林 楠 夏萍萍 左黎明

1(國網(wǎng)江西省電力有限公司電力科學研究院 江西 南昌 330096)2(華東交通大學理學院 江西 南昌 330013)3(華東交通大學系統(tǒng)工程與密碼學研究所 江西 南昌 330013)

0 引 言

Zheng[1]在1997年提出簽密的概念，其作為一種認證加密技術(shù)，能夠同時保證消息的機密性、可認證安全性、完整性和不可抵賴性。與傳統(tǒng)公鑰密碼先認證后加密的機制相比，簽密技術(shù)在計算性能和通信傳輸效率上要高得多，因此被廣泛應用于電子支付、分布式協(xié)議中。傳統(tǒng)的基于雙線性對的簽密方案[2-4]，簽密長度都較長。Boneh等[5]提出短簽名的概念，該簽名長度是DSA簽名長度的一半,有效地提高了簽名傳輸、存儲效率，尤其適用于計算性能較低的場合。Libert等[6]提出短簽密方案，大大降低了簽密密文的長度及數(shù)據(jù)的擴展率，但不滿足前向安全性。Yang等[7]提出一個具有密鑰隱私的簽密方案，但該方案不具有機密性和不可偽造性[8]。Ma[9]提出的短簽密方案同樣不具備不可偽造性。杜紅珍[10]提出的短簽密方案在簽、解密過程中計算量較稍大。Ahmed等[11]提出的公開可驗證的簽密方案無法保證前向安全性。戚明平[12]提出一種具有前向安全性和可公開驗證的簽密方案，但該方案沒有在安全模型下證明其安全性。周宣武等[13]提出一種適用于物聯(lián)網(wǎng)環(huán)境的橢圓曲線短簽密方案，該方案在簽密過程中使用了3次橢圓曲線上的標量乘運算，在密文長度和計算性能上有待改進。Lai等[14]提出一種基于身份的線上/線下的短簽密方案，該方案線上存儲和密文長度中只需橢圓曲線上的一個元素，但其計算相對復雜，且不具備前向安全性和公開驗證性。

基于以上短簽密方案的研究，本文提出一個新的具有前向安全性短簽密方案，與傳統(tǒng)的簽密方案相比在效率和安全性上有所提高。

1 相關(guān)基礎

定義1(雙線性對) 在雙線性映射中，令k為一個安全參數(shù)，q為一個k-bit素數(shù)，G1是由P生成的階為素數(shù)q的循環(huán)加法群,Q∈G1。G2是有相同階q的循環(huán)乘法群，則雙線性映射e:G1×G1→G2滿足以下性質(zhì)：

(2) 非退化性：e(P,Q)≠1；

(3) 易計算性：存在有效算法計算e(P,Q)。

定義3(不可偽造性) 挑戰(zhàn)者C與敵手X進行存在性偽造游戲，具體的游戲過程如圖1所示。敵手X在猜測階段經(jīng)過多項式有界次詢問，則稱敵手X以一個不可忽略的優(yōu)勢adv(X)在游戲中獲勝，其中adv(X)定義為adv(X)=|2Pr[b′=b]-1|，即該方案是存在性不可偽造的。

圖1 存在性不可偽造游戲

定義4(機密性) 簽密方案在適應性選擇密文攻擊下具有不可區(qū)分性，即敵手選擇兩個明文，加密者隨機選擇其中的一個密文進行加密，則敵手不能根據(jù)所選擇的密文以一個不可忽略的優(yōu)勢正確地猜測選擇加密的是哪一個明文。

2 短簽密方案的構(gòu)造

(3) Alice的簽密過程：Alice首先計算x=(xA+r)yB,key=H3(x)則key為對稱密鑰，然后計算消息m的簽密密文(C,S):

C=Ekey(m)

Alice將簽密密文(C,S)發(fā)送給簽密驗證者Bob。

(4) Bob的解簽密過程：Bob首先計算x′=xB(R+yA),key′=H3(x′)，然后計算密文C對應的明文：m′=Dkey′(C)，驗證等式e(S,yA+R)=e(H2(H1(m′),R,yA,xBR),P)是否成立，成立則接受(C,S)為有效的簽密，否則拒絕該簽密。驗證過程正確性由如下等式保證：

e(S,yA+R))=

e(H2(H1(m′),R,yA,xBR),P)

