張玉磊 李臣意 王彩芬 張永潔

?

無證書聚合簽名方案的安全性分析和改進(jìn)

張玉磊①李臣意①王彩芬*①張永潔②

①(西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 蘭州 730070)②(甘肅衛(wèi)生職業(yè)學(xué)院 蘭州 730000)

該文分析了He等人(2014)提出的無證書簽名方案和Ming等人(2014)提出的無證書聚合簽名方案的安全性，指出Ming方案存在密鑰生成中心(KGC)被動攻擊，He方案存在KGC被動攻擊和KGC主動攻擊。該文描述了KGC對兩個(gè)方案的攻擊過程，分析了兩個(gè)方案存在KGC攻擊的原因，最后對Ming方案提出了兩類改進(jìn)。改進(jìn)方案不僅克服了原方案的安全性問題，同時(shí)也保持了原方案聚合簽名長度固定的優(yōu)勢。

密碼學(xué)；聚合簽名；無證書簽名；密鑰生成中心攻擊；選擇消息攻擊；計(jì)算Diffie-Hellman困難問題

1 引言

2013年，文獻(xiàn)[6]提出了只需要3個(gè)雙線性對運(yùn)算的無證書簽名方案(CertificateLess Signature, CLS)和CLAS方案。2014年，文獻(xiàn)[7]指出文獻(xiàn)[6]的CLS方案存在密鑰生成中心(Key Generation Center, KGC)偽造攻擊，并提出改進(jìn)的方案。同年，文獻(xiàn)[8]也提出了一個(gè)高效的CLAS方案。本文對文獻(xiàn)[7]和文獻(xiàn)[8]方案的安全性進(jìn)行分析，指出兩個(gè)方案都存在KGC偽造攻擊：文獻(xiàn)[8]方案存在KGC被動攻擊，文獻(xiàn)[7]方案既存在KGC被動攻擊，又存在KGC主動攻擊。同時(shí)，本文分析了兩個(gè)方案存在KGC被動攻擊和主動攻擊的原因，并對文獻(xiàn)[8]方案進(jìn)行了兩類改進(jìn)。兩類改進(jìn)方案不僅克服了原方案存在KGC被動攻擊的不足，而且具有較低的聚合簽名驗(yàn)證開銷。同時(shí)，第2類改進(jìn)方案保持了原方案聚合簽名長度固定的優(yōu)勢。

2 CLAS方案形式化定義和安全模型

2.1 CLAS方案形式化定義

CLAS方案一般包括以下算法：

(1)系統(tǒng)建立算法：輸入安全參數(shù), KGC輸出系統(tǒng)主密鑰和系統(tǒng)參數(shù)Para。

2.2 CLAS方案安全模型

2007年，文獻(xiàn)[9]首次定義CLAS方案的安全模型，文獻(xiàn)[10]對安全模型進(jìn)行了完善。CLS方案和CLAS方案一般考慮兩類攻擊者：和。不能得到系統(tǒng)主密鑰，但可以實(shí)現(xiàn)公鑰替換攻擊，一般指普通用戶。可以得到系統(tǒng)主密鑰，但不允許進(jìn)行公鑰替換攻擊，一般指KGC。以下描述CLAS方案的安全模型。

游戲1 假定為挑戰(zhàn)者，運(yùn)行系統(tǒng)建立算法產(chǎn)生系統(tǒng)參數(shù)Para和主密鑰。保留，發(fā)送Para給。

游戲2 假定為挑戰(zhàn)者。運(yùn)行系統(tǒng)建立算法，產(chǎn)生系統(tǒng)參數(shù)Para和主密鑰。發(fā)送Para和給。

3 文獻(xiàn)[8]方案的安全性分析

本節(jié)首先回顧文獻(xiàn)[8]方案，然后對該方案進(jìn)行安全性分析。

3.1 文獻(xiàn)[8]方案回顧

文獻(xiàn)[8]方案包含以下算法。

(1)系統(tǒng)建立算法。設(shè)安全參數(shù)為，為大素?cái)?shù)，生成元。定義階為的群1和2，雙線性映射。哈希函數(shù)，。KGC選取為主密鑰，計(jì)算，發(fā)布系統(tǒng)參數(shù)，保存主密鑰。

(4)部分簽名生成算法。用戶執(zhí)行過程為：

3.2 對文獻(xiàn)[8]方案的攻擊

分析文獻(xiàn)[8]方案，該方案的安全性主要依賴于主密鑰、秘密值、部分私鑰和隨機(jī)值等秘密信息。由于,,和，一般用戶無法獲得,,和的值(否則離散對數(shù)困難問題可解)，因此，方案能夠抵抗攻擊。

