CN102201920B - 一种无证书公钥密码系统的构造方法 - Google Patents

Abstract

本发明为解决标识密码系统的私钥托管问题，提出一种构造无证书公钥密码系统的方法，和其他类似方法相比，本发明具有通用性，且根据所述构造方法可以容易地得到安全性较高的签名和加密方案。本发明包括系统建立方法、密钥生成方法、签名及验证方法和加密及解密方法。其中系统建立方法利用具有不可联系性的可随机化签名；密钥生成方法包括获得初始标识私钥、生成当前标识私钥、设置用户公私钥等步骤；签名及验证方法包括生成临时标识私钥、生成签名、验证签名等步骤；加密和解密方法包括获取公钥并加密，及利用相应私钥解密等步骤。

Description

一种无证书公钥密码系统的构造方法

技术领域

本发明属于信息安全领域，特别涉及到公钥密码技术，以及标识或基于身份的密码技术。

背景技术

公钥密码技术是一种广泛应用的对发送给指定接收者的文件、消息等信息进行加密的技术。采用这种密码技术的系统需要为每个用户生成一对数学上相关联的公钥和私钥，公钥通过某种方式公开发布，使得任何发送者都可获得接收者的公钥，私钥则由接收者秘密保存。

公钥密码系统应用中一个重要的安全需求就是确保使用的公钥确切地属于指定接收者，即需要一种将用户标识(ID)和其公钥绑定在一起的安全机制。

传统公钥密码体制中，例如采用RSA、DSA、ECC等算法的系统，公钥的产生和用户的标识没有关系，需要由第三方认证中心CA(CertificateAuthority)发放证书，即对用户的公钥和标识进行签名，将二者绑定，这个基于传统公钥密码系统的以CA为中心的体系叫做公钥基础架构，即PKI(PublicKey Infrastructure)。借助于PKI，互联网上的很多应用得以实现，例如电子商务、电子银行等。

1984年著名以色列密码学家Shamir提出标识密码系统的概念，又称基于身份的密码系统。标识密码系统中，用户标识就是该用户的公钥，不需要存储用户的公钥，也不需要借助于PKI将公钥和标识绑定在一起，因此有广泛的潜在应用前景。但是由于技术的局限，标识加解密方案的实现一直是个公开问题。

二十一世纪后，随着研究人员对椭圆曲线的深入研究，发掘出了双线性对作为一系列密码系统的工具。双线性对解决了标识密码系统的设计和实现难题。2001年，美国斯坦福大学的Boneh和加州大学戴维斯分校的Franlin利用椭圆曲线的双线性对，构造了一个基于BDH假设(Bilinear Diffie-Hellman)的标识密码系统BF-IBE。该密码系统成功的实现了Shamir的标识密码系统概念的功能，并且在效率、密文长度上有很高的实用价值。2003年大阪电气通信大学的Sakai和大阪学院大学的Kasahara提出了一个基于q-BDHI假设(q-bilinear Diffie-Hellman inversion)的标识密码系统SK-IBE。2004年Boneh和Boyen同样利用椭圆曲线的双线性对，构造了一个基于D-BDH假设(Decisional Bilinear Diffie-Hellman)的标识密码系统BB-IBE。2005年美国得克萨斯大学的Waters提出了一个安全性基于D-BDH假设(Decisional BilinearDiffie-Hellman)的标识密码系统W-IBE。

目前普遍认为一个标识密码系统应该包含密钥中心KGC、公共参数发布服务器PPS这两个组成部分。KGC的主要作用是接收用户的标识私钥请求，利用主密钥为用户生成标识私钥。PPS公开KGC设定的系统参数，包括除主密钥和能导出主密钥的参数之外的可公开参数等信息。PPS的主要作用是为用户提供系统参数下载服务。

标识密码体制有两个主要缺点，在一定程度上限制了它的应用。一是用户的标识私钥在密钥中心的托管问题，用户的标识私钥必须由密钥中心生成，因此密钥中心和用户一样也拥有用户标识私钥，因此严格地说，标识密码体制产生的签名不具有不可否认性，这在法律上是个问题。相应地，标识密码体制产生的密文在密钥中心可以解密，有信息泄露的风险。二是用户标识私钥丢失后的问题。传统公钥体制中用户的标识和公钥绑定在一起，如果用户私钥丢失，用户可以重新生成一对公钥和私钥，而在标识密码体制中，用户的标识就是公钥，因此无法被撤销。

