俞惠芳, 楊 波, 張文政

(1. 陜西師范大學(xué) 計算機(jī)科學(xué)學(xué)院, 陜西 西安 710062;2. 青海師范大學(xué) 計算機(jī)學(xué)院, 青海 西寧 810008;3. 保密通信重點實驗室, 四川 成都610041;4. 中國科學(xué)院信息工程研究所 信息安全國家重點實驗室, 北京 100093)

混合簽密綜述

俞惠芳1,2,3,4, 楊 波1,3,4, 張文政3

(1. 陜西師范大學(xué) 計算機(jī)科學(xué)學(xué)院, 陜西 西安 710062;2. 青海師范大學(xué) 計算機(jī)學(xué)院, 青海 西寧 810008;3. 保密通信重點實驗室, 四川 成都610041;4. 中國科學(xué)院信息工程研究所 信息安全國家重點實驗室, 北京 100093)

混合簽密中的簽密KEM運用公鑰技術(shù)封裝一個對稱密鑰，DEM使用對稱技術(shù)和KEM生成的對稱密鑰加密任意長度的消息?；旌虾灻艿陌踩Ｐ驮试S其非對稱部分和對稱部分的安全需求完全獨立，各自的安全性可以分別研究。和公鑰簽密技術(shù)相比，混合簽密技術(shù)在密碼學(xué)應(yīng)用中具有更高的靈活性和安全性。文章對已有混合簽密方案進(jìn)行了深入的研究與分析，并給出了PKI環(huán)境下的混合簽密、身份混合簽密和無證書混合簽密的算法模型、形式化安全定義和相應(yīng)的實例方案。也指出了進(jìn)一步研究的問題。

混合簽密; PKI; 身份密碼學(xué);無證書環(huán)境

網(wǎng)絡(luò)的飛速發(fā)展，電子商務(wù)、電子政務(wù)以及日常生活的信息化，信息安全的核心技術(shù)密碼學(xué)得到很大發(fā)展。同時，在大量數(shù)據(jù)需要保密并認(rèn)證通信的應(yīng)用背景下，與密碼學(xué)技術(shù)相伴的不同公鑰認(rèn)證方法下的混合簽密技術(shù)具有了良好的應(yīng)用前景。這說明現(xiàn)有公鑰簽密方案在很多情形下已經(jīng)不能滿足密碼學(xué)應(yīng)用需求?；旌厦艽a系統(tǒng)的研究最先是從混合加密方案著手的，混合加密需要考慮兩種加密結(jié)構(gòu)混合后加密的安全性。

混合加密起初是先用公鑰加密方案加密對稱密鑰，再用該對稱密鑰加密真正的消息，此時的混合加密僅限于應(yīng)用需求并沒有進(jìn)行形式化安全定義。直到2004年，Cramer和Shoup[1]才對混合加密的KEM-DEM結(jié)構(gòu)進(jìn)行了形式化安全定義。混合加密[2-6]的優(yōu)勢是可以實現(xiàn)大消息的安全保密通信?；旌霞用苡型耆毩⒌腒EM和DEM組成[7]。KEM-DEM結(jié)構(gòu)允許分別定義并研究KEM與DEM的安全需求，為了使整個混合加密達(dá)到某種安全水平，只要KEM和DEM分別達(dá)到相應(yīng)的安全水平即可，這極大方便了混合結(jié)構(gòu)的安全性分析。

2005年，Dent采用KEM-DEM結(jié)構(gòu)提出了混合簽密方案[8-9]，并給出了方案的算法模型和形式化安全定義?；旌虾灻荏w制中，非對稱部分需要接收者的公鑰和發(fā)送者的私鑰作為輸入，從而確保了所產(chǎn)生隨機(jī)密鑰的數(shù)據(jù)完整性，起到了簽名的效果；對稱部分則使用非對稱部分產(chǎn)生的對稱密鑰加密任意長度的消息，保證了消息確實源自所聲稱的消息源。自混合簽密提出以來一直是密碼學(xué)界的一個重要研究方向。學(xué)者們經(jīng)過研討做了不少混合簽密方面的工作[10-24]，這些研究成果可以滿足密碼學(xué)領(lǐng)域的不同應(yīng)用環(huán)境和應(yīng)用需求。

2008年，劉志遠(yuǎn)等人[18]提出了一個RSA混合簽密方案，以一種簡單的方式提供了不可否認(rèn)性，通信開銷僅為一個RSA模長。同年，Tan[19]構(gòu)造了標(biāo)準(zhǔn)模型下的簽密KEM和簽密tag-KEM。簽密tag-KEM中嵌入了一個隨機(jī)標(biāo)簽作為輸入因子，避免了接收者直接通過密鑰封裝來恢復(fù)對稱密鑰，從而接收者不可能任意偽造所選擇消息的密文。

2011年，Sun和Li[11]提出了一個具有多個接收者的身份簽密KEM方案，并且在隨機(jī)預(yù)言模型下給出了安全性證明。同年，Sun和Li又設(shè)計了一個僅僅使用了1次雙線性對運算的無證書混合簽密方案[20]，雖然該方案是可否認(rèn)的，但是大多數(shù)實際應(yīng)用并不要求不可否認(rèn)性。

2012年，Singh指出Li的身份混合簽密方案[21]存在不足，它僅僅只是證明了不可區(qū)分性。在文獻(xiàn)[25]的啟示下，Singh提出了一個新的身份混合簽密方案[10]，也給出了詳略得當(dāng)?shù)陌踩宰C明。

