[发明专利]一种基于身份的抗弹性泄漏加密方法

说明书

技术领域

本发明涉及数据加密领域，更具体地说，涉及一种基于身份的抗弹性泄漏加密方法。

背景技术

在传统的公钥密码系统中，主要采用公钥证书基础设施PKI(Public Key Infrastructure)来验证公钥和用户身份的相关性。用户身份和公钥之间的关联通过证书机构(Certification Authority：CA)发放的公钥证书实现。这种方式的证书管理过程需要很高的计算开销和存储开销。

基于身份的密码体制的思想由Shamir在1984年首先提出。在该体制中，公钥就是用户的身份信息(或者是直接由用户的身份信息导出)，比如网络内某主机的IP地址或某用户的Email地址。PKG根据用户的公钥由身份信息直接计算得出，所以在使用公钥的过程中就不需要存放或证书的目录，也不需要第三方(CA)提供服务，只需要维护一个PKG产生的认证的公开系统参数目录，这个开销远低于维护一个所有用户的公钥目录所需的开销。因此，基于身份的密码体制的优势就在于它简化了传统基于证书的公钥体制下负担最重的密钥管理过程。

传统密码学安全模型都是基于这样的假设：只有用户知道密码学算法在计算过程中产生的随机秘密信息，而攻击者是完全不知道的，攻击者只能够对算法进行输入输出，却不能访问内部的用户程序和具体算法。但是，最近几十年出现的各种各样的边信道攻击可以证明在现实中，这样的假设是不存在的。这些攻击相当于提供给了攻击者一些攻击能力，即由于计算过程中的物理泄漏，攻击者可以看到算法执行部分的内部秘密状态。传统模型中可证安全的方案在很多有独创性的边信道攻击下是不安全的。现存的边信道攻击主要包括时序攻击、电磁辐射、能量功耗、冷启动攻击以及故障检测等。因此，密钥的泄漏问题已经成为密码体制安全的最大威胁。目前已出现一些解决方法，例如，具有前向安全的密码系统，秘密分享，密钥隔离，入侵弹性和代理重加密等，但上述方法不能完全解决或只能部分解决密钥泄漏问题，最近提出用泄漏函数定义抗密钥泄漏密码学(即弹性泄漏密码学)是解决密钥泄漏问题的最有力工具之一，因此，对弹性泄漏密码学的课题研究具有重要意义。

相对于仅利用密码设备合法的输入或者输出进行攻击，即主信道攻击行为，边信道攻击(或泄漏攻击)已严重威胁到传统已证安全的密码系统的安全性，成为目前密码系统设计及其安全性分析所面临的一个重大挑战。在现实世界中，不可能人为地预测出密码系统在物理实现过程中可能遇到的所有泄漏攻击，所以，一个可行的方法是：构建抗密钥泄漏密码系统，使其在密码原型遭遇泄漏攻击的环境下是可证安全的。基本思路是：首先提出形式化的泄漏模型来刻画攻击者的泄漏攻击能力和手段，即在泄漏攻击过程中攻击者能够获得哪些信息；然后在不同的泄漏模型下提出可证安全的密码方案，即抗泄漏密码算法。目前主要存在的泄漏模型以及在这些模型下构建的密码方案有：计算泄漏(only computation leaks information，简称OCLI)，相对泄漏模型(relative-leakage model)，有界恢复模型(bounded-retrieval model，简称BRM)，持续泄漏模型(continual leakage model，简称CLM)，事后泄漏(After-the-Fact Leakage)。

1984年，Shamir首先提出了基于身份的公钥密码系统，试图通过使用用户的身份(如名称或电子邮件/IP地址)作为公钥来减少对基础设施的需求。第一个真正实用的安全IBE方案是由Boneh和Franklin在2001年提出的，他们的系统使用了双线性映射，且在随机预言模型中证明了安全性。Canetti等人提出了一个可以在标准模型中证明安全性的基于身份加密系统，但是是在一个更弱的“选择身份”安全模型中，该模型要求攻击者必须在攻击之前公布要挑战的目标身份。2004年，Boneh和Boyen提出了一个在选择身份模型中更加实用的基于身份加密系统。不久之后，Boneh和Boyen提出了一个标准模型中完全安全的基于身份加密方案，即攻击者可以自适应的选择要挑战的目标身份。2005年，Waters简化了Boneh和Boyen提出的的方案，充分提高了方案的效率。Gentry也提出了一个标准模型中完全安全的基于身份加密系统，且与在他之前已提出的基于身份加密系统相比较，有三大优点：更高的计算效率，更短的公开参数和“紧”安全性。然而，以上的基于身份加密方案都没有考虑信息泄漏，由于边信道攻击的存在，这些方案可能在现实世界中是不安全的。因此，如何在基于身份加密方案中实现弹性泄漏是一个有趣且富有挑战性的课题。