• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于編碼的多接收方廣義簽密方案

    2020-02-09 09:29:08韓益亮王眾
    通信學(xué)報 2020年1期
    關(guān)鍵詞:用戶組私鑰公鑰

    韓益亮,王眾

    (武警工程大學(xué)密碼工程學(xué)院,陜西 西安 710086)

    1 引言

    公鑰密碼技術(shù)是網(wǎng)絡(luò)通信安全的核心技術(shù),當前常用的公鑰密碼方案基于整數(shù)分解、離散對數(shù)、橢圓曲線離散對數(shù)等困難問題。Shor[1]提出了一種可以在量子計算機上運行的算法,能夠解決整數(shù)分解、離散對數(shù)等問題,這給傳統(tǒng)公鑰密碼帶來了嚴重威脅,一旦實用化量子計算機出現(xiàn),傳統(tǒng)公鑰密碼就不再安全。整數(shù)分解和離散對數(shù)等問題都可歸結(jié)為交換群的隱含子群問題,這類問題在量子計算機上可在多項式時間內(nèi)求解,而在經(jīng)典計算機上最好的算法仍然是指數(shù)級的。目前,一般認為抗量子計算攻擊的密碼體制有如下幾種[2]:基于多變量的密碼體制[3]、基于格的密碼體制[4]、基于編碼的密碼體制[5]以及基于Hash 函數(shù)的密碼體制[6]等。這些密碼體制之所以能夠抵抗量子計算攻擊,是因為它們建立在NP 完全問題(NP-complete problem)之上,量子計算機相比經(jīng)典計算機對此類問題并沒有明顯優(yōu)勢[7]?;诰幋a的密碼是目前比較受關(guān)注的一種抗量子密碼,所依賴的困難問題是一般線性碼的譯碼問題,主要思路是向碼字中加入錯誤向量或根據(jù)糾錯碼的校驗矩陣計算伴隨式,在生成矩陣或校驗矩陣未知時該問題為NP 完全問題,且尚未發(fā)現(xiàn)該問題能歸結(jié)為隱含子群問題,因而可以作為抗量子公鑰算法比較好的候選方案之一。1978 年,Mceliece[8]最早利用Goppa 碼的性質(zhì)提出了第一個編碼密碼方案,通常被稱為McEliece 方案。1986年,Niederreiter[9]提出了McEliece 方案的對偶體制,即Niederreiter 方案。上述2 種方案在安全性上完全等價,但是Niederreiter 方案相比McEliece 方案具有更高的傳信率。2001 年,Courtois 等[10]提出了基于編碼密碼的簽名方案——CFS 方案。2013 年,Mathew 等[11]通過密鑰構(gòu)造的改變使CFS 簽名方案的密鑰量減少,提高了簽名方案的使用效率。為了解決編碼密碼密鑰量大的問題,用其他碼字來代替Goppa 碼已經(jīng)成為一種趨勢,但是這會對方案的安全造成影響,這種影響已經(jīng)出現(xiàn)在基于準循環(huán)(QC,quasi-cyclic)碼[12]、低密度奇偶校驗(LDPC,low density parity check)碼[13]、準循環(huán)低密度奇偶校驗(QC-LDPC,quasi-cyclic low-density parity-check)碼[14]、卷積碼[15]等碼字的第一代McEliece 變體方案中。還有一些使用QC-LDPC 碼[16]、準循環(huán)中密度奇偶校驗(QC-MDPC,quasi-cyclic medium-density parity-check)碼[17]等碼字的變體方案,能夠在不損壞安全性的前提下較好地達到密鑰壓縮的目的,例如2017 年Deneuville 等[18]提出的Ouroboros 密鑰交換協(xié)議、2018 年Baldi 等[19]提出的LEDAkem 密鑰封裝機制等。2018 年,Eaton等[20]還提出通過多次加密的方式使編碼密碼方案的安全性達到IND-CCA2(indistinguishability under adaptive chosen-ciphertext attack)的安全級別。

    另一方面,保密和認證是信息安全的2 個主要目標,在公鑰密碼領(lǐng)域,通常用加密技術(shù)來實現(xiàn)保密,用數(shù)字簽名來實現(xiàn)認證。當需要同時滿足保密和認證的要求時,通常的做法是先“簽名”再“加密”或者先“加密”再“簽名”,但這種方法效率不高,同時也無法確保安全性。Zheng[21]提出了在一個邏輯步驟內(nèi)同時實現(xiàn)加密與簽名功能的密碼技術(shù),能夠提高效率和安全性。當系統(tǒng)中同時存在多種安全需求時,韓益亮等[22]提出的廣義簽密能夠在簽名方案、加密方案以及簽密方案三者之間自適應(yīng)地轉(zhuǎn)換,能夠單獨或者同時提供保密和認證功能,更有效地節(jié)省系統(tǒng)資源。公鑰密碼是簽密技術(shù)的基礎(chǔ),但是公鑰密碼存在一類密鑰托管問題。2003 年,Al-Riyami 等[23]首次提出無證書密碼體制,該體制的重點為密鑰的管理,其將用戶的私鑰分成兩部分:一部分由密鑰生成中心(KGC,key generator center)生成,另一部分則由用戶生成,這樣就緩解了密鑰托管問題。2008 年,Barbosa 等[24]將簽密與無證書密碼體制相結(jié)合,使無證書密碼體制可以在一個邏輯步驟內(nèi)完成加密與簽名操作。同年,Selvi 等[25]將無證書簽密方案推廣到多接收者模型中。目前,已經(jīng)提出的各種簽密方案大多基于整數(shù)分解、離散對數(shù)、橢圓曲線離散對數(shù)等困難問題,也不能抵抗量子計算攻擊。

    本文通過對編碼密碼進行研究,設(shè)計了一個多接收方的廣義簽密方案。首先采用QC-LDPC 碼借鑒文獻[20]中密鑰封裝機制中的加密方法,提出一種能夠滿足IND-CCA2 的加密方案,在加密方案的基礎(chǔ)上設(shè)計了一個多接收方的簽密方案;然后進行改進得到一個基于編碼密碼的廣義簽密方案。

    2 相關(guān)知識

    2.1 校驗子譯碼問題

    給定一個(n,k)維的線性碼,已知該碼的最小漢明距離為d,其校驗矩陣為,糾錯能力為t,滿足d=2t+1。給定向量,尋找一個錯誤向量,使其漢明重量滿足wt(e)≤t,且與向量v以及矩陣H滿足方程v=eHT,尋找錯誤向量e的問題即為校驗子譯碼問題(SD,syndrome decoding problem)。

    校驗子譯碼問題已被證明是NP 完全問題,尚未發(fā)現(xiàn)該問題能歸結(jié)為隱含子群問題。該問題是基于編碼的密碼所依賴的困難問題。

    2.2 Mceliece 方案

    Mceliece[8]于1978 年提出一個基于Goppa 碼的密碼方案,該方案是第一個基于編碼的加密方案。目前,采用Goppa 碼的McEliece 方案仍是較為安全的方案。下面將具體介紹該方案的參數(shù)生成以及加解密過程。

    參數(shù)生成。選擇一個(n,k)維的線性碼,該碼的最小漢明距離為d,其生成矩陣為,能糾錯重量為t的信息,滿足d=2t+1。選擇一個k×k階的二元隨機非奇異矩陣M和一個n×n階的二元隨機置換矩陣P。那么,該方案的公鑰為重量t以及矩陣Gpub=MGP,私鑰為矩陣G、M、P以及譯碼算法β。

    解密過程。首先對密文c右乘置換矩陣P的逆,即cP-1=mMG+eP-1。對cP-1進行譯碼操作消除錯誤向量eP-1,進而得到右乘私鑰矩陣M的逆即可得明文m。

    2.3 CFS 簽名方案

    基于McEliece 方案,2001 年Courtois 等[10]提出CFS 簽名方案,該方案是目前為數(shù)不多的安全的編碼簽名方案。CFS 簽名方案的初始化、簽名與驗證過程如下。

    初始化過程。取C是有限域GFq上線性(n,k,d)Goppa 碼,n=2a,d=2t+1,k=n-at。(n-k)×n階矩陣H為二元(n,k,d)Goppa 碼的校驗矩陣,隨機選取GF(2)上的可逆矩陣S,其階為(n-k)×(n-k),再選取置換矩陣T,其階為n×n。選擇一個散列函數(shù)。Goppa 碼的快速譯碼算法為βHt(),σ為待簽名消息。將公開,將(S,T,H,βHt())保密。