2013年，Li等人[12]構(gòu)造了一個內(nèi)部安全的無證書混合簽密方案，并且證明了方案滿足適應(yīng)性選擇密文攻擊下的保密性和適應(yīng)性選擇消息下的不可偽造性。同年，盧萬誼等人[22]提出了一個前向安全的可公開驗證的無證書混合簽密方案，該方案不僅安全性強(qiáng)而且計算效率高。

2014年，黎忠文[23]提出了一種多方混合簽密方案，比起傳統(tǒng)方式，在有多個參與者的情況下，多方混合簽密可以顯著提高信息傳輸效率。多方混合簽密適合應(yīng)用于防火墻中。同年，Han等人[24]設(shè)計了一個無證書環(huán)境下的基于多變量的多接收者混合簽密方案，并且在隨機(jī)預(yù)言模型下給出了安全性證明。

由上面的國內(nèi)外的研究成果可以看出，密碼學(xué)界主要研究了基于證書的混合簽密方案、身份混合簽密方案和無證書混合簽密方案。比起公鑰簽密，混合簽密具有更高的效率和更好的靈活性，尤其是在需要大量數(shù)據(jù)保密并認(rèn)證通信的情形下。事實上，如何設(shè)計不同公鑰認(rèn)證方法下的混合簽密方案或具有不同特殊性質(zhì)的混合簽密方案以及如何證明所提方案的安全性的工作仍然沒有完成，還在繼續(xù)進(jìn)行和完善中。可以說，針對混合簽密方案及其可證明安全性理論的研究和討論方興未艾。

混合簽密是公鑰密碼的一個擴(kuò)展，也是一種重要的密碼學(xué)技術(shù)?；旌虾灻艿乃枷肟此坪唵?，但是根據(jù)學(xué)者們的不同研究目的或者結(jié)合密碼學(xué)中其它相關(guān)內(nèi)容，混合簽密的實現(xiàn)方式卻又豐富多彩。混合簽密提出至今已有十年的時間，在這段時間內(nèi)，它不斷地向不同方向延伸和發(fā)展。

1 PKI環(huán)境下的混合簽密

1.1 算法模型

一般地，一個PKI環(huán)境下的混合簽密方案的算法模型包含下面的三個概率多項式時間算法。

設(shè)置 給定一個安全參數(shù)k，私鑰生成器運行該算法產(chǎn)生系統(tǒng)參數(shù)η=(G,p,q,g,n,H1,H2)，并生成實體的私鑰xi和公鑰Pi。

簽密 給定參數(shù)η、消息m、發(fā)送者的公私鑰(Ps,xs)、接收者的公鑰Pr，由發(fā)送者執(zhí)行該簽密算法，輸出的是密文C。

解簽密 給定參數(shù)η、密文C、發(fā)送者公鑰Ps、接收者的公私鑰(Pr,xr)，由接收者執(zhí)行該解簽密算法。如果驗證等式成立，接收者接受明文m。否則，接收者輸出表示解簽密失敗的符號⊥。

1.2 安全模型定義

一個PKI環(huán)境下的混合簽密方案[8]應(yīng)該滿足保密性和不可偽造性?？苫谙旅娴陌踩Ｐ蛯KI環(huán)境下的混合簽密方案的安全性給出隨機(jī)預(yù)言模型下的安全性證明。在下面的安全模型中不允許進(jìn)行發(fā)送者身份和接收者身份相同的詢問。

為了證明PKI環(huán)境下的身份混合簽密方案的保密性，我們采用適應(yīng)性選擇密文攻擊下的不可區(qū)分性安全模型。具體的描述中，我們需要考慮下面挑戰(zhàn)者Γ和敵手A之間進(jìn)行的交互游戲。

階段1 在這個階段，A執(zhí)行如下多項式有界次適應(yīng)性詢問。每次的詢問依賴于以前詢問的應(yīng)答。

簽密詢問 A在任何時候都能發(fā)出對消息m的簽密詢問。Γ從相關(guān)的“詢問與應(yīng)答”列表中檢索到(xs,Ps,Pr)，通過簽密算法計算關(guān)于消息m的密文C，并將C發(fā)送給敵手。

解簽密詢問 A在任何時候都能發(fā)出對密文C的解簽密詢問。Γ從相關(guān)的“詢問與應(yīng)答”列表中檢索到(xr,Ps,Pr)，并運行解簽密算法，然后將運行結(jié)果發(fā)送給敵手。

然后將挑戰(zhàn)密文C*發(fā)送給敵手。

在敵手結(jié)束對交互游戲的執(zhí)行的時候，輸出一個猜測t*∈{0,1}。如果t*=t，則敵手攻擊成功。敵手A獲勝的優(yōu)勢可定義為安全參數(shù)k的函數(shù)，即

定義1.1(保密性) 如果任何多項式有界的敵手A贏得上述游戲的優(yōu)勢是可忽略的，則稱一個PKI環(huán)境下的混合簽密方案在適應(yīng)性選擇密文攻擊下具有不可區(qū)分性。

為了證明PKI環(huán)境下的混合簽密方案的不可偽造性，我們采用適應(yīng)性選擇明文攻擊下的不可偽造性安全模型。具體的描述中，我們需要考慮下面挑戰(zhàn)者Γ和偽造者F之間執(zhí)行的交互游戲。

