蘇靖楓，柳菊霞

(1.河南城建學(xué)院 計算機與數(shù)據(jù)科學(xué)學(xué)院，河南 平頂山467036；　2.洛陽師范學(xué)院 信息技術(shù)學(xué)院，河南 洛陽 471934)(*通信作者電子郵箱33751752@qq.com)

0　引言

簽密能夠在合理的邏輯步驟內(nèi)同時實現(xiàn)對消息的簽名和加密，與傳統(tǒng)的“先簽名后加密”的分步密碼實現(xiàn)相比，簽密機制通信量少、效率高。1997年，Zheng[1]首次提出了簽密的概念及具體的簽密方案。2002年，Baek等[2]設(shè)計出簽密方案的安全模型并對Zheng方案的安全性進行了證明。為結(jié)合無證書密碼體制的優(yōu)勢，2008年，Barbosa等[3]提出一個無證書的簽密方案并給出具體的安全模型。隨后，多個無證書簽密方案相繼被提出[4-6]。

聚合簽密能組合多個簽密密文并進行批量驗證，在能耗及實時性要求較高的分布式通信的多對一模式下非常適用，如路由協(xié)議、車載網(wǎng)及銀行數(shù)據(jù)處理等。2009年Selvi等[7]提出了一個基于身份的聚合簽密方案并證明其安全性，Lu等[8]則提出一個基于雙線性對的無證書聚合簽密方案(Certificateless Aggregate SignCryption, CLASC)，但這兩個方案都不具備可公開驗證性，簽密及驗證簽密階段需要較多的雙線性對運算，效率不高。因此，設(shè)計安全性能完備且高效的聚合簽密方案成為研究熱點。如Jiang等[9]、張雪楓等[10]、Eslami等[11]、劉建華等[12]和Yin等[13]提出的CLASC方案。在聚合簽密驗證階段，文獻[14]的方案需要2n+2個雙線性對運算，文獻[9，11-13]的方案需要n+3個雙線性對運算。分析以上五個CLASC方案，發(fā)現(xiàn)它們所使用的雙線性對個數(shù)均與用戶數(shù)有關(guān)，其高效性只是相對而言的。為進一步減少聚合簽密驗證階段的雙線性對運算，張玉磊等[14]提出了一個雙線性對數(shù)為常數(shù)、與簽密用戶數(shù)無關(guān)的CLASC方案，但在簽密階段仍需要n個雙線性對運算?，F(xiàn)有的聚合簽密方案都是基于耗時的雙線性映射構(gòu)造的，而與指數(shù)運算、乘法運算及其他運算相比，雙線性對的運算代價要高得多[15]。因此，研究設(shè)計不含雙線性對的無證書聚合簽密方案，能夠更好地適用于車載自組織網(wǎng)、無線傳感網(wǎng)等資源受限的應(yīng)用環(huán)境

本文基于無證書聚合簽密安全模型[11]，提出一種無需雙線性對的無證書聚合簽密方案。該方案不含復(fù)雜的雙線性對運算和指數(shù)運算，基于計算Diffie-Hellman問題(Computational Diffie-Hellman Problem， CDHP)的困難性構(gòu)造的部分私鑰傳輸不需要安全信道；同時，聚合簽密驗證過程不需要任何秘密信息，可以保證方案的可公開驗證性。最后，在隨機預(yù)言模型下證明了該方案滿足機密性和不可偽造性。

1　預(yù)備知識

1.1　計算困難問題

1.2　無證書聚合簽密方案形式化定義

本文提出的CLASC方案包含6個算法，分別為系統(tǒng)初始化、用戶密鑰對生成、簽密、聚合簽密、聚合簽密驗證和聚合解簽密。

1)系統(tǒng)建立算法：輸入一個安全參數(shù)k，密鑰生成中心(Key Generation Center，KGC)生成系統(tǒng)公開參數(shù)params和系統(tǒng)主密鑰z，z由KGC秘密保存。

2)用戶密鑰對生成算法：用戶首先選取秘密值xi并計算部分公鑰Xi。輸入系統(tǒng)參數(shù)params、用戶身份IDi及Xi，KGC接著輸出部分私鑰源di及部分公鑰Ri。最后，用戶驗證di的有效性并計算出部分私鑰Di。

3)簽密算法：輸入系統(tǒng)參數(shù)params、消息mi、簽密者身份IDi、簽密者私鑰SKi、接收者身份IDB、接收者公鑰PKB，輸出簽密密文σi。

