秦艷琳，吳曉平，胡衛(wèi)

?

高效的無(wú)證書(shū)多接收者匿名簽密方案

秦艷琳，吳曉平，胡衛(wèi)

（海軍工程大學(xué)信息安全系，湖北武漢 430033）

針對(duì)已有的基于身份的多接收者簽密方案存在的密鑰托管問(wèn)題，研究了無(wú)證書(shū)多接收者簽密安全模型，進(jìn)而基于橢圓曲線密碼體制，提出一個(gè)無(wú)證書(shū)多接收者簽密方案，并在隨機(jī)預(yù)言機(jī)模型下證明方案的安全性建立在計(jì)算Diffie-Hellman問(wèn)題及橢圓曲線離散對(duì)數(shù)問(wèn)題的困難性之上。該方案無(wú)需證書(shū)管理中心，在簽密階段和解簽密階段均不含雙線性對(duì)運(yùn)算，且可確保發(fā)送者和接收者的身份信息不被泄露，可以方便地應(yīng)用于網(wǎng)絡(luò)廣播簽密服務(wù)。

無(wú)證書(shū)公鑰密碼；多接收者匿名簽密；計(jì)算Diffie-Hellman問(wèn)題；橢圓曲線離散對(duì)數(shù)問(wèn)題；隨機(jī)預(yù)言機(jī)

1 引言

簽密機(jī)制是由Zheng[1]首次提出的一種使用戶(hù)同時(shí)實(shí)現(xiàn)對(duì)消息的簽名及加密功能的密碼應(yīng)用算法，該方案所消耗的通信和計(jì)算代價(jià)遠(yuǎn)小于“先簽名，后加密”的傳統(tǒng)方案。在實(shí)際應(yīng)用中，學(xué)者將簽密思想與不同的應(yīng)用場(chǎng)景結(jié)合，設(shè)計(jì)了多種具有特殊性質(zhì)的簽密算法。如在具體的網(wǎng)絡(luò)應(yīng)用中，某些消息的發(fā)布者或軟件的提供商通常需要對(duì)消息（軟件）進(jìn)行簽密后分發(fā)給特定的多個(gè)接收者，付費(fèi)或授權(quán)的接收者可以對(duì)接收到的簽密消息進(jìn)行解密驗(yàn)證，過(guò)濾掉其中的無(wú)用信息，獲得需要的服務(wù)或信息。針對(duì)此種實(shí)際應(yīng)用，眾多學(xué)者利用傳統(tǒng)公鑰密碼體制和基于身份的公鑰密碼體制提出了多接收者簽密方案[2~9]，文獻(xiàn)[3]利用基于身份的公鑰密碼體制設(shè)計(jì)了一種多接收者匿名簽密方案，用戶(hù)私鑰完全由KGC產(chǎn)生，導(dǎo)致惡意的KGC可以偽造合法用戶(hù)的私鑰，即存在密鑰托管問(wèn)題。文獻(xiàn)[4]提出一種基于門(mén)限解密的多接收者簽密方案，該方案同樣是由基于身份的公鑰密碼體制構(gòu)建，因此存在密鑰托管問(wèn)題，并且方案聲稱(chēng)能實(shí)現(xiàn)接收者的匿名性，但實(shí)際上在傳遞的密文中必須包含與各接收者身份信息對(duì)應(yīng)的列表才能實(shí)現(xiàn)正確解密，故無(wú)法保護(hù)接收者的身份隱私，同時(shí)方案中沒(méi)有明確簽密者身份信息是以何種方式傳遞給接收者，若為默認(rèn)的明文傳輸，則無(wú)法確保簽密者身份的匿名性。文獻(xiàn)[5]提出一種基于身份的多接收者簽密方案，存在密鑰托管問(wèn)題，且算法的驗(yàn)證等式中沒(méi)有使用簽密者的身份信息，導(dǎo)致無(wú)法確定簽密消息的來(lái)源，同時(shí)密文中仍包含了接收者身份信息列表，無(wú)法實(shí)現(xiàn)接收者的匿名性。文獻(xiàn)[6]提出2種基于身份的廣播簽密方案，存在密鑰托管問(wèn)題，并且所提2種算法在簽密階段和解簽密階段均使用了系統(tǒng)主密鑰，與基于身份的簽密方案的基本構(gòu)造違背，同時(shí)文獻(xiàn)[7]指出這2種方案均存在簽密密文偽造，難以實(shí)現(xiàn)消息的機(jī)密性和認(rèn)證性；在密文中雖然沒(méi)有接收者的身份信息，但是每個(gè)接收者在恢復(fù)原始消息時(shí)實(shí)際上需要用到其他用戶(hù)的身份信息，因此無(wú)法確保接收者身份的匿名性，同時(shí)該算法中沒(méi)有明確給出簽密的驗(yàn)證算法，解簽密算法還包含了復(fù)雜的雙線性對(duì)運(yùn)算。文獻(xiàn)[8,9]中的多接收者簽密方案均利用基于身份的公鑰密碼體制構(gòu)建，且文獻(xiàn)[9]并未給出具體的簽密算法。文獻(xiàn)[10]中的多接收者簽密方案基于傳統(tǒng)公鑰密碼構(gòu)建，但傳統(tǒng)公鑰密碼體制中公鑰證書(shū)的管理需要巨大的通信、存儲(chǔ)開(kāi)支，不方便大規(guī)模的網(wǎng)絡(luò)應(yīng)用。為突破上述2類(lèi)公鑰密碼體制的局限性，Alriyami等[11]提出了無(wú)證書(shū)公鑰密碼學(xué)，文獻(xiàn)[12]提出一種基于多變量公鑰密碼體制的無(wú)證書(shū)多接收者簽密方案，該方案具有較高的運(yùn)算效率，消除了密鑰托管的隱患，密文中對(duì)接收者的身份信息進(jìn)行了加密處理，使攻擊者無(wú)法從中得到接收者的身份，但是方案沒(méi)有對(duì)簽密者的身份進(jìn)行保護(hù)且接收群組內(nèi)的成員可以獲知其他接收者的身份，這在某些情境下也不利于用戶(hù)隱私的保護(hù)。

