一種基于身份的抗彈性泄漏加密方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于身份的抗彈性泄漏加密方法和系統(tǒng),屬于數(shù)據(jù)加密領(lǐng)域。一種基于身份的抗彈性泄漏加密方法和系統(tǒng),包括可信第三方私鑰生成中心模塊和用戶模塊兩個(gè)模塊,其中可信第三方私鑰生成中心模塊包括在線任務(wù)分配器和密鑰生成器,在線任務(wù)分配器與密鑰生成器之間通過的安全信道雙向連接;用戶模塊為用戶終端,包括密文驗(yàn)證器、加密器、解密器;采用系統(tǒng)設(shè)置,加密步驟,解密步驟對(duì)用戶資料進(jìn)行加密和解密操作,本發(fā)明從而能極大的降低加密方程的計(jì)算代價(jià),提高整個(gè)系統(tǒng)的運(yùn)行效率,且具有更短的密鑰長度和更高的相對(duì)密鑰泄漏比。
【專利說明】一種基于身份的抗彈性泄漏加密方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及數(shù)據(jù)加密領(lǐng)域,更具體地說,涉及一種基于身份的抗彈性泄漏加密方 法和系統(tǒng)。
【背景技術(shù)】
[0002] 在傳統(tǒng)的公鑰密碼系統(tǒng)中,主要采用公鑰證書基礎(chǔ)設(shè)施PKI (Public Key Infrastructure)來驗(yàn)證公鑰和用戶身份的相關(guān)性。用戶身份和公鑰之間的關(guān)聯(lián)通過證書 機(jī)構(gòu)(Certification Authority :CA)發(fā)放的公鑰證書實(shí)現(xiàn)。這種方式的證書管理過程需要 很高的計(jì)算開銷和存儲(chǔ)開銷。
[0003] 基于身份的密碼體制的思想由Shamir在1984年首先提出。在該體制中,公鑰就 是用戶的身份信息(或者是直接由用戶的身份信息導(dǎo)出),比如網(wǎng)絡(luò)內(nèi)某主機(jī)的IP地址或 某用戶的Email地址。PKG根據(jù)用戶的公鑰由身份信息直接計(jì)算得出,所以在使用公鑰的 過程中就不需要存放或證書的目錄,也不需要第三方(CA)提供服務(wù),只需要維護(hù)一個(gè)PKG 產(chǎn)生的認(rèn)證的公開系統(tǒng)參數(shù)目錄,這個(gè)開銷遠(yuǎn)低于維護(hù)一個(gè)所有用戶的公鑰目錄所需的開 銷。因此,基于身份的密碼體制的優(yōu)勢就在于它簡化了傳統(tǒng)基于證書的公鑰體制下負(fù)擔(dān)最 重的密鑰管理過程。
[0004] 傳統(tǒng)密碼學(xué)安全模型都是基于這樣的假設(shè):只有用戶知道密碼學(xué)算法在計(jì)算過程 中產(chǎn)生的隨機(jī)秘密信息,而攻擊者是完全不知道的,攻擊者只能夠?qū)λ惴ㄟM(jìn)行輸入輸出,卻 不能訪問內(nèi)部的用戶程序和具體算法。但是,最近幾十年出現(xiàn)的各種各樣的邊信道攻擊可 以證明在現(xiàn)實(shí)中,這樣的假設(shè)是不存在的。這些攻擊相當(dāng)于提供給了攻擊者一些攻擊能力, 即由于計(jì)算過程中的物理泄漏,攻擊者可以看到算法執(zhí)行部分的內(nèi)部秘密狀態(tài)。傳統(tǒng)模型 中可證安全的方案在很多有獨(dú)創(chuàng)性的邊信道攻擊下是不安全的?,F(xiàn)存的邊信道攻擊主要包 括時(shí)序攻擊、電磁輻射、能量功耗、冷啟動(dòng)攻擊以及故障檢測等。因此,密鑰的泄漏問題已經(jīng) 成為密碼體制安全的最大威脅。目前已出現(xiàn)一些解決方法,例如,具有前向安全的密碼系 統(tǒng),秘密分享,密鑰隔離,入侵彈性和代理重加密等,但上述方法不能完全解決或只能部分 解決密鑰泄漏問題,最近提出用泄漏函數(shù)定義抗密鑰泄漏密碼學(xué)(即彈性泄漏密碼學(xué))是 解決密鑰泄漏問題的最有力工具之一,因此,對(duì)彈性泄漏密碼學(xué)的課題研究具有重要意義。
