（计算机应用技术专业论文）机动节点的匿名双向认证.pdf

硕 士论 文 机动节点的匿名双向认证 ab s t r a c t t h e l d e n t i t y 一 b a s e de n c r y p t i o n ( i b e ) s y s t e ma n d a n d a p p l i c a t i o n i lllpo r t a n t is more m o r e i 呷o r t a n t . i t h ave a l r e a 由 b e c o m e r e s e a r c h a s p e c t ， t h a th o w t o b u i l dap u b 1 i ck e ye n c r y p t i o ns y s t e mw i t hh i g h s e c u r i t ya n de f f i c i e n c y . i ni b es y s t e m ， t h ep u b 1 i ck e yi s s o!ne t h i n g a b o u tu s e r si d ， s u c hl i k e n ajne ， e 吸i land s o o n . o r s o m e f ake i d ， 贾 h i c h c r e a t e d b y s o m e h a s h fun c t i o n . andt h e p r i v a t ek e yi s c r e a t e d b yp k g ee -ac r e d i t a b l et h i r d p art y a dlni n i s t i o n . h o w e v e r ， w i t hd e v e l o 阳e n to fi n f o r 阻t i o nt l m e s ，ano n 帅i o u s i s n e e d e df o rm o r e a n d m o r e p e o p l e . i ti si 叩o r t antt h a th 湃 t oe x c h a n g e i n f o r mat i o nw i t he a c ho t h e rs a f e l y ， w h i l en o tk n 衅 e a c ho t h e r st r u e i d . t h a ta l s on e e dpkgc an t r a c kanyn o d e s b e h a v e . t h i s p 即e r c o n c e n t r a t e s o nt h e t h e o r y and t e c h n i q u e o fi d e n t i t y 一 b a s e d e n c r y p t i o n and i t s a p p 1 i c a t i o n o n m o b i l e n o d e s a n o n y m i o u s a u t h e n t i c a t i o n . w e u s e e l l i p s e c u r v e ， p a i r i n g t e c h n o l o g y ， i b e ， and c o u p l i n gt o u c ho f fc e 1 1aut o m a t o na sb a s i ck n o w 1 e d g e . t h i s p a p e ru s ep a i r i n gt e c h n o 1 o g yandc t ca t oc o n s t r u c t ap u b l i c k e y e n c r y p t i o ns y s t e m ， w h i c hc a nc o u n t e r a c tc h o s e nc h i p t e x ta t t r a c kand s a t i s f y i n d 一 c c a z mod e l ， a s t h e s ajue t i m e ， t h i s p 8pe ra l s o c o n s t r u c t t h e ano n y m i o u s b i d i r e c t i o n a la u t h e n t i c a t i o nmec h a n i s mo fm o b i 1 e n o d e s ， w h i c hb a s e do nt h en e we n c r y p t i o ns y s t e mc o n s t r u c t e dabo v ea n d a l s og i v et h ep r o v eo f s e c u r i t y ，a n a l y z eo fe f f i c i e n c yandt h e pto v eo f v a l i d i t y . i n t h e e n d ， t h e p 