針對(duì)上述問(wèn)題，本文基于無(wú)證書(shū)公鑰密碼，在對(duì)前人提出的不使用雙線性對(duì)的無(wú)證書(shū)簽密方案[13~15]進(jìn)行分析研究的基礎(chǔ)上，借鑒文獻(xiàn)[3]中保護(hù)接收者匿名性的思想，設(shè)計(jì)了一個(gè)無(wú)證書(shū)多接收者簽密方案，并在隨機(jī)預(yù)言機(jī)模型下證明了方案的安全性，方案能同時(shí)保護(hù)簽密者和接收者的身份隱私，而且由于方案中沒(méi)有使用雙線性對(duì)運(yùn)算，因此與同類(lèi)方案相比具有較高的運(yùn)行效率。

2 背景知識(shí)

2.1 無(wú)證書(shū)簽密方案的構(gòu)成

無(wú)證書(shū)簽密方案由簽密方（ID）、接收方（ID）及密鑰生成中心(KGC)通過(guò)執(zhí)行以下算法構(gòu)成。

設(shè)置系統(tǒng)參數(shù)：以安全參數(shù)作為輸入，KGC設(shè)置公開(kāi)的系統(tǒng)參數(shù)，產(chǎn)生系統(tǒng)主密鑰并嚴(yán)格保密。

設(shè)置用戶(hù)部分公、私鑰：以系統(tǒng)參數(shù)、主密鑰和用戶(hù)身份u作為輸入，KGC設(shè)置用戶(hù)的部分公、私鑰（u,u）。

設(shè)置用戶(hù)秘密值：以系統(tǒng)參數(shù)、用戶(hù)身份u作為輸入，簽密用戶(hù)設(shè)置自己的秘密值u。

設(shè)置用戶(hù)私鑰：以系統(tǒng)參數(shù)、用戶(hù)身份u、部分私鑰u、秘密值u作為輸入，簽密用戶(hù)設(shè)置自己的完整私鑰u。

設(shè)置用戶(hù)公鑰：算法由簽密用戶(hù)執(zhí)行。以系統(tǒng)參數(shù)、用戶(hù)身份u、部分公鑰u、秘密值u作為輸入，設(shè)置自己的完整公鑰u。

簽密算法：該算法以系統(tǒng)參數(shù)、明文消息、簽密者身份ID、簽密者私鑰SK、接收者身份ID、接收者公鑰PK作為輸入，簽密方最終輸出對(duì)消息的簽密密文。

2.2 困難問(wèn)題

計(jì)算性Diffie-Hellman問(wèn)題（CDLP）：設(shè)是由橢圓曲線上的點(diǎn)構(gòu)成的階為素?cái)?shù)的加法循環(huán)群，為中的一個(gè)生成元，已知,∈，計(jì)算。

橢圓曲線離散對(duì)數(shù)問(wèn)題（ECDLP）：設(shè)是由橢圓曲線上的點(diǎn)構(gòu)成的階為素?cái)?shù)的加法循環(huán)群，為中的一個(gè)生成元，已知∈，求解。

3 無(wú)證書(shū)多接收者簽密安全模型

文獻(xiàn)[4]給出了基于身份的門(mén)限解密多接收者簽密方案的安全模型，文獻(xiàn)[14]給出了無(wú)證書(shū)簽密方案的安全模型，本節(jié)在對(duì)文獻(xiàn)[4,14]中的2類(lèi)安全模型進(jìn)行分析研究的基礎(chǔ)上給出無(wú)證書(shū)多接收者簽密的安全模型。首先，攻擊無(wú)證書(shū)簽密方案的敵手目前主要分為2類(lèi)：一類(lèi)敵手可以任意替換用戶(hù)的公開(kāi)密鑰，但是無(wú)法得到系統(tǒng)主密鑰，將該類(lèi)敵手標(biāo)記為I；另一類(lèi)敵手可以得到系統(tǒng)主密鑰，但是不能對(duì)用戶(hù)公鑰進(jìn)行替換，將該類(lèi)敵手標(biāo)記為II。

一個(gè)安全的無(wú)證書(shū)簽密方案通常應(yīng)滿(mǎn)足選擇消息攻擊下密文的機(jī)密性和簽名的不可偽造性。本文利用一個(gè)由敵手（包括I和II）和挑戰(zhàn)者參與的游戲來(lái)定義無(wú)證書(shū)多接收者簽密的安全模型。

定義1 假設(shè)攻擊者為第一類(lèi)敵手I，如果I在概率多項(xiàng)式時(shí)間內(nèi)不能以不可忽略的優(yōu)勢(shì)在以下設(shè)置的游戲中勝出，則稱(chēng)無(wú)證書(shū)多接收者簽密方案在適應(yīng)性選擇密文攻擊下滿(mǎn)足不可區(qū)分性。

