1、2009 年 3 月 Journal on Communications March 2009第 30 卷第 3 期 通 信 学 报 Vol.30 No.3不可重构用户私钥的基于身份的门限密码系统秦宝山 1,周渊 2(1. 北京邮电大学,北京 100876;2. 国家计算机网络应急技术处理协调中心,北京 100029)摘 要:首先提出一个高效的基于身份的密码系统 EPA,并且证明该方案是明文感知的。然后将 EPA 改造为基于身份的门限密码系统 ThEPA,该门限系统具有不可重构用户私钥的特性。利用这个特性,构造了强壮的私钥门限托管方案,即恶意托管人数大于或等于门限值时仍然无法获取被托管的用户私
2、钥。关键词:基于身份的密码;门限密码;明文感知中图分类号:TP301.6 文献标识码:A 文章编号:1000-436X(2009)03-0027-07ID-based threshold decryption with non-reconstruction of the private keyQIN Bao-shan 1, ZHOU Yuan2(1. Beijing University of Posts and Telecommunications, Beijing 100876, China; 2. National Computer Network Emergency Response
3、Technical Team/Coordination Center of China, Beijing 100029, China)Abstract: An efficient ID-based encryption scheme called EPA was constructed and proved in the sense of plaintext awareness. Then EPA was modified to be a threshold ID-based threshold decryption scheme named ThEPA, which was featured
4、 by a property called non-reconstruction of the private key with it, a robust key escrow scheme based on ThEPA was proposed. In ThEPA, the decryption key is distributed among n decryption servers, but a single private key could not be obtained even if securities of all these distributed servers are
5、compromised. Key words: ID-based cryptography; threshold decryption; plaintext awareness1 引言由于传统的公钥密码系统受到公钥与其主体的身份绑定问题的挑战,人们一直希望能够找到一种途径来简化这个问题。1984 年,Shamir 1试图绕开基于目录的公钥认证框架的束缚,提出了基于身份密码系统的思想。在这种密码系统的密钥产生过程中,公钥直接就是公钥拥有者的身份信息,因此这种公钥密码系统可以很自然地解决公钥与实体身份的绑定问题。基于身份的密码系统之所以可直接将身份信息作为公钥,是因为在其密钥产生过程中,先由实体的
6、身份信息产生公钥,然后再由公钥产 生 对 应 的 私 钥 , 当 然 , 由 公 钥 产 生对 应 私 钥 的 过 程 只 为 私 钥 生 成 器 (PKG, private key generator)所 知 , 对其他实体是保密的。虽然基于身份的思想 1984 年就被提出,但是直到 2001 年,收稿日期:2008-03-28;修回日期:2008-08-31基金项目:国家重点基础研究发展计划(“973”计划)基金资助项目(2007CB311100) ;国家高技术研究发展计划(“863”计划) 基金资助项目(2007AA01Z446);国家自然科学基金资助项目(60873217)Founda
