聚合认证加密方案_刘刚.pdf
《聚合认证加密方案_刘刚.pdf》由会员分享,可在线阅读,更多相关《聚合认证加密方案_刘刚.pdf(18页珍藏版)》请在咨信网上搜索。
1、密码学报ISSN 2095-7025 CN 10-1195/TNJournal of Cryptologic Research,2023,10(2):415432密码学报编辑部版权所有.E-mail:http:/Tel/Fax:+86-10-82789618聚合认证加密方案*刘 刚1,2,3,王 鹏1,2,叶顶锋1,21.中国科学院 信息工程研究所 信息安全国家重点实验室,北京 1001952.中国科学院大学 网络空间安全学院,北京 1000493.中国电子科技集团公司第三十研究所 保密通信重点实验室,成都 610041通信作者:刘刚,E-mail:摘要:使用认证码校验密文会使得密文长度比明文
2、长,即会带来数据扩张,在物联网等场景中会大大增加数据传输量.使用一个中间节点将多个用户的认证码聚合起来可以减少认证码数量、减少数据传输量.本文首次将聚合的方法使用在认证加密方案中,定义并构造了单码聚合认证加密方案 saAE,生成一个聚合认证码来校验所有用户的密文,给出了安全性证明.定义并构造了多码聚合认证加密方案 maAE,利用群组测试方法将认证码聚合成少量几个,不仅能校验密文的完整性,还能在检错能力范围内,判断哪些密文出现了问题.关键词:认证加密;认证码;聚合;群组测试中图分类号:TP309.2文献标识码:ADOI:10.13868/ki.jcr.000603中文引用格式:刘刚,王鹏,叶顶锋
3、.聚合认证加密方案J.密码学报,2023,10(2):415432.DOI:10.13868/ki.jcr.000603英文引用格式:LIU G,WANG P,YE D F.Design of new aggregate authenticated encryption schemesJ.Journal of Cryptologic Research,2023,10(2):415432.DOI:10.13868/ki.jcr.000603Design of New Aggregate Authenticated Encryption SchemesLIU Gang1,2,3,WANG Peng
4、1,2,YE Ding-Feng1,21.State Key Laboratory of Information Security,Institute of Information Engineering,Chinese Academy ofSciences,Beijing 100195,China2.School of Cyber Security,University of Chinese Academy of Sciences,Beijing 100049,China3.Science and Technology on Communication Security Laboratory
5、,Institute of Southwestern Communication,Chengdu 610041,ChinaCorresponding author:LIU Gang,E-mail:Abstract:Using authentication tags to check ciphertext causes data expansion compared to the ci-phertext encrypted from plaintext.In some applications such as IoT,authentication tags signnificantlyincre
6、ase the quantity of data transmission.One can use an intermediate node to aggregate the multiplemessages of users to reduce the number of tags and decrease the quantity of data transmission.Thispaper first uses aggregate method in authenticated encryption(AE)schemes,defines and constructsa single-ta
