CN104734857A - 一种无双线性对的多接收者混合签密算法 - Google Patents

Abstract

本发明公开一种无双线性对的多接收者混合签密算法，包括密钥生成中心初始化、部分私钥提取、密钥提取、签密和解签密五个过程，实现了多接收者的双向通信签密，不使用双线性对实现方案中的签密算法，大大降低了计算开销，具有更好的普适性；与传统的方案相比可以抵御积极不诚实的密钥生成中心的伪造攻击，具有更高的安全性。

Description

一种无双线性对的多接收者混合签密算法

技术领域

本发明涉及一种无双线性对的多接收者混合签密方案，主要将无双线性对的无证书公钥加密技术和混合签密相结合实现多方通信，属于电信技术领域。

背景技术

计算机和网络技术的快速发展带动了数字业务的普及。与网络服务系统的安全组播业务相关的密钥分发和更新技术成为信息安全领域的研究热点。

传统的公钥算法在发送同一条消息时，需要用组播密钥和每个接收终端的公钥逐一加密并发送，分发数据量大且过程耗时长，大大降低了系统性能。

签密实现了同时进行公钥加密和数字签密两种操作，使得被签密后的消息同时具有机密性和不可伪造性，且与传统的先签名后加密的模式相比具有更小的计算量和传输代价。

近年来应用与各种场合，使用不同方法来实现签密的方案被提出，如门限签密方案、无证书的签密方案、基于属性的签密方案，代理签密方案以及使用两种以上方法的混合签密方案等。应用的环境也是繁复多样，如：无线传感器网络，付费电视服务和流媒体服务，云计算等。

多接收者签密思想解决了传统公钥算法向多个接收者发送同一消息需要多次加密的问题，只用一次加密就实现发送者向自己选定的多个用户发送同一消息并使得只有授权的用户可以用自己的私钥独立正确的解密消息，而且实现了对发送者身份的验证功能。

但是现在大多数的多接收者签密方案存在一些问题，主要包括：

(1)数据安全：签密方案中部分私钥有效性验证式中的部分私钥和部分公钥均由密钥生成中心生成，并且密钥生成中心知道系统主密钥，对于恶意密钥生成中心来说，要想伪造出能通过验证式的部分密钥是可以实现的。只要恶意密钥生成中心再伪造出有效的公钥，就可以对消息进行签密。

(2)通信交互：现有的方案设计的应用环境是签密者与接收者的单向通信。例如智能计量系统就是一个双向通信系统，既需要服务器向多个终端发送消息，也存在终端向服务器反馈信息。

(3)计算开销：现有的多接收者签密方案是以双线性对为基础实现的，满足要求的子群少，且运算开销巨大，不适用于计算受限的终端系统。

目前，有一种接受者匿名的身份公平的多接收者签密方案。文献中使用双线性对生成数据封装密钥，计算复杂度和资源消耗相对较大。利用拉格朗日插值多项式隐藏接受者的身份信息，但有证明这种方法存在巨大的漏洞，可以在多项式时间内获得接受者的身份信息。还有适用于智能计量系统的带标签的密钥封装机制的无证书混合签密方案，用数据封装机制的输出作为密钥封装机制的标签使方案在适应性选择密文攻击下满足机密性，但其实现的是一种单对单的通信，智能计量系统还有大量的群组通信，例如向一个小区的用户发送电价变更信息，这种方案是不能满足这种需求的。

发明内容

为了在签密者和多个接收者之间不使用双线性对就可以实现双向的签密通信，用户参与私钥生成提高私钥的安全性，同时削减签密和解签密所需的时空开销，提高运行效率，本发明提出一种无双线性对的多接收者混合签密方案。

