（计算机应用技术专业论文）基于身份密码体制的研究.pdf

山东大学硕士学位论文 摘要 在传统的公钥密码体制中，用户的身份和公钥通常通过证书权威中心( c a ) 颁发的公钥证书来绑定，然而证书的存储和管理需要很高的计算和存储开销，管 理过程比较复杂，大大加重了系统负担。为了简化证书的管理过程，1 9 8 4 年 s h a m i r 引进了基于身份密码体制的概念。在这种密码体制中，用户的公钥是其 身份或从其身份信息中获得，而私钥则由一个称之为私钥生成器( p k g ) 的可信第 三方产生，不需要存放公钥或证书的目录，只需要维护一个p k g 产生的认证的 公开系统参数目录，从而简化了公钥的管理过程，减轻了系统负担。2 0 0 1 年， b o n e h 和f r a n k l i n 使用双线性对提出了第一个安全实用的基于身份加密( m e ) 方 案，此后，大量使用双线性映射函数的基于身份的加密和签名方案被提出。本文 主要围绕基于身份的密码体制展开研究。 首先，本文系统介绍了基于身份密码体制的基本概念及原理，概述其发展过 程和研究进展，对典型的基于身份加密和签名方案进行了介绍，并比较讨论了基 于身份的公钥系统和基于证书的公钥系统的异同。 其次，本文对基于身份的密码学系统中的匿名性进行了充分讨论，基于身份 加密体制的匿名性是当前密码学研究的一个重要内容。所谓匿名性是指敌手不能 区分用不同身份进行加密的同一则消息的密文，即密文不能泄露接收者的身份。 通过对许多典型的基于身份加密方案进行分析可知，在大多数方案中，敌手可以 构造测试等式测试出接收者的身份，而使得方案不具有匿名性。本文对b o n e h 和b o y e n 的基于身份加密方案进行改进，增加随机参数，使得构造测试等式不可 行，从而提出了一个新的具有匿名性的基于身份加密方案，简单高效同时可以解 决密钥托管问题。 第三，本文对基于身份广播加密( i b b e ) 进行了深入研究，广播加密( b e ) 提供 了一种在非安全信道中以便捷的方式来分发数字信息给用户的方法，在现实生活 中应用较为广泛。基于身份广播加密具有许多一般的广播加密所没有的优势。本 文通过对典型的广播加密方案的分析，将b o n e h 、g e n t r y 和h a m b u r g 的基于身 份加密方案扩展到广播加密上，提出了一个新的不使用对的基于身份广播加密方 山东大学硕士学位论文 案，在r a n d o mo r a c l e 下安全。分层的身份联结广播加密( h i c b e ) 同时具有广播 加密和分层的基于身份加密的特征，本文对此进行深入研究，采用b o n e h 、g e n t r y 和w a t e r s 构造广播加密方案的方法，将a t t a p a d u n g 、f u r u k a w a 和i m a i 方案进 行一般化扩展，给出一个改进的分层的身份联结广播加密方案；通过多次运行原 始方案实例，使得可处理的用户量增加，同时由于系统共享部分信息，新方案的 性能比原始方案有很大提高，实用性更强。 最后，本文给出了基于身份密码体制的几个具体应用。包括在邮件系统中的 应用，在电子商务中的应用和在即时通信协议中的应用。 关键词：基于身份加密；基于身份签名；匿名性；广播加密；基于身份广播加密 i i 山东大学硕士学位论文 a b s t r a c t i nt h et r a d i t i o n a lp u b l i ck e yc r y p t o s y s t e m , t h eb i n d i n gb e t w e e nau s e r si d e n t i t y a n dp u b l i ck e yi si m p l e m e n t e dt h r o u g had i g i t a lc e r t i f i c a t ei s s u e db yt h ec e r t i f y i n g a u t h o r i t y ( c a ) h o w e v e r , t h em a n a g e m e n to fd i 【酉t a l c e r t i f i c a t e sr e q u i r e sh i g h c o m p u t a t i o na n ds t o r a g e ，w h i c hm a k e st h ew h o l ep r o c e s sv e r yc o m p l e xa n d a g g r a v a t e st h es y s t e m sb u r d e n i no r d e rt os i m p l i f yt h ep r o c e s so fc e r t i f i c a t e m a n a g e m e n t ，t h ec o n c e p to fi d e n t i t y - b a s e dc r y p t o s y s t e mw a si n t r o d u c e df i r s t