CN109981265B - 一种基于身份的不使用双线性对的密文等值判定方法 - Google Patents

Abstract

本发明公开了一种基于身份的不使用双线性对的密文等值判定方法，首先，KGC执行系统初始化算法生成系统相关参数；其次，用户向KGC发送注册请求，KGC产生用户的公私钥对并通过安全信道发送给用户；然后，用户A和B对分别明文M_A和M_B进行加密得到密文C_A和C_B，并根据自身需求选择相应的授权方式Auth_i，产生对应的陷门td_A和td_R，将密文C_A，C_B和陷门td_A，td_B分别发送给服务器；最后，服务器选择相应的测试算法Test_i执行等值判定操作，若输出1，则表明M_A和M_B相同，否则不同。发明避免了使用计算性能较差的双线性对操作,大幅提高了协议的计算效率，同时，本发明提供了四种不同级别的细粒度的授权机制，使得用户具有更灵活多样的授权方式，从而保护用户隐私信息。

Description

一种基于身份的不使用双线性对的密文等值判定方法

技术领域

本发明属于信息安全技术领域，涉及一种身份的密文等值判定方法，特别涉及一种用于比对两段不同密文所对应的明文是否相同的方法。

背景技术

可搜索加密技术(Public Key Encryption with Keyword Search)是一种密文检索技术，在云计算环境中，通过将用户上传的密文数据授权给云服务提供商进行检索，同时不泄露用户隐私。可搜索加密协议通常由三个参与方协同完成，分别为数据拥有者、数据用户、服务器。数据拥有者将自己持有的数据及其对应的关键字索引加密并上传到服务器。当用户希望搜索某关键字时，将该关键字对应的陷门随搜索请求一起发送给服务器。服务器利用陷门和已存储的密文进行计算，寻找匹配项，并将结果返回给用户。需要注意的是，这里的数据持有者和用户可以是同一角色。

密文等值判定协议(Public Key Encryption with Equality Test)是一种能够在不泄露明文信息的前提下判断两个不同密文是否对应了同一明文的技术。已有的协议较多的使用了双线性对以及HashToPoint操作，这两个操作的性能较差，限制了协议在某些场景中的高效应用，特别是在嵌入式设备、智能卡等轻量级设备中的应用。

发明内容

本发明的目的是在不使用双线性对的情况下，设计更细粒度的密文等值判定方法，大幅提高密文等值判定操作的性能。

本发明所采用的技术方案是：一种基于身份的不使用双线性对的密文等值判定方法，由密钥生成中心KGC、用户和服务器S三个参与方共同执行；其特征在于，包括以下步骤：

步骤1：密钥生成中心KGC对系统进行初始化，生成系统相关参数；

步骤2：用户向密钥生成中心KGC发送注册请求，密钥生成中心KGC产生用户的公私钥对并通过安全信道发送给用户；

步骤3：用户A和B对分别明文M_A和M_B进行加密得到密文C_A和C_B，并根据自身需求选择相应的授权方式Auth_i，产生陷门td_A和td_B，将密文C_A、C_B和陷门td_A、td_B分别发送给服务器S；

