（计算机系统结构专业论文）基于身份的密钥泄漏保护机制的研究.pdf

基于身份的密钥泄漏保护机制的研究 摘要 随着越来越多的密码组件广泛应用于诸如移动设备等安全性较差的 环境中，密钥的泄漏在所难免。用户私钥在密码系统中具有举足轻重的 地位，它的泄漏意味着系统安全性的彻底丧失。对于传统的公钥密码体 制来说，在发生密钥泄漏之后，可以通过撤销公钥来部分解决此问题。 然而，对于基于身份的密码体制而言，如何应对密钥泄漏却是一个极为 棘手的问题。因为在基于身份的系统中，用户的公钥代表用户的身份信 息，而这些信息的撤销甚至微小修正都是不太可行的。因此，研究基于 身份的密钥泄漏保护机制，是一项非常必要且有现实意义的工作。本论 文对这一问题展开了深入的研究，取得了如下主要研究成果： 1 ) 针对目前学界关于基于身份的密钥隔离签名( i d e n t i t y b a s e dk e y i n s u l a t e ds i g n a t u r e ，i b k i s ) 的定义和安全模型不够严格这一现状， 本文重新为i b k i s 给出了更为严格的定义和安全模型，进而提出 了一个新的i b k i s 方案，并在随机预言机模型下证明了方案的安全 性。所提的i b k i s 方案满足完备密钥隔离、强密钥隔离和安全密钥 更新等安全性质，也支持随机密钥更新和无限制的时间片段数目。 本文进一步探讨了基于身份的层次签名与i b k i s 的关系，给出了一 个由基于身份的二层签名方案构造i b k i s 方案的通用方法。 2 ) 本文将并行密钥隔离机制引入到基于身份的加密系统中，提出了 基于身份的并行密钥隔离加密( i d e n t i t y b a s e dp a r a l l e lk e y i n s u l a t e d e n c r y p t i o n ，i b p k i e ) 的概念。在给出i b p k l e 的形式化定义和安全 模型的基础上，构建了一个具体的i b p k i e 方案。所提方案不仅允 许较频繁的临时私钥更新，而且可以保持较低的协助器密钥泄漏的 几率，从而很好地增强了系统防御密钥泄漏的能力。此外，所提方 案的安全性证明无需借助随机预言机模型。这是一个非常诱人的性 质，因为随机预言机下的可证明安全只能看作一种启发式争论，并 不能保证系统在具体实现时的安全性。 3 ) 本文进一步将并行密钥隔离机制扩展到基于身份的签名系统中， 并提出了基于身份的并行密钥隔离签名( i d e n t i t y b a s e dp a r a l l e lk e y 上海交通大学博士学位论文 i n s u l a t e ds i g n a t u r e ，i b p k i s ) 的概念。在给出i b p k i s 的形式化定义和 安全模型的基础上，本文构建了两个i b p k i s 方案：其中一个在随机 预言机模型下达到可证明安全，另一个则在标准模型下达到可证明 安全。所提方案不仅允许较频繁的临时私钥更新，而且保持较低的 协助器密钥泄漏的几率，从而增强了系统防御密钥泄漏的能力。 4 ) 并行密钥隔离机制虽然较好地增强了系统防御密钥泄漏的能力，但 是在一定程度上缺乏灵活性，难以应付某些场合。为此，本文提出 了门限密钥隔离的新机制，进而提出了基于身份的门限密钥隔离 加密( i d e n t i t y b a s e dt h r e s h o l dk e y i n s u l a t e de n c r y p t i o n ，i b t k i e ) 的概念。本文给出了i b t k i e 的形式化定义和安全模型，并构建了 一个i b t k i e 方案。所提方案不仅可以增强系统防御密钥泄漏的能 力，而且具有较好的灵活性和较高的效率。此外，所提方案的安全 性证明也无需借助随机预言机模型。本文还给出了基于身份的门限 密钥隔离密钥封装机制( i d e n t i t y ，b a s e dt h r e s h o l dk e y i n s u l a t e dk e y e n c a p s u l a t i o nm e c h a n i s m ，i b t k i k e m ) 的形式化定义和安全模型， 并构建了一个标准模型下选择密文安全的i b t k i k e m 方案。 关键词：基于身份的密码体制，密钥泄漏，并行密钥隔离，门限密钥隔 离，双线性配对，随机预言机模型，标准模型 一i i s t u d i e so ni d e n t i t y - - b a s e dk e y - e x p o s u r ep r o t e c t i o n m e c h a n i s m a bs t r a c t w i t hm o r ea n dm o r ec r y p t o s y s t e m sb e i n ga p p l i e dt oi n s e c u r ee n v i r o n m e n t ss u c ha s m o b i l ed e v i c e s ，k e y e x p o s u r