CN110830236A

CN110830236A - 基于全域哈希的身份基加密方法

Info

Publication number: CN110830236A
Application number: CN201911115651.4A
Authority: CN
Inventors: 刘世有; 廖华; 邓雅
Original assignee: Hunan Dunshen Technology Co Ltd
Current assignee: Hunan Dunshen Technology Co Ltd
Priority date: 2019-11-14
Filing date: 2019-11-14
Publication date: 2020-02-21
Anticipated expiration: 2039-11-14
Also published as: CN110830236B

Abstract

本发明提供了一种基于全域哈希的身份基加密方法，消息发送方在仅知晓消息接收方身份标识的情况下，即可完成对消息的加密，而不需要依赖第三方信任机构，消息接收方通过自己的身份私钥，结合双线性运算和哈希运算，即可还原出消息原文并且验证，包括步骤S1：参数初始化；S2：密钥生成中心生成主公钥和主私钥；S3：用户密钥生成；S4：Alice加密；S5：Bob解密。采用基于全域哈希的身份基密码方案，完成了用户身份与公钥的最自然绑定，避免第三方信任系统繁琐的信任证明；与国际上流行BF‑IBE的方案相比，在相同安全强度下，本方案在加密阶段取消了最为耗时的双线性对运算，并且减少了一次点加运算，而在解密阶段与BF‑IBE算法相当。

Description

基于全域哈希的身份基加密方法

技术领域

本发明涉及密码学技术领域，特指一种针对基于全域哈希的身份基加密方法。

技术背景

A.Shamir在1984年提出了基于身份的密码系统(Identity-BasedCryptography)的概念，在基于身份的密码系统中，用户的私钥由密钥生成中心(KeyGenerateCenter，KGC)根据主密钥和用户身份计算得出，用户的公钥由用户身份唯一确定，从而用户不需要通过第三方保证其公钥的真实性。与基于证书的公钥密码系统相比，基于身份的密码系统中的密钥管理环节可以得到适当简化近年来，随着我国网络信息化建设的不断推进及信息技术的广泛应用，在促进经济发展、社会进步、科技创新的同时，也带来了十分突出的网络安全问题。密码技术是网络安全技术的基础，基于身份的密码学技术是确保网络中通信双方安全通信的重要工具。

椭圆曲线对具有双线性的性质，它在椭圆曲线的循环子群与扩域的乘法循环子群之间建立了联系。1999年，K.Ohgishi、R.Sakai和M.Kasahara在日本提出了用椭圆曲线对(pairing)构造基于身份的密钥共享方案；2001年，D.Boneh和M.Franklin，以及R.Sakai、K.Ohgishi和M.Kasahara等人独立提出了用椭圆曲线对构造基于身份的公钥加密算法。这些工作引发了基于身份的密码的新发展。

本发明在D.Boneh和M.Franklin算法的基础上，提出了一种基于全域哈希的身份基加密方案，在保留标识密码体制密钥短、速度快、安全强度高和不依赖第三方证书的优势下，在加密阶段使用一次速度较快的点乘运算替代了时间开销较大的双线性对运算，且不影响算法的安全性，显著提高了加密方案的计算性能。

发明内容

为了解决上述问题，本发明提供一种基于全域哈希的身份基加密方法，其特征在于，消息发送方在仅知晓消息接收方身份标识的情况下，即可完成对消息的加密，而不需要依赖第三方信任机构，消息接收方通过自己的身份私钥，结合双线性运算和哈希运算，即可还原出消息原文并且验证。本发明中默认已由密钥生成中心生成相关的系统参数并对相关用户身份信息初始化完毕，具体包括以下步骤：

S1：参数初始化

阶数为大素数N的加法循环子群G1和G2，G1的生成元P1，G2的生成元P2；阶数为大素数N的乘法循环子群GT；双线性对e是G1×G2→GT的映射；哈希函数H(Z，n)的输入为比特串Z和整数n、输出为a∈[1，n-1]，得到H1，H2；公开参数P1，P2，H1，H2；

S2：密钥生成中心生成主公钥和主私钥

密钥生成中心将随机产生的随机数s∈[1，N-1]作为主私钥，并将s和P2的乘积作主公钥Ppub，Ppub＝s·P2；公开参数Ppub和e(Ppub，P2)；

S3：密钥对生成

用户B的标识为IDB，为产生用户B的通信密钥对，密钥生成中心计算公钥P_idB＝H1(IDB,N)，为计算解密私钥dsB,密钥生成中心首先计算T1＝H1(IDB,N)+P2，然后计算私钥dsB＝[s]T1；

