日差值多項式將各個接收者的身份信息1,2,…,ID隱藏在(1,2,…,V)中，簽密接收者在對簽密密文=(1,2,…,V,,)進行驗證時需要計算

其中，包含?1次點乘運算。

表1 效率比較

表2給出了本文方案與文獻[3~6]中方案的安全性比較，綜合起來考慮，本文方案基于無證書公鑰密碼體制設(shè)計，避免了基于身份公鑰密碼存在的密鑰托管問題，在確保簽密安全性及簽密者與接收者匿名性的同時保持了較高的運算效率。

表2 安全性比較

7 結(jié)束語

本文構(gòu)造了無證書多接收者簽密的安全模型，在此基礎(chǔ)上利用橢圓曲線密碼設(shè)計了一種無證書多接收者簽密方案，并在隨機預(yù)言機模型下證明該方案的安全性建立在計算Diffie-Hellman問題及橢圓曲線離散對數(shù)問題的困難性上。該方案克服了基于身份的多接收者簽密存在的私鑰托管問題，在簽密階段和解簽密階段均不含雙線性對運算，與同類方案相比具有較高的運算效率，且可同時實現(xiàn)對發(fā)送者和接收者身份信息的隱藏，因此可以方便地應(yīng)用于網(wǎng)絡(luò)環(huán)境中需要進行廣播簽密的場合。

[1] ZHENG Y.Digital signcryption or how to achieve(signature & encryption) <

[2] DUAN S, CAO Z. Efficient and provably secure multi receiver identity based signcryption[C]//The 11th Australasian Conf on Information Security and Privacy (ACISP 2006). LNCS 4058, Heidelberg: Springer-Verlag, c2006: 195-206.

[3] 龐遼軍, 李慧賢, 崔靜靜, 等. 公平的基于身份的多接收者匿名簽密設(shè)計與分析[J]. 軟件學(xué)報, 2014, 25(10): 2409-2420. PANG L J,LI H X,CUI J J, et al. Design and analysis of a fair ID based multi-receiver anonymous signcryption[J]. Journal of Software, 2014, 25(10): 2409-2420.

[4] ZHANG M W, YANG B, TSUYOSHI T. Reconciling and improving of multi-receiver signcryption protocols with threshold decryption[J]. Security and Communication Networks ,2012, 5: 1430-1440.

[5] MING Y, ZHAO X M, WANG Y M. Multi-receiver identity-based signcryption scheme in the standard model[C]//ICICA 2011, LNCS 7030, Springer-Verlag. Berlin Heidelberg, c2011: 487-494.

[6] INTAE K, SEONG O H. Efficient identity-based broadcast signcryption schemes[J]. Security and Communication Networks, 2014, 7(1): 914-925.

[7] ZHANG J, TANG W. On the security of Kim et al. two ID-based broadcast signcryption schemes[J]. Security and Communication Networks, 2015, 8(8): 1509-1514.

[8] ZHANG B, XU QL. An ID-based anonymous signcryption scheme for multiple receivers secure in the standard model[C]//The AST/UCMA/ ISA/ACN 2010 Conf. on Advances in Computer Science and Information Technology(AST/UCMA/ISA/ACN2010).LNCS 6059. Heidelberg: Springer-Verlag, c2010: 15-27.

[9] NAKANO R, SHIKATA J J. Constructions of signcryption in the multi-user setting from identity-based encryption[C]//IMACC 2013, LNCS 8308. c2013: 324-343.

[10] AHMED F, MASOOD D A, KAUSAR F. An efficient multi recipient signcryption scheme offering non repudiation[C]//2010 10th IEEE International Conference on Computer and Information Technology. C2010: 1577-1581.

[11] ALRIYAMI S, PATERSON K. Certificateless public key cryptography[C]//ASIACRYPT 2003. c2003: 452-473.

[12] 李慧賢, 陳緒寶, 龐遼軍, 等. 基于多變量公鑰密碼體制的無證書多接收者簽密體制[J]. 計算機學(xué)報, 2012, 35(9): 1881-1889.

LI H X, CHEN X B, PANG L J, et al. Certificateless multi receiver signcryption scheme based on multivariate public key cryptography[J].Chinese Journal of Computers, 2012, 35 (9):1881-1889.

[13] 朱輝, 李暉, 王育民. 不使用雙線性對的無證書簽密方案[J].計算機研究與發(fā)展, 2010, 47(9): 1587-1594.

ZHU H, LI H, WANG Y M. Certificateless signcryption scheme without pairing[J].Journal of Computer Research and Development,2010，47(9):1587-1594.

[14] 劉文浩, 許春香. 無雙線性配對的無證書簽密機制[J]. 軟件學(xué)報, 2011, 22(8): 1918-1926.

LIU W H, XU C X. Certificateless signcryption scheme without bilinear pairing[J]. Journal of Software, 2011, 22(8): 1918-1926.

[15] 何德彪. 無證書簽密機制的安全性分析[J]. 軟件學(xué)報, 2013, 24(3): 618-622.

HE D B. Security analysis of a certificateless signcryption scheme[J]. Journal of Software, 2013, 24(3): 618-622.

[16] MIRACL.Multiprecision integer and rational arithmetic C/C++library[EB/OL].http://indigo.ie/mscott/,2004.

[17] CHEN L, CHENG Z, SMART N P. Identity-based key agreement protocols from pairings[J]. Int’l Journal of Information Security, 2007, 6(4): 213-241.

Efficient certificateless multi-receiver anonymous signcryption scheme

QIN Yan-lin, WU Xiao-ping, HU Wei

(Department of Information Security, Naval University of Engineering, Wuhan 430033, China)

To solve the private key escrow problem of identity-based multi-receiver signcryption schemes, the security model for multi-receiver signcryption scheme was constructed, and then a certificateless multi-receiver signcryption scheme based on ECC was proposed. Furthermore, the security of the scheme in the random oracle was based on the computational Diffie-Hellman assumption and elliptic curve discrete logarithm assumption was proved. Meanwhile, the scheme was free from certificate management center and needed no bilinear paring operation in both signcryption and decryption phases. It can also protect both the sender and receivers’ identity from leaking out. So the scheme can be applied conveniently to broadcast signcryption in network environment.

certificateless cryptography, multi-receiver anonymous signcryption, computational Diffie-Hellman problem, elliptic curve discrete logarithm problem, random oracle

TP309

A

10.11959/j.issn.1000-436x.2016122

2016-01-18；

2016-06-03

國家自然科學(xué)基金青年基金資助項目（No.61100042）；海軍工程大學(xué)自然科學(xué)基金項目（No.20150437）

The National Natural Science Foundation of China (Project for Youth) (No.61100042), The Natural Science Foundation of Naval University of Engineering (No.20150437)

秦艷琳（1980-），女，河南安陽人，博士，海軍工程大學(xué)講師，主要研究方向為密碼學(xué)及網(wǎng)絡(luò)安全。

吳曉平（1961-），男，山西新絳人，海軍工程大學(xué)教授、博士生導(dǎo)師，主要研究方向為信息安全及系統(tǒng)工程。

胡衛(wèi)（1979-），男，湖北宜城人，海軍工程大學(xué)副教授，主要研究方向為網(wǎng)絡(luò)與信息安全。