es e e m si n e v i t a b l e t h es e c r e tk e yp l a y sa ni m p o r t a n tr o l ei na n c r y p t o s y s t e m ，a n di t se x p o s u r ew i l lm e a nt h a tt h es e c u r i t yi se n t i r e l yl o s t i nc o n v e n t i o n a l p u b l i ck e yi n f r a s t r u c t u r e s ，w h e n e v e rk e y e x p o s u r eh a p p e n s ，c e r t i f i c a t er e v o c a t i o nl i s t ( c r l ) c a nb eu s e dt or e v o k et h ec o m p r o m i s e dk e y s h o w e v e r i ti sh a r df o ri d e n t i t y b a s e dc r y p t o s y s t e m st od e a lw i t ht h i sp r o b l e m ，s i n c et h ei d e n t i t yi n f o r m a t i o na c t sa st h eu s e r sp u b l i c k e ya n di sn o td e s i r a b l et ob ec h a n g e d t h e r e f o r e ，i ti sn e c e s s a r ya n d w o r t h w h i l et od e a l w i t ht h ek e y e x p o s u r ep r o b l e mi ni d e n t i t y b a s e ds c e n a r i o s i nt h i sp a p e lw es t u d yo nt h i s p r o b l e m ，a n da c h i e v et h ef o l l o w i n g r e s u l t s ： 1 ) t h ee x i s t i n gd e f i n i t i o na n ds e c u r i t yn o t i o n sf o ri d e n t i t y b a s e dk e y i n s u l a t e ds i g n a t u r e ( i b k i s ) i sn o ts or i g o r o u s s o ，i nt h i sp a p e rw er e f o r m a l i z et h ed e f i n i t i o na n d s e c u r i t yn o t i o n sf o ri b k i s ，a n dt h e np r o p o s e an e wi b k i ss c h e m e i nt h er a n d o mo r a c l e m o d e l ，t h ep r o p o s e di bk i ss c h e m ei sp r o v e dt ob ep e r f e c t l yk e y i n s u l a t e d ，s t r o n g k e y i n s u l a t e da n d s e c u r ek e y u p d a t e s i ta l s os u p p o r t sr a n d o m - a c c e s sk e y 。u p d a t e sa n d u n b o u n d e dn u m b e ro ft i m ep e r i o d s w ef u r t h e rd i s c u s st h er e l a t i o n sb e t w e e nh i e r a r - c h i c a li d e n t i t y b a s e ds i g n a t u r e ( h i b s ) a n di bk i s ，a n ds h o wag e n e r i cc o n s t r u c t i o no f i bk i sf r o ma n y2 一h i b ss c h e m e 2 ) w ee x t e n dt h ep a r a l l e lk e y - i n s u l a t e dm e c h a n i s mt oi d e n t i t y - b a s e de n c r y p t i o ns c e n a r - i o s ，a n dt h e ni n t r o d u c et h ep r i m i t i v eo fi d e n t i t y b a s e dp a r a l l e lk e y i n s