呂 佳,曹素珍,寇邦艷,張志強,韓龍博

(西北師范大學 計算機科學與工程學院,蘭州 730070)

0 概述

隨著5G網(wǎng)絡(luò)的迅速發(fā)展[1-2],用戶在體驗5G網(wǎng)絡(luò)帶來便利的同時[3-4],也承擔著隱私信息被泄露的風險,因此安全問題成為當前5G網(wǎng)絡(luò)研究的熱點之一[5-6]。無證書的發(fā)展歷程從傳統(tǒng)公鑰密碼體制開始,由于傳統(tǒng)公鑰密碼體制存在公鑰證書管理的問題,因此文獻[7]提出基于身份的密碼體制,但是基于身份的密碼體制存在密鑰托管問題。為解決密鑰托管這一問題,文獻[8]提出基于無證書的公鑰密碼體制,其中用戶私鑰由兩部分組成,一部分是用戶秘密值,另一部分是密鑰生成中心(Key Generation Center,KGC)產(chǎn)生的部分私鑰。

5G網(wǎng)絡(luò)環(huán)境下的安全問題越來越突出。文獻[9]指出5G網(wǎng)絡(luò)的安全問題可能會成為制約其發(fā)展的瓶頸,并明確5G網(wǎng)絡(luò)中用戶身份與數(shù)據(jù)隱私保護的重要性。文獻[10]給出5G網(wǎng)絡(luò)初級階段的系統(tǒng)架構(gòu),并闡述5G網(wǎng)絡(luò)中涉及的網(wǎng)絡(luò)安全、用戶安全及應(yīng)用安全等問題。文獻[11]通過不同的5G網(wǎng)絡(luò)切片部署不同的公共密鑰密碼系統(tǒng)來解決5G環(huán)境下異構(gòu)系統(tǒng)之間的安全性問題,但忽視了身份隱私泄露問題。文獻[12]提出將數(shù)字簽名和身份信息隱藏相結(jié)合的方案,由于該方案需建立零往返傳輸時間連接,因此對信息傳輸?shù)陌踩杂兴鲆?。文獻[13]提出基于KP-ABE的匿名接入認證方案,通過加密算法及建立用戶設(shè)備與歸屬網(wǎng)絡(luò)之間的假名來保護用戶身份隱私信息。文獻[14]所提方案基于身份的簽密技術(shù)[15],使協(xié)議運行所產(chǎn)生的記錄不會泄露參與者身份信息,從而保護用戶身份隱私。文獻[16]提出簽密概念并得到了廣泛應(yīng)用和關(guān)注。為避免5G技術(shù)為用戶提供方便快捷的同時[17],敏感隱私數(shù)據(jù)被惡意盜取的問題,本文在文獻[14,16]的基礎(chǔ)上,結(jié)合無證書密碼體制,提出基于5G網(wǎng)絡(luò)的無證書身份隱藏簽密方案。該方案在解簽密階段,簽密者的身份信息不作為輸入數(shù)據(jù),以此完成對用戶身份信息的隱藏。與此同時,簽密者的身份信息作為解密階段的輸出之一用于解決用戶認證的正確性驗證問題,敵手就無法攻擊并獲取簽密者的隱私,從而有效防止數(shù)據(jù)傳輸過程中可能存在的各種攻擊。

1 相關(guān)知識

1.1 雙線性映射

設(shè)G1和G2是階為素數(shù)q的循環(huán)群,P是G1的一個生成元,若e:G1×G1→G2符合以下性質(zhì)的描述,則稱e是一個雙線性映射[18-19]。

2)非退化性:e(P,P)≠1。

1.2 困難問題假設(shè)

2 系統(tǒng)模型與算法模型

2.1 系統(tǒng)模型

系統(tǒng)模型參與實體包括密鑰生成中心、發(fā)送方Alice、接收方Bob及5G互聯(lián)網(wǎng)環(huán)境,如圖1所示。

1)密鑰生成中心:產(chǎn)生部分密鑰,并將其安全密鑰發(fā)送給用戶。

2)發(fā)送方Alice:將明文進行加密,通過5G移動通信網(wǎng)與接收方之間建立對話。

3)接收方Bob:接收發(fā)送方發(fā)送的密文,并獲取發(fā)送方Alice的請求和身份信息,通過驗證解密的消息,Bob可以確定請求是否來自Alice,然后選擇是否接受會話。

