用于无证书认证加密(clae)的方法和系统的制作方法
【技术领域】
[0001] 本发明涉及无证书认证加密方案,并且特别涉及使用身份串提供基于身份的加密 的加密方案。
【背景技术】
[0002] 密码加密算法将保密性添加至通过不安全信道传送的敏感数据。当在发送之前, 加密算法将数据从明文转变为密文时,数据被保护。如果接收方能够反转加密算法,则加密 数据的接收方仅能够解密密文并且从所接收的传输检索明文。如果加密和解密算法共享相 同秘钥,则密码系统被已知为"对称的",并且算法被称为对称秘钥算法。如果加密算法中的 秘钥不同于解密算法中的秘钥,则密码系统被已知为"不对称的",并且算法被称为不对称 秘钥算法。
[0003] 在不对称秘钥算法中,用于加密的秘钥(即,"公共秘钥")被公开知晓,每一个人 都能够使用其加密敏感数据。然而,在解密中使用的秘钥(即,"私人秘钥")仅被加密数据 的期望接收者知晓,并且被保护,使得期望接收者是仅能够解密加密消息的实体。不对称密 码系统通常被称为公共秘钥密码系统(PKC)。
[0004] 在PKC中,公共秘钥和私人秘钥相互独立,使得公共秘钥的知识不揭露或者导致 私人秘钥。换句话说,公共秘钥可以是公共的,使得任何人都可以加密用于特定接收方的数 据,但是仅特定接收方知晓私人秘钥,并且能够利用私人秘钥解密和检索数据。由于PKC中 的公共秘钥被公开知晓,所以它们被认为是不敏感的,并且可以通过任何不安全的公共信 道被发送。然而,PKC的主要挑战在于,相信可用公共秘钥实际上是否与期望接收方相关联。 换句话说,如果不同公共秘钥(即,错误或修改后的公共秘钥)被错误或欺骗使用,则通过 利用加密实现的总体安全性受到损害。从而,公共秘钥密码系统中的加密的安全性依赖正 确地分发属于或与加密消息的期望接收方相关联的公共秘钥。从而,在利用PKC中的公共 秘钥加密敏感数据之前,必须验证公共秘钥。
[0005] 由于大系统是动态的,并且新成员一直加入或离开系统,所以公共秘钥一直被公 布和/或废除。在登记(设置)时,给新成员分发新的公共/私人秘钥集合,并且在它们可 以用所生成的新公共秘钥与新成员安全地通信之前,向所有其他现有成员通知该新公共秘 钥。
[0006] 在PKC中,存在用于贯穿系统生成并且分发公共秘钥的两种机制。在第一种机制 中,通过可信中心生成公共秘钥,然后通过安全信道将它们远程地分发给系统中的用户。第 二种机制是发送方为每一个接收方本地地生成公共秘钥。以此方式,不要求可信中心首先 生成用于每一个接收方的私人秘钥,并且然后通过安全信道将这些所生成的公共秘钥远程 地分发至每一个发送方。
[0007] 本地生成公共秘钥胜过依靠可信中心提供公共秘钥。当公共加密秘钥被本地生成 时,秘钥的等待时间被减少,这是因为其不再必须从远程服务器检索证书。
[0008] 传统上,在PKC中,公共秘钥通过可信中心(证书授权)生成,保证公共秘钥属于 特定接收方。证书授权是贯穿PKC分发证书的可信赖实体。在典型PKC中,可信中心可操作 成产生X. 509证书,该X. 509证书包括用于接收方的公共秘钥以及其他辅助数据。然后,可 信中心数字签名所提供的证书,以便发送方验证所提供的证书和对应公共秘钥的真实性。 然而,在大系统中分发和管理公共秘钥证书是具有挑战性的任务,因为证书必须防止在传 输期间通过不安全信道或者当在发送方的本地机器处被接收时被篡改。
[0009] 公共秘钥加密的替代方法是自生成公共参数,其将被用于使用诸如电话号码、电 子邮件地址或用户名的接收方的已知身份加密敏感数据。Boneh和Franklin介绍了一 种基于身份的加密(IBE?)方案,其中,在加密中使用接收方的身份,诸如,在DanBoneh 和MatthewFranklin的''Identity-BasedEncryptionfromtheWeilPairing"SIAM JournalofComputing, 32(3) : 586-615, 2003 和美国专利No. 7, 113, 594 中描述的,其内容 通过引用完全结合于此。在它们设置时,给予每一个用户私人秘钥,但是使用接收方的身份 和可信中心的公共秘钥构造加密秘钥。他们的系统消除了对联系可信中心(证书授权)以 检索接收方的公共秘钥的需要。然而,在他们的系统中,可信中心的公共秘钥(Ppub)被严格 保护。如果不同公共秘钥在加密时被错误或欺骗使用,则加密的安全性完全受到损害。
[0010] 应该注意,他们的方案的总体安全性依赖可信中心的公共秘钥的安全性,该公共 秘钥被公开知晓并且从而广泛可用。如果对手可以通过访问可信中心的公共秘钥的本地存 储或者通过经由中间人攻击发送不同公共秘钥来改变可信中心的公共参数,则加密系统的 安全性受到损害。
【发明内容】
