查文剛

（華東交通大學現(xiàn)代教育技術(shù)中心，江西 南昌330013）

Al Riyami和Paterson 2003首次提出無證書密碼體制［1］，給出了無證書公鑰密碼系統(tǒng)的概念同時并提出了首個無證書簽名方案。這種簽名方案的部分秘鑰是由用戶和KGC共同協(xié)議產(chǎn)生，解決了基于身份的密碼系統(tǒng)中的密鑰托管問題，提高了效率。1997年Zheng首次提出的簽密［2］的概念，能同時完成簽名和加密，在計算量和成本上，遠遠低于傳統(tǒng)的先簽名后加密的密碼體制缺點是不滿足公開驗證性。Bao針對公開驗證性分別給出了改進的可公開驗證的簽密方案［3］，Shin指出文獻［3］的方案不滿足語義安全，并給出了改進方案［4］。隨后不少研究者在此基礎(chǔ)上提出了不少高效的簽密方案及其變種［5-9］。

代理簽密是由Gamage于1999年首次提出，Gamage等人提出的代理簽密方案，實現(xiàn)了一個代理簽密人代替原始簽密人進行簽密，但此方案沒對安全性進行證明［10］。2004年，Li提出了一種基于身份的代理簽密方案［11］，然而，Wang指出文獻［10］的方案不具有不可偽造性和前向安全性，并給出了改進的方案［12］。無證書代理簽密可以結(jié)合無證書簽密和代理簽名的特點，不存在密鑰托管問題，而且不需要證書來認證公鑰，安全性高，效率高。所以，無證書代理簽密在實際工程中中應(yīng)用更廣泛。2009年，王會歌提出的高效的無證書可公開驗證簽密方案，安全性存在問題，方案不能抵抗公鑰替換攻擊，而且運用了雙線性對運算，計算效率低［12］。2010年，Yu提出了一種基于橢圓曲線上的無證書代理簽密方案，這個方案簡單可行，但是安全性不高［14］。本文在文獻［15］的基礎(chǔ)上提出了一種基于無雙線性對映射的無證書代理簽密方案，整個方案只運用了加法和乘法運算，大大的減少了算法的計算量和通信成本，易于在移動通訊的敏感數(shù)據(jù)交換技術(shù)中應(yīng)用。

1 預備知識

定義1（離散對數(shù)困難問題假設(shè)）設(shè)G是階為q的一個加群，P為G的生成元，對于任意的a∈Zq*，已知aP，P，計算a是離散對數(shù)問題，在概率多項式時間（PPT）內(nèi)，對于任意攻擊算法Α，在解決DLP困難問題的優(yōu)勢AdvDLP(Α)=Pr[Α(uP,P)=u|u∈Z*q]是可忽略的。

2 基于無雙線性對映射的無證書代理簽密方案

2.1 參數(shù)選取和密鑰生成

KGC利用有效算法L(1k)，生成參數(shù)(G,q,P)，其中G為具有素數(shù)階q的循環(huán)群（以下不加說明默認為橢圓曲線群）。選擇安全hash 函數(shù)：H1:{0,1}*×G×G×G→Z*q，H2:G×→Z*q，H3:{0,1}*×G→Z*q，H4:{0,1}*×{0,1}*×G×G×G×G→Z*q，H5:{0,1}*×{0,1}*×{0,1}*×G×G→Z*q。

KGC選擇xkgc作為其主私鑰，計算其主公鑰ykgc=xkgcP。

假定用戶Ai的身份為IDi（可以是用戶私人相關(guān)有效信息），Ai隨機選擇一個xi∈Z*q作為自己的長期私鑰（以下簡稱私鑰），計算yi=xiP作為其長期公鑰（以下簡稱公鑰）。將yi發(fā)給密鑰生成中心KGC。Ai將(IDi,yi)發(fā)送給KGC申請另一部分密鑰。

