第9章基于身份的公鑰密碼體制_第1頁
第9章基于身份的公鑰密碼體制_第2頁
第9章基于身份的公鑰密碼體制_第3頁
第9章基于身份的公鑰密碼體制_第4頁
第9章基于身份的公鑰密碼體制_第5頁
已閱讀5頁,還剩14頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、第9章 基于身份的公鑰密碼體制9.1 公鑰認證方法n1976年,Diffie和Hellman提出了公鑰密碼體制,解決了單鑰密碼體制中最難解決的兩個問題:密鑰分配和數字簽名。在公鑰密碼體制中,每個用戶擁有兩個密鑰:私鑰和公鑰,其中只有私鑰由用戶秘密保存,公鑰可以由一個證書權威(certificate authority, CA)保存在一個公鑰目錄中。然而,公鑰密碼體制易受到“公鑰替換”攻擊,即攻擊者用自己選定的假公鑰替換一個公鑰目錄中真實的公鑰。當一個用戶用這個假公鑰加密一個消息時,這個攻擊者就可以正確地解密。因此,我們需要讓用戶的公鑰以一種可驗證和可信的方式與用戶的身份信息關聯起來。目前,認證

2、用戶的公鑰有三種方法:基于證書的方法、基于身份的方法和基于自證明的方法。事實上,我們可以根據公鑰認證方法的不同,把公鑰密碼體制分為基于證書的公鑰密碼體制、基于身份的公鑰密碼體制和基于自證明的公鑰密碼體制 。 1 基于證書的公鑰密碼體制n每個用戶的公鑰都伴隨一個公鑰證書,這個公鑰證書由CA簽發(fā)。公鑰證書是一個結構化的數據記錄,它包括了用戶的身份信息、公鑰參數和CA的簽名。任何人都可以通過驗證證書的合法性(CA的簽名)來認證公鑰。如果一個用戶信任CA,那么,在他驗證了另一個用戶的證書的有效性后,他就應該相信公鑰的真實性。 基于證書的公鑰密碼體制缺點 n使用任何公鑰前都需要先驗證公鑰證書的合法性,增

3、加了用戶的計算量;nCA需要管理大量的證書,包括證書的撤銷、存儲和頒發(fā)。2基于身份的公鑰密碼體制n為了簡化密鑰管理,Shamir于1984年首次提出了基于身份的密碼體制(identity-based cryptography)的概念。在基于身份的密碼體制中,用戶的公鑰可以根據用戶的身份信息(姓名、身份證號碼、電話號碼、E-mail地址等)直接計算出來,用戶的私鑰則是由一個稱為私鑰生成中心(private key generator, PKG)的可信方生成?;谏矸莸拿艽a體制取消了公鑰證書,減少了公鑰證書的存儲和合法性驗證。但是,基于身份的密碼體制有一個致命的缺點,所有用戶的私鑰都由PKG生成。

4、PKG知道所有用戶的私鑰不可避免地引起密鑰托管問題,因此,PKG可以容易地冒充任何用戶,且不被發(fā)現。在一個基于身份的加密方案中,PKG可以解密任何密文,在一個基于身份的簽名方案中,PKG可以偽造任何消息的簽名。自1984年以來,相繼提出了許多實用的基于身份的簽名方案,但一個滿意的基于身份的加密方案直到2001年才被找到。 3基于自證明的公鑰密碼體制 n1991年,Girault提出了自證明公鑰(self-certified public keys)的概念。在基于自證明的公鑰密碼體制中,用戶的公鑰是從CA對該用戶的私鑰與身份的簽名中推導出來的,也就是說,CA和用戶合作產生公鑰,但CA并不知道用戶

5、的私鑰。用戶的公鑰不必有單獨認證的證書,公鑰的認證同接下來的一些密碼協議(如密鑰交換協議、簽名、加密等)一起完成。比如說,認證簽名者的公鑰與驗證此人的簽名在一個驗證方程式中完成,如果說通過了這個驗證,那么公鑰和簽名將被同時驗證。2003年,Al-Riyami和Paterson提出的無證書公鑰密碼體制(certificateless public key cryptography)在本質上與基于自證明的公鑰密碼體制是相同的。 基于自證明的公鑰密碼體制優(yōu)點n由于不需要證書,降低了存儲空間和通信成本;n由于不需要公鑰驗證,減少了計算量;n與基于證書的公鑰密碼體制相比,由于不需要維護公鑰證書目錄,基于

6、自證明的公鑰密碼體制更加高效。與基于身份的公鑰密碼體制相比,由于CA并不知道用戶的私鑰,基于自證明的公鑰密碼體制更加安全。公鑰密碼體制三個信任標準 n信任標準1:CA知道(或者可以輕松得到)用戶的私鑰,因而可以冒充用戶,且不被發(fā)現。n信任標準2:CA不知道用戶的私鑰(或者不能輕松得到),但仍然可以產生一個假的證書冒充用戶,且不被發(fā)現。n信任標準3:CA不知道用戶的私鑰(或者不能輕松得到),如果CA產生一個假的證書冒充用戶,他將被發(fā)現。9.2 基于身份的加密體制雙線性對n令G1為由P生成的循環(huán)加法群,階為q,G2為具有相同階q的循環(huán)乘法群,a、b是中的元素。假設G1和G2這兩個群中的離散對數問題

