CN110784311A - 基于证书的加密信息处理方法 - Google Patents

基于证书的加密信息处理方法 Download PDF

Info

Publication number
CN110784311A
CN110784311A CN201910909849.3A CN201910909849A CN110784311A CN 110784311 A CN110784311 A CN 110784311A CN 201910909849 A CN201910909849 A CN 201910909849A CN 110784311 A CN110784311 A CN 110784311A
Authority
CN
China
Prior art keywords
receiving end
certificate
representing
key
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910909849.3A
Other languages
English (en)
Inventor
于启红
张娜
李云
梁凤兰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suqian College
Original Assignee
Suqian College
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suqian College filed Critical Suqian College
Priority to CN201910909849.3A priority Critical patent/CN110784311A/zh
Publication of CN110784311A publication Critical patent/CN110784311A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates

Abstract

本发明公开了一种基于证书的加密信息处理方法,包括如下步骤:S10,认证中心产生主密钥,根据接收端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书,并将所述证书发送至接收端;S20,所述发送端根据所述认证中心的系统参数、接收端的公钥以及所述接收端的身份信息封装所述发送端的对称密钥和所述发送端的内部状态信息,得到发送密文,将所述发送密文发送至所述接收端;S30,所述接收端在判断所述密文有效后,采用所述接收端的证书解密所述密文。采用本方法能够有效提高相应消息传输过程中的安全性。