KGC秘密選擇隨機數(shù)ui,vi∈Z*q，計算：

作為Ai的另一部分私鑰（以下簡稱部分私鑰），將公開作為Ai的另一部分公鑰（以下簡稱部分私鑰）。KGC 將通過安全可靠渠道發(fā)送給用戶Ai。于是用戶Ai完整私鑰為，完整公鑰為

2.2 委托過程

假設(shè)Alice對Bob進行委托，Alice的身份為IDA，完整私鑰為(xA,)，完整公鑰為(yA,,UA,VA)，Bob的身份為IDB，完整私鑰為(xB,)，完整公鑰為(yB,,UB,VB)。

1）Alice 隨機選取秘密值k1,k2∈Z*q，計算K1=k1P，K2=k2P，并計算：e1=H2(K1,K2)，e2=H2(K2,K1)，w=e1xA+e2+k，W=wP將K1、K2和W發(fā)送給Bob，w通過安全信道發(fā)送給Bob。

2）Bob 計算e′1=H2(K1,K2)，e′2=H2(K2,K1)，驗證等式，若不成立，拒絕Alice的委托，若成立，則計算代理簽名密鑰，公開其對應(yīng)公鑰y=xP。

2.3 代理簽密的生成過程

代理簽密的參與者為Bob 與Cock，Bob 的身份為IDB，完整私鑰為(xB,)，完整公鑰為(yB,,UB,VB)，代理簽名密鑰x，對應(yīng)公鑰y。Cock的身份為IDC，私鑰為(xC,)，公鑰為(yC,,UC,VC)。需傳遞數(shù)據(jù)信息為m，數(shù)據(jù)信息加密采用安全對稱加密算法（記加密過程為Ekey，解密過程為Dkey）。Bob隨機選擇對稱密鑰key∈Zq*，加密后得到密文s=Ekey(m)，計算M=H3(m)。

1）隨機選取t∈Zq*，計算T=tP，K=key⊕H5(IDA,IDB,IDC,(x+t)(yC+),T)。

2）計算s=t(x+h)-1，h=H4(IDB,IDC,K,M,T,K1+K2)。

將S=(h,s,T,K,M,K1,K2)作為簽密數(shù)據(jù)發(fā)送給Cock。

2.4 代理簽密的簽名驗證和解密過程

2.5 代理簽名的注銷過程

Alice向簽名用戶廣播一條消息，聲明任何含有(K1,K2)的簽密數(shù)據(jù)S=(h,s,T,K,M,K1,K2)為無效信息。

3 安全性與效率分析

3.1 方案正確性

1）代理密鑰生成過程的正確性

接收者收到(K1,K2,w)之后驗證下列式子

2）解簽密過程的正確性

3.2 隨機預言機下可證安全性

本文方案包括一個原始簽密者、一個代理簽密者和簽密接受者，簽密方案包括以下過程：系統(tǒng)參數(shù)的選取，密鑰的生成，委托過程，代理簽密的生成，代理簽密的簽名驗證和解密，代理簽密的注銷。對于無證書的簽密方案都存在兩種類型的攻擊者：（類型1）攻擊者Q1無法獲知系統(tǒng)的主密鑰，但是可以替換任意用戶的長期公鑰；（類型2）攻擊者Q2不能替換用戶的公鑰，但可以獲得系統(tǒng)的主密鑰。

由于類型2的攻擊更具有破壞力，攻擊成功則影響所有用戶，本文只證明對類型2攻擊下是可證安全的，對于類型1的證明過程基本類似（只是詢問過程有些不同，證明過程也可參考文獻［15］中的定理2和定理3）。

定理1（類型2攻擊下的不可偽造性）在隨機預言機模型和第二類攻擊假設(shè)下，若存在算法Q在多項式時間t內(nèi)，通過進行有限多項次詢問，以不可忽略的概率ε偽造一個有效的簽密，那么存在一個挑戰(zhàn)者Ω在多項式時間t′內(nèi)，以不可忽略的概率ε′解決ECDLP。

