一种基于公钥自证明认证加密方案

第 1 页 共 4 页 一种基于公钥自证明认证加密方案一种基于公钥自证明认证加密方案 摘要针对基于认证证书的数字签名方案 中公钥集中保存 系统容易受到主动攻击的缺点 提 出了一种新的基于公钥自证明的认证加密方案 该方 案中用户匿名注册 并获得由用户与 CA 共同产生的 公钥证明 可以根据用户公钥证明推导其公钥 通信 双方的公钥认证与消息签名结合在一起 由消息接收 者在认证签名 恢复消息时完成公钥认证 因而减少 了存储空间 通信量和计算量 关键字数字签名公钥 证书认证加密公钥自证明 p 和 q 使 p 2p 1 和 q 2q 1 其中 p 和 q 也是素数 然后计算 n p q 及其欧拉函数 然后选择一个随机整数 e leg g 是 n p q 的基元 还公布一个单向 hash 函数 h CA 的秘密参数 p q p q 以及 d CA 的公开参数 e n g 和 h 用户注册阶段为 了使向 CA 注册的用户获取的公钥证书 而 CA 不知道 用户的私钥 因此用户公钥的分发不能简单地由 CA 产生颁布 同时也为了用户身份的匿名要求 对 CA 也不能暴露 因此公钥证书的产生要由用户与 CA 共 同协商完成 把这个注册过程称之为用户注册协议 步骤 1 用户 UA 计算 hA h 其中 IDA 代表 UA 的身 第 2 页 共 4 页 份标识 且对 CA 保密 UA 以匿名的身份 hA 向 CA 提 出注册申请 步骤 2 CA 检查核实用户 hA 的身份 若 hA 通过身份检查 则 CA 计算 rA g dmodn 将 rA 传送给 UA 步骤 3 UA 收到 rA 后 任选一个随机数 作为私钥 计算 将 vA 传送给 CA 步骤 4 CA 计算 则将 CA 作为 CA 颁发的公钥证书 并将 CA 传送给 UA 步骤 5 UA 接收到 UA 发送的 CA 后 计算 同时 验证等式是否成立 若成立 则证明在传输过程中参 数未被篡改 CA 是 CA 的有效公钥签名 否则 签名 无效 上述注册过程 只有 CA 才能颁发 UA 的公钥的 证明 因为在注册过程中 CA 使用私钥对 UA 在协议 交互过程中产生的一些特定信息进行签名 任何人若 不知道 CA 私钥 是无法伪造的 其安全性程度高 如果攻击者企图获取 UA 的私钥 那么他将面临 求解离散对数的困难 如果攻击者企图伪造 CA 的公 钥证明 那么他将面临求大素数的因子分解的困难 签名生成阶段假定用户 UA 对消息 M 的签名 并将签 名的消息传递给指定的接收者 UB 消息 M 签名生成 过程如下 步骤 1 UA 向 UB 发送要进行签名的请求 并将 CA hA 传送给 UB 步骤 2 UB 接收到 UA 的签名 请求 将 CB 传送给 UA 步骤 3 UA 接收到 UB 发送 的 CB 后 计算 然后选择一个随机数 k 进行数字签 第 3 页 共 4 页 名 步骤 4 UAUB 消息恢复验证阶段 UB 步骤 3 验证消息等式 若消息验证等式成立 则接 受这次签名 这个消息恢复验证的过程同时也实现对 UA 和 UB 身份的双向认证 如果消息是 UA 的签名 则 UB 使用 UA 的公钥验证签名 并用自己的私钥解 密恢复消息 实现双向的身份认证 消息恢复等式的 正确性证明如下 同时如果 UB 恢复的消息 M 是正确 则有消息验证等 式成立 3 安全性分析攻击者不可能伪造 CA 的公钥签名 CA 为用户 UA 的公钥签名时使用了私钥 任何攻击者不 知道 UA 的公钥是不可能伪造 CA 的签名 因为 只有 CA 拥有私钥 能产生有效的公钥证明 而攻击者要 想获取 CA 的私钥 将面临大素数的因子分解困难 CA 可以伪造公钥证明 但一个用户有两个合法的公 钥证明 则证明 CA 的不可信赖性 攻击者在不知道 UA 的私钥的情况下 伪造一个合法的签名是的不可 能性 攻击者必须计算用户的私钥 XA 并且截获 UB 的公钥的证明 CB 才能假冒 UA 进行签名 而攻击者 要想获取 UAUB 的私有密钥 xB 因此他无法根据消息 恢复方程求解得到 M 也就是说只有指定的消息接收 第 4 页 共 4 页 者 UB 才可能求解得到 M 他与消息发送者之间的相 互确认是通过用户公钥的自认证协议实现的 消息密 钥 K 可以多次使用 对于不同的消息 M 和 M1 r2 和 s 都不相同 攻击者不能根据签名等式分析得出签名 者的私钥 4 方案的比较所提出的基于公钥自证明的 认证加密方案是根据 Girault 的公钥自证明原理 在 Tsengyuh Min 等人的自证明方案的基础上进行设计 的 同时根据文献 7 中对 Tsengyuh Min 方案的缺点 分析 提出的一种更安全的公钥自证明方案 首先 本方案中 CA 对用户的公钥签名时有效引入 CA 的私 钥 解决了攻击者可以假冒 CA 产生有效公钥认证的 问题 在 Tseng 的认证加密方案 CA 对用户公钥的 证明没有使用 CA 的私钥 攻击者只要知道 CA 的签名 等式 就可以假冒 CA 的签名 而的认证过程引入了 CA 的私钥 由于攻击者不知道 CA 的私钥 就不能产 生有效的签名 只有 CA 才能使