S4：Alice加密

用户A需要为自己的消息M加密发送给Bob时，设需要发送的消息为比特串M，长度为mlen，包括以下步骤：

A1：产生随机数r∈[1,N-1]；

A2：计算整数B＝H₃(r||M,N)；

A3：计算群G1中的元素C1＝B*P1

A4：计算群G1中的元素C2＝B*H₁(IDB,N)

A5：计算整数

A6：计算整数

A7：输出密文C＝C1||C2||C3||C4；

实现加密明文M给用户B；

S5：解密算法

根据所述S4步骤中得到的密文C＝C1||C2||C3||C4，对C进行解密，包括以下步骤：

B1：将C1的数据类型转换为椭圆曲线上的点，检验C1∈G1是否成立，若不成立则验证不通过；

B2：将C2的数据类型转换为椭圆曲线上的点，检验C2∈G1是否成立，若不成立则验证不通过；

B3：计算整数h＝e(C1,dsB)/e(Q,C2)

B4：计算

B5：计算密文

B6：计算群G1上的点h2＝H₄(r^′||M,N)P1；

B7：如果h2≠C1，解密失败，否则解密成功。

作为上述方案的进一步改进，所述步骤S3密钥对生成包括以下步骤：

C1：用户在进行通信之前都需要向密钥生成中心进行注册，用户向密钥生成中心发送用户自身的身份标识ID1、申请系统参数和通信密钥；

C2：密钥生成中心获取用户的身份标识、申请系统参数和通信密钥请求后，对用户的身份标识进行审核；

C3：通过后，密钥生成中心根据用户的身份标识和主密钥为用户生成私钥；

C4：密钥生成中心为Alice和Bob生成给定身份ID的公私钥对，Alice的身份ID_A为Alice@company.com，则其对应的公钥Q_A为H₁(ID_A)，密钥生成中心为其生成的私钥S_A为sQ_A；Bob的身份ID_B为Bob@company.com，则计算其对应的公钥Q_B＝H₁(ID_B)，私钥S_B＝sQ_B，密钥生成中心通过安全通道将私钥分发给用户。

本发明中设定由密钥生成中心完成整个系统的初始化，密钥生成中心参数和身份信息应满足如下情况：密钥生成中心选取有限域Fq的椭圆曲线方程E为：y2＝x3+ax+b，其中椭圆曲线参数a、b∈Fq，且(4a3+27b2)modq≠0，其中mod q表示整数除以q的求余运算。根据密钥生成中心选择的特定椭圆曲线E，在椭圆曲线E上构造N阶加法循环群G₁和G₂，其中G₁的生成元为P₁，G₂的生成元为P₂，随机选择s∈[1,N-1]，作为密钥生成中心的主密钥,计算G₁中的元素P_pub＝sP作为加密主公钥。双线性映射e满足e:G₁×G₂→G_T，双线性映射e的值域G_T为N阶乘法群。最后选择相关哈希函数H(Z，n)，函数H(Z，n)的输入为比特串Z和整数n、输出为a∈[1，n-1]，在哈希函数Hx(Z，n)中，x的不同数值代表的哈希函数的某一种具体实现。密钥生成中心完成初始化后，公布系统的公共参数<G₁,G₂,G_T,e(P_pub，P₂),P₁,P₂,P_pub,n,H₁,H₂,H₃,H_4，>列表。

本发明与现有技术相比具有如下优势；

1.采用基于全域哈希的身份基密码方案，完成了用户身份与公钥的最自然绑定，避免第三方信任系统繁琐的信任证明；

2.在身份基密码系统中，本发明的计算性能具有优势。与国际上流行BF-IBE的方案相比，在相同安全强度下，本方案在加密阶段取消了最为耗时的双线性对运算，并且减少了一次点加运算，而在解密阶段与BF-IBE算法相当。在实际的应用场景下，特别是在群发加密消息时，发送方需要单独为每一个接受者加密消息，且无法并行工作，加密速度的提升大幅降低了发送方的计算开销，该特点积极意义显著。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明消息加密流程图。

图2是本发明消息解密流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的技术方案进行详细的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本发明所保护的范围。

本发明的目的在于提出一种基于全域哈希的身份基加密方法，消息发送方在仅知晓消息接收方身份标识的情况下，即可完成对消息的加密；消息接收方收到密文后，通过自己的身份私钥，结合双线性运算和哈希运算，即可还原出消息原文并且验证。整个过程不需要第三方认证机构，摆脱了证书传递和验证的困扰，有效控制密钥泄露带来的安全影响范围。以下将以Alice(简称A)发送加密消息给Bob(简称B)的通信过程为例进行阐述。本方案中由一个可信的自信任机构(Self-Trust Authority，STA)来完成密钥生成中心的任务。具体实施包括以下步骤：

