CN113300856A - 一种可证安全的异构混合签密方法 - Google Patents

Abstract

本发明提供一种可证安全的异构混合签密方法，涉及密钥安全技术领域。本发明使用安全参数生成系统主密钥和公共系统参数，在CLPKC系统中，利用用户身份信息和哈希函数生成用户部分私钥，由用户选取秘密值，生成完整的私钥和公钥。在TPKC系统中，用户选取随机数作为私钥，利用该私钥生成用户公钥并向证书颁发机构CA进行认证。在混合签密阶段，使用对称密钥对明文信息进行加密并将发送者的身份信息融入其中，隐藏了用户的身份，有效的保护了用户的隐私。在解签密阶段，计算对称密钥进行解密，同时验证发送者的身份，验证通过则接收该消息，否则拒绝该消息。

Description

一种可证安全的异构混合签密方法

技术领域

本发明涉及密钥安全技术领域，尤其涉及一种可证安全的异构混合签密方法。

背景技术

签密是指能够在1个步骤内同时完成加密和签名，并实现信息的机密性和签名的不可否认性，其计算量和通信开销都低于传统“先签名后加密”的方式.1997年，ZhengY.Digital signcryption or how to achieve cost(signature&e-ncryption)cost(signature)+cost(encryption)[J].Lecture Notes in Co-mputer Science,1997,1294:165-179提出了签密的概念，并给出第1个签密方案，与传统“先签名后加密”的方式相比，签密的计算时间和通信开销分别减少了50％和85％.使得签密成为了密码学的研究热点，从此众多学者对签密展开研究，先后提出了基于证书的签密、基于身份的签密、无证书签密、异构签密、混合签密等有特殊属性的方案.2005年，DENT AW.Hybrid SigncryptionSchemes with Outsider Security[C]//LNCS.8th International Conference onInformation Security,October 1,2005,Heidelberg,Grmany.Berlin:Springer,2005:203-217,DENT AW.Hybrid Signcryption Schemes with Insider Security[C]//LNCS.8th International Conference on Information Security,October 1,2005,Heidelberg,Germany.Berlin:Springer,2005:253-266介绍了混合签密的概念，一个混合签密方案中，非对称的签密KEM在发送者私钥和接收者公钥的共同作用下生成对称密钥和对称密钥封装，对称的DEM则利用对称密钥和加密算法加密任意长度的消息。

随着对混合签密研究的深入，许多开创性的混合签密方案被提出。2013年，何龙,彭新光.基于双线性对签密的安全高效远程证明协议[J].计算机应用,2013,33(10):2854-2857等提出基于双线性对签密的安全高效远程证明协议，该方案采用椭圆曲线上基于双线性映射的混合签密方案，实验证明，该方案的具有较高的安全性和效率。但在2016年，周才学.几个签密方案的密码学分析与改进[J].计算机工程与科学,2016,38(11):2246-2253等的几个签密方案的密码学分析和改进中，对何的方案进行分析发现其方案具有安全漏洞。俞惠芳,杨波.可证安全的无证书混合签密[J].计算机学报,2015,38(4):804-813以及周彦伟,杨波,王青龙.可证安全的抗泄露无证书混合签密机制[J].软件学报,2016,27(11):2898-2911分别提出了较为可行的同一密码环境下的混合签密方案，但是，仅考虑同一种密码环境的情况，无法适应复杂的应用环境。