    簽名過程如下。

    1)計算σ的散列值m,m=h(σ)。

    2)在集合{0,1,2,…} 中選擇一個i,計算mi=S-h1(m||i),找到一個最小的i0使βHt(mi)存在,則mi0=S-1h(m||i0)。

    3)令v=βHt(mi0),簽名即為 (i0||vT)。

    驗證過程如下。

    1)計算a=h(h(σ)||i0),。

    2)如果a=b,則簽名成功;否則失敗。

    2.4 多接收方簽密與廣義簽密

    根據(jù)文獻[26],多接收方簽密方案由以下步驟組成:系統(tǒng)參數(shù)生成、部分密鑰生成、用戶密鑰生成、簽密過程和解簽密過程。

    1)系統(tǒng)參數(shù)生成。由密鑰生成中心(KGC)進行,輸入一個秘密參數(shù)φ,進而返回系統(tǒng)參數(shù)τ。

    2)部分密鑰生成。由KGC 進行,KGC 首先產(chǎn)生系統(tǒng)密鑰λ,然后輸入λ和τ,產(chǎn)生部分公鑰P和部分私鑰S。

    3)用戶密鑰生成。輸入公共參數(shù)τ、部分公鑰P、部分私鑰S以及用戶的身份信息IDU,用戶U執(zhí)行該算法產(chǎn)生自己的公鑰PU和私鑰SU。

    4)簽密過程。由發(fā)送方A執(zhí)行,輸入公共參數(shù)τ、明文m、A的身份信息IDA、私鑰SA以及接收者組L的公鑰信息,最終輸出簽密文c。

    5)解簽密過程。由接收者B執(zhí)行,輸入公共參數(shù)τ、簽密文c、A的身份信息IDA、A的公鑰PA,以及接收者B的身份信息IDB與私鑰SB,若驗證通過則最終解密得到明文m,否則解簽密失敗。

    多接收方的廣義簽密與多接收方的簽密過程大致類似,不同之處在于需要再定義一個區(qū)分函數(shù)f(x)來實現(xiàn)簽名方案、加密方案以及簽密方案這三者之間的轉(zhuǎn)換。區(qū)分函數(shù)往往通過用戶的公鑰進行判斷,進而實現(xiàn)轉(zhuǎn)換的功能,具體來講即當發(fā)送方A與接收者B均有公私鑰時為簽密方案,當發(fā)送方A沒有公私鑰而接收者B擁有時為加密方案,當接收者B沒有公私鑰而發(fā)送方A擁有時為簽名方案,當收發(fā)雙方均無公私鑰時為普通的傳信過程。

    2.5 多接收方簽密的安全模型

    參考文獻[26-27]可以得到適用于本文多接收方簽密方案的安全模型。從機密性與不可偽造性入手,針對多接收方的簽密方案,存在以下2 種類型的攻擊者:可以替換用戶公鑰信息但是不能獲得KGC 的主密鑰,用攻擊者α1表示;可以獲取KGC的主密鑰但是不能替換其他用戶公鑰的攻擊者,用α2表示。

    定義1機密性1。在攻擊游戲1 中,沒有一個攻擊者α能夠在多項式時間內(nèi)以不可忽略的優(yōu)勢贏得IND-CCA2-1 游戲,則說明該基于編碼的多接收方簽密方案滿足適應(yīng)性選擇密文攻擊下的不可區(qū)分性。

    攻擊者在IND-CCA2-1 游戲中需滿足以下3個限制:不能對挑戰(zhàn)密文進行解簽密詢問,不能對挑戰(zhàn)者的私鑰進行詢問,不能對系統(tǒng)的主密鑰進行詢問。

    定義2機密性2。在攻擊游戲2 中,沒有一個攻擊者α能夠在多項式時間內(nèi)以不可忽略的優(yōu)勢贏得IND-CCA2-2 游戲,則說明該基于編碼的多接收方簽密方案滿足適應(yīng)性選擇密文攻擊下的不可區(qū)分性。

    攻擊者在IND-CCA2-2 游戲中需要滿足以下3 個限制:不能對挑戰(zhàn)密文進行解簽密詢問,不能對挑戰(zhàn)者的私鑰進行詢問,不能對系統(tǒng)的主密鑰進行替換。

    定義3不可偽造性1。在攻擊游戲1 中,沒有一個攻擊者α能夠在多項式時間內(nèi)以不可忽略的優(yōu)勢贏得EUF-CMA(existential unforgeability against adaptive chosen messages attack)-1 游戲,則說明該基于編碼的多接收方簽密方案滿足適應(yīng)性選擇消息攻擊下的不可偽造性。

    攻擊者在EUF-CMA-1 游戲中需滿足以下2 個限制:不能對挑戰(zhàn)者的私鑰進行詢問,不能對系統(tǒng)的主密鑰進行詢問。

    定義4不可偽造性2。在攻擊游戲2 中,沒有一個攻擊者α能夠在多項式時間內(nèi)以不可忽略的優(yōu)勢贏得EUF-CMA-2 游戲,則說明該基于編碼的多接收方簽密方案滿足適應(yīng)性選擇消息攻擊下的不可偽造性。

    攻擊者在EUF-CMA-2 游戲中需滿足以下2 個限制:不能對挑戰(zhàn)者的私鑰進行詢問,不能對系統(tǒng)的主密鑰進行替換。

    3 方案描述

    3.1 多接收方的通信模型

    具有多個接收方的一對多通信是當前最普遍的通信模式之一,如網(wǎng)絡(luò)廣播、多播等。在無線局域、物聯(lián)網(wǎng)等網(wǎng)絡(luò)環(huán)境下,也存在著許多一對多通信的方式。這種具有多個接收方的一對多通信由于其自身的開放性、智能化以及計算環(huán)境的復(fù)雜性帶來了許多安全問題,最明顯的是用戶隱私的安全問題[28]。多接收方通信中的身份認證問題同樣重要,通過有效的消息認證、設(shè)備認證,才能夠防止冒名頂替和否認行為[29]。計算機系統(tǒng)需要根據(jù)不同用戶的性質(zhì)來提供不同的訪問控制策略以有效地對用戶隱私、數(shù)據(jù)安全以及身份進行保護。圖1 為多接收方通信模型。

    1)當發(fā)送方無密鑰以及接收用戶組存在無密鑰成員時,發(fā)送方將不能對待簽密消息m進行簽名以及加密的操作,相當于直接把消息發(fā)送給接收用戶組。由于對明文進行了處理,使合法的系統(tǒng)用戶(設(shè)備)才能得到明文m。這種情況適用于普通用戶(設(shè)備),即沒有自己公私鑰的用戶(設(shè)備)與普通的用戶或者設(shè)備組之間進行密級較低的通信,傳輸?shù)男畔τ谙到y(tǒng)用戶(設(shè)備)是公開的,而對于非系統(tǒng)用戶(設(shè)備)是加密的。

    2)當發(fā)送方有密鑰而接收用戶組存在無密鑰成員時,相當于純簽名的過程。當接收用戶組收到該信息后,可以利用系統(tǒng)私鑰來解密得到明文m,再對簽名s驗證,確保信息來自對應(yīng)的發(fā)送方且明文未被篡改。這種情況適用于發(fā)送方是高級的用戶、計算機系統(tǒng)或者設(shè)備,而接收組是普通的用戶或者設(shè)備,進而防止對高級用戶(設(shè)備)所傳輸?shù)男畔⑦M行篡改,以及對其冒名頂替,保障了可認證性。

    圖1 多接收方通信模型

    3)當發(fā)送方?jīng)]有密鑰而接收用戶組中的成員均有密鑰時,相當于純加密的過程。接收組收到該信息后利用各自的私鑰以及系統(tǒng)私鑰進行解密操作即可得到明文消息m。這種情況適用于發(fā)送方為普通用戶或者計算機系統(tǒng),其所發(fā)出的消息只想讓指定的接收組收到,且接收方為高級的用戶或者設(shè)備。這就保障了在多接收方的開放環(huán)境下數(shù)據(jù)傳輸?shù)臋C密性。

    4)當接收用戶組中的成員、發(fā)送方都有各自密鑰時,該方案即為一個簽密方案。只有擁有相應(yīng)私鑰的接收者可以對信息進行解簽密。解簽密的過程是接收組中的成員運用自己的私鑰以及系統(tǒng)私鑰進行解密得到明文,再利用發(fā)送方的公鑰通過m對簽名進行驗證。這種情況適用于收發(fā)雙方均為高級的用戶、設(shè)備,進行密級較高的保密通信。

    綜上分析可知,當一個系統(tǒng)用戶或者設(shè)備給其他多個接收者發(fā)送信息時,可以根據(jù)接收組成員的公私鑰的存在情況自適應(yīng)地實現(xiàn)多接收方的簽密、加密與簽名的轉(zhuǎn)換。若接收組成員中有一個沒有公鑰即為簽名過程或者是普通傳輸過程,若接收組成員中都有公鑰即為簽密或者加密的傳輸過程。本文所提廣義簽密方案需要實現(xiàn)不同安全級別的訪問控制,而非系統(tǒng)用戶則得不到任何信息。

