CN102523093A - 一种带标签的基于证书密钥封装方法及系统 - Google Patents

Abstract

本发明公开一种带标签的基于证书密钥封装方法，步骤为：生成用于加密和解密过程中需要的系统参数；用户根据系统参数生成用户私钥和用户公钥；认证中心根据用户的身份、公钥、系统参数以及自己的主密钥，生成用户证书，并将证书发送给用户；发送者根据接收者的身份、公钥以及系统参数生成对称加密密钥和内部状态信息；发送者根据内部状态信息和标签生成密钥对应的封装，并将封装和标签发送给接收者；接收者使用他的私钥、证书以及标签，对封装进行解封装，恢复出对称加密的密钥。此方法为安全、高效的基于证书混合加密方法提供了最关键的部分，从而使得加密方法安全性能提高、加解密速度快。本发明还公开一种带标签的基于证书密钥封装系统。

Description

一种带标签的基于证书密钥封装方法及系统

技术领域

本发明涉及一种密钥封装技术，尤其涉及一种带标签的基于证书密钥封装方法和系统。

背景技术

密码学的主要任务之一是保证在公开信道上发送的消息安全。目前主要有两种方法可达到这个目的：分别是使用公钥密码系统对消息加密或者是使用对称密码系统对明文进行加密。使用公钥密码系统加密，不仅加解密速度比较慢(与对称加解密速度相比)，还对明文空间有限制或要求明文属于某个群，这在实际应用中是不实用的。而使用对称密码体制加解密速度快，还没有对明文长度限制的优势，但存在密钥管理的困难。基于速度和安全的考虑，有些学者结合两种密码体制的优点提出了混合密码的思想，即用对称加密算法对需要通信的数据进行加解密，用公钥加密算法对对称加密的密钥进行加密。直到2003年，Cramer和Shoup才第一次形式化定义了混合加密的安全模型，即采用密钥封装机制(KEM)与数据封装机制(DEM)进行组合，其模型简记KEM/DEM。KEM与公钥加密相似，只是加密的任务变为生成一个随机密钥及对该随机密钥的封装，也就是说加密算法除了随机值和接收者的公钥外没有其它输入，生成一个对称密钥以及对该对称密钥的加密。DEM是一个一次(ONE-TIME)密钥对称加密方案，即每个密钥只用于一条消息的加密。

在Cramer和Shoup定义的KEM/DEM结构中，如果KEM和DEM都是自适应选择密文不可区分的，则由该KEM和DEM构造的混合加密方案是自适应选择密文不可区分的，以这样的方式构造混合加密看起来是合理的，也是必要的。在CRYPTO 2004上，Kurosawa和Desmedt提出一个混合加密方案，其中KEM没有达到自适应选择密文安全，但是混合加密方案却达到了自适应选择密文安全。该方案是在Cramer和Shoup方案的基础上进行一次变形，它不再进行密文有效性验证，这样节约了一个哈希(Hash)函数的计算和一个指数运算。除了效率上的优势外，该方案在理论上也非常有意义。它说明IND-CCA2安全的KEM虽然是KEM/DEM混合加密IND-CCA2安全的充分条件，但不是必要条件。另外，还有许多在随机预言模型下有效的混合加密方案，也不能满足Cramer和Shoup定义的KEM/DEM结构。

为了设计一个更普遍更有效的混合结构，2005年Abe等人提出了Tag-KEM/DEM混合范例，Kurosawa和Desmedt的混合加密方案就可以用该结构解释。在该混合范例中，使用DEM的输出作为Tag-KEM中的标签，如果Tag-KEM是IND-CCA2安全的并且DEM对被动攻击者是安全的，则混合加密可以达到IND-CCA2安全。在这篇论文中，Abe等人指出可以由比CCA2安全强度弱的KEM构造CCA2安全的Tag-KEM，并给出CCA2安全的Tag-KEM的几种构造。

基于证书密码系统(Certificate-Based Cryptography，CBC)是由Gentry在2003年欧密会上提出的一个新型公钥密码系统。该密码系统具有基于身份和传统公钥密码系统的优点，消除了传统公钥密码系统对证书的第三方询问问题，简化了传统PKI系统中的证书撤销问题，克服了基于身份密码体制的密钥托管和密钥分发问题。

下面先对相关概念进行说明：

1、双线性映射(Bilinear Pairing)

