CN101505301A - 广播签密认证方法 - Google Patents

Abstract

本发明公开了一种广播签密认证方法，包括以下步骤：1)设定系统参数；2)广播中心根据参数计算公钥签名，并利用用户密钥加密要广播的消息；3)广播中心向用户群广播步骤2)所获得签密消息；4)用户接收广播中心广播的签密消息，利用私钥解签密，并验证其签名有效性。本发明对消息进行了签名、加密两层机密性封装，将不同消息在一次广播中向一群用户进行广播群发，且只有特定的授权用户才能接收到指定的消息，具有高强度的信息机密性、签密信息不可伪造性、签密信息不可否认性；本发明能够根据实际需要随时调整合法用户群，而不需要重新发布新的共享密钥，具有高度的灵活性；可以充分利用通信带宽，节约成本，大大提高通信效率。

Description

广播签密认证方法

技术领域

本发明涉及信息广播通讯领域，特别是涉及一种广播签密认证方法。

背景技术

随着现代社会的飞速发展，媒体信息的广播加密传输已经成为一种重要的信息共享方式，它允许信息发送者把加密数据传送给一群接收者，只有特定的授权用户才能解密并获取信息。这种广播加密认证技术有着广阔的应用前景，如付费有线电视系统、视频音频网络直播、视频会议和证券实时行情发布等场合具有良好的应用前景。

通常情况下，数据的保密性通过加密实现，认证性通过数字签名实现。传统的签名-加密方法是信息发送者把加密操作和签名操作分开实现，接收者解密密文后，再验证签名。与传统方法相比较，签密技术是一种新的数字签名技术，它能够以较低的通信代价和计算代价，同时实现数据保密性和认证性。

当某一广播系统存在多个不同的广播参与者，且每一广播者都拥有自己不同的用户接收群体时，信息或广播者的机密性、认证性和不可否认性将成为新的焦点。这种情况下信息广播所面临的问题是点对点通信过程中所不曾遇到的：第一，用户私钥的分发问题。必须为不同的用户设计不同的用户私钥，使得系统可以广播所有用户都有权解密的消息，可以广播只有特定的用户群体才能解密的消息，还可以对消息接收群体进行变动，而不用更换用户的私钥；第二，信息的机密性、认证性和不可否认性问题。为了避免特定信息接收者以外的任何接收者窃取到消息，信息广播者必须保证信息的机密性，只有特定的接收者才可以解密消息，同时，信息接收者还可以对消息进行验证，确信消息的来源，此外，在发生纠纷时，信息广播者不能否认它曾给该特定接收者发送过这些特定的消息。

当前，在这一研究领域中，国内外的理论研究状况大都是跟踪研究居多、源头创新思想较少，许多研究成果都是停留在传统的模式上：一对一加密，一对一认证，再一对一传输。这种研究模式几乎是把单个的信息签密传输方式直接应用于广播系统，势必带来大的局限性，如计算代价高、传输通信代价过大、信息保密性与认证性相分离等缺陷。特别是在一次性广播过程中，同时实现信息的机密性、认证性和不可否认性功能一直没有得到根本性的解决。

发明内容

本发明需要解决的技术问题是提供一种广播签密认证方法，能够同步实现机密性、认证性和不可否认性，能够在一次广播签密中广播多种不同的消息，且不同消息只针对于特定授权的接收者，而特定授权接收者之外的任何人都不能解签密得到该消息。

为解决上述问题，本发明所采取的技术方案是：一种广播签密认证方法，包括以下步骤：

1)设定系统参数；

2)广播中心根据参数计算公钥签名，并利用用户密钥加密要广播的消息；

3)广播中心向用户群广播步骤2)所获得签密消息；

4)用户接收广播中心广播的签密消息，利用私钥解签密，并验证其签名有效性。

所述步骤2)包括以下步骤：

①广播中心B选取私人密钥 $x\∈Z_p^{*}$ 其中

是一个乘法群，其元素包括大于等于1且小于等于p-1的所有整数，并计算相应的公开密钥y≡g^x mod p；

②广播中心B选择k个随机数：x₁，x₂，Λ，x_k， $x_i\∈Z_{p-1}^{*},$ 通过计算r_i和s_i对消息m_i进行签名，其中， $r_i\≡g^{x_i}\mathrm{mod}p$ ， $s_i\≡(H\left(m_i\right)-{\mathrm{xr}}_i)x_i^{-1}\mathrm{mod}p-1,$ i＝1，2，Λ，k；