證明已知y=xP∈G，為了計算x（x為用戶ID*的長期私鑰），x∈Zq*，假設(shè)挑戰(zhàn)者Ω 為求解x，將算法Q作為自己的子程序，并與攻擊者算法Q進行游戲交互，且在多項式時間內(nèi)最多允許攻擊者算法Q執(zhí)行qH1次H1詢問、qH2次H2詢問、qH3次H3詢問、qH4次H4詢問、qH5次H5詢問、qBM次部分密鑰提取詢問、qSK次長期私鑰提取詢問、qPK次長期公鑰提取詢問、qDK次代理密鑰提取詢問、qQM次代理簽密詢問、qJM次解密詢問。挑戰(zhàn)者Ω 維持列表LH1，LH2，LH3，LH4，LH5，LBM，LLK，LDK，LQM，LJM分別用于應(yīng)對H1詢問、H2詢問、H3詢問、H4詢問、H5詢問、部分密鑰提取詢問、長期密鑰提取詢問、代理密鑰提取詢問、代理簽密詢問、解密詢問，并初始化所有列表為空。

挑戰(zhàn)者Ω 生成系統(tǒng)參數(shù)param=｛G，q，P，H1，H2，H3，H4，H5，ykgc｝并將系統(tǒng)參數(shù)發(fā)送給攻擊者。挑戰(zhàn)者Ω 隨機選擇xkgc∈Zq*作為KGC私鑰，KGC公鑰為ykgc=xkgcP。C隨機選取k,0 ≤k≤qPK1，身份標示ID*=IDk，對應(yīng)的用戶長期公鑰為yk=xkP，用xk來模擬IDk的長期私鑰。顯然詢問過程不能詢問ID*的長期私鑰。

3.2.1H1詢問

當挑戰(zhàn)者Ω 收到攻擊者Q關(guān)于H（1IDi,Ui,Vi,yi）的H1詢問，Ω 首先查詢列表LH1，如果（IDi,Ui,Vi,yi,h1i）存在于列表LH1中，則Ω 將h1i返回給Q；否則，Ω 隨機選擇h1i∈Zq*，將其作為回答返回給Q1，并且將（IDi,Ui,Vi,yi,h1i）添加到列表LH1中。

3.2.2H2詢問

當Ω 收到Q關(guān)于H（2K1i,K2i）的H2詢問，Ω 首先查詢列表LH2，如果（K1i,K2i，ei）在列表LH2中，那么Ω將ei返回給Q；否則，Ω 隨機選擇ei∈Zq*，將其作為回答返回給Q，并且將（K1i,K2i，ei）添加到列表LH2中。

3.2.3H3詢問

當Ω 收到Q關(guān)于H3(mi)的H3詢問，Ω 首先查詢列表LH3，如果(mi,Mi)在列表LH3中，那么Ω 將Mi返回給Q；否則，Ω 隨機選擇Mi∈Zq*，將Mi作為回答返回給Q，并且將(mi,Mi)添加到列表LH3中。

3.2.4H4詢問

當Ω收到Q關(guān)于H4(IDBi,IDCi,Ki,Mi,K1i+K2i) 的H4詢問，Ω首先查詢列表LH4，如果(IDBi,IDCi,Ki,Mi,K3i，h4i)在列表LH4中，那么Ω 將h4i返回給Q；否則，Ω 隨機選擇h4i∈Zq*，將其作為回答返回給Q，并將(IDBi,IDCi,Ki,Mi,K3i,h4i)添加到列表LH4中。

3.2.5H5詢問

當Ω 收到Q關(guān)于H5(IDAi,IDBi,IDCi,Ei,Ti)的H5詢問，Ω 首先查詢列表LH5，如果(IDAi,IDBi,IDCi,Ei,Ti,h5i)在列表LH5中，那么Ω 將h5i返回給Q；否則Ω 隨機選擇h5i∈Zq*，將其作為回答返回給Q，并將(IDAi,IDBi,IDCi,Ei,Ti,h5i)添加到列表LH5中。

