杜慶靈

基于身份的動態(tài)群通信簽密方案

杜慶靈

（河南警察學(xué)院 信息安全系，河南 鄭州 450000）

主要探討了動態(tài)群通信的安全性，采用簽密技術(shù)可實(shí)現(xiàn)其保密性和認(rèn)證性，基于身份的簽密模型，利用超橢圓曲線密碼體制，構(gòu)建了基于身份的動態(tài)通信簽密方案，說明了其安全性。該方案具有安全性高、系統(tǒng)開銷小、密鑰管理簡單等特點(diǎn)。

動態(tài)群；簽密體制；超橢圓曲線

0 引言

群通信是一種授權(quán)用戶（一個(gè)或多個(gè)）向大量已授權(quán)群體成員發(fā)送消息的通信模式。隨著信息技術(shù)的發(fā)展和廣泛應(yīng)用，群通信的場景越來越多，如網(wǎng)絡(luò)游戲、視頻會議、協(xié)調(diào)工作處理、收費(fèi)多媒體發(fā)展、股票市場監(jiān)控以及各種即時(shí)交友、聊天工具等。建立安全的群通信系統(tǒng)是這些分布式應(yīng)用的基本保障。相對于端到端的通信，群通信的安全更為復(fù)雜，從基本算法、系統(tǒng)和安全協(xié)議的設(shè)計(jì)到安全系統(tǒng)的實(shí)現(xiàn)都還面臨許多問題。支持群通信安全的主要技術(shù)是群密碼，它是由Desmedt等人引入的，其基本思想是將傳統(tǒng)的通信雙方改變?yōu)橥ㄐ湃后w，群成員是動態(tài)的群，在通信的任何時(shí)刻都可能出現(xiàn)新成員的加入和老成員的離開，加入的新成員不能獲取其加入前的群通信內(nèi)容，離開的成員同樣不能獲取其離開后的群通信內(nèi)容，這就是動態(tài)群通信的前向和后向安全性。

通常情況下，通信安全的保密性由加密技術(shù)實(shí)現(xiàn)，認(rèn)證性由數(shù)字簽名技術(shù)實(shí)現(xiàn)，如果需要同時(shí)取得這兩種安全性，傳統(tǒng)的方法是先對消息進(jìn)行加密，再對生成的密文進(jìn)行數(shù)字簽名，這種方法的計(jì)算量和通信成本是加密和簽名的代價(jià)和，效率較低。

文獻(xiàn)[1-3]提出了一種新的密碼原語來獲取保密性和認(rèn)證性這兩種安全性，并稱之為簽密，該技術(shù)比傳統(tǒng)的“先加密后簽名”或“先簽名后加密”具有許多優(yōu)點(diǎn)，如計(jì)算量和通信成本較低、安全水平高、設(shè)計(jì)簡化等。近年來，許多學(xué)者對簽密技術(shù)進(jìn)行了研究，提出了性能不同的簽密體制（算法），有的已應(yīng)用于實(shí)踐。

動態(tài)群通信的安全性也是近年來研究的熱點(diǎn)領(lǐng)域。文獻(xiàn)[3]基于PKI ，采用超橢圓曲線密碼體制構(gòu)建了群簽密系統(tǒng)，將已有的橢圓曲線群簽密系統(tǒng)進(jìn)行了改進(jìn)。簽密系統(tǒng)一般可分為三類：基于PKI的簽密、基于身份的簽密和無證書的簽密，這三類模型有一定的差異，主要體現(xiàn)在對用戶公私鑰的生成和管理方式方面。本文重點(diǎn)探討簽密技術(shù)在動態(tài)群通信安全性方面的應(yīng)用，基于身份的簽密模型，采用超橢圓曲線密碼體制，構(gòu)建動態(tài)群簽密方案。

1 基于身份的簽密模型分析

因密鑰生成和管理方式不同，基于身份的簽密模型與基于PKI 的簽密模型有所不同，其方案如下：

（1）系統(tǒng)建立：初始化算法由私鑰生成中心完成，輸入安全參數(shù)k ，輸出主私鑰s 和參數(shù)p ，保密s ，公開p 。

（2）密鑰提?。狠斎胗脩舻纳矸軮D ，私鑰生成中心使用系統(tǒng)主私鑰s ，計(jì)算用戶的私鑰us，由安全方式分發(fā)給用戶。

（3）簽密：發(fā)送者A 要發(fā)送的明文為m ，發(fā)送者利用參數(shù)p ，接收者的BID，自己的私鑰AS，經(jīng)簽密算法，生成簽密文v ，并發(fā)送給接收者B 。