一种无双线性对的多接收者混合签密算法，包括以下步骤：

S1、密钥生成中心初始化：生成系统参数params并随机选取系统主密钥s，公开系统参数params同时保存系统主密钥s；

S2、部分私钥提取：密钥生成中心生成签密者和接收者的原始部分私钥，发送给签密者和接收者；

S3、密钥提取：签密者和接收者收到密钥生成中心生成的部分私钥，结合自己的身份产生专有的公钥和完整私钥；

S4、签密：选择一个接收者身份集合，执行多接收者签密算法，输出对应的密文；

S5、解签密：接收者收到密文后，执行解签密算法，得到加密密钥，对密文进行解密，验证签名是否正确。

其中，密钥生成中心初始化的具体过程为：

S11、输入安全参数k，生成两个大素数p、q，q为p-1的大素数因子，满足q|p-1，设P为循环群G中任意一个阶为q的生成元；

S12、定义安全hash函数H₁：{0,1}*×G×G→Z_q*，H₂：{0,1}*→Z_q*，H₃：{0,1}*×{0,1}ⁿ→Z_q*，H₄:{0,1}^*→Z_q*；

S13、随机选取系统主密钥s∈Z_q*并保存，计算系统公钥g＝sP，选择安全的对称加密算法(E,D)；

S14、公开系统参数params＝<p,q,g,P,H₁,H₂,H₃,H₄,E,D>。

部分私钥提取的具体过程为，输入参数params、s和身份ID∈{0,1}*，密钥生成中心执行下列提取过程：

S21、给定用户身份ID_u，用户随机选取y_u∈Z_q*，计算Y_u＝y_uP，将Y_u和ID_u发送给密钥生成中心；

S22、密钥生成中心随机选择x_u∈Z_q*,计算X_u＝x_uP，密钥生成中心获得用户的Y_u后，计算D_u＝x_u+s H₁(ID_u，X_u，Y_u)+H₂(sY_u)，然后通过公开信道将X_u和D_u发送给用户。

密钥提取的具体过程为：

S31、通过判断下式是否成立判断密钥生成中心发送的D_u是否有效，成立则D_u有效，否则无效，

X_u+g H₁(ID_u，X_u，Y_u)+PH₂(y_ug)＝D_uP；

S32、计算部分私钥d_u＝D_u-H₂(y_ug)，将X_u＝x_uP作为部分公钥；

S33、设置完整公钥为pk_u＝(X_u，Y_u)，完整私钥为sk_u＝(d_u，y_u)。

签密的具体过程为：

S41、随机选取两个整数r,σ∈Z_q*，计算K＝r P；

S42、计算随机数h＝H₃(M,σ,U,X_S,Y_S)，其中X_S,Y_S为签密者的公钥；

S43、对于接收者U＝1,2,…,n，签密者使用接收者ID_u的公钥X_u，Y_u，私钥y_S，系统公钥g和随机数r、h，计算得到与签密者和接收者密钥信息都相关的随机数T_U＝(X_u+gH₁(ID_u，X_u，Y_u))(y_S+r h)；

S44、对于接收者U＝1,2,…,n，签密者将T_U经过两次散列运算H₂，H₄，将作为加密密钥使用的随机数σ隐藏为

S45、使用随机数σ经过散列运算H₂后的H₂(σ)作为安全加密算法E的加密密钥，加密消息M得到V＝E_H2(σ)(M)；

S46、生成密文C＝<(R₁,R₂,…,R_U),K,V,h>。

解密的具体过程为：

S51、接收者使用接收到的K、h，自己的私钥d_u和签密者的公钥Y_S计算得到T'_U＝d_U(Y_S+Kh)，进一步得到H₂(T'_U)；

S52、利用H₂(T'_U)从(R₁,R₂,…,R_U)中定位正确的R_U，从R_U中移除H₂(T'_U)得到W_U，其中 $W_U=\mathrm{\&sigma;}\&CirclePlus;H_4\left(T_U\right);$

S53、恢复 ${\mathrm{\&sigma;}}^{\&prime;}=W_U\&CirclePlus;H_4\left({T^{\&prime;}}_U\right);$