G₁是q阶加法循环群，G₂为q阶乘法循环群，P为群G₁的生成元。一个可计算的双线性映射(Admissible Bilinear Map)e：G₁×G₁→G₂具有以下性质：

(1)双线性(Bilinearity)：对任意的P，Q∈G₁以及

有e(aP，bQ)＝e(P，Q)^ab。

(2)非退化性(Non-degeneracy)：存在P，Q∈G₁，使得e(P，Q)≠1。

(3)可计算性(Computability)：存在有效的算法来计算e(P，Q)∈G₂。

2、DH元组(Diffie-Hellman元组)

给定群元素(P，aP，bP，cP)，其中

判断cP＝abP是否成立。如果成立，我们就说(P，aP，bP，cP)是一个有效的Diffie-Hellman元组。

3、BDH问题(Bilinear Diffie-Hellman Problem，BDHP)

给定群元素(P，aP，bP，cP)，其中计算e(P，P)^abc。

概率多项式时间算法A解决<G₁，G₂>上的BDH问题的优势定义为

${\mathrm{Succ}}_{A,G_1,G_2}^{\mathrm{BDH}}=\mathrm{Pr}[A(P,\mathrm{aP},\mathrm{bP},\mathrm{cP})=e{(P,P)}^{\mathrm{abc}}:a,b,c\&Element;Z_q^{*}].$

4、DBDH问题(Decision Bilinear Diffie-Hellman Problem，DBDHP)

对于

给定群元素(P，aP，bP，cP)以及T∈G₂，判断T＝e(P，P)^abc是否成立。如果成立则输出1，否则输出0。

概率多项式时间算法A解决<G₂，G₂>上的DBDH问题的优势定义为 ${\mathrm{Succ}}_{A,G_1,G_2}^{\mathrm{DBDH}}=\left|\mathrm{Pr}\right[A(P,\mathrm{aP},\mathrm{bP},\mathrm{cP},e{(P,P)}^{\mathrm{abc}})=1]-\mathrm{Pr}[A(P,\mathrm{aP},\mathrm{bP},\mathrm{cP},T)=1\left]\right|,$ 其中 $a,b,c\&Element;Z_q^{*}.$

如果任意的概率多项式时间算法A解决<G₁，G₂>上的DBDH问题的优势都是可忽略的，则称<G₁，G₂>的DBDH问题是困难的。

5、判定Generalized-BDH问题(Decision Generalized Bilinear Diffie-HellmanProblem，DGBDHP)

对于

给定群元素(P，aP，bP，cP)以及T∈G₂，算法A选择

并判断T＝e(P，Y)^abc是否成立。如果成立则输出1，否则输出0。

概率多项式时间算法A解决<G₁，G₂>上的DGBDH问题的优势定义为 ${\mathrm{Succ}}_{A,G_1,G_2}^{\mathrm{DGBDH}}=\left|\mathrm{Pr}\right[A(P,\mathrm{aP},\mathrm{bP},\mathrm{cP},e{(P,Y)}^{\mathrm{abc}})=1]-\mathrm{Pr}[A(P,\mathrm{aP},\mathrm{bP},\mathrm{cP},T)=1\left]\right|,$ 其中 $a,b,c\&Element;Z_q^{*}.$

如果任意的概率多项式时间算法A解决<G₁，G₂>上的DGBDH问题的优势都是可忽略的，则称<G₁，G₂>的DGBDH问题是困难的。

6、BDH参数生成器(BDH Parameter Generator)

如果随机算法G满足如下几个条件，我们就称算法G是BDH参数生成器：

算法G在多项式时间内，以安全参数k∈Z⁺为输入，输出素数q，两个素数q阶群G₁、G₂，以及可计算的双线性映射e：G₁×G₁→G₂。我们将算法G描述为G(k)＝<q，G₁，G₂，e>。

基于以上分析，本发明人试图将带标签的密钥封装机制和证书加密结合在一起，本案由此产生。

发明内容

本发明的一个目的，在于提供一种带标签的基于证书密钥封装方法及系统，其为安全、高效的基于证书混合加密方法提供了最关键的部分，从而使得加密方法安全性能提高、加解密速度快。

