基于身份的动态群通信签密方案

杜庆灵

基于身份的动态群通信签密方案

杜庆灵

（河南警察学院 信息安全系，河南 郑州 450000）

主要探讨了动态群通信的安全性，采用签密技术可实现其保密性和认证性，基于身份的签密模型，利用超椭圆曲线密码体制，构建了基于身份的动态通信签密方案，说明了其安全性。该方案具有安全性高、系统开销小、密钥管理简单等特点。

动态群；签密体制；超椭圆曲线

0 引言

群通信是一种授权用户（一个或多个）向大量已授权群体成员发送消息的通信模式。随着信息技术的发展和广泛应用，群通信的场景越来越多，如网络游戏、视频会议、协调工作处理、收费多媒体发展、股票市场监控以及各种即时交友、聊天工具等。建立安全的群通信系统是这些分布式应用的基本保障。相对于端到端的通信，群通信的安全更为复杂，从基本算法、系统和安全协议的设计到安全系统的实现都还面临许多问题。支持群通信安全的主要技术是群密码，它是由Desmedt等人引入的，其基本思想是将传统的通信双方改变为通信群体，群成员是动态的群，在通信的任何时刻都可能出现新成员的加入和老成员的离开，加入的新成员不能获取其加入前的群通信内容，离开的成员同样不能获取其离开后的群通信内容，这就是动态群通信的前向和后向安全性。

通常情况下，通信安全的保密性由加密技术实现，认证性由数字签名技术实现，如果需要同时取得这两种安全性，传统的方法是先对消息进行加密，再对生成的密文进行数字签名，这种方法的计算量和通信成本是加密和签名的代价和，效率较低。

文献[1-3]提出了一种新的密码原语来获取保密性和认证性这两种安全性，并称之为签密，该技术比传统的“先加密后签名”或“先签名后加密”具有许多优点，如计算量和通信成本较低、安全水平高、设计简化等。近年来，许多学者对签密技术进行了研究，提出了性能不同的签密体制（算法），有的已应用于实践。

动态群通信的安全性也是近年来研究的热点领域。文献[3]基于PKI ，采用超椭圆曲线密码体制构建了群签密系统，将已有的椭圆曲线群签密系统进行了改进。签密系统一般可分为三类：基于PKI的签密、基于身份的签密和无证书的签密，这三类模型有一定的差异，主要体现在对用户公私钥的生成和管理方式方面。本文重点探讨签密技术在动态群通信安全性方面的应用，基于身份的签密模型，采用超椭圆曲线密码体制，构建动态群签密方案。

1 基于身份的签密模型分析

因密钥生成和管理方式不同，基于身份的签密模型与基于PKI 的签密模型有所不同，其方案如下：

（1）系统建立：初始化算法由私钥生成中心完成，输入安全参数k ，输出主私钥s 和参数p ，保密s ，公开p 。

（2）密钥提取：输入用户的身份ID ，私钥生成中心使用系统主私钥s ，计算用户的私钥us，由安全方式分发给用户。

（3）签密：发送者A 要发送的明文为m ，发送者利用参数p ，接收者的BID，自己的私钥AS，经签密算法，生成签密文v ，并发送给接收者B 。

（4）解签密：接收者B ，利用参数p ，自己的私钥BS，发送者的身份AID，经解签密算法，输出明文m 。这种模型满足的条件为：

如v =签密（ p ，w ，AS，BID），则

m =解签密（ p ，v ，AID，BS）

基于身份的签密体制与基于PKI 的签密体制的不同主要体现在公钥的管理与安全性定义两个方面，公钥管理方面，基于身份的签密体制使用用户公开的唯一身份标识作为公钥，不需要其他操作，而基于KPI 的公钥获取需要进行一系列的其他操作。基于身份的签密体制公钥管理相对简单，系统开销大约是PKI 的五分之一。安全性定义方面，攻击者在攻击时，可进行签密询问、解签密询问和私钥提取询问，但不能询问挑战用户的私钥；另一方面，攻击者不一定在第一阶段被分配挑战用户，可在挑战阶段自行选择想挑战的用户；还有，对保密性攻击，攻击者可将消息和用户身份一并提交，对认证性攻击，攻击者在伪造密文的同时伪造用户身份。

2 基于身份的动态群签密方案

本节利用超椭圆曲线密码体制，构建基于身份的动态群签密方案。椭圆曲线密码算法有两个优点：一是具有较短的密钥长度，对带宽和存储要求较小；二是所有用户可选择同一基域上的不同椭圆曲线，所有用户可用同样的硬件完成域算术，椭圆曲线的不同可保其安全性。超椭圆曲线密码体制是椭圆密码体制的扩展，当亏格为1时的超椭圆曲线就是椭圆曲线，其安全性与所有椭圆曲线密码体制类似，基于Jacobian离散对数问题的难解性，其优点是实现效率高，远超椭圆曲线密码体制的效率，亏格为3，有限域为60的比特的安全性，等同于180比特椭圆曲线密码体制的安全性。