初始化 挑戰(zhàn)者Γ輸入安全參數(shù)k，運行設(shè)置算法得到系統(tǒng)參數(shù)。Γ發(fā)送系統(tǒng)參數(shù)給偽造者。

訓(xùn)練 在這個階段，進(jìn)行的“詢問與應(yīng)答”完全相同于定義1.1中的交互游戲的階段1。

偽造者F獲勝的優(yōu)勢可定義為它贏得交互游戲的概率。

定義1.2(不可偽造性) 如果任何多項式有界的偽造者F贏得上述游戲的優(yōu)勢是可忽略的，則稱一個PKI環(huán)境下的混合簽密方案在適應(yīng)性選擇消息攻擊下具有不可偽造性。

1.3 實例方案

本節(jié)給出了一個PKI環(huán)境下的混合簽密實例方案[8]，它的三個概率多項式算法模塊描述如下。

(1) 設(shè)置

均是密碼學(xué)安全的雜湊函數(shù)，在這里n是DEM的密鑰長度?？尚艡C(jī)構(gòu)選擇一個隨機(jī)數(shù)

xs∈{1,2,…,q},

計算發(fā)送者的公鑰

Ps=gxs;

另選擇一個隨機(jī)數(shù)

xr∈{1,2,…,q},

計算接收者的公鑰

Pr=gxr。

可信機(jī)構(gòu)公開系統(tǒng)參數(shù)(G,p,q,g,n,H1,H2)。

(2) 簽密

給定消息m、發(fā)送者的公私鑰(Ps,xs)和接收者的公鑰Pr，發(fā)送者執(zhí)行下列步驟。

(A1) 選擇一個隨機(jī)數(shù)t∈{1,2,…,q}。

(A3) 計算R=H1(m‖X)。

(A4) 計算S=t/(R+xs)。

(A5) 計算κ=H2(X)。

(A6) 計算c= DEM.Enc (κ,m)。

(A7) 設(shè)置C= (c,R,S)。

(A8) 輸出密文C。

(3) 解簽密

給定密文C、發(fā)送者的公鑰Ps和接收者的公私鑰(Pr,xr)，接收者執(zhí)行下列步驟。

(B1) 計算X= (Ps·gR)S·xrmodp。

(B2) 計算κ=H2(X)。

(B3) 計算m= DEM.Dec (κ,c)。

(B4) 檢查驗證等式R=H1(m‖X)是否成立？如果成立，接受明文m；否則，輸出符號⊥。

2 身份混合簽密

2.1 算法模型

一般地，一個身份混合簽密方案的算法模型包含四個概率多項式時間算法：設(shè)置算法、密鑰產(chǎn)生算法、簽密算法和解簽密算法。算法模型中涉及三個參與方：一個私鑰生成器、一個身份為Ia的發(fā)送者以及一個身份為Ib的接收者。

設(shè)置 給定一個安全參數(shù)k，私鑰生成器運行該設(shè)置算法產(chǎn)生系統(tǒng)參數(shù)η和主密鑰x。在這里η是公開的，但是x保密的。

用戶鑰生成 給定(η,x,Ii)，私鑰生成器執(zhí)行該用戶鑰生成算法，輸出的是實體的私鑰si和公鑰yi。

簽密 給定η、消息m、發(fā)送者的身份Ia和公私鑰(ya,sa)、接收者的身份Ib和公鑰yb，由發(fā)送者執(zhí)行該簽密算法，輸出的是密文C。

解簽密 給定η、密文C、發(fā)送者的身份Ia和公鑰ya、接收者的身份Ib和公私鑰(yb,sb)，由接收者執(zhí)行該解封裝算法。如果驗證等式成立，接收者接受明文m；否則，接收者輸出表示解簽密失敗的符號⊥。

2.2 安全模型定義

一個身份混合簽密方案[10]應(yīng)該滿足保密性和不可偽造性?？苫谙旅娴陌踩Ｐ蛯ι矸莼旌虾灻芊桨傅陌踩越o出隨機(jī)預(yù)言模型下的安全性證明。在下面的安全模型中不允許進(jìn)行發(fā)送者身份和接收者身份相同的詢問。

為了證明身份混合簽密方案的保密性，我們采用適應(yīng)性選擇密文攻擊下的不可區(qū)分性安全模型。具體的描述中，我們需要考慮下面挑戰(zhàn)者Γ和敵手A之間進(jìn)行的交互游戲。

初始化 挑戰(zhàn)者Γ輸入安全參數(shù)k，運行設(shè)置算法得到系統(tǒng)參數(shù)η和主密鑰x。Γ發(fā)送η給敵手，但是保密x。

階段1 在這個階段，A執(zhí)行如下多項式有界次適應(yīng)性詢問。

私鑰詢問 A在任何時候都能發(fā)出對身份Ii的私鑰詢問。Γ運行用戶鑰生成算法，然后將作為結(jié)果的私鑰si發(fā)送給敵手。

簽密詢問 A在任何時候都能發(fā)出對消息m、發(fā)送者身份Ia和接收者身份Ib的簽密詢問。Γ從相關(guān)的“詢問與應(yīng)答”列表中檢索到(sa,Pa,Pb)，計算