为了保证异构密码环境之间数据的机密性和不可伪造性，SUN Yinxia and LIHui.Efficient Signcryption between TPKC and IDPKC and Its Multi-receiverConstruction[J].Science China Information Sciences,2010,53(3):557-566提出异构签密的概念，并设计了一种传统公钥密码环境TPKC(Traditional Public KeyCryptographic，TPKC)与身份基公钥密码环境IDPKC(Identity-based Public KeyCryptographic，IDPKC)间的异构签密方案。2017年，牛淑芬,牛灵,王彩芬,杜小妮.一种可证安全的异构聚合签密方案[J].电子与信息报,2017,39(05):1213-1218等提出了一种可证安全的异构聚合签密方案，在随机预言模型下，证明了方案的机密性和不可伪造性。2018年，张玉磊,刘祥震,郎晓丽,陈文娟,王彩芬.新的具有隐私保护功能的异构聚合签密方案[J].电子与信息学报,2018,40(12):3007-3012等提出新的具有隐私保护功能的异构聚合签密方案，该方案分析该文分析了一个具有隐私保护功能的异构聚合签密NIU Shufen,LIZhenbin,and WANG Caifen.Privacy-Preserving Multi-party Aggregate Signcryptionfor Heterogeneous Systems[C].International Conference onCloud Computing andSecurity,Nanjing,China,2017:216–229.doi:10.1007/978-3-319-68542-7_18的安全性，克服了原方案存在的安全性问题，实现了无证书密码环境到身份密码环境之间的数据安全传输，在随机预言机模型下证明新方案的安全性。

发明内容

为解决上述技术问题，本发明提出一种可证安全的异构混合签密方法，提出的是一个从CLPKC到TPKC的异构系统的混合签密方法，能够处理任意长度的消息，实现异构密码环境间的通信。基于离散对数难题，证明了该方案具有机密性和不可伪造性，在混合签密阶段使用了椭圆曲线上的双线性映射运算，具有较高的安全性。

一种可证安全的异构混合签密方法，包括以下步骤：

步骤1：对异构密码系统进行系统初始化：密钥生成中心(KGC)和证书颁发机构(CA)设安全参数为k，大素数p、q，且满足q|p-1。定义G₁为加法循环群且生成元为P，G₂为乘法循环群，群G₁和G₂的阶均为q，双线性映射e:G₁×G₁→G₂，在对称加密体制中，(E,D)为加解密算法，其中E为对称加密算法，D为对称解密算法，定义2个安全的哈希函数H₁:{0,1}^*→G₁，H₂:{0,1}^*×{0,1}ⁿ×G₂→G₁，n代表对称密钥的长度，KGC选取

为系统主密钥并计算系统公钥P_pub＝sP，公开系统参数parameters＝{G₁,G₂,e,P,q,E,D,P_pub,H₁,H₂}并保存主密钥s，其中Z_q ^*为阶为q的整数乘法群；

步骤2：CLPKCKeyGen无证书公钥密码体制中用户密钥生成；

步骤2.1：对部分私钥进行提取：无证书密码体制中的发送者提交自己的身份信息ID_A，并进行KGC计算Q_A＝H₁(ID_A)，并输出部分私钥D_A＝sQ_A给发送者；Q_A为ID_A的哈希函数H₁的值；

步骤2.2：生成用户密钥：发送者输入parameters，随机选择

作为秘密值，并设置公钥PK_A＝x_AP，验证D_AP＝Q_AP_pub是否成立；若成立，证明KGC发送的部分私钥未被篡改，则生成私钥对SK_A＝(x_A,D_A)，否则，生成私钥对失败；其中D_A为发送者的部分私钥；

步骤3：TPKCKeyGen传统公钥密码体制中用户密钥生成：公钥密码体制中的接收者随机选择

作为私钥，并计算公钥PK_B＝x_BP，并向CA提出证书申请，CA向接收者颁发证书。

步骤4：Signcryption签密；发送者将明文消息m利用混合签密，将签密文σ发送给接收者；

步骤4.1：随机选择Z_q ^*中

计算安全参数R＝rQ_A和验证参数T＝e(P_pub,R)；

步骤4.2：计算对称密钥K＝e(D_A,PK_B)^r，计算密文c＝E(K,m)；

步骤4.3：计算验证参数h＝H₂(T,ID_B,c)，得到签名U＝rD_A-x_Ah；

步骤4.4：将签密文σ＝(h,c,U,R)发送给接收者。

步骤5：UNSigncryption解签密；接收者对收到的签密文σ＝(h,c,U,R)进行解签密；

计算与T相互对应的验证参数T'＝e(P,U)e(h,PK_A)，验证等式h＝H₂(T',ID_B,c)是否成立，若成立，则计算对称密钥K'＝e(PK_B,U)e(x_Bh,PK_A)，恢复明文消息m＝D(c,K')，否则返回错误符号⊥，其中D()为对称解密算法。

