CN106559224A - 一种基于证书的抗持续泄漏加密系统及方法 - Google Patents

Abstract

本发明提供一种基于证书的抗持续泄漏加密系统。该加密系统包括系统参数设置模块、私钥生成模块、证书生成模块、加密模块、第一解密模块以及第二解密模块；系统参数设置模块产生系统的公共参数以及主私钥，公共参数发送给其他模块；私钥生成模块产生用户的公私钥对以及初始秘密状态；证书生成模块产生用户的证书；加密模块对消息进行加密并发送给解密模块；第一解密模块和第二解密模块对密文进行解密获得明文消息。此系统能够抵抗持续泄漏，即在边信道攻击环境下，敌手即使持续地获取部分秘密状态的信息，也无法获取整个私钥。本发明还公开一种基于证书的抗持续泄漏加密方法。

Description

一种基于证书的抗持续泄漏加密系统及方法

技术领域

本发明属于属于数据加密领域。

背景技术

随着信息技术的发展，用户的隐私和敏感数据的安全受到人们的广泛关注，信息安全技术研究也应运而生。基于证书的加密(CBE)系统具有非常广泛的应用，并受到了越来越多的关注。Gentry在2003年首次提出基于证书加密的思想。和传统的公钥加密系统(PKE)类似，CBE中的用户生成公钥和私钥对，并向可信认证中心(CA)请求一个证书。不同的是，CBE中的证书不仅可以充当传统PKE中的证书，而且是部分解密私钥。CBE提供了一个高效的隐证书机制，接收者将自身的私钥和由CA通过公开信道发送来的证书组合来解密密文，同时消息发送者不需要关心接收者的证书撤销问题，因此有效解决了第三方询问问题。由于CA产生的证书是公开的，并且不知道用户的私钥，所以CBE解决了密钥托管和分发问题。

一般CBE的安全性是基于理想条件考虑的，攻击者仅仅关注方案的输入输出，不能获得内部秘密状态。但是，在现实条件下，攻击者可以通过密钥泄漏攻击获得秘密状态的部分信息。泄漏攻击包括很多种方式：(1)边信道攻击：攻击者通过密码学算法在运行中泄漏的信息，如计算时间、功率消耗、声音、热、辐射等获取相关秘密信息；(2)冷启动攻击：攻击者可以获得机器内存中的一些不完整的数据来获得信息，甚至机器关机时也可以从内存里获得信息；(3)恶意软件攻击：远程攻击者可以通过恶意软件下载攻击目标用户的大量秘密信息。遗憾的是，之前存在的诸多基于证书的加密系统假设私钥是保密的，但在现实世界中，私钥可能被泄漏。在理想环境下构造的安全系统，若攻击者获得少量的私钥信息，都可能对系统造成毁灭性的攻击。

因此，需要一种新的技术方案以解决上述技术问题。

发明内容

本发明针对私钥持续泄漏的情况，设计了一种基于证书的抗持续泄漏加密系统及方法。本发明需解决的技术问题是，在攻击者通过持续泄漏攻击获取私钥的部分信息的情况下，保证加密数据的安全性。

为了解决上述技术问题，本发明的基于证书的抗持续泄漏加密系统可采用如下技术方案：。

一种基于证书的抗持续泄漏加密系统，包括系统参数设置模块、私钥生成模块、证书生成模块、加密模块、第一解密模块、第二解密模块：

系统参数设置模块，用于生成一个系统公开参数和一个主私钥，将系统公开参数发送给私钥生成模块、证书生成模块、加密模块、解密模块；并将主私钥发送给证书生成模块；

私钥生成模块用于生成各个用户的公私钥对以及初始秘密状态，并将初始秘密状态发送给第一、第二解密模块；

证书生成模块用于生成用户的证书，并发送给第一、第二解密模块；

加密模块，用于对消息进行加密，并将产生的密文发送给第一、第二解密模块；

第一解密模块，用于根据秘密状态、证书对密文进行部分解密；

第二解密模块，用于根据秘密状态、证书以及密文解密出消息。

而使用上述加密系统的加密方法采用如下技术方案：

该加密方法包括以下步骤：

A：设定系统公开参数params和一个主私钥msk；

B：根据params和用户身份ID生成用户的公私钥对(s_ID，PK_ID)，以及两个初始的秘密状态(s_ID,0,s′_ID,0)，其中s_ID是私钥，PK_ID是公钥， 是模p的非空整数剩余类群；

C：根据params，msk，ID，PK_ID以及时间戳τ∈T生成证书Cert_ID；其中T是一个串空间；

D：根据params，消息M，身份ID以及PK_ID对消息进行加密得到对应的密文C；

E：根据params，密文C，其中一个秘密状态以及证书Cert_ID，选择一个随机值计算作为其中一个更新后的秘密状态，利用s_ID,i，Cert_ID和C计算部分密钥然后该算法输出(r_ID,i,K′)；

