新的無證書簽密方案

馬陵勇，卓澤朋，廉玉忠

(1.東莞理工學(xué)院城市學(xué)院 計(jì)算機(jī)與信息科學(xué)系,廣東 東莞 523106；2.淮北師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院， 安徽 淮北 235000)

新的無證書簽密方案

馬陵勇1，卓澤朋2，廉玉忠1

(1.東莞理工學(xué)院城市學(xué)院 計(jì)算機(jī)與信息科學(xué)系,廣東 東莞 523106；2.淮北師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院， 安徽 淮北 235000)

提出了一種新的無證書的簽密方案，新方案在簽密過程中只需要1次配對(duì)運(yùn)算，在解簽密過程中僅需要4次配對(duì)運(yùn)算．與已有方案相比，新方案具有更高的效率．在安全性方面，新方案滿足機(jī)密性、不可偽造性和可公開驗(yàn)證性．

無證書簽密；雙線性對(duì)；可公開驗(yàn)證性；可追蹤性；計(jì)算Diffie-Hellman問題

0 引言

Riyami A I和Paterson K首次在文獻(xiàn)[1]里提出無證書公鑰密碼體制．不同于基于身份的密碼體制(用戶的密鑰由可信中心產(chǎn)生)，無證書的密碼體制中，用戶的密鑰是由可信中心和用戶自己分別獨(dú)立生成，這就解決了基于身份密碼體制中的密鑰托管問題[2]，同時(shí)也不存在傳統(tǒng)公鑰中的證書管理．

在傳輸信息的過程中，需要保證信息的機(jī)密性，同時(shí)還要保證信息的可認(rèn)證性．對(duì)傳輸?shù)男畔⒓用埽梢詫?shí)現(xiàn)機(jī)密性，而簽名可以達(dá)到認(rèn)證性．如果需要對(duì)傳輸?shù)南⑼瑫r(shí)保證機(jī)密性和認(rèn)證性，傳統(tǒng)做法是對(duì)消息“先簽名后加密”，但該方法不僅效率低下，而且成本很高．1997年，Zheng在文獻(xiàn)[3]里提出簽密的概念，它在一個(gè)方案中可以同時(shí)實(shí)現(xiàn)機(jī)密性和認(rèn)證性要求，與原有機(jī)制相比，簽密機(jī)制通常效率較高，是一種比較理想的數(shù)據(jù)安全傳輸方法．文獻(xiàn)[4],[5],[6],[7]各自提出了有效的無證書簽密方案，多數(shù)無證書簽密方案中都用到了雙線性對(duì)運(yùn)算，雙線性配對(duì)運(yùn)算的速度相對(duì)群中的乘法運(yùn)算和指數(shù)運(yùn)算是非常慢的，因此，一個(gè)方案的運(yùn)行效率主要取決于算法中使用雙線性配對(duì)運(yùn)算的次數(shù)．本文提出一種新的無證書簽密方案，新方案在簽密階段只需要一次對(duì)運(yùn)算，解簽密階段只需要4次對(duì)運(yùn)算，具備更高的效率．同時(shí)，新方案滿足可公開驗(yàn)證性．

1 預(yù)備知識(shí)

定義1雙線性映射

G1是一個(gè)階為素?cái)?shù)q的加法循環(huán)群，P是一個(gè)生成元；G2是一個(gè)階為q的乘法循環(huán)群．我們把滿足以下三個(gè)條件的映射e:G1×G1→G2叫做雙線性映射

(2)非退化性：存在U，V∈G1，使得e(U,V)≠1G2．

(3)可計(jì)算性：對(duì)于任意的U，V∈G1，計(jì)算e(U,V)的值是容易的．

定義2計(jì)算Difiie-Hellman問題(CDHP)

定義3計(jì)算雙線性Difiie-Hellman問題(CBDHP)

2 新的無證書簽密方案

2．1 新方案的構(gòu)造

在文獻(xiàn)[8]中的無證書簽名算法的基礎(chǔ)上，本文建立一種新的簽密方案，新方案是無證書的，具體描述如下：

(3)用戶公鑰設(shè)置：身份為ID的用戶設(shè)置自己的公鑰PID=xP．

(4)用戶的部分私鑰生成：對(duì)身份為ID的用戶計(jì)算QID=H1(ID‖PID)，由KGC計(jì)算ID的部分私鑰SID=sKGCQID，并安全的傳輸給用戶ID．