7、g aggregate AE(saAE)which generates one tag to check all users ciphertexts,and gives*基金项目:国家重点研发计划(2018YFA0704704,2018YFB0803801);国家自然科学基金(61732021,61472415)Foundation:National Key Research and Development Program of China(2018YFA0704704,2018YFB0803801);National Natural Science Foundation of China(6
8、1732021,61472415)收稿日期:2022-04-06定稿日期:2022-12-02416Journal of Cryptologic Research 密码学报 Vol.10,No.2,Apr.2023the security proof.Then uses group testing method to define and construct a multi-tag aggregate AE(maAE)which aggregates tags to a small amount of tags.The proposed maAE can check the integrity
9、of ciphertext detect the position of corruptions in the error detecting capability.Key words:authenticated encryption;tag;aggregate;group testing1背景介绍1.1应用场景在对称密码学中,加密方案保护数据的机密性,认证方案保护数据的完整性,而认证加密(authenti-cated encryption,AE)方案1在一个方案中即可同时保证数据的机密性(privacy)和完整性(integrity),具有重要的实用价值.认证加密方案一般分为加密和解密两个部
10、分.加密时,通常每次使用不同的 Nonce(number usedonce)来随机化加密过程,将 Nonce、关联数据(associated data,不需要加密但需要认证的数据)、明文组成的消息三元组(N,A,M)加密成密文 C.为了达到认证的目的,密文长度比明文长度长.一般使用认证码的方式来校验密文的完整性,也即密文中含有认证码 S.我们将认证码从密文中分离开来,即C=(C,S),其中 C 为明文加密得到的主要用于保证机密性的密文.由于存在保证完整性的认证码,数据扩张(包括 Nonce 和认证码)在所难免,当用户数量增加时,数据扩张可能会在网络的层层传输中成倍增长,这将极大浪费网络资源.我
11、们考虑以下应用场景(如物联网等),如图1所示,若干用户(m 个用户节点,分别用其身份I1,I2,Ii,Im来标识,可编码到认证加密方案的输入中)需要同服务器进行通信,通过一个中间节点将各用户的密文消息(Ni,Ii,Hi,Ci,Si)汇总为(N1,I1,H1,C1,S1),(N2,I2,H2,C2,S2),(Ni,Ii,Hi,Ci,Si),(Nm,Im,Hm,Cm,Sm),然后发送给服务器.明文长度较短时,Nonce 和认证码长度一般是固定的,则数据扩张严重.若中间节点对 m 个认证码(S1,S2,Sm)作聚合得到少量(甚至一个)认证码向量 T,即将用户的密文消息(Ni,Ii,Hi,Ci,Si)
12、汇总聚合后为(N1,I1,H1,C1),(N2,I2,H2,C2),(Ni,Ii,Hi,Ci),(Nm,Im,Hm,Cm),T)再发送给服务器,则数据传输量将大大减少,其中 Ni、Ii、Hi、Ci和 Si分别为第 i 个用户节点的 Nonce、身份标识、关联数据、密文和认证码,T 为将各用户的认证码聚合后得到的聚合认证码,用于检验密文消息的完整性.图 1 聚合认证加密方案应用示例Figure 1 Application example of aggregate AE scheme每个用户每次加密都需要一个 Nonce 来随机化加密过程.由于每个用户使用独立随机的密钥,用户间的 Nonce 没有
13、要求,但是同一用户对不同明文的加密需要不同的 Nonce.m 个用户需要 m 个 Nonce,可以使用一些方法来减少 Nonce 的使用数量,比如每次与服务器协商好使用的 Nonce,这样每次加密的Nonce 不需要传输;也可以不同用户节点协商使用同一个 Nonce,这样可以减少 Nonce 的传输量.本文不考虑 Nonce 带来的数据扩张问题,假设每个用户使用各自独立的 Nonce,主要考虑使用聚合的方法来达到上述应用场景中减少认证码数量的目的.若用户数为 100 个,明文长度为 16 字节,加密后的密文消息长度为 48 字节(Nonce、密文和认证码长度均为 16 字节),则经过 3 层网