步骤4：服务器S解密；

步骤5：服务器S选择相应的测试算法Test_i执行等值判定操作，若输出1，则M_A和M_B相同，否则不同。

本发明与现有技术相比具有如下优点和有益效果：

(1)目前现有的密文等值判定协议都使用了双线性对操作，该操作性能较差，较为耗时，而本协议未使用双线性对操作，具有更好的性能。

(2)与现有的密文等值判定协议相比，本发明具有更细粒度的访问控制功能，能更好的保护用户隐私。

(3)本发明使用公钥加密算法替代哈希算法来存储口令，实现了更高的存储安全性。同时，本发明使用双服务器架构代替单服务器架构来认证口令，提高了系统的稳定性和可靠性。

附图说明

图1为本发明实施例的流程图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

请见图1，本发明提供的一种基于身份的不使用双线性对的密文等值判定方法，由密钥生成中心KGC、用户和服务器S三个参与方共同执行；包括以下步骤：

步骤1：密钥生成中心KGC对系统进行初始化，生成系统相关参数；

具体实现包括以下子步骤：

步骤1.1：密钥生成中心KGC选定λ∈Z^*作为安全参数，其中Z^*表示正整数集合；选定阶为素数q∈Z^*的加法循环群G，P为G的生成元；随机选择

作为系统主密钥；选择哈希函数h₁,h₂,h₃,h₄,h₅,h₆,h₇，其中h₁:{0,1}^*×{0,1}^*→{0,1}^*,h_i(i＝2,3,4,5,6):{0,1}^*→{0,1}^*，h₇:{0,1}^*×{0,1}^*×{0,1}^*→{0,1}^*；

步骤1.2：KGC公布参数Params＝(G,P,q,h₁,h₂,h₃,h₄,h₅,h₆,h₇)并将msk秘密保存。

步骤2：用户向密钥生成中心KGC发送注册请求，密钥生成中心KGC产生用户的公私钥对并通过安全信道发送给用户；

具体实现过程是：用户以身份ID向密钥生成中心KGC发送注册请求，密钥生成中心KGC计算用户私钥SK＝(sk_a,sk_b)，其中sk_a＝h₁(msk||ID||1)，sk_b＝h₁(msk||ID||2)，计算用户公钥PK＝(PK_a,PK_b)，其中PK_a＝sk_a·P，PK_b＝sk_b·P；其中，x||y表示x与y的拼接，x和y是比特串或字节串。

步骤3：用户A和B对分别明文M_A和M_B进行加密得到密文C_A和C_B，并根据自身需求选择相应的授权方式Auth_i，产生陷门td_A和td_B，将密文C_A、C_B和陷门td_A、td_B分别发送给服务器S；

其中，加密方法的具体实现包括以下子步骤：

步骤3.1：计算点p₁＝(h₂(M),h₃(M))，点p₂＝(h₄(M),h₅(M))，计算经过点p₁、p₂的直线f(x)；其中，明文M∈{0,1}^*；

步骤3.2：选择随机数

并计算y₁＝f(x₁),y₂＝f(x₂)；若x₁＝0或者x₂＝0，则重新执行此步骤；

步骤3.3：选择随机数

并计算C₁＝r·P,

其中，

表示x与y的异或，x和y是比特串或字节串；a·Q表示点乘，a是整数，Q是循环群G上的点；

步骤3.4：输出密文C＝(C₁,C₂,C₃)。

步骤4：服务器S解密；

具体实现过程为：给定私钥SK＝(sk_a,sk_b)和密文C＝(C₁,C₂,C₃)，计算

和

用步骤3中的方法构建直线f(x)，并检查等式y₁＝f(x₁)和y₂＝f(x₂)是否成立。

步骤5：服务器S选择相应的测试算法Test_i执行等值判定操作，若输出1，则M_A和M_B相同，否则不同；

具体实现过程为：

假设用户A和B的公私钥对分别为(PK_i,SK_i)和(PK_j,SK_j)，C_i和C_j是各自对应的密文，用户A记为U_i，用户B记为U_j；为了对C_i和C_j进行细粒度的等值判定操作，定义以下四种授权机制，每种授权机制包括授权Auth和测试Test两种操作；

类型一：

Auth₁算法：用户U_i执行此算法并输出td_1,i＝sk_b,i作为陷门；

Test₁算法：给定(C_i,td_1,i,C_j,td_1,j)，此算法计算

f_i(x)←((x_1,i,y_1,i),(x_2,i,y_2,i)),f_j(x)←((x_1,j,y_1,j),(x_2,j,y_2,j)),检查f_i(x)＝f_j(x)是否成立，若成立，则输出1，表明C_i和C_j对应的明文相同，否则输出0，表明C_i和C_j所对应的明文不相同；

