CN103634788A

CN103634788A - 前向安全的无证书多代理签密方法

Info

Publication number: CN103634788A
Application number: CN201310687746.XA
Authority: CN
Inventors: 李方伟; 余航; 朱江; 冯德俊; 李立; 马安君
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2013-12-16
Filing date: 2013-12-16
Publication date: 2014-03-12

Abstract

本发明属于无线网络中通信数据认证和保密领域，提供一种前向安全的无证书多代理签密方法，原始签密人私钥在动态更新阶段不断更新，代理密钥也不断更新，而签密的公钥在整个过程中不变，进一步采用密钥更新算法更新私钥，其是单向函数，加入了无证书密码体制使其在安全性更高的条件下减少了系统开销，满足了以往的多代理签密体制的保密性、强可识别性、公开验证性、强不可否认性、抗滥用性的要求，并且，还满足了更高要求的前向安全性和强不可为造性。

Description

前向安全的无证书多代理签密方法

技术领域

本发明属于无线网络中通信数据认证和保密领域，具体涉及前向安全的无证书多代理签密方法。

背景技术

在计算机通讯及电子商务的应用中，保密和认证是最重要的问题之一。1997年，Zheng提出了签密的概念，签密系统集签名和加密的功能于一体，实现了在一个步骤内完成加密和签名的功能；1999年Gamage等人首次提出代理签密方案，即一个原始签名人能够指定一个代理签密人作为其代理人，代理签密人代表原始签密人对授权的消息生成有效的代理签密过程。然而，在实际生活中，常常会需要原始签密人实现消息保密性和认证性的同时把权利授予给多个人，且只有当代理签密组的所有成员一起合作才能够代表原始签密人产生有效的代理签密，这种签密体制称作多代理签密体制。近年来，无证书密码体制也得到快速发展，其主要优点是有效地解决了传统密码体制和基于身份密码体制中的密钥托管和证书管理问题，简化了密钥管理，提高了系统的运行效率，其优越性非常明显。

目前现存的多代理方案都是基于证书或者身份的，而且大多没有考虑到当原始签密人的私钥、代理签密组员组的私钥和代理密钥丢失的情况，甚至当前阶段的回话秘钥丢失的情况下方案的安全性，即强前向安全性无法得到保证。因此利用无证书密码体制的优越性设计出一种安全性更高的多代理签密体制非常必要。

发明内容

为解决以上问题，本发明提供一种前向安全的无证书多代理签密方法。

本发明的前向安全的无证书多代理签密方法，包括：

初始化阶段，包括：

101、密钥生成中心设置系统参数，公开系统参数；

102、原始签密人、代理签密组员和密文接收人根据系统参数生成各自公钥，并分别发送给密钥生成中心，密钥生成中心分别利用各自公钥分别生成原始签密人私钥、代理签密组员私钥和密文接收人私钥，将原始签密人私钥发送给原始签密人，将代理签密组员私钥发送给该代理签密组员和原始签密人，将密文接收人私钥发送给密文接收人；

动态更新阶段，包括：

103、原始签密人更新原始签密人私钥获得更新后的原始签密人私钥；

104、原始签密人利用更新后的原始签密人私钥和授权许可证生成原始签密人签密并发送给代理签密组员，代理签密组员根据原始签密人的签密和代理签密组员私钥生成代理密钥发送给代理签密组员代表，所述授权许可证由原始签密人A预先签发给该代理签密组员；

105、代理签密组员代表根据所述代理密钥生成最终密文并发送给密文接收人；

106、密文接收人根据所述密文接收人私钥对所述最终密文进行验证，确定所述最终密文的有效性

优选地，所述原始签密人更新原始签密人私钥获得更新后的原始签密人私钥S_Ai为：S_Ai=α_AiD_A，其中，α_Ai为当前阶段的秘密值，

α_A(i-1)为原始签密人上一阶段随机选择的秘密值，D_A为原始签密人验证码，D_A=sQ_A，s为由密钥生成中心的系统主密钥，Q_A为原始签密人公钥，根据原始签密人身份通过hash函数运算生成。