（4）解簽密：接收者B ，利用參數(shù)p ，自己的私鑰BS，發(fā)送者的身份AID，經(jīng)解簽密算法，輸出明文m 。這種模型滿足的條件為：

如v =簽密（ p ，w ，AS，BID），則

m =解簽密（ p ，v ，AID，BS）

基于身份的簽密體制與基于PKI 的簽密體制的不同主要體現(xiàn)在公鑰的管理與安全性定義兩個(gè)方面，公鑰管理方面，基于身份的簽密體制使用用戶公開的唯一身份標(biāo)識作為公鑰，不需要其他操作，而基于KPI 的公鑰獲取需要進(jìn)行一系列的其他操作?；谏矸莸暮灻荏w制公鑰管理相對簡單，系統(tǒng)開銷大約是PKI 的五分之一。安全性定義方面，攻擊者在攻擊時(shí)，可進(jìn)行簽密詢問、解簽密詢問和私鑰提取詢問，但不能詢問挑戰(zhàn)用戶的私鑰；另一方面，攻擊者不一定在第一階段被分配挑戰(zhàn)用戶，可在挑戰(zhàn)階段自行選擇想挑戰(zhàn)的用戶；還有，對保密性攻擊，攻擊者可將消息和用戶身份一并提交，對認(rèn)證性攻擊，攻擊者在偽造密文的同時(shí)偽造用戶身份。

2 基于身份的動態(tài)群簽密方案

本節(jié)利用超橢圓曲線密碼體制，構(gòu)建基于身份的動態(tài)群簽密方案。橢圓曲線密碼算法有兩個(gè)優(yōu)點(diǎn)：一是具有較短的密鑰長度，對帶寬和存儲要求較?。欢撬杏脩艨蛇x擇同一基域上的不同橢圓曲線，所有用戶可用同樣的硬件完成域算術(shù)，橢圓曲線的不同可保其安全性。超橢圓曲線密碼體制是橢圓密碼體制的擴(kuò)展，當(dāng)虧格為1時(shí)的超橢圓曲線就是橢圓曲線，其安全性與所有橢圓曲線密碼體制類似，基于Jacobian離散對數(shù)問題的難解性，其優(yōu)點(diǎn)是實(shí)現(xiàn)效率高，遠(yuǎn)超橢圓曲線密碼體制的效率，虧格為3，有限域?yàn)?0的比特的安全性，等同于180比特橢圓曲線密碼體制的安全性。

根據(jù)文獻(xiàn)[2，3，7]，超橢圓曲線可定義如下：

定義1 設(shè)域?yàn)镕q 是有限域，如果仿坐標(biāo)下虧格為g的光滑曲線C 滿足方程：

設(shè)J （C :F ）是超橢圓曲線C 的Jacobian群，#J （C :qF）=ht ，t 是較大的素?cái)?shù)，h 是較小的余因子，P J （C :F ）是具有較大素?cái)?shù)階的約化除子，它的階為l 。P ，l 為公開參數(shù)，對于*lt Z?，Q ，G J （C :F ），QtG=×是超橢圓曲線上的乘法運(yùn)算。

簽密方案如下：

（1）系統(tǒng)建立：私鑰生成中心選擇一個(gè)單向的雜湊函數(shù)H ，另外選擇一個(gè)對稱加密算法，E 和D分別表示對稱加密算法的加密和解密，公開q ，p ，l ，H ，E ，D ，隨機(jī)選取*qs Z?作為簽密組私鑰。

（2）密鑰提取：用戶iU輸入iID，私鑰生成中心使用s ，計(jì)算is，由安全方式送給iU。

（3）簽密：發(fā)送者A 要發(fā)送的簽密明文為m ，B 為接收者，A 利用參數(shù)P ，接收者BID，自己的私鑰AS，生成簽密文。

具體為：用戶A 用自己的私鑰AS，計(jì)算超橢圓曲線上的RrG=′，r 是由AS 控制的數(shù)，用接收者B 的ID 、參數(shù)P ，計(jì)算超橢圓曲線上的點(diǎn)，以k 作為對稱加密密鑰對m 加密，得到密文 c=Ek(m) ，用H 計(jì)算，，用私鑰AS 計(jì) 算發(fā)送簽密文（c ，u ，S￠）