即e r g i v e a n a n o n 卿i o u s b i d i r e c t i o n a l a u t h e nt i c a t i o nm od e lo f m o bi l e n o d e s . k ey w o rd ， :i d e n t i t y 一 b a s e d，ano n 抑i o u s a u t h e n t i c a t i o n， p a i r i n g t e c h n o l o g y ，c t c a ，m o b i l en o d e ll 声明 本学 位论文是我在导师的 指导下取得的研究成果， 尽我所知， 在 本学位论文中， 除了 加以 标注和致谢的部分外， 不包含其他人已 经发 表或公布过的研究 成果， 也不包含我为获得任何教育机构的学位或学 历而使用过的材料。 与我一同 工作的同 事对本学 位论文做出的贡献均 己在论文中作 了明确的说明。 研 究 生 、二单 一0 7 年7 月5日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档， 可以借阅 或上网公布本学位论文的全部或部分内 容， 可以向有关部门或机构送 交并授权其保存、 借阅或上网公布本学 位论文的 全部或部分内容。 对于保密论文，按保密的有关规定和程序处理。 研 究 生 签 名 二 三牟 一0 7 年7月9日 硕 士 论 文 机动节点的匿名双向认证 绪论 1 . 1 研究背景及现实意 义 随着信息时代的到来， 信息安 全已 经 涉及到 军事， 经济， 金融， 甚至人们 日 常生活的各个方面， 信息的安全 传输越来越受到 人们的 重视。 而移动通信， 无 线通信正在广泛的被应用于以 移 动网 络平台为 基础的 通信系统中， 涉及到话 音 业务，电子商务和手 机银 行等各个方面。 如何实 现一个 安全的 加密系统是目 前信息安全中最重要的环节。 加密算法主要 分两 大类， 一 类是公钥加密， 一类是私钥加密。 前者 使用的 是公钥和私钥两对密钥，公钥公开给对方使用，对方用公钥加密的信息只能用 持有 私钥者用私钥 解开。 而后者所 用的为对称密 钥， 即通信双方持有相同的密 钥， 加密解密用同 一密钥来实现。 这就要求 通信双方对对称密 钥严格保密， 增 加了维护成本。 本文主 要使用公钥认证体系， 现有的 公钥体系中， 有p ki公钥体系和基于 身份的公 钥体系两 种。 传统的p ki密 钥管 理系统， 在移动通信和无线通信重越 来越显现颓势，其密钥管理维护的成本也及其昂贵。而基于身份的认证体制在 无线通信中，以其轻便，计算量小的特点，越来越受到重视。 作为国家科工委项目 的预研 项目 的 一部分， 本文需要构造一 个安全的公 钥 加密体制， 并在此基础上 构造机动节点的匿 名双向 认证机制。 本文 将主要通过 构造椭圆曲线， 并利用， eil 对的 双线性映射来实现 机动节点的匿名身 份认证. 椭圆曲 线是代数几何， 数论 等多 个数学领 域的 交叉点， 但并不是一 个纯理论 学 科. 在现在的 公钥加密方面， 椭圆曲 线以 其高效性 和安全性， 得到了很大 重视. 在2 0 05年2 月 16日， n sa宣布决定采 用椭圆曲 线密码的战略作为美国政府标 准的 一部分。而well对一直是用来攻 击椭圆曲 线加密的， 近年来被s akal， oh g is hi ， k as ah ar a ，joux等 人 创 造 性 的 用于 基 于 椭圆 曲 线的 加 密 当 中， 其 双线 性映射被用来实 现通信双方 身份的 认证。 在本文中， 我尝 试应用椭圆曲 线 上构 造的weil对，结 合祸合 元胞自 动机， 来实 现具有一定 现实 意义的公钥加 密算法，并在此算法基础上进一步将其应用与机动节点的匿名双向认证机制。 1 . 2国内外研究现状 ( 1) 公钥密码体制的发展及现 状 1 9 76年dif fi e 和he n 卿 发 表了 著 名 的 文 章 一 一“ 密 码 学 的 新 方 向 ”川 ， 引入t “ 公钥密 码系统( p u b l i ck e y c r y p t o s y s t e 田 ) ”的概念， 它给出t一 种 硕士论文机动节点的匿名双向认证 新的 有创造性的密钥 交换的 方法。 这种方法的 安全性基于离散对数问 题的 难解 性。 虽 然当时 他们并没有具体实现 这种公 钥密码系统， 但是想法非常清晰，引 起了 密码学界的广泛兴 趣。19 78年由m erk le和h ell m an提出了 第一个公 钥算 法 “ 背包体制( knapsacks y s t em ) “ ， 它利用背 包问 题构造公钥密码. 同年m it 三位年轻数学家r iv e s t ，shalnir和a d l e man 发 现了 一种用数论构造公钥的方 法， 称作m it体制， 后 来被广泛称之为r sa体制 12 。 国 际上一 些标 准化组织工 50， i t u 等均已 接受r sa体制作为标准。 1 9 79年r abin利用合数模下 求解平方根的 困 难 性 构 造了 一 种 安 全 公 钥 体 制“ r abin体 制” 131 。 