    3.2 多次加密的McEliece 方案

    根據(jù)文獻[20],一般編碼密碼方案的安全性達不到IND-CCA2 的安全級別,但文獻[20]給出了一種加密方法使編碼密碼的安全性能夠達到IND-CCA2 的安全級別。該加密方法是將待加密信息運用編碼加密的方式進行多次加密產(chǎn)生多個密文,對這些密文進行解密,只有當這些密文全部解密失敗時返回錯誤值⊥,這樣可以有效避免譯碼錯誤對安全性的影響。本節(jié)多次加密的McEliece 方案采用QC-LDPC 碼,并以這種多次加密的方式來構(gòu)造方案,以增加方案的安全性。

    參數(shù)及密鑰生成。取Ω是有限域GFq上 (n,k,d)階的QC-LDPC 碼,n=2a,d=2t+1,k=n-at。其生成矩陣為,隨機選取GF(2)上的可逆矩陣S,其階為k×k;再選取置換矩陣P,其階為n×n。計算公鑰為=SGP,私鑰即為矩陣(S,G,P)以及譯碼算法βt()。另設(shè)一錯誤向量生成函數(shù)以及二進制數(shù)字的循環(huán)左移函數(shù)。

    根據(jù)文獻[20]密鑰封裝中的加密方式,基于QC-LDPC 碼構(gòu)造多次加密的McEliece 方案。

    加密過程中,每加密一次產(chǎn)生一個新的錯誤向量ei來加密。解密過程中,需要對所有密文進行解密操作,譯碼成功則保留下來,所有密文譯碼不成功則解密失敗,最終得到明文,根據(jù)明文m以及公鑰并利用之前的加密算法進行加密操作,得到一組密文來與原密文組C進行比較,每組都相同則解密成功,可以得到明文m。這種加密方法大大降低了譯碼錯誤所帶來的安全性影響,這也是本文構(gòu)造多次加密的McEliece 方案最主要的原因。

    3.3 多接收方簽密方案

    本節(jié)將依托3.2 節(jié)中的多次加密的McEliece 方案以及CFS 簽名方案并參考文獻[26],構(gòu)造一個具有抗量子計算能力的多接收方簽密方案。

    1)系統(tǒng)參數(shù)建立

    取Ω是有限域GFq上 (n,k,d)階的QC-LDPC碼,n=2a,d=2t+1,k=n-at。其生成矩陣為,校驗矩陣為,譯碼算法為βt()。設(shè)置 2 個安全函數(shù)h1與h2,h1:{0,1}*→{0,1}n-k,h2:{0,1}*→{0,1}k。如3.2 節(jié)中方案的參數(shù)及密鑰生成過程,再設(shè)置錯誤向量生成函數(shù)X:{0,1}*→{e|e∈,wt(e)≤t} 以及二進制數(shù)字的循環(huán)左移函數(shù)PRF。公開(n,k,t,h1,h2)。

    2)部分密鑰生成

    ①KGC 根據(jù)QC-LDPC 碼Ω隨機選擇GF(2)上的k×k階可逆矩陣S,以及(n-k)×(n-k)階可逆矩陣M,再選取n×n階置換矩陣P。KGC 的系統(tǒng)公鑰為Gpub=SGP和Hpub=MHP,Gpub與加密有關(guān),Hpub與簽名有關(guān)。系統(tǒng)私鑰為(S,G,P,M,βt()),這里不再將QC-LDPC 碼的校驗矩陣H寫入私鑰組,因為根據(jù)碼的性質(zhì),有了生成矩陣便可根據(jù)GHT=0求得校驗矩陣。

    ② KGC 根據(jù)QC-LDPC 碼Ω隨機選擇GF(2)上的k×k階可逆矩陣S0,以及(n-k)×(n-k)階可逆矩陣M0,再選取n×n階置換矩陣P0。計算G0=S0GpubP0,H0=M0HpubP0,則部分公鑰為(G0,H0),部分私鑰為(S0S,G,PP0,M0M,βt())。KGC 通過秘密信道將部分私鑰傳遞給合法用戶,并公開自己的系統(tǒng)公鑰。

    3)用戶密鑰生成

    ①用戶U取得KGC 的部分公鑰和部分私鑰,并隨機選擇GF(2)上的k×k階可逆矩陣SU,以及(n-k)×(n-k)階可逆矩陣MU,再選取n×n階置換矩陣PU。計算GU=SUG0PU,HU=MUH0PU,則部分公鑰為 (GU,HU),部分私鑰為(SUS0S,G,PP0PU,MUM0M,βt())。F0代表采用系統(tǒng)公鑰加密,Fi代表采用用戶i的公鑰加密。

    ② 用戶U將公鑰FU(FU即為(GU,HU))傳回KGC。

    4)簽密

    身份為IDA的用戶A,將傳輸給用戶組L={ID1,ID2,…,ID?}。首先向KGC 查詢得到用戶組L的公鑰信息,進行如下操作。

    ②Y=h1(m||IDA||x)。

    ③在集合{0,1,…} 中選擇一個a,并計算,找到一個最小的a0使βt(Ya)存在,則

    ④令v=βt(Ya0),s=(a0||vPA)。

    ⑤對于IDi,i=1,2,…,?,計算qi=h2(IDi)。

    ⑥Wi=Fi(m⊕r⊕qi)。

    ⑦對于用戶組L,計算=F0(L)。

    ⑧ 生成簽密文σ=(s,W1,W2,…,W?,,x)。

    5)解簽密

    用戶IDi,i=1,2,…,?,收到σ=(s,W1,W2,…,W?,,x)后進行如下計算。

    正確性分析。當簽密與解簽密過程正確時則說明簽密方案正確。用戶IDi(i=1,2,…,?)收到σ=(s,W1,W2,…,W?,,x)后,首先利用系統(tǒng)私鑰提取出自己的那一部分密文,再利用系統(tǒng)私鑰求解出隨機數(shù),然后就可以利用自己的私鑰來求解密文,即。由于已知、c和qi,因此可以求出明文。擁有了明文后,可運用發(fā)送方A的公鑰進行下一步的驗證,根據(jù)CFS簽名方案,當且僅當時,才可得到正確的明文。

    3.4 基于編碼密碼的多接收方廣義簽密方案

    本節(jié)基于編碼密碼的多接收方廣義簽密方案仍然是依托3.2 節(jié)中多次加密的McEliece 方案以及CFS 簽名方案,在3.3 節(jié)基于編碼密碼的多接收方簽密方案的基礎(chǔ)上加以改進而構(gòu)造的,因此其參數(shù)、部分密鑰以及用戶密鑰的生成都與3.3 節(jié)中基本相同,只是在參數(shù)生成時多構(gòu)造一個安全函數(shù)h3:{0,1}*→{0,1}k。

    3.4.1 區(qū)分函數(shù)構(gòu)造以及簽密與解簽密過程

    1)定義區(qū)分函數(shù)f(x)

    區(qū)分函數(shù)實現(xiàn)簽名、加密或簽密功能三者之間轉(zhuǎn)換,往往以用戶是否存在公鑰來進行判斷。當用戶的公鑰GU=?時即為不存在公私鑰,則f(x)=0,此處0 代表k維零向量;當用戶的公鑰GU≠?時即存在公私鑰時,則f(x)=1,此處1代表k維單位向量。因此區(qū)分函數(shù)可表示如下。

    2)簽密

    身份為IDA的用戶A,將m∈F2k傳輸給用戶組L={ID1,ID2,…,ID?}。首先向KGC 查詢得到用戶組L的公鑰信息,進行如下操作。

    3)解簽密

    判斷η與ξ是否相等,相等則驗證通過獲得正確明文,否則接收失敗。

    3.4.2 正確性分析

    當用戶IDi(i=1,2,…,?)收到σ=(s,W1,W2,…,W?,c1,c2,…,c?,,x)后,最終得到的密文組有以下4種形式:(s,Wi,ci,x)、(?,Wi,ci,x)、(s,m⊕h3(r),ri,x)、(?,m⊕h3(r),ri,x)。

    當收發(fā)雙方都擁有公私鑰時,密文組為(s,Wi,ci,x)。接收者利用自己的私鑰解密得到隨機數(shù),利用系統(tǒng)私鑰進行解密得到隨機數(shù),進而可以利用求解得出明文,將該明文利用CFS 簽名方案中的驗證方法進行驗證:等式成立則說明獲得了正確的信息。