7、都是困難問題。雙線性對是指滿足下列性質的一個映射:n 雙線性性:對所有P, QG1, 。n 非退化性:存在P, QG1,使得。n 可計算性:對所有的P, QG1,存在有效的算法計算。 相關難問題n(1)計算性Diffie-Hellman問題(Computational Diffie-Hellman Problem, CDHP)給定(P, aP, bP),計算abPG1,這里是未知的整數。n(2)判定性Diffie-Hellman問題(Decisional Diffie-Hellman Problem, DDHP)給定(P, aP, bP, cP),判斷c = ab mod q是否成立,這里是未

8、知的整數。如果(P, aP, bP, cP)滿足這個條件,我們稱它為一個“Diffie-Hellman元組”。n(3)雙線性Diffie-Hellman問題(Bilinear Diffie-Hellman Problem, BDHP)給定(P, aP, bP, cP),計算,這里是未知的整數。n(4)判定性雙線性Diffie-Hellman問題(Decisional Bilinear Diffie-Hellman Problem, DBDHP)給定(P, aP, bP, cP)和hG2,判斷是否成立,這里是未知的整數。n容易看出,在G1中的DDHP是容易的。已知(P, aP, bP, cP),

9、判斷c = ab mod q是否成立等價與判斷下式是否成立:Boneh-Franklin加密體制n(1)系統建立 設G1為由P生成的循環(huán)加法群,階為q,G2為具有相同階q的循環(huán)乘法群,:為一個雙線性映射。明文空間為0,1n,密文空間為。定義兩個安全的哈希函數:和:。PKG隨機選擇一個主密鑰,計算Ppub=sP。PKG公開系統參數G1, G2, q, n, , P, Ppub, H1, H2,保密主密鑰s。n(2)密鑰提取 給定一個用戶的身份ID,PKG計算該用戶的私鑰SID=sQID并把此值安全地發(fā)送給該用戶,其中QID =H1 (ID)為該用戶的公鑰。n(3)加密 對于明文m0,1n,首先隨

10、機選取一個整數,然后計算: 則密文c =(U, V)。n(4)解密 為了解密一個密文c =(U, V),計算:2 ( (,)IDmVHe SU9.3基于身份的簽名體制n2002年,Hess提出了一個基于身份的簽名方案,由四個算法組成:系統建立、密鑰提取、簽名和驗證。n1系統建立 設G1為由P生成的循環(huán)加法群,階為q,G2為具有相同階q的循環(huán)乘法群, : 為一個雙線性映射。定義兩個安全的哈希函數 : 和 : 。PKG隨機選擇一個主密鑰 ,計算Ppub=sP。PKG公開系統參數G1, G2, q, , P, Ppub, H1, H2,保密主密鑰s。n2密鑰提取 給定一個用戶的身份ID,PKG計算該

11、用戶的私鑰SID=sQID并把此值安全地發(fā)送給該用戶,其中QID=H1(ID)為該用戶的公鑰。n3簽名 對于消息m,首先隨機選取一個整數,然后計算: 則m的簽名為(u, v)。n4驗證 對于消息簽名對(m, (u, v),首先計算: 然后驗證:112GGG e*10,1G1H2H*20,1qGZ*qsZ2( , ) , ( , ), kIDre P PvHm ruvSkPpub( , ) (,)vIDre u P e QP9.4基于身份的密鑰協商協議n1系統建立 設G1為由P生成的循環(huán)加法群,階為q,G2為具有相同階q的循環(huán)乘法群,:為一個雙線性映射。定義一個安全的哈希函數:和一個密鑰導出函數

12、V。PKG隨機選擇一個主密鑰,計算Ppub=sP。PKG公開系統參數G1, G2, q, , P, Ppub, H1, V,保密主密鑰s。n2密鑰提取 給定一個用戶的身份ID,PKG計算該用戶的私鑰SID = sQID并把此值安全地發(fā)送給該用戶,其中QID=H1(ID)為該用戶的公鑰。在這里我們設用戶A的身份為IDA,公鑰為QA,私鑰為SA,用戶B的身份為IDB,公鑰為QB,私鑰為SB。9.4基于身份的密鑰協商協議n3密鑰交換。 如果用戶A和B想協商出一個密鑰,他們執(zhí)行以下步驟: A隨機選取,計算TA=aP,并將TA發(fā)送給B。 B隨機選取,計算TB=bP,并將TB發(fā)送給A。 A計算 。 B計算

13、 。n這樣用戶A和B就建立了一個共享密鑰k = V(kA)= V(kB)。pub(,) (,)ABABke aQPe STpub(,) (,)BABAke bQPe ST9.5基于身份的簽密體制n2003年,Libert和Quisquater提出了一個基于身份的簽密方案,由四個算法組成:系統建立、密鑰提取、簽密和解簽密。 n1系統建立n設G1為由P生成的循環(huán)加法群,階為q,G2為具有相同階q的循環(huán)乘法群,:為一個雙線性映射。明文空間為0,1n,E和D分別表示一個對稱密碼體制(如AES)的加密和解密算法。定義三個安全的哈希函數:、:和:。PKG隨機選擇一個主密鑰,計算Ppub=sP。PKG公開系統參數G1, G2, q, n, , P, Ppub, H1, H2, H3, E, D,保密主密鑰s。n2密鑰提取n給定一個用戶的身份ID,PKG計算該用戶的私鑰SID=sQID并把此值安全地發(fā)送給該用戶,其中QID=H1(ID)為該用戶的公鑰。在這里我們設發(fā)送者的身份為IDA,公鑰為QA,私鑰為SA,接收者的身份為IDB,公鑰為QB,私鑰為SB。n3簽密n對于消息m,發(fā)送者執(zhí)行以下步驟:n 隨機選擇。n 計算和。n 計算和。n對消息m

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論