周彥偉,楊 波,張文政

(1.陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院,陜西西安710062;2.保密通信重點(diǎn)實(shí)驗(yàn)室,四川成都 610041;3.中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室,北京 100093)

?

匿名的無證書多接收者簽密機(jī)制

周彥偉1,2,3,楊 波1,2,3,張文政2

(1.陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院,陜西西安710062;2.保密通信重點(diǎn)實(shí)驗(yàn)室,四川成都 610041;3.中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室,北京 100093)

為了滿足廣播通信環(huán)境下發(fā)送者的多消息發(fā)送需求,本文提出可證安全的無證書多接收者多消息簽密機(jī)制,密文中不再包含接收者身份列表,實(shí)現(xiàn)對(duì)接收者身份等隱私信息的保護(hù);同時(shí)發(fā)送者可在一次簽密操作中完成多消息發(fā)送任務(wù).相較與現(xiàn)有方案而言,除具有保密性和不可偽造性之外,本文機(jī)制具有較強(qiáng)的匿名性和較高的計(jì)算效率,滿足廣播通信環(huán)境中多消息的匿名發(fā)送需求.

無證書簽密;多接收者;多消息;匿名性;保密性;不可偽造性

電子學(xué)報(bào)URL:http://www.ejournal.org.cn DOI:10.3969/j.issn.0372-2112.2016.08.002

1 引言

廣播環(huán)境下用戶個(gè)人信息的保護(hù)需求,推進(jìn)了多接收者簽密機(jī)制的研究.國內(nèi)外研究者相繼提出了多接收者簽密機(jī)制[1～15],然而多數(shù)機(jī)制[1～10,12,13,15]的密文信息易暴露接收者身份,因?yàn)樵谶@些機(jī)制中接收者的身份列表或密文標(biāo)記列表是其密文的一部分;多數(shù)機(jī)制[3,5,8,10～15]以基于身份的密碼系統(tǒng)為基礎(chǔ),存在密鑰托管的問題;多數(shù)機(jī)制[1～14]僅具有單消息發(fā)送能力,發(fā)送者僅能發(fā)送單個(gè)消息給多位不同的接收者,無法滿足發(fā)送者的多消息發(fā)送需求.

由于傳統(tǒng)公鑰密碼系統(tǒng)需要昂貴而又繁瑣的證書管理機(jī)制,而基于身份的密碼系統(tǒng)存在密鑰托管的不足.為彌補(bǔ)上述不足,文獻(xiàn)[16]提出了無證書公鑰密碼系統(tǒng),私鑰由用戶和密鑰生成中心KGC (Key Generator Center)共同生成,該系統(tǒng)中KGC無法獲知任何用戶的私鑰.

針對(duì)現(xiàn)有機(jī)制存在的不足,本文提出無證書的多接收者多消息簽密機(jī)制,該機(jī)制解決了接收者的隱私保護(hù)問題,僅有授權(quán)的接收者才能正確解密;同時(shí)能向多個(gè)接收者發(fā)送多個(gè)消息,滿足發(fā)送者的多消息發(fā)送需求;并在隨機(jī)諭言機(jī)模型下,基于計(jì)算性Diffie-Hellman (Computational Diffie-Hellman,CDH) 問題和離散對(duì)數(shù)(Discrete Logarithm,DL)問題證明了本文機(jī)制的保密性和不可偽造性.

2 基礎(chǔ)知識(shí)

2.1 雙線性映射

2.2 困難性問題及假設(shè)

在概率多項(xiàng)式時(shí)間內(nèi)算法A成功解決DL問題的概率為AdvDL(A)=Pr[A(P,aP)=a].其中,概率來源于a的隨機(jī)選取及A的隨機(jī)選擇.

DL假設(shè).對(duì)于任意的概率多項(xiàng)式時(shí)間算法A,概率AdvDL(A)是可忽略的.

設(shè)G為階是大素?cái)?shù)q的循環(huán)群,P是群G的一個(gè)生成元;已知P,aP,bP∈G,CDH問題的目標(biāo)是計(jì)算abP.

在概率多項(xiàng)式時(shí)間內(nèi)算法A成功解決CDH問題的概率為AdvCDH(A)=Pr[A(P,aP,bP)=abP].其中,概率來源于a,b的隨機(jī)選取及A的隨機(jī)選擇.

CDH假設(shè).對(duì)于任意的概率多項(xiàng)式時(shí)間算法A,概率AdvCDH(A)是可忽略的.

2.3 安全模型

3 本文無證書多接收者多消息簽密機(jī)制

3.1 系統(tǒng)初始化

系統(tǒng)初始化時(shí),KGC執(zhí)行下述操作:

3.2 用戶密鑰生成

③通過等式y(tǒng)IDiP=YIDi+PPubH1(IDi,XIDi,YIDi)用戶IDi可實(shí)現(xiàn)對(duì)yIDi和YIDi的合法性驗(yàn)證,則IDi的公私鑰對(duì)為.

