第9章基于身份的公钥密码体制.pptVIP

第9章 基于身份的公钥密码体制 9.1 公钥认证方法 1976年，Diffie和Hellman提出了公钥密码体制，解决了单钥密码体制中最难解决的两个问题：密钥分配和数字签名。在公钥密码体制中，每个用户拥有两个密钥：私钥和公钥，其中只有私钥由用户秘密保存，公钥可以由一个证书权威（certificate authority, CA）保存在一个公钥目录中。然而，公钥密码体制易受到“公钥替换”攻击，即攻击者用自己选定的假公钥替换一个公钥目录中真实的公钥。当一个用户用这个假公钥加密一个消息时，这个攻击者就可以正确地解密。因此，我们需要让用户的公钥以一种可验证和可信的方式与用户的身份信息关联起来。目前，认证用户的公钥有三种方法：基于证书的方法、基于身份的方法和基于自证明的方法。事实上，我们可以根据公钥认证方法的不同，把公钥密码体制分为基于证书的公钥密码体制、基于身份的公钥密码体制和基于自证明的公钥密码体制 。 1 基于证书的公钥密码体制 每个用户的公钥都伴随一个公钥证书，这个公钥证书由CA签发。公钥证书是一个结构化的数据记录，它包括了用户的身份信息、公钥参数和CA的签名。任何人都可以通过验证证书的合法性（CA的签名）来认证公钥。如果一个用户信任CA，那么，在他验证了另一个用户的证书的有效性后，他就应该相信公钥的真实性。 基于证书的公钥密码体制缺点 使用任何公钥前都需要先验证公钥证书的合法性，增加了用户的计算量； CA需要管理大量的证书，包括证书的撤销、存储和颁发。 2．基于身份的公钥密码体制 为了简化密钥管理，Shamir于1984年首次提出了基于身份的密码体制（identity-based cryptography）的概念。在基于身份的密码体制中，用户的公钥可以根据用户的身份信息（姓名、身份证号码、电话号码、E-mail地址等）直接计算出来，用户的私钥则是由一个称为私钥生成中心（private key generator, PKG）的可信方生成。基于身份的密码体制取消了公钥证书，减少了公钥证书的存储和合法性验证。但是，基于身份的密码体制有一个致命的缺点，所有用户的私钥都由PKG生成。PKG知道所有用户的私钥不可避免地引起密钥托管问题，因此，PKG可以容易地冒充任何用户，且不被发现。在一个基于身份的加密方案中，PKG可以解密任何密文，在一个基于身份的签名方案中，PKG可以伪造任何消息的签名。自1984年以来，相继提出了许多实用的基于身份的签名方案，但一个满意的基于身份的加密方案直到2001年才被找到。 3．基于自证明的公钥密码体制 1991年，Girault提出了自证明公钥（self-certified public keys）的概念。在基于自证明的公钥密码体制中，用户的公钥是从CA对该用户的私钥与身份的签名中推导出来的，也就是说，CA和用户合作产生公钥，但CA并不知道用户的私钥。用户的公钥不必有单独认证的证书，公钥的认证同接下来的一些密码协议（如密钥交换协议、签名、加密等）一起完成。比如说，认证签名者的公钥与验证此人的签名在一个验证方程式中完成，如果说通过了这个验证，那么公钥和签名将被同时验证。2003年，Al-Riyami和Paterson提出的无证书公钥密码体制（certificateless public key cryptography）在本质上与基于自证明的公钥密码体制是相同的。 基于自证明的公钥密码体制优点 由于不需要证书，降低了存储空间和通信成本； 由于不需要公钥验证，减少了计算量； 与基于证书的公钥密码体制相比，由于不需要维护公钥证书目录，基于自证明的公钥密码体制更加高效。与基于身份的公钥密码体制相比，由于CA并不知道用户的私钥，基于自证明的公钥密码体制更加安全。 公钥密码体制三个信任标准 信任标准1：CA知道（或者可以轻松得到）用户的私钥，因而可以冒充用户，且不被发现。 信任标准2：CA不知道用户的私钥（或者不能轻松得到），但仍然可以产生一个假的证书冒充用户，且不被发现。 信任标准3：CA不知道用户的私钥（或者不能轻松得到），如果CA产生一个假的证书冒充用户，他将被发现。 9.2 基于身份的加密体制 双线性对 令G1为由P生成的循环加法群，阶为q，G2为具有相同阶q的循环乘法群，a、b是中的元素。假设G1和G2这两个群中的离散对数问题都是困难问题。双线性对是指满足下列性质的一个映射： ① 双线性性：对所有P, Q∈G1, 。 ② 非退化性：存在P, Q∈G1，使得。 ③ 可计算性：对所有的P, Q∈G1，存在有效的算法计算。 相关难问题 （1）计算性Diffie-Hellman问题（Computational Diffie-Hellman Problem, CDHP）给定（P, aP, bP）