1、代 号分类号10701TN 918.1学 号密 级1009120519公 开题(中、英文)目 无证书公钥密码算法的研究与分析Research on Certificateless Public Key CryptographyScheme and Its Analysis作者姓名学科门类刘文军事学指导教师姓名、职务学科、专业傅晓彤密码学副教授提交论文日期 二 一三年三月西安电子科技大学创新性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果;也不包含为获得西安电子科技大
2、学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切相关责任。本人签名:_ 日期:_西安电子科技大学关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业离校后,发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学校有权保留送交论文的复印件,允许查阅和借阅论文;学校可以公布论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。(保密的论文在解密后遵守此
3、规定)本人签名:_导师签名:_日期:_日期:_摘要无证书公钥密码体制(Certificateless Public Key Cryptography , 简称 CLPKC),是在传统的基于证书的公钥密码体制和基于身份的公钥密码体制的基础上提出的一种新的公钥密码体制。无证书公钥密码体制不但解决了传统的基于证书的公钥密码体制中庞杂的证书管理问题,而且解决了基于身份的公钥密码体制中的密钥托管问题。在实际应用当中,高效和安全是大家设计方案所追求的目标,如何设计安全高效的无证书公钥密码算法一直是大家关注的焦点。本文首先提出了一个无证书公钥密码体制下高效的加密方案;其次提出了一个传统的基于证书的公钥密码体
4、制到无证书公钥密码体制下的密钥协商方案,随后构造了一个基于身份的公钥密码体制到无证书密码体制下的密钥协商方案;最后提出了一个基于身份的公钥密码体制到传统的基于证书的公钥密码体制下的多个接收者的签密方案。同时,对所提出的方案进行了安全性证明和效率分析。(1) 基于对效率的需求,提出了一个高效的无证书公钥加密方案。该方案没有使用双线性映射,相比已经存在的一些无证书加密方案,所提出的方案更高效、可行。新提出的方案同样适用于一些带宽资源受限的通信网络中,如 Ad-hoc 网络、无线网络及无线传感器网络。(2) 基于双线性映射,提出了传统的基于证书公钥密码体制到无证书公钥密码体制下和基于身份公钥密码体制
5、到无证书公钥密码体制下的可认证密钥协商方案。安全性是基于广义的双线性 Diffie-Hellman 问题,所提出的方案使得不同密码系统间的用户能够共享安全的会话密钥。所提出的方案在不增加额外的计算代价的同时能够实现最少的交换次数。(3) 基于双线性映射,构造了一个基于身份的公钥密码体制到传统的基于证书的公钥密码体制下的多个接收者的签密方案。方案的安全性是基于广义的双线性Diffie-Hellman 问题,所提出的方案在保证私密性的同时满足可认证性,而且能够实现基于身份的公钥密码体制到传统的基于证书的公钥密码体制下的保密通信。关键词:无证书公钥密码体制 加密 密钥协商 签密 双线性映射Abstr
6、actCertificateless public key cryptography (CLPKC) is a new type of public keycryptography, which is developed on the foundation of identity-based public keycryptography (IDPKC) and traditional public key cryptography (TPKC). CLPKC notonly deals with the certificate management of TPKC, but also elim
