張玉磊，張靈剛，張永潔，王 歡，王彩芬

(1.西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，甘肅蘭州 730070； 2.甘肅衛(wèi)生職業(yè)學(xué)院，甘肅蘭州 730000)

?

匿名CLPKC-TPKI異構(gòu)簽密方案

張玉磊1，張靈剛1，張永潔2，王 歡1，王彩芬1

(1.西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，甘肅蘭州 730070； 2.甘肅衛(wèi)生職業(yè)學(xué)院，甘肅蘭州 730000)

異構(gòu)簽密可以保證不同公鑰密碼系統(tǒng)之間數(shù)據(jù)傳輸?shù)臋C(jī)密性和不可偽造性.本文定義了從無證書公鑰密碼環(huán)境到傳統(tǒng)公鑰密碼環(huán)境(CLPKC→TPKI)異構(gòu)簽密方案的形式化模型，并利用雙線性對提出了一個(gè)CLPKC→TPKI異構(gòu)簽密方案.在隨機(jī)預(yù)言模型下，基于計(jì)算Diffie-Hellman和修改逆計(jì)算Diffie-Hellman困難假設(shè)，證明方案滿足內(nèi)部安全的機(jī)密性和不可偽造性.同時(shí)，方案滿足密文匿名性，可以有效地保護(hù)收發(fā)雙方的身份隱私.方案使用不同的密碼系統(tǒng)參數(shù)，更接近于實(shí)際應(yīng)用環(huán)境.與已有異構(gòu)簽密方案相比，方案的效率較高，適合于收發(fā)雙方身份保密和帶寬受限的應(yīng)用需求.

異構(gòu)簽密；無證書公鑰密碼；密文匿名；計(jì)算Diffie-Hellman困難問題；修改逆計(jì)算Diffie-Hellman困難問題

1 引言

簽密[1]能夠同時(shí)保證機(jī)密性和認(rèn)證性，提高“單獨(dú)實(shí)現(xiàn)加密和簽名”的計(jì)算效率，在車聯(lián)網(wǎng)等環(huán)境中有一定的應(yīng)用[2,3].現(xiàn)有的大多數(shù)簽密方案都是基于同一種公鑰密碼，即發(fā)送者和接收者的公鑰密碼環(huán)境相同.隨著大數(shù)據(jù)、云計(jì)算等應(yīng)用的展開，跨平臺應(yīng)用及操作將越來越廣泛.為了保證異構(gòu)(不同)密碼環(huán)境中消息傳輸?shù)臋C(jī)密性和認(rèn)證性，有必要研究異構(gòu)簽密[4～7]問題.

2010年，Sun等[4]首次提出異構(gòu)簽密問題并構(gòu)造了從傳統(tǒng)公鑰密碼到身份公鑰密碼(Identity-based Public Key Cryptography,IDPKC)[8]的異構(gòu)簽密方案(TPKI→ IDPKC型).2011年，Huang等[5]構(gòu)造了IDPKC→TPKI型異構(gòu)簽密方案.2013年，F(xiàn)u等[6]擴(kuò)展Sun等人的研究工作，構(gòu)造了一個(gè)IDPKC→TPKI多接收者異構(gòu)簽密方案.同年，Li等[7]提出了新的IDPKC→TPKI型和TPKI→IDPKC型異構(gòu)簽密方案.已有異構(gòu)簽密方案中，IDPKC環(huán)境和TPKI環(huán)境使用了相同的系統(tǒng)參數(shù)，即不同的公鑰密碼環(huán)境未使用不同的系統(tǒng)參數(shù).

為了隱藏發(fā)送方和接收方的身份信息，簽密方案需要滿足密文匿名性.2004年，Libert等[9]基于短簽名[10]思想提出了滿足密文匿名性的簽密方案.2005年Yang等[11]指出Libert方案不滿足機(jī)密性和密文匿名性，并提出了改進(jìn)方案，但是該改進(jìn)方案也不滿足密文匿名性.2010年，Li等[12]改進(jìn)了Yang方案，提出了滿足密文匿名性的簽密方案.

本文定義了從無證書公鑰密碼(Certificateless Public Key Cryptography,CLPKC)[13]到傳統(tǒng)公鑰密碼PKI(CLPKC→TPKI)異構(gòu)簽密方案的形式化定義和安全模型，并基于文獻(xiàn)[12]提出了滿足密文匿名性的CLPKC→TPKI異構(gòu)簽密方案.方案具有以下幾個(gè)特點(diǎn)：

(1)在隨機(jī)預(yù)言模型下，基于計(jì)算Diffie-Hellman(Computational Diffie-Hellman,CDH)困難問題和修改逆計(jì)算Diffie-Hellman(modification Inverse Computational Diffie-Hellman,mICDH)困難問題，證明該方案滿足簽密內(nèi)部安全模型[14]下的機(jī)密性和不可偽造性：即使發(fā)送者的私鑰泄露，攻擊者也不能從密文中恢復(fù)明文；接收者的私鑰泄露，攻擊者也不能偽造密文.