參數(shù)設(shè)置：挑戰(zhàn)者設(shè)置系統(tǒng)主密鑰和公共參數(shù)，并將系統(tǒng)公共參數(shù)傳遞給I。在接收到系統(tǒng)公共參數(shù)后，I輸出個(gè)目標(biāo)身份。I向挑戰(zhàn)者發(fā)起以下幾種詢(xún)問(wèn)。

散列詢(xún)問(wèn)：I就輸入的任意散列值進(jìn)行詢(xún)問(wèn)。

部分私鑰生成詢(xún)問(wèn)：I向發(fā)送對(duì)身份的部分私鑰生成詢(xún)問(wèn)，生成該身份的部分私鑰W，進(jìn)而返回給I。

秘密值生成詢(xún)問(wèn)：I向發(fā)送對(duì)身份的秘密值生成詢(xún)問(wèn)，生成該身份的秘密值u，并返回給I。

公鑰生成詢(xún)問(wèn)：I向發(fā)送對(duì)身份的公鑰生成詢(xún)問(wèn)，生成用戶(hù)的公鑰PK，并返回給I。

用戶(hù)公鑰替換：對(duì)任意身份，I可以選擇一個(gè)新公鑰來(lái)替換用戶(hù)原有的公鑰PK。

簽密詢(xún)問(wèn)：I選取消息，接收者身份=(1,2,…,ID)及簽密者身份u，向進(jìn)行簽密詢(xún)問(wèn)，分別生成接收者ID∈的公鑰PK和簽密者u的私鑰u。計(jì)算=Signcrypt(,,,u)，并返回給I。

解簽密詢(xún)問(wèn)：收到該詢(xún)問(wèn)后，計(jì)算接收者ID∈的私鑰SK和u的公鑰u。由解簽密算法計(jì)算Unsigncrypt(,,u,SK)，返回明文或“拒絕”給I。

挑戰(zhàn)：I選擇2個(gè)等長(zhǎng)的消息0、1和一個(gè)希望挑戰(zhàn)的身份，計(jì)算的私鑰，隨機(jī)選擇∈{0,1},計(jì)算，將發(fā)送給I。

猜測(cè)：I像詢(xún)問(wèn)階段一樣進(jìn)行多次詢(xún)問(wèn)（注意不允許對(duì)進(jìn)行部分私鑰生成詢(xún)問(wèn)和私鑰生成詢(xún)問(wèn)，也不能對(duì)進(jìn)行解簽密詢(xún)問(wèn)）。最后，輸出一個(gè)作為對(duì)的猜測(cè)，如果，則I在此游戲中勝出，其優(yōu)勢(shì)為

定義2 假設(shè)攻擊者為第二類(lèi)敵手II，如果II在概率多項(xiàng)式時(shí)間內(nèi)不能以不可忽略的優(yōu)勢(shì)在以下設(shè)置的游戲中勝出，則稱(chēng)無(wú)證書(shū)多接收者簽密方案在適應(yīng)性選擇密文攻擊下具有不可區(qū)分性。

參數(shù)設(shè)置：挑戰(zhàn)者設(shè)置系統(tǒng)主密鑰和公共參數(shù)，并將系統(tǒng)公共參數(shù)傳遞給II。在接收到系統(tǒng)公共參數(shù)后，II輸出個(gè)目標(biāo)身份。

詢(xún)問(wèn)：II進(jìn)行類(lèi)似于定義1中的散列詢(xún)問(wèn)、部分私鑰詢(xún)問(wèn)、秘密值詢(xún)問(wèn)、簽密詢(xún)問(wèn)和解簽密詢(xún)問(wèn)，但不能進(jìn)行“用戶(hù)公鑰替換”。

挑戰(zhàn)和猜測(cè)階段與定義1相同。

定義3I敵手攻擊下的不可偽造性。假設(shè)攻擊者為第一類(lèi)敵手I，如果I在概率多項(xiàng)式時(shí)間內(nèi)不能以不可忽略的優(yōu)勢(shì)在以下設(shè)置的游戲中勝出，則稱(chēng)無(wú)證書(shū)多接收者簽密方案在適應(yīng)性選擇消息攻擊下具有不可偽造性。

參數(shù)設(shè)置：挑戰(zhàn)者設(shè)置系統(tǒng)主密鑰和公共參數(shù)，并將系統(tǒng)公共參數(shù)傳遞給I。在接收到系統(tǒng)公共參數(shù)后，I輸出一個(gè)目標(biāo)身份。

詢(xún)問(wèn)階段與定義1中相同。

偽造：I輸出偽造的簽密消息，如果I沒(méi)有對(duì)進(jìn)行部分私鑰查詢(xún)和秘密值查詢(xún)，不是經(jīng)過(guò)簽密詢(xún)問(wèn)產(chǎn)生，且可以通過(guò)接收者集合中的任意一個(gè)接收者的解密驗(yàn)證，則說(shuō)I在這個(gè)游戲中勝出。

定義4II敵手攻擊下的不可偽造性。假設(shè)攻擊者為第二類(lèi)敵手II，如果II在概率多項(xiàng)式時(shí)間內(nèi)不能以不可忽略的優(yōu)勢(shì)在以下設(shè)置的游戲中勝出，則稱(chēng)無(wú)證書(shū)多接收者簽密方案在適應(yīng)性選擇消息攻擊下具有不可偽造性。