S54、使用随机数σ'经过散列运算H₂后的H₂(σ')作为安全解密算法D的解密密钥，解密消息V得到M'＝D_H2(o')(V)；

S55、使用解密消息M'，随机数σ'，接收到的K和签密者的公钥X_S,Y_S经过散列运算H₃得到h'＝H₃(M',σ',K,X_S,Y_S)，判断h＝h'是否成立，成立则接收解密的消息M'，否则丢弃消息M'。

当接收者向签密者发送消息时，执行两次S4和S5。

本发明能达到如下有益效果：

(1)用户首先计算产生部分公钥信息，加入到原始部分私钥生成以及验证过程中，用户通过密钥生成中心传送过来的原始部分私钥计算产生自己的部分私钥，从而使密钥生成中心生成部分私钥的行为受到用户的限制，避免其在没有用户约束的前提下伪造出公钥，与传统的方案相比可以抵御积极不诚实的密钥生成中心的伪造攻击。

(2)不使用双线性对实现方案中的签密算法，大大降低了计算开销，适用于计算受限的终端系统系统。在签密算法中将签密者的私钥、接收者的公钥和随机数进行线性组合，实现多接收者的匿名和签密。不使用双线性对，大大减少了计算量，不使用拉格朗日插值公式实现多接收者匿名，具有更好的安全性，而且计算效率更高，节省了通信开销。

(3)实现了多接收者的双向通信签密，具有更好的普适性。通过成对的生成用户的公钥和私钥，从而实现双向加解密。

(4)具有较高的安全强度，考虑到了通信带宽和计算能力受限的终端系统的情况，可以实现多方的可靠通信。

附图说明

图1为本发明无双线性对的多接收者混合签密算法的计算流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

智能电网的智能计量系统包含服务器、集中器、大量的智能电表和家庭电力设备的分层网络，是一个通信带宽和计算能力受限的系统。传统网络中的服务器需要生成和管理大量的密钥，这无疑使得服务器的负担很重。而服务器和智能电表之间也需要进行大量群组和端对端的可靠通信。

利用本发明无双线性对多接收者混合签密算法，将服务器的密钥生成中心的功能转移到集中器，减轻了服务器的负担。用户参与部分原始私钥的生成，对密钥生成中心的可靠性要求较低。服务器既能通过集中器向一个群组的智能电表发送消息，单个的智能电表也能向服务器发送数据，从而实现双向的可靠通信。

无双线性对多接收者混合签密算法的过程包括5个过程：密钥生成中心初始化、部分私钥提取、密钥提取、签密和解签密。

密钥生成中心执行以下过程：

S1、密钥生成中心初始化：密钥生成中心生成系统参数params＝<p,q,g,P,H₁,H₂,H₃,H₄,E,D>，保存主密钥s。

S2、部分私钥提取的具体过程为，输入参数params、s和身份ID∈{0,1}*，密钥生成中心执行下列提取过程：

S21、给定用户身份ID_u，用户随机选取y_u∈Z_q*，计算Y_u＝y_uP，将Y_u和ID_u发送给密钥生成中心，这里的用户包括服务器和智能电表；

S22、密钥生成中心随机选择x_u∈Z_q*,计算X_u＝x_uP，密钥生成中心获得用户的Y_u后，计算D_u＝x_u+s H₁(ID_u，X_u，Y_u)+H₂(sY_u)，然后通过公开信道将X_u和D_u发送给用户。

S3、密钥提取：用户收到Y_u和D_u后，执行下列过程：

S31、通过判断下式是否成立判断密钥生成中心发送的D_u是否有效

X_u+g H₁(ID_u，X_u，Y_u)+PH₂(y_ug)＝D_uP

S32、计算部分私钥d_u＝D_u-H₂(y_ug)，将X_u＝x_uP作为部分公钥；

S33、设置完整公钥为pk_u＝(X_u，Y_u)，完整私钥为sk_u＝(d_u，y_u)。

这样服务器和每一个智能电表就都拥有了各自的公私钥对，公钥信息是公开的。它们各自参与了自己的私钥的生成，这样就不要求密钥生成中心是安全可靠的，也能抵御积极不诚实的密钥生成中心伪造用户发送消息。

