CN103036684A

CN103036684A - 降低主密钥破解和泄露危害的ibe数据加密系统及方法

Info

Publication number: CN103036684A
Application number: CN2012105862513A
Authority: CN
Inventors: 龙毅宏; 唐志红
Original assignee: BEIJING ITRUSCHINA Co Ltd; Wuhan University of Technology WUT
Current assignee: BEIJING ITRUSCHINA Co Ltd; Wuhan University of Technology WUT
Priority date: 2012-12-28
Filing date: 2012-12-28
Publication date: 2013-04-10
Anticipated expiration: 2032-12-28
Also published as: CN103036684B

Abstract

本发明涉及一种降低主密钥破解和泄露危害的IBE数据加密系统及方法，所述系统包括n个各自独立的IBE私钥生成器，数据加密方、数据解密方和IBE私钥生成器选择器。本发明的数据加密方在进行数据加密时，调用所述选择器将解密方的身份标识映射到n个IBE私钥生成器中的m个，然后用这m个IBE私钥生成器的公开参数和解密方的身份标识对待加密数据或对称密钥进行m重加密；数据解密方利用从相应的m个IBE私钥生成器获得m个私钥对m重加密的数据或对称密钥进行解密。采用本发明的系统及方法，一旦出现某个IBE私钥生成器主密钥被破解或被泄露的情形时，受影响的用户范围将得到有效控制，他们的数据遭受的安全威胁、危害被降低。

Description

降低主密钥破解和泄露危害的IBE数据加密系统及方法

技术领域

本发明属于数据加密技术领域，是一种采用IBE（Identity-Based Encryption）的数据加密方法，特别地，是一种应对IBE数据加密系统中产生用户IBE私钥（private key）的IBE主密钥（master key）被破解和被泄露带来的安全危害的IBE数据加密系统及方法。

背景技术

目前常用的数据加密体系有公开密钥（public key）加密体系和对称密钥（symmetric key）加密体系。所谓对称密钥加密，即数据的加密和解密使用同一个密钥；它具有加解密速度快，算法实现简单等特点，但其也存在密钥分发困难的问题（数据加密方如何将加密密钥安全地传送给数据解密方）；目前最常用的对称密钥加密算法有DES、3DES、AES、RC4等。在公开密钥加密体系中，涉及一对密钥，其中一个公开，称为公钥（public key）用于数据的加密和数字签名的验证，另一个不公开，称为私钥（private key）用于数据的解密和数字签名；由于数据加密、解密所使用的密钥不同，因此，公开密钥加密算法（技术、体系）又称为非对称密钥加密算法（技术、体系）；公开密钥加密的优点是密钥分发比较容易，加密方只需使用解密方的公钥对数据加密即可（公钥是公开可得到的），只有解密方才能使用其私钥解密数据；公开密钥加密的缺点是算法较复杂、加解密速度较慢等；目前最常用的用于数据加解密的公开密钥算法有RSA、ECC（椭圆曲线加密算法）等。为了发挥两种加密体系（算法）各自的优点，目前通常的数据加密方案是将二者结合起来使用：当一方向另一方发送加密数据时，发送方先用随机产生的对称密钥对数据进行加密，然后再使用接收方的公钥对随机产生的对称密钥进行加密，之后，发送方将加密后的数据和加密后的对称钥一起发送给接收方；接收方接收到加密数据及加密后的对称密钥后，先用自己的私钥解密加密的对称密钥，然后使用解密后的对称密钥解密数据。