系統(tǒng)參數(shù)設(shè)置及詢(xún)問(wèn)階段與定義2中相同。

偽造：II輸出偽造的簽密消息，如果II沒(méi)有對(duì)進(jìn)行部分私鑰查詢(xún)和秘密值查詢(xún)，不是經(jīng)過(guò)簽密詢(xún)問(wèn)產(chǎn)生，且可以通過(guò)接收者集合中的任意一個(gè)接收者的解密驗(yàn)證，則說(shuō)II在這個(gè)游戲中勝出。

4 無(wú)證書(shū)多接收者簽密方案

1) 設(shè)置系統(tǒng)參數(shù)

KGC設(shè)定一個(gè)系統(tǒng)安全參數(shù)，生成符合安全要求的大素?cái)?shù), 選擇階為素?cái)?shù)的橢圓曲線加法循環(huán)群，選取為加法群的一個(gè)生成元；定義如下4個(gè)安全的散列函數(shù)。

0：{0,1}*××→Z

1：×{0,1}*×→Z

2：→{0,1}*

3：{0,1}*→Z

隨機(jī)選擇整數(shù)∈Z作為系統(tǒng)主密鑰，計(jì)算sys=作為系統(tǒng)公鑰，對(duì)外公開(kāi)系統(tǒng)參數(shù)(,sys,0,1,2,3)，嚴(yán)格保密系統(tǒng)主密鑰，設(shè)定待簽密消息為任意長(zhǎng)的二進(jìn)制序列。

2) 設(shè)置用戶(hù)秘密值

用戶(hù)ID隨機(jī)選擇整數(shù)u∈Z，嚴(yán)格保密并作為自己的秘密值，計(jì)算U=uP，將U||ID安全傳遞給KGC。

KGC在收到消息U||ID以后，隨機(jī)選擇整數(shù)d∈Z，并計(jì)算

D=dP,W=d+0(ID,D,U)

進(jìn)而通過(guò)安全渠道將W||D返回給用戶(hù)ID，用戶(hù)收到KGC的回復(fù)信息后，提取部分私鑰W，將自己的完整私鑰設(shè)置為(u,W)，提取部分公鑰D，將自己的完整公鑰設(shè)置為(U,D)。用戶(hù)可進(jìn)一步驗(yàn)證等式D+0(ID,D,U)sys=WP是否成立來(lái)判斷KGC發(fā)送給自己的部分私鑰的真實(shí)性。

3) 簽密算法

簽密者身份為ID，接收者身份集合為{1,2,…,ID}，簽密者執(zhí)行以下步驟對(duì)消息進(jìn)行簽密。

①隨機(jī)選擇整數(shù)1∈Z，計(jì)算=1和=1(+U,ID,,D),。

②計(jì)算h=0(ID,D,U)，隨機(jī)選擇整數(shù)2∈Z，計(jì)算=2，=2()(||ID||)。

③計(jì)算x=3(ID),1≤≤，計(jì)算拉格朗日差值多項(xiàng)式，其中，c1,c2,…,c∈Z。

④計(jì)算Y=2(U+D+hPsys),,1≤≤。

⑤簽密者將密文=(1,2,…,V,,)分別發(fā)送給接收者1,2,…,ID。

4) 驗(yàn)證簽密算法

接收者ID(1≤≤)執(zhí)行以下步驟對(duì)接收到的簽密密文=(1,2,…,V,,)進(jìn)行解密并驗(yàn)證簽名。

①利用自己的身份信息計(jì)算x=3(ID)，，計(jì)算，恢復(fù)原始消息及簽名。

②從恢復(fù)的消息中得到發(fā)送者的身份信息ID，進(jìn)而計(jì)算和；最后利用發(fā)送者的公鑰信息(U,D)驗(yàn)證是否成立，如果成立，接收者確認(rèn)收到的簽密消息為來(lái)自ID的真實(shí)簽密，否則拒絕該簽密。

下面對(duì)簽密算法的正確性和匿名性進(jìn)行證明。

=2

上述無(wú)證書(shū)多接收者簽密方案中，對(duì)消息發(fā)送者的身份信息ID與消息一起進(jìn)行了加密處理，非合法接收者無(wú)法獲知發(fā)送方的身份信息，由此確保了發(fā)送方身份的匿名性。同時(shí)，借鑒文獻(xiàn)[3]中的思想，利用拉格郎日插值多項(xiàng)式將各個(gè)接收者的身份信息隱藏在 (1,2,…,V）中，密文中無(wú)需加入接收者身份與相關(guān)密文的關(guān)聯(lián)信息，每個(gè)接收者在對(duì)簽密消息進(jìn)行解密的過(guò)程中只需要利用公共的密文信息= (1,2,…,V,,)和自己的身份信息即可，不需要利用其他接收者的身份信息，因此方案可以確保接收者身份不外泄，即使同一接收群組中的成員也無(wú)法獲知其他成員的身份信息。

5 安全性證明

本節(jié)通過(guò)以下4個(gè)定理在隨機(jī)預(yù)言機(jī)模型下證明第4節(jié)中所提無(wú)證書(shū)多接收者簽密方案的安全性。

定理1I敵手攻擊下的不可區(qū)分性。在隨機(jī)預(yù)言機(jī)模型中，如果有敵手I以不可忽略的概率辨別密文，挑戰(zhàn)者可以利用該敵手解決一個(gè)特定的CDHP。