本发明所产生的有益效果在于：

本技术方案提供了一种可证安全的异构混合签密方法，基于椭圆曲线上双线性映射的签密方法提高了其安全性，同时签名和加密同步完成提高了本文方案的效率。为了实现签密算法的机密性和不可伪造性，该方案在加密过程中添加了发送者的身份信息，在签名过程中添加了接收者的身份信息。同时方案具有正确性和可公开验证性，是一个安全高效的具备可行性的方案。

附图说明

图1为本发明方法整体流程图；

图2为本发明方法初始化流程图；

图3为本发明方法签密流程图；

图4为本发明实施例中混合签密示意图；

图5为本发明实施例中数据封装机制示意图；

图6为本发明实施例中异构密码体制示意图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

一种可证安全的异构混合签密方法，如图1所示，包括以下步骤：

步骤1：对异构密码系统进行系统初始化，如图2所示：密钥生成中心(KGC)和证书颁发机构(CA)设安全参数为k，大素数p、q，且满足q|p-1。定义G₁为加法循环群且生成元为P，G₂为乘法循环群，群G₁和G₂的阶均为q，双线性映射e:G₁×G₁→G₂，在对称加密体制中，(E,D)为加解密算法，其中E为对称加密算法，D为对称解密算法，定义2个安全的哈希函数H₁:{0,1}^*→G₁，H₂:{0,1}^*×{0,1}ⁿ×G₂→G₁，n代表对称密钥的长度，KGC选取

为系统主密钥并计算系统公钥P_pub＝sP，公开系统参数parameters＝{G₁,G₂,e,P,q,E,D,P_pub,H₁,H₂}并保存主密钥s，其中Z_q ^*为阶为q的整数乘法群；

步骤2：CLPKCKeyGen无证书公钥密码体制中用户密钥生成；

步骤2.1：对部分私钥进行提取：无证书密码体制中的发送者提交自己的身份信息ID_A，并进行KGC计算Q_A＝H₁(ID_A)，并输出部分私钥D_A＝sQ_A给发送者；Q_A为ID_A的哈希函数H₁的值；

步骤2.2：生成用户密钥：发送者输入parameters，随机选择

作为秘密值，并设置公钥PK_A＝x_AP，验证D_AP＝Q_AP_pub是否成立；若成立，证明KGC发送的部分私钥未被篡改，则生成私钥对SK_A＝(x_A,D_A)，否则，生成私钥对失败；其中D_A为发送者的部分私钥；

步骤3：TPKCKeyGen传统公钥密码体制中用户密钥生成：公钥密码体制中的接收者随机选择

作为私钥，并计算公钥PK_B＝x_BP，并向CA提出证书申请，CA向接收者颁发证书。

步骤4：Signcryption签密，如图3所示；发送者将明文消息m利用混合签密，将签密文σ发送给接收者；

步骤4.1：随机选择Z_q ^*中

计算安全参数R＝rQ_A和验证参数T＝e(P_pub,R)；

步骤4.2：计算对称密钥K＝e(D_A,PK_B)^r，计算密文c＝E(K,m)；

步骤4.3：计算验证参数h＝H₂(T,ID_B,c)，得到签名U＝rD_A-x_Ah；

步骤4.4：将签密文σ＝(h,c,U,R)发送给接收者。

步骤5：UNSigncryption解签密；接收者对收到的签密文σ＝(h,c,U,R)进行解签密；

计算与T相互对应的验证参数T'＝e(P,U)e(h,PK_A)，验证等式h＝H₂(T',ID_B,c)是否成立，若成立，则计算对称密钥K'＝e(PK_B,U)e(x_Bh,PK_A)，恢复明文消息m＝D(c,K')，否则返回错误符号⊥，其中D()为对称解密算法。