S4、签密，输入系统的公开参数params，设服务器ID_S向身份集合L＝{ID₁,ID₂,…,ID_n,}的智能电表发送消息M，执行下列步骤得到对应的密文C：

S41、随机选取两个整数r,σ∈Z_q*，计算K＝r P；

S42、计算随机数h＝H₃(M,σ,U,X_S,Y_S)，其中X_S,Y_S为服务器的公钥；

S43、对于智能电表U＝1,2,…,n，服务器使用智能电表ID_u的公钥X_u，Y_u，私钥y_S，系统公钥g和随机数r、h，计算得到与服务器和智能电表密钥信息都相关的随机数T_U＝(X_u+g H₁(ID_u，X_u，Y_u))(y_S+r h)；

S44、对于智能电表U＝1,2,…,n，服务器将T_U经过两次散列运算H₂，H₄，将作为加密密钥使用的随机数σ隐藏为

S45、使用随机数σ经过散列运算H₂后的H₂(σ)作为安全加密算法E的加密密钥，加密消息M得到V＝E_H2(σ)(M)；

S46、服务器生成密文C＝<(R_1,R_2,…_,R_U),K,V,h>并将密文广播发送。

S5、解密，当智能电表ID_u收到密文C＝<(R_1,R_2,…_,R_U),K,V,h>后，利用公开参数params，接受者的私钥d_u，对C进行解密。

S51、智能电表使用接收到的K、h，自己的私钥d_u和签密者的公钥Y_S计算得到T'_U＝d_U(Y_S+Kh)，进一步得到H₂(T'_U)；

S52、利用H₂(T'_U)从(R₁,R₂,…,R_U)中定位正确的R_U，从R_U中移除H₂(T'_U)得到W_U，其中如果智能电表不在发送的身份集合中，就不能定位正确的R_U。

S53、恢复 ${\mathrm{\&sigma;}}^{\&prime;}=W_U\&CirclePlus;H_4\left({T^{\&prime;}}_U\right);$

S54、使用随机数σ'经过散列运算H₂后的H₂(σ')作为安全解密算法D的解密密钥，解密消息V得到M'＝D_H2(o')(V)；

S55、使用解密消息M'，随机数σ'，接收到的K和服务器的公钥X_S,Y_S经过散列运算H₃得到h'＝H₃(M',σ',K,X_S,Y_S)，判断h＝h'是否成立，成立则接收解密的消息M'，否则丢弃消息M'。

当智能电表向服务器发送消息时，重复执行签密和解签密步骤即可，即密钥生成中心初始化-部分私钥提取-密钥提取-签密-解签密-签密-解签密，从而实现服务器和智能电表的双向通信。

本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段，还包括由以上技术特征任意组合所组成的技术方案。

Claims (7)

1.一种无双线性对的多接收者混合签密算法，其特征在于，包括以下步骤：

S1、密钥生成中心初始化：生成系统参数params并随机选取系统主密钥s，公开系统参数params同时保存系统主密钥s；

S2、部分私钥提取：密钥生成中心生成签密者和接收者的原始部分私钥，发送给签密者和接收者；

S3、密钥提取：签密者和接收者收到密钥生成中心生成的部分私钥，结合自己的身份产生专有的公钥和完整私钥；

S4、签密：选择一个接收者身份集合，执行多接收者签密算法，输出对应的密文；

S5、解签密：接收者收到密文后，执行解签密算法，得到加密密钥，对密文进行解密，验证签名是否正确。

2.根据权利要求1所述的无双线性对的多接收者混合签密算法，其特征在于，所述密钥生成中心初始化的具体过程为：

S11、输入安全参数k，生成两个大素数p、q，q为p-1的大素数因子，满足q|p-1，设P为循环群G中任意一个阶为q的生成元；

S12、定义安全hash函数H₁：{0,1}*×G×G→Z_q*，H₂：{0,1}*→Z_q*，H₃：{0,1}*×{0,1}ⁿ→Z_q*，H₄:{0,1}^*→Z_q*；