为了解决标识密码系统中存在的问题，研究人员分别提出了一些介于传统公钥密码系统和标识密码系统之间的一种公钥密码系统，如Gentry在“Certificate-Based Encryption and the Certificate Revocation Problem”(EUROCRYPT 2003)中提出的基于证书的密码系统CBE(Certificate BasedEncryption)、Al-Riyami和Patersony在“Certificateless Public Key Cryptography”(Asiacrypt 2003)中提出的无证书公钥密码系统CL-PKC(Certificateless PublicKey Cryptography)、Girault在“Self-certificated public keys”(EUROCRYPT1991)中提出的自证书公钥系统SC-PKC(Self-Certified Public KeyCryptography)。在假定密钥中心是可信任的情况下，也就是密钥中心尽管能够计算出用户的标识私钥，但是不会替换用户的公钥，CBE、SC-PKC、CL-PKC都能解决标识密码系统的私钥托管问题。

其中无证书公钥密码系统CL-PKC中，用户在获得标识密码中心生成的标识私钥之后，选择自己的一个秘密，将这个秘密施加于标识私钥上，生成一对新的公钥和私钥。加密发送方需要获得接收方的公钥和标识进行加密操作。接收方只有获得相应的私钥方可解密，这个私钥已经不同于标识密码系统密钥中心初次生成的那个标识私钥。

CL-PKC的具体建立过程如下：

1)系统建立：密钥中心KGC生成主密钥和公共参数；

2)用户部分私钥获取：KGC根据用户的标识ID，为用户生成标识私钥，作为用户的部分私钥sk_u，part；

3)用户私钥生成：用户根据公共参数、自己的标识ID，生成用户秘密x_u，并利用x_u将部分私钥sk_u，part转换成全部私钥sk_u；

4)用户公钥生成：根据公共参数、用户秘密x_u，生成用户公钥pk_u；

5)加密：根据接收方的公钥、标识ID，对明文消息加密，生成密文；

6)解密：利用自己的私钥sk_u对密文解密，恢复明文消息。

本发明提出一种无证书公钥密码系统的构造方法，其核心思想是利用研究人员提出的可随机化的签名方案，如“Unlinkable Randomizable Signature and ItsApplication in Group Signature”(Inscrypt′07，LNCS 4990，pages 328-342，2008)。一个可随机化签名比普通的签名方案额外包含了一个随机化算法Rnd，具体如下：

Gen：输入安全参数k，输出(pk，sk)的概率多项式算法，pk是公钥，sk是私钥；

Sig：输入私钥sk和消息m，输出签名sig的概率多项式算法，签名可分成两部分，sig＝(a，b)；

Ver：输入公钥pk、消息m和签名sig，输出1或0(表示接受或拒绝)的确定性多项式算法；

Rnd：输入公钥pk、消息m和签名sig sig＝(a，b)，输出m的另一个不同签名sig′＝(a′，b′)的概率多项式算法。

一个可随机化签名具有不可联系性，如果给定两个不同消息和相应签名(m₀，a₀，b₀)、(m₁，a₁，b₁)，挑战者随机选择其中一个消息的签名并随机化生成一个完全不同的签名(a，b)，把签名的第二部分b给敌手，敌手不能通过有效算法区分b是对哪一个消息签名的随机化。

基于椭圆曲线双线性对的可随机化签名还有另外一个特性，其签名验证可以比较容易地用来构造下列形式的标识密文：

<pairing-DH token(r)，Hiding(message；pairing-DH value)>。

本发明还利用了基于非交互零知识证明协议的知识签名。非交互式零知识协议(non-interactive zero-knowledge，简称NIZK)是一种只需进行一次信息传递的证明或论证系统，把非交互零知识证明协议转换成的签名方案称作知识签名，可参考Bellare和Goldwasser的“New paradigms for digital signatures andmessage authentication based on non-interactive zero knowledge proofs”(InAdvances in Cryptology-CRYPTO′89，LNCS 435，pages 194-211.Springer，1990)。

和其他无证书公钥密码系统相比，本发明具有通用性且根据所述构造方法可以容易地得到安全性较高的签名和加密方案。

发明内容

本发明的目的是针对标识密码系统的一种安全缺陷，即用户的标识私钥被托管在密钥中心的问题，提出一种构造无证书公钥密码系统的方法，和其他无证书公钥密码系统以及其他类似方法相比，如基于证书的密码系统和自证书公钥系统，本发明具有通用性且根据所述构造方法可以容易地得到安全性较高的签名和加密方案。