F：根据params，C，r_ID,i，K′以及另一个秘密状态计算 作为更新后的秘密状态，并用s′_ID,i计算密钥最后该算法输出M或者终止符⊥。

其中，步骤A具体包括：

A1：选取两个阶为p的两个循环群和g为的生成元；

A2：选取一个双线性映射四个哈希函数H₁、H₂、H₃、H₄；其中，H₄:{0,1}^m→{0,1}^m，其中m是整数，用来表示0,1比特串的长度，选择一个平均情况强提取器其中l_DK∈N是强提取器Ext的参数，是表示允许泄漏的量；μ,m是整数，在中表示0,1比特串的长度，ε_Ext是一个忽略的值；

A3：选取并计算Pub＝g^α；主私钥为msk＝α；系统参数为 其中，g是的生成元；Pub是主公钥；Ext是强提取器，e表示双线性映射；令和为两个具有相同素数阶p的乘法循环群；g是的生成元；若映射满足下面三个性质，则被为双线性映射：

-双线性性：e(g^a,g^b)＝e(g,g)^ab，其中

-非退化性：

-可计算性：e是高效可计算的。

其中，步骤B具体包括：

B1：私钥生成中心选取身份ID，随机选择作为私钥SK_ID，并计算相应的公钥然后该用户选择一个随机数并计算令两个初始的秘密状态为s_ID,0，s′_ID,0。

其中，所述步骤C具体包括：

C1：根据params、主私钥msk、时间戳τ∈T、ID、公钥PK_ID、CA计算证书

其中，所述步骤D具体包括：

D1：选取随机值δ∈{0,1}^m，并计算r＝H₂(δ,M)，K＝e(g,PK_ID)^r；

D2：选取一个用于强提取器Ext的值s∈{0,1}^μ，并计算密文C，密文C包含四个部分c₁,c₂,c₃,c₄，值分别为s，

其中，所述步骤E具体包括：

E1：选取一个随机值其中并计算s_ID,i＝s_ID,i-1·r_ID,i modp，s_ID,i作为一个更新的秘密状态；

E2：计算并返回(r_ID,i,K′)。

其中，所述步骤F具体包括：

F1：设置作为另一个更新的秘密状态；

F2：计算K″＝H₃(K)，δ＝c₂⊕Ext(K″,c₃)，M＝c₄⊕H₄(δ)，r＝H₂(δ,M)；如果那么接收者输出⊥；否则返回明文消息M。

本发明的有益效果是：本发明提出了一种基于证书的抗持续泄漏加密系统及方法，所述系统包括系统参数设置模块、私钥生成模块、证书生成模块、加密模块、第一解密模块以及第二解密模块。系统参数设置模块产生系统公开参数，并公开给其他模块，把主私钥发送给证书生成模块。私钥生成模块产生用户的公私钥对以及初始秘密状态，并发送秘密状态给第一解密模块和第二解密模块。证书生成模块产生用户的证书并发送给解密模块。加密模块用于加密消息。第一解密模块和第二解密模块用于消息的解密。本发明方法用于解决在边信道攻击情况下存在的关于私钥持续泄漏问题。

附图说明

图1为本发明加密系统的工作示意图。

图2为本发明加密方法的流程图。

具体实施方式

下面结合附图，对本发明提出的一种基于证书的抗持续泄漏加密系统及方法进行详细说明。

本发明中采用的名词解释如下：

1、双线性映射

令和为两个具有相同素数阶p的乘法循环群。g是的生成元。若映射满足下面三个性质，则被为双线性映射：

-双线性性：e(g^a,g^b)＝e(g,g)^ab，其中

-非退化性：

-可计算性：e是高效可计算的。

2、强提取器

一个函数其中如果给定任意值且满足SD((Ext(X,S),S,I),(U_k,S,I))≤ε_Ext，其中ε_Ext∈R⁺，U_k和S是两个分别在{0,1}^m，{0,1}^μ上均匀分布的随机变量，则称此函数为平均情况(k,ε_Ext)-强提取器。

3、双线性Diffie-Hellman逆(q-BDHI)问题

对于一个整数q，以及给定计算

算法A解决q-DBHI问题的优势为q-DBHI困难性假设指，任何攻击者不能以不可忽略的优势解决q-DBHI问题。

一、本发明的实现过程

下面将结合附图说明本发明的具体过程。

如图1所示，本发明提供的基于证书的抗持续泄漏加密系统包括如下五个模块：

1、系统参数设置模块Setup(1^λ)：输入安全参数生成一个系统公开参数params和一个主私钥msk。

2、私钥生成模块UserKeyGen(params)：对于一个身份ID，输入params，输出公钥PK_ID，对应的私钥SK_ID以及两个初始的秘密状态(s_ID,0,s′_ID,0)，其中

