完整内部安全的混合签密方案设计与分析_廖钰城.pdf
《完整内部安全的混合签密方案设计与分析_廖钰城.pdf》由会员分享,可在线阅读,更多相关《完整内部安全的混合签密方案设计与分析_廖钰城.pdf(9页珍藏版)》请在咨信网上搜索。
1、华南师范大学学报(自然科学版)Journal of South China Normal University(Natural Science Edition)2022,54(6):119127doi:106054/jjscnun2022093收稿日期:20211124华南师范大学学报(自然科学版)网址:http:journalnscnueducn基金项目:国家自然科学基金项目(62072207)*通信作者:王立斌,Email:lbwang scnueducn完整内部安全的混合签密方案设计与分析廖钰城,王立斌*,黄杰彬(华南师范大学计算机学院,广州 510631)摘要:设计达到完整内部安全的混
2、合签密方案(HSC)是目前亟待解决的重要问题,而如何实现高效安全的签密密钥封装机制(SCKEM)则是解决该问题的关键。为此,先设计一种带标签的签密密钥封装机制(SCtagKEM)的通用构造方案(SCtKstd),该方案通过签名绑定标签与密钥封装报文,将得到的签名和临时密钥使用消息认证码进行绑定。在标准模型下进行的安全性分析表明 SCtKstd方案可达到 DMINDiCCA 安全和 DMSUFiCMA 安全,进而为达成完整内部安全奠定基础。然后,将 SCtKstd方案与被动安全对称加密机制结合,构造了一种可达完整内部安全的混合签密的通用构造方案(HSCstd)。在标准模型下进行的安全性分析表明H
3、SCstd方案同时具备 INDCCA2安全与 SUFCMA 安全,进而达到完整内部安全。关键词:混合签密方案;完整内部安全;可证明安全中图分类号:TP309文献标志码:A文章编号:10005463(2022)06011909Design and Analysis of Hybrid Signcryption Scheme with Full Insider SecurityLIAO Yucheng,WANG Libin*,HUANG Jiebin(School of Computer,South China Normal University,Guangzhou 510631,China)Ab
4、stract:Currently,it is of significant importance to design a hybrid signcryption scheme(HSC)with full insidersecurity,and one of the crucial methods is to implement an efficient and secure signcryption key encapsulationmechanism(SCKEM)To this goal,a new generic construction scheme(HSCstd)of secure s
5、igncryption tag keyencapsulation mechanism(SCtagKEM)is proposed,which signing a tag together with the encapsulation of key,and using message authentication code binding of the signature and the ephemeral key to achieve DMINDiCCAsecurity and DMSUFiCMA security under the standard model,thus the founda
6、tion for full insider security is es-tablished Furthermore,combined with the passivesecure symmetric encryption scheme,a new generic construc-tion(HSCstd)of hybrid signcryption scheme achieving the full insider security is presented It is analysed to achieveDMCCA2 security and SUFCMA security under
