田紀(jì)軍

(中國移動通信集團(tuán)湖北有限公司　武漢　430048)

?

電信網(wǎng)中基于無證書聚合簽密方案的設(shè)計*

田紀(jì)軍

(中國移動通信集團(tuán)湖北有限公司武漢430048)

電信網(wǎng)是一個復(fù)雜的多域環(huán)境,它為電信企業(yè)的信息交換與業(yè)務(wù)協(xié)作帶來便捷的同時,也帶來了潛在的安全隱患。由于電信網(wǎng)絡(luò)系統(tǒng)的不斷增加,導(dǎo)致在電信網(wǎng)中存在用戶數(shù)目眾多、來源廣泛,為基礎(chǔ)電信企業(yè)的信息傳遞的機(jī)密性和認(rèn)證性帶來了巨大的困難。為此,論文提出了一個無證書聚合簽密方案。在隨機(jī)預(yù)言模型下,基于BDH和CDH困難問題假定,證明論文方案滿足機(jī)密性和不可偽造性。與已有的相關(guān)無證書聚合簽密方案對比,論文方案在聚合驗證時,計算效率較高且與簽名者個數(shù)無關(guān)。安全與性能分析表明,該方案是安全高效的,適合在電信網(wǎng)中運用。

電信網(wǎng); 無證書簽密; 聚合簽密; 隨機(jī)預(yù)言模型; BDH; CDH

Class NumberTP393.08

1　引言

隨著電信網(wǎng)絡(luò)規(guī)模日益增大,網(wǎng)絡(luò)系統(tǒng)不斷增加,電信企業(yè)間的信息交換與業(yè)務(wù)協(xié)作程度也越來越頻繁,帶來便捷的同時,也帶來了潛在的安全隱患[1]。尤其是基礎(chǔ)電信企業(yè)的信息傳遞,不僅在電信網(wǎng)外部存在大量的黑客攻擊,同時在電信網(wǎng)內(nèi)部也存在內(nèi)部惡意人員利用其掌握的系統(tǒng)操作權(quán)限破壞電信系統(tǒng)或者謀取不正當(dāng)收益的行為,因此,十分有必要加強信息傳遞的機(jī)密性和認(rèn)證性。

在2003年,AI-Riyami和Paterson[2]提出了無證書公鑰密碼體制(Certificateless Public Key Cryptography,CL-PKC)。由于無證書公鑰密碼體制成功解決了傳統(tǒng)公鑰密碼體制的證書管理和維護(hù)問題,也避免了基于身份的密碼體制的密鑰托管問題。因此,無證書公鑰密碼體制自誕生起,就受到工業(yè)界和學(xué)術(shù)界的廣泛關(guān)注,并取得了大量的優(yōu)秀成果,如：無證書簽名方案[3～9]；無證書簽密方案[10～11]；無證書密鑰協(xié)商方案[7,12～13]以及無證書加密方案[14～16]。

由于簽密可以同時完成簽名和加密的步驟,能夠確保消息的機(jī)密性和認(rèn)證性,其效果好于傳統(tǒng)的“先簽名后加密”的方法。因此,自1997年,Zheng[17]第一次提出了簽密的概念,并給出了一個簽密方案。在2002年,Baek等[18]第一次給出了簽密方案的安全模型,并對Zheng[17]的方案進(jìn)行了嚴(yán)格的安全證明。在2008年,Barbosa等[19]第一次提出了無證書簽密的概念,并給出了一個無證書簽密(Certificateless Signcryption,CLSC)方案。隨后,學(xué)術(shù)界提出了大量的無證書簽密方案[10,20～22]。

在2003年,Boneh等[23]首次提出了聚合簽名的概念,其基本思想是：n個不同簽名者分別對n個不同的消息Mi進(jìn)行簽名,得到n個不同的簽名σi,簽名驗證者可以通過將n個不同的簽名σi壓縮成一個簽名σ來進(jìn)行簽名驗證。如果簽名σ通過了驗證等式,則表示n個不同的簽名σi有效；否則,則表示n個不同的簽名σi無效?？梢钥匆?通過聚合簽名技術(shù),可以大大減少簽名驗證者的計算工作量,同時也減少了簽名的存儲空間和通信開銷,從而提高了簽名驗證和網(wǎng)絡(luò)傳輸?shù)男省?/p>

