吕 佳,曹素珍,寇邦艳,张志强,韩龙博

(西北师范大学 计算机科学与工程学院,兰州 730070)

0 概述

随着5G网络的迅速发展[1-2],用户在体验5G网络带来便利的同时[3-4],也承担着隐私信息被泄露的风险,因此安全问题成为当前5G网络研究的热点之一[5-6]。无证书的发展历程从传统公钥密码体制开始,由于传统公钥密码体制存在公钥证书管理的问题,因此文献[7]提出基于身份的密码体制,但是基于身份的密码体制存在密钥托管问题。为解决密钥托管这一问题,文献[8]提出基于无证书的公钥密码体制,其中用户私钥由两部分组成,一部分是用户秘密值,另一部分是密钥生成中心(Key Generation Center,KGC)产生的部分私钥。

5G网络环境下的安全问题越来越突出。文献[9]指出5G网络的安全问题可能会成为制约其发展的瓶颈,并明确5G网络中用户身份与数据隐私保护的重要性。文献[10]给出5G网络初级阶段的系统架构,并阐述5G网络中涉及的网络安全、用户安全及应用安全等问题。文献[11]通过不同的5G网络切片部署不同的公共密钥密码系统来解决5G环境下异构系统之间的安全性问题,但忽视了身份隐私泄露问题。文献[12]提出将数字签名和身份信息隐藏相结合的方案,由于该方案需建立零往返传输时间连接,因此对信息传输的安全性有所忽视。文献[13]提出基于KP-ABE的匿名接入认证方案,通过加密算法及建立用户设备与归属网络之间的假名来保护用户身份隐私信息。文献[14]所提方案基于身份的签密技术[15],使协议运行所产生的记录不会泄露参与者身份信息,从而保护用户身份隐私。文献[16]提出签密概念并得到了广泛应用和关注。为避免5G技术为用户提供方便快捷的同时[17],敏感隐私数据被恶意盗取的问题,本文在文献[14,16]的基础上,结合无证书密码体制,提出基于5G网络的无证书身份隐藏签密方案。该方案在解签密阶段,签密者的身份信息不作为输入数据,以此完成对用户身份信息的隐藏。与此同时,签密者的身份信息作为解密阶段的输出之一用于解决用户认证的正确性验证问题,敌手就无法攻击并获取签密者的隐私,从而有效防止数据传输过程中可能存在的各种攻击。

1 相关知识

1.1 双线性映射

设G1和G2是阶为素数q的循环群,P是G1的一个生成元,若e:G1×G1→G2符合以下性质的描述,则称e是一个双线性映射[18-19]。

2)非退化性:e(P,P)≠1。

1.2 困难问题假设

2 系统模型与算法模型

2.1 系统模型

系统模型参与实体包括密钥生成中心、发送方Alice、接收方Bob及5G互联网环境,如图1所示。

1)密钥生成中心:产生部分密钥,并将其安全密钥发送给用户。

2)发送方Alice:将明文进行加密,通过5G移动通信网与接收方之间建立对话。

3)接收方Bob:接收发送方发送的密文,并获取发送方Alice的请求和身份信息,通过验证解密的消息,Bob可以确定请求是否来自Alice,然后选择是否接受会话。

4)5G移动通信网:为发送者和接收者之间建立实现双方合法会话的通信连接。

图1 系统模型

2.2 算法模型

无证书签密方案由以下6个算法组成。

1)Setup:安全参数k作为输入,KGC生成系统参数params作为公开参数和主密钥ω,其中KGC保存ω秘密。

2)Partial-Key-Extract:输入用户身份IDi、主密钥ω和系统参数params,KGC计算生成用户IDi的部分私钥Di和部分公钥Ri并发送给用户IDi。

3)Set-Private-Secret-Value:根据用户身份信息IDi及系统参数params,计算该用户的私有秘密值。

5)Signcrypt:将系统参数params、消息m、签密者的私钥SKs、签密者身份信息IDs、解签密者的身份信息IDr、解签密者的公钥PKr作为输入,计算并输出签密密文C。

6)Unsigncrypt:将系统参数params、密文C、签密者的公钥PKs及解签密者私钥SKr作为输入,计算并经过验证判断所得消息是否合法,如果合法,则输出消息m和签密者的身份信息IDs,否则输出⊥。

3 方案设计

3.1 系统建立

3.2 用户部分密钥提取

用户部分密钥提取步骤具体如下:

2)KGC将计算得到的Ri、Di分别作为用户的部分公钥和私钥,通过安全信道发送给用户。

3.3 用户私有秘密值提取

3.4 用户完整密钥产生

用户完整密钥产生步骤具体如下:

1)输入params和数据用户的私有秘密值,计算Xi=xiP,用户公钥PKi为{Ri,Xi}。

2)用户私钥SKi为{Di,xi}。

3.5 签密

为将一段消息m进行签密,给定IDs、SKs、IDr、PKr,对消息m的签密过程如下:

2)预共享密钥为PSSV=e(Ws,H1(IDs,Rs)·P)ω,计算qr=H1(IDr,Rr)、F=u(Rr+qrP0)+vXr。

3)计算g=H2(m,F,U)、h=H3(m,F,V)和δ=gDs+hxs+u+v+H1(IDs,Rs)·ω。

4)计算密文C=(m‖δ‖IDs)⊕F,发送(C,U,V,N)给接收者。

3.6 解签密

接收者在接收到发送者发来的信息(C,U,V,N)后,执行如下解签密步骤:

1)计算F′=DrU+xrV、PSSV=e(Wr,N)。

2)对密文C进行解签密(m‖δ‖IDs)=F′⊕C,解签密输出消息m和IDs。

3)计算g′=H2(m,F′,U)、h′=H3(m,F′,V)和qs=H1(IDs,Rs)。

4 安全性分析

4.1 正确性证明

为验证本文基于无证书的身份隐藏签密方案的正确性,具体过程如下:

其中,F=F′,故等式成立,正确性验证成立。

4.2 安全性证明

证明若假设存在敌手能攻破本文方案,则一定存在一个能利用敌手A1来解决DDH困难问题的挑战者B。

输入(P,αP,βP,T)∈G为挑战实例,B的目标是计算并判定等式T=αβP是否成立。将B与A1进行模拟游戏,过程如下:

1)初始化

游戏开始阶段,挑战者B运行Setup算法,产生参数(p,q,G,P,P0),并将产生的参数发送给敌手A1。生成系统公钥为P0=ωP,不公开主密钥。

2)第一阶段询问

(1)H1询问

(2)H2询问

(3)H3询问

德国汉诺威展览公司林业木工展全球总监Christian Pfeiffer、德国木工机械制造商协会总经理Bernhard Dirr博士和汉诺威米兰展览会(中国)有限公司董事总经理刘国良在新闻发布会上做了主题发言，汉诺威米兰展览(上海)有限公司副总经理申倩主持会议。

(4)部分私钥提取询问

(5)私有秘密值询问

敌手A1查询用户身份IDi的秘密值,挑战者B应答并返回对应的私有秘密值xi。

(6)公钥提取询问

敌手A1查询用户身份IDi的公钥,挑战者B将用户IDi的公钥作为应答返回给敌手。

(8)签密询问

(9)解签密询问

提交密文(Ci,Ui,Vi,Ni)、接收者身份IDb,如果IDb≠ID*,B计算F=DbUi+xbVi,解密消息(mi‖δi‖IDa)=Fi⊕Ci,查询列表L2和L3,如果L2中存在元组或L3中存在元组,取得gi和hi,验证等式δiP=gi(Ra+qaP0)+hiXa+Ui+Vi+Ni成立,则返回mi作为应答;否则,列表L2和列表L3中如果不存在或者存在元组,通过验证,结果不成立,那么返回失败符号⊥;否则,IDb=ID*,B不具有ID*的完整私钥,不具备解密密文的条件,那么B对列表Ls进行查询,如果表Ls中存在元组,则B返回mi作为应答,否则Ls中不存在相对应的元组,那么返回失败符号⊥。

3)挑战

4)第二阶段询问

在这一阶段询问中,敌手除了不能进行部分私钥和对于挑战密文的解签密询问外,A1可以继续进行其他询问。

5)猜测

证明若先假设存在敌手A2能攻破本文的无证书身份隐藏签密方案,则一定存在利用A2来解决DDH问题的挑战者B。

1)初始化

2)第一阶段询问

(1)哈希询问

H1、H2、H3询问与定理1相同。

(2)部分私钥提取询问

(3)私有秘密值询问

当敌手A2查询用户身份IDi的秘密值时,如果IDi=ID*,则游戏被B终止;否则,B将与之对应的私有秘密值xi作为应答返回给敌手。

(4)公钥提取询问

与定理1相同。

(5)公钥替换询问

在进行公钥替换询问时,敌手A2首先提交用户的身份IDi以及进行公钥替换的公钥Xi′,然后敌手A2进行询问,若IDi=ID*,则B将终止游戏;否则,B将原公钥替换为Xi′,并将与之对应的私有秘密值xi作为应答进行返回。

(6)签密询问

(7)解签密询问

与定理1相同。

3)挑战

4)第二阶段询问

在这一阶段中,敌手A2除了不能进行部分私钥询问以及对于挑战密文的解密询问外,A2可以执行以上的其他询问。

5)猜测

5 效率分析

在Visual C++实验环境下,本文利用PBC库对文献[12]方案(方案1)、文献[14]方案(方案2)与本文方案进行仿真对比,通过折线图对方案效率进行比较。由图2可知,在密钥生成阶段,随着用户个数的增加,本文方案增长速度较慢,并且效率略高于方案1和方案2。由图3可知,在签密阶段,随着用户个数的增加,本文方案的优势越来越明显。由图4可知,在解签密阶段,不仅本文方案运行时间的增长幅度一直小于方案1和方案2,而且运行时间也一直处于优势。由图5可知,在验证阶段,本文方案的运行时间随着用户数量的增加一直处于高效状态。由图6可知,本文方案在整体运行阶段尤其是签密和解签密阶段具有明显优势。

图2 密钥生成阶段的方案效率比较

Fig.2Comparison of scheme efficiency in the keygeneration phase

图3 签密阶段的方案效率比较

Fig.3Comparison of scheme efficiency in thesigncryption phase

图4 解签密阶段的方案效率比较

Fig.4Comparison of scheme efficiency in theunsigncryption phase

图5 验证阶段的方案效率比较

图6 4个阶段的方案效率比较

6 结束语

5G网络的普及给人们的生活带来极大便利的同时,也将用户的身份信息直接暴露在公开网络中。因此在5G网络的使用过程中,安全问题显得尤为重要,为解决用户身份信息泄露的问题,本文基于无证书的密码体制,提出适用于5G网络环境的签密方案。该方案将签密者的身份与其公钥绑定并且不作为解签密的输入信息,既实现了对签密者身份信息的隐藏及用户身份信息的隐私保护,又能防止替换公钥攻击。安全性分析结果表明,本文方案在随机预言模型下是可证安全的。下一步将设计结合用户身份信息与用户位置信息的隐私保护方案,实现位置和身份的双重匿名。