電信網(wǎng)中基于無(wú)證書(shū)聚合簽密方案的設(shè)計(jì)*

田紀(jì)軍

(中國(guó)移動(dòng)通信集團(tuán)湖北有限公司　武漢　430048)

?

電信網(wǎng)中基于無(wú)證書(shū)聚合簽密方案的設(shè)計(jì)*

田紀(jì)軍

(中國(guó)移動(dòng)通信集團(tuán)湖北有限公司武漢430048)

電信網(wǎng)是一個(gè)復(fù)雜的多域環(huán)境,它為電信企業(yè)的信息交換與業(yè)務(wù)協(xié)作帶來(lái)便捷的同時(shí),也帶來(lái)了潛在的安全隱患。由于電信網(wǎng)絡(luò)系統(tǒng)的不斷增加,導(dǎo)致在電信網(wǎng)中存在用戶數(shù)目眾多、來(lái)源廣泛,為基礎(chǔ)電信企業(yè)的信息傳遞的機(jī)密性和認(rèn)證性帶來(lái)了巨大的困難。為此,論文提出了一個(gè)無(wú)證書(shū)聚合簽密方案。在隨機(jī)預(yù)言模型下,基于BDH和CDH困難問(wèn)題假定,證明論文方案滿足機(jī)密性和不可偽造性。與已有的相關(guān)無(wú)證書(shū)聚合簽密方案對(duì)比,論文方案在聚合驗(yàn)證時(shí),計(jì)算效率較高且與簽名者個(gè)數(shù)無(wú)關(guān)。安全與性能分析表明,該方案是安全高效的,適合在電信網(wǎng)中運(yùn)用。

電信網(wǎng); 無(wú)證書(shū)簽密; 聚合簽密; 隨機(jī)預(yù)言模型; BDH; CDH

Class NumberTP393.08

1　引言

隨著電信網(wǎng)絡(luò)規(guī)模日益增大,網(wǎng)絡(luò)系統(tǒng)不斷增加,電信企業(yè)間的信息交換與業(yè)務(wù)協(xié)作程度也越來(lái)越頻繁,帶來(lái)便捷的同時(shí),也帶來(lái)了潛在的安全隱患[1]。尤其是基礎(chǔ)電信企業(yè)的信息傳遞,不僅在電信網(wǎng)外部存在大量的黑客攻擊,同時(shí)在電信網(wǎng)內(nèi)部也存在內(nèi)部惡意人員利用其掌握的系統(tǒng)操作權(quán)限破壞電信系統(tǒng)或者謀取不正當(dāng)收益的行為,因此,十分有必要加強(qiáng)信息傳遞的機(jī)密性和認(rèn)證性。

在2003年,AI-Riyami和Paterson[2]提出了無(wú)證書(shū)公鑰密碼體制(Certificateless Public Key Cryptography,CL-PKC)。由于無(wú)證書(shū)公鑰密碼體制成功解決了傳統(tǒng)公鑰密碼體制的證書(shū)管理和維護(hù)問(wèn)題,也避免了基于身份的密碼體制的密鑰托管問(wèn)題。因此,無(wú)證書(shū)公鑰密碼體制自誕生起,就受到工業(yè)界和學(xué)術(shù)界的廣泛關(guān)注,并取得了大量的優(yōu)秀成果,如：無(wú)證書(shū)簽名方案[3～9]；無(wú)證書(shū)簽密方案[10～11]；無(wú)證書(shū)密鑰協(xié)商方案[7,12～13]以及無(wú)證書(shū)加密方案[14～16]。

由于簽密可以同時(shí)完成簽名和加密的步驟,能夠確保消息的機(jī)密性和認(rèn)證性,其效果好于傳統(tǒng)的“先簽名后加密”的方法。因此,自1997年,Zheng[17]第一次提出了簽密的概念,并給出了一個(gè)簽密方案。在2002年,Baek等[18]第一次給出了簽密方案的安全模型,并對(duì)Zheng[17]的方案進(jìn)行了嚴(yán)格的安全證明。在2008年,Barbosa等[19]第一次提出了無(wú)證書(shū)簽密的概念,并給出了一個(gè)無(wú)證書(shū)簽密(Certificateless Signcryption,CLSC)方案。隨后,學(xué)術(shù)界提出了大量的無(wú)證書(shū)簽密方案[10,20～22]。