(6)偽造聚合簽名。通過以上過程，KGC能夠偽造多個(gè)用戶對多個(gè)消息的簽名,，然后計(jì)算,，輸出偽造的聚合簽名。

由于以下驗(yàn)證等式成立，因此，KGC惡意被動攻擊成功。

4 文獻(xiàn)[7]方案的安全性分析

文獻(xiàn)[7]對文獻(xiàn)[6]中的CLS方案進(jìn)行了改進(jìn)。但是，文獻(xiàn)[7]改進(jìn)方案仍然存在KGC攻擊。

4.1 文獻(xiàn)[7]方案回顧

文獻(xiàn)[7]方案的“部分私鑰生成算法”和“用戶密鑰生成算法”與文獻(xiàn)[8]方案算法基本相同，本節(jié)僅列出其它算法。

若等式成立則輸出真，否則輸出假。

4.2 對文獻(xiàn)[7]方案的攻擊

4.2.1 KGC被動攻擊 文獻(xiàn)[7]方案與文獻(xiàn)[8]方案相似，能夠抵抗攻擊。但是，由于KGC利用主密鑰能夠計(jì)算，并且由于，因此，KGC通過和部分私鑰能夠計(jì)算固定值。KGC利用固定值,和部分私鑰能夠成功偽造用戶對任意消息的簽名，也可以聚合偽造的單個(gè)簽名形成偽造的聚合簽名。攻擊過程如下所述。

4.2.2 KGC主動攻擊 文獻(xiàn)[11]重新定義了KGC的攻擊能力，增加了KGC主動攻擊。KGC主動攻擊是指在系統(tǒng)建立階段，KGC選擇有利于實(shí)現(xiàn)偽造攻擊的參數(shù)。文獻(xiàn)[7]方案不僅存在KGC被動攻擊，而且存在KGC主動攻擊。主動攻擊過程如下所述。

(4)驗(yàn)證簽名的合法性。

5 對文獻(xiàn)[8]方案的改進(jìn)

對文獻(xiàn)[8]方案的改進(jìn)包括兩部分：

5.1 第1類改進(jìn)方案

以下僅列出改進(jìn)的內(nèi)容。

(1)重新定義4哈希函數(shù)，將元素嵌入到4中，即。

(2)簽名生成算法：

5.2 第1類改進(jìn)方案性能分析

定理1 第1類改進(jìn)方案是正確的。

證畢

定理2 第1類改進(jìn)方案是安全的。

證明 第1類改進(jìn)方案的安全性證明過程與原方案的證明過程相似，本節(jié)僅列出需要修改的“簽名詢問”過程和“偽造詢問”過程。

當(dāng)查詢表1~4，獲得對應(yīng)的值。如果，則放棄；否則,,

當(dāng)從表2~4和中獲得對應(yīng)的值后，檢查值。如果,，則放棄；否則,，可以獲得CDH問題的一個(gè)實(shí)例：。

第1類改進(jìn)方案的聚合驗(yàn)證計(jì)算開銷沒有增加，但不足之處是增加了聚合簽名的長度，由增加為。 證畢

5.3 第2類改進(jìn)方案

第2類改進(jìn)主要表現(xiàn)在以下幾個(gè)方面：

5.4 第2類改進(jìn)方案的性能分析

通過以下聚合驗(yàn)證等式可以證明第2類改進(jìn)方案是正確的。

第2類改進(jìn)方案的安全性證明過程與第1類改進(jìn)方案的證明過程相似，需要修改“簽名詢問”過程和“偽造詢問”過程。第2類改進(jìn)方案減少了用戶維護(hù)公共狀態(tài)信息的通信開銷，克服了KGC被動攻擊安全性問題，保持簽名的聚合驗(yàn)證開銷不變，解決了第1類改進(jìn)方案聚合簽名長度與用戶人數(shù)線性相關(guān)的不足。

6 結(jié)束語

本文分析文獻(xiàn)[7]和文獻(xiàn)[8]無證書聚合簽名方案的安全性，指出兩個(gè)方案都存在KGC偽造攻擊。其中，文獻(xiàn)[8]方案存在KGC被動攻擊，文獻(xiàn)[7]方案既存在KGC被動攻擊，又存在KGC主動攻擊。同時(shí)，分析了KGC被動攻擊和主動攻擊存在的原因，描述了KGC對兩個(gè)方案的偽造攻擊過程。最后對文獻(xiàn)[8]方案進(jìn)行了改進(jìn)，改進(jìn)方案克服了原方案存在KGC被動攻擊的不足。運(yùn)用本文的方法也可以分析文獻(xiàn)[13,14]無證書聚合簽名方案的安全性，它們同樣也存在KGC惡意攻擊。

基于雙線性對的無證書聚合簽名方案中，當(dāng)前最優(yōu)方案的聚合驗(yàn)證開銷是4個(gè)雙線性對，能否減少雙線性對個(gè)數(shù)，提高計(jì)算效率，將是設(shè)計(jì)無證書聚合簽名方案需要考慮的問題。

參考文獻(xiàn)

[1] Alriyami S S and Paterson K G. Certificateless public key cryptography[C]. Proceedings of the Cryptology-Asiacrypt, Taipei, China, 2003: 452-474.

[2] Liu Jing-wei, Zhang Zong-hua, and Chen Xiao-feng. Certificateless remote anonymous authentication schemes for wireless body area networks[J].&, 2014, 25(2): 332-342.

[3] 光焱, 顧純祥, 祝躍飛, 等. 一種基于LWE問題的無證書全同態(tài)加密體制[J]. 電子與信息學(xué)報(bào), 2013, 35(4): 988-993.