3.2.6 部分密鑰提取詢問

當Ω 收到Q關(guān)于(IDi,Ui,Vi)的詢問，Ω 首先查詢列表LBM，如果在表LBM中，那么Ω 將相應(yīng)的值發(fā)送給Q；否則Ω 先運行H1詢問提取h1i，隨機選擇ui，vi∈Zq*，計算Ui=uiP,Vi=viP，，將記錄到列表LBM中，將返回給Q。

3.2.7 長期私鑰提取詢問

當Ω 收到Q關(guān)于IDi的私鑰提取詢問，Ω 先檢查列表LLK。若(IDi,xi,yi)在列表LLK中，那么Ω 將相應(yīng)的xi發(fā)送給Q；否則

1）當i≠k時：Ω 先做關(guān)于IDi的H1詢問，然后再執(zhí)行部分私鑰提取詢問得到xˉi，隨機選擇xi∈z*q，計算yi=xiP。把(IDi,xi,yi)添加到列表LLK，將相應(yīng)的xi發(fā)送給Q；

2）當i=k時：算法停止。

3.2.8 長期公鑰提取詢問

當Ω 收到Q關(guān)于IDi的公鑰提取詢問，Ω 先檢查列表LLK。如果(IDi,xi,yi)在列表LLK上，則Ω 將yi發(fā)送給Q；否則

1）當i≠k時：隨機選擇xi∈Zq*，計算yi=xiP把(IDi,xi,yi)添加到列表LLK，將yi發(fā)送給Q；

2）當i=k時：而用戶私鑰用⊥表示，公鑰為yk，將yk發(fā)送給Q，并且將(IDi,⊥,yk)添加到列表LLK。

3.2.9 代理密鑰提取詢問

當Ω 收到Q關(guān)于(IDAi,IDBi)的部分代理密鑰詢問，若(IDAi,IDBi,k1i,k2i,K1i,K2i,Wi,xpi,ypi)在列表LDK中，則返回(xpi,ypi) 給Q；否則當IDAi≠IDk且IDBi≠IDk時：Ω 隨機選取秘密值k1i,k2i∈Z*q，計算K1i=k1iP，K2i=k2iP，接著執(zhí)行H2詢問獲取e1i,e2i，部分密鑰提取詢問獲取和，長期私鑰提取詢問獲得(xAi,xBi)和長期公鑰提取獲得(yAi,yBi)，然后計算：Wi=wiP。同時將(IDAi,IDBi,k1i,k2i,K1i,K2i,Wi,xpi,ypi)記錄到列表LDK中，將(xpi,ypi)返回給Q。

3.2.10 代理簽密詢問

當Ω 收到Q關(guān)于(IDAi,IDBi,IDCi)和mi的代理簽名詢問，查詢列表LJM，若在列表LJM中已經(jīng)存在記錄(mi,IDAi,IDBi,IDCi,h4i,si,Ti,Ki,Mi,K1i,K2i) ，則返回(hi,si,Ti,Ki,Mi,K1i,K2i) ，Ω 運行代理密鑰提取詢問得到(K1i,K2i,xpi,ypi) ，運行H3詢問獲得Mi，運行H4詢問獲得h4i，運行H5詢問獲得h5i，隨機選擇ti∈Z*q，keyi∈Zq*，計算T=tp，Ki=keyi⊕h5i，si=ti(xpi+h4i)-1，得到(mi,IDAi,IDBi) 的簽密(h4i,si,Ti,Ki,Mi,K1i,K2i) ，將σ=(h4i,si,Ti,Ki,Mi,K1i,K2i)發(fā)送給Q，并將(mi,IDAi,IDBi,IDCi,h4i,si,Ti,Ki,Mi,K1i,K2i)添加到LJM。易驗證若算法不終止，簽密信息可以通過簽名和驗證。