在2011年,Lu等[24]結(jié)合無證書簽名和聚合簽名的優(yōu)點,首次提出了無證書聚合簽密(Certificateless Aggregate Signcryption,CLASC)方案。隨后,在2013年,Jiang等[25]和張雪楓[26]等分別提出了一個無證書聚合簽密方案；在2014年,Eslami等[27]也提出了一個無證書聚合簽密方案。但是,分析表明上述四個方案[24～27]的聚合驗證效率較低。

為了進(jìn)一步提高無證書聚合簽密方案的驗證效率,且Eslami等[27]方案需要使用同步信息,本文在Eslami等[27]的方案基礎(chǔ)上進(jìn)行改進(jìn),為此移除了同步信息的限制,從而提出一種新的無證書聚合簽密方案。與Eslami等[27]方案相比,本文的簽密方案不再需要同步信息,且方案在聚合驗證時,計算效率較高且與簽名者個數(shù)無關(guān)。另外,本文的簽密方案是在隨機(jī)預(yù)言模型下,基于BDH和CDH困難問題假定,證明本文方案滿足機(jī)密性和不可偽造性。

2　基礎(chǔ)知識

2.1雙線性對

令G1和G2分別是q階素數(shù)的加法循環(huán)群和乘法循環(huán)群,且P是群G1的生成元。如果e滿足如下三個性質(zhì),則稱映射e:G1×G1→G2是一個雙線性對：

2.2雙線性Diffie-Hellman(BDH)問題

2.3計算性Diffie-Hellman問題

3　無證書聚合簽密方案的形式化定

義和安全模型

3.1無證書聚合簽密方案的形式化定義

定義1一個無證書聚合簽密方案包括一個密鑰生成中心(Key Generation Center,KGC)、n個不同的簽名者ID1,ID2,…,IDn、一個簽密聚合者、一個聚合簽密驗證者,以及簽密接收者IDR。整個方案是由以下七個算法：系統(tǒng)參數(shù)設(shè)置算法、部分私鑰生成算法、簽名者密鑰生成算法、簽密生成算法、聚合簽密生成算法、聚合簽密驗證算法以及聚合解簽密算法來共同組成,其具體算法描述如下：

· 系統(tǒng)參數(shù)設(shè)置算法：該算法由KGC執(zhí)行。KGC輸入系統(tǒng)安全參數(shù)k,輸出系統(tǒng)主密鑰s和系統(tǒng)公開參數(shù)params。

· 部分私鑰生成算法：該算法由KGC執(zhí)行。KGC輸入簽密者的身份IDi、系統(tǒng)公開參數(shù)params和系統(tǒng)主密鑰s,輸出簽名者的部分私鑰pskIDi。

· 簽名者密鑰生成算法：該算法由簽密者IDi執(zhí)行。簽密者IDi輸入系統(tǒng)公開參數(shù)params,輸出簽密者IDi的公鑰pkIDi和私鑰skIDi。

· 簽密生成算法：該算法由簽密者IDi執(zhí)行。簽密者IDi輸入系統(tǒng)公開參數(shù)params、私鑰skIDi、消息Mi,以及簽密接收者IDR的身份IDR和公鑰pkIDR,輸出簽密者IDi對消息Mi的簽密密文ci。

· 聚合簽密生成算法：該算法由聚合簽密者執(zhí)行。聚合簽密者輸入n個不同簽名者IDi對n個不同消息Mi的簽密密文ci,輸出聚合密文c。

· 聚合簽密驗證算法：該算法由聚合簽密驗證者執(zhí)行。聚合簽密驗證者輸入n個不同簽名者IDi的身份IDi以及對應(yīng)的公鑰pki,簽密接收者IDR的身份IDR以及對應(yīng)的公鑰pkR,驗證聚合密文c的正確性。如果聚合密文c通過了聚合簽密驗證等式,則輸出true；否則,輸出flash。

· 聚合解簽密算法：該算法由簽密接收者IDR執(zhí)行。簽密接收者IDR輸入n個不同簽名者IDi的身份IDi以及對應(yīng)的公鑰pki,簽密接收者IDR的身份IDR以及對應(yīng)的私鑰pkR,以及聚合密文c,輸出n個不同消息Mi。

3.2無證書聚合簽密方案的安全模型

由于本文方案是在Eslami等[27]方案基礎(chǔ)上,去除了同步信息的限制,來進(jìn)行改進(jìn)的。所以,本文方案也是利用游戲 1和游戲 2來刻畫無證書聚合簽密方案的安全模型。

