（基础数学专业论文）无证书的公钥密码体制的若干问题的研究.pdf

摘要 公钥密码体制以其自身的特点在现代信息安全中起着越来越重要的作用 公钥密码体制中每个用户都有一对公私钥公钥密码体制要想充分发挥作用， 必须让用户的公钥以一种可验证的和可信任的方式与用户的身份联系起来，即 要解决公钥认证问题传统的基于p k i 的公钥密码体制采用证书的方式。任何人 可通过验证证书中心的签名来验证用户公钥的真实性这样虽然保证了公钥的 真实性，但对证书的管理和支持及结构上的配置是传统公钥密码体制的比较复 杂的问题之一1 9 8 4 年s h a m i r 首先提出了基于身份的公钥密码体制它以不同 于传统公钥密码体制的方式处理公钥的问题在基于身份的公钥密码体制中用 户的公钥直接从用户身份信息的某一方面获取用户的私钥是由一个可信的第 三方称为私钥生成中心生成基于身份的公钥密码体制虽然避免了证书的使用 有效实现了用户公钥与其身份的绑定，但无法克服用户密钥托管问题并且需要 安全信道传输私钥因此正如一些文献所述”基于身份的公钥密码体制只能在 封闭的小群体中使用或者在安全性要求不是很高的情况下使用”2 0 0 3 年的亚 密会议上a 1 r i y a m i 和p e r t e r s o n 提出了一种新的公钥密码体制称为无证书的公 钥密码体制在无证书的公钥密码体制中可信第三方和用户联合为用户生成公 私钥，且只有用户自己知道自己的私钥无证书的公钥密码体制既无证书问题 又无密钥托管问题从而效率比传统的公钥密码体制高，安全性比基于身份的公 钥密码体制强 无证书的公钥密码体制因其既无证书管理问题又无密钥托管问题的显著特 点在实际网络中有着广泛的应用前景在开放型的网络中系统的信任和可靠 运行是通过综合机密性、数据完整性、认证、授权这几个标准要素来建立的因 此涉及到的各主要关键技术包括密钥建立、加密技术、数字签名、身份认证等 等既要保证较高的计算和通信效率，又要保证安全性本文在前人的研究基础 上，主要做了以下几个方面的工作： 首先，构建无证书的密钥协商协议重点是无证书的非交互的认证密钥协商 协议，它们在通信量和计算量上有着明显的效率优势：第一种协议里每方只需 计算一个双线性对我们还提出一种具有完善前向保密性的交互的认证密钥协 商协议我们构造的无证书的密钥协商协议属于动态的密钥建立方案并且后两 种协议可以跨域( 主密钥不同的域) 实现，即不同密钥更新阶段加入系统( 或不同 系统) 的成员之间可以协商会话密钥 其次，利用秘密共享方案构造了无证书的多个可信中一l , ( k g c ) 的密钥生成 方案门限密钥生成方案是一种特殊的多中心的密钥生成方案但是，在实际应 用中，用户( 或服务器) 的重要性并不完全相同：不同的权利，计算资源或被攻击 的概率等等因此，我们主要研究一般存取结构下的密钥生成方案引入多个 子k g c 来分担单个k g c 的工作只要有一定数量的子k g c 可访问，用户就可 以进行注册，获取部分私钥，有利于网络的扩展且避免了单点失效问题 最后，我们将h e r r a n z 和s d e z 的分布环签名方案应用到无证书的环境下，利 用两种不同的数学工具，基于两种不同的密码本原分别构造了两种无证书的分 布环签名方案分布环签名将一般环签名中的单个成员( 签名者和非签名者) 全 部放大为一个组织即签名者是一个组织中的所有成员，环是由组织构成其 目的是增加消息的可信度和说服力! 我们的无证书的分布环签名方案既保留 了h e r r a n z 和s d e z 的方案的优点又达到了真正的不可伪造性。可应用于需要长 期提供匿名性的场所 上述方案的安全性都是基于d i m e - h e l l m a n 问题( 经典的d i 伍e - h e l l m a n 问题 或双线性d i f f i e - h e l l m a n l ； 题) 的多项式时问内的求解困难性 关键词：无证书的公钥体制，密钥协商，分布环签名 1 1 a b s t r a c t p u b l i ck e ya u t h e n t i c a t i o ni sam a i n c o m p o n e n to fp u b l i ck e yc r y p t o g r a p h y t h e m a i nd i f f i c u l t yt o d a yi nd e v e l o p i n gs e c u r es y s t e m sb a s e do np u b l i c - k e yc r y p t o g - r a p h yi sn o tt h ep r o b l e mo fc h o o s i n ga p p r o p r i a t e l ys e c u r ea l g o r i t h m so ri m p l e - m e n t i n gt h o s ea l g o r i t h m s r a t h e r ，i ti st h ed e p