CN105024994B - 无对运算的安全无证书混合签密方法 - Google Patents

Abstract

本发明公开了一种无对运算的安全无证书混合签密方法，用于解决现有无证书混合签密方法效率低的技术问题。技术方案是通过规定用户固定的密钥生成顺序，令KGC在生成部分密钥阶段受到用户部分公钥的限制，进而在签密者对明文进行签密阶段绑定用户部分公钥，保证能够抵抗公钥替换攻击；在用户完整私钥生成之前，利用一个与用户身份信息和部分公钥绑定的部分私钥验证等式，使得用户及时检测到积极不诚实KGC的非法行为，抵御恶意KGC攻击，提高系统的安全等级，并消除不必要的计算消耗；在签密解签密阶段，利用椭圆曲线上的标量乘运算替代昂贵耗时的双线性对运算，完成对消息的签密和解签密过程，提高了计算效率。

Description

无对运算的安全无证书混合签密方法

技术领域

本发明涉及一种无证书混合签密方法，特别是涉及一种无对运算的安全无证书混合签密方法。

背景技术

现有通信环境对密码算法的高效性、安全性和实用性要求越来越高。混合密码体制作为一种被广泛应用的密码算法，不但消除了公钥密码算法对明文空间的限制，而且具有计算速度快，密钥长度短等优点，因此将混合签密思想应用到无证书签密领域具有明显的优势。目前大多数采用改进基于身份的密码体制的方法构建无证书混合签密方案，并运用双线性对运算实现方案的签密解签密，致使计算效率低，构造复杂，这成为制约无证书签密技术发展的一个瓶颈。“如何在保证安全性的基础上，提高方案的计算效率”成为现有无证书混合签密体制面临的主要问题。

文献“Yin A,Liang H.Certificateless Hybrid Signcryption Scheme forSecure Communication of Wireless Sensor Networks.Wireless PersonalCommunications,2014:1-14.”根据无线传感器网络(WSN)的特殊结构，提出了一个适用于WSN安全通信的无证书混合签密方案。该方案基于无证书签密密钥封装/数据封装(Certificateless Signcryption Key Encapsulation Mechanism/Data EncapsulationMechanism,CLSC-KEM/DEM)模型设计，消除了公钥密码算法对明文空间的限制，并且不存在证书管理和密钥托管问题；主要利用双线性对运算构造签密和解签密过程，以提高方案的计算效率、缩短密文长度。文献设计的方案还存在几处缺陷：在KGC(Key GenerationCenter)生成部分密钥阶段，由于KGC知道系统主密钥及KGC生成部分密钥不受用户的限制，积极不诚实的KGC能够伪造出有效的部分密钥，不能及时检测KGC的非法行为，因此系统的安全等级低，容易受到恶意KGC攻击，存在安全隐患；在签密和解签密阶段分别应用了双线性对运算，一次双线性对运算的计算耗时至少相当于椭圆曲线上一次标量乘运算的20倍，其不利于高效签密方案的构造，对于带宽窄或资源受限的通信环境，计算效率仍然需要大幅度提高。

发明内容

为了克服现有无证书混合签密方法效率低的不足，本发明提供一种无对运算的安全无证书混合签密方法。该方法基于椭圆曲线密码体制和无证书签密密钥封装/数据封装模型设计，通过规定用户固定的密钥生成顺序，令KGC在生成部分密钥阶段受到用户部分公钥的限制，进而在签密者对明文进行签密阶段绑定用户部分公钥，保证能够抵抗公钥替换攻击；在用户完整私钥生成之前，利用一个与用户身份信息和部分公钥绑定的部分私钥验证等式，使得用户及时检测到积极不诚实KGC的非法行为，抵御恶意KGC攻击，提高系统的安全等级，并消除不必要的计算消耗；在签密解签密阶段，利用椭圆曲线上的标量乘运算替代昂贵耗时的双线性对运算，完成对消息的签密和解签密过程，提高了计算效率。

