基于身份密碼體制的若干安全性問題研究.pdf

1、公鑰密碼體制應(yīng)用中的一個核心問題是證書管理，實現(xiàn)證書管理的最廣泛采用的機制即所謂公鑰基礎(chǔ)設(shè)施(簡稱PKI)。但PKI的應(yīng)用面臨較為復(fù)雜的管理問題和較為昂貴的開銷。為了減少因PKI給公鑰加密體制帶來的管理復(fù)雜性，1984年shamir提出了基于身份加密體制(IBE)，但是由于基于身份加密體制系統(tǒng)本身原因，又不可避免的存在中心信任等問題。
　　 本文針對基于身份加密體制的中心信任問題進行了研究，使得所述方案更健壯、安全。同時對CL-

2、PKE加密體制存在的另一類安全性拒絕解密攻擊進行了研究，保證了CL-PKE加密體制不但可以抵制中心偽造攻擊，而且可以抵制由密鑰分發(fā)中心和外部用戶發(fā)起的拒絕解密攻擊。目前，解決中心信任問題最有效的方案是Al-Riyami和Peterson提出的無證書公鑰加密體制(CL-PKE)。這種加密體制的思想是把用戶私鑰分成兩部分，一部分像IBE加密體制那樣仍然由密鑰分發(fā)中心(KGC)生成，另一部分則由用戶自己生成，這樣通過使用秘密分離的方法解決了中

3、心信任問題。Al-Riyami和Peterson設(shè)計的CL-PKE加密體制是在Random Oracle模型下證明安全性的。為了增強體制的安全性，本文使用了安全性更高的標準模型，并在該模型下構(gòu)建了一個實用的CL-PKE加密體制。與其它CL-PKE加密體制相比，為了提高體制的效率，所構(gòu)建的新體制在加密時沒有使用最費時的橢圓曲線上的對運算，而且所基于的難解性問題假設(shè)是自然的雙線性Diffie-Hellman(BDHP)問題。這樣這個方案在提

4、高效率的同時也增強了安全性。如上所述，在CL-PKE加密體制中，用戶和KGC各自生成一半用戶公鑰，然而用戶生成的這部分公鑰是由無意義隨機的字符串組成，這樣當(dāng)外部攻擊者替換這部分公鑰后，由替換后的公鑰加密的密文任何人都不能正確解密，包括KGC和用戶本身，我們把CL-PKE加密體制中的這種因替換用戶公鑰而不能正確解密的攻擊叫做拒絕解密(denial of decryption)攻擊。為抵制因置換用戶公鑰產(chǎn)生的拒絕解密攻擊，本文構(gòu)建了一個避免

5、使用橢圓曲線上雙線性對運算的加密算法。同時為了增強加密體制的安全性，達到標準模型下的安全性要求。在IBE加密體制中，外部攻擊者可以通過置換用戶生成的那一部分用戶公鑰發(fā)起拒絕解密攻擊。這時由于外部攻擊者不可能計算出KGC的主密鑰，也就無法生成合法的用戶私鑰，所以用戶只需要用合法的用戶私鑰對用戶公鑰簽名，由于外部攻擊者沒有合法的用戶私鑰所以不能偽造這個簽名，這樣就可以抵制外部攻擊者的拒絕解密攻擊；然而，如果拒絕解密攻擊是由KGC發(fā)起的，因其

6、擁有主密鑰，可以計算出合法的用戶私鑰，從而可以生成用合法的用戶私鑰對用戶公鑰的簽名，這時就不能用抵制外部攻擊者拒絕解密的方法抵制KGC的拒絕解密攻擊。為了抵制KGC同時抵制外部攻擊者的拒絕解密攻擊，應(yīng)該讓KGC用自己的主密鑰對用戶公鑰簽名，而不再用用戶私鑰對自身的用戶公鑰簽名。這樣如果KGC再偽造簽名置換用戶公鑰發(fā)動拒絕解密攻擊，用戶就可以拿著自己已經(jīng)得到的用戶公鑰的簽名和KGC偽造的用戶公鑰的簽名作為證據(jù)控告KGC，從而抵制了KGC的

7、拒絕解密攻擊。所以本文構(gòu)建的體制不但可以抵制外部攻擊者的拒絕解密攻擊，而且可以抵制KGC的拒絕解密攻擊，并保持了較高的計算效率。CL-PKE加密體制不是真正意義上的基于身份加密體制，因為在CL-PKE加密體制中用戶公鑰由兩部分組成，一部分是用戶的身份標識，另一部分則由用戶隨機生成，因而CL-PKE加密體制不具備基于身份加密體制的全部特性。好的辦法是在限制中心偽造攻擊的同時繼續(xù)保持基于身份密碼體制的所有特性。為了達到這一目的，Goyal提