在2003年,Boneh等[23]首次提出了聚合簽名的概念,其基本思想是：n個(gè)不同簽名者分別對(duì)n個(gè)不同的消息Mi進(jìn)行簽名,得到n個(gè)不同的簽名σi,簽名驗(yàn)證者可以通過(guò)將n個(gè)不同的簽名σi壓縮成一個(gè)簽名σ來(lái)進(jìn)行簽名驗(yàn)證。如果簽名σ通過(guò)了驗(yàn)證等式,則表示n個(gè)不同的簽名σi有效；否則,則表示n個(gè)不同的簽名σi無(wú)效。可以看見(jiàn),通過(guò)聚合簽名技術(shù),可以大大減少簽名驗(yàn)證者的計(jì)算工作量,同時(shí)也減少了簽名的存儲(chǔ)空間和通信開(kāi)銷(xiāo),從而提高了簽名驗(yàn)證和網(wǎng)絡(luò)傳輸?shù)男省?/p>

在2011年,Lu等[24]結(jié)合無(wú)證書(shū)簽名和聚合簽名的優(yōu)點(diǎn),首次提出了無(wú)證書(shū)聚合簽密(Certificateless Aggregate Signcryption,CLASC)方案。隨后,在2013年,Jiang等[25]和張雪楓[26]等分別提出了一個(gè)無(wú)證書(shū)聚合簽密方案；在2014年,Eslami等[27]也提出了一個(gè)無(wú)證書(shū)聚合簽密方案。但是,分析表明上述四個(gè)方案[24～27]的聚合驗(yàn)證效率較低。

為了進(jìn)一步提高無(wú)證書(shū)聚合簽密方案的驗(yàn)證效率,且Eslami等[27]方案需要使用同步信息,本文在Eslami等[27]的方案基礎(chǔ)上進(jìn)行改進(jìn),為此移除了同步信息的限制,從而提出一種新的無(wú)證書(shū)聚合簽密方案。與Eslami等[27]方案相比,本文的簽密方案不再需要同步信息,且方案在聚合驗(yàn)證時(shí),計(jì)算效率較高且與簽名者個(gè)數(shù)無(wú)關(guān)。另外,本文的簽密方案是在隨機(jī)預(yù)言模型下,基于BDH和CDH困難問(wèn)題假定,證明本文方案滿足機(jī)密性和不可偽造性。

2　基礎(chǔ)知識(shí)

2.1雙線性對(duì)

令G1和G2分別是q階素?cái)?shù)的加法循環(huán)群和乘法循環(huán)群,且P是群G1的生成元。如果e滿足如下三個(gè)性質(zhì),則稱(chēng)映射e:G1×G1→G2是一個(gè)雙線性對(duì)：

2.2雙線性Diffie-Hellman(BDH)問(wèn)題

2.3計(jì)算性Diffie-Hellman問(wèn)題

3　無(wú)證書(shū)聚合簽密方案的形式化定

義和安全模型

3.1無(wú)證書(shū)聚合簽密方案的形式化定義

定義1一個(gè)無(wú)證書(shū)聚合簽密方案包括一個(gè)密鑰生成中心(Key Generation Center,KGC)、n個(gè)不同的簽名者ID1,ID2,…,IDn、一個(gè)簽密聚合者、一個(gè)聚合簽密驗(yàn)證者,以及簽密接收者IDR。整個(gè)方案是由以下七個(gè)算法：系統(tǒng)參數(shù)設(shè)置算法、部分私鑰生成算法、簽名者密鑰生成算法、簽密生成算法、聚合簽密生成算法、聚合簽密驗(yàn)證算法以及聚合解簽密算法來(lái)共同組成,其具體算法描述如下：

· 系統(tǒng)參數(shù)設(shè)置算法：該算法由KGC執(zhí)行。KGC輸入系統(tǒng)安全參數(shù)k,輸出系統(tǒng)主密鑰s和系統(tǒng)公開(kāi)參數(shù)params。

