鄒 昌 芝

(荊楚理工學(xué)院教育技術(shù)中心　湖北 荊門 448000)

?

可證安全的無證書簽密方案

鄒 昌 芝

(荊楚理工學(xué)院教育技術(shù)中心湖北 荊門 448000)

研究了幾種新近提出的無對(duì)運(yùn)算的無證書簽密方案，發(fā)現(xiàn)存在正確性或安全性的缺陷，提出一種新的無對(duì)運(yùn)算的無證書簽密方案。新簽密方案改變了現(xiàn)有方案的線性密鑰結(jié)構(gòu)，能抵抗類型I敵手發(fā)起的公鑰替換攻擊；利用哈希函數(shù)將簽密者和解簽密者的身份以及待簽密消息進(jìn)行綁定，防止內(nèi)部攻擊發(fā)生。在隨機(jī)預(yù)言模型下，方案的不可偽造性和機(jī)密性被規(guī)約為多項(xiàng)式時(shí)間敵手求解離散對(duì)數(shù)DL(DiscreteLogarithm)問題和判定DH(DecisionDiffie-Hellman，DDH)問題，具有可證明安全性。對(duì)比已有方案，該方案不僅保證了安全性，而且計(jì)算開銷和實(shí)現(xiàn)成本都較低，適用于在無線傳感網(wǎng)絡(luò)等計(jì)算、存儲(chǔ)和通信資源受限的應(yīng)用場(chǎng)景保障數(shù)據(jù)的機(jī)密性、完整性和認(rèn)證性。

無證書密碼學(xué)簽密雙線性對(duì)隨機(jī)預(yù)言模型

0　引　言

無證書密碼體制[1]CLC(CertificatelessCryptography)在基于身份密碼體制[2,3]IBC(Identity-BasedCryptography)的基礎(chǔ)上增加一對(duì)由用戶自主控制的密鑰，避免了IBC方案的密鑰托管問題。與IBC相同，CLC也不產(chǎn)生用戶的公鑰證書，簡(jiǎn)化了基于公鑰基礎(chǔ)設(shè)施(PKI)公鑰密碼算法的密鑰管理方案。因此，CLC一經(jīng)提出，得到眾多研究者的關(guān)注，成為信息安全領(lǐng)域的研究新熱點(diǎn)之一。

早期的CLC方案基于雙線性映射理論，使用計(jì)算開銷較高的雙線性對(duì)運(yùn)算。根據(jù)Chen[4]等人的研究，1次雙線性對(duì)運(yùn)算的計(jì)算開銷約等于21次橢圓曲線上的點(diǎn)乘運(yùn)算。因此，基于雙線性映射理論的CLC方案通常計(jì)算開銷較高。利用Schnorr的短簽名機(jī)制[5]產(chǎn)生用戶部分私鑰，Baek[6]等人提出無雙線性對(duì)運(yùn)算的CLC算法。無對(duì)運(yùn)算的CLC方案在無線傳感網(wǎng)絡(luò)、無線Mesh網(wǎng)絡(luò)等計(jì)算、存儲(chǔ)和通信資源受限的網(wǎng)絡(luò)環(huán)境下具有廣闊的應(yīng)用前景。

簽密[7]SC(Signcryption)以低于“簽名”+“加密”的開銷，同時(shí)實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性和認(rèn)證性，具有重要的研究和應(yīng)用價(jià)值。2008 年，Barbosa等人[8]首次將簽密機(jī)制引入CLC領(lǐng)域，提出無證書的簽密機(jī)制(CL-SC)。該方案基于雙線性映射理論，并且不能抵抗擴(kuò)展不可偽造攻擊。Barreto[9]提出在簽密和解簽密算法中不使用雙線性對(duì)運(yùn)算的CL-SC方案，但是該方案的密鑰產(chǎn)生算法仍使用了雙線性對(duì)運(yùn)算，并且被指出不滿足機(jī)密性和不可否認(rèn)性。隨后，基于Baek[6]等人的研究，一些研究者提出了完全無雙線性對(duì)的CL-SC方案[10-16]。其中，文獻(xiàn)[10,11,13]中提出的幾種方案已被指出存在機(jī)密性和不可偽造性缺陷[14,17,18]，本文進(jìn)一步指出，文獻(xiàn)[14-16]中的CL-SC方案也存在正確性和安全性缺陷。因此，安全的、無對(duì)運(yùn)算的無證書簽密機(jī)制還需要進(jìn)一步研究。