本发明解决其技术问题所采用的技术方案是：一种无对运算的安全无证书混合签密方法，其特点是采用以下步骤：

步骤一、密钥生成中心KGC选取安全参数k(k∈Z⁺)作为输入，执行如下步骤生成系统公开参数：

a)选定一个k-bit的素数q，并设定一个四元组{F_q,E/F_q,P,G_q}；其中，令P为循环群G_q的生成元，令E/F_q为有限域F_q上选择的一条椭圆曲线E，令G_q为一个加法循环群；

b)定义H₁:{0,1}^*×G_q×G_q→_RZ_q ^*，H₂:{0,1}^*×{0,1}ⁿ×G_q×G_q→_RZ_q ^*，H₃:Z_q ^*×G_q×G_q×G_q×G_q→{0,1}^L为抗碰撞的密码学单向不可逆哈希函数；其中，L为对称秘钥空间长度，n为明文长度；

c)KGC随机选取x₀∈_RZ_q ^*，设置系统主密钥msk＝x₀，并将其秘密保存，然后计算系统主公钥P_pub＝x₀P；

d)KGC选取一种安全的对称加密算法(Enc,Dec)，该算法满足可认证性和机密性，用于封装数据；

e)公布系统参数Params＝{F_q,E/F_q,P,G_q,H₁,H₂,H₃,P_pub,Enc,Dec,L}。

步骤二、用户秘密值设置。身份为ID_i(ID_i∈{0,1}^*)的用户i在系统公开参数Params后，随机选取秘密值x_i∈_RZ_q ^*作为自身长期私钥，计算对应的用户部分公钥P_i＝x_iP，然后将{ID_i,P_i}发送给KGC。

步骤三、部分密钥生成。KGC接收到用户发送的{ID_i,P_i}，以系统主密钥x₀、用户身份ID_i和公开参数Params为输入，按如下步骤生成用户的另一部分公私钥对：

a)随机选择r_i∈_RZ_q ^*，计算部分公钥R_i＝r_iP；

b)KGC通过计算等式d_i＝r_i+x₀H₁(ID_i,R_i,P_i)mod q将用户部分公钥和身份信息与部分私钥绑定，通过规定这样的执行顺序使KGC生成d_i的行为受到用户的限制，以抵抗公钥替换攻击，然后再将R_i和d_i通过安全信道发送给用户i；

用户i根据接收到的R_i和d_i，在生成自身完整公私钥对之前，通过验证等式(1)判断部分私钥的有效性：

d_iP＝R_i+H₁(ID_i,R_i,P_i)P_pub mod q (1)

由于EC-CDH问题的困难性，任何人都无法通过P_pub＝x₀P和R_i＝r_iP求解出x₀r_iP。因此，如果等式成立，用户继续执行步骤四；反之，用户要求KGC重新发送相应的R_i和d_i。

步骤四、用户密钥生成。身份为ID_i(ID_i∈{0,1}^*)的用户i在接收到KGC发送过来的有效(R_i,d_i)后，最终设置自己的私钥为SK_i＝(d_i,x_i)，公钥PK_i＝(P_i,R_i)。

步骤五、签密。发送者A以系统参数Params，自己的公私钥对{SK_A,PK_A}和接收者B的公钥PK_B为输入，按以下顺序对消息m进行签密：

a)随机选取u∈_RZ_q ^*，X∈_RG_q，计算中间变量U＝uP，Y＝uX；

b)分别计算以下几个中间变量：

Q＝Y+uP_B (2)

T_B＝H₁(ID_B,R_B,P_B)P_pub+R_B (3)

T＝uT_B mod q (4)

c)在加密消息中绑定发送者的部分公钥与身份信息

h＝H₂(m‖Y‖ID_A‖P_A) (5)

