湯鵬志， 張慶蘭， 楊俊芳， 郭紅麗

(1.華東交通大學(xué) 理學(xué)院 江西 南昌 330013；2.華東交通大學(xué) 系統(tǒng)工程與密碼學(xué)研究所 江西 南昌 330013)

一種新的無證書多代理簽密方案

湯鵬志1,2， 張慶蘭1,2， 楊俊芳1,2， 郭紅麗1,2

(1.華東交通大學(xué) 理學(xué)院 江西 南昌 330013；2.華東交通大學(xué) 系統(tǒng)工程與密碼學(xué)研究所 江西 南昌 330013)

將無證書簽密與多代理簽名相結(jié)合，提出了一種新的無證書多代理簽密方案，同時，在判定雙線性Diffie-Hellman問題困難性的假設(shè)下證明了方案的機(jī)密性和不可偽造性.而且該方案是基于橢圓曲線公鑰密碼算法，通過與其他方案的對比，發(fā)現(xiàn)該方案計算量和通信成本都比較小，安全性和效率相對較高.

數(shù)字簽名； 多代理簽密； 不可偽造性； 機(jī)密性

0 引言

2003年，Al Riyami和Paterson提出了首個無證書簽名方案，解決了基于身份和基于證書公鑰密碼體制中的證書管理問題以及密鑰托管問題[1].2008年，Barbosa和Farshim結(jié)合無證書密碼和簽密體制，首次提出了無證書簽密[2].代理簽密是代理簽密者行使原始簽密的簽密權(quán)利，而無證書代理簽密方案是無證書簽密和代理簽名的結(jié)合，沒有密鑰托管和證書管理的問題.2010年，俞慧芳等提出了一種可行性高的無證書代理簽密方案[3].2010年，Yu等提出了一種自認(rèn)證多代理簽密方案[4].2012年，張龍軍等提出了基于無證書簽密的代理移動IPv6認(rèn)證方案，該方案結(jié)合了無證書簽密和代理移動 IPv6 的實(shí)際環(huán)境，有效地解決了無限網(wǎng)絡(luò)環(huán)境中的密鑰管理問題[5].2013年，Li等提出了具有前向安全性的無證書多代理簽密方案，該方案能有效地防止無證書密碼體制中公鑰替換和惡意的秘鑰生成中心攻擊[6].2013年，李超零等提出基于身份的代理重簽名廣播簽密方案，該方案利用代理重簽名將原簽密者的廣播簽密轉(zhuǎn)換為重簽密者的廣播簽密，同時在困難問題假設(shè)下證明了方案的安全性[7].2014年，明洋等提出標(biāo)準(zhǔn)模型下安全基于身份代理簽密方案，該方案在Diffie-Hellman問題假設(shè)下具有機(jī)密性和不可偽造性[8].2015年，劉禎等提出了基于二次剩余的匿名代理者簽密方案，此方案將二次剩余的方法應(yīng)用到簽密方案中，提高了方案的安全性和效率[9].王冠眾等提出基于可轉(zhuǎn)換代理簽密的SAML跨域單點(diǎn)登錄認(rèn)證協(xié)議，該方案利用可轉(zhuǎn)換代理簽密算法在減少計算量的同時也可以保證用戶隱私安全[10].

本文將無證書簽密和多代理簽名相結(jié)合，提出一個計算量和通信成本都相對較小的無證書多代理簽密方案，并且在移動設(shè)備等有限的帶寬場合有一定的實(shí)用性.

1 預(yù)備知識

2 安全模型[13]

在無證書密碼體制中，有兩種類型且具備不同能力的敵手AI，AⅡ.假設(shè)AI模擬的是不誠實(shí)用戶，而AⅡ是一個惡意但被動的密鑰生成中心(KGC).

類型Ⅰ的敵手AⅠAⅠ不知道系統(tǒng)主密鑰及用戶的部分私鑰，但是可以替換用戶的公鑰.因?yàn)樵跓o證書公鑰密碼系統(tǒng)中，公鑰和持有者之間沒有認(rèn)證存在.