證明是CDHP挑戰(zhàn)者。散列函數(shù)0、1、2和3是隨機(jī)預(yù)言機(jī)，給定{,,}，期望通過(guò)I辨別密文的過(guò)程計(jì)算出。為了達(dá)到挑戰(zhàn)目的，需要設(shè)置系統(tǒng)參數(shù)：sys=及 (,,,sys,0,1,2,3)。把設(shè)置好的系統(tǒng)參數(shù)發(fā)送給I。I輸出個(gè)目標(biāo)身份，并執(zhí)行0，1，2，3散列詢(xún)問(wèn)、部分私鑰詢(xún)問(wèn)、秘密值詢(xún)問(wèn)、公鑰代替詢(xún)問(wèn)、簽密詢(xún)問(wèn)和解簽密詢(xún)問(wèn)，具體詢(xún)問(wèn)過(guò)程如下。

0-散列詢(xún)問(wèn)：I提出針對(duì)身份ID的0-散列詢(xún)問(wèn)，如果列表-0中存在記錄（ID，，U，h），則返回h。否則，選擇隨機(jī)數(shù)h，將（ID，D，U，h）存入-0，并返回h給I。

1?散列詢(xún)問(wèn)：I提出針對(duì)（T+U,ID, m,D）的1?散列詢(xún)問(wèn)，如果列表-1中存在記錄，則返回。否則，選擇隨機(jī)數(shù)∈Z，將存入-1，并返回給I。

2?散列詢(xún)問(wèn)：I提出針對(duì)的2-散列詢(xún)問(wèn)，如果列表-2中存在記錄，則返回。否則，選擇隨機(jī)數(shù)∈Z，將存入-2，并返回給I。

3?散列詢(xún)問(wèn)：I提出針對(duì)身份ID的3-散列詢(xún)問(wèn)，如果列表-3中存在記錄（ID，x），則返回x。否則，選擇隨機(jī)數(shù)x∈Z，將（ID，x）存入-3，并返回x給I。

階段I：I向進(jìn)行以下各項(xiàng)詢(xún)問(wèn)。

1) 公開(kāi)密鑰詢(xún)問(wèn)：I提出針對(duì)身份ID的公開(kāi)密鑰詢(xún)問(wèn)，如果（ID，D，U）在-中，則返回PK=(D，U)，否則，分2種情況進(jìn)行回復(fù)。①如果，隨機(jī)選擇W，，u∈Z，計(jì)算D=WP?sys，U=uP然后，將（ID，，U，）、（ID，，）和（ID，D，U）分別加入-0、-和-中，最后，返回PK=(D，U)給敵手I。②，隨機(jī)選擇u，d，∈Z，計(jì)算U=uP，D=dP，然后將(ID，，)加入-中，將（ID，D，U）加入-中，并返回PK=(D，U)給I。

2) 秘密值詢(xún)問(wèn)：I提出針對(duì)身份ID的秘密值詢(xún)問(wèn)，首先執(zhí)行公開(kāi)密鑰詢(xún)問(wèn)，在-中得到記錄（ID，D，U），進(jìn)而查詢(xún)-得到（ID，，），最后，返回給I。

3) 部分私鑰詢(xún)問(wèn)：I提出針對(duì)身份ID的部分私鑰詢(xún)問(wèn)，執(zhí)行公開(kāi)密鑰詢(xún)問(wèn)，在-中得到記錄（ID,D,U），若，則查詢(xún)-得到（ID,,），并返回給I。否則，返回“拒絕”信息并停止游戲。

4) 公鑰替換詢(xún)問(wèn)：對(duì)于身份ID，I選擇新的公鑰并提供給，將(ID，D，U)替換為新公鑰。

5) 簽密詢(xún)問(wèn)：I提出針對(duì)身份(,= (1,2,…,ID),u)的簽密詢(xún)問(wèn)，做出如下回應(yīng)。①如果，可以通過(guò)查詢(xún)-得到(u,u)，繼而執(zhí)行簽密算法得到(1,2,…,V,,)，并將((,,u,1,2,…,V,,)加入-中，最后,返回(1,2,…,V,,)給I。②若，，=1,2,…,，隨機(jī)選擇整數(shù)，令，計(jì)算，；在-3中查找（ID，x），=1,2,…,，計(jì)算Y=2(U+D+hPsys)，進(jìn)而計(jì)算得到(=1,2,…,)，將簽密密文加入-，將和分別加入-1和-2，最后返回給I。

6) 解簽密詢(xún)問(wèn)：對(duì)(1,2,…,V,,)和身份ID(=1,2,…,)進(jìn)行解簽密詢(xún)問(wèn)，在-3中找到(ID，x)，=1,2,…,，并計(jì)算，在-中查找（ID，u，W），計(jì)算，恢復(fù)，再在-中查找（u,u,u），計(jì)算和u=0(u,u,u)，并驗(yàn)證是否成立，若成立，則(1,2,…,V,,)為有效密文，返回給I；否則，返回“拒絕”。

挑戰(zhàn)階段：I輸出簽密用戶(hù)身份u和2個(gè)長(zhǎng)度相等的明文(0,1)。隨機(jī)選取,，令，并計(jì)算R=lP，在-3中找到與對(duì)應(yīng)的，計(jì)算，并得到，最后，將返回給I。

