無證書的密碼算法和代理密碼算法的設(shè)計(jì)及分析.pdf

1、無證書公鑰密碼是處于傳統(tǒng)公鑰密碼與基于身份的密碼系統(tǒng)之間的一種密碼學(xué).與傳統(tǒng)公鑰密碼系統(tǒng)相比，無證書公鑰密碼的公鑰不需要通過認(rèn)證來保障其有效性，這樣就避免了傳統(tǒng)公鑰密碼存在的許多相關(guān)的問題.從另一個(gè)角度來考慮，無證書公鑰密碼確實(shí)也必須依賴于可信第三方(TTP)的存在，從這一方面來看，無證書密碼系統(tǒng)和基于身份的密碼系統(tǒng)有更多的相似之處.但是，無證書公鑰密碼系統(tǒng)卻解決了基于身份密碼系統(tǒng)遺留的密鑰托管問題，因?yàn)闊o證書公鑰密碼系統(tǒng)中，用戶用來進(jìn)

2、行密碼操作的密鑰是由兩部分構(gòu)成的：一部分是由密鑰生成中心(KGC)根據(jù)用戶的身份信息計(jì)算得到的，KGC是知道這部分密鑰的；另一部分是由用戶自己選擇的，所以KGC是不可能獲取的，這樣就限制了KGC的一部分能力。 本研究提供了一種更實(shí)用的模型被。這種模型也是包括七個(gè)算法：系統(tǒng)建立、設(shè)定秘密值、設(shè)定公鑰、部分私鑰提取、設(shè)定私鑰值、加密和解密。這七個(gè)算法的排列順序是和前面的定義不同的，這樣排列，就可以使得用戶的公鑰可以作為部分私鑰提取算

3、法的其中一個(gè)輸入?yún)?shù).那么，即使偷聽者獲取到了通信通道中的信息，由于他不能得到和這個(gè)部分私鑰相對應(yīng)的用戶的秘密值，他仍然無法冒充用戶進(jìn)行任何的密碼操作.從另一方面來看，如果KGC通過用自己選擇的公鑰代替用戶的公鑰來冒充用戶進(jìn)行密碼操作，那么用戶就可以公布他的部分私鑰來揭露KGC，這樣，這個(gè)新的模型就可以使得無證書的密碼算法達(dá)到3級可信任水平，而且，用戶和KGC之間的通道可以是公開的，這樣就避免了“雞和蛋”的兩難問題。 作為本文的

4、第一個(gè)結(jié)果，我們首先在第三章里分析了兩個(gè)無證書的密碼算法：一個(gè)是無證書的加密算法，該算法聲稱在標(biāo)準(zhǔn)模型下是抗兩種型號的攻擊的，但是據(jù)我們分析該算法在密鑰代替攻擊下是不安全的，即任何一個(gè)外部攻擊者都能夠選擇可以驗(yàn)證有效的公鑰來代替原有的合法公鑰，從而輕易的解密在此公鑰下加密所得的密文；另外一個(gè)是無證書的簽名算法，我們發(fā)現(xiàn)該算法不能抵抗惡意的KGC攻擊，即使KGC無法得到用戶的秘密值，他仍然可以通過設(shè)定特殊的系統(tǒng)參數(shù)來構(gòu)造用戶的私鑰.這是基

5、于Waters的無證書的密碼算法所共同面臨的問題。然后，基于上面的比較實(shí)用的模型，我們設(shè)計(jì)了-個(gè)有效的無證書加密算法，我們的算法具有下列比較好的性質(zhì)： ·如果Decisional Truncated q-ABDHE問題是困難的，那么我們的無證書的加密算法被證明是標(biāo)準(zhǔn)模型下抗型號I攻擊者適應(yīng)性選擇密文不可區(qū)分的。 ·在決定雙線性Diffie-Hellman問題是困難的假設(shè)下，我們的無證書加密算法被證明是標(biāo)準(zhǔn)模型下抗惡意的K

6、GC適應(yīng)性選擇密文不可區(qū)分的。 ·我們的無證書加密算法可以達(dá)到Girault的3級可信任水平。 ·在我們的算法里，KGC和用戶之間的通信通道是不需要保密的。 ·比較于以前的標(biāo)準(zhǔn)模型下的無證書的加密算法，該算法具有較短的系統(tǒng)公鑰 ·在B日+簽名算法是存在不可偽造的情況下，我們的新的無證書的簽名算法是標(biāo)準(zhǔn)模型下抗惡意的KGC偽造攻擊的。 基于以上的簽名算法，本研究構(gòu)造了一個(gè)常數(shù)大小的群簽名算法，不同于

7、以往由基于身份的簽名算法直接轉(zhuǎn)變而來的群簽名算法，我們的群簽名算法是在標(biāo)準(zhǔn)模型下抗惡意的群管理者攻擊的，而且由同一個(gè)簽名者得到的群簽名是不可連接的，并且此群簽名算法也同時(shí)滿足CCA匿名性和強(qiáng)的開脫性。 另外一種就是匿名代理簽名算法：匿名代理簽名算法保護(hù)代理簽名者的隱私，因?yàn)轵?yàn)證者無法從代理簽名中辨別出簽名者的身份.但是為了限制代理簽名者濫用代理的權(quán)力，安全的代理簽名算法是在發(fā)生爭端的時(shí)候可以揭露簽名者的身份的。Shumhe和We

8、i提供了一種方法，該方法是把簽名者的真正身份隱藏在別名里，一般來說，一共有四方參與：別名提出中心、原始簽名者、代理簽名者、驗(yàn)證者，一旦存在爭端，驗(yàn)證者可以從簽名中得到-個(gè)參數(shù)送給別名提出中心，從而該中心可以揭露簽名者的身份。我們在第五章首先給出了第一個(gè)代理保護(hù)的匿名代理密碼的一般模型，在我們的模型中，任何第三方都不能區(qū)分出進(jìn)行密碼操作的人的身份，因?yàn)樗械墓残畔⒍紱]有泄露代理者的身份，而且被代理者也可以進(jìn)行相同的密碼操作，這樣既保護(hù)了

9、代理者的隱私，也保護(hù)了被代理者的隱私.另外我們的模型具有強(qiáng)的不可否認(rèn)性，不管是代理者還是被代理者都不能否認(rèn)他們進(jìn)行的密碼操作.這樣我們的模型既滿足了代理保護(hù)的代理算法的所有性質(zhì)，而且也滿足了匿名代理算法的所有性質(zhì).我們的模型中是不需要授權(quán)的，因?yàn)槲覀兊拇硎请[含代理，被代理者可以隨時(shí)撤消代理者的代理能力，而且第三方也不需要特別來檢查代理者代理的合法性，因?yàn)橐坏┐碚叩拇頇?quán)限被撤消以后，他就無法再進(jìn)行有效的密碼操作.也就是說，我們的模型

10、提供了一種有效的方法來解決代理能力的撤消問題.特別的，在我們的模型中，代理者和被代理者之間的通信通道是可以不保密的。然后，我們又給出了我們這個(gè)模型所對應(yīng)的攻擊模型，在我們的攻擊模型中，主要考慮兩種型號的攻擊，-個(gè)是被代理者的攻擊，再一個(gè)就是沒被代理的外部攻擊者的攻擊，在第一種攻擊中，由于攻擊者知道被代理者的密鑰，所以自己就可以生成部分代理私鑰，所以只進(jìn)行解密(簽名)預(yù)示，而在第二種攻擊中，攻擊者可以詢問兩種類型的預(yù)示；部分代理私鑰預(yù)示和