Description

基于证书的加密信息处理方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于证书的加密信息处理方法。
背景技术
传统的密码系统假定密钥等的秘密信息是绝对保密的,基于此,来证明密码方案的安全性。但是,事实并非如此,自1996年时序攻击被提出以来,密码系统就逐渐遭受一些边信道攻击(如时序攻击,故障分析攻击,刺探分析攻击等)。通过这些攻击,敌手可以通过密码系统的执行时间和能量消耗等信息来获得关于部分关于系统的私钥等秘密信息。这样传统的基于黑盒模型设计的密码系统的安全性就被破坏了。
为了确保有秘密信息泄漏时密码系统的安全性,密码学研究者提出了新的称为抗泄漏(leakage resilient,LR)密码学模型来解决密钥泄漏问题。Micali和Reyzin提出了“仅计算泄漏模型”:泄漏复杂度和总的泄漏不限,但是泄漏只能发生在计算过程中活跃的存储器部分。虽然“仅计算泄漏”模型描述了一大类的泄漏,但是它有缺点:它不能捕获不活跃的内存泄漏信息的情况。例如,在冷启动攻击中,不活跃的部分也会泄漏信息。为了解决这个问题,Akavia等人在引入“有界泄漏”模型,它是一种比“仅计算泄漏”模型更为强大的模型。在“有漏泄漏”模型中,有一些泄漏弹性公钥加密方案被构造出来,但主要集中于基于身份的加密体制。
在Eurocrypt 2003,Gentry提出了一种新的被称为基于证书的加密模式。这种新的密码体制具有基于身份的密码体制和传统的公钥密码体制的优点。它在一定程度上消除了传统公钥密码系统所需的第三方查询,简化了证书撤销问题,克服了基于身份的密码系统的密钥托管问题和密钥分配问题。虽然现有的基于证书的加密方案在完整的私钥在用户攻击下是绝对保密假设下被证明是安全的。然而,实际的边信道攻击使攻击者能够容易地获得密钥的部分信息,从而使上述假设无效。可见,现有的加密模式仍然存在安全性低的问题。
发明内容
针对以上问题,本发明提出一种基于证书的加密信息处理方法。
为实现本发明的目的,提供一种基于证书的加密信息处理方法,包括如下步骤:
S10,认证中心产生主密钥,根据接收端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书,并将所述证书发送至接收端;
S20,所述发送端根据所述认证中心的系统参数、接收端的公钥以及所述接收端的身份信息封装所述发送端的对称密钥和所述发送端的内部状态信息,得到发送密文,将所述发送密文发送至所述接收端;
S30,所述接收端在判断所述密文有效后,采用所述接收端的证书解密所述密文。
在其中一个实施例中,所述根据接收端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书包括:
将所述接收端的身份信息、接收端的公钥、以及所述主密钥输入证书确定公式计算所述接收端的证书;所述证书确定公式包括:
CertID=sH1(ID,PK),
式中,CertID表示接收端的证书,s表示主密钥,ID表示接收端的身份信息,PK表示接收端的公钥,H1()表示第一哈希函数。
在其中一个实施例中,所述根据所述认证中心的系统参数、接收端的公钥以及所述接收端的身份信息封装所述发送端的对称密钥和所述发送端的内部状态信息,得到发送密文的过程包括:
判断e(PK1,PKpub)=e(PK2,P)是否成立,其中,PK1表示接收端公钥的第一部分,PKpub表示认证中心的主公钥,PK2表示接收端公钥的第二部分,P表示认证中心加法循环群的一个生成元,e()表示双线性映射;
若成立,则选取随机数计算对称密钥K=e(QID,PK2)r,第一密文分量C1=rP,和内部状态信息ω=(r,C1),其中,QID表示初始证书信息;
选择一个随机数u,根据所述内部状态信息ω、所述对称密钥K和发送端待发送的消息m计算加密参数W=H2(C1,u),第二密文分量C2=rW,第三密文分量
Figure BDA0002214386970000022
和第四密文分量C4=u;其中,H2()表示第二哈希函数;
生成发送密文C=(C1,C2,C3,C4)。
作为一个实施例,上述基于证书的加密信息处理方法,还包括:
若e(PK1,PKpub)=e(PK2,P)不成立,则输出错误信息并停止执行。
在其中一个实施例中,上述基于证书的加密信息处理方法,还包括:
所述接收端根据C=(C1,C2,C3,C4)计算W=H2(C1,C4),提取检测元组(P,C1,W,C2);
若检测元组(P,C1,W,C2)是Diffie-Hellman元组,则判定密文C有效。
作为一个实施例,所述采用所述接收端的证书解密所述密文的过程包括:
K=e(C1,SK·CertID)=e(rP,xsQID)=e(xsP,QID)r=e(PK2,QID)r=e(QID,PK2)r