    當發(fā)送方?jīng)]有公私鑰而接收方有時,密文組為(?,Wi,ci,x),接收方收到密文組后,利用自己的私鑰進行解密得到隨機數(shù),利用系統(tǒng)私鑰進行解密得到隨機數(shù),再利用求解得出明文。

    當發(fā)送方擁有公私鑰而接收方不具有時即為簽名方案,不同于普通簽名,只有系統(tǒng)中的合法用戶才可以得到正確的信息,此時的密文組為(s,m⊕h3(r),ri,x),接收方收到密文后,可以直接獲取隨機數(shù),再利用系統(tǒng)私鑰進行解密得到隨機數(shù),進而可以利用求解得出明文,最后利用與第一種情況相同的方法進行驗證即可。

    當收發(fā)雙方均無公私鑰時,相對于直接傳輸明文,發(fā)送方只對明文用系統(tǒng)公鑰進行了加密,當接收方為系統(tǒng)用戶時,便可利用系統(tǒng)私鑰進行解密最終獲得明文。

    3.5 廣義簽密方案自適應(yīng)性

    根據(jù)多接收方廣義簽密的模型[30]并結(jié)合上述方案的構(gòu)造可以看出,當發(fā)送方向某一用戶組發(fā)送信息時,根據(jù)發(fā)送方以及接收用戶組的密鑰擁有情況存在以下4 種情況。

    1)發(fā)送方以及接收用戶組均無密鑰。根據(jù)3.4節(jié)中的簽密過程可以看出,簽密的步驟②即簽名過程將不再進行,而步驟⑤所得的Wi即為m⊕h3(r),說明合法的系統(tǒng)用戶作為接收方可以直接得到明文。這種情況下,合法的系統(tǒng)用戶均無自己的密鑰,也即普通系統(tǒng)設(shè)備與用戶之間進行的一般的通信過程。這種過程與3.1 節(jié)所設(shè)計的多接收方通信模型的第一種情況相適應(yīng)。

    2)發(fā)送方有密鑰,而接收用戶組中存在沒有密鑰的成員。此時,根據(jù)3.4 節(jié)中的簽密過程可以看出,簽密的步驟②即簽名過程將進行,但是由于接收用戶組中存在無密鑰成員,因此κ=f(G1)f(G2)…f(G?-1)f(G?)=0,步驟⑤所得的Wi即為m⊕h3(r)。說明簽名功能得到實現(xiàn)但未進行加密,合法的系統(tǒng)接收用戶均可以對發(fā)送方的簽名進行驗證,并得到明文。這種安排是根據(jù)文獻[30]中提到的安全性,防止發(fā)送方向用戶組發(fā)送信息時,存在有的用戶得到加密后的信息,而有的用戶得到未加密信息,造成明密文對比,使攻擊者可以進行分析而造成漏洞。這種情況與3.1 節(jié)所設(shè)計的通信模型的第二種情況相適應(yīng),即高級的系統(tǒng)用戶或者設(shè)備向存在普通用戶或設(shè)備的接收用戶、設(shè)備組傳輸信息,接收組可以對信息來源以及信息是否被篡改進行確認。

    3)發(fā)送方?jīng)]有密鑰,而接收用戶組中的成員均有密鑰。根據(jù)3.4 節(jié)中對簽密過程的描述可以看出,簽密的步驟②即簽名的過程將跳過,但是由于接收用戶組成員均有密鑰,因此Wi=m⊕h3(r)⊕h2(ri⊕qi),只有接收用戶組中的第i個成員使用自己的密鑰,才可以對Wi=m⊕h3(r)⊕h2(ri⊕qi)進行正確解密,再利用系統(tǒng)密鑰處理得到明文。這種情況與3.1 節(jié)中通信模型的第三種情況相適應(yīng),普通系統(tǒng)用戶或者設(shè)備向高級的接收用戶、設(shè)備組發(fā)送信息,只有該接收用戶、設(shè)備組能夠?qū)π畔⑦M行正確解密,得到對應(yīng)的明文。

    4)發(fā)送方以及接收用戶組均有密鑰。3.4 節(jié)中的全部過程將進行,即簽密功能的實現(xiàn)。這種情況與3.1 節(jié)通信模型的第四種情況相適應(yīng),高級的系統(tǒng)用戶或設(shè)備與另一組高級的用戶、設(shè)備進行高安全級別的通信。

    綜上所述,3.4 節(jié)所設(shè)計的多接收方廣義簽密方案可以與3.1 節(jié)所設(shè)計的多接收方通信模型相適應(yīng)。

    4 安全性分析

    本文多接收方的簽密以及廣義簽密方案是一脈相承的,因此第4 節(jié)的安全性分析主要是從廣義簽密方案出發(fā),對具有簽密功能的廣義簽密方案入手,分析方案的機密性以及不可偽造性,證明過程在文獻[26-27,31]的基礎(chǔ)上進行。

    4.1 機密性

    1)游戲類型1

    定理1 在隨機預(yù)言機模型下,假設(shè)存在一個IND-CCA2 的攻擊者α1,能夠以優(yōu)勢贏得如下定義的游戲(定義1 中的游戲),那么就存在一個算法β,它解決SD 問題的優(yōu)勢ε如式(2)所示,其中算法β作為攻擊者α1在游戲中的挑戰(zhàn)者,而α1則作為β的子程序。

    證明給定一個SD 問題實例x=F(r),挑戰(zhàn)者成功求解出r即可。

    qSC、qDSC、qh1、qh2、qh3分別代表攻擊者α1所能進行的簽密詢問、解簽密詢問,以及對隨機預(yù)言機h1、h2以及h3的詢問的最大次數(shù),qS、qP、qR分別代表私鑰詢問、公鑰詢問以及公鑰替換詢問的最大次數(shù)。為了方便回答詢問,并設(shè)立2 個詢問列表List1、List2,來對以上詢問進行記錄。

    ①游戲初始化。β根據(jù)QC-LDPC 碼Ω隨機選擇 GF(2)上的k×k階可逆矩陣S和(n-k)×(n-k)可逆矩陣M,選取n×n階置換矩陣P。KGC的系統(tǒng)公鑰為Gpub=SGP和Hpub=MGP,系統(tǒng)私鑰為(S,G,P,M,βt()),根據(jù)QC-LDPC 碼Ω隨機選擇GF(2)上的k×k階可逆矩陣S0和(n-k)×(n-k)階可逆矩陣M0,選取n×n階置換矩陣P0。計算G0=S0GpubP0,H0=M0HpubP0,則部分公鑰為(G0,H0),部分私鑰為(S0S,G,PP0,M0M,βt())。β將公共參數(shù)(n,k,t,h1,h2,h3)發(fā)送給攻擊者α1,并保留自己的系統(tǒng)密鑰。攻擊者α1給出目標用戶組

    ② 詢問階段。攻擊者α1可以向挑戰(zhàn)者β進行如下詢問。

    h1詢問。輸入元組,查看表List1,如果存在相應(yīng)記錄Yi則返回該記錄;若不存在則隨機選取一個Yi,將其以及用戶對信息m簽密產(chǎn)生的密文與簽名存入表List1,并返回Yi。

    2h詢問。有以下幾種情況。輸入進行詢問時,對表List2進行查詢是否有相應(yīng)記錄qi,存在則返回,不存在則隨機選擇一個qi存入List2,并將用戶的公鑰、私鑰以及一個記錄用戶公鑰是否被替換的標識?(?=0表示未被替換,?=1表示被替換)一同記錄下來,返回qi。輸入(ri,qi)進行詢問,同樣先對表 List2進行查詢是否有相應(yīng)記錄,存在則返回,該記錄存在的概率很小,為,不存在則隨機選擇一個記錄在List2,并將用戶的公鑰、私鑰以及一個記錄用戶公鑰是否被替換的標識?一同記錄下來,返回

    h3詢問。輸入隨機數(shù)r詢問時,返回值如果存在相應(yīng)記錄,則返回,但這種概率存在的可能極小,為。因為是對隨機數(shù)查詢,所以查詢過的概率很小。

    私鑰詢問。攻擊者輸入用戶IDi,若該用戶存在于目標用戶組中,則挑戰(zhàn)者β丟棄該詢問;否則,β查找List2。首先查看該用戶的替換標識?檢查其公鑰是否被替換,若未被替換,則返回該用戶私鑰(SiS0S,G,PP0Pi,MiM0M,βt());若被替換,則β向α1詢問用戶IDi的私鑰參數(shù)。最終返回攻擊者(SiS0S,G,PP0Pi,MiM0M,βt())。

    公鑰詢問。攻擊者輸入用戶IDi,首先查詢List2中是否有相應(yīng)記錄,存在則返回Fi;否則選擇隨機矩陣(Si,Pi,Mi),并進行相應(yīng)計算產(chǎn)生對應(yīng)公鑰Fi。把該值更新記錄到表List2中并返回。