1 9 8 5 年 又 出 现了 一 个 基 于 离散 对数问 题的e ig ajnal 公钥密 码体制141 ， 在许多 协议中都广泛 地使用这个密 码 体 制。 1 9 5 6 年m i l l e r ls l和1 9 5 7 年k o b l i t z i6 开 创 性 地 基 于 有 限 域 上 椭圆 曲 线 加法群离散对数问题地困难性来建立椭圆曲线密码系统( e l l i p t ic c 盯ve c r y p t o s y s t e m)o1 9 8 9 年k o b l i t z 又 对 椭圆 曲 线 作 t 推 广， 提出 t 超 椭 圆 曲 线 密 码 系 统(h y p e r e l l i p t i c c u r v e c r y p t o s y s t e m ) 1刀 ， 许多 基 于 离 散 对 数 困 难 性 的密码系统都可以平移到椭圆曲线上或超椭圆曲线上得到相应的基于椭圆曲 线或超椭圆曲线的密码系统。另外，在 sh阴ir于 1 9 8 4 年提出基于身份的密码 系 统( 1 卜 b a s e d c r y p t o s y s t e m)ls 的 概 念 后 ， 特 别 是 在 2 0 0 0 年j o u x 9 1把 本 来 用 于 密码攻击的双线性对( b i h near pai ring) 成功用于 构造基于身份的 密码系 统 之后， 许多 基于身 份或基于对的 密码方案相继被 提出， 这也形成了密 码学的 一 个新的较大的研究方向。 (2) 祸合元胞自动机的发展及现状 元胞自 动机理论自 从提出 之后，在各个 领域的 应用都得到了 很大的发展， 其范围 涉及信息学、 计算 机科学、 物理学、 社会 学、 环境学等学科。 在信息 学 中，元胞自动机在伪随机序列生成和对称加密方面都有很大的发展。在计算机 科学中，元胞自动机用来研究并行运算，因为并发运算是元胞 自动机内在的优 势。 在物理 学中， 元胞自 动机用 于模拟一些具体的 物理现象的动态 变化过程。 在社会学中， 元胞自 动机用于 研究经济危机的形 成与 爆发过 程。在 环境学中 ， 有些学者使用元胞自 动 机构造了 森林生长的 模型. 下面介绍元胞自 动机目 前在 各个方面的 一些典型的应用: 生命游戏 c o n ， a y 的 “ 生命游戏”是最广为 人知的 元胞自 动机. 生命游戏(g 胡e of l i f e) 是二维的元 胞自 动 机，由 剑桥大学的数学家 j o h nh o r t o nc o n ， a y 于1 9 7 0 年所提出 的。 他认为 细胞不会无限 制地生长， 于是他定义细胞在过度孤单与 拥 挤时 会死亡， 这样的 构想使他提出比 j o h n v on n eum ann 的设计更为简单的元 胞 自 动机。 它根据元胞的局部空间构形 来决定生 死， 只不过规则更为 简单. 在 这 硕士论文 机动节点的匿名双向认证 个元 胞自 动机中， 把平面分割成 很多方格子， 每一格子代表一 个细胞， 每 一个 细胞有 八个邻居， 这些细胞 有两种 状态: 生或死，存活的细胞我 们在方格内 涂 上特定单一的颜色，而死亡的细胞我们则不涂色.下面介绍生命游戏的构成及 规则 元胞分布在规则划 分的网 格上; 元胞具有0 ，1 两种状态， 0 代表 “ 死”，1 代表 “ 生”; 元胞以 相邻的8 个元胞为 邻居，即 m oore邻居形式; 一个元胞的生死由 其在该时 刻本身的生死状态和周围 八个邻居的状态 ( 确切讲是状态的和) 决定: 在当前时刻，如果一个元胞状态为”生”，且八个相邻元胞中有两个或 三个的状态为” 生“ ， 则在下一时刻 该元胞继续保持为 生 “ ， 否则” 死” 去: 在当 前时 刻， 如果一个元胞状 态为” 死 “ ， 且八个相邻元胞中正 好有 三 个为 “ 生 “ ，则 该元胞 在下一时刻”复 活 “ ， 否则 保持为“ 死 “ 。 尽管它的规则 看上去很简单， 但生 命游戏是 具有产生动态图 案和动 态结 构 能力的元胞自 动机模型。 它能 产生丰富的、 有趣的图 案。 生命游戏的优 化与 初 始元胞状态值的分布有关， 给定 任意的 初始状态 分布。 经过若干步的 运算， 有 的图 案会很快消失， 而有的图 案则固定不 动， 有的周而复始重复 两个或几个图 案， 有的婉蜒而行，的则 保持图 案定向移 动， 形似阅 兵阵 一 ，其中 最为著名 的是 滑翔机 “ 的图案。 生命游戏模型己在多方面得到应用。他的演化规则近似地描述了生物群体 的生存繁殖规律: 在生命密度过小( 相邻元胞数之2)时，由于孤单、缺乏配种繁 殖 机会、 缺乏互助也会出 现生命危机， 元胞状态值由1 变为0:在生命密度 过大 ( 相 邻元胞数3 ) 时，由于 环境恶化、资 源短缺以 及相互竞争 而出 现生存危机， 元胞 状态值由1 变为0; 只有处于 个体适中( 相邻 元胞数为2 或3) 位置的 生物才能 生存( 保 持元胞的状态值为1) 和繁 衍后代( 元胞状态值由 0 变为1).正由 于它能 够模拟生命活动中的生存、 灭绝、 竞争等等复杂现象， 因而得名“ 生命游戏“ 。 