l o y m e n ta n dm a n a g e m e n to fi n f r a s t r u c t u r e st os u p p o r tt h ea u t h e n t i c i t yo fc r y p t o g r a p h i c k e y s ：i ti sn e c e s s a r yt o p r o v i d ea na s s u r a n c et ot h eu s e ra b o u tt h er e l a t i o n s h i pb e t w e e nap u b l i ck e ya n d t h ei d e n t i t y ( o ra u t h o r i t y ) o ft h eh o l d e r ，t o g e t h e rw i t ht h e c o r r e s p o n d i n gp r i v a t e k e y i nat r a d i t i o n a lp u b l i ck e y i n f r a s t r u c t u r e ( p k i ) ，t h i sa s s u r a n c ei sd e l i v e r e d i nt h ef o r mo fc e r t i f i c a t e ，e s s e n t i a l l yas i g n a t u r eb yac e r t i f i c a t i o na u t h o r i t y ( c a ) o nap u b l i ck e y p k ii sc o m m o n l yc o n s i d e r e dt ob ee x p e n s i v eb e c a u s eo f t h ei s s u e sa s s o c i a t e dw i t hc e r t i f i c a t em a n a g e m e n t ，i n c l u d i n gr e v o c a t i o n 、s t o r a g e a n dd i s t r i b u t i o na n dt h ec o m p u t a t i o n a lc o s to fc e r t i f i c a t ev e r i f i c a t i o n i d e n t i t y - b a s e dp u b l i ck e yc r y p t o g r a p h y ( i d p k c ) ，f i r s tp r o p o s e db ys h a m i r ，t a c k l e st h e p r o b l e mo fa u t h e n t i c i t yo fk e y si nad i f f e r e n tw a yt ot r a d i t i o n a lp k i i ni d p k c ， a ne n t i t y sp u b l i ck e yi sd e r i v e dd i r e c t l yf r o mc e r t a i na s p e c t so fi t si d e n t i t y p r i - v a t ek e y sa r e g e n e r a t e df o re n t i t i e sb yat r u s t e dt h i r dp a r t yc a l l e dap r i v a t ek e y g e n e r a t o r ( p k g ) t h ed i r e c td e r i v a t i o no fp u b l i ck e y si ni d p k ce l i m i n a t e st h e n e e df o rc e r t i f i c a t e sa n ds o m eo ft h ep r o b l e m sa s s o c i a t e dw i t ht h e m h o w e v e r t h ed e p e n d e n c eo nap k g i n t r o d u c e sk e ye s c r o wt os u c hac r y p t o s y s t e m m o r e - o v e r ，i d p k cr e q u i r e ss e c u r ec h a n n e l sb e t w e e nu s e r sa n dp k gt od e l i v e rp r i v a t e k e y s f o rt h e s er e a s o n s ，i ts e e m st h a tt h eu s eo fi d p k cm a yb er e s t r i c