(2)滿足密文匿名性.攻擊者無法從密文中獲得發(fā)送方和接收方的身份信息，可以有效地保護(hù)收發(fā)雙方的身份隱私.

(3)方案只需要2個(gè)雙線性運(yùn)算，減少了雙線性對運(yùn)算個(gè)數(shù).

(4)方案設(shè)計(jì)了互不相同的密碼系統(tǒng)參數(shù)，更接近于實(shí)際應(yīng)用環(huán)境.

2 CLPKC→TPKI異構(gòu)簽密方案定義

CLPKC→TPKI異構(gòu)簽密需要同時(shí)考慮CLPKC和TPKI環(huán)境，因此，CLPKC→TPKI異構(gòu)簽密方案必須考慮兩種密碼環(huán)境的建立、密鑰生成、CLPKC環(huán)境的簽密和TPKI環(huán)境的解簽密等過程.CLPKC→TPKI異構(gòu)簽密方案一般包括以下算法.

(1)CLPKC系統(tǒng)建立算法.該算法由CLPKC系統(tǒng)的KGC運(yùn)行.輸入安全參數(shù)l，輸出系統(tǒng)主密鑰s(KGC的私鑰)、系統(tǒng)密鑰Ppub(KGC的公鑰)和系統(tǒng)參數(shù)Params1.KGC公開Ppub和Params1，保密s.

(2)TPKI系統(tǒng)建立及密鑰生成算法.PKI系統(tǒng)中的CA生成并發(fā)布系統(tǒng)參數(shù)Params2.用戶產(chǎn)生公/私鑰對pki/ski，CA對用戶的公鑰進(jìn)行簽名并輸出用戶的證書.

(3)CLPKC部分私鑰生成算法.該算法由KGC運(yùn)行.輸入用戶身份IDi、系統(tǒng)參數(shù)Params1和主密鑰s，輸出用戶的部分私鑰Di.

(4)CLPKC密鑰生成算法.用戶選擇秘密值xi，輸入身份IDi和系統(tǒng)參數(shù)Params1，輸出用戶的完整私鑰Si=(Di,xi)和公鑰Pi.

(5)簽密算法：輸入接收者的公鑰pkr，消息m、發(fā)送者私鑰Ss、系統(tǒng)參數(shù)Params1及Params2，輸出密文σ.

(6)解簽密算法：輸入密文σ、接收者私鑰skr、系統(tǒng)參數(shù)Params1及Params2，輸出消息m或者符號“⊥”.其中，符號“⊥”表示密文不合法.

以上算法必須滿足一致性約束條件：如果σ= Signcrypt(m,Ss,pkr)，則m=Unsigncrypt(σ,Ps,skr)成立.

3 CLPKC→TPKI異構(gòu)簽密方案安全模型

3.1 不可偽造性 CLPKC→TPKI

異構(gòu)簽密方案的不可偽造性主要考慮無證書密碼環(huán)境中的兩類攻擊者AI和AII[13,15].AI表現(xiàn)為一般用戶，它利用選定的公鑰替換用戶原有的公鑰實(shí)現(xiàn)公鑰替換攻擊；AII表現(xiàn)為密鑰生成中心KGC，它可以計(jì)算用戶的部分私鑰實(shí)現(xiàn)KGC攻擊.

游戲1 假定F為挑戰(zhàn)者，CLPKC→TPKI異構(gòu)簽密方案針對攻擊者AI的適應(yīng)性選擇消息和身份的攻擊游戲由以下三個(gè)階段組成.

初始階段：F運(yùn)行“CLPKC系統(tǒng)建立算法”產(chǎn)生系統(tǒng)參數(shù)Params1；F運(yùn)行“TPKI系統(tǒng)建立及密鑰生成算法”獲得系統(tǒng)參數(shù)Params2和接收者公/私鑰對(pkr,skr)，發(fā)送Params1、Params2和(pkr,skr)給AI.

攻擊階段：F與AI模擬過程中，能夠?qū)σ韵骂A(yù)言機(jī)進(jìn)行多項(xiàng)式有界次適應(yīng)性詢問.

(1)部分私鑰詢問：AI提交用戶身份IDi，F(xiàn)運(yùn)行“CLPKC部分私鑰生成算法”，獲得對應(yīng)的部分私鑰Di并返回給AI.

(2)秘密值詢問：AI提交用戶身份IDi，F(xiàn)運(yùn)行“CLPKC密鑰生成算法”獲得IDi對應(yīng)的秘密值xi并返回給AI.如果用戶IDi的公鑰已經(jīng)被替換，那么讓F回答這樣的詢問是不合理的.