7、tion Items: The National Basic Research Program of China (973 Program)(2007CB311100); The National High Technology Research and Development Program of China (863 Program)(2007AA01Z446); The National Natural Science Foundation of China (NSFC)(60873217)28 通 信 学 报 第 30 卷第一个基于身份的加密方案(IBE)才由 Boneh和 Frank
8、lin2利用双线性配对实现,该方案在随机预言模型下被证明可以抵抗适应性选择密文攻击。其后不久,Cocks 和 Gentry 等又分别提出了新的基于身份的加密方案 3,4。此后,Boneh 和 Boyen提出了一个非常高效的基于身份的加密方案(sIBE) ,该方案在标准模型下被证明可以抵抗指定身份的选择明文攻击 5。Boneh 等建议利用文献6所描述的方法能够将 sIBE 改造成可以 抵 抗 选 择密 文 攻 击 的 版 本 , 然 而 由 于 这 种 方 法 采 用 了 非 交互 零 知 识 的 构 造 , 因 此 构 造 出 来 的 方 案 效 率 非 常低 。 受 到 文 献 7的 启 发
9、 , 本 文 给 出 了 另 一 种 将sIBE 进 行 改 造 成 可 以 抵 抗 选 择 密 文 攻 击 的 方 法 ,改 造 后 的 方 案 ( EPA) 被 证 明 是 明 文 感 知 的 8,同 时 EPA 保 留 了 sIBE 高 效 的 优 点 。此外,本文还对 EPA 进行门限化,构造了一个基于身份的门限密码系统 ThEPA。基于身份门限密码系统的一个直接应用是分享一个拥有若干分布式解密服务器的群组身份(即该群组的公钥)所对应的私钥,从而对于利用群组身份加密后得到的密文,只有达到一定数目的分布式解密服务器共同参与解密操作时,才能够完成对该密文的解密操作。Boneh 和 Fran
10、klin2提出了“分布式PKG”的思想,但是这样做的后果就是至少需要k 个 PKG 同时在线,而且开销过大,往往成为用户业务的瓶颈。为了试图彻底解决基于身份的门限解密问题,Libert 和 Quisquater9提出了利用主密钥分片为用户产生私钥分片的思想。Beak 和Zheng10则提出了一种新的思路,他们并不是对PKG 的主密钥进行门限化,而是由 PKG 直接将用户的私钥进行门限化。这些门限方案都执行着这样一个理念,参与解密服务的解密服务器在执行解密操作过程中无需联合重构用户私钥。但是这些方案有一个共同的问题,当达到门限数目的解密服务器刻意恢复用户私钥时,用户私钥是可以被完全重构的。这种缺
11、陷给了黑客可乘之机。黑客只要攻破一定数目的解密服务器,那么用户的私钥将被完全破解。本文提出的方案 ThEPA 恰恰可以克服这个缺点,即使所有的解密服务器被攻破,也无法重构被门限化的用户私钥。恰恰利用这个特点,可以在基于身份的环境中实施文献11,12中提出的强壮的私钥门限托管,即使达到门限值的解密服务器联合作弊,也无法重构出用户私钥。2 基本定义和概念2.1 随机预言模型中明文感知的概念明文感知(PA, plaintext awareness)的概念是由 Bellare 和 Rogaway13在 1994 年针对公钥密码原语提出来的。最初提出的概念存在缺陷,因此作者在 1998 年对这个概念进行
12、了修正 8。明文感知只有在随机预言模型 10中才成立。为了给出随机预言模型下的明文感知意义的安全性定义,首先考虑一个如公钥密码方案E=(G, K, H E, D) ,其中,H 是随机预言机,供加解密双方共同访问,而 G、K、E 和 D 分别是参数产生算法、密钥产生算法、加密算法和解密算法。需要注意的是,这些算法中的散列函数运算都由对预言机 H 的访问结果来代替。其次考虑一个攻击者 A 和被挑战者 C 之间的一个游戏,这个游戏记为 PA- GAME。建立:被挑战者 C 以 1k 为输入,运行算法 G和 K 获得一个密钥对(pk , sk) ,将 pk 发给攻击者A。询问: 预言机 H-询问( )
