CN103023646B - 一种签密文可聚合的签密方法 - Google Patents

Abstract

一种签密文可聚合的签密方法，包括以下步骤：1、系统设定公共参数；2、系统为每个用户产生公钥和私钥；3、每个发送方对各自的消息分别进行签密，产生签密文，并发送给一个聚合方；4、聚合方对所收到每个签密文进行聚合，产生整体签密文，并发送给接收方；5、接收方用自己的私钥和各发送方的公钥验证所收到的整体签密文，并解密出消息。该方法同时满足了机密性、完整性和认证性。通过对多个签密文进行聚合，在确保安全性的前提下减少了要传输的总体签密文数据量；同时，接收方只需要进行一次验证操作就能完成对多个签密文的验证。克服了传统方法中每个发送方分别发送签密文、接收方逐一解签密，所带来的信道占用率高、计算开销大的缺陷。

Description

一种签密文可聚合的签密方法

技术领域

本发明属于无线网络中群组通信数据认证和保密领域，具体涉及一种签密文可聚合的签密方法。

背景技术

随着各种无线网络的广泛应用，面向多用户的安全组通信成为一种主要的信息交换方式。在视频会议、智能交通、数字内容分发等场合有着良好的应用前景。在安全多用户通信中，多个发送方向一个接收方发送消息的多对一通信是一种重要的通信模式，如传感器网络的数据汇集、无线局域网中的上行通信等都是这种模式的具体应用。为保证消息的安全性，必须要保证数据的机密性和完整性，即内容既不能被攻击者非法窃取，也不能被篡改；同时为了确保通信的真实有效，还要对发送方和接收方的身份进行必要的认证。此外，由于无线网络信道的广播特点，所采用的技术应充分减少网络广播次数，并充分利用信道的广播属性。

在多对一的安全组通信中，机密性通过加密来实现，完整性和认证性通过散列函数或数字签名来实现。为了同时保证消息的机密性、完整性，并实现认证，现有方法是在每个发送方和接收方之间分别执行一次点对点的操作，即在接收方与每个发送方分别建立一条点对点的安全链路，根据所采用的密码技术的不同可将现有方法分为三类：第一类方法将数字签名和对称加密相结合，每个发送方分别用各自的私钥对所要发送的消息进行签名，再用所有用户共享的对称加密密钥对消息进行加密，然后分别将数据发送给接收者。接收方在收到后，用发送方的公钥来验证其数字签名，再用共享的对称密钥解密消息。第二类方法将数字签名和公钥加密相结合，每个发送方分别用各自的私钥对所要发送的消息进行签名，再用接收方的公钥对消息进行加密，然后将数据分别发送给接收者。接收方在收到后，用发送方的公钥来验证其数字签名，再用自己的私钥解密消息。第三类方法采用签密技术，每个发送方分别用各自的私钥和接收方的公钥对所要发送的消息进行签密，然后分别将数据发送给接收者。接收方在收到后，用发送方的公钥和自己的私钥来完成解签密。以上三种方法主要存在三个方面的不足：1、每个发送方需要占用信发送数据，数据传输量大，信道的占用率高。2、接收方需要对每个接收方的消息进行处理，计算量大。3、各个发送方产生的数据无相关性，难以进行进一步优化。上述第一种方法，使用共享的对称加密密钥来加密消息，虽然比公钥加密方法效率较高，但对称密钥的管理是一个瓶颈，任何一个用户泄露共享密钥都会导致整个系统失效。上述第二种方法和三种方法，消除了第一种方法的密钥管理问题，但效率较低，相比之下，第三方法比第二种方法效率高。

发明内容

本发明的目的在于提出一种将所有发送方的数据聚合成一则整体签密文，充分压缩了签密文中的总体数据量，而且接收方通过对聚合签密文进行一次解签密操作，就可以实现对多个发送方的验证，显著提高了数据传输和接收方解签密操作效率的签密文可聚合的签密方法。

