周彦伟,杨 波,张文政

(1.陕西师范大学计算机科学学院,陕西西安710062;2.保密通信重点实验室,四川成都 610041;3.中国科学院信息工程研究所信息安全国家重点实验室,北京 100093)



匿名的无证书多接收者签密机制

周彦伟1,2,3,杨 波1,2,3,张文政2

(1.陕西师范大学计算机科学学院,陕西西安710062;2.保密通信重点实验室,四川成都 610041;3.中国科学院信息工程研究所信息安全国家重点实验室,北京 100093)

为了满足广播通信环境下发送者的多消息发送需求,本文提出可证安全的无证书多接收者多消息签密机制,密文中不再包含接收者身份列表,实现对接收者身份等隐私信息的保护;同时发送者可在一次签密操作中完成多消息发送任务.相较与现有方案而言,除具有保密性和不可伪造性之外,本文机制具有较强的匿名性和较高的计算效率,满足广播通信环境中多消息的匿名发送需求.

无证书签密;多接收者;多消息;匿名性;保密性;不可伪造性

电子学报URL:http://www.ejournal.org.cn DOI:10.3969/j.issn.0372-2112.2016.08.002

1 引言

广播环境下用户个人信息的保护需求,推进了多接收者签密机制的研究.国内外研究者相继提出了多接收者签密机制[1～15],然而多数机制[1～10,12,13,15]的密文信息易暴露接收者身份,因为在这些机制中接收者的身份列表或密文标记列表是其密文的一部分;多数机制[3,5,8,10～15]以基于身份的密码系统为基础,存在密钥托管的问题;多数机制[1～14]仅具有单消息发送能力,发送者仅能发送单个消息给多位不同的接收者,无法满足发送者的多消息发送需求.

由于传统公钥密码系统需要昂贵而又繁琐的证书管理机制,而基于身份的密码系统存在密钥托管的不足.为弥补上述不足,文献[16]提出了无证书公钥密码系统,私钥由用户和密钥生成中心KGC (Key Generator Center)共同生成,该系统中KGC无法获知任何用户的私钥.

针对现有机制存在的不足,本文提出无证书的多接收者多消息签密机制,该机制解决了接收者的隐私保护问题,仅有授权的接收者才能正确解密;同时能向多个接收者发送多个消息,满足发送者的多消息发送需求;并在随机谕言机模型下,基于计算性Diffie-Hellman (Computational Diffie-Hellman,CDH) 问题和离散对数(Discrete Logarithm,DL)问题证明了本文机制的保密性和不可伪造性.

2 基础知识

2.1 双线性映射

2.2 困难性问题及假设

在概率多项式时间内算法A成功解决DL问题的概率为AdvDL(A)=Pr[A(P,aP)=a].其中,概率来源于a的随机选取及A的随机选择.

DL假设.对于任意的概率多项式时间算法A,概率AdvDL(A)是可忽略的.

设G为阶是大素数q的循环群,P是群G的一个生成元;已知P,aP,bP∈G,CDH问题的目标是计算abP.

在概率多项式时间内算法A成功解决CDH问题的概率为AdvCDH(A)=Pr[A(P,aP,bP)=abP].其中,概率来源于a,b的随机选取及A的随机选择.

CDH假设.对于任意的概率多项式时间算法A,概率AdvCDH(A)是可忽略的.

2.3 安全模型

3 本文无证书多接收者多消息签密机制

3.1 系统初始化

系统初始化时,KGC执行下述操作:

3.2 用户密钥生成

③通过等式yIDiP=YIDi+PPubH1(IDi,XIDi,YIDi)用户IDi可实现对yIDi和YIDi的合法性验证,则IDi的公私钥对为.

3.3 多消息签密(MultiSign)

多消息签密算法的输入为签密者身份、消息集合M={m1,…,mn}和授权接收者身份集合IDR={IDR1,…,IDRn}.签密者Alice(身份标识为IDA)的具体签密步骤如下:

③计算vA=tA(xA+yA)-1后,将密文σ=以广播的形式发送给每一位接收者Ri(i={1,…,n}).