2) 格子气自 动机 格子气自 动机( l a t t i c eg a s a u t o 哑t a ，简称l g a ) ， 是元胞自 动机 在流体 力学与统计物理中 的具体化， 也是元 胞自 动机在科学 研究领域成功应用的范 例。相对于”生命游戏”来说，格子气 自 动机是个更注重于模型的实用性。它 利用元胞自 动机的 动态特征， 来模拟流 体粒子的 运动. 第一个时空、 速度等变量完全离散的 格子气自 动机是1 9 7 3 年由 法国的工 h ar d y， y. po me au 和 0 . p az zis 提出 的 hp p 模 型 ， 它 的 模 拟 结 果 已 经 很 接 近 流 体 力学中 描述流体 运动的 n avie r 一 s t rok es方程。 但模型中的流体粒子的 运动只 允 硕 士 论 文 机 动 节 点 的 匿 名双 向认 证 许有四 个方向 ， 造成应力张量各向异 性的 致命弱点， 尚不能充分反映 流体的 特 征， 因此在较长时间内没有受 到足够的重视。 直到20世纪 80年代， 5 . w olf ra m 等人的 研究工作使得元胞自 动 机理论产生了 质的飞 跃， 同时也带动了 格子气自 动机的进一步发展。 1 9 8 6 年， 法国的 u . f r l s h ， yp o m e au和美国的b . h a s s l a c h e r 在h p p 模型的基础上提出了一 个有实用价值的、 基于六角形网 络的 格子气自 动 机模型， 得名为fh p ( f r i t s c h 一 has ， l a c h e r 一 p o m e a u ) 模型， 并证明 该模型的 宏观 行为符合标准的 n avier 一 s t okes方 程。 f hp模型是第一 个成功的格 子气模型， 并 激发了 研究格子气模型研究的热潮。 人工生命研究 人工生命是 90年代才刚刚诞生的 新生 科学， 是复杂性科学 研究的 支柱学科 之一。 人工生 命是研究能够展示自 然 界生 命系统行为 特征的人工 系统的 一间科 学， 它试图 在计算机、 机器人等人工媒体上仿 真、 合成和生物有 机体相关联的 一些 基本现象， 并研究和观察 “ 可 能的 生命现象”， 从而使人们能 够加深 理解 “ 己知的生命现象”。 元胞自 动机是人工生 命的 重要研究工具 和理 论方法分支， c h ris t 叩h er lang切 n 等人正是基于对 元胞自 动机的 深入研究 提出 和发展了 人工生命. 同时， 人工生命的发展又为元胞自 动机赋予了新的涵义， 元胞 自 动机模型得到科学家 们的重新认识和认可， 并在90年代又一次 成为 科学研究的前沿课题， 其理论和 方法得到进一步的提高。 元胞自 动机与其它的人工 生命研究方法有着很大的相 似性。元胞 自动机模型与神经网络、 遗传算法等其它人工生命方法一样，都是 基于局部的相互作用，来研究系统的 整体行为。 祸合元胞自 动机的发展又将元胞自 动机的 应用代入到 加密领域， 提供一种 更高效快捷并且更安全的对称加密 机制是目 前祸合元胞自 动机的主要 研究 方 向。 目 前椭圆曲 线加密 在国际 领域比 较受到重视，上 文提到美国n sa 已 经将其 作为美国 政府的战 略的一部分。 对椭圆曲 线加密的 研究 历史比 较长， 成果也 很 多。 而利用w eil 对来实现加密算法的思想由 于提出 较晚， 在国内 应用较少。 祸合元胞自 动机更是最近的新的 研究方向， 也主 要应用于对称加密和随机数的 产生， 如何将两者结 合起来实现一个高效安 全的 公钥加密体制是本文将要 研究 的重点。 ， . 3本 文的内容和结构安排 本文集中 研究了 基于 weil 对技术和祸合元 胞自 动机加密技术的公钥加密 体制， 并应用这种加密体制来实现机动节点间的 匿名双向 认证机制。 本论文结 硕士论文机动节点的匿名双向认证 构安排如下: 第一章介绍了 本文所研究的内 容、 研究 背景及意义，国内 外的 研究 现状和 论文结构安排。 第二章主要论述和总结了公钥密码体制的概念和相关理论，并且对比了 pk工 与ibe 异同点， 介绍了i be k e m / d em的概念， 同时总结了i be认证机制的发 展近况。 第 三章论述了椭圆曲线 密码学的 相关 概念， 如有限 域的知识， 射影坐标平 面等， 同时阐述了 椭圆曲 线密码 学的理论基 础和 双线性配 对的 概念性质 及理 论 实现。 第四章介绍了 元胞自 动机的 定义和分类，并 针对本文的 应用介绍了 祸合触 发元胞 自 动机的加密原理。 第五章提出了 基于祸合元胞自 动机和能11对的新型公钥 加密体制， 给出了 详细的 加密方案， 介绍了 密码学 界的安全性目 标 和攻击模型， 并证明了 本文提 出 的 这种新公钥加密体制是可以 抵抗选择密文 攻击的， 具有 工 nd一 c 以2安 全性 的公钥加密体制，并给出了相应的效率分析。 第 六章将第五章提出的 新公钥加密体 制， 应用于 机动节点匿 名双向 认证中， 介绍了 匿名性和基于身份双向 认 证的原 理， 然后给出了 本文构造的 机动节点匿 名双向 认证算法， 并对其正 确性进行证明。 