(5)設(shè)置用戶私鑰：用戶ID的私鑰為(SID，x)，公鑰為(PID,QID),

(6)簽密：假設(shè)發(fā)送方Alice的身份信息為IDA，公鑰為(PA，QA)，私鑰為(SA,xA)，接收者Bob的身份信息為IDB，公鑰為(PB，QB)，私鑰為(SB，xB)，Alice執(zhí)行以下步驟對(duì)消息m進(jìn)行簽密：

②計(jì)算k=H2(R,T,W,IDA,IDB)

③計(jì)算c=Ek(m)

⑤計(jì)算V=ruSA+xAQA

Alice輸出消息m的密文σ=(R,c,V)

(7)解簽密：收到Alice發(fā)來的密文σ=(R,c,V)，接收者Bob執(zhí)行以下步驟對(duì)密文解簽密：

①計(jì)算u=H3(R,c,PA，IDA)

②驗(yàn)證e(P,V)=e(PPub,R)ue(PA，QA)是否成立，若成立，則簽名是合法的，繼續(xù)執(zhí)行，若不成立，則解簽密過程終止．

③計(jì)算T=e(R,SB),W=xBR，并計(jì)算對(duì)稱加密所使用的密鑰k=H2(R,T,W,IDA,IDB)．

④恢復(fù)出消息m=Dk(c)

2.2 方案的正確性

(1)可解密性

接收者Bob可以計(jì)算T=e(R,SB)=e(rP,sKGCQB)=e(sKGCP,QB)r=e(Ppub,QB)r，W=xBR=xBrP=r(xBP)=rPB，從而可以恢復(fù)對(duì)稱加密的密鑰k，也就可以恢復(fù)出明文m.

(2) 可驗(yàn)證性

e(P，V) =e(P,ruSA+xAQA)=e(P,rusKGCQA)e(P,xAQA)

=e(sKGCP,rQA)ue(xAP,QA)=e(PPub,R)ue(PA，QA)

(3)可追蹤性

由于e(SA，aP)=e(sKGCQA,aP)=e(sKGCH1(IDA‖PA),aP)=e(H1(IDA‖PA)，PPub)a

所以合法的用戶總可以證明自己的清白，從而可以追蹤積極不誠(chéng)實(shí)的KGC的假冒．

3 新方案的安全性與性能分析

3.1 安全性分析

3.1.1 認(rèn)證性

文獻(xiàn)[8]中的簽名方案已經(jīng)在標(biāo)準(zhǔn)模型下證明了在CDHP假設(shè)下的不可偽造性，而我們的簽密方案是將消息m加密后的密文c進(jìn)行簽名,敵手如果要偽造合法密文，必須要偽造對(duì)c的簽名，而這相當(dāng)于解決CDHP問題，所以我們的方案滿足可認(rèn)證性．

3.1.2 機(jī)密性

無證書密碼系統(tǒng)中有兩類潛在的攻擊者，第一類攻擊者不知道用戶部分私鑰，但是它能夠隨意替換用戶的公鑰，第二類攻擊者可以獲得系統(tǒng)主密鑰．在簽密階段，方案只有在c=Ek(m)用到了消息m，敵手想要從密文中恢復(fù)出消息m，只有對(duì)c進(jìn)行解密．假設(shè)選取的對(duì)稱加密算法(E，D)是安全的，敵手需要獲得對(duì)稱加密的密鑰k．而Hash函數(shù)H2具有單向性，所以攻擊者必須計(jì)算出T和W的值．

第一類攻擊者能夠任意替換用戶的公鑰，所以W的值可以計(jì)算．攻擊者在掌握(P，R，QB，PPub)的情況下，計(jì)算T=e(PPub,QB)r的值，由于不能獲得用戶部分私鑰，這相當(dāng)于解決CBDHP問題．

而第二類攻擊者可以獲得系統(tǒng)主密鑰，所以容易計(jì)算出T的值，但是由于無法知道接收者部分私鑰，因而，計(jì)算W=rPB，相當(dāng)于解決CDHP問題．