    公鑰替換詢問。輸入二元組(IDi,)進行詢問,首先查詢List2,若存在記錄(IDi,Fi),則使用替換Fi,并更新標識?;若沒有對應(yīng)公鑰,則對IDi進行公鑰詢問,得到新公鑰后,再進行替換詢問。

    簽密詢問。輸入元組(m,IDs,L={IDR1,IDR2,…,IDR?}),若IDs存在于身份集合L中,或L中有元素存在于目標身份集合L*中,β丟棄此次詢問;若IDs不在目標身份集合L*中,則可以知道發(fā)送方的私鑰,并在List1、List2中記錄。進行本文的簽密算法,得到相應(yīng)的簽密文σ=(s,W1,W2,…,W?,c1,c2,…,c?,,x)。如果在目標身份集合中,則挑戰(zhàn)者無法獲知發(fā)送方的私鑰,可通過以下方法來進行簽密:β詢問List2,得到IDs的公私鑰,選擇隨機數(shù)r用公鑰加密得到FS(r)→x,再進行h1詢問以及簽名算法得到簽名s。β隨機選擇qi,對List2進行查詢得到記錄(IDRi,?Ri),首先查看替換標識,檢查公鑰是否被替換,未被替換則進行h2詢問以及加密算法,得到密文Wi與用戶組標識;否則進行公鑰替換詢問與公鑰詢問,并將該記錄存入表List2,若表List2中已經(jīng)存在了相應(yīng)記錄則說明模擬簽密失敗。由β返回給攻擊者α1簽密文。模擬簽密失敗的概率為

    解簽密詢問。輸入簽密文σ,發(fā)送方以及接收者身份IDS、IDR。首先提取出對應(yīng)接收者的簽密文(s,Wi,,ci,x),若該接收者屬于目標用戶組,則β知道該接收者的私鑰,便可進行解密算法求出明文;否則需要查看List1中是否有該簽名s以及密文iW的記錄,若沒有相應(yīng)記錄則β拒絕該簽密文。再看表List2,若沒有關(guān)于接收者IDR的用戶標識、公私鑰、替換標識的記錄,β也拒絕該簽密文。當對密文解密時,運用系統(tǒng)私鑰以及接收者私鑰進行解密得到明文m,利用簽名驗證算法與該信息m對簽名s進行驗證,當且僅當簽名驗證成功時,可獲得正確明文m,否則解簽密失敗。一個有效的密文被拒絕的概率為。

    ③挑戰(zhàn)階段。攻擊者α1提供2 個k維的消息1m、m2以及發(fā)送方IDS,且發(fā)送方不在目標用戶身份集合L*中,向β進行詢問。β選擇一個消息mb,其中b∈{0,1},并發(fā)送給目標用戶組。β進行如下操作進而利用CFS 算法產(chǎn)生簽名s*。產(chǎn)生簽名后,由β產(chǎn)生相應(yīng)的密文,具體方法如下:由β進行操作,得到密文,最終的簽密文為

    ④詢問階段。攻擊者α1仍可進行如階段②的詢問,但是不能為接收者向挑戰(zhàn)密文σ*進行詢問。

    ⑤猜測階段。α1輸出1 bit作為猜測。如上所述,若α1猜測成功,那么必須通過h1詢問得到密文,β在List1中隨機選擇一個記錄且包含正確簽名、密文的概率為。最后將β輸出的r,ri作為SD 問題的解。

    根據(jù)以上分析,β成功即攻擊者α1輸出正確比特的概率需要考慮以下幾個因素。首先設(shè)攻擊者α1成功這件事為E,其概率為。設(shè)E1表示挑戰(zhàn)者對目標用戶組中的私鑰進行詢問,E2表示發(fā)送方以及存在一個接收者屬于目標用戶組,若這2 個事件發(fā)生,β自動放棄此次詢問;E3表示挑戰(zhàn)者β在進行h2詢問時,List2中的相應(yīng)記錄出現(xiàn)了碰撞情況,則簽密模擬失敗,其概率為。E4表示一個有效簽名被拒絕,其概率為。E5表示β在表List1中隨機選擇一個記錄且包含了正確元素,其概率為。所以概率為Pr[E ∩ E1∩E2∩E3∩ E4∩E5]。β成功解決SD 問題的優(yōu)勢ε為

    定理1 證畢。

    2)游戲類型2

    定理2在隨機預(yù)言機模型下,假定存在一個IND-CCA2 的攻擊者α2,它能夠以優(yōu)勢贏得定義2 中的游戲,那么就存在一個算法β,它解決SD 問題的優(yōu)勢ε如式(3)所示,其中算法β作為攻擊者α2在游戲中的挑戰(zhàn)者,而α2則作為β的子程序。

    證明在游戲類型2 中,不同于游戲類型1,攻擊者α2可以獲得系統(tǒng)主密鑰信息,但是不能對用戶的公鑰進行替換,對于定理2 的證明與定理1 的證明類似,易得定理2 成立。證畢。

    4.2 不可偽造性

    1)游戲類型1

    定理3在隨機預(yù)言機模型下,假設(shè)存在一個EUF-CMA 的攻擊者α1,它能夠以優(yōu)勢贏得如下定義的游戲(定義3 中的游戲),那么就存在一個算法β,它解決SD 問題的優(yōu)勢υ如式(4)所示,其中算法β作為攻擊者α1在游戲中的挑戰(zhàn)者,而α1則作為β的子程序。

    證明給定一個編碼密碼中的問題實例(HS=MSH0PS,H0),β需要求出MS,PS。

    ①游戲初始化。同4.1 節(jié)中游戲類型1 中的①。

    ②詢問階段。與4.1 節(jié)中游戲類型1 中的②相似,不同之處在于最后的解簽密詢問換為了驗證詢問,具體詢問過程如下。輸入簽密文σ、發(fā)送方身份IDS、接收者身份IDR。首先提取出對應(yīng)接收者的簽密文,若該接收者屬于目標用戶組,則β知道該接收者的私鑰,可以進行解密算法求出明文,否則需要查看List1中是否有該簽名s以及用戶組的記錄,若沒有相應(yīng)記錄則β拒絕該簽密文。若List2中沒有關(guān)于接收者IDR的用戶標識、公私鑰、替換標識的記錄,β也拒絕該簽密文。當對密文解密時,運用系統(tǒng)私鑰以及接收者私鑰進行解密得到明文m,利用簽名驗證算法與該信息m對簽名s進行驗證。一個有效的密文被拒絕的概率為。

    ③偽造階段。攻擊者α1輸出偽造的簽密文,其中發(fā)送方IDS是屬于目標身份用戶組L*的,接收者IDRi中至少有一個是屬于L*的。

    通過上述的分析可知,若攻擊者α1偽造簽密文成功,需要通過h2詢問得到發(fā)送方IDS的私鑰MS,PS,β需要在List2中隨機選擇一個記錄且包含了正確元素MS,PS,概率為。將正確記錄中的MS,PS作 為β對問題實例(HS=MSH0PS,H0)的求解。設(shè)攻擊者α1偽造的簽名σ*通過驗證這件事為 E,其概率為。設(shè)E1表示挑戰(zhàn)者對目標用戶組中的私鑰進行詢問,設(shè)E2表示發(fā)送方以及存在一個接收者屬于目標用戶組中,若這2 個事件發(fā)生β會自動放棄此次詢問。設(shè)E3表示挑戰(zhàn)者β在進行h2詢問時,List2中的相應(yīng)記錄出現(xiàn)了碰撞情況,則簽密模擬失敗,其概率為。設(shè)E4表示一個有效簽名被拒絕,其概率為。設(shè)E5表示β在表List1中隨機選擇一個記錄且包含了正確元素,其概率為。所以概率為Pr[E ∩ E1∩ E2∩ E3∩ E4∩E5]。β解決SD 問題的優(yōu)勢υ為

    證畢。

    2)游戲類型2

    定理4在隨機預(yù)言機模型下,假設(shè)存在一個EUF-CMA 的攻擊者α2,它能夠以優(yōu)勢贏得如下定義的游戲(定義4 中的游戲),那么就存在一個算法β,它解決SD 問題的優(yōu)勢υ如式(5)所示,其中算法β作為攻擊者α2在游戲中的挑戰(zhàn)者,而α2則作為β的子程序。

    證明在游戲類型2 中,不同于游戲類型1,攻擊者α2可以獲得系統(tǒng)主密鑰信息,但是不能對用戶的公鑰進行替換,對于定理4 的證明與定理3 的證明類似,易得定理4 成立。證畢。

