基于HECC的門限群簽密研究*

馮 陽，汪學(xué)明

(1.貴州大學(xué) 大數(shù)據(jù)與信息工程學(xué)院 ，貴州 貴陽 550025；2.貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 貴州 貴陽 550025)

?

基于HECC的門限群簽密研究*

馮 陽1，汪學(xué)明2

(1.貴州大學(xué) 大數(shù)據(jù)與信息工程學(xué)院 ，貴州 貴陽 550025；2.貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 貴州 貴陽 550025)

分析了已有的門限群簽密方案，針對(duì)現(xiàn)有方案中抗合謀攻擊及身份追查等不足的問題，在(t,n)門限簽密的基礎(chǔ)上，基于HECC提出了一種可抗合謀攻擊、身份可追查的高安全性門限群簽密方案。該方案在可抵御合謀攻擊的同時(shí)，可分辨攻擊是來自于群成員還是外部，并可針對(duì)群成員的欺詐行為進(jìn)行身份追查。該方案的安全性是建立在超橢圓曲線離散對(duì)數(shù)問題的難解性上，在保障安全的同時(shí)，也具備了HECC的諸多優(yōu)點(diǎn)。

門限群簽密；超橢圓曲線密碼體制；合謀攻擊；身份追查

0 引 言

1997年第一次提出“簽密”概念[1]，指在一個(gè)合理的邏輯步驟中同時(shí)完成數(shù)字簽名和信息加密兩個(gè)步驟，其計(jì)算量和通信成本都要低于傳統(tǒng)的“先簽名后加密”[2]，在群體之間的網(wǎng)絡(luò)通信過程中，門限群簽密方案有著較高的安全性及可操作性，研究人員也提出了很多門限群簽密方案。文獻(xiàn)[3]首次提出了同時(shí)具備具備(t,n)簽密和(k,l)解簽密的門限群簽密方案，之后文獻(xiàn)[4]指出此方案有安全缺陷并進(jìn)行了改進(jìn)。針對(duì)文獻(xiàn)[4]在群簽密階段計(jì)算效率較低的問題，文獻(xiàn)[5]提出了新的簽密方案，提高了計(jì)算效率。但在群簽密組成員存在惡意欺詐行為時(shí)，上述方案都無法防范，而在解簽密階段，由于是先解密后驗(yàn)證，不能防止惡意信息的攻擊，文獻(xiàn)[6]針對(duì)上訴問題，提出了一種基于HECC的高安全性群簽密方案，大大提高了群簽密方案的安全性。

本文基于超橢圓曲線密碼體制，針對(duì)上述方案中在抗合謀攻擊以及對(duì)欺詐成員身份追查的不足，提出了一種新的改進(jìn)方案，該方案在(t,n)門限群簽密的基礎(chǔ)上，受到攻擊時(shí)可分辨該攻擊是來自于群成員還是外部，并且可針對(duì)群成員的欺詐行為進(jìn)行身份追查。該方案的安全性是建立在超橢圓曲線離散對(duì)數(shù)問題的難解性上，在保障安全的同時(shí)，也具備了HECC的諸多優(yōu)點(diǎn)。

1 超橢圓曲線密碼體制

超橢圓曲線密碼體制是橢圓曲線密碼體制的推廣。Koblitz 在 1988 年提出了超橢圓曲線密碼體制，其安全性基于有限域上超橢圓曲線的 Jacobian 上的離散對(duì)數(shù)問題(HCDLP)的難解性。

HECC作為ECC的推廣，使其有ECC所不具備的優(yōu)勢(shì)，文獻(xiàn)[9]中HP實(shí)驗(yàn)室在Pentium Pro334MHZ及NT平臺(tái)下，使用Visual C++實(shí)現(xiàn)了ECDSA和HECDSA(超橢圓曲線數(shù)字簽名)的對(duì)比分析；文獻(xiàn)[10]中研究了ECC與RSA在同等安全強(qiáng)度下秘鑰大小的具體函數(shù)表達(dá)，從而間接證明了HECC綜合安全性更好。所以HECC較ECC具有以下優(yōu)點(diǎn)：第一，ECC是虧格為1的超橢圓曲線，而在定義域相同的情況下，虧格越大曲線越多，意味著可用于選取的安全曲線越多，具有更高的安全性；第二，如同已經(jīng)被廣泛應(yīng)用的ECC一樣，可以模擬基于乘法群上如RSA、Elgamal等幾乎所有協(xié)議；第三，安全水平相同時(shí)，HECC可選取更小的基域，而基域相同時(shí)，意味著HECC有更高的安全性，使HECC具有更高的研究價(jià)值。本文方案中如果選取虧格為3基域?yàn)?0 bit，則與基域?yàn)?80 bit的ECC安全性相同，遠(yuǎn)大于1 024 bit的RSA。