所以，對(duì)兩類攻擊者來說，新方案在CBDHP問題和CDHP問題難解的假設(shè)下，均能滿足機(jī)密性的要求．

3.1.3 可公開驗(yàn)證性

在本文方案中，由于最后的密文σ=(R,c,V)包含了驗(yàn)證密文合法性所需要的知識(shí)，因此，任何用戶都能夠通過解簽密的步驟來驗(yàn)證密文的合法性．新方案滿足可公開驗(yàn)證性．

3.2 方案的性能分析

我們從通信成本和計(jì)算量方面對(duì)新方案做一個(gè)評(píng)價(jià)．下表給出了幾種無證書簽密方案的效率比較，為了方便，我們用e代表方案中的一次雙線性配對(duì)運(yùn)算，Ex表示方案中做的在群G2中的一次指數(shù)運(yùn)算，而Mu表示群G1中的一次加法運(yùn)算．雙線性配對(duì)運(yùn)算的速度相對(duì)群中的乘法運(yùn)算和指數(shù)運(yùn)算是非常慢的，因此，一個(gè)方案的運(yùn)行效率主要取決于算法中使用雙線性配對(duì)運(yùn)算的次數(shù)．如表所示，盡管簽密階段新方案的運(yùn)行效率與文獻(xiàn)[5,6,7]中的方案大體相當(dāng)，但是在解簽密階段，新方案減少了一次雙線性配對(duì)運(yùn)算，在運(yùn)行效率方面有了一定提高．

幾種無證書簽密方案的效率比較表

4 結(jié)束語

基于文獻(xiàn)[8]中的無證書簽名方案提出了一種新的無證書簽密方案，并對(duì)新方案進(jìn)行了安全性和性能分析，與目前已有的簽密方案相比，我們提出的新方案在運(yùn)行效率方面有了一定提高． 設(shè)計(jì)運(yùn)行效率更高的無證書簽密方案，是需要進(jìn)一步研究的工作．

[1]S.Al-Riyami,K.Paterson.Certificateless public key cryptography[C]//Laih C S,Proceedings of the Asiacrypt 2003,Taipei,Taiwan,2003,2894:312～323.

[2]A.Shamir.Identity based cryptosystems and signature schemes[C]//LNCS 196:Proceedings of Crypto’84.Berlin:Spinger-Verlag,1984:47～53.

[3]Y.Zheng.Digital signcrypion or how to achieve cost(signature & encryption )<

[4]Y.Han.Generalization of Signcryption for Resources comstraomed Environments[J].Wireless Communication and Mobile Computing,2007,7(7):919～931.

[5]M.Barbosa,P.Farshim.Certificateless signcryption[C]//Proceedings of ASIACCS’08.New York:ACM,2008:369～372.

[6]F.Li,M.Shirase,T.Takage.Certificateless hybrid signcryption[C]//LNCS 5451:Proceedings of ISPEC’09.Berlin: Springer-Verlag,2009:112～123.

[7]陳 虎，宋如順，張福泰.無證書并行簽密方案[J].計(jì)算機(jī)工程與應(yīng)用，2009，45(21)：85～87.

[8]王麗莎，張建中.一種高效安全的無證書數(shù)字簽名方案[J]計(jì)算機(jī)工程與應(yīng)用，2012，48(15)：70～73.

NewCertificatelessSigncryptionScheme

MALing-yong1,ZHUOZe-peng2,LIANYu-zhong1

(1.Department of Computer and Information Sciences,City College of Dongguan University of Technology,Dongguan 523106,China;2.School of Mathematical Science,Huaibei Normal University,Huaibei 235000,China)

A certificateless signcryption scheme is proposed.New scheme only requires one pairing operation in the signcryption phase and four pairing operations in the unsigncryption phase.Compared with the existing schemes,the new scheme is more efficient.For security requirements,this new scheme satisfies confidentiality,unforgeability and public vertifiability.

certificateless signcryption;bilinear pairing;public verifiability;trace ability;Diffie-Hellman problem

梁懷學(xué))

2014-06-02

安徽省自然科學(xué)基金項(xiàng)目(1208085QF119);東莞理工學(xué)院城市學(xué)院青年教師發(fā)展基金項(xiàng)目(2014QJY002Z)

馬陵勇(1978-)，男，河南省泌陽縣人，現(xiàn)為東莞理工學(xué)院城市學(xué)院講師，碩士.研究方向：密碼學(xué)及信息安全.

TP309

A

1674-3873-(2014)03-0093-03