4)5G移動通信網(wǎng):為發(fā)送者和接收者之間建立實現(xiàn)雙方合法會話的通信連接。

圖1 系統(tǒng)模型

2.2 算法模型

無證書簽密方案由以下6個算法組成。

1)Setup:安全參數(shù)k作為輸入,KGC生成系統(tǒng)參數(shù)params作為公開參數(shù)和主密鑰ω,其中KGC保存ω秘密。

2)Partial-Key-Extract:輸入用戶身份IDi、主密鑰ω和系統(tǒng)參數(shù)params,KGC計算生成用戶IDi的部分私鑰Di和部分公鑰Ri并發(fā)送給用戶IDi。

3)Set-Private-Secret-Value:根據(jù)用戶身份信息IDi及系統(tǒng)參數(shù)params,計算該用戶的私有秘密值。

5)Signcrypt:將系統(tǒng)參數(shù)params、消息m、簽密者的私鑰SKs、簽密者身份信息IDs、解簽密者的身份信息IDr、解簽密者的公鑰PKr作為輸入,計算并輸出簽密密文C。

6)Unsigncrypt:將系統(tǒng)參數(shù)params、密文C、簽密者的公鑰PKs及解簽密者私鑰SKr作為輸入,計算并經(jīng)過驗證判斷所得消息是否合法,如果合法,則輸出消息m和簽密者的身份信息IDs,否則輸出⊥。

3 方案設(shè)計

3.1 系統(tǒng)建立

3.2 用戶部分密鑰提取

用戶部分密鑰提取步驟具體如下:

2)KGC將計算得到的Ri、Di分別作為用戶的部分公鑰和私鑰,通過安全信道發(fā)送給用戶。

3.3 用戶私有秘密值提取

3.4 用戶完整密鑰產(chǎn)生

用戶完整密鑰產(chǎn)生步驟具體如下:

1)輸入params和數(shù)據(jù)用戶的私有秘密值,計算Xi=xiP,用戶公鑰PKi為{Ri,Xi}。

2)用戶私鑰SKi為{Di,xi}。

3.5 簽密

為將一段消息m進行簽密,給定IDs、SKs、IDr、PKr,對消息m的簽密過程如下:

2)預(yù)共享密鑰為PSSV=e(Ws,H1(IDs,Rs)·P)ω,計算qr=H1(IDr,Rr)、F=u(Rr+qrP0)+vXr。

3)計算g=H2(m,F,U)、h=H3(m,F,V)和δ=gDs+hxs+u+v+H1(IDs,Rs)·ω。

4)計算密文C=(m‖δ‖IDs)⊕F,發(fā)送(C,U,V,N)給接收者。

3.6 解簽密

接收者在接收到發(fā)送者發(fā)來的信息(C,U,V,N)后,執(zhí)行如下解簽密步驟:

1)計算F′=DrU+xrV、PSSV=e(Wr,N)。

2)對密文C進行解簽密(m‖δ‖IDs)=F′⊕C,解簽密輸出消息m和IDs。

3)計算g′=H2(m,F′,U)、h′=H3(m,F′,V)和qs=H1(IDs,Rs)。

4 安全性分析

4.1 正確性證明

為驗證本文基于無證書的身份隱藏簽密方案的正確性,具體過程如下:

其中,F=F′,故等式成立,正確性驗證成立。

4.2 安全性證明

證明若假設(shè)存在敵手能攻破本文方案,則一定存在一個能利用敵手A1來解決DDH困難問題的挑戰(zhàn)者B。

輸入(P,αP,βP,T)∈G為挑戰(zhàn)實例,B的目標是計算并判定等式T=αβP是否成立。將B與A1進行模擬游戲,過程如下:

1)初始化

游戲開始階段,挑戰(zhàn)者B運行Setup算法,產(chǎn)生參數(shù)(p,q,G,P,P0),并將產(chǎn)生的參數(shù)發(fā)送給敵手A1。生成系統(tǒng)公鑰為P0=ωP,不公開主密鑰。

2)第一階段詢問

(1)H1詢問

(2)H2詢問

(3)H3詢問

德國漢諾威展覽公司林業(yè)木工展全球總監(jiān)Christian Pfeiffer、德國木工機械制造商協(xié)會總經(jīng)理Bernhard Dirr博士和漢諾威米蘭展覽會(中國)有限公司董事總經(jīng)理劉國良在新聞發(fā)布會上做了主題發(fā)言，漢諾威米蘭展覽(上海)有限公司副總經(jīng)理申倩主持會議。