为了达到上述目的，本发明采用的技术方案如下：

步骤一：系统设定公共参数；

步骤二：系统分别为每个用户产生公钥和私钥；

步骤三：每个发送方对各自的消息分别计算签密文，并将所产生的签密文发送给聚合方；

步骤四：聚合方将所有签密文聚合成整体签密文数据包，并发送给接收方；

步骤五：接收方用其私钥和所有发送方的公钥进行解签密。

所述的发送方是具有n个对等的发送方，每个发送方独立产生签密文；聚合方具有1个聚合方，能够对接收到的签密文执行聚合操作；接收方具有1个，能够对聚合签密文进行解签密。

所述步骤一：系统设定公共参数包括以下步骤：

由一个统一的安全通信平台负责设定公共参数，并向所有用户广播，需要设定的系统参数如下：k为安全参数，q为长度为k比特的素数，G₁是一个阶为q的乘法循环群，P是G₁生成元，G₁中的元素的长度为l比特，G₂是另一个阶为q的乘法循环群，e:G₁×G₁→G₂是一个双线性映射，H₁和H₂是两个散列函数，定义分别为H₁:{0,1}^z×G₁→G₁和H₂:G₁ ³→{0,1}^z，其中z为要发送消息的比特长度。

所述步骤二：系统分别为每个用户产生公钥和私钥包括以下步骤：

系统为发送方S_i选择随机数x_Si←_RZ_q ^*作为S_i的私钥，计算Y_Si=x_SiP∈G₁作为S_i的公钥，其中i＝1，......,n；系统为接收方R选择随机数x_R←_RZ_q ^*，作为R的私钥，计算Y_R=x_RP∈G₁作为R的公钥，其中，Z_q ^*是一个乘法群，该乘法群上的元素包括大于等于1且小于q-1的所有整数。

所述步骤三包括以下步骤：

1）第i个发送方S_i选择随机数r_i∈Z_q ^*，计算U_i=r_iP，其中，i＝1，……，n；

2）第i个发送方S_i对消息m_i完成签密文计算，步骤如下：

①V_i=x_SiH₁(m_i||Y_Si)；

② $Z_i=m_i\⊕H_2\left(U_i\right|\left|Y_R\right|\left|r_i{Y}_R\right);$

w_i=(U_i,V_i,Z_i)作为发送方对消息m_i的签密文；

其中，V_i为乘法循环群G₁上的元素，Z_i是二进制序列，符号||表示级联操作，符号表示异或操作。

所述步骤四包括以下步骤：

1） $V=\underset{i=1}{\overset{n}{\mathrm{\Π}}}{V}_i;$

W=(U₁,…,U_n,V，Z₁,….,Z_n)作为总体签密文数据包发送给接收方。

所述步骤五包括以下步骤：

1）接收方R计算H₂(U_i||Y_R||x_RU_i)和

2）接收方R，计算h_i=H₁(m_i||Y_Si)，验证等式是否成立，当且仅当等式成立时接受发送方所发送的消息，其中h_i为散列函数的输出。

本发明通过对签密算法进行有效设计，使每个发送方的签密文中存在可以聚合的相关数据；通过对多个签密文进行聚合，产生一个整体签密文，以减少要传输的数据量和网络广播传输的次数；通过对解签密算法进行有效设计，使得接收方可以一次性完成对全部发送方签密文的解签密和批量验证。

本发明的进一步改进在于：签密文的聚合方可以由任何一个发送方、或者接收方来担任，可以消除专门设立一个聚合方而带来的开销。

本发明的有益效果在于：1、同时实现了机密性、完整性和认证性。每个发送方用各自的私钥和接收方公钥对消息进行签密，接收方必须用其私钥和发送方的公钥才能验证签密文并解密出消息，攻击者既无法伪造签密文，也无法获得消息的内容，从而实现了机密性、完整性和认证性。2、每个发送方在产生各自的签密文后，通过对签密文进行聚合，使网络中传输的总体签密文数据量得到了有效压缩，减少了对网络带宽的占用，也降低了接收方接收数据的能量消耗。3、接收方通过对聚合后的整体签密进行一次解签密操作，就能一次性验证所有发送方的身份和所有消息的完整性，并解密出每则消息，能够显著降低提高接收方批量解签密的速度，降低计算的能量消耗。

