CN103312506A - 接收者身份匿名的多接收者签密方法 - Google Patents

Abstract

本发明公开了一种接收者身份匿名的多接收者签密方法，用于解决现有多接收者签密方法安全性差的技术问题。技术方案是，（1）发送者签密。发送者ID_s选取n个授权接收者ID₁,ID₂,...,ID_n，建立授权接收者身份信息列表L={ID₁,ID₂,...,ID_n}，通过构造签密密文C=<a₀,a₁,...,a_n-1,σ,Y,X,W>，并对签密密文C进行广播，完成签密操作。（2）接收者解密。接收者ID_i使用签密密文C中的元素a₀,a₁,...,a_n-1重构多项式函数f(x)，计算数值h′=H₁(M,a₀,a₁,...,a_n-1,X)，然后判断等式e(P,W)=e(P_pub,h′(Q_s+P₁)+X)是否成立；若等式成立，则说明解密获得的明文消息M是正确；若等式不成立，则说明解密获得的明文消息是错误的。有效地防止了广播通信时潜在的接收者的身份信息泄露问题，提高了多接收者签密方法的安全性。

Description

接收者身份匿名的多接收者签密方法

技术领域

本发明涉及一种多接收者签密方法，特别涉及一种接收者身份匿名的多接收者签密方法。

背景技术

在分布式网络应用（例如网络会议、圆桌会议及收费电视）中，为了保护通信系统中进行会话的所有参与者身份隐私，以及确保会话内容仅可以被授权用户正确解密，而非授权用户无法正确解密，需要安全广播技术作为支持。安全广播是实现一个发送者向多个授权接收者安全发送相同消息的技术，能够实现上述网络应用的安全需求。

文献“Cryptanalysis and improvements of an anonymous multi-receiver identity-basedencryption scheme.IET Inf.Secur,2012,6(1):20–27”公开了一种基于身份的接收者匿名的多接收者加密方法，该方法的主要步骤是：首先，用户以自身的身份信息向可信第三方TTP(Trusted Third Party)进行注册，TTP为每一个注册用户计算公钥和私钥，并将用户的公钥公开，将相应的私钥秘密地分发给各个用户；加密时，发送者先利用哈希函数对接收者身份进行映射，然后根据所得参数构造拉格朗日插值函数，从而将所有授权接收者的身份信息融合在一起作为密文的一部分，最后发送者使用对称加密算法对明文消息进行加密，并将所得到的全部密文进行广播；解密时，接收者收到密文后，根据部分密文计算得到解密密钥，再使用对称解密算法解密恢复明文消息，最后接收者通过计算判断等式是否成立来验证解密消息的正确性，如果成立，则明文消息正确，接收该消息，否则存在错误，拒绝该消息，完成解密。但是该方案存在一些缺陷：当授权接收者正确解密密文获得明文消息后，他可以利用明文消息通过计算得到一些参数，然后利用这些参数、密文中部分元素和授权接收者的身份信息三者之间的等价关系来验证其他人是否为授权接收者，从而不能保证接收者身份匿名性，包括授权接收者对非授权接收者的身份匿名以及授权接收者之间的身份匿名；另外该方法的加密和解密计算量都较大，严重影响了加密和解密效率。

发明内容

为了克服现有的多接收者签密方法安全性差的不足，本发明提供一种接收者身份匿名的多接收者签密方法。该方法的发送者在签密时，利用密码单向哈希函数和双线性对两种运算将每个授权接收者的身份信息隐藏起来，并利用上述运算得到的参数构造多项式函数，将多项式函数的系数作为签密密文的一部分进行广播；每个接收者收到签密密文后，利用签密密文中的多项式函数的系数重新还原多项式函数，再将接收者的私钥通过双线性对和密码单向哈希函数两种运算获得的结果带入到被还原的多项式函数中从而获得解密参数，然后利用此解密参数通过进一步的计算获得明文消息和发送者身份，最后接收者利用解密获得的明文消息通过计算判断发送者身份的有效性和签密密文的正确性。可以有效地防止广播通信时潜在的接收者的身份信息泄露问题，同时具有较高的加密解密的效率。

本发明解决其技术问题所采用的技术方案：一种接收者身份匿名的多接收者签密方法，其特点是包括以下步骤：

（1）发送者的签密过程；

发送者ID_s对明文消息M的签密时，

（1a）发送者ID_s选取n个授权接收者ID₁,ID₂,...,ID_n，建立授权接收者身份信息列表L={ID₁,ID₂,...,ID_n}，其中n为大于零的整数；

（1b）发送者ID_s选择秘密随机数r∈Z_q ^*，计算数值Y=rP和数值J=rP_pub，其中，Z_q ^*为基于素数q的非零乘法群，P为G₁上的生成元，P_pub为系统主公钥；