t e dt o s m a l l ，c l o s e dg r o u p so rt oa p p l i c a t i o n sw i t hl i m i t e ds e c u r i t ya n dm u c he f f i c i e n c y r e q u i r e m e n t s c e r t i f i c a t e l e s sp u b l i c k e yc r y p t o g r a p h y ( c l p k c ) ，i n t r o d u c e db y a 1 一r i y a m ia n dp a t e r s o ni n2 0 0 3 ，i si n t e n d e dt os o l v et h ek e ye s c r o wi s s u ew h i c h ，i si n h e r e n ti ni d p k c ，w h i l ea tt h es a m et i m e ，e l i m i n a t et h eu s eo fc e r t i f i c a t e 8 a si nt h ec o n v e n t i o n a lp k i i nc l - p k c au s e r sp r i v a t ek e yi sc o m p r i s e do ft w o p a r t s ：o n eg e n e r a t e db yak e yg e n e r a t i o nc e n t e r ( k g c ) a n da s s o c i a t e dw i t h h e ri d e n t i t y ；a n o t h e rg e n e r a t e db yt h eu s e rh e r s e l f ，a n du n k n o w nt oa n yo t h e r p a r i t i e s ( i n c l u d et h ek g c ) k n o w i n go n l yo n eo ft h e ms h o u l dn o tb ea b l et oi m p e r s o n a t et h eu s e ra n dc a r r yo u ta n yo ft h ec r y p t o g r a p h i co p e r a t i o n sa st h eu s e r c l p k ca l l e v i a t e st h ek e ye s c r o wp r o b l e ma sw eh a v ei ni d p k c ，a tt h es a m e t i m e ，r e d u c e st h ec o s ta n ds i m p l i f i e st h eu s eo ft h et e c h n o l o g yw h e nc o m p a r e d w i t hc o n v e n t i o n a lp k i s o m eo ft h ep u r p o s ef o rw h i c hp u b l i c - k e yc r y p t o g r a p h yh a sb e e na p p l i e d a r e ：k e ye s t a b l i s h m e n t ，c o n f i d e n t i a lm e s s a g et r a n s m i s s i o n ，i d e n t i f i c a t i o ns y s t e m s ， a u t h e n t i c a t i o n sa n dn o n r e p u d i a t i o n s ow es t u d yt h e s et o p i c si nc e r t i f i c a t e l e s s p u b l i c - k e yc r y p t o g r a p h y t h em a i nc o n t r i b u t i o n so fo u rp a p e ra r e ： f i r s t l y , k e ya g r e e m e n tp r o t o c o l sa r eo n eo ft h ef u n d a m e n t a lp r i m i t i v e so f c r y p t o g r a p h y w ep r o p o s es o m en e wc e r t i f i c a t e l e s sa u t h e n t i c a t e dk e ya g r e e m e n t p r o t o c o l s t h ef i r s tt w op r o t o c o l sa r en o n