CN101166088A - 基于用户身份标识的加解密方法 - Google Patents

Abstract

本发明为一种基于用户身份标识的加解密方法，其包括的步骤为：步骤a：产生基于用户身份标识的加解密系统的系统参数，生成至少两个主密钥分量；步骤b：提供多级密钥设备，密钥服务器向符合身份标识要求用户的各级密钥设备中设置种子密钥和参数；步骤c：每级密钥设备根据上一级密钥设备的帮助密钥生成和更新本级密钥设备的帮助密钥；步骤d：在最后一级密钥设备处生成用户私钥；其是根据最后一级密钥设备之前的密钥设备生成的所述的帮助密钥实现的；步骤e：根据用户的公钥加密明文产生密文；步骤f：通过用户私钥解密密文变成明文。实现了避免单一主密钥被破解，使整个系统被破解的风险；保证了用户私钥的频繁更新，减轻了密钥服务器的负担；计算量小，存贮空间也小。

Description

基于用户身份标识的加解密方法

技术领域

本发明涉及的是一种加解密方法，特别涉及的是一种基于用户身份标识的加解密方法。

背景技术

PKI技术是一种成熟的公钥密码技术，近10年来获得了广泛的应用，如现在的网上银行，网上证券、电子商务等等都基于PKI技术，来保证数据传输的安全性。我国2004颁布的《电子签名法)》也是基于PKI技术。在公钥密码技术中，用户有两把密钥，一把密钥为用户独有，称为用户私钥；一把密钥公开给大家，称为公钥，利用用户公钥就可以给该用户发送加密信息，但在PKI技术中用户公钥是一串没有意义的随机数字，因而要将公钥和标志用户身份标识的信息绑定起来，形成数字证书，才方便大家查询，一旦用户数量过多的情况，用户繁琐的数字证书管理问题成了PKI系统运行的瓶颈。

为了解决繁琐的数字证书管理问题，早在1984年，RSA公钥密码技术的发明者之一Adi Shamir教授就提出了基于身份加密(Identity-Based Encryption)的思想，IBE是基于身份加密的缩写，它的最大特点是利用标志用户身份标识的信息(如：用户的身份证号、电子邮件地址、QQ号、手机号等等)直接作为用户公钥，不采用数字证书的概念，因而避免了繁琐的数字证书管理问题。但在那时还没有具体方法在实际中实现这一思想，IBE技术成为密码学界未解决的主要问题之一。

2001年，基于椭圆曲线密码和Weil配对数学理论，斯坦福大学计算机科学技术系的教授Dan Boneh和加州大学戴维斯分院的教授Matt Franklin分别发明了具体可实施的IBE算法，该算法又简称为D.B/M.F算法。

D.B/M.F算法方案的安全性建立在CDH(Computation Diffie-Hellman)困难问题的一个变形之上，称为BDH(Bilinear Diffie-Hellman)困难问题。D.B/M.F算法的核心是使用了超奇异椭圆曲线上的一个双线性映射Weil Pairing。描述如下：

1、设p是一个大素数，p≡2 mod 3，并且存在大素数q，使得p+1能被q整除，但不能被q²整除，记为p＝1q-1；

2、E/GF(p)是在有限域GF(p)上构造的椭圆曲线：y²＝x³+1，P是该曲线上阶为q的点，也称为基点，定义加法循环群G1利用P的点积方法生成；定义乘法循环群G2利用P的乘幂的方法生成；

3、BDH问题：对于随机的a，b，c∈Z_q ^*，已知(P，aP，bP，cP)来计算ê(P，P)^abc∈G2。注意到E/GF(p)是超奇异椭圆曲线。“ê”是由修改的Weil Pairing变来的映射，ê：G1×G1→G2，满足以下三条性质：

1)双线性性：

对于所有P，Q∈G1，和所有的a，b∈Z有：ê(aP，bQ)＝ê(P，Q)^ab，其中Z是整数集；

2)非退化性：如果P是G1的生成元，则ê(P，P)∈GF(p²)^*是G2的生成元。在群G中如果存在有P∈G使得G＝{P^k|k∈Z}，则称G为循环群，称P为G的生成元；