本文提出一種新的可證明安全的和無對(duì)運(yùn)算的CL-SC方案。方案的部分私鑰產(chǎn)生算法沿用了Schnorr[5]的短簽名機(jī)制；通過對(duì)簽密者和解簽密者的部分私鑰和私有秘密去線性化，防止CLC體制下類型I敵手發(fā)起的公鑰替換攻擊；利用哈希函數(shù)將簽密者和解簽密者的身份以及待簽密消息進(jìn)行綁定，防止內(nèi)部攻擊發(fā)生。在隨機(jī)預(yù)言模型下，本文CL-SC方案被證明滿足機(jī)密性和不可偽造性。

1　背景知識(shí)

1.1數(shù)學(xué)困難問題及假設(shè)

本文無證書簽密方案基于橢圓曲線上的非GapDiffie-Hellman(GDH)群[19]。

橢圓曲線上的離散對(duì)數(shù)DL問題、計(jì)算DH(ComputationalDiffie-Hellman,CDH)問題和判定DH問題及相關(guān)假設(shè)定義如下。

DLP假設(shè)不存在概率多項(xiàng)式時(shí)間算法能成功解決DL問題。

DDH假設(shè)假設(shè)G為非GDH群，那么不存在概率多項(xiàng)式時(shí)間算法能成功解決DDH問題。

需要指出，對(duì)于GDH群[19]，DDH問題是可解的，而對(duì)于非GDH群，DDH假設(shè)[20]成立。

1.2無證書簽密方案及其安全模型

無證書的簽密方案主要包括：系統(tǒng)建立、部分私鑰產(chǎn)生、用戶密鑰產(chǎn)生、簽密和解簽密五個(gè)算法。部分文獻(xiàn)[10,11,14]將用戶密鑰產(chǎn)生算法細(xì)分為私有秘密產(chǎn)生、設(shè)置公鑰和設(shè)置私鑰三個(gè)算法，本文將這三個(gè)算法合并成為用戶密鑰產(chǎn)生算法。系統(tǒng)建立算法由密鑰產(chǎn)生中心(KGC)執(zhí)行，輸入安全參數(shù)，輸出系統(tǒng)公開參數(shù)，建立KGC的主密鑰對(duì)；部分私鑰產(chǎn)生算法由KGC執(zhí)行，為每位用戶產(chǎn)生部分私鑰；簽密算法由發(fā)送者執(zhí)行，進(jìn)行簽密運(yùn)算，輸出簽密密文；解簽密算法由接收者執(zhí)行，輸入簽密密文，輸出明文，或者拒絕(表明簽密密文無效)。

一個(gè)安全的簽密方案[21]至少應(yīng)實(shí)現(xiàn)機(jī)密性(選擇密文攻擊下加密不可區(qū)分性，IND-CCA2)和不可偽造性(選擇消息攻擊下不可偽造性，EUF-CMA)。本文采用文獻(xiàn)[21]中定義的兩類敵手模型(記為Type-I敵手和Type-II敵手，分別簡(jiǎn)寫為AI和AII)和4類游戲(記為GameI、GameII、GameIII和GameIV)分析CL-SC的安全性。

敵手AI模擬一類外部攻擊者，他被允許替換任意用戶的公鑰和詢問未被替換公鑰用戶的私有秘密，但是他不被允許詢問KGC的主密鑰和特定用戶(用于挑戰(zhàn)的用戶，本文用ID*代表)的部分私鑰。敵手AII模擬惡意的KGC，他可以訪問系統(tǒng)主密鑰，但他不被允許替換特定用戶(用于挑戰(zhàn)的用戶ID*)的公鑰以及訪問該用戶的私有秘密。