l yb y s h a m i ri n19 8 4 i ns u c hac r y p t o s y s t e m , t h ep u b l i ck e yi st h eu s e r si d e n t i t yo rt h e i n f o r m a t i o nd e r i v e df r o mt h eu s e r si d e n t i t y , a n dt h ep r i v a t ek e yi sg e n e r a t e db ya t r u s t e dt h i r dp a r t yc a l l e dp r i v a t ek e yg e n e r a t o r 畔g ) s o ，i to n l yn e e d sad i r e c t o r yf o r p u b l i cs y s t e mp a r a m e t e r s ，r a t h e rt h a nm a i n t a i n i n gp u b l i ck e yf o ra l lu s e r s s i n c e b o n e ha n df r a n k l i np r e s e n t e dt h ef i r s ts e c u r ea n dp r a c t i c a li d e n t i t y - b a s e de n c r y p t i o n b a s e do nb i l i n e a rp a i r i n g si n2 0 0 1 ，ag r e a td e a lo fi d e n t i t y b a s e de n c r y p t i o n sa n d s i g n a t u r e su s i n gb i l i n e a rm a p f u n c t i o n sw e r ep r o p o s e d i nt h i sp a p e rw ef o c u so nt h e r e s e a r c ho ft h ei d e n t i t y - b a s e de n c r y p t i o na n dt h em a j o rw o r ki sd o n eb yt h ef o l l o w i n g ： f i r s t l y , t h eb a s i cc o n c e p t s ，p r i n c i p l e sa n dt h er e s e a r c hr e v o l u t i o n o ft h e i d e n t i t y b a s e dc r y p t o s y s t e m a r ei n t r o d u c e di n t h i s p a p e r t h e ns o m et y p i c a l i d e n t i t y - b a s e de n c r y p t i o na n ds i g n a t u r es c h e m e sa r ei n t r o d u c e d a n dt h r o u g ht h e c o m p a r i s o n b e t w e e n i d e n t i t y - b a s e dc r y p t o s y s t e m a n dt r a d i t i o n a l p u b l i ck e y c r y p t o s y s t e m ，a l lo ft h e i rc h a r a c t e r i s t i c ss u c ha sa d v a n t a g e sa n dl i m i t a t i o n sa r e p r e s e n t e d s e c o n d l y , as y s t e m a t i ca n dc o m p r e h e n s i v ea n a l y s i sa b o u tt h ea n o n y m i t y , a n i m p o r t a n te l e m e n ti nt h er e s e a r c ho ft h ei d e n t i t y - b a s e dc r y p t o s y s t e m ，i sg i v e n t h es o c a l l e da n o n y m i t ym e a n st h a tt h ea d v e r s a r yc o u l dn o t d i s t i n g u i s ht h e c i p h e r t e x t s ，w h i c ha r ee n c r y p t e df r o mt h es a m em e s s a g eb yd i f f e r e n ti d e n t i f i e s t h a