类型二：

Auth₂算法：U_i执行此算法并输出td_2,＝sk_b,i·C_1,i作为陷门；

Test₂算法：给定(C_i,td_2,i,C_j,td_2,j)，此算法计算

f_i(x)←((x_1,i,y_1,i),(x_2,,y_2,)),f_j(x)←((x_1,j,y_1,j),(x_2,j,y_2,j)),检查f_i(x)＝f_j(x)是否成立，若成立，则输出1，表明C_i和C_j对应的明文相同，否则输出0，表明C_i和C_j所对应的明文不相同；

类型三：

Auth₃算法：U_i执行此算法并输出

作为陷门；

Test₃算法：给定(C_i,td_3,i,C_j,td_3,j)，此算法计算

根据Shamir秘密共享协议，有

检查Z_i＝Z_j是否成立，若成立，则输出1，表明C_i和C_j对应的明文相同，否则输出0，表明C_i和C_j所对应的明文不相同.

类型四：

Auth₄算法：用户U_i的陷门为td_4,i＝sk_b,i·C_1,i,用户U_j的陷门为td_4,j＝sk_b,i；

Test₄算法：给定(C_i,td_4,i,C_j,td_4,j)，此算法计算

f_i(x)←((x_1,i,y_1,i),(x_2,i,y_2,i)),f_j(x)←((x_1,j,y_1,j),(x_2,j,y_2,j)),检查f_i(x)＝f_j(x)是否成立，若成立，则输出1，表明C_i和C_j对应的明文相同，否则输出0，表明C_i和C_j所对应的明文不相同。

本发明提供的一个基于身份的密文等值判定方法，没有使用双线性对，使得该协议比传统协议具有更好的性能。同时，该协议包含四种授权/测试方法，为密文等值判定操作提供了细粒度的访问控制。

本发明具有高性能、实现复杂度低等特点。与传统的算法相比，本发明避免了使用计算性能较差的双线性对操作,提高了协议的计算效率，同时，本发明提供了四种不同级别的细粒度的授权机制，使得用户具有更灵活多样的授权方式，从而保护用户隐私信息。

应当理解的是，本说明书未详细阐述的部分均属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims (1)

1.一种基于身份的不使用双线性对的密文等值判定方法，由密钥生成中心KGC、用户和服务器S三个参与方共同执行；其特征在于，包括以下步骤：

步骤1：密钥生成中心KGC对系统进行初始化，生成系统相关参数；

步骤1的具体实现包括以下子步骤：

步骤1.1：密钥生成中心KGC选定λ∈Z^*作为安全参数，其中Z^*表示正整数集合；选定阶为素数q∈Z^*的加法循环群G，P为G的生成元；随机选择

作为系统主密钥；选择哈希函数h₁，h₂，h₃，h₄，h₅，h₆，h₇，其中h₁：{0，1}^*×{0，1}^*→{0，1}^*，h_l：{0，1}^*→{0，1}^*，h₇：{0，1}^*×{0，1}^*×{0，1}^*→{0，1}^*；其中，l∈{2，3，4，5，6}；

步骤1.2：KGC公布参数Params＝(G，P，q，h₁，h₂，h₃，h₄，h₅，h₆，h₇)并将msk秘密保存；

步骤2：用户向密钥生成中心KGC发送注册请求，密钥生成中心KGC产生用户的公私钥对并通过安全信道发送给用户；

步骤2的具体实现过程是：用户以身份ID向密钥生成中心KGC发送注册请求，密钥生成中心KGC计算用户私钥SK＝(sk_a，sk_b)，其中sk_a＝h₁(msk||ID||1)，sk_b＝h₁(msk||ID||2)，计算用户公钥PK＝(PK_a，PK_b)，其中PK_a＝sk_a·P，PK_b＝sk_b·P；*||*表示比特串或字节串的拼接；