類型Ⅱ的敵手AⅡAⅡ知道系統(tǒng)主密鑰和用戶的部分私鑰，但是它不能替換用戶的公鑰.

由于類型Ⅱ的敵手攻擊性更強(qiáng)，本文只證明在類型Ⅱ攻擊者攻擊下的機(jī)密性和不可偽造性，對于類型Ⅰ的證明過程類似(只是訊問過程有些不同[14])

游戲1 (針對類型Ⅱ敵手AⅡ的IND-CLSC-CCA2游戲)

這是一個挑戰(zhàn)者C和攻擊無證書多代理簽密方案機(jī)密性的類型Ⅱ敵手AⅡ之間的游戲.

初始化階段：AⅡ生成系統(tǒng)主密鑰msk和系統(tǒng)參數(shù)params，并將params和msk發(fā)送給挑戰(zhàn)者C.

第一階段：AⅡ可以適應(yīng)性地執(zhí)行多項式有界次以下預(yù)言機(jī)詢問.

(1) 哈希詢問：AⅡ可以向挑戰(zhàn)者C詢問任何哈希函數(shù)的值;

(2) 部分密鑰提取詢問：當(dāng)AⅡ提交身份IDU詢問其對應(yīng)的部分密鑰時，C將部分密鑰返回給AⅡ;

(3) 公鑰詢問：當(dāng)AⅡ提交身份IDU詢問其對應(yīng)的公鑰時，C將公鑰pkU返回給AⅡ;

(4) 私鑰提取詢問：當(dāng)AⅡ提交身份IDU請求詢問其完整私鑰時，如果該身份對應(yīng)的公鑰沒有被替換過，C將該身份對應(yīng)的私鑰skU返回給AⅡ，否則不能詢問該身份對應(yīng)的私鑰;

(5) 代理密鑰提取詢問：當(dāng)AⅡ提交身份IDU詢問其對應(yīng)的代理密鑰時，C將代理密鑰返回給AⅡ.

(6) 代理簽密詢問：當(dāng)AⅡ提交發(fā)送者身份IDS、接收者的身份IDR和消息M,C將消息M、發(fā)送者的私鑰skS、接收者的公鑰pkR、代理密鑰作為輸入，執(zhí)行簽密算法并將結(jié)果σ返回給AⅡ.但是有可能C不知道發(fā)送者的秘密值，因?yàn)榕c其身份對應(yīng)的公鑰可能已經(jīng)被替換，這就需要敵手AⅡ提供發(fā)送者的密鑰;

(7) 解簽密詢問：當(dāng)AⅡ提交一個密文σ、發(fā)送者的身份IDS和接收者身份IDR，C將密文σ、接收者的私鑰skR、發(fā)送者的公鑰pkS、代理密鑰作為輸入，執(zhí)行解簽密算法并將結(jié)果返回給AⅡ.如果接收者的公鑰被替換過，則需要敵手AⅡ提供接收者的密鑰.

挑戰(zhàn)階段：AⅡ提交兩個不同的身份S*、R*和兩個等長的消息M0、M1，C隨機(jī)選擇b∈{0,1}，利用S*對應(yīng)的私鑰和R*對應(yīng)的公鑰對消息Mb進(jìn)行簽密，得到密文σ*，然后將σ*返回給AⅡ.

第二階段：AⅡ可以適應(yīng)性地執(zhí)行與第一階段相同類型的詢問.

猜測：AⅡ輸出比特b′.如果b′=b，而且以下2個條件均成立，那么敵手AⅡ獲勝.

(1)AⅡ從來沒有詢問過被挑戰(zhàn)者R*的私鑰；

(2) 在第二階段，AⅡ不能以S*和R*的名義對被挑戰(zhàn)密文σ*進(jìn)行解簽密詢問.