本实施例中对函数进行定义：定义1(双线性映射)：G₁和G₂分别为阶为素数q的加法循环群与乘法循环群，P表示G₁的一个生成元。若映射e:G₁×G₁→G₂为双线性对，则此关系式具有如下特性：

1)双线性：对任意的P,Q∈G₁，存在

使得e(aP,bQ)＝e(P,Q)ab。

2)非退化性：存在P∈G₁，使得e(P,P)≠1成立。

3)可计算性：对于任意的P,Q∈G₁，存在有效算法计算e(P,Q)。

定义2：离散对数(discrete logarithm,DL)问题：已知G是椭圆曲线上的加法循环群，G的阶为大素数q，生成元为P，DL问题是指给定元组(P,aP)，其中

未知，求解a的值。

定义算法A在概率多项式时间内成功解决DL问题的概率为Adv^DL(A)＝Pr[a←A(P,aP)]，其中a是选自

的任一元素。对于任意多项式时间的算法A，Adv^DL(A)是可以忽略的。

混合签密算法是将公钥加密算法和对称加密算法的优势相结合的算法，具有密钥封装机制(KEM)和数据封装机制(DEM)两种机制，保证了签密方案具有更高的安全性和加密任意长度明文消息的特点。混合签密工作原理如图4所示。

在混合签密体制中，非对称部分需要接收者的公钥和发送者的私钥作为输入，保证了随机密钥的完整性，对称部分使用非对称部分生成的对称密钥对任意消息进行封装，保证了数据加密的效率。其中，对称部分主要由数据封装机制(DEM)组成，非对称部分主要由密钥封装机制(KEM)组成。

数据封装机制(DEM)由两个算法组成，分别是加密算法(E)和解密算法(D)，其工作原理如图5所示。

在实际应用和5G异构环境中，发送方和接收方所属的密码体制可能不同。异构密码体制不但能解决收发双方体制不同的问题，还能够实现签密所具备的保密性和认证性，为5G网络中的用户交流提供了更多的机会。本文提出的一种可证安全的异构混合签密方案，针对发送方来自无证书密码体制，接收方来自传统公钥密码体制的用户交流提供了更多的便捷。异构密码体制的工作原理如图6所示。

证书颁发中心(CA)是负责发放和管理数字证书的权威机构，并作为可信任的第三方，承担执行解密用户Bob的公钥合法性检验的责任。密钥生成中心(KGC)为执行签密的用户Alice生成对应的部分密钥。

异构混合签密体制内部综合了加密与数字签名，加密主要解决信息的机密性问题，数字签名则主要针对认证性，两者共同保障信息安全。因此，本实施例中对方案的安全性验证分析主要从正确性、机密性、不可伪造性和可公开验证性四方面进行分析。

所述正确性分析主要包括密钥正确性、密文的可恢复性和合法性分析，具体如下：

(1)密钥正确性：

CLPKC中用户的密钥由KGC的部分私钥和用户手中的秘密值组成，为了保证KGC传来的密钥的可靠性，通过下式验证KGC传递的部分私钥的正确性：

D_AP＝sQ_AP＝Q_AP_pub

(2)密文的可恢复性和合法性

因为m＝D(c,K)，K'＝e(PK_B,U)e(x_Bh,PK_A)，仅证明K'＝e(PK_B,U)e(x_Bh,PK_A)＝e(D_A,PK_B)^r＝K，即可证明明文消息m的正确性：

K'＝e(PK_B,U)e(x_Bh,PK_A)