I經(jīng)過(guò)執(zhí)行類(lèi)似于第一階段中的詢(xún)問(wèn)后（但不能詢(xún)問(wèn)的私鑰，也不能對(duì)進(jìn)行解簽密詢(xún)問(wèn)），輸出作為對(duì)的猜測(cè)，如果猜測(cè)與實(shí)際吻合，則以極大的概率對(duì)R進(jìn)行了2-散列詢(xún)問(wèn)，可以從-2中查找到，并輸出，從而利用敵手I對(duì)密文的辨別解決了一個(gè)特定的CDHP。

定理2II敵手攻擊下的不可區(qū)分性。在隨機(jī)預(yù)言機(jī)模型中，如果有敵手II以不可忽略的概率辨別密文，挑戰(zhàn)者可以利用該敵手解決一個(gè)特定的CDHP。

證明 敵手II可以進(jìn)行類(lèi)似于定理1中的散列詢(xún)問(wèn)，公開(kāi)密鑰詢(xún)問(wèn)，秘密值詢(xún)問(wèn)部分私鑰詢(xún)問(wèn)，簽密詢(xún)問(wèn)，解簽密詢(xún)問(wèn)，與I的區(qū)別在于II不能進(jìn)行公鑰替換詢(xún)問(wèn)，但是能獲知系統(tǒng)主密鑰。

挑戰(zhàn)階段：II經(jīng)過(guò)一系列詢(xún)問(wèn)后，II輸出簽密用戶(hù)身份u和2個(gè)長(zhǎng)度相等的明文(0,1)。隨機(jī)選取,，令，并計(jì)算R=lP，，在-3中找到與對(duì)應(yīng)的，計(jì)算，并得到，最后，將返回給II。

II經(jīng)過(guò)執(zhí)行散列詢(xún)問(wèn)，公開(kāi)密鑰詢(xún)問(wèn)，秘密值詢(xún)問(wèn)，部分私鑰詢(xún)問(wèn)，簽密詢(xún)問(wèn)及解簽密詢(xún)問(wèn)后（但不能詢(xún)問(wèn)的私鑰，也不能對(duì)進(jìn)行解簽密詢(xún)問(wèn)），輸出作為對(duì)的猜測(cè)，如果猜測(cè)與實(shí)際吻合，則以極大的概率對(duì)R進(jìn)行了2-散列詢(xún)問(wèn)，可以從-2中查找到，并輸出，從而利用敵手II對(duì)密文的辨別解決了一個(gè)特定CDHP。

定理3I敵手攻擊下的不可偽造性。假設(shè)I為針對(duì)無(wú)證書(shū)簽密的第一類(lèi)型敵手，如果在隨機(jī)預(yù)言機(jī)模型下，經(jīng)過(guò)有限次詢(xún)問(wèn)I能以不可忽略的概率偽造出合法簽密，則利用該偽造過(guò)程挑戰(zhàn)者能夠給出一個(gè)ECDLP問(wèn)題的解。

給定{,}，ECDLP挑戰(zhàn)者希望利用敵手I偽造一個(gè)合法簽密的過(guò)程計(jì)算出。首先，按照自己的需求將系統(tǒng)參數(shù)設(shè)置為：sys=及 (,,,sys,0,1,2,3)。

接下來(lái)，把預(yù)先設(shè)置好的系統(tǒng)參數(shù)發(fā)送給I。I收到系統(tǒng)參數(shù)后，分別執(zhí)行0，1，3散列詢(xún)問(wèn)、部分私鑰詢(xún)問(wèn)、秘密值詢(xún)問(wèn)、公鑰代替詢(xún)問(wèn)、簽密和解簽密詢(xún)問(wèn)（詢(xún)問(wèn)過(guò)程與定理1中類(lèi)似，不再贅述）后，進(jìn)而通過(guò)以下步驟偽造ID的簽密：隨機(jī)選取,，計(jì)算

在-3中找到與對(duì)應(yīng)的，計(jì)算，并得到，最后輸出。若該簽密能順利通過(guò)驗(yàn)證，則利用敵手I的上述偽造簽密過(guò)程輸出

作為ECDLP的解。因此，只要敵手I能偽造出可以通過(guò)驗(yàn)證的合法簽密，就可以通過(guò)I的偽造過(guò)程求出一個(gè)特定ECDLP的解。

定理4II敵手攻擊下的不可偽造性。假設(shè)II為針對(duì)無(wú)證書(shū)簽密的第一類(lèi)型敵手，如果在隨機(jī)預(yù)言機(jī)模型下，經(jīng)過(guò)有限次詢(xún)問(wèn)II能以不可忽略的概率偽造出合法簽密，則利用該偽造過(guò)程挑戰(zhàn)者能夠給出一個(gè)ECDLP問(wèn)題的解。

給定{,}，ECDLP挑戰(zhàn)者希望利用敵手II偽造一個(gè)合法簽密的過(guò)程計(jì)算出。首先，按照自己的需求將系統(tǒng)參數(shù)設(shè)置為sys=及 (,,,sys,0,1,2,3)，并將系統(tǒng)參數(shù)發(fā)送給II，按照安全模型的定義II還可以獲得系統(tǒng)主密鑰。II依次執(zhí)行類(lèi)似于定理2中的各項(xiàng)詢(xún)問(wèn)，隨機(jī)選取整數(shù),，并計(jì)算

