一种新的无双线性对的无证书安全签密方案
- 格式:pdf
- 大小:337.54 KB
- 文档页数:4
文档推荐
-
可证安全的基于身份的签密方案页数:21
-
可证明安全的基于身份的聚合签密方案页数:8
-
基于身份的签密方案分析与改进页数:3
-
一个可公开验证和前向安全的签密方案页数:4
-
基于身份的签密和代理签密方案页数:4
下载文档原格式
合集下载
可证安全的基于身份的签密方案
可证安全的基于身份的签密方案摘要对高键鑫等(高键鑫,吴晓平,秦艳琳.无双线性对的无证书安全签密方案.计算机应用研究,2014,31(4 1195-1198提出的基于无双线性对的签密方案进行了分析,发现其方案存在公钥替换攻击,在此基础上提出了一种新的无双线性对的基于身份的签密方案,并在随机预言机模型下证明了该方案存在第1类攻击者条件下的不可伪造性。
最后把新方案与其他签密方案作了效率分析对比,新方案仅使用了3次哈希运算和7次点乘运算,结果表明新方案具有较好的计算效率。
关键词数字签名;基于身份;双线性对;随机预言机;签密中图分类号TP309.2文献标志码 A0引言1984年,Shamir[1]首次提出了基于身份的密码体制,其思想就是将用户的身份作为公钥,简化传统的公钥基础设施中证书颁发结构(Certificate Authority,CA对用户公钥证书的管理。
1997年,Zheng [2]首次提出了签密的概念和签密方案。
与传统的数字签名相比,签密方案将对消息签名和加密同时进行,有计算量小、通信量少的优势。
Zheng [2]方案中仍存在证书管理繁琐和密钥托安全管问题,AlRiyami等[3]在此基础上提出了无证书签密机制,进一步提高了签密的效率。
随后其他研究者也参与对高效可证安全的签密方案的研究,2008年Barbosa等[4]提出了无证书签密方案,并给出了签密机制的第一个安全模型。
国内朱辉等[5]和刘文浩等[6]分别提出了基于无双线性配对的无证书签密机制,但二者均不能抵抗替换公钥攻击,文献[7-9]都对二者的方案进行了攻击分析并作出了改进。
2013年高键鑫等[10]提出的无双线性对的无证书安全签密方案,通过对其进行安全性分析研究发现该方案存在公钥替换攻击问题。
在此基础上结合国密SM2[11]标准签名算法设计和实现技巧,本文提出了一个新的无双线性对的基于身份的签密方案,并在随机预言机模型下证明了该方案。
211287364_一个无安全信道的无证书公钥可搜索加密方案
doi:10 11920/xnmdzk 2023 03 011一个无安全信道的无证书公钥可搜索加密方案孙莹莹1ꎬ2ꎬ刘晓光1ꎬ2ꎬ3ꎬ刁颖颖3ꎬ谯小康1(1.西南民族大学计算机科学与工程学院ꎬ四川成都㊀610041ꎻ2.广西密码学与信息安全重点实验室ꎬ广西桂林㊀541004ꎻ3.西南民族大学数学学院ꎬ四川成都㊀610041)摘㊀要:数据通常被加密后存储至云服务器ꎬ尽管这样可以保证数据的安全ꎬ但限制了用户对密文的搜索ꎬ公钥可搜索加密技术(PEKS)应运而生.结合无证书公钥密码学体制ꎬ提出了一种无证书轻量级可认证的无安全信道PEKS方案.该方案在随机预言模型下被证明是安全的.分析结果表明ꎬ推出的方案在安全性㊁计算成本和通信成本方面具有更好的综合性能.关键词:无安全信道ꎻ无双线性对ꎻ无证书ꎻ公钥可搜索加密中图分类号:TP309.7㊀㊀㊀㊀㊀㊀㊀㊀㊀文献标志码:A㊀㊀㊀㊀㊀㊀㊀㊀㊀文章编号:2095 ̄4271(2023)03 ̄0312 ̄11收稿日期:2022 ̄09 ̄22通信作者:刘晓光(1985 ̄)ꎬ男ꎬ甘肃定西人ꎬ副教授ꎬ博士ꎬ研究方向:密码学㊁信息安全.E ̄mail:21700128@swun.edu.cn基金项目:四川省科技计划项目(2023NSFSC0471)ꎻ广西密码与信息安全重点实验室基金(GCIS202121)ꎻ国家外专项目(DL2022186001L)ꎻ西南民族大学中央高校基本科研业务费专项资金项目(2021NYYXS64)AcertificatelesspublickeysearchableencryptionschemewithoutsecurechannelSUNYing ̄ying1ꎬ2ꎬLIUXiao ̄guang1ꎬ2ꎬ3ꎬDIAOYing ̄ying3ꎬQIAOXiao ̄kang1(1.SchoolofComputerScienceandEngineeringꎬSouthwestMinzuUniversityꎬChengdu610041ꎬChinaꎻ2.GuangxiKeyLaboratoryofCryptographyandInformationSecurityꎬGuangxi541004ꎬChinaꎻ3.SchoolofMathematicsꎬSouthwestMinzuUniversityꎬChengdu610041ꎬChina)Abstract:Dataisencryptedandstoredonacloudserverꎻitcanensuredatasecurityꎬbutlimitsusers searchforciphertext.Sothepublickeysearchableencryptiontechnology(PEKS)cameintobeing.ThispaperproposedalightweightandauthenticatablePEKSschemewithoutsecurechannelꎬwhichiscombinedwithcertificatelesspublickeycryptography.Theschemewasprovedtobesecureundertherandomoraclemodel.Theanalysisresultsshowedthattheproposedschemehadbettercomprehensiveper ̄formanceintermsofsecurityꎬcomputationcostandcommunicationcost.Keywords:freesecurechannelꎻfreepairingꎻcertificatelessꎻpublickeysearchableencryption㊀㊀众所周知ꎬ加密技术可以增强数据的安全性ꎬ却限制了用户对数据的高效搜索和共享.一个不理想的解决方案是用户首先下载所有加密数据ꎬ待全部解密后进行搜索操作.但随着数据规模的不断增大ꎬ计算和通信成本会呈指数级增加.为解决这个问题ꎬ基于对称加密的可搜索方案首先被提出[1].然而ꎬ一个棘手问题是如何秘密地将密钥分发给授权用户[2].此外ꎬ该类方案不可避免地会消耗大量的计算和通信成本.2004年ꎬBoneh等人[3]给出了第一个PEKS方案.此方案实现了Bob通过云服务器向Alice发送文档ꎬ具体过程如下:Bob首先从文档中提取关键字ꎬ并用Alice的公钥加密ꎬ生成关键字密文并上传至服务器.Alice使用313㊀第3期孙莹莹ꎬ等:一个无安全信道的无证书公钥可搜索加密方案其私钥加密关键字生成陷门ꎬ并将生成的陷门发送至服务器.最后ꎬ服务器对接收到的关键字密文和陷门进行测试.如果二者包含的关键字相同ꎬ服务器将把包含该关键字的文档发送给Alice.然而ꎬBaek等人[4]指出方案[3]为了保证陷门的安全性ꎬ需要通过高消耗的安全信道将陷门传输至服务器.因此ꎬ他们提出了一个无安全信道的PEKS方案(SCF-PEKS).该方案中ꎬ云服务器的公㊁私钥分别参与密文的生成与测试算法.Yau等人[5]指出方案[4]容易受到离线关键字猜测攻击.这是因为用户通常使用常见的关键字来进行搜索操作ꎬ关键字是在一个很小的空间中选择的[6].Rhee等人[7]设计了一个增强的SCF-PEKS方案ꎬ但此方案只考虑了外部关键字猜测攻击(OKGA)ꎬ却不能抵抗内部关键字猜测攻击(IKGA).Xu等人[8]提出了模糊关键字PEKS方案.在该方案中ꎬ每个关键字对应一个精确的关键字搜索陷门和一个模糊的关键字搜索陷门ꎬ但该方案也只能抵抗OKGA.Lu等人[9]提出了一个基于证书的SCF-PEKS方案.此方案可有效抵抗IKGAꎬ却引入了繁琐的证书管理问题.Li等人[10]提出了一个基于身份的SCF-PEKS方案.该方案解决了证书管理问题ꎬ却存在密钥托管问题.Pa ̄kniat[11]提出了一个无证书的SCF-PEKS方案ꎬ有效地解决了证书管理和密钥托管问题.然而ꎬMiao等人[12]指出ꎬ大多数现有的PEKS方案仍然容易受到IKGA攻击ꎬ这意味着内部敌手可以成功地猜测出候选关键字.2019年ꎬZhang等人[13]提出了无证书公钥认证的SCF-PEKS方案.2021年ꎬLu等人[14]提出了轻量级公钥认证PEKS方案.