3)可计算性：对于任何P，Q∈G1，存在一个有效的算法来计算ê(P，Q)∈G2。

Weil Pairing的存在本来是对超奇异椭圆曲线上的密码体制的威胁，也就是说，G中的离散对数问题可轻易地简化成GF(p²)^*中的离散对数问题。E/GF(p)是超奇异椭圆曲线，所以为使G中的离散对数问题难解，必须要求p的长度至少为512比特。

D.B/M.F算法方案分为四个执行阶段：系统参数建立阶段(Setup)、用户私钥生成阶段(Extract)、加密阶段(Encrypt)，以及解密阶段(Decrypt)，其中，

所述的系统参数建立阶段，包括的内容是：

可信第三方密钥服务器进行如下步骤产生D.B/M.F的系统参数：

1)首先选择一个至少512比特长的大素数p，找一条满足BDH安全假设的超奇异椭圆曲线E/GF(p)，P是曲线E的基点，基点的阶是大素数q，q的长度至少为160比特，定义q阶加法循环群G1、q阶乘法循环群G2，以及双线性配对ê：G1×G1→G2；

2)定义hash函数H2：GF(p²)→{0，1}ⁿ，及一个用于将用户身份ID映射到G1^*上元素的函数H1，这里的G1^*表示G1去除O元素；

3)明文空间是：M＝{0，1}ⁿ，密文空间是C＝G1^*×{0，1}ⁿ；

4)随机选择s∈Z_q ^*作为系统主密钥(master key)，并令P_pub＝sP；

5)保密主密钥s，公开公共参数param＝<q，G1，G2，ê，n，P，P_pub，H1，H2>。

所述用户私钥生成阶段，其包括的步骤为：

身份标识为ID∈{0，1}ⁿ的用户向密码服务器申请自己的解密私钥，密码服务器需要做以下工作：

1)计算用户公钥Q_ID：Q_ID＝H1(ID)

2)产生用户私钥d_ID：d_ID＝sQ_ID。

所述的加密阶段，其包括的步骤为：

随机选取r∈Z_q ^*，用Q_ID加密明文M，产生密文C：

1)令g_ID＝ê(Q_ID，P_pub)∈G2；

2)C＝<rP，MH2(g_ID ^r)>

所述的解密阶段，其包括的步骤为：

用d_ID解密密文C＝<U，V>，获取明文M：

1)检查U是否是E/GF(p)中的点，如果不是就拒绝该密文；

2)计算得出M＝VH2(ê(d_ID，U))；

其中，加解密的一致性是由下面的等式保证的：

ê(d_ID，U)＝ê(sQ_ID，rP)＝ê(Q_ID，sP)^r＝ê(Q_ID，P_pub)^r＝g_ID ^r。

该方案根据椭圆曲线密码和双线性映射理论实现具体可实施的IBE方案，解决了密码学的一大难题。但这个系统中也存在一些问题：(1)主密钥一旦被破解，黑客可计算出任何人的私钥，则系统即被攻破；(2)密钥管理的问题没有很好的解决。IBE技术和PKI技术相比的优点是无证书管理问题，但缺点是密钥管理没有PKI那样方便、安全。PKI技术的私钥可以在客户端自行随机产生，为CA服务器端所不知，然后计算生成公钥，结合着自己的身份等相关信息到CA申请数字证书；而D.B/M.F的IBE方案的用户私钥由密钥服务器统一计算并分发，D.B/M.F方案在密钥更新过程中要求用户身份信息不被改变，采用将用户身份信息和时间信息连接，诸如ID||T的形式，作为用户公钥，这样经过一定的时间密钥就要更新一次，如果设定T是年，则用户私钥要每年更新一次，为了减少用户私钥被破解的风险，时间段T要尽量短一些，比如可设置T为天，用户私钥每天更新一次，这样即使黑客盗取了用户私钥，他也只能解密当天的加密信息，但这样频繁地通过密码服务器更新用户私钥，又极大地增加了密码服务器的负担。