（1c）对于每一个授权接收者ID_i，发送者ID_s计算中间参数p_i=H₂(e(Q_i+P₁,J))，其中i=1,2,…,n，Q_i为授权接收者ID_i的公钥，P₁为群G₁中任意选取的元素，H₂为密码单向哈希函数，e为双线性映射；然后，使用计算得到的n个中间参数p_i，i=1,2,…,n，构造n阶多项式函数f(x)如下：

$f\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\&Pi;}}}(x-p_i)+t\left(\mathrm{mod}q\right)=a_0+a_{1}x+...+a_{n-1}{x}^{n-1}+x^n$

其中，x为多项式函数f(x)的自变量，t为发送者ID_s选择的随机数且t∈Z_q ^*，a_i为多项式函数f(x)的系数且a_i∈Z_q ^*，i=0,1,…,n-1；

（1d）发送者ID_s计算数值X=r(Q_s+P₁)和数值h=H₃(M,a₀,a₁,…,a_n-1,X)，然后计算签名W=(h+r)D_s，其中，H₃为密码单向哈希函数，Q_s为发送者ID_s的公钥，D_s为发送者ID_s的私钥；

（1e）发送者ID_s计算消息密文

其中，H₄为密码单向哈希函数，ID_s为发送者的身份信息，M为明文消息，

为逐位模2加法运算，||为级联符号；

（1f）发送者ID_s构造签密密文C=<a₀,a₁,...,a_n-1,σ,Y,X,W>，并对签密密文C进行广播，完成签密操作；

（2）接收者的解密过程；

接收者ID_i，i=1,2,...,n，对签密密文C的解密时，

（2a）接收者ID_i使用签密密文C中的元素a₀,a₁,...,a_n-1重构多项式函数f(x)如下：

f(x)=a₀+a₁x+...+a_n-1x^n-1+xⁿ

（2b）接收者ID_i计算中间参数v_i=H₂(e(D_i,Y))，将中间参数v_i带入多项式函数f(x)中计算解密参数t′=f(v_i)，其中D_i为授权接收者ID_i的私钥，Q_i为授权接收者ID_i的公钥，e为双线性映射，H₂为密码单向哈希函数，Y为签密密文C中的元素；

（2c）接收者ID_i利用解密参数t′和密码单向哈希函数H₄计算

以获得发送者的身份信息ID_s和明文消息M的级联信息(ID_s||M)，然后进一步对该级联信息(ID_s||M)进行解链接操作得到发送者身份信息ID_s和明文消息M；

（2d）接收者ID_i计算数值h′=H₁(M,a₀,a₁,...,a_n-1,X)，然后判断等式e(P,W)=e(P_pub,h′(Q_s+P₁)+X)是否成立，其中，W，X为签密密文C中的元素，P，P_pub，P₁为系统公开参数，e为双线性映射，Q_s为发送者ID_s的公钥；

若等式成立，则说明解密获得的明文消息M是正确的并且发送者身份是有效的；若不成立，则说明发送者身份是无效的或者解密获得的明文消息是错误的。

本发明的有益效果是：由于该方法的发送者在签密时，利用密码单向哈希函数和双线性对两种运算将每个授权接收者的身份信息隐藏起来，并利用上述运算得到的参数构造多项式函数，将多项式函数的系数作为签密密文的一部分进行广播；每个接收者收到签密密文后，利用签密密文中的多项式函数的系数重新还原多项式函数，再将接收者的私钥通过双线性对和密码单向哈希函数两种运算获得的结果带入到被还原的多项式函数中从而获得解密参数，然后利用此解密参数通过进一步的计算获得明文消息和发送者身份，最后接收者利用解密获得的明文消息通过计算判断发送者身份的有效性和签密密文的正确性。有效地防止了广播通信时潜在的接收者的身份信息泄露问题，同时具有较高的加密解密的效率。