在-3中找到與對(duì)應(yīng)的，計(jì)算并得到，最后輸出偽造的簽密。

如果該簽密能通過(guò)驗(yàn)證，則利用敵手II的偽造過(guò)程輸出

因此，只要敵手II能偽造出可以通過(guò)驗(yàn)證的合法簽密，就可以通過(guò)II的偽造過(guò)程求出一個(gè)特定ECDLP的解。

6 性能分析

本節(jié)給出所提無(wú)證書(shū)多接收者簽密方案與同類(lèi)方案在計(jì)算效率及安全性方面的比較分析。為了對(duì)比本文方案與同類(lèi)方案的運(yùn)算效率，用記號(hào)SM代表橢圓曲線上的點(diǎn)乘運(yùn)算，用記號(hào)E代表乘法群上的指數(shù)運(yùn)算，記號(hào)BP代表雙線性對(duì)運(yùn)算（參數(shù)規(guī)模為512 bit的BP耗費(fèi)的時(shí)間約為模數(shù)大小為1 024 bit的E耗費(fèi)時(shí)間的10倍以上[16]），而B(niǎo)P所花費(fèi)的運(yùn)算時(shí)間是SM的20倍左右[17]）。由于其他運(yùn)算（散列運(yùn)算、點(diǎn)加運(yùn)算）消耗的時(shí)間遠(yuǎn)少于SM和E，因此不列入效率比較的范圍。另外，本文方案簽密算法步驟②中計(jì)算h=0(ID,D,U)，選擇隨機(jī)數(shù)2∈Z及計(jì)算=2均未使用對(duì)消息簽名時(shí)使用的一次性隨機(jī)數(shù)1，故可進(jìn)行預(yù)計(jì)算；步驟③中計(jì)算x=3(ID)，f()可以預(yù)計(jì)算；步驟④中計(jì)算Y，V使用了隨機(jī)數(shù)2,可以與步驟②中的運(yùn)算一起進(jìn)行預(yù)計(jì)算，因此本文方案中的步驟③、④可以不列入最終的運(yùn)算量。對(duì)比過(guò)程中其他方案按照同樣標(biāo)準(zhǔn)計(jì)算運(yùn)算量，即與用于對(duì)消息簽名的一次性隨機(jī)數(shù)有關(guān)的運(yùn)算不可預(yù)計(jì)算。

表1給出了本文方案與已有的基于身份的多接收者簽密方案[3~6]的運(yùn)算效率對(duì)比，可以看出本文方案在簽密階段和解簽密階段均不需要進(jìn)行雙線性對(duì)運(yùn)算，與文獻(xiàn)[3~5]相比具有明顯的運(yùn)算優(yōu)勢(shì)，文獻(xiàn)[6]中的方案2在簽密和解簽密階段的運(yùn)算量雖然與接收者人數(shù)無(wú)關(guān)，但卻無(wú)法確保接收者的匿名性，且系統(tǒng)構(gòu)造及安全性存在較大問(wèn)題[7]。而本文解簽密階段的運(yùn)算量與有關(guān)，是因?yàn)樵诤灻茈A段簽密者利用拉格朗日差值多項(xiàng)式將各個(gè)接收者的身份信息1,2,…,ID隱藏在(1,2,…,V)中，簽密接收者在對(duì)簽密密文=(1,2,…,V,,)進(jìn)行驗(yàn)證時(shí)需要計(jì)算

其中，包含?1次點(diǎn)乘運(yùn)算。

表1 效率比較

表2給出了本文方案與文獻(xiàn)[3~6]中方案的安全性比較，綜合起來(lái)考慮，本文方案基于無(wú)證書(shū)公鑰密碼體制設(shè)計(jì)，避免了基于身份公鑰密碼存在的密鑰托管問(wèn)題，在確保簽密安全性及簽密者與接收者匿名性的同時(shí)保持了較高的運(yùn)算效率。

表2 安全性比較

7 結(jié)束語(yǔ)

本文構(gòu)造了無(wú)證書(shū)多接收者簽密的安全模型，在此基礎(chǔ)上利用橢圓曲線密碼設(shè)計(jì)了一種無(wú)證書(shū)多接收者簽密方案，并在隨機(jī)預(yù)言機(jī)模型下證明該方案的安全性建立在計(jì)算Diffie-Hellman問(wèn)題及橢圓曲線離散對(duì)數(shù)問(wèn)題的困難性上。該方案克服了基于身份的多接收者簽密存在的私鑰托管問(wèn)題，在簽密階段和解簽密階段均不含雙線性對(duì)運(yùn)算，與同類(lèi)方案相比具有較高的運(yùn)算效率，且可同時(shí)實(shí)現(xiàn)對(duì)發(fā)送者和接收者身份信息的隱藏，因此可以方便地應(yīng)用于網(wǎng)絡(luò)環(huán)境中需要進(jìn)行廣播簽密的場(chǎng)合。

[1] ZHENG Y.Digital signcryption or how to achieve(signature & encryption) <

[2] DUAN S, CAO Z. Efficient and provably secure multi receiver identity based signcryption[C]//The 11th Australasian Conf on Information Security and Privacy (ACISP 2006). LNCS 4058, Heidelberg: Springer-Verlag, c2006: 195-206.

[3] 龐遼軍, 李慧賢, 崔靜靜, 等. 公平的基于身份的多接收者匿名簽密設(shè)計(jì)與分析[J]. 軟件學(xué)報(bào), 2014, 25(10): 2409-2420. PANG L J,LI H X,CUI J J, et al. Design and analysis of a fair ID based multi-receiver anonymous signcryption[J]. Journal of Software, 2014, 25(10): 2409-2420.