此类基于认证的方案通过验证发送者的身份ꎬ可有效抵抗IKGA和OKGA.遗憾的是ꎬ现有的许多无安全通道PEKS方案都依赖于高消耗的双线性对.本文中ꎬ我们将提出一个无证书轻量级可认证的无安全信道PEKS方案(SCF-PAEKS)ꎬ主要贡献如下:1)方案基于无证书密码学ꎬ不存在证书管理和密钥托管问题ꎻ2)使用标量乘法代替高成本的双线性对ꎬ具有更高的效率ꎻ3)为了增强方案的安全性ꎬ我们在加密方案中不仅输入数据接受者的公钥ꎬ还输入数据拥有者的公钥ꎬ使得数据接收者可以验证数据拥有者的身份ꎻ4)对所推出的方案进行了性能分析ꎬ并在随机预言模型下证明了方案的安全性.1㊀预备知识㊀㊀下面将给出本文算法安全性所基于的困难问题和基本系统模型.图1㊀SCF-PAEKS系统模型Fig.1㊀SCF-PAEKSsystemmodel1.1㊀椭圆曲线Diffie-Hellman问题设G是椭圆曲线上的点组成的加法循环群ꎬ其阶数为素数q.P是G的生成元.下面将分别给出椭圆曲线Diffie-Hellman(CDH)问题和决策Diffie-Hellman(DDH)问题的定义.定义1(CDH):给出三元组(PꎬaPꎬbP)ɪGꎬ其中aꎬbɪZp∗ꎬ计算abP是困难问题.定义2(DDH):给出四元组(PꎬaPꎬbPꎬcP)ꎬ其中aꎬbꎬcɪZp∗ꎬ确定c是否等于ab是困难问题.413西南民族大学学报(自然科学版)第49卷1.2㊀系统模型如图1所示ꎬSCF-PAEKS方案的系统模型主要由四个实体组成:密钥生成中心(KGC)㊁云服务器㊁数据拥有者和数据接收者.每个实体的工作方式如下:1)KGC:它是一个半可信的第三方ꎬ可以生成系统主密钥以及数据拥有者㊁数据接收者和云服务器的部分私钥.同时ꎬKGC负责公布系统参数.2)数据拥有者:他/她的加密信息分为两部分.首先ꎬ他/她使用自己的私钥加密数据并生成密文ꎬ同时从数据中提取关键词.其次ꎬ数据拥有者使用提出的SCF-PAEKS方案对关键字进行加密ꎬ生成关键字密文ꎬ并将密文上传到云服器.3)数据接收者:他/她使用其私钥㊁数据拥有者的公钥和云服务器的公钥为他/她想要搜索的关键字生成陷门ꎬ并将陷门发送给云服务器.4)云服务器:存储和处理数据的半可信第三方.它利用自己的私钥测试数据所有者发送的关键字密文与数据接收者发送的陷门.如果二者包含相同的关键字ꎬ它会将相应的信息返回给数据接收者.2㊀SCF-PAEKS方案表1㊀符号定义Table1㊀Symboldefinition符号定义G加法循环群G1乘法循环群G2乘法循环群q素数阶p生成元λ安全参数s系统主密钥IDi身份Hi哈希映射dIDi部分私钥SKIDi私钥PKIDi公钥rIDiꎬxIDi随机值㊀㊀该方案由以下八个多项式时间算法组成.我们分别定义数据拥有者㊁数据接收者和云服务器的身份为IDO㊁IDR和IDS.算法中所使用的符号见表1.2.1㊀初始化给定一个安全参数λꎬKGC选择一个阶为q的加法循环群GꎬP是G的生成元.KGC选择随机值sɪZq∗作为系统主密钥ꎬ并计算Ppub=sP作为系统公钥.KGC选择三个不同的哈希函数:H1:{0ꎬ1}∗ˑGңZq∗ꎬH2:GˑGˑGˑGˑGң{0ꎬ1}∗ꎬH3:{0ꎬ1}∗ˑ{0ꎬ1}∗ңZq∗.KGC保密系统主密钥sꎬ并公开系统参数params={λꎬGꎬqꎬPꎬPpubꎬH1ꎬH2ꎬH3}.第3期孙莹莹ꎬ等:一个无安全信道的无证书公钥可搜索加密方案㊀2.2㊀设置部分私钥KGC将执行以下步骤:1)输入数据拥有者的身份IDOɪ{0ꎬ1}∗.KGC选择随机值rIDOɪZq∗计算ꎬ并计算QIDO=rIDOPꎬμIDO=H1(IDOꎬQIDO)ꎬ和dIDO=rIDO+sμIDO(modq).KGC返回QIDOꎬμIDO和dIDO给数据拥有者.2)输入数据接收者的身份IDRɪ{0ꎬ1}∗.KGC选择随机值rIDRɪZq∗ꎬ并计算QIDR=rIDRPꎬμIDR=H1(IDRꎬQIDR)和dIDR=rIDR+sμIDR(modq).KGC返回QIDRꎬμIDR和dIDR给数据接收者.3)输入云服务器的身份IDSɪ{0ꎬ1}∗.KGC选择随机值rIDSɪZq∗ꎬ并计算QIDS=rIDSPꎬμIDS=H1(IDSꎬQIDS)和dIDS=rIDS+sμIDS(modq).KGC返回QIDSꎬμIDS和dIDS给云服务器.2.3㊀设置秘密值输入IDOɪ0ꎬ1{}∗ꎬIDRɪ0ꎬ1{}∗和IDSɪ0ꎬ1{}∗.1)数据拥有者选择随机值xIDOɪZq∗作为自己的秘密值.2)数据接收者选择随机值xIDRɪZq∗作为自己的秘密值.3)云服务器选择随机值xIDSɪZq∗作为自己的秘密值.2.4㊀设置私钥1)数据拥有者设置SKIDO=(SKIDO1ꎬSKIDO2)=(xIDOꎬdIDO)作为自己的私钥.2)数据接收者设置SKIDR=(SKIDR1ꎬSKIDR2)=(xIDRꎬdIDR)作为自己的私钥.3)云服务器设置SKIDS=(SKIDS1ꎬSKIDS2)=(xIDSꎬdIDS)作为自己的私钥.2.5㊀设置公钥输入系统参数paramsꎬ并分别输入数据拥有者的秘密值ꎬ数据接收者的秘密值和云服务器的秘密值xIDOꎬxIDR和xIDS.1)数据拥有者计算YIDO=xIDOPꎬ将PKIDO=(PKIDO1ꎬPKIDO2)=(YIDOꎬQIDO)设置为自己的公钥.2)数据接收者计算YIDR=xIDRPꎬ将PKIDR=(PKIDR1ꎬPKIDR2)=(YIDRꎬQIDR)设置为自己的公钥.3)云服务器计算YIDS=xIDSPꎬ将PKIDS=(PKIDS1ꎬPKIDS2)=(YIDSꎬQIDS)设置为自己的公钥.2.6㊀SCF-PAEKS方案输入paramsꎬSKIDOꎬPKIDR和PKIDS.数据拥有者按照下列步骤加密关键字w:1)数据拥有者选择随机值r1ɪZq∗.2)数据拥有者计算:θ1=H2(SKIDO1 PKIDR1ꎬPKIDRꎬPKIDO)ꎬ(1)K1=H3(wꎬθ1)ꎬC1=r1Pꎬ(2)C2=C1+K1 SKIDO2-1(PKIDO2+μIDOPpub)ꎬ(3)C3=r1(YIDS+QIDS+μIDSPpub).(4)数据拥有者返回C=(C1ꎬC2ꎬC3).2.7㊀陷门输入paramsꎬSKIDRꎬPKIDO和PKIDS.数据接收者按照如下步骤生成陷门Tw:1)数据接收者选择随机值r2ɪZq∗.2)数据接收者计算:θ2=H2(SKIDR1 PKIDO1ꎬPKIDRꎬPKIDO)ꎬ(5)K2=H3(w'ꎬθ2)ꎬT1=r2Pꎬ(6)T2=(K2+r2)SKIDR2-1(PKIDR2+μIDRPpub)ꎬ(7)513西南民族大学学报(自然科学版)第49卷T3=r2(YIDS+QIDS+μIDSPpub).(8)数据接收者返回陷门Tw'=(T1ꎬT2ꎬT3).2.8㊀测试输入paramsꎬTw'ꎬSKIDS和关键字密文C.云服务器验证等式C2(xIDS+dIDS)-C3=T2(xIDS+dIDS)+T3((xIDS+dIDS)-1-1)-T1是否成立.如果成立ꎬ输出1ꎬ否则ꎬ输出0.正确性验证:Twᶄ是关键字wᶄ的陷门ꎬw是密文C中的关键字.我们知道㊀㊀㊀㊀㊀θ1=H2(SKIDO1 PKIDR1ꎬPKIDRꎬPKIDO)=H2(xIDO YIDRꎬPKIDRꎬPKIDO)=H2(xIDO xIDR PꎬPKIDRꎬPKIDO)=H2(SKIDR1 PKIDO1ꎬPKIDRꎬPKIDO)=θ2.(9)㊀㊀㊀㊀㊀C2(xIDS+dIDS)-C3㊀=(C1+K1 SKIDO2-1(PKIDO2+μIDOPpub))(xIDS+dIDS)-C3=r1P(xIDS+dIDS)+K1P(xIDS+dIDS)-C3=K1(YIDS+QIDS+μIDSPpub).(10)和㊀㊀T2(xIDS+dIDS)+T3((xIDS+dIDS)-1-1)-T1=(K2+r2)SKIDR2-1(PKIDR2+μIDRPpub)(xIDS+dIDS)+T3((xIDS+dIDS)-1-1)-T1=(K2+r2)P(xIDS+dIDS)+r2(YIDS+QIDS+μIDSPpub)((xIDS+dIDS)-1-1)-T1=(K2+r2)P(xIDS+dIDS)+r2P-r2(YIDS+QIDS+μIDSPpub)-T1=K2(YIDS+QIDS+μIDSPpub).(11)由于θ1=θ2ꎬ故若w=wᶄꎬ则K1=K2.因此有:C2(xIDS+dIDS)-C3=T2(xIDS+dIDS)+T3((xIDS+dIDS)-1-1)-T1.(12)3㊀安全证明㊀㊀在本节中ꎬ我们首先给出SCF-PAEKS方案的安全模型.随后对所提出方案进行安全性分析.分析结果表明ꎬ在随机预言模型下ꎬ该方案可有效抵抗IKGA且此方案满足密文不可区分性.3.1㊀安全模型在无证书密码系统的自适应性选择密文攻击游戏中ꎬ我们定义了挑战者C分别与外部敌手A1ꎬ内部敌手A2之间的攻击博弈.