i n t e r a c t i v e ，w h i c hh a v eo b v i o u sa d v a n t a g e si nt h ea m o u n to fc o m p u t a t i o na n dc o m m u n i c a t i o n a n o t h e ri n t e r a c t i v e k e ya g r e e m e n tp r o t o c o lw i t hp e r f e c tf o r w a r ds e c r e c yi sa l s op r o p o s e d t h el a s t t w op r o t o c o l sc a nb eu s e dt oe s t a b l i s hk e y sb e t w e e nm e m b e r so fd i s t i n c td o m a i n s ( w i t hd i f f e r e n tm a s t e rk e y s ) s e c o n d l y , c e r t i f i c a t e l e s sk e yi s s u i n gs c h e m e s ，w i t hm u l t i - k e yg e n e r a t i o nc e n - t e ra r ep r o p o s e d ，b yu s i n gs e c r e ts h a r i n gs c h e m e s t h r e s h o l dk e yi s s u i n gs c h e m e s a r ev e r yp a r t i c u l a r h o w e v e r ，i nt h er e a ll i f e ，p l a y e r s ( o rs e r v e s ) a r eu s u a l l yh a v e d i f f e r e n tl e v e l so fi m p o r t a n c e ：t h e yc a nh a v ed i f f e r e n tp r i v i l e g e so rc o m p u t a t i o n a l r e - s o u r c e s ，a n de n j o yd i f f e r e n tl e v e l so fp r o t e c t i o na g a i n s tp o s s i b l ea t t a c k s ，f o r e x a m p l e f o rt h i sr e a s o n ，i ti si m p o r t a n tt od e s i g nk e yi s s u i n gs c h e m e sw i t h m u l t i k g ct h a tw o r kp r o p e r l yi nt h ee a s eo fg e n e r a la c c e s ss t r u c t u r e s n o to n l y i nt h et h r e s h o l dc a s e o u rs c h e m a se f f e c t i v e l ys o l v et h ep r o b l e mo fs i n g l eo f f a i l u r ea n de f f i c i e n c yb o t t l e n e c k ，e n h a n c et h es y s t e m sr o b u s t n e s sa n ds e c u r i t y f i n a l l y , w ep r o p o s et w oc e r t i f i c a t e l e s sd i s t r i b u t e dr i n gs i g n a t u r es c h e m e s t h ef i r s to n ec a nb eu s e df o rg e n e r a lf a m i l i e so fp o s s i b l es i g n i n gs u b s e t s ，a n d t h es e c o n do n ei sm o r ee f f i c i e n t f o rt h r e s h o l df a m i l i e so fs u b s e t s o u rs c h e m e s r e t a i nt h ed e s i r a b l ep r o p e r t i e so fi d e n t i t y b a s e dc r y p t o g r a p h yw i t h o u tk e y e s c r o w ， t h e r e f o r ea c t u a l l yp