3.3 多消息簽密(MultiSign)

多消息簽密算法的輸入為簽密者身份、消息集合M={m1,…,mn}和授權(quán)接收者身份集合IDR={IDR1,…,IDRn}.簽密者Alice(身份標(biāo)識(shí)為IDA)的具體簽密步驟如下:

③計(jì)算vA=tA(xA+yA)-1后,將密文σ=以廣播的形式發(fā)送給每一位接收者Ri(i={1,…,n}).

3.4 解簽密(UnSign)

(1)密文解密

(2)合法性驗(yàn)證

3.5 正確性

3.5.1 解密的正確性

=tA(xA+yA)-1(xA+rA+SmskhA)P=tAP=TA.

其中,yA=rA+SmskhA,hA=H1(IDA,XA,YA).

3.5.2 簽名的正確性

=H3(IDA,cJRi,TA)=UJRi

4 安全性證明

安全性證明過程中所涉及的相關(guān)游戲均在文獻(xiàn)[6]中給出了具體定義,本文不再贅述.

4.1 保密性證明

(2)若IDS=IDJ,則β停止模擬,并退出.

(2)若∈LPK且IDS=IDJ,β按下述步驟進(jìn)行解簽密:

②否則,β停止模擬,拒絕密文并退出.

(3)若LPK中不存在相應(yīng)的元組(公鑰被替換),β按下述步驟進(jìn)行解簽密:

②否則,β停止模擬,拒絕密文并退出.

①若IDS≠IDJ,β失敗,并停止模擬.

證明思路與定理1類似,此處不再贅述.

4.2 不可偽造性證明

②如果IDS=IDJ,則β停止模擬,并退出.

(2)若存在∈LPK且IDS=IDJ,β按下述步驟進(jìn)行簽名驗(yàn)證:

②否則,β停止模擬,并退出.

(3)若列表LPK中不存在相應(yīng)的元組(公鑰被替換),β按下述步驟進(jìn)行簽名驗(yàn)證:

②否則,β停止模擬,并退出.

證明思路與定理3類似,此處不再贅述

5 性能分析

本節(jié)將本文機(jī)制的匿名性、安全性等性質(zhì)與相關(guān)機(jī)制[3～15]進(jìn)行比較,并給出具體如表1所示的比較結(jié)果.表1中UnAnon表示相應(yīng)的參與者不具有匿名性;Anon表示相應(yīng)的參與者具有匿名性;UnSec表示機(jī)制不具有相應(yīng)的安全屬性;Sec表示機(jī)制具有相應(yīng)的安全屬性.

表1 本文機(jī)制與現(xiàn)有機(jī)制的性能比較結(jié)果

6 效率分析

在計(jì)算效率方面,由于雙線性映射和指數(shù)運(yùn)算是影響機(jī)制性能的主要因素,因此表1主要對(duì)雙線性映射和指數(shù)運(yùn)算的次數(shù)進(jìn)行了統(tǒng)計(jì),對(duì)哈希及異或等計(jì)算量較少的運(yùn)算并未統(tǒng)計(jì).在傳輸效率方面,由于本文機(jī)制進(jìn)行多消息簽密,導(dǎo)致密文的長度較長;若進(jìn)行單消息通信,則本文機(jī)制具有較短的密文長度.

相較與現(xiàn)有機(jī)制而言,本文機(jī)制在完成多消息簽密的同時(shí),具有較高的計(jì)算和通信效率;并且本文機(jī)制具有更優(yōu)的安全性能.

表2 本文機(jī)制與現(xiàn)有機(jī)制的效率比較結(jié)果

7 結(jié)束語

本文為滿足接收者的匿名性和發(fā)送者的多消息發(fā)送需求,提出無證書的多接收者多消息簽密機(jī)制,簽密密文中不再包含接收者的身份列表,實(shí)現(xiàn)對(duì)接收者隱私信息的保護(hù);同時(shí)公用的信息集合確保密文解密的獨(dú)立性.相關(guān)分析表明除具有保密性和不可偽造性之外,本文機(jī)制功能更加完善,因此本文機(jī)制是安全有效的無證書多接收者多消息簽密機(jī)制.

由于雙線性映射的運(yùn)算量較大,下一步將在本文的基礎(chǔ)上研究不使用雙線性映射的無證書多接收者多消息簽密機(jī)制.

[1]Duan S,Cao Z.Efficient and Provably Secure Multi-receiver Identity-Based Signcryption[A].11th Australasian Conference on Information Security and Privacy[C].Berlin Heidelberg:Springer,2006.195-206.

[2]Lal S,Kushwah P.Anonymous ID based signcryption scheme for multiple receivers[EB/OL].https:.eprint.iacr.org/2009/345.pdf.

[3]Yu Y,Yang B,Huang X,et al.Efficient Identity-Based Signcryption Scheme for Multiple Receivers[A].4th International Conference on Autonomic and Trusted Computing,Berlin Heidelberg:Springer,2007.13-21.