从以上描述可以看到，在采用了公开密钥加密算法的数据加密、解密方案中，一方要向另一方发送加密数据，必须事先获得对方的公钥，因此，公钥的拥有者（即加密数据的接收方）需通过一定的安全途径发布其公钥，以便其他人（或实体）能够得到并使用其公钥向其发送加密数据。在公开密钥体系中，为了解决这一问题，人们提出了公开密钥基础设施（Public Key Infrastructure，PKI)安全技术与信任体系。在PKI体系中，由一个数字证书认证中心（Certification Authority，CA）作为可信的第三方签发数字证书（digital certificate）来进行用户（实体）公钥的发布。CA签发的数字证书除了包含证书持有人的公钥外，还包含有证书持有人的其他身份信息，如姓名、所属组织、电子邮件地址等。证书由CA使用其私钥进行数据签名，以保证证书中信息的可信性、安全性。数字证书有时又分为加密证书和身份证书，前者用于数据的加密解密，后者用于用户身份鉴别、数字签名及签名验证。这样，在PKI体系中，一方要向另一方发送加密数据，发送方需先通过一定的途径（如从CA的公开证书目录服务）获取接收方的（加密）数字证书，然后从数字证书中提取接收方的公钥。

在PKI体系中，要发送加密数据，必须事先获取对方的（加密）数字证书，这对于许多普通用户是一件麻烦的事情，这也是PKI技术体系在实际应用中存在的一个比较突出的问题，为了解决这问题，人们提出了基于身份标识的加密（Identity Based Encryption，IBE)。IBE也是一种公开密钥加密体制（算法、技术）。使用IBE进行传送数据加密时，发送方无需事先获得接收方的数字证书，只需事先知道可唯一标识对方身份的一个标识（如身份证号、电子邮件地址、手机号码等），然后基于这个身份标识结合一组IBE公开参数（也称为系统参数，由多个参数组成）就可以进行数据加密。类似地，通常是先用随机产生的对称密钥加密数据，然后用IBE公钥加密随机产生的对称密钥。这里，身份标识和一组公开参数就构成了IBE公钥，（但在实际应用中人人常常把身份标识简称为公钥）。接收方接收到数据后，使用自己身份标识对应的私钥（IBE私钥）即可解密数据（严格说来，IBE私钥也是由一组IBE公开参数和通过身份标识计算得到私密信息构成）。接收方身份标识对应的私钥是由一个IBE私钥生成器（Private KeyGenerator，PKG）产生。接收方要获得自己身份标识对应的IBE私钥，需先在IBE私钥生成器（或其代理服务器）完成身份鉴别并证明其是相应身份标识的拥有者（身份鉴别可以通过身份数字证书来实现，或其它强身份鉴别方式实现），之后通过安全通道从IBE私钥生成器（或其代理服务器）获得其IBE私钥，并将私钥安全保存以供日后使用。IBE私钥生成器（或其代理服务器）会通过安全方式发布其IBE公开参数，以便任何人用其进行数据加密。

IBE数据加密有其独特的优点，它为数据传送加密带来了方便，但IBE技术也存在一个人们非常关心的、也是非常重要的安全问题：IBE私钥生成器是利用一个称为主密钥（master key）的密码数据结合一定的算法为每个用户生成其身份标识对应的IBE私钥的，因此，主密钥一旦被泄露或被破解，那么，整个IBE加密体系将崩溃。因此，要保证IBE加密体系的安全，一方面需要保证IBE加密算法本身是安全的，另一方面，需要确保主密钥有足够的安全强度（很好的随机性以及足够的密钥长度）并获得高强度的、严格的安全保护。但是，即便是采用了具有足够安全强度的主密钥，即便对主密钥采用了高强度的、严格的安全保护措施，也不能绝对保证主密钥不被破解、被泄露，因此，我们必须有相应的技术手段，当这种情况发生时，能够将其造成的危害和损失减少到最低的、可控的程度，这就是本发明要解决的问题。

发明内容

本发明的目的是提出一种当IBE加密系统（体系）中一旦出现主密钥被破解和被泄露的情形时，能够将其造成的危害及损失减少到最低及可控程度的IBE数据加密系统及方法。

为了实现上述目的，本发明所采用的技术方案是：

一种降低主密钥破解和泄露危害的IBE数据加密系统及方法，采用本方法构建的IBE数据加密系统包括数据加密方、n个IBE私钥生成器、数据解密方、IBE私钥生成器选择器，所述n为大于1的正整数，其中：

