一種基于身份的廣義簽密方案

祁正華，楊紅塵，黃 海

(南京郵電大學(xué) 計算機學(xué)院、軟件學(xué)院，江蘇 南京 210003)

一種基于身份的廣義簽密方案

祁正華，楊紅塵，黃 海

(南京郵電大學(xué) 計算機學(xué)院、軟件學(xué)院，江蘇 南京 210003)

為了解決安全性需求不確定網(wǎng)絡(luò)環(huán)境的安全性問題，廣義簽密方案被提出，其具有靈活多變的特點，能在一個密碼模塊內(nèi)實現(xiàn)簽密、加密和簽名三種功能。以提高計算效率和實現(xiàn)更高的安全性為目標(biāo)，研究分析了以往高效安全的廣義簽密方案，給出了一種新的基于身份廣義簽密方案。從各方面對該方案進行了安全性的證明與分析，并將該方案與目前計算效率較高的廣義簽密方案進行了比較，還給出了一個該方案的應(yīng)用實例，描述了該方案在郵件系統(tǒng)中的具體運用過程。結(jié)果表明，新方案的橢圓曲線點乘運算、雙線性對運算的次數(shù)都有所降低。

廣義簽密；基于身份密碼體制；雙線性對；簽密

1 概 述

根據(jù)加密算法和解密算法所用到的密鑰的不同情況,可將加密算法分為對稱加密和非對稱加密(又被稱為私鑰加密和公鑰加密)。私鑰加密中加密算法與解密算法所使用的密鑰是相同的，或者是兩個密鑰之間的推導(dǎo)比較簡單，即無論是加密密鑰還是解密密鑰泄露都會影響整個算法的安全性；公鑰密碼雖然具有許多優(yōu)點，但是公鑰密碼的公鑰認(rèn)證和證書管理相當(dāng)復(fù)雜，且成本昂貴,其基本思想是讓加密算法和解密算法使用不同的密鑰，加密密鑰公開私鑰保密，且很難從用戶的公鑰推導(dǎo)出用戶的私鑰，這樣只要未授權(quán)者沒有合法用戶的私鑰信息就無法輕易地獲得明文。1984年，Shamir[1]為了簡化證書管理，建設(shè)性地提出了基于身份的公鑰密碼系統(tǒng)的思想，其公鑰直接為實體的身份信息，因此基于身份的公鑰密碼體制可以很自然地解決公鑰與實體的綁定問題。2001年，Boneh D等[2]在橢圓曲線雙線性對的基礎(chǔ)上提出了第一個基于身份的加密方案,但該方案在隨機預(yù)言機模型下才能證明其安全性。2002年，Malone-Lee[3]最先提出了完整的基于身份的簽密方案，但Libert等[4]指出該方案并不滿足語義安全性。此后，許多不同的簽密算法相繼提出[5-7]。

在現(xiàn)實中存在一些網(wǎng)絡(luò)環(huán)境，其安全性要求并非是確定的，系統(tǒng)中并不是只要存有簽名、加密或者簽密方案其中之一就能滿足所有網(wǎng)絡(luò)事務(wù)的需求，這樣一些網(wǎng)絡(luò)系統(tǒng)中就必須同時存有這三種方案，且系統(tǒng)要根據(jù)不同的安全性要求使用不同的方案，這種做法由于增加了算法存儲空間和方案之間的切換機制，故明顯增加了系統(tǒng)負(fù)擔(dān)。廣義簽密的提出解決了上述不足，其不僅具有普通簽密方案的特性，還可以只實現(xiàn)機密性或認(rèn)證性一種功能，在時間和成本上能夠滿足不同需求的網(wǎng)絡(luò)環(huán)境。適用于用戶之間需要頻繁傳輸不同秘密級別消息的網(wǎng)絡(luò)環(huán)境。

廣義簽密(Generalized SignCryption,GSC)是韓益亮等[8-9]提出的密碼學(xué)概念。其將簽名、加密、簽密三種算法實現(xiàn)的功能集于一身，且將這三種方案作為可供選擇的不同模式根據(jù)輸入情況判斷具體實現(xiàn)中所用到的是哪一種功能。廣義簽密的出現(xiàn)解決了那些安全性需求不穩(wěn)定的網(wǎng)絡(luò)環(huán)境需要存儲多種密碼方案且需要來回轉(zhuǎn)換不同方案的存儲空間和時間的高消耗問題。2007年，Wang X等[10]定義了GSC體制的安全模型。鑒于GSC方案的靈活多變性，許多學(xué)者將其與基于身份簽密相結(jié)合，形成了基于身份GSC方案。2008年，Lai S等[11]提出了基于身份GSC體制的形式化定義和安全模型，并提出了一種具體方案。此后，一些優(yōu)秀的基于身份GSC方案相繼提出[12-14]，其都從計算效率或安全性方面對前人提出的方案進行了改進。

