适用于电子认证的高效无证书混合签密方案(下).docx

    适用于电子认证的高效无证书混合签密方案（下）     阶段1：攻击者可以进行如下一系列询问. H1询问：C维护一个列表L1，由元素（IDi，Qi，di）组成，最初该列表为空.当C接收到H1（IDi）询问时，C首先检查列表中是否已存在元素（IDi，Qi，di）.如果是，则返回Qi；否则，按如下步骤进行： 1）如果IDi≠IDα，C从ℤq*中随机选取di，计算Qi=diP，并把（IDi，Qi，di）加入列表L1，然后返回Qi； 2）如果IDi=IDα，则C返回Qi=bP，并把（IDi，Qi，⊥）加入列表L1. 不妨设攻击者在进行其他询问时，总是已进行过相应的H1询问. H2询问：C维护一个列表L2，由元素（R1，R2，R3，K）组成，最初该列表为空.当C接收到H2（R1，R2，R3）询问时，首先检查列表中是否已存在条目（R1，R2，R3，K），如果是，则返回K；否则C从{0，1}λ中随机选取一个元素K作为回答，并把（R1，R2，R3，K）加入L2. H3询问：C维护一个列表L3，由元素（m，h1）组成，最初为空.当C接收到H3（m）询问时，首先检查L3中是否已存在条目（m，h1）.若存在，则返回h1.否则从ℤq*随机选择L3中未出现过的h1，将（m，h1）加入L3并返回h1. H4询问：C维护一个列表L4，由元素（h1，U，h2）组成，最初为空.当C接收到H4（h1，U）询问时，首先检查L4中是否已存在条目（h1，U，h2）.若存在，则返回h2.否则从ℤq*随机选择L4中未出现过的h2，将（h1，U，h2）加入L4并返回h2. 部分私钥询问：C维护一个列表Lp，由元素（IDi，Di）组成，最初该列表为空.当C接收到Extract-Partial-Private-Key（IDi）询问时，如果i=α，则C退出游戏；否则，C从列表L1中查找到（IDi，Qi，di），计算出部分私钥Di=diP0，并把（IDi，Di）加入列表Lp，然后返回Di. 秘密值询问：C保存一个秘密值列表Ls，由元素（IDi，xi）组成，最初该列表为空.当C接收到Generate-User-Key（IDi）询问时，首先检查Ls中是否已存在条目（IDi，xi）.如果已存在，则返回xi，否则从ℤq*中随机选取xi，并把（IDi，xi）加入秘密值列表Ls，然后返回xi. 公钥询问：C维护列表LPK，由元素（IDi，，xi）组成，该列表最初为空.当C接收到对用户IDi的公钥询问时，先检查秘密值列表Ls是否存在（IDi，xi），若存在，则计算，将（IDi，，xi）加入列表LPK，返回；否则C首先进行秘密值询问操作，然后再进行公钥询问. 公钥替换：当A1输入（IDi，）时，C检查条目（IDi，，xi）是否包含在LPK中.如果包含，那么将该条目替换为（IDi，，x′i）（这里，假设C可以从A1处得到与相应的秘密值x′i[17]）.如果不包含，C先执行公钥询问产生条目（IDi，，xi），并将其替换为（IDi，，x＇i）.2种情况下都需要将Ls中的相应条目（IDi，xi）同步更新为（IDi，x＇i）. Signcrypt询问：A1询问（IDi，IDj，m）的密文.如果i≠α，则C正常签密.否则，C随机选择S，h2∈ℤq*，g2∈G2，计算h1=H3（m||IDj）（通过H3询问），计算U=S（h2P+QiP0+PKi），如果L4存在（h1，U，h＇2），并且h2≠h＇2，则重新选择S，h2∈ℤq*，直到找到3元组的前2元并未在L4中出现过，将条目（h1，U，h2）加入列表L4.K=H2（U，g2，xiPKj）（通过H2询问），将（U，g2，xiPKj，K）加入列表L2.计算V=EncK（m||S），返回密文C=（U，V）给A1. Unsigncrypt询问：A1询问（IDi，IDj，C=（U，V））的明文.如果j≠α，则C正常解签密.否则，C按以下步骤遍历列表L2中的条目（U＇，R＇2，R＇3，K＇）.如果U≠U＇或R＇3≠xjPKi，则移到L2中的下一个条目并重新开始.计算.如果获得结果为⊥，则移到L2中的下一个条目并重新开始.如果mÏL3，移到L2中的下一个条目并重新开始；否则通过H3询问计算h1=H3（m）.如果（h1，U）ÏL4，移到L2中的下一个条目并重新开始；否则通过H4询问计算h2=H4（h1，U）.如果等式U=S（h2P+QiP0+PKi）成立，则返回m.如果遍历完列表L2还是没有消息返回，则返回⊥. 挑战：阶段1结束后，A1选取2个新鲜等长的明文m0，m1，以及2个身份IDsender*，IDreceiver*，如果r≠α则C退出游戏，阶段1期间IDreceiver部分私钥不能被询问.C按照如下方式计算挑战密文：设置U=cP，随机选取γ∈{0，1}和K∈{0，1}λ，随机选取t并计算S，计算V=EncK（mγ||S）返回挑战密文C=（U，V）. 阶段2：A1继续阶段1的询问，但是不能询问IDreceiver的部分私钥，也不能对挑战密文进行解签密询问. 最后A1猜测γ*，若γ*=γ，则A1胜利. C从列表L2中随机均匀地选择第2项R2*，输出R2*=e（P0，H1（IDreceiver*）t）=e（aP，bP）c=a（P，P）abc作为BDH问题实例的解答. 分析：如果A1以不可忽略的优势ε赢得上述游戏，那么C利用A1成功求解BDH问题的优势为证毕. 证毕. 定理3.假设（Enc，Dec）具有机密性，那么新方案在随机预言模型和CDH困难性假设下对第2类攻击者A2具有IND-CCA安全性. 