t i s ，t h ec i p h e r t e x ts h o u l dn o tl e a kt h ei d e n t i t yo ft h er e c e i v e r t h r o u g ht h ea n a l y s i so f s o m et y p i c a li d e n t i t y - b a s e de n c r y p t i o n s ，w er e a l i z et h a tm o s tt y p i c a li d e n t i t y - b a s e d i i i 山东大学硕士学位论文 e n c r y p t i o n sa r en o ta n o n y m o u sb e c a u s et h ea d v e r s a r yc a nc o n s t r u c tat e s t i n ge q u a t i o n t ot e s tt h ei d e n t i t yo ft h er e c e i v e r i no u rp a p e r , t h eb o n e ha n db o y e n si b es c h e m ei s m o d i f i e da n di m p r o v e db ya d d i n gr a n d o mp a r a m e t e r st om a k et h et e s t i n ge q u a t i o n i n f e a s i b l e ，a n dt h e nan e ws i m p l ea n de f f e c t i v ea n o n y m o u si d e n t i t y - b a s e de n c r y p t i o n s y s t e mi sp r e s e n t e d 谢la ne x t r aa d v a n t a g e ，w h i c hi ss o l v i n gt h ee s c r o wp r o b l e m t h i r d l y , a ni n - d e p t hs t u d ya b o u tt h ei d e n t i t y - b a s e db r o a d c a s te n c r y p t i o n i s c o n d u c t e di no u rp a p e r t h eb r o a d c a s te n c r y p t i o np r o v i d e sam e t h o dt od i s t r i b u t e m e s s a g e sc o n v e n i e n t l yt ou s e r si na ni n s e c u r ec h a n n e la n di sp o p u l a ri nt h ep r a c t i c a l a p p l i c a t i o n s s i n c et h ei d e n t i t y - b a s e db r o a d c a s te n c r y p t i o nh a sm a n ya d v a n t a g e st h a n t h en o r m a lb r o a d c a s te n c r y p t i o n ，w ee m p h a s i z et h er e s e a r c ho nt h ei d e n t i t y - b a s e d b r o a d c a s te n c r y p t i o na n de x t e n dt h eb o n e h ，g e n t r ya n dh a m b u r g s b es c h e m et oa n e wi d e n t i t y - b a s e db r o a d c a s te n c r y p t i o ns c h e m ew i t h o u tb i l i n e a rp a i r i n g s t h i s s c h e m ei ss e c u r ei nt h er a n d o mo r a c l et h r o u g ho u ra n a l y s i s a tt h es a m et i m e ，w e h a v ea ni n d e p t hs t u d ya b o u tt h eh i e r a r c h i c a li d e n t i t y - c o u p l i n gb r o a d c a s te n c r y p t i o n ( h i c b e ) ，b e c a u s ei th a sb o t hc h a r a c t e r i s t i c so ft h eb r o a d c a s te n c r y p t i o na n dt h e h i e r a r c h i c a li d e n t i t y - b a s e de n c r y p t i o n u s i n gt h em e t h o do fb o n e hg e n t r ya n d w a t e r s st h eb r o a d c a s te n c r y p t i o ns c h e m e ，a ni m p r o v e dh i c b es c h e m ei sc o n s t r u c t e d b yg e n e r a l i z i n gt h ea t t a p a d u n gf u r u k a w ai m a ih i c b es c h e m e t h i sn e ws c h e m e c o u l dh a n d l em u c hm o r eu s e r sb yr u n n i n gm a n yi n s t a n c e so ft h eo r i g i n a ls c h e m e m e a n w h i l e ，o u rn e ws c h e m ei sm o r oe f f e c t i v ea n dp r a c t i c a lb y 出撕n gi n f o r m a t i o n a m o n gt h ei n s t a n c e s f i n a l l y , s o m ea p p l i c a t i o n so ft h ei d e n t i t y b a s e dc r y p t o s y s t e ma r eg i v e ni n t h i s p a p e r , i n c l u d i n ga p p l i c a t i o n si nm a i ls y s t e m ，e c o i t i i i l e r c ea n di n s t a n tm e s s a g e k e y w o r d s ：i d e n t i t y - b a s e de n c r y p t i o n ；i d e n t i t y - b a s e ds i g n a t u r e ；a n o n y m i t y ； b r o a d c a s te n c r y p t i o n ；i d e n t i d r - b a s e db r o a d c a s te n c r y p t i o n 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：拯主之 e t 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：啦导师签 山东大学硕士学位论文 1 1 研究背景 第一章绪论 随着网络的迅速发展和应用，人类已逐步进入信息社会，信息作为一种重要 的资源，在社会生产生活中的作用越来越重要。电子商务、银行应用系统、电子 政务等信息化技术已迅速走进人们的生活。然而由于信息网络开放性的特点，在 信息的价值不断提升的同时，信息的安全性也遭受着日益严重的威胁。信息的窃 取篡改和假冒、黑客入侵、计算机病毒传播、网络犯罪等各种攻击手段，严重威 胁着人们的生活和社会的发展。信息安全问题已成为信息社会所关注的最重要的 问题之一。 信息安全的核心内容是保证信息的保密性、认证性、完整性和不可抵赖性。 信息的保密性保证信息内容不被未经授权的人获取；信息的认证性保证信息和信 息系统确实为授权者所用；信息的完整性保证信息在传输过程中不被篡改；信息 的不可抵赖性是防止行为人否认自己的行为。信息安全主要包括系统安全和数据 安全两个方面。系统安全一般采用防火墙，杀毒软件等措施进行防范；数据安全 则主要采用密码技术进行实现，密码技术已成为保障信息安全的核心技术。 应用于现实世界中的密码体制必然要考虑更多更复杂的因素，使得实际应用 的密码系统不断改善。1 9 7 6 年，d i f f i e 和h e l l m a n 1 j 指出密码学新方向，提出了 公钥密码学的概念，此后公钥密码学在各个领域得到了广泛的应用。为了简化传 统的基于证书的公钥密码体制中繁杂的密钥管理过程，s h a m i r 2 1 于1 9 8 4 年开创 性地提出了基于身份密码体制，近年来随着密码学研究的迅速发展，基于身份密 码体制已经成为一个重要的密码学研究方向。 在一些实际应用中，接收者匿名性与数据安全性具有同样重要的应用价值， 而大多数典型的加密系统本身不具有匿名性，因此通过对匿名性进行分析进而构 造匿名的密码系统成为密码学研究的重要内容。广播加密提供了一种在非安全信 道中以便捷的方式来分发数字信息给用户的方法，广泛应用于现实生活中，而基 于身份广播加密具有更好的性能优势，在基于身份密码学研究中具有重要的理论 意义和实用价值。 山东大学硕士学位论文 1 2 本文的主要工作 本课题关注于基于身份密码体制的理论研究，并将工作重点放在基于身份加 密方案的最新研究与应用上。本课题对基于身份加密方案最新研究进展中出现的 一些问题进行深入研究，提出了几个更好的解决方案。本文的工作及创新之处： 1 对基于身份的密码体制进行了综述。 比较和讨论了基于身份的公钥系统和基于证书的公钥系统的异同； 介绍了基于身份密码体制的发展过程和最新研究成果： 给出了基于身份密码体制的几种现实应用。 2 重点研究了基于身份加密体制最新研究中的匿名性问题，提出了一个新的具 有匿名性的基于身份加密方案。 介绍了基于身份加密方案匿名性的最新进展及应用； 对典型的基于身份加密方案进行了匿名性分析： 指出实现基于身份加密方案匿名性的关键所在； 提出了一个新的具有匿名性的基于身份加密方案，新方案的特点： 使用较为简单的方法实现了匿名性； 进行了较为充分的安全性分析，新方案在选择身份攻击模型下安全； 在一定程度上解决了密钥托管问题： 效率等同于一般的基于身份加密方案，相对于已有的具有匿名性的基于 身份加密方案，效率明显提高。 3 对基于身份广播加密方案进行深入研究，提出了一个新的不使用对的基于身 份广播加密方案。 讨论了基于身份广播加密研究的最新研究成果及主要研究方向； 对典型的基于身份广播加密方案进行了介绍： 提出了一个新的不使用对的基于身份广播加密方案，新方案是抗合谋攻击安 全的。 4 对分层的身份联结的广播加密进行研究，提出了一个改进的分层的身份联结 的广播加密方案，该方案是对原始方案的一般化扩展，在不降低安全性的情 况下，提高了效率，同时具有实用性更强的优势。 2 山东大学硕士学位论文 1 3 本文的组织安排 本文包括六个章节。第二章对基于身份密码体制进行了较为全面的理论综 述；第三章对基于身份加密方案的匿名性进行研究，并提出了一个匿名的基于身 份加密方案；第四章系统介绍了基于身份广播加密，在不使用双线性对的情况下 给出了一个基于身份广播加密方案，第五章对分层的身份联结广播加密进行研 究，给出了一个改进的分层的身份联结广播加密方案：第六章简单介绍了基于身 份加密体制在不同系统中的应用：最后对整个工作进行了总结并对进一步的研究 工作进行了展望。 3 山东大学硕士学位论文 第二章基于身份密码体制的研究 1 9 8 4 年s h a m i r 提出了基于身份密码体制的概念，在这样的体制中，用户的 公钥通过用户的身份信息直接计算出来，不需要像传统的公钥密码体制那样保存 每个用户的公钥证书，从而避免了使用证书带来的存储和管理上的高昂开销，简 化了公钥的管理过程，减轻了系统负担。自从2 0 0 1 年b o n e h 和f r a n l d i n t 3 1 禾l j 用椭 圆曲线上的双线性对提出s h a m i r 意义上的基于身份加密体制之后，基于身份密 码体制得到了广泛的发展和应用。 2 1 基于身份密码体制的提出动机 2 1 1 密钥管理 公钥密码学的出现是整个密码学发展历史中一次伟大的革命。与只使用一个 密钥的传统对称密码不同，它使用两个在计算上不能互相导出的密钥( 分别称为 公钥和私钥) ，这在消息的保密性、密钥分配和认证领域都有着重要的意义。 公钥密码的主要作用之一就是解决密钥分配问题。表面上看，公钥密码的特 点就是公钥可以公开，因此如果有像r s a 这样为人们广泛接受的公钥算法，那 么任一通信方可以将他的公钥发送给另一通信方或广播给通信各方。比如可以将 公钥附加在要发送的消息之后。这样虽然比较方便，但任何人都可以伪造这种公 钥的公开发布。也就说，某个用户可以假冒是用户a 并将一个公钥发送给通信 的另一方或广播该公钥，在用户a 发现这种假冒并通知其他各方之前，该假冒 者可以读取所有本应发送给a 的加密后的消息，并且可以用伪造的密钥进行认 证。 如果将公钥放在一个动态可访问的由可信的实体或组织负责维护和分配的 公钥目录中则可以获得更大程度上的安全性，但是这样也存在缺点，一旦攻击者 获得或计算出目录管理员的私钥，就可以传递伪造的公钥，因此他可以假冒任何 通信方，以窃取发送给该通信方的消息。另外，只要用户与其他用户通信，就必 须向目录管理员申请对方的公钥，这样目录管理员就成为系统的瓶颈，管理员所 4 山东大学硕士学位论文 维护的、含姓名和公钥的目录也容易被篡改。 使用证书的方法最早由k o h n f e l d e r 提出。通信各方使用证书来交换密钥而不 是通过目录管理员。在某种意义上，与直接从目录管理员处获得密钥的可靠性相 同。证书包含公钥和其他的一些信息，由证书管理员产生，并发给拥有相应私钥 的通信方。通信一方通过传递证书将密钥信息传递给另一方，其他通信各方可以 验证该证书确实是由证书管理者产生的。而私钥的泄密就如同信用卡丢失一样， 卡的持有者会注销信用卡号，当然只有在所有可能的通信方均已知旧的信用卡已 经过时的时候，才能保证卡的持有者的安全。然而证书的管理过程过于复杂，在 使用一个用户的公钥之前，人们需要验证其证书是否正确、合法、有效，其结果 是需要大量的存储空间和计算开销来存储和验证众多用户的公钥证书。 为了简化证书管理过程，1 9 8 4 年s h a m i r 引进了基于身份密码体制的概念。 系统中不需要证书，使用用户的身份信息如姓名、p 地址、电子邮件地址等作 为公钥，私钥由一可信的第三方p k g 产生。在这样的密码系统中，通过使用通 信对方的身份信息，甚至在通信对方从p k g 获得私钥之前，通信方就可以给通 信对方发送一个加密的消息。 2 1 2 基于身份与基于证书公钥系统的比较 基于身份密码系统使得用户的公钥能够通过用户的身份信息直接计算出来， 不需要保存每个用户的公钥证书，避免了使用证书带来的存储和管理开销的问 题，简化了基于证书的密码系统繁琐的密钥管理过程。 基于身份的公钥系统和基于证书的公钥系统的相同之处： ( 1 ) 都属于公钥密码体制，公钥可以公布，私有密钥由用户自己严格保密。 ( 2 ) 都是公钥用于加密，私钥用于解密；或者私钥用于签名，公钥用于验 证签名。 ( 3 ) 己知公钥，无法计算出私钥；已知公钥和密文，不能计算出明文。 ( 4 ) 用户的身份都需要认证，在传统基于证书密码体制中，用户需要向证 书权威( c a ) 证实自己的身份：而在基于身份密码体制中，用户需要向p k g 证实 自己的身份。 ( 5 ) 系统的安全性依赖于大整数分解、离散对数求解、椭圆曲线离散对数 山东大学硕士学位论文 求解等数学难题。 它们之间的区别主要存在于以下几个方面： ( 1 ) 用户身份信息的获取方式不同。在基于证书的系统中，用户的身份信 息和证书绑定，需要在验证了c a 的签名后才能确认；而在基于身份的系统中， 用户的身份信息可以直接得到。 ( 2 ) 密钥生成过程不同。在基于证书的密码体制中，用户的私钥和公钥同 时产生，由用户首先选取私钥，然后通过一个从私钥空间映射到公钥空间的有效 单向函数生成公钥；在基于身份密码体制中，用户的公钥是已经被公开的用户的 身份信息或从身份信息直接得到，私钥由p k g 根据公钥使用自己的管理密钥生 成，用户的公钥决定私钥，并且私钥可以在接收到加密消息之后需要解密时生成。 ( 3 ) 公钥获取方式和保存方式不同。在基于证书的系统中，要获取用户的 公钥，必须先获得用户的证书，证书中包括了c a 对用户公钥的签名：在基于身 份的系统中，用户的公钥就是用户的身份信息或直接从身份信息中获得，不需要 任何人对公钥进行签名。在基于证书的系统中，需要有一个目录来存放用户的公 钥证书，需要保持一个公共的证书服务器；在基于身份的系统中，由于公钥直接 从用户的身份信息得到，不需要单独的目录。 2 2 基于身份密码体制的概念模型 2 2 1 基于身份加密方案的概念模型 在基于身份加密方案中，用户的公钥来自于他的身份信息，私钥由p k g 为 其产生。只要拥有接收者的身份信息，发送者就可以知道接收者的公钥，从而可 以加密一条消息，使之以密文的形式在网络上安全地传输。接收者从p k g 获取 自己的私钥，使用私钥对密文解密获得消息。 一个基于身份加密( m e ) 方案形式化为以下四个算法：系统建立，私钥提取， 加密和解密： 系统建立( s e t u p ) 输入一个安全参数k ，返回系统参数p a r a m s 和管理密钥m a s t e r - k e y 。系统 参数包括有限的消息空间m 的描述和有限的密文空间c 的描述。该算法由p k g 6 山东大学硕士学位论文 运行，公开系统参数p a r a m s ，保存管理密钥m a s t e r k e y 。 输入系统参数p a r a m s ，管理密钥m a s t e r 一切和用户身份i d 0 ，l ，返回 一个对应的私钥d ，此处i d 是一个任意的字符串，用为公钥，d 是对应于身份1 1 9 的解密私钥。即私钥提取算法是为给定的公钥提取一个私钥。该算法由p k g 完 成，并通过安全的信道将d 返回给用户。 加密( e n c r y p t ) ： 发送者输入系统参数p a r a m s ，用户身份肋和消息m m ，输出密文c c ， 并将密文发送给接收者。 解密( d e c r y p t ) ： 接收者输入系统参数p a r a m s ，密文c c 和私钥d ，获得消息m m 。 算法必须满足正确性约束条件：对于给定的公钥身份1 1 9 和由密钥提取算法 计算出的对应的私钥d ，使用私钥d 能够从用公钥身份i d 加密的密文中正确解 密出密文相对应的消息。即：v m m ：d e c r y p t ( p a r a m s ，c ，d ) = m ，其中 c = e n c r y p t ( p a r a m s ，i d ，m ) 。 2 2 2 基于身份数字签名方案的概念模型 数字签名是日常生活中手写签名的电子对应物，广泛应用于电子商务、电子 政务、电子银行等网络安全领域，是其关键技术之一，也是当前密码学研究的一 个重要内容，有着广阔的应用前景。 基于身份数字签名( m s ) 方案是在基于身份密码体制下实现的数字签名，在传 统的基于证书的数字签名体制下，验证者若要验证签名人的签名，首先要获取签 名人的证书，通过证书权威( c a ) 的签名来验证签名人的身份并获得签名人的公 钥，然后使用该公钥验证签名的有效性。在基于身份的签名方案中，验证者可以 通过获取签名人的身份信息得到其公钥来验证签名人的签名，简化了处理过程。 基于身份数字签名方案形式化为以下四个算法：系统建立，私钥提取，签名 7 山东大学硕士学位论文 和验证： 系统建立( s e t u p ) 2 输入一个安全参数k ，返回系统参数p a r a m s 和管理密钥m a s t e r 一切；系统 参数包括有限的消息空间m 的描述和有限的签名空间的描述。该算法由p k g 运行，公开系统参数p a r a m s ，保存管理密钥m a s t e r k e y 。 私钥提取( e x t r a c t ) ： 输入系统参数p a r a m s ，管理密钥m a s t e r k e y 和用户身份i d o ，1 ) 。，返回 一个对应的私钥d ，此处i d 是一个任意的字符串，用为公钥，d 是对应于身份i d 的签名私钥。该算法由p k g 完成，p k g 通过安全的信道将d 返回给用户。 签名( 瓯钞) ： 输入一个安全参数，、系统参数p a r a m s 、签名人国的私钥d 以及消息 m m ，输出对消息m 的签名仃，该算法由签名人实现。 验证( v e r v y ) 输入系统参数p a r a m s 、签名人身份仍、消息m m 和签名仃，输出签 名验证结果1 或0 ，代表签名是否有效，该算法由签名验证者完成。 2 3 基于身份密码体制的安全模型 2 3 1i b e 安全模型 1 适应性选择密文攻击安全模型 选择密文攻击0 n o c c a ) 安全对于一个公钥加密方案来说是一个安全性的标 准的概念，自然要求基于身份加密方案也要满足此安全性。但当敌手攻击一个用 户公钥为身份i d 的基于身份的系统时，敌手可能已经拥有了他所选择的用户身 份i o , ，i d ：，i o n 对应的私钥。在这样的攻击下，系统应该仍是安全的。因此， 选择密文安全的定义必须能够允许敌手获得其所选择的身份皿( 被攻击的国除 外) 对应的私钥。对于一个基于身份加密方案，如果在下面挑战者和敌手彳的游 8 山东大学硕士学位论文 戏中，不存在敌手彳在多项式时间内以一个不可忽略的概率优势赢得游戏，则该 方案是抵抗适应性选择密文攻击( i n d - i d c c a ) 安全的。 游戏过程： 建立：挑战者输入一个给定的安全参数k ，运行系统建立算法，并将产生的 系统参数p a r a m s 返回给敌手，保密管理密钥m a s t e r k e y 。 阶段1 - 敌手发起询问g l ，q 栅，其中吼是下面的一种询问： 私钥提取询问 挑战者运行私钥提取算法，产生对应于皿的私 钥d 。，并返回给敌手。 解密询问 挑战者运行私钥提取算法，产生对应于皿的私钥 吐，然后运行解密算法，用吐解密密文g ，并将对应于g 的消息明文返 回给敌手彳。 这些询问是具有适应性的，即每个询问吼都可以依赖于之前的对询问 9 1 ，q h 的响应。 挑战：一旦敌手决定阶段l 结束，就输出他要挑战的两个等长的明文 m 。，m 。m 及身份d ，唯一的限制就是国不能出现在阶段1 中的任何私钥 提取询问中。挑战者随机选择一个比特值b o ，1 ) ，计算密文 c = e n c r y p t ( p a r a m s ，i d ，m 6 ) ，并将密文c 返回给敌手。 阶段2 ：敌手继续发起更多询问g 。+ l ，吼其中g | 是下面询问之一： 私钥提取询问 要求皿四，挑战者响应过程同阶段l 。 解密询问 要求 ， 挑战者响应过程同阶 段1 。 同阶段l 一样，这些询问也可以是具有适应性的。 猜测：最后，敌手输出猜测6 o ，1 ，如果6 = b 。，则敌手赢得游戏。 敌手彳在给定安全参数k 的前提下赢得游戏的概率为 9 山东大学硕士学位论文 彳叽 ) = lp r b = 胡一去l 。 二 2 适应性选择身份选择密文攻击安全模型 对于基于身份的加密方案，b o n e h 和f r a n k l i n 定义了上述的i n d - i d c c a 安 全模型，在他们的模型中，敌手允许适应性地选择要攻击的公钥。c a n e t t i ，h a l e v i 和k a t z l 4 , 5 1 给出了一个较弱的安全性概念，敌手需要预先提交要攻击的公钥身份， 我们称此模型为适应性选择身份选择密文攻击( i n d - s i d - c c a ) 安全模型。更精确 地，定义为下面的游戏过程： 初始化：敌手输出一个他要挑战的身份1 d 。 建立：挑战者运行系统建立( s e t u p ) 算法，并将系统参数p a r a m s 给敌手，自 己保密管理密钥m a s t e r k e y 。 阶段l ：敌手发起询问q ，g 。，其中吼是下面的一种询问： 私钥提取询问 要求皿1 d 。并且皿不是仍。的前缀，挑战者 运行私钥提取算法产生对应于公钥以的私钥4 ，并将盔返回给敌手。 对身份或任何四前缀的解密询问 挑战者运行私钥提取算 法产生对应于1 d ( 或所要求的相关前缀) 的私钥d ，然后使用私钥d 运 行解密算法解密密文c f ，并将明文返回给敌手。 这些询问是适应性的，即每个询问g ，都可以依赖于对之前询问g ，q 的响 应。 挑战：一旦敌手决定阶段l 结束，就输出他要挑战的两个等长的明文 m 。，m 。m 。挑战者随机选择一个比特值b 0 ，l ，计算挑战密文 c = e n c r y p t ( p a r a m s ，d ，m 6 ) ，并将c 作为挑战返回给敌手。 阶段2 ：敌手发起另外的询问g 历+ ，g 。，其中吼是下面询问之一： 私钥提取询问 要求i d , 1 d 并且皿不是凹。的前缀， 挑战者 响应过程同阶段1 。 1 0 山东大学硕士学位论文 对于国或仍任何前缀的解密询问 挑战者响应过程同阶 段1 。 同阶段l 一样，这些询问也可以是适应性的。 猜测：最后，敌手输出猜测6 0 ，l ，如果b = b 。，则敌手赢得游戏。 1 敌- t - a 在攻击方案善时赢得游戏的概率为彳叱，_ 爿p r 【6 = 6 卜去i o 对于一个基于身份加密方案或分层基于身份的加密方案孝，如果在任何t - 时 间内，上述游戏中的敌手彳进行了最多g 次私钥提取询问和g c 次解密询问后， 赢得游戏的概率4 也，一 h a s h 函数询问：挑战者计算请求输入的h a s h 函数值，并把该值返回给彳。 私钥提取询问：对于给定的身份i d ，挑战者运行e x t r a c t 算法计算私钥， 并将对应于身份i d 的私钥返回给彳。 签名询问：对于给定的身份仍和消息m ，挑战者运行s i g n 算法计算签 名，并将获得的签名返回给彳。 a 输出( i d ，m ，仃) ，其中国为身份，m 为消息，仃是签名，并满足四和 山东大学硕士学位论文 ( 皿，m ) 不能是之前进行自j e x t r a c t 算法和s i g n 算法的输入。如果仃是身份肋 对消息m 的有效签名，则彳赢得该游戏。 2 4 基于身份密码体制的发展 2 4 1i b e 发展过程及研究现状 1 9 8 4 年s h a m i r 提出了i b e 的概念，但没有给出具体的加密方案。1 9 8 7 年 t a n a k a 基于离散对数问题和大整数的分解问题提出一个修改的i b e 实现方案1 6 1 ， 并引入了门限的概念来解决该方案不抵抗合谋攻击的问题。1 9 8 9 年t s u j i 和i t o h m 使用e l g m a l 公钥密码系统，提出了一个基于离散对数问题的i b e 方案。 1 9 8 4 年到2 0 0 1 年这段时间虽然提出了许多i b e 方案，但是第一个真正实用 的i b e 方案直到2 0 0 1 年才由b o n e h 和f r a n k l i n f 3 】提出，该加密方案使用双线性 对进行构造，基于双线性d i m e h e l l m a n 假设，在r a n d o mo r a c l e 下抵抗适应性 选择密文攻击安全。此后，双线性映射函数成为构造基于身份密码系统的有力工 具，大量的使用双线性映射函数构造的i b e 方案被提出。但它有一个很大的缺点 就是计算效率较低，成为阻碍基于双线性对的密码系统走向实用的最大障碍。同 年，c o c k s 8 】在不使用双线性映射函数的情况下，基于二次剩余假设提出了另一 个i b e 方案，但是依据带宽的要求，该方案非常低效，不实用。不使用双线性映 射函数构造安全实用的i b e 方案成为当时的一个开放性问题。 在一般的i b e 系统中，p k g 要产生私钥，安全传输私钥，负担过重，而且 p k g 知道私钥就可以解密任何用户的消息，即存在密钥托管问题。为了降低p k g 的负担，分层的i b e 的概念首次由h o r w i t z 和l y n n t 9 】在2 0 0 2 年提出。同年， g e n t r y 和s i l v e r b e r g t l 0 1 提出了一个安全实用的分层的i b e 方案；l y n n 【1 1 】提出了 一个提供不可否认性的可验证的i b e 方案，该方案在b o n e h 和f r a n k l i n m 方案的 基础上修改而成，效率较高。 上述i b e 方案的安全性分析一般都是在r a n d o mo r a c l e 下进行的，2 0 0 3 年， c a n e t t i 、h a l e v i 和k a t z l 4 1 i j i 入了安全性较弱的适应性选择身份选择密文攻击安 全模型并提出了一个i b e 方案，在其方案安全性证明中无r a n d o mo r a c l e ，对于 不使用r a n d o mo r a c l e 的一些安全性分析我们有时又称之为标准模型下的安全性 1 2 山东大学硕士学位论文 分析。同一作者在文献 5 】中指出使用任何选择明文攻击安全的i b e 方案可以构 造选择密文攻击安全的i b e 方案，并给出了一个具体的i b e 系统。但c a n e t t i 、 h a l e v i 和d ”】把身份视为一个个字节的字符串，导致他们的系统对于身份中 的每个字节要求一个双线性映射的计算，效率不高。b o n e h 和b o y e n 1 2 】提出了 有效的i b