步骤3：用户A记为U_i，用户B记为U_j；用户A对明文M_i进行加密得到密文C_i，用户B对明文M_j进行加密得到密文C_j；用户A和B根据需求选择相同的授权算法Auth_k，分别产生陷门td_k，i和td_k，j；用户A将密文C_i和陷门td_k，i发送给服务器S，用户B将密文C_j和陷门td_k，j发送给服务器S；其中，k∈{1，2，3，4}；

步骤3中所述的加密，其具体实现包括以下子步骤：

步骤3.1：计算点p₁＝(h₂(M)，h₃(M))，点p₂＝(h₄(M)，h₅(M))，计算经过点p₁、p₂的直线f(x)；其中，明文M∈{0，1}^*；所述M∈{M_i，M_j}；

步骤3.2：选择随机数x₁，

并计算y₁＝f(x₁)，y₂＝f(x₂)；若x₁＝0或者x₂＝0，则重新执行此步骤；

步骤3.3：选择随机数

并计算C₁＝r·P，

其中，

表示比特串或字节串的异或；*·*表示点乘；

步骤3.4：输出密文C＝(C₁，C₂，C₃)；

步骤4：服务器S选择相应的测试算法Test_k执行等值判定操作，若输出1，则M_i和M_j相同，否则不同；

步骤4的具体实现过程为：

用户A和B的公私钥对分别为(PK_i，SK_i)和(PK_j，SK_j)，C_i和C_j是各自对应的密文，用户A记为U_i，用户B记为U_j；为了对C_i和C_j进行细粒度的等值判定操作，定义以下四种授权机制，每种授权机制包括授权算法Auth和测试算法Test两种操作；

类型一：

Auth₁算法：用户U_i输出td_1，i＝sk_b，i作为陷门，用户U_j输出td_1，j＝sk_b，j作为陷门；

Test₁算法：给定(C_i，td_1，i，C_j，td_1，j)，此算法计算

f_i(x)←((x_1，i，y_1，i)，(x_2，i，y_2，i))，f_j(x)←((x_1，j，y_1，j)，(x_2，j，y_2，j))，检查f_i(x)＝f_j(x)是否成立，若成立，则输出1，表明C_i和C_j对应的明文相同，否则输出0，表明C_i和C_j所对应的明文不相同；

类型二：

Auth₂算法：用户U_i输出td_2，i＝sk_b，i·C_1，i作为陷门，用户U_j输出td_2，j＝sk_b，j·C_1，j作为陷门；

Test₂算法：给定(C_i，td_2，i，C_j，td_2，j)，此算法计算

f_i(x)←((x_1，i，y_1，i)，(x_2，i，y_2，i))，f_j(x)←((x_1，j，y_1，j)，(x_2，j，y_2，j))，检查f_i(x)＝f_j(x)是否成立，若成立，则输出1，表明C_i和C_j对应的明文相同，否则输出0，表明C_i和C_j所对应的明文不相同；

类型三：

Auth₃算法：用户U_i输出

作为陷门，用户U_j输出

作为陷门；

Test₃算法：给定(C_i，td_3，i，C_j，td_3，j)，此算法计算

根据Shamir秘密共享协议，有

检查Z_i＝Z_j是否成立，若成立，则输出1，表明C_i和C_j对应的明文相同，否则输出0，表明C_i和C_j所对应的明文不相同；其中m表示元素的比特长度，

表示取元素*的前2m比特；

类型四：

Auth₄算法：用户U_i的陷门为td_4，i＝sk_b，i·C_1，i，用户U_j的陷门为td_4，j＝sk_b，i；

Test₄算法：给定(C_i，td_4，i，C_j，td_4，j)，此算法计算

f_i(x)←((x_1，i，y_1，i)，(x_2，i，y_2，i))，f_j(x)←((x_1，j，y_1，j)，(x_2，j，y_2，j))，检查f_i(x)＝f_j(x)是否成立，若成立，则输出1，表明C_i和C_j对应的明文相同，否则输出0，表明C_i和C_j所对应的明文不相同。

Images