郭 慶，劉振鈞，房利國，余 海

(中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041)

將一個(gè)IRPKE方案改為IRIBE方案的方法研究*

郭 慶，劉振鈞，房利國，余 海

(中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041)

假定解密密鑰絕對安全是傳統(tǒng)加密方案安全性的必要前提。但是，在眾多應(yīng)用場景下解密密鑰通常是無法保證絕對安全的。于是，許多密碼專家都對入侵容忍加密方案進(jìn)行了大量研究。通過對一個(gè)入侵容忍公鑰加密(IRPKE)方案公鑰分發(fā)機(jī)制的研究，提出了一種將IRPKE改為入侵容忍基于身份加密方案(IRIBE)的方法，在不改變原IRPKE方案的安全特性的情況下，解決了系統(tǒng)新增用戶時(shí)公鑰分發(fā)困難的問題，更好地滿足了信息孤島間交換信息的密碼應(yīng)用需求。

入侵容忍加密；IRPKE；IRIBE；密鑰分發(fā)

0 引 言

對于傳統(tǒng)加密方案，密鑰的安全性是保障被加密信息安全的關(guān)鍵，如對稱密鑰加密方案的秘密密鑰、公鑰加密方案的解密私鑰。當(dāng)用于解密被加密信息的密鑰被泄露，采用該秘密密鑰或?qū)?yīng)加密公鑰加密的信息就都不安全了；于是，密鑰演化技術(shù)作為一種有效減小密鑰泄露危害的方法被提出，隨后前向安全公鑰加密方案[1]、密鑰隔離加密方案[2]、密鑰隔離基于身份加密方案[3]先后被提出。

文獻(xiàn)[4]的作者在充分研究了采用乘法共享技術(shù)的入侵容忍簽名方案[5]、入侵容忍基于身份簽名的安全性模型[6]、基于隨機(jī)預(yù)言模型安全性的入侵容忍加密方案[7]等成果后，采用先動安全(Proactive Security)、前向安全、密鑰隔離安全的思想，結(jié)合Waters的加密技術(shù)[8]，設(shè)計(jì)了一個(gè)基于l-wBDHI判定假設(shè)，標(biāo)準(zhǔn)模式下可證明安全的入侵容忍公鑰加密(IRPKE)方案。本文將針對該方案在實(shí)用過程中的密鑰分發(fā)問題，提出一種方法將入侵容忍公鑰加密系統(tǒng)改為入侵容忍基于身份加密(IRIBE)系統(tǒng)，解決加密公鑰的分發(fā)問題，以方便系統(tǒng)中新用戶的添加。

1 IRPKE介紹

IRPKE方案包含加密方、解密方和密鑰基地三個(gè)實(shí)體，系統(tǒng)的整個(gè)生命周期被分割成T個(gè)時(shí)間段，加密方的加密公鑰始終保持不變，解密方每個(gè)時(shí)間段持有的解密私鑰可以獨(dú)立解密這個(gè)時(shí)間段產(chǎn)生的密文，而下一個(gè)時(shí)間段的解密私鑰則分享在解密方和密鑰基地這兩個(gè)實(shí)體中[4]。

IRPKE方案由密鑰產(chǎn)生算法、基私鑰更新算法、解密私鑰更新算法、基私鑰刷新算法、解密私鑰刷新算法、加密算法、解密算法共七個(gè)算法構(gòu)成，并包括系統(tǒng)建立、密鑰更新和密鑰刷新三個(gè)過程。各算法具體設(shè)計(jì)參見文獻(xiàn)[4]。

1.1 系統(tǒng)建立過程

系統(tǒng)建立時(shí)，密鑰基地基于安全參數(shù)k、總時(shí)間階段數(shù)T產(chǎn)生加密公鑰、基私鑰和解密私鑰，并將加密公鑰和解密私鑰分別分發(fā)給加密方和解密方，具體過程如圖1所示。

圖1 系統(tǒng)建立流程

(1)密鑰基地采用IRPKE.setup算法，基于安全參數(shù)k、總時(shí)間階段數(shù)T產(chǎn)生加密公鑰PK、初始化基私鑰SKB0,0和初始化解密私鑰SKS0,0；