3.2.11 解簽密詢問

當Ω 收到Q關(guān)于(IDAi,IDBi,IDCi)的一個簽密(h4i,si,Ti,Ki,Mi,K1i,K2i)時，查詢列表LJM，若在列表LJM中已經(jīng)存在記錄(mi,IDAi,IDBi,IDCi,h4i,si,Ti,Ki,Mi,K1i,K2i)，則返回mi給Q，否則

1）當IDCi≠IDk：Ω 首先根據(jù)簽密者和接收者的身份以及公鑰從列表LH4中查詢h4i，若在LH4查找出匹配的h4i，驗證查找出的h4i與接收到的h′4i是否相等，如果不相等，則拒絕對(h4i,si,Ti,Ki,Mi,K1i,K2i)解簽密；若相等，則Ω 從列表LBM和LLK中查找出IDCi的完整私鑰(xCi,)，若在LH5查找出匹配的h5i，計算keyi=Ki⊕h5i，執(zhí)行解密算法即可得到m。

2）當IDCi=IDk：Ω 首先根據(jù)簽密者和接收者的身份以及公鑰查詢列表LH4，若在LH4不存在匹配的h4i，則終止協(xié)議；若能在LH4查找出匹配的h4i，并驗證查找出的h4i與接收到的h′4i是否相等，如果不相等，則拒絕對(h4i,si,Ti,Ki,Mi,K1i,K2i)解簽密；如果相等，那么Ω 查詢列表LH5，查找出h5i，執(zhí)行以下算法：

①α=1；

②若α＜qH5，則在列表LH5中查詢出h5α，計算key=K⊕h5α，用這個key和所接收到的s來解密，即mα=Dkey(s)；

③查詢列表LH3，若存在(mα,Mα)，則返回mα，否則執(zhí)行④；

④α=α+1，執(zhí)行②。

最后Ω 將輸出的mα發(fā)送給Q。

Q進行至多有限次多項式次詢問后，在概率多項式時間t內(nèi)，以不可忽略的概率ε，產(chǎn)生一個有效的簽密數(shù)據(jù)。設(shè)代理簽名密鑰x，對應(yīng)公鑰y，利用分叉規(guī)約技術(shù)對H4進行分叉，根據(jù)分叉引理，通過對Q的哈希重放，Ω 可以得到消息m的兩個有效的簽密信息：S=(h,s,T,K,M,K1,K2)和S′=(h′,s′,T,K,M,K1,K2)。

由s(y+hP)=s′(y+h′P)退出s(x+h)=s′(x+h′)，計算可得，因此求解了離散對數(shù)問題y=xP。

以下我們給出算法Ω 成功的優(yōu)勢和執(zhí)行的時間粗估計（精細估計方法可參考文獻［15］）：對于沒有詢問過程算法沒有停止的概率至少為，成功偽造簽密的概率至少為，因此，算法Ω 成功的優(yōu)勢，假設(shè)tH1，tH2，tH3，tH4，tH5，tBM，tSK，tPK，tDK，tQM，tJM分別為H1詢問，H2詢問，H3詢問，H4詢問，H5詢問，部分密鑰提取詢問，長期私鑰提取詢問，長期公鑰提取詢問，代理密鑰提取詢問，代理簽密詢問，解密詢問一次所需時間，算法Ω 執(zhí)行完成的時間t′滿足

通過以上分析，Ω 能在概率多項式時間t′內(nèi)，以不可忽略的概率ε′，解決y=xP求出x。這與離散對數(shù)問題的困難性矛盾，所以針對類型2攻擊本文方案具有不可偽造性。