o s s e s st h e a l l e g e du n c o n d i t i o n a lu n f o r g e a b i l i t y t h e s e c u r i t yo fo u rs c h e m e sa b o v er e l yo nt h ed i f f i e - h e l l m a np r o b l e m s ( t h e l v c l a s s i cd i f f i e - h e l l m a np r o b l e m so rt h eb e l i n e a rd i f f i e - h e l l m a np r o b l e m s ) k e y w o r d s ：c e r t i f i c a t e l e s sp u b l i c - k e yc r y p t o g r a p h y , k e ya g r e e m e n t ，d i s t r i b u t e d r i n gs i g n a t u r e v 表格索引 2 1 数学符号说明2 0 2 2 首字母缩写符号说明 2 1 3 1 安全性质比较3 0 3 2 效率比较 3 0 6 1r s g r s 和d r s 的区别 5 5 a 1 对t t 尸的信任程度分类 5 7 a 2 哈希函数算法设计方法 5 7 a 3 等安全强度下的密钥长度( b i t s r o u g h l y ) l 北对一s o u r c ei sf r o mn i s t5 7 a 4 等安全强度下的参数比对一t a b l ei sf r o m 【9 7 】 5 8 插图索引 a 1 对称密码原理。 5 8 a 2 公钥密码原理 5 9 a 3 不使用数据摘要的数字签名 6 0 a 4 具有数据摘要的数字签名 6 0 a 5 椭圆曲线加群的运算 6 1 a 6 签密在密钥生成中的应用 6 2 l i s to ft a b l e s 2 1m a t h e m a t i c a ln o t a t i o n s 2 0 2 2t e c h n i c a la c r o n y m s 2 1 3 1 s e c u r i t ya t t r i b u t e sc o m p a r i s o n 3 0 3 2 e f f i c i e n c yc o m p a r i s o n 3 0 3 2d i f f e r e n c e sa m o n gr i n gs i g n a t u r e g r sa n dd r s 5 5 a 1c l a s s i f i c a t i o na c c o r d i n ga st r u s tm o d e l 5 7 a 2 a l g o r i t h md e s i g no fh a s hf u n c t i o n 5 7 a 3 k e ys i z e ：e q u i v a l e n ts t r e n g t hc o m p a r i s o n 5 7 a 4p a r a m e t e r s ：e q u i v a l e n ts t r e n g t hc o m p a r i s o n 5 8 l i s to ff i g u r e s a 1 p r i n c i p l eo fs y m m e t r i cc r y p t o g r a p h y 5 8 a 2 p r i n c i p l eo fp u b l i c k e yc r y p t o g r a p h y 5 9 a 3 s i g n a t u r ew i t h o u th a s hv a l u e 6 0 a 4 s i g n a t u r ew i t hh a s hv a l u e 6 0 a 5p o i n ta d d i t i o no ne l l i p t i cc u r v e s 6 1 a 6t h e a p p l i c a t i o no fs i g n c r y p t i o ni nk e yi s s u i n gs c h e m e 6 2 厦门大学学位论文原创性声明 本人呈交的学位论文是本人在导师指导下，独立完成的研 究成果。本人在论文写作中参考其他个人或集体已经发表的研 究成果，均在文中以适当方式明确标明，并符合法律规范和厦 f - j 大学研究生学术活动规范( 试行) 。 另外，该学位论文为() 课题( 组) 的研究成 果，获得() 课题( 组) 经费或实验室的资助，在 ( ) 实验室完成。( 请在以上括号内填写课题或 课题组负责人或实验室名称，未有此项声明内容的，可以不作 特别声明。) 