本文方案定義了兩類敵手AI和AII。第一類敵手AI是一個外部實體,它不知道系統(tǒng)的主密鑰s,但是可以進(jìn)行公鑰替換。第二類敵手AII是一個內(nèi)部實體,它知道系統(tǒng)的主密鑰s,但是不可以進(jìn)行公鑰替換。

由于篇幅限制,可以具體參考Eslami等人[27]定義的游戲 1和游戲 2。

定義2如果不存在多項式時間t內(nèi),兩類敵手AI和AII能以不可忽略的概率優(yōu)勢贏得游戲 1和游戲 2,則稱該無證書聚合簽密方案在適應(yīng)性選擇密文攻擊下具有密文不可區(qū)分性。

定義3如果不存在多項式時間t內(nèi),兩類敵手AI和AII能以不可忽略的概率優(yōu)勢贏得游戲 1和游戲 2,則稱該無證書聚合簽密方案在適應(yīng)性選擇消息攻擊下是存在性不可偽造的。

4　無證書聚合簽密方案

4.1方案描述

定義4一個無證書聚合簽密方案包括一個密鑰生成中心(Key Generation Center,簡稱KGC)、n個不同的簽名者ID1,ID2,…,IDn、一個簽密聚合者、一個聚合簽密驗證者,以及簽密接收者IDR。整個方案是由以下7個算法：系統(tǒng)參數(shù)設(shè)置算法、部分私鑰生成算法、簽名者密鑰生成算法、簽密生成算法、聚合簽密生成算法、聚合簽密驗證算法以及聚合解簽密算法來共同組成,其具體算法描述如下：

系統(tǒng)參數(shù)設(shè)置算法：該算法由KGC執(zhí)行。給定系統(tǒng)安全參數(shù)k,KGC執(zhí)行以下步驟：

1) KGC定義階為素數(shù)q的加法循環(huán)群G1和乘法循環(huán)群G2,p是群G1的生成元,e:G1×G1→G2是一個可計算的雙線性映射。

2) KGC選擇三個哈希函數(shù)：H1:{0,1}*→G1,H2:{0,1}*→{0,1}lm,H3:{0,1}*→G1,H4:{0,1}*→G1。其中：lm表示消息Mi的比特長度。

部分私鑰生成算法：該算法由KGC執(zhí)行。KGC計算Qi=H1(IDi),pskIDi=s·Qi；并通過秘密安全信道傳遞給簽密者IDi。

簽密生成算法：該算法由簽密者IDi執(zhí)行。簽密者IDi執(zhí)行以下步驟：

2) 簽密者IDi計算Hi=H2(IDR,pkR,Ri)∈{0,1}lm,δi=Hi⊕Mi。

3) 簽密者IDi計算Wi=H3(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1,

Ti=H4(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1,

Si=pskIDi+skIDi·Wi+ri·Ti。

4) 簽密者IDi輸出簽密密文ci=(Ri,δi,Si)。

聚合簽密驗證算法：該算法由聚合簽密驗證者執(zhí)行。聚合簽密驗證者輸入n個不同簽名者IDi的身份IDi以及對應(yīng)的公鑰pki,簽密接收者IDR的身份IDR以及對應(yīng)的公鑰pkR,驗證聚合密文c的正確性。其具體的步驟如下：

1) 聚合簽密驗證者計算Wi=H3(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1,Ti=H4(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1。

2) 聚合簽密驗證者驗證等式是否成立：

(1)

如果聚合密文c通過了聚合簽密驗證等式,則輸出true；否則,輸出flase。

聚合解簽密算法：該算法由簽密接收者IDR執(zhí)行。簽密接收者IDR輸入n個不同簽名者IDi的身份IDi以及對應(yīng)的公鑰pki,簽密接收者IDR的身份IDR以及對應(yīng)的私鑰pkR,以及聚合密文c。其具體的步驟如下：

1) 簽密接收者IDR計算Hi=H2(IDR,pkR,Ri)∈{0,1}lm。

2) 簽密接收者IDR計算Mi=Hi⊕δi。

4.2方案的正確性

定理1本文無證書聚合簽密方案是正確的。

證明：本文無證書聚合簽密方案是正確的。當(dāng)且僅當(dāng),所用的參數(shù)是按照本文所給出的算法正確計算出。其驗證聚合簽密密文c的正確性如下：

(2)