计算签名值：S＝(u+x_A)(d_A+h)^-1；

d)计算对称密钥

K＝H₃(U‖T‖x_AP_B‖Y‖h) (6)

e)调用对称加密算法以K为对称秘钥加密V＝Enc_K(m‖S)；

f)输出密文C＝(V,U,h,Q)。

步骤六、解签密。接收者B在接收到密文V和秘钥封装U、h、Q后，以系统参数Params，发送者A的公钥PK_A和公私钥对{SK_B,PK_B}为输入,按如下步骤对密文进行解密和验证：

a)分别根据式(2)、式(4)计算中间变量Y'＝Q-x_BU，T'＝d_BU；

b)根据式(6)恢复对称秘钥K'＝H₃(U‖T'‖x_BP_A‖Y'‖h)；

c)调用对称加密算法中的解密算法对密文V解密m'‖S'＝Dec_K'(V)；

d)根据式(5)计算h'＝H₂(m'‖Y'‖ID_A‖P_A)，判断等式h＝h'是否成立；如果等式成立，则密文有效，m'＝m，并输出明文消息m；反之，输出“⊥”，表示密文无效。

本发明的有益效果是：该方法基于椭圆曲线密码体制和无证书签密密钥封装/数据封装模型设计，通过规定用户固定的密钥生成顺序，令KGC在生成部分密钥阶段受到用户部分公钥的限制，进而在签密者对明文进行签密阶段绑定用户部分公钥，保证能够抵抗公钥替换攻击；在用户完整私钥生成之前，利用一个与用户身份信息和部分公钥绑定的部分私钥验证等式，使得用户及时检测到积极不诚实KGC的非法行为，抵御恶意KGC攻击，提高系统的安全等级，并消除不必要的计算消耗；在签密解签密阶段，利用椭圆曲线上的标量乘运算替代昂贵耗时的双线性对运算，完成对消息的签密和解签密过程。本发明基于EC-DLP和EC-CDH困难问题，在满足保密性、不可伪造性、前向安全性、后向安全性和不可否认性这几种安全属性的基础上，具有高效的签密/解签密计算效率和低通信开销。同时，本发明将用户部分公钥与KGC生成的部分私钥绑定，及时检测到KGC替换公钥的非法行为；此外，积极不诚实的KGC不能伪造出同时满足私钥验证等式与密文有效性验证的密文，因此，有效解决了公钥替换攻击和恶意KGC攻击这两类主要的安全缺陷，提高了系统的安全等级。本发明基于椭圆曲线密码设计，使用椭圆曲线上的标量乘运算替换双线性对运算，提高了计算速度及缩短了密钥、密文长度，适用于带宽窄和资源受限的通信环境。本发明用于数据封装的对称秘钥K与发送者的秘密值、接收者的公钥信息绑定，具有健壮的前向安全性，并且可以抵抗消息重放攻击、伪造攻击、猜测和窃取攻击。