GameI和GameIII模擬AI與挑戰(zhàn)者B之間的游戲，GameII和GameIV模擬AII與挑戰(zhàn)者B之間的游戲。CL-SC方案的安全性定義為不存在多項(xiàng)式時(shí)間敵手(AI和AII)贏得GameI-II-III-IV。限于論文篇幅，詳細(xì)的安全模型定義請(qǐng)參考文獻(xiàn)[21]，本文4.2節(jié)給出了較完整的游戲模擬過程。

2　兩種CL-SC方案的密碼學(xué)分析

2.1XZ-CL-SC方案分析

最近，夏昂等[15]提出一種無雙線性對(duì)的無證書簽密方案(記為XZ-CL-SC)，并聲稱在隨機(jī)預(yù)言模型下具有機(jī)密性和不可偽造性。下面簡(jiǎn)要回顧XZ-CL-SC方案。

解簽密用戶UB接收到σ后，計(jì)算W′=zB·(XA+gH1(IDA,XA) +PH2(IDA,IDB))，解密m‖R‖t=H3(W,IDA)⊕σ，得到t、R；然后驗(yàn)證等式：t·zB·XA=R是否成立。若等式成立，用戶UB接受消息m，否則拒絕。

本文分析發(fā)現(xiàn)，XZ-CL-SC方案存在三方面的缺陷。

第一，不滿足正確性。在簽密算法階段，UA不能計(jì)算t=r·yA/xA。因?yàn)閤A是KGC在計(jì)算UA的部分私鑰“dA=xA+sQA”時(shí)選擇的臨時(shí)秘密參數(shù)，不會(huì)發(fā)送給UA，并且也不能發(fā)送給UA。UA一旦知道了xA，那么他可以利用算式“s= (dA-xA)/QAmodq”反求KGC的主密鑰。在實(shí)際應(yīng)用中，為了保證KGC主密鑰和用戶部分私鑰的安全，在計(jì)算得到dA后，KGC必須刪除xA。因此，UA得不到xA，也就不能計(jì)算t=r·yA/xA。

第二，該方案不能防止AII的簽密偽造攻擊。用戶UB在整個(gè)解簽密過程中沒有用到UA的完整公鑰，僅使用了XA，使得該方案不能有效驗(yàn)證UA在簽密算法中是否使用了其私有秘密yA(事實(shí)上，沒法驗(yàn)證，因?yàn)閥A與用戶的公鑰之間沒有任何關(guān)聯(lián))。因此，AII無需使用UA的私有秘密yA就能偽造一個(gè)有效的簽密密文。

2.2ZW-CL-SC方案分析

針對(duì)劉文浩等人文獻(xiàn)[11]的CL-SC方案存在的安全缺陷，周才學(xué)等人[14]提出一種改進(jìn)方案 (記為ZW-CL-SC)，簡(jiǎn)要描述如下。

簽密給定待簽密消息m、發(fā)送者身份IDA，接收者身份IDB，簽密過程如下：

文獻(xiàn)[14]給出了ZW-CL-SC方案的形式化安全證明，證明其滿足機(jī)密性和不可偽造性。但是，本文分析發(fā)現(xiàn)，在第I類敵手AI攻擊下，ZW-CL-SC方案不滿足不可偽造性和機(jī)密性。下面給出一個(gè)攻擊實(shí)例。