游戲2 (針對類型Ⅱ敵手AⅡ的EUF-CLSC-CMA游戲)

這是一個挑戰(zhàn)者C和攻擊無證書簽密方案不可偽造性的類型Ⅱ敵手AⅡ之間的游戲.

初始化階段：AⅡ選擇系統(tǒng)主密鑰msk和系統(tǒng)參數(shù)params，并將params和msk發(fā)送給挑戰(zhàn)者C.

詢問階段：AⅡ執(zhí)行與游戲1中完全一樣的詢問.

最后，AⅡ輸出一個不是由簽密詢問得到的σ*.如果將IDS*、pkS*、skR*和σ*作為輸入執(zhí)行解簽密算法得到的結(jié)果不是⊥，AⅡ且從來沒有詢問過S*的私鑰，那么敵手AⅡ獲勝.

定義3 (機(jī)密性) 對于無證書簽密方案，如果敵手AⅡ不能在多項式時間內(nèi)，以不可忽略的優(yōu)勢贏得游戲IND-CLSC-CCA2，那么稱該方案在適應(yīng)性選擇密文攻擊下是語義安全，或者密文是不可區(qū)分的.

定義4 (不可偽造性) 對于無證書簽密方案，如果敵手AⅡ不能在多項式時間內(nèi)，以不可忽略的優(yōu)勢贏得游戲EUF-CLSC-CMA，那么稱該方案在適應(yīng)性選擇消息攻擊下是存在性不可偽造的.

3 無證書多代理簽密方案

3.1 參數(shù)選取

3.2 密鑰生成

3.3 委托過程

原始簽密人A將簽密權(quán)利授權(quán)給代理簽密組成員.

3.4 代理簽密的生成過程

假設(shè)B負(fù)責(zé)將每個代理簽密者的密文組合成最終密文.R為接收者，簽密過程如下：

(4) 每個代理簽密成員nj計算hj=H4(IDR,m,Yj,T,K1+K2)，sj=tj(Xj+hj)-1，將sj作為部分簽密發(fā)送給B;

3.5 代理簽密的簽名驗(yàn)證和解密過程

R收到簽密數(shù)σ=(W,S,T,K1,K2,c)之后,執(zhí)行以下步驟：

4 正確性分析

(1) 代理授權(quán)過程密鑰生成的正確性.接收者收到(K1,K2,w)之后驗(yàn)證下列等式.

(2) 解簽密過程的正確性.

即驗(yàn)證等式成立,接收者R接受該簽名.

5 安全性與效率分析

5.1 保密性

定理1(類型2攻擊下的保密性) 在隨機(jī)預(yù)言機(jī)模型和BDHP困難問題假設(shè)下，對于類型Ⅱ的攻擊者AⅡ能以不可忽略的概率贏得游戲IND-CLSC-CCA2.那么，存在算法C能夠解決BDH問題.

證明 假設(shè)算法C能解決BDHP，即輸入(P,uP,vP,wP),計算e(P,P)uvw.以算法C模擬挑戰(zhàn)者，與攻擊者AⅡ進(jìn)行交互游戲.假設(shè)攻擊者AⅡ在多項式時間內(nèi)可向C進(jìn)行多項式有限次H1詢問、H2詢問、H3詢問、H4詢問，部分密鑰提取詢問、用戶私鑰提取詢問、公鑰提取詢問、代理密鑰詢問、代理簽密詢問、解密詢問；列表LH1、LH2、LH3、LH4、LBM、LSK、LPK、LPR、LPQM、LJM用于記錄每次詢問的情況.