IBE私钥生成器，用于IBE公开参数的发布和IBE私钥的产生，n个IBE私钥生成器中的每个IBE私钥生成器都发布有自己的IBE公开参数并有自己的主密钥用于为用户产生身份标识对应的IBE私钥；每个IBE私钥生成器所使用的主密钥各不相同，而所使用的椭圆曲线或者相同，或者不同；

数据加密方，包括进行数据加密的用户及其所使用的加密软件，使用解密方的身份标识以及所述身份标识所对应的m个IBE私钥生成器所发布的IBE公开参数对数据或对称密钥进行多重加密，其中，m大于0且小于等于n；

数据解密方，包括进行数据解密的用户及其所使用的加密软件，使用解密方用户的身份标识所对应的相关IBE私钥和相关IBE私钥生成器所发布的IBE公开参数对多重加密的数据或对称密钥进行解密；

IBE私钥生成器选择器，将一个用户的身份标识映射到n个IBE私钥生成器中的m个，即根据设定的针对身份标识的n选m算法或策略，在n个IBE私钥生成器中选择m个作为所述用户身份标识所对应的m个IBE私钥生成器。

所述系统的数据加密方在进行数据加密时，按如下步骤进行操作：

步骤1：调用所述IBE私钥生成器选择器，将数据解密方的身份标识映射到所述n个IBE私钥生成器中的m个IBE私钥生成器；

步骤2：使用所述数据解密方的身份标识和从步骤1映射得到的所述m个IBE私钥生成器获得的IBE公开参数，分别对待加密的数据或对称密钥按IBE加密算法进行m重加密，即先用所述数据解密方的身份标识和所述m个IBE私钥生成器中的一个IBE私钥生成器的IBE公开参数对待加密的数据或对称密钥按IBE加密算法进行加密，然后，再用所述数据解密方的身份标识和余下的m-1个IBE私钥生成器中的一个IBE私钥生成器的IBE公开参数对前述加密后的数据或对称密钥再按IBE加密算法进行加密，重复此过程，直到使用所述数据解密方的身份标识和所述所有m个IBE私钥生成器的IBE公开参数完成对待加密的数据或对称密钥的IBE加密。

所述系统的数据解密方在进行数据解密时，按如下步骤进行操作：

步骤A：调用所述IBE私钥生成器选择器，将数据解密方用户的身份标识映射到所述n个IBE私钥生成器中的m个IBE私钥生成器；

步骤B：从步骤A所述m个IBE私钥生成器分别获得与解密方用户的身份标识相对应的m个IBE私钥；

步骤C：利用步骤A所述m个IBE私钥生成器的IBE公开参数和步骤B所获得m个IBE私钥，按IBE算法解密被m重加密的数据或对称密钥。

依据所述系统及方法，本发明具有如下特点：

1）通过合适的身份标识到IBE私钥生成器的映射算法或策略（即针对身份标识的n选m算法或策略），可将每个用户的身份标识映射或分配到n个IBE私钥生成器中的m个；

2）若m=1，那么，一旦某个私钥生成器的主密钥被破解或被泄漏，受影响的用户将只占整个用户群的n分之一，且n越大，受影响的用户越少（但n越大运行IBE私钥生成器的成本也越高）；IBE私钥生成器的运行机构可根据需要选择合适的n；

3）若m>1，那么，如果仅有一个私钥生成器的主密钥被破解或被泄漏，不会对用户数据造成安全危害，只有当n个IBE私钥生成器中的m个（IBE私钥生成器）的主密钥同时被破解或被泄漏时，才会对整个用户群中的部分用户的加密数据造成安全威胁，若身份标识到IBE私钥产生器的映射是均匀的（即在身份标识到IBE私钥生成器的映射过程中，每个IBE私钥产生器被选中的概率是相同的），则这时受影响的用户仅占整个用户群的m!(n-m)!/n!；

4）从以上可看到，为了保障安全性，应选择足够大的n；

5）如果在本发明提出的方案的基础上，进一步地将每个IBE私钥生成器的主密钥分成多份，比如L份，分散保存在L个IBE私钥生成器上，其中的每个IBE私钥生成器仅负责生成一个用户的IBE私钥的一部分，共生成L部分，最后将这L部分IBE私钥合成为一个最终的IBE私钥，则将能减少某个主密钥被泄露的风险，但不能降低主密钥被破解的风险，也不能降低主密钥被破解、被泄露后给用户数据带来的安全风险和危害。