其中uhp=。

（4）解簽密：接收者B 用自己的私鑰BS，計(jì)算超橢圓曲線上的點(diǎn)，，用k作為對稱加密算法的解密密鑰，得到利用R 和m ，用H 計(jì)算，，用A的ID、參數(shù)p ，計(jì)算超橢圓曲線上的點(diǎn)，若ABy 是A 的AID，則B 接收，否則拒絕。

整個(gè)簽密方案是基于用戶身份的，而其可驗(yàn)證性是基于身份的簽密方案的性質(zhì)確定的。

3 安全性分析

（1）機(jī)密性：機(jī)密性是指攻擊者從信道中得到簽密文，也無法獲得原始明文m ，或其他重要信息，如加密密鑰k 。因攻擊者想從密文c中得到重要信息，如同破解對稱加密的k，若攻擊者試圖從接收者私鑰或者試圖從R和接收者的ID 得到 yAB，其難度相當(dāng)于解決超橢圓曲線上離散對數(shù)問題。

（2）前向安全性：簽密方案的前向安全性是指用戶的有效私鑰泄露后，攻擊者利用用戶的私鑰和之前的簽密文及公開信息，仍無法獲得明文?；诔瑱E圓曲線的簽密算法，因k需接收者的私鑰、發(fā)送者的私鑰共同產(chǎn)生，因此，只有一個(gè)私鑰是無法得到k 的。再者，攻擊者即使得到超橢圓曲線上的點(diǎn)，也無法得到m 及1e-的值，當(dāng)然無法得到k 的值。因此，方案是前向安全的。

4 結(jié)束語

動態(tài)群通信的場景越來越普遍，其安全性更是人們關(guān)注的重點(diǎn)，而簽密技術(shù)是近幾年來密碼學(xué)領(lǐng)域研究的重要內(nèi)容之一，已有許多實(shí)用的簽密算法，其特點(diǎn)是計(jì)算量小、通信成本較低。基于身份的簽密模型，使得密鑰管理更加簡單，而超橢圓曲線密碼體制，要求的存儲空間較小，安全參數(shù)也較小。筆者利用這些優(yōu)點(diǎn)，構(gòu)建了基于身份的動態(tài)群通信簽密方案，該方案具有較高的實(shí)用價(jià)值。

[1] 祝世熊，李發(fā)根，范佳等.簽密體制研究進(jìn)展[C].中國密碼學(xué)發(fā)展報(bào)告2011，2012.103-143.

[2] 馮陽.基于超橢圓曲線密碼體制群簽密系統(tǒng)的研究[D].貴陽：貴州大學(xué)，2015.

[3] 周宣武，付燕，李欣等.高效的超橢圓曲線前向安全簽密方案[J].微電子學(xué)與計(jì)算機(jī)，2014，31（12）：79-83.

[4] 劉建華，邱修峰，李妍.針對大數(shù)據(jù)安全的動態(tài)群密鑰傳輸協(xié)議[J].計(jì)算機(jī)應(yīng)用研究，2016，33（5）：1554-1557.

[5] 楊誠.基于身份的可認(rèn)證動態(tài)群組密鑰協(xié)商研究[D].北京：北京理工大學(xué)，2016.

[6] 李方偉，王健，陳廣輝.前向安全的基于橢圓曲線密碼體制的簽密方案[J].北京郵電大學(xué)學(xué)報(bào)，2006，29（1）：23-25.

[7] 李磊.超橢圓曲線的密碼學(xué)應(yīng)用[D].上海：華東師范大學(xué)，2011.

Identity Based Dynamic Group Communication Signcryption Scheme

DU Qing-ling
(Department of Information Security, Henan Police Academy, Zhengzhou 450000, China)

This paper mainly discusses the scene is the dynamic security of group communication, the realization of the secrecy and authentication of signcryption, identity based signcryption model, using hyperelliptic curve cryptosystem, constructs a dynamic communication identity based signcryption scheme,illustrates its security, the scheme has the characteristics of high security the system, low cost, simple key management etc.

dynamic group; signcryption system; hyperelliptic curve

TP308.04

A

1008–2093(2017)04–0009–03

2017-05-02

河南省高等學(xué)校重點(diǎn)科研項(xiàng)目（15A413001）

杜慶靈（1963―），男，河南鹿邑人，教授，博士后，主要從事網(wǎng)絡(luò)與信息安全研究。

（責(zé)任編輯 王 磊）