基于IBE的群组加密技术研究

摘要

近年来面向群组的密码技术得到广泛而深入的研究，不同于传统的单发送者、单接收者的密码体制，群组密码体制可能包含一对多、多对一或多对多的形式，更适应越来越复杂的网络环境。简单的密钥共享方案并不适用于群组成员动态更新的情况。而且现今标准应用无法有效的支持群组加密，例如用户通过outlook发送群组加密邮件时需要一个一个地添加群组成员的个人数字证书。群组成员数量越多，用户操作越麻烦。同时，每个群组成员的个人证书中的公钥都要加密一次邮件信息，该操作存在重复且效率低下。如果群组成员加入群组时，用户又需要获取该新成员的数字证书。因此本文研究一个适合于在群组成员之间进行加密数据交换以及便于定期更新共享密钥的面向群组的密码系统，成功解决群组成员动态更新等问题，并将其应用到标准应用中。 本文设计了基于IBE（Identity Based Encryption，基于身份的加密）的群组密码系统，主要分为三个功能模块。首先，针对密钥泄露、标识的安全可靠以及用户所在群组关系维护的问题，本文设计标识与群组管理系统，使得用户可以注册安全的个人和群组标识以及注销泄露的私钥所对应的不可用标识，同时用户可以创建、加入、退出、管理、解散群组等；其次，针对群组成员动态更新、传输数据安全性以及密钥存储等问题，本文设计支持群组加密的IBE CSP（Cryptographic Service Provider，加密服务提供程序）完成群组加解密以及群组共享密钥自动更新的功能。最后，针对本地存储密钥的操作复杂以及CSP完成耗时的解密操作等问题，本文设计密码服务器模块和IBE CSP模块共同完成群组加解密功能，此时数据的解密操作在密码服务器上完成，CSP是标准应用调用密码服务器完成群组解密的入口。两种解密方式互相兼容，用户可以自行选择。由于大多标准应用并不支持IBE算法，且IBE没有类似证书吊销功能来应对密钥泄露的情况。因此，本文设计伪RSA数字证书将群组密码应用到标准应用中，并对群组标识加上时间策略和索引策略形成拓展群组标识来更新、恢复或者销毁密钥。 本设计具有如下的几个创新点：（1）开发一个适合于在群组成员之间进行加密数据交换以及便于定期更新共享密钥的面向群组的密码系统。由于群组共享密钥需要每隔一段时间被变更，这时，要求群组用户每隔一段时间去获取共享密钥并进行共享密钥安装配置将是一件非常麻烦的事情，此系统可以避免此类问题；（2）本文开发的群组密码系统被成功地应用到标准应用中，且方便用户使用，因此本设计具有代表意义。

目录

声明

第1章 绪论

1.1 课题来源

1.2 课题的研究背景和意义

1.3 国内外研究现状

1.4 本文主要研究内容和组织结构

1.4.1 本文主要研究内容

1.4.2 本文组织结构

第2章 问题分析与解决方案设计

2.1 问题分析

2.2 解决方案设计

2.3 本章小结

第3章 标识与群组管理系统设计与实现

3.1 系统整体结构

3.2 数据库设计

3.3 注册登录模块的实现

3.4 用户管理模块的实现

3.5 群组管理模块的实现

3.6 标识管理模块的实现

3.7 本章小结

第4章 支持群组加密的IBE CSP模块设计与实现

4.1 CSP模块的主要函数

4.2 针对个人标识的密码功能实现

4.2.1 密钥服务协议

4.2.2 个人密钥容器

4.2.3 密钥的导入和导出

4.2.4 个人标识的加密和解密过程

4.3 本地存储私钥的群组密码功能实现

4.3.1 密钥服务协议

4.3.2 群组密钥容器

4.3.3 组密钥的导入和导出

4.3.4 群组加密和解密过程

4.3.5 群组共享密钥的自动更新

4.4 本地不存储私钥的群组密码功能实现

4.4.1 群组密钥容器

4.4.2 组密钥的导出

4.4.3 群组加密和解密的过程

4.5 本章小结

第5章 密码服务器的设计与实现

5.1 密码服务器的设计

5.1.1 整体框图

5.1.2 相关交互的设计

5.2 密码服务器解密功能实现

5.3 本章小结

第6章 系统应用测试与安全性分析

6.1 系统安装

6.2 测试

6.3 安全性分析

6.4 本章小结

第7章 总结与展望

7.1 总结

7.2 展望

致谢

参考文献

攻读学位期间获得与学位论文相关的科研成果目录