基于身份的密码体制

摘要： 针对传统跨域认证易单点失效、过度依赖第三方等安全问题,提出了一种结合基于身份的密码(IBC,identity-based cryptography)体制与联盟链的跨域认证方案。通过设计包括实体层、代理层、区块链层、存储层在内的分层跨域认证架构,在跨域认证场景中引入联盟链,从而能够使两者较好地融合,增加了联盟链在跨域认证场景中的适应性。在存储层,设计摘要数据格式,将其存储于链上,摘要数据对应的完整数据存储于链下的星际文件系统,从而形成一种安全可靠的链上链下分布式存储方案,解决引入区块链后存在的链上存储受到限制的问题。提出一种基于永久自主权身份和临时身份的身份管理方案,解决结合IBC体制后身份难以注销和匿名身份难以监管的问题。在此基础上,设计完整的跨域全认证、重认证以及密钥协商协议以实现跨域认证流程。在安全性方面,使用SVO逻辑对认证协议进行分析,证明了跨域认证协议的安全性。通过仿真对计算负载性能、通信负载以及联盟链性能进行了测试与分析。分析表明,与相关方案相比,协议在满足安全性的同时,在服务端和用户端均有较好的计算负载表现。在通信效率上,相较于其他方案有不错的表现。通过联盟链工具对链上读写时延进行了测试,结果表明所提方案有良好的可用性。

摘要： 为了抵抗量子算法的攻击和应对恶意签名者利用环签名技术的完全匿名性输出多个签名从而进行双重开销攻击这一缺陷,同时为了解决不必要的系统开销浪费问题,提出了一种新的格上基于身份的可链接环签名方案。该方案以格上近似最短向量问题为安全基础,将该问题的求解归约于碰撞问题的求解,利用矩阵向量间的线性运算生成签名,同时结合了基于身份的密码技术。解决了系统开销浪费问题,不涉及陷门生成和高斯采样等复杂算法,提高了签名效率,降低了存储开销,并在随机预言模型下验证了方案满足完全匿名性和强存在不可伪造性。经分析,该方案是一个安全高效的环签名方案。

摘要： 环签名是一种匿名签名,它实现了对消息的认证,保证了签名人的匿名性.已知的大多数基于身份的环签名方案都需要双线性对运算,双线性对运算的计算成本比椭圆曲线上的点乘运算要大得多.因此,构造不需要双线性对运算的环签名方案是很有意义的.笔者构造了一种新的基于身份的环签名方案,并在随机预言模型下证明了该方案的不可伪造性和匿名性.该方案不需要双线性对运算,相比于其他基于身份的环签名方案具有更高的效率.

摘要： 环签名是一种典型的具有自发性和匿名性的数字签名机制,可作为一种隐私保护技术广泛用于电子投票、数字货币交易和匿名泄露信息等领域.基于身份的密码体制与环签名技术的结合不仅能够保留了环签名的主要特性,同时能够解决传统公钥体制下用户公钥与证书管理的复杂问题.本文以SM9数字签名算法为基础,构造了一种基于身份的环签名方案,并保持了该方案的用户签名密钥生成方式与SM9算法的一致性.同时,本文在随机预言模型下证明了所提出的环签名方案具备不可伪造性和匿名性.通过效率分析,可以得出本文方案在通信开销上明显优于现有方案,但在签名开销和验证开销上略高于现有方案.

摘要： 在加密邮件系统中,公钥可搜索加密技术可以有效地解决在不解密的情况下搜索加密邮件的问题.针对公钥可搜索加密复杂的密钥管理问题,该文在加密邮件系统中引入了基于身份的密码体制.针对可搜索加密的离线关键字猜测攻击问题,该文采用了在加密关键字和生成陷门的同时进行认证,并且指定服务器去搜索加密电子邮件的方法.同时,在随机预言机模型下,基于判定性双线性Diffie-Hellman假设,证明方案满足陷门和密文不可区分性安全.数值实验结果表明,在陷门生成和关键字密文检测阶段,该方案与现有方案相比在计算效率上较高.

摘要： The available identity-based authentication and key agreement schemes in Ad hoc networks are based on bi-linear pairing with high computation cost,and the schemes also have the problem of key escrow.Considering the prob-lem,a new identity-based authentication and key agreement scheme was proposed.Identity authentication was realized using identity-based signature without bilinear pairing.The session key was established using diffie-hellman key ex-change technology.It is shown that the proposed scheme avoids the problem of key escrow,and has higher efficiency.%现有 Ad hoc 网络中基于身份的认证和密钥协商方案是基于双线性对实现的,计算开销较大,并且存在密钥托管问题.针对该问题,提出了一种新的基于身份的认证和密钥协商方案.方案中,节点之间通过无双线性对的基于身份签名算法实现身份认证,通过Diffie-Hellman密钥协商技术建立会话密钥.分析表明,该方案不存在密钥托管问题,并且具有更高的执行效率.