(5) 第三方驗證：當簽名產(chǎn)生爭議時,Bob公開xBR和H1(m′)，其中簽名驗證參數(shù)xBR的合理性第三方可以根據(jù)等式e(xBR,P)=e(yB,R)進行驗證。隨后第三方根據(jù)e(S,yA+R)=e(H2(H1(m′),R,yA,xBR),P)驗證簽密中短簽密的有效性，驗證過程無需暴露密鑰、階段秘密值和明文。

3 安全性分析

3.1 機密性和不可偽造性

通常機密性即適應性選擇密文攻擊下不可區(qū)分性，即敵手選擇兩個明文，加密者隨機選擇其中的一個密文進行加密，則敵手不能根據(jù)所選擇的密文以一個不可忽略的優(yōu)勢正確地猜測選擇加密的是哪一個明文。本文方案的機密性可以規(guī)約到CDH問題，證明技巧和過程基本同文獻[10]。

這里只證明不可偽造性。不可偽造性可以由以下定理1得到，本文方案的安全性規(guī)約到求解擴展的逆CDH問題。

游戲中假定C為挑戰(zhàn)者，設挑戰(zhàn)公鑰yA=aP,偽造的目標簽密明文為m*，C的目標是通過調(diào)用算法X來解決上述困難問題實例。不妨設X在進行簽密詢問、解簽密詢問以及猜測和偽造之前都做過秘密值詢問、公開參數(shù)詢問、H1詢問、H2詢問和H3詢問，而且X不會在同一次適應性詢問過程中對同一個預言機做兩次相同的詢問，一次游戲過程在一個周期T內(nèi)進行。

C在系統(tǒng)初始化后公布系統(tǒng)參數(shù)params={k,G1,G2,P,H1,H2,H3}，簽密發(fā)送者公鑰為yA=aP，驗證接收者私鑰為xB，公鑰為yB=xBP。C將系統(tǒng)參數(shù)params和挑戰(zhàn)公鑰yA發(fā)送給X，允許X適應性地進行詢問。

3.1.1詢問階段

(2) 公開參數(shù)詢問：當X向C提交一個關(guān)于時間T的公開參數(shù)詢問時，C查詢列表LP中是否存在相應記錄(Ti,ri,Ri)，如果存在則C返回相應的公開參數(shù)Ri給X,否則先執(zhí)行秘密值詢問。

(3)H1詢問：C維護一個列表LH1,該列表由數(shù)組(m,h1)組成。當X向C提交一個消息m的H1詢問時，C首先檢查列表LH1中是否存在相應記錄(mi,h1i)，如果存在則C返回h1i給X；否則：

(6) 簽密詢問：當X向C關(guān)于消息m進行簽密詢問時：

① 如果m≠m*，C在列表LP中找到相應的秘密值r和公開參數(shù)R，然后在LH1中找到相應的h1，在LH2中找到相應的(d,h2)，其中h2=d(yA+R),在LH3中找到相應的key=h3。C計算：CipherText=Ekey(m)，S=dP，其中key=h3，返回消息m的簽密σ=(CipherText,S)給X。顯然簽密中S的合理性可以由下式保證：

e(S,yA+R)=e(dP,yA+R)=e(P,d(yA+R))=

e(h2,P)

② 如果m=m*，終止詢問，記此事件為E1。

(7) 解簽密詢問：當X向C關(guān)于σ進行解簽密詢問，其中σ=(CipherText,S)。C計算w=xBR，查看LH3中是否存在相應記錄(ryA=W,key=h3)，存在則獲得解密明文m′=Dkey(CipherText)，查看LH2中是否存在相應記錄(m′,r,d,h2)，然后驗證e(S,yA+rP)=e(h2,P)是否成立。如果成立，C返回m給X，否則輸出“⊥”，“⊥”表示空。

3.1.2偽造階段

A詢問階段中進行適應性多項式有界次詢問，如果詢問沒有停止,即E1事件一直不發(fā)生，則A最終輸出一個關(guān)于m*的有效的簽密σ*=(C*,S*)。

而運行時間t′滿足：

t′

qsctsc+qusctusc)