14、络传输后,没有聚合的情况下传输的数据总量为 14400(=100483)刘刚 等:聚合认证加密方案417字节,而实际有效传输的数据量即明文只有 4800(=100 16 3)字节.若将 100 个用户的认证码聚合为 30 个聚合认证码,Nonce 数不变,则网络传输的总数据量为 9690(=(100 32+30)3)字节,共节省(14400 9690)/14400=32.71%.若聚合后的聚合认证码数目更少,甚至一个,网络传输效率将得到更大提升.1.2相关研究聚合方法出现在众多密码学研究文献中,在数字签名、消息认证方案等中都有相应的聚合方法研究.Boneh 等人在 2003 年提出聚合签名(a
15、ggregate signature)2,将 t 个签名者对 t 个消息的 t 个签名聚合为 1 个签名来作验证.之后,基于他们的工作学术界提出了一系列不同聚合签名方案36.Katz 和 Lindell 于 2008 年类似地提出了聚合消息认证(aggregate MAC)方案的定义和构造7,可以将多个消息认证码压缩为一个聚合认证码,只要使用的底层认证方案是不可伪造的,则减少了认证码长度的聚合认证方案也满足不可伪造性.之后,Hirose 和 Shikata 将群组测试的方法应用在聚合认证方案中,使得认证码的数量减少的同时,还可以在校验不通过时在一定限度内检测出错误的消息8.这些方案没有考虑消息
16、的次序,也即改变消息次序不会影响聚合结果,在分析安全性时也不会将相同消息不同次序作为伪造成功的情况.为了保证聚合后消息的顺序与之前消息传递的顺序相同,Eikemeier 等人在 2010 年提出了序列聚合认证方案的模型和安全性定义,并给出了无历史记录的序列聚合认证方案的构造9.Ma 和 Tsudik 用杂凑函数来构造简单的序列聚合认证方案10,使其具有前向安全性,但是他们没有给出规范的安全性证明来表明其方案符合他们提出的前向安全性.Hirose 和 Kuwakado 规范定义了序列聚合认证方案的前向安全性,给出了符合定义的构造,并证明了其前向安全性11.1.3研究思路之前的研究都是将聚合的方法
17、用于数字签名或者认证方案,本文首次进行聚合认证加密(aggregateauthenticated encryption)方案的研究.聚合认证方案主要分三部分:(1)每个用户节点有不同的用户密钥和各自的身份标识,使用安全的认证方案(MAC)处理身份标识和消息,生成消息认证码,将身份标识、消息、认证码发送给聚合节点;(2)聚合节点将认证码聚合为一个或少量的聚合认证码,将各用户身份标识、消息、聚合认证码发送给验证者,该过程无密钥参与;(3)验证者拥有所有用户的密钥,并判断各用户身份标识和消息是否合法.这类聚合认证方案可以使用在移动互联网等中,用于验证接入用户是否合法.对于聚合认证加密方案,我们可以使
18、用组合式认证加密方案的构造方法,将之前研究文献中的聚合认证方案7,8与加密方案结合起来构造,先加密然后对密文进行聚合认证,但是这种构造至少对消息处理两遍,效率不高,所以我们考虑使用一体化的认证加密方案设计.聚合认证方案一般使用认证方案生成消息认证码再进行聚合,为了保证数据的机密性,一体化的聚合认证加密方案先使用认证加密方案处理明文同时生成密文和认证码,再对认证码做聚合,由此我们提出了聚合认证加密方案的语法、安全性定义和构造,并证明了所提构造满足安全性定义.在具体构造中,聚合节点可以使用将每个用户认证码异或的方法或者连接后使用杂凑函数处理来生成一个聚合认证码,我们证明了通过异或方法就可以实现安全
19、的聚合认证加密方案.只有单个聚合认证码的聚合认证加密方案(单码聚合认证加密方案,single-tag aggregate authenti-cated encryption scheme,saAE)只能校验整个聚合密文的完整性,如果验证不通过,则整个密文消息都将被丢弃或重发,极大地浪费网络和计算资源.因此,进一步我们希望构造一个带有检测无效密文位置功能的聚合认证加密方案.当验证不通过时,可以检验出哪个用户的密文出现错误,这时必然需要多个聚合认证码.如果对每一个用户的消息都生成一个认证码,则一定可以检测出每一个用户的密文是否正确,但需要 m 个认证码.我们可以使用群组测试的方法来减少聚合认证码的