u l a t e de n c r y p t i o n ( i b p k i e ) a f t e rf o r m a l i z i n gt h ed e f i n i t i o na n ds e c u r i t yn o t i o n sf o ri b p k i e ，a c o n c r e t ei b p k i es c h e m ei sp r e s e n t e d t h ep r o p o s e di b p k i es c h e m en o to n l ya l l o w s f r e q u e n tk e y - u p d a t i n g ，b u t a l s or e t a i n sal o wr i s ko fh e l p e r sk e y e x p o s u r e ，a n dh e n c e o v e r a l li n c r e a s e st h es e c u r i t yo ft h es y s t e m a n o t h e rf a v o r i t ep r o p e r t yo ft h ep r o p o s e d s c h e m ei st h a t ，i t ss e c u r i t yc a nb ep r o v e dw i t h o u tu s i n gt h er a n d o mo r a c l eh e u r i s t i c t h i si se s p e c i a l l ya t t r a c t i v e ，s i n c eap r o o fi nt h er a n d o mo r a c l ec a no n l ys e r v ea sa h e u r i s t i ca r g u m e n ta n dc a nn o ti m p l yt h es e c u r i t yi nt h er e a li m p l e m e n t a t i o n i i i 上海交通大学博士学位论文 3 ) w ea l s oe x t e n dt h ep a r a l l e lk e y i n s u l a t e dm e c h a n i s mt oi d e n t i t y b a s e ds i g n a t u r es c e n a r i o s ，a n dp r o p o s eap r i m i t i v en a m e di d e n t i t y b a s e dp a r a l l e lk e y i n s u l a t e ds i g n a t u r e ( i b p k i s ) w ef o r m a l i z et h ef o r m a ld e f i n i t i o na n ds e c u r i t yn o t i o n sf o ri b p k i s ，a n d t h e np r o p o s e dt w oi b p k i ss c h e m e s ：o n ei sp r o v e di nt h er a n d o mo r a c l em o d e l ，a n d t h eo t h e rc a nb ep r o v e dw i t h o u tr a n d o mo r a c l em o d e l t h et w op r o p o s e di b p k i s s c h e m e sn o to n l ys u p p o r tf r e q u e n tk e y u p d a t i n gb u ta l s or e t a i nal o w e rr i s ko fh e l p e r s k e y e x p o s u r e ，a n dh e n c es t r e n g t h e nt h es e c u r i t yo ft h es y s t e m 4 ) p a r a l l e lk e y i n s u l a t i o nm e c h a n i s mc a ne n h a n c et h ea b i l i t ya g a i n s tk e y e x p o s u r e h o w e v e r i tl a c k so ff l e x i b i l i t y , a n dt h e r ee x i s ts o m es i t u a t i o n sh a r df o ri tt ot a c k l e s o ，w e i n t r o d u c ea n o t h e rn e wm e c h a n i s mn a m e dt h r e s h o l dk e y i n s u l a t i o n ，a n dp r e s e n tt h e p r i m i t