4.3方案的安全性分析

由于本文方案是在Eslami等[27]方案基礎(chǔ)上,去除了同步信息的限制,來進(jìn)行改進(jìn)的,其安全模型也同于Eslami等[27]方案的安全模型,所以限于篇幅問題,故此省略。本文的安全性滿足：機(jī)密性、不可偽造性以及公開驗證性。

4.4方案比較

對比方案[24～27],由于本文方案去除了同步信息的限制,故其效率較高。

5　結(jié)語

本文方案是在是在Eslami等[27]方案基礎(chǔ)上,去除了同步信息的限制,來進(jìn)行改進(jìn)的,其安全性滿足機(jī)密性、不可偽造性以及公開驗證性。本文方案實現(xiàn)了簽密信息的聚合傳輸和批驗證的功能,并在在隨機(jī)預(yù)言模型下,基于BDH和CDH困難問題假定,證明本文方案滿足機(jī)密性和不可偽造性。與已有的相關(guān)無證書聚合簽密方案對比,本文方案在聚合驗證時,計算效率較高且與簽名者個數(shù)無關(guān)。安全與性能分析表明,該方案是安全高效的,適合在電信網(wǎng)中運用。

[1] 王保義,王藍(lán)婧.電力信息系統(tǒng)中基于屬性的訪問控制模型的設(shè)計[J].電力系統(tǒng)自動化,2007,31(7):81-84.

WANG Baoyi, WANG Lanjing. Design of Attribute based Access Control Model for Power Information Systems[J]. Automation of Electric Power Systems,2007,31(7):81-84.

[2] AL-RIYAMI S S,PATERSON K G. Certificateless public key cryptography[C]// Certificateless public key cryptography. Advances in Cryptology-ASIACRYPT 2003. Springer Berlin Heidelberg:452-473.

[3] TSO R, YI X, HUANG X. Efficient and short certificateless signatures secure against realistic adversaries[J]. The Journal of Supercomputing,2011,55(2):173-191.

[4] CHOI K Y, PARK J H, LEE D H. A new provably secure certificateless short signature scheme[J]. Computers & Mathematics with Applications,2011,61(7):1760-1768.

[5] HE D, CHEN J, ZHANG R. An efficient and provably-secure certificateless signature scheme without bilinear pairings[J]. International Journal of Communication Systems,2012,25(11):1432-1442.

[6] YU Y T, MU Y, WANG G, et al. Improved certificateless signature scheme provably secure in the standard model[J]. Iet Information Security,2012,6(2):102-110.

[7] HE D, CHEN J, HU J. A pairing-free certificateless authenticated key agreement protocol[J]. International Journal of Communication Systems,2012,25(2):221-230.

[8] HE D, CHEN Y, CHEN J. An efficient certificateless proxy signature scheme without pairing[J]. Mathematical and Computer Modelling,2013,57(9-10):2510-2518.

[9] HE D, HUANG B, CHEN J. New certificateless short signature scheme[J]. Iet Information Security,2013,7(2):113-117.

[10] ZHOU C, ZHOU W, DONG X. Provable certificateless generalized signcryption scheme[J]. Designs, codes and cryptography,2014,1(2):331-346.

[11] LIU W-H, XU C-X. Certificateless signcryption scheme without bilinear pairing[J]. Ruanjian Xuebao/Journal of Software,2011,22(8):1918-1926.

[12] HE D, CHEN Y, CHEN J, et al. A new two-round certificateless authenticated key agreement protocol without bilinear pairings[J]. Mathematical and Computer Modelling,2011,54(11):3143-3152.

[13] HE D, PADHYE S, CHEN J. An efficient certificateless two-party authenticated key agreement protocol[J]. Computers & Mathematics with Applications,2012,64(6):1914-1926.

[14] BAEK J, SAFAVI-NAINI R, SUSILO W. Certificateless public key encryption without pairing[C]//Certificateless public key encryption without pairing. 8th Information Security Conference,ISC2005. Springer Berlin Heidelberg:134-148.

[15] SUN Y,ZHANG F,BAEK J. Strongly secure certificateless public key encryption without pairing[M]. Cryptology and Network Security. City: Springer Berlin Heidelberg,2007:194-208.

[16] LAI J, KOU W, CHEN K. Self-generated-certificate public key encryption without pairing and its application[J]. Information Sciences,2011,181(11):2422-2435.