优选地，所述代理签密组员代表根据代理密钥生成最终签密密文为包括：首先，代理签密组员代表根据各代理签密组员的参数和密文接收人的公开身份信息及密文接收人的公钥，把消息明文转化成密文；然后，代理签密组员分别产生签密并且发送给代理签密组员代表，最后由代理签密组员代表合并各个代理签密组员产生的签密生成最终签密密文。

与现有技术相比，本发明提供了一种新的多代理签密方式，加入了无证书密码体制使其在安全性更高的条件下减少了系统开销，进一步采用密钥更新算法

更新私钥，其是单向函数，满足了以往的多代理签密体制的保密性、强可识别性、公开验证性、强不可否认性、抗滥用性的要求，并且，还满足了更高要求的前向安全性和强不可为造性。

附图说明

图1是本发明前向安全的无证书多代理签密方法实施例流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明做进一步详细说明。

为了便于理解，对本发明有关参数或表示符号作出说明：

m、c分别指明文消息和密文；H,H₁,H₂,H₃,H₄分别是指五个不同的安全的单项函数；H_t(a,b),1≤t≤4表示:此单项的函数运算包含元素a,b；H_t(a□b),1≤t≤4表示：此单项hash函数运算包含由元素a,b连接运算后的结果。

指Z_q中所有对模乘可逆元构成的集合，Z_q指剩余类环，q为任意素数；{0,1}ⁿ指所有由0和1组成的长度为n比特的字符串的集合；{0,1}^*指所有由0和1组成的字符串的集合；表示α随机、均匀的取自集合

G₁、G₂分别为阶为q的加法群和乘法群，P为G₁的生成元；

e：G₁×G₂→G₂是满足如下条件的双线性映射对：①双线性，e(aP,bQ)=e(P,Q)^ab，对

②非退化性，

满足e(P,Q)≠1；③可计算性，e(P,Q)可以被有效计算出来；双线性映射为本领域公知技术，不做详细介绍。

指a和异或运算；a□b指a和b的连接；<a,b>表示元素a与b形成的集合；(a,b,…,c)表示运算里面包含元素a、b、…、c。

本发明提出的前向安全的无证书多代理签密方法，如图1所示，包括：

初始化阶段（i=0），包括：

步骤301：密钥生成中心（KGC）设置系统参数，公开系统参数

步骤302：原始签密人、代理签密组员和密文接收人根据系统参数生成各自公钥，并分别发送给密钥生成中心，密钥生成中心分别利用各自公钥分别生成原始签密人私钥、代理签密组员私钥和密文接收人私钥，将原始签密人私钥发送给原始签密人，将代理签密组员私钥发送给该代理签密组员和原始签密人，将密文接收人私钥发送给密文接收人

动态更新阶段(1≤i≤T)，包括：

步骤303：原始签密人更新原始签密人私钥获得更新后的原始签密人私钥SAi

步骤304：原始签密人利用更新后的原始签密人私钥和授权许可证生成中间密文并发送给代理签密组员，代理签密组员根据中间密文和代理签密组员私钥生成代理密钥，所述授权许可证由原始签密人预先签发给代理签密组员

步骤305：代理签密组员代表根据各代理签密组员发送的代理密钥生成最终签密密文并发送给密文接收人R。

步骤306：密文接收人R根据最终密文恢复明文消息，并对最终密文进行验证，确定最终密文的有效性。

下面对各个步骤的实施方式进行详细说明。

所述步骤301：密钥生成中心（KGC）设置系统参数，公开系统参数

具体设置过程如下：

首先，密钥生成中心选取密码学上的四个安全的hash函数：H₁:{0,1}^*×G₁→G₁，

H₃:G₂×{0,1}^*→{0,1}ⁿ，

其中H₁表示输入任意长度的字符经双线性映射到循环群G₁的hash函数；H₂表示输入任意长度的字符经双线性映射到集合

的hash函数；H₃表示输入任意长度的字符经双线性映射到长度为n比特的字符串的hash函数；H₄表示输入任意长度的字符经双线性映射到到集合的hash函数。

然后，密钥生成中心选择作为系统主密钥，对其保密持有，并计算P_pub=s_sP，公开系统参数集{G₁,G₂,q,e,P,n,H₁,H₂,H₃,H₄,P_pub}

所述步骤302：原始签密人、代理签密组员和密文接收人根据系统参数生成各自公钥，并分别发送给密钥生成中心，密钥生成中心分别利用各自公钥分别生成原始签密人私钥、代理签密组员私钥和密文接收人私钥，将原始签密人私钥发送给原始签密人，将代理签密组员私钥发送给该代理签密组员和原始签密人，将密文接收人私钥发送给密文接收人