以手机为例：保密手机可以通过IBE技术来实现，每个手机号都是唯一的，可作为标识用户的身份信息，在密码系统中，作为公开密钥，用户的手机号不会轻易的变化。出于密码安全需要，要求用户的私钥每天都更新一次，如果采用D.B/M.F的IBE算法，用户每天都要和密码服务器交互，这样势必密码服务器的负荷过重，就不能体现IBE技术公钥管理方便，计算量小的优越性。

为解决上述问题，本发明创作者经过长时间的研究和实践终于获得了本创作。

发明内容

本发明的目的在于，提供一种基于用户身份标识的加解密方法，用以克服上述缺陷。

为实现上述目的，本发明采用的技术方案在于，提供一种基于用户身份标识的加解密方法，其包括的步骤为：

步骤a：产生基于用户身份标识的加解密系统的系统参数，生成至少两个主密钥分量；

步骤b：提供多级密钥设备，密钥服务器向符合身份标识要求用户的各级密钥设备中设置种子密钥和参数；

步骤c：每级密钥设备根据上一级密钥设备的帮助密钥生成和更新本级密钥设备的帮助密钥；

步骤d：在最后一级密钥设备处生成用户私钥；其是根据最后一级密钥设备之前的密钥设备生成的所述的帮助密钥实现的；

步骤e：根据用户的公钥加密明文产生密文；

步骤f：通过用户私钥解密密文变成明文；

较佳的，所述的步骤a：产生基于用户身份标识的加解密系统的系统参数，生成至少两个主密钥分量，其包括的步骤为：

步骤a1：选择一至少512比特长的大素数p和满足BDH安全假设的超奇异椭圆曲线E/GF(p)，其中，P是曲线E的基点，基点的阶是大素数q，q的长度至少为160比特，定义q阶加法循环群G1、q阶乘法循环群G2，以及双线性配对ê：G1×G1→G2；

步骤a2：定义hash函数H2：GF(p²)→{0，1}ⁿ，及一用于将用户身份ID映射到G1^*上元素的函数H1，其中，G1^*表示G1去除O元素；

步骤a3：确定明文空间M、密文空间是C，其中，M＝{0，1}ⁿ、C＝G1^*×{0，1}ⁿ；

步骤a4：根据实际需要，确定用户私钥更新的级数m，随机选择m个主密分量：s₁，s₂，...s_m∈Z_q ^*，并令P_pub＝(s₁+s₂+...+s_m)P；

步骤a5：保密各个主密钥分量s_i，其中i＝1，2，...，m，公开公共参数param＝<q，G1，G2，ê，n，P，P_pub，H1，H2>；

步骤a6：执行步骤b；

较佳的，所述的步骤b：提供多级密钥设备，密钥服务器向符合身份标识要求用户的各级密钥设备中设置种子密钥和参数，其包括的步骤为：

步骤b1：计算用户公钥Q_ID，其中Q_ID＝H1(ID)；

步骤b2：各级密钥设备分别设置种子密钥：s_iQ_ID，其中i＝1，2，...，m；

步骤b3：将系统参数p设置到各级密钥设备中；

步骤c：每级密钥设备根据上一级密钥设备的帮助密钥生成和更新本级密钥设备的帮助密钥，是在与密钥服务器脱线的情况下完成的，第i级中间设备的帮助密钥为：

$\mathrm{HK}=\left(\underset{j=1}{\overset{i}{\mathrm{\&Sigma;}}}{S}_j\right)Q_{\mathrm{ID}}-\underset{j=1}{\overset{i}{\mathrm{\&Sigma;}}}{r}_j{P}_{t_j}$