为了达成上述目的，本发明的解决方案是：

一种带标签的基于证书密钥封装方法，包括以下步骤：

步骤A：生成用于加密和解密过程中需要的系统参数；

步骤B：用户根据系统参数生成用户私钥和用户公钥；

步骤C：认证中心根据用户的身份、公钥、系统参数以及自己的主密钥，生成用户证书，并将证书发送给用户；

步骤D：发送者根据接收者的身份、公钥以及系统参数生成对称加密密钥和内部状态信息；

步骤E：发送者根据内部状态信息和标签生成密钥对应的封装，并将封装和标签发送给接收者；

步骤F：接收者使用他的私钥、证书以及标签，对封装进行解封装，恢复出对称加密的密钥。

上述步骤A的具体实现过程如下：

A1：G₁为素数q阶加法循环群，P是群G₁的生成元；G₂为素数q阶乘法循环群，存在可计算的双线性映射e：G₁×G₁→G₂；

A2：选择两个Hash函数

其中{0，1}^*表示任意长度的{0，1}字符串，

为群G₁中的非零元素；

A3：随机选取

计算系统主公钥P_pub＝sP；

则系统主私钥MSK＝s且由认证中心保密，并将系统参数params＝{G₁，G₂，q，e，P，P_pub，H₁，H₂}公开。

上述步骤A2中，Hash函数选用Hash函数MD-5、SHA-1、SHA-2和SHA-3中的任一种。

上述步骤B的具体实现过程如下：

B1：随机选取

作为用户的私钥；

B2：计算公钥PK＝(PK₁，PK₂)＝(x_IDP，x_IDP_pub)。

上述步骤C的具体实现过程如下：

C1：对于用户身份信息ID和公钥PK，计算Q_ID＝H₁(ID，PK)；

C2：计算并获得用户证书Cert_ID＝sQ_ID，认证中心将用户证书发送给用户。

上述步骤D的具体实现过程如下：

D1：发送者验证e(PK₁，P_pub)＝e(PK₂，P)是否成立，若不成立，输出⊥并终止；

D2：验证通过后，发送者随机选取

计算Q_ID＝H₁(ID，PK)，K＝e(Q_ID，PK₂)^r；C₁＝rP；ω＝(r，C₁)。

上述步骤E的具体实现过程如下：

以ω＝(r，C₁)和随机标签τ为输入，计算：W＝H₂(C₁，τ)；C₂＝rW，返回对密钥K的封装ψ＝(C₁，C₂)及标签τ。

上述步骤F的具体实现过程如下：

F1：接收者收到标签和封装后，计算W＝H₂(C₁，τ)，当且仅当(P，C₁，W，C₂)是Diffie-Hellman元组时，ψ是正确的封装；

F2：验证通过后，接收者使用其私钥和证书计算对称加密算法的密钥K＝e(C₁，x_IDCert_ID)。

一种带标签的基于证书密钥封装系统，包括系统参数设置模块、用户密钥生成模块、用户证书生成模块、密钥产生模块、密钥封装模块和密钥解封装模块；

系统参数设置模块：生成用于加密和解密过程中需要的系统参数；

用户密钥生成模块：用户根据系统参数生成用户私钥和用户公钥；

用户证书生成模块：认证中心根据用户的身份、公钥、系统参数以及自己的主密钥，生成用户证书，并将证书发送给用户；

密钥产生模块：发送者根据接收者的身份、公钥以及系统参数生成对称加密密钥和内部状态信息；

密钥封装模块：发送者根据内部状态信息和标签生成密钥对应的封装，并将封装和标签发送给接收者；

密钥解封装模块：接收者使用他的私钥、证书以及标签，对封装进行解封装，恢复出对称加密的密钥。

采用上述方案后，本发明基于带标签的密钥封装机制和基于证书加密的优点，设计一种带标签的基于证书密钥封装机制方案，它包括以下几个部分：

(1)认证中心生成系统参数；

(2)用户生成自己的公私钥对；

(3)认证中心为用户生成证书；

(4)发送者使用接收者的公钥和身份生成对称加密密钥和内部状态信息；

(5)发送者随机选取标签，并使用内部状态信息生成对称密钥的封装，并将封装和标签发送给接收者；

(6)接收者用其证书、私钥以及标签进行解封装，得到对称加密密钥。

本发明将基于证书加密技术与密钥封装技术结合起来，设计出了带标签的基于证书密钥封装方法和系统，该方法和系统可以与数据封装方法和系统构成基于证书混合加密方法和系统，并且是构成基于证书混合加密方法和系统的最关键部分。在该混合加密系统中，不仅加解密速度快，没有对明文长度限制，还消除了传统公钥密码系统对证书的第三方询问问题，简化了传统PKI系统中的证书撤销问题，克服了基于身份密码系统的密钥托管和密钥分发问题，还为构建安全、高效的PKI提供了有效的方法，同时为Trusted Platform Module(TPM)的证书发放和撤销提供新方法，也是Trusted Computing PKI(TC-PKI)的重要构件，可用于可信计算平台身份证明方法即隐私CA(Privacy-CA)的构造。