13、。被挑战者 C 维ih护一个预言机列表 hH,列表中存放着 ( , )形iiH式的记录(记录的含义稍后解释) 。起初 hH 是空的。当有询问 时,C 首先查看列表 hH 中是否有ih针对 的记录( , ),如果有,将 返回给i i iA。如果没有,那么 C 运行预言机 H 得到答案 ,i将( , )加入 hH 列表中,并将 返回给iiHiA。 加 密 询 问 ( Mi) 。 被 挑 战 者 C 运 行 算 法E, 将 产 生 的 密 文 Ci 加 入 密 文 列 表 CL, 然 后 将Ci 返 回 给 A。挑战:一旦攻击者 A 认为询问结束,它输出一个密文 ,要求这个 在加密询问时没有包含*在
14、密文列表 CL 中,也就是 从来没有被 C 返回给 A。提取明文:被挑战者 C 构造知识提取器 KE。如果 KE 以(hH, CL, )提取出明文 ,使得*MD(sk, ) = ,那么被挑战者 C 就赢得游戏。*CM通过上述游戏可知,被挑战者 C 赢得游戏的概率其实也就是自己构造的提取器 KE 成功提取出明文 的概率,将这个概率记为 Succ ( )。* PAKEk第 3 期 秦宝山等:不可重构用户私钥的基于身份的门限密码系统 29定义 1 PA 意义下安全。如果任意概率多项式攻击者 A,KE 成功提取明文的概率 Succ ( ) PAKEk ( ),那么 KE 被称为 ( )-知识提取器。如
15、kk果 E 在随机预言模型下是不可区分选择明文安全的,而且 1 ( )对于 k 是可以忽略的,那么公钥密码方案 E 在明文感知(PA)意义下是安全的。Bellare 和 Rogaway8还给出了如下定理。定理 1 如果公钥加密方案 E 既是选择明文安全的,又是 PA 意义下安全的,那么 E 是适应性选择密文(IND-CCA2)安全的。对于定理 1,需要注意的是,该定理的逆命题是不成立的。2.2 双线性配对和逆双线性 Diffie-Hellman 假设本文提出方案的安全性是建立在逆双线性Diffie-Hellman 困难问题基础上的,因此本节先简要回顾双线性对的性质 2,然后回顾逆双线性Diff
16、ie-Hellman 问题 5。令 和 分别是 2 个相同素数阶 的乘法循G1 p环群, 是 的生成元,如果映射 : geG满足如下条件,则称为双线性映射。11) 双线性: , , , ,uvabZ都有 ( , ) = ( , ) ;eabveab2) 非退化性: ( , ) 1;g3) 可计算性:对于 , 存在有效算法来计算 ( , )。定义 2 逆双线性 Diffie-Hellman( -BDHI)q参数生成器所谓 -BDH 生成器 IG 就是输入 ,qk在 的多项式时间输出 -BDHI 参数,也就是输出k2 个具有相同大素数阶 的循环群 和 ,一个pG1双线性配对 : ,群 的一个生成元
17、e1,一个( +1)元组( , , , , )gqgx2() ()qxg,以及 。*1)GT*1定义 3 -BDHI 问题。 计算性 -BDHI问题 5:由 -BDHI 参数生成器 IG 产生的 -BDHI 参数(除 以外)作为输入,计算 ( , )eg。 判定 -BDHI 问题 5:由 -BDHI 参1x*qq数生成器 IG 产生 -BDHI 参数作为输入,确定= ( , ) 是否成立。Teg1x设 一 个 概 率 多 项 式 算 法 A 能 够 完 成 定 义 3 所述 -BDHI 问 题 的 概 率 是 , 下 面 给 出 -BDHIqq假 设 。计算/判定 -BDHI 假设:对于 -B
18、DHI 生成qq器 IG,当 足够大时,任意对 多项式不可忽略kk的概率 ,不存在由 IG 生成的 -BDHI 问题0的求解方法,那么就说 IG 是满足 q-BDHI 假设。3 基于身份的明文感知的密码系统 EPA本节首先描述 EPA 的概况,然后给出 EPA 的具体构造,并且证明 EPA 是明文感知安全的。3.1 方案定义在 EPA 方案中,存在一个可信任的私钥生成中心 PKG,负责生成用户私钥以及门限化私钥,PKG 也负责对系统进行初始化,包括选择公共参数(如双线性配对及相应的群等) 。E PA 包括以下4 个算法。1) 系统建立算法 S。以整数 1k( 是系统安全参数)作为输入,产生系统