C← Signcrypt (η,Ia,Ib,m,sa,Pa,Pb),

然后將密文C發(fā)送給敵手。

解簽密詢問 收到密文C、發(fā)送者身份Ia和接收者身份Ib的解簽密詢問時，Γ從相關(guān)的“詢問與應(yīng)答”列表中檢索到(sb,Pa,Pb)，計算

m/⊥ ← Unsigncrypt (η,Ia,Ib,C,sb,Pa,Pb)，

然后將運行結(jié)果發(fā)送給敵手。

然后將密文C*發(fā)送給敵手。

在敵手結(jié)束對交互游戲的執(zhí)行的時候，輸出一個猜測t*∈{0,1}。若t*=t，則敵手攻擊成功。敵手獲勝的優(yōu)勢可定義為安全參數(shù)k的函數(shù)，即

定義2.1(保密性) 如果任何多項式有界的敵手A贏得上述游戲的優(yōu)勢是可忽略的，則稱一個身份混合簽密方案在適應(yīng)性選擇密文攻擊下具有不可區(qū)分性。

為了證明身份混合簽密方案的不可偽造性，我們采用適應(yīng)性選擇明文攻擊下的不可偽造性安全模型。具體的描述中，我們需要考慮下面挑戰(zhàn)者Γ和偽造者F之間執(zhí)行的交互游戲。

初始化 挑戰(zhàn)者Γ輸入安全參數(shù)k，運行設(shè)置算法得到系統(tǒng)參數(shù)η和主密鑰x。Γ發(fā)送η給偽造者F，但是保留x。

訓(xùn)練 在這個階段，進(jìn)行的“詢問與應(yīng)答”完全相同于定義2.1中的交互游戲的階段1。

偽造者F獲勝的優(yōu)勢可定義為它贏得交互游戲的概率。

定義2.2(不可偽造性) 如果任何多項式有界的偽造者F贏得上述游戲的優(yōu)勢是可忽略的，則稱一個身份混合簽密方案在適應(yīng)性選擇消息攻擊下具有不可偽造性。

2.3 實例方案

本節(jié)給出了一個身份混合簽密實例方案[10]。下面是它的四個概率多項式算法模塊組成。

(1) 設(shè)置

設(shè)q是一個k比特的大素數(shù)，G1是階為q的加法循環(huán)群，G2是相同階的乘法循環(huán)群，P∈G1是群G1的一個生成元，e:G1×G1→G2是一個雙線性映射。函數(shù)

H1: {0,1}*→ G1,H2: G2→ {0,1}n,H3: {0,1}*×G2→ Zq,

最后，私鑰生成器保密主密鑰，但公開系統(tǒng)參數(shù)

η=(G1,G2,e,P,Pput,n,H1,H2,H3)。

(2) 用戶鑰生成

已知(η,s)，私鑰生成器計算身份是Ia的發(fā)送者的公鑰ya=H1(Ia)和私鑰sa=xya，并計算身份是Ib的發(fā)送者的公鑰yb=H1(Ib)和私鑰sb=xyb。

(3) 簽密

已知(η,m,Ia,Ib,sa,yb)，發(fā)送者通過執(zhí)行下面的步驟生成密文C。

(C2) 計算yb=H1(Ib)。

(C3) 計算κ1=e(P,Ppub)u。

(C4) 計算κ2=H2(e(Ppub,yb)u)。

(C5) 計算κ= (κ1,κ2)。

(C6) 計算c= DEM.Enc (κ2,m)。

(C7) 計算r=H3(m,κ1)。

(C8) 計算S=uPpub-rsa。

(C9) 輸出密文C= (c,r,S)。

(4) 解簽密

已知(η,C,Ia,Ib,sb,ya)，接收者執(zhí)行下列步驟。

(D1) 計算ya=H1(Ia)。

(D2) 計算κ1=e(P,S)e(Ppub,ya)r。

(D3) 計算κ2=H2(e(S,yb)e(ya,sb)r)。

(D4) 計算κ= (κ1,κ2)。

(D5) 計算m= DEM.Dec (κ2,c)。

(D6) 驗證等式r=H3(m,κ1)是否成立？如果成立，接受明文m；否則，輸出符號⊥。

3 無證書混合簽密

3.1 算法模型

一個無證書混合簽密方案的算法模型[17]可以通過以下六個概率多項式時間算法來定義。

設(shè)置 由密鑰生成中心完成該設(shè)置算法。已知一個安全參數(shù)k，這個算法輸出的是系統(tǒng)參數(shù)ρ和主密鑰x。在這里ρ是公開的，但是x是保密的。

用戶鑰產(chǎn)生 由身份為Ii的用戶完成該用戶鑰生成算法。已知用戶身份Ii，這個算法輸出的是該用戶的秘密值xi和公鑰Pi。

部分鑰產(chǎn)生 由密鑰生成中心完成該部分私鑰生成算法。已知(ρ,x,Ii)，這個算法輸出的是身份為Ii的用戶的部分私鑰di。

私鑰提取 由身份為Ii的用戶完成該私鑰提取算法。已知身份為Ii的用戶的部分私鑰di和秘密值xi，這個算法輸出的是該用戶的完整私鑰

si=(xi,di)。

簽密 由身份為Ia的發(fā)送者完成該簽密算法。已知(ρ,Ia,Ib,m,Pa,sa,Pb)，這個算法輸出的是一個密文C。

解簽密 由身份為Ib的接收者完成該解簽密算法。已知(ρ,Ia,Ib,C,Pa,sb,Pb)，接收者根據(jù)驗證等式是否成立決定輸出明文m還是表示解簽密失敗的標(biāo)志⊥。