最后给出 具体的实现过 程和仿真实 现。 第七章提出了 基于本文匿名 双向 认证机制的 机动节点匿名双向认 证模型， 给出了如何实现密钥分配和撤销的方案，以及如何定期更新密钥对的方案。 最后，对全文进行了 总结， 对以 后的 工作研究进行了 展望。 硕士论文机动节点的匿名双向认证 2.公钥密码体制 2. ， 公钥密 码体 制的 概念 传统密码体制所用的 加密密钥和解密密钥相同，或实质上等同，即从一个 易于得出另外 一个， 称其为单钥密码系统( 。 ne一 k ey cry p t osy st e m)或 对称密码 系统(sy m 翔 e t ric c ry p t osy st e m ) ， 加 / 解密双方须事先以 安全的方式 交换密钥。 而公钥密码系统的加/ 解密密钥不相同，从一个难于推出另一个，通信双方无 需事先交换密钥就可以 进行保密通信。 公钥加密方案e 和解 密方案d 中， 对于 每对加密密钥e 和 解密密 钥d ， 其中 加密密钥( 公钥) 公开为 大家 共享， 而解密密钥( 私钥 ) 只为 一个实 体私有。 a 和 b 要进行保密通信， a 使 用b 的公 钥将明 文加密后得到的密文发 送给b ， b 使用 自己 的私钥将密文解密恢复成明文. 如果从公钥计算私钥在计算上是不容易 的，那么公钥加密方案是安全的。 2. 2基本的公钥密码体 制 目 前多数公钥密 码体制都基于下面这些问 题构造的。 . 大整数分解 f ac( f a c t o r i z a t i o np r o b l e m ) 若己知二 大素数 p和 q ， 求 n=p o q 只需一次乘 法， 但若由n 求p 和q ，则是困 难性问 题。 离散对数问 题d l p ( d i s c r e t el o g a r i t 腼 pro b l e ln)设g 是由9 生成的 素 数q 阶 循 环 群， 对 于 任 意y o g 求x 。 凡使 得 扩= y 。 心 i f f i e 一 h e l l man 计算led 题c d h p ( c o 叩u t a t i o n a l d i f f i e 一 h e l l m an p r o b l e m ) 设 g 是 由 9 生 成 的 素 数q 阶 循 环 群 ， 对 于 a， b 。 凡 ， 给 定9，9 ， 9 ， 。 g，计 算 g 气 双线性d i f f i e 一 h e l l man 问 题b d h p ( b i l i n e ar d i f f i e 一 h e l l m a n pro b l e m ) 设gi， g z 为两个素数q 阶循环群，gl为加法群， gz 为乘法群， e : glx gz叶gz 为 双 线 性 对 ， 对 于 a ， b ， 。 。 式 ， 给 定 (p ， ap ， bp ， cp ) ， 计 算 e( 尸 ， p) * 还有一些其他困难 性问 题， 诸 如背包问 题， 二次剩余问题， 平方根问 题等。 下面介绍一些常见的基本公钥密码体制: ( 1)基于大整数分解的公钥密码体制 rsa 密码体制既可用于加密、 又可用于数字签名， 易懂、 易于实 现， 是目 前仍然安全并且被广泛应用的一种公钥密码体制。 它的安 全性基于上面提到的 硕士论文机动节点的匿名双向认证 大整数分解的困 难性。 密钥生成 先 选 取 两 个 保 密的 大 素 数p 和q ， 计 算n= p x q ， 帆 n) 二 (p一 1) (q 一 1) ， 其 中 必 ( ” ) 是n 的 欧 拉函 数 值。 选 一 整 数e ， 满 足1 e 必 ( n ) ， 且g c d ( 尹 ( n ) ， e ) 二 1 . 计 算d ， 满足d. 。 三 l mod 帆 心， 即d 是e 在模试拭 刃下的乘法逆 元， 因e 与帆 n) 互素，由模运算可知，它的乘法逆元一定存在。以 e ，n为公开钥， d ， n为 秘密钥。 加密 加密时首先将明 文比 特串 分组， 使 得每个 分组 对应的十 进制数小于n ， 即分 组长度小于1 09声 。 然后 对每个明 文分组m ， 作加密 运算: c 艺m r n o d n 解密 对密文分组的 解密运算为: m三 c d mo d n (2) 基于离散对数问题的公钥密码体制 eig sjna l 公钥密 码体制是t e ig ajnal 于 1 9 84年提出 的，在许多 协议中 广 泛使用.它的安全性是基于离散对数问题的困难性。 密钥生成 p 是 素 数 ， a 是 凡的 本 原 元 素 ， 夕 。 弓， 选 择 整 数a，满 足 0 。 p 一 2， 使 得a 口 . 刀 m o d p ， 其中p ，“，声 是公开 钥， a 是秘密 钥。 加密算法 选 择 随 机 数 k 。 凡 一 : ， 且 (k ， p 一 1 ) =l ， 明 文x 的 密 文 ek (x ， k) = 认，乃 )，其 中 yl = 矿mod p( 随 机 数k 被 加 密 ) 乃= x 尸mod p( 明 文 被 随 机 数k 和 公 钥p 加 密 ) 密 文由 上 述 两 部 分yl ，儿 级 连 构 成， 即 密 文c = yl ! 