7、inates the key escrowproblem of IDPKC.In a practical application, security and efficiency affects the goals we claim to bepursuing. How to design an efficient and secure scheme in CLPKC is a focus these days.Firstly, this paper proposes an efficient encryption scheme in the CLPKC. Secondly,key agree
8、ment schemes of TPKC to CLPKC and IDPKC to CLPKC are proposed.Finally, a signcryption scheme of IDPKC to TPKC is proposed. At the same time, wedemonstrate the security and make a detail analysis for these proposed schemes.(1) In order to meet the requirement of efficient, this paper shows an efficie
9、ntscheme in CLPKC, which eliminates bilinear pairings. Compared with existingencryption schemes, this new scheme is more efficient and practicable. It is moresuitable for the restricted bandwidth of the communication environment, such asAd-hoc networks, wireless networks wireless sensors.(2) Based o
10、n Generalized Bilinear Diffie-Hellman Problem, this paper utilizesbilinear pairings to propose TPKC to CLPKC scheme and IDPKC to CLPKC scheme.These schemes can establish secure session key and minimize message exchange timewith no extra cost.(3) Based on Generalized Bilinear Diffie-Hellman Problem,
11、this paper utilizesbilinear pairings to show a construction of IDPKC to TPKC multi-receiver signcryptionscheme which can achieve privacy and authenticity simultaneously. This scheme canachieve secrecy communication with IDPKC to TPKC.Keywords: certificateless public key cryptography; encryption; key
12、agreement; signcryption; bilinear pairing目录第一章1.11.21.31.4第二章2.12.22.32.4第三章3.13.23.3第四章绪论 1研究背景和意义1研究现状. 21.2.1 无证书公钥密码体制背景知识.21.2.2 公钥密码体制的信任等级 4本文的主要工作4本文组织结构5基本概念及基础理论7双线性对及数论基础知识 72.1.1 基础知识. 72.1.2 有关困难问题及其假设 82.1.3 Hash 函数. 8公钥加密算法、签密算法以及密钥协商算法的模型 92.2.1 公钥加密算法模型92.2.2 签密算法模型. 92.2.3 密钥协商算法模型
13、10可证明安全性理论 112.3.1 可证明安全理论的发展过程.112.3.2 随机预言机模型112.3.3 标准模型. 12本章小结. 12无证书公钥加密方案13无证书加密方案的基础知识.133.1.1 无证书加密方案的定义 133.1.2 无证书加密方案的安全模型 13基于 CDH 问题的无证书加密方案.153.2.1 方案的构造. 153.2.2 安全性证明. 153.2.3 效率分析. 19本章小结. 19多系统之间的密钥协商方案 214.1 IDPKC 和 CLPKC 之间的密钥协商方案的定义.214.2 密钥协商方案的安全属性和安全模型 214.3 方案构造 234.4 安全性证明
14、 264.5 本章小结 30第五章第六章IDPKC-TPKC 多个接收者的签密方案 315.1 IDPKC-TPKC 多个接收者的签密方案的定义. 315.2 签密方案的安全模型. 315.3 方案构造 325.4 安全性证明 335.5 效率分析 365.6 本章小结 36结束语.37致谢 39参考文献.41研究成果.47第一章 绪论 1第一章 绪论1.1 研究背景和意义近年来,随着计算机网络的快速发展,密码技术在网络信息安全保障中拥有着举足轻重的地位。对于现代密码学,在 1977 年由 Diffie 和 Hellman1所提出的公钥密码体制对密码学具有划时代的意义。对称密码体制与公钥密码体
15、制在密钥分配的表现形式上截然不同。在对称密码体制下,通信双方的用户是秘密保存着同一个共享的密钥;然而在公钥密码体制下,用户拥有一对密钥,其中公开一个密钥作为公钥,秘密保存另一个密钥作为私钥。对于保密通信,在对称密码体制下,收发双方都是利用相同的密钥对消息进行加密,随后通过公共信道进行消息传播。但是在公钥密码体制下,消息发送者利用接收者的公钥加密消息,将密文在公开的网络中进行传送。当接收者收到密文后利用自身的私钥进行密文解密并恢复消息。无证书公钥密码体制的提出是建立在传统的基于证书的公钥密码体制(Traditional Public Key Cryptography , 简称 TPKC)和基于身
16、份的公钥密码体制(Identity-Dased Public Key Cryptography,简称 IDPKC)的基础之上的。基于证书的公钥密码体制在当代计算机的安全通信中起着至关重要的作用。该体制是利用数字证书的方式来建立用户的公钥与私钥之间的关系。但是,随着计算机的飞速发展,计算机用户的急剧增大,公钥基础设施(Public Key Infrastructure,简称 PKI)将面临着高昂的计算代价和庞杂的证书管理问题,这就促使着公钥密码体制的不断创新和发展。为此,Shamir2提出了基于身份的公钥密码体制。该体制的提出大大简化了公钥基础设施中庞杂的证书管理问题。在基于身份的公钥密码体制下
17、,用户可以用一些能代表身份的信息诸如 E-mail 地址、电话号码来作为用户的公钥,而私钥的生成则是利用诚信的第三方密钥生成中心 (Private Key Generation Center,简称 PKG)来完成。同时,用户能够验证私钥的正确性与合法性。但不幸的是,由于私钥是密钥生成中心来完成的,所以密钥生成中心知道所有用户的私钥。对于密钥生成中心而言,任何用户之间的通信都如同是以明文的方式进行传送。这就使得基于身份的公钥密码体制存在内部密钥托管问题。所幸的是, 在 2003 年Al-Riyami 和 Paterson3提出的无证书公钥密码体制能够很好的解决基于证书的公钥密码体制以及基于身份的
18、公钥密码体制所存在的问题。解决的这些问题的主要原因归结于该体制的私钥生成过程。在无证书公钥密码体制下,用户的私钥一部分是由密钥生成中心利用用户的身份信息来产生,而另一部分是由用户自己选择秘密值来完成整个私钥的生成。从而彻底解决了基于证书的公钥密码体制和基于2 无证书公钥密码算法的研究与分析身份的公钥密码体制存在的问题。安全协议是计算机网络的一个重要的组成部分,一个好的安全协议能够帮助我们在公共网络上实现安全的通信。第一个密钥协商协议是由 Diffie-Hellman1首次提出,该协议的安全性是依赖于离散对数的困难性问题。但是,不幸的是他们所提出的密钥协商协议存在中间人攻击。所以在无证书的公钥密
19、码体制下解决了基于身份的公钥密码体制的密钥泄露的缺陷。在公钥密码体制下,公钥加密能够帮助用户实现消息的保密性,是因为没有接收者的私钥是无法将密文恢复成明文消息。对于公钥密码体制不但能够实现消息的保密性,而且它还很容易实现第二种用途,就是对消息进行认证,我们称这种方法为数字签名。当用户的要求并不仅仅局限在保密性的时候,我们可以引入数字签名技术对消息进行先签名再加密,使得密文在满足保密性的同时又满足可认证性。对于上述问题,如果用户考虑到该通信网络带宽资源受限及效率的情况,我们可以通过另外一种途径来处理,那就是签密。因此,在 1997 首次由 Zheng4提出了签密这一概念。签密(Signcrypt
20、ion) 是一种结合数字签名和加密的一种新密码技术,签密方案一般比先签名再加密的方案高效。其思想是:发送者利用自己的私钥及接收者的公钥对消息进行签密,将密文在公共信道上传输,接收者收到密文后利用接收者自己的私钥以及发送者的公钥对密文进行解密和认证。这样做不仅满足保密性和可认证性,同时节省了带宽资源,使得方案的运行效率得到大大提高。1.2 研究现状公钥密码体制下的算法一直是人们关注的焦点。本节主要介绍国内外公钥密码体制算法的研究现状。1.2.1 无证书公钥密码体制背景知识在传统的基于证书的公钥密码体制中,通过证书的形式来实现用户公钥和私钥的认证过程。所谓证书,实际上就是对用户的私密信息进行的数字
21、签名。该方法的优点是能够达到最高级(Level 3)5的信任级别,但是缺点是需要高昂的计算代价和庞杂的管理问题。随着基于身份的公钥密码体制的提出,使得它在密码学中快速发展,也成为许多研究者关注的焦点。许多基于身份的公钥密码体制下的公钥加密方案6-9以及数字签名方案 10-13相继被提出。第一个高效的基于身份的加密方案是由 Boneh 和 Franklin14提出,方案构造过程利用双线性映射并在在随机预言机模型下给出了方案的安全性证明。随后,由文献15,16提出一个在标准模型下可证明安全的公钥加密方案,该方案在安全性上是利用了我们所熟知的选择身份模型第一章 绪论 3(Selective-ID),
22、但是这种安全程度要比标准模型逊色一些。于是在 2004 年,Boneh和 Boyen17又提出了一个在标准模型下可证明安全的公钥加密方案,但是由于方案的效率较低,难以应用于实际环境。而后,在 2005 年 Waters18 利用双线性映射提出一个在标准模型下可证明安全的高效的公钥加密方案,同时也给出了一个签名方案。无论是传统的基于证书的公钥密码体制还是基于身份的公钥密码体制都存在自身的缺陷。基于对这两种密码体制的研究,在 2003 年,由 Al-Riyami 和 Paterson3首次提出无证书公钥密码体制这一概念。该体制的提出从根本上解决了传统的基于证书的公钥密码体制和基于身份的公钥密码体制
23、的内在缺陷。由于无证书公钥密码体制不需要用公钥证书来认证用户的公钥,因此,在讨论任何一个无证书公钥密码方案的安全性时,我们都必须考虑到敌手可以利用自己选择的任意值来替换任何用户的公钥。也就是说,在无证书公钥密码体制中,要考虑两种类型的攻击者。类型 I 的攻击者 A 不能获知系统主密钥,但可以随机选择新的公钥来替代任何目标用户的公钥;类型 II 的攻击者 A 可以获知系统主密钥,但不能替代目标用户的公钥。Al-Riyami 和 Paterson 在文献 3中第一次提出一个无证书公钥密码体制下的公钥加密方案、数字签名方案以及密钥协商方案。但是由于频繁的使用双线性映射使得方案的整体效率较低。在 20
24、05 年,他们又提出了另外一个无证书公钥加密方案,但是 Zhang-Feng19和 Libert-Quisquater20却分别指出他们所提出方案不安全并给出了攻击过程。随后,在 2006 年 Libert-Quisquater20利用改进的 FO 技术21, 22在弱化安全性强度的情况下提出了四个无证书公钥密码体制下的公钥加密方案,其中有三个方案是一般性构造,有一个方案给出了具体构造。近期,Cheng et al.23提出了在困难性 BDH2,2,2 问题下的两个无证书公钥加密方案,并证明了方案的安全性。与此同时,也有一些在标准模型下的无证书公钥加密方案24-29被提出。随着无证书公钥密码体
25、制的提出,大量的无证书公钥密码体制下的密钥协商协议30-35方案相继被提出。当大部分人都集中于单个系统之间算法研究的时候,我们设想去实现一个基于身份的公钥密码体制到无证书的公钥密码体制下的算法。基于此我们提出了无证书密码体制到基于身份的密码体制下的密钥协商算法和无证书密码体制到传统的基于证书的密码体制下的密钥协商算法。这些方案有着实际的应用背景。可认证的密钥协商协议不仅能够使得用户能够共享密钥,而且可以实现双方的可认证性。大部分现存的密钥协商方案 36-40都是利用双线性映射来构造的。签密是将公钥加密和数字签名结合使用的一种方法,签密算法在效率上优于先签名再加密的算法。在 1997,首次由 Z
26、heng4提出了签密这一概念。随后,许多无证书签密41-43方案被相继提出。但是文献44却给出了他们的攻击方式,并证明4 无证书公钥密码算法的研究与分析他们的方案是不安全的。随后,文献 45提出了一个标准模型下的签密方案,但是由于证明的严谨性不够使得文献 46找出了方案的安全性漏洞并对此进行了攻击。无证书公钥密码体制下的多个接收者的签密方案第一次由 Selvi 在文献47中给出,并给出了方案的安全性证明。随后,文献48发现原始方案中存在类型 I 的敌手能够攻击方案,并给出了改进方案。但是可惜的是,提出的改进方案在文献 49看来是存在漏洞的。如果在基于身份的公钥密码体制下的一个用户想要发送消息给
27、基于证书的公钥密码体制下的诸多用户,那么就可以不用为每对收发双方的用户分别设计算法。因为给收发双方的用户分别设计方案会使得方案的整体效率和计算代价比较高。因此,为了满足高效性,我们构造了一个基于身份的公钥密码体制到传统的基于证书的公钥密码体制下的多个接收者的签密方案,其中在传统的基于证书的公钥密码体制下的一个用户 B,该用户的公钥和私钥对( IDB , DB ) 。对于基于证书公钥密码体制下的多个接收者 A (i 1 n) 他们的公钥和私钥对是 ( Yi , xi ) 。1.2.2 公钥密码体制的信任等级在传统的基于证书的公钥密码体制中,认证中心需要认证用户的公钥从而保障任何人无论何时何地都可
28、以访问公开的证书目录。在基于身份的公钥密码体制中,密钥生成中心帮助用户生成私钥。而这些系统安全的前提都是认证中心和密钥生成中心是绝对可信的,对于权威机构的信任等级可以分为以下标准:信任等级 1:权威机构能够获取用户的私钥,能够在任何情况下冒充或欺骗用户并且不被发现。信任等级 2:权威机构不能够直接获取到用户的私钥,但是能够通过制造假的公钥证书来冒充或欺骗用户并且不被发现。信任等级 3:权威机构不能够获取到用户的私钥,但是能够通过生成假的公钥证书来冒充或欺骗用户,但是这个过程是能够被发现的。由此我们可以看出,基于公钥证书的公钥密码体制 TPKC 能够达到信任等级 3;基于身份的公钥密码体制 ID
29、PKC 能够达到信任等级 1;如果无证书的公钥密码体制 CLPKC 方案设计的恰当,能够达到安全等级 3。1.3 本文的主要工作本文针对无证书公钥密码体制的算法设计与分析展开研究。首先,提出了一个在无证书的公钥密码体制下的加密方案,由于方案取消了双线性映射使得方案的总体效率较高。与此同时,提出了传统的基于证书的公钥密码体制到无证书公钥密码体制下的密钥协商方案和基于身份的公钥密码体制到无证书公钥密码体制下的密钥协商第一章 绪论 5方案,这些方案有着实际应用的场景。最后,提出了一个基于身份的公钥密码体制到传统的基于证书的公钥密码体制下的多个接收者的签密方案。所提出的方案均在随机预言机模型下基于困难
30、性问题给出了安全性证明。1.4 本文组织结构本文的组织结构主要有如下五章:第一章主要介绍论文的研究背景与国内外无证书公钥密码算法的研究现状及多系统之间的公钥密码方案的研究情况。第二章引入文中所需的预备知识、基础理论知识以及可证明安全理论的研究状况。第三章基于困难性 CDH 问题提出了一个无证书公钥加密方案,给出了方案的安全性定义及安全性证明。第四章首先基于困难性 GBDH 问题提出了传统的基于证书的公钥密码体制到无证书公钥密码体制下的密钥协商方案。其次基于困难性 GBDH 问题提出了基于身份的公钥密码体制到无证书公钥密码体制下的密钥协商方案。第五章基于困难性 GBDH 问题提出了一个基于身份的
31、公钥密码体制到传统的基于证书的公钥密码体制下的多个接收者的签密方案。第六章对无证书公钥密码算法进行了总结,并对进一步的研究工作进行了展望。6 无证书公钥密码算法的研究与分析第二章 基本概念及基础理论 7第二章 基本概念及基础理论对于密码算法的研究需要用到许多数学理论知识,如数论、抽象代数、计算复杂性理论和可证明安全理论等。因此,在本章我们给出所用到的数学知识以及背景知识,因为这些都是后面章节的理论基础。2.1 双线性对及数论基础知识2.1.1 基础知识在 2000 年,首次由 Joux 在文献50中利用椭圆曲线中的 Weil 对成功构造了一个密钥交换协议。随后,Boneh 和 Franklin
32、 同样利用 Weil 对构造了一个基于身份的加密方案51。这些方案的成功构造使得人们对 Weil 对产生了极大的兴趣。随之人们以双线性映射为基础提出了的各种各样的密码算法,它成为近些年来的焦点问题。对双线性映射内容的简要介绍,详见文献 52。我们给出在算法中所用到的基础知识。定义 2.1(群):设 G 是一个非空集合。如果在群 G 上定义了一个代数运算,称为乘法,记作 ab (或称为加法, a b ),而且它适合以下条件,那么 G 称为一个群:(1) 对于 G 中任意元素 a, b, c 有 a(bc) (ab)c (结合律);(2) 在群 G 中有一个元素 e ,对于群 G 中的任意元素 a
33、 都有 ea a ;(3) 对于群 G 中任一元素 a ,在群 G 中都存在一个元素 b 满足 ba e 。定义 2.2(循环群) :若由群 G 的一个元素 P 的幂次能够恰好构成 G 群,即G e, P, P 2 ,., P n 那么称 G 为循环群,元素 P 称为 G 的生成元素。定义 2.3(阿贝尔群 ):如果群 G 上的运算满足交换律,那么群 G 就定义为阿贝尔群或者交换群。定义 2.4(域 ):对于群 G 上存在的两种运算“+”和“ ” 满足以下条件:(1) 群 G 对于加法运算构成一个阿贝尔群;(2) 在群 G 0上对于乘法运算构成阿贝尔群;(3) 两种运算满足分配律: a (b
34、c) a b a c定义 2.5(双线性映射) : 假设 G 是一个由生成元 P 所产生的加法循环群, G 的阶为素数 q , GT 是一个有着与 G 相同阶的乘法循环群。我们说 e 为一个双线性映射,定义 e : G G GT 。它满足如下性质:8 无证书公钥密码算法的研究与分析(1) 双线性:令 P, Q G , a, b Z q* ,则 e(aP, bQ) e(P, Q) ab 。(2) 非退化性:令 P G ,则 e(P, P) 1。(3) 可计算性:令 P, Q G ,则 e(P, Q) 的计算是可行的并且是容易的。2.1.2 有关困难问题及其假设假设 G 是一个由生成元 P 产生的
35、加法循环群, G 的阶为素数 q ,假定 G 中的逆运算和乘法运算都可以有效的计算。 GT 是与 G 阶数相同的乘法循环群,并且存在双线性映射 e : G G GT 。我们引入群上的困难问题。(1) 计 算 性 Diffie-Hellman 问 题 (Computational Diffie-Hellman Problem,CDH): 对于随机值 a, b Z q* ,给定 P, aP, bP ,计算 abP 是困难的。(2) 双线性 Diffie-Hellman 问题(Bilinear Diffie-Hellman Problem, BDH):对于随机值 a, b, c Z q* ,给定 P
36、, aP, bP, cP ,计算 e(P, P)abc GT 是困难的。(3) 广义的双线性 Diffie-Hellman 问题 (Generalized Bilinear Diffie-HellmanProblem, GBDH) : 对 于 随 机 值 a, b, c Z q* , 给 定 P, aP, bP, cP , 计 算(Q G, e(P, P)abc GT ) 是困难的。2.1.3 Hash 函数Hash 函数,又称哈希函数、杂凑函数、或散列函数,是密码体制中常用的一类单向函数。在我们生活中经常遇见的有 SHA-1,MD5 等。所谓杂凑函数 y H ( x)通常满足如下三条性质:(
37、1) 将任意长度的比特串压缩成某一固定长度的比特值。通常 Hash 函数的值域的范围比定义域的范围要小得多;(2) 已知 x ,计算 y H ( x) 很容易;然而已知 y 寻找一个 x 满足 y H ( x) 却很困难,即单向性;(3) 寻找一对 ( x1, x2 ) ,使得 x1 x2 和 H ( x1 ) H (x2 ) ,这是很困难的,即无碰撞性。在密码学中,Hash 函数通常满足一下三个安全性方面的要求:(1) 单向性(如上所性质 1 所述) ;(2) 弱抗碰撞的:已知 x1,寻找 x1 x2 ,使得 h( x1 ) h( x2 ) 在计算上是困难的;(3) 强抗碰撞的:寻找两个不同
38、的 x1 与 x2 ,使得 h( x1 ) h( x2 ) 在计算上是困难的。对于一个应用于密码体制中的 Hash 函数值 h ,不仅要求对任意的输入数据 x ,计算 h( x) 是容易的,而且要求 h 是强抗碰撞的。第二章 基本概念及基础理论 92.2 公钥加密算法、签密算法以及密钥协商算法的模型2.2.1 公钥加密算法模型公钥加密可以实现保密通信。通常由三个算法组成:(1) 密钥生成算法:当输入安全参数,该算法生成用户的公钥和私钥 ( pk , sk );(2) 加密算法:当输入接收者的公钥 pk 以及加密消息 m ,该算法生成密文 c ;(3) 解密算法:当输入接收者的私钥 sk 和密文
39、 c ,该算法恢复出消息 m 或 。攻击者(窃听者)加 密 解 密消息 m 算 法 算 法 消息 m传 (Alice) 传输密文 (Bob)输sk B密钥生成算法pkB图 2. 1 公钥加密2.2.2 签密算法模型签密是一种将数字签名和加密结合使用的一种方法,该算法在效率上优先于先签名再加密。签密是在 1997 年由 Zheng4提出。包括以下三个算法:(1) 密钥生成算法:当输入安全参数,该算法生成用户的公钥和私钥 ( pk , sk );(2) 签密算法:当输入发送者的私钥 sk 、接受者的公钥 pk 以及消息 m ,该算法生成关于消息 m 的签文 c ;(3) 解签密算法:当输入发送者的
40、公钥 pk 、接受者的私钥 sk 以及签文 c ,该算法输出 m 或 。10 无证书公钥密码算法的研究与分析攻击者(窃听者)Alice 的公钥sk A签 密pk A解 签消息 m 算 法 密 消息 m传 (Alice) 传输密文 (Bob)输sk BpkBBob 的公钥图 2. 2 签密2.2.3 密钥协商算法模型密钥协商算法能够让用户双方共享会话密钥,用户是生成的会话密钥来处理消息 M 。密钥协商算法主要由以下构成:(1) 初始化:当输入安全参数,该算法生成系统参数 params 和主私钥 msk ;(2) 密钥提取:当输入系统参数 params 、主私钥 msk ,该算法生成用户的公钥和私
41、钥 ( pk , sk );(3) 密钥交换:当输入收发双线的公钥和私钥对 ( pk , sk ) ,该算法输出会话密钥 K AB 或 。攻 击者Alice pk A 密 钥 pkB Bob共 享sk A图 2. 3 密钥协商sk B第二章 基本概念及基础理论 112.3 可证明安全性理论2.3.1 可证明安全理论的发展过程在 1982 年,首次由 Goldwasser 和 Micali53首次提出了适应性选择明文不可区分的安全性 IND-CPA (Indistinguishability Chosen-Plaintext Attack)或称之为语义安全。攻击者(Adversary)可以选择两
42、条等长的明文消息 M 1, M 2 ,并且拥有一个密文C *,其中密文是由 M 1 或者 M 2 产生,然而攻击者并不知道。IND-CPA 这一安全属性保证了公钥密码体制中密文在被攻击时是不能泄露其他任何对攻击者有用的信息的。在 1990 年,随着可证明安全理论的发展 Naor 和 Yung54首次提出了选择密文不可区分 IND-CCA1 (Indistinguishability Chosen-Ciphertext Attack)这一安全属性的概念。在 1991 年,首次由 Rackoff 和 Simon55首次提出了适应性选择密文攻击的不可区分性 IND-CCA2 (Indistingui
43、shability Chosen-and-Adaptively-Chosen-Ciphertext Attack)这一更强的安全性的概念。 在 1991 年,由 Dolev56等人提出了非延展性 NM (Non-Malleable)这一安全属性。这些人的工作扩充了可证明安全理论的安全属性,使得可证明安全理论的不断发展。公钥密码体制下的安全模型有:(1) 选择明文攻击 (IND-CPA):攻击者能够适应性的选择明文并且能够获得相应的密文。(2) 选择密文攻击 (IND-CCA1):攻击者除了能够得到适应性的明文外,还可以在挑战密文之前得到密文所对应的解密信息。(3) 适应性选择密文攻击 (IND
44、-CCA2):攻击者能够直接用挑战的密文得到相对应的明文信息,在挑战密文之后,攻击者还可以选择所对应密文的解密信息。2.3.2 随机预言机模型Goldwasser57首次系统的阐述了可证明安全的思想,并且给出了数字签名方案和加密方案所满足的安全性质。我们知道,为了使方案满足一定的安全性,是要以一些效率为代价的。所以,Goldwasser 所阐述的方案消耗了大量的效率使得方案整体变得低效,即便如此这些方案在理论上却有着重要的指导意义。自此可证明安全理论不断发展,在 1993 年由 Bellare 和 Rogaway58, 59首次提出了随机预言机模型(Random Oracle Model)的方
45、法论,简称 ROM。这为先前所提出的可证安全的方案能够用于实践提供了很好地理论依据。在 ROM 中所用到的数学方法就是归约的证明技巧。所谓归约,就是建立一个安全模型。为了证明方案的安全性我们还需要拥有一个模拟器 C,对于算法 C 最终将安全性归约到数学难题之上(如:离散对数问题、大数分解问题以及 CDH 问题等)。ROM 中的归约论断的步骤如下:12 无证书公钥密码算法的研究与分析(1) 形式化给出方案所满足的安全性定义,并且假设存在一个概率多项式时间(Probabilistic Polynomial Time)内的敌手能成功攻击我们所提出的方案。(2) 挑战者 C 为敌手营造一个与真实环境不
46、可区分的一个模拟环境,并且能够正确的回答敌手的每一次询问。(3) 最终,利用敌手攻击的结果我们求解出困难问题。在随机预言机模型下证明的过程中,我们视哈希函数为随机预言机函数。所有人(包括敌手) 都能够通过询问预言机来获取哈希值。所以,我们通过控制这个随机预言机,挑战者 C 就能够在真实攻击环境下利用攻击者的能力来求解数学困难问题。利用随机预言机的如上性质来得到的证明模型称之为随机预言机模型,简称 ROM。2.3.3 标准模型所谓标准模型,其实就是在不借助任何理想或者假想模型下设计的方案。由于在标准模型下并未引入任何假设,所以在标准模型下所设计的方案的安全性比较高。然而,随机预言机模型只是一种假
47、设的理想模型。一个公钥密码体制下的方案在随机预言机模型下可证明安全并不意味着在实际应用中就一定是安全的。之所以随机预言机模型这一概念是有其原因的。原因之一,是利用随机预言机模型可以使得方案变得高效,更能有效的应用于实际当中,同时这样的方案能够抵抗一些未知的攻击。原因之二,在标准模型下,算法中是利用随机预言机来弥补对于私钥的获取,不同的是在该预言机内部的映射并不是随机指定的,而是存在一些函数依赖关系的,那么对于证明来说无疑是增加了方案的设计难度。虽然随机预言机模型并不能在实际应用中给出绝对的安全论断,但是至少在这样的模型下它仍然能够抵抗并且排除很多的隐患,对于实际的应用比较可行。2.4 本章小结
48、本章主要介绍了文中将会用到的一些相关知识。(1) 介绍了一些数论中的基本知识及 Hash 函数的概念和性质。(2) 介绍了无证书公钥加密、密钥协商以及签密算法的模型。(3) 给出了可证明安全理论的一些研究进展,包括随机预言机模型和标准模型的基本概念以及各自的应用背景。第三章 无证书公钥加密方案 13第三章 无证书公钥加密方案为了提高效率,提出了一个基于困难性 CDH 问题在随机预言机模型下满足CCA2 安全的无证书加密方案。与此同时,比较已存在的无证书加密方案,由于所提出的方案取消了对计算代价较高的双线性映射的使用,使得方案的整体效率较高而且能够用于带宽受限的通信网络环境中。3.1 无证书加密
49、方案的基础知识3.1.1 无证书加密方案的定义Al-Riyami 和 Paterson 首次在文献 3给出无证书加密方案的定义,我们简称 AP定义。无证书加密方案由以下 7 个算法组成:(1) 初始化:当输入安全参数 k ,算法输出系统公开参数 params 和主私钥 msk ;(2) 部分私钥提取算法:当输入用户的身份信息 ID 、 msk 和 params ,算法输出用户的部分私钥 DID ;(3) 设定秘密值算法:当输入 params 和用户的身份信息 ID ,算法输出用户设定的秘密值 xID ;(4) 私钥生成算法:当输入 params 、用户的部分私钥 DID 和秘密值 xID ,算法输出用户的完全私钥 skID ;(5) 公钥生成算法:当输入 params 和秘密值 xID