3.2 安全模型定義

無證書混合簽密方案的安全模型[17]中不允許進(jìn)行發(fā)送者身份和接收者身份相同的詢問?？苫谙旅娴陌踩Ｐ蛯o證書混合簽密方案的安全性給出隨機(jī)預(yù)言模型下的安全性證明。

為了證明無證書混合簽密方案的安全性，需要考慮兩種類型的攻擊者。在這里第1類攻擊者AI或FI不知道密鑰生成中心的主密鑰，但是AI或FI能自適應(yīng)地替換任意用戶的公鑰。第2類攻擊者AII或FII知道密鑰生成中心的主密鑰，但是AII或FII不具備替換任意用戶公鑰的能力。

定義3.1(保密性)[17]如果任何多項式有界的敵手AI(相應(yīng)的AII)贏得游戲I(相應(yīng)的游戲II)的優(yōu)勢是可忽略的，則稱一個無證書混合簽密方案在自適應(yīng)選擇密文攻擊下具有不可區(qū)分性。

游戲I 這是挑戰(zhàn)者Γ和敵手AI之間進(jìn)行的一個交互游戲。

初始化 Γ運行Setup(1k)得到系統(tǒng)參數(shù)ρ和主密鑰x。Γ將ρ發(fā)送給敵手Ai，但是保留x。

階段1 在這個階段，AI執(zhí)行如下多項式有界次適應(yīng)性詢問。

公鑰詢問 AI在任何時候都可以請求身份Ii的公鑰。Γ運行用戶鑰生成算法，然后把生成的公鑰Pi發(fā)送給敵手。

部分私鑰詢問 AI在任何時候都可以請求身份Ii的部分私鑰詢問。Γ運行部分鑰生成算法，然后把得到的部分私鑰di發(fā)送給敵手。

私鑰詢問 AI在任何時候都可以請求身份Ii的私鑰詢問。Γ從相關(guān)的“詢問與應(yīng)答”列表中查找到含有關(guān)于身份Ii的秘密值xi和部分私鑰di的條目，然后返回完整私鑰si=(xi,di)給敵手。如果身份Ii的公鑰已經(jīng)被替換了，那么敵手不能詢問該身份的秘密值。

公鑰替換 AI可以在合適的范圍內(nèi)選擇任意值替換任意身份的公鑰。

簽密詢問 AI在任何時候都可以執(zhí)行關(guān)于消息m、發(fā)送者身份Ia和接收者身份Ib的簽密詢問。Γ從相關(guān)的“詢問與應(yīng)答”列表中查找到(sa,Pa,Pb)，計算

C← Signcrypt (ρ,Ia,Ib,m,sa,Pa,Pb),

然后返回密文C給敵手。

解簽密詢問 AI在任何時候都可以進(jìn)行關(guān)于密文C、發(fā)送者身份Ia和接收者身份Ib的解簽密詢問。Γ從相關(guān)的“詢問與應(yīng)答”列表中查找到(sb,Pa,Pb)，計算

m/⊥ ← Unsigncrypt (ρ,Ia,Ib,C,sb,Pa,Pb),

然后返回運行結(jié)果給敵手。

然后將密文C*發(fā)送給敵手AI。

敵手AI結(jié)束對交互游戲的執(zhí)行的時候，輸出一個猜測γ*。如果γ*=γ，說明AI攻擊成功。我們定義敵手AI的獲勝優(yōu)勢為

游戲II 這是挑戰(zhàn)者Γ和敵手AII之間進(jìn)行的一個交互游戲。

初始化 Γ運行Setup(1k)得到系統(tǒng)參數(shù)ρ和主密鑰x。Γ將(ρ,x)發(fā)送給敵手AII。

階段1 在這個階段，AII執(zhí)行如下多項式有界次適應(yīng)性詢問。在這里敵手知道系統(tǒng)主密鑰x，可以自己計算出用戶的部分私鑰。

公鑰詢問 AII在任何時候都可以請求身份Ii的公鑰詢問。Γ運行UserGen(Ii)，然后返回生成的公鑰Pi給敵手。

私鑰詢問 AII在任何時候都可以請求身份Ii的私鑰詢問。Γ從相關(guān)的“詢問與應(yīng)答”列表中查找到含有關(guān)于身份Ii的秘密值xi和部分私鑰di的條目，然后返回完整私鑰si=(xi,di)給敵手。

簽密詢問 AII在任何時候都可以進(jìn)行關(guān)于消息m、發(fā)送者身份Ia和接收者身份Ib的簽密詢問。Γ從相關(guān)的“詢問與應(yīng)答”列表中查找到(sa,Pa,Pb)，計算

C← Signcrypt (ρ,Ia,Ib,m,sa,Pa,Pb),

然后返回密文C給敵手。

解簽密詢問 AII在任何時候都可以進(jìn)行關(guān)于密文C、發(fā)送者身份Ia和接收者身份Ib的解簽密詢問。Γ從相關(guān)的“詢問與應(yīng)答”列表中查找到(sb,Pa,Pb)，計算

m/⊥ ← Unsigncrypt (ρ,Ia,Ib,C,sb,Pa,Pb),

然后返回運行結(jié)果給敵手。

然后將密文C*發(fā)送給敵手。

敵手AII結(jié)束對交互游戲的執(zhí)行的時候，輸出一個猜測γ*。如果γ*=γ，說明AII攻擊成功。我們定義敵手AII的獲勝優(yōu)勢為

定義3.2(不可偽造性)[17]如果任何多項式有界的偽造者FI(相應(yīng)的FII)贏得游戲I′(相應(yīng)的游戲I′)的優(yōu)勢是可忽略的，則稱一個無證書混合簽密方案在自適應(yīng)選擇明文攻擊下具有不可偽造性。