③广播中心B计算加密消息 $c_i=E_{q_i}(r_i,s_i,m_i)$ ，其中q_i为用户密钥，并通过计算生成广播签密消息M， $M=(\frac{Q}{q_1}{e}_1{c}_1+\frac{Q}{q_2}{e}_2{c}_2+\mathrm{\Λ}+\frac{Q}{q_k}{e}_k{c}_k)\mathrm{mod}Q,$ 其中 $Q=\underset{i=1}{\overset{k}{\mathrm{\Π}}}{q}_i,$ e_i满足 $\frac{Q}{q_i}{e}_i\≡1\mathrm{mod}{q}_i.$

所述步骤4)包括以下步骤：

①用户U_i使用从广播中心B所获取的用户密钥q_i，获取中心B发送给他的加密信息c_i，c_i≡M mod q_i；

②用户U_i使用q_i解密c_i， $(r_i,s_i,m_i)=D_{q_i}\left(c_i\right)$ ，从而获得广播中心B发送给他的消息m_i及其签名组(r_i，s_i)；

③验证签名，验证等式为 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p,$ 当且仅当等式成立时，用户U_i接受广播中心B所发送给他的秘密消息m_i。

当广播中心B与用户U_i发生纠纷否认曾向该用户发送过信息m_i时，用户U_i可以通过可信第三方验证信息发送事实，可信第三方进行公开验证，如果等式 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p$ 成立，则可以证明广播中心B曾向用户U_i发送过信息m_i。

采用上述技术方案所产生的有益效果在于：本发明对广播消息进行了签名、加密两层机密性封装，将不同的消息在一次广播中向一群用户进行广播群发，且只有特定的授权用户才能接收到指定的消息，具有高强度的信息机密性；由于没有人能伪造消息m_i的有效广播密文M，使得c_i≡M mod q_i， $(r_i,s_i,m_i)=D_{q_i}\left(c_i\right)$ ，等式 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p$ 成立，因此具有签密信息不可伪造性；由于只有广播中心B可生成有效的广播密文M，使得 $c_i=M\mathrm{mod}{q}_i$ ， $(r_i,s_i,m_i)=D_{q_i}\left(c_i\right)$ ，等式 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p$ 成立，因此签密信息具有不可否认性；本发明能够根据实际需要随时调整合法用户群，而不需要重新发布新的共享密钥，具有高度的灵活性；可以充分利用通信带宽，节约成本，大大提高通信效率。

附图说明

图1是本发明签密系统结构图；

图2是本发明广播中心广播签密流程图；

图3是本发明用户解签密及验证流程图。

具体实施方式

下面结合附图对本发明做进一步详细描述：

与基于点对点的信息传输方式不同，本发明的方法是通过广播的方式将通过签密的视频、音频、流媒体数据等消息内容广播给特定的用户群体，用户通过密钥解密得到消息，并可对消息进行认证，其系统结构如图1所示，其中B₁，B₂，.......，B_m为广播中心，U₁，U₂，.......，U_n为用户(接收者)，以广播中心B₁和B₂为例，B₁把消息m₁₁，m₁₂，m₁₃分别签密广播给用户U₁，U₂，U₃，B₃把消息m₃₁，m₃₄，m₃₆分别签密广播给用户U₁，U₄，U₆；这种广播方式可以充分利用通信带宽，节约成本，大大提高通信效率。

本发明所提出的广播签密认证方法，能够同步实现机密性、认证性和不可否认性，能够在一次广播签密中广播多种不同的消息，且不同消息只针对于特定授权的用户(接收者)，而特定授权用户(接收者)之外的任何人都不能解签密得到该消息。该方法包括以下步骤：

(1)设定系统参数；

B＝{B₁，B₂，Λ，B_m}表示一群广播中心；U＝{U₁，U₂，Λ，U_n}表示一群接收者；B是B中的某一个广播中心，B∈B，符号“∈”表示属于，U₁，U₂，Λ，U_k表示U中的某一些用户，他们是广播中心B的合法用户群， $\{U_1,U_2,\mathrm{\Λ},U_k\}\⊆U,$ 符号