声明人( 签名) ：桑枣堂 础年d 6 月喀日 ， 厦门大学学位论文著作权使用声明 本人同意厦门大学根据中华人民共和国学位条例暂行实 施办法等规定保留和使用此学位论文，并向主管部门或其指 定机构送交学位论文( 包括纸质版和电子版) ，允许学位论文进 入厦门大学图书馆及其数据库被查阅、借阅。本人同意厦门大 学将学位论文加入全国博士、硕士学位论文共建单位数据库进 行检索，将学位论文的标题和摘要汇编出版，采用影印、缩印 或者其它方式合理复制学位论文。 本学位论文属于： () 1 经厦门大学保密委员会审查核定的保密学位论文， 于年月日解密，解密后适用上述授权。 () 2 不保密，适用上述授权。 ( 请在以上相应括号内打 ”或填上相应内容。保密学位 论文应是已经厦门大学保密委员会审定过的学位论文，未经厦 门大学保密委员会审定的学位论文均为公开学位论文。此声明 栏不填写的，默认为公开学位论文，均适用上述授权。) 声明人( 签名) ：橐糙 加哆年p 6 月哆日 第一章引言 1 1公钥密码学 公钥密码体制的概念是由d i f f i e 和h e l l m a n 于1 9 7 6 年提出的，也被称为非对 称密码体制公钥密码体制是密码学历史上最突出的发展在当时，所有的经典 的密码系统都是对称的密码体制，也就是通信双方共享一个秘密密钥，此密钥 既能用于加密也能用于解密，这就导致了一些密钥分配问题例如：对于一个密 码系统，我们必须通过安全信道将秘密密钥分配给通信用户，如果有个成员的 话，则有c 毛个秘密密钥必须交换，也就需要c 备条安全信道而且每个用户必须 储存一1 个密钥即使允许可信第三方t t p 参与，也必须有条安全信道，甚 至对一个相当小的网络也可能变得相当昂贵，所以t t p 的存在也不是一个很 好的解决办法如果一个秘密密钥泄露了则攻击者能够用此秘密密钥解密所 有用此秘密密钥加密的消息( 至少两个用户被攻破) 此外，对称密码体制难以实 现认证，无法提供不可否认性服务因此，对称密码体制难以满足开放性环境的 需求 公钥密码体制通过将密钥分成两部分而解决了上述密钥分配问题。即分成 公开密钥( 公钥) 和私有密钥( 私钥) 公开密钥被记录在一个公共的数据库中；私 有密钥被用户秘密地保存这样公开密钥能被用于加密消息，而在解密过程中 用户必须知道私有密钥公钥密码学所提供的另一个重要贡献是数字签名数 字签名能够提供认证服务和不可否认服务对保证电子商务过程中的各种交易 的安全可靠性具有重要意义 公钥密码体制的设计比对称密码体制的设计具有更大的挑战性因为公钥 为攻击算法提供了一定的信息事实上公钥密码体制无法提供无条件安全所以 我们仅研究公钥密码体制的计算安全性目前所使用的公钥密码方案的安全性 基础主要是数学中的难解问题正是公钥密码体制思想的提出，使数学逐渐在 密码学中扮演重要角色f 对称密码体制的基础学科主要是物理学和计算机科学) 公钥密码体制的加密速度虽然不如对称密码体制快尤其在加密数据量较大时， 但它易实现认证因此实际工程中常采用的解决办法是将公钥密码体制和对 称密码体制结合即公钥密码体制用来分配密钥对称密码体制用于加密消息 2无证书的公钥密码体制的若干问题的研究 公钥密码体制以其自身的特点在现代信息安全中起着越来越重要的作用 当前公钥密码体制的主要安全问题不是寻求适当的安全算法或安全算法的实 现，而是公钥的认证和管理问题也就是说，公钥密码体制要想真正发挥作用， 必须让用户的公钥以一种可验证的和可信任的方式与用户的身份联系起来 1 1 1 公钥基础设施 公钥基础设施p k i 的概念是2 0 世纪8 0 年代由美国学者提出来的p k i 是提 供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书1 9 7 8 年，k o h n f e i d e r 1 提出证书的概念，他建议使用公钥证书来实现不安全信道上的 公钥分发，使公钥的真实性可被验证n e e d h a m 和s c h r o e d e r 2 】也提出了本质上 相同的想法，不过方式是在线请求公钥证书是由可信第三方称为证书中心f 简 i d c a ) 为用户颁发的。它含有用户的身份、公钥、序列号、c a 的身份等等信息以 及c a 对上述内容的数字签名一旦c a 为某用户颁发了公钥证书，通过证书的 获得和验证，其他所有用户对c a 及c a 公钥真实性的信任就可以传递到对该用 户公钥真实性的信任也即通过验证c a 的签名来验证用户公钥的真实性这样 虽然保证了公钥的真实性，但对证书的管理和支持及结构上的配置是传统公钥 密码体制的比较复杂的问题之一关- t p k i 的更多研究，请查阅【1 8 ，1 9 ，2 0 ，2 1 ，2 2 】 需要注意的是在c a 为用户颁发证书之前必须对用户的身份和要写入证书的 公钥确实属于该用户的事实进行验证一种方法是要求用户提交一本普通护照 来作为身份的证明，并且还要有用户知道与其提交的公钥对应的私钥的证明 1 1 2基于身份的公钥密码体制 基于身份的公钥密码体制( 简i 尸, i d p k c ) 是s h a m i r 4 于1 9 8 4 年首先提出的， 它以不同于传统公钥密码体制的方式处理公钥的问题在基于身份的公钥密码 体制中，用户的公钥直接从用户身份的某一方面获取，用户的私钥是由一个可信 第三方称为私钥生成中心( 简记p k g l 生成p k g 在为用户生成私钥之前必须 验证用户的身份在i d p k c 中。