i v eo fi d e n t i t y b a s e dt h r e s h o l dk e y i n s u l a t e de n c r y p t i o n ( i b t k i e ) w ef o r m a l i z et h es e c u r i t yn o t i o n sf o r1 b t k i ea n dt h e np r o p o s et h ef i r s ti b t k i es c h e m e o n t h eo n eh a n d ，t h i sn e wp r i m i t i v ec a ne n h a n c et h es e c u r i t yo ft h es y s t e m ，a n do nt h e o t h e rh a n d ，i tc a np r o v i d ef l e x i b i l i t ya n de f f i c i e n c y a g a i n ，t h es e c u r i t yo fo u rp r o - p o s e di b t k i es c h e m ec a nb ep r o v e dw i t h o u tr e s o r t i n gt ot h er a n d o mo r a c l em o d e l w ea l s of o r m a l i z et h ed e f i n i t i o na n d s e c u r i t yn o t i o n sf o ri d e n t i t y - b a s e dt h r e s h o l dk e y i n s u l a t e dk e ye n c a p s u l a t i o nm e c h a n i s m ( i b t k i k e m ) ，a n dp r o p o s ea ni b t k i k e m s c h e m es e c u r ea g a i n s ta d a p t i v ec h o s e n c i p h e r t e x ta t t a c ki nt h es t a n d a r dm o d e l k e yw o r d s ： i d e n t i t y - b a s e dc r y p t o g r a p h y , k e y e x p o s u r e ，p a r a l l e lk e y i n s u l a t i o n ， t h r e s h o l dk e y i n s u l a t i o n ，b i l i n e a rp a r i n g ，r a n d o mo r a c l e ，s t a n d a r dm o d e l 一i v 主要符号对照表 z所有整数组成的集合 z d以矽为模的剩余类环z 磁 z 二z 口中所有对模乘可逆元构成的集合 f o ，l ，任意长度的比特字符串集合 f 0 ，1 ) n长度为n 的比特字符串集合 1 竹 正整数佗的1 元表示，即连续佗个比特l i s l集合s 中元素的个数 a s ，a 昼s元素a 属于( 不属于) 集合s & 冬集合& 包含于集合 nos随即均匀地从集合s 中选取元素a 8 1 l l s 2字符串s 1 和8 2 的连接 口闭数a 的二进制表示的第i 比特 e事件e 的补事件 euf事件e 和f 的和事件，即或者事件e 发生，或事件f 发生 enf事件e 和f 的积事件，即事件e 和f 同时发生 p r f e l事件e 发生的概率 p r e i f l 事件f 发生的条件下，事件e 发生的条件概率 v i i i 上海交通大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工 作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何他个人或集体 已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在 文中以明确方式标明。本文完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期：面飞一手j 上海交通大学学位论文版权使用授权书 本学位论文作者完全了解上海交通大学有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 ( 保密的论文在解密后应遵守此规定) 学位论文作者签名： 日期：吐年_ l 月珀 1 1 研究背景和意义 第一章绪论 1 1 1 基于身份的密码体制的诞生 密码技术的历史源远流长，早在公元前4 0 0 多年，密码技术就被应用于古希腊 的战场上。但直到上世纪二十年代，密码技术仍停留在“一张纸一支笔”的状态。 此后，电子密码的出现，使密码技术进入一个新阶段，数学工具在其中开始发挥着 越来越重要的作用。第二次世界大战期间，密码的应用与侦破成为影响战争胜负的 一个重要因素，使人们更加深刻地认识了密码技术的重要性。