游戲I′ 這是挑戰(zhàn)者Γ和偽造者FI之間進(jìn)行的一個交互游戲。

初始化 Γ運行Setup(1k)獲得系統(tǒng)參數(shù)ρ和主密鑰x，然后返回ρ給攻擊者FI，但是保留x。

訓(xùn)練 在這個階段，F(xiàn)I執(zhí)行多項式有界次適應(yīng)性詢問。FI所進(jìn)行的詢問以及相關(guān)應(yīng)答和游戲I的階段1相同。

我們定義偽造者FI獲勝的優(yōu)勢為FI贏得游戲I′的概率。

游戲II′ 這是挑戰(zhàn)者Γ和偽造者FII之間進(jìn)行的一個交互游戲。

初始化 Γ運行Setup(1k)得到系統(tǒng)參數(shù)ρ和主密鑰x，然后將(ρ,x)發(fā)送給偽造者FII。

訓(xùn)練 在這個階段，F(xiàn)II執(zhí)行多項式有界次適應(yīng)性詢問。FII所進(jìn)行的詢問以及相關(guān)應(yīng)答和游戲II的階段1完全相同。

我們定義偽造者FII獲勝的優(yōu)勢為FII贏得游戲II′的概率。

3.3 實例方案

本節(jié)給出了一個無證書混合簽密實例方案[17]。下面是它的六個概率多項式算法模塊組成。

(1) 設(shè)置

密鑰生成中心選擇三個密碼學(xué)安全的雜湊函數(shù)

在這里n是DEM的對稱密鑰長度。

最后，密鑰生成中心保密主控鑰x，但公開系統(tǒng)參數(shù)

ρ=(G1,G2,e,P,Ppub,n,H1,H2,H3)。

(2) 部分鑰產(chǎn)生

已知(ρ,x)，密鑰生成中心計算身份為Ii的用戶的部分私鑰di=xFi，在這里Fi=H1(Ii)。然后發(fā)送(Ii,di)給用戶。

(3) 用戶鑰產(chǎn)生

(4) 私鑰提取

已知身份為Ii的用戶的部分私鑰di和秘密值xi，那么該用戶的完整私鑰是si←(xi,di)。

(5) 簽密

已知ρ、消息m、發(fā)送者的身份Ia和公私鑰(Pa,sa)、接收者的身份Ib和公鑰Pb，發(fā)送者執(zhí)行下面的步驟生成密文C。

(E2) 計算R=rP。

(E3) 計算y=e(Ppub,Fb)r。

(E4) 計算z=e(Pb,Fb)r。

(E5) 計算κ=H2(y,z,R)。

(E6) 計算c= DEM.Enc (κ,m)。

(E7) 計算f=H3(Ia,Ib,m,R,Pa,Pb)。

(E8) 計算S=rFa+xaf+da。

(E9) 輸出C= (c,R,S)。

(6) 解簽密

已知ρ、密文C、發(fā)送者的身份Ia和公鑰Pa、接收者的身份Ib和公私鑰(Pb,sb)，接收者執(zhí)行下面的步驟。

(F1) 計算y=e(R,db)。

(F2) 計算z=e(R,Hb)xb。

(F3) 計算κ=H2(y,z,R)。

(F4) 計算m= DEM.Dec (κ,c)。

(F5) 計算f=H3(Ia,Ib,m,R,Pa,Pb)。

(F6) 如果成立

e(P,S)=e(R,Fa)e(Pa,f)e(Ppub,Fa),

則接受明文m；否則，輸出符號⊥。

4 后續(xù)工作展望

混合密碼系統(tǒng)不僅是對稱密碼和公鑰密碼的簡單組合，而且可以看作是公鑰密碼系統(tǒng)的一個分支?；旌虾灻苁切屡d起的混合密碼學(xué)技術(shù)。雖然目前我們?nèi)〉昧艘恍┗旌虾灻芊矫娴难芯窟M(jìn)展，但是應(yīng)該說研究工作還遠(yuǎn)遠(yuǎn)沒有停止，尤其離在現(xiàn)實場景中的實踐應(yīng)用還存在著很大的差距。不同公鑰認(rèn)證方法下的混合簽密以及具有特性的混合簽密的方案設(shè)計、形式化安全定義和相關(guān)的可證明安全性理論研究還需要進(jìn)一步完善和繼續(xù)深入研究。實際應(yīng)用環(huán)境中的解決方案更加需要繼續(xù)深入研究。

(1) 橢圓曲線混合簽密方案研究

這類方案的設(shè)計是混合密碼學(xué)的研究重點，因為這類方案可以解決有限資源環(huán)境(比如，無線傳感器網(wǎng)絡(luò)、ad hoc網(wǎng)絡(luò)、mesh網(wǎng)絡(luò)或智能卡)中傳輸?shù)臄?shù)據(jù)的安全性問題。