通信各方无需交换公钥。无需第三方的协助就 能够完成通信；协助就能够完成通信：p k g 为用户生成私钥，而不是颁发证书： p k g 为用户生成私钥之后可以退出系统直至有新成员加入或者有用户需要更 新私钥 s h a m i r 提出i d p k c 的初衷是为了简化e - m a i l 系统中的密钥管理问题通常 用户只知道接收方的e - m a i l 地址由此联想到直接将用户的身份信息如名字、电 第一章引言3 子邮件、邮政地址等附属信息作为用户的公钥那么，本质上就不需要认证公 钥，用户只需知道对方的身份信息就可以给其发送加密消息，并能够对其签名进 行验证我们的邮政系统就是按这种方式工作的 尽管i d p k c 的概念早在1 9 8 4 年就被提出并且和p k i 共存了数年但直 至2 0 0 1 年，基于身份的密码方案才被构造出来第一个基于身份的密码方案 是c o c k s 3 的基于平方剩余的加密方案其加密过程消息扩展严重很难在实际 中应用随后，b o n e h 和f r a n k l i n 5 利用双线性对构造出第一个实用的基于身份 的加密方案，引发了i d p k c 的研究热潮一系列基于身份的加密方案、密钥协 商协议f 6 ，7 ，8 ，9 ，1 0 ，1 1 】以及签名方案【1 2 ，1 3 ，1 4 相继被提出但是，这些方案几乎 全是基于双线性对的然而，双线性对的计算效率相对比较低因此，设计不是 利用双线性对的基于身份的密码方案尤其是加密方案能促进i d p k c 的广泛应 用 i d p k c 虽然避免了证书的使用，有效实现了用户公钥与其身份的绑定但 无法克服用户密钥托管问题( 由p k g 生成用户的私钥) ，并且需要安全信道传输 私钥因此，i d p k c 无法提供不可否认性服务p k g 遭受攻击将使整个系统瘫 痪文献1 9 5 对如何弱化基于身份的密码体制的密钥托管问题进行了一些研究 代价是技术量和通信量的大幅度增加正如【1 5 】所述”i d p k c 只能在封闭的小群 体中或者在安全性要求不是很高的情况下使用， 1 1 3无证书的公钥密码体制 2 0 0 3 年的亚密会议上a 1 一r i y a m i 和p e r t e r s o n 1 5 提出了一种新的公钥密 码体制称为无证书的公钥密码体制f 简记c l - p k c ) c l p k c 充分吸收了i d p k c 和p k i 的优点：无证书类似p k i 的信任模型因此，c l - p k c 既无证书管 理问题又无密钥托管问题从而效率比传统的公钥密码体制高安全性比i d p k c 强c l - p k c 仍需要可信第三方f 简记k g c ) 但与i d p k c 中的可信第三 方p k g 不同，k g c 只为用户生成部分私钥用户的私钥是由部分私钥和用户自 己的秘密数组成且只有用户自己知道自己的私钥用户的公钥是用户利用自 己的秘密数和k g c 选取的系统参数生成的之所以说c l - p k c 是一种新的公钥 密码体制不仅是因为它避免了证书的使用。还因为它的公钥不仅仅来自于用户 的身份，也因此需要寻求新的方法来解决c l - p k c 的公钥认证问题 a 1 - r i y a m i 和p e r t e r s o n 1 5 提出无证书的公钥密码体制的同时还构造了第 4无证书的公钥密码体制的若干问题的研究 一个无证书的签名方案和加密方案，指出了无证书的公钥密码体制的两种( 原 始的) 攻击模型为了防止密钥替代攻击，他们还建议让用户的部分私钥与 用户的身份、公钥绑定起来a 1 一r i y a m i 和p e r t e r s o n 定义的无证书的签名方 案( c l - s s ) n 力n 密方案( c l e s ) 均有七个算法组成这种定义一直被后来的学者 采用1 6 5 ，6 6 ，6 7 ，6 8 ，6 9 ，7 0 ，2 3 ，7 1 ，7 2 ，7 3 ，7 4 。直至2 0 0 6 年，h u 和w o n g 等人提出一 种简化的c l s s 的定义【6 4 】，它仅由五个算法组成，用户的部分私钥和秘密数在 签名阶段被分别使用，因此结合方式比原定义更灵活同年，【7 5 】给出了类似的加 密方案有关无证书的签名，加密方案的安全性的研究也很多文献 7 3 ，6 4 ，7 4 总 结和讨论了无证书的各种安全模型，但是这些安全模型都是在假定k g c 诚实 地生成系统参数和主密钥的情况下定义的a u 并l l c h e n 等人f 7 5 】考虑到k g c 可 能有预谋地生成系统参数定义了新的安全模型一有预谋的k g c 的被动攻 i 缶( m a l i c i o u s b u t p a s s i v ek g ca t t a c k ) 现阶段无证书的公钥密码体制的研究主要采用的密钥模式是：用户的部分 私钥是与用户的身份、公钥绑定在一起的，用户的私钥由部分私钥和秘密数两部 分组成，部分私钥不需要保密：攻击模型分为密钥替代攻击和m a l i c i o u s k g c 的 被动攻击：安全性定义：现有的无证书的加密方案的安全性定义是i n d c c a 2 1 ( 自适应选择密文攻击的不可区分性) ，与加密方案的i n d c c a 2 模式对应，无证 书的签名方案是e u f c m a ( 自适应选择消息攻击的存在性不可伪造性) ，密钥协 商协议尚未有统一的安全性定义i n d c c a 2 是目前公钥密码体制最强的安全 性定义是公钥密码体制的标准是一个适于应用的安全性概念 1 1 4 信任模型 公钥密码体制是在对称密码体制中引入一可信第三方t t p 提出的，因此必 须考虑t t p 的可信任程度g i r a u l t 2 6 指出从对开p 的信任程度的角度分析，公 钥密码的安全性可分为三个等级 l e v e l1 ：丁丁p 知道或者易计算得到用户的私钥从而可伪造用户的签名， 解密任何密文 1 i n d c c a 2 足f l s i n d - c c a ( i 左择密文攻击的不可区分性1 更强的安全性定义i n d c c a 是g o l d w a s s e r 和m i c a l i 于1 9 8 4 年提出的【16 】，曾广泛应用于加密方案的安全性分析2 0 0 2 年，r a c k h o f f 年 s i m o n 1 7 】宅e i n d c c a 的基础上提出了更强的安全性定义i n d c c a 2 从此i n n c c a 2 成为公 钥密码体制的标准 第一章引言 5 l e v e l2 ：刀尸不知道并且难计算得到用户的私钥但可通过更换用户的公 钥或伪造用户的证书假冒用户 l e v e l3 ：t t p 不知道并且难计算得到用户的私钥即使通过更换用户的公 钥或伪造用户的证书也无法假冒用户 i d p k c 因为其密钥托管问题，所以安全性只能是l e v e l1 传统的基于证书 的p k i 中，如果c a 在为用户颁发公钥证书之后，再去伪造新的公钥证书，以此 来达到假冒用户的目的，那么可通过比较一个时间段内两个有效的公钥证书确 定c a 作弊；但是，如果c a 为用户颁发证书之前伪造用户的公钥证书，则很难被 发现；因此，基于证书的一些密码方案( e g 签名方案) 的安全性达至o l e v e l3 ，另 外一些密码方案( e g 加密方案) 的安全性只能达至l j l e v e l2 与传统的基于证书 的p k i 类似，在c l - p k c 中，如果k g c 为用户生成部分私钥之后，再去替换用户 的公钥并生成与新公钥对应的部分私钥，以此来达到假冒用户的目的，那么可通 过比较一个时间段内两个有效的部分私钥确定k g c 作弊：但是，如果k g c 在为 用户生成部分私钥之前去替换用户的公钥则很难被发现：因此，c l p k c 的一 些密码方案( e g 签名方案) 的安全性达至u l e v e l3 ，另外一些密码方案( e g 加密 方案) 的安全性只能达至l j l e v e l2 为了统一讨论所有类型的密码方案的安全性， 传统的公钥密码体制假定c a 不伪造用户的证书i d p k c 假定尸k g 不泄露和滥 用密钥托管的权力c l ，p k c 假定k g c 不进行公钥替换攻击 因此最新的c l p k c 的攻击模型可按如下分类： 密钥替代攻击：攻击者不知道主密钥但可以更改用户的公钥主要指第 三方的攻击 m a l i c i o u s k g c 的被动攻击：攻击者知道主密钥，但不知道用户的私钥，也 不允许更改用户的公钥 1 2密钥协商协议 正如本章第一部分所述，公钥密码体制与对称密码体制相比，最大的优势 之一是不需要安全信道交换密钥但遗憾的是，同等安全强度之下，公钥加密系 统( e g r s a ) 的加密速度远低于对称加密系统( e g a e s ) 的加密速度因此，在 实际工程中，尤其在加密较长的消息时需要采用对称密钥加密所以密钥( 对称 密码中的密钥) 的建立技术也是密码学的关键问题之一我们主要讨论密钥协商 6 无证书的公钥密码体制的若干问题的研究 协议( 简记k a p ) 密钥协商是一个与密钥分配相区别的概念密钥分配是一方可以建立或获 得一个秘密值，然后把它发送给其他方的机制密钥分配一般用于长期密钥f 包 括主密钥、加密密钥的密钥以及有利于帮助密钥协商的密钥1 的分发密钥协商 是两个或多个成员在一个公开的信道上通信联合地建立一个共享密钥的协议 在一个密钥协商协议中，密钥的值是各成员提供的输入的一个函数密钥协商 协议一般只用于会话密钥f 两个通信终端用户在一次会话或交换数据时所用的 密钥) 的协商，不需要在线丁t 尸的协