外部敌手A1可以任意替换用户的公钥ꎬ但不能获取系统主密钥.内部敌手A2ꎬ通常指半可信云服务器.它可以获得系统主密钥ꎬ但不能替换用户的公钥.游戏1:这是一个挑战者C与外部敌手A1之间的互动.初始化:给定安全参数λꎬC运行系统算法产生参数params和系统主密钥s.C保密sꎬ并把params发送给A1.哈希查询:C允许A1查询哈希预言并返回哈希值.部分私钥查询:A1对身份ID进行查询ꎬC计算该身份的部分私钥dID并将其返回给A1.私钥查询:A1对身份ID进行查询ꎬC计算相应的私钥SKID返回给A1.公钥查询:A1对身份ID进行查询ꎬC将相应的公钥PKID返回给A1.替换公钥查询:A1选择新的公钥PKᶄID用于替换原始公钥PKID.陷门查询:A1对身份IDO㊁IDS及关键字w进行查询ꎬC生成陷门Tw并返回给A1.挑战:A1选择未执行过陷门查询的w0和w1作为挑战关键字.C随机选择bᶄɪ{0ꎬ1}ꎬ然后通过执行算法生成关键字密文wb并发送给A1.更多查询:A1可继续执行以上阶段查询(w0和w1陷门查询除外).猜测:A1给出猜测结果bᶄɪ{0ꎬ1}.若bᶄ=bꎬ则A1挑战成功.A1挑战成功的优势定义为:613第3期孙莹莹ꎬ等:一个无安全信道的无证书公钥可搜索加密方案㊀Adv(A1)=Prbᶄ=b[]-1/2.(13)游戏2:这是一个挑战者C与内部敌手A2之间的互动.初始化:给定安全参数λꎬC运行系统算法产生参数params和系统主密钥sꎬ并把它们发送给A2.查询:除提取私钥查询和替换公钥查询外ꎬA2可执行与游戏1相同的查询.挑战:A2选择未执行过陷门查询的w0和w1作为挑战关键字.C随机选择bᶄɪ{0ꎬ1}ꎬ然后通过执行算法生成关键字密文wb并发送给A2.更多查询:A2可继续执行以上阶段询问(w0和w1陷门查询除外).猜测:A2给出猜测结果bᶄɪ{0ꎬ1}.若bᶄ=bꎬ则A2挑战成功.A2挑战成功的优势定义为:Adv(A2)=Prbᶄ=b[]-1/2.(14)定义3:如果没有敌手以不可忽略的优势Adv(A1)和Adv(A2)赢得游戏ꎬ说明所提出的SCF-PAEKS方案在抵抗IKGA时是语义安全的.3.2㊀证明定理1:假设CDH是困难问题ꎬ则所提出的SCF-PAEKS方案在随机语言模型中是语义安全的.这个定理可由以下两个引理证明.引理1:假设有一个外部敌手A1以不可忽略的优势ε赢得SCF-PAEKS方案.我们必须构造一个算法C以不可忽略优势:εᶄ⩾2εqH11-1qH1()qE+qS+qT.(15)来解决CDH问题ꎬ其中qH1ꎬqEꎬqSꎬqT分别表示H1查询ꎬ部分私钥查询ꎬ秘密值查询ꎬ陷门查询的最大查询次数.证明:假设(PꎬaPꎬbP)是CDH问题随机生成的一个实例ꎬ那么算法C通过与敌手A1交互来模拟挑战者.初始化:C随机选择IDI1£I£qH1()作为挑战者身份.然后C执行算法计算系统公钥Ppub=aP和系统参params=λꎬGꎬqꎬPꎬPpubꎬH1ꎬH2ꎬH3{}.最后ꎬC返回params给A1.H1查询:C维护一张LH1列表(IDiꎬQIDiꎬμIDi)ꎬ当收到A1关于(IDiꎬQIDi)的查询时ꎬ若(IDiꎬQIDiꎬμIDi)已存在于LH1ꎬ则C返回μIDi.否则ꎬC选择随机值μIDiɪZq∗ꎬ将其返回给A1ꎬ并将(IDiꎬQIDiꎬμIDi)加入LH1.H2查询:C维护一张LH2列表(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDiꎬθi)ꎬ当收到A1关于(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDi)的查询时ꎬ若(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDiꎬθi)已经存在于LH2ꎬ则C返回θi.否则ꎬC随机选择θiɪZq∗ꎬ将其返回给A1ꎬ并将(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDiꎬθi)加入LH2.H3查询:C维护一张LH3列表(wiꎬθiꎬki)ꎬ当收到A1关于(wiꎬθi)的查询时ꎬ若(wiꎬθiꎬki)已经存在于LH3ꎬ则C返回ki.否则ꎬC随机选择kiɪZq∗将其返回给A1ꎬ并将(wiꎬθiꎬki)加入LH3.部分私钥查询:C维护一张Lp1列表(IDiꎬQIDiꎬdIDi).当收到A1关于IDi的查询时ꎬ若IDi=IDIꎬC终止算法(这个过程由E1表示).否则ꎬC随机选择dIDiɪZq∗ꎬ将其返回给A1ꎬ并将(IDiꎬQIDiꎬdIDi)加入Lp1.秘密值查询:C维护一张Lp2列表(IDiꎬxIDi).当收到A1关于IDi的查询时ꎬ若IDi=IDIꎬC终止算法(这个过程由E2表示).否则ꎬC随机选择xIDiɪZq∗ꎬ并查询Lp1列表(IDiꎬQIDiꎬdIDi).最后ꎬC将SKIDi=(xIDiꎬdIDi)返回给A1ꎬ并将(IDiꎬxIDi)加入Lp2.提取公钥查询:C维护一张Lp3列表(IDiꎬQIDiꎬYIDi).当收到A1关于IDi的查询时ꎬ若(IDiꎬQIDiꎬYIDi)已经存在于Lp3ꎬC返回PKIDi=(QIDiꎬYIDi).否则ꎬC分别查询LH1列表(IDiꎬQIDiꎬμIDi)和Lp2列表(IDiꎬxIDi)ꎬ并计算YIDi=xIDiP.最后ꎬC返回PKIDi=(QIDiꎬYIDi)给A1ꎬ并将(IDiꎬQIDiꎬYIDi)加入Lp3.公钥替换查询:当收到A1关于(IDiꎬQIDiꎬYIDi)查询时ꎬC分别用QᶄIDi和YᶄIDi去替换QIDi和YIDiꎬ并更新Lp3713西南民族大学学报(自然科学版)第49卷列表(IDiꎬQIDiꎬYIDi).陷门查询:当收到A1关于IDi的陷门查询时ꎬ若IDi=IDIꎬC终止算法(这个过程由E3表示).否则ꎬC随机选择r2ɪZq∗并计算T2=r2P.然后ꎬC查询LH3列表(wiꎬθiꎬki)和LH2列表(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDiꎬθi)ꎬ计算K2=H3(kiꎬθi)㊁T2=(K2+r2)SKIDi2-1(PKIDi2+αIDiPpub)和T3=r1(YIDS+QIDS+μIDSPpub).最后ꎬC返回Tw'=(T1ꎬT2ꎬT3)给A1.挑战:A1给出身份为ID∗的挑战关键字w0和w1.若ID∗ʂIDIꎬC终止算法(这个过程由E4表示).否则ꎬC首先选择随机值r1ɪZq∗并计算C1=r1P.然后ꎬC查询LH3列表(wiꎬθiꎬki)和LH2列表(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDiꎬθi)ꎬ计算K1=H3(kiꎬθi)㊁C2=C1+K1 SKIDO2-1(PKIDO2+μIDOPpub)和C3=r2(YIDS+QIDS+μIDSPpub).最后ꎬC返回C=(C1ꎬC2ꎬC3)给A1.更多查询:A1可继续执行以上阶段除挑战关键字w0和w1之外(这个过程由E5表示)的自适应查询.猜测:A1给出猜测结果bᶄɪ{0ꎬ1}.C设置C1=bPꎬ如果b((C2-T2+T1)(xIDS+dIDS)-C1(xIDS+dIDS)+Ppub)=abP成立ꎬ则说明C可以解决CDH问题.只有当E1ꎬE2ꎬE3ꎬE4ꎬE5事件之一发生时ꎬ游戏才会中止.下面将对C解决CDH问题的优势εᶄ进行分析.首先:Pr┐E1ɡ┐E2┐E3┐E4[]=1-1qH1()qE+qS+qT1qH1.(16)接下来ꎬ证明:Pr[┐E5]⩾2ε.由于Pr[bᶄ=b]=Pr[bᶄ=b|E5]Pr[E5]+Pr[bᶄ=b|┐E5]Pr[┐E5]£Pr[bᶄ=b|E5]Pr[E5]+Pr[┐E5]=12+12Pr[┐E5]ꎬ(17)和Pr[bᶄ=b]⩾Pr[bᶄ=b|E5]Pr[E5]=12-12Pr[┐E5]ꎬ(18)故有Pr[┐E5]⩾2Pr[bᶄ=b|-1⩾2εꎬ因此:㊀㊀εᶄ⩾Pr[┐E5] Pr[┐E1ɡ┐E2┐E3┐E4]=2εqH11-1qH1()qE+qS+qT.(19)引理2:假设有一个内部敌手A2以不可忽略的优势ε赢得SCF-PAEKS方案.必须构造一个算法C以不可忽视优势:εᶄ⩾2εqH11-1qH1()qT.(20)来解决CDH问题ꎬ其中qH1ꎬqEꎬqSꎬqT分别表示H1查询ꎬ部分私钥查询ꎬ秘密值查询ꎬ陷门查询的最大查询次数.证明:假设(PꎬaPꎬbP)是CDH问题随机生成的一个实例ꎬ那么算法C通过与敌手A2交互来模拟挑战者.初始化:C随机选择IDI1£I£qH1()作为挑战身份.