＝e(PK_B,rD_A-x_Ah)e(x_Bh,x_AP)

＝e(PK_B,rD_A-x_Ah)e(PK_B,x_Ah)

＝e(PK_B,rD_A)

＝e(D_A,PK_B)^r

通过m＝D(c,K')得到了明文消息m，验证了密文的可恢复性，同时可通过验证等式h＝H₂(T',ID_B,c)是否成立来验证密文的合法性，保证恢复的明文是有效的，确保整个签密的正确性。

T'＝e(P,U)e(h,PK_A)

＝e(P,rD_A-x_Ah)e(h,x_AP)

＝e(P,rD_A)

＝e(P,rsQ_A)

＝e(P_pub,R)＝T

通过证明T'＝T，可证明h＝H₂(T',ID_B,c)，即密文合法。

所述机密性是指除了接收方外，其他任何人或者任何机构都不能从密文中得到明文消息。

在本文方案中，由于密文c是由E加密而得，所以如果攻击者想从c中进行破解攻击，所面临的困难和破解对称式加密技术中K的一样。

K＝e(D_A,PK_B)^r (1)

K'＝e(PK_B,U)e(x_Bh,PK_A) (2)

由于随机数r只有Alice知道，所以也只有Alice可以用r经过式(1)得到K，而Bob则可使用它的私钥x_B经过式(2)计算得到K'，若Bob的私钥正确，则所得的K'才会等于式(1)中的K，也就是说，只有真实的通信双方才能得到相同的K和K'，也才可以从c中解密得到m，所以该方案满足机密性。

此外，攻击者若想攻破本文方案，从签密文σ＝(h,c,U,R)中破解明文m，需要获取对称密钥K'的值。K'＝e(PK_B,U)e(x_Bh,PK_A)，其中PK_A和PK_B分别为发送者Alice和接收者Bob的公钥。攻击者计算K'值必须获取Bob的私钥x_B，即根据已知的PK_B＝x_BP求解x_B，则攻击者所面临的困难就等同于解DL难题，攻击者利用任意算法成功解DL问题的优势是可忽略的，所以获取Bob私钥x_B在多项式时间内是不可行的。因此，本文方案具有机密性。

所述不可伪造性是指除了发送方，其他任何人或者任何机构都不能伪造发送者的签名。

如果攻击者试图伪造σ'＝(h',c',U',R')，则在解签密时将无法获得通过。因为私钥x_A只有Alice知道，x_A需要根据已知的PK_A＝x_AP求解，则攻击者所面临的困难就等同于解DL难题,攻击者利用任意算法成功解DL问题的优势是可忽略的，所以获取Alice私钥x_A在多项式时间内是不可行的；D_A＝sQ_A需要主密钥s进行计算，而s需要根据已知的P_pub＝sP求解，同样面临解DL难题。这将进而导致签名U无法伪造，并且在解签密中计算T'、K'时，都用到了与该私钥对应的Alice公钥PK_A，所以如果攻击者有伪造，则式(3)和式(4)的推导过程将无法完成，即最终的解签密时算出的T”和K”都无法成为正确的T'和K'，也就是说，在Bob解签密时算得的T”、K”与Alice签密时的T、K将无法相等，最终解签密的结果将被拒绝。

K”＝e(PK_B,U)e(x_Bh,PK_A) (3)

＝e(PK_B,rD_A-x_Ah)e(x_Bh,x_AP)

＝e(PK_B,rD_A-x_Ah)e(PK_B,x_Ah)

＝e(PK_B,rD_A)

＝e(D_A,PK_B)^r＝K

式(3)中的K”为解签密时得出的值，K为签密时产生的值。

T”＝e(P,U)e(h,PK_A) (4)

＝e(P,rD_A-x_Ah)e(h,x_AP)

＝e(P,rD_A)

＝e(P,rsQ_A)