下面结合附图和实施例对本发明作详细说明。

附图说明

图1是本发明接收者身份匿名的多接收者签密方法的流程图。

具体实施方式

参照图1详细说明本发明。

名词解释。

TTP：可信第三方，常由密钥生成中心担当，负责产生发送者和接收者的私钥；

z：可信第三方TTP选取的系统安全参数；

q：可信第三方TTP选取的大素数，其中q>2^z；

G₁：可信第三方TTP选取的q阶加法循环群；

G₂：可信第三方TTP选取的q阶乘法循环群；

e：可信第三方TTP选取的G₁和G₂上的双线性映射，即e:G₁×G₁→G₂；

A→B：定义域A到值域B的映射；

P：G₁上的生成元，由可信第三方TTP随机选取；

s：系统主密钥，由可信第三方TTP随机选取的；

Z_q ^*：基于素数q的非零乘法群；

P_pub：系统主公钥，P_pub=sP；

H_i：密码单向哈希函数，其中i=1,2,3,4；

{0,1}^*：任意长的“0”或“1”构成的串；

M：明文消息；

|M|：明文消息M的长度；

P₁：从群G₁中任意选取的元素；

params：系统公开参数；

ID：用户身份信息；

ID_s：发送者身份信息；

Q_s：发送者ID_s的公钥，Q_s=H₁(ID_s)；

D_s：发送者ID_s的私钥，D_s=s(Q_s+P₁)；

n：授权接收者的个数；

ID_i：授权接收者的身份信息，其中i=1,2,…,n；

Q_i：授权接收者ID_i的公钥，Q_i=H₁(ID_i)，其中i=1,2,…,n；

D_i：授权接收者ID_i的私钥，D_i=s(Q_i+P₁)，其中i=1,2,…,n；

L：授权接收者身份信息列表；

A mod q：表示A除以q后的余数；

f(x)：n次多项式函数,其中x为自变量；

：逐位模2加法运算；

A||B：表示A与B的级联，其中A和B链接起来即为A||B，通过对A||B解链接操作即可得到A和B；

σ：消息密文；

C：签密密文；

<a,b,…,c>：由元素a,b,…,c构成的有顺序的元素集合。

具体实施方法如下：

步骤1，系统建立。

密钥生成中心根据安全参数z选取一个大素数q，其中q>2^z，构造一个q阶的加法循环群G₁和一个q阶乘法循环群G₂；构造一个双线性映射e:G₁×G₁→G₂；从群G₁上随机选取生成元P，并随机选取系统主密钥s∈Z_q ^*，计算对应的系统主公钥P_pub=sP；构造4个密码单向哈希函数，记为：H₁：{0,1}^*→G₁；H₂：G₂→Z_q ^*；H₃：{0,1}^|M|×Z_q ^*n×G₁→Z_q ^*；H₄：Z_q ^*→{0,1}^*；并从群G₁中任意选取的一个元素P₁；

密钥生成中心构造并公布系统参数params，params构造方法为：

params=<G₁,G₂,q,e,P,P₁,P_pub,H₁,H₂,H₃,H₄>

同时，密钥生成中心安全保存系统主密钥s。

步骤2，用户注册。

用户向密钥生成中心提交身份信息ID∈{0,1}^*，密钥生成中心根据系统参数params，主密钥s和用户身份信息ID∈{0,1}^*计算用户的公钥Q_ID=H₁(ID)，用户的私钥D_ID=s(Q_ID+P₁)，对外公布该用户的公钥并将用户的私钥安全地发送给用户。

步骤3，发送者签密。

发送者ID_s选取n个授权接收者ID₁,ID₂,...,ID_n，其中n为整数且n大于0，构造授权接收者身份信息列表L={ID₁,ID₂,...,ID_n}；发送者ID_s对明文消息M的签密过程如下：

发送者ID_s任意选取一个秘密整数r∈Z_q ^*，计算数值Y=rP和数值J=rP_pub；

对于每一个授权接收者ID_i，发送者ID_s利用该授权接收者的公钥Q_i计算中间参数p_i=H₂(e(Q_i+P₁,J))，其中，i=1,2,…,n，Q_i为该授权接收者的公钥，P₁为群G₁中任意选取的元素，H₂为密码单向哈希函数；

发送者ID_s随机选取整数t∈Z_q ^*，并利用中间参数p_i建立n阶多项式函数f(x)如下：

$f\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\&Pi;}}}(x-p_i)+t\left(\mathrm{mod}q\right)=a_0+a_{1}x+...+a_{n-1}{x}^{n-1}+x^n$

其中，x为多项式函数f(x)的自变量，a_i为多项式函数f(x)的系数且a_i∈Z_q ^*；

发送者ID_s计算数值X=r(Q_s+P₁)和数值h=H₃(M,a₀,a₁,…,a_n-1,X)，使用发送者ID_s的私钥D_s进行签名W=(h+r)D_s，其中，H₃为密码单向哈希函数，Q_s为发送者ID_s的公钥且Q_s=H₁(ID_s)，D_s为发送者ID_s的私钥且D_s=s(Q_s+P₁)；

发送者ID_s计算消息密文

M为明文消息，，H₄为密码单向哈希函数

为逐位模2加法运算，||为级联符号；

发送者ID_s构造签密密文为C=<a₀,a₁,...,a_n-1,σ,Y,X,W>并将签密密文C进行广播。

步骤4，接收者解密。

接收者ID_i，i=1,2,...,n，对签密密文C=<a₀,a₁,...,a_n-1,σ,Y,X,W>进行解密过程如下：

首先根据签密密文C中的元素a₀,a₁,...,a_n-1重构n阶多项式函数f(x)如下：

f(x)=a₀+a₁x+...+a_n-1x^n-1+xⁿ

然后接收者ID_i使用私钥D_i和签密密文C中的元素Y计算中间参数v_i=H₂(e(D_i,Y))，并将中间参数v_i带入多项式函数f(x)中计算得到解密参数t′=f(v_i)，其中D_i为发送者ID_i的私钥且D_i=s(Q_i+P₁)；

