1、一種基于公鑰自證明的認證加密方案 摘 要 針對基于認證證書的數字簽名方案中公鑰集中保存，系統容易受到主動攻擊的缺點，提出了一種新的基于公鑰自證明的認證加密方案。該方案中用戶匿名注冊，并獲得由用戶與CA共同產生的公鑰證明，可以根據用戶公鑰證明推導其公鑰；通信雙方的公鑰認證與消息簽名結合在一起，由消息接收者在認證簽名、恢復消息時完成公鑰認證，因而減少了存儲空間、通信量和計算量。 關鍵字 數字簽名 公鑰證書認證加密 公鑰自證明 1 前言 隨著計算機網絡和通信技術的迅速發展，數字簽名在電子商務、身份認證等方面廣泛應用。數字簽名通常是指簽名者使用私鑰對給定的消息簽名，而驗證者使用簽名者的公鑰驗證簽名。為

2、了保證簽名者所公布公鑰的可靠性，一些學者們提出了基于證書的認證加密方案1,2。假定有一個可信任的第三方CA為其用戶頒發公鑰證書，簽名者用私鑰對消息簽名，驗證者驗證簽名要進行兩次簽名驗證：第一，利用簽名者公鑰證書中的公鑰驗證對消息的簽名，第二，驗證CA對簽名人公鑰證書的簽名。由于用戶的公鑰保存在一個權威認證機構的公開密鑰目錄中，系統很容易遭到主動攻擊和假冒攻擊，而且CA的網絡處理能力也成為制約系統效率的一個“瓶頸”。 針對這一安全隱患，Shamir3于1984年提出了基于標識(ID)的密碼體制思想。在該密碼體制中，用戶的標識用作公鑰，因此用戶的公鑰不需要單獨的認證證書。但是，該方案中用戶的私鑰由

3、系統提供的，系統能夠冒充用戶。Girault4于1991年提出自證明公鑰的方案，有效解決了認證中心假冒用戶地問題。在此方案中，認證中心使用系統的私鑰為用戶的標識簽名，任何用戶都能夠從簽名中推導出用戶的公鑰，用戶的公鑰不需要單獨的認證證書。與基于標識的認證加密體制相比，自證明密碼體制大大減少系統存儲空間和計算量，且用戶自己選擇密鑰，認證中心不知道用戶的私鑰，無法冒充用戶，具有更高的安全性。一些學者5,6,7對公鑰自證明密碼體制進行了大量研究，將公鑰自證明方案沿用到了電子選舉、電子商務等領域。 本文基于Girault自證明公鑰的原理，提出了一種新的基于公鑰自證明的認證加密方案。該方案中，接受者不需

4、要保存用戶的公鑰，傳送消息之前不需要進行公鑰的自證明，消息接收者在恢復消息、驗證簽名的過程中實現對簽名者的身份認證；簽名者者不需要發送原消息，只有特定的接收者才能接收簽名并恢復消息。而且，認證中心使用私鑰為用戶公鑰簽名，避免攻者冒充認證中心偽造公鑰簽名。2 方案描述2.1 系統初始化階段 在系統初始化階段，認證中心（CA）負責生成系統參數。CA首先選擇兩個大素數p和q，使p=2p +1和q=2q+1，其中p 和q也是素數，然后計算np*q，及其歐拉函數 (n)=（p-l）(q-1)。然后選擇一個隨機整數e，l<e< (n)，gcd(e,(n) =1, 并計算 d，使

5、得ed=1 mod (n) ,接著CA選擇一個整數g，g是np*q的基元。還公布一個單向hash函數h( )。 CA的秘密參數：p、q、p 、q、(n) 以及d， CA的公開參數：e、n 、g和h( )。2.2 用戶注冊階段 為了使向CA注冊的用戶獲取的公鑰證書，而CA不知道用戶的私鑰，因此用戶公鑰的分發不能簡單地由CA 產生頒布。同時也為了用戶身份的匿名要求，對CA也不能暴露，因此公鑰證書的產生要由用戶與CA共同協商完成。把這個注冊過程稱之為用戶注冊協議。 步驟1：用戶UA計算hAh(IDA)，其中IDA代表UA的身份標識，且對CA保密，UA以匿名的身份hA向CA提出注冊申請； 步驟2：CA

6、檢查核實用戶hA的身份，若hA通過身份檢查，則CA計算rA = g-d mod n,將 rA 傳送給UA； 步驟3：UA 收到rA 后，任選一個隨機數 作為私鑰，計算，將vA傳送給CA； 步驟4：CA計算 ，則將CA 作為CA頒發的公鑰證書，并將CA傳送給UA； 步驟5：UA 接收到UA 發送的CA后，計算 ，同時驗證等式 是否成立，若成立，則證明在傳輸過程中參數未被篡改，CA是CA的有效公鑰簽名。否則，簽名無效。 上述注冊過程，只有CA才能頒發UA的公鑰的證明。因為在注冊過程中，CA使用私鑰對UA在協議交互過程中產生的一些特定信息進行簽名，任何人若不知道CA私鑰，是無法偽造的，其安全性程度高

7、。如果攻擊者企圖獲取UA的私鑰。那么他將面臨求解離散對數的困難。如果攻擊者企圖偽造CA的公鑰證明。那么他將面臨求大素數的因子分解的困難。2.3 簽名生成階段 假定用戶UA 對消息M的簽名，并將簽名的消息傳遞給指定的接收者UB。消息M簽名生成過程如下： 步驟1：UA 向UB發送要進行簽名的請求，并將CA, hA 傳送給UB； 步驟2：UB 接收到UA的簽名請求，將CB 傳送給UA； 步驟3：UA 接收到UB 發送的CB后，計算 ,然后選擇一個隨機數k，進行數字簽名： 步驟4：UA將對消息M的簽名（r1 ,r2 , s）送給UB。 2.4 消息恢復驗證階段 UB接收到消息M的簽名（r1 ,r2 ,