[0005] 相對(duì)于僅利用密碼設(shè)備合法的輸入或者輸出進(jìn)行攻擊,即主信道攻擊行為,邊信 道攻擊(或泄漏攻擊)已嚴(yán)重威脅到傳統(tǒng)已證安全的密碼系統(tǒng)的安全性,成為目前密碼 系統(tǒng)設(shè)計(jì)及其安全性分析所面臨的一個(gè)重大挑戰(zhàn)。在現(xiàn)實(shí)世界中,不可能人為地預(yù)測出密 碼系統(tǒng)在物理實(shí)現(xiàn)過程中可能遇到的所有泄漏攻擊,所以,一個(gè)可行的方法是:構(gòu)建抗密 鑰泄漏密碼系統(tǒng),使其在密碼原型遭遇泄漏攻擊的環(huán)境下是可證安全的?;舅悸肥牵菏?先提出形式化的泄漏模型來刻畫攻擊者的泄漏攻擊能力和手段,即在泄漏攻擊過程中攻 擊者能夠獲得哪些信息;然后在不同的泄漏模型下提出可證安全的密碼方案,即抗泄漏密 碼算法。目前主要存在的泄漏模型以及在這些模型下構(gòu)建的密碼方案有:計(jì)算泄漏(only computation leaks information,簡稱0CLI),相對(duì)泄漏模型(relative-leakage model), 有界恢復(fù)模型(bounded-retrieval model,簡稱 BRM),持續(xù)泄漏模型(continual leakage model,簡稱 CLM),事后泄漏(After-the-Fact Leakage)。
[0006] 1984年,Shamir首先提出了基于身份的公鑰密碼系統(tǒng),試圖通過使用用戶的身份 (如名稱或電子郵件/IP地址)作為公鑰來減少對(duì)基礎(chǔ)設(shè)施的需求。第一個(gè)真正實(shí)用的安 全I(xiàn)BE方案是由Boneh和Franklin在2001年提出的,他們的系統(tǒng)使用了雙線性映射,且在 隨機(jī)預(yù)言模型中證明了安全性。Canetti等人提出了一個(gè)可以在標(biāo)準(zhǔn)模型中證明安全性的 基于身份加密系統(tǒng),但是是在一個(gè)更弱的"選擇身份"安全模型中,該模型要求攻擊者必須 在攻擊之前公布要挑戰(zhàn)的目標(biāo)身份。2004年,Boneh和Boyen提出了一個(gè)在選擇身份模型中 更加實(shí)用的基于身份加密系統(tǒng)。不久之后,Boneh和Boyen提出了一個(gè)標(biāo)準(zhǔn)模型中完全安全 的基于身份加密方案,即攻擊者可以自適應(yīng)的選擇要挑戰(zhàn)的目標(biāo)身份。2005年,Waters簡 化了 Boneh和Boyen提出的的方案,充分提高了方案的效率。Gentry也提出了一個(gè)標(biāo)準(zhǔn)模 型中完全安全的基于身份加密系統(tǒng),且與在他之前已提出的基于身份加密系統(tǒng)相比較,有 三大優(yōu)點(diǎn):更高的計(jì)算效率,更短的公開參數(shù)和"緊"安全性。然而,以上的基于身份加密方 案都沒有考慮信息泄漏,由于邊信道攻擊的存在,這些方案可能在現(xiàn)實(shí)世界中是不安全的。 因此,如何在基于身份加密方案中實(shí)現(xiàn)彈性泄漏是一個(gè)有趣且富有挑戰(zhàn)性的課題。
[0007] 為了解決上述問題,Alwen等人提出了一個(gè)基于身份的哈希證明系統(tǒng)(IB-HPS)的 思想,他們將Cramer和Shoup的哈希證明系統(tǒng)的概念推廣到了基于身份的環(huán)境里。此外, 他們還在有界恢復(fù)模型下提出了三個(gè)彈性泄漏基于身份加密方案,分別基于格、二次剩余 (QR)和截?cái)嘣鰪?qiáng)的雙線性Diffie-Hellman指數(shù)(q-TABDHE)假設(shè)證明了方案的安全性。Chow 等人基于Boneh-Boyen方案,Waters方案以及Lewko-Waters方案,分別提出了三個(gè)新的相 對(duì)泄漏模型下彈性泄漏基于身份加密方案,三個(gè)方案都是在標(biāo)準(zhǔn)模型中安全的。但上述方 案的加密方程的計(jì)算代價(jià)很大,運(yùn)行效率低、指數(shù)操作多、密鑰公鑰和私鑰長、相對(duì)密鑰泄 漏比低。