3.2 前向安全性

在簽密過程中，由于引入周期更新的階段秘密值r，因此當敵手獲得簽密密文σ=(C,S)后，即使發(fā)送方的私鑰xA被泄露，但只要r沒泄露，攻擊者仍然無法成功解密密文和偽造簽密。另一方面當歷史上某階段秘密值r泄露，后面由于不同周期使用新的r值，攻擊者依然無法成功解密后面生成密文和偽造新的簽密，因此本文方案具有前向安全性。其次秘密值隨著時間進行隨機更新且不重復，后一周期的公開參數(shù)R與前一周期的公開參數(shù)R′無關(guān)，實現(xiàn)了不同周期的參數(shù)隔離,因此保證了泄露當前的秘密值無法恢復以前的簽密，同時泄露以前的秘密值無法攻擊現(xiàn)在的簽密。

3.3 可公開驗證性

在安全可信的基礎上，第三方可以證明發(fā)送方確實發(fā)送過此簽密消息，在證明的過程中，消息接收者不需要泄露個人的私鑰即可實現(xiàn)簽密方案的不可否認性證明。本文方案中，當簽密產(chǎn)生爭議時，即當Alice否認給Bob發(fā)送過簽密密文時，Bob公開xBR和H1(m′)，其中簽名驗證參數(shù)xBR的合理性第三方可以根據(jù)等式e(xBR,P)=e(yB,R)進行驗證。隨后第三方根據(jù)e(S,yA+R)=e(H2(H1(m′),R,yA,xBR),P)驗證簽密中短簽名的有效性，驗證過程無需暴露密鑰、階段秘密值和明文。因此，本文簽密方案滿足可公開驗證性的同時又不會破壞消息的機密性。

4 性能分析與比較

表1 安全性比較

表2 計算復雜度比較

從表2可知，在簽密過程中，本文方案進行了3次H運算，文獻[1]方案進行了1次H運算和2次I運算，文獻[10]方案進行了3次M運算和2次H運算，而文獻[12]方案進行了3次M運算和1次H運算，文獻[16]方案進行了3次M運算、3次H運算、1次M運算。在解簽密過程中，本文方案進行了2次P運算和3次H運算，文獻[1]方案進行了4次E運算，文獻[10]方案進行了1次M運算和1次H運算，而文獻[12]方案進行了2次P運算、1次M運算和1次H運算，文獻[16]方案進行了1次P運算、3次E運算、3次H運算。

所以在簽密和解簽密的總效率上，本文方案與文獻[1]方案的效率大致相同，與文獻[10,12,14]相比效率較高。

在簽密長度方面，若選擇了階為160比特長的橢圓曲線上的群和雙線性對映射[17]，本文方案的簽密長度為160比特，與文獻[1,10,12,14]相比長度要短。

由表3可知，本文方案運行平均總耗時為0.199秒，其中簽密和解簽密分別耗時為0.054秒、0.163秒。本文方案與文獻[1]方案相比，平均總耗時增加47.2%；與文獻[10]方案相比，平均總耗時減少51.3%；與文獻[12]方案相比，平均總耗時減少101.5%；與文獻[16]方案相比，平均總耗時減少84.4%。從以上運行結(jié)果可知，本文方案與大多數(shù)方案相比具有較高的運算效率。

表3 性能比較 s

5 結(jié) 語

本文提出一種短簽密方案，在隨機預言機模型和擴展的逆CDH問題假設下，證明了該方案在適應性選擇消息下滿足機密性、不可偽造性、前向安全性和可公開驗證性。與幾種典型的簽密方案相比，本文方案簽密長度較短，簽密計算簡單，適合在帶寬受限的環(huán)境下，計算能力和傳輸能力相對較弱的超低功耗設備，對數(shù)據(jù)進行簽密、驗證以及交互傳輸。進一步研究的重點是將本文方案應用于智能家居無線物聯(lián)網(wǎng)絡下各種智能家庭設備與家庭智能網(wǎng)關(guān)的數(shù)據(jù)傳輸與控制系統(tǒng)中。