[17] ZHENG Y. Digital signcryption or how to achieve cost (signature & encryption) cost (signature)+ cost (encryption)[C]//Digital signcryption or how to achieve cost (signature & encryption) cost (signature)+ cost (encryption). Advances in Cryptology—CRYPTO’97. Springer Berlin Heidelberg:165-179.

[18] BAEK J, STEINFELD R, ZHENG Y. Formal proofs for the security of signcryption[C]//Formal proofs for the security of signcryption. Public Key Cryptography 2002. Springer Berlin Heidelberg:80-98.

[19] BARBOSA M,FARSHIM P. Certificateless signcryption[C]//Certificateless signcryption. Proceedings of the 2008 ACM symposium on Information, computer and communications security. 369-372.

[20] WENG J, YAO G, DENG R H, et al. Cryptanalysis of a certificateless signcryption scheme in the standard model[J]. Information Sciences,2011,181(3):661-667.

[21] SHI W, KUMAR N, GONG P, et al. Cryptanalysis and improvement of a certificateless signcryption scheme without bilinear pairing[J]. Frontiers of Computer Science,2014,8(4):656-666.

[22] 張玉磊,王歡,李臣意,等.可證安全的緊致無證書聚合簽密方案[J]. 電子與信息學(xué)報,2015,37(12):2838-2844.

ZHANG Yulei, WANG Huan, Li Chenyi, et al. Provable Secure and Compact Certificateless Aggregate Signcryption Scheme[J]. Journal of Electronics & Information Technology,2015,37(12):2838-2844.

[23] BONEH D, GENTRY C, LYNN B, et al. Aggregate and verifiably encrypted signatures from bilinear maps[C]//Aggregate and verifiably encrypted signatures from bilinear maps. Advances in cryptology—EUROCRYPT 2003. Springer Berlin Heidelberg,3027:416-432.

[24] LU H, XIE Q. An efficient certificateless aggregate signcryption scheme from pairings[C]//An efficient certificateless aggregate signcryption scheme from pairings. 2011 International Conference on Electronics, Communications and Control (ICECC),2011:132-135.

[25] JIANG Y, LI J, XIONG A. Certificateless Aggregate Signcryption Scheme for Wireless Sensor Network[J]. International Journal of Advancements in Computing Technology,2013,5(8):456-463.[26] 張雪楓,魏立線,王緒安.無證書的可公開驗證聚合簽密方案[J].計算機(jī)應(yīng)用,2013,33(7):1858-1860.

ZHANG Xufeng, WEI Lixian, WANG Xu’an. Certificateless aggregate signcryption scheme with public verifiability[J]. Journal of Computer Applications,2013,33(7):1858-1860.

[27] ESLAMI Z, PAKNIAT N. Certificateless aggregate signcryption: Security model and a concrete construction secure in the random oracle model[J]. Journal of King Saud University — Computer and Information Sciences,2014,26(3):276-286.

Design of Certificateless Aggregate Signcryption Scheme for Power Information Networks

TIAN Jijun

(China Mobile Group Hubei Company Limited, Wuhan430048)

The power information networks constitutes a complex multi-domain environment. While providing convenient information exchange and coordination to the power industry,it also brings some potential security problems. Due to the increasing of power information network system,there are a large users which brings great difficulties to the confidentiality and authentication of the information transmission. To this end,this paper proposes a certificateless aggregate signcryption scheme. In the random oracle model,based on the bilinear Diffie-Hellman (BDH) and computational Diffie-Hellman (CDH) hard assumption,this scheme is proved that it meets the properties of confidentiality and unforgeability. Compared with the existing certificateless aggregate signcryption schemes,this scheme raise the efficiency of verification,and is not depending on the number of signcryption users. The results of analysis indicate that this scheme is secure,efficient and suitable for use in the power information networks.

power information networks, certificateless signcryption, aggregate signcryption, random oracle model, BDH, CDH

2016年4月17日,

2016年5月26日

山東省自然科學(xué)基金(編號：ZR2014FL012)；山東省網(wǎng)絡(luò)環(huán)境智能計算技術(shù)重點實驗室開放基金資助。

田紀(jì)軍,男,工程師,研究方向：企業(yè)信息安全管理與技術(shù)應(yīng)用。

TP393.08

10.3969/j.issn.1672-9722.2016.10.024