Figure BDA0002214386970000031
其中,K表示对称密钥,e()表示双线性映射,C1表示第一密文分量,SK表示接收端的私钥,CertID表示接收端的证书,r表示发送端选的随机数,P表示认证中心加法循环群的一个生成元,x表示接收端的私钥,s表示主密钥,QID表示表示初始证书信息,PK2表示接收端公钥的第二部分,Ext()表示二元提取器,
Figure BDA0002214386970000032
表示异或操作,K表示对称密钥,u表示发送端选择的随机参数,m表示发送端待发送的消息,C2表示第二密文分量,C3表示第三密文分量,C4表示第四密文分量。
在其中一个实施例中,所述认证中心产生主密钥,根据接收端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书,并将所述证书发送至接收端之前,还包括:
所述认证中心初始化系统参数。
上述基于证书的加密信息处理方法,通过认证中心产生主密钥,根据接受端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书,并将所述证书发送至接收端,使发送端根据所述认证中心的系统参数、接收端的公钥以及接收端的身份信息封装所述发送端的对称密钥和所述发送端的内部状态信息,得到发送密文,将所述发送密文发送至所述接收端;这样接收端便可以在判断所述密文有效后,采用所述接收端的证书解密所述密文,安全获得发送端发送的消息;使上述消息传输过程能容忍密钥泄漏,有效提高了消息传输过程中的安全性。
附图说明
图1是传统的基于证书加密方案流程图;
图2是一个实施例的基于证书的加密信息处理方法流程图;
图3是另一个实施例的基于证书的加密信息处理方法流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
上述基于证书的加密信息处理方法是在李等人的基于证书的方案的基础上改进而来的,改进后的方案具有抵抗密钥的泄漏性能。本申请可以构造基于一个基于证书的密钥封装算法,封装的对称密钥用于加密消息且允许泄漏部分信息,通过二元随机提取器重新随机对称密钥,以此来提供泄漏弹性。可以容忍对称密钥的泄漏率几乎可以达到1。
下面先给出相关概念:
定义1,随机变量X和Y之间的统计距离定义为:
Figure BDA0002214386970000041
定义2,随机变量X的最小熵定义为H(X)=-Log(maxxPr([X=x])),它是一个变量的不确定性度量。随机变量X关于另一个随机变量Y的条件平均最小熵定义为
Figure BDA0002214386970000042
它体现在变量Y的情况下,X的不确定性度量。
引理1,如果X,Y和Z是随机变量且Y有2λ个值(λ表示泄漏的比特数),那么
Figure BDA0002214386970000043
定义3,一个二元函数Ext:{0,1}μ×{0,1}ν→{0,1}γ被称为(k,ε)-强的提取器,如果满足如下条件:U是{0,1}γ的均匀分布,S是{0,1}ν上的均匀分布,且只要X∈{0,1}μ与H(X)>k,就有SD((Ext(X,S),S),(U,S))≤ε(ε是可以忽略的)。
定义4,假设G1是阶为q的加法循环群,G2是阶为q的乘法循环群,P是G1的一个生成元,双线性映射e:G1×G1→G2具有如下三个特征:
(1)双线性:对任意P,Q∈G1和a,b∈Z*,有e(aP,bQ)=e(P,Q)ab
(2)非退化性:任给P,Q∈G1,e(P,Q)≠1;
(3)可计算性:任给P,Q∈G1,有有效的算法来计算e(P,Q)∈G2
定义5,给定元组(P,aP,bP,cP)其中
Figure BDA0002214386970000051
判定是否cP=abP。如果相等,元组(P,aP,bP,cP)称为有效的Diffie-Hellman(DH)元组。
定义6,给定元组(P,aP,bP,cP)其中
Figure BDA0002214386970000052
双线性Diffie-Hellman问题(BDH)是计算e(P,P)abc。对于解决BDH问题来说,任何概率多项式时间(PPT)敌手A获得的优势定义为:
Figure BDA0002214386970000053
如果在<G1,G2>中,每个PPT敌手A解决BDH问题的优势都是可以忽略的,则称BDH假设成立。
定义7,对于元组(P,aP,bP,cP)和T∈G2。决策双线性Diffie-Hellman问题(DBDH)是判定是否T=e(P,P)abc
PPT算法A解决DBDH问题的优势定义为:
Figure BDA0002214386970000055
其中
Figure BDA0002214386970000056
如果在<G1,G2>中每个PPT算法A解决DBDH问题的优势都是可以忽略的,则称DBDH假设成立。