证明简述.C接收一个随机的CDH问题实例（P，aP，bP），其目标是求出abP.C把A2作为子程序并在游戏中扮演A2的挑战者.将被挑战的发送者公钥设为aP，接收者公钥设为bP，A2若能以一个不可忽略的优势区分挑战密文，则其必定以一个不可忽略的概率询问过H2（·，·，abP）.最后，C从列表L2中选取匹配的元素并输出其第3项作为对CDH问题的解答. 定理4.假设（Enc，Dec）具有机密性，那么新方案在随机预言模型和BDH困难性假设下对第1类攻击者A1具有IND-CMA安全性. 证明简述.C接收一个随机的BDH问题实例（P，aP，bP，cP），目标是计算出e（P，P）abc.C把A1作为子程序并在游戏中扮演A1的挑战者，将KGC公钥P0设为aP，将被挑战发送者和接收者ID的H1值分别设为bP和cP，若A1能以一个不可忽略的优势区分挑战密文，则其必定以一个不可忽略的概率询问过H2（·，e（P，P）abc，·）.最后，C从列表L2中选取1个匹配的元素，并输出其第2项作为BDH问题的解答. 定理5.假设（Enc，Dec）具有可认证性.新方案在随机预言模型和CDH困难性假设下对第2类攻击者A2具有UF-CMA安全性. 证明简述.C接收一个随机的CDH问题实例（P，aP，bP），其目标是求出abP.C把A2作为子程序并在游戏中扮演A2的挑战者.令被挑战的发送者公钥设为aP，接收者公钥设为bP，A2若能以一个不可忽略的优势伪造一个有效密文，则其必定以一个不可忽略的概率询问过H2（·，·，abP）.最后，C从列表L2中选取匹配的元素并输出其第3项作为对CDH问题的解答. 定理6.新方案满足不可抵赖性. 证明简述.假设接收方可以伪造发送方的签名，那么他就能伪造文献[16]中椭圆曲线上的短签名SECDSSl.SECDSSI是将文献[1]中的签名方案SDSSl移植到椭圆曲线密码体制中的形式.文献[1]指出在离散对数困难问题下，如果将散列函数视作随机函数，那么，SDSSl是在适应性选择消息攻击下存在性不可伪造的. 综上，可以得出结论：假设椭圆曲线上离散对数问题是困难的，那么在随机预言机模型下，本文提出的签密方案是适应性选择消息攻击下存在性不可伪造的. 定理7.新方案满足公开验证性和前向安全性. 证明简述.当通信双方产生争议时，只需提交（U，S，h1，h2）给第三方验证者，验证者进行如下验证： U=S（h2P+QsenderP0+PKsender）， h2=H4（h1，U） 是否都成立. 另外，本方案验证过程不需要接收者的私钥，也不需要访问明文，因此实施验证的第三方无法解签密得到m，实现公开验证性的同时保证了保密性. 假设签密者的私钥意外泄露，但是如果不知道签密时所选取的随机数t，则不能计算出e（P0，Qsender）t，求不出对称密钥K，无法获取明文.因此，本文方案是前向安全的. 4.2 效率分析 本节从计算量和通信成本，2个方面来评价本文提出的签密方案. 为了简便，用pair，mul，exp分别表示双线性对运算次数、G1中的标量乘运算次数和G2中的指数运算次数.x（+y）表示需要x次双线性对运算、y次双线性对预计算.｜G1｜表示G1中一个元素的长度，｜q｜表示有限域ℤq*中一个元素的长度，｜m｜表示明文长度.本方案签密过程中，需要1次指数运算、2次标量乘运算、1次双线性对运算；解签密过程中，不需要指数运算，需要3次标量乘运算、1次双线性对运算.本文提出的方案中，需要传输的信息是σ={U，V}，传输量是｜U｜+｜V｜=｜G1｜+｜q｜+｜m｜. 表1给出了本文方案与目前已有的几个重要的无证书签密方案效率的比较. 表1 无证书签密方案之间的比较 方案 签密 解签密 密文长度 pair mul exp pair mul exp 文献[18] 1 4 1 5 1 0 2｜G1｜+｜m｜ 文献[19] 1 3 4 3 0 4 2｜G1｜+2｜q｜+｜m｜ 文献[12] 0（+1） 1 0 0（+1） 1 0 ｜q｜+｜m｜ 文献[13] 1 4 0 4 2 0 2｜G1｜+｜m｜ 本文方案 0（+1） 2 1 0（+1） 3 0 ｜G1｜+｜q｜+｜m｜ 通过对比可以看出，本方案计算效率仅略低于文献[12]所提的方案，与其他方案相比均有明显的提高.但经过分析可知，文献[12]的方案并不提供不可抵赖性及公开验证性.本文提出的方案同时满足保密性、不可伪造性、公开验证性、不可否认性和前向安全性. 5 结束语 针对文献[12]方案存在的不可抵赖性和不可公开验证性的缺陷，本文提出了一种改进的无证书混合签密方案，满足保密性、公开验证性、前向安全性，并且可以抵御内部伪造攻击，同时保持了高效.在随机预言模型下对新方案进行了证明. 参考文献： [1]Zheng Y. Digital signcryption or how to achieve cost（signature & encryption） cost （signature）+cost （encryption）[C]//Proc of CRYPTO' 97. Berlin: Springer, 1997: 165-179 [2]Dent A W. Hybrid signcryption schemes with outsider security[M]//Information Security. Berlin: Springer, 2005: 203-217 [3]Dent A W. Hybrid signcryption schemes with insider security[C]//Information Security and Privacy. Berlin: Springer, 2005: 253-266 [4]Li F, Shirase M, Takagi T. Efficient signcryption key encapsulation without random oracles[C]//Information Security and Cryptology. Berlin: Springer, 2009: 47-59 [5]张串绒.