CCOS技術(shù)發(fā)展過程中最具代表性的事件是其在哈勃空間望遠(yuǎn)鏡(圖2)修復(fù)過程中的應(yīng)用。當(dāng)哈勃空間望遠(yuǎn)鏡進(jìn)入太空使用時(shí)，發(fā)現(xiàn)其非球面主鏡有2 μm的面形誤差，這一瑕疵就造成了原先設(shè)計(jì)為140億光年的觀測距離直接縮短為40億光年。在1994年，由Tinsley公司和Itek、Easterm-Kodak等公司通力合作，應(yīng)用CCOS技術(shù)加工出了哈勃望遠(yuǎn)鏡主鏡的誤差校正鏡，對太空中哈勃望遠(yuǎn)鏡進(jìn)行了修復(fù)工作[22-23]。經(jīng)過修復(fù)的哈勃望遠(yuǎn)鏡觀測距離達(dá)到了120億光年，至今該誤差校正鏡的制造仍能代表該領(lǐng)域頂尖水平。

(3)公鑰詢問：AI輸入身份IDi，F(xiàn)運(yùn)行“CLPKC密鑰生成算法”，獲得IDi對應(yīng)的公鑰Pi并返回給AI.

(5)簽密詢問：AI提交發(fā)送者身份IDi、公鑰Pi、接收者公鑰pkr和消息mi，F(xiàn)調(diào)用“CLPKC密鑰生成算法”獲得IDi的私鑰Si，運(yùn)行“簽密算法”并返回密文σ=Signcrypt(mi,Si,pkr)給AI.該詢問中，本文采用的是弱無證書簽密詢問[15]，即如果攻擊者替換了用戶的公鑰，那么要求攻擊者提供公鑰對應(yīng)的秘密值.

偽造階段：AI提交消息m*、發(fā)送者身份IDA及公鑰PA、接收者公鑰pkr及密文σ*，如果以下三個(gè)條件成立，則AI贏得該游戲：①σ*對于PA和pkr是一個(gè)合法的密文，“解簽密算法”執(zhí)行后不會輸出符號“⊥”.②AI沒有提交過對IDA的“部分私鑰詢問”.③AI沒有執(zhí)行對(IDA,m*,pkr)的“簽密詢問”.

定義1 如果沒有任何多項(xiàng)式有界攻擊者AI在t時(shí)間內(nèi)，經(jīng)過以上詢問以不可忽略的優(yōu)勢贏得游戲1，那么稱該CLPKC→TPKI異構(gòu)簽密方案在適應(yīng)性選擇消息和身份攻擊下對于AI攻擊安全.

游戲2 假定F為挑戰(zhàn)者，CLPKC→TPKI異構(gòu)簽密方案針對攻擊者AII的適應(yīng)性選擇消息和身份的攻擊游戲由以下三個(gè)階段組成.

初始階段：F運(yùn)行“CLPKC系統(tǒng)建立算法”產(chǎn)生系統(tǒng)參數(shù)Params1和主秘鑰s；運(yùn)行“TPKI系統(tǒng)建立及密鑰生成算法”獲得系統(tǒng)參數(shù)Params2和接收者公/私鑰對(pkr,skr)，發(fā)送Params1、Params2、s和(pkr,skr)給AII.

攻擊階段：F與AII模擬過程中，能夠?qū)σ韵骂A(yù)言機(jī)進(jìn)行多項(xiàng)式有界次地適應(yīng)性詢問.

(1)秘密值詢問和公鑰詢問與游戲2相同.由于AII持有系統(tǒng)主密鑰，因此，不考慮部分私鑰詢問，同時(shí)不允許AII進(jìn)行公鑰替換詢問.

(2)簽密詢問：AII提交發(fā)送者身份IDi及公鑰Pi、接收者公鑰pkr和消息mi，F(xiàn)調(diào)用“CLPKC密鑰生成算法”獲得IDi的私鑰Si，運(yùn)行“簽密算法”并返回密文σ給AII.

偽造階段：AII提交消息m*、發(fā)送者身份IDA及公鑰PA、接收者公鑰pkr及對應(yīng)的密文σ*，如果以下三個(gè)條件成立，則AII贏得上述游戲：①σ*對于PA和pkB是一個(gè)合法的密文，即“解簽密算法”執(zhí)行后不會輸出符號“⊥”.②AII沒有提交過對IDA的“秘密值詢問”.③AII沒有執(zhí)行對(IDA,m*,pkr)的“簽密詢問”.

定義2 如果沒有任何多項(xiàng)式有界攻擊者AII在t時(shí)間內(nèi)，經(jīng)過以上詢問以不可忽略的優(yōu)勢贏得游戲2，那么稱該CLPKC→TPKI異構(gòu)簽密方案在適應(yīng)性選擇消息和身份攻擊下對于AII攻擊安全.

注意：游戲1和游戲2允許攻擊者可以獲得接收者的私鑰，這樣可以確保方案滿足不可偽造性的內(nèi)部安全性，即使接收者的私鑰泄漏，攻擊者也不能偽造一個(gè)有效的密文.

定義3 如果存在敵手AI和AII以不可忽略的概率在游戲1和游戲2中獲勝，則該方案在適應(yīng)性選擇消息和身份攻擊下具有存在不可偽造性.

3.2 機(jī)密性CLPKC→TPKI

異構(gòu)簽密方案的機(jī)密性主要考慮普通攻擊者，包括CLPKC和TPKI環(huán)境中的任意攻擊者.