战后，密码学的研究 出现了一个新的高潮。1 9 4 9 年，s h a n n o n l l l 发表了奠基性的论文保密系统的通信理 论，用信息论观点对信息保密问题做了全面的阐述，将密码学置于坚实的数学基 础之上，从而标志着密码学正式成为一门科学。 通常来讲，密码系统分为两大类型：一类是对称密码系统；另一类是公钥密码 系统。一般认为，在1 9 7 6 年以前公布的密码系统都是对称密码系统+ 。在这类密码系 统中，加密和解密均采用共同的密钥，通信双方必须都获得该密钥并保持密钥的秘 密性。对称加密系统的算法一般具有效率高、适合硬件实现的特点，因而得到广泛 的应用。但它也存在密钥的分发和管理非常复杂、代价较为高昂的问题。譬如，在 一个拥有t l 个实体的网络中，为使每对实体之间能够实施保密通信，网络的密钥容量 至少为扎( 佗一1 ) 2 ；而且在密钥的分发过程中，也需要同时考虑密钥的保密性和正确 性，因此代价高昂。 鉴于对称密码系统存在上述问题，1 9 7 6 年，密码学家d i f f i e 和h e l l m a n l 2 1 在著名的 密码学的新方向一文中提出了公钥密码的新思想，标注着现代密码学的开端。 在公钥密码体制中，加密和解密是两个不同的算法，分别使用不同的密钥：其中加 密密钥( 即公钥) 是公开的；而解密密钥( 即私钥) 只有解密人自己知道，非法使用者是 无法根据公开的加密密钥来推算出解密密钥的。加密密钥的可公开使用，使得密钥 的分配和管理变得更为简单。譬如对于上述具有死个实体的网络，仅需要2 n 个密钥。 1 9 7 8 年，著名密码学家r i v e s t 、s h a m i r h 和a d l e m a n 3 1 提出了第一个实用的公钥密 码体制一一即大家所熟悉的r s a 体制，而他们也因此获得了2 0 0 2 年的图灵奖。近三 十多年来，r s a 不断接受实践的考验，目前仍然是应用最为广泛的密码体制之一。 此后，基于不同的计算问题，人们提出了大量公钥密码算法，其中具有代表意义 4 事实上，在1 9 7 0 年1 月，e l l i s 就在一篇非公开的论文非对称加密的可能性中提出了公钥密码 学的思想。在1 9 7 3 年，c o c k s 在论文关于非秘密加密的注记中也描述了一个与r s a 方案基本一致 的公钥密码体制。 上海交通大学博士学位论文 的包括基于整数分解问题的r a b i n 算法f 4 1 ，基于有限域上离散对数问题的e 1 g a m a l 算 法f 5 1 ，以及目前被普遍看好的基于椭圆曲线的方案 6 - 8 1 。 在公钥密码体制中，公钥的管理通常采用数字证书的方式f 9 1 。每个用户的公钥 都陪伴一个由证书权威中，i , , ( c e r t i f i c a t ea u t h o r i t y ，c a ) 签发的数字证书。该证书是一 个结构化的数据记录，通常含有唯一标识证书所有者( 发送方) 的名称、唯一标识证 书发布者的名称、证书所有者的公钥、证书发布者的数字签名、证书的有效期和证 书的序列号等信息。任何人都可以通过验证证书的合法性来认证公钥。如果一个用 户信任c a ，那么，在他验证了另一个用户的证书的有效性后，他就应该相信公钥的 真实性。这就是通常所说的公钥基础设施。但是这种方法至少有着如下缺点：( 1 ) 使 用任何公钥前都需要先验证公钥证书的合法性，因而增加了用户的计算量：( 2 ) c a 需要管理大量的证书，包括证书的撤销、存储和颁发，这需要较大的计算和存储开 销。 针对传统公钥密码体制中存在的上述问题，1 9 8 4 年，s h a m i r 1 0 1 创造性地提出 了基于身份的密码体制的概念。在这种体制中，用户的身份信息( 如身份证号 码，电话号码，邮件地址等) 直接作为用户的公钥。用户的身份与用户之间有着 直接而天然的联系，因此无需通过数字证书进行绑定，从而避免了传统公钥密码 体制中凶管理大量用户证书两带来的种科t 弊端。在文【l o 】叶，s h a m i r 构造了第一个 基于身份的签名( i d e n t i t y b a s e ds i g n a t u r e ，i b s ) 方案。在随后的几年里，其他学者 又提出了一些优秀的i b s 方案f 1 1 - 1 5 。但是，如何构建基于身份的加密( i d e n t i t y b a s e d e n c r y p t i o n ，i b e ) 方案，在相当长的一段时期内一直是一个悬而未决的开放性问题。 直n 2 0 m 年，b o n e h 和f r a n k l i n 1 6 1 利用椭圆曲线上的双线性配对这一有力的工具，才 成功构造了第一个实用高效且可证明安全的i b e 方案。在同一时期，c o c k s1 1 7 | 也独立 地构造了一个基于二次剩余问题的i b e 方案。但是c o c k s 方案有较大的密文扩张，实 现效率要低于b o n e h 暑i w r a n k l i n 方案。 