19、私钥 ,输出系统m参数 PM。系统私钥 由私钥生成器(PKG )保k密,系统参数 PM 公开。2) 私钥提取算法 EXT。以系统参数 PM、系统私钥 和任意字符串 ID 0, 1作为输入,输mk出私钥 。其中,ID 用作公钥, 是 ID 对应的dd私钥。3) 加密算法 E。以系统参数 PM、身份 ID 和消息 作为输入,输出一条密文 。MC4) 解密算法 D。以系统参数 PM、私钥 和某一密文 作为输入,输出 或“?” 。这里C“?”表示密文 不是一条合法的密文或不是一条授权解密的密文。3.2 EPA 的具体构造令 和 分别是 2 个相同素数阶 的乘法循G1 p环群。 是 的生成元。映射 :
20、是geG1双线性配对。系统的明文空间是 ,作为公钥0,k的身份 ID 都是 的元素。同时本系统使用 2 个pZ散列函数: : 和 : 。H0,1k*pF0,k其中 = + , 是一个安全参数。E PA 的 4 个k0具体算法如下。1) 初始化算法 S:选择 , ,并且计xyR*pZ算 = , = ,那么公开参数 PM 和系统私XxgYy钥(主密钥) 为:PM =( , , ) , =(mkgXYmk30 通 信 学 报 第 30 卷, )。xy2) 私钥提取算法 EXT ( , ID): 为了产生mk对应于身份 ID 的私钥,PKG 运算如下。随机选择 ,计算 = rR*pZK1()IDxry
21、g;G输出私钥 =( , ) 。IDd3) 加密算法 E(PM, ID, ): 在公钥 IDM下加密消息 M( = )时,首先选择随机*pZ0k数 ,然后计算密文。s10,k 计算 = ( ),其中| 为字符串连接H|s(以下同) ; 输出密文 = ( , , ( ( , )CIDgXYFeg) ( )。|s4) 解密算法 D(PM, , ): 为了使用私钥Id=( , )对密文 = ( , , )解密,解IDdrKABC密算法如下。 计算 = ( ( , ) ;uFer 如果 = 和 = 这)IDHug()uX()HuY2 个等式成立,那么输出 ,否则输出“?” ,0k为 的前 比特。0k0
22、3.3 EPA 的安全性定理 1 EPA 是明文感知的。证明 参考文献4 易证明,基于 -BDHI 假q设下,E PA 在标准模型(非随机预言模型)下是语义安全的。因此这里需要构造一个知识提取器 ,当攻击者 A 就挑战密文 提出解密询问时,知识y提取器能够提取出对应的明文 M。需要注意的是,当 = , , , 是当攻击者 A 向 C 进行1y2 E若干加密询问时被 C 维护的对应列表,而挑战密文 是不能包含在 中的。 = ( , ), ( ,fF1f2f), , ( , )和 = ( , ), ( , ),2F qFfhHhF, ( , )表示当攻击者 A 向 C 进行若干随 Hh机预言机 F
23、 和 H 的询问时被 C 维护的对应列表。给定 、 、 和 ,知识提取器 从 yfy中提取 M 的过程如下。查找 和 ,如果在这 2 个列表中分别h存在( , )和 ( , ),使得 = ( , , ) ufvAB=( , , )和 = ( , )vHIDgXYuFvufeg这 2 个等式成立,那么 提取并输出 M = v,否则 输出“?” ,表示提取失败。0kvh在上面的模拟过程中,如果 y 是无效的密文,那么提取器 的提取行为显然会以失败而告终。然而,即使 是有效的密文, 也有提取失败的y可能,这是因为当 A 不进行 和 询问时,也存FH在产生有效明文的概率。为了找出这个概率的上限值,定义
24、 2 个事件 AskF 和 AskH。AskF:对于 中的二元组( , ),在hvh中存在二元组( , ),使得 = ( , , )fFufyABC=( , , ) 。AskH:对于IDvvHgX vHYFv中的 2 元组( , ),在 中存在二元组ff( , ),使得 = ( , , )=( , ,vhyABCIDvvHgXY)。那么 Prvalid (AskF AskH)uPrvalid AskH + Prvalid :AskF +1q。由此当 是有效的密文,而 提取失败的12ky概率对于安全参数 l 而言是可以忽略的。所以系统EPA 能够构造一个(1 )-知识提取器,并1q2k能提取密文
