论文摘要
公钥密码体制应用中的一个核心问题是证书管理,实现证书管理的最广泛采用的机制即所谓公钥基础设施(简称PKI)。但PKI的应用面临较为复杂的管理问题和较为昂贵的开销。为了减少因PKI给公钥加密体制带来的管理复杂性,1984年shamir提出了基于身份加密体制(IBE),但是由于基于身份加密体制系统本身原因,又不可避免的存在中心信任等问题。本文就针对基于身份加密体制的中心信任问题进行了研究,使得所述方案更健壮、安全。同时对CL-PKE加密体制存在的另一类安全性拒绝解密攻击进行了研究,保证了CL-PKE加密体制不但可以抵制中心伪造攻击,而且可以抵制由密钥分发中心和外部用户发起的拒绝解密攻击。目前,解决中心信任问题最有效的方案是Al-Riyami和Peterson提出的无证书公钥加密体制(CL-PKE)。这种加密体制的思想是把用户私钥分成两部分,一部分像IBE加密体制那样仍然由密钥分发中心(KGC)生成,另一部分则由用户自己生成,这样通过使用秘密分离的方法解决了中心信任问题。Al-Riyami和Peterson设计的CL-PKE加密体制是在Random Oracle模型下证明安全性的。为了增强体制的安全性,本文使用了安全性更高的标准模型,并在该模型下构建了一个实用的CL-PKE加密体制。与其它CL-PKE加密体制相比,为了提高体制的效率,所构建的新体制在加密时没有使用最费时的椭圆曲线上的对运算,而且所基于的难解性问题假设是自然的双线性Diffie-Hellman(BDHP)问题。这样这个方案在提高效率的同时也增强了安全性。如上所述,在CL-PKE加密体制中,用户和KGC各自生成一半用户公钥,然而用户生成的这部分公钥是由无意义随机的字符串组成,这样当外部攻击者替换这部分公钥后,由替换后的公钥加密的密文任何人都不能正确解密,包括KGC和用户本身,我们把CL-PKE加密体制中的这种因替换用户公钥而不能正确解密的攻击叫做拒绝解密(denial of decryption)攻击。为抵制因置换用户公钥产生的拒绝解密攻击,本文构建了一个避免使用椭圆曲线上双线性对运算的加密算法。同时为了增强加密体制的安全性,达到标准模型下的安全性要求。在IBE加密体制中,外部攻击者可以通过置换用户生成的那一部分用户公钥发起拒绝解密攻击。这时由于外部攻击者不可能计算出KGC的主密钥,也就无法生成合法的用户私钥,所以用户只需要用合法的用户私钥对用户公钥签名,由于外部攻击者没有合法的用户私钥所以不能伪造这个签名,这样就可以抵制外部攻击者的拒绝解密攻击;然而,如果拒绝解密攻击是由KGC发起的,因其拥有主密钥,可以计算出合法的用户私钥,从而可以生成用合法的用户私钥对用户公钥的签名,这时就不能用抵制外部攻击者拒绝解密的方法抵制KGC的拒绝解密攻击。为了抵制KGC同时抵制外部攻击者的拒绝解密攻击,应该让KGC用自己的主密钥对用户公钥签名,而不再用用户私钥对自身的用户公钥签名。这样如果KGC再伪造签名置换用户公钥发动拒绝解密攻击,用户就可以拿着自己已经得到的用户公钥的签名和KGC伪造的用户公钥的签名作为证据控告KGC,从而抵制了KGC的拒绝解密攻击。所以本文构建的体制不但可以抵制外部攻击者的拒绝解密攻击,而且可以抵制KGC的拒绝解密攻击,并保持了较高的计算效率。CL-PKE加密体制不是真正意义上的基于身份加密体制,因为在CL-PKE加密体制中用户公钥由两部分组成,一部分是用户的身份标识,另一部分则由用户随机生成,因而CL-PKE加密体制不具备基于身份加密体制的全部特性。好的办法是在限制中心伪造攻击的同时继续保持基于身份密码体制的所有特性。为了达到这一目的,Goyal提出了一种新的方法。其基本思想是在KGC分发用户私钥时在用户和KGC之间执行一个密钥分发协议,而不像基于身份加密体制那样单独由KGC分发。我们把这种用协议分发用户密钥的基于身份加密体制称为负责任的基于身份加密体制(A-IBE accountable Identity Base encryption)。在A-IBE加密体制中执行用户密钥生成协议时,每一个用户都有指数个用户密钥可以选择,但能且只能选择其中一个作为用户密钥,而KGC并不知道用户所选择的是哪一个。这样如果在A-IBE加密体制中发生中心欺骗,用户就可以拿着在执行协议时得到的用户密钥和可能由另一个用户密钥生成的解密黑盒到权威机构,权威机构就可以追踪到谁是真正的欺骗者。然而如果用户不配合,即不出示自己的用户密钥,那么权威机构也无法追踪到欺骗者:另外,即使用户配合,权威机构在拥有解密黑盒的情况下追踪到欺骗者,可由于原有体制使用了大量的椭圆曲线上的对运算,导致该A-IBE加密体制的效率非常低。本文改变了原有A-IBE加密体制的系统结构,在系统中添加了一个追踪欺骗者的权威中心。在生成用户密钥时,除了需要执行一个用户和KGC之间的用户密钥生成协议外,用户和追踪欺骗的权威中心也需要执行一个协议,把用户在执行密钥生成协议时得到的用户密钥的特征值传给权威中心,这样就解决了当用户不配合时追踪欺骗者的问题,同时由于改变了系统结构,加密体制中不再需要大量的双线性对运算,体制的效率也得到了提高。为了阻止在IBE加密体制中KGC的中心伪造攻击,不仅可以利用CL-PKE加密体制,还可以利用A-IBE加密体制和最简单的分布式密钥分发中心加密体制。但就另一个角度而言,如果KGC在分发用户密钥时并不知道把密钥到底分发给了哪些用户,同时加密过的密文也没有透漏任何有关用户ID的信息,在这种情况下,即使KGC可以伪造任何用户的密钥,可由于KGC根本不知道给谁分发过用户密钥,也不能从密文中得到任何有关用户ID的信息,所以也就无从伪造这个用户的密钥来解密密文。为了达到上面的目的我们必须找到一种用户密钥的生成方法。在该方法中,中心KGC提供自己的系统主密钥,用户提供ID,且KGC不向用户泄露自己的系统主密钥,同时用户也不能将自己的ID泄露给KGC,最后用户必须得到自己的用户密钥,而KGC并不能计算这个用户密钥的值。通过分析以上目的所要求的安全性,我们发现这和恶意模型下两方安全计算的概念非常一致,所以我们可以利用恶意模型下的两方安全计算来实现上述密钥分配的要求。考虑到恶意模型下两方安全计算的复杂性,我们运用轮换映射方法提高两方安全计算的效率,从而提高体制的整体效率,并且用知识证明、回溯等方法证明两方安全计算的安全性。另外,为了保证密文不会泄露用户的ID信息,我们证明了BB-IBE加密体制拥有相对于KGC来说的匿名密文不可区分性(ACI-KGC anonymous ciphertext indistinguishability Key Generation centre)。这样加密体制不但可以在KGC分发密钥时不知道用户的ID,并且密文也不会透漏用户ID的信息,从而利用匿名性抵制了中心伪造攻击。总之,本文采用多种方法研究了基于身份加密体制的中心信任问题,包括CL-PKE、A-IBE和匿名性解决方案,并且对CL-PKE加密体制的拒绝解密攻击进行了研究。这些方案的目的在于增强所述体制的安全性,同时提高加密体制的效率。