CN111447064B - 一种适用于无证书加密的密码逆向防火墙方法 - Google Patents

Abstract

本发明公开了一种适用于无证书加密的密码逆向防火墙方法，属于信息安全技术领域。本发明的方法包括：初始化系统参数后，密钥生成中心生成部分私钥并发送给解密端；解密端基于系统参数随机生成一个秘密值、联合部分私钥设置完全私钥和公钥；解密端的密码逆向防火墙随机生成一个秘密值重置公钥为用户公钥，并将用户身份ID和用户公钥发送给加密端；加密端验证解密端身份的合法性，若解密端身份合法，则加密端利用用户公钥对消息进行加密处理，生产密文并发送给解密端；解密端的密码逆向防火墙对其进行随机化处理生成后再发送给解密端；解密端根据完全私钥恢复出消息的明文。本发明用于通信网络中的消息加密和消息解密，提供机密性和抗泄露攻击服务。

Description

一种适用于无证书加密的密码逆向防火墙方法

技术领域

本发明属于信息安全技术领域，特别涉及一种适用于无证书加密的密码防火墙方法。

背景技术

加密是密码学中的一个基本原语，它保证了消息的机密性(confidentiality)。这里的机密性指的是消息只能被授权者查看。加密技术属于公钥密码技术，其目的在于提高信息系统及数据的安全性及保密性，防止秘密数据被外部破析。每个解密端拥有两个密钥：私钥(secret key)和公钥(public key)，其中私钥由解密端秘密保存，公钥可以发给加密端用于消息的加密。加密方法一般包括两个重要阶段，即加密(encryption)阶段和解密(decryption)阶段。加密阶段的输入是解密端的公钥pk和消息m，输出是对m的加密结果密文c。解密阶段输入的是解密者的私钥sk，密文c，输出对c的解密结果m或“拒绝”(密文无效)。为了抵抗公钥替换攻击，需要让用户的公钥以一种可验证和可信的方式与用户的身份信息关联起来。目前，认证用户的公钥有三种方法：基于公钥基础设施(public keyinfrastructure,PKI)的方法、基于身份(identity-based)的方法和无证书(certificateless)方法。在基于PKI方法中，证书权威(certificate authority,CA)为用户颁发公钥证书，那么这就存在证书的管理问题。为了简化密钥管理，Shamir于1984年首次提出了基于身份的密码体制的概念。在基于身份的方法中，解密端的公钥可以根据其身份信息(如姓名、身份证号码、电话号码、E-mail地址等)直接计算出来，解密端的私钥则是由一个称为私钥生成中心(private key generator,PKG)的可信方生成。基于身份的方法取消了公钥证书，减少了公钥证书的存储和合法性验证。但是，基于身份的方法有一个致命的缺点：所有签名端的私钥都由PKG生成。PKG知道所有签名端的私钥不可避免的引起密钥托管问题。为了克服基于身份的方法中的密钥托管问题，Al-Riyami和Paterson于2003年提出了无证书密码体制(certificateless cryptography)的概念。在这种方法中，解密端的私钥来自于两部分，一部分是解密端自己选择的秘密值，一部分是由密钥生成中心(keygenerating centre,KGC)根据解密端的身份信息计算的部分私钥。公钥通常利用秘密值来生成，但这里的公钥不必有单独认证的公钥证书。也就是说，解密端需要联合KGC生成的部分私钥和自己的秘密值来生成完全私钥。KGC并不知道签名端的完全私钥，从而消除了密钥托管问题。

当前，无证书加密方法主要有以下几种：

2003年，Al-Riyami和Paterson[S.S.Al-Riyami,K.G.Paterson,Certificatelesspublic key cryptography,Advances in Cryptology-ASIACRYPT 2003,LNCS 2894,pp.452-473,2003.]利用双线性对，提出了一种无证书加密的方法。同时他们将敌手分为两种：类型I敌手和类型II敌手。类型I敌手不知道主密钥，但是可以任意替换解密端的公钥。类型II敌手知道主密钥，但是不能替换解密端的公钥。

2005年，Baek等[J.Baek,R.Safavi-Naini,W.Susilo.Certificateless publickey encryption without pairing.Information Security-ISC 2005,LNCS,3650,pp.134-148,2005.]提出了一个不依靠双线性对的无证书加密方法，该方法运行效率显著提高。但是这种方法仅仅适用于较弱的安全模型，在该模型下，类型I敌手不允许替换挑战者的公钥。

2006年，Au等[Man H A,Jing C,Liu J K,et al.Malicious KGC Attacks inCertificateless Cryptography.Proceedings of the 2nd ACM Symposium onInformation,Computer and Communications Security(ASIACCS'07),pp.302-311,2007.]指出已有的多数无证书加密方法都容易受到恶意的KGC攻击，即大多数的无证书加密方法依然存在密钥托管问题。

2007年，Huang等[Huang,Qiong,and D.S.Wong.Generic CertificatelessEncryption in the Standard Model.Advances in Information and ComputerSecurity-IWSEC 2007,LNCS 4752,pp.278-291,2007.]第一次给出了无证书加密方法在标准模型下的一般构造，而且证明了该构造可抵御恶意且被动的KGC攻击。

2014年，Sepahi等[Sepahi,Reza,Steinfeld,Ron.Lattice-basedcertificateless public-key encryption in the standard model,InternationalJournal of Information Security,13(4):315-333，2014.]提出了一个高效的无证书加密方法，该方法是基于格上的数学困难问题，其选择密文安全性是在标准模型下进行证明的，并且该方案在后量子时代具有较高的应用价值。

密码密码逆向防火墙(cryptographic reverse firewall,CRF)主要是为了保护密码方案与协议免受系统内部攻击。可以将CRF理解为设置在用户与外界之间的第三方机构，该机构能够保证即使用户的机器被攻击，用户发送或接收的消息也不会泄露。

2015年，Mironov等[Ilya Mironov and Noah Stephens-Davidowitz.Cryptographic Reverse Firewalls.Advances in EUROCRYPT 2015.LNCS9057,pp.657-686,2015.]第一次提出CRF的概念。同时，Mironov等也设计了一个适用于不经意传输的CRF方法。

2016年，Dodis等[Dodis,Y.,Mironov,I.,Stephens-Davidowitz,N.MessageTransmission with Reverse Firewalls-Secure Communication on CorruptedMachines.Advances in Information and Computer Security-CRYPTO 2016,LNCS 9814,pp.341-372,2016.]提出了一个适用于EIGamal加密的CRFs方法，同时他们证明了该方法在标准模型下能够抵抗选择明文攻击(Chosen Plaintext Attack,CPA)和选择密文攻击(Chosen Ciphertext Attack,CCA)。

2018年，Ma等[Ma,H.,Zhang,R.,Yang,G.,et al.Concessive Online/OfflineAttribute BasedEncryption with Cryptographic Reverse Firewalls Secure andEffcient Fine-Grained Access Control on Corrupted Machines.European Symposiumon Research in Computer Security 2018-ESORICS 2018,LNCS 11099,pp.507-526,2018.]提出了一个可在线/离线选择的适用于基于属性加密的CRFs方法，同时证明了该方法能够抵抗泄露攻击，实现了CPA的安全性。

发明内容

本发明的目的在于：安全实现无证书加密环境中的密码逆向防火墙方法，为常用的无证书加密方法提高安全保障，抵抗系统内部攻击。

本发明公开了一种适用于无证书加密的密码逆向防火墙方法，包括下列步骤：

步骤S1：设定系统参数，包括：

选择素数p，设置p阶的循环加法群G₁，并选择群G₁的一个生成元，记为参数P；

以及设置p阶的循环乘法群G₂，并基于G₁、G₂，设置双线性映射

定义两个安全哈希函数H₁和H₂，其中，哈希函数H₁为从{0,1}^*映射到G₁ ^*，哈希函数H₂为从G₁映射到{0,1}ⁿ，其中{0,1}^*表示任意比特长的二进制序列组成的集合，n表示消息的比特长度；

密钥生成中心从有限域

中随机选择一个参数作为主密钥s，其中

表示从有限域

中去掉元素零所得到的有限域，计算系统公钥P₀＝sP；

密钥生成中心公开系统参数

步骤S2：生成密钥：

解密端提交身份信息ID给密钥生成中心；

密钥生成中心生成解密端部分私钥D_ID＝sH₁(ID)；并将系统参数

部分私钥D_ID发送给解密端；

解密端从有限域

中随机选择参数x_ID作为用户秘密值，计算公钥PK_ID＝(X_ID,Y_ID)＝(x_IDP,x_IDP₀)，并设置完全私钥S_ID＝x_IDD_ID；

步骤S3：密钥的重随机化：

解密端将公钥PK_ID发送给解密端的密码逆向防火墙；

解密端的密码逆向防火墙从有限域

中随机选择参数α作为解密端的防火墙秘密值，重置公钥PK_ID为用户公钥PK_U＝(X_U,Y_U)＝(αX_ID,αY_ID)；

步骤S4：生成消息m的密文c：

解密端的防火墙将解密端的身份ID和用户公钥PK_U发送给加密端；

加密端验证等式

是否成立；

若不成立，则输出“拒绝”，退出本次操作；

若成立，加密端从有限域

中随机选择参数r，计算参数U＝rP，对消息m进行加密处理

将(U,V)组成密文c发送给解密端的密码逆向防火墙；

步骤S5：密文的重随机化：

解密端的密码逆向防火墙对收到密文c＝(U,V)进行随机化处理，生成新的密文c′＝(U',V)＝(αU,V)并将c′发送给解密端；

步骤S6：密文的解密恢复：

解密端收到新的密文c′后，恢复出消息

由于采用了上述技术方案，本发明的有益效果是：本发明的密码逆向防火墙方法，适用于常用的无证书加密方案，提高了消息传输的安全性，即使接收者的机器被恶意攻破，敌手也无法获得发送方所发消息的明文信息，从而为无证书加密环境下的用户提供了抗泄露攻击服务，强力抵抗系统陷门攻击。

附图说明

图1是本发明的具体实施方式的系统结构示意图；

图2是本发明具体实施方式的密钥重随机化及加密操作流程图；

图3是本发明具体实施方式的密文重随机化及解密操作流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合实施方式和附图，对本发明作进一步地详细描述。

本发明的一种适用于无证书加密的密码逆向防火墙方法，包括：

设定系统参数，用于生成解密端的公钥PK_ID和完全私钥S_ID，以及解密端密码逆向防火墙的密钥重随机化和加密端确认消息接收端用户的合法性；

解密端提交身份信息ID给密钥生成中心，密钥生成中心根据系统参数和身份信息ID生成部分私钥D_ID并发送给解密端；解密端基于系统参数随机生成一个秘密值x_ID，根据秘密值x_ID与部分私钥D_ID设置公钥PK_ID和完全私钥S_ID；

解密端将公钥PK_ID发送给自己的密码逆向防火墙，密码逆向防火墙生成一个秘密值α，根据秘密值α重置公钥PK_ID为用户公钥PK_U，并将身份信息ID和用户公钥PK_U发送给加密端；

加密端根据系统参数、身份信息ID、用户公钥PK_U和消息m，生成加密结果c，并将c发送给解密端的密码逆向防火墙；

解密端的密码逆向防火墙收到c后对c进行随机化处理，生成新的密文c′并将c′发送给解密端；

解密端根据自己的完全私钥S_ID对c′进行解密处理。

参见图1，具体执行步骤包括设定系统参数、生成密钥、重随机化密钥、加密、重随机化密文和解密，具体描述如下：

(1)设定系统参数：

(1.1)设G₁为由P生成的循环加法群，阶为p，G₂为具有相同阶p的循环乘法群，

为一个双线性映射。定义两个安全Hash函数H₁,和H₂。H₁为从{0,1}^*映射到G₁ ^*，H₂从G₁映射到{0,1}ⁿ，其中{0,1}^*表示任意比特长的二进制序列组成的集合，n表示消息的比特长度。

基于上述设定，得到的系统参数为：

并公开这些系统参数。

通常系统参数由密钥生成中心设定并公开，以便于解密端、加密端可从系统参数设置端获得计算时所需的系统参数。

(1.2)密钥生成中心随机选择一个主密钥

计算相应的系统公钥P₀＝sP。

(2)生成密钥：

(2.1)解密端提交身份信息ID给密钥生成中心，密钥生成中心计算部分私钥D_ID＝sH₁(ID)，并将其发送给解密端。

(2.2)解密端随机选择参数

作为秘密值。

(2.3)解密端设置公钥PK_ID＝(X_ID,Y_ID)＝(x_IDP,x_IDP₀)和完全私钥S_ID＝x_IDD_ID。

(3)重随机化密钥：

解密端的密码逆向防火墙对公钥PK_ID进行重随机化处理。参见图2，具体步骤如下：

(3.1)解密端的密码逆向防火墙随机选择参数

作为秘密值。

(3.2)重置用户公钥为PK_U＝(X_U,Y_U)＝(αX_ID,αY_ID)。

(3.3)发送解密端身份ID和用户公钥PK_U为给加密端。

(4)加密：

加密端可以利用系统公开参数、解密端身份ID和用户公钥PK_U对消息m进行加密。参见图2，具体步骤如下：

(4.1)加密端通过验证等式

是否成立来验证解密端的合法性。

(4.2)若不成立，则输出“拒绝”，退出本次操作。

(4.3)若成立，加密端选择参数

计算参数U＝rP，加密消息m为

(4.4)将密文c＝(U,V)发送给解密端的密码逆向防火墙。

(5)重随机化密文：

解密端的密码逆向防火墙在收到密文c＝(U,V)对密文进行随机化处理，并将结果发送给解密端进行解密处理，参见图3，具体执行以下步骤：

(5.1)解密端的密码逆向防火墙收到c后，生成新的密文c′＝(U',V)＝(αU,V)。

(5.2)将c′发送给解密端。

(6)解密：

(6.1)解密端收到c′后，恢复出消息

为了验证本发明的运行速率，将本发明的签名方法在英特尔酷睿(Intel Core)i55200U处理器(2.20GHz)、内存为8G的计算机上，利用JPBC密码库，选择类型A配对(基于有限域E

上的椭圆曲线的对称配对，即y²＝(x³+x)modq，其中

表示从有限域

中去掉元素零所得到的有限域。为了保证协议的安全性，取p＝160比特，阶数q＝512比特的大素数循环群。对本发明进行了编程验证(运行1000次后取平均值)：设定系统参数需要的时间为20毫秒，密钥生成中心生成部分私钥需要的时间为50毫秒，解密端设置完全私钥和公钥需要的时间为47毫秒，解密端的密码逆向防火墙设置用户公钥需要的时间为31毫秒，加密端加密消息需要的时间为26毫秒，解密端的密码逆向防火墙重随机化密文需要的时间15毫秒，解密端解密消息需要的时间为9毫秒。可见本发明提供抵抗泄露攻击服务，兼具有加解密效率高效和实用的特点。

即使在攻击者获得解密端的完全私钥的情况下，如果逆向密码墙不选择对解密端公钥或者密文进行重随机化处理，则解密者无法解密出有效明文，从而使得本发明避免了解密端系统被内部攻击者攻陷所产生机密信息泄露的情况。

以上所述，仅为本发明的具体实施方式，本说明书中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换；所公开的所有特征、或所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。

Claims (1)

1.一种适用于无证书加密的密码逆向防火墙方法，其特征在于，包括下列步骤：

步骤S1：设定系统参数，包括：

选择素数p，设置p阶的循环加法群G₁，并选择群G₁的一个生成元，记为参数P；

以及设置p阶的循环乘法群G₂，并基于G₁、G₂，设置双线性映射

G₁×G₁→G₂；

定义两个安全哈希函数H₁和H₂，其中，哈希函数H₁为从{0,1}^*映射到G₁，哈希函数H₂为从G₁映射到{0,1}ⁿ，其中{0,1}^*表示任意比特长的二进制序列组成的集合，{0,1}ⁿ表示n比特长的二进制序列组成的集合；

密钥生成中心从有限域

中随机选择一个参数作为主密钥s，计算系统公钥P₀＝sP；其中有限域

密钥生成中心公开系统参数

步骤S2：生成密钥：

解密端提交身份信息ID给密钥生成中心；

密钥生成中心生成解密端部分私钥D_ID＝sH₁(ID)；并将系统参数

部分私钥D_ID发送给解密端；

解密端从有限域

中随机选择参数x_ID作为用户秘密值，计算公钥PK_ID＝(X_ID,Y_ID)＝(x_IDP,x_IDP₀)，并设置完全私钥S_ID＝x_IDD_ID；

步骤S3：密钥的重随机化：

解密端将公钥PK_ID发送给解密端的密码逆向防火墙；

解密端的密码逆向防火墙从有限域

中随机选择参数α作为解密端的防火墙秘密值，重置公钥PK_ID为用户公钥PK_U＝(X_U,Y_U)＝(αX_ID,αY_ID)；

步骤S4：生成消息m的密文c：

解密端的防火墙将解密端的身份ID和用户公钥PK_U发送给加密端；

加密端验证等式

是否成立；

若不成立，则输出“拒绝”，退出本次操作；

若成立，加密端从有限域

中随机选择参数r，计算参数U＝rP，对消息m进行加密处理

将(U,V)组成密文c发送给解密端的密码逆向防火墙；

步骤S5：密文的重随机化：

解密端的密码逆向防火墙对收到密文c＝(U,V)进行随机化处理，生成新的密文c′＝(U',V)＝(αU,V)并将c′发送给解密端；

步骤S6：密文的解密恢复：

解密端收到新的密文c′后，恢复出消息

Images