文中提出了一種新的基于身份GSC算法，驗證了算法的正確性并分析了其安全性和性能。

2 相關(guān)基礎(chǔ)

2.1 雙線性對

設(shè)G1,G2分別是階數(shù)為q(大素數(shù))的加法群和乘法群。P為G1的一個生成元，稱e:G1×G1→G2是一個雙線性映射，當(dāng)其滿足以下性質(zhì)時。

(1)雙線性。對所有的P,Q,R∈G1，都有：

e(aP,bQ)=e(P,Q)ab

e(P+Q,R)=e(P,R)e(Q,R)

e(P,Q+R)=e(P,Q)e(P,R)

(2)非退化性。存在P,Q∈G1，滿足e(P,Q)≠1，如果e(P,Q)=1，那么說明點P為無窮遠(yuǎn)的點。

(3)可計算性。對所有的P,Q∈G1能夠找到可行的算法計算e(P,Q)的值，那么稱e為雙線性配對。

2.2 困難問題假設(shè)

2.3 基于身份廣義簽密算法定義

基于身份GSC算法由以下四個算法組成：

1)系統(tǒng)生成(Setup)：系統(tǒng)選擇一個安全參數(shù)k,PKG經(jīng)過選擇和計算得出系統(tǒng)公開的初始化參數(shù)列表params和系統(tǒng)的主密鑰s。

2)用戶私鑰生成(Extract)：根據(jù)用戶的身份IDA，PKG利用系統(tǒng)的公開參數(shù)和主密鑰s計算出該身份信息對應(yīng)的私鑰SA，并通過一個安全信道傳送給用戶。

3)廣義簽密(GSC)：該算法有三種不同的工作方式，即簽密、加密和簽名，每次只有其中一個工作方式發(fā)生。

(1)簽密：若用戶IDA需要讓傳輸?shù)南同時滿足機密性和可認(rèn)證性之后再發(fā)送給接收者B，發(fā)送者A已知的信息有(SA,m,IDB)，利用已知的信息執(zhí)行GSC算法生成密文為σ=GSC(SA,m,IDB)。

(2)簽名：若用戶IDA僅需要簽名一個消息m而不用特別指定簽名的接收者時，這時接收者的身份信息是沒有的。發(fā)送者A已知的信息有(SA,m,ID?)。其中，ID?表示身份為空的情形。用戶A執(zhí)行GSC算法生成密文σ=GSC(SA,m,ID?)，這種情況下的GSC算法發(fā)揮的作用就相當(dāng)于一個簽名算法。

(3)加密：若某用戶僅僅是需要傳輸?shù)男畔滿足數(shù)據(jù)的機密性而對數(shù)據(jù)的可認(rèn)證性沒有要求，即沒有發(fā)送者的身份信息，只是加密一個消息，此時的已知信息是(S?,m,IDB)，其中S?表示身份信息為空時的私鑰。利用已知信息執(zhí)行GSC算法生成σ=GSC(S?,m,IDB)，在這種情況下的GSC算法的作用就相當(dāng)于一個加密算法。

4)解廣義簽密(UGSC)：GSC算法無論工作在何種方式下，在進行解廣義簽密時都進行相同的操作。經(jīng)過判斷，若σ是一個有效密文，則接收者B運行解簽密算法解密密文信息返回m，若廣義簽密運行的是簽密或者簽名功能的話還要返回A對消息m的簽名信息；否則返回Г表示密文無效。

3 基于身份GSC方案

GSC：(用戶A想要安全地發(fā)送消息m給B)首先計算f(IDA)、f(IDB)的值，若都為0，則無意義，終止。否則進行如下計算：

(2)計算R=kP，R1=xAPpub，S=k-1(f(IDA)SA+H2(R)P)；

(3)計算w=e(Ppub,QB)k·f(IDB)，C=H3(w)⊕(m‖S)；

(4)發(fā)送密文σ=(C,R,R1,S)給B。

UGSC:接收者B接收到密文σ后，進行如下計算：

(1)計算w=e(R,DB)f(IDB)；

(2)計算m‖S=H3(w)⊕C。

在接收到密文之后，首先要判斷等式e(R,S)=e(R1,QA)f(IDA)·e(P,P)H2(R)是否成立，成立則B接收此密文消息，否則將此密文視為無效。

正確性驗證：

e(R,S)=e(kP,k-1(f(IDA)SA+H2(R)P))=e(P,SA)f(IDA)·e(P,P)H2(R)=e(P,xAsQA)f(IDA)·e(P,P)H2(R)=e(xAsP,QA)f(IDA)·e(P,P)H2(R)=e(R1,QA)f(IDA)·e(P,P)H2(R)