4)聚合簽密算法：輸入簽密者Ui對消息mi的簽密密文σi(1≤i≤n)，輸出聚合簽密密文δ。

5)聚合簽密驗證算法：輸入系統(tǒng)參數(shù)params、簽密用戶的身份-公鑰對(IDi,PKi)(1≤i≤n)，接收者驗證聚合密文δ的合法性。如果驗證通過，則輸出true，否則輸出false。

6)聚合解簽密算法：如果“聚合簽密驗證算法”輸出為true，則執(zhí)行該算法。輸入聚合密文δ、接收者身份IDB及其私鑰SKB。輸出消息mi(1≤i≤n)。

1.3　無證書聚合簽密方案安全模型

參照文獻[11]所定義的安全模型，CLASC方案需考慮兩種類型的敵手：AⅠ和AⅡ。AⅠ屬于一般用戶，可以查詢和替換合法用戶的公鑰，實施公鑰替換攻擊；AⅡ代表惡意的KGC，能夠獲取系統(tǒng)主密鑰和用戶的部分私鑰，實施偽造攻擊。因此，CLASC方案的安全性需分別考慮兩類敵手攻擊下的保密性和不可偽造性，具體定義如下。

定義1如果CLASC方案能夠抵抗敵手AⅠ和AⅡ的適應(yīng)性選擇密文攻擊，則方案在適應(yīng)性選擇密文攻擊下具有不可區(qū)分的安全屬性[11]。

定義2如果CLASC方案能夠抵抗敵手AⅠ和AⅡ的適應(yīng)性選擇消息攻擊，則方案在適應(yīng)性選擇消息攻擊下具有存在不可偽造性[11]。

2　不含雙線性對的無證書聚合簽密方案

在車載自組織網(wǎng)應(yīng)用場景中，當(dāng)城市交通擁堵時，1個路邊單元(Road Side Unit, RSU)通常需要管轄上百輛車輛，可以利用聚合簽密技術(shù)，在短時間內(nèi)對來自大量的車載基礎(chǔ)單元(On-Board Unit, OBU)的簽密信息進行批量驗證。本文提出一個不含雙線性對的無證書聚合簽密方案，結(jié)合車載自組織網(wǎng)應(yīng)用場景來詳細描述本文方案的實現(xiàn)過程。方案的合法參與者有服務(wù)中心(Service Center， SC)、車載基礎(chǔ)單元OBUi(1≤i≤n)、聚合簽密器Agg-tor和路邊單元RSU，密鑰生成階段集成了密鑰的選擇及部分私鑰的提取。具體實現(xiàn)過程如下：

1)系統(tǒng)參數(shù)建立。

2)密鑰生成。

此過程包括私鑰生成及部分私鑰提取，步驟如下：

c)為確保(Ri,di)的有效性，OBUi首先驗證等式Ri+PpubH1(IDi,Ri,Xi)+PH3(xiPpub)=diP是否成立，若成立，接著計算其部分私鑰Di=di-H3(xiPpub)(若需要，SC也可以計算出OBUi的部分私鑰Di=ri+zH1(IDi,Ri,Xi))。這樣，OBUi的私鑰為SKi=(Di,xi)，公鑰為PKi=(Ri,Xi)。

同樣,路邊單元RSU的私鑰為SKB=(DB,xB)，公鑰為PKB=(RB,XB)

3)簽密。

假定參與簽密的車載基礎(chǔ)單元OBUi的身份信息為IDi，聚合簽密接收者RUS的身份和公鑰分別為IDB和PKB，待簽密的消息為mi(1≤i≤n)。具體步驟如下：

4)聚合簽密。

5)驗證聚合簽密。

給定n個OBUi的身份-公鑰對(IDi,PKi)及系統(tǒng)公開參數(shù)，RUS驗證δ=(T1,T2,…,Tn,C1,C2,…,Cn,S)的合法性，步驟如下：

b)驗證下面等式是否成立:

如果等式成立，證明聚合簽密是有效的，否則拒絕接受。

6)解聚合簽密。

如果聚合簽密驗證通過，RSU則利用自己的私鑰SKB解密出消息，其中1≤i≤n。執(zhí)行步驟如下：

3　方案的安全性分析

3.1　正確性

a)聚合簽密的合法性驗證。

b)解密密文的正確性檢查。

ai(XB+RB+PpubH1(IDB,RB,XB))=Qi

3.2　不可偽造性

定理1隨機預(yù)言模型下，基于DLP，本文提出的CLASC方案在適應(yīng)性選擇消息攻擊下是存在性不可偽造的(EUF-CLASC-CMA)。

證明挑戰(zhàn)者?給定一個隨機的DLP實例(P,aP)，?的目的是通過與敵手AⅠ的交互求解DLP，即求出a。

1)系統(tǒng)初始化階段。

?設(shè)Ppub=aP(這里a默認作為系統(tǒng)主密鑰，并且對AⅠ保密)，選擇并發(fā)送系統(tǒng)參數(shù)params=(p,q,P,Ppub,H1,H2,H3)給敵手AⅠ。