附图说明

图1是本发明密钥封装系统的示意图。

图2是本发明密钥封装方法的流程图。

具体实施方式

以下将结合附图，对本发明的技术方案进行详细说明。

如图1所示，本发明提供一种带标签的基于证书密钥封装系统，包括系统参数设置模块A、用户密钥生成模块B、用户证书生成模块C、密钥产生模块D、密钥封装模块E和密钥解封装模块F，下面分别介绍。

系统参数设置模块A：生成用于加密和解密过程中需要的系统参数。

用户密钥生成模块B：用户根据系统参数生成用户私钥和用户公钥。

用户证书生成模块C：认证中心根据用户的身份、公钥、系统参数以及自己的主密钥，生成用户证书，并将证书发送给用户。

密钥产生模块D：发送者根据接收者的身份、公钥以及系统参数生成对称加密密钥和内部状态信息。

密钥封装模块E：发送者根据内部状态信息和标签生成密钥对应的封装，并将封装和标签发送给接收者。

密钥解封装模块F：接收者使用他的私钥、证书以及标签，对封装进行解封装，恢复出对称加密的密钥。

下面将结合带标签的基于证书密钥封装方法的流程图对该带标签的基于证书密钥封装系统中的各个模块的操作进行具体说明。

图2显示了依照本发明的密码系统执行的操作流程图。

系统参数设置模块A，具体实现过程如下：

A1：以正整数k∈Z⁺为输入，运行BDH参数生成器，获得输出，即大素数q阶加法循环群G₁、q阶乘法循环群G₂、可计算的双线性映射e：G₁×G₁→G₂；

A2：从上述步骤中获得的加法循环群G₁中选取一生成元P，并随机选取

计算系统主公钥P_pub＝sP；

A3：选择两个Hash函数

其中{0，1}^*表示有不确定个集合{0，1}的笛卡尔积，

为群G₁中的非零元素，所选的Hash函数选用Hash函数MD-5、SHA-1、SHA-2和SHA-3中的任一种；

则系统主私钥MSK＝s且由认证中心保密，并将系统参数params＝{G₁，G₂，q，e，P，P_pub，H₁，H₂}公开。

用户密钥生成模块B：用户根据系统参数生成用户私钥和用户公钥，具体实现过程如下：

B1：随机选取

作为用户的私钥；

B2：计算公钥PK＝(PK₁，PK₂)＝(x_IDP，x_IDP_pub)。

用户证书生成模块C：认证中心根据用户的身份、公钥、系统参数以及自己的主密钥，生成用户证书，并将证书发送给用户，具体实现过程如下：

C1：对于用户身份信息ID和公钥PK，计算Q_ID＝H₁(ID，PK)；

C2：计算并获得用户证书Cert_ID＝sQ_ID，认证中心将用户证书发送给用户。

密钥产生模块D：发送者根据接收者的身份、公钥以及系统参数生成对称加密密钥和内部状态信息，具体实现过程如下：

D1：发送者验证e(PK₁，P_pub)＝e(PK₂，P)是否成立。若不成立，输出⊥并终止；

D2：验证通过后，发送者随机选取

计算Q_ID＝H₁(ID，PK)，K＝e(Q_ID，PK₂)^r；C₁＝rP；ω＝(r，C₁)。

密钥封装模块E：发送者根据内部状态信息和标签生成密钥对应的封装，并将封装和标签发送给接收者，具体实现过程如下：

以ω＝(r，C₁)和随机标签τ为输入，计算：W＝H₂(C₁，τ)；C₂＝rW。返回对密钥K的封装ψ＝(C₁，C₂)及标签τ。

密钥解封装模块F：接收者对使用他的私钥、证书以及标签，对封装进行解封装，恢复出对称加密的密钥，具体实现过程如下：

F1：接收者收到标签和封装后，计算W＝H₂(C₁，τ)。当且仅当(P，C₁，W，C₂)是Diffie-Hellman元组时，ψ是正确的封装；

F2：验证通过后，接收者使用其私钥和证书计算对称加密算法的密钥K＝e(C₁，x_IDCert_ID)。

以上实施例仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。

Claims (9)