25、 。定理得证。4 基于身份的明文感知密码系统 ThEPA4.1 方案定义首 先 是 一 个 可 信 任 的 私 钥 生 成 中 心 PKG, 负责 生 成 用 户 私 钥 以 及 门 限 化 私 钥 , PKG 也 负 责 对系 统 进 行 初 始 化 , 包 括 选 择 公 共 参 数 ( 如 双 线 性配 对 及 相 应 的 群 等 ) 。 在 方 案 中 还 存 在 一 个 拥 有个 解 密 服 务 器 的 群 体 , 被 记 作 ( = 1, 2, , ni) 。 该 群 体 有 一 个 公 开 的 身 份 ID。 ThEPA 包 括 以下 4 个 算 法 。1) 系统建立算法 S。以
26、整数 1k(k 为系统安全参数)作为输入,产生系统私钥 mk,输出系统参数 PM。系统私钥 mk 由私钥生成器(PKG)保密,系统参数 PM 公开。2) 私钥提取算法 EXT。以系统参数 PM、系统私钥 mk、用户身份 ID 0, 1、所有解密服务器数量 和门限值 作为输入,返回 个私钥分片ntn( = 1, 2, , ) ,这些私钥分片对应着公钥IDidID。同时,该算法还返回 个验证信息 ( = 1, iv2, , ) ,可被解密服务器 用来验证收到的私 i钥分片 的正确性。算法被 PKG 运行完毕后,Ii第 3 期 秦宝山等:不可重构用户私钥的基于身份的门限密码系统 31PKG 将 秘密
27、发送给 ,并将 公开。IDidiiv3) 加密算法 E。以系统参数 PM、身份 ID 和消息 作为输入,输出一条密文 。MC4) 解密算法 D。以系统参数 PM、私钥分片和某一密文 作为输入,输出解密分片 或IDid i“?” ,这里, “?”表示密文 不是一条合法的密文或不是一条授权解密的密文。5) 合成算法 COM。以系统参数 PM、密文和一系列解密分片集合 ,其中 (1, Ci2, , )且 = 。 nt4.2 ThEPA 的具体构造令 和 分别是 2 个相同素数阶 的乘法循G1 p环群。 是 的生成元。映射 : 是geG1双线性配对。系统的明文空间是 ,作为公钥0,k的身份 ID 都是
28、 的元素。同时本系统使用 2 个pZ散列函数: : 和 : ,H0,1k*pF,k其中 = + , 是一个安全参数。 ThEPA 的k4 个具体算法如下。初始化算法 S:选择 , , ,并且计xyzR*pZ算 = 、 = 和 = ,那么公开参数 PMXxgYyg和系统私钥(主密钥)mk 为:PM =( , , ,gXY) ,mk=( , , ) 。Zz私钥提取算法 EXT (mk, ID, , ): 为了产生nt对应于身份 ID 的私钥,PKG 运算如下。1) 随机选择 上的多项式: ( ) = + *pZfuz,其中, 。1tiuai2) 随机选择 ,计算 = irR*piK和 = ( ,
29、) ( =1, 2, ()ifiIDxrygGveg(f, ) ; n3) 输出私钥 =( , ) 。IDidir需要说明的是,PKG 在运行完 EXT (mk, ID, , )后,将子私钥 秘密地发送给对应的解密tIi服务器 ,而将所有的验证信息 ( = 1, 2, , iiv)公开。当 接收到 =( , )时,测试niIDidrK如下等式是否成立来验证子私钥的有效性。= ( , )和 ( , ) = ,其中0iLivegZirIXYi(1, 2, , ) , = , = ntxiL。,()jixji加密算法 E(PM, ID, M):在公钥 ID 下加*pZ密消息 M( =k0)时,首先选