根据文献[2，3，7]，超椭圆曲线可定义如下：

定义1 设域为Fq 是有限域，如果仿坐标下亏格为g的光滑曲线C 满足方程：

设J （C :F ）是超椭圆曲线C 的Jacobian群，#J （C :qF）=ht ，t 是较大的素数，h 是较小的余因子，P J （C :F ）是具有较大素数阶的约化除子，它的阶为l 。P ，l 为公开参数，对于*lt ZÎ，Q ，G J （C :F ），QtG=×是超椭圆曲线上的乘法运算。

签密方案如下：

（1）系统建立：私钥生成中心选择一个单向的杂凑函数H ，另外选择一个对称加密算法，E 和D分别表示对称加密算法的加密和解密，公开q ，p ，l ，H ，E ，D ，随机选取*qs ZÎ作为签密组私钥。

（2）密钥提取：用户iU输入iID，私钥生成中心使用s ，计算is，由安全方式送给iU。

（3）签密：发送者A 要发送的签密明文为m ，B 为接收者，A 利用参数P ，接收者BID，自己的私钥AS，生成签密文。

具体为：用户A 用自己的私钥AS，计算超椭圆曲线上的RrG=´，r 是由AS 控制的数，用接收者B 的ID 、参数P ，计算超椭圆曲线上的点，以k 作为对称加密密钥对m 加密，得到密文 c=Ek(m) ，用H 计算，，用私钥AS 计 算发送签密文（c ，u ，S¢）

其中uhp=。

（4）解签密：接收者B 用自己的私钥BS，计算超椭圆曲线上的点，，用k作为对称加密算法的解密密钥，得到利用R 和m ，用H 计算，，用A的ID、参数p ，计算超椭圆曲线上的点，若ABy 是A 的AID，则B 接收，否则拒绝。

整个签密方案是基于用户身份的，而其可验证性是基于身份的签密方案的性质确定的。

3 安全性分析

（1）机密性：机密性是指攻击者从信道中得到签密文，也无法获得原始明文m ，或其他重要信息，如加密密钥k 。因攻击者想从密文c中得到重要信息，如同破解对称加密的k，若攻击者试图从接收者私钥或者试图从R和接收者的ID 得到 yAB，其难度相当于解决超椭圆曲线上离散对数问题。

（2）前向安全性：签密方案的前向安全性是指用户的有效私钥泄露后，攻击者利用用户的私钥和之前的签密文及公开信息，仍无法获得明文。基于超椭圆曲线的签密算法，因k需接收者的私钥、发送者的私钥共同产生，因此，只有一个私钥是无法得到k 的。再者，攻击者即使得到超椭圆曲线上的点，也无法得到m 及1e-的值，当然无法得到k 的值。因此，方案是前向安全的。

4 结束语

动态群通信的场景越来越普遍，其安全性更是人们关注的重点，而签密技术是近几年来密码学领域研究的重要内容之一，已有许多实用的签密算法，其特点是计算量小、通信成本较低。基于身份的签密模型，使得密钥管理更加简单，而超椭圆曲线密码体制，要求的存储空间较小，安全参数也较小。笔者利用这些优点，构建了基于身份的动态群通信签密方案，该方案具有较高的实用价值。

[1] 祝世熊，李发根，范佳等.签密体制研究进展[C].中国密码学发展报告2011，2012.103-143.

[2] 冯阳.基于超椭圆曲线密码体制群签密系统的研究[D].贵阳：贵州大学，2015.

[3] 周宣武，付燕，李欣等.高效的超椭圆曲线前向安全签密方案[J].微电子学与计算机，2014，31（12）：79-83.

[4] 刘建华，邱修峰，李妍.针对大数据安全的动态群密钥传输协议[J].计算机应用研究，2016，33（5）：1554-1557.

[5] 杨诚.基于身份的可认证动态群组密钥协商研究[D].北京：北京理工大学，2016.

[6] 李方伟，王健，陈广辉.前向安全的基于椭圆曲线密码体制的签密方案[J].北京邮电大学学报，2006，29（1）：23-25.

[7] 李磊.超椭圆曲线的密码学应用[D].上海：华东师范大学，2011.

Identity Based Dynamic Group Communication Signcryption Scheme

DU Qing-ling
(Department of Information Security, Henan Police Academy, Zhengzhou 450000, China)

This paper mainly discusses the scene is the dynamic security of group communication, the realization of the secrecy and authentication of signcryption, identity based signcryption model, using hyperelliptic curve cryptosystem, constructs a dynamic communication identity based signcryption scheme,illustrates its security, the scheme has the characteristics of high security the system, low cost, simple key management etc.

dynamic group; signcryption system; hyperelliptic curve

TP308.04

A

1008–2093(2017)04–0009–03

2017-05-02

河南省高等学校重点科研项目（15A413001）

杜庆灵（1963―），男，河南鹿邑人，教授，博士后，主要从事网络与信息安全研究。

（责任编辑 王 磊）