1.一种带标签的基于证书密钥封装方法，其特征在于包括以下步骤：

步骤A：生成用于加密和解密过程中需要的系统参数；

步骤B：用户根据系统参数生成用户私钥和用户公钥；

步骤C：认证中心根据用户的身份、公钥、系统参数以及自己的主密钥，生成用户证书，并将证书发送给用户；

步骤D：发送者根据接收者的身份、公钥以及系统参数生成对称加密密钥和内部状态信息；

步骤E：发送者根据内部状态信息和标签生成密钥对应的封装，并将封装和标签发送给接收者；

步骤F：接收者使用他的私钥、证书以及标签，对封装进行解封装，恢复出对称加密的密钥。

2.如权利要求1所述的一种带标签的基于证书密钥封装方法，其特征在于所述步骤A的具体实现过程如下：

A1：G₁为素数q阶加法循环群，P是群G₁的生成元；G₂为素数q阶乘法循环群，存在可计算的双线性映射e：G₁×G₁→G₂；

A2：选择两个Hash函数

其中{0，1}^*表示任意长度的{0，1}字符串，

为群G₁中的非零元素；

A3：随机选取

计算系统主公钥P_pub＝sP；

则系统主私钥MSK＝s且由认证中心保密，并将系统参数params＝{G₁，G₂，q，e，P，P_pub，H₁，H₂}公开。

3.如权利要求2所述的一种带标签的基于证书密钥封装方法，其特征在于：所述步骤A2中，Hash函数选用Hash函数MD-5、SHA-1、SHA-2和SHA-3中的任一种。

4.如权利要求1所述的一种带标签的基于证书密钥封装方法，其特征在于所述步骤B的具体实现过程如下：

B1：随机选取作为用户的私钥；

B2：计算公钥PK＝(PK₁，PK₂)＝(x_IDP，x_IDP_pub)。

5.如权利要求1所述的一种带标签的基于证书密钥封装方法，其特征在于所述步骤C的具体实现过程如下：

C1：对于用户身份信息ID和公钥PK，计算Q_ID＝H₁(ID，PK)；

C2：计算并获得用户证书Cert_ID＝sQ_ID，认证中心将用户证书发送给用户。

6.如权利要求1所述的一种带标签的基于证书密钥封装方法，其特征在于所述步骤D的具体实现过程如下：

D1：发送者验证e(PK₁，P_pub)＝e(PK₂，P)是否成立，若不成立，输出⊥并终止；

D2：验证通过后，发送者随机选取计算Q_ID＝H₁(ID，PK)，K＝e(Q_ID，PK₂)^r；C₁＝rP；ω＝(r，C₁)。

7.如权利要求1所述的一种带标签的基于证书密钥封装方法，其特征在于所述步骤E的具体实现过程如下：

以ω＝(r，C₁)和随机标签τ为输入，计算：W＝H₂(C₁，τ)；C₂＝rW，返回对密钥K的封装ψ＝(C₁，C₂)及标签τ。

8.如权利要求1所述的一种带标签的基于证书密钥封装方法，其特征在于所述步骤F的具体实现过程如下：

F1：接收者收到标签和封装后，计算W＝H₂(C₁，τ)，当且仅当(P，C₁，W，C₂)是Diffie-Hellman元组时，ψ是正确的封装；

F2：验证通过后，接收者使用其私钥和证书计算对称加密算法的密钥K＝e(C₁，x_IDCert_ID)。

9.一种带标签的基于证书密钥封装系统，其特征在于包括：

系统参数设置模块：生成用于加密和解密过程中需要的系统参数；

用户密钥生成模块：用户根据系统参数生成用户私钥和用户公钥；

用户证书生成模块：认证中心根据用户的身份、公钥、系统参数以及自己的主密钥，生成用户证书，并将证书发送给用户；

密钥产生模块：发送者根据接收者的身份、公钥以及系统参数生成对称加密密钥和内部状态信息；

密钥封装模块：发送者根据内部状态信息和标签生成密钥对应的封装，并将封装和标签发送给接收者；

密钥解封装模块：接收者使用他的私钥、证书以及标签，对封装进行解封装，恢复出对称加密的密钥。

Images