乃 解密算法 收到密文组c 后，计算 硕 士 论 文机动节点的匿名双向认证 dk (j，x， 乃 卜乃 汉) 一 ， m o d p 特点: 密文由明 文和 所选随 机数k 来定， 因而是非 确定 性加密， 一般称 之为 随机化( r and o m iz ed) 加密， 对同 一明 文山 于 小同 时刻的随机数k 小同而给出 小 同的密文。这样作的代价是使数据扩展一倍。 2 . 3 p k ! 与 旧e pki 为公钥基础设施， p ki是基于公钥密码技术的加密机制。在基于pki 的 公钥加密体制中，需要一个仲裁机构，或者说是一个权威的机构，它能为我准 确无误的 提供我们需要的 人的 公钥，即c ao 在p ki 中， 为了确保 用户的 身份及他所持 有密钥的正确匹配， 公开密钥系 统需 要一个值得信赖而且独 立的 第三方机构充当 认证中 心 ( c ertif icati on auth ori ty， 以) ， 来确认公钥拥有人的 真正 身份。认 证中心是 pki 的核 心， 有 了大家信 任的认 证中心， 用户才能 放心方便的 使用公 钥技术带 来的安 全服务。 在p ki系统中， 用户公 钥的生 成是一个随机数 生成的 过程， 或者说生 成的 公 钥含有一段随机成 分，因 此p ki系统需要 c a 来 实现用户与公钥的关联，通过发 放公钥证书的方式 来实 现这种关联需要很大的开 销， 尤其当用户量非常大的时 候。 在1 9 8 4 年， sh aln i rl zi 提出 了 另 一 种 公 钥 密 码 体 制 ， 他 使 用 任 意的 比 特串 来 做 公钥( 通常这些比特串与用户的身份相关) ，然后由私钥管理中心p kg为其生成 对应私钥， 并将其命名为 基于身 份的 加密体制工 b eo 基于身份的加密体制的优势在于它简化了管理中心的管理工作，简化了密 钥的管理过程。一般而言，工 be系统拥有如下性质: 1)用户公 钥是 他的身份信息( 或 者是从 身份信息变化而来) : 2)不需要公钥 目 录: 3)消息加密或 签名验证过程只需要接受者 或签名者的身份信息加上一些 系统参数 因此， i be在密钥分发等方面 远优于 p ki， 它只需 维护p kg产生的 认证的 公开 系统参数目 录， 这个开销 将远低于维护所有用户的 公钥目 录所需开 销. 基于身份的公钥系统 和基于 证书的公钥系统的 相同 之处有一: 1) 都属于 公开密钥体制，一 个公开密钥， 可以公 布: 另一个私有一密 钥， 由用户保存，严格保密。 2)都是公 钥用于加密，私钥 用于 解密: 或私钥用于签 名，公钥用于验证签 名。 3)已 知公钥， 无法计算出 私钥。 硕士论文 机动节点的匿名双向认证 4)已知公钥和密文，不能计算出明文。 5)系统的 安全性依赖于 大整数 分解、 离 散对数问 题、 椭圆曲 线 求解等数学 难题。 它们之间的区别在于以下几个方而: 1)在基于证书的系统中， 用户的id和证书绑定， 需要在验证了以的签名后 才能确 认. 在基于身 份的系 统中， 用户的 id可以 直接得到。 2)在基于证书的系统中，公钥和私钥作为一对密钥同时计算出来。在基于 身份的系统中，公钥和私钥都是由用户的功计算出来，用户的公钥决定私钥， 并且私钥可以在接收到加密消息 之前也可以 在之 后产生。 3)在基于证书的系统中， 用户的公 钥必须经过 ca中心的 签名， 才能 被其它 用户接受。 在基于身 份的 系统中， 用户的公钥 就是 id， 无需一个权威 机构签名. 4)在基于证书的系统中， 需要有一 个目 录来 存放用户的公钥 证书， 需 要保 持一个公共的证书服务器。 在 基于身份的系统中， 由 于 公钥直接由 工 d 计算得到， 无需单独的目录存放证书。 本文所构建的 公钥加密机制是基于ib e k 甜/dem的， 即 用密钥封装机制和数 据封装机制相结合来实现基于身份的加密机制。 所谓密钥封装机制就是将可以 用来 解密密 文的密 钥进行加密， 免 得因 用户持有真正的 密钥而缺乏安全性。 在 实际 应用中， 通常 使用这 种密 钥封装机制来加密能 够解密最终密 文的 对称密 钥， 以 此来增强破解对称密钥的 难度。 但是 在得到 安全性的同时， 通常也使 加、 解密方案 变的复杂代价昂贵。 如何找到效率更高的密 钥封装机制和数据 封装机 制，从而在 增强安 全性的同时尽 量少的 损失效率，是目 前研究的热点。 2 . 4l b e的发展和 i b e k e m i d e m s h 铆ir提出了 基于因子分解问 题住 f p)的 基于身份签名( i b s)机制。 随后， 一些基于身份的密码机制被提出 ， 这些机制大多 基于工 fp、 离散 对数问 题( d l p) 或二次剩余问题( q r p)， 但其安全性都没经过严格的形式化证明。 直到z o m年， 由 b o n e h 和fra n k l i n 使用对技术提出 了第1 个安 全且实用的基于身 份的 加密 ( ib e)机制， 并 用可证明安全性理 论证实在随机预言 机模型 下(r 哪) ， 它是可抵 抗不 可区分自 适应选择密文攻击的，即i n d 一 工 d-cca 安全的. 