定义8,对于元组(P,aP,bP,cP)和T∈G2,推广的决策双线性Diffie-Hellman问题(DGBDH)是判定是否T=e(P,Y)abc,其中Y∈G1。PPT算法A解决DGBDH问题的优势定义为:
Figure BDA0002214386970000058
其中
Figure BDA0002214386970000059
如果在<G1,G2>中每个PPT算法A解决DGBDH问题的优势都是可以忽略的,则称DGBDH假设成立。
根据上述的最小熵、双线性配对、随机提取器等定义和DBDH、DGBDH假设,下面将进一步说明基于证书的加密方法。
首先给出一个标准的基于证书加密方案简单流程图,如图1。
如图1所示,基于证书的加密系统包括系统参数设置模块、证书产生模块、密钥产生模块、加密模块、解密模块。
系统参数设置模块:G1是阶为素数q的加法循环群,P是群G1的一个生成元。G2是一个阶为q的乘法循环群。存在一个可计算的双线性映射e:G1×G1→G2。CA选择两个哈希函数H1:{0,1}*×G1×G1→G1 *和H2:G1×{0,1}*→G1 *,其中G1 *是群G1的非零元的集合。CA随机选择
Figure BDA0002214386970000061
作为主密钥并计算主公钥Ppub=sP。CA把s秘密保存。系统参数params=(G1,G2,q,e,P,Ppub,H1,H2)是公开的。
用户密钥产生算法:用户随机选择
Figure BDA0002214386970000062
作为私钥SK并计算公钥PK=(PK1,PK2)=(xP,xPpub).
证书产生算法:以(params,s,ID,PK)作为输入,CA计算QID=H1(ID,PK)。证书CertID=sH1(ID,PK)=sQID
加密算法:发送者用系统参数params,接收端公钥PK和对应的身份ID来产生封装的对称密钥和内部状态信息ω。首先,发送者验证是否e(PK1,PKpub)=e(PK2,P)。如果不等,算法输出⊥并停止执行。否则,发送者计算QID=H1(ID,PK)并随机选择
Figure BDA0002214386970000063
来计算K=e(QID,PK2)r,C1=rP,ω=(r,C1)。输入ω=(r,C1)、K和消息m,该算法选择一个随机数u并计算W=H2(C1,u),C2=rW,
Figure BDA0002214386970000064
C4=u。最后,返回密文C=(C1,C2,C3,C4),其中(C1,C2)是对称密钥K的封装。
解密算法:收到密文后,接收端首先划分C=(C1,C2,C3,C4)并计算W=H2(C1,C4)。只要(P,C1,W,C2)是Diffie-Hellman元组,C就是正确的密文。当C有效时,接收端计算K=e(C1,SK·CertID)和否则,C无效。
但是该方法有一个非常大的缺点:系统没有容忍密钥泄漏的功能;加密用户在对消息加密时,用于加密的被封装的密钥容易泄漏,从而影响系统的安全。
针对上述问题,在一个实施例中,参考图2所示,提供一种基于证书的加密信息处理方法流程图,包括如下步骤:
S10,认证中心产生主密钥,根据接收端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书,并将所述证书发送至接收端;
具体地,认证中心(也称CA)为可信的第三方机构,发送端(也称发送者)为发送密文的实体,接收端(也称接收者)为接受密文的实体。认证中心(CA)的系统参数设置模块产生主密钥和主公钥;CA的证书生成模块根据身份信息ID与主公钥、公钥等信息,产生用户(接收端对应的用户)相应证书并发给接收端用户。
S20,所述发送端根据所述认证中心的系统参数、接收端的公钥以及所述接收端的身份信息封装所述发送端的对称密钥和所述发送端的内部状态信息,得到发送密文,将所述发送密文发送至所述接收端;
发送端和/或接收端均可以采用各自密钥产生模块根据主公钥输出各自公钥(如发送端的公钥、接收端的公钥)和各自私钥(如发送端的秘钥、接收端的秘钥)。发送端的对称密钥生成模块根据输入接收端身份与主公钥、接收端公钥等信息,产生对称密钥。发送端的加密模块主要是对对称密钥进行封装并用对称密钥对消息加密成密文,再把对称密钥的封装和消息的密文发送至接收端。
在一个示例中,发送端和/或接收端均可以采用各自密钥产生模块根据主公钥输出各自公钥所采用的算法包括:
用户(发送端或接收端)随机选择
Figure BDA0002214386970000071
作为私钥并计算公钥PK=(PK1,PK2)=(xP,xPpub)。
S30,所述接收端在判断所述密文有效后,采用所述接收端的证书解密所述密文。
接收端可以根据自己的证书和私钥首先对对称密钥的封装进行解封装得到对称密钥,再据此对密文进行解密,以获得发送端发送的消息。