签密方法的执行效率包括对消息的签密和解签密计算开销、总体签密文数据的传输开销两个方面，具有较小计算开销和较小数据传输开销的方法具有较高的效率，本发明主要是在解签密计算开销和总体签密文数据开销两个方面提高了性能。本发明在一个实验系统中进行了模拟，在一台配备有双核CPU（中央处理器）的计算机上用标准C语言实现了本发明方法，分别模拟了1个、3个、6个、9个和12个发送方同时向1个接收方签密并发送模拟了1则、3则、6则、9则和12则不同消息的情况。通过记录CPU运行时间和总体签密文数据量来衡量性能。首先观察了CPU运行时间，从观察结果发现，本发明方法的CPU运行时间小于现有方法，而且随着发送方数量的增加，本发明方法CPU运行时间相对于现有方法的性能提高基本稳定在39%上下。然后观察了总体签密文的数据量，从观察结果发现本发明方法的总体签密文的数据量小于现有方法，而且随发送方数量的增加，本发明方法的总体签密文的数据量相对于现有方法的性能提高也在增加，在有3个发送方时总体签密文的数据量相对于现有方法减少了22.2%，在有6个发送方时总体签密文的数据量相对于现有方法减少了27.8%，在有9个发送方时总体签密文的数据量相对于现有方法减少了29.6%，在有12个发送方时总体签密文的数据量相对于现有方法减少了30.5%。

附图说明

图1是本发明的流程图。

具体实施方式

下面结合附图说明和具体实施方式对本发明做进一步详细说明。

本发明方法首先由n个发送方，分别对各自的消息产生签密文；再由聚合方对多个签密文进行聚合，产生整体签密文；最后由接收方进行聚合解签密，验证有效性，并解密出消息。

在所述可聚合签密方法的应用场景中，具有n个对等的发送方，每个发送方独立产生签密文；具有1个聚合方，可以由任何一个发送方、或接收方充当，能够对接收到的多个签密文执行聚合操作；具有1个接收方，能够对聚合签密文进行解签密。

符号←_R表示随机选择操作；Z_q ^*表示阶为q的乘法群，该乘法群中的元素包括大于等于1且小于q-1的所有整数；符号|表示消息的级联操作；符号表示异或操作。

具体包括下列步骤：

步骤一：系统设定公共参数；

由一个统一的安全通信平台负责设定公共参数，并向所有用户广播。需要设定的系统参数如下：k为安全参数，q为长度为k比特的素数，G₁是一个阶为q的乘法循环群，P是G₁生成元，G₁中的元素的长度为l比特，G₂是另一个阶为q的乘法循环群，e:G₁×G₁→G₂是一个双线性映射，要发送的消息长度为z比特，H₁和H₂为两个散列函数，定义分别为H₁:{0,1}^z×G₁→G₁和H₂:G₁ ³→{0,1}^z。

步骤二：系统为所有用户产生公钥和私钥；

系统为第i个发送方S_i选择随机数x_Si←_RZ_q ^*作为其私钥，计算并公开Y_Si=x_SiP∈G₁作为其公钥，其中i＝1，......,n；系统为接收方R选择随机数x_R←_RZ_q ^*作为其私钥，计算并公开Y_R=x_RP∈G₁作为其公钥，其中Z_q ^*是乘法群，该乘法群上的元素包括大于等于1且小于q-1的所有整数。