接收者ID_i利用解密参数t′计算

从而获得发送者的身份信息ID_s和明文消息M的级联信息(ID_s||M)，然后进一步对该级联信息(ID_s||M)进行解链接操作得到发送者身份信息ID_s和明文消息M；

接收者ID_i利用解密得到的明文消息M和签密密文C中的元素(a₀,a₁,...,a_n-1)，X计算数值h′=H₁(M,(a₀,a₁,...,a_n-1),X)，然后判断等式e(P,W)=e(P_pub,h′(Q_s+P₁)+X)是否成立；

若等式成立，则说明解密获得的明文消息是正确的并且发送者身份是有效的，若不成立，则说明发送者身份是无效的或者解密获得的明文消息是错误的。

Claims (1)

1.一种接收者身份匿名的多接收者签密方法，其特征在于包括以下步骤：

（1）发送者的签密过程；

发送者ID_s对明文消息M的签密时，

（1a）发送者ID_s选取n个授权接收者ID₁,ID₂,...,ID_n，建立授权接收者身份信息列表L={ID₁,ID₂,...,ID_n}，其中n为大于零的整数；

（1b）发送者ID_s选择秘密随机数r∈Z_q ^*，计算数值Y=rP和数值J=rP_pub，其中，Z_q ^*为基于素数q的非零乘法群，P为G₁上的生成元，P_pub为系统主公钥；

（1c）对于每一个授权接收者ID_i，发送者ID_s计算中间参数p_i=H₂(e(Q_i+P₁,J))，其中i=1,2,…,n，Q_i为授权接收者ID_i的公钥，P₁为群G₁中任意选取的元素，H₂为密码单向哈希函数，e为双线性映射；然后，使用计算得到的n个中间参数p_i，i=1,2,…,n，构造n阶多项式函数f(x)如下：

$f\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\&Pi;}}}(x-p_i)+t\left(\mathrm{mod}q\right)=a_0+a_{1}x+...+a_{n-1}{x}^{n-1}+x^n$

其中，x为多项式函数f(x)的自变量，t为发送者ID_s选择的随机数且t∈Z_q ^*，a_i为多项式函数f(x)的系数且a_i∈Z_q ^*，i=0,1,…,n-1；

（1d）发送者ID_s计算数值X=r(Q_s+P₁)和数值h=H₃(M,a₀,a₁,…,a_n-1,X)，然后计算签名W=(h+r)D_s，其中，H₃为密码单向哈希函数，Q_s为发送者ID_s的公钥，D_s为发送者ID_s的私钥；

（1e）发送者ID_s计算消息密文

其中，H₄为密码单向哈希函数，ID_s为发送者的身份信息，M为明文消息，

为逐位模2加法运算，||为级联符号；

（1f）发送者ID_s构造签密密文C=<a₀,a₁,...,a_n-1,σ,Y,X,W>，并对签密密文C进行广播，完成签密操作；

（2）接收者的解密过程；

接收者ID_i，i=1,2,...,n，对签密密文C的解密时，

（2a）接收者ID_i使用签密密文C中的元素a₀,a₁,...,a_n-1重构多项式函数f(x)如下：

f(x)=a₀+a₁x+...+a_n-1x^n-1+xⁿ

（2b）接收者ID_i计算中间参数v_i=H₂(e(D_i,Y))，将中间参数v_i带入多项式函数f(x)中计算解密参数t′=f(v_i)，其中D_i为授权接收者ID_i的私钥，Q_i为授权接收者ID_i的公钥，e为双线性映射，H₂为密码单向哈希函数，Y为签密密文C中的元素；

（2c）接收者ID_i利用解密参数t′和密码单向哈希函数H₄计算

以获得发送者的身份信息ID_s和明文消息M的级联信息(ID_s||M)，然后进一步对该级联信息(ID_s||M)进行解链接操作得到发送者身份信息ID_s和明文消息M；

（2d）接收者ID_i计算数值h′=H₁(M,a₀,a₁,...,a_n-1,X)，然后判断等式e(P,W)=e(P_pub,h′(Q_s+P₁)+X)是否成立，其中，W，X为签密密文C中的元素，P，P_pub，P₁为系统公开参数，e为双线性映射，Q_s为发送者ID_s的公钥；

若等式成立，则说明解密获得的明文消息M是正确的并且发送者身份是有效的；若不成立，则说明发送者身份是无效的或者解密获得的明文消息是错误的。

Images