6）本发明所述方法还可以同分级的IBE（Hierarchical Identity–Based Encryption，HIBE）相结合，以减少HIBE中的各级PKG的主密钥被破解、被泄露带来的安全威胁，具体的做法是将HIBE中的每个PKG用本发明中的n个PKG替代，即HIBE中的每个IBE，无论是根（root）PKG还是域（domain）PKG都对应于本发明中的n个PKGs。

从以上特点可以看到，将本发明用于IBE数据加密系统，可达到如下效果：

1）一旦某个IBE私钥生成器的主密钥被破解或被泄漏，可减小或控制受影响的人群；

2）大大降低某个IBE私钥生成器的主密钥一旦被破解或被泄漏时给用户数据安全带来的威胁和危害。

附图说明

图1 为本发明的系统框图。

具体实施方式

下面对本发明做进一步的详细描述。

采用本发明的数据加密系统如图1所示。

对于IBE加密算法，在有关的IBE文献中已有详细描述（如参见IETFRFC5091），在此不作进一步的描述。使用IBE加密算法进行数据或对称密钥加密、解密的相关软件的具体实施可采用C/C++或C#.NET；多重加密的数据或对称密钥的数据格式，既可以自定义，也可在Cryptographic Message Syntax (CMS)规范（IETF RFC3852）和Using the Boneh-Franklin and Boneh-Boyen Identity-Based Encryption Algorithms with the Cryptographic Message Syntax(CMS)（IETF RFC5409）的基础上定义，其具体实施对于加密软件方面的编程人员而言是不难做到的。

数据加密方从IBE私钥生成器获取IBE公开参数可采用在线方式，即通过数据加密方的相关客户端（如浏览器、专用客户端）在线访问IBE私钥生成器（或其代理服务器）获得。

数据解密方从IBE私钥生成器获取IBE私钥有两种方式：离线或在线。所谓离线方式，即数据解密方用户到IBE私钥生成器运行机构所在地，提交证明其身份以及其拥有相关身份标识的凭证（如个人居民身份证、手机号等），在现场验证、确认通过后获取其身份标识对应的私钥。所谓在线方式，即数据解密方用户通过相关客户端软件，在线连接IBE私钥生成器（或其代理服务器），获取其身份标识所对应的私钥。数据解密方在线获取IBE私钥时，需要向IBE私钥生成器（或其代理服务器）在线提交身份凭证（如身份数字证书，或用户名/口令），以及证明其是产生私钥的身份标识的拥有者的证明数据（信息）（即进行身份标识归属性验证、确认）；在身份鉴别及身份标识归属性验证、确认通过后，IBE私钥生成器（或其代理服务器）通过安全加密通道向数据解密方（的客户端软件）传送用户的IBE私钥。根据用于数据加密的身份标识的类型的不同，证明用户是产生IBE私钥的身份标识的拥有者的方法将不同，下面是一些可以采用的具体实施方法。

如果身份标识别是电子邮箱地址，则IBE私钥生成器（或其代理服务器）向用户电子邮箱地址发送一串仅在有限时间内有效的IBE私钥获取信息，若用户在规定时间内通过客户端界面（如浏览器或专用客户端）将从电子邮件收到的私钥获取信息提交到IBE私钥生成器（或其代理服务器），则IBE私钥生成器确认用户是电子邮箱地址的拥有者并返回用户电子邮箱对应的IBE私钥；否则，拒绝用户获取IBE私钥的请求。

如果身份标识别是移动手机号码，则IBE私钥生成器（或其代理服务器）向用移动户手机号码发送一串仅在有限时间内有效的IBE私钥获取信息，若用户在规定时间内通过客户端界面（如浏览器或专用客户端）将从移动手机收到的私钥获取信息提交到IBE私钥生成器（或其代理服务器），则IBE私钥生成器确认用户是移动户手机号码的拥有者并返回用户移动户手机号码对应的IBE私钥；否则，拒绝用户获取IBE私钥的请求。