b o n e h 和f r a n k l i n 的工作f 1 6 1 引起了密码界的浓厚兴趣，掀起了研究基于身份的 密码体制的新高潮，学者们纷纷提出了各种基于身份的密码方案，包括i b e 方 案【l 眦i 2 3 , 4 8 , 2 4 ，基于身份的层次加密方案【2 5 彩1 ，基于身份的签名方案1 3 5 】，基于身 份的签密方案f 3 锄】，基于身份的广播加密方案 4 3 4 4 1 ，匿名i b e 方案【4 引，以及属性 加密方案 4 9 - 5 5 1 等等。 1 1 2 密钥泄漏对于基于身份的密码系统的挑战 在一个密码系统中，用户的私钥起着异乎寻常的重要地位：在加密系统中只有 掌握合法私钥的用户才能执行解密操作，而在签名系统中也只有掌握合法私钥的用 户才能产生有效签名。目前，绝大部分基于身份的密码方案都假设用户能够妥善保 管密钥而不会发生泄漏，并没有对密钥泄漏采取应对措施。然而，随着近年来双线 一2 一 第一章绪论 性配对运算速度方面的研究取得了较好的进展，基于身份的密码系统也开始应用于 移动设备等安全性较差的环境中，冈此密钥的泄漏在所难免：与求解密码系统所基 于的困难问题相比，攻击者直接盗取用户的密钥要容易得多。对于一个密码系统来 说，密钥的泄漏是一个毁灭性的灾难，因为它意味着系统安全性的完全丧失。试 想，在一个利用数字签名技术构造的电子现金系统中，如果攻击者盗取了合法用户 的密钥，那么他就可以产生任意时间内、与原始用户不可区分的有效电子现金。这 将导致合法用户蒙受巨大的经济损失，甚至产生法律纷争。随着越来越多的密码系 统应用于与用户切身经济利益相关的各种场合，密钥泄漏所带来的危害性更是不容 忽视。 对于传统的公钥密码体制而言，在发生密钥泄漏之后，可以通过使用证书撤销 列表( c e r t i f i c a t er e v o c a t i o nl i s t ，c r l ) 来撤销该密钥所对应的公钥，从而部分解决此 问题。但是，对于基于身份的密码体制而言，密钥泄漏的处理是一个极为棘手的问 题：使用c r l 来撤销公钥显然是行不通的，因为在基于身份的系统中，用户的公钥 实际上就是诸如身份证号码等基本身份信息，这些信息的撤销甚至微小修正都是不 太可行的( 譬如在现实生活巾，通常不允许修改身份证号码) 。因此，如何应对基于身 份的密码体制中的密钥泄漏这一问题，是一项非常必要且有现实意义的工作。 1 2 密钥泄漏保护技术的研究现状 b o n e h 和f r a n k l i n 在文 1 6 】中最先讨论了基于身份的系统中密钥撤销的问题。在 他们的方案中，私钥生成中, t 二, ( p d v a t ek e yg e n e r a t o r ，p k g ) 为用户所生成的私钥对 应于用户的身份信息连同私钥的有效使用期限，例如“a l i c e s o h u c o m l l 2 0 0 6 0 6 0 1 2 0 0 6 0 7 0 1 ”。在这种方法中，无论用户私钥发生泄漏与否，用户都必须定期 与p k g 进行交互来领取新的私钥。然而，正女l j h a n a o k a 所指出的那样f 5 6 1 ，这种方法 至少存在如下缺点：其一，在实际应用中，为了尽量减少密钥泄漏所带来的危害， 通常将用户私钥的更新周期设置得比较短，这就意味着用户必须频繁地与p k g 进行 交互，因而加重了p k g 的负担。尤其在系统用户数目较多的场合，这将导致p k g 不 堪重负甚至瘫痪。其二，为了领取新的密钥，用户必须频繁地与p k g 建立安全秘密 通道，这也需要付出相当昂贵的代价。 另一个可以尝试的方法是采用分布式的办法来增加发生密钥泄漏的难度。 具体做法是将整个密钥分成若干个部分密钥，并分别存放在多个设备中，这 样，即使敌手能够获得某些部分密钥，也无法恢复出整个密钥，从而加大了 敌手破坏系统安全性的难度。这类技术包括秘密分享( s e c r e ts h a r i n g ) f 5 7 1 、f - j 限密 码系统( t h r e s h o l dc r y p t o s y s t e m s ) t 5 8 ，5 9 】以及前摄密码系统( p r o a c t i v ec r y p t o s y s t e m s ) 1 6 0 。 譬如，在p k c 0 4 上，b a e k 和z h e n g f 6 1 1 就提出了基于身份的门限解密( i d e n t i t y - b a s e d 一3 一 上海交通大学博士学位论文 t h r e s h o l dd e c r y p t i o n ，i b t d ) 的概念。在一个( 后，佗) 一i b t d 系统中，用户的私钥被分开 存放在n 个设备中；在进行解密操作时，至少需要尼个设备同时进行合作才能恢复出 明文。这样，即使有k 一1 个设备的密钥发生了泄漏，用户的安全性也仍能得到保 证。然而，分布式的方法也存在较大的局限性，至少包括：其一，原来仅需单台设 备就能完成的任务，现在需要多台设备共同进行工作，因而大大增加了系统的运算 代价；其二，门限计算从本质上来说交互式的，需要不同设备协同工作，这在非交 互式环境中无法实现；第三，一旦足够份额的密钥分块发生泄漏后，对于前述的电 子现金系统，包括已经分发的电子现金在内，其合法性仍然无法得到保证，同样也 会引起经济纷争；最后，对于基于身份的密码体制，用户公钥即身份信息仍然需要 进行撤销或修改。 