可見，AI成功地偽造了IDA的簽密。

由此證明，ZW-CL-SC方案在AI攻擊下不滿足不可偽造性和機(jī)密性。

3　新的無對(duì)運(yùn)算的CL-SC方案

簽密給定待簽密消息m、發(fā)送者身份和私鑰(IDA,dA,xA)、接收者身份和公鑰(IDB,RB,XB)，簽密過程如下：

2) 計(jì)算qB=H1(IDB,RB)和K=u(RB+qBP0)+vXB；

3) 計(jì)算g=H2(m,K,U,IDA,IDB)、h=H3(m,K,V,IDA,IDB)和σ=gdA+hxA+u+v；

4) 計(jì)算密文c=K⊕(m‖σ)，發(fā)送(c,U,V)給IDB。

解簽密收到(c,U,V)后，IDB計(jì)算K′=dBU+xBV，然后解密消息(m‖σ)=K′⊕c，計(jì)算g′=H2(m,K′,U,IDA,IDB)、h′=H3(m,K′,V,IDA,IDB)和qA=H1(IDA,RA)，驗(yàn)證σP=g′(RA+qAP0) +h′XA+U+V是否成立。若等式成立則接受消息m，否則拒絕。

4　分析與比較

4.1正確性分析

本文方案的計(jì)算正確性可由下列式子驗(yàn)證。

K′=dBU+xBV=(rB+sqB)uP+xBvP

=u(rB+sqB)P+vxBP=u(rBP+qBsP)+vxBP

=u(RB+qBP0)+vXB=K

(1)

σP=gdAP+hxAP+uP+vP

=g(rA+sqA)P+hXA+U+V

=g(RA+qAP0)+hXA+U+V

(2)

根據(jù)式(1)，IDB能正確解密消息(m‖σ)；同樣的，由于K′=K，可得：g′=g，h′=h，根據(jù)式(2)，等式σP=g((RA+qAP0)+h(XA+U+V成立。因此，本文簽密方案從計(jì)算上是有效的，具有正確性。

4.2安全性分析

證明假設(shè)存在Type-I敵手AI，攻破本文的無證書簽密方案，那么，必然存在算法B利用AI解決DDH問題。即，給定DDH挑戰(zhàn)實(shí)例(P,aP,bP,T)∈G4，B判定T=abP，或者只是G上的一個(gè)隨機(jī)成員。下面算法模擬B利用AI解決DDH問題。

初始化輸入安全參數(shù)k，B運(yùn)行系統(tǒng)建立算法，產(chǎn)生參數(shù)(p,q,G,P,P0)發(fā)送給AI。這里，設(shè)定系統(tǒng)公鑰P0=aP，主密鑰未知。哈希函數(shù)Hi(i=1,2,3)被模擬為B控制下的隨機(jī)預(yù)言機(jī)。

第1階段詢問AI執(zhí)行多項(xiàng)式有界次的以下詢問。

用戶創(chuàng)建詢問B維護(hù)初始為空的列表LID，格式為。提交用戶身份IDi，如果元組在LID中已存在，則忽略；否則，B執(zhí)行H1詢問，取得qi，然后：

部分私鑰詢問提交用戶身份IDi，如果IDi=ID*，B終止游戲；否則，B返回對(duì)應(yīng)的部分私鑰di作為應(yīng)答。

私有秘密詢問提交用戶身份IDi，B返回對(duì)應(yīng)的私有秘密xi作為應(yīng)答。

公鑰詢問提交用戶身份IDi，B返回IDi的公鑰。

簽密詢問B維護(hù)初始為空的列表LS，格式為。AI提交待簽密消息mi、發(fā)送者身份IDa和接收者身份IDb(為了不失普遍性，要求IDa≠IDb)。

否則，IDa≠ID*，B按照簽密算法進(jìn)行計(jì)算，并根據(jù)需要執(zhí)行Hi(i=1,2,3)詢問和密鑰詢問，然后返回簽密密文(ci,Ui,Vi)；