相关的中间计算结果为：r_iP

其中，j＝1，2，...，m-1，r_i为各级密钥设备产生的随机数，P_tj为各级密钥设备根据相应的时间段，经过hash函数H1运算得到的G1^*中的元素，

$P_{t_1}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right)$

$P_{t_2}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right)$

$P_{t_{m-1}}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right)$

其中，T_j(time)表示对时间进行相应的运算，取出其中相应的时间段的信息，标识本级密钥更新一次的时间，其中，第i密钥设备帮助密钥更新的时间大于第i-1密钥设备帮助密钥更新的时间；

较佳的，所述的密钥设备为硬件智能卡或UsbKey；

步骤d：在最后一级密钥设备处生成用户私钥；其是根据最后一级密钥设备之前的密钥设备生成的所述的帮助密钥实现的；用户私钥为：

$d_{\mathrm{ID}}=\left(\underset{j=1}{\overset{m}{\mathrm{\&Sigma;}}}{S}_j\right)Q_{\mathrm{ID}}-\underset{j=1}{\overset{m}{\mathrm{\&Sigma;}}}{r}_j{P}_{t_j}$

相关的计算结果为：

r_iP，(i＝1，2，L，m)

其中：

$P_{t_1}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right)$

$P_{t_2}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right)$

$P_{t_{m-1}}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right)$

$P_{t_m}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right|\left|T_m\left(\mathrm{time}\right)\right);$ T_j(time)表示对时间进行相应的运算，取出其中相应的时间段的信息，标识本级密钥更新一次的时间，用户私钥更新相对频繁；

步骤e：根据用户的公钥加密明文产生密文，其包括的步骤为：

步骤e1：令g_ID＝ê(Q_ID，P_pub)＝ê(Q_ID，(s₁+s₂+...+s_m)P)∈G2；

步骤e2： $C=<\mathrm{rP},r{P}_{t_1},r{P}_{t_2},L,r{P}_{t_m},M\&CirclePlus;H2\left({g_{\mathrm{ID}}}^r\right)>,$ 其中i＝1，2，L，m，

$P_{t_1}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right)$

$P_{t_2}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right)$

$P_{t_{m-1}}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right)$

$P_{t_m}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right|\left|T_m\left(\mathrm{time}\right)\right);$

T_j(time)表示对时间进行相应的运算，取出其中相应的时间段的信息，标识本级密钥更新一次的时间；

步骤f：通过用户私钥解密密文变成明文，其包括的步骤为：

步骤f1：检查U是否是E/GF(p)中的点，如果不是就拒绝该密文；

步骤f2：计算得出明文 $M=W\&CirclePlus;H2(\hat{e}(d_{\mathrm{ID}},U)\hat{e}(r{P}_{t_1},r_{1}P)...\hat{e}(r{P}_{t_m},r_{m}P));$ 其中，加解密的一致性是由下面的等式保证的：

$\hat{e}(d_{\mathrm{ID}},U)\hat{e}(r{P}_{t_1},r_{1}P)...\hat{e}(r{P}_{t_m},r_{m}P)=\hat{e}((s_1+s_2+...+s_m)Q_{\mathrm{ID}},\mathrm{rP})={g_{\mathrm{ID}}}^r$