表示包含于；m₁，m₂，Λ，m_k表示广播中心B分别发送给其合法的用户群U₁，U₂，Λ，U_k的消息，允许两个或多个消息相同，为了方便描述，我们仍使用不同的下标区分，以表示发送给不同的消息接收者。

广播中心B选择k个大的两两互素的正整数q₁，q₂，…，q_k，并通过安全通道把q_i发送给U_i，其中i＝1，2，Λ，k，并且广播中心B保持所有的q₁，q₂，…，q_k秘密，同时用户U_i必须要保持从中心B所获q_i的秘密性。

广播中心B选择大的素数p，且p≠q_i(i＝1，2，Λ，k)，g是

的一个生成元，其中

是一个乘法群，其元素包括大于等于1且小于等于p-1的所有整数，并且如果g是

的一个生成元时，则g经过一定次幂运算之后模p，可以生成1到p-1之间的任何数；H为安全的单向hash函数，(E，D)分别为私钥密码的加密算法和解密算法。并且B在用户群U内公开这些全局参数：p、g、H、(E，D)。

(2)广播中心根据参数计算公钥签名，并利用用户密钥加密要广播的消息；这一过程可以用图2所示的流程图来描述，其具体步骤如下：

I.广播中心B选取私人密钥 $x\∈Z_p^{*},$ 并计算相应的公开密钥y≡g^x mod p；

II.广播中心B选择k个随机数：x₁，x₂，Λ，x_k， $x_i\∈Z_{p-1}^{*},$ 通过计算r_i和s_i对消息m_i进行签名，其中， $r_i\≡g^{x_i}\mathrm{mod}p$ ， $s_i\≡(H\left(m_i\right)-{\mathrm{xr}}_i)x_i^{-1}\mathrm{mod}p-1,$ i＝1，2，Λ，k；

III.广播中心B计算加密消息 $c_i=E_{q_i}(r_i,s_i,m_i)$ ，其中q_i为密钥，并通过计算生成广播签密消息M， $M=(\frac{Q}{q_1}{e}_1{c}_1+\frac{Q}{q_2}{e}_2{c}_2+\mathrm{\Λ}+\frac{Q}{q_k}{e}_k{c}_k)\mathrm{mod}Q,$ 其中 $Q=\underset{i=1}{\overset{k}{\mathrm{\Π}}}{q}_i,$ e_i满足 $\frac{Q}{q_i}{e}_i\≡1\mathrm{mod}{q}_i.$

3)广播中心向用户群广播步骤2)所获得签密消息；

4)用户接收广播中心广播的签密消息，利用私钥解签密，并验证其签名有效性。这一过程可以用图3所示的流程图来描述，其具体步骤如下：

I.用户U_i使用从广播中心B所获取的秘密信息q_i，获取中心B发送给他的加密信息c_i，c_i≡M mod q_i；

II.用户U_i使用q_i解密c_i， $(r_i,s_i,m_i)=D_{q_i}\left(c_i\right)$ ，从而获得广播中心B发送给他的消息m_i及其签名组(r_i，s_i)；

III.验证签名，验证等式为 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p$ 当且仅当等式成立时，用户U_i接受广播中心B所发送给他的秘密消息m_i。

(5)可信的第三方能够对用户U_i所接收到的消息进行公开验证。

当广播中心B与信息接收者U_i发生纠纷否认曾向该用户发送过信息m_i时，用户U_i在必要的时候，可以进行第三方公开验证信息发送事实，具体过程如下：

因为只有广播中心B可生成有效的广播密文M，使得c_i≡M mod q_i， $(r_i,s_i,m_i)=D_{q_i}\left(c_i\right)$ ，等式 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p$ 成立。在必要的时候，接收者U_i甚至可以公开解签密后的明文信息组(r_i，s_i，m_i)，由可信的第三方进行公开验证，如果等式 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p$ 成立，则可以证明广播中心B曾向用户U_i发送过信息m_i。

本发明方法对信息m_i进行了两层机密性封装：首先使用安全的私钥密码加解密算法(E，D)对m_i进行加密，获得c_i，除U_i以外的其他任何攻击者都不能解密c_i获得m_i；其次把所获得的密文c_i进一步封装到广播消息M中，其他任何攻击者都不能通过c_i≡M mod q_j(i≠j)来获得有意义的c_i。保证了广播中心广播给特定用户的消息，除了指定的接收者，其他任何人都不能获得。保证了信息的机密性。