20、数量,根据群组测试理论12,可以降低到约 d2 logm,这远远小于 m.我们称这类聚合认证加密方案为多码聚合认证加密方案(multi-tagaggregate authenticated encryption scheme,maAE),给出其语法、安全性定义和构造,并讨论构造的安全性.多码聚合认证加密方案为了检测出无效密文需要满足识别性(identification),识别性可分为完备性(completeness)和可靠性(soundness)两部分,即错误的密文都应被检测出来且正确的密文不能被检测为418Journal of Cryptologic Research 密码学报 Vol.10
21、,No.2,Apr.2023错误的.通过在聚合时使用群组测试方法结合异或或者杂凑函数方法即可满足完备性.但对于可靠性,使用异或方法时不能满足,使用杂凑函数时可以证明满足可靠性.1.4本文内容本文首先给出了单码聚合认证加密方案 saAE 的语法和安全性定义,其安全性包括机密性和完整性,并提出使用异或来做聚合的构造 xor-saAE,满足安全性定义;接着给出了带多个认证码具有检错功能的聚合认证加密方案 maAE 的语法和安全性定义,安全性包括机密性、完整性和识别性,其中识别性分为完备性和可靠性两方面,并提出使用异或来做聚合的构造 xor-maAE 和使用杂凑函数做聚合的构造 hash-maAE,证
22、明它们均满足机密性、完整性和识别性中的完备性,但只有 hash-maAE 满足识别性中的可靠性.这两种方案的总结与比较如表1,其中“”表示具有该性质,“”表示不具有该性质,“-”表示不考虑该性质.表 1 saAE 与 maAE 的总结和比较Table 1Conclusion and comparision of saAE and maAE构造聚合方式检错功能机密性完整性完备性可靠性xor-saAE异或-hash-saAE杂凑函数-xor-maAE群组测试+异或hash-maAE群组测试+杂凑函数2预备知识2.1符号令 K、N、A、M、C 分别表示密钥空间、Nonce 空间、关联数据(assoc
23、iated data)空间、明文空间、密文空间.|X|表示 X 的比特长度,|X|n表示将 X 切分为 n 比特分组的分组数.为空字符串,其长度|=0,X =X.令 s$S 表示从一个集合 S 中均匀随机选取元素 s.向量 V=(V1,V2,Vm),向量 V=(V1,V2,Vm),若对所有 i 1,2,m 都有 Vi Vi,则存在偏序关系 V V,若对所有 i 1,2,m,Vi与 Vi为 0 或 1,则两个向量按位或运算V V=(V1V1,V2V2,VmVm).例如 V=(0 1 0),V=(1 1 0),则有 V V,V V=(1 1 0).假设 S1与 S2为两个集合,其交集为 S1 S2
24、,S1S2表示 S1与 S2的差集.2.2不可区分性在密码方案的安全性研究中,我们经常使用真实算法与理想情况不可区分的安全性定义方式.定义 1(可忽略函数)N 和 R 分别为自然数集和实数集,若函数 :N R 满足 r R,n0N,n n0都有(n)nr,则称函数 是可忽略函数.若所有的多项式时间敌手都不能区分两个概率分布 X 和 Y,也即存在可忽略函数,对于任意的多项式时间敌手A都有 PrA(X)1 PrA(Y)1 ,则称这两个概率分布是计算上不可区分的.我们在讨论真实与理想两个对象的不可区分性时,理想对象的输入输出空间与真实对象一致,且每次询问时理想对象从输出空间均匀随机选择与真实对象的输
25、出长度相同的比特串,以下定义理想对象时不再重复定义其输入输出空间.若敌手A可以询问两个对象 X 和 Y,得到相应的回答,我们将敌手A区分这两个对象的优势记为A(X;Y)=PrAX 1 PrAY 1.若敌手A可以询问两对对象(X1,X2)和(Y1,Y2)并得到相应的回答,我们将敌手A区分这两对对象的优势记为 A(X1,X2;Y1,Y2),也即A(X1,X2;Y1,Y2)=PrAX1,X2 1 PrAY1,Y2 1,刘刚 等:聚合认证加密方案419其中对应位置的对象有相同的输入输出空间,即 X1与 Y1的输入和输出空间相同,X2与 Y2的相同.其他多对对象的区分优势记法可类推.2.3认证加密方案图
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 聚合 认证 加密 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。