· 部分私鑰生成算法：該算法由KGC執(zhí)行。KGC輸入簽密者的身份IDi、系統(tǒng)公開(kāi)參數(shù)params和系統(tǒng)主密鑰s,輸出簽名者的部分私鑰pskIDi。

· 簽名者密鑰生成算法：該算法由簽密者IDi執(zhí)行。簽密者IDi輸入系統(tǒng)公開(kāi)參數(shù)params,輸出簽密者IDi的公鑰pkIDi和私鑰skIDi。

· 簽密生成算法：該算法由簽密者IDi執(zhí)行。簽密者IDi輸入系統(tǒng)公開(kāi)參數(shù)params、私鑰skIDi、消息Mi,以及簽密接收者IDR的身份IDR和公鑰pkIDR,輸出簽密者IDi對(duì)消息Mi的簽密密文ci。

· 聚合簽密生成算法：該算法由聚合簽密者執(zhí)行。聚合簽密者輸入n個(gè)不同簽名者IDi對(duì)n個(gè)不同消息Mi的簽密密文ci,輸出聚合密文c。

· 聚合簽密驗(yàn)證算法：該算法由聚合簽密驗(yàn)證者執(zhí)行。聚合簽密驗(yàn)證者輸入n個(gè)不同簽名者IDi的身份IDi以及對(duì)應(yīng)的公鑰pki,簽密接收者IDR的身份IDR以及對(duì)應(yīng)的公鑰pkR,驗(yàn)證聚合密文c的正確性。如果聚合密文c通過(guò)了聚合簽密驗(yàn)證等式,則輸出true；否則,輸出flash。

· 聚合解簽密算法：該算法由簽密接收者IDR執(zhí)行。簽密接收者IDR輸入n個(gè)不同簽名者IDi的身份IDi以及對(duì)應(yīng)的公鑰pki,簽密接收者IDR的身份IDR以及對(duì)應(yīng)的私鑰pkR,以及聚合密文c,輸出n個(gè)不同消息Mi。

3.2無(wú)證書(shū)聚合簽密方案的安全模型

由于本文方案是在Eslami等[27]方案基礎(chǔ)上,去除了同步信息的限制,來(lái)進(jìn)行改進(jìn)的。所以,本文方案也是利用游戲 1和游戲 2來(lái)刻畫(huà)無(wú)證書(shū)聚合簽密方案的安全模型。

本文方案定義了兩類(lèi)敵手AI和AII。第一類(lèi)敵手AI是一個(gè)外部實(shí)體,它不知道系統(tǒng)的主密鑰s,但是可以進(jìn)行公鑰替換。第二類(lèi)敵手AII是一個(gè)內(nèi)部實(shí)體,它知道系統(tǒng)的主密鑰s,但是不可以進(jìn)行公鑰替換。

由于篇幅限制,可以具體參考Eslami等人[27]定義的游戲 1和游戲 2。

定義2如果不存在多項(xiàng)式時(shí)間t內(nèi),兩類(lèi)敵手AI和AII能以不可忽略的概率優(yōu)勢(shì)贏得游戲 1和游戲 2,則稱(chēng)該無(wú)證書(shū)聚合簽密方案在適應(yīng)性選擇密文攻擊下具有密文不可區(qū)分性。

定義3如果不存在多項(xiàng)式時(shí)間t內(nèi),兩類(lèi)敵手AI和AII能以不可忽略的概率優(yōu)勢(shì)贏得游戲 1和游戲 2,則稱(chēng)該無(wú)證書(shū)聚合簽密方案在適應(yīng)性選擇消息攻擊下是存在性不可偽造的。

4　無(wú)證書(shū)聚合簽密方案

4.1方案描述

定義4一個(gè)無(wú)證書(shū)聚合簽密方案包括一個(gè)密鑰生成中心(Key Generation Center,簡(jiǎn)稱(chēng)KGC)、n個(gè)不同的簽名者ID1,ID2,…,IDn、一個(gè)簽密聚合者、一個(gè)聚合簽密驗(yàn)證者,以及簽密接收者IDR。整個(gè)方案是由以下7個(gè)算法：系統(tǒng)參數(shù)設(shè)置算法、部分私鑰生成算法、簽名者密鑰生成算法、簽密生成算法、聚合簽密生成算法、聚合簽密驗(yàn)證算法以及聚合解簽密算法來(lái)共同組成,其具體算法描述如下：