(2) 沒有隨機(jī)預(yù)言機(jī)的混合簽密方案研究

現(xiàn)有混合簽密方案絕大多數(shù)都是基于隨機(jī)預(yù)言模型的。但是隨機(jī)預(yù)言模型下的安全性在真實環(huán)境中不一定能得以保證。雖然普遍認(rèn)為標(biāo)準(zhǔn)模型下的密碼方案計算效率比較低，但是在真實環(huán)境下標(biāo)準(zhǔn)模型中的安全性能得以保證。因此，設(shè)計標(biāo)準(zhǔn)模型下的可證明安全的混合簽密方案是下一步的重要研究內(nèi)容。

(3) 通用可復(fù)合安全的混合簽密方案研究

復(fù)合安全需要保證某個密碼方案在獨立計算情況下是安全的，在復(fù)雜的網(wǎng)絡(luò)環(huán)境中這個密碼方案運行的多個實例仍然是安全的，這個密碼方案作為其他方案的組件，通過復(fù)合操作構(gòu)成的大型方案仍然安全的。然而，在通用可復(fù)合安全框架下提出的通用可復(fù)合安全的混合簽密方案目前很少見到相關(guān)報道，而實際的情況是，在復(fù)雜的網(wǎng)絡(luò)和分布式環(huán)境下許多在孤立模型中安全的單個密碼方案與其他密碼方案組合后，根本無法保證組合以后形成的復(fù)雜方案的安全性。構(gòu)造通用可復(fù)合安全的混合簽密方案的的理想功能并且通過理想功能設(shè)計通用可復(fù)合安全的相應(yīng)密碼方案是很重要的研究內(nèi)容。

(4) 網(wǎng)絡(luò)編碼環(huán)境下的混合簽密方案研究

在無線ad-hoc網(wǎng)絡(luò)、無線傳感器網(wǎng)絡(luò)等環(huán)境中，采用網(wǎng)絡(luò)編碼可以極大地節(jié)省網(wǎng)絡(luò)資源和提高網(wǎng)絡(luò)傳輸速率、吞吐量和可靠性。但作為一種有著廣泛應(yīng)用前景的新技術(shù)，網(wǎng)絡(luò)編碼發(fā)展不得不面臨污染和竊聽等安全威脅。攻擊者可以通過節(jié)點蓄意地篡改或偽造消息，這些被篡改或偽造的消息與其它消息進(jìn)行線性組合后，會污染其它消息；而且攻擊者通過竊聽網(wǎng)絡(luò)中的部分或者全部信道來獲取網(wǎng)絡(luò)中傳輸?shù)南?。這些不安全因素在很大程度上限制了網(wǎng)絡(luò)編碼的應(yīng)用范圍，阻礙了網(wǎng)絡(luò)編碼在實踐中的應(yīng)用和推廣。

針對網(wǎng)絡(luò)編碼應(yīng)用中存在的污染和竊聽攻擊降低網(wǎng)絡(luò)編碼傳輸效率的問題，設(shè)計高效實用的網(wǎng)絡(luò)編碼混合簽密方案對于網(wǎng)絡(luò)編碼發(fā)展顯得尤為重要。目前編碼環(huán)境下的混合簽密方案甚少。鑒于混合簽密技術(shù)在信息安全領(lǐng)域中的廣泛應(yīng)用，在雙線性映射、離散對數(shù)和橢圓曲線及其安全假設(shè)的理論基礎(chǔ)上，設(shè)計不同真實場景的網(wǎng)絡(luò)編碼混合簽密是下一步研究的重要內(nèi)容。

5 結(jié)束語

本文回顧了關(guān)于混合簽密的國內(nèi)外研究情況，給出了PKI環(huán)境下的混合簽密、身份混合簽密和無證書混合簽密的算法模型、安全模型定義和相應(yīng)實例方案。進(jìn)而給出了將來的研究計劃。

[1] Cramer R, Shoup V. Design and analysis of practical public-key encryption schemes secure against adaptive chosen ciphertext attack[J]. SIAM Journal on Computing, 2004, 33(1): 167-226.

[2] Abe M, Gennaro R, Kurosawa K. Tag-KEM/DEM: a new framework for hybrid encryption[J]. Journal of Cryptology, 2008(21): 97-130.

[3] Kurosawa K, Desmedt Y. A new paradigm of hybrid encryption scheme[C]//Proceedings of the 24th Annual International CryptologyConference. Santa Barbara, California, USA, 2004: 426-442.

[4] Fujisaki E, Okamoto T. Secure integration of asymmetric and symmetric encryption schemes[C]//Proceedings of CRYPTO’99, Lecture Notes in Computer Science Volume 1666, 1999: 537-554.

[5] Huang Q, Wong D. Generic certificateless encryption secure against malicious-but-passive KGC Attacks in the Standard Model[J]. Journal of Computer Science and Technology, 2010, 25(4): 807-826.

[6] 李繼國, 楊海珊, 張亦辰. 帶標(biāo)簽的基于證書密鑰封裝機(jī)制[J]. 軟件學(xué)報, 2012, 23(8):2163-2172.

[7] 賴欣. 混合密碼體制的理論研究與方案設(shè)計[D]. 西安: 西安交通大學(xué), 2005.

[8] Dent A. Hybrid signcryption schemes with insider security[C]//Proceedings ofthe 10th Australasian Conference on Information Security and Privacy,Lecture Notes in Computer ScienceVolume 3574, Brisbane, Australia, 2005: 253-266.

[9] Dent A. Hybrid signcryption schemes with outsider security[C]//Proceedings ofthe 8th International Information Security Conference,Lecture Notes in Computer ScienceVolume 3650, Singapore, 2005: 203-217.