4 安全性和計算量分析

4.1 安全性分析

下面從5個方面來分析新算法的安全性。

(1)機密性：假設(shè)存在一個接收者F能在多項式的時間t內(nèi)解密消息。其中，F(xiàn)通過截取區(qū)域內(nèi)的廣播消息可以得到σ=(C,R,R1)，已知R=kP,Ppub=sP，令QB=bP(F并不知道k,b,s)。如果F想解密消息的話，其必須能在多項式時間t內(nèi)解出e(Ppub,QB)k=e(P,P)kbs的值。即F能在多項式時間t內(nèi)根據(jù)R，QB和Ppub計算出e(Ppub,QRi)k，即其能夠在多項式時間內(nèi)解決DBDH問題。由于DBDH問題在多項式時間內(nèi)是不可解的，這與假設(shè)的結(jié)論矛盾。因此，假設(shè)不成立，該算法具有機密性。

(2)不可偽造性：因為攻擊者F無法獲得發(fā)送者Alice的加密私鑰SA和隨機數(shù)xA，所以其不能正確計算出S=k-1(f(IDA)SA+H2(R)P)和R1=xAPpub，即不能偽造發(fā)送者的簽密消息，因此該算法滿足不可偽造性。

(3)公開驗證性：由于驗證密文是通過判斷等式e(R,S)=e(R1,QA)f(IDA)·e(P,P)H2(R)是否成立，該等式中用到的信息都是可計算的或者是可以公開獲得并不涉及發(fā)送者、接收者的私鑰信息，因此該算法滿足公開驗證性。

(4)不可否認(rèn)性：因為該方案滿足公開驗證性，所以也滿足不可否認(rèn)性。

(5)前向安全性：即便攻擊者F獲得了發(fā)送者Alice的私鑰SA，但攻擊者F并不知道隨機數(shù)k和接收者Bob的私密鑰DB，所以其無法求得e(Ppub,QB)k·f(IDB)或者e(R,DB)f(IDB)，進而無法解出m,因此F無法解簽密消息。所以，該算法具備前向安全性。

綜上所述，該算法能夠滿足機密性、不可偽造性、公開驗證性、不可否認(rèn)性和前向安全性，是一種安全的基于身份廣義簽密方案。

4.2 計算量分析

計算開銷和密文長度是影響算法效率的兩個主要因素。影響算法計算效率的主要運算是橢圓曲線點乘運算、雙線性對運算和指數(shù)運算，分別用字母M,P和E表示。表1給出了新方案與當(dāng)前效率較高的其他廣義簽密方案的比較情況。

表1 基于身份廣義簽密方案的比較

5 新方案在電子郵件系統(tǒng)中的應(yīng)用

利用文中提出的廣義簽密方案，設(shè)計一個安全的電子郵件傳送機制，提供發(fā)送私人郵件、公告郵件的發(fā)送模式。該郵件發(fā)送機制的整體構(gòu)架如圖1所示。

圖1 郵件發(fā)送機制的整體構(gòu)架

首先，用戶計算自己的公鑰，向認(rèn)證中心提出身份認(rèn)證請求，通過后認(rèn)證中心向PKG申請用戶的解密私鑰，PKG根據(jù)用戶的公鑰信息，計算出用戶的解密密鑰并通過安全信道傳送給用戶，當(dāng)用戶獲取該解密密鑰之后，計算出其加密密鑰。與E-mail服務(wù)器進行郵件傳輸，當(dāng)E-mail服務(wù)器收到用戶郵件傳輸請求后，要向認(rèn)證中心確認(rèn)用戶身份信息，如果用戶身份正確，則進行信息交換，否則，拒絕郵件發(fā)送請求。接收者接收到加密郵件后若不能正確解密郵件信息，則視為無效郵件，不做處理。

5.1 身份認(rèn)證

用戶的客戶端根據(jù)電子郵件系統(tǒng)的要求，將自己的身份信息IDU和自己的公鑰信息QU發(fā)送給認(rèn)證中心，認(rèn)證中心檢測IDU是用戶的真實身份信息且能保證使用的唯一性，則通過身份認(rèn)證。

5.2 用戶私鑰對生成

當(dāng)用戶的身份信息通過認(rèn)證后，認(rèn)證中心將用戶的公鑰信息QU發(fā)送給PKG，PKG計算出用戶的解密密鑰DU，并通過安全的信道傳送給用戶U，用戶U再根據(jù)該解密密鑰計算出加密密鑰SU，并將作為其私鑰對。具體過程與第3節(jié)的Extract算法相同。