Guang Yan, Gu Chun-xiang, Zhu Yue-fei,.. Certificateless fully homomorphic encryption based on LWE problem[J].&, 2013, 35(4): 988-993.

[4] Zhang Lei, Wu Qian-hong, Josep Domingo-Ferrerc,.. Signatures in hierarchical certificateless cryptography: efficient constructions and provable security[J]., 2014, 272: 223-237.

[5] Boneh D, Gentry C, Lynn B,.. Aggregate and verifiably encrypted signatures from bilinear maps[C]. Proceedings of theCryptology-Eurocrypt, Warsaw, Poland, 2003: 416-432.

[6] Xiong Hu, Guan Zhi, Chen Zhong,An efficient certificateless aggregate signature with const pairing computations[J]., 2013, 219: 225-235.

[7] He De-biao, Tian Miao-miao, and Chen Jian-hua. Insecurity of an ef?cient certi?cateless aggregate signature with constant pairing computations [J]., 2014, 268: 458-462.

[8] 明洋, 趙祥模, 王育民. 無證書聚合簽名方案[J]. 電子科技大學(xué)學(xué)報(bào), 2014, 43(2): 188-193.

Ming Yang, Zhao Xiang-mo, and Wang Yu-ming. Certificateless aggregate signature scheme[J]., 2014, 43(2): 188-193.

[9] Gong Zheng, Long Yu, Hong Xuan,.Two certificateless aggregate signatures from bilinear maps [C]. Proceedings of Software Engineering, Artificial Intelligence, Networking, and Parallel/Distributed Computing, Qingdao, China, 2007: 188-193.

[10] Zhang Lei and Zhang Fu-tai. A new certificateless aggregation signature shceme[J]., 2009, 32(6): 1079-1085.

[11] Au Man-ho, Mu Yi, Chen Jing,.. Malicious KGC attack in certificateless cryptography[C]. Proceedings of the ASIACCS2007, New York, USA, 2007: 302-311.

[12] 張福泰, 孫銀霞, 張磊, 等. 無證書公鑰密碼體制研究[J]. 軟件學(xué)報(bào), 2011, 22(6): 1316-1332.

Zhang Fu-tai, Sun Yin-xia, Zhang Lei,.. Research on certificateless public key cryptography [J]., 2011, 22(6): 1316-1332.

[13] 喻琇瑛, 何大可. 一種新的無證書聚合簽名[J]. 計(jì)算機(jī)應(yīng)用研究, 2014, 31(8): 2485-2487.

Yu Xiu-ying and He Da-ke. New certificateless aggregate signature scheme [J]., 2014, 31(8): 2485-2487.

[14] 侯紅霞,張雪鋒,董曉麗. 改進(jìn)的無證書聚合簽名方案[J].山東大學(xué)學(xué)報(bào)(理學(xué)版), 2013, 48(9): 29-34.

Hou Hong-xia, Zhang Xue-feng, and Dong Xiao-li. Improved certificateless aggregate signature scheme[J].(), 2013, 48(9): 29-34.

Security Analysis and Improvements of Certificateless Aggregate Signature Schemes

Zhang Yu-lei①Li Chen-yi①Wang Cai-fen①Zhang Yong-jie②

①(,,730070,)②(,730000,)

The security ofcertificateless signature scheme which was proposed by He. (2014) is analyzed, and the security of the certificateless aggregate signature scheme which was proposed by Ming. (2014) is analyzed too. It is pointed out that the Key Generation Center (KGC) can realize the passive attacks in the Ming’s scheme. It is also pointed out that KGC can realize the passive attack and initiative attack respectively in the Nimg’s scheme. The processes of concrete forgery attacks which perfored by KGC are shown, and the possible reasons are analyzed. Finally, two improved Ming’s schemes are proposed. The improved schemes not only overcome the security problem of original scheme but also have an advantage that the length of aggregated signature is fixed.

Cryptography; Aggregate signature; Certificateless signature; Key Generation Center (KGC) attack; Chosen message attack; Computational Diffie-Hellman Hard problem (CDH)

TP309

A

1009-5896(2015)08-1994-06

10.11999/JEIT141635

王彩芬 wangcf@nwnu.edu.cn

2014-12-25收到，2015-03-23改回，2015-06-09網(wǎng)絡(luò)優(yōu)先出版

國家自然科學(xué)基金(61163038, 61262056, 61262057)，甘肅省高等學(xué)?？蒲许?xiàng)目(2013A-014)和西北師范大學(xué)青年教師科研能力提升計(jì)劃項(xiàng)目(NWNU-LKQN-12-32)資助課題

張玉磊： 男，1979年生，博士，副教授，研究方向?yàn)槊艽a學(xué)與信息安全.

李臣意： 男，1989年生，碩士，研究方向?yàn)槊艽a學(xué)與信息安全.

王彩芬： 女，1963年生，博士，教授，博士生導(dǎo)師，研究方向?yàn)槊艽a學(xué)與信息安全.

張永潔： 女，1978年生，碩士，副教授，研究方向?yàn)槊艽a學(xué)與信息安全.