系統(tǒng)參數(shù)設(shè)置算法：該算法由KGC執(zhí)行。給定系統(tǒng)安全參數(shù)k,KGC執(zhí)行以下步驟：

1) KGC定義階為素?cái)?shù)q的加法循環(huán)群G1和乘法循環(huán)群G2,p是群G1的生成元,e:G1×G1→G2是一個(gè)可計(jì)算的雙線性映射。

2) KGC選擇三個(gè)哈希函數(shù)：H1:{0,1}*→G1,H2:{0,1}*→{0,1}lm,H3:{0,1}*→G1,H4:{0,1}*→G1。其中：lm表示消息Mi的比特長(zhǎng)度。

部分私鑰生成算法：該算法由KGC執(zhí)行。KGC計(jì)算Qi=H1(IDi),pskIDi=s·Qi；并通過(guò)秘密安全信道傳遞給簽密者IDi。

簽密生成算法：該算法由簽密者IDi執(zhí)行。簽密者IDi執(zhí)行以下步驟：

2) 簽密者IDi計(jì)算Hi=H2(IDR,pkR,Ri)∈{0,1}lm,δi=Hi⊕Mi。

3) 簽密者IDi計(jì)算Wi=H3(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1,

Ti=H4(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1,

Si=pskIDi+skIDi·Wi+ri·Ti。

4) 簽密者IDi輸出簽密密文ci=(Ri,δi,Si)。

聚合簽密驗(yàn)證算法：該算法由聚合簽密驗(yàn)證者執(zhí)行。聚合簽密驗(yàn)證者輸入n個(gè)不同簽名者IDi的身份IDi以及對(duì)應(yīng)的公鑰pki,簽密接收者IDR的身份IDR以及對(duì)應(yīng)的公鑰pkR,驗(yàn)證聚合密文c的正確性。其具體的步驟如下：

1) 聚合簽密驗(yàn)證者計(jì)算Wi=H3(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1,Ti=H4(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1。

2) 聚合簽密驗(yàn)證者驗(yàn)證等式是否成立：

(1)

如果聚合密文c通過(guò)了聚合簽密驗(yàn)證等式,則輸出true；否則,輸出flase。

聚合解簽密算法：該算法由簽密接收者IDR執(zhí)行。簽密接收者IDR輸入n個(gè)不同簽名者IDi的身份IDi以及對(duì)應(yīng)的公鑰pki,簽密接收者IDR的身份IDR以及對(duì)應(yīng)的私鑰pkR,以及聚合密文c。其具體的步驟如下：

1) 簽密接收者IDR計(jì)算Hi=H2(IDR,pkR,Ri)∈{0,1}lm。

2) 簽密接收者IDR計(jì)算Mi=Hi⊕δi。

4.2方案的正確性

定理1本文無(wú)證書(shū)聚合簽密方案是正確的。

證明：本文無(wú)證書(shū)聚合簽密方案是正確的。當(dāng)且僅當(dāng),所用的參數(shù)是按照本文所給出的算法正確計(jì)算出。其驗(yàn)證聚合簽密密文c的正確性如下：

(2)

4.3方案的安全性分析

由于本文方案是在Eslami等[27]方案基礎(chǔ)上,去除了同步信息的限制,來(lái)進(jìn)行改進(jìn)的,其安全模型也同于Eslami等[27]方案的安全模型,所以限于篇幅問(wèn)題,故此省略。本文的安全性滿足：機(jī)密性、不可偽造性以及公開(kāi)驗(yàn)證性。

4.4方案比較

對(duì)比方案[24～27],由于本文方案去除了同步信息的限制,故其效率較高。

5　結(jié)語(yǔ)