为达成所述目的，本发明利用了具有不可联系性的可随机化签名，包括系统建立方法、密钥生成方法、签名及验证方法和加密及解密方法。

其中系统建立方法，具体包括如下步骤：

步骤1.密钥中心选择一个具有不可联系性的可随机化签名方案；

步骤2.密钥中心根据所述可随机化签名方案选择密钥中心私钥和密钥中心公钥；

其中密钥生成方法包括如下步骤：

步骤1.获得初始标识私钥：用户提交自己的标识和私钥获取请求给密钥中心，密钥中心对标识进行可随机化签名，所得签名即为用户的初始标识私钥d_ID；

所述初始标识私钥，其特征在于，可以分成两个部分，分别记为a_ID和b_ID；

步骤2.生成当前标识私钥：所述用户获得所述初始标识私钥d_ID后，将其随机化生成用户的当前标识私钥d_ID ⁰；

所述当前标识私钥d_ID ⁰，其特征在于，可以分成两个部分，分别记为a_ID ⁰和b_ID ⁰，且a_ID ⁰和b_ID ⁰分别由a_ID和b_ID随机化生成；

步骤3.设置用户公私钥：用户设置自己的用户私钥为所述当前标识私钥的第一部分a_ID，设置自己的用户公钥为所述私钥在一个密码学安全的单向函数映射下的函数值；

其中签名及验证方法包括如下步骤：

步骤1.生成临时标识私钥：签名者对所述当前标识私钥d_ID ⁰随机化，生成临时标识私钥d_ID ¹；

所述临时标识私钥d_ID ¹，其特征在于，可以分成两个部分，分别记为a_ID ¹和b_ID ¹，且a_ID ¹和b_ID ¹可以分别由a_ID ⁰和b_ID ⁰随机化生成；

步骤2.生成签名：给定任何消息，所述签名者基于所述临时标识私钥d_ID ¹，生成一个基于非交互零知识证明协议的知识签名，将所述临时标识私钥的第二部分b_ID ¹和所述知识签名作为所述签名者对所述消息的签名；

其中加密及解密方法包括如下步骤：

步骤1.加密者要对明文加密时，首先获得解密者的用户公钥，生成基于双线性对的DH随机值，从所述DH随机值导出密钥，对所述明文进行加密；

步骤2.所述解密者利用所述当前标识私钥d_ID ⁰进行解密。

本发明的有益效果：本发明能够解决标识密码系统私钥被托管的安全缺陷，和其他类似方法比较，特别和其他无证书公钥密码系统方法相比，本发明具有通用性且根据所述构造方法可以容易地得到安全性较高的签名和加密方案。

附图说明

图1是本发明无证书公钥密码系统的组成框图；

图2是本发明图1中密钥生成的流程图；

图3是本发明图1中签名/验证的签名流程图。

具体实施方式

下面结合具体实施例详细说明本发明技术方案中所涉及的各个细节问题。应指出的是，所描述的实施例仅旨在便于对本发明的理解，而对其不起任何限定作用。

以Zhou-Lin在“Unlinkable Randomizable Signature and Its Application inGroup Signature”(Inscrypt′07，LNCS 4990，pages 328-342，2008)中提出的可随机化签名BBS04+为例。

其中系统建立的步骤具体如下：

步骤1.密钥中心选择所述BBS04+签名方案；

步骤2.选择密钥中心私钥为sk_c＝x，密钥中心公钥为pk_c＝{p，g，g₁，h₁，e，w，G₁，G₂}，其中w＝g₁ ^x，e是G₁×G₁到G₂的双线性映射；

其中密钥生成的步骤具体如下：

步骤1.获得初始标识私钥：用户提交自己的标识ID和私钥获取请求给密钥中心，密钥中心对ID进行可随机化签名，获得用户的初始标识私钥d_ID＝(a_ID，b_ID)，其中a_ID＝(s，t)，b_ID＝A，s、t是选自于Z_p ^*中的随机值，A＝(h₁ ^IDg)^t/(x+s)；

步骤2.生成当前标识私钥：用户获得初始标识私钥d_ID后，生成随机值r，将初始标识私钥随机化生成当前标识私钥d_ID ⁰＝(a_ID ⁰，b_ID ⁰)，其中a_ID ⁰＝(s₀，t₀)，b_ID ⁰＝A^r，s₀＝s，t₀＝rt；

步骤3.设置用户公私钥：设置用户私钥sk＝(s，rt)，用户公钥pk＝(pk₀，pk₁)，其中pk₀＝g₁ ^s0，pk₁＝g₁ ^t0，这里选择密码学安全的单向函数owf(x)＝g₁ ^x；