2)問詢階段。

AⅠ適應(yīng)性地執(zhí)行以下預(yù)言機問詢，?維護以下6個列表L1、L2、L3、Ls、Lsk、Lpk分別用于記錄AⅠ對預(yù)言機H1、H2、H3、秘密值提取、部分私鑰提取、公鑰提取的問詢數(shù)據(jù)，列表初始化均為空。

3)偽造階段。

即

E1：?在模擬過程中沒有終止的情況；

E2：偽造的聚合簽密δ*是有效且非平凡的；

E3：在E2發(fā)生的前提下，不失一般性，滿足c1=1，ci=0(2≤i≤n)。

證明挑戰(zhàn)者?給定一個隨機的DLP實例(P,aP)，?的目的是通過與敵手AⅡ的交互求解DLP，即求出a。敵手AⅡ在這里充當(dāng)惡意的SC，除掌握引理1中的給定的條件外，還擁有系統(tǒng)主密鑰z。AⅡ能夠執(zhí)行除引理1中的“公鑰替換問詢”和“部分私鑰提取問詢”以外的所有詢問。除“公鑰提取問詢”和“簽密問詢”外，其他同引理1。

3.3　機密性

定理2隨機預(yù)言模型下，基于CDHP，本文提出的CLASC方案在適應(yīng)性選擇密文攻擊下是不可區(qū)分的(IND-CLASC-CCA2)。

引理3隨機預(yù)言模型下，如果存在概率多項式時間敵手AⅠ(或AⅡ)以不可忽略的概率贏得游戲，則存在挑戰(zhàn)者?能夠以不可忽略的概率解決CDHP的一個實例。

引理3的證明方法與Eslami方案[11]的保密性證明方法類似，限于篇幅，此次不再給出具體過程。

4　方案性能及效率分析

4.1　性能分析

4.1.1部分私鑰生成不需要安全信道

在本文方案中，服務(wù)中心SC首先計算出車載基礎(chǔ)單元OBUi的部分私鑰對應(yīng)的部分私鑰源di=ri+zH1(IDi,Ri,Xi)+H3(zXi)，然后通過公開信道發(fā)送di給OBUi，最后OBUi通過計算Di=di-H3(xiPpub)得到自己的部分私鑰Di。若有需要，SC也可以通過計算Di=ri+zH1(IDi,Ri,Xi)得到OBUi的部分私鑰。若部分私鑰源di在經(jīng)公開信道傳遞時被攻擊者監(jiān)聽到，攻擊者將會嘗試借助兩種方法得到部分私鑰：其一，計算Di=di-H3(xiPpub)，由于得不到OBUi的秘密值xi，所以計算不出Di；其二，計算Di=ri+zH1(IDi,Ri,Xi)，也會由于無法得到系統(tǒng)主密鑰而失敗。所以，本文方案的部分密鑰的分發(fā)不需要安全信道。

4.1.2可公開驗證性

當(dāng)簽密發(fā)送者車載基礎(chǔ)單元OBUi和簽密接收者路邊單元RSU關(guān)于聚合簽密密文的真?zhèn)伟l(fā)生爭執(zhí)時，任意第三方均可驗證下面等式：

因為該等式的驗證無需接收者的參與，且不需要任何用戶的秘密信息，因此方案具有可公開驗證性。

4.2　效率分析

表1對本文方案和已有的典型方案的效率進行了比較。假設(shè)參與簽密的用戶有n個，這里考慮三種運算：指數(shù)運算(標(biāo)識為E)、群G上的乘法運算(標(biāo)識為S)、雙線性對運算(標(biāo)識為P)。相比較前三種運算，散列函數(shù)運算和異或運算的耗時對整體效率的影響可以忽略不計。為分析方案的通信開銷，表2對本文方案和已有的典型方案的密文長度進行了比較。其中，|G1|和|G|為相應(yīng)群中元素的長度，|m|和|U|分別表示消息和用戶身份的長度。