8、 s）后，恢復消息M，并對恢復的消息M進行驗證。恢復并驗證消息的過程如下： 步驟1：計算 ； 步驟2：恢復消息等式； 步驟3：驗證消息等式 ，若消息驗證等式成立，則接受這次簽名。 這個消息恢復驗證的過程同時也實現對UA和UB身份的雙向認證。如果消息是UA的簽名，則UB使用UA的公鑰驗證簽名，并用自己的私鑰解密恢復消息，實現雙向的身份認證。消息恢復等式的正確性證明如下： 同時如果UB恢復的消息M 是正確，則有消息驗證等式成立：3 安全性分析 （1）攻擊者不可能偽造CA的公鑰簽名。CA為用戶UA的公鑰簽名時使用了私鑰。任何攻擊者不知道UA的公鑰是不可能偽造CA的簽名。因為，只有CA擁有私鑰，能產生

9、有效的公鑰證明。而攻擊者要想獲取CA的私鑰，將面臨大素數的因子分解困難。CA可以偽造公鑰證明，但一個用戶有兩個合法的公鑰證明，則證明CA的不可信賴性。 （2）攻擊者在不知道UA的私鑰 的情況下，偽造一個合法的簽名是的不可能性。攻擊者必須計算用戶的私鑰XA ，并且截獲UB的公鑰的證明CB，才能假冒UA進行簽名。而攻擊者要想獲取UA的私鑰XA，將面臨求解離散對數的困難。 （3）攻擊者截取簽名（r1 ,r2 , s）后，要試圖獲取消息是不可能的。因為攻擊者不知道接收者UB的私有密鑰xB，因此他無法根據消息恢復方程求解得到M。也就是說只有指定的消息接收者UB才可能求解得到M，他與消息發送者之間的相互確

10、認是通過用戶公鑰的自認證協議實現的。 （4）消息密鑰 K 可以多次使用。對于不同的消息M和M，使用相同的消息密鑰 K ，產生兩個消息簽名（r1 ,r2 , s）和（r1 ,r2 , s'）由于不同的消息產生的r1、 r2 和s 都不相同，攻擊者不能根據簽名等式 分析得出簽名者的私鑰 。4 方案的比較 本文所提出的基于公鑰自證明的認證加密方案是根據Girault的公鑰自證明原理，在Tseng yuh-Min等人的自證明方案的基礎上進行設計的，同時根據文獻7中對Tseng yuh- Min方案的缺點分析，提出的一種更安全的公鑰自證明方案。 首先，本方案中，CA對用戶的公鑰簽名時有效引入CA

11、的私鑰，解決了攻擊者可以假冒CA產生有效公鑰認證的問題。在Tseng的認證加密方案，CA對用戶公鑰的證明沒有使用CA的私鑰，攻擊者只要知道CA的簽名等式，就可以假冒CA的簽名。而本文的認證過程引入了CA的私鑰，由于攻擊者不知道CA的私鑰，就不能產生有效的簽名。只有CA才能使用私鑰產生有效的簽名。 同時，本方案的消息簽名改正了Tseng的認證加密方案的缺陷。在tseng的認證加密簽名方案中， r1和 r2具有線性關系，由 可以得到gk，且可以恢復消息M。本文提出的簽名方案，計算，避免 r1和 r2形成線性關系，當攻擊者截取簽名（r1 ,r2 , s）后，不能由r1 和 r2得到gk ，因此不能恢

12、復消息M。5 結論 本文的公鑰自證明方案，實現了用戶匿名注冊、雙向身份認證、數字簽名以及消息恢復和驗證。該方案與Tseng提出的方案相比，使用認證中心的私鑰產生公鑰，防止攻擊者偽造公鑰證明；而且改進了Tseng方案中攻擊者可以偽造用戶簽名的缺點。同時，用戶的身份證明在消息恢復和認證過程中實現，沒有單獨的用戶身份認證階段，減少了通信次數和信息量，很好地實現了通信雙方的身份證明，有效地解決了密鑰管理和密鑰分發地問題，能夠防止內部攻擊，而需要的存儲空間、通信量和計算量都很少，在IC卡、網絡通信等領域有廣泛的應用前景。參考文獻1 Nyberg K, Rueppel RA. Message recove

13、ry for signature schemes on the discrete logarithm A .In: Perugia. pre-proceedings of Eurocyp94C.Italy,1994.1751902 Lee WB, Chang CC, Yang WP. Authenticated encryption schemes without using it one way function J. Electron letter1995,31(19)：16561653A Shamir. Identify-based cryptosystem based on the d

14、iscrete logarithm problemC. In: Advances in cryptology-Eurocrypt 84,Springer，Berlin，1985:4753 4M Girault. Self-certified public keys, LNCS 434 C.In: Advances in cryptology: Proc.Eurocrypt91, Springer, 1991: 4904975 Y Shang, T C Wu , S C Huang . ElGamal-like digital signature and multisignature schem

15、es using self-certified public keys J. Journal of Systems and software, 2000;50(2):991056 Y M Tseng, J K Jan , H Y Chien. Digital signature with message recovery using self-certified public keys and its variants J. Applied Mathematics and Computation, 2003; 136(2-3): 2032147 Jianhong Zhang, Hu'an Li. On the security of a digital s