2 基于HECC的門限群簽密方案

本方案基于HECC提出了一種可抗合謀攻擊、身份可追查的高安全性門限群簽密方案，方案有以下四部分組成：初始化、門限群簽密生成、群簽密驗(yàn)證和解簽密階段。

2.1 初始化階段

設(shè)有秘鑰分發(fā)中心KDC(可為不可信分發(fā)中心)負(fù)責(zé)該階段分配簽密成員秘鑰。秘鑰分配過程如下：

(1)KDC隨機(jī)選取s∈Zq為簽密組私鑰。簽密組公鑰Ds=s·D.

(2)利用Shamir的(t,n)門限方案[7], 隨機(jī)選擇ai(i=1,2,…,t-1)，利用拉格朗日插值定理構(gòu)造t-1次多項(xiàng)式：

fs(x)=s+a1x+…+at-1xt-1∈Zq[x]

(1)

(3)設(shè)現(xiàn)有哈希函數(shù)(HashFunction)記為H，KDC計(jì)算所需公布信息：簽密組成員公鑰Dsi以及Dai。

Dsi=si·D Dai=ai·D

(2)

(4)利用Pedersen提出的一個(gè)可驗(yàn)證秘密分享方案VSS[8]，對(duì)KDC分發(fā)給簽密組的秘鑰進(jìn)行驗(yàn)證。

(3)

由于現(xiàn)實(shí)情況中完全可信的分發(fā)中心幾乎不存在，本方案通過上面兩組驗(yàn)證可對(duì)分發(fā)中心KDC進(jìn)行驗(yàn)證，防范了KDC的欺詐行為，所以該方案中KDC可以是不可信的。

2.2 門限群簽密生成

2.2.1 成員簽密生成

所有成員Ui收到其他成員Uj(i≠j)的廣播信息后，為防范簽密組成員間欺詐行為，通過下式對(duì)信息進(jìn)行驗(yàn)證：

(4)

在所有Ui對(duì)廣播信息進(jìn)行驗(yàn)證通過后，計(jì)算:

(5)

2.2.2 群簽密生成

KDC收到Si后，通過下式驗(yàn)證成員個(gè)體簽名的有效性：

Si·D=R·Dei+Di1

(6)

S·D=R·Ds+D1

(7)

(8)

又由Largrange插值多項(xiàng)式可知：

(9)

綜合以上可以得出：

S·D=s·D·R+D1=Ds·R+D1

(10)

2.3 群簽密驗(yàn)證

(11)

因?yàn)槿绻灻芙M成員個(gè)人簽名都通過驗(yàn)證是有效的且KDC和成員也通過S·D=R·Ds+D1驗(yàn)證，則可通過上式驗(yàn)證證明群簽密的有效性，因?yàn)椋?/p>

(12)

2.4 解簽密階段

通過上述一系列驗(yàn)證之后，解簽密組成員通過下式恢復(fù)出秘密值m：

(13)

3 方案安全性分析

該方案是基于有限域上超橢圓曲線的Jacobian上的離散對(duì)數(shù)問題的難解性和(t,n)門限簽名的安全性。目前,對(duì)于一般的低虧格(g<4)的超橢圓曲線離散對(duì)數(shù)問題的攻擊都是指數(shù)時(shí)間的，所以本方案在計(jì)算上是安全的。方案利用Largrange門限方法實(shí)現(xiàn)方案的門限性，并通過一系列安全驗(yàn)證保證方案的安全性，如秘密分發(fā)時(shí)對(duì)KDC的驗(yàn)證、簽密組成員間驗(yàn)證、群簽密生成時(shí)對(duì)個(gè)人簽名及KDC合成者的驗(yàn)證等。

3.1 方案門限性分析

本文方案在秘鑰分配階段利用拉格朗日插值多項(xiàng)式構(gòu)造t-1次多項(xiàng)式：

(14)

(15)

其行列式為：

(16)

由范德蒙行列式性質(zhì)可知IDi互不相等，則含有t-1個(gè)未知數(shù)的t個(gè)線性方程組可以解出t-1個(gè)未知數(shù)s,a1,…,at-1，可以看出少于t個(gè)參與者無法求解。

(17)

3.2 秘鑰分配階段的可驗(yàn)證性

利用Pedersen可驗(yàn)證秘密分享方案VSS[7]來驗(yàn)證KDC分發(fā)給成員的秘鑰：

(18)