游戲3 CLPKC→TPKI異構(gòu)簽密方案的適應(yīng)性選擇密文攻擊游戲由以下五個(gè)階段組成，該游戲在攻擊者A和挑戰(zhàn)者F之間進(jìn)行.

初始階段：F運(yùn)行“CLPKC系統(tǒng)建立算法”，產(chǎn)生系統(tǒng)參數(shù)Params1和主密鑰s；F運(yùn)行“TPKI建立及密鑰生成算法”產(chǎn)生系統(tǒng)參數(shù)Params2和接收者的公/私鑰對pkr/skr.F發(fā)送參數(shù)Params1、Params2、主密鑰s和接收者的公鑰pkr給A.

階段1：F與A模擬過程中，A能夠?qū)灻茴A(yù)言機(jī)和解簽密預(yù)言機(jī)進(jìn)行多項(xiàng)式有界次適應(yīng)性詢問.

簽密詢問：A提交消息m、發(fā)送者私鑰Si及接收者公鑰pkr，調(diào)用“簽密算法”生成并返回密文σ=(C,V)給A.

解簽密詢問：A提交發(fā)送者公鑰Pi和密文σ給F，F(xiàn)輸入接收者私鑰skr，運(yùn)行“解簽密算法”并將結(jié)果返回給A.

挑戰(zhàn)階段：A決定何時(shí)結(jié)束“階段1”并進(jìn)入“挑戰(zhàn)階段”.A選擇兩個(gè)長度相同的消息m0和m1、發(fā)送者身份IDi、接收者公鑰pkr作為挑戰(zhàn)信息并發(fā)送給F.F首先調(diào)用“CLPKC密鑰生成算法”獲得發(fā)送者的私鑰Ss，然后隨機(jī)選擇b∈{0,1}，對mb執(zhí)行“簽密算法”獲得密文σ*=Signcrypt(mb,Ss,pkr)，最后發(fā)送σ*給A作為挑戰(zhàn)密文.

階段2：A可以像“階段1”對以上預(yù)言機(jī)進(jìn)行多項(xiàng)式有界次適應(yīng)性詢問，F(xiàn)同樣按照“階段1”那樣給出反饋.但是，A不能提交關(guān)于σ*的解簽密詢問.

注意：游戲3允許攻擊者能夠獲得CLPKC環(huán)境中用戶的完整私鑰，這樣，可以確保方案滿足機(jī)密性的內(nèi)部安全性，即使發(fā)送者私鑰泄漏，攻擊者也不能從密文中恢復(fù)出原始消息.

定義4 如果沒有任何多項(xiàng)式有界攻擊者在t時(shí)間內(nèi)，經(jīng)過以上詢問以不可忽略的優(yōu)勢贏得游戲3，那么稱這個(gè)CLPKC→TPKI異構(gòu)簽密方案在適應(yīng)性選擇密文攻擊下具有密文不可區(qū)分性.

3.3 密文匿名性

游戲4 CLPKC→TPKI異構(gòu)簽密方案的密文匿名性游戲由以下五個(gè)階段組成，攻擊者A和挑戰(zhàn)者F之間進(jìn)行以下游戲.

初始階段：F運(yùn)行“TPKI系統(tǒng)建立及密鑰生成算法”生成兩個(gè)公/私鑰對(pkr,0,skr,0)和(pkr,1,skr,1)作為密文接收者，并將公鑰pkr,0和pkr,1發(fā)送給A.F運(yùn)行“CLPKC部分私鑰生成算法”和“CLPKC密鑰生成算法”生成兩個(gè)公/私鑰對(Ps,0,Ss,0)和(Ps,1,Ss,1)作為密文發(fā)送者，并將私鑰Ss,0和Ss,1發(fā)送給A.注意：A可以是任意攻擊者.

階段1：F與A模擬過程中，A能夠執(zhí)行多項(xiàng)式有界次的簽密和解簽密詢問.簽密詢問時(shí)，A提交一個(gè)接收者的公鑰pkw和消息m給F.如果pkw≠pkr,c，則F運(yùn)行“簽密算法”返回密文σ=Signcrypt(m,Ss,c′,pkw)，其中c∈{0,1}，c′∈{0,1}；如果pkw=pkr,c，返回錯(cuò)誤符號“⊥”.解簽密詢問時(shí)，攻擊者A提交一個(gè)密文σ給挑戰(zhàn)者F獲得Unsigncrypt(σ,Ps,c′,skr,c)的結(jié)果.

挑戰(zhàn)階段：A決定何時(shí)結(jié)束“階段1”并進(jìn)入“挑戰(zhàn)階段”.A選擇消息m及發(fā)送者的私鑰Ss,0和Ss,1.F選擇c,c′∈{0,1}并計(jì)算σ*=Signcrypt(m,Ss,c′,pkr,c)，發(fā)送σ*給A作為挑戰(zhàn)密文.

階段2：A可以像“階段1”一樣進(jìn)行多項(xiàng)式有界次適應(yīng)性詢問.但是，不能提交對σ*的解簽密詢問.