3.4 解签密(UnSign)

(1)密文解密

(2)合法性验证

3.5 正确性

3.5.1 解密的正确性

=tA(xA+yA)-1(xA+rA+SmskhA)P=tAP=TA.

其中,yA=rA+SmskhA,hA=H1(IDA,XA,YA).

3.5.2 签名的正确性

=H3(IDA,cJRi,TA)=UJRi

4 安全性证明

安全性证明过程中所涉及的相关游戏均在文献[6]中给出了具体定义,本文不再赘述.

4.1 保密性证明

(2)若IDS=IDJ,则β停止模拟,并退出.

(2)若∈LPK且IDS=IDJ,β按下述步骤进行解签密:

②否则,β停止模拟,拒绝密文并退出.

(3)若LPK中不存在相应的元组(公钥被替换),β按下述步骤进行解签密:

②否则,β停止模拟,拒绝密文并退出.

①若IDS≠IDJ,β失败,并停止模拟.

证明思路与定理1类似,此处不再赘述.

4.2 不可伪造性证明

②如果IDS=IDJ,则β停止模拟,并退出.

(2)若存在∈LPK且IDS=IDJ,β按下述步骤进行签名验证:

②否则,β停止模拟,并退出.

(3)若列表LPK中不存在相应的元组(公钥被替换),β按下述步骤进行签名验证:

②否则,β停止模拟,并退出.

证明思路与定理3类似,此处不再赘述

5 性能分析

本节将本文机制的匿名性、安全性等性质与相关机制[3～15]进行比较,并给出具体如表1所示的比较结果.表1中UnAnon表示相应的参与者不具有匿名性;Anon表示相应的参与者具有匿名性;UnSec表示机制不具有相应的安全属性;Sec表示机制具有相应的安全属性.

表1 本文机制与现有机制的性能比较结果

6 效率分析

在计算效率方面,由于双线性映射和指数运算是影响机制性能的主要因素,因此表1主要对双线性映射和指数运算的次数进行了统计,对哈希及异或等计算量较少的运算并未统计.在传输效率方面,由于本文机制进行多消息签密,导致密文的长度较长;若进行单消息通信,则本文机制具有较短的密文长度.

相较与现有机制而言,本文机制在完成多消息签密的同时,具有较高的计算和通信效率;并且本文机制具有更优的安全性能.

表2 本文机制与现有机制的效率比较结果

7 结束语

本文为满足接收者的匿名性和发送者的多消息发送需求,提出无证书的多接收者多消息签密机制,签密密文中不再包含接收者的身份列表,实现对接收者隐私信息的保护;同时公用的信息集合确保密文解密的独立性.相关分析表明除具有保密性和不可伪造性之外,本文机制功能更加完善,因此本文机制是安全有效的无证书多接收者多消息签密机制.

由于双线性映射的运算量较大,下一步将在本文的基础上研究不使用双线性映射的无证书多接收者多消息签密机制.

[1]Duan S,Cao Z.Efficient and Provably Secure Multi-receiver Identity-Based Signcryption[A].11th Australasian Conference on Information Security and Privacy[C].Berlin Heidelberg:Springer,2006.195-206.

[2]Lal S,Kushwah P.Anonymous ID based signcryption scheme for multiple receivers[EB/OL].https:.eprint.iacr.org/2009/345.pdf.

[3]Yu Y,Yang B,Huang X,et al.Efficient Identity-Based Signcryption Scheme for Multiple Receivers[A].4th International Conference on Autonomic and Trusted Computing,Berlin Heidelberg:Springer,2007.13-21.

[4]Fagen Li,Yupu Hu,Shuanggen Liu:Efficient and provably secure multi-recipient signcryption from bilinear pairings[J].Wuhan University Journal of Natural Sciences,2007,12(1):17-20.

[5]Selvi S S D,Vivek S S,Gopalakrishnan R,et al.On the Provable Security of Multi-Receiver Signcryption Schemes[EB/OL].https:.eprint.iacr.org/2008/238.pdf.

[5]Selvi S S D,Vivek S S,Rangan C P.A note on the Certificateless Multi-receiver Signcryption Scheme[EB/OL].https:.eprint.iacr.org/2009/308.pdf.