3.3 簽密成員間個(gè)人簽密的可驗(yàn)證性

(19)

3.4 對(duì)群簽密合成者的可驗(yàn)證性

群簽密生成階段，KDC對(duì)收到的個(gè)人簽密進(jìn)行驗(yàn)證：Si·D=R·Dei+Di1，驗(yàn)證通過說明個(gè)人簽密的有效性，之后解簽密人可利用S·D=R·Ds+D1對(duì)KDC進(jìn)行驗(yàn)證，以確保KDC無欺詐行為，因?yàn)椋?/p>

(20)

所以S·D=s·D·R+D1=Ds·R+D1同時(shí)通過上述驗(yàn)證可判斷在遭受攻擊時(shí)，攻擊是否來自外部。

3.5 驗(yàn)證的匿名性和身份可追查性

4 結(jié)束語

[1]ZHENGYU-liang.DigitalSigncryptionorHowtoAchievecost(Signature&Encryption)<

[2] 雷詠,楊世平. 基于PKI的簽密體制[J]. 通信技術(shù),2013,46(1):43-46. LEI Yong, YANG Shi-ping. Signcryption System based on PKI[J] Communications Technology, 2013,46(1):43-46.

[3] WANG C T,CHANG C C,LIN C H. Generalization ofThreshold Signature and Authenticated Encryption for Group Communications[J]. IEICE Transactions on Fundamentals, 2000, E83-A (6): 1228-1237.

[4] Hsu C L,Wu T S,Wu T C. Improvements ofGeneralization of Threshold Signature and Authenticated Encryption for Group Communications[J]. Information Processing Letters. 2002, 81(1):41-45.

[5] 彭長根,李祥,羅文俊. 一種面向群組通信的通用門限簽密方案[J]. 電子學(xué)報(bào),2007,01:64-67. PENG Chang-gen, LI Xiang, LUO Wen-jun. A Generalized Group-Oriented Threshold Signcryption Schemes[J]. Electronic journals, 2007,01:64-67.

[6] 馮君,汪學(xué)明. 一種高安全的門限群簽密方案[J]. 計(jì)算機(jī)應(yīng)用研究,2013,02:503-506. FENG Jun,WANG Xue-ming.Threshold group signcryption scheme with high security[J]. Computer application research, 2013,02:503-506.

[7] Sharmir A.How to Share a Secret [J]. Communication of the ACM, 1979, 22(11):612-6130.

[8] Pedersen T P.Distributed Provers with Applications to Undeniable Signatures. [C]//Eurocrypt'91,Lecture Notes in Computer Science 547 .New York: Springer-Verlag,1991.221-238.

[9] Solinas J. Efficient Arithmetic on Koblitz Curves [J], Designes, Codes and Cryptography 19(2000),195-249.

[10] Blake I，Seroussi G, Smart N. Elliptic Curves in Cryptography [J]. Cambridge: University Press,1999.

Threshold Group Signcryption based on HECC

FENG Yang1, WANG Xue-ming*2

(1.College of Big Data and Information Engineering, Guizhou University , Guiyang Guizhou 550025,China；2.College of Computer Science and Technology, Guizhou University, Guiyang Guizhou 550025,China)

This paper analyzes the existing threshold group signcryption schemes,and aiming at the problems of anti-conspiracy attack and limited identity-tracing and with (t, n) signcryption as the basis, proposes a more secure threshold group signcryption scheme based on HECC (Hyperelliptic Curve Cryptosystem). This scheme could effectively resist conspiracy and distinguish between external attacks and internal attacks, and meanwhile carry out identity-tracing in accordance with the fraudulent practice of group members. Scheme security relies on the difficult solution of discrete logarithm problem of hyperelliptic curve, and thus to guarantee security while enjoy many advantages of HECC.

threshold group signcryption; HECC; conspiracy attack; identity- tracing

10.3969/j.issn.1002-0802.2015.05.020

2015-01-05；

2015-04-20 Received date:2015-01-05；Revised date：2015-04-20

國家自然科學(xué)基金項(xiàng)目[2011]61163049；貴州省自然科學(xué)基金項(xiàng)目黔科合J字[2011]2197

Foundation Item:National natural science fund project[2011]61163049; Guizhou province natural science fund project[2011]2197

TP393

A

1002-0802(2015)05-0607-04

馮 陽(1986-)，男，碩士研究生，主要研究方向?yàn)槊艽a學(xué)與信息安全；

汪學(xué)明(1965-)，男，博士，教授，主要研究方向?yàn)闊o線與移動(dòng)通信、協(xié)議分析與模型檢測(cè)、密碼學(xué)與信息安全。