其中密文C＝<U，V₁，V₂，...，V_m，W>。

与现有技术比较本发明的有益效果在于，首先引入了多个主密钥分量，避免单一主密钥被破解，从而导致整个系统被破解的风险；

其次采用多级密钥更新装置，既保证了用户私钥的频繁更新，又极大地减轻了密码服务器的负担；

最后本发明还具有计算量小，需要的存贮空间也小的优点。

附图说明

图1为本发明基于用户身份标识的加解密方法的流程图；

图2为本发明基于用户身份标识的加解密方法中步骤a的流程图；

图3为本发明基于用户身份标识的加解密方法中步骤b的流程图。

具体实施方式

以下结合附图，对本发明上述的和另外的技术特征和优点作更详细的说明。

请参阅图1所示，其为本发明基于用户身份标识的加解密方法的流程图；其包括得步骤为：

步骤a：产生基于用户身份标识的加解密系统的系统参数，生成至少两个主密钥分量；

步骤b：提供多级密钥设备，密钥服务器向符合身份标识要求用户的各级密钥设备中设置种子密钥和参数；

步骤c：每级密钥设备根据上一级密钥设备的帮助密钥生成和更新本级密钥设备的帮助密钥；

步骤d：在最后一级密钥设备处生成用户私钥；其是根据最后一级密钥设备之前的密钥设备生成的所述的帮助密钥实现的；

步骤e：根据用户的公钥加密明文产生密文；

步骤f：通过用户私钥解密密文变成明文；

其中，所述的步骤a二产生基于用户身份标识的加解密系统的系统参数，生成至少两个主密钥分量，请参阅图2所示，其包括的步骤为：

步骤a1：选择一至少512比特长的大素数p和满足BDH安全假设的超奇异椭圆曲线E/GF(p)，其中，P是曲线E的基点，基点的阶是大素数q，q的长度至少为160比特，定义q阶加法循环群G1、q阶乘法循环群G2，以及双线性配对ê：G1×G1→G2；

步骤a1：定义hash函数H2：GF(p²)→{0，1}ⁿ，及一用于将用户身份ID映射到G1^*上元素的函数H1，其中，G1^*表示G1去除O元素；

步骤a2：确定明文空间M、密文空间是C，其中，M＝{0，1}ⁿ、C＝G1^*×{0，1}ⁿ；

步骤a3：根据实际需要，确定用户私钥更新的级数m，随机选择m个主密分量：s₁，s₂，...s_m∈Z_q ^*，并令P_pub＝(s₁+s₂+...+s_m)P；

步骤a4：保密各个主密钥分量s_i，其中i＝1，2，...，m，公开公共参数param＝<q，G1，G2，ê，n，P，P_pub，H1，H2>；

步骤a5：执行步骤b；

对于本发明的步骤a而言，其与现有的D.B/M.F算法技术对比，主要是增加了主密钥分量。

对于所述的步骤b：提供多级密钥设备，密钥服务器向符合身份标识要求用户的各级密钥设备中设置种子密钥和参数，请参阅图3所示，其包括的步骤为：

步骤b1：计算用户公钥Q_ID，其中Q_ID＝H1(ID)；

步骤b2：各级密钥设备分别设置种子密钥：s_iQ_ID，其中i＝1，2，...，m；

步骤b3：将系统参数p设置到各级密钥设备中；

对于本发明所述的步骤c：每级密钥设备根据上一级密钥设备的帮助密钥生成和更新本级密钥设备的帮助密钥，是在与密钥服务器脱线的情况下完成的，第i级中间设备的帮助密钥为：

$\mathrm{HK}=\left(\underset{j=1}{\overset{i}{\mathrm{\&Sigma;}}}{S}_j\right)Q_{\mathrm{ID}}-\underset{j=1}{\overset{i}{\mathrm{\&Sigma;}}}{r}_j{P}_{t_j}$

相关的中间计算结果为：r_i ^P

其中，j＝1，2，...，m-1，r_i为各级密钥设备产生的随机数，P_tj为各级密钥设备根据相应的时间段，经过hash函数H1运算得到的G1^*中的元素，

$P_{t_1}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right)$

$P_{t_2}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right)$

$P_{t_{m-1}}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right)$

这里的T_j(time)表示对时间进行相应的运算，取出其中相应的时间段的信息，标识本级密钥更新一次的时间，如果T₁(time)＝year，表示经过运算取出时间中的年份信息，表明第一级密钥设备每年更新一次，以此类推，级数越靠前的密钥设备帮助密钥更新的时间段越长，即第i级密钥设备帮助密钥更新的时间小于第i－1级密钥设备帮助密钥更新的时间；所需要的安全性也更高，所述的密钥设备采用硬件智能卡或UsbKey，这类比较安全的硬件介质。