摘要： 在目前多数云存储完整性检测方案中,用户需要进行大量公钥运算和复杂的公钥证书管理操作.针对该问题,提出一个基于身份的云存储完整性检测方案.引入基于身份的密码体制,使用户无需进行复杂的公钥证书管理操作,并且可通过授权特定的第三方审计者为其完成上传数据、产生数据认证器、检测数据完整性等耗时操作,从而减轻用户端的计算负担.安全性与性能分析结果表明,该方案能够减少计算开销,并且在支持数据隐私性的同时,生成用户轻量级认证器.%In most of existing cloud storage integrity detection schemes,people need to execute many public key computations and complicated public key certificate management operations.In order to solve this problem,this paper proposes an ID-based cloud storage integrity detection scheme.It introduces ID-based cryptography,which reduces public key certificate management operations for user.Besides,user can authorize a Third-Party Auditor(TPA) to complete all time-consuming operations,including data uploading,generating data authenticator and data integrity detection,which minimizes the burden on the user side.The security and performance analysis results show that the proposed scheme can reduce computational overhead and generate user lightweight validators while supporting data privacy.

摘要： 总结了航天测控网的发展现状,分析了未来天地一体化的航天互联网的发展目标,讨论了空间网络的体系结构和网络通信协议。归纳了空间网络面临的安全威胁以及空间任务的安全需求,并根据不同的安全成胁分析了可以采用的安全机制。在深入分析基于身份的密码体制的基础上,提出了在空间网络中应用IBC提供安全服务框架的思想,并初步给出了一种实现方法。分析表明,同传统的PKI体制的安全解决方案相比,IBC方案在通信和计算开销上具有一定的优势。

摘要： 代理签名是指原始签名人将签名权授权给代理签名人,由代理签名人代表原始签名人行使签名权,验证人在验证代理签名时,能识别代理签名人的身份.当代理签名人的身份需要保密时,匿名代理签名的概念应运而生.本文提出一种新的基于身份的匿名代理签名方案,该方案满足可验证性、不可仿造性、不可否认性、匿名性和可追踪性等安全性质.这些性质保证了方案既满足代理签名人匿名的要求,又防止代理签名人滥用签名权.

摘要： 代理签名是指原始签名人将签名权授权给代理签名人,由代理签名人代表原始签名人行使签名权,验证人在验证代理签名时,能识别代理签名人的身份.当代理签名人的身份需要保密时,匿名代理签名的概念应运而生.本文提出一种新的基于身份的匿名代理签名方案,该方案满足可验证性、不可仿造性、不可否认性、匿名性和可追踪性等安全性质.这些性质保证了方案既满足代理签名人匿名的要求,又防止代理签名人滥用签名权.

摘要： 代理签名是指原始签名人将签名权授权给代理签名人,由代理签名人代表原始签名人行使签名权,验证人在验证代理签名时,能识别代理签名人的身份.当代理签名人的身份需要保密时,匿名代理签名的概念应运而生.本文提出一种新的基于身份的匿名代理签名方案,该方案满足可验证性、不可仿造性、不可否认性、匿名性和可追踪性等安全性质.这些性质保证了方案既满足代理签名人匿名的要求,又防止代理签名人滥用签名权.

摘要： 代理签名是指原始签名人将签名权授权给代理签名人,由代理签名人代表原始签名人行使签名权,验证人在验证代理签名时,能识别代理签名人的身份.当代理签名人的身份需要保密时,匿名代理签名的概念应运而生.本文提出一种新的基于身份的匿名代理签名方案,该方案满足可验证性、不可仿造性、不可否认性、匿名性和可追踪性等安全性质.这些性质保证了方案既满足代理签名人匿名的要求,又防止代理签名人滥用签名权.

摘要： 本发明公开了一种基于身份公钥密码体制的私钥安全管理方法，包括系统参数建立步骤；私钥产生算法步骤；私钥恢复算法步骤；签名算法步骤；验证算法步骤；通过采用口令盲化和私钥分片相结合，使得在分发、存储、备份和恢复过程中，私钥是被分片且备份过程部分私钥是被口令盲化，即使在使用过程中，也不需要计算用户的真正私钥，而是分片使用，从而保证了私钥的安全。同现有技术相比，本发明只在私钥备份过程中采用口令进行盲化，而在分发、存储和使用等过程中无需增加任何安全措施便可保证钥私的安全性，既解决了私钥的托管问题，又易于实现私钥的备份和恢复，且对用户来说使用方便、代价低。