(4)部分私鑰提取詢問

(5)私有秘密值詢問

敵手A1查詢用戶身份IDi的秘密值,挑戰(zhàn)者B應(yīng)答并返回對應(yīng)的私有秘密值xi。

(6)公鑰提取詢問

敵手A1查詢用戶身份IDi的公鑰,挑戰(zhàn)者B將用戶IDi的公鑰作為應(yīng)答返回給敵手。

(8)簽密詢問

(9)解簽密詢問

提交密文(Ci,Ui,Vi,Ni)、接收者身份IDb,如果IDb≠ID*,B計算F=DbUi+xbVi,解密消息(mi‖δi‖IDa)=Fi⊕Ci,查詢列表L2和L3,如果L2中存在元組或L3中存在元組,取得gi和hi,驗證等式δiP=gi(Ra+qaP0)+hiXa+Ui+Vi+Ni成立,則返回mi作為應(yīng)答;否則,列表L2和列表L3中如果不存在或者存在元組,通過驗證,結(jié)果不成立,那么返回失敗符號⊥;否則,IDb=ID*,B不具有ID*的完整私鑰,不具備解密密文的條件,那么B對列表Ls進行查詢,如果表Ls中存在元組,則B返回mi作為應(yīng)答,否則Ls中不存在相對應(yīng)的元組,那么返回失敗符號⊥。

3)挑戰(zhàn)

4)第二階段詢問

在這一階段詢問中,敵手除了不能進行部分私鑰和對于挑戰(zhàn)密文的解簽密詢問外,A1可以繼續(xù)進行其他詢問。

5)猜測

證明若先假設(shè)存在敵手A2能攻破本文的無證書身份隱藏簽密方案,則一定存在利用A2來解決DDH問題的挑戰(zhàn)者B。

1)初始化

2)第一階段詢問

(1)哈希詢問

H1、H2、H3詢問與定理1相同。

(2)部分私鑰提取詢問

(3)私有秘密值詢問

當敵手A2查詢用戶身份IDi的秘密值時,如果IDi=ID*,則游戲被B終止;否則,B將與之對應(yīng)的私有秘密值xi作為應(yīng)答返回給敵手。

(4)公鑰提取詢問

與定理1相同。

(5)公鑰替換詢問

在進行公鑰替換詢問時,敵手A2首先提交用戶的身份IDi以及進行公鑰替換的公鑰Xi′,然后敵手A2進行詢問,若IDi=ID*,則B將終止游戲;否則,B將原公鑰替換為Xi′,并將與之對應(yīng)的私有秘密值xi作為應(yīng)答進行返回。

(6)簽密詢問

(7)解簽密詢問

與定理1相同。

3)挑戰(zhàn)

4)第二階段詢問

在這一階段中,敵手A2除了不能進行部分私鑰詢問以及對于挑戰(zhàn)密文的解密詢問外,A2可以執(zhí)行以上的其他詢問。

5)猜測

5 效率分析

在Visual C++實驗環(huán)境下,本文利用PBC庫對文獻[12]方案(方案1)、文獻[14]方案(方案2)與本文方案進行仿真對比,通過折線圖對方案效率進行比較。由圖2可知,在密鑰生成階段,隨著用戶個數(shù)的增加,本文方案增長速度較慢,并且效率略高于方案1和方案2。由圖3可知,在簽密階段,隨著用戶個數(shù)的增加,本文方案的優(yōu)勢越來越明顯。由圖4可知,在解簽密階段,不僅本文方案運行時間的增長幅度一直小于方案1和方案2,而且運行時間也一直處于優(yōu)勢。由圖5可知,在驗證階段,本文方案的運行時間隨著用戶數(shù)量的增加一直處于高效狀態(tài)。由圖6可知,本文方案在整體運行階段尤其是簽密和解簽密階段具有明顯優(yōu)勢。

圖2 密鑰生成階段的方案效率比較

Fig.2Comparison of scheme efficiency in the keygeneration phase

圖3 簽密階段的方案效率比較

Fig.3Comparison of scheme efficiency in thesigncryption phase

圖4 解簽密階段的方案效率比較

Fig.4Comparison of scheme efficiency in theunsigncryption phase

圖5 驗證階段的方案效率比較

圖6 4個階段的方案效率比較

6 結(jié)束語

5G網(wǎng)絡(luò)的普及給人們的生活帶來極大便利的同時,也將用戶的身份信息直接暴露在公開網(wǎng)絡(luò)中。因此在5G網(wǎng)絡(luò)的使用過程中,安全問題顯得尤為重要,為解決用戶身份信息泄露的問題,本文基于無證書的密碼體制,提出適用于5G網(wǎng)絡(luò)環(huán)境的簽密方案。該方案將簽密者的身份與其公鑰綁定并且不作為解簽密的輸入信息,既實現(xiàn)了對簽密者身份信息的隱藏及用戶身份信息的隱私保護,又能防止替換公鑰攻擊。安全性分析結(jié)果表明,本文方案在隨機預(yù)言模型下是可證安全的。下一步將設(shè)計結(jié)合用戶身份信息與用戶位置信息的隱私保護方案,實現(xiàn)位置和身份的雙重匿名。