签密方案的分析、设计和应用研究[D].西安：西安电子科技大学，2007 [6]Al-Riyami S S, Paterson K G. Certificateless public key cryptography[C]//Proc of ASIACRYPT 2003. Berlin: Springer, 2003: 452-473 [7]田野，张玉军，李忠诚.使用对技术的基于身份密码学研究综述[J].计算机研究与发展，2006，43（10）：1810-1819 [8]Yu G, Ma X, Shen Y, et al. Provable secure identity based generalized signcryption scheme[J]. Theoretical Computer Science, 2010, 411（40/41/42）: 3614-3624 [9]Kushwah P, Lal S. An efficient identity based generalized signcryption scheme [J]. Theoretical Computer Science, 2011, 412（45）: 6382-6389 [10]Barbosa M, FarshimP. Certificateless signcryption[C]//Proc of the 2008 ACM Symp on Information, Computer and Communications Security. New York: ACM, 2008: 369-372 [11]Xie W, Zhang Z. Efficient and provably secure certificateless signcryption from bilinear maps[C]//Proc of IEEE Int Conf on Wireless Communications, Networking and Information Security. Piscataway, NJ: IEEE, 2010:558-562 [12]Li F, Shirase M, Takagi T. Certificateless hybrid signcryption[M]//Information Security Practice and Experience Berlin: Springer, 2009: 112-123 [13]孙银霞，李晖.高效无证书混合签密[J].软件学报，2011，22（7）：1690-1698 [14]卢万谊，韩益亮.前向安全的可公开验证无证书混合签密方案[J].小型微型计算机系统，2013，34（12）：2814-2817 [15]Gligor V D, Donescu P. Fast encryption and authentication: XCBC encryption and XECB authentication modes[C]//Fast Software Encryption Berlin: Springer, 2002: 92-108 [16]Jutla C S. Encryption modes with almost free message integrity[C]//Proc of EUROCRYPT 2001. Berlin: Springer, 2001: 529-544 [17]Zheng Y, Imai H. How to construct efficient signcryption schemes on elliptic curves[J]. Information Processing Letters, 1998, 68（5）: 227-233 [18]Du H, Wen Q. Efficient and provably-secure certificateless short signature scheme from bilinear pairings [J]. Computer Standards & Interfaces, 2009, 31（2）: 390-394 [19]Wu C, Chen Z. A new efficient certificateless signcryption scheme[C]//Proc of Int Symp on Information Science and Engineering Piscataway, NJ: IEEE, 2008: 661-664 ：张宇，博士，工程师，主要研究方向为网络安全.zhangyu18@；侯健，硕士，工程师，主要研究方向为计算机仿真.ddahhai@。   -全文完-