就目前而言，更有效的办法是通过密钥演化( k e ye v o l u t i o n ) 的策略来尽量减轻 密钥泄漏所带来的危害。其出发点是，既然密钥泄漏的发生不可避免，那么就 应当采用合适的技术来尽量减轻它所带来的危害，而不仅仅是预防它的发生。 这类做法的主要思想是：在保持公钥不变的前提下，对用户私钥采取进化的处 理方法，在不同的时间片段内使用不同的私钥，个别时间段内的密钥泄漏不会 危害其它时间片段内的安全性，从而大大降低了密钥泄漏所带米的危害性。此类 方法包括前向安全( f o r w a r d s e c u r i t y ) r 6 z ，6 3 1 、密钥隔离( k e y i n s u l a t i o n ) t 6 4 1 以及入侵回 弹( i n t r u s i o n r e s i l i e n c e ) 1 6 5 1 三种技术。下面着重对这三种技术进行介绍。 1 2 1 前向安全机制 前向安全的概念最先由g i i n t h e r l 6 6 1 和d i f f i e l 6 7 在研究密钥交换协议时独立提出。 在前向安全的密码系统中，整个系统时间分成若干个时间片段，用户公钥始终保持 不变，而用户私钥在每个时间片段的开始时均进行更新操作。在某个特定的时间片 段内，用户签名和加密等密码操作只使用到该时间片段的临时私钥。当前时间片段 的密钥泄漏只会破坏当前和之后的安全性，而不会危害之前的安全性。这样，对于 前述的电子现金系统来说，密钥泄漏发生之前的电子现金的合法性就可以得到保 证。因此，前向安全机制可以在一定程度上减轻密钥泄漏所带来的危害。 下面分别从数字签名和加密两方面来回顾前向安全机制的研究现状。 前向安全的数字签名g u n t h e r 最初所提的前向安全概念是在密钥交换协议这一交互 式环境下考虑的。随后，a n d e r s o n l 6 2 在c c c s 9 7 所作的特邀报告里提出了在非交互 式环境下考虑前向安全这一问题。在c r y p t o 9 91 - _ ，b e l l a r e 和m i n e r l 6 3 1 构造了首个前向 安全的签名方案。他们的方案在离散对数困难问题假设下达到了可证明安全，美中 不足的是公钥和私钥都比较长。在a s i a c r y p t 0 0 _ k ，a b d a l l a 和r e y z i n r 6 8 1 对文 6 3 】的方 案作了改进，大大缩短了私钥的长度。随后，i t k i s 和r e y z i n 6 9 】在g u i l l o u q u i s q u a t e r 签 名方案f 1 2 l 的基础上，提出了一个具有高效的签名和验证过程的前向安全签名方案。 一4 一 第一章绪论 表1 1前向安全机制研究现状总结 交互式 环境 g u n t h e r f 6 6 e u r o c r y p t 8 9 l 在研究密钥交换协议时最先提出前向安全的概念 a n d e r s o n 【6 2 ，c c c s 9 7 1提出了在i l ：交互式环境下考虑前向安仝的问题 b e l l a r e - m i n e r 1 6 3 ，c r y p t o 9 9 1 首个f s 签名办案。公私钥较k = a b d a l l a r e y z i nf 6 8 ，a s i a c r y p t 0 0 j砧1 6 3 1 的办案改进，缩恕j ，私钥的长度 h k i s r e y z i n1 6 9 ，c r y p t o 0 1 1 具7 r 高效的签名验证过程 m a k l i ne ta 1 【7 0 ，e u r o c r y p t 0 2 】通用构造办法，支持无限制的时问片段数i - i 签名 k o z l o v - r e y z i n1 7 2 ，s c n 0 2 】 支持快速密钥巫新 s o n g f 7 3 ，a c mc c s 0 1 1f s 群签名办案 a b d a l l ae ta 1 【7 4 ，c t r s a 0 1 】 f sfj 限签名方案 t z e n g - t z e n g 1 7 5 ，p k c 0 11其钉前摄f ，l ( p r o a c t i v e ) 的f s 签名方案 b o y e ne la 1 7 6 ，a c mc c s 0 6 1 适合不可信密们更新环境的f s 携名方案 l i b e r te ta 1 1 7 7 ，a c mc c s 0 7 1通j j 方法，j f j 于构建适合不町信街铡史新环境的f s 箍名方案 c a n e t t ie ta 1 f 7 8 ，e u r o c r y p t 0 3 1旨个f s 公钥加密方案。不支持无限制的时问片段数日，运算代价较高。 加密 y a oe ta 1 f 7 9 ，a c mc c s 0 4 】 应用到基于身份的环境中，首个f s 的h i b e 办案。缺点类似义1 7 8 。 