4 效率以及與其它方案的性能比較分析

本文方案不需要雙線性對運算和指數(shù)運算，簽密運算和解簽密運算只進行橢圓曲線上的數(shù)乘運算，文獻［12］運用了雙線性對運算，目前快速雙線性對運算時間是橢圓曲線上點乘所需時間的20倍左右，因此效率與本文的方案相比要低。而文獻［14］雖然是基于無雙線性對映射的，但是運用了指數(shù)運算，而且其為了保證方案的前向安全性，其代理授權(quán)過程計算量比較大，效率并不高。我們用H 表示哈希函數(shù)運算，用M表示橢圓曲線上的數(shù)乘運算，E 表示指數(shù)運算，P 表示雙線性對運算，具體的方案效率分析及比較見表1。

表1 與其它方案的性能比較Tab.1 Comparison of efficiency results between our scheme and other signcryption schemes

5 結(jié)論

1）本方案沒有運用雙線性對運算和指數(shù)運算，能夠抵抗公鑰替換攻擊，在隨機預言機模型中，方案對于適應(yīng)性選擇消息攻擊具有機密性和不可偽造性。

2）本方案在設(shè)計和實現(xiàn)上借鑒了國密SM2標準簽名方案的參數(shù)和技巧，計算開銷明顯低于其他方案，提高了方案的效率。

[1] AL-RIYAMI, PATERSON.Certi fi cateless public key cryptography[C]//Advances in Cryptology-ASIACRYPT 2003.Berlin:Springer-Verlag Berlin Heideberg,2003:452-473.

[2] YANG ZHENG.Digital signcryption or how to achieve cost (signature & encryption) [C]//Advances in Cryptology-CRYPTO′97.Berlin:Springer-Verlag Berlin Heideberg,1997:165-179.

[3] BAO F, DENG R.A signcryption scheme with signature directly verifiable by public key[C]//Advances in Cryptology-CRYPTO′98.Berlin:Springer-Verlag Berlin Heideberg,1998:55-59.

[4] SHIN J B,LEE K,SHIM K.New DSA-verifiable signcryption schemes[C]//Information Security and Cryptology-ICISC 2002.Berlin:Springer-Verlag Berlin Heideberg,2003:35-47.

[5] 湯鵬志,陳仁群,左黎明.一種基于橢圓曲線的門限部分盲簽名方案[J].華東交通大學學報,2014,31(6):96-102.

[6] 左黎明,湯鵬志,劉二根.一種辮群上代理簽名方案[J].計算機應(yīng)用,2011,31(11),2979-2982.

[7] 左黎明,陳仁群,郭紅麗.可證安全的基于身份的簽密方案[J].計算機應(yīng)用,2015,35(3):712-716.

[8] SHARMIL S D S,VIVEK S S,RANGAN C P.Cryptanalysis of certificateless signcryption schemes and an efficient construction without pairing[C]//Information Security and Cryptology.Berlin:Springer-Verlag Berlin Heideberg, 2011:75-92.

[9] LIU Z H,HU Y P.Certificateless signcryption scheme in the standard model[J].Information Sciences,2010(7):452-464.

[10] GAMAGE C, LEIWO J, ZHENG Y.An efficient scheme for secure message transmission using proxy signcryptio[C]//Proceedings of 22nd Australasian Computer Science Conference.Berlin:Springer-Verlag,1999:420-431

[11] LI XIANGXUE,CHEN KEFEI.Identity-based proxy signcryption scheme from pairing[C]//Proceedings of the IEEE International Conference on Services Computing(SCC2004).Berlin:Springer-Verlag Berlin Heideberg,2004:494-497.

[12] 王會歌,王彩芬,易瑋,等.高效的無證書可公開驗證簽密方案[J].計算機工程,2009,35(5):147-149.

[13] 王琴.一種基于身份的代理簽密體制[J].計算機工程,2011,37(19):120-121.

[14] 俞惠芳,王彩芬,王之倉.基于ECC 的自認證代理簽密方案[J]計算機科學,2010,37(7):91-92.

[15] 文佳駿,左黎明,李彪.一個高效的無證書代理盲簽名方案[J].計算機工程與科學,2014,36(3):452-457.