其中签名及验证方法包括如下步骤：

步骤1.生成临时标识私钥：签名者选择随机值r′，对自己的私钥d_ID ⁰随机化，生成临时标识私钥d_ID ¹＝(a_ID ¹，b_ID ¹)，其中a_ID ¹＝(s₁，t₁)，s₁＝s₀，

t₁＝r′·t₀，b_ID ¹＝(b_ID ⁰)^r′；

步骤2：生成签名：签名者生成一个基于非交互知识证明的签名SIG，比如按Fiat-Shamir变换生成的签名，可参考Schnorr的“Efficient signaturegeneration by smart cards”(Journal of Cryptology，4(3)：161-174，1991)：

SIG＝{(s，r′，t0)∶e(b_ID ¹，w·pk₀)＝e(h₁ ^IDg，pk₁ ^r′)，g₁ ^s＝pk₀，g₁ ^t0＝pk₁}{m}，将b_ID ¹，SIG作为签名者对m的签名；

步骤3.验证签名：验证者使用签名者的公钥和标识验证SIG的正确性，如果通过，签名验证通过；

其中加密及解密方法可按照Boneh和Frankliny在“Identity-BasedEncryption from the Weil Pairing”中提出的方法，包括如下步骤：

步骤1.加密者要对消息m进行加密时，首先获得解密者的公钥pk＝(pk₀，pk₁)。加密者选择Z_p ^*中的随机值θ，计算

r＝H1(θ‖m)，pairing-DH value＝e(h₁ ^IDg，r·pk₁)，

C₁＝(w·pk₀)^r，C₂＝pairing-DH value⊕θ，C₃＝m⊕H2(θ)；

其中H1、H2为相应的密码学安全的哈希函数。生成的密文为(C₁，C₂，C₃)；

步骤2.解密者利用自己的私钥d_ID ⁰＝(s0，t0，A0)进行解密，具体如下：

首先计算出θ＝e(A0，C₁)⊕C₂，m＝C₃⊕H2(θ)；再计算r＝H1(θ‖m)最后验证C₁＝(w·pk₀)^r是否成立，如果成立则解密成功，否则解密失败。

以上所述，仅为本发明中的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉该技术的人在本发明所揭露的技术范围内，可理解想到的变换或替换，都应涵盖在本发明的包含范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims (3)

1.一种构造无证书公钥密码系统的方法，包括系统建立方法及密钥生成方法，其特征在于，所述系统建立方法具体包括如下步骤：

步骤1.密钥中心选择一个具有不可联系性的可随机化签名方案；

步骤2.密钥中心根据所述可随机化签名方案选择密钥中心私钥和密钥中心公钥；

所述密钥生成方法具体包括如下步骤：

步骤1.获得初始标识私钥：用户提交自己的标识和私钥获取请求给密钥中心，密钥中心对标识进行可随机化签名，所得签名即为用户的初始标识私钥d_ID；

所述初始标识私钥，其特征在于，可以分成两个部分，分别记为a_ID和b_ID；

步骤2.生成当前标识私钥：所述用户获得所述初始标识私钥后，将其随机化生成用户的当前标识私钥d_ID ⁰；

所述当前标识私钥d_ID ⁰，其特征在于，可以分成两个部分，分别记为a_ID ⁰和b_ID ⁰，且a_ID ⁰和b_ID ⁰分别由a_ID和b_ID随机化生成；

步骤3.设置用户公私钥：用户设置自己的用户私钥为所述当前标识私钥的第一部分a_ID ⁰，设置自己的用户公钥为所述私钥在一个密码学安全的单向函数映射下的函数值。

2.一种如权利要求1所述的构造无证书公钥密码系统的方法，其特征在于还包括签名和验证方法，具体包括如下步骤：

步骤1.生成临时标识私钥：签名者对所述当前标识私钥d_ID ⁰随机化，生成临时标识私钥d_ID ¹；

所述临时标识私钥，其特征在于，可以分成两个部分，分别记为a_ID ¹和b_ID ¹，且a_ID ¹和b_ID ¹可以分别由a_ID ⁰和b_ID ⁰随机化生成；

步骤2.生成签名：给定任何消息，所述签名者基于所述临时标识私钥d_ID ¹，生成一个基于非交互零知识证明协议的知识签名，将所述临时标识私钥的第二部分b_ID ¹和所述知识签名作为所述签名者对所述消息的签名；

步骤3.验证签名：验证者使用所述签名者的标识和所述用户公钥验证所述消息的所述签名，如果通过，所述签名验证通过。

3.一种如权利要求1所述的构造无证书公钥密码系统的方法，其特征在于还包括加密和解密方法，具体包括如下步骤：

步骤1.加密者要对明文加密时，首先获得解密者的用户公钥，生成基于双线性对的DH随机值，从所述DH随机值导出密钥，对所述明文进行加密；

步骤2.所述解密者利用所述当前标识私钥d_ID ⁰进行解密。

Images