一种基于身份的认证加密方案的改进

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

传统的公钥密码系统需要专人为每个用户分配一对公钥 和私钥, 并用证书管理用户的公钥。在公钥密码系统中, 迅速 发展的基于身份的加密系统却不是这样: 用户的公钥可以是 一些任意的标识符, 如 email 地址; 系统指定专人接收用户的 请求、 利用可信的私钥生成器生成用户的私钥。由于基于身 份的加密系统比传统的公钥密码系统减去了繁琐的证书发放 和管理机制, 并解决了密钥恢复问题, 因此基于身份的加密系 统成为了当前信息安全领域的研究热点和发展方向。 最近, 黄益栓等提出了一种基于身份的认证加密方案 [1], 该方案将基于身份的加密系统与传统的对称加密方法相结 合, 较之前的方案具有更高的效率。同时, 黄益栓等在注记中指 出了其方案的一个缺陷, 即接收者可以假冒其他的用户发送消 息给自己, 也就是说, 用户不能认证信息发送主体的真实性。 针对这一缺陷, 基于双线性 Diffie-Hellman 问题提出一种 改进的方案。
规定的时间内, 则拒绝解密; 否则, 进行如下处理。 (2) 利用私钥 S j , 其 c1 和 T 计算出解密密钥 K ′ = h(w′ T ) , 中 w′ = ê (c1 S j) 。
͂ = D K ′ (c 2) 。因信息 m ͂ 中包含 m 和 m1 , (3) 解密 c 2 得到 m
1.2 Tate 对
定义 1 一个除子是曲线 E 上若干点的一种形式和:
D=
PÎE
å m P P, m Î Z
这里只有有限个整数 m P 非零, 整数
PÎE
å m p 称为 D 的度
D 在 P 点的阶是 m P , (记为 deg D ) , 表示为 ord P ( D) = m P 。
1 相关知识 1.1 双线性映射
* q
H1:{0 1} 1
k +n
®{0 1} 2
k
h:G 2 ´ T ®{0 1}k k1 、 n 分别表示用户身份标识、 G1 中的元素和 这里的 k0 、
难以计算出 h(ê (c1 S j) T ) 的密钥。由于 Ul 没有私钥 Si 和 S j , 这一用于对称加密算法的密钥, 因而不能生成只有 Ui 才能生
ˉ (E) 是 E 的函数域, 定义 2 设曲线 E 定义于域 K 上, 一 K
个除子 D Î Div0 称为一个主除子, 如果存在某个非零有理函 ˉ (E) 使得 D = div( f ) 。 数 fÎK 所有主除子的集合记为 Prin , 它是 Div0 的一个子群。 定义 3 设 Γ 表示商域 Div0 /Prin ,P 称为曲线 E 的 Jacobian 群。 对于与 K 相关的素数 m > 0 , 令:
有效计算 Tate 对的 f D (Q) 的算法是 Miller 算法。
2
原方案
原方案由系统初始化, 主密钥和用户私钥的分配, 信息加
百度文库
密、 信息解密与认证四个阶段组成。
故 U j 已知信息 m 和 m1 。 (4) 检查 m 是否满足等式 m1 = H1(c1 m) , 认证信息 m 。若 成立, 则输出 m ; 否则, 拒绝输出。
rH0 (IDi)r s H0 (ID j) rr s H0 (IDi)H0 (ID j)
͂)。 成的密文 c 2 = E K (m U j 为了假扮 Ui 向自己发送加密信息, U j 先选取一个 rÎZ , 计算 c1 = rH0 ( IDi) , 然后可冒充 Ui 生成加密密钥 K =
* q
被加密消息所需的比特数。
2.2
系统初始化
系统输入为安全参数 λ Î Z + , 类似文[4]利用 BDH 参数生
存在的用户不能防止自身假冒其他用户发送消息给自己, 即不能认证信息主体的真实性的安全隐患, 结合双线性映射的特性, 提 出了改进方案。新方案的安全性是基于双线性 Diffie-Hellman 问题的, 并对改进方案的安全性和效率进行了分析。结果表明, 改 进方案保持了原方案优点的同时, 消除了隐患, 进一步提高了安全性。 关键词: 认证加密; 基于身份加密; 混合加密; 双线性对 DOI: 10.3778/j.issn.1002-8331.2011.15.033 文章编号: 1002-8331 (2011) 15-0119-04 文献标识码: A 中图分类号: TP393
Computer Engineering and Applications 计算机工程与应用
2011, 47 (15)
119
一种基于身份的认证加密方案的改进
蔡艳桃 CAI Yantao
中山火炬职业技术学院 信息工程系, 广东 中山 528436 Department of Information Engineering, Zhongshan Torch Vocational and Technical College, Zhongshan, Guangdong 528436, China CAI Yantao.Improvement of identity-based authenticated encryption scheme.Computer Engineering and Applications, 2011, 47 (15) : 119-122. Abstract: Identity-based cryptography is a rapidly emerging approach to public-key cryptography that public keys can be arbitrary identifiers.Analyzing the existing identity-based authenticated encryption scheme which a weakness is presented—a recipient can pretend other users to send messages to him, that