定義5 如果沒有任何多項(xiàng)式有界攻擊者以不可忽略的優(yōu)勢贏得游戲4，則該CLPKC→TPKI異構(gòu)簽密方案在適應(yīng)性選擇密文攻擊下具有密文匿名性.

限于篇幅，本文略去方案中用到的數(shù)學(xué)基礎(chǔ)知識內(nèi)容，例如CDH困難問題和mICDH困難問題等.

4 具體CLPKC→TPKI異構(gòu)簽密方案

CLPKC→TPKI異構(gòu)簽密方案的算法如下.

(1)TPKI系統(tǒng)建立及密鑰生成算法.設(shè)k2為TPKI系統(tǒng)安全參數(shù)，q2為k2比特的大素?cái)?shù)，定義階均為q2的群GT1和乘法群GT2,生成元P2∈GT1，l2表示GT1元素長度，定義雙線性映射e′:GT1×GT1→GT2.發(fā)布系統(tǒng)參數(shù)Params2={GT1,GT2,q2,P2,e′}.用戶產(chǎn)生公/私鑰對pki/ski，其中，pki=xiP2.CA生成并發(fā)布用戶公鑰證書.

(2)CLPKC系統(tǒng)建立算法.設(shè)k1為CLPKC系統(tǒng)安全參數(shù)，q1為k1比特的大素?cái)?shù)，定義階均為q1的加法群G1和乘法群G2，生成元P1∈G1，l1表示G1元素長度，雙線性映射e:G1×G1→G2.KGC定義哈希函數(shù)

(3)CLPKC部分私鑰生成算法.用戶提交身份IDi，KGC計(jì)算Qi=H1(IDi)和Di=sQi，發(fā)送Di給用戶.

(5)簽密算法.發(fā)送者獲得接收者的公鑰證書(包含公鑰pkB=xBPz)后，執(zhí)行以下過程.

②計(jì)算T=r2pkB，h=H3(m,U,PA,V,pkB,T)和W=(r1+h)SA.

③計(jì)算C=(m‖IDA‖PA‖W‖U)⊕H4(V,pkB,T)，得到消息m的密文σ=(C,V).

(6)解簽密算法：接收者收到密文σ=(C,V)后，執(zhí)行以下過程.

①計(jì)算T′=xBV，恢復(fù)包含消息m的比特串(m‖IDA‖PA‖W‖U)=C⊕H4(V,pkB,T′).

②計(jì)算yA=H2(PA)，h=H3(m,U,PA,V,pkB,T′)和QA=H1(IDA).

5 安全性分析及效率對比

5.1 不可偽造性

定理1 隨機(jī)預(yù)言模型下，假設(shè)CDH問題和mICDH問題困難，則CLPKC→TPKI異構(gòu)簽密方案在適應(yīng)性選擇消息和身份攻擊下存在性不可偽造，即適應(yīng)性選擇消息和身份攻擊對于AI和AII安全.

引理1 隨機(jī)預(yù)言模型下，如果存在一個(gè)攻擊者AI能夠以ε優(yōu)勢攻破CLPKC→TPKI異構(gòu)簽密方案的AI類安全性，那么存在一個(gè)算法F能夠以

的優(yōu)勢解決CDH困難問題，其中qpr、qs、qH1和qH3分別表示部分私鑰詢問、簽密詢問、H1詢問和H3詢問的最大次數(shù).

證明AI是攻擊者，F(xiàn)是CDH問題挑戰(zhàn)者.F給定一個(gè)CDH問題實(shí)例(P1,aP1,bP1)，F(xiàn)的目標(biāo)是使用AI解決CDH問題，即計(jì)算abP1.

初始階段：F運(yùn)行“CLPKC系統(tǒng)建立”算法，產(chǎn)生系統(tǒng)參數(shù)Params1，設(shè)Ppub=aP1.F運(yùn)行“TPKI系統(tǒng)建立及密鑰生成算法”獲得系統(tǒng)參數(shù)Params2和接收者公鑰/私鑰對(pkr,skr).F發(fā)送Params1、Params2、挑戰(zhàn)身份ID*和接收者公鑰/私鑰對(pkr,skr)給AI.

攻擊階段：F與AI模擬過程中，F(xiàn)維護(hù)列表L1～L4、L=(IDi,xi,Pi,c)和L′=(IDi,Di)保存H1～H4預(yù)言機(jī)詢問、公鑰詢問、秘密值詢問和部分私鑰詢問過程中產(chǎn)生的數(shù)據(jù)，所有列表初始為空.AI能夠?qū)σ韵骂A(yù)言機(jī)進(jìn)行多項(xiàng)式有界次地適應(yīng)性詢問.

H4詢問：F保持列表L4=(Vi,pkr,Ti,ωi)，AI詢問H4預(yù)言機(jī)，首先檢查L4中是否存在元組(Vi,pkr,xrVi).若存在相應(yīng)項(xiàng)，則直接返回結(jié)果ωi；否則隨機(jī)選擇ωi∈{0,1}lm+lid+3l1，返回ωi給AI，并且將(Vi,pkr,xrVi,ωi)增加到表L4.