[7]Selvi S S D,Vivek S S,Shukla D,et al.Efficient and provably secure certificateless multi-receiver signcryption[A].Second International Conference on Provable Security[C].Springer Berlin Heidelberg,2008.52-67.

[8]Selvi S S D,Vivek S S,Srinivasan R,et al.An efficient identity-based signcryption scheme for multiple receivers[A].4th International Workshop on Security[C].Berlin Heidelberg:Springer,2009.71-88.

[9]Wu Lei.An ID-based multi-receiver signcryption scheme in MANET[J].Journal of Theoretical & Applied Information Technology,2012,46(1),120-124.

[10]Lal S,Kushwah P.Anonymous ID Based Signcryption Scheme for Multiple Receivers[EB/OL].https:.eprint.iacr.org/2009/345.pdf.

[11]Bo Zhang,Qiuliang Xu.Identity-based multi-signcryption scheme without random oracles[J].Chinese Journal of Computer.2010,33(1),2104-2112.

[12]Miao S,Zhang F,Zhang L.Cryptanalysis of a certificateless multi-receiver signcryption scheme[A].International Conference on Multimedia Information Networking and Security[C].New York:IEEE,2010.593-597.

[13]Li F,Xiong H,Nie X.A new multi-receiver ID-based signcryption scheme for group communications[A].International Conference on Communications,Circuits and Systems[C].New York:IEEE,2009.296-300.

[14]Bo Zhang,Qiuliang Xu.An ID-based anonymous signcryption scheme for multiple receivers secure[J].International Journal of Advanced Science and Technology,2010,20(7):9-24.

[15]Qiu Jing,Bai Jun,Song Xin-chuan,et al.Secure and efficient multi-message and multi-receiver ID-based signcryption for rekeying in ad hoc networks[J].Journal of Chongqing University,2013,12(2):91-96.

[16]Al-Riyami S S,Paterson K G.Certificateless public key cryptography[A].International Conference on the Theory and Application of Cryptology and Information Security[C].Berlin Heidelberg:Springer,2003.452-473.

周彦伟 男,1986年生于甘肃通渭.陕西师范大学计算机科学学院博士生.研究方向为无线通信技术、匿名通信技术、密码学.

E-mail:zhouyanwei1986@163.com

杨 波(通信作者) 男,1963年生于陕西富平.教授,博士生导师,陕西省“百人计划”特聘教授.研究方向为密码学、信息安全.

E-mail:byang@snnu.edu.cn

Anonymous Certificateless Signcryption Scheme with Multi-receiver

ZHOU Yan-wei1,2,3,YANG Bo1,2,3,ZHANG Wen-zheng2

(1.SchoolofComputerScience,ShaanxiNormalUniversity,Xi'an,Shaanxi710062,China;2.ScienceandTechnologyonCommunicationSecurityLaboratory,Chengdu,Sichuan610041,China;3.StateKeyLaboratoryofInformationSecurity,InstituteofInformationEngineering,ChineseAcademyofSciences,Beijing100093,China)

To satisfy the senders’ needs of sending multi-message in the broadcast communication environment,a certificateless signcryption scheme with multi-receiver and multi-message was proposed.The ciphertext no longer contains receivers’ identity list to protect receivers’ privacy.And,as well,the senders can fulfill sending multi-message in a single operation.Compared with the present scheme,apart from confidentiality and unforgery,this scheme is better in anonymity and has a higher computational efficiency,satisfy the needs of sending multi-message in broadcast communication environment.

certificateless signcryption;multi-receiver;multi-message;anonymity;confidentiality;unforgeability

2014-12-22;

2015-08-20;责任编辑：马兰英

国家自然科学基金(No.61572303,No.61272436，No.61402275);中国科学院信息工程研究所信息国家重点实验室基金(No.2015-MS-10);保密通信重点实验室基金(No.9140C110206140C11050);中央高校基本科研业务费专项资金(No.GK201504016)；陕西师范大学优秀博士论文基金(No.X2014YB01)

TP309

A

0372-2112 (2016)08-1784-07