3、证书生成模块CertGen(params,msk,τ,ID,PK_ID)：输入params，msk，ID，PK_ID以及时间戳τ∈T(其中T是一个串空间)，生成证书Cert_ID。

4、加密模块Encrypt(params,M,ID,PK_ID)：输入params，消息M，身份ID以及PK_ID，输出密文C。

5、解密模块1Decrypt1(params,C,s_ID,i-1,Cert_ID)：输入params，密文C，其中一个秘密状态其中以及证书Cert_ID，选取一个随机值来计算(作为一个更新后的秘密状态)，利用s_ID,i，Cert_ID和C计算最后输出(r_ID,i,K′)。

6、解密模块2Decrypt2(params,C,r_ID,i,K′,s′_ID,i-1)：输入params，C，r_ID,i，K′以及另一个秘密状态计算(作为更新后的秘密状态)，并用s′_ID,i计算然后输出M或者终止符⊥。

下面将结合基于证书的抗持续泄漏加密系统及方法的流程图对该加密系统的各个模块进行具体说明。

如图2所示，本发明提供的加密方法执行流程具体如下：

步骤A，系统参数生成：

选取两个乘法循环群阶都为p，g是群的生成元。选取一个双线性映射四个哈希函数 和一个平均情况-强提取器其中ε_Ext是一个忽略的值。CA选择随机值并计算Pub＝g^α。公共参数为主私钥为msk＝α。

步骤B，根据系统公开参数产生用户的私钥：

根据params，身份为ID的用户选择一个随机数作为私钥SK_ID，并计算相应的公钥该用户选取一个随机数并计算令两个初始的秘密状态为s_ID,0，s′_ID,0。

步骤C，产生用户证书：

根据params，主私钥msk，时间戳τ∈T(T为一个串空间)，ID以及公钥PK_ID，CA计算证书

步骤D：对消息M进行加密：

发送方选择消息M∈{0,1}^m，选择随机值δ∈{0,1}^m，根据ID，params，PK_ID计算r＝H₂(δ,M)，K＝e(g,PK_ID)^r。发送者随机选取一个用于强提取器Ext的值s∈{0,1}^μ，并计算密文：

步骤E，对密文C进行部分解密：

接收者选择一个随机值其中并根据params，C＝(c₁,c₂,c₃,c₄)，Cert_ID计算s_ID,i＝s_ID,i-1·r_ID,i modp(作为一个更新的秘密状态)。最后接收者计算并返回(r_ID,i,K′)。

步骤F，对密文C进行解密并获得消息M：

接收者设置作为另一个更新的秘密状态，并根据params，C，r_ID,i，K′，计算K″＝H₃(K)，δ＝c₂⊕Ext(K″,c₃)，M＝c₄⊕H₄(δ)，r＝H₂(δ,M)。如果那么接收者输出⊥；否则返回明文消息M。

下面将对以上所述的基于证书的抗持续泄漏加密系统应用于企业中的情形进行说明。

根据本发明的步骤，当XX公司使用本发明的加密系统时，系统参数生成模块产生公开参数供企业管理者和员工使用，公司每个员工的工号可看作是每人的身份ID，由私钥生成模块根据每个员工的ID产生对应的私钥，并存储在员工工卡里。

公司管理者发送机密的文件给某一员工时，先使用员工的ID以及员工公钥进行加密，然后发送给该员工；员工首先向公司申请一个证书，然后使用该证书和自己的私钥对该文件进行解密。

所以，本发明带来的有益效果是：减少了公钥证书的管理，解决了私钥的托管和分发问题，在传输信道不安全的情况下，能保证数据的安全。该系统同样适用于电子政务和电子商务。

本领域普通技术人员应该了解，本发明不受上述实例限制，上述实例的描述只是为说明本发明的基本原理与特点，在上述实例的基础上可以很容易的联想到其他的优点和变形。在不背离本发明宗旨的范围内，本领域普通技术人员可以根据上述具体实施例通过各种等同替换所得到的技术方案，但是这些技术方案均应该包含在本发明的权利要求的范围及其等同的范围之内。

Claims (8)