上述基于证书的加密信息处理方法,通过认证中心产生主密钥,根据接收端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书,并将所述证书发送至接收端,使发送端根据所述认证中心的系统参数、接收端的公钥以及接收端的身份信息封装所述发送端的对称密钥和所述发送端的内部状态信息,得到发送密文,将所述发送密文发送至所述接收端;这样接收端便可以在判断所述密文有效后,采用接收端的证书解密所述密文,安全获得发送端发送的消息;使上述消息传输过程能容忍密钥泄漏,有效提高了消息传输过程中的安全性。
在一个实施例中,所述认证中心产生主密钥,根据接收端身份信息、接收端的公钥、以及所述主密钥生成接收端的证书,并将所述证书发送至接收端之前,还包括:
所述认证中心初始化系统参数。
具体地,认证中心可以采用相关初始化算法初始化系统参数。上述初始化算法包括:
G1是阶为素数q的加法循环群,P是群G1的一个生成元。G2是一个阶为q的乘法循环群。存在一个可计算的双线性映射e:G1×G1→G2。CA选择两个哈希函数H1:{0,1}*×G1×G1→G1 *和H2:G1×{0,1}*→G1 *,其中G1 *是群G1的非零元的集合。CA随机选择
Figure BDA0002214386970000081
作为主密钥并计算主公钥Ppub=sP。CA把s秘密保存。系统参数params=(G1,G2,q,e,P,Ppub,H1,H2)是公开的。
在一个实施例中,所述根据接收端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书包括:
将所述接收端的身份信息、接收端的公钥、以及所述主密钥输入证书确定公式计算所述接收端的证书;所述证书确定公式包括:
CertID=sH1(ID,PK),
式中,CertID表示接收端的证书,s表示主密钥,ID表示接收端的身份信息,PK表示接收端的公钥,H1()表示第一哈希函数。
本实施例可以以(params,s,ID1,PK1)作为输入,CA计算QID=H1(ID1,PK1),此时证书为:CertID=sH1(ID1,PK1)=sQID
在一个实施例中,所述根据所述认证中心的系统参数、接收端的公钥以及所述接收端的身份信息封装所述发送端的对称密钥和所述发送端的内部状态信息,得到发送密文的过程包括:
判断e(PK1,PKpub)=e(PK2,P)是否成立,其中,PK1表示接收端公钥的第一部分,PKpub表示认证中心的主公钥,PK2表示接收端公钥的第二部分,P表示认证中心加法循环群的一个生成元,e()表示双线性映射;
若成立,则选取随机数
Figure BDA0002214386970000091
计算对称密钥K=e(QID,PK2)r,第一密文分量C1=rP,和内部状态信息ω=(r,C1),其中,QID表示初始证书信息;
选择一个随机数u,根据所述内部状态信息ω、所述对称密钥K和发送端待发送的消息m计算加密参数W=H2(C1,u),第二密文分量C2=rW,第三密文分量
Figure BDA0002214386970000092
和第四密文分量C4=u;其中,H2()表示第二哈希函数;
生成发送密文C=(C1,C2,C3,C4)。
作为一个实施例,上述基于证书的加密信息处理方法,还包括:
若e(PK1,PKpub)=e(PK2,P)不成立,则输出错误信息(如⊥)并停止执行。
发送端用系统参数params,采用接收端的公钥PK2和对应的身份ID2来产生封装的对称密钥和内部状态信息ω。首先,发送端验证是否e(PK1,PKpub)=e(PK2,P)。如果不等,算法输出⊥并停止执行。否则,发送端计算QID=H1(ID,PK)并随机选择
Figure BDA0002214386970000093
来计算K=e(QID,PK2)r,C1=rP,ω=(r,C1)。进一步地,输入ω=(r,C1)、K和消息m,选择一个随机数u并计算W=H2(C1,u),C2=rW,
Figure BDA0002214386970000094
C4=u。最后,返回密文C=(C1,C2,C3,C4),其中(C1,C2)是对称密钥K的封装。
在一个实施例中,上述基于证书的加密信息处理方法,还包括:
所述接收端根据C=(C1,C2,C3,C4)计算W=H2(C1,C4),提取检测元组(P,C1,W,C2);
若检测元组(P,C1,W,C2)是Diffie-Hellman元组,则判定密文C有效。
作为一个实施例,所述采用所述接收端的证书解密所述密文的过程包括:
K=e(C1,SK·CertID)=e(rP,xsQID)=e(xsP,QID)r=e(PK2,QID)r=e(QID,PK2)r
Figure BDA0002214386970000095