步骤三：每个发送方对各自的消息分别计算签密文，并将所产生的签密文发送给一个特定的聚合方或者接收方，包括以下步骤：

1）第i个发送方S_i选择随机数r_i∈Z_q ^*，计算U_i=r_iP，其中，i＝1，……，n；

2）第i个发送方S_i对消息m_i完成签密文计算，步骤如下：

①V_i=x_SiH₁(m_i||Y_Si)；

② $Z_i=m_i\⊕H_2\left(U_i\right|\left|Y_R\right|\left|r_i{Y}_R\right);$

w_i=(U_i,V_i,Z_i)作为发送方对消息m_i的签密文。

其中，V_i为乘法循环群G₁上的元素，Z_i是二进制序列；

步骤四：包括以下步骤：

1） $V=\underset{i=1}{\overset{n}{\mathrm{\Π}}}{V}_i;$

W=(U₁,…,U_n,V，Z₁，...,Z_n)作为总体签密文数据包。

步骤五：包括以下步骤：

1）接收方R计算H₂(U_i||Y_R||x_RU_i)和

2）接收方R，计算h_i=H₁(m_i||Y_Si)，验证等式是否成立，当且仅当等式成立时接受发送方所发送的消息，其中h_i为散列函数的输出。

本发明以一台CPU（中央处理器）为2.40GHzIntelCore2DuoCPUT8300，1GB内存，操作系统为Ubuntu9.04Linux的台式计算机作为接收方，构建了一个实验系统进行了模拟，完成系统参数设定、密钥产生、签密和聚合解签密操作。在GCC(GNUCompilerCollection)4.4.0.编译环境下，用标准C语言对本发明方法和现有方法进行了实现和对比。在模拟实验中，所处理的消息长度为384比特，安全参数k为384，哈希函数H₂为SHA-384(输出长度为384比特)，分别模拟了1个、3个、6个、9个和12个发送方向1个接收方签密并发送消息的情况，聚合操作和解签密操作由接收方来完成。现有方法为背景技术所述第三种方法，即采用点对点的签密方法，每个发送方分别向接收方签密发送消息，接收方对所收到消息分别进行解签密。通过记录CPU运行时间和总体签密文数据量，来衡量解签密的总体运行时间和签密文总体数据量来衡量本发明方法的性能。通过表1的记录和对比，发明人观察发现，本发明方法的CPU运行时间小于现有方法，而且随着发送方数量的增加，本发明方法CPU运行时间相对于现有方法的性能提高基本保持稳定，当仅有1个发送方时CPU运行时间和现有方法相同，当有3个发送方时CPU运行时间相对于现有方法提高了39.1%，当有6个发送方时CPU运行时间相对于现有方法提高了39.7%，当有9个发送方时CPU运行时间相对于现有方法提高了38.9%，当有12个发送方时CPU运行时间相对于现有方法提高了39.4%。通过表2的记录和对比，发明人观察发现，本发明方法的总体签密文的数据量小于现有方法，而且随发送方数量的增加，本发明方法的总体签密文的数据量相对于现有方法的性能提高也在增加，在有1个发送方时总体签密文的数据量和现有方法相同，在有3个发送方时总体签密文的数据量相对于现有方法减少了22.2%，在有6个发送方时总体签密文的数据量相对于现有方法减少了27.8%，在有9个发送方时总体签密文的数据量相对于现有方法减少了29.6%，在有12个发送方时总体签密文的数据量相对于现有方法减少了30.5%。

表1说明了所记录的CPU运行时间和计算得到的性能提高。具体是指本发明方法与现有方法的CPU运行时间比较。表中第一行指发送方人数分别为1个、3个、6个、9个和12个，表中第二行、第三行分别记录了现有方法和本发明方法解签密操作的CPU运行时间（单位为毫秒），第四行为计算得到的本发明方法CPU运行时间相对于现有方法的性能提高，计算方法为“性能提高=（现有方法的CPU时间-本发明的CPU运行时间）/现有方法的CPU运行时间”。

表1

表2说明了所记录的总体签密文长度和计算得到的性能提高。具体指本发明方法与现有方法的总体签密文长度比较。表中第一行指发送方人数分别为1个、3个、6个、9个、12个，表中第二行、第三行分别记录了现有方法和本发明方法的总体签密文长度（单位为比特），第四行为计算所得的本发明方法总体签密文长度相对于现有方法的性能提高，计算方法为“性能提高=（现有方法的总体签密文长度–本发明方法的总体签密文长度）/现有方法的总体签密文长度”。

表2

Claims (6)