本发明方法中没有人(包括广播中心B和接收者U_i)能伪造消息m_i的有效广播密文M，使得c_i≡M mod q_i， $(r_i,s_i,m_i)=D_{q_i}\left(c_i\right)$ ，等式 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p$ 成立，否则，公认安全的ElGamal密码体制将是可破解的。因此本发明签密信息具有不可伪造性。

本发明中由于只有广播中心B可生成有效的广播密文M，使得c_i≡M mod q_i， $(r_i,s_i,m_i)=D_{q_i}\left(c_i\right)$ ，等式 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p$ 成立，因此具有不可否认性，在必要的时候，接收者U_i甚至可以公开解签密后的明文信息组(r_i，s_i，m_i)，由第三方进行公开验证。本发明中广播中心对授权用户群的管理具有较高的灵活性，能够根据实际需要随时调整合法用户群，而不需要重新发布新的共享密钥。如在一定的条件下，广播中心发现原有合法用户群中的某用户U_j失去其信息接收的合法身份，它则可以在下一次广播签密的消息中忽略与U_j相关的共享秘密q_j及签密信息，则用户U_j通过计算c_j≡M mod q_j，并解密

，将会得到一些毫无意义的信息。同时，用户U_j也无法通过以往所掌握通信信息，猜测其他用户的共享秘密q_i，而获得他人的签密消息。

Claims (4)

1、一种广播签密认证方法，包括以下步骤：

1)设定系统参数；

2)广播中心根据参数计算公钥签名，并利用用户密钥加密要广播的消息；

3)广播中心向用户群广播步骤2)所获得签密消息；

4)用户接收广播中心广播的签密消息，利用私钥解签密，并验证其签名有效性。

2、根据权利要求1所述的广播签密认证方法，其特征在于所述步骤2)包括以下步骤：

①.广播中心B选取私人密钥 $x\∈Z_p^{*},$ 其中

是一个乘法群，其元素包括大于等于1且小于等于p-1的所有整数，并计算相应的公开密钥y≡g^x mod p；

②.广播中心B选择k个随机数：x₁，x₂，Λ，x_k， $x_i\∈Z_{p-1}^{*},$ 通过计算r_i和s_i对消息m_i进行签名，其中， $r_i\≡g^{x_i}\mathrm{mod}p,$ $s_i\≡(H\left(m_i\right)-{\mathrm{xr}}_i)x_i^{-1}\mathrm{mod}p-1,$ i＝1，2，Λ，k；

③.广播中心B计算加密消息 $c_i=E_{q_i}(r_i,s_i,m_i),$ 其中q_i为用户密钥，并通过计算生成广播签密消息M， $M=(\frac{Q}{q_1}{e}_1{c}_1+\frac{Q}{q_2}{e}_2{c}_2+\mathrm{\Λ}+\frac{Q}{q_k}{e}_k{c}_k)\mathrm{mod}Q,$ 其中 $Q=\underset{i=1}{\overset{k}{\mathrm{\Π}}}{q}_i,$ e_i满足 $\frac{Q}{q_i}{e}_i=1\mathrm{mod}{q}_i.$

3、根据权利要求1所述的广播签密认证方法，其特征在于所述步骤4)包括以下步骤：

①.用户U_i使用从广播中心B所获取的用户密钥q_i，获取中心B发送给他的加密信息c_i，c_i≡M mod q_i；

②.用户U_i使用q_i解密c_i， $(r_i,s_i,m_i)=D_{q_i}\left(c_i\right),$ 从而获得广播中心B发送给他的消息m_i及其签名组(r_i，s_i)；

③.验证签名，验证等式为 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p,$ 当且仅当等式成立时，用户U_i接受广播中心B所发送给他的秘密消息m_i。

4、根据权利要求1所述的广播签密认证方法，其特征在于当广播中心B与用户U_i发生纠纷否认曾向该用户发送过信息m_i时，用户U_i可以通过可信第三方验证信息发送事实，可信第三方进行公开验证，如果等式 $y^{r_i}{r}_i^{s_i}\≡g^{H\left(m_i\right)}\mathrm{mod}p,$ 成立，则可以证明广播中心B曾向用户U_i发送过信息m_i。

Images