总结：可以保证之前的安令性，但不能保证之后的安全性。斛j l 二小人适j f jj ：基j ：身份的密码体制巾( 因为仍需要川收身份) 上述前向安全的签名方案只能支持受限的( b o u n d e d ) 时间片段数目，也就是说， 系统的时间片段总数目在系统初始化阶段就进行了固定，一旦所有这些时间片段使 用完毕，系统就无法使用了。在e u r o c r y p t 0 2 上，m a k l i n ，m i c c i a n c i o f f l m i n e r l 7 0 1 给出 了一个通用的方法，能够将任意的签名方案转换成前向安全的签名方案，并且所得 的方案可以支持无限制的( u n b o u n d e d ) 时间片段数目。h u 等学者【7 1 j 利用椭圆曲线上的 双线性配对构造了一个新的前向安全签名方案。由于椭圆曲线的良好性质，该方案 具有较短的密钥和签名长度，也能支持无限制的时间片段数目。 此外，一些具有其它性质的前向安全签名方案也被提了出来。k o z l o v 和r e y z i n 7 2 1 提出了一个支持快速密钥更新的前向安全签名方案。s o n g 7 3 1 提出 了一个前向安全的群签名方案。a b d a l l a 等学者 7 4 1 提出了一个前向安全的门限 签名方案。t z e n g 和t z e n g l 7 5 1 提出了一个具有前摄性( p r o a c t i v e ) 的前向安全签名方 案。b o y e n 等学者【7 6 】在a c mc c s 0 6 上提出了一个适合于不可信密钥更新环境的前向 安全签名方案。该方案与普通前向安全方案的不同之处在于，密钥的更新过程不是 直接使用私钥进行，而是使用经过用户口令加密后的私钥进行，因此更适用于不可 信密钥更新的环境。最近，l i b e r t 等学者7 7 1 a c mc c s 0 7 上给出了一个通用的方法， 可以用于构造适合于不可信密钥更新环境的前向安全签名方案。 前向安全的加密如何构造前向安全的公钥加密方案，在相当长的一段时间内是一 个公开的困难问题。直至a s i a c r y p t 0 2 ，g e n t r y h , 和s i l v e r b e r g t 2 6 1 提出了一个基于身份的 层次加密( h i e r a r c h i c a li d e n t i t yb a s e de n c r y p t i o n ，h i b e ) 方案，才使问题出现了转机。 在e u r o c r y p t 0 3 _ l ，c a n e t t i ，h a l e v i 蓍l l k a t z i 7 8 1 借助g e n 町一s i l v e f b e 玛的h i b e 方案终于成 一5 一 上海交通大学博士学位论文 功构造了一个前向安全的公钥加密( f o r w a r ds e c u r ep u b l i ck e ye n c r y p t i o n ，f s p k e ) 方 案。该方案也存在一些美中不足的地方。例如，它只不支持无限制的时间片段数 目；其解密运算所需的双线性配对数目与时间片段的数目成对数关系，因而运算代 价较高。 上面关于前向安全机制的研究并没有在基于身份的环境中进行考虑。在a c m c c s 0 4 上，y a o 等学者【7 9 】最先将前向安全机制引入到基于身份的密码系统中。他们 巧妙地融合了文 2 6 h i b e 方案的特点以及文 7 8 实现f s p k e 的方法，第一次提出了一 个满足前向安全的h i b e 方案。当然，他们的方案也存在类似文 7 8 f s p k e 方案的缺 点。 虽然前向安全机制能够很好地保证了在密钥泄漏发生之前的安全性，但是它无 法保证之后的安全性。这就意味着用户公钥仍然必须进行撤销。前面曾叙述过，基 于身份的密码体制中的公钥对应于用户的身份信息，通常是不方便甚至不允许改变 或撤销的。从这一点来说，前向安全的机制不太适用于基于身份的密码体制。因 此，本论文将不在此方面展开深入的研究。 1 2 2 密钥隔离机制 前向安全的密码体制虽然可以保证在密钥泄漏发生之前的安全性，但是不能保 证之后的安全性。那么，能否提出其它新方法，使它既能保证之前的安全性，又能 保证之后的安全性呢? 据此，d o d i s 等学者f 6 4 1 在e u r o c r y p t 0 2 上提出了密钥隔离的概 念。 与前向安全机制一样，密钥隔离机制也将整个系统时间分为若干个时间片段， 公钥始终保持不变，而私钥则在每个时间片段都进行更新，不同的时间片段内使用 不同的临时私钥。与前向安全机制显著不同的是，用户私钥不再是只由用户设备单 独掌控，而是将它分成两部分：一部分为临时私钥，存放在用户设备中；另一部分 为协助器密钥，存放于协助器设备中。通常假设，用户设备是一个计算能力很强但 安全性较差的设备，而协助器是一个物理安全但计算能力受限的设备。所有密码操 作( 如解密、签名等) 均在用户设备中进行，而协助器只在每个时间片段的开始负责 与用户设备进行交互，以帮助用户进行临时私钥的更新，并不参与其它任何密码操