具体包括以下步骤：

302-1、原始签密人A随机选择秘密值

保密持有，代理签密组员N_j(j=1，2，…，n)随机选取秘密值

保密持有。

1）原始签密人A计算其参数集P_Ai=<X_Ai,Y_Ai>，并将其公开，其中X_Ai=α_AiP，Y_Ai=α_AiP_pub，原始签密人A使用其合法身份ID_A向密钥生成中心KGC提出申请，密钥生成中心KGC若验证到原始签密人A的身份合法，则计算原始签密人公钥Q_A，所述原始签密人公钥根据原始签密人A身份ID_A通过hash函数H₁运算生成，即Q_A=H₁(ID_A)，并通过安全信道发送计算的原始签密人验证码D_A给原始签密人A，其中D_A=s_sQ_A；

2）同样，代理签密组员N_j生成其参数集

并公开，其中

代理签密组员N_j使用其合法身份向密钥生成中心KGC提出申请，密钥生成中心KGC若验证代理签密组员N_j的身份合法，则计算代理签密组员公钥

并通过安全信道分别发送计算的代理签密组员验证码给代理签密组员N_j，其中

是根据代理签密组员Ｎ_ｊ身份

及其公开参数Y_j，由hash函数H₁生成的代理签密组员的公钥，即

3）同理，密文接收人R计算其参数P_R=<X_R,Y_R>，并将其公开，其中X_R=α_RP,Y_R=α_RP_pub密文接收者R使用期合法身份向密钥生成中心KGC提出申请，密钥生成中心KGC密文接收者R的身份合法，则计算密文接收者R的公钥Q_R，并通过安全信道发送密文接收者验证码D_R给密文接收者R，其中D_R=s_sQ_R，Q_R是根据消息接收人R的身份ID_R及其公开参数由hash函数H₁生成的消息接收人R的公钥，即Q_R=H₁(ID_R□Y_R)。

302-2、原始签密人A首先验证：e(D_A,P)=e(Q_A,P_pub)是否成立，若成立，则接收原始签密人发送的D_A并计算私钥S_A0=x_A0D_A，将（x_A0，S_A0）作为自己初始阶段私钥保密保存。

同上面x_A0、S_A0获取方法，代理签密组员N_j生成自己的私钥：

密文接收人R生成自己私钥（x_R,S_R）。

同时，原始签密人A签发一个授权许可证m_w给代理签密组员N_j，m_w中明确说明原始签密人A和代理签密组员N_j的身份信息及授权关系，同时也说明该授权关系的使用限制等内容。

动态更新阶段(1≤i≤T)，包括：

步骤303：原始签密人更新原始签密人私钥获得更新后的原始签密人私钥S_Ai。

优选地，所述原始签密人更新原始签密人私钥为S_Ai=α_AiD_A，原始签密人运用二次取模运算采用上一阶段的秘密值α_A(i-1)（见上述302-1）更新当前阶段的秘密值α_Ai，利用当前阶段的原始签密人α_Ai更新原始签密人私钥S_Ai，即

由于原始签密人私钥更新算法S_Ai=α_AiD_A是单向函数，若想求出第k(0≤k≤i)阶段的私钥，则需要计算的是基于求模的n方根问题，在先验信息不完备的情况下，计算上是不可行的。所以就算是当前阶段是会话密钥丢失，也无法计算出之前的会话密钥，具有前向安全性。

步骤304：原始签密人利用更新后的原始签密人私钥和授权许可证生成中间密文并发送给代理签密组员，代理签密组员根据中间密文和代理签密组员私钥生成代理密钥，所述授权许可证由原始签密人预先签发给代理签密组员；

304-1、原始签密人A选择计算V_i=(r+g)S_Ai,g=H₂(m_w,U),U=rQ_A；然后将代理签密(m_w,U,V_i)分别发送给代理签密组员N_j。