其中,K表示对称密钥,e()表示双线性映射,C1表示第一密文分量,SK表示接收端的私钥,CertID表示接收端的证书,r表示发送端选的随机数,P表示认证中心加法循环群的一个生成元,x表示接收端的私钥,s表示主密钥,QID表示表示初始证书信息,PK2表示接收端公钥的第二部分,Ext()表示二元提取器,
Figure BDA0002214386970000101
表示异或操作,K表示对称密钥,u表示发送端选择的随机参数,m表示发送端待发送的消息,C2表示第二密文分量,C3表示第三密文分量,C4表示第四密文分量。
接收端收到密文后,首先划分C=(C1,C2,C3,C4)并计算W=H2(C1,C4)。只要(P,C1,W,C2)是Diffie-Hellman元组,C就是正确的密文,表明当C有效,此时,接收端计算:
K=e(C1,SK·CertID)=e(rP,xsQID)=e(xsP,QID)r=e(PK2,QID)r=e(QID,PK2)r
否则表明C无效。
本实施例可以准确获得发送端发送的密文,具有较高的安全性。
在一个实施例中,上述基于证书的加密信息处理方法的流程图也可以参考图3所示,认证中心(CA)的系统参数设置模块产生主密钥和主公钥;接收端的用户密钥产生模块根据主公钥输出用户自己的公钥和私钥;CA的证书生成模块根据用户身份(如接收端的用户身份)与主公钥、公钥(如接收端公钥)等信息,产生用户相应证书并发给用户;用户(如发送端,图3所示加密用户)的对称密钥生成模块根据输入的身份与主公钥、接收端公钥等信息,产生对称密钥;用户的加密模块主要是对对称密钥进行封装并用对称密钥对消息加密成密文,再把对称密钥的封装和消息的密文发给解密者。解密者(如接收端,图3所示解密用户)根据自己的证书和私钥首先对对称密钥的封装进行解封装得到对称密钥,再据此对密文进行解密。
本实施例中,基于证书的抗密钥泄漏的加密信息处理方法对应的系统可以包含6个模块,系统参数设置模块、用户密钥产生模块、证书生成模块、对称密钥生成模块、加密模块、解密模块。系统参数设置模块产生主密钥和主公钥;用户密钥产生模块根据主公钥输出用户公钥和私钥;证书生成模块根据用户身份与主公钥、用户公钥等信息,产生用户相应证书并发给用户;对称密钥生成模块根据输入接收端身份与主公钥、接收端公钥等信息,产生对称密钥;加密模块主要是加密用户根据消息、对对称密钥进行封装,再用对称密钥通过提取器对消息加密成密文,并把对称密钥的封装和消息的密文发给解密者。解密模块主要是密文接收端根据自己的证书和私钥首先对对称密钥的封装进行解密,再据此对密文进行解密。其中采用一个二元提取器来从新随机化对称密钥,使相应方法可以抵抗对称密钥熵的泄漏,可以容忍几乎整个对称密钥的泄漏,也就是说对称密钥的相对泄漏率几乎可以达到1。
作为一个实施例,对上述基于证书的加密信息处理方法在工程中的应用进行说明。
依照本申请的步骤,当在XXX单位使用本申请的基于证书的加密信息处理方法时,该单位的认证中心运行系统参数生成模块产生系统参数:params=(G1,G2,q,e,P,Ppub,H1,H2),并在系统内公开,每个员工都有工号可以作为其身份信息ID且公开的,每个员工可以通过相应的用户终端秘密随机选择
Figure BDA0002214386970000111
作为私钥SK存在个人的工卡中,并计算公钥PK=(PK1,PK2)=(xP,xPpub)在单位内部公开。单位的认证中心运行证书生成模块产生每个员工的证书CertID发给用户ID存于工卡中。
当员工IDA要对某信息进行加密给另一位员工IDB时,员工IDA仅在系统中输入将接收信息员工的工号IDB,再通过提取器加密即可。有解密需要的员工IDB在系统输入中自己的密钥便可以解密。
上述基于证书的加密信息处理方法,在原有的不能抵抗密钥泄漏的基于证书的方案基础上进行改进,设计了一种基于证书能抵抗对称密钥熵泄漏的加密系统和方法。能容忍密钥泄漏使本方案性能明显优于现有的方案。敌手A通过泄漏询问可以得到关于对称密钥的λ比特信息。也就是说,泄漏变量Leak有2λ个值。根据引理1,可得
Figure BDA0002214386970000112
这样,如果选取(log(p)-λ,ε)强度提取器,则有SD((Ext(k,u),u),(U,u))≤ε,其中U是均匀分布。事实上,当log(p)-λ接近于0时,泄漏量接近log(p)。那么和均匀分布是不可区分的(因为他们的统计距离是ε)。因此,相对泄漏率为τ=|Leak|/[log(p)]≈log(p)/[log(p)]=1。
需要说明的是,“发送端\接收端”在允许的情况下可以互换特定的顺序或先后次序。应该理解“发送端\接收端”区分的对象在适当情况下可以互换,以使这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
本申请实施例的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (7)

