異構密碼系統中無對的混合部分盲簽密方案

◆楊喜艷

（塔里木大學信息工程學院 新疆 843300）

隨著網絡技術的發展，伴隨著信息輸入，數據傳輸，網絡資源共享等通信安全問題的產生，人們越來越注重信息數據的機密性和認證性。能保證密文的認證性和機密性的最為有效的措施為數字簽密[1-2]。目前，簽密方案多使用公鑰加密技術和對稱加密技術，但兩種技術分別在加密速度和安全性方面有局限。因此，實際通信時，多采用混合加密[3-4]或者混合簽密[5-10]的方法?；旌霞用馨€加密的密鑰封裝機制（key encapsulation mechanism，KEM）及對稱密鑰加密的數據封裝機制（data encapsulation mechanism，DEM）。2009 年，混合加密技術被Li，Shirase 和Takagi[11]用于構建基于身份簽密方案中，同時，還根據BLMQ 方案[12]構建了基于身份簽密KEM 實例。2013 年，Li，Shirase 和Takagi[13]將簽密TKEM 用于無證書領域，展示了無證書簽密方案中可運用混合加密技術。為了證明構造的合理性，他們還根據BF 方案[14]構造出了一個無證書簽密TKEM。此后，諸多學者對基于身份的混合簽密[15-17]和無證書混合簽密[18-21]進行了研究。

但是，在上述的混合簽密方案中，用戶是處于同一個密碼體制中的。隨著大數據和云計算的發展，跨平臺的應用和操作越來越普遍。因此，適用于在不同密碼體制間通信的異構密碼系統就需要被考慮。近年來，許多學者研究了異構簽密[22-27]。

在上述異構簽密方案和混合簽密方案中，簽名人在對明文簽名時是已知明文內容的。但在某些特殊的應用環境中，消息內容對于簽名人需要具有盲性。在1982 年，盲簽名被Chaum 首次提出。由此以后，諸多學者研究了盲簽名[28-33]，一些學者還將盲簽名擴展到了盲簽密，提出了許多盲簽密方案[34-38]。但現在可查閱的盲簽密方案中通信雙方采用同樣的密碼體制，這是不現實的。因此，本文構建的方案生成系統主密鑰方式靈活，為用戶提供了更多可能性。同時，本文方案采用混合簽密技術，能夠加密任意大消息，另外本文方案是部分盲簽密，不僅滿足所有盲簽密的特性，而且選擇部分明文消息進行盲簽名，更加有利于實現消息擁有者的隱私保護。并在ROM 下，驗證本文方案基于CDH 問題及DL 問題的保密、不可偽造、盲、不可追蹤等特性。通過理論分析和數值實驗分析，本文方案的計算效率明顯更高，通信成本明顯更低，所以本文方案具有更高的可行性。

1 基礎知識

1.1 困難性假設

定義 1.計算Diffie-Hellman（Computation Diffie-Hellman，CDH）問題，已知 (P,aP,bP)∈G1，對任意未知的a,b∈，計算abP∈G1。

定義 2.離散對數（Discrete Logarithm，DL）問題，已知(P,aP)∈G1，計算a∈。

1.2 安全模型

在基于異構密碼系統無雙線性對的混合部分盲簽密方案中，主要考慮兩種攻擊者A1,A2：A1對s2是未知的，但能更換用戶公鑰；A2對s2已知，但不可替換用戶公鑰。因此，A1,A2分別應具有在選取密文攻擊下的不可區分和明文攻擊下的不可偽造。

2 具體方案

系統建立算法.設G1,G2均為階是q的循環群，P為G1的生成元。選擇三個hash 函數：H3:{0,1}*→G1。(E,D)為對稱加密技術中的加密及解密算法。s1,s2為系統主密鑰，PKG 保密s1，并計算，KGC 保密s2，并計算P2=s2P。系統參數為:params={G1,G2,q,P,n,E,D,H1,H2,H3}。

IBC 密鑰提取算法.寫入用戶身份IDA，PKG 產生用戶私鑰SA=s1QA，其中QA=H1(IDA)。

CLC 密鑰提取算法.該算法分為以下三步：

（1）輸入用戶身份IDB，KGC 計算用戶部分私鑰DB=s2QB，其中QB=H1(IDB)，最后通過安全方式發給用戶；

（2）用戶隨機選擇xB∈；

（3）用戶計算公鑰PB=x BP和完整私鑰SB=x B DB。

部分盲簽密.M是消息擁有者，A是部分盲簽名者，c*是公共信息，m是待簽密的消息，部分盲簽密算法如下：

（1）A隨機選擇r∈，計算R1=rQA，R2=rP，并將 (R1,R2)發送給M；

（2）M隨機選擇a∈，計算U1=aR1，U2=aR2，U3=a-1QA，h=H2(m,c*,U1,U2)，并將h發送給A；

（3）A計算h*=H2(h,c*,IDA,IDB)，S=(r+h*)SA，并將S發送給M；

（4 ）M計 算S*=a-1S，K=H3(P2QB,P2QB PB)，c=DEM.Enc(K,m)；

（5）M輸出密文σ= (c,S*,U1,U2,U3,R1,R2)。

解簽密.檢驗等式P1S*=(R2+Ph*)U3是否成立。若不成立，輸出⊥，否則，解簽密算法如下：

（1）B計算K=H3(DBP,S BP2)；

（2）B計算m=DEM.Dec(K,c)；

（3）B輸出m。

3 安全性分析

3.1 正確性

3.2 機密性

假設除了消息擁有者M和接收者B之外的任意第三方（假設是部分盲簽名者A）能夠從密文c中恢復出消息m。因為在部分盲簽密階段，M給A的是關于m的hash值，A只能通過密文c恢復出m，所以A必須通過計算對稱密鑰K恢復m。但是A僅僅知道(SA,R1,R2,r,h,S,h*)，而不知道B的秘密值xB，因此A通過K不可能恢復出m，因為A需要解決離散對數困難問題。由此可見，除了M和B外，其他用戶不可能知道m。

3.3 不可偽造性

在本文方案中，即使A擁有r和SA，A需解決的困難問題是單向散列函數，所以通過h=H2(m,c*,U1,U2)不能恢復m，且A無法得知M選擇的a，因此A不可偽造部分盲簽密。

如果B稱 (c,S*,U1,U2,U3,R1,R2)是來自M的密文，B想要通過S*=a-1S和S=(r+h*)SA恢復出a和r，并偽造 (U1,U2,U3,R1,R2)，即使B在信道上獲取SA和h，但是B不知道公共信息*c，B需解決的是離散對數困難問題和單向散列函數困難問題，所以B不能通過S*=a-1S和S=(r+h*)S A恢復出a和r。因此B不可偽造部分盲簽密。

如果M想要偽造一個合法的部分盲簽密，首先，M不知道A的私鑰SA，其次，M無法得知r，即使M在信道上獲取SA，M需解決的是離散對數困難問題，所以M不可通過R1=rQA，R2=rP恢復出r。因此M不可偽造部分盲簽密。

如果除M,,A B外的其他人想偽造合法的部分盲簽密，即使他在公開信道上截獲 (S A,DB,R1,R2,h,S,U1,U2,U3,c,S*)，但他對(s1,s2,x B,S B,r,a)是未知的，因此他不能偽造部分盲簽密。

3.4 盲性

盲性指的是部分盲簽名者在簽密過程中對消息是不可見的。在部分盲簽密算法中，M隨機選擇a∈，計算U1=aR1，U2=aR2，U3=a-1QA，h=H2(m,c*,U1,U2)，并將h發送給A。顯而易見，A不知道需要簽名的消息內容。

3.5 不可追蹤性

不可追蹤性指的是部分盲簽名者不能通過需要簽名的內容追蹤到密文。如果B公開部分盲簽密的密文(c,S*,U1,U2,U3,R1,R2)，即使A保留原始的簽密數據 (R1,R2,h,h*,S)，但是A不能通過密文消息獲得數據 (U1,U2,U3,S*,c,K)。因此，方案滿足不可追蹤性。

4 效率分析

本節通過理論和數值實驗對效率進行分析。首先，進行理論分析。文獻[34]、[35]、[36]均為盲簽密方案，本節將對文獻[34]、[35]、[36]及該文提出的方案的效率進行比較，主要比較對運算（P），指數運算（EP），點乘運算（MP），異或運算（OP）。由表1 可知，在簽密階段，文獻[34]的方案比本文方案多7 個EP，2 個MP，2 個OP，文獻[35]的方案比本文方案多1 個P，4 個EP，1 個OP，但是本文方案比文獻[35]的方案多4 個MP。文獻[36]的方案比本文方案多1 個P，1 個EP，但是本文方案比文獻[36]的方案多1 個MP。在解簽密階段，文獻[34]的方案比本文方案多6 個EP和2 個OP，文獻[35]的方案比本文方案多3 個P，1 個OP，但是本文方案比文獻[35]的方案多5 個MP。文獻[36]的方案比本文方案多3 個P，但是本文方案比文獻[36]的方案多6 個MP。由此可見，本文方案的計算效率明顯比文獻[34]、[35]、[36]更高。

表1 計算效率

其次，進行數值實驗分析，采用C 語言的PBC 庫對本文方案仿真模擬。在模擬過程中，群G1,G2的取1024bit，參數為a型橢圓曲線y2=x3+xmodq，通信者身份及消息取160bit 隨機值。模擬環境配置如表2 所示。

表2 環境配置

為比較計算效率，對文獻[36]的方案做相同仿真。仿真結果取60次的平均值，如圖1 所示。因文獻[34]、[35]明顯比文獻[36]和本文方案的計算效率高，因此無需對文獻[34]、[35]做仿真。

由圖1 可以清楚看出本文方案的計算效率明顯比文獻[36]更高，因此本文方案的可行性更高。

圖1 計算效率

5 結論

在本文方案中，在不同密碼體制中生成系統主密鑰方式靈活，而且本文是部分盲簽密，滿足所有盲簽密的特征。另外，對于任意大消息的簽密，本文采用混合簽密完成。同時，在ROM 下，本文方案有機密、不可偽造、盲、不可追蹤等特性。經理論分析和數值實驗顯示本文方案更適用于實際環境。