表1　計算效率與密文長度比較Tab. 1　Comparison of computational efficiency and ciphertext size

5　結(jié)語

無證書聚合簽密利用了無證書密碼體制的優(yōu)勢，能夠?qū)灻艿男畔⑦M行聚合傳輸和批量驗證，大大降低了計算復(fù)雜度和通信代價。本文設(shè)計了一個無需雙線性對的無證書聚合簽密方案，對比已有的方案，本文方案有效地提高了計算效率且密文長度更短。同時，在隨機預(yù)言模型下，基于CDHP和DLP證明了方案滿足不可偽造性和機密性，并且部分私鑰的傳輸不需要安全信道。因此，本文方案適用于計算資源和帶寬受限的聚合簽密應(yīng)用環(huán)境。

參考文獻:

[1]ZHENG Y. Digital signcryption or how to achieve cost(signature & encryption)<

[2]BAEK J, STEINFELD R, ZHENG Y L. Formal proofs for the security of signcryption [C]// PKC 2002: Proceedings of the 2002 International Workshop on Public Key Cryptography, LNCS 2274. Berlin: Springer, 2002: 80-98.

[3]BARBOSE M, FARSHIM P. Certificateless signcryption [C]// ASIACCS ’08: Proceedings of the 2008 ACM Symposium on Information, Computer and Communications Security. New York: ACM, 2008: 369-372.

[4]ZHOU C, ZHOU W, DONG X. Provable certificateless generalized signcryption scheme [J]. Designs, Codes and Cryptography, 2014, 71(2): 331-346.

[5]SHI W, KUMAR N, GONG P, et al. Cryptanalysis and improvement of a certificateless signcryption scheme without bilinear pairing [J]. Frontiers of Computer Science, 2014, 8(4): 656-666.

[6]夏昂,張龍軍.一種新的無雙線性對的無證書安全簽密方案[J].計算機應(yīng)用研究,2014,31(2):532-535. (XIA A, ZHANG L J. New secure certificateless signcryption scheme without pairing [J]. Application Research of Computers, 2014, 31(2): 532-535.)

[7]SELVI S S D, VIVEK S S, SHRIRAM J, et al. Identity based aggregate signcryption schemes [C]// INDOCRYPT 2009: Proceedings of the 10th International Conference on Progress in Cryptology, LNCS 5922. Berlin: Springer, 2009: 378-397.

[8]LU H J, XIE Q. An efficient certificateless aggregate signcryption scheme from pairings [C]// ICECC 2011: Proceedings of the 2011 International Conference on the Electronics, Communications and Control. Piscataway, NJ: IEEE, 2011:132-135.

[9]JIANG Y, LI J, XIONG A. Certificateless aggregate signcryption scheme for wireless sensor network [J]. International Journal of Advancements in Computing Technology, 2013, 5(8): 456-463.

[10]張雪楓,魏立線,王緒安.無證書的可公開驗證聚合簽密方案[J].計算機應(yīng)用,2013,33(7):1858-1860. (ZHANG X F, WEI L X, WANG X Z. Certificateless aggregate signcryption scheme with public verifiability[J]. Journal of Computer Applications, 2013, 33(7): 1858-1860.)

[11]ESLAMI Z, PAKNIAT N. Certificateless aggregate signcryption: security model and a concrete construction secure in the random oracle model [J]. Journal of King Saud University Computer and Information Sciences, 2014, 26(3): 276-286.

[12]劉建華,毛可飛,胡俊偉.基于雙線性對的無證書聚合簽密方案[J].計算機應(yīng)用,2016,36(6):1558-1562. (LIU J H, MAO K F, HU J W. Certificateless aggregate signcryption scheme based on bilinear pairings [J]. Journal of Computer Applications, 2016, 36(6): 1558-1562.)

[13]YIN S-L, LI H, LIU J. A new provable secure certificateless aggregate signcryption scheme [J]. Journal of Information Hiding and Multimedia Signal Processing, 2016, 7(6): 1274-1281.

[14]張玉磊,王歡,李臣意,等.可證安全的緊致無證書聚合簽密方案[J].電子信息學(xué)報,2015,37(12):2838-2844. (ZHANG Y L, WANG H, LI C Y, et al. Provable secure and compact certificateless aggregate signcryption scheme [J]. Journal of Electronics and Information Technology, 2015, 37(12): 2838-2844.)

[15]DENG L, ZENG J, QU Y. Certificateless proxy signature from RSA [J]. Mathematical Problems in Engineering, 2014, 2014(9): Article ID 373690.

[16]張華,溫巧燕,金正平.可證明安全算法與協(xié)議[M].北京:科學(xué)出版社,2012:76-77. (ZHANG H, WEN Q Y, JIN Z P. Provable Security Algorithms and Protocols [M]. Beijing: Science Press, 2012: 76-77.)