此后， 大量基于对 技术的工 b e ，ib s 以 及i baka机 制被提出 ，使用对技 术研究基于身份的密码学 在 学术界达到一个高潮 加密、 数字签名和密 钥协商 是设计一种密码学机 制最重要的3 个基本要 素. 解决 这3 个方面的问题成为 研究新的密码学机制的主 要工作. 在加密方面，主要是从提高安全性、效率和功能扩展展开的研究.l y rm在 硕士论文机动节点的匿名双向认证 文 献 1 刀 中 提出 了 一 种 认 证 的 工 be 机制 ， 提 供了 不 可 否 认 性 保 护. c an et ti 等 人 介 绍了一种 “ 选择身份( sld)” 的弱安全模型， 并在此模型下提出了一种non 一r om 的 ib e 机 制 l181 . 随 后 b on eh 和 b oy en 在 文 献 119 中 基 于 sl d 模 型 提出 了 两 种 有 效 的 ibe 机制， 在文献120 中 提出 另一种non 一r om 下安 全的 i be机制.最 近，一 种基 于文献120 】 的更有效的i be机制被w aters 提出 . 为了 解决i bc机制无 法应用于 大规 模网 络 环 境， ho rwit z 和 l y nn 在文 献 z1 1 中 最 早 提 出 了 层 次 化 基 于 身 份 加 密(h 工 b e) 的 概 念， 随 后 g en t ry 和 s i l ve rb erg 提 出 了 安 全 且 实 用 的 h i be 机 制 22， 该 机 制 减 少了 主服 务器的负 担， 并给出了一种在分级 情况下解决密 钥托管问题的 方 法 之后b oneh等人从安 全性和效率 两方面对h 工 be做了 进一步研究， 提出了 non -r 伽 下安 全的h 工 be机制和固 定密文长度的 h 工 be 机制. 在数字签名方 面， 则主要是在效率和功能 扩展上开展了大量 研究， 而针对 安全模型的研究却相对 较少. 第1 次 将对技术用于i bs机 制的是 s a k ai等人， 但 他们并没能给出有效的安全性分析. 继sh胡i r 在1 9 84年给出的一个基于整数分 解困 难性的 基于身份的签名方案后， 1 9 8 6 年shamir和f i at又提出了一 个基于 身 份的 签名 方 案 13 0 。 1 9 8 8 年 o h ta ， ok aluo to 提 出 了 一 个 f i at 一 sh aln ir 型 基 于 身 份 的 签名 方 案 131 】 ， 1 9 的 年 l ai h ， l ee 等 人 提出 了 一 个 基 于 e i g 朋 al 的 基 于 身 份 的 签 名 方 案 132 】。 19 91年 ch an g 和 li n 给出 了 一 个 基 于 r ab in 公 钥 密 码 系 统 的 基 于 身 份 的 签名方案3 3 。 在基于身份的群签名 方案方而，由 p ar k ， k i m 和w on在1 9 97年提出了第一 个 基 于 身 份 的 群 签 名 方 案 134 ， 但 是 这 个 方 案 效 率 不 高 ， 所 有 成 员 的 身 份 都 必 须 包含在群公钥中， 其群公 钥的 大小 和签名的 长度与群 成员的 数量相关. 2 0 02 年 p o p e s c u 在p a t e r s o n 方案的基础上， 提出了 一个高 效的 基于身份的群签名方案 135 1 . 20 03 年 c h en ， z h an g 和 k i m 提出 了 一 个 基 于 双 线 性 对的 基 于 身 份 的 群 签 名 方 案 11 6) ， 解 决了 基 于 身 份 的 群 签 名中 密 钥 托 管 的 问 题 (k ey 一 es cr 叶 pr obl em ) ， 该方案允 许密钥产生中 心k gc可以是不诚实的， 如果k gc假冒某 个群 成员签名， 那么该成员能够证明k gc是 不诚实的。 tan 和 liu 采用了 chen等人的密钥托管方 法， 也提出了 一个新的基于双线性对的基于身 份的 群签名方案. 2 0 04年c h en 等提出了 第一个可证明 安全的基于身份的群签名方 案【 3 刀 . 在密钥协商 方面， 主 要考虑的是效率和 功能扩展两方面， 几乎没有安 全模 型的 研究， 从而导 致大量机制存在安 全隐患， s lnar t 提出了 用w ell 对实 现 i b a k a. 同 时 s c o t t 在文 献 124 1 中 提出 t 用 t a t e 对 实 现 i a a 以. c h e n 和 k u d l a 在 文 献 123的 基 础上 提 出 了 不同 域 成员 之 间 实 现 密 钥 协 商 的 i ba ka协 议 125 】， s h i m 指出 s lnar t 提出的工 b a ka协议 存在一 个漏洞，并给出了一 种自 认为更有效更安全的 工 ba ka 协 议 12 6) . 然 而 ， su n 和 hsie h 却 指 出 s hi m 的 协 议 是 无 法 抵 抗 中 间 人 攻 击 的 硕士论文 机动节点的匿名双向认证 izn. 