如果身份标识别是居民身份证号码，则身份标识归属性验证、确认的过程有所不同，具体描述如下：

第一步：用户在从IBE私钥生成器获取其IBE私钥前，先以其在IBE私钥生成器进行身份鉴别的身份凭证（如身份数字证书，或用户名/口令）登录一个专门的标识认证系统，注册其居民身份证号码作为其IBE身份标识，并输入身份证上的相关信息，如姓名、出生年月、住址等；

第二步：标识认证系统连接在线居民身份证信息验证系统（如ID5居民身份证信息在线验证系统），验证用户输入的身份证信息的正确性，验证通过后转入下一步；

第三步：用户输入一个以其身份证上名字开户的银行帐户（包括网银帐户，如支付宝、银联网银、各银行网银）；

第四步：标识认证系统通过银行支付、转账方式，进一步验证、确认用户的身份，具体的验证方式包括：（1）标识认证系统（或其工作人员）通过向用户的银行帐户转账一个随机的小额资金，用户收到转账资金后，在标识认证系统输入收到转账金额，如果标识认证系统转出的金额与用户输入的金额相同，则确认该用户是其注册的居民身份证号码的拥有者；或者，（2）标识认证系统提示用户通过银行帐户向指定的银行帐户转入一个指定金额的小额资金，若标识认证系统（或其工作人员）从指定的银行帐户收到来自用户银行帐户的指定金额，则确认该用户是其注册的居民身份证号码的拥有者。

在完成居民身份证号码的注册和验证、确认后，当用户通过客户端软件向IBE私钥生成器申请获取其居民身份证号码对应的IBE私钥时，IBE私钥生成器首先基于用户提交的身份凭证完成用户的身份鉴别，然后，通过标识认证系统确认申请获取IBE私钥的居民身份证号码是否属于该用户所有，若是，则返回用户身份证号码对应的IBE私钥；否则，拒绝。

在这里，用户在IBE私钥生成器进行身份鉴别所采用的身份（标识），与其申请产生IBE私钥的身份标识可以是同一个，也可以不是。

对于在线获取IBE私钥的客户端的具体实施，既可采用HTTP通用客户端（浏览器），也可采用专用客户端（非浏览器）。当采用HTTP通用客户端（浏览器）的技术方案时，数据解密方客户端与IBE私钥生成器之间的数据交互可定义适当的信息交互过程（请求、响应）、用户身份鉴别方式以及交互数据（内容）；为了保证数据传送的安全，浏览器与IBE私钥生成器（或其代理服务器）之间的数据传送采用SSL（Secure Socket Layer），即采用HTTPS协议。当采用非HTTP的专用客户端（非浏览器）在线获取私钥技术方案时，数据解密方与IBE私钥生成器（或其代理服务器）之间的数据交互可以采用自定义的协议（可参考Identity-Based Encryption Architecture and SupportingData Structures，IETF RFC5408），相关协议要确保用户身份鉴别、数据和私钥传送的安全性，包括采用安全加密的数据传输通道，如SSL；有关协议的设计和实施对于信息安全领域的编程人员而言都是不难做到。

所述n个IBE私钥生成器在逻辑上是独立的，但在物理上，既可以运行在同一个计算机服务器上，也可以运行在多个不同的服务器上，甚至可以运行在不同的物理场地。IBE私钥生成器（及其代理服务器）的具体实施（包括与客户端交互协议的具体实施），可采用成熟的信息系统技术，如J2EE、C#.NET、C/C++等。IBE私钥生成器既可以直接面向用户在线提供相关服务，也可以通过一个代理服务器对外提供服务。