7、the standard model,thus achieving the full insider securityKeywords:hybrid signcryption scheme;full insider security;provable security签密方案(Signcryption Scheme,SC)1 是一个逻辑步骤内同时实现数字签名和公钥加密功能的非对称密码协议,其在有效提高签名和加密效率的同时,还能够提供保密性、认证性和完整性等安全性保障,是公钥密码体制下确保网络环境中多方通信安全的重要密码技术。混合 签 密 方 案(Hybrid Signcryption Sche
8、me,HSC)是在传统签密方案的基础上,通过引入对称加密体制的协议构件来进一步提升了协议的计算效率,从而解决了传统签密方案在长明文通信时效率不佳的问题2。得益于此优势,近年所提出的签密方案38 实质均为混合签密方案。为了方便实例化混合签密方案,BJSTAD和 DENT9 提出了带标签的签密密钥封装机制(Signcrytion tag Key Encapsula-tion Mechanism,SCtagKEM),可通过“带标签的签密密钥封装机制+被动安全对称加密机制”(SCtagKEM+DEM)的构造来实例化混合签密方案。混合签密方案的完整内部安全10 是指在多方内部安全模型下,混合签密方案同时
9、达到适应性选择密文不可区分性(INDCCA2)安全和选择报文攻击强存在性不可伪造(SUFCMA)安全。当前,许多研究致力于实现完整内部安全的混合签密方案34,11。2013 年,LI 等11 基于签名后加密提出了一种签密方案,并声称其达到了完整内部安全,但实质上由于其未完整重用随机数,可通过解密后选取新鲜随机数重新加密的方式攻击其 SUFCMA 安全,因此该方案并不具备完整内部安全。2014 年,LU 等12 基于文献 11 实现了混合签密方案,但认证性上仅达到了存在性不可伪造(EUFCMA)安全,未达到完整内部安全。2018 年,GAD 和MECKX8 提出了基于格密码的后量子安全混合签密方
10、案(SETLA),但在加密算法设计上,误差分布的定义参数及误差参数均远超出既定限制范围,因此该协议不具备正确性。为解决上述正确性问题,刘镇等13 放弃了随机数重用方式,提出了一种签名后加密的签密方案,但该方案仅能达到 EUFCMA 安全,同样不具备完整内部安全。2019 年,YANG等14 提出了标准模型下的高效混合签密方案,但该方案的安全性仅达到了多方内部的 INDCCA2 和EUFCMA 安全,无法达到完整内部安全。为解决上述问题,本文主要基于 SCtagKEM 的通用构造,展开对完整内部安全的混合签密方案的相关研究。首先,提出了一种带标签的签密密钥封装机制(SCtagKEM)的通用构造方
11、案(SCtKstd),该方案通过数字签名构件绑定标签与密钥封装报文,进一步将得到的签名和临时密钥通过消息认证码进行外部信息绑定,从而在标准模型下可证明达到完整内部安全。然后,将 SCtKstd方案应用在“SCtagKEM+DEM”的通用构造中,提出了可达完整内部安全的混合签密的通用构造方案(HSCstd),并对其进行了安全性分析。1预备知识下面对本文的符号进行说明,并列举方案构造以及分析中使用到的密码学原语。11符号说明对于函数 negl(n),如果对于任意的正多项式p(),皆存在正整数 N,使得对于任意的N,皆有negl(n)1/p(),则称 negl(n)是可忽略函数。对任意概率性多项式时
12、间算法A,aA(b)表示概率性多项式时间算法A以元素 b 为输入,输出元素 a。若A为确定性多项式时间算法,则记为 a=A(b)。对任意的集合S,sS表示元素 s 随机抽取自集合S的均匀分布;若 D 是在集合S上的概率性分布,sD则表示根据分布 D,从集合S中抽样一个元素 s。12密钥封装机制密钥封装机制(Key Encapsulation Mechanism,KEM)由以下 4 个算法构成:(1)KEMSetup(1)prm:该算法以安全参数为输入,输出公共参数 prm。(2)KEMKeyGen(prm)(pk,sk):该算法以公共参数 prm 为输入,输出用户的公私密钥(pk,sk)。(3
13、)KEMEncap(prm,pk)(K,C):该算法输入公共参数 prm 和用户公钥 pk,输出临时随机密钥 K和对应该密钥的密钥封装报文 C。(4)KEMDecap(prm,sk,C)K or:该算法输入公共参数 prm、用户私钥 sk 和密钥封装报文 C,输出密钥 K 或错误信息。称密钥封装机制KEM 有正确性,当且仅当对prmKEMSetup(1)和任意 pk,sk()KEMKeyGen(prm)、K,C()KEMEncap(prm,pk),K=KEMDecap(prm,sk,C)以(1negl()的概率成立。KEM 的 INDCCA2 安全则考虑由挑战者C与攻击者A按以下步骤进行安全游