最后，B將插入LS，將和分別插入L2和L3。

解簽密詢問提交密文(ci,Ui,Vi)、發(fā)送者身份IDa和接收者身份IDb，如果IDb≠ID*，B計(jì)算Ki=dbUi+xbVi，解密消息(mi‖σi)=Ki⊕ci，查詢列表L2和L3，如果L2中存在元組和L3中存在，取得gi和hi，驗(yàn)證等式σiP=gi(Ra+qaP0)+hiXa+Ui+Vi成立，則返回mi作為應(yīng)答；否則，L2或L3中不存在相應(yīng)表項(xiàng)，或者存在相應(yīng)表項(xiàng)，但驗(yàn)證等式不成立，則返回⊥；否則，IDb=ID*，B不具有ID*的完整私鑰，不能解密密文，那么B檢索列表LS，如果LS中存在表項(xiàng)與之匹配，即五項(xiàng)相等，B返回mi作為應(yīng)答(這里，LS中存在相應(yīng)表項(xiàng)，表明該簽密由B產(chǎn)生，根據(jù)簽密詢問算法，(ci,Ui,Vi)為一個(gè)有效的簽密密文)；否則，LS中不存在相應(yīng)表項(xiàng)，返回⊥。

第2階段詢問AI可以繼續(xù)執(zhí)行以上詢問，但不能詢問ID*的部分私鑰，以及針對(duì)挑戰(zhàn)密文(c*,U*,V*)的解簽密詢問。

猜測(cè)最后，AI輸出其猜測(cè)位τ′。如果τ′=τ，那么B返回1，表明T=abP；否則τ′≠τ，那么B返回0，表明T是G上的一個(gè)隨機(jī)值。(在游戲過程中P0=aP，t-1U*=bP，a和b未知)。

假設(shè)至多創(chuàng)建了qu個(gè)用戶，執(zhí)行了qi次Hi詢問(i=1,2,3)、qpa次部分私鑰詢問、qsk次私有秘密詢問、qpk次公鑰詢問、qpr次公鑰替換詢問、qs次簽密詢問和qus次解簽密詢問。

證畢。

證明假設(shè)存在Type-II敵手AII，攻破本文的無證書簽密方案，那么，必然存在算法B利用AII解決DDH問題。

第1階段詢問AII執(zhí)行多項(xiàng)式有界次的以下詢問。

H1、H2、H3詢問與定理1相同。

用戶創(chuàng)建詢問提交用戶身份IDi，如果元組在LID中已存在，則忽略；否則，B執(zhí)行H1詢問，取得qi，然后：

部分私鑰詢問提交用戶身份IDi，B返回對(duì)應(yīng)的部分私鑰di作為應(yīng)答。

私有秘密詢問提交用戶身份IDi，如果IDi=ID*，B終止游戲；否則，B返回對(duì)應(yīng)的私有秘密xi作為應(yīng)答。

公鑰詢問與定理1相同。

簽密詢問AII提交待簽密消息mi、發(fā)送者身份IDa和接收者身份IDb。

否則，IDa≠ID*，B按照簽密算法計(jì)算，并根據(jù)需要執(zhí)行Hi(i=1,2,3)詢問和密鑰詢問，然后返回簽密文(ci,Ui,Vi)；

最后，B將插入LS，并將和分別插入L2和L3。

解簽密詢問與定理1相同。

第2階段詢問AII可以繼續(xù)執(zhí)行以上詢問，但不能詢問ID*的私有秘密，以及針對(duì)挑戰(zhàn)密文(c*,U*,V*)的解簽密詢問。

猜測(cè)最后，AII輸出其猜測(cè)位τ′。如果τ′=τ，那么B返回1，表明T=abP；否則τ′≠τ，那么B返回0，表明T是G上的一個(gè)隨機(jī)值(在游戲過程中，X*=aP，t-1V*=bP，a和b未知)。

假設(shè)至多創(chuàng)建了qu個(gè)用戶，執(zhí)行了qi次Hi詢問(i=1,2,3)、qpa次部分私鑰詢問、qsk次私有秘密詢問、qpk次公鑰詢問、qpr次公鑰替換詢問、qs次簽密詢問和qus次解簽密詢問。

證畢。

證明假設(shè)存在Type-I敵手AI，攻破本文的無證書簽密方案，那么，必然存在算法B利用AI解決DL問題。即，給定DL問題挑戰(zhàn)實(shí)例(P,aP)∈G2，B計(jì)算a。