(2)密鑰基地采用IRPKE.updbase算法，基于SKB0,0產(chǎn)生第一個(gè)時(shí)間段的基私鑰SKB1,0和更新消息SKU0；

(3)密鑰基地采用IRPKE.upduser算法，基于SKS0,0和SKU0產(chǎn)生解密方第一時(shí)間段解密私鑰SKS1,0；

(4)密鑰基地將PK發(fā)送給加密方，將SKS1,0秘密遞送給解密方。

當(dāng)系統(tǒng)中各用戶都得到自己的解密私鑰、加密公鑰以及其它用戶的加密公鑰后，系統(tǒng)建立完畢。加密方使用時(shí)間段號1和解密方的PK加密信息，并發(fā)送給解密方；解密方使用時(shí)間段號1和自己的SKS1,0解密信息。

1.2 密鑰更新過程

密鑰更新時(shí)，密鑰基地基于當(dāng)前基私鑰產(chǎn)生新的基私鑰和更新消息，并將更新消息發(fā)送給解密方，由解密方基于當(dāng)前解密私鑰和更新消息產(chǎn)生新的解密私鑰，具體過程如圖2所示。

(1)密鑰基地采用IRPKE.updbase算法，基于當(dāng)前基私鑰SKBi,r產(chǎn)生下一個(gè)時(shí)間段的基私鑰SKBi+1,0和更新消息SKUi；

(2)密鑰基地將SKUi秘密遞送給解密方；

(3)解密方采用IRPKE.upduser算法，基于當(dāng)前解密私鑰SKSi,r和更新消息SKUi產(chǎn)生解密方第i+1時(shí)間段解密私鑰SKSi+1,0。

至此，解密方解密私鑰更新完畢。加密方使用時(shí)間段號i+1和解密方的PK加密信息，并發(fā)送給解密方；解密方使用時(shí)間段號i+1和SKSi+1,0解密信息。

圖2 密鑰更新流程

1.3 密鑰刷新過程

密鑰刷新時(shí)，密鑰基地基于當(dāng)前基私鑰產(chǎn)生新的基私鑰和刷新消息，并將刷新消息發(fā)送給解密方，由解密方基于當(dāng)前解密私鑰和刷新消息產(chǎn)生新的解密私鑰，具體過程如圖3所示。

(1)密鑰基地采用IRPKE.refbase算法，基于當(dāng)前基私鑰SKBi,r產(chǎn)生下一個(gè)時(shí)間段的基私鑰SKBi,r+1和刷新消息SKRi,r；

(2)密鑰基地將SKRi,r秘密遞送給解密方；

(3)解密方采用IRPKE.refuser算法，基于當(dāng)前解密私鑰SKSi,r和刷新消息SKRi,r產(chǎn)生解密方第i時(shí)間段的新解密私鑰SKSi,r+1。

至此，解密方解密私鑰更新完畢。加密方使用時(shí)間段號i和解密方的PK加密信息，并發(fā)送給解密方；解密方使用時(shí)間段號i和SKSi,r+1解密信息。

圖3 密鑰刷新流程

2 IRPKE改為IRIBE的方法

2.1 IRIBE應(yīng)用需求

IRPKE方案中，解密方每個(gè)時(shí)間階段的解密私鑰需要密鑰基地提供一個(gè)更新信息才能完成更新，解密方和密鑰基地在每個(gè)時(shí)間階段中通過刷新消息頻繁地刷新其私鑰。因此，無論解密方和密鑰基地被入侵多少次，只要入侵不是同時(shí)發(fā)生的，其他時(shí)間段的密文就都是安全的；另外，即使入侵者同時(shí)入侵解密方和密鑰基地，也不能解密以前時(shí)間段的密文[4]。

由于IRPKE以上的特點(diǎn)，使其非常適合被應(yīng)用在安全性低的設(shè)備中，如獨(dú)立工作的便攜單機(jī)間通過存儲載體交換加密的信息。但是，由于各設(shè)備均獨(dú)立工作不聯(lián)網(wǎng)，密鑰基地與各加密方不能及時(shí)通信，即不能便捷地分發(fā)新用戶的加密公鑰；而基于身份加密可通過用戶身份信息計(jì)算加密公鑰，不需要進(jìn)行加密公鑰的分發(fā)。所以，找到一種方法將IRPKE方案改為IRIBE方案就顯得很有意義。