8、出了一種新的方法。其基本思想是在KGC分發(fā)用戶私鑰時在用戶和KGC之間執(zhí)行一個密鑰分發(fā)協(xié)議，而不像基于身份加密體制那樣單獨由KGC分發(fā)。我們把這種用協(xié)議分發(fā)用戶密鑰的基于身份加密體制稱為負責(zé)任的基于身份加密體制(A-IBE accountable Identity Base encryption)。在A-IBE加密體制中執(zhí)行用戶密鑰生成協(xié)議時，每一個用戶都有指數(shù)個用戶密鑰可以選擇，但能且只能選擇其中一個作為用戶密鑰，而KGC并不知道用戶

9、所選擇的是哪一個。這樣如果在A-IBE加密體制中發(fā)生中心欺騙，用戶就可以拿著在執(zhí)行協(xié)議時得到的用戶密鑰和可能由另一個用戶密鑰生成的解密黑盒到權(quán)威機構(gòu)，權(quán)威機構(gòu)就可以追蹤到誰是真正的欺騙者。然而如果用戶不配合，即不出示自己的用戶密鑰，那么權(quán)威機構(gòu)也無法追蹤到欺騙者；另外，即使用戶配合，權(quán)威機構(gòu)在擁有解密黑盒的情況下追蹤到欺騙者，可由于原有體制使用了大量的橢圓曲線上的對運算，導(dǎo)致該A-IBE加密體制的效率非常低。
　　 本文改變了原

10、有A-IBE加密體制的系統(tǒng)結(jié)構(gòu)，在系統(tǒng)中添加了一個追蹤欺騙者的權(quán)威中心。在生成用戶密鑰時，除了需要執(zhí)行一個用戶和KGC之間的用戶密鑰生成協(xié)議外，用戶和追蹤欺騙的權(quán)威中心也需要執(zhí)行一個協(xié)議，把用戶在執(zhí)行密鑰生成協(xié)議時得到的用戶密鑰的特征值傳給權(quán)威中心，這樣就解決了當(dāng)用戶不配合時追蹤欺騙者的問題，同時由于改變了系統(tǒng)結(jié)構(gòu)，加密體制中不再需要大量的雙線性對運算，體制的效率也得到了提高。為了阻止在IBE加密體制中KGC的中心偽造攻擊，不僅可以利用

11、CL-PKE加密體制，還可以利用A-IBE加密體制和最簡單的分布式密鑰分發(fā)中心加密體制。但就另一個角度而言，如果KGC在分發(fā)用戶密鑰時并不知道把密鑰到底分發(fā)給了哪些用戶，同時加密過的密文也沒有透漏任何有關(guān)用戶ID的信息，在這種情況下，即使KGC可以偽造任何用戶的密鑰，可由于KGC根本不知道給誰分發(fā)過用戶密鑰，也不能從密文中得到任何有關(guān)用戶ID的信息，所以也就無從偽造這個用戶的密鑰來解密密文。為了達到上面的目的我們必須找到一種用戶密鑰的生

12、成方法。在該方法中，中心KGC提供自己的系統(tǒng)主密鑰，用戶提供ID，且KGC不向用戶泄露自己的系統(tǒng)主密鑰，同時用戶也不能將自己的ID泄露給KGC，最后用戶必須得到自己的用戶密鑰，而KGC并不能計算這個用戶密鑰的值。通過分析以上目的所要求的安全性，我們發(fā)現(xiàn)這和惡意模型下兩方安全計算的概念非常一致，所以我們可以利用惡意模型下的兩方安全計算來實現(xiàn)上述密鑰分配的要求?？紤]到惡意模型下兩方安全計算的復(fù)雜性，我們運用輪換映射方法提高兩方安全計算的效率

13、，從而提高體制的整體效率，并且用知識證明、回溯等方法證明兩方安全計算的安全性。另外，為了保證密文不會泄露用戶的ID信息，我們證明了BB-IBE加密體制擁有相對于KGC來說的匿名密文不可區(qū)分性(ACI-KGC anonymous ciphertextindistinguishability Key Generation contre)。這樣加密體制不但可以在KGC分發(fā)密鑰時不知道用戶的ID，并且密文也不會透漏用戶ID的信息，從而利用匿名性