30、择随机数 s,然后计算密文如下。10,k1) 随机选择 0, 1 。s1k2) 计算 = ( )。H3) 输出密文 = ( , , ( ( , Z) )CIDgXYFeg( )。s值得注意的是, ( ,Z)可以预先计算一次,e然后将结果存储起来,当以后需要进行加密运算时,可以免去费时的配对计算。解密算法 D(PM, , ): 为了使用私钥IDid=( , )对密文 = ( , , )计算解密IDidiriKCAB分片 ,解密算法计算 = ( , )。iieirK实际上, = ( , )= ( , irID)ixryg) = ( , ) 。()Iifixrygg(fi合成算法 COM(PM, ,
31、 ):为了恢复i原始明文 M,一台代理服务器首先收集 份解密分t片 ,然后计算: ( ) = (i1GCF0iLi),其中, (1, 2, , ) , = , = s ntxi。,()jixjiThEPA 安全性评论:如果判定 -BDHI 假设成q立,由 EPA 的安全性很容易类似证明 ThEPA 的标准模型(非随机预言模型)下是语义安全的。同时EPA 明文感知的性质也很容易类似地证明 ThEPA 也是明文感知的。由文献8可知,如果密码系统是语义安全的,且明文感知,那么该系统能够抵抗适应性选择密文安全。因此,ThE PA 是可以抵御选择密文攻击的。5 基于 ThEPA 的强门限密钥托管方案密
32、钥 托 管 的 目 的 就 是 为 了 使 网 络 用 户 之 间 的私 密 通 信 给 政 府 机 构 留 下 可 以 进 行 监 听 的 后 门 ,从 而 使 得 政 府 机 构 可 以 依 据 法 律 对 可 疑 的 通 信 进行 监 听 , 从 而 有 效 地 打 击 犯 罪 活 动 12。 因 此 如 何在 用 户 的 隐 私 权 与 法 律 授 权 下 的 政 府 机 构 监 听 权之 间 寻 找 一 种 折 衷 的 方 法 是 密 钥 托 管 领 域 的 热 点研 究 课 题 。 利 用 门 限 方 案 可 以 在 用 户 的 隐 私 权 与法 律 授 权 下 政 府 机 构 的
33、 监 听 权 之 间 找 到 一 种 折 衷的 方 法 。 在 ( , ) 门 限 密 钥 托 管 中 , 当 监 听 机tn构 需 要 监 听 时 , 必 须 找 到 个 托 管 人 才 能 实 施 监t32 通 信 学 报 第 30 卷听 。 值 得 注 意 的 是 , 简 单 地 使 用 门 限 方 案 和 密 码算 法 是 不 正 确 的 , 因 为 监 听 机 构 在 第 一 次 使 用个 子 秘 密 恢 复 密 钥 后 , 今 后 监 听 就 不 需 要 再 寻t找 个 托 管 人 , 出 现 了 “一 次 监 听 , 永 远 监 听 ”的 问 题 , 从 而 丧 失 了 门 限
34、密 钥 托 管 提 供 的 良 好 折衷 性 能 。 为 了 避 免 “一 次 监 听 , 永 远 监 听 ”, 引言 中 提 到 门 限 方 案 的 “无 法 重 构 被 门 限 化 的 用 户私 钥 ”的 性 质 是 非 常 重 要 的 , 这 也 是 文 献 11,12中 提 出 的 门 限 密 钥 托 管 的 强 壮 性 , 即 恶 意 托 管 人数 大 于 或 等 于 门 限 值 时 仍 然 无 法 获 取 用 户 私 钥 。本 节 将 给 出 ThEPA 在 密 钥 托 管 方 案 中 的 应 用 , 提出 一 个 强 壮 的 门 限 托 管 方 案 。5.1 门限密钥托管方案的具
35、体构造密钥托管中心(KMC):主要起到 PKG 的作用,负责分发密钥分片给监听机构和托管人。监听机构:监听机构在法律的授权下可以通过托管人对用户通信实施监听,监听机构有公开的身份 ID。托管人:受雇于监听机构,具体实施监听任务,这些托管人记为 ( = 1, 2, , ) 。i n假设用户 A 与用户 B 进行私密通信,通信内容为 。门限密钥托管方案如下。M初始化阶段:令 和 分别是 2 个相同素数G1阶 的乘法循环群。 是 的生成元。映射 : pge是双线性配对。KMC 首先选择 、G1 x、 ,并且计算 = 、 = 和 = yzR*pZXxYygZ。然后 KMC 输出公共参数 PM =( ,