下面结合附图和具体实施方式对本发明作详细说明。

附图说明

图1是本发明无对运算的安全无证书混合签密方法的流程图。

具体实施方式

名词解释。

KGC：密钥生成中心；

Setup:系统建立；

Set-SV:秘密值设置；

PPK-Gen:部分密钥生成；

UK-Gen:用户密钥生成；

Signcrypt:签密；

Unsigncrypt:解签密；

k：系统安全参数；

Z⁺：正整数群；

q：一个k比特的素数；

F_q：包含q个元素的有限域；

E/F_q：在有限域F_q上选择的一条椭圆曲线E；

G_q：加法循环群；

Z_q ^*：模为q的整数乘法群；

P：加法循环群G_q的生成元；

x₀：KGC选取的随机数；

msk：系统主密钥；

L：正整数，表示对称密钥空间长度；

n：正整数，表示明文长度；

P_pub：系统主公钥；

H₁：单向散列函数，表示将任意长度的二进制字符串与加法循环群上的字符串计算成模为q的整数乘法群上固定长度的散列值；

H₂：单向散列函数，表示将长度为n的二进制字符串,任意长度的二进制字符串与阶为q加法循环群上的字符串计算成模为q的整数乘法群上固定长度的散列值；

H₃：单向散列函数，表示将整数乘法群上的字符串与阶为q加法循环群上的字符串计算成密钥空间长度为L的二进制字符串；

Enc：安全可认证的数据封装加密算法；

Dec：安全可认证的数据封装解密算法；

Params：系统公开参数；

^*：表示任意长度；

mod：求余操作符；

||：链接操作符；

ID_i：表示用户身份，其中i取字符A或B；

x_i：用户在整数乘法群中随机选取的秘密值，作为用户部分长期私钥；

d_i：由KGC计算的部分私钥；

SK_i：表示用户的私钥，其中SK_i＝(d_i,x_i)；

P_i：用户部分公钥；

r_i：KGC在整数乘法群中选取的随机数；

R_i：KGC计算的部分公钥；

PK_i：表示用户的公钥，其中PK_i＝(R_i,P_i)；

m：待签密的明文消息；

X：签密者在加法循环群随机选取的一个点；

Y:与密钥封装相关的参数值，用来隐藏随机选择的点X；

u：签密者在整数乘法群选取的随机数；

U：密钥封装的一部分，用来隐藏随机数u；

T_B：与T相关的一个参数值；

Q：密钥封装的一部分；

T：与对称密钥K相关的参数值；

h：密钥封装的一部分；

S：与对称加密消息相关的部分参数值，实现对消息的签名功能；

K：对称密钥，用来加密消息；

V：用对称密钥K加密后的消息；

C：密文；

T'：计算出来的与对称密钥相关的参数值；

Y'：计算出来的与对称密钥相关的参数值；

K'：利用密文计算出来的对称密钥；

m'：解密得到的明文消息；

S'：解密得到的签名值；

h'：计算出来的一个哈希值，用来验证密文的有效性；

⊥：表示无效的符号；

∈：表示在一个集合中选取的符号；

∈R：表示在一个集合中任意选取的符号。

下面结合图1详细描述本发明无对运算的安全无证书混合签密方法的具体步骤：

本实例针对于WSN的通信环境。无线传感器网络WSN的硬件资源十分有限，并且通常工作在资源受限的环境中，此无对运算的无证书混合签密方法适用于此类通信。有三类通信参与者：密钥生成中心KGC，发送者A和接收者B。主要有以下步骤：

步骤一：系统建立。KGC选择安全参数k(k∈Z⁺)，通过执行如下步骤建立系统公开参数：

a)设一个四元组{F_q,E/F_q,P,G_q}，其中P为循环群G_q的生成元；E＝y² mod q＝(x³+ax+b)mod q为有限域F_q上选择的一条椭圆曲线，a,b,x,y∈F_q,其中q＝2¹⁵⁹+2¹⁷+1为一个160-bit的素数(能达到与1024-bit RSA等同的安全级别)；

b)定义H₁:{0,1}^*×G_q×G_q→_RZ_q ^*，H₂:{0,1}^*×{0,1}ⁿ×G_q×G_q→_RZ_q ^*，H₃:Z_q ^*×G_q×G_q×G_q×G_q→{0,1}^L为抗碰撞的密码学单向不可逆哈希函数，其中L为对称秘钥空间长度，n为明文长度。本实例的哈希函数采用MD5；

c)KGC随机选取x₀∈_RZ_q ^*，设置系统主密钥msk＝x₀，并将其秘密保存，然后计算系统主公钥P_pub＝x₀P；

d)选取一种对称加密算法(Enc,Dec)，本实例选取AES算法作为封装数据的对称加密算法；

e)公布系统参数Params＝{F_q,E/F_q,P,G_q,H₁,H₂,H₃,P_pub,Enc,Dec,L}。

步骤二：用户秘密值设置。身份信息为ID_i(ID_i∈{0,1}^*)的用户i设置秘密值，并计算用户部分公钥。令身份为ID_A的用户为发送者，身份为ID_B的用户为接收者，以发送者A为例，在公布系统参数Params后，用户A首先随机选取x_A∈_RZ_q ^*作为自己的长期私钥，然后计算相应的用户部分公钥P_A＝x_AP，最后将{ID_A,P_A}发送给KGC(B的秘密值类似可以设置为x_B，相应的用户部分公钥为P_B＝x_BP)。

步骤三：部分密钥生成。KGC在接收到用户发送的{ID_i,P_i}后，以系统主密钥x₀、用户身份ID_i和公开参数Params为输入，按如下步骤生成部分公私钥对(以生成用户A的部分私钥d_A举例)：

a)随机选择r_A∈_RZ_q ^*，计算部分公钥R_A＝r_AP；

b)KGC在获得用户部分公钥P_A和身份信息ID_A后，首先计算等d_A＝r_A+x₀H₁(ID_A,R_A,P_A)mod q得到部分私钥。通过安全信道将R_A和d_A发送给用户A；