14、戏:(1)设置阶段:挑战者C生成 prmKEMSetup(1),(pk,sk)KEMKeyGen(pk,sk),(K0,C*)KEMEn-cap(prm,pk),并且令K1KKEM,其中KKEM为临时密钥空间。随后,挑战者C随机抛币 b 0,1,并返回(prm,pk,Kb,C*)给攻击者A,保留私钥 sk。(2)查询阶段:攻击者A向挑战者C发起适应性选择密文查询 CC*;挑战者 C接收到查询密文CC*后,调用 KEMDecap prm,sk,C()K or,并将结果返回给攻击者A。(3)猜测阶段:攻击者A输出b 0,1。若b=b,则称攻击者A获得游戏胜利。定义 115(KEM 的 INDCCA
15、2 安全)称密钥封装机制 KEM 具备 INDCCA2 安全,当且仅当对任意的概率性多项式时间攻击者A,在 KEM 的协议环境下执行 KEM 的 INDCCA2 安全游戏,获得游戏胜利的优势概率为:AdvINDCCA2KEM,A=Pr b=b 1/2 negl(),且该优势概率关于安全参数可忽略。021华 南 师 范 大 学 学 报(自 然 科 学 版)第 54 卷13数字签名数字签名方案(SignatureScheme,SIG)由以下 4个算法构成:(1)SIGSetup(1)prm:该算法以安全参数为输入,输出公共参数 prm。(2)SIGKeyGen prm()pk,sk():该算法以公
16、共参数 prm 为输入,输出用户的公私密钥 pk,sk()。(3)SIGSign prm,sk,m():该算法输入公共参数 prm、用户私钥 sk 和明文信息 m,输出对应的数字签名信息。(4)SIGVer prm,pk,m,()or:该算法输入公共参数 prm、用户公钥 pk、明文 m 和数字签名信息,输出接受信息或错误信息。称数字签名方案 SIG 具有正确性,当且仅当对prmSIGSetup(1)和任意的(pk,sk)SIGKeyGen(prm)及明文 m,SIGVer(prm,pk,m,SIGSign(prm,sk,m)=成立的概率为(1negl()。SIG 的 SUFCMA 安全游戏则
17、考虑挑战者 C 与攻击者A按以下步骤进行安全游戏:(1)设置阶段:挑战者C 生成 prmSIGSetup(1),(pk,sk)SIGKeyGen(prm)。挑战者C 生成列表LSIG,记录游戏中生成的签名和对应明文信息。随后,挑战者C将(prm,pk)发送给攻击者A,并保留私钥 sk。(2)查询阶段:攻击者A向挑战者C发起适应性信息查询 m。挑战者C接收到查询明文 m 后,首先检查列表LSIG中是否存在 m 的签名信息。若有,则返回 给攻击者A;否则,调用 SIGSign(prm,sk,m),并将(m,)记录到列表LSIG,将 返回给攻击者A。(3)输出阶段:攻击者 A输出(m*,*),若SI
18、GVer(prm,pk,m*,*),并且(m*,*)L,则称攻击者A获得游戏胜利。定义 216(SIG 的 SUFCMA 安全):称数字签名方案 SIG 具备 SUFCMA 安全,当且仅当对任意的概率性多项式时间攻击者A,在 SIG 的协议环境下执行数字签名的 SUFCMA 安全游戏,获得游戏胜利的优势概率为:AdvSUFCMASIG,A=Pr SIGVer(prm,pk,m,)(m,)L negl(),且该优势概率关于安全参数可忽略。14消息认证码对称加密的消息认证码(Message AuthenticationCode,MAC)主要包含 MACSign 算法和 MACVer 算法。使用KM
19、表示消息认证码的对称密钥空间,该空间通常取决于安全参数。对任意的对称密钥 mkKM,明文消息0,1*,有 MACVer(mk,=MACSign(mk,),)=以(1negl()的概率成立,称 为明文消息关于对称密钥 mk 的消息认证码。消息认证码的一次选择信息攻击安全:称攻击者A对消息认证码 MAC 成功发起一次选择信息攻击,当且仅当其适应性选取消息并获得关于对称密钥 mk 的消息认证码=MACSign(mk,)后,成功构造出(*,*),满足 MACVer(mk,*,*)=。若任意多项式时间攻击者A对消息认证码 MAC成功发起一次选择信息攻击的优势概率关于安全参数可忽略,则称 MAC 是一次选