摘要： 本发明提供一种在通信网络中的业务认证方法和系统。所述方法包括以下步骤：业务签约实体和业务提供实体分别向密码管理中心注册自己的身份；由密码管理中心通过基于身份的密码制度产生公开安全参数，以及与身份相对应的私钥；业务签约实体利用业务签约实体私钥，通过基于身份的密码制度进行签名；以及所业务提供实体利用业务签约实体的身份，通过基于身份的密码制度对所述签名进行认证。所述方法进一步包括业务签约实体对业务提供实体的认证过程，该过程与业务提供实体对业务签约实体的认证过程相对应且不分先后。通过本发明，可以在业务签约实体和业务提供实体之间直接进行独立于下层网络基础结构的业务认证。

摘要： 本发明公开了一种基于Cocks身份密码体制的签密方法及系统。该方法包括参数的初始化、签密者的签密以及接收者的解签密，该签密方法采用改进Cocks身份密码体制，结合二次剩余问题构造签密方案，实现加密签名能在一个逻辑步骤完成的效果，而且本发明结合了数论中雅克比符号运算及模运算，基于雅克比符号运算及模运算的高效性，有效解决了现有技术中基于双线性对的签密方案计算效率不高的问题，并满足签密方案的保密性和不可伪造性。本发明的高效性与安全性可以为5G网络提供基础安全保障。

摘要： 基于多变量公钥密码体制的交互式零知识身份认证方法，包括生成系统参数和重复执行交互步骤t(t≥1)次。本发明可以解决现有的交互式零知识身份证明方案在量子计算下将不再安全的缺陷，具有完全性、健全性和零知识性，在后量子密码时代依然安全。

摘要： 本发明公开了一种基于身份公钥密码体制的私钥安全管理方法，包括系统参数建立步骤；私钥产生算法步骤；私钥恢复算法步骤；签名算法步骤；验证算法步骤；通过采用口令盲化和私钥分片相结合，使得在分发、存储、备份和恢复过程中，私钥是被分片且备份过程部分私钥是被口令盲化，即使在使用过程中，也不需要计算用户的真正私钥，而是分片使用，从而保证了私钥的安全。同现有技术相比，本发明只在私钥备份过程中采用口令进行盲化，而在分发、存储和使用等过程中无需增加任何安全措施便可保证钥私的安全性，既解决了私钥的托管问题，又易于实现私钥的备份和恢复，且对用户来说使用方便、代价低。

摘要： 本发明提供一种在通信网络中的业务认证方法和系统。所述方法包括以下步骤：业务签约实体和业务提供实体分别向密码管理中心注册自己的身份；由密码管理中心通过基于身份的密码制度产生公开安全参数，以及与身份相对应的私钥；业务签约实体利用业务签约实体私钥，通过基于身份的密码制度进行签名；以及所业务提供实体利用业务签约实体的身份，通过基于身份的密码制度对所述签名进行认证。所述方法进一步包括业务签约实体对业务提供实体的认证过程，该过程与业务提供实体对业务签约实体的认证过程相对应且不分先后。通过本发明，可以在业务签约实体和业务提供实体之间直接进行独立于下层网络基础结构的业务认证。

摘要： 一种基于身份的快速公钥密码体制，其特点是解密效率高，能够在简单电子器件中实现，特别适用于金融卡、身份卡等IC卡。

摘要： 基于对称密码体制的网络身份认证方法，是运用计算机、密码和网络技术，在客户机和网络服务器两端，分别设置一对相同的对称密码算法，用客户端的加密算法，对一组有限长的明文进行加密生成密文，将该密文作为认证码，与用户号、时间戳和随机码一并经网络传给服务器，且密钥采用组合生成方式，达到一次一密，服务器端以相同的密钥和加密算法对相同的明文进行加密，生成同长度的认证码，将两组认证码进行比较，从而，实现网络身份认证。

摘要： 本发明为一种结合标识密码系统和传统公钥密码系统的方法，可以解决标识密码系统的私钥托管隐患。和其他同类方法比较，如基于证书的密码系统CBE、无证书公钥密码系统CL-PKC或自证书公钥系统SC-PKC，本发明具有公钥密码系统不受限制的优点。本发明提供的方法包括签名方法和加密方法，签名方法包括3个步骤：1.生成标识签名；2.生成消息签名；3.验证消息签名；加密方法包括3个步骤：1.生成标识签名；2.加密消息；3.解密还原消息。

摘要： 本发明提出了一种基于Classic McEliece密码体制的密码系统，包括密钥生成装置、加密装置、解密装置、公钥存储模块以及私钥存储模块；其可以部署在FPGA上，通过提供一种syndrome模块来完成公钥与向量e相乘，能够充分利用算法运行过程中的并行度和硬件丰富的逻辑资源，从而加速Classic McEliece密码体制的运行速度；可支持不同安全系数下的结构变换，根据需求进行并行度的调整。