[0011] 本发明针对提供一种改进的无证书认证加密(CLAE)方法和使用基于身份的加密 的认证系统。
[0012] 本发明的目标在于配置PKC系统,该PKC系统消除了用于贯穿系统分发和管理公 共秘钥的需要。作为代替,公共秘钥被生成并且被本地验证。一旦系统被初始化,则系统中 的任何实体都可以自生成任何其他实体的公共秘钥,并且通过使用诸如电话号码、电子邮 件地址或用户名的接收方的身份来加密敏感数据。然后,仅真正接收方能够使用仅接收方 知晓并且从可信中心获得的私人秘钥,解密并且检索敏感数据。
[0013] PKC系统中的很多安全性挑战之一是防止公共秘钥证书被篡改并且贯穿系统安全 地分发它们。上述Boneh和Franklin提出了一种丨BE?方案,其中,使用用户的公共身份 生成加密秘钥。然而,可信中心的公共秘钥出现相同问题(即,根据Boneh和Franklin,为 "秘钥发生器")。如果Ppub和P被欺骗性地替换,则欺骗者可以容易地访问加密消息。因为 Boneh和Franklin设置中的Ppub和P被公共知晓并且广泛可用,所以该攻击是可能的。从 而,公共秘钥根本不被保护,或者它们贯穿系统与私人秘钥或秘密主秘钥相比不太受保护。 而且,公共参数经由公共不安全信道贯穿系统被广播。从而,对手可能尝试改变加密算法中 的Ppub和P的值。
[0014] 如现有技术中描述的,如果欺骗者用诸如xP的任何其他点替换Ppub,其中,x被欺 骗者知晓,则对手可以容易地找到露^ (即,根据Boneh和Franklin,为"会话秘钥"),并且 反转M的加密。这进一步如下示出:如由Boneh和Franklin描述的,如上所述,我们使得gm =e(QID,Ppub),在欺骗者的修改下,其将变为g' ID=e(QID,xP)。对应消息秘钥将是, 其中,其可以容易地从VoltageSecurityIBE?中的V=rP找到。这通过在IBE?中计算 以下被执行:
[0015]
【主权项】
1. 一种使用基于身份的加密通过网络由具有发送方身份串(Idsmte)的发送方将加密 消息发送至接收方的方法,所述方法包括; 通过TC身份串(Idrc)识别可信中心(TC),所述可信中心具有基于所述TC身份串(IdTC) 的所述可信中心的基于身份的公共加密秘钥(gpub); 确定所述发送方是否具有发送方私人秘钥(Prvsmta)和用于所述可信中心(TC)的多 个公共参数(PK),所述公共参数(PK)包括所述可信中心的所述基于身份的公共加密秘钥 (gpub)和双线性映射(e); 在加密明文消息(M)之前,使用所述TC身份串(IdTC)验证所述可信中心(TC)的所述 公共参数(PK); 通过接收方身份串(IcUcdpimt)识别所述接收方,所述接收方具有基于所述接收方 身份串(IcUcdpimt)的用于所述可信中心(TC)的所述接收方的基于身份的公共加密秘钥 (grecipient) ? 使用所述公共参数(PK)和所述接收方身份串(IcUcdpimt),生成所述接收方的所述基于 身份的公共加密秘钥(gMC;ipimt); 使用所述公共参数(PK)、随机对称秘钥(σ)和所述接收方的所述基于身份的公共加 密秘钥(g_ipimt),将所述明文消息(M)加密为密文(C),所述密文(C)包括所述加密消息; 以及 通过所述网络将所述密文(C)传送至所述接收方。
2. 根据权利要求1所述的方法,其中,验证所述公共参数(PK)包括:比较利用包括所 述发送方私人秘钥(PrvsmdJ和所述可信中心的所述基于身份的公共加密秘钥(g pub)的变 量计算的所述双线性映射(e)的值。 3 .根据权利要求2所述的方法,其中,如果 ,餐,祕),,则验证所述公共参数(ρκ),其中,gsender基于 所述发送方身份串(Idsenta),并且霍*%.基于所述TC身份串(IdTC)。
4. 根据权利要求3所述的方法,其中,所述发送方私人秘钥(PrvsmdJ和所述可信中心 的所述基于身份的公共加密秘钥(g pub)由所述可信中心(TC)提供,并且在所 述验证步骤期间由所述发送方本地生成。
5. 根据权利要求1所述的方法,其中,所述公共参数(PK)进一步包括第一密码散列函 数(H1)、第二密码散列函数(H 2)、第三密码散列函数(H3)、对称秘钥加密函数(□)、以及G *GT,其中,G*GT是素数p的群,并且其中,所述双线性映射(e)满足:e:GXG -GT。
6. 根据权利要求1所述的方法,其中,所述密文(C)包括认证成分(Y),用于一旦所述 密文(C)被所述接收方接收,就认证所述发送方。
7. 根据权利要求6所述的方法,其中,所述认证成分(Y)基于所述发送方私人秘钥 (Prvsender)和所述接收方的所述基于身份的公共加密秘钥(g recipient),并且其中,所述接 收方可操作地使用从所