然后C执行算法ꎬ随机选择sɪZq∗ꎬ并计算系统公钥Ppub=sP和系统参params={λꎬGꎬqꎬPꎬPpubꎬH1ꎬH2ꎬH3}.最后ꎬC返回s和params给A2.H1查询:C维护一张LH1列表(IDiꎬQIDiꎬμIDi)ꎬ当收到A2关于(IDiꎬQIDi)的查询时ꎬ若(IDiꎬQIDiꎬμIDi)已存在于LH1ꎬ则C返回μIDi.否则ꎬC选择随机值μIDiɪZq∗将其返回给A2ꎬ并将(IDiꎬQIDiꎬμIDi)加入LH1.H2查询:C维护一张LH2列表(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDiꎬθi)ꎬ当收到A2关于(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDi)的查询时ꎬ若(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDiꎬθi)已经存在于LH2ꎬ则C返回θi.否则ꎬC随机选择θiɪZq∗ꎬ将其返回给A2ꎬ并将(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDiꎬθi)加入LH2.813第3期孙莹莹ꎬ等:一个无安全信道的无证书公钥可搜索加密方案㊀H3查询:C维护一张LH3列表(wiꎬθiꎬki)ꎬ当收到A2关于(wiꎬθi)的查询时ꎬ若(wiꎬθiꎬki)已经存在于LH3ꎬ则C返回ki.否则ꎬC随机选择kiɪZq∗将其返回给A2ꎬ并将(wiꎬθiꎬki)加入LH3.部分私钥查询:C维护一张Lp1列表(IDiꎬYIDiꎬxIDi)ꎬ当收到A2关于IDi的查询时ꎬC随机选择xIDiɪZq∗并计算YIDi=rIDiP.然后ꎬC查询LH1列表(IDiꎬQIDiꎬμIDi)ꎬ计算dIDi=rIDi+sμIDiꎬ并将rIDi和dIDi返回给A2.最后ꎬC将(IDiꎬQIDiꎬdIDi)加入Lp1.提取公钥查询:C维护一张Lp2列表(IDiꎬQIDiꎬYIDi).当收到A2关于IDi的查询时.若(IDiꎬQIDiꎬYIDi)已经存在于Lp2ꎬ则C返回PKIDi=(QIDiꎬYIDi).否则ꎬC查询LH1列表(IDiꎬQIDiꎬμIDi)和Lp1列表(IDiꎬYIDiꎬxIDi).最后ꎬC返回PKIDi=(QIDiꎬYIDi)给A2ꎬ并将(IDiꎬQIDiꎬYIDi)加入Lp3.陷门查询:当收到A2关于IDi的陷门查询时ꎬ若IDi=IDIꎬC终止算法(这个过程由E1表示).否则ꎬC随机选择r2ɪZq∗并计算T2=r2P.然后ꎬC查询LH3列表(wꎬθꎬk)和LH2列表(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDiꎬθ)ꎬ计算K2=H3(k'ꎬθ2)㊁T2=(K2+r2)SKIDi2-1(PKIDi2+αIDiPpub)和T3=r1(YIDS+QIDS+μIDSPpub).最后ꎬC返回Tw'=(T1ꎬT2ꎬT3)给A2.挑战:A2给出身份为ID∗的挑战关键字w0和w1.若ID∗ʂIDIꎬC终止算法(这个过程由E2表示).否则ꎬC首先选择随机值r1ɪZq∗并计算C1=r1P.然后ꎬC查询LH3列表(wiꎬθiꎬki)和LH2列表(SKIDj1 PKIDi1ꎬPKIDjꎬPKIDiꎬθ)ꎬ计算K1=H3(kiꎬθi)㊁C2=C1+K1 SKIDO2-1(PKIDO2+μIDOPpub)和C3=r2(YIDS+QIDS+μIDSPpub).最后ꎬC返回C=(C1ꎬC2ꎬC3)给A2.更多查询:A2可继续执行以上阶段除挑战关键字w0和w1之外(这个过程由E3表示)的自适应查询.猜测:A2给出猜测结果bᶄɪ{0ꎬ1}.C设置QIDi=aPꎬC1=bP.如果(C2-T2+T1)(xIDS+dIDS)-b(YIDS+μIDSPpub)=abP成立ꎬ则说明C可以解决CDH问题.我们知道只有当E1ꎬE2ꎬE3事件之一发生时ꎬ游戏才会中止.下面我们将对C解决CDH问题的优势εᶄ进行分析.首先:Pr┐E1ɡ┐E2[]=1-1qH1()qT1qH1ꎬ(21)接下来ꎬ我们将证明:Pr[┐E3]⩾2ε.由于Pr[bᶄ=b]=Pr[bᶄ=b|E3]Pr[E3]+Pr[bᶄ=b|┐E3]Pr[┐E3]£Pr[bᶄ=b|E3]Pr[E3]+Pr[┐E3]=12+12Pr[┐E3]ꎬ(22)和Pr[bᶄ=b]⩾Pr[bᶄ=b|E3]Pr[E3]=12-12Pr[┐E3]ꎬ(23)故有Pr[┐E3]⩾2Pr[bᶄ=b|-1⩾2εꎬ因此:εᶄ⩾Pr[┐E3] Pr┐E1ɡ┐E2[]=2εqH11-1qH1()qT.(24)4㊀性能分析㊀㊀在本节中ꎬ我们将所提出的SCF-PAEKS方案分别与无安全通道的方案[9]ꎬ[10]和[11]在安全性ꎬ计算913西南民族大学学报(自然科学版)第49卷成本和通信成本方面进行比较.4.1㊀安全性能表2㊀安全属性比较Table2㊀Comparisonofsecurityattributes方案CLAUOKIKBP[9]ˑɿɿɿˑ[10]ˑɿɿɿˑ[11]ɿˑˑˑˑSCF-PAEKSɿɿɿɿɿ㊀㊀在表2中ꎬ分别给出了四种方案安全性能的比较.我们分别使用CL㊁AU㊁OK㊁IK和BP表示无证书㊁认证㊁OKGA㊁IKGA和无双线性对.从表2中可以发现方案[9]是基于公钥基础设施的ꎬ存在证书管理问题.方案[10]是基于身份的加密体制ꎬ存在密钥托管问题.方案[11]没有对数据拥有者身份认证的功能ꎬ敌手可以冒充数据拥有者发起OKGA和IKGA.此外ꎬ方案[9]ꎬ[10]和[11]都依赖于高消耗的双线性对.4.2㊀计算成本在本节中ꎬ我们将使用方案[14]中的测试结果来估计四种方案的计算成本.在方案[14]中ꎬ性能的评估是在配备有Ubuntu16.04操作系统的电脑上进行的ꎬ使用MIRACL库ꎬ配备了I5-4210U1.7GHz处理器和4G字节内存.这里ThmꎬTsaꎬTbꎬTspꎬTh分别表示哈希映射到点的执行时间4.362msꎬ标量加法的执行时间0.013msꎬ双线性对的执行时间4.154msꎬ标量乘法的执行时间1.631msꎬ一般哈希函数的执行时间0.004ms.表3㊀计算成本比较(ms)Table3㊀Thecomparisonofcomputationcost(ms)方案秘钥加密陷门测试[9]3Thm+Tsp=14.717Thm+2Tb+Tsa+4Th=12.6992Thm+Tb+Tsa+3Th=12.903Tb+Th=4.158[10]4Thm+5Tsp=25.6032Thm+2Tb+3Tsp=21.9252Thm+Tb+2Tsp=16.142Tb+2Tsp=11.57[11]2Thm+2Tsp=11.9864Thm+3Tb+6Tsp+Th=39.73Thm+2Tsa+Tb+6Tsp+3Th=27.8744Tb+3Tsp+2Th=21.517SCF-PAEKS6Tsp+3Th=9.7984Tsa+6Tsp+2Th=9.7944Tsa+6Tsp+2Th=9.7943Tsp+3Th=4.905图2㊀计算成本比较Fig.2㊀Thecomparisonofcomputationcost如表3和图2所示ꎬ我们分别从密钥算法㊁加密算法㊁陷门算法和测试算法给出了这四3个方案的计算成本.实验结果表明ꎬ在密钥算法中ꎬ所提出的SCF-PAEKS方案的计算成本比方案[9]ꎬ[10]和[11]分别降低了023第3期孙莹莹ꎬ等:一个无安全信道的无证书公钥可搜索加密方案㊀33.42%ꎬ61.73%和18.25%.在加密算法中ꎬ所提出的SCF-PAEKS方案的计算成本比方案[9]ꎬ[10]和[11]分别降低了22.88%ꎬ55.33%和75.33%.在陷门算法中ꎬ所提出的SCF-PAEKS方案的计算成本比方案[9]ꎬ[10]和[11]分别降低了24.1%ꎬ39.32%和64.86%.在测试算法中ꎬ所提出的SCF-PAEKS方案的计算成本比方案[9]高出17.97%ꎬ与[10]和[11]相比分别降低了64.86%和77.2%.可见所提出的SCF-PAEKS方案的计算成本在各算法中基本均为最低.这是因为我们的方案使用了标量乘法而不是高消耗的双线性对.因此ꎬ与其他方案相比ꎬ我们的方案具有更高的效率.4.3㊀通信成本下面ꎬ我们将分别从公钥㊁加密㊁陷门的大小(分别用PK㊁EN和TD表示)来比较四种方案的通信成本.另外ꎬ我们假设点G㊁G1㊁G2和Zq∗的大小分别为320位㊁512位㊁1024位㊁和160位.表4和图3显示ꎬ所提出的SCF-PAEKS方案中PK的通信成本比[9]ꎬ[10]和[11]均高出25%.所提出的SCF-PAEKS方案中EN的通信成本与方案[9]ꎬ[10]和[11]相比分别降低了19%㊁53%和19%.