本文方案是在是在Eslami等[27]方案基礎(chǔ)上,去除了同步信息的限制,來(lái)進(jìn)行改進(jìn)的,其安全性滿足機(jī)密性、不可偽造性以及公開(kāi)驗(yàn)證性。本文方案實(shí)現(xiàn)了簽密信息的聚合傳輸和批驗(yàn)證的功能,并在在隨機(jī)預(yù)言模型下,基于BDH和CDH困難問(wèn)題假定,證明本文方案滿足機(jī)密性和不可偽造性。與已有的相關(guān)無(wú)證書(shū)聚合簽密方案對(duì)比,本文方案在聚合驗(yàn)證時(shí),計(jì)算效率較高且與簽名者個(gè)數(shù)無(wú)關(guān)。安全與性能分析表明,該方案是安全高效的,適合在電信網(wǎng)中運(yùn)用。

[1] 王保義,王藍(lán)婧.電力信息系統(tǒng)中基于屬性的訪問(wèn)控制模型的設(shè)計(jì)[J].電力系統(tǒng)自動(dòng)化,2007,31(7):81-84.

WANG Baoyi, WANG Lanjing. Design of Attribute based Access Control Model for Power Information Systems[J]. Automation of Electric Power Systems,2007,31(7):81-84.

[2] AL-RIYAMI S S,PATERSON K G. Certificateless public key cryptography[C]// Certificateless public key cryptography. Advances in Cryptology-ASIACRYPT 2003. Springer Berlin Heidelberg:452-473.

[3] TSO R, YI X, HUANG X. Efficient and short certificateless signatures secure against realistic adversaries[J]. The Journal of Supercomputing,2011,55(2):173-191.

[4] CHOI K Y, PARK J H, LEE D H. A new provably secure certificateless short signature scheme[J]. Computers & Mathematics with Applications,2011,61(7):1760-1768.

[5] HE D, CHEN J, ZHANG R. An efficient and provably-secure certificateless signature scheme without bilinear pairings[J]. International Journal of Communication Systems,2012,25(11):1432-1442.

[6] YU Y T, MU Y, WANG G, et al. Improved certificateless signature scheme provably secure in the standard model[J]. Iet Information Security,2012,6(2):102-110.

[7] HE D, CHEN J, HU J. A pairing-free certificateless authenticated key agreement protocol[J]. International Journal of Communication Systems,2012,25(2):221-230.

[8] HE D, CHEN Y, CHEN J. An efficient certificateless proxy signature scheme without pairing[J]. Mathematical and Computer Modelling,2013,57(9-10):2510-2518.

[9] HE D, HUANG B, CHEN J. New certificateless short signature scheme[J]. Iet Information Security,2013,7(2):113-117.

[10] ZHOU C, ZHOU W, DONG X. Provable certificateless generalized signcryption scheme[J]. Designs, codes and cryptography,2014,1(2):331-346.

[11] LIU W-H, XU C-X. Certificateless signcryption scheme without bilinear pairing[J]. Ruanjian Xuebao/Journal of Software,2011,22(8):1918-1926.

[12] HE D, CHEN Y, CHEN J, et al. A new two-round certificateless authenticated key agreement protocol without bilinear pairings[J]. Mathematical and Computer Modelling,2011,54(11):3143-3152.

[13] HE D, PADHYE S, CHEN J. An efficient certificateless two-party authenticated key agreement protocol[J]. Computers & Mathematics with Applications,2012,64(6):1914-1926.

[14] BAEK J, SAFAVI-NAINI R, SUSILO W. Certificateless public key encryption without pairing[C]//Certificateless public key encryption without pairing. 8th Information Security Conference,ISC2005. Springer Berlin Heidelberg:134-148.

[15] SUN Y,ZHANG F,BAEK J. Strongly secure certificateless public key encryption without pairing[M]. Cryptology and Network Security. City: Springer Berlin Heidelberg,2007:194-208.

[16] LAI J, KOU W, CHEN K. Self-generated-certificate public key encryption without pairing and its application[J]. Information Sciences,2011,181(11):2422-2435.

[17] ZHENG Y. Digital signcryption or how to achieve cost (signature & encryption) cost (signature)+ cost (encryption)[C]//Digital signcryption or how to achieve cost (signature & encryption) cost (signature)+ cost (encryption). Advances in Cryptology—CRYPTO’97. Springer Berlin Heidelberg:165-179.