1.一种基于证书的加密信息处理方法,其特征在于,包括如下步骤:
S10,认证中心产生主密钥,根据接收端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书,并将所述证书发送至接收端;
S20,所述发送端根据所述认证中心的系统参数、接收端的公钥以及所述接收端的身份信息封装所述发送端的对称密钥和所述发送端的内部状态信息,得到发送密文,将所述发送密文发送至所述接收端;
S30,所述接收端在判断所述密文有效后,采用所述接收端的证书解密所述密文。
2.根据权利要求1所述的基于证书的加密信息处理方法,其特征在于,所述根据接收端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书包括:
将所述接收端的身份信息、接收端的公钥、以及所述主密钥输入证书确定公式计算所述接收端的证书;所述证书确定公式包括:
CertID=sH1(ID,PK),
式中,CertID表示接收端的证书,s表示主密钥,ID表示接收端的身份信息,PK表示接收端的公钥,H1()表示第一哈希函数。
3.根据权利要求1所述的基于证书的加密信息处理方法,其特征在于,所述根据所述认证中心的系统参数、接收端的公钥以及所述接收端的身份信息封装所述发送端的对称密钥和所述发送端的内部状态信息,得到发送密文的过程包括:
判断e(PK1,PKpub)=e(PK2,P)是否成立,其中,PK1表示接收端公钥的第一部分,PKpub表示认证中心的主公钥,PK2表示接收端公钥的第二部分,P表示认证中心加法循环群的一个生成元,e()表示双线性映射;
若成立,则选取随机数
Figure FDA0002214386960000011
计算对称密钥K=e(QID,PK2)r,第一密文分量C1=rP,和内部状态信息ω=(r,C1),其中,QID表示初始证书信息;
选择一个随机数u,根据所述内部状态信息ω、所述对称密钥K和发送端待发送的消息m计算加密参数W=H2(C1,u),第二密文分量C2=rW,第三密文分量
Figure FDA0002214386960000012
和第四密文分量C4=u;其中,H2()表示第二哈希函数;
生成发送密文C=(C1,C2,C3,C4)。
4.根据权利要求3所述的基于证书的加密信息处理方法,其特征在于,还包括:
若e(PK1,PKpub)=e(PK2,P)不成立,则输出错误信息并停止执行。
5.根据权利要求1至4任一项所述的基于证书的加密信息处理方法,其特征在于,还包括:
所述接收端根据C=(C1,C2,C3,C4)计算W=H2(C1,C4),提取检测元组(P,C1,W,C2);
若检测元组(P,C1,W,C2)是Diffie-Hellman元组,则判定密文C有效。
6.根据权利要求5所述的基于证书的加密信息处理方法,其特征在于,所述采用所述接收端的证书解密所述密文的过程包括:
K=e(C1,SK·CertID)=e(rP,xsQID)=e(xsP,QID)r=e(PK2,QID)r=e(QID,PK2)r
其中,K表示对称密钥,e()表示双线性映射,C1表示第一密文分量,SK表示接收端的私钥,CertID表示接收端的证书,r表示发送端选的随机数,P表示认证中心加法循环群的一个生成元,x表示接收端的私钥,s表示主密钥,QID表示表示初始证书信息,PK2表示接收端公钥的第二部分,Ext()表示二元提取器,表示异或操作,K表示对称密钥,u表示发送端选择的随机参数,m表示发送端待发送的消息,C2表示第二密文分量,C3表示第三密文分量,C4表示第四密文分量。
7.根据权利要求1至4任一项所述的基于证书的加密信息处理方法,其特征在于,所述认证中心产生主密钥,根据接收端的身份信息、接收端的公钥、以及所述主密钥生成接收端的证书,并将所述证书发送至接收端之前,还包括:
所述认证中心初始化系统参数。
CN201910909849.3A 2019-09-25 2019-09-25 基于证书的加密信息处理方法 Pending CN110784311A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910909849.3A CN110784311A (zh) 2019-09-25 2019-09-25 基于证书的加密信息处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910909849.3A CN110784311A (zh) 2019-09-25 2019-09-25 基于证书的加密信息处理方法