    5 效率分析

    5.1 加密方案效率

    本文的多接收方簽密方案以及廣義簽密方案是在3.1 節(jié)中提出的多次加密McEliece 方案基礎(chǔ)上進行構(gòu)造的。由3.1 的加密方案可以看出,該方案采用的是 QC-LDPC 碼,該碼相比于Goppa 碼等其他碼字存儲起來消耗更少的空間,且具有更高的傳信率。另一方面,雖然該方案進行了多次加密,但是采用同一個碼字產(chǎn)生的同一個公鑰,解密也采用該碼字產(chǎn)生的同一個私鑰,因此多次加密的McEliece 方案能夠保持與采用QC-LDPC 碼的普通McEliece 方案同樣的密鑰存儲量,且能夠滿足更高的安全需求。具體比較如表1 所示。

    由表1 可以看出,采用Goppa 碼的McEliece方案所選用的Goppa 碼維度相比(QC-LDPC)-M 以及多次加密的McEliece 方案小許多,盡管如此,采用Goppa 碼的McEliece 方案的公鑰量為67 072 B,相比另外兩者6 048 B 的公鑰量還是大了許多,而且能夠加密的明文量僅為524 bit,相比另外兩者的12 096 bit 少了許多。通過公鑰量一欄還可以看出,多次加密的McEliece 方案雖然采用多次加密的方法降低對譯碼錯誤的影響,從而具有了更高的安全性,但是與普通的采用QC-LPDC 碼的McEliece 方案的密鑰量相同,正如之前所述,這是由于多次加解密所采用的密鑰是相同的,因此多次加密的McEliece 方案具有較好的性能。其中b代表多次加密的次數(shù),即產(chǎn)生的密文數(shù)量。

    5.2 多接收方的簽密與廣義簽密方案效率

    3.3 節(jié)與3.4節(jié)的簽密和廣義簽密方案在參數(shù)生成以及系統(tǒng)密鑰和用戶密鑰的生成上是相同的,因此從多接收方的廣義簽密分析方案的密鑰量相等即可。取(16 128,12 096)維的QC-LDPC 碼進行如表2 所示的比較。

    由表2 對比分析可以看出,本文的多接收方廣義簽密方案不僅可以實現(xiàn)簽密功能以及在簽名、加密、簽密方案三者之間的自適應(yīng)轉(zhuǎn)換,而且相比先簽名后加密方案在私鑰量上減少了31 752 KB,這些減少量的存在是由于CFS 簽名方案與多次加密-M方案在置換矩陣P上的共用。先簽名后加密方案與本文廣義簽密方案的密文量都是16 128(b+2)bit,相比直接將二者相加的密文量多了16 128 bit,這是因為還存在使用系統(tǒng)公鑰加密產(chǎn)生的密文x,但這保證了系統(tǒng)用戶以外的用戶無法獲知系統(tǒng)內(nèi)部的信息。通過表2 可以看出,本文多接收方廣義簽密方案具有較好的使用前景。

    表1 方案性能對比

    表2 密鑰量對比

    將本文多接收方的廣義簽密方案與其他多接收方簽密方案進行效率比較,如表3 所示。其中,?代表多接收方用戶數(shù)量。由表3 可以看出,本文的廣義簽密方案相比Li 等[32]方案、朱輝等[33]方案、Selvi 等[25]方案,沒有復(fù)雜的指數(shù)運算以及雙線性對運算,而本文方案多了矩陣運算。指數(shù)運算以及雙線性對運算相比矩陣運算的效率較低,且消耗更多的資源,因此本文方案沒有復(fù)雜的指數(shù)運算以及雙線性對運算,這是提高效率的一大優(yōu)勢,由于是基于編碼密碼進行廣義簽密方案的構(gòu)造,因此能夠抵抗量子計算機攻擊,這也是相比基于傳統(tǒng)公鑰密碼構(gòu)造簽密方案的優(yōu)勢之一。

    表3 簽密方案效率對比

    6 結(jié)束語

    本文提出了能夠滿足IND-CCA2 安全的多次加密McEliece 方案,該加密方案采用QC-LDPC碼進行構(gòu)造且多次加密與解密所采用的都是同一對公私鑰,因此能夠在保證密鑰儲存量合適的前提下達到更高的安全級別。依托多次加密的McEliece 方案與CFS 簽名方案,提出基于編碼的多接收方的簽密方案,進而在該簽密方案的基礎(chǔ)上進行改進提出了基于編碼的多接收方的廣義簽密方案。新的廣義簽密方案在機密性方面滿足IND-CCA 2 安全,在不可偽造性方面滿足EUF-CMA 安全。本文廣義簽密方案在密鑰量以及密文量方面具有一定優(yōu)勢,而且相比基于傳統(tǒng)公鑰密碼的多接收方簽密方案沒有復(fù)雜的雙線性對運算以及指數(shù)運算。最后將該多接收方的廣義簽密與多接收方通信模型相結(jié)合能夠?qū)崿F(xiàn)對不同安全級別用戶的訪問控制,能夠滿足系統(tǒng)的多種安全需求。