＝e(P_pub,R)＝T

式(4)中的T”为解签密时得出的值，T为签密时产生的值。所以本方案满足不可伪造性。

所述可公开验证性是指验证等式的计算过程中不需要任何秘密信息，任意第三方均可验证混合签密。本实施例中的验证等式h＝H₂(T',ID_B,c)，即验证等式T'＝e(P,U)e(h,PK_A)＝e(P_pub,R)＝T，其中PK_A为Alice的公钥，(h,c,U,R)为Alice发送给Bob的签密信息，(P_pub,P)为系统公开参数，整个过程不涉及通信双方的秘密信息，所以本方案满足可公开验证性。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明权利要求所限定的范围。

Claims (3)

1.一种可证安全的异构混合签密方法，其特征在于，包括以下步骤：

步骤1：对异构密码系统进行系统初始化：密钥生成中心(KGC)和证书颁发机构(CA)设安全参数为k，大素数p、q，且满足q|p-1；定义G₁为加法循环群且生成元为P，G₂为乘法循环群，群G₁和G₂的阶均为q，双线性映射e:G₁×G₁→G₂，在对称加密体制中，(E,D)为加解密算法，其中E为对称加密算法，D为对称解密算法，定义2个安全的哈希函数H₁:{0,1}^*→G₁，H₂:{0,1}^*×{0,1}ⁿ×G₂→G₁，n代表对称密钥的长度，KGC选取

为系统主密钥并计算系统公钥P_pub＝sP，公开系统参数parameters＝{G1,G2,e,P,q,E,D,P_pub,H1,H2}并保存主密钥s，其中Z_q ^*为阶数为q的整数乘法群；

步骤2：CLPKCKeyGen无证书公钥密码体制中用户密钥生成；

步骤3：TPKCKeyGen传统公钥密码体制中用户密钥生成：公钥密码体制中的接收者随机选择

作为私钥，并计算公钥PK_B＝x_BP，并向CA提出证书申请，CA向接收者颁发证书；

步骤4：Signcryption签密；发送者将明文消息m利用混合签密，将签密文σ发送给接收者；

步骤5：UNSigncryption解签密；接收者对收到的签密文σ＝(h,c,U,R)进行解签密；

计算与T相互对应的验证参数T'＝e(P,U)e(h,PK_A)，验证等式h＝H₂(T',ID_B,c)是否成立，若成立，则计算对称密钥K'＝e(PK_B,U)e(x_Bh,PK_A)，恢复明文消息m＝D(c,K')，否则返回错误符号⊥，其中D()为对称解密算法。

2.根据权利要求1所述的一种可证安全的异构混合签密方法，其特征在于，所述步骤2具体包括：

步骤2.1：对部分私钥进行提取：无证书密码体制中的发送者提交自己的身份信息ID_A，并进行KGC计算Q_A＝H₁(ID_A)，并输出部分私钥D_A＝sQ_A给发送者；Q_A为ID_A的哈希函数H₁的值；

步骤2.2：生成用户密钥：发送者输入parameters，随机选择

作为秘密值，并设置公钥PK_A＝x_AP，验证D_AP＝Q_AP_pub是否成立；若成立，证明KGC发送的部分私钥未被篡改，则生成私钥对SK_A＝(x_A,D_A)，否则，生成私钥对失败；其中D_A为发送者的部分私钥。

3.根据权利要求1所述的一种可证安全的异构混合签密方法，，其特征在于，所述步骤4具体包括：

步骤4.1：随机选择Z_q ^*中

计算安全参数R＝rQ_A和验证参数T＝e(P_pub,R)；

步骤4.2：计算对称密钥K＝e(D_A,PK_B)^r，计算密文c＝E(K,m)；

步骤4.3：计算验证参数h＝H₂(T,ID_B,c)，得到签名U＝rD_A-x_Ah；

步骤4.4：将签密文σ＝(h,c,U,R)发送给接收者。

Images