初始化與定理1相同。

詢問與定理1相同。

偽造詢問階段結(jié)束后，AI提交挑戰(zhàn)用戶身份(ID*,IDb)、挑戰(zhàn)消息m*及其簽密文(c*,U*,V*)。

B計(jì)算K*=dbU*+xbV*，解密消息(m*‖σ*)=K*⊕c*。根據(jù)分叉引理[22]，B利用預(yù)言機(jī)重放攻擊技術(shù)可以得到兩個(gè)合法的簽名(m*,ID*,IDb,U*,V*,σ*,g*,h*)和(m*,ID*,IDb,U*,V*,σ**,g**,h*)。其中，σ*≠σ**，g*≠g**。并且滿足：

σ*=g*d*+h*x*+u*+v*

σ**=g**d*+h*x*+u*+v*

那么，B計(jì)算：

σ**-σ*=(g**d*+h*x*+u*+v*)-

(g*d*+h*x*+u*+v*)

=(g**-g*)d*

作為對(duì)DL問題的回答(在游戲過程中：P0=aP)。

假設(shè)至多創(chuàng)建了qu個(gè)用戶，執(zhí)行了qi次Hi詢問(i=1,2,3)、qpa次部分私鑰詢問、qsk次私有秘密詢問、qpk次公鑰詢問、qpr次公鑰替換詢問、qs次簽密詢問和qus次解簽密詢問。

證畢。

證明假設(shè)存在Type-II敵手AII，攻破本文的無證書簽密方案，那么，必然存在算法B利用AII解決DL問題。

初始化與定理2相同。

詢問詢問階段與定理2相同。

偽造詢問階段結(jié)束后，AII提交挑戰(zhàn)用戶身份(ID*,IDb)、挑戰(zhàn)消息m*及其簽密文(c*,U*,V*)。

B計(jì)算K*=dbU*+xbV*，解密消息(m*‖σ*)=K*⊕c*。根據(jù)分叉引理[22]，B利用預(yù)言機(jī)重放攻擊技術(shù)[22]可以得到兩個(gè)合法的簽名(m*,ID*,IDb,U*,V*,σ*,g*,h*)和(m*,ID*,IDb,U*,V*,σ**,g*,h**)。其中，σ*≠σ**，h*≠h**。并且滿足：

σ*=g*d*+h*x*+u*+v*

σ**=g*d*+h**x*+u*+v*

那么，B計(jì)算：

σ**-σ*=(g*d*+h**x*+u*+v*)-

(g*d*+h*x*+u*+v*)

=(h**-h*)x*

作為對(duì)DL問題的回答(在游戲過程中：X*=aP)。

假設(shè)至多創(chuàng)建了qu個(gè)用戶，執(zhí)行了qi次Hi詢問(i=1,2,3)、qpa次部分私鑰詢問、qsk次私有秘密詢問、qpk次公鑰詢問、qpr次公鑰替換詢問、qs次簽密詢問和qus次解簽密詢問。

證畢。

4.3分析與對(duì)比

表1對(duì)比了幾種無對(duì)運(yùn)算的CL-SC方案。表中計(jì)算開銷為簽密與解簽密算法的總和，只統(tǒng)計(jì)了每種方案的指數(shù)運(yùn)算E(基于乘法循環(huán)群)和點(diǎn)乘運(yùn)算M(基于加法循環(huán)群)的次數(shù)，其他運(yùn)算的計(jì)算量相對(duì)較低。

表1　無對(duì)的無證書簽密方案比較

本文方案汲取了上述方案的經(jīng)驗(yàn)教訓(xùn)，在安全性方面做出兩點(diǎn)改進(jìn)，一是，改變了部分私鑰與私有秘密之間的線性結(jié)構(gòu)，采用隨機(jī)參數(shù)u、v、g、h分別對(duì)簽密者和解簽密者的兩個(gè)密鑰去線性化；二是，利用哈希函數(shù)H2和H3將簽密者、解簽名者身份以及待簽密消息進(jìn)行綁定，除非哈希碰撞事件發(fā)生，否則不能實(shí)施文獻(xiàn)[14]所描述的內(nèi)部攻擊。