1.一种签密文可聚合的签密方法，其特征在于包括以下步骤：

步骤一：系统设定公共参数；

步骤二：系统分别为每个用户产生公钥和私钥；

步骤三：每个发送方对各自的消息分别计算签密文，并将所产生的签密文发送给聚合方；

步骤四：聚合方将所有签密文聚合成整体签密文数据包，并发送给接收方；

步骤五：接收方用其私钥和所有发送方的公钥进行解签密；

所述步骤一：系统设定公共参数包括以下步骤：

由一个统一的安全通信平台负责设定公共参数，并向所有用户广播，需要设定的系统参数如下：k为安全参数，q为长度为k比特的素数，G₁是一个阶为q的乘法循环群，P是G₁生成元，G₁中的元素的长度为l比特，G₂是另一个阶为q的乘法循环群，e:G₁×G₁→G₂是一个双线性映射，H₁和H₂是两个散列函数，定义分别为H₁:{0,1}^z×G₁→G₁和H₂:G₁ ³→{0,1}^z，其中z为要发送消息的比特长度。

2.根据权利要求1所述的签密文可聚合的签密方法，其特征在于：所述的发送方是具有n个对等的发送方，每个发送方独立产生签密文；聚合方具有1个聚合方，能够对接收到的签密文执行聚合操作；接收方具有1个，能够对聚合签密文进行解签密。

3.根据权利要求1所述的签密文可聚合的签密方法，其特征在于：

所述步骤三包括以下步骤：

1)第i个发送方S_i选择随机数r_i∈Z_q ^*，计算U_i＝r_iP，其中，i＝1，......，n；

2)第i个发送方S_i对消息m_i完成签密文计算，步骤如下：

①V_i＝x_SiH₁(m_i||Y_Si)；

② $Z_i=m_i\⊕H_2\left(U_i\right|\left|Y_R\right|\left|r_i{Y}_R\right);$

w_i＝(U_i,V_i,Z_i)作为发送方对消息m_i的签密文；

其中，r_i为整数，G₁为一个乘法循环群，U_i为乘法循环群G₁上的元素，P是乘法循环群G₁生成元，发送方S_i的公钥Y_Si为乘法循环群G₁上的元素，V_i为乘法循环群G₁上的元素，发送方S_i的私钥x_Si为从乘法群Z_q ^*中随机选择的整数，Z_i是二进制序列，H₂(.)为一个散列函数，接收方R的公钥Y_R为乘法循环群G₁上的元素，符号||表示级联操作，符号表示异或操作。

4.根据权利要求1所述的签密文可聚合的签密方法，其特征在于：所述步骤二：系统分别为每个用户产生公钥和私钥包括以下步骤：

系统为发送方S_i选择随机数x_Si←_RZ_q ^*作为S_i的私钥，计算Y_Si＝x_SiP∈G₁作为S_i的公钥，其中i＝1,…...,n；系统为接收方R选择随机数x_R←_RZ_q ^*，作为R的私钥，计算Y_R＝x_RP∈G₁作为R的公钥，其中，Z_q ^*是一个乘法群，该乘法群上的元素包括大于等于1且小于q-1的所有整数。

5.根据权利要求1所述的签密文可聚合的签密方法，其特征在于：所述步骤四包括以下步骤：

$1)---V=\underset{i=1}{\overset{n}{\Π}}{V}_i;$

W＝(U₁,…,U_n,V,Z₁,…,Z_n)作为总体签密文数据包发送给接收方，其中，U₁,…,U_n分别为乘法循环群G₁上的元素，V为乘法循环群G₁上的元素，Z₁,…,Z_n分别为二进制序列。

6.根据权利要求1所述的签密文可聚合的签密方法，其特征在于：所述步骤五包括以下步骤：

1)接收方R计算H₂(U_i||Y_R||x_RU_i)和

2)接收方R，计算h_i＝H₁(m_i||Y_Si)，验证等式是否成立，当且仅当等式成立时接受发送方所发送的消息，其中h_i为散列函数的输出；

其中，U_i为乘法循环群G₁上的元素，接收方R的公钥Y_R为乘法循环群G₁上的元素，接收方R的私钥x_R为从乘法群Z_q ^*中随机选择的整数，Z_i是二进制序列，h_i为乘法循环群G₁上的元素，H₁()和H₂()为散列函数，Y_Si为乘法循环群G₁上的元素，P是乘法循环群G₁生成元，V为乘法循环群G₁上的元素，符号||表示级联操作，符号表示异或操作，e()表示双线性映射运算。