随 后， m cc u l l ag h 和 b ar re to 提 出 了 一 种 有 效的 密 钥 协 商 协 议 脚 1 ， 并 在 br 模型 下证明 是安全的 卿 】 . 但是， x ie却 指出 mb协议无法抵抗密钥 泄露攻击. c h oo 同时 也指出 m b 协议以 及x i e 修改 后的协议 也是不安全的， 近些年来，各国学者对基于身份的密码系统进行了许多研究，取得了丰富 的成果，许多各种类型的基于身份的加密和数字签名方案被相继提出. 双线 性对( b l l i near p ai ring) 在密码学中得到了 越来越广泛的应用，它己 经成为构造基于身份的密码系统的有力工具。双线性对起初是用于密码攻击 的，如代数曲线上的w eil 对和t ate 对，在椭圆曲线密码中有着重要应用.近些 年来越来越多的利 用双线性对的 基于 身份的加密和数字签名方 案被设 计出 来。 2001年由 bone h 和prankli n 利用椭圆曲 线的 双线性对设计出了 实 用的 基于 身 份 的 加 密 方 案 i b e ( i o- b a s e d 助 c r y p t i o n ) 1 10 这 是 第 一 个 高 效 且 可 证明 安 全的 基于身份的加密方案。实 用i be公钥 密码体制的 提出向 公钥密码学增添了 新的内 容. 还有一个是b oneh ， l y nn，shac h 朋提出 的基于双 线性对的签名方案 15， 这是 签 名 最 短 的 签 名 方 案 在基于 双线性对的 基于身份的 数字签名方案的研究方面: 2 0 00年 s a k a i ， o h g i s h i 和k a s a h ara 提出t 第 一个基于w e i l 对的基于身份的 签名方 案 1 1 1 ; 2 0 0 1 年后， p a t e r s o n 在文献 1 9 1 提出t 使用对技术的i b s 机制， 并给出t 一 个简短的安 全性讨论.一 种可证明 安全的 i bs机制被hes s 提出， 该机制被证明 能抵抗基于适应性 选择消 息和固 定id 的 存在性伪造攻击. 2002年pate rson提出了 一个更高效的 基于 双线性 对的 基于身份的签名方 案 11 21 ; 2 0 03年 有 3 个 可 证明 安 全的 基 于 双 线 性 对的 基于 身 份的 签 名 方 案 被 构 造 出 来。 yi 提 出了 一 个可 证明 安 全的 基 于 we il 对的 基 于 身 份的 签 名 方 案 l3 ， 它 基 于 w e l l 对和二次剩余的工 bs机 制， c ha和c h eon 提出 了另一 个可证明安 全的 基于 g ap dif fle 一 hel l m an群的基于身 份的 签名方案，同时给出了该机制在 r 晰 下能 抵 抗基于 适应性选择消息和固定id 的 存在性伪造攻击的安全性证明114 1 . c h en 等人提出了 一种不需要可信任p kg的i bs机制， 消除了 密 钥托 管问 题。 h ess 提出 了 一 个可 证明安 全的 基于双线性对的基 于身份的 签名 方案， 是这几个方案中效 率 最 高 的 方 案l5 1 。 而 ch 、 等 人 则 在 文 献 121 的 基 础 上 提出 了 安 全 的 层 次 化 基 于 身 份签名( hibs) 机 制 还有 许多各 种类型的 基于双线性对的 基于身份的 签名方 案被相继提出。 2 003 年c h en等人 提出了 一个基于双线性对的基于身份的群签名方案， z h ang 和 kim 提出了一个基于 双线性 对的基 于身份的盲签名和代理签名方案，随 后 xu ， zhang 和f eng 也提出 了一 个基于 双线性对的基于身份的代理签名方案， 等 等。 硕士论文机动节点的匿名双向认证 由 于双线 性对被成功地用于构造 基于身份的密 码系统， 极大地 推动了 这方 而的研究土作， 使得基于身份的加密 和数字签名方 案的设计和其相关的应 用研 究成为密码学的热点之一。 i b eke m /de m ， 是 使用用密钥封装 机制和数据封 装机制相结合来实现基于身 份的加密机制。kem /dem包括密钥封装机制和数据封装机制，所谓密钥封装机 制就是将可以用来解密密文的密钥进行加密， 免得因用户持有真正的密钥而缺 乏安全性; 而数据封装 机制， 就是使用某种 加密机 制 ( 通常是对称加密) 将明 文数据进行加密。在实际应用中， 通常使用一种基于身份的公钥加密机制作为 密钥封装机制， 然后用一 种高 效安 全的对称加 密机制来实 现数据封装加 密。 用 某种公钥加密机制来加密能够解密最终密文的对称密钥，以此来增强破解对称 密钥的难度。但是在得到安全性的同时，通常也使加、解密方案变的复杂代价 昂 贵。 如何找到 效率 更高的密钥封 装机制 和数据封 装机制， 从而 在增强 安全性 的同时尽量少的损失效率，是目前研究的热点. 而在本文中， 提出的认证加密机制是使用weil对加密技术最为密钥封装机 制，同时使 用祸合触发元胞自 动机 加密技 术作为数