用户A接收到R_A和d_A后，通过验证等式是否成立来判断KGC发送过来的部分私钥d_A是否有效

d_AP＝R_A+H₁(ID_A,R_A,P_A)P_pub mod q (7)

由于EC-CDH问题的困难性，任何人都无法通过P_pub＝x₀P和R_A＝r_AP求解出x₀r_AP。因此，如果等式有效，用户A继续执行第四步；否则，用户A要求KGC重新发送相应的R_A和d_A，然后继续根据等式验证部分私钥的有效性。

步骤四：用户密钥生成。身份为ID_i(ID_i∈{0,1}^*)的用户在接收到KGC发送过来的有效(R_i,d_i)后，最终设置自己的私钥为SK_i＝(x_i,d_i)，公钥为PK_i＝(R_i,P_i)；则发送者A和接收者B的公私钥对分别为{SK_A＝(x_A,d_A),PK_A＝(R_A,P_A)}，{SK_B＝(x_B,d_B),PK_B＝(R_B,P_B)}。

步骤五：签密。发送者A以系统参数Params，自己的公私钥对{SK_A,PK_A}和接收者B的公钥PK_B为输入，按以下顺序对消息m进行签密：

a)随机选取u∈_RZ_q ^*，X∈_RG_q，计算中间变量U＝uP，Y＝uX；

b)分别计算以下几个中间变量

Q＝Y+uP_B (8)

T_B＝H₁(ID_B,R_B,P_B)P_pub+R_B (9)

T＝uT_B mod q (10)

c)在加密消息中绑定发送者部分公钥与身份信息

h＝H₂(m‖Y‖ID_A‖P_A) (11)

计算签名值：S＝(u+x_A)(d_A+h)^-1；

d)计算对称密钥

K＝H₃(U‖T‖x_AP_B‖Y‖h) (12)

e)调用对称加密算法以K为对称秘钥加密V＝Enc_K(m‖S)；

f)输出密文C＝(V,U,h,Q)。

步骤六：解签密。接收者B在接收到密文V和秘钥封装U、h、Q后，以系统参数Params，发送者A的公钥PK_A和公私钥对{SK_B,PK_B}为输入,按如下步骤对密文进行解密和验证：

a)分别根据式(2)、式(4)计算中间变量Y'＝Q-x_BU，T'＝d_BU；

b)根据式(6)恢复对称秘钥K'＝H₃(U‖T'‖x_BP_A‖Y'‖h)；

c)调用对称加密算法中的解密算法对密文V解密m'‖S'＝Dec_K'(V)；

根据式(5)计算h'＝H₂(m'‖Y'‖ID_A‖P_A)；判断式h＝h'是否成立，如果成立，则密文有效，m'＝m，并输出明文消息m；反之，输出“⊥”，表示密文无效。

Claims (1)

1.一种无对运算的安全无证书混合签密方法，其特征在于包括以下步骤：

步骤一、密钥生成中心KGC选取安全参数k(k∈Z⁺)作为输入，执行如下步骤生成系统公开参数，其中，Z⁺表示正整数群：

a)选定一个k-bit的素数q，并设定一个四元组{F_q,E/F_q,P,G_q}；其中，令P为循环群G_q的生成元，令E/F_q为有限域F_q上选择的一条椭圆曲线E，令G_q为一个加法循环群；

b)定义H₁:{0,1}^*×G_q×G_q→∈_RZ_q ^*，H₂:{0,1}^*×{0,1}ⁿ×G_q×G_q→∈_RZ_q ^*，H₃:Z_q ^*×G_q×G_q×G_q×G_q→{0,1}^L为抗碰撞的密码学单向不可逆哈希函数；其中，L为对称秘钥空间长度，n为明文长度；