[10] Singh K. Identity-based hybrid signcryption revisited[C]//Proceedings of the 2012 International Conference on Information Technology and e-Services, Washington, 2012:34-39.

[11] Sun Y X, Li H. ID-based signcryption KEM to multiplerecipients[J]. Chinese Journal of Electronics, 2011, 20(2): 317-322.

[12] Li F G, Shirase M, Takagi T. Certificateless hybrid signcryption[J]. Mathematical and Computer Modelling, 2013, 57(3/4):324-343.

[13] Li X X, Qian H F, Yu Y, et al.. Constructing practical signcryption KEM from standard assumptions without random oracles[C]//Proceedings of Applied Cryptography and Network Security, Lecture Notes in Computer ScienceVolume 7954, 2013: 186-201.

[14] 賴欣, 黃曉芳, 何大可. 基于身份的高效簽密密鑰封裝方案[J]. 計算機(jī)研究與發(fā)展, 2009, 45(6): 857-863.

[15] 張串絨, 張玉清. 可證明安全簽密方案及其混合結(jié)構(gòu)[J]. 西安電子科技大學(xué)學(xué)報:自然科學(xué)版, 2009, 36(4): 756-760.

[16] Yu H F, Yang B, Zhao Y, et al. Tag-KEM for self-certified ring signcryption[J]. Journal of Computational Information Systems, 2013, 9(20): 8061-8071.

[17] 俞惠芳, 楊波. 可證安全的無證書混合簽密[J]. 計算機(jī)學(xué)報, 2015, 38(4): 804-813.

[18] 劉志遠(yuǎn), 王小非, 崔國華, 等. 一種基于RSA的混合簽密方案[J]. 華中科技大學(xué)學(xué)報：自然科學(xué)版, 2008, 36(1): 49-51.

[19] Tan C. Insider-secure signcryption KEM/Tag-KEM schemes without random oracles[C]//Proceedings of the third International Conference on Availability, Reliability and Security-ARES 2008, Barcelona, Spain, 2008: 1275-1281.

[20] 孫銀霞, 李暉. 高效無證書混合簽密[J]. 軟件學(xué)報, 2011, 22(7): 1690-1698.

[21] Li F G, Masaaki S, Tsuyushi T. Identity-based hybrid signcryption[C]// Proceedings of the 2009 International Conference on Availability, Reliability and Security, 2009: 534-539.

[22] 盧萬誼, 韓益亮, 楊曉元, 等. 前向安全的可公開驗證無證書混合簽密方案[J]. 小型微型計算機(jī)系統(tǒng), 2013, 34(12): 2814-2817.

[23] 黎忠文, 黎仁峰, 鐘迪, 等. 一個高效的多方混合簽密方案[J]. 科學(xué)技術(shù)與工程, 2014, 14(17): 83-87.

[24] Han Y L, Yue Z L, Fang D Y, et al. New multivariate-based certificateless hybrid signcryption scheme for multi-recipient[J]. Wuhan University Journal of Natural Sciences, 2014, 19(5): 433-440.

[25] Libert B, Quisquater J J. New identity based signcryption schemes from pairings[C]//Proceedings of the IEEE Information Theory Workshop,IEEE Information Theory Society, 2003: 155-158.

[責(zé)任編輯:陳文學(xué)]

A survey of hybrid signcryption

YU Huifang1,2,3,4, YANG Bo1,3,4, ZHANG Wenzheng3

(1. School of Computer Science, Shaanxi Normal University, Xi’an 710062, China; 2. School of Computer, Qinghai Normal University, Xining 810008, China; 3. Communication Security Laboratory on Science and Technology, Chengdu 610041, China; 4. State Key Laboratory of Information Security, Chinese Academy of Sciences, Beijing 100093, China)

In hybrid signcryption, a signcryption key encapsulation mechanism (KEM) employs the public key technique to encapsulate a symmetric key, while a data encapsulation mechanism (DEM) makes use of the symmetric technique and symmetric key to encrypt arbitrary message. The security model of hybrid signcryption does have the advantage of allowing the security requirements of the asymmetric part and symmetric part to be completely independent, hence, we can study their security respectively. Compared with signcryption technique in public key setting, hybrid signcryption technique has higher flexibility and better security in cryptographic applications.We research and analyze the existing hybrid signcryption schemes, and then give the algorithm models, formally secure definitions and instance schemes for PKI-based hybrid signcryption, identity-based hybrid signcryption and certificateless hybrid signcryption. Moreover, we point out some possible future work.

hybrid signcryption, public key infrastructure, identity-based cryptography, certificateless

2015-04-12

國家自然科學(xué)基金資助項目(61363080, 61272436); 中國科學(xué)院信息工程研究所信息安全國家重點實驗室開放課題資助項目(2015-MS-10);保密通信重點實驗室基金資助項目(9140C110206140C11050)

俞惠芳(1972-), 女, 博士研究生, 副教授,從事密碼學(xué)與信息安全研究。E-mail:yuhuifang@qhnu.edu.cn 楊波(1963-),男, 博士,陜西省“百人計劃”特聘教授,博士生導(dǎo)師,從事密碼學(xué)與信息安全研究。E-mail:byang@snnu.edu.cn

10.13682/j.issn.2095-6533.2015.03.001

TP309

A

2095-6533(2015)03-0001-10