20、择信息攻击安全。消息认证码的 OnetoOne 属性:称消息认证码 MAC 是 OnetoOne 的,当且仅当对任意的 mk KM,任意的明文消息 0,1*,有且仅有唯一的消息认证码=MACSign mk,(),满足 MACVer(mk,)=。15对称加密算法使用KD表示对称加密算法的密钥空间。对称加密算法(Symmetric Mechanism,SYM)由以下 2 个算法构成:(1)SYMENC(dk,m)C:算法以对称密钥dkKD和明文 m 为输入,输出密文 C。(2)SYMDEC(dk,C)m:该算法以对称密钥dkKD和密文 C 为输入,输出明文 m。称对称加密方案 SYM 具有正确性,
21、当且仅当对任意的密钥 dkKD、明文 m,m=SYMDEC(dk,SY-MENC(dk,m)以(1negl()的概率成立。对称加密算法的 INDPA 安全游戏如下:挑战者C向攻击者A发送安全参数,并随机生成对称密钥 dkKD;攻击者A接收到安全参数后,选取明文m0和m1返回给挑战者C;挑战者C接收到(m0,m1)后,随机抛币 b 0,1,并返回 C*=SYMENC(dk,mb)给攻击者A;攻击者A接收到C*后,输出b 0,1。若满足b=b,则称攻击者A获得游戏胜利。定义 317(对称加密算法的 IND PA 安全)称对称加密方案 SYM 具备 IND PA 安全,当且仅当对任意的概率性多项式时
22、间攻击者A,在 SYM 的协议环境下执行 SYM 的 INDPA 安全游戏,获得游戏胜利的优势概率为:AdvINDPASYM,A=Pr b=b 1/2 negl(),且该优势概率关于安全参数可忽略。16密钥推导函数使用KK表示密钥封装机制的密钥空间。密钥121第 6 期廖钰城等:完整内部安全的混合签密方案设计与分析推导函数KDF2:KKKDKM是确定性函数,其将输入的密钥 KKK映射到密钥空间KDKM作为输出,并且满足输出分布与KDKM的均匀分布统计不可区分。称密钥推导函数KDF2安全,当且仅当其对任意多项式时间攻击者A,均有:D0=(dk,mk)|(dk,mk)KDKM,D1=(dk,mk)
23、KKK,(dk,mk)KDF2(K),|Pr b 0,1,(dk,mk)Db,bA(KDF2,(dk,mk),b 1/2|negl()成立。2SCtKstd方案本节将提出一种带标签的签密密钥封装机制的通用构造方案(SCtKstd),并进行安全性分析。21带标签的签密密钥封装机制带标签的签密密钥封装机制的协议概念4 和安全模型17 的具体表述如下。定义 44 带标签的签密密钥封装机制(SCtK)由以下 6 个算法构成:(1)SCtKSetup(1)prm:该算法以安全参数为输入,输出公共参数 prm。(2)SCtKKeyGenSprm()pkS,skS():该算法以公共参数 prm 为输入,输出
24、用户的发送方公私密钥pkS,skS()。(3)SCtKKeyGenprm()pk,sk():该算法以公共参数 prm 为输入,输出用户的接收方公私密钥pk,sk()。(4)SCtKSym prm,skS,pk()K,():该算法输入公共参数 prm、发送方私钥skS和接收方公钥pk,输出临时随机密钥 K 和中间状态信息。(5)SCtKEncap prm,skS,pk,()C:算法输入公共参数 prm、发送方私钥skS、接收方公钥pk、中间状态信息 和标签信息,输出带标签的签密密钥封装报文 C。(6)SCtKDecap prm,sk,pkS,C,()K or:该算法输入公共参数 prm、接收方私
25、钥sk、发送方公钥pkS、签密密钥封装报文C 和标签信息,输出密钥 K 或错误信息。称带标签的签密密钥封装机制 SCtK 具有正确性,当且仅当对任意的 prmSCtKSetup(1)、(pkS,skS)SCtKKeyGenS(prm)、(pk,sk)SCtKKey-Gen(prm)、(K,)SCtKSym(prm,skS,pk)及 CSCtKEncap(prm,skS,pk,),SCtKDecap(prm,sk,pkS,C,)=K 以(1negl()的概率成立。定义 517(带标签的签密密钥封装机制的DMINDiCCA 安全游戏)挑战者C与攻击者A按以下步骤进行安全游戏:(1)设置阶段:挑战者
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 完整 内部 安全 混合 方案设计 分析 廖钰城
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。