对于所述的步骤d：在最后一级密钥设备处生成用户私钥；其是根据最后一级密钥设备之前的密钥设备生成的所述的帮助密钥实现的；其是出于方便使用的考虑，用户私钥可以导入到比如PC、终端等比较不安全的设备上，因为用户私钥更新比较频繁，比如规定每天对用户私钥更新一次，如果黑客截获了用户私钥，他也只能在一天内破解用户的机密信息，第二天他所截获的用户私钥就再也没什么用处，其中所述的用户私钥为：

$d_{\mathrm{ID}}=\left(\underset{j=1}{\overset{m}{\mathrm{\&Sigma;}}}{S}_j\right)Q_{\mathrm{ID}}-\underset{j=1}{\overset{m}{\mathrm{\&Sigma;}}}{r}_j{P}_{t_j}$

相关的计算结果为：

r_iP，(i＝1，2，L，m)

其中：

$P_{t_1}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right)$

$P_{t_2}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right)$

$P_{t_{m-1}}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right)$

$P_{t_m}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right|\left|T_m\left(\mathrm{time}\right)\right);$

T_j(time)表示对时间进行相应的运算，取出其中相应的时间段的信息，标识本级密钥更新一次的时间，用户私钥更新相对频繁；

对于所述的步骤e与步骤f而言，其与现有的D.B/M.F算法技术对比，区别主要是由于步骤a以及步骤b中增加了主密钥分量以及在密钥设备上设置种子密钥和参数的技术特征所引起的后续处理的改变，所述的步骤e：根据用户的公钥加密明文产生密丈，其包括的步骤为：

步骤e1：令g_ID＝ê(Q_ID，P_pub)＝ê(Q_ID，(s₁+s₂+...+s_m)P)∈G2；

步骤e2： $C=<\mathrm{rP},r{P}_{t_1},r{P}_{t_2},L,r{P}_{t_m},M\&CirclePlus;H2\left({g_{\mathrm{ID}}}^r\right)>,$ 其中i＝1，2，L，m，

$P_{t_1}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right)$

$P_{t_2}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right)$

$P_{t_{m-1}}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right)$

$P_{t_m}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right|\left|T_m\left(\mathrm{time}\right)\right)$

T_j(time)表示对时间进行相应的运算，取出其中相应的时间段的信息，标识本级密钥更新一次的时间；

对于所述的步骤f：通过用户私钥解密密文变成明文，其包括的步骤为：

步骤f1：检查U是否是E/GF(p)中的点，如果不是就拒绝该密文；

步骤f2：计算得出明文 $M=W\&CirclePlus;H2(\hat{e}(d_{\mathrm{ID}},U)\hat{e}(r{P}_{t_1},r_{1}P)...\hat{e}(r{P}_{t_m},r_{m}P));$ 其中，加解密的一致性是由下面的等式保证的：

$\hat{e}(d_{\mathrm{ID}},U)\hat{e}(r{P}_{t_1},r_{1}P)...\hat{e}(r{P}_{t_m},r_{m}P)=\hat{e}((s_1+s_2+...+s_m)Q_{\mathrm{ID}},\mathrm{rP})={g_{\mathrm{ID}}}^r$

其中密文C＝<U，V₁，V₂，...，V_m，W>。每一级的密钥更新设备只储存一个帮助密钥，第i级密钥更新设备储存i个有关运算结果。

为了使本领域技术人员更清楚，我们仍以保密手机为例，采用本发明的方法，通过三个主密钥分量(s₁、s₂和s₃)，结合发明内容步骤a中的参数P(P是曲线E的基点)，将s₁P设置到第一级密钥设备，s₂P设置在到第二级密钥设备，将s₃P设置到用户手机，这里的密钥设备采用硬件智能卡或Usb Key的硬件介质形式，设置后的密钥生成和更新都是在和密钥服务器脱线的情况下进行的，按时间分三级，其中：