【發(fā)明內(nèi)容】
[0008] 1?要解決的技術(shù)問題
[0009] 針對(duì)現(xiàn)有技術(shù)中存在的,加密步驟的計(jì)算代價(jià)很大,運(yùn)行效率低、指數(shù)操作多、密 鑰公鑰和私鑰長、相對(duì)密鑰泄漏比低的問題,本發(fā)明提供了一種基于身份的抗彈性泄漏加 密系統(tǒng)和方法。它可以實(shí)現(xiàn)更低的計(jì)算代價(jià),更短的密鑰公鑰和私鑰長度和更高的相對(duì)密 鑰泄漏比。
[0010] 2?技術(shù)方案
[0011] 本發(fā)明的目的通過以下技術(shù)方案實(shí)現(xiàn)。
[0012] 一種基于身份的抗彈性泄漏加密系統(tǒng),包括可信第三方私鑰生成中心模塊和用戶 模塊兩個(gè)模塊,其中可信第三方私鑰生成中心模塊包括在線任務(wù)分配器和密鑰生成器,在 線任務(wù)分配器分別與密鑰生成器之間通過的安全信道雙向連接;
[0013] 用戶模塊為用戶終端,包括密文驗(yàn)證器、加密器、解密器;
[0014] 所述的在線任務(wù)分配器與密鑰生成器雙向連接;所述的在線任務(wù)分配器與密文驗(yàn) 證器、加密器和解密器連接;加密器分別與在線任務(wù)分配器、密鑰生成器連接;密文驗(yàn)證器 分別與在線任務(wù)分配器、和解密器連接。
[0015] 更進(jìn)一步的,所述的可信第三方私鑰生成中心模塊包括有設(shè)置好的主公鑰和主私 鑰。
[0016] 更進(jìn)一步的,所述的安全信道,通過X. 509證書、對(duì)稱密碼算法、密鑰交換協(xié)議或 消息摘要安全技術(shù)構(gòu)建。
[0017] 一種基于身份的抗彈性泄漏加密方法,包括如下步驟:
[0018] (a)、系統(tǒng)設(shè)置:
[0019] PKG為可信第三方私鑰生成中心模塊,PKG設(shè)置系統(tǒng)參數(shù)設(shè)置算法如下:
[0020] 令G和&是兩個(gè)具有相同的階為p的乘法循環(huán)群(其中p是一個(gè)大素?cái)?shù)),雙線 性映射6:6父6 - 6^是6的生成元。?1?隨機(jī)選擇元素§,111,112£6,〇£2 1),以及哈希 函數(shù)H,計(jì)算giig'最后輸出主公鑰mpk = 和主私鑰msk = a ;
[0021] (b)、加密步驟:
[0022] 步驟1 :在線任務(wù)分配器將用戶身份比特串id e ZP\{ a }發(fā)送給密鑰生成器;
[0023] 步驟2 :密鑰生成器對(duì)得到的用戶身份比特串id e Zp\{ a}做處理:隨機(jī)選擇 元素Sp s2 G Zp,計(jì)算
【權(quán)利要求】
1. 一種基于身份的抗彈性泄漏加密系統(tǒng),其特征在于:包括可信第三方私鑰生成中心 模塊和用戶模塊兩個(gè)模塊,其中可信第三方私鑰生成中心模塊包括在線任務(wù)分配器和密鑰 生成器,在線任務(wù)分配器與密鑰生成器之間通過的安全信道雙向連接; 用戶模塊為用戶終端,包括密文驗(yàn)證器、加密器、解密器; 所述的在線任務(wù)分配器與密鑰生成器雙向連接;所述的在線任務(wù)分配器與密文驗(yàn)證 器、加密器和解密器連接;加密器分別與在線任務(wù)分配器、密鑰生成器連接;密文驗(yàn)證器分 別與在線任務(wù)分配器、和解密器連接。
2. 根據(jù)權(quán)利要求1所述的一種基于身份的抗彈性泄漏加密系統(tǒng),其特征在于:所述的 可信第三方私鑰生成中心模塊包括有設(shè)置好的主公鑰和主私鑰。
3. 根據(jù)權(quán)利要求1所述的一種基于身份的抗彈性泄漏加密系統(tǒng),其特征在于:所述的 安全信道,通過X. 509證書、對(duì)稱密碼算法、密鑰交換協(xié)議或消息摘要安全技術(shù)構(gòu)建。