2.2 IRIBE方案設(shè)計(jì)

IRIBE方案在IRPKE方案的基礎(chǔ)上，修改密鑰產(chǎn)生算法，新增加公鑰計(jì)算算法，其它算法不變。IRIBE方案設(shè)計(jì)如下：

(1)IRIBE的密鑰產(chǎn)生算法，記作IRIBE.setup，在IRPKE.setup基礎(chǔ)上修改；

(2)IRIBE的基私鑰更新算法，記作IRIBE.updbase，采用IRPKE.updbase算法設(shè)計(jì)；

(3)IRIBE的解密私鑰更新算法，記作IRIBE.upduser，采用IRPKE.upduser算法設(shè)計(jì)；

(4)IRIBE的基私鑰刷新算法，記作IRIBE.refbase，采用IRPKE.refbase算法設(shè)計(jì)；

(5)IRIBE的解密私鑰刷新算法，記IRIBE.refuser，采用IRPKE.refuser算法設(shè)計(jì)；

(6)IRIBE的公鑰計(jì)算算法，記作IRIBE.pubkey，基于IRPKE方案中F1函數(shù)設(shè)計(jì)思想新設(shè)計(jì)；

(7)IRIBE的加密算法，記作IRIBE.encrypt，采用IRPKE.encrypt算法設(shè)計(jì)；

(8)IRIBE的解密算法，記作IRIBE.decrypt，采用IRPKE.decrypt算法設(shè)計(jì)。

2.3 密鑰產(chǎn)生算法設(shè)計(jì)

IRPKE方案中的密鑰產(chǎn)生算法輸入安全參數(shù)k、總時(shí)間階段數(shù)T=2l，做以下操作：

為使公鑰PK可基于用戶身份產(chǎn)生，需要設(shè)計(jì)一種基于用戶身份產(chǎn)生g1的方法。

IRIBE方案的密鑰產(chǎn)生算法IRIBE.setup，輸入安全參數(shù)k、總時(shí)間階段數(shù)T=2l和用戶總?cè)萘縉=2n，做以下操作：

(1)

(2)

(1)解析〈i〉=x1…xl；

密鑰基地計(jì)算并保存未分發(fā)的所有用戶的g2,m，用于計(jì)算新用戶的SKB0,0和SKS0,0。

2.4 公鑰計(jì)算算法設(shè)計(jì)

2.5 安全性分析

IRIBE方案的安全性基于以下特性保證：

(3)解密私鑰的機(jī)密性是靠g2,m和r的機(jī)密性保障的；

(4)被加密信息的機(jī)密性是靠s的機(jī)密性保障的。

根據(jù)IRIBE方案設(shè)計(jì)易得：

(1)r和s均為隨機(jī)產(chǎn)生，且使用后即作為中間數(shù)據(jù)刪除，所有r和s的機(jī)密性是有保障的；

(2)g2,m的可推導(dǎo)集合Y為g2,m←Y={g2,m,F3,a',a1,…,an}。

下面我們采用黑白元素集分析方法[9]來分析IRIBE方案的安全性。

(1)單個(gè)用戶被入侵

(2)密鑰基地被入侵

(3)用戶和密鑰基地同時(shí)被入侵

3 結(jié) 語

文獻(xiàn)[4]設(shè)計(jì)了一種標(biāo)準(zhǔn)模型下可證明安全的入侵容忍公鑰加密(IRPKE)方案，方案在用戶和密鑰基地被入侵時(shí)都能保證用戶歷史解密私鑰和其他用戶解密私鑰的安全。但由于其采用的公鑰加密體制，需將新增用戶的加密公鑰分發(fā)給系統(tǒng)中的所有合法用戶，不適合獨(dú)立工作的便攜單機(jī)間通過存儲載體交換加密信息的場景。本文通過修改IRPKE的密鑰產(chǎn)生算法，并添加公鑰計(jì)算算法，設(shè)計(jì)出了一種可根據(jù)用戶身份編號計(jì)算加密公鑰的入侵容忍基于身份加密(IRIBE)方案，且不改變原IRPKE方案的安全特性，更加適合被應(yīng)用在安全性低，且與密鑰基地間無便捷的通信信道的設(shè)備中，具有更好的實(shí)用性。

[1]CanettiR,HaleviS,KatzJ.AForward-SecurePublic-KeyEncryptionScheme[C].In:BihamE,ed.Proc.oftheEurocrypt2003.LNCS2656,Berlin:Springer-Verlag, 2003. 255-271.