[4] ZHANG M W, YANG B, TSUYOSHI T. Reconciling and improving of multi-receiver signcryption protocols with threshold decryption[J]. Security and Communication Networks ,2012, 5: 1430-1440.

[5] MING Y, ZHAO X M, WANG Y M. Multi-receiver identity-based signcryption scheme in the standard model[C]//ICICA 2011, LNCS 7030, Springer-Verlag. Berlin Heidelberg, c2011: 487-494.

[6] INTAE K, SEONG O H. Efficient identity-based broadcast signcryption schemes[J]. Security and Communication Networks, 2014, 7(1): 914-925.

[7] ZHANG J, TANG W. On the security of Kim et al. two ID-based broadcast signcryption schemes[J]. Security and Communication Networks, 2015, 8(8): 1509-1514.

[8] ZHANG B, XU QL. An ID-based anonymous signcryption scheme for multiple receivers secure in the standard model[C]//The AST/UCMA/ ISA/ACN 2010 Conf. on Advances in Computer Science and Information Technology(AST/UCMA/ISA/ACN2010).LNCS 6059. Heidelberg: Springer-Verlag, c2010: 15-27.

[9] NAKANO R, SHIKATA J J. Constructions of signcryption in the multi-user setting from identity-based encryption[C]//IMACC 2013, LNCS 8308. c2013: 324-343.

[10] AHMED F, MASOOD D A, KAUSAR F. An efficient multi recipient signcryption scheme offering non repudiation[C]//2010 10th IEEE International Conference on Computer and Information Technology. C2010: 1577-1581.

[11] ALRIYAMI S, PATERSON K. Certificateless public key cryptography[C]//ASIACRYPT 2003. c2003: 452-473.

[12] 李慧賢, 陳緒寶, 龐遼軍, 等. 基于多變量公鑰密碼體制的無(wú)證書(shū)多接收者簽密體制[J]. 計(jì)算機(jī)學(xué)報(bào), 2012, 35(9): 1881-1889.

LI H X, CHEN X B, PANG L J, et al. Certificateless multi receiver signcryption scheme based on multivariate public key cryptography[J].Chinese Journal of Computers, 2012, 35 (9):1881-1889.

[13] 朱輝, 李暉, 王育民. 不使用雙線性對(duì)的無(wú)證書(shū)簽密方案[J].計(jì)算機(jī)研究與發(fā)展, 2010, 47(9): 1587-1594.

ZHU H, LI H, WANG Y M. Certificateless signcryption scheme without pairing[J].Journal of Computer Research and Development,2010，47(9):1587-1594.

[14] 劉文浩, 許春香. 無(wú)雙線性配對(duì)的無(wú)證書(shū)簽密機(jī)制[J]. 軟件學(xué)報(bào), 2011, 22(8): 1918-1926.

LIU W H, XU C X. Certificateless signcryption scheme without bilinear pairing[J]. Journal of Software, 2011, 22(8): 1918-1926.

[15] 何德彪. 無(wú)證書(shū)簽密機(jī)制的安全性分析[J]. 軟件學(xué)報(bào), 2013, 24(3): 618-622.

HE D B. Security analysis of a certificateless signcryption scheme[J]. Journal of Software, 2013, 24(3): 618-622.

[16] MIRACL.Multiprecision integer and rational arithmetic C/C++library[EB/OL].http://indigo.ie/mscott/,2004.

[17] CHEN L, CHENG Z, SMART N P. Identity-based key agreement protocols from pairings[J]. Int’l Journal of Information Security, 2007, 6(4): 213-241.

Efficient certificateless multi-receiver anonymous signcryption scheme

QIN Yan-lin, WU Xiao-ping, HU Wei

(Department of Information Security, Naval University of Engineering, Wuhan 430033, China)

To solve the private key escrow problem of identity-based multi-receiver signcryption schemes, the security model for multi-receiver signcryption scheme was constructed, and then a certificateless multi-receiver signcryption scheme based on ECC was proposed. Furthermore, the security of the scheme in the random oracle was based on the computational Diffie-Hellman assumption and elliptic curve discrete logarithm assumption was proved. Meanwhile, the scheme was free from certificate management center and needed no bilinear paring operation in both signcryption and decryption phases. It can also protect both the sender and receivers’ identity from leaking out. So the scheme can be applied conveniently to broadcast signcryption in network environment.

certificateless cryptography, multi-receiver anonymous signcryption, computational Diffie-Hellman problem, elliptic curve discrete logarithm problem, random oracle

TP309

A

10.11959/j.issn.1000-436x.2016122

2016-01-18；

2016-06-03

國(guó)家自然科學(xué)基金青年基金資助項(xiàng)目（No.61100042）；海軍工程大學(xué)自然科學(xué)基金項(xiàng)目（No.20150437）

The National Natural Science Foundation of China (Project for Youth) (No.61100042), The Natural Science Foundation of Naval University of Engineering (No.20150437)

秦艷琳（1980-），女，河南安陽(yáng)人，博士，海軍工程大學(xué)講師，主要研究方向?yàn)槊艽a學(xué)及網(wǎng)絡(luò)安全。

吳曉平（1961-），男，山西新絳人，海軍工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)樾畔踩跋到y(tǒng)工程。

胡衛(wèi)（1979-），男，湖北宜城人，海軍工程大學(xué)副教授，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。