此外ꎬ所提出的SCF-PAEKS方案中TD的通信成本比方案[9]和[10]略低ꎬ但与方案[11]相比降低了38%.表4㊀通信成本比较Table4㊀Thecomparisonofcommunicationcost方案PKENTD[9]|G1|=5122|G1|+Zq∗=11842|G1|=1024[10]|G1|=5122|G1|+|G2|=20482|G1|=1024[11]|G1|=5122|G1|+Zq∗=11843|G1|=1536SCF-PAEKS2|G|=6403|G|=9603|G|=960图3㊀通信成本比较Fig.3㊀Thecomparisonofcommunicationcost㊀㊀由上述结果表明ꎬ所提出的SCF-PAEKS方案中公钥的通信成本相对其他方案略高.但方案[9]存在证书管理问题ꎬ方案[10]是基于身份的加密ꎬ无法避免密钥托管问题.方案[11]容易受到关键字猜测攻击.特别地ꎬ上述三个方案均不可避免双线性对ꎬ导致其计算和通信成本都较高.因此ꎬ本文推出的方案更安全㊁更高效.5㊀结论㊀㊀云服务的出现给数据隐私带来了一些挑战.为了确保数据安全和对加密数据的高效搜索ꎬ一些SCF-PEKS123223西南民族大学学报(自然科学版)第49卷方案被提出.然而ꎬ这些方案均存在一定的不足.在本文中ꎬ我们提出了一个无双线性对的SCF-PAEKS方案.它不仅解决了加密数据的安全存储和检索问题ꎬ而且不存在证书管理和密钥托管问题.新颖的是ꎬ该方案不依赖于高消耗的双线性对且可有效抵抗IKGA.分析结果表明ꎬSCF-PAEKS具有较好的综合性能.参考文献[1]SONGDXꎬWAGNERDꎬPERRIGA.Practicaltechniquesforsearchesonencrypteddata[C]//Proceedingofthe2000IEEESymposiumonSecurityandPrivacy.CAꎬUSA:Berkeleyꎬ2000:44-55.[2]ZHANGQ.Anoverviewandanalysisofhybridencryption:Thecombinationofsymmetricencryptionandasymmetricencryption[C]//Proceedingofthe20212ndInternationalConferenceonComputingandDataScience(CDS).CAꎬUSA:Stanfordꎬ2021:616-622.[3]BONEHDꎬCRESCENZOGDꎬOSTROVSKYRꎬetal.Publickeyencryptionwithkeywordsearch[C]//ProceedingoftheInternationalconferenceontheTheoryandApplicationsofCryptographicTechniques.InterlakenꎬSwitzerlandꎬ2004:506-522.[4]BAEKJꎬSAFAVI-NAINIRꎬSUSILOW.Publickeyencryptionwithkeywordsearchrevisited[C]//InternationalConferenceonComputationalScienceandItsApplications(ICCSA).PerugiaꎬItalyꎬ2008:1249-1259.[5]YAUW-CꎬHENGS-HꎬGOIB-M.Off-linekeywordguessingattacksonrecentpublickeyencryptionwithkeywordsearchschemes[C]//Proceed ̄ingoftheInternationalConferenceonAutonomicandTrustedComputing.OsloꎬNorwayꎬ2008:100-105.[6]BYUNJWꎬRHEEHSꎬPARKH-Aꎬetal.Off-linekeywordguessingattacksonrecentkeywordsearchschemesoverencrypteddata[C]//ProceedingoftheWorkshoponsecuredatamanagement.SeoulꎬKoreaꎬ2006:75-83.[7]RHEEHSꎬPARKRHꎬSUSILORꎬetal.Trapdoorsecurityinasearchablepublic-keyencryptionschemewithadesignatedtester[J].JournalofSystems&Softwareꎬ2010ꎬ83(5):763-771.[8]XUPꎬJINHꎬWUQꎬetal.Public-keyencryptionwithfuzzykeywordsearch:Aprovablysecureschemeunderkeywordguessingattack[J].IEEETrans ̄actionsonComputersꎬ2013ꎬ62(11):2266-2277.[9]LUYꎬLIJꎬZHANGY.Securechannelfreecertificate-basedsearchableencryptionwithstandingoutsideandinsidekeywordguessingattacks[J].IEEETransactionsonServicesComputingꎬ2021ꎬ14(6)6:2041-2054.[10]LIHBꎬHUANGQꎬSHENJꎬetal.Designated-serveridentity-basedauthenticatedencryptionwithkeywordsearchforencryptedemails[J].InformationSciencesꎬ2019ꎬ481:330-343.[11]PAKNIATN.Designatedtestercertificatelessencryptionwithkeywordsearch[J].JournalofInformationSecurityandApplications.2019ꎬ49:102394. [12]MIAOYBꎬTONGQYꎬDENGRHꎬetal.Verifiablesearchableencryptionframeworkagainstinsiderkeyword-guessingattackincloudstorage[J].IEEETransactionsonCloudComputingꎬ2022ꎬ10(2):835-848.[13]ZHANGYIꎬWENLꎬZHANGYJꎬetal.DesignatedServerCertificatelessdeniablyauthenticatedencryptionwithkeywordsearch[J].IEEEAccessꎬ2019ꎬ7:146542-146551.[14]LUYꎬLIJ.Lightweightpublickeyauthenticatedencryptionwithkeywordsearchagainstadaptively-chosen-targetsadversariesformobiledevices[J/OL].[2022-09-07].https://ieeexplore.ieee.org/document/9423618.(责任编辑:张阳ꎬ付强ꎬ和力新ꎬ肖丽ꎬ罗敏ꎻ英文编辑:周序林ꎬ郑玉才)Copyright©博看网. All Rights Reserved.。
一种新的无证书签密方案
之和 。随着基 于身份密码 ( —K ) I P C 系统 的深入研究 和广泛 D
应 用 , 于 身 份 的签 密 方 案 也 得 到 了越 来 越 多研 究 者 的关 基
注 “J 。但是 , .K I P C存在一 个 固有 弱点 , D 即密钥 托 管 问题 , 密钥产生 中心( G ) 有所 有用 户 私钥 , 仿 冒系统 中的所 K C拥 能 有用户 , 恶意的 K C是 I —K G D P C系统的最大隐患 。无证书 的公 钥加密 ( LP C 机制 被提出来解决这一 问题 。 C -K )
d i1 .9 9 ji n 10 —6 5 2 1 .0 0 3 o:0 3 6 /.s .0 13 9 .0 1 1 .5 s
An l ssa d i r v me to e t c tls in rp in s h me ay i n mp o e n fc ri aee s sg cy to c e i f