[2] Dodis Y, Katz J, XU S, et al. Key-Insulated Public-Key Cryptosystems[C]. In: Knudsen LR, ed. Proc. of the Eurocrypt 2002. LNCS 2332, Berlin: Springer-Verlag, 2002. 65-82.

[3] WENG J, LI X X, CHEN K F, et al. Identity-based Parallel Key-Insulated Encryption Without Random Oracles: Security Notions and Construction[C]. In: Barua R, Lange T, eds. Proc. of the Indocrypt 2006. LNCS 4329, Berlin: Springer-Verlag, 2006. 1143-1157.

[4] 于佳,程相國,李發(fā)根等.標(biāo)準(zhǔn)模型下可證明安全的入侵容忍公鑰加密方案[J].軟件學(xué)報(bào),2013,24(02):266-278. YU Jia, CHENG Xiang-guo, LI Fa-gen, et al. Provably Secure Intrusion-resilient Public-key Encryption Scheme in the Standard Model[J]. Journal of Software, 2013,24(02):266-278 (in Chinese).

[5] Itkis G, Reyzin L. SiBIR:Signer-Base Intrusion- resilient Signatures[C]. In: Yung M, ed. Proc. of the CRYPTO 2002. LNCS 2442, Berlin: Springer-Verlag, 2002. 499-514. [doi: 10.1007/3-540-45708-9_32]

[6] YU J, KONG FY, CHENG X G,et al. Intrusion-Resilient Identity-based Signature: Security Definition and Construction[J]. Journal of Systems and Software, 2012,85(2):382-391.

[7] DODIS Y, FRANKLIN M, KATZ J, et al. Intrusion Resilient Public-key Encryption[C]. In: Joye M, ed. Proc. of the CT-RSA 2003. LNCS 2612, Berlin: Springer-Verlag, 2003. 19-32.

[8] Waters B. Efficient Identity-based Encryption Without Random Oracles[C]. In: Cramer R, ed. Proc. of the Eurocrypt 2005. LNCS 3494, Berlin: Springer-Verlag, 2005. 114-127.

[9] 劉振鈞, 郭慶, 賴韜. 基于公鑰算法改進(jìn)型AKA協(xié)議安全性分析[J]. 通信技術(shù)，2013，46(11): 95-98． LIU Zhen-jun, GUO Qing, LAI Tao. Security Analysis of the Improved AKA Protocol based on Public-Key Algorithm[J]. Communications Technology ，2013，46(11): 95-98．

郭 慶( 1978—) ，男，工程碩士，工程師，主要研究方向?yàn)樾畔踩?、網(wǎng)絡(luò)通信安全技術(shù);

劉振鈞( 1975—) ，男，碩士，高級工程師，主要研究方向?yàn)樾畔踩?、網(wǎng)絡(luò)通信安全技術(shù);

房利國( 1977—) ，男，碩士，高級工程師，主要研究方向?yàn)樾畔踩?、網(wǎng)絡(luò)通信安全技術(shù)；

余 海( 1973—) ，男，工程碩士，高級工程師，主要研究方向?yàn)樾畔踩⒕W(wǎng)絡(luò)通信安全技術(shù)。

A Method of Transforming IRPKE into IRIBE Scheme

GUO Qing，LIU Zhen-jun，F(xiàn)ANG Li-guo，YU Hai

(No.30 Institute of CETC, Chengdu Sichuan 610041, China)

Assume that the absolute security of decryption key is a prerequisite of conventional encryption security. However, the security of decryption key could not be guaranteed in numerous application scenarios. Thus, many cryptanalysts do a lot of research on intrusion-resilient encryption scheme. Through studying the public key distribution mechanism of IRPKE (Intrusion-Resilient Public-Key Encryption) scheme, an approach to transforming IRPKE into IRIBE (Intrusion-Resilient Identity-based Encryption) scheme is proposed. Without changing the original security characteristics of the IRPKE, IRIBE could fairly solve the problem of public key distribution when the system is newly added user, and it is better to meet the application requirements of information exchange between information silos.

intrusion-resilient encryption; IRPKE; IRIBE; key distribution

10.3969/j.issn.1002-0802.2015.10.018

2015-05-18；

2015-09-19 Received date:2015-05-18；Revised date：2015-09-19

TN918

A

1002-0802(2015)10-1187-05