秘密值詢問：F保持列表L=(IDi,xi,Pi,c)，AI輸入身份IDi，若列表L中存在元組(IDi,xi,Pi,c)并且c=1，則直接返回xi；若列表L中存在元組但c=0，則用戶的公鑰已被替換，終止該詢問并返回.若列表L中不存在元組，F(xiàn)執(zhí)行“公鑰詢問”獲得并返回xi.

部分私鑰詢問：F保持列表L′=(IDi,Di)，AI輸入身份IDi，然后執(zhí)行以下過程：①若IDi=ID*，則F失敗并終止.②若IDi≠ID*，并且若列表L′中存在對應(yīng)部分私鑰信息，則直接返回；否則，F(xiàn)檢查表L1獲得ti值，計(jì)算Di=tiaP1，返回Di給AI并將(IDi,Di)增加到表L′.

簽密詢問：AI提交發(fā)送者身份IDs、接收者公鑰pkr和消息m，執(zhí)行以下過程：

(II)若IDs=ID*，F(xiàn)調(diào)用“TPKI系統(tǒng)建立及密鑰生成”算法獲得接收者的公/私鑰對(pkr=xrP2,xr).F從L1和L2中獲得(IDi,Qi,ti)和(IDi,xi,Pi,c)，然后執(zhí)行以下過程：

偽造階段：AI輸出消息m、發(fā)送者身份IDs及公鑰Ps、接收者公鑰/私鑰(pkr,skr=xr)和密文σ*=(C*,V*)：

①若IDs≠ID*則F失敗終止，F(xiàn)不能解決CDH困難問題.②若IDs=ID*，根據(jù)分叉引理[16]，F(xiàn)選擇不同的哈希函數(shù)H3獲得h′，并再次利用AI獲得另一個(gè)有效的密文σ′=(C′,V′)，其中h′≠h，則有以下等式成立：

(m‖IDs‖Ps‖W‖U)=C*⊕H3(V*,pkr,xrV*)

和

e(W,Ps+ysP1)=e(U+hQs,Ppub)

及

(m‖IDs‖Ps‖W′‖U)=C′⊕H3(V′,pkr,xrV′)

和

e(W′,Ps+ysP1)=e(U+h′Qs,Ppub)

并且，

h=H3(m,U,Ps,V*,pkr,xrV*)，

h′=H3(m,U,Ps,V′,pkr,xrV′).

則有以下等式成立：

e(W-W′,Ps+ysP1)=e(hQs-h′Qs,Ppub)，

e((xs+ys)(W-W′),P1)=e((h-h′)abP1,P1).

獲得CDH問題的一個(gè)解：

定義E1為“部分私鑰詢問過程未終止”事件，E2為“簽密詢問過程未終止”事件，E3為“成功偽造一個(gè)合法密文”事件，E4為“E3發(fā)生的條件下，存在IDs=ID*，分叉引理使用成功，得到CDH困難問題的一個(gè)解”事件.如果以上事件都發(fā)生，則F成功解決CDH問題，其優(yōu)勢可定義為：

Pr[E1∧E2∧E3∧E4]=Pr[E1]Pr[E2|E1]Pr[E3|E2∧E1]

對于部分私鑰詢問，若IDi=ID*則終止，容易計(jì)算部分私鑰詢問未終止的概率為(1-1/qH1)，則Pr[E1]≥(1-1/qH1)qpr.

對于簽密詢問，若H3(m,U,Pi,V,pkr,xrV,h)的值已經(jīng)存在，那么F將終止，則H3值不存在的概率為(1-qs/2poly(k1))，則Pr[E2|E1]≥(1-qs/2poly(k1))qH3.

又因?yàn)镻r[E3|E2∧E1]=ε，則

Pr[E1∧E2∧E3∧E4]

其中qpr、qs、qH1和qH3分別表示部分私鑰詢問、簽密詢問、H1哈希詢問和H3哈希詢問的最大次數(shù).

引理2 隨機(jī)預(yù)言模型下，如果存在一個(gè)攻擊者AII能夠以ε的優(yōu)勢攻破CLPKC→TPKI異構(gòu)簽密方案的AII類安全性，那么存在一個(gè)算法F能夠以

的優(yōu)勢解決mICDH困難問題，其中qsv、qs和qH3分別表示秘密值詢問、簽密詢問和H3詢問的最大次數(shù).

證明AII是攻擊者，F(xiàn)是mICDH問題挑戰(zhàn)者.F給定一個(gè)mICDH問題實(shí)例(P1,aP1,b)，F(xiàn)的目標(biāo)是使用AII解決mICDH問題，即計(jì)算(a+b)-1P1.

攻擊階段：F與AII模擬過程中，F(xiàn)維護(hù)列表L1～L4、L=(IDi,xi,Pi)和L′=(IDi,Di)，保存H1～H4詢問、公鑰詢問、秘密值詢問過程中產(chǎn)生的數(shù)據(jù)，所有列表初始為空.AII能夠?qū)σ韵骂A(yù)言機(jī)進(jìn)行多項(xiàng)式有界次地適應(yīng)性詢問.

H3詢問、H4詢問：與引理1證明過程中H3詢問和H4詢問過程相同.

秘密值詢問：AII輸入身份IDi，F(xiàn)檢查表L是否存在身份IDi.若存在則F返回xi，否則執(zhí)行過程：①若IDi=ID*，則β≠⊥′且xi=⊥，F(xiàn)失敗并終止.②若IDi≠ID*，則β=⊥′且xi≠⊥，F(xiàn)返回xi.

簽密詢問：AII提交發(fā)送者的身份IDs、接收者公鑰pkr和消息m，執(zhí)行以下過程：

偽造階段：AII輸出消息m、發(fā)送者的身份IDs、發(fā)送者公鑰Ps、接收者公鑰/私鑰對(pkr,skr)和密文σ*=(C*,V*)：①若IDs≠ID*則F失敗終止，不能解決mICDH困難問題.②若IDs=ID*，根據(jù)分叉引理[16]，F(xiàn)選擇不同的哈希函數(shù)H3獲得h′，并再次利用AII的能力，獲得另一個(gè)有效的密文σ′=(C′,V′)，其中，h′≠h.與引理1相似，有以下等式成立：

e(W-W′,Ps+ysP1)=e(hQs-h′Qs,Ppub)

e(W-W′,βaP1+βbP1)=e((h-h′)stsP1,P1)

因此，可以獲得mICDH問題的一個(gè)解：

與引理1相似，F(xiàn)成功解決mICDH問題的優(yōu)勢為

其中qsv、qs和qH3分別表示秘密值詢問、簽密詢問和H3詢問的最大詢問次數(shù).

5.2 機(jī)密性

定理2 隨機(jī)預(yù)言模型下，如果存在一個(gè)攻擊者A能夠以ε的優(yōu)勢攻破CLPKC→TPKI異構(gòu)簽密方案，那么存在算法F能夠以2ε(1-qu/2poly (k2))的優(yōu)勢解決CDH困難問題，其中qu表示解簽密最大詢問次數(shù)，k2為TPKI系統(tǒng)安全參數(shù).

5.3 密文匿名性

由于定理2和定理3的證明過程與文獻(xiàn)[12]相似，限于文獻(xiàn)篇幅，略去它們的證明過程.

5.4 效率分析

公開文獻(xiàn)顯示當(dāng)前沒有CLPKC-TPKI異構(gòu)簽密方案，因此，無法與同類CLPKC→TPKI異構(gòu)簽密方案進(jìn)行效率比較.文獻(xiàn)[7]的IDPKC→TPKI異構(gòu)簽密方案是當(dāng)前效率最高的異構(gòu)簽密方案，本節(jié)對比兩個(gè)方案的效率.用e表示冪運(yùn)算個(gè)數(shù)，P表示雙線性對運(yùn)算個(gè)數(shù).由表1可知，本文方案的計(jì)算效率優(yōu)于文獻(xiàn)[7]方案.

表1 效率對比

6 小結(jié)

一般而言，簽密方案默認(rèn)發(fā)送方和接收方具有相同的密碼環(huán)境.但是，在許多應(yīng)用中，發(fā)送方和接收方可能處于不同的密碼環(huán)境，即異構(gòu)密碼環(huán)境.本文定義了CLPKC→TPKI異構(gòu)簽密的形式化定義和安全模型，設(shè)計(jì)了一個(gè)CLPKC→TPKI異構(gòu)簽密方案.在隨機(jī)預(yù)言模型下，證明方案能夠滿足簽密的內(nèi)部安全性.方案中CLPKC和TPKI密碼環(huán)境具有互不相同的參數(shù).同時(shí)，方案滿足匿名性，任何人都不能獲得密文收發(fā)雙方的身份信息，該特性可以滿足無線移動匿名接入的要求.

[1]Zheng Y L.Digital signcryption or how to achieve cost (signature & encryption)<

[2]Ma Z,Li F H,Ma J F,et al.CL-TAP:An efficient certificateless based trusted access protocol for WLAN[J].Chinese Journal of Electronics,2014,23(1):142-146.

[3]張宇,陳晶,杜瑞穎,等.適于車載網(wǎng)安全通信的高效簽密方案[J].電子學(xué)報(bào),2015,43(3):512-517.

Zhang Yu,Chen Jing,Du Rui-ying,et al.An efficient signcryption scheme for secure communication of VANET[J].Acta Electronica Sinica,2015,43(3):512-517.(in Chinese)

[4]Sun Y X,Li H.Efficient signcryption between TPKI and IDPKC and its multi-receiver construction[J].Science China Information Sciences,2010,53(3):557-566.

[5]Huang Q,Wong D S,Yang G M.Heterogeneous signcryption with key privacy[J].The Computer Journal,2011,54(4):525-536.

[6]Fu X T,Li X W,Liu W.IDPKC-to-TPKI construction of multi-receiver signcryption[A].Proceedings of the INCoS(5)[C].Xian:IEEE,2013.335-339.

[7]Li F G,Zhang H,Takagi T.Efficient signcryption for heterogeneous systems[J].IEEE Systems Journal,2013,7(3):420-429.

[8]Shamir A.Identity-based cryptosystems and signature schemes[A].Advances in Cryptology[C].Heidelberg:Springer,1985.47-53.

[9]Libert B,Quisquater J.Efficient signcryption with key privacy from gap Diffie-Hellman groups[A].Advances in Public Key Cryptography-PKC[C].Berlin,Springer,2004.187-200.

[10]Boneh D,Lynn B,Shacham H.Short signatures from the Weil pairing[A].Advances in Cryptology-Asiacrypt[C].Berlin:Springer,2001.514-532.

[11]Yang G M,Wong D S,Deng X T.Analysis and improvement of a signcryption scheme with key privacy[A].Advances in Public Key Cryptography-PKC[C].Berlin,Springer,2005.218-232.

[12]Li C K,Yang G M,Wong D S,et al.An efficient signcryption scheme with key privacy and its extension to ring signcryption[J].Journal of Computer Security,2010,18(3):451-473.

[13]Al-Riyami S,Paterson K.Certificateless public key cryptography[A].Advances in the Cryptology-Asiacrypt[C].Berlin:Springer,2003.452-474.

[14]An J H,Dodis Y,Rabin T.On the security of joint signature and encryption[A].Advance in Cryptography-EUROCRYPT[C].Berlin,Springer,2002.83-107.

[15]Barbosa M,Farshim P.Certificateless signcryption[A] Proceedings of the ACM Symposium on Information,Computer and Communications Security (ASIACCS)[C].Tokyo:ACM,2008.69-372.

[16]Pointcheval D,Jacques S.Security proofs for signature schemes[A].Advances in Cryptology-Eurocrypt[C].Berlin:Springer,1996.387-398.

張玉磊 男，1979年出生于甘肅靖遠(yuǎn)，博士，西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院副教授，碩士生導(dǎo)師.研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、密碼學(xué)、安全協(xié)議分析與設(shè)計(jì).

E-mail:zhangyl@nwnu.edu.cn

張靈剛 男，1990年出生于甘肅省靈臺縣，西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院碩士生.研究方向?yàn)榫W(wǎng)絡(luò)與信息安全.

E-mail:linggang01@126.com

張永潔(通信作者) 女，1978年出生于甘肅武都，碩士，甘肅衛(wèi)生職業(yè)學(xué)院副教授.研究方向?yàn)榫W(wǎng)絡(luò)與信息安全.

E-mail:zyjie78@163.com

王 歡 女，1991年出生于河北省棗強(qiáng)縣，西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院碩士生研究生.研究方向?yàn)榫W(wǎng)絡(luò)與信息安全.

E-mail:1530749678@qq.com

CLPKC-to-TPKI Heterogeneous Signcryption Scheme with Anonymity

ZHANG Yu-lei1,ZHANG Ling-gang1,ZHANG Yong-jie2,WANG Huan1,Wang Cai-fen1

(1.CollegeofComputerScienceandEngineering,NorthwestNormalUniversity,Lanzhou,Gansu730070,China;2.GansuHealthVocationalCollege,Lanzhou,Gansu730000,China)

Heterogeneous signcryption,a cryptographic primitive,can simultaneously provide the confidentiality and unforgeability of data transmission between different public key cryptography.The paper gives the definition and security models of CLPKC-to-TPKI heterogeneous signcryption scheme between CLPKC (Certificateless Public Key Cryptography) and TPKI (Traditional Public Key Infrastructure),and presents a construction by using the bilinear pairing.In the random oracle model,based on the assumptions of Computational Diffie-Hellman and modifying Inverse Computational Diffie-Hellman,the scheme is proved to satisfy the confidentiality and unforgeability of the insider security.Moreover,it satisfies the properties of ciphertext anonymity which can efficiently protect the privacies of sender and receiver.Owing to the independence and difference of the system parameters in CLPKC and TPKI,the scheme is more suitable in the practical environments.Furthermore,the analysis of efficiency shows that,comparing to the existing heterogeneous signcryption schemes,the scheme is more efficient,so it is suitable for the requirements of identity hiding and constrained bandwidth.

heterogeneous signcryption;certificateless public key cryptography;ciphertext anonymity;computational Diffie-Hellman problem (CDH);modification inverse computational Diffie-Hellman problem(mICDH)

2015-06-17；

2015-12-23；責(zé)任編輯：孫瑤

國家自然科學(xué)基金(No.61163038，No.61262056，No.61262057)；甘肅省高等學(xué)?？蒲许?xiàng)目(No.2015B-220，No.2013A-014)；西北師范大學(xué)青年教師科研能力提升計(jì)劃項(xiàng)目(No.NWNU-LKQN-12-32)

TP309

A

0372-2112 (2016)10-2432-08

??學(xué)報(bào)URL:http://www.ejournal.org.cn

10.3969/j.issn.0372-2112.2016.10.022