t k y e c o r p r u h rai n l u l e . h sp p r r s n e n i r v d c r fc tl s in r p in s h me I i e s r w p o e y d e t t e i t a b i k y T i a e e e t d a - t o r o p c p mp o e e t ia ee ssg c y t c e . t i o
陈 明 ,吴开贵 ,何 盼
(. 1 重庆 医科 大学 附属 第二 医院 信 息 中心 , 重庆 40 1 ;2 重庆 大 学 计算机 学院 , 000 . 重庆 4 04 ) 004
摘 要 :分析 王会 歌 等人提 出的一种 无证 书的 签 密方 案 ( C —C 发 现 , . W— LS ) 由于公 钥 设置 不 合理 , C -C方 案 W. LS
一种无证书签密方案的安全性分析
1 概述
在 传 统 的 加 密 签 名 体 制 中 ,通 过 先 签 名 后 加 密 的方 式 来
G 的 阶 ,假 设 G,, 的 离散 对 数 问题 都 是 困难 问题 ,定 义 1 中 G
双线性 映射 e G x . G ,满足下列性质 : : G 。 () 线 性 性 : 如 果 P Q∈G 1双 , 且 “b , 那 么 有 ,∈Z
() 1计算性双线性 Dii— el n问题( B H问题 )对于 f eH l ma C D : 任意的 ,,∈ ,给定 ( ,Jb ,P bC P D Pc ),计算 eP J曲 。 , ( , ) D
() 定 性 双 线 性 D feHe ma 问题 ( B H 问题 ) 2判 ii l n — l D D :对
K GC可 以计 算 出 任 意 用 户 的 私 钥 , 外该 方案 用于 加密 消息 此 的密 钥 是 一 个 可 以 由发 送 者 的秘 密 值 和 接 收 者 的 公钥 值 直 接 计 算 出 的 固 定 的值 ,而 不 是 随 机 的 。本 文对 文 献 方案 的安 全 性 问 题 提 出 了 质 疑 ,并证 明 了该 方 案是 不 安 全 的 。
ea b :eP, ; (P,Q) ( Q)
保证保密性和认证性 ,但是其实现效 率非常低 。Z e g Y于 hn l9 9 7年提 出了签密 的概念…,签密能够在一个逻辑步骤 内完
成公钥加密和数字签名的功能 , 够保证安全性和可认证性 , 能
() 退 化 性 :存 在 PQ∈G 使 得 ePQ ≠1 2非 , I (,) ;
() 密性 :指除了接收者以外的其他任何 人或者机 构都 1 机
不能 够 从 密 文 得 到 明文 。
基于双线性对的无证书签名与群签名方案
定义 3计算 Difie—Hellman问题。给定一个阶为 q的循 环 群 G,它 的一 个 生 成 元 P 以及 aP,bP∈G (其 中 ,“,b∈Z 且
其值未知),计算 abP∈G。 2.2 无证书签名 方案
一 个无证书签名方案 由系统参数 生成、部分密钥生成、 设置秘密值、设置私钥 、设置公钥、签名 以及验证 7个算法 组成。限于篇幅 ,具体 算法参阅文献【2】。
研 究 生 收稿 日期 :2011-03—18 E·mail:lfyin318@126·cor n
第 37卷 第 24期
李凤银 ,刘培玉 ,朱振方 :基于双线性对 的无证书签名与群签名 方案
19
2.3 安全模 型 在无证书系统中有 2类攻击者 ,即第 1类攻击者 A-与
第 2类攻 击者 A 。第 1类攻击者不知道系统主密钥 ,但是可 以任 意替换 用户的公钥 。第 2类攻击者知道系统的主密钥 , 但是 不能 替换 目标 用户 的公钥 。
基金项 目:国家 自然科 学基金资助项 目(60873247);山东省 自然科学 基金资 助重 点项 目(ZR2009GZ007);山东省高新技术 自主创 新工程
基金资助项 目(2008ZZ28) 作者简介 :李风银(1974一),女 ,副教授、博士研究生 ,主研方向: 信息安全 ,数字签名 ;刘培玉 ,教授、博 士生导师 ;朱振方 ,博士
第 37卷 第 24期
V_ 0l-37 NO.24
· 博 士论 文 ·
计 算 机 工 程
Com puter Engineering
文章编号:100o-_3428(2011)24__00l8._一l4 文献标识码:A
2011年 l2月
其值未知),计算 abP∈G。 2.2 无证书签名 方案
一 个无证书签名方案 由系统参数 生成、部分密钥生成、 设置秘密值、设置私钥 、设置公钥、签名 以及验证 7个算法 组成。限于篇幅 ,具体 算法参阅文献【2】。
研 究 生 收稿 日期 :2011-03—18 E·mail:lfyin318@126·cor n
第 37卷 第 24期
李凤银 ,刘培玉 ,朱振方 :基于双线性对 的无证书签名与群签名 方案
19
2.3 安全模 型 在无证书系统中有 2类攻击者 ,即第 1类攻击者 A-与
第 2类攻 击者 A 。第 1类攻击者不知道系统主密钥 ,但是可 以任 意替换 用户的公钥 。第 2类攻击者知道系统的主密钥 , 但是 不能 替换 目标 用户 的公钥 。
基金项 目:国家 自然科 学基金资助项 目(60873247);山东省 自然科学 基金资 助重 点项 目(ZR2009GZ007);山东省高新技术 自主创 新工程
基金资助项 目(2008ZZ28) 作者简介 :李风银(1974一),女 ,副教授、博士研究生 ,主研方向: 信息安全 ,数字签名 ;刘培玉 ,教授、博 士生导师 ;朱振方 ,博士
第 37卷 第 24期
V_ 0l-37 NO.24
· 博 士论 文 ·
计 算 机 工 程
Com puter Engineering
文章编号:100o-_3428(2011)24__00l8._一l4 文献标识码:A
2011年 l2月
无双线性对的无证书分布环签名方案
W i t ho ut Bi l i ne a r Pa i r i ng
ZH ANG Chu n— s he ng , S U Be n- y ue , Y AO Sh a o - we n ( 1 . S c h o o l o f Co mp u t e r a n d I n f o r ma t i o n , An q i n g No r ma l Un i v e r s i t y , An q i n g 2 4 6 1 3 3 , Ch i n a ;
第 3 9卷 第 1 2期
Vb 1 . 3 9
NO . 1 2
计
算
机
工
程
2 0 1 3年 1 2月
De c e mb e r 2 01 3
Co mpu t e r En g i n e e r i n g
・
安全技 术 ・
文章编号:1 0 0 0 —3 4 2 8 ( 2 0 1 3 ) 1 2 —0类号:T P 3 0 9 . 2
无双 线性对 的无证 书分布 环签名 方案
张春生 ,苏本跃 ,姚绍文
( 1 . 安庆 师范 学 院计 算机 与信 息学 院 ,安徽 安庆 2 4 6 1 3 3 ;2 . 云 南大 学软 件学 院 , 昆明 6 5 0 0 9 1 ) 摘 要 :现 有分 布环 签名 方 案大 多基 于 双线 性对 运 算 或模指 运 算 ,计算 效率 不 高 。针对 该 问题 ,提 出一 种无 双 线性对 运 算和模 指
e ic f i e n c y i s n o t h i gh :Fo r i mpr o v i n g t h e e ic f i e n t o f o p e r a t i o n s ,a n e w c e r t i ic f a t e t e s s di s t r i b u t e d r i n g s i g n a t ur e s c he me wi t h o ut bi l i ne a r pa i r i n gs o pe r a t i o n or e x po n e n t o pe r a t i o n i s p r o po s e d.Th e s c he me o nl y n e e d s a mo du l a r mu l t i p l i c a t i on o n e l l i pt i c c u r v e s . Th e r e s u l t s o f
ZH ANG Chu n— s he ng , S U Be n- y ue , Y AO Sh a o - we n ( 1 . S c h o o l o f Co mp u t e r a n d I n f o r ma t i o n , An q i n g No r ma l Un i v e r s i t y , An q i n g 2 4 6 1 3 3 , Ch i n a ;
第 3 9卷 第 1 2期
Vb 1 . 3 9
NO . 1 2
计
算
机
工
程
2 0 1 3年 1 2月
De c e mb e r 2 01 3
Co mpu t e r En g i n e e r i n g
・
安全技 术 ・
文章编号:1 0 0 0 —3 4 2 8 ( 2 0 1 3 ) 1 2 —0类号:T P 3 0 9 . 2
无双 线性对 的无证 书分布 环签名 方案
张春生 ,苏本跃 ,姚绍文
( 1 . 安庆 师范 学 院计 算机 与信 息学 院 ,安徽 安庆 2 4 6 1 3 3 ;2 . 云 南大 学软 件学 院 , 昆明 6 5 0 0 9 1 ) 摘 要 :现 有分 布环 签名 方 案大 多基 于 双线 性对 运 算 或模指 运 算 ,计算 效率 不 高 。针对 该 问题 ,提 出一 种无 双 线性对 运 算和模 指
e ic f i e n c y i s n o t h i gh :Fo r i mpr o v i n g t h e e ic f i e n t o f o p e r a t i o n s ,a n e w c e r t i ic f a t e t e s s di s t r i b u t e d r i n g s i g n a t ur e s c he me wi t h o ut bi l i ne a r pa i r i n gs o pe r a t i o n or e x po n e n t o pe r a t i o n i s p r o po s e d.Th e s c he me o nl y n e e d s a mo du l a r mu l t i p l i c a t i on o n e l l i pt i c c u r v e s . Th e r e s u l t s o f
一种新的无证书签密方案
一种新的无证书签密方案李会格;张建中【期刊名称】《计算机工程与应用》【年(卷),期】2014(000)005【摘要】对两种无证书签密方案进行了安全性分析,发现两种方案均是不安全的。
第一种无证书签密方案不满足不可伪造性,第二种无证书签密方案不能完全满足公开验证性。
针对这种情况,提出了一种新的无证书签密方案,同时对新方案进行了正确性分析和安全分析,结果表明新方案是安全的,真正做到了信息方面的保密性和认证性。
%This paper analyses the security of two certificateless signcryption schemes, which all can’t guarantee security. The first certificateless signcryption scheme exists forged attack, which can pass through the proving equation. In addi-tion, the second scheme doesn’t completely satisfy the public verification. Based on these problems, this paper proposes a new certificateless signcryption scheme and analyses the accuracy and safety of this new scheme, which is proved to be safe and guarantees the secrecy and authentication of information.【总页数】4页(P86-89)【作者】李会格;张建中【作者单位】陕西师范大学数学与信息科学学院,西安 710062;陕西师范大学数学与信息科学学院,西安 710062【正文语种】中文【中图分类】TP309.2【相关文献】1.一种新的无证书广播签密方案 [J], 孙瑾;胡予濮2.一种新的无双线性对的无证书安全签密方案 [J], XIA Ang;ZHANG Long-jun3.一种新的无证书签密方案 [J], 陈明;吴开贵;何盼4.一个新的无证书环签密方案 [J], 侯红霞;何业锋5.新的无证书签密方案 [J], 马陵勇;卓泽朋;廉玉忠因版权原因,仅展示原文概要,查看原文内容请购买。
无双线性对的无证书签名方案的分析及改进
无双线性对的无证书签名方案的分析及改进作者:王怡杜伟章来源:《计算机应用》2013年第08期摘要:对王圣宝等(王圣宝,刘文浩,谢琪.无双线性配对的无证书签名方案.通信学报,2012,33(4):93-98)提出的不使用双线性配对运算的无证书签名方案进行安全性分析,指出该方案无法抵抗积极不诚实的恶意密钥生成中心(KGC)攻击,并给出了该攻击方式的具体攻击方法。
针对这种攻击方式,提出了改进方案,并对改进的方案进行了安全性分析。
分析结果表明,改进后的方案在保持原方案高效性的同时,能抵抗恶意KGC攻击,具有更高的安全性,并且改进后的方案不再需要使用安全通道,降低了通信复杂度。
关键词:无证书签名;椭圆曲线;离散对数问题;双线性对;密钥生成中心中图分类号: TP309.7文献标志码:A0 引言无证书公钥密码系统[1]是由AlRiyami等提出的,在该系统中,用户的私钥由密钥生成中心(Key Generation Centre,KGC)生成的部分私钥和用户自己选取的秘密值共同组成,恶意KGC由于不知道用户秘密值而无法获得用户的私钥。
由于无证书公钥系统具有非常突出的优势,基于无证书公钥系统的签名方案被相继提出[2-7]。
但是,这些方案大多都使用双线性对来完成签名及验证过程,存在计算效率不高的问题。
于是许多学者致力于提高无证书签名方案计算效率的研究,但是往往在提高了计算效率的同时忽略了方案的安全性。
如文献[8]提出了一个无证书签名方案,该方案没有进行双线性对的运算,提高了签名和验证效率。
然而该方案被杨波等[9]指出存在安全缺陷,任何敌手都能进行公钥替换攻击完成签名伪造。
另外,有的方案在安全性上满足了要求,效率却有待提高,没有做到在签名过程和签名验证过程均不使用双线性对运算,如张玉磊等[10]和李凤银等[11]分别于2010年和2011年提出的高效的无证书签名方案,虽然这两个方案在签名过程中都没有使用双线性对,但在签名验证过程中却进行了双线性对运算。
无双线性对的无证书签名方案的分析及改进
无双线性对的无证书签名方案的分析及改进王怡;杜伟章【期刊名称】《计算机应用》【年(卷),期】2013(33)8【摘要】对王圣宝等(王圣宝,刘文浩,谢琪.无双线性配对的无证书签名方案.通信学报,2012,33(4):93-98)提出的不使用双线性配对运算的无证书签名方案进行安全性分析,指出该方案无法抵抗积极不诚实的恶意密钥生成中心(KGC)攻击,并给出了该攻击方式的具体攻击方法.针对这种攻击方式,提出了改进方案,并对改进的方案进行了安全性分析.分析结果表明,改进后的方案在保持原方案高效性的同时,能抵抗恶意KGC攻击,具有更高的安全性,并且改进后的方案不再需要使用安全通道,降低了通信复杂度.%By analyzing the security of a certificateless signature scheme without bilinear pairing proposed by Wang Shengbao,et al.(WANG S B,LIU W H,XIE Q.Certificateless signature scheme without bilinearpairings.Journal on Communications,2012,33(4):93-98),it indicated that the scheme could not resist malicious attack of positive dishonest Key Generation Center(KGC).For this kind of attack,detailed attack method was given,and an improved scheme was proposed.Finally,the security of the improved scheme was analyzed.The result shows that the proved scheme can resist the malicious KGC attack,maintain efficiency of the original scheme and has higher security.Meanwhile,the communication complexity is reduced due to the elimination of the security channel.【总页数】3页(P2250-2252)【作者】王怡;杜伟章【作者单位】长沙理工大学计算机与通信工程学院,长沙410114;长沙理工大学计算机与通信工程学院,长沙410114【正文语种】中文【中图分类】TP309.7【相关文献】1.无双线性对的无证书签名方案的研究 [J], 刘高军;吴迪2.无双线性配对的无证书签名方案 [J], 王圣宝;刘文浩;谢琪3.无双线性对的无证书签名方案及其在配电网中的应用 [J], 刘帅;陈建华4.无双线性对的无证书签名方案的研究 [J], 刘高军吴迪5.安全高效的无双线性对的无证书签名方案 [J], 胡冰洁;周彦伟;杨波;张晶因版权原因,仅展示原文概要,查看原文内容请购买。
一个安全的无证书签密方案
c r y p t o s y s t e ms ,b u t a l s o s o l v e s t h e k e y e s c r o w p r o b l e ms i n i d e n t i t y - b a s e d c r y p t o s y s t e ms . T h i s p a p e r p r e s e n t e d a s e c u r e Ce  ̄i i f ・ c a t e l e s s s i g n c r y p t i o n s c h e me f r o m p a i in r g s b a s e d o n Z h a n g L e i e t a 1 . ’ S s i g n a t u r e s c h e me .A s e c u i r t y a n ly a s i s p r o v e s t h a t t h e p r o p o s e d s c h e me i s s e c u r e a g a i n s t e x i s t e n t i l a f o r g c y r o n a n a d a p t i v e l y c h o s e n me s s a g e a t t a c k u n d e r t h e a s s u mp t i o n o f DL a n d
( D L P ) ; c o m p u t a t i o n l a D i f i f e — H e l l m a n p r o b l e m
的一个重要工具 , 它提供 了保密性 、 不可 否认性 、 不可伪造性等
0 引言
1 9 7 6 年, D i f i e 等 人L 】 提 出了公 钥密 码体制 , 用 户公 钥 的
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
签密的最大优势就是将加密和认证结合 , 在一个逻辑步骤
密方案 , 但该 方案 运算量 非常 大 。2 0 1 1 年, 刘 文 浩等 人 提
出 了一个无双线性对的无证书签密方案 , 该方案计算复杂度较
里同时实现了信息 的机密性和不 可否认性 , 并且 与传 统的 “ 先 签名后加密” 方式 相 比较具有 更低 的通信 开 销 和更少 的计 算
d e r t h e s e c u r e c iቤተ መጻሕፍቲ ባይዱr c u ms t a n c e . Ke y wo r d s:c e r t i f i c a t e l e s s ;s i g n c r y p t i o n;s e c u r i t y ;r a n d o m o r a c l e mo d e l
夏 昂, 张龙军
( 武警 工程 大学 信 息工程 系, 西安 7 1 0 0 8 6 )
摘
要 :针 对现有 的无证 书签 密方 案存在 安全 性 不 高、 计 算效 率较 低 等诸 多不足 , 在S h a r m i l a签 密方 案的 基础
上, 设计 了一种新的无双线性对的无证书安全签密方案 , 并在随机预 言模型下证明 了方案具有机 密性和不可伪 造性。同时, 该方案不需要双线性对和指数运算, 并且在确保安全性的前提下, 仅比现有的最高效签密方案 多出
Ne w s e c u r e c e t i ic f a t e l e s s s i g n c r y p t i o n s c h e me wi t h o u t p a i r i n g
X I A A n g , Z H A N G L o n g — j u n
量。1 9 9 7年 , Z h e n g …首 次提 出 了签 密的思 想 , 并 给 出了相 关
低, 但该方案无法抵抗来 自内部人员 的攻击 , 存在 用户长期 密
钥泄露 的安全问题。从以上分析可以得 出 , 现有的无证书签密
的安全概念和第一个签密 的方案 。针对 C B P K C ( c e r t i i f c a t e —
Ab s t r a c t :T h e k n o w n e e r t i i f c a t e l e s s s i g n c r y p t i o n s c h e me s h a v e ma n y p r o b l e ms , f o r e x a mp l e ,l a c k o f s e c u r i t y,l o w c o mp u t a — t i o n a l c o s t a n d S O o n .T h i s p a p e r p r o p o s e d a n e w s e c u r e c e r t i i f c a t e l e s s s i g n c r y p t i o n s c h e me wi t h o u t p a i r i n g s , wh i c h w a s b a s e d
o n S h a r m i l a ’ S .A n d i t w a s p r o v a b l y s e c u r e i n t h e r a n d o m o r a c l e m o d e l ( R O M) .T h e p r o p o s e d s c h e me d i d n o u s e o f p a i r i n g a n d e x p o n e n t a t i o n .A n d c o mp a r e d w i t h t h e m o s t e f f i c i e n t s c h e m e , t h e p r o p o s e d o n e j u s t n e e d s 2 mo r e p o i n t m u l t i p l i c a t i o n s a n —
b a s e d p u b l i c k e y c r y p t o g r a p h y) 中证 书 管理 繁 琐 以及 I B — P K C
两 次点乘运 算 。
关键 词 :无证 书 ;签密 ;安全 性 ;随机预 言模 型
中图分类号:T P 3 9 3
文献标志码 : A
文章编号:1 0 0 1 — 3 6 9 5 ( 2 0 1 4 ) 0 2 — 0 5 3 2 — 0 4
d o i : 1 0 . 3 9 6 9 / j . i s s n . 1 0 0 1 . 3 6 9 5 . 2 0 1 4 . 0 2 . 0 5 0
( D e p t .o fI n f o r m a t i o n E n g i n e e r i n g ,E n g i n e e r i n g U n i v e r s i t y f o C A P F, X i ’ a n 7 1 0 0 8 6 ,C h i n a )
第3 1卷第 2期
2 0 1 4年 2 月
计 算 机 应 用 研 究
Ap p l i c a t i o n Re s e a r c h o f Co mp u t e r s
Vo 1 . 3 1 No . 2 F e b . 2 0 1 4
一
种 新 的 无双 线 性 对 的无 证 书 安全 签 密 方 案