T₁(time)＝year，T₂(time)＝month，T₃(time)＝day。

也就是说，第一级密钥设备的帮助密钥自行每年更新一次，第二级密钥设备的帮助密钥依赖于第一级帮助密钥每月更新一次，用户私钥依赖于第二级帮助密钥每天更新一次。

综上，本发明引入多个主密钥分量，避免单一主密钥被破解，从而导致整个系统被破解的风险；在用户密钥管理中，采用按时间分级的模式，既保持了用户私钥在较短时间得以更新，从而最大限度地避免了密钥被破解的风险，而且只有种子密钥和参数设置需要和密钥服务器交互，其他的密钥更新都是在密钥服务器脱线的情况下完成的，所以又极大地减轻了密钥服务器的负担；另外，本发明的每一级帮助密钥的更新只需要进行一次关键的点积运算，每一级的中间结果也只需要进行一次关键的点积运算；因此具有计算量小，需要的储存空间也小的特点。

以上所述仅为本发明的较佳实施例，对本发明而言仅仅是说明性的，而非限制性的。本专业技术人员理解，在本发明权利要求所限定的精神和范围内可对其进行许多改变，修改，甚至等效，但都将落入本发明的保护范围内。

Claims (8)

1.一种基于用户身份标识的加解密方法，其特征在于，其包括的步骤为：

步骤a：产生基于用户身份标识的加解密系统的系统参数，生成至少两个主密钥分量；

步骤b：提供多级密钥设备，密钥服务器向符合身份标识要求用户的各级密钥设备中设置种子密钥和参数；

步骤c：每级密钥设备根据上一级密钥设备的帮助密钥生成和更新本级密钥设备的帮助密钥；

步骤d：在最后一级密钥设备处生成用户私钥；其是根据最后一级密钥设备之前的密钥设备生成的所述的帮助密钥实现的；

步骤e：根据用户的公钥加密明文产生密文；

步骤f：通过用户私钥解密密文变成明文。

2.根据权利要求1所述的基于用户身份标识的加解密方法，其特征在于，所述的步骤a：产生基于用户身份标识的加解密系统的系统参数，生成至少两个主密钥分量，其包括的步骤为：

步骤a1：选择一至少512比特长的大素数p和满足BDH安全假设的超奇异椭圆曲线E/GF(p)，其中，P是曲线E的基点，基点的阶是大素数q，q的长度至少为160比特，定义q阶加法循环群G1、q阶乘法循环群G2，以及双线性配对ê：G1×G1→G2；

步骤a2：定义hash函数H2：GF(p²)→{0，1}ⁿ，及一用于将用户身份ID映射到G1^*上元素的函数H1，其中，G1^*表示G1去除O元素；

步骤a3：确定明文空间M、密文空间是C，其中，M＝{0，1}ⁿ、C＝G1^*×{0，1}ⁿ；

步骤a4：根据实际需要，确定用户私钥更新的级数m，随机选择m个主密分量：s₁，s₂，...s_m∈Z_q ^*，并令P_pub＝(s₁+s₂+...+s_m)P；

步骤a5：保密各个主密钥分量s_i，其中i＝1，2，...，m，公开公共参数param＝<q，G1，G2，ê，n，P，P_pub，H1，H2>；

步骤a6：执行步骤b。

3.根据权利要求1或2所述的基于用户身份标识的加解密方法，其特征在于，所述的步骤b：提供多级密钥设备，密钥服务器向符合身份标识要求用户的各级密钥设备中设置种子密钥和参数，其包括的步骤为：

步骤b1：计算用户公钥Q_ID，其中Q_ID＝H1(ID)；

步骤b2：各级密钥设备分别设置种子密钥：s_iQ_ID，其中i＝1，2，...，m；

步骤b3：将系统参数p设置到各级密钥设备中。

4.根据权利要求1所述的基于用户身份标识的加解密方法，其特征在于，所述的步骤c：每级密钥设备根据上一级密钥设备的帮助密钥生成和更新本级密钥设备的帮助密钥，是在与密钥服务器脱线的情况下完成的，第i级中间设备的帮助密钥为：

$\mathrm{HK}=\left(\underset{j=1}{\overset{i}{\mathrm{\&Sigma;}}}{S}_j\right)Q_{\mathrm{ID}}-\underset{j=1}{\overset{i}{\mathrm{\&Sigma;}}}{r}_j{P}_{t_j}$

