无证书的密码算法和代理密码算法的设计及分析

摘要

无证书公钥密码是处于传统公钥密码与基于身份的密码系统之间的一种密码学.与传统公钥密码系统相比，无证书公钥密码的公钥不需要通过认证来保障其有效性，这样就避免了传统公钥密码存在的许多相关的问题.从另一个角度来考虑，无证书公钥密码确实也必须依赖于可信第三方(TTP)的存在，从这一方面来看，无证书密码系统和基于身份的密码系统有更多的相似之处.但是，无证书公钥密码系统却解决了基于身份密码系统遗留的密钥托管问题，因为无证书公钥密码系统中，用户用来进行密码操作的密钥是由两部分构成的：一部分是由密钥生成中心(KGC)根据用户的身份信息计算得到的，KGC是知道这部分密钥的；另一部分是由用户自己选择的，所以KGC是不可能获取的，这样就限制了KGC的一部分能力。 本研究提供了一种更实用的模型被。这种模型也是包括七个算法：系统建立、设定秘密值、设定公钥、部分私钥提取、设定私钥值、加密和解密。这七个算法的排列顺序是和前面的定义不同的，这样排列，就可以使得用户的公钥可以作为部分私钥提取算法的其中一个输入参数.那么，即使偷听者获取到了通信通道中的信息，由于他不能得到和这个部分私钥相对应的用户的秘密值，他仍然无法冒充用户进行任何的密码操作.从另一方面来看，如果KGC通过用自己选择的公钥代替用户的公钥来冒充用户进行密码操作，那么用户就可以公布他的部分私钥来揭露KGC，这样，这个新的模型就可以使得无证书的密码算法达到3级可信任水平，而且，用户和KGC之间的通道可以是公开的，这样就避免了“鸡和蛋”的两难问题。 作为本文的第一个结果，我们首先在第三章里分析了两个无证书的密码算法：一个是无证书的加密算法，该算法声称在标准模型下是抗两种型号的攻击的，但是据我们分析该算法在密钥代替攻击下是不安全的，即任何一个外部攻击者都能够选择可以验证有效的公钥来代替原有的合法公钥，从而轻易的解密在此公钥下加密所得的密文；另外一个是无证书的签名算法，我们发现该算法不能抵抗恶意的KGC攻击，即使KGC无法得到用户的秘密值，他仍然可以通过设定特殊的系统参数来构造用户的私钥.这是基于Waters的无证书的密码算法所共同面临的问题。然后，基于上面的比较实用的模型，我们设计了-个有效的无证书加密算法，我们的算法具有下列比较好的性质： ·如果Decisional Truncated q-ABDHE问题是困难的，那么我们的无证书的加密算法被证明是标准模型下抗型号I攻击者适应性选择密文不可区分的。 ·在决定双线性Diffie-Hellman问题是困难的假设下，我们的无证书加密算法被证明是标准模型下抗恶意的KGC适应性选择密文不可区分的。 ·我们的无证书加密算法可以达到Girault的3级可信任水平。 ·在我们的算法里，KGC和用户之间的通信通道是不需要保密的。 ·比较于以前的标准模型下的无证书的加密算法，该算法具有较短的系统公钥 ·在B日+签名算法是存在不可伪造的情况下，我们的新的无证书的签名算法是标准模型下抗恶意的KGC伪造攻击的。 基于以上的签名算法，本研究构造了一个常数大小的群签名算法，不同于以往由基于身份的签名算法直接转变而来的群签名算法，我们的群签名算法是在标准模型下抗恶意的群管理者攻击的，而且由同一个签名者得到的群签名是不可连接的，并且此群签名算法也同时满足CCA匿名性和强的开脱性。 另外一种就是匿名代理签名算法：匿名代理签名算法保护代理签名者的隐私，因为验证者无法从代理签名中辨别出签名者的身份.但是为了限制代理签名者滥用代理的权力，安全的代理签名算法是在发生争端的时候可以揭露签名者的身份的。Shumhe和Wei提供了一种方法，该方法是把签名者的真正身份隐藏在别名里，一般来说，一共有四方参与：别名提出中心、原始签名者、代理签名者、验证者，一旦存在争端，验证者可以从签名中得到-个参数送给别名提出中心，从而该中心可以揭露签名者的身份。我们在第五章首先给出了第一个代理保护的匿名代理密码的一般模型，在我们的模型中，任何第三方都不能区分出进行密码操作的人的身份，因为所有的公共信息都没有泄露代理者的身份，而且被代理者也可以进行相同的密码操作，这样既保护了代理者的隐私，也保护了被代理者的隐私.另外我们的模型具有强的不可否认性，不管是代理者还是被代理者都不能否认他们进行的密码操作.这样我们的模型既满足了代理保护的代理算法的所有性质，而且也满足了匿名代理算法的所有性质.我们的模型中是不需要授权的，因为我们的代理是隐含代理，被代理者可以随时撤消代理者的代理能力，而且第三方也不需要特别来检查代理者代理的合法性，因为一旦代理者的代理权限被撤消以后，他就无法再进行有效的密码操作.也就是说，我们的模型提供了一种有效的方法来解决代理能力的撤消问题.特别的，在我们的模型中，代理者和被代理者之间的通信通道是可以不保密的。然后，我们又给出了我们这个模型所对应的攻击模型，在我们的攻击模型中，主要考虑两种型号的攻击，-个是被代理者的攻击，再一个就是没被代理的外部攻击者的攻击，在第一种攻击中，由于攻击者知道被代理者的密钥，所以自己就可以生成部分代理私钥，所以只进行解密(签名)预示，而在第二种攻击中，攻击者可以询问两种类型的预示；部分代理私钥预示和解密(签名)预示.攻击模型对于设计可证明安全的代理保护的匿名代理算法提供了安全标准。

目录

文摘

英文文摘

声明

Chapter 1引言

§1.1引言

§1.2主要结果

Chapter 2无证书密码系统

§2.1无证书密码算法的定义方法

§2.2无证书密码算法的攻击模型

§2.3已有算法的分析

Chapter 3新的无证书的加密算法和签名算法

§3.1预备知识

§3.2两种无证书密码算法的攻击

§3.3标准模式下安全的无证书加密算法

§3.4安全性证明

§3.5抵抗恶意的私钥生成中心的无证书签名算法

§3.6安全性证明及深入研究

Chapter 4代理密码的介绍

§4.1代理密码的发展

§4.2目前存在的代理签名和代理解密算法

Chapter 5代理保护的匿名代理密码的的一般模型

§5.1预备知识

§5.2代理保护的匿名代理密码的一般模型及攻击模型

§5.3新的代理保护的匿名代理解密算法

§5.4新的代理保护的匿名代理签名算法

Chapter 6总结

Bibliography

致谢

博士期间完成的论文