1.一种基于证书的抗持续泄漏加密系统，其特征在于，包括系统参数设置模块、私钥生成模块、证书生成模块、加密模块、第一解密模块、第二解密模块：

系统参数设置模块，用于生成一个系统公开参数和一个主私钥，将系统公开参数发送给私钥生成模块、证书生成模块、加密模块、解密模块；并将主私钥发送给证书生成模块；

私钥生成模块用于生成各个用户的公私钥对以及初始秘密状态，并将初始秘密状态发送给第一、第二解密模块；

证书生成模块用于生成用户的证书，并发送给第一、第二解密模块；

加密模块，用于对消息进行加密，并将产生的密文发送给第一、第二解密模块；

第一解密模块，用于根据秘密状态、证书对密文进行部分解密；

第二解密模块，用于根据秘密状态、证书以及密文解密出消息。

2.一种使用权利要求1所述的基于证书的抗持续泄漏加密系统的加密方法，其特征在于包括以下步骤：

A：设定系统公开参数params和一个主私钥msk；

B：根据params和用户身份ID生成用户的公私钥对(s_ID，PK_ID)，以及两个初始的秘密状态(s_ID,0,s′_ID,0)，其中s_ID是私钥，PK_ID是公钥， 是模p的非空整数剩余类群；

C：根据params，msk，ID，PK_ID以及时间戳τ∈T生成证书Cert_ID；其中T是一个串空间；

D：根据params，消息M，身份ID以及PK_ID对消息进行加密得到对应的密文C；

E：根据params，密文C，其中一个秘密状态以及证书Cert_ID，选择一个随机值计算作为其中一个更新后的秘密状态，利用s_ID,i，Cert_ID和C计算部分密钥然后该算法输出(r_ID,i,K′)；

F：根据params，C，r_ID,i，K′以及另一个秘密状态计算 作为更新后的秘密状态，并用s′_ID,i计算密钥最后该算法输出M或者终止符⊥。

3.如权利要求2所述的基于证书的抗持续泄漏加密方法，其特征在于所述步骤A具体包括：

A1：选取两个阶为p的两个循环群和g为的生成元；

A2：选取一个双线性映射四个哈希函数H₁、H₂、H₃、H₄；其中，H₄:{0,1}^m→{0,1}^m，其中m是整数，用来表示0,1比特串的长度，选择一个平均情况强提取器其中l_DK∈N是强提取器Ext的参数，是表示允许泄漏的量；μ,m是整数，在中表示0,1比特串的长度，ε_Ext是一个忽略的值；

A3：选取并计算Pub＝g^α；主私钥为msk＝α；系统参数为 其中，g是的生成元；Pub是主公钥；Ext是强提取器，e表示双线性映射；令和为两个具有相同素数阶p的乘法循环群；g是的生成元；若映射满足下面三个性质，则被为双线性映射：

-双线性性：e(g^a,g^b)＝e(g,g)^ab，其中

-非退化性：

-可计算性：e是高效可计算的。

4.如权利要求2所述的基于证书的抗持续泄漏加密方法，其特征在于所述步骤B具体包括：

B1：私钥生成中心选取身份ID，随机选择作为私钥SK_ID，并计算相应的公钥然后该用户选择一个随机数并计算令两个初始的秘密状态为s_ID,0，s′_ID,0；其中mod p即为上述模p。

5.如权利要求2所述的基于证书的抗持续泄漏加密方法，其特征在于所述步骤C具体包括：

C1：根据params、主私钥msk、时间戳τ∈T、ID、公钥PK_ID、CA计算证书

6.如权利要求2所述的基于证书的抗持续泄漏加密方法，其特征在于所述步骤D具体包括：

D1：选取随机值δ∈{0,1}^m，并计算r＝H₂(δ,M)，K＝e(g,PK_ID)^r；

D2：选取一个用于强提取器Ext的值s∈{0,1}^μ，并计算密文C，密文C包含四个部分c₁,c₂,c₃,c₄，值分别为δ⊕Ext(H₃(K),s)，s，M⊕H₄(δ)；

$C=(c_1,c_2,c_3,c_4)=({\left(Pub\·g^{H_1(ID,{\mathrm{PK}}_{ID},\mathrm{\τ})}\right)}^r,\mathrm{\δ}\⊕Ext(H_3\left(K\right),s),s,M\⊕H_4(\mathrm{\δ}\left)\right).$

7.如权利要求2所述的基于证书的抗持续泄漏加密方法，其特征在于所述步骤E具体包括：

E1：选取一个随机值其中并计算s_ID,i＝s_ID,i-1·r_ID,i mod p，s_ID,i作为一个更新的秘密状态；

E2：计算并返回(r_ID,i,K′)。

8.如权利要求2所述的基于证书的抗持续泄漏加密方法，其特征在于所述步骤F具体包括：

F1：设置作为另一个更新的秘密状态；

F2：计算K″＝H₃(K)，δ＝c₂⊕Ext(K″,c₃)，M＝c₄⊕H₄(δ)，r＝H₂(δ,M)；如果那么接收者输出⊥；否则返回明文消息M。