5.3 郵件的發(fā)送和接收過程

郵件的發(fā)送過程為發(fā)送者Alice簽密明文后，通過E-mail服務(wù)器將郵件發(fā)送給接收者Bob的過程，具體如下：判斷f(IDB)。若等于0，則發(fā)送者發(fā)送的是公開郵件，等于1則為私人郵件。然后發(fā)送者Alice執(zhí)行第3節(jié)GSC算法計算出密文σ=(C,R,R1)，通過E-mail服務(wù)器發(fā)送給接收者Bob。當(dāng)Bob接收到郵件后，判斷w的值是否為0，為0則接收到的是公開郵件，否則是私人郵件。根據(jù)判斷UGSC算法中正確性驗證等式是否成立，判定接收到的密文是否有效，有效則Bob執(zhí)行解密算法解密密文郵件，否則視為垃圾郵件不做處理。

6 結(jié)束語

文中提出了一種新的基于身份廣義簽密方案。從機密性、不可偽造性、公開驗證性、不可否認(rèn)性和前向安全性這五個方面進行了安全性分析，并將該方案與目前計算效率較高的廣義簽密方案進行了比較，結(jié)果表明該方案是一個安全高效的基于身份廣義簽密方案。同時給出了一個應(yīng)用實例，講述了將該算法應(yīng)用于郵件系統(tǒng)的具體工作流程。

[1]ShamirA.Identity-basedcryptosystemsandsignatureschemes[C]//Proceedingsofadvancesincryptology-CRYPTO’1984.Berlin:Springer-Verlag,1985:47-53.

[2]BonehD,FrankklinM.IdentitybasedencryptionfromtheWeilPairing[C]//ProceedingofCrypto’01.Berlin:Springer-Verlag,2001:213-229.

[3]Malone-LeeJ.Identitybasedsigncryption[R/OL].2011-10-01.http://eprint.iacr.org/2002/098.pdf.

[4]LibertB,QuisquaterJJ.Newidentitybasedsigncryptionschemesfrompairings[EB/OL].2003-02-03.http://eprint.iacr.org.

[5]QiZhenghua,RenXunyi,YangGeng.Provablysecuregeneralaggregatesigncryptionschemeintherandomoraclemodel[J].ChinaCommunications,2012,9(11):107-116.

[6]RenXunyi,QiZhenghua,YangGeng.Provablysecureaggregatesigncryptionscheme[J].ETRIJournal,2012,34(3):421-428.

[7] 明 洋，馮 杰，胡齊俊.標(biāo)準(zhǔn)模型下安全基于身份代理簽密方案[J].計算機應(yīng)用,2014,34(10):2834-2839.

[8] 韓益亮，楊曉元.ECDSA可公開驗證廣義簽密[J].計算機學(xué)報,2006,29(11):2003-2012.

[9]HanYiliang.Generalizationofsigncryptionforresources-constrainedenvironments[J].WirelessCommunicationandMobileComputing,2007,7(7):919-931.

[10]WangX,YangX,HanY.Provablesecuregeneralizedsigncryption[EB/OL].2007.http://eprint.iacr.org/2007/173.

[11]LaiS,KushwahP.ID-basedgeneralizedsigncryption[EB/OL].2008-02-26.http://eprint.iacr.org/2008/084.

[12] 張洪禮，趙 靜，劉文遠(yuǎn).高效的基于雙線性對和身份的廣義簽密方案[J].計算機應(yīng)用研究,2010,27(2):678-681.

[13] 項順伯.可證安全的基于身份的廣義簽密方案[J].信息網(wǎng)絡(luò)安全,2013(1):58-60.

[14] 周才學(xué).無可信中心的基于身份的廣義簽密[J].計算機科學(xué),2013,40(4):142-146.

An Identity-based Generalized Signcryption Scheme

QI Zheng-hua,YANG Hong-chen,HUANG Hai

(School of Computer Science and Technology,School of Software,Nanjing University of Posts and Telecommunications,Nanjing 210003,China)

For meeting the requirements of security in unstable network environment,generalized signcryption is proposed.It has flexible features,and can achieve signcryption,encryption and signature within one cryptographic module.In order to improve the computational efficiency and security,analysis of the proposed schemes,a new identity-based generalized signcryption program is put forward.The security of this scheme is proved from all aspects,then it is in contrast with the proposed schemes which has high computational efficiency.An application example of the scheme is given and the process of applying the program is described in mail system.The results show that the new scheme reduces the numbers of computation of the pairing and scalar multiplication.

generalized signcryption;identity-based cryptography;bilinear pairing;signcryption

2015-09-10

2016-02-25

時間：2016-09-18

國家自然科學(xué)基金資助項目(61073188)

祁正華(1975-)，女，副教授，博士，研究方向為網(wǎng)絡(luò)與信息安全；楊紅塵(1991-)，女，碩士研究生，研究方向為網(wǎng)絡(luò)與信息安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20160918.1707.016.html

TP309

A

1673-629X(2016)10-0083-04

10.3969/j.issn.1673-629X.2016.10.018