相关的中间计算结果为：r_iP

其中，j＝1，2，...，m-1，r_j为各级密钥设备产生的随机数，P_tj为各级密钥设备根据相应的时间段，经过hash函数H1运算得到的G1^*中的元素，

$P_{t_1}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right)$

$P_{t_2}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right)$

$P_{t_{m-1}}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right)$

其中，T_j(time)表示对时间进行相应的运算，取出其中相应的时间段的信息，标识本级密钥更新一次的时间，其中，第i级密钥设备帮助密钥更新的时间大于第i-1级密钥设备帮助密钥更新的时间。

5.根据权利要求1或4所述的基于用户身份标识的加解密方法，其特征在于，所述的密钥设备为硬件智能卡或UsbKey。

6.根据权利要求1或4所述的基于用户身份标识的加解密方法，其特征在于，所述的步骤d：在最后一级密钥设备处生成用户私钥；其是根据最后一级密钥设备之前的密钥设备生成的所述的帮助密钥实现的；用户私钥为：

$d_{\mathrm{ID}}=\left(\underset{j=1}{\overset{m}{\mathrm{\&Sigma;}}}{S}_j\right)Q_{\mathrm{ID}}-\underset{j=1}{\overset{m}{\mathrm{\&Sigma;}}}{r}_j{P}_{t_j}$

相关的中间计算结果为：

r_jP，(i＝1，2，L，m)

其中：

$P_{t_1}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right)$

$P_{t_2}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right)$

$P_{t_{m-1}}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right)$

$P_{t_m}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right|\left|T_m\left(\mathrm{time}\right)\right);$

T_j(time)表示对时间进行相应的运算，取出其中相应的时间段的信息，标识本级密钥更新一次的时间。

7.根据权利要求1所述的基于用户身份标识的加解密方法，其特征在于，所述的步骤e：根据用户的公钥加密明文产生密文，其包括的步骤为：

步骤e1：令gID＝ê(Q_ID，P_pub)＝ê(Q_ID，(s₁+s₂+...+s_m)P)∈G2；

步骤e2： $C=<\mathrm{rP},r{P}_{t_1},r{P}_{t_2},L,r{P}_{t_m},M\&CirclePlus;H2\left({g_{\mathrm{ID}}}^r\right)>,$ 其中i＝1，2，L，m，

$P_{t_1}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right)$

$P_{t_2}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right)$

$P_{t_{m-1}}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right)$

$P_{t_m}=H1\left(\mathrm{ID}\right|\left|T_1\left(\mathrm{time}\right)\right|\left|T_2\left(\mathrm{time}\right)\right|\left|L{T}_{m-1}\left(\mathrm{time}\right)\right|\left|T_m\left(\mathrm{time}\right)\right)$

T_j(time)表示对时间进行相应的运算，取出其中相应的时间段的信息，标识本级密钥更新一次的时间。

8.根据权利要求1所述的基于用户身份标识的加解密方法，其特征在于，所述的步骤f：通过用户私钥解密密文变成明文，其包括的步骤为：

步骤f1：检查U是否是E/GF(p)中的点，如果不是就拒绝该密文；

步骤f2：计算得出明文 $M=W\&CirclePlus;H2(\hat{e}(d_{\mathrm{ID}},U)\hat{e}(r{P}_{t_1},r_{1}P)...\hat{e}(r{P}_{t_m},r_{m}P));$

其中，加解密的一致性是由下面的等式保证的：

$\hat{e}(d_{\mathrm{ID}},U)\hat{e}(r{P}_{t_1},r_{1}P)...\hat{e}(r{P}_{t_m},r_{m}P)=\hat{e}((s_1+s_2+...+s_m)Q_{\mathrm{ID}},\mathrm{rP})={g_{\mathrm{ID}}}^r$

其中密文C＝<U，V₁，V₂，...，V_m，W>。

Images