[4]Fagen Li,Yupu Hu,Shuanggen Liu:Efficient and provably secure multi-recipient signcryption from bilinear pairings[J].Wuhan University Journal of Natural Sciences,2007,12(1):17-20.

[5]Selvi S S D,Vivek S S,Gopalakrishnan R,et al.On the Provable Security of Multi-Receiver Signcryption Schemes[EB/OL].https:.eprint.iacr.org/2008/238.pdf.

[5]Selvi S S D,Vivek S S,Rangan C P.A note on the Certificateless Multi-receiver Signcryption Scheme[EB/OL].https:.eprint.iacr.org/2009/308.pdf.

[7]Selvi S S D,Vivek S S,Shukla D,et al.Efficient and provably secure certificateless multi-receiver signcryption[A].Second International Conference on Provable Security[C].Springer Berlin Heidelberg,2008.52-67.

[8]Selvi S S D,Vivek S S,Srinivasan R,et al.An efficient identity-based signcryption scheme for multiple receivers[A].4th International Workshop on Security[C].Berlin Heidelberg:Springer,2009.71-88.

[9]Wu Lei.An ID-based multi-receiver signcryption scheme in MANET[J].Journal of Theoretical & Applied Information Technology,2012,46(1),120-124.

[10]Lal S,Kushwah P.Anonymous ID Based Signcryption Scheme for Multiple Receivers[EB/OL].https:.eprint.iacr.org/2009/345.pdf.

[11]Bo Zhang,Qiuliang Xu.Identity-based multi-signcryption scheme without random oracles[J].Chinese Journal of Computer.2010,33(1),2104-2112.

[12]Miao S,Zhang F,Zhang L.Cryptanalysis of a certificateless multi-receiver signcryption scheme[A].International Conference on Multimedia Information Networking and Security[C].New York:IEEE,2010.593-597.

[13]Li F,Xiong H,Nie X.A new multi-receiver ID-based signcryption scheme for group communications[A].International Conference on Communications,Circuits and Systems[C].New York:IEEE,2009.296-300.

[14]Bo Zhang,Qiuliang Xu.An ID-based anonymous signcryption scheme for multiple receivers secure[J].International Journal of Advanced Science and Technology,2010,20(7):9-24.

[15]Qiu Jing,Bai Jun,Song Xin-chuan,et al.Secure and efficient multi-message and multi-receiver ID-based signcryption for rekeying in ad hoc networks[J].Journal of Chongqing University,2013,12(2):91-96.

[16]Al-Riyami S S,Paterson K G.Certificateless public key cryptography[A].International Conference on the Theory and Application of Cryptology and Information Security[C].Berlin Heidelberg:Springer,2003.452-473.

周彥偉 男,1986年生于甘肅通渭.陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院博士生.研究方向?yàn)闊o線通信技術(shù)、匿名通信技術(shù)、密碼學(xué).

E-mail:zhouyanwei1986@163.com

楊 波(通信作者) 男,1963年生于陜西富平.教授,博士生導(dǎo)師,陜西省“百人計(jì)劃”特聘教授.研究方向?yàn)槊艽a學(xué)、信息安全.

E-mail:byang@snnu.edu.cn

Anonymous Certificateless Signcryption Scheme with Multi-receiver

ZHOU Yan-wei1,2,3,YANG Bo1,2,3,ZHANG Wen-zheng2

(1.SchoolofComputerScience,ShaanxiNormalUniversity,Xi'an,Shaanxi710062,China;2.ScienceandTechnologyonCommunicationSecurityLaboratory,Chengdu,Sichuan610041,China;3.StateKeyLaboratoryofInformationSecurity,InstituteofInformationEngineering,ChineseAcademyofSciences,Beijing100093,China)

To satisfy the senders’ needs of sending multi-message in the broadcast communication environment,a certificateless signcryption scheme with multi-receiver and multi-message was proposed.The ciphertext no longer contains receivers’ identity list to protect receivers’ privacy.And,as well,the senders can fulfill sending multi-message in a single operation.Compared with the present scheme,apart from confidentiality and unforgery,this scheme is better in anonymity and has a higher computational efficiency,satisfy the needs of sending multi-message in broadcast communication environment.

certificateless signcryption;multi-receiver;multi-message;anonymity;confidentiality;unforgeability

2014-12-22;

2015-08-20;責(zé)任編輯：馬蘭英

國家自然科學(xué)基金(No.61572303,No.61272436，No.61402275);中國科學(xué)院信息工程研究所信息國家重點(diǎn)實(shí)驗(yàn)室基金(No.2015-MS-10);保密通信重點(diǎn)實(shí)驗(yàn)室基金(No.9140C110206140C11050);中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金(No.GK201504016)；陜西師范大學(xué)優(yōu)秀博士論文基金(No.X2014YB01)

TP309

A

0372-2112 (2016)08-1784-07