S13、随机选取系统主密钥s∈Z_q*并保存，计算系统公钥g＝sP，选择安全的对称加密算法(E,D)；

S14、公开系统参数params＝<p,q,g,P,H₁,H₂,H₃,H₄,E,D>。

3.根据权利要求1所述的无双线性对的多接收者混合签密算法，其特征在于，部分私钥提取的具体过程为，输入参数params、s和身份ID∈{0,1}*，密钥生成中心执行下列提取过程：

S21、给定用户身份ID_u，用户随机选取y_u∈Z_q*，计算Y_u＝y_uP，将Y_u和ID_u发送给密钥生成中心；

S22、密钥生成中心随机选择x_u∈Z_q*,计算X_u＝x_uP，密钥生成中心获得用户的Y_u后，计算D_u＝x_u+s H₁(ID_u，X_u，Y_u)+H₂(sY_u)，然后通过公开信道将X_u和D_u发送给用户。

4.根据权利要求1所述的无双线性对的多接收者混合签密算法，其特征在于，密钥提取的具体过程为：

S31、通过判断下式是否成立判断密钥生成中心发送的D_u是否有效，成立则D_u有效，否则无效，

X_u+g H₁(ID_u，X_u，Y_u)+PH₂(y_ug)＝D_uP；

S32、计算部分私钥d_u＝D_u-H₂(y_ug)，将X_u＝x_uP作为部分公钥；

S33、设置完整公钥为pk_u＝(X_u，Y_u)，完整私钥为sk_u＝(d_u，y_u)。

5.根据权利要求1所述的无双线性对的多接收者混合签密算法，其特征在于，签密的具体过程为：

S41、随机选取两个整数r,σ∈Z_q*，计算K＝r P；

S42、计算随机数h＝H₃(M,σ,U,X_S,Y_S)，其中X_S,Y_S为签密者的公钥；

S43、对于接收者U＝1,2,…,n，签密者使用接收者ID_u的公钥X_u，Y_u，私钥y_S，系统公钥g和随机数r、h，计算得到与签密者和接收者密钥信息都相关的随机数T_U＝(X_u+gH₁(ID_u，X_u，Y_u))(y_S+r h)；

S44、对于接收者U＝1,2,…,n，签密者将T_U经过两次散列运算H₂，H₄，将作为加密密钥使用的随机数σ隐藏为R_U＝H₂(T_U)(σ⊕H₄(T_U))；

S45、使用随机数σ经过散列运算H₂后的H₂(σ)作为安全加密算法E的加密密钥，加密消息M得到V＝E_H2(σ)(M)；

S46、生成密文C＝<(R₁,R₂,…,R_U),K,V,h>。

6.根据权利要求1所述的无双线性对的多接收者混合签密算法，其特征在于，解密的具体过程为：

S51、接收者使用接收到的K、h，自己的私钥d_u和签密者的公钥Y_S计算得到T'_U＝d_U(Y_S+Kh)，进一步得到H₂(T'_U)；

S52、利用H₂(T'_U)从(R₁,R₂,…,R_U)中定位正确的R_U，从R_U中移除H₂(T'_U)得到W_U，其中W_U＝σ⊕H₄(T_U)；

S53、恢复σ'＝W_U⊕H₄(T'_U)；

S54、使用随机数σ'经过散列运算H₂后的H₂(σ')作为安全解密算法D的解密密钥，解密消息V得到M'＝D_H2(o')(V)；

S55、使用解密消息M'，随机数σ'，接收到的K和签密者的公钥X_S,Y_S经过散列运算H₃得到h'＝H₃(M',σ',K,X_S,Y_S)，判断h＝h'是否成立，成立则接收解密的消息M'，否则丢弃消息M'。

7.根据权利要求1～6任一项所述的无双线性对的多接收者混合签密算法，其特征在于，接收者向签密者发送消息时，执行两次S4和S5。