IBE私钥生成器选择器是一个实施身份标识到IBE私钥生成器的映射算法或策略的软件组件，它的软件实现可采用合适的客户端编程技术，如C/C++、C#.NET等；而其具体实现的关键是选择或设计一个合适的身份标识到IBE私钥生成器的映射算法或策略，即将一个用户的身份标识映射到n个IBE私钥生成器中的m个的算法或策略（也即所述针对身份标识的n选m算法或策略）。所述映射算法或策略的具体实施也有很多种方式，在此描述其中的一种实施方式（但不是唯一的实施方式），具体如下：

1）将n个IBE私钥生成器进行n选m的排列组合，排列组合出所有可能的方案，共有k = n!/m!(n-m)!种组合（一个组合对应m个IBE私钥生成器），并按0,1,…,k-1给每个组合编号（给每个组合分配一个序号）；

2）选取一个自然数p，2^p≥20×k;

3）对于需要进行n选m映射的某个用户身份标识，按如下方式确定其对应的k种组合中的一个：

（1）按给定的散列（HASH）算法（如SHA-1、MD5）计算身份标识的散列值；

（2）从散列值的固定位置取出p位二进制数（比如，从散列值的最低位开始，每隔一位取出一个二进制数），设p位二进制数对应的值是q；

（3）计算d = q mod k的值，即计算q除以k的余数；

（4）以d的值作为序号，选择其所对应的组合，并将该组合对应的m个IBE私钥生成器作为该用户身份标识所对应的m个IBE私钥生成器。

除了采用前述确定性的映射算法或策略，身份标识到IBE私钥生成器的映射算法或策略也可以采用随机性的映射算法或策略，即数据加密方随机地在n个IBE私钥生成器中选择m个，然后用这m个IBE私钥生成器的IBE公开参数和数据解密方的身份标识进行数据加密，最后将所选的m个IBE私钥生成器的指示信息以明文放于加密数据中；数据解密方解密数据时从加密数据中获取加密方随机所选的m个IBE私钥生成器的指示信息，并从相应的m个IBE私钥生成器获取相应的IBE私钥解密加密后的数据。

其他未说明的具体技术实施，对于相关领域的技术人员而言是众所周知，不言自明的。

Claims

1.一种降低主密钥破解和泄露危害的IBE数据加密系统，包括数据加密方、n个IBE私钥生成器、数据解密方、IBE私钥生成器选择器，所述n为大于1的正整数，其中：

数据加密方，包括进行数据加密的用户及其所使用的加密软件，使用解密方的身份标识以及所述身份标识所对应的m个IBE私钥生成器所发布的IBE公开参数对待加密的数据或对称密钥进行多重加密, 其中，m大于0且小于等于n；

2.根据权利要求1所述的降低主密钥破解和泄露危害的IBE数据加密系统，其加密方法是：

所述数据加密方在进行数据加密时，按如下步骤进行操作：

步骤2：使用所述数据解密方的身份标识和从步骤1映射得到的所述m个IBE私钥生成器获得的IBE公开参数，分别对待加密的数据或对称密钥按IBE加密算法进行m重加密，即先用所述数据解密方的身份标识和所述m个IBE私钥生成器中的一个IBE私钥生成器的IBE公开参数对待加密的数据或对称密钥按IBE加密算法进行加密，然后，再用所述数据解密方的身份标识和余下的m-1个IBE私钥生成器中的一个IBE私钥生成器的IBE公开参数对前述加密后的数据或对称密钥再按IBE加密算法进行加密，重复此过程，直到使用所述数据解密方的身份标识和所述所有m个IBE私钥生成器的IBE公开参数完成对待加密的数据或对称密钥的IBE加密；

所述数据解密方在进行数据解密时，按如下步骤进行操作：

3.根据权利要求2所述的降低主密钥破解和泄露危害的IBE数据加密方法，其特征在于：

若所用的身份标识到IBE私钥生成器的映射算法或策略是一种随机性的映射算法或策略，则数据加密方在进行数据加密时，随机在n个IBE私钥生成器中选m个，然后将所选的m个IBE私钥生成器的指示信息以明文放于加密数据中；数据解密方解密数据时从加密数据中获取加密方随机所选的m个IBE私钥生成器的指示信息，并从相应的m个IBE私钥生成器获取相应的IBE私钥解密加密数据。