系統(tǒng)參數(shù)設(shè)置:挑戰(zhàn)者C，生成系統(tǒng)參數(shù)param={G1,G2,q,P,Ppub,H1,H2,H3,e}，并將系統(tǒng)參數(shù)發(fā)送給攻擊者AⅡ；假設(shè)用戶的長期公鑰ykgc=uP，以u來模擬用戶的長期私鑰，且在詢問過程中不能詢問目標(biāo)用戶的私鑰；目標(biāo)用戶ID*=IDk，0

(6) 私鑰提取詢問 當(dāng)C收到AⅡ關(guān)于IDi的私鑰提取詢問，C先檢查列表LSK.若(IDi,xi,yi)在列表LSK中，那么C將相應(yīng)的xi發(fā)送給AⅡ；否則：

(b) 當(dāng)i=k時，算法停止.

(7) 公鑰提取詢問 當(dāng)C收到AⅡ關(guān)于IDi的公鑰提取詢問，C先檢查列表LPK.若(IDi,xi,yi)在列表LPK中，那么C將相應(yīng)的xi發(fā)送給AⅡ；否則：

(b) 當(dāng)i=k時，用戶私鑰用⊥表示，公鑰為yk，將yk發(fā)送給AⅡ，并且將(IDi,⊥,yk)添加到列表LPK.

(10) 解簽密詢問 當(dāng)C收到AⅡ關(guān)于(IDi,IDj,IDRi)的解密詢問，若(IDi,IDjIDRi,Wi,Si,Ti,K1i,K2i,ci,mi)在列表LJM中，則返回mi給AⅡ；否則：

1) α=1；

2) 若α

4) 查詢列表LH3，得到h3i，計算mi=c⊕h3i；

5)α=α+1，跳到第2)步.

最后C將輸出的mi發(fā)送給AⅡ.

5.2 不可偽造性

定理2(類型2攻擊下的不可偽造性) 在隨機(jī)預(yù)言機(jī)模型和DL困難問題假設(shè)下，對于類型Ⅱ的攻擊者，AⅡ能以不可忽略的概率贏得游戲EUF-CLSC-CMA.那么，存在算法C能夠解決DL問題.

證明 算法C能解決DL問題，即輸入y=uP，輸出u.假設(shè)系統(tǒng)參數(shù)設(shè)置和詢問過程與定理1相同.

5.3 效率以及與其他方案的性能比較分析

方案是基于橢圓曲線加密體制[15]，只在代理簽密階段和解簽密階段分別運(yùn)用了1次雙線性對運(yùn)算,代理委托階段只進(jìn)行橢圓曲線上的數(shù)乘運(yùn)算,因此，此方案的效率相比與文獻(xiàn)[4]和[6]都要高.用H表示哈希函數(shù)運(yùn)算，用M表示橢圓曲線上的數(shù)乘運(yùn)算，E表示指數(shù)運(yùn)算，P表示雙線性對運(yùn)算，具體的方案效率分析及比較見表1.

表1 與其他方案的性能比較

6 實(shí)現(xiàn)與應(yīng)用

在實(shí)際應(yīng)用中，多代理簽密在移動設(shè)備和無線傳感網(wǎng)絡(luò)等有限帶寬的場合有一定的實(shí)用性.汽車的自動駕駛依賴于車聯(lián)網(wǎng)，汽車要能夠安全的自動駕駛，各輛汽車之間必須能夠進(jìn)行相互的信息交流，在信息交流的過程中需要保證信息的完整性、正確性和保密性，這就必須通過有效的密碼系統(tǒng)對消息進(jìn)行加密認(rèn)證來實(shí)現(xiàn).本文方案的計算和通信成本都比較低，將此多代理簽密算法應(yīng)用到自駕系統(tǒng)中來保證消息的安全傳輸是可行的.

[1] AL R S, PATERSON K. Certificateless public key cryptography [J]. Lecture notes in computer science,2003,2894(2):452-473. [2] BARBOSA M,FARSHIM P. Certificateless signcryption [C]∥Proceedings of the 2008 ACM Symposium on Information Computer and Communications Security.Tokyo,2008: 369-372.

[3] 俞惠芳,王彩芬,王之倉. 基于 ECC 的自認(rèn)證代理簽密方案[J].計算機(jī)科學(xué),2010,37(7) : 91-92.

