信息安全工程第9章基于身份的公钥体制.ppt

9.1　基本概念9.1.1　历史背景　　就通常的公钥密码而言,密钥的生成过程始终包含如下步骤:  public-key= F(private-key) 　　由于每一个公钥都包含着一段看似随机的成分,因此有必要让主体(用户)的公钥以一种可验证的和可信的方式与主体(用户)的身份信息相关。很显然,为了传递一条用公钥加密的秘密消息,发送者必须确信这个看似随机的公钥的确属于所声称的签名人。 9.1.2　基于ID的密码功能　　在通常意义下的公钥密码中,Bob运用Alice的公钥来验证Alice的签名,同时他也应该验证Alice公钥的真实性。例如,Bob可以通过验证Alice的公钥证书(Alice的公钥与她的身份相关联)来验证Alice公钥的真实性,即Bob应该确信与Alice的密钥信道已经正确地建立。　　在基于ID的签名方案中,意识到Bob不需要执行一个基于密钥信道建立的认证,这点是十分重要的。当Bob验证签名为True时,同时表明以下两个问题: 　　(1)Alice用基于她的ID的私钥生成签名。　　(2)Alice的ID已经被可信中心认证,她的ID证书使得Alice可以生成签名。　　在一个逻辑步骤内能够同时验证两件事是基于ID签名方案所提供的一个很好的特征,能够避免从签名者到验证者的证书传递,节约通信带宽。这种特性给基于ID的密码体制带来了另一个名字——非交互式的公钥密码体制(Non－interactivePublicKeyCryptography)。非交互式的公钥密码体制在基于ID的加密系统中有非常重要的意义。 9.1.3　两个挑战　　基于ID密码的用户的密钥生成过程如下: 　　注意:为了使密码系统是一个基于ID的密码系统,或者说是没有交互的或无证书的密码系统,函数F必须是确定性的(Deterministic)。这样,用户的密钥生成过程就不含随机输入。换句话说,每个用户的私钥private－key是主密钥master－key的一个确定的像。通常认为这个计算(对抵制master－key的密码分析而言)是一个具有潜在不安全性的运算。在了解Goldwasser－Micali对Diffie－Hellman的确定性陷门函数模型的批评之后,可以很容易地理解这个不安全性。在标准的公钥密码应用中,Trent通过增加随机输入广泛地避免了这种不安全性。 　　研究具有随机私钥的基于ID的公钥密码是一件有意义的事,这是第一个公开问题。　　第二个具有挑战性的问题就是设计一个基于ID的具有非交互身份撤销特点的密码系统。如果用户的私钥被泄露,则有必要撤销他的身份。 9.2　Shamir的基于ID的签名方案9.2.1　方案描述　　在Shamir的基于身份的签名方案中有以下四个算法:　　(1)建立:由Trent运行建立算法以生成系统参数和主密钥,Trent为可信中心。　　(2)用户密钥的生成:这个算法也由Trent执行,输入为主密钥和一条任意的比特串id∈{0,1}*,输出与id对应的私钥,这是式(9.1.2)的一个实例。　　(3)签名:签名算法的输入为一条消息和签名者的私钥,输出一个签名。　　(4)验证:签名的验证算法的输入为一个消息－签名对和id,输出True或False。 　　2.用户的密钥生成　　假设ID表示用户Alice唯一可以识别的身份。在进行Alice身份的物理验证和确认ID具有唯一性之后,Trent生成的密钥如下: 9.3　Girault的自证实公钥方案9.3.1　自证实公钥　　假设(s,P)是一公、私钥对,公钥认证框架提供了一个密钥对和一种保证书G,将P与身份I联系起来。　　在一个基于PKI的公钥认证框架中,保证书G上有CA对(I,P)的数字签名。这个认证框架由四个不同的属性值(s,I,P,G)构成。其中的三个属性值(I,P,G)是公开的,且可以在公共目录上获得。当一个主体需要Ｉ的公钥时,他可以得到公开的三元组(I,P,G),用CA的公钥验证G之后,可利用P来认证用户。 　　在基于身份的认证框架(例如9.2节中Shamir的方案)中,公钥就是身份I。因此,P＝I,并且这个认证框架由两个属性值(s,I)构成。我们知道,当一个主体需要认证Alice的公钥I时,就必须验证她的签名,结果为True则表明这个公钥是真实的。所以,保证书就是他的私钥,即G＝s。　　Girault建议的公钥认证框架方案介于基于证书方案和基于身份方案之间。在Girault方案中,保证书等于公钥,即G＝P,所以可以说它是自证实的,每个用户都有三个属性(s,P,I)。在Girault方案中,用户的私钥可以由用户选择。 　　2.用户的密钥数据　　Alice随机选择一个长度为160bit的整数sA作为