36、 , ,g X) ,秘密保存主密钥 =( , , ) 。最后,mkzKMC 按照如下操作为 个托管人和监听机构分别n生成密钥分片和私钥。1) 随机选取 ,计算 = 1zR*pZ2。1odzp2) 随机选择 上的多项式: ( ) = + *pfuz,其中 。1tiuai3) 随机选择 ,计算 = irR*pZiK和 = ( , ) ( = 1, 2, ()ifiIDxrygGveg(fi, ) 。 n4) 通过保密通道将解密密钥分片 =( , IDidir)发送给各个托管人 ,并且公开验证信息iKi和 = 。v2Zzg5) 将 Z1 秘密发送给监听机构。密钥分片的正确性 可以通过如下等式来验ID
37、id证: = ( , )和 ( , ) = 0iLivegeirIXYK,其中 (1, 2, , ) , = , = i ntxiL。,()jixji通信阶段:假设用户 A 欲将明文 M 加密传输给 B,那么 A 首先利用对称加密算法 将 M 加密,1E加密的会话密钥为 ,得到会话密文 (M, )。sksk然后 A 计算法律访问域(LEAF ) ,得到 LEAF= Encrypt(PM, ID, ), (M), Certification(A),其S中,S(M)A 对明文 M 签名, Encrypt 是方案 ThEPA中的加密算法。Encrypt 的输出密文 : = ( , CA, )=( ,
38、 , ( ( , ) ) ( ),BCIDgXYFegZsk其中, 0, 1 , = ( ),最后 A 将s1kHMsg = ( , ), LEAF 发送给 B。1E收到 Msg 后,B 利用与 A 共享的会话密钥解密 ( , )得到明文 ,然后通过 A 对sksk的签名 ( )来验证 正确与否,若签名通MSM过验证则接受消息,否则退出会话。监 听 阶 段 : 为 了 监 听 A 与 B 之 间 的 通 信 ,监 听 机 构 必 须 获 得 法 律 授 予 的 许 可 。 为 了 实 施 监听 任 务 , 监 听 机 构 首 先 必 须 召 集 个 托 管 人 中 的n个 人 ( , ( 1,
39、 2, , ) , = ) ,ti t向 其 出 示 法 律 许 可 证 。 在 认 同 许 可 证 后 , 可i以 通 过 自 己 的 解 密 分 片 =( , ) 解 密IDidirKLEAF 区 , 得 到 A 与 B 会 话 密 钥 的 解 密 分 片 = i( , ) = ( , ) , 然 后 将 发 送 给 监eirKeg(fii听 机 构 。收集了 份解密分片 ( , (1, 2, ti, ) , = )后,监听机构恢复 A 与 B 的会 n话密钥: ( ) = ( ),得到监听CF0iLisk密钥后,监听机构可以读取 A 与 B 的会话内容。5.2 门限密钥托管方案的安全性分
40、析即使 个恶意托管人联合起来也无法获得监听t机构的密钥 ,也不能获得用户 A 与 B 的会话密1z钥 。这是因为在门限密码系统 ThEPA 中,即使sk个托管人联合起来,也无法获得单一有效的密钥,t所以不可能获得监听机构的密钥 。即使 个托管1zt人能够获得信息 = = ( , ) ,也无0iLieg2z第 3 期 秦宝山等:不可重构用户私钥的基于身份的门限密码系统 33法获得 的任何信息,因为他们不知道 ,这里sk1z( ) = ( ( , ) )= ( )。因此本F1zegzCsk方案是一个强壮的门限密钥托管方案。6 结束语本文首先提出了一个基于身份的密码系统EPA, 证 明 了 该 系
41、统 是 明 文 感 知 的 , 然 后 将 EPA门 限 化 , 得 到 门 限 密 码 系 统 ThEPA。 该 门 限 系 统具 有 不 可 重 构 用 户 私 钥 的 性 质 , 最 后 给 出 了ThEPA 在 密 钥 托 管 方 面的应用,得到了一个强壮的密钥托管方案。34 通 信 学 报 第 30 卷秦宝山(1972-),男,黑龙江北安人,北京邮电大学工程师,主要研究方向为网络安全、复杂系统仿真等。周渊(1972-),男,江苏无锡人,博士,国家计算机网络应急技术处理协调中心高级工程师,主要研究方向为信息安全、密码学。参考文献:1 SHAMIR A. Identity based c