    猜你喜歡
    用戶組私鑰公鑰
    比特幣的安全性到底有多高
    文件共享安全管理方案探討
    基于改進ECC 算法的網(wǎng)絡(luò)信息私鑰變換優(yōu)化方法
    一種基于混沌的公鑰加密方案
    一種基于虛擬私鑰的OpenSSL與CSP交互方案
    青云QingCloud發(fā)布資源協(xié)作功能實現(xiàn)資源共享與權(quán)限控制
    電腦與電信(2016年3期)2017-01-18 07:35:44
    HES:一種更小公鑰的同態(tài)加密算法
    SM2橢圓曲線公鑰密碼算法綜述
    ASP.NET中細分新聞類網(wǎng)站的用戶對頁面的操作權(quán)限
    基于格的公鑰加密與證書基加密
    国产精品久久久久久精品电影小说 | or卡值多少钱| 亚洲精品,欧美精品| 亚洲欧美日韩东京热| 国产又色又爽无遮挡免| 国产视频内射| 亚洲婷婷狠狠爱综合网| 噜噜噜噜噜久久久久久91| 草草在线视频免费看| 成人毛片60女人毛片免费| 国产毛片a区久久久久| 国产成人精品一,二区| 国产在视频线在精品| 一级黄片播放器| 18禁动态无遮挡网站| 日韩欧美国产在线观看| 国产淫语在线视频| 一级爰片在线观看| 欧美潮喷喷水| 中文字幕av在线有码专区| 国产精品人妻久久久久久| 熟妇人妻久久中文字幕3abv| 日韩成人伦理影院| 99热精品在线国产| 免费人成在线观看视频色| 亚洲丝袜综合中文字幕| 秋霞伦理黄片| 看片在线看免费视频| 国产午夜精品一二区理论片| 看片在线看免费视频| 小蜜桃在线观看免费完整版高清| 大又大粗又爽又黄少妇毛片口| 在线播放国产精品三级| 午夜福利成人在线免费观看| 亚洲成人久久爱视频| 一级毛片我不卡| 嫩草影院新地址| 嫩草影院精品99| 免费看美女性在线毛片视频| 久久精品久久精品一区二区三区| 黑人高潮一二区| av免费在线看不卡| 91av网一区二区| 日本色播在线视频| 亚洲自拍偷在线| 蜜臀久久99精品久久宅男| 在线观看av片永久免费下载| 亚洲丝袜综合中文字幕| 国产精品麻豆人妻色哟哟久久 | 久久久国产成人免费| 午夜免费激情av| 美女内射精品一级片tv| 一区二区三区乱码不卡18| av卡一久久| 69av精品久久久久久| 最近视频中文字幕2019在线8| 久久精品影院6| 色吧在线观看| 美女国产视频在线观看| 热99在线观看视频| 五月伊人婷婷丁香| 只有这里有精品99| 午夜福利在线观看免费完整高清在| 国内精品一区二区在线观看| 日韩国内少妇激情av| 99久久精品一区二区三区| 亚洲国产精品国产精品| 又爽又黄无遮挡网站| 最近的中文字幕免费完整| 91精品伊人久久大香线蕉| 日本av手机在线免费观看| 亚州av有码| 亚洲综合色惰| 国产精品无大码| 22中文网久久字幕| 美女脱内裤让男人舔精品视频| kizo精华| 国产亚洲精品av在线| 久久精品熟女亚洲av麻豆精品 | 亚洲最大成人手机在线| 99久国产av精品国产电影| 性色avwww在线观看| 一区二区三区四区激情视频| 激情 狠狠 欧美| 婷婷六月久久综合丁香| 久久精品国产自在天天线| 国产 一区精品| 精品人妻偷拍中文字幕| 1000部很黄的大片| 在线天堂最新版资源| 人人妻人人澡人人爽人人夜夜 | 三级毛片av免费| 国产片特级美女逼逼视频| 简卡轻食公司| 最近的中文字幕免费完整| 三级毛片av免费| 人妻少妇偷人精品九色| 欧美3d第一页| 99热全是精品| 极品教师在线视频| 晚上一个人看的免费电影| 国产单亲对白刺激| 国产乱来视频区| 一级av片app| 成人鲁丝片一二三区免费| 亚洲一区高清亚洲精品| 熟女人妻精品中文字幕| 91精品伊人久久大香线蕉| 国内精品宾馆在线| av女优亚洲男人天堂| 国产麻豆成人av免费视频| 老司机福利观看| 亚洲三级黄色毛片| 国产精品人妻久久久久久| 国产精品.久久久| 国产免费福利视频在线观看| 久久久午夜欧美精品| 成人国产麻豆网| 国产一区亚洲一区在线观看| 淫秽高清视频在线观看| 99国产精品一区二区蜜桃av| 亚洲综合精品二区| 少妇人妻精品综合一区二区| a级毛色黄片| 免费看日本二区| 亚洲国产精品久久男人天堂| 亚洲国产精品久久男人天堂| 国产免费又黄又爽又色| 99热这里只有是精品50| 亚洲,欧美,日韩| 美女脱内裤让男人舔精品视频| 亚洲精品自拍成人| 日日啪夜夜撸| 国产伦精品一区二区三区视频9| 麻豆国产97在线/欧美| 亚洲av一区综合| 能在线免费看毛片的网站| 1024手机看黄色片| 青春草国产在线视频| 日本一本二区三区精品| 国产成人精品一,二区| 国产午夜精品一二区理论片| 中文资源天堂在线| 国产黄片美女视频| 看黄色毛片网站| 尾随美女入室| www.av在线官网国产| 欧美区成人在线视频| 国内精品美女久久久久久| 中文字幕av成人在线电影| 深夜a级毛片| 2021天堂中文幕一二区在线观| 深夜a级毛片| 菩萨蛮人人尽说江南好唐韦庄 | 日韩成人av中文字幕在线观看| 超碰av人人做人人爽久久| 国产麻豆成人av免费视频| 99久久精品一区二区三区| 在线a可以看的网站| 91午夜精品亚洲一区二区三区| 边亲边吃奶的免费视频| 国产精品一及| 97在线视频观看| 一区二区三区乱码不卡18| 桃色一区二区三区在线观看| 99热这里只有精品一区| 亚洲在线观看片| 免费看光身美女| 亚洲国产高清在线一区二区三| 日韩精品青青久久久久久| 国产精品av视频在线免费观看| 亚洲av福利一区| 欧美一区二区亚洲| 嫩草影院入口| 能在线免费观看的黄片| 麻豆乱淫一区二区| 99久国产av精品| videos熟女内射| 天堂网av新在线| av在线亚洲专区| 伦理电影大哥的女人| 三级男女做爰猛烈吃奶摸视频| 亚洲精品日韩在线中文字幕| av免费在线看不卡| 亚洲五月天丁香| 中文字幕亚洲精品专区| 久久亚洲国产成人精品v| av在线蜜桃| 少妇被粗大猛烈的视频| 久久久久久伊人网av| 一个人免费在线观看电影| 国产真实乱freesex| 亚洲一区高清亚洲精品| 午夜精品一区二区三区免费看| 欧美日韩国产亚洲二区| 久久精品91蜜桃| 看非洲黑人一级黄片| 深爱激情五月婷婷| 水蜜桃什么品种好| 天堂影院成人在线观看| 免费看光身美女| 国产三级中文精品| 99久久中文字幕三级久久日本| 亚洲国产精品成人综合色| 国产中年淑女户外野战色| 亚洲美女搞黄在线观看| 夜夜爽夜夜爽视频| 国产又色又爽无遮挡免| 国产成人午夜福利电影在线观看| 日本-黄色视频高清免费观看| 日韩中字成人| 亚洲欧洲日产国产| 日本欧美国产在线视频| 乱码一卡2卡4卡精品| 久久鲁丝午夜福利片| 日韩人妻高清精品专区| 婷婷六月久久综合丁香| or卡值多少钱| 能在线免费观看的黄片| 老女人水多毛片| 一级黄色大片毛片| 男女下面进入的视频免费午夜| 亚洲国产欧美人成| 免费搜索国产男女视频| 51国产日韩欧美| 99久久人妻综合| 又黄又爽又刺激的免费视频.| 波多野结衣巨乳人妻| 白带黄色成豆腐渣| 亚洲精品亚洲一区二区| 亚洲综合色惰| 综合色丁香网| 日韩亚洲欧美综合| 国产精品蜜桃在线观看| 国产成人精品一,二区| 搞女人的毛片| 中文亚洲av片在线观看爽| 成人三级黄色视频| 国产成人免费观看mmmm| 超碰av人人做人人爽久久| 一区二区三区乱码不卡18| 成年免费大片在线观看| videos熟女内射| 久久亚洲国产成人精品v| 99视频精品全部免费 在线| 日日啪夜夜撸| 亚洲精品乱久久久久久| 亚洲最大成人av| 好男人视频免费观看在线| 非洲黑人性xxxx精品又粗又长| 内地一区二区视频在线| 可以在线观看毛片的网站| 天天一区二区日本电影三级| 九草在线视频观看| 亚洲最大成人中文| 国产精品一区二区性色av| 亚洲成人精品中文字幕电影| 亚洲精品日韩av片在线观看| 色吧在线观看| 国产黄色小视频在线观看| 国产老妇伦熟女老妇高清| 国产色爽女视频免费观看| 中文字幕av在线有码专区| 精品国产露脸久久av麻豆 | 欧美另类亚洲清纯唯美| 一级毛片aaaaaa免费看小| 亚洲经典国产精华液单| av在线观看视频网站免费| 七月丁香在线播放| 天美传媒精品一区二区| 91久久精品国产一区二区成人| 又爽又黄无遮挡网站| 亚洲人成网站高清观看| 久久久久国产网址| ponron亚洲| 久久久久久伊人网av| 在线观看美女被高潮喷水网站| 国产淫片久久久久久久久| 99久久成人亚洲精品观看| 高清视频免费观看一区二区 | www.av在线官网国产| 久久精品人妻少妇| 又粗又硬又长又爽又黄的视频| 观看美女的网站| 最近手机中文字幕大全| 性插视频无遮挡在线免费观看| 国内精品宾馆在线| 亚洲欧美清纯卡通| 精品99又大又爽又粗少妇毛片| 免费av观看视频| 一级毛片aaaaaa免费看小| 伦理电影大哥的女人| 免费看a级黄色片| 亚洲熟妇中文字幕五十中出| 美女cb高潮喷水在线观看| 中文字幕免费在线视频6| 亚洲,欧美,日韩| 国产乱人视频| 国产成年人精品一区二区| 一个人观看的视频www高清免费观看| 麻豆成人午夜福利视频| av线在线观看网站| 在线播放无遮挡| 永久免费av网站大全| 国产精品国产三级国产av玫瑰| 一个人观看的视频www高清免费观看| 成年免费大片在线观看| 成人综合一区亚洲| 三级经典国产精品| 国产午夜精品久久久久久一区二区三区| 久久精品综合一区二区三区| 亚洲四区av| 99久久成人亚洲精品观看| 久久久久国产网址| 亚洲欧美精品专区久久| АⅤ资源中文在线天堂| 91精品伊人久久大香线蕉| 久热久热在线精品观看| 久久亚洲国产成人精品v| 22中文网久久字幕| 久久精品影院6| 久久久国产成人免费| 看黄色毛片网站| 亚洲精品日韩在线中文字幕| 成年女人永久免费观看视频| 午夜福利视频1000在线观看| 国产av一区在线观看免费| 精品酒店卫生间| 亚洲自拍偷在线| 欧美一区二区亚洲| 国产麻豆成人av免费视频| 精品国内亚洲2022精品成人| 高清午夜精品一区二区三区| 亚洲伊人久久精品综合 | 国产单亲对白刺激| 高清视频免费观看一区二区 | 日本与韩国留学比较| 美女黄网站色视频| 亚洲人与动物交配视频| kizo精华| www日本黄色视频网| av卡一久久| 国产在视频线在精品| 国产av码专区亚洲av| 亚洲av男天堂| 国语对白做爰xxxⅹ性视频网站| 国产大屁股一区二区在线视频| 最近中文字幕2019免费版| 精品国产三级普通话版| 91精品伊人久久大香线蕉| 久久久久久久国产电影| 天天一区二区日本电影三级| 久久国产乱子免费精品| 国产黄片视频在线免费观看| 99热全是精品| av天堂中文字幕网| 一边亲一边摸免费视频| 乱系列少妇在线播放| 亚洲久久久久久中文字幕| av福利片在线观看| 菩萨蛮人人尽说江南好唐韦庄 | 麻豆精品久久久久久蜜桃| 天堂av国产一区二区熟女人妻| 日韩欧美 国产精品| 少妇的逼好多水| 国产人妻一区二区三区在| 一级毛片aaaaaa免费看小| 亚洲av二区三区四区| 七月丁香在线播放| 1024手机看黄色片| 亚洲丝袜综合中文字幕| 午夜福利高清视频| 男女边吃奶边做爰视频| av女优亚洲男人天堂| 国产免费又黄又爽又色| 91久久精品电影网| 性色avwww在线观看| 亚洲国产成人一精品久久久| www.av在线官网国产| eeuss影院久久| 一级毛片久久久久久久久女| 又爽又黄无遮挡网站| 国产毛片a区久久久久| 国产精品久久久久久精品电影| 性色avwww在线观看| 国产成人精品一,二区| 边亲边吃奶的免费视频| or卡值多少钱| 嘟嘟电影网在线观看| 看免费成人av毛片| 日本wwww免费看| 久久久久网色| av天堂中文字幕网| 日韩三级伦理在线观看| 久久国内精品自在自线图片| 亚洲丝袜综合中文字幕| 亚洲精品,欧美精品| 六月丁香七月| 亚洲在线观看片| 男人舔奶头视频| 观看美女的网站| 高清毛片免费看| 国产极品精品免费视频能看的| 国产亚洲最大av| 99久国产av精品| 欧美区成人在线视频| 亚洲国产欧洲综合997久久,| 最近2019中文字幕mv第一页| 高清视频免费观看一区二区 | 国内精品美女久久久久久| 国产精品三级大全| 色视频www国产| 波野结衣二区三区在线| 国产国拍精品亚洲av在线观看| 51国产日韩欧美| 内射极品少妇av片p| 国产成人91sexporn| 亚洲国产精品成人久久小说| 久久久久免费精品人妻一区二区| 日本午夜av视频| 亚洲va在线va天堂va国产| 欧美变态另类bdsm刘玥| 免费观看a级毛片全部| 国产精品熟女久久久久浪| 搞女人的毛片| 欧美精品国产亚洲| 欧美成人精品欧美一级黄| av在线蜜桃| 69av精品久久久久久| 免费一级毛片在线播放高清视频| 少妇丰满av| 乱系列少妇在线播放| 一个人看的www免费观看视频| 男女国产视频网站| av黄色大香蕉| 国产午夜精品久久久久久一区二区三区| 亚洲欧美清纯卡通| 内射极品少妇av片p| 变态另类丝袜制服| 欧美另类亚洲清纯唯美| ponron亚洲| 男女视频在线观看网站免费| a级一级毛片免费在线观看| 久久精品久久久久久噜噜老黄 | 不卡视频在线观看欧美| 高清日韩中文字幕在线| 国产麻豆成人av免费视频| 久久鲁丝午夜福利片| 长腿黑丝高跟| 午夜精品国产一区二区电影 | 国产视频首页在线观看| 99久久人妻综合| 国产午夜精品久久久久久一区二区三区| 男插女下体视频免费在线播放| 99热精品在线国产| 免费观看a级毛片全部| 久久午夜福利片| 亚洲性久久影院| 又粗又硬又长又爽又黄的视频| 好男人在线观看高清免费视频| 欧美日韩国产亚洲二区| 我的女老师完整版在线观看| 久久久久性生活片| 99视频精品全部免费 在线| 最近中文字幕高清免费大全6| 精品久久久噜噜| eeuss影院久久| 亚洲人与动物交配视频| .国产精品久久| 我要看日韩黄色一级片| 国产又黄又爽又无遮挡在线| 亚洲精品乱久久久久久| 搡老妇女老女人老熟妇| 天堂网av新在线| 美女大奶头视频| 1024手机看黄色片| 岛国毛片在线播放| 成人特级av手机在线观看| 久久精品国产亚洲av天美| 亚洲精品aⅴ在线观看| 岛国在线免费视频观看| 51国产日韩欧美| 国产亚洲精品av在线| av免费在线看不卡| 成人鲁丝片一二三区免费| 成年女人看的毛片在线观看| 视频中文字幕在线观看| 免费观看精品视频网站| 久久久久精品久久久久真实原创| 久99久视频精品免费| 伦理电影大哥的女人| 丰满乱子伦码专区| 久久久久久久久久久丰满| 日本五十路高清| 国产亚洲av嫩草精品影院| 人妻制服诱惑在线中文字幕| 精品久久久久久久久av| 中文字幕制服av| 国产免费一级a男人的天堂| 99国产精品一区二区蜜桃av| 美女被艹到高潮喷水动态| 久久久久久久久中文| 菩萨蛮人人尽说江南好唐韦庄 | 亚洲国产精品久久男人天堂| 亚洲精品乱码久久久久久按摩| 最后的刺客免费高清国语| 免费av观看视频| 亚洲精品色激情综合| 免费黄网站久久成人精品| 久久久久久九九精品二区国产| 欧美xxxx黑人xx丫x性爽| 内射极品少妇av片p| 久久久精品94久久精品| 亚洲在线观看片| 黑人高潮一二区| 亚洲国产精品国产精品| 国内揄拍国产精品人妻在线| 中文字幕亚洲精品专区| 亚洲精品日韩av片在线观看| 午夜福利成人在线免费观看| 蜜臀久久99精品久久宅男| 国产亚洲av嫩草精品影院| 色网站视频免费| 天天躁日日操中文字幕| 久久鲁丝午夜福利片| or卡值多少钱| av专区在线播放| 亚洲av福利一区| 国产大屁股一区二区在线视频| 国产三级中文精品| 免费观看的影片在线观看| 黄色日韩在线| av视频在线观看入口| 内射极品少妇av片p| 国产黄片视频在线免费观看| 欧美+日韩+精品| 青春草亚洲视频在线观看| 91精品一卡2卡3卡4卡| 国产视频首页在线观看| 欧美高清成人免费视频www| 精品午夜福利在线看| 国产免费又黄又爽又色| 长腿黑丝高跟| 成人一区二区视频在线观看| 国产亚洲91精品色在线| 国产成人精品一,二区| 国产一区亚洲一区在线观看| 久久久久久久亚洲中文字幕| 久久久久久久久大av| 亚洲久久久久久中文字幕| 日韩欧美精品v在线| 成年免费大片在线观看| 自拍偷自拍亚洲精品老妇| 麻豆乱淫一区二区| 免费看a级黄色片| 成人鲁丝片一二三区免费| 亚洲欧美精品专区久久| 干丝袜人妻中文字幕| 日韩欧美精品v在线| 一级av片app| 亚洲精品成人久久久久久| 女的被弄到高潮叫床怎么办| 男人舔女人下体高潮全视频| 老司机福利观看| 免费观看a级毛片全部| 亚洲国产成人一精品久久久| 看非洲黑人一级黄片| 国产久久久一区二区三区| 色综合亚洲欧美另类图片| av在线老鸭窝| 国产成人精品婷婷| 国产探花在线观看一区二区| 男女国产视频网站| kizo精华| 一夜夜www| 欧美日韩综合久久久久久| 亚洲国产最新在线播放| 美女脱内裤让男人舔精品视频| 性色avwww在线观看| 在线天堂最新版资源| videossex国产| 人体艺术视频欧美日本| 国产亚洲av嫩草精品影院| 最新中文字幕久久久久| 成人亚洲精品av一区二区| 男人舔女人下体高潮全视频| 蜜桃久久精品国产亚洲av| 午夜a级毛片| 国产精品永久免费网站| 色吧在线观看| 国产色婷婷99| 中文字幕熟女人妻在线| 日本熟妇午夜| 一级毛片我不卡| 久久热精品热| 欧美成人精品欧美一级黄| 亚洲av成人精品一二三区| 亚洲天堂国产精品一区在线| 亚洲精品色激情综合| 午夜免费男女啪啪视频观看| 日韩成人av中文字幕在线观看| h日本视频在线播放| 国产精品嫩草影院av在线观看| 亚洲精品日韩在线中文字幕| 免费看日本二区| 99久久精品热视频| 久久人妻av系列| a级毛片免费高清观看在线播放| 色5月婷婷丁香| 99久久无色码亚洲精品果冻| 亚洲中文字幕日韩| 国产麻豆成人av免费视频| 精华霜和精华液先用哪个| 精品99又大又爽又粗少妇毛片| 爱豆传媒免费全集在线观看|