上述分析可見，到目前為止，僅有SSP-CL-SC[12]方案真正實(shí)現(xiàn)了可證明安全性，未發(fā)現(xiàn)相關(guān)攻擊實(shí)例報(bào)道。與SSP-CL-SC方案對(duì)比，本文方案在不降低安全性的同時(shí)，更加簡(jiǎn)化。比如，本文密鑰結(jié)構(gòu)更簡(jiǎn)單。SSP-CL-SC方案定義了額外的密鑰參數(shù)，但是該密鑰參數(shù)對(duì)增強(qiáng)安全性沒有實(shí)際意義(簽密和解簽密算法中都沒有使用，具體請(qǐng)參考文獻(xiàn)[12]第6節(jié))，反而增加了計(jì)算開銷和實(shí)現(xiàn)成本。

5　結(jié)　語(yǔ)

本文提出一種新的基于橢圓曲線密碼的無證書簽密方案?；跈E圓曲線上的DL假設(shè)和DDH假設(shè)，本文方案在隨機(jī)預(yù)言模型下被證明滿足機(jī)密性和不可偽造性，實(shí)現(xiàn)了可證明安全。此外，本文分析指出現(xiàn)有幾個(gè)無證書簽密方案存在正確性或安全性方面的缺陷。無對(duì)的無證書簽密方案計(jì)算開銷遠(yuǎn)低于基于雙線性映射理論的簽密方案，適合計(jì)算、存儲(chǔ)和通信資源有限的無線傳感設(shè)備，實(shí)現(xiàn)對(duì)數(shù)據(jù)的機(jī)密性、完整性和認(rèn)證性保護(hù)。

[1]AlRiyamiSS,PatersonKG.Certificatelesspublickeycryptography[C].ASIACRYPT2003,LNCS2894,Berlin:Springer-Verlag,2003:452-473.

[2]ShamirA.Identity-basedcryptosystemsandsignatureschemes[C]//ProceedingsofCRYPTO1984,LNCS196,Berlin:Springer-Verlag,1985:47-53.

[3]BonehD,FranklinMK.Identity-basedEncryptionfromtheWeilPairing[C]//Proc.ofCRYPTO’01.Berlin,Germany:Springer-Verlag,2001:213-229.

[4]ChenL,ChengZ,SmartNP.Identity-Basedkeyagreementprotocolsfrompairings[J].InternationalJournalofInformationSecurity,2007,6(4):213-241.

[5]SchnorrCP.Efficientsignaturegenerationforsmartcard[J].JournalofCryptology,1991,4(3):161-174.

[6]BaekJ,SafaviR,SusiloW.Certificatelesspublickeyencryptionwithoutpairing[C]//Proceedingsofthe8thInternationalConferenceonInformationSecurity,LNCS3650,Berlin:Springer-Verlag,2005:134-148.

[7]ZhengYL.Digitalsigncryptionorhowtoachievecost(signature&encryption)<

[8]BarbosaM,FarshimP.Certificatelesssigncryption[C]//ProceedingsoftheACMSymp.onInformation,ComputerandCommunicationsSecurity(ASIACCS2008).NewYork,ACM,2008:369-372.

[9]BarretoP,DeusajuteAM,CruzE,etal.Towardefficientcertificatelesssigncryptionfrom(andwithout)bilinearpairings[EB/OL].2008.[2014-05-13].http://www.redes.unb.br/ceseg/anais/2008/data/pdf/st03_03_artigo.pdf.

[10] 朱輝,李暉,王育民.不使用雙線性對(duì)的無證書簽密方案[J].計(jì)算機(jī)研究與發(fā)展,2010,47(9):1587-1594.