S1：参数初始化。设Fq是阶为q的有限域，其中q是一个奇素数或者是2的方幂，当q是奇素数时，要求q>2191；当q是2的方幂2m时，要求m>192且为素数，当q是奇素数时，素域中的元素用整数0,1,2…,q-1表示；当q是2的方幂2m时，二元扩域阶为2的F2上的m维向量空间，其元素可用长度为m的比特串表示；选取有限域Fq的椭圆曲线方程E为：y2＝x3+ax+b，其中椭圆曲线参数a、b∈Fq，且(4a3+27b2)modq≠0，其中mod q表示整数除以q的求余运算。设有限域Fq上椭圆曲线方程E的所有的有理点组成的集合为E(Fq)，其中E(Fq)＝{(x,y)|x,y∈Fq,且满足方程<1>}∪{O}，其中O是无穷远点。选取阶数为大素数N的加法循环子群G1和G2，G1的生成元P1，G2的生成元P2；阶数为大素数N的乘法循环子群GT；双线性对e是G1×G2→GT的映射；哈希函数H(Z，n)的输入为比特串Z和整数n、输出为a∈[1，n-1]，设有限域Fq的椭圆曲线方程E上的阶为n的基点G＝(xG,yG)，其中xG,yG为基点的横纵坐标。选取哈希函数H(Z，n)，函数H(Z，n)的输入为比特串Z和整数n、输出为a∈[1，n-1]，哈希函数Hx(Z，n)中，x的不同数值代表的哈希函数的某一种具体实现。

S2：密钥生成中心生成主公钥和主私钥。密钥生成中心将随机产生的随机数s∈[1，N-1]作为主私钥，并将s和P2的乘积作主公钥Ppub，Ppub＝s·P2；公开参数，Ppub和e(Ppub，P2))。

S3：用户密钥生成。每个用户在进行通信之前都需要向密钥生成中心进行注册，用户向密钥生成中心发送用户自身的身份标识(一般指用户的唯一识别号，比如邮箱)ID1、申请系统参数和通信密钥；密钥生成中心获取用户的身份标识、申请系统参数和通信密钥请求后，对用户的身份标识进行审核；通过后密钥生成中心根据用户的身份标识和主密钥为用户生成私钥。密钥生成中心为Alice和Bob生成给定身份ID的公私钥对，Alice的身份ID_A为Alice@company.com，则其对应的公钥Q_A为H₁(ID_A)，密钥生成中心为其生成的私钥S_A为sQ_A。Bob的身份ID_B为Bob@company.com，则计算其对应的公钥Q_B＝H₁(ID_B)，私钥S_B＝sQ_B，密钥生成中心通过安全通道将私钥分发给用户。

S4：Alice加密。当用户A需要为自己的消息M加密发送给Bob时，如图1所示，首先随机产生整数r,然后将随机数r与消息M连接，通过哈希计算得到整数B，计算为B＝H₃(r||M,N)；进而将B与元素P1相乘，得到群G1中的元素C1,计算为C1＝B*P1；然后将接收方Bob的标识ID_B哈希计算出公钥，再与B相乘得到群G1中的元素C2,计算为C2＝B*H₁(ID_B,N)；接着B与公开双线性对e(Ppub，P₂)相乘再与随机数r异或，得到C3，计算为C3＝r⊕(B﹒e(Ppub，P₂))。最后随机数r哈希后与消息M异或，得到C4，计算为C4＝M⊕H(r,N)，输出密文C＝C1||C2||C3||C4。

S5：Bob解密。Bob收到用户Alice的密文M’，进行解密时(如图2所示)，首先，Bob提取出密文中C1和C2部分，检验其对应的椭圆曲线上的点是否属于G1群。检验通过后将C1、C2分别于自己的私钥dsB及系统主公钥P_pub进行双线性对运算，运算结果相除得到h，计算为h＝e(C1,dsB)/e(Q,C2)；接着对h进行哈希，得到的结果与C1异或得到r’,然后就可以计算明文为确保解密正确，需要验证，计算群G1上的点h2＝H₄(r^′||M,N)P1；如果h2≠C1，解密失败，否则解密成功。

以上仅是本发明的优选实施例，并非对本发明作任何形式上的限制。虽然本发明已以优选实施例揭露如上，然而并非用以限定本发明。任何熟悉本领域的技术人员，在不脱离本发明技术方案范围的情况下，都可利用上述揭示的技术内容对本发明技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本发明技术方案的内容，依据本发明技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均应落在本发明技术方案保护的范围内。

Claims

1.一种基于全域哈希的身份基加密方法，其特征在于；消息发送方在仅知晓消息接收方身份标识的情况下，即可完成对消息的加密，而不需要依赖第三方信任机构，消息接收方通过自己的身份私钥，结合双线性运算和哈希运算，即可还原出消息原文并且验证；包括以下步骤：