42、ryptosystems and signature schemesA. Advances in Cryptology-Crypto84C. LNCS 196, Santa Barbara, USA, Springer-Verlag, 1984.48-54.2 BONEH D, FRANKLIN M. Identity based encryption from the weil pairingA. Crypto 2001C. LNCS 2139, Santa Barbara, USA, 2001. 213-229.3 COCKS C. An identity based encryption
43、 scheme based on quadratic residuesA. Eighth IMA International Conference on Cryptography and CodingC. LNCS 2260, Hatsukazu Tanaka, 2001.260-263.4 GENTRY C, SILVERBERG A. Hierarchical ID-based cryptographyA. Proceedings of Asiacrypt 2002C. LNCS 2501, Queenstown, New Zealand, 2002. 54-566.5 BONEH D,
44、BOYEN X. Efficient selective-ID secure identity based encryption without random oraclesA. Advances in Eurocrypt04C. LNCS, 3027, Interlaken, Switzerland, 2004.223-238.6 CANETTI R, HALEVI S, KATZ J. A forward-secure public-key encryption schemeA. Eurocrypt 2003C. LNCS 2656, Warsaw, Poland, 2003. 255-2
45、71.7 BAEK J, LEE B, KIM K. Provably secure length-saving public-key encryption scheme under the computational diffie-hellman assumptionJ. ETRI Journal, 2000, (22): 25-31.8 BELLARE M, DESAI A, POINTCHEVAL D. Relations among notations of security for public key encryption schemesA. Advances in Crypto9
46、8C. LNCS 1462, Santa Barbara, USA, 1998.26-45.9 LIBERT B, QUISQUATER J. Efficient revocation and threshold pairing based cryptosystemsA. PODC 2003C. 2003.163-171.10 BAEK J, ZHENG Y. Identity-based threshold decryptionEB/OL. http:/eprint.iacr.org/2003 /164. 11 CAO Z. Two classes of robust threshold k
47、ey escrow schemes (in chinese)J. Journal of Software, 14(6):1164-1171.12 CAO Z. A threshold key escrow scheme based on public key cryptosystemJ. Science in China, 2001, (4): 441-448. 13 BELLARE M, ROGAWAY P. Optimal asymmetric encryption- how to encrypt with RSAA. EUROCRYPT 94C. LNCS 950, Perugia, Italy, 1994.92-111.作者简介:
