一种基于公钥自证明认证加密方案

一种基于公钥自证明认证加密方案 摘要针对基于认证证书的数字签名方案中公钥集中保 存，系统容易受到主动攻击的缺点，提出了一种新的基于 公钥自证明的认证加密方案。该方案中用户匿名注册，并 获得由用户与 CA 共同产生的公钥证明，可以根据用户公钥 证明推导其公钥；通信双方的公钥认证与消息签名结合在 一起，由消息接收者在认证签名、恢复消息时完成公钥认 证，因而减少了存储空间、通信量和计算量。关键字数字 签名公钥证书认证加密公钥自证明 p 和 q，使 p=2p+1 和 q=2q+1，其中 p和 q也是素数，然后计算 np*q，及 其欧拉函数 (n)=（p-l）(q-1)。然后选择一个随机整数 e，leg，g 是 np*q 的基元。还公布一个单向 hash 函数 h()。CA 的秘密参数：p、q、p 、q 、(n)以及 d，CA 的 公开参数：e、n、g 和 h()。用户注册阶段为了使向 CA 注 册的用户获取的公钥证书，而 CA 不知道用户的私钥，因此 用户公钥的分发不能简单地由 CA 产生颁布。同时也为了用 户身份的匿名要求，对 CA 也不能暴露，因此公钥证书的产 生要由用户与 CA 共同协商完成。把这个注册过程称之为用 户注册协议。步骤 1：用户 UA 计算 hAh(IDA)，其中 IDA 代表 UA 的身份标识，且对 CA 保密，UA 以匿名的身份 hA 向 CA 提出注册申请；步骤 2：CA 检查核实用户 hA 的身份， 若 hA 通过身份检查，则 CA 计算 rA=g-dmodn,将 rA 传送给 UA；步骤 3：UA 收到 rA 后，任选一个随机数作为私钥，计 算，将 vA 传送给 CA；步骤 4：CA 计算，则将 CA 作为 CA 颁 发的公钥证书，并将 CA 传送给 UA；步骤 5：UA 接收到 UA 发送的 CA 后，计算，同时验证等式是否成立，若成立，则 证明在传输过程中参数未被篡改，CA 是 CA 的有效公钥签名。 否则，签名无效。上述注册过程，只有 CA 才能颁发 UA 的 公钥的证明。因为在注册过程中，CA 使用私钥对 UA 在协议 交互过程中产生的一些特定信息进行签名，任何人若不知 道 CA 私钥，是无法伪造的，其安全性程度高。如果攻击者 企图获取 ， UA 的私钥。那么他将面临求解离散对数的困难。如果 攻击者企图伪造 CA 的公钥证明。那么他将面临求大素数的 因子分解的困难。签名生成阶段假定用户 UA 对消息 M 的签 名，并将签名的消息传递给指定的接收者 UB。消息 M 签名 生成过程如下：步骤 1：UA 向 UB 发送要进行签名的请求， 并将 CA,hA 传送给 UB；步骤 2：UB 接收到 UA 的签名请求， 将 CB 传送给 UA；步骤 3：UA 接收到 UB 发送的 CB 后，计算,然 后选择一个随机数 k，进行数字签名： 步骤 4：UAUB。 消息恢复验证阶段 UB； 步骤 3：验证消息等式，若消息验证等式成立，则接受 这次签名。这个消息恢复验证的过程同时也实现对 UA 和 UB 身份的双向认证。如果消息是 UA 的签名， ，则 UB 使用 UA 的公钥验证签名，并用自己的私钥解密恢复消息，实现双 向的身份认证。消息恢复等式的正确性证明如下： 同时如果 UB 恢复的消息 M 是正确，则有消息验证等式 成立： 3 安全性分析（1）攻击者不可能伪造 CA 的公钥签名。CA 为用户 UA 的公钥签名时使用了私钥。任何攻击者不知道 UA 的公钥是不可能伪造 CA 的签名。因为，只有 CA 拥有私钥， 能产生有效的公钥证明。而攻击者要想获取 CA 的私钥，将 面临大素数的因子分解困难。CA 可以伪造公钥证明，但一 个用户有两个合法的公钥证明，则证明 CA 的不可信赖性。 （2）攻击者在不知道 UA 的私钥的情况下，伪造一个合法 的签名是的不可能性。攻击者必须计算用户的私钥 XA，并 且截获 UB 的公钥的证明 CB，才能假冒 UA 进行签名。而攻 击者要想获取 UAUB 的私有密钥 xB，因此他无法根据消息恢 复方程求解得到 M。也就是说只有指定的消息接收者 UB 才 可能求解得到 M，他与消息发送者之间的相互确认是通过用 户公钥的自认证协议实现的。 （4）消息密钥 K 可以多次使 用。对于不同的消息 M 和 M1、r2 和 s 都不相同，攻击者不 能根据签名等式分析得出签名者的私钥。4 方案的比较所提 出的基于公钥自证明的认证加密方案是根据 Girault 的公 钥自证明原理，在 Tsengyuh-Min 等人的自证明方案的基础 上进行设计的，同时根据文献7中对 Tsengyuh-Min 方案 的缺点分析，提出的一种更安全的公钥自证明方案。首先， 本方案中，CA 对用户的公钥签名时有效引入 CA 的私钥，解 决了攻击者可以假冒 CA 产生有效公钥认证的问题。在 Tseng 的认证加密方案，CA 对用户公钥的证明没有使用 CA 的私钥，攻击者只要知道 CA 的签名等式，就可以假冒 CA 的签名。而的认证过程引入了 CA 的私钥，由于攻击者不知 道 CA 的私钥，就不能产生有效的签名。只有 CA 才能使用 私钥产生有效的签名。同时，本方案的