is, users can’ t authenticate whether a message’ s sender is true, and combining bilinear pair, an improvement of that scheme is proposed, whose security is based on the bilinear Diffie-Hellman problem.The security and efficent are analyzed.The result shows that the scheme not only overcomes the mentioned weakness, but also keeps the excellence of that scheme. Key words:authenticated encryption; identity-based encryption; hybrid encryption; bilinear pair 摘 要: 基于身份加密是一种以用户的身份标识符作为公钥的加密体制。通过分析现有的基于身份的认证加密方案, 针对其中
设 Div 是 E 上所有除子的集合, 那么 D 在如下加法规定 之下是一个加群:
PÎE
n P P = å (m P + n P )P å m P P + På ÎE PÎE
设 Div0 ={ D Î Div| deg D = 0} , 那么 Div0 是 Div 上的一个 子群。
作者简介: 蔡艳桃 (1983—) , 女, 助教, 主要研究领域为信息安全、 软件开发。E-mail: 15813141000@139.com
在上述的方案中, 虽然攻击者 Ul( l ¹ i 且 l ¹ j ) 不能伪造
密钥 K 的长度为 k 。 (3) 3 个安全的 Hash 函数:
* H0:{0 1} 0 ® G1 k
Ui 向 U j 发送的加密信息, 但不能防止解密者 U j 假扮加密者 Ui
向其自身发送加密信息。
Ul 为了假扮 Ui 向 U j 发送加密信息, Ul 先选取一个 r Î Z, 计算 c1 = rH0 ( IDi) , 然后计算满足 K = h(ê (rSi Q j) T ) 或 K ′ =
120
2011, 47 (15)
Computer Engineering and Applications 计算机工程与应用 文件中读取 U j 的身份标识 ID j 和系统公共参数 params , 再对 信息 m 进行如下加密和发送:
* , (1) 随机均匀地选取 r Î Z q 利用私钥 Si 计算 w = ê (rSi , Q j),
成器 IG 算法生成具有上述性质的加法群 G1 、 乘法群 G 2 和双
H1 和 h , 线性映射 ê ; 选择 Hash 函数 H0 、 明文空间 M ={0 1}n
h(ê (rSi Q j) T ), 其中 Si 是 Ui 的私钥, Q j = H0 ( ID j) 。这是因为: K = h(ê (rSi Q j) T ) = h(ê (.) h(ê (.)
2.1
参数说明
ê :G1 ´ G1 ® G 2 是一 (1) 假设 G1 和 G 2 是阶为素数 q 的群,
G 2 为乘法群,P 个可接受的双线性映射, 其中 G1 为加法群,
为 G1 的生成元。
D K (×)) 是一对安全的对称加密/解密算法, (2) 令 (E K (×), 其
3
原方案存在的缺陷
G 2 是两个阶为 q 的群, 设 G1、 其中 q 为一个大的 (例如 G 2 分别写作加法群和乘法群。 G1、 160 bit 以上的) 素数。 G1、 G 2 上的双线性映射 ê :G1 ´ G1 ® G 2 是指满足如下性质的映射:
收稿日期: 2009-09-24; 修回日期: 2009-12-22
2.5
信息解密与认证
当 U j 接收到 (c1 c 2 T ) 后: (1) 计算 DT = T ′ - T( T ′ 为 U j 的接收时间) 。若 DT 不在
对于椭圆曲线 E/k 有如下定义:
E(k ) @ Γ, P [P - O], 对于一个椭圆曲线 E/K, 和 D = [P - O]。
对于一个有理函数 f 和一个除子 E = å n P P 并且 ( f ) E =
Φ, 令 f (E) = Õ f (P)nP Î K *
(5) 用户 Ui 向用户 U j 发送密文 c = (c1 c 2 T ) 。
Tate 对定义:
Γ [m] ´ Γ/mΓ ® K * /K *m {[ D][E]} m = f D (E) {- -} m :
Γ [m] ={[ D] Î Γ: mD 是规则}
其中 Q j = H0 ( ID j) 。 (2) 若当前时间为 T , 计算加密密钥 K = h(w T ) 。 (3) 计算 c1 = rH0 ( IDi) 和 m1 = H1(c1 m) 。
͂ 。若 |m ͂ |>n , (4) 把 m1 串接到信息 m , 所得信息记为 m 则 ͂ l(1≤ l ≤L) ͂ i Î{0 1}n, 将它细分为若干单元 m , 使每个单元满足 m ͂)。 ͂ Î{0 1}n , 再对每个单元加密。不妨假设 m 计算 c 2 = E K (m
ê (aP bQ) = ê (P Q)ab , a b Î N ; 双线性: 其中 P Q Î G1 ,
非退化性: 如果 P, Q Î G1 都不是 G1 的单位元, 则 ê (P, Q) ¹ 1; 可计算性: 存在一个有效算法, 对于任意的 P Q Î G1 , 可 有效地计算 ê (P Q) 。 目前, 能够用作加密系统的双线性映射, 只找到了椭圆曲 线和 Abel 代数簇上的 Weil 映射和 Tate 映射[2-3]。使用这些映射 时, 椭圆曲线和代数簇的 MOV 次数要求相对较小, 因此基于 身份的密码系统的参数设置受到一定的制约, 这一点与通常 的椭圆曲线公钥密码的参数选择有很大的不同。
相关文档
最新文档