304-2、代理签密组员N_j首先验证等式：e(X_Ai,P_pub)=e(Y_Ai,P)是否成立，若不成立，则要求A重发，若成立，则计算g=H₂(m_w,U)；再验证：e(P,V_i)=e(Y_Ai,gQ_A+U)（具体运算过程：e(P,V_i)=e(P,(r+g)S_Ai)=e(p,(r+g)α_AisQ_A)=e(Y_Ai,gQ_A+U)）是否成立，若不成立，则拒绝接收代理签密(m_w,U,V)，若成立，则接收消息(m_w,U,V)，代理签密组员N_j采用密钥更新算法计算第i阶段的代理密钥

步骤305：代理签密组员代表根据各代理签密组员发送的代理密钥生成最终签密密文并发送给密文接收人R，具体包括以下步骤：

所述代理签密组员代表根据各代理签密组员发送的代理密钥生成最终签密密文为：首先，代理签密组员代表根据各代理签密组员的参数和密文接收人的公开身份信息及接收者的公钥，把消息明文转化成密文；然后，代理签密组员分别产生签密并且发送给代理签密组员代表，最后由代理签密组员代表合并各个代理签密组员产生的签密生成最终签密密文

优选实施例步骤，具体包括：

305-1、代理签密组员N_j(j=1,2,…,n)选取

再计算S_j=β_jP,并且将S_j发给代理签密组员代表。

代理签密组员代表是所有代理签密组员中选择的代理人，负责将所有代理签密组员的部分密文合成最终密文。

305-2、代理签密组员N_j计算

并向其他签密人广播W_j；然后N_j计算

W = Π_{j = 1}^{n} W_{j}

和

c = H_{3} (W, {ID}_{R}) &CirclePlus; m .

305-3、代理签密组员代表计算

并向所有代理签密组员广播S。

305-4、代理签密组员N_j首先计算

T_{N_{j} i} = (X_{N_{j} i} + β_{j} h_{j}) P, h_{j} = H_{4} (m, m_{w}, S, R_{N_{j}}),

并把

作为对m的部分签密发送给代理签密组员代表。

305-5、代理签密组代表计算

形成密文c，将包括密文c在内的最终密文(m_w,S,c,T_i)发送给密文接收人R。

步骤306：密文接收人R根据最终密文恢复明文消息，并对最终密文进行验证，确定最终密文的有效性，具体包括以下步骤：

密文接收人R收到密文(m_w,S,c,T_i)后，首先利用自己的密文接收人私钥S_R从最终密文(m_w,S,c,T_i)中恢复出明文m，然后对最终密文(m_w,S,c,T_i)进行验证。

所述利用自己的私钥S_R从最终密文(m_w,S,c,T_i)中恢复出明文m包括：

m = c &CirclePlus; H_{3} (W, {ID}_{R}), W = e (S, S_{R});

所述对最终密文(m_w,S,c,T_i)进行验证包括：

1）查消息m是否符合m_w的约定；检查N_j是否是原始签密人A在m_w中授权的代理签密组员。

2）证人验证等式：e(X_Ai,P_pub)=e(Y_Ai,P)和

来计算A和N_j的公钥是否成立。

3）上面公钥是正确的，则计算出原始签密人A的公钥Q_A=H₁(ID_A)和代理签密组员的公钥

后再验证等式：

e (P, T_{i}) = e (X_{Ai}, P_{pub} n (U + Q_{A} g)) e (P, Σ_{j = 1}^{n} Y_{j} Q_{j}) e {(P, S)}^{Σ_{j = 1}^{n} h_{j}}

是否成立，若成立，则收到的是有效的签密。

密文接收人R收到最终密文后对最终密文进行验证，保证了原始签密人A和每个代理签密组员公钥的合法性；最后验证签密消息的有效性：

e (P, T_{i}) = e (X_{Ai}, P_{pub} n (U + Q_{A} g)) e (P, Σ_{j = 1}^{n} Y_{j} Q_{j}) e {(P, S)}^{Σ_{j = 1}^{n} h_{j}}

本发明具有前身安全性：

本发明满足现存的多代理方法的前向安全性，即使原始签密人的私钥、代理签密组员组的私钥和代理密钥丢失了，攻击者无法获得会话密钥。然而现存的多代理签密方案不能满足当前代理密钥丢失攻击者也不能对签密进行攻击的要求。

本发明中，原始签密人私钥在时间段i(1≤i≤