[11] 劉文浩,許春香.無雙線性配對(duì)的無證書簽密方案[J].軟件學(xué)報(bào),2011,22(8):1918-1926.

[12]SelviSSD,VivekSS,RanganCP.Cryptanalysisofcertificatelesssigncryptionschemesandanefficientconstructionwithoutpairing[C]//InformationSecurityandCryptology.SpringerBerlinHeidelberg,2011:75-92.

[13]JingX.Provablysecurecertificatelesssigncryptionschemewithoutpairing[C]//ElectronicandMechanicalEngineeringandInformationTechnology(EMEIT),2011InternationalConferenceon.IEEE,2011:4753-4756.

[14] 周才學(xué),王飛鵬.改進(jìn)的無雙線性對(duì)的無證書簽密方案[J].計(jì)算機(jī)科學(xué),2013,40(10):139-143.

[15] 夏昂,張龍軍.一種新的無雙線性對(duì)的無證書安全簽密方案[J].計(jì)算機(jī)應(yīng)用研究,2014,31(2):532-535.

[16] 高鍵鑫,吳曉平,秦艷琳,等.無雙線性對(duì)的無證書安全簽密方案[J].計(jì)算機(jī)應(yīng)用研究,2014, 31(4):1195-1198.

[17] 何德彪.無證書簽密機(jī)制的安全性分析[J].軟件學(xué)報(bào),2013,24(3):618-622.

[18] 簡(jiǎn)巖.兩種無證書簽密方案的密碼學(xué)分析[J].制造業(yè)自動(dòng)化,2013,35(2):83-85.

[19]OkamotoT,PointchevalD.Thegap-problems:Anewclassofproblemsforthesecurityofcryptographicschemes[C]//PublicKeyCryptography.SpringerBerlinHeidelberg,2001:104-118.

[20]BonehD.Thedecisiondiffie-hellmanproblem[M]//Algorithmicnumbertheory.SpringerBerlinHeidelberg,1998:48-63.

[21]LiuZ,HuY,ZhangX,etal.Certificatelesssigncryptionschemeinthestandardmodel[J].InformationSciences,2010,180(1):452-464.

[22]PointchevalD,SternJ.Securityargumentsfordigitalsignaturesandblindsignatures[J].Journalofcryptology,2000,13(3):361-396.

APROVABLYSECURECERTIFICATELESSSIGNCRYPTIONSCHEME

ZouChangzhi

(Modern Educational Technology Center,Jingchu University of Technology,Jingmen 448000,Hubei,China)

Thestudyonseveralnewlyproposedcertificatelesssigncryptionschemeswithoutpairingoperationfoundthattherearethecorrectnessflawsorsecurityflaws.Therefore,weproposedanewcertificatelesssigncryptionschemewithoutpairing.Thenewsigncryptionschemechangesthelinearstructureoftwokeysincurrentscheme,andisabletoresistthepublickeyreplacementattacklaunchedbythetypeIadversary;anditbondstheidentitiesofsigncryptionsenderandreceptorwiththemessagetobesignedtheencryptionbyadoptingtwohashfunctionstopreventinternalattacks.TheunforgeabilityandconfidentialityofthenewsigncryptionschemecouldbededucedtoapolynomialtimeadversarytoresolvethediscretelogarithmproblemanddecisionDiffieHellmanproblem,whichwereprovablysecure,intherandomoraclemodel.Comparingwithexistingschemes,thenewschemenotonlyensuresthesecurity,itscomputationaloverheadandimplementationcostsarealsolower,andissuitableforprotectingdataconfidentiality,integrityandauthenticationincomputing,storingandcommunicationresources-constrainedscenarios,likethewirelesssensornetworks.

CertificatelesscryptographySigncryptionBilinearpairingRandomoraclemodel

2014-06-17。鄒昌芝，講師，主研領(lǐng)域：服務(wù)器技術(shù)，網(wǎng)絡(luò)安全。

TP3

ADOI:10.3969/j.issn.1000-386x.2016.03.077