[4] 俞惠芳,趙海興,王之倉,等. 無可信中心的自認(rèn)證多代理簽密方案[J].計算機(jī)工程與科學(xué),2010,32(8) :14-16.

[5] 張龍軍,莫天慶,趙李懿. 基于無證書簽密的代理移動IPv6認(rèn)證方案[J].計算機(jī)應(yīng)用研究,2012,29(2):640-643.

[6] 李方偉,余航,朱江. 前向安全的無證書多代理簽密方案[J].重慶郵電大學(xué)學(xué)報(自然科學(xué)版),2013,25(6):850-851.

[7] 李超零,陳越,王成良,等. 基于身份的代理重簽名廣播簽密方案[J].計算機(jī)科學(xué),2013,40(5):153-157.

[8] 明洋,馮杰,胡齊俊. 標(biāo)準(zhǔn)模型下安全基于身份代理簽密方案[J].計算機(jī)應(yīng)用,2014,34(10):2834-2839.

[9] 劉禎,楊啟良,楊波. 基于二次剩余的匿名代理者簽密方案[J].計算機(jī)工程,2015,41(2) :129-134.

[10]王冠眾,張斌,費(fèi)曉飛,等. 基于可轉(zhuǎn)換代理簽密的SAML跨域單點(diǎn)登錄認(rèn)證協(xié)議[J].計算機(jī)科學(xué),2015,42(4):106-110.[11]李發(fā)根. 基于雙線性對的簽密體制研究[D]. 西安: 西安電子科技大學(xué), 2007.

[12]周玉潔, 馮登國. 公開密鑰密碼算法及其快速實(shí)現(xiàn)[M]. 北京：國防工業(yè)出版社,2002.

[13]張華,溫巧燕,金正平.可證明安全算法與協(xié)議[M].北京:科學(xué)出版社,2012.

[14]文佳駿,左黎明,李彪.一個高效的無證書代理盲簽名方案[J].計算機(jī)工程與科學(xué),2014,36(3):452-457

[15]仇婷婷.基于橢圓曲線加密體制的ONS安全研究[D].鄭州:鄭州大學(xué)，2013.

(責(zé)任編輯：方惠敏)

A New Certificateless Multi-proxy Signcryption Scheme

TANG Pengzhi1,2, ZHANG Qinglan1,2, YANG Junfang1,2, GUO Hongli1,2

(1.SchoolofBasicScience,EastChinaJiaotongUniversity,Nanchang330013,China;2.SECInstitute,EastChinaJiaotongUniversity,Nanchang330013,China)

By combining certificateless signcryption and multi-proxy signature, a new certificateless multi-proxy signcryption scheme was proposed. At the same time, The confidentiality and unforgeability of the scheme was proved under determine bilinear diffie-Hellman(DBDH) assumption. And the scheme was based on the elliptic curve public key cryptographic algorithms, in comparison with other schemes, the computations and the costs of the scheme were relatively small, but the safety and efficiency were relatively high.

digital signature; multi-proxy signcryption; unforgeability; confidentiality

2015-11-14

國家自然科學(xué)基金資助項目 (61472138,61263032); 江西省科技廳科技項目(20151BDH80071);江西省高?？萍悸涞赜媱濏椖?KJLD12067);江西省教育廳科研項目(GJJ13339)；華東交通大學(xué)校立科研基金項目(11JC04).

湯鵬志(1961—)，男，江西九江人，教授，碩士，主要從事信息安全研究，E-mail：470620480@qq.com；通訊作者：張慶蘭(1989—)，女，江西贛州人，碩士研究生，主要從事信息安全研究，E-mail：317391072@qq.com.

湯鵬志，張慶蘭，楊俊芳，等.一種新的無證書多代理簽密方案[J].鄭州大學(xué)學(xué)報(理學(xué)版)，2016,48(2)：40-46.

TP309

A

1671-6841(2016)02-0040-07

10.13705/j.issn.1671-6841.2015255