c)KGC随机选取x₀∈_RZ_q ^*，设置系统主密钥msk＝x₀，并将其秘密保存，然后计算系统主公钥P_pub＝x₀P；

d)KGC选取一种安全的对称加密算法(Enc,Dec)，该算法满足可认证性和机密性，用于封装数据，其中，Enc表示安全可认证的数据封装加密算法，Dec表示安全可认证的数据封装解密算法；

e)公布公开参数Params＝{F_q,E/F_q,P,G_q,H₁,H₂,H₃,P_pub,Enc,Dec,L}；

步骤二、用户秘密值设置；身份为ID_i(ID_i∈{0,1}^*)的用户i在系统公开参数Params后，随机选取秘密值x_i∈_RZ_q ^*作为自身长期私钥，计算对应的用户部分公钥P_i＝x_iP，然后将{ID_i,P_i}发送给KGC；

步骤三、部分密钥生成；KGC接收到用户发送的{ID_i,P_i}，以系统主密钥x₀、用户身份ID_i和公开参数Params为输入，按如下步骤生成用户的另一部分公私钥对：

a)随机选择r_i∈_RZ_q ^*，计算部分公钥R_i＝r_iP；

b)KGC通过计算等式d_i＝r_i+x₀H₁(ID_i,R_i,P_i)mod q将用户部分公钥和身份信息与部分私钥绑定，通过规定这样的执行顺序使KGC生成d_i的行为受到用户的限制，以抵抗公钥替换攻击，然后再将R_i和d_i通过安全信道发送给用户i；

用户i根据接收到的R_i和d_i，在生成自身完整公私钥对之前，通过验证等式(1)判断部分私钥的有效性：

d_iP＝R_i+H₁(ID_i,R_i,P_i)P_pub mod q (1)

由于EC-CDH问题的困难性，任何人都无法通过P_pub＝x₀P和R_i＝r_iP求解出x₀r_iP；因此，如果等式成立，用户继续执行步骤四；反之，用户要求KGC重新发送相应的R_i和d_i；

步骤四、用户密钥生成；身份为ID_i(ID_i∈{0,1}^*)的用户i在接收到KGC发送过来的有效(R_i,d_i)后，最终设置自己的私钥为SK_i＝(d_i,x_i)，公钥PK_i＝(P_i,R_i)；

步骤五、签密；发送者A以公开参数Params，自己的公私钥对{SK_A,PK_A}和接收者B的公钥PK_B为输入，按以下顺序对消息m进行签密：

a)随机选取u∈_RZ_q ^*，X∈_RG_q，其中，G_q表示加法循环群；计算中间变量U＝uP，Y＝uX；

b)分别计算以下几个中间变量：

Q＝Y+uP_B (2)

T_B＝H₁(ID_B,R_B,P_B)P_pub+R_B (3)

T＝uT_B mod q (4)

c)在加密消息中绑定发送者的部分公钥与身份信息

h＝H₂(m‖Y‖ID_A‖P_A) (5)

其中，m表示待签密的明文消息；计算签名值：S＝(u+x_A)(d_A+h)^-1；

d)计算对称密钥

K＝H₃(U‖T‖x_AP_B‖Y‖h) (6)

e)调用对称加密算法以K为对称秘钥加密V＝Enc_K(m‖S)；

f)输出密文C＝(V,U,h,Q)；

步骤六、解签密；接收者B在接收到密文V和秘钥封装U、h、Q后，以公开参数Params，发送者A的公钥PK_A和公私钥对{SK_B,PK_B}为输入,按如下步骤对密文进行解密和验证：

a)分别根据式(2)、式(4)计算中间变量Y'＝Q-x_BU，T'＝d_BU；

b)根据式(6)恢复对称秘钥K'＝H₃(U‖T'‖x_BP_A‖Y'‖h)；

c)调用对称加密算法中的解密算法对密文V解密m'‖S'＝Dec_K'(V)；

d)根据式(5)计算h'＝H₂(m'‖Y'‖ID_A‖P_A)，判断等式h＝h'是否成立；如果等式成立，则密文有效，m'＝m，并输出明文消息m；反之，输出“⊥”，表示密文无效；其中，m'表示解密得到的明文消息；S'表示解密得到的签名值。