Publications (1)

Publication Number Publication Date
CN110784311A true CN110784311A (zh) 2020-02-11

Family

ID=69384439

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910909849.3A Pending CN110784311A (zh) 2019-09-25 2019-09-25 基于证书的加密信息处理方法

Country Status (1)

Country Link
CN (1) CN110784311A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111740828A (zh) * 2020-07-29 2020-10-02 北京信安世纪科技股份有限公司 一种密钥生成方法以及装置、设备、加密方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
QIHONG YU: "Certificate-based encryption resilient to key leakage", 《SECURITY AND COMMUNICATION NETWORKS》, 4 May 2015 (2015-05-04), pages 2 - 9 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111740828A (zh) * 2020-07-29 2020-10-02 北京信安世纪科技股份有限公司 一种密钥生成方法以及装置、设备、加密方法

Similar Documents

Publication Publication Date Title
Boneh et al. Improved efficiency for CCA-secure cryptosystems built using identity-based encryption
US7814320B2 (en) Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks
Dent Hybrid signcryption schemes with insider security
US7221758B2 (en) Practical non-malleable public-key cryptosystem
Chatterjee et al. Another look at tightness
CN114157427B (zh) 基于sm2数字签名的门限签名方法
CN101931529B (zh) 一种数据加密方法、数据解密方法及节点
US11870891B2 (en) Certificateless public key encryption using pairings
KR101516114B1 (ko) 인증서 기반 프록시 재암호화 방법 및 이를 위한 시스템
Ruan et al. After-the-fact leakage-resilient identity-based authenticated key exchange
CN106713349B (zh) 一种能抵抗选择密文攻击的群组间代理重加密方法
CN108055134B (zh) 椭圆曲线点数乘及配对运算的协同计算方法及系统
Kumar et al. Safety measures against man-in-the-middle attack in key exchange
CN111092720A (zh) 能抵抗主密钥和解密密钥泄漏的基于证书加密方法
CN110784311A (zh) 基于证书的加密信息处理方法
Oh et al. How to solve key escrow and identity revocation in identity-based encryption schemes
JP4563037B2 (ja) 暗号化装置および復号化装置、並びにこれらを備えた暗号システム、暗号化方法および復号化方法
Wang et al. New efficient chosen ciphertext secure Elgamal encryption schemes for secure Cloud storage service
Bodkhe et al. Hybrid encryption algorithm based improved RSA and Diffie-Hellman
Zhu Cryptanalysis of pairing-free certificateless authenticated key agreement protocol
Chen et al. Modern cryptography
Yang et al. Cryptanalysis of improvement of password authenticated key exchange based on RSA for imbalanced wireless networks
CN112511310B (zh) 一种加密身份盲签名的混淆方法
Yang et al. Lecture note 3: Public key cryptography
Brown Key agreement: security/division

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200211