4. 一種基于權(quán)利要求1的系統(tǒng)處理加密的方法,包括如下步驟: (a) 、系統(tǒng)設(shè)置: PKG為可信第三方私鑰生成中心模塊,PKG設(shè)置系統(tǒng)參數(shù)設(shè)置算法如下: 令G和Gt是兩個(gè)具有相同的階為p的乘法循環(huán)群(其中p是一個(gè)大素?cái)?shù)),雙線性映 射6:6父6 - 6^是6的生成元。?1?隨機(jī)選擇元素8,111,112£6,〇£2 1),以及哈希函數(shù) H,計(jì)算gi=g°,最后輸出主公鑰mpk= (g,gpIi1,h2,H)和主私鑰msk=α; (b) 、加密步驟: 步驟1 :在線任務(wù)分配器將用戶身份比特串ideZρ\{α}發(fā)送給密鑰生成器; 步驟2 :密鑰生成器對(duì)得到的用戶身份比特串ideΖρ\{α}做處理:隨機(jī)選擇元 素Sl,S2eZρ,計(jì)算 < 二汍g ""和= (/i2g)咖《,后輸出用戶的私鑰skid = (屯,Sl,d2,S2),若id=α,則密鑰生成器重新選擇隨機(jī)數(shù)aeZp,重新計(jì)算用戶的私鑰后 發(fā)送至在線任務(wù)分配器; 步驟3:加密器設(shè)置泄漏參數(shù)入=入〇1),其中11是安全參數(shù)4# :&\{0,1:^-{0,1}15 是平均情況(logp-λ,ε)-強(qiáng)提取器,其中λ彡logp-ω(l〇gn)-k,且ε=ε(η)是η的 可忽略函數(shù),加密器選取H:GXGTX{0, 1ΓΧ{0,l}k - 21)單向哈希函數(shù); 步驟4 :在線任務(wù)分配器將用戶身份比特串發(fā)送給加密器; 步驟5 :加密器利用PKG的主公鑰mpk= (g,gl,Ii1,h2,H)和得到的用戶的身份ideZp, 對(duì)消息me{〇,l}k進(jìn)行加密,加密器獨(dú)立隨機(jī)的選擇元素reZp,se{〇,Ilt,計(jì)算u= &rg-r.ld,V= g)r,u,= ,(甘為)》"v)@Wi,P=H(u,v,s,w), y =e(g,h2)re(g,hi)1·0, 獲得消息m的密文是c= (u,v,s,w,y),加密器將消息的密文c發(fā)送給在線任務(wù)分配器; (c) 、解密步驟: 步驟6 :在線任務(wù)分配器把得到的密鑰通過安全信道傳給用戶; 步驟7 :用戶將得到的用戶密鑰Skid發(fā)送給解密器和密文驗(yàn)證器; 步驟8 :在線任務(wù)分配器將待解密消息密文發(fā)送給密文驗(yàn)證器; 步驟9 :密文驗(yàn)證器計(jì)算β=H(u,V,s,w),并利用得到的私鑰skid = ((I1,S1,d2,s2),對(duì) 得到的密文c= (u,V,s,w,y)進(jìn)行結(jié)構(gòu)合法性驗(yàn)證,等式不成立,執(zhí)行步 驟?ο;等式y(tǒng)= 成立,執(zhí)行步驟11; 步驟10 :密文驗(yàn)證器重新向加密器詢問密文,加密器重新執(zhí)行步驟5 ; 步驟11 :密文驗(yàn)證器將驗(yàn)證通過的密文c發(fā)送給解密器; 步驟12 :解密器利用得到的私鑰skid =(屯,S1,d2,S2),對(duì)得到的密文c= (u,V,s,w,y) 進(jìn)行解密,則解密的消息為《 = ,獲得解密消息。
5. 根據(jù)專利要求1所述的基于身份的加密方法,其特征在于:在步驟5中,對(duì)于w和y 計(jì)算值e(g,4),將e(g,Ill)的計(jì)算結(jié)果保存,后續(xù)計(jì)算直接進(jìn)行提取。
6. 根據(jù)專利要求1所述的基于身份的加密方法,其特征在于:在步驟5中,對(duì)于y計(jì)算 值e(g,h2),將e(g,h2)的計(jì)算結(jié)果保存,后續(xù)計(jì)算直接進(jìn)行提取。
【文檔編號(hào)】H04L9/30GK104320249SQ201410614545
【公開日】2015年1月28日 申請(qǐng)日期:2014年11月4日 優(yōu)先權(quán)日:2014年11月4日
【發(fā)明者】李繼國, 陳超東, 張樂 申請(qǐng)人:馬鞍山城智信息技術(shù)有限公司