[18] BAEK J, STEINFELD R, ZHENG Y. Formal proofs for the security of signcryption[C]//Formal proofs for the security of signcryption. Public Key Cryptography 2002. Springer Berlin Heidelberg:80-98.

[19] BARBOSA M,FARSHIM P. Certificateless signcryption[C]//Certificateless signcryption. Proceedings of the 2008 ACM symposium on Information, computer and communications security. 369-372.

[20] WENG J, YAO G, DENG R H, et al. Cryptanalysis of a certificateless signcryption scheme in the standard model[J]. Information Sciences,2011,181(3):661-667.

[21] SHI W, KUMAR N, GONG P, et al. Cryptanalysis and improvement of a certificateless signcryption scheme without bilinear pairing[J]. Frontiers of Computer Science,2014,8(4):656-666.

[22] 張玉磊,王歡,李臣意,等.可證安全的緊致無(wú)證書(shū)聚合簽密方案[J]. 電子與信息學(xué)報(bào),2015,37(12):2838-2844.

ZHANG Yulei, WANG Huan, Li Chenyi, et al. Provable Secure and Compact Certificateless Aggregate Signcryption Scheme[J]. Journal of Electronics & Information Technology,2015,37(12):2838-2844.

[23] BONEH D, GENTRY C, LYNN B, et al. Aggregate and verifiably encrypted signatures from bilinear maps[C]//Aggregate and verifiably encrypted signatures from bilinear maps. Advances in cryptology—EUROCRYPT 2003. Springer Berlin Heidelberg,3027:416-432.

[24] LU H, XIE Q. An efficient certificateless aggregate signcryption scheme from pairings[C]//An efficient certificateless aggregate signcryption scheme from pairings. 2011 International Conference on Electronics, Communications and Control (ICECC),2011:132-135.

[25] JIANG Y, LI J, XIONG A. Certificateless Aggregate Signcryption Scheme for Wireless Sensor Network[J]. International Journal of Advancements in Computing Technology,2013,5(8):456-463.[26] 張雪楓,魏立線,王緒安.無(wú)證書(shū)的可公開(kāi)驗(yàn)證聚合簽密方案[J].計(jì)算機(jī)應(yīng)用,2013,33(7):1858-1860.

ZHANG Xufeng, WEI Lixian, WANG Xu’an. Certificateless aggregate signcryption scheme with public verifiability[J]. Journal of Computer Applications,2013,33(7):1858-1860.

[27] ESLAMI Z, PAKNIAT N. Certificateless aggregate signcryption: Security model and a concrete construction secure in the random oracle model[J]. Journal of King Saud University — Computer and Information Sciences,2014,26(3):276-286.

Design of Certificateless Aggregate Signcryption Scheme for Power Information Networks

TIAN Jijun

(China Mobile Group Hubei Company Limited, Wuhan430048)

The power information networks constitutes a complex multi-domain environment. While providing convenient information exchange and coordination to the power industry,it also brings some potential security problems. Due to the increasing of power information network system,there are a large users which brings great difficulties to the confidentiality and authentication of the information transmission. To this end,this paper proposes a certificateless aggregate signcryption scheme. In the random oracle model,based on the bilinear Diffie-Hellman (BDH) and computational Diffie-Hellman (CDH) hard assumption,this scheme is proved that it meets the properties of confidentiality and unforgeability. Compared with the existing certificateless aggregate signcryption schemes,this scheme raise the efficiency of verification,and is not depending on the number of signcryption users. The results of analysis indicate that this scheme is secure,efficient and suitable for use in the power information networks.

power information networks, certificateless signcryption, aggregate signcryption, random oracle model, BDH, CDH

2016年4月17日,

2016年5月26日

山東省自然科學(xué)基金(編號(hào)：ZR2014FL012)；山東省網(wǎng)絡(luò)環(huán)境智能計(jì)算技術(shù)重點(diǎn)實(shí)驗(yàn)室開(kāi)放基金資助。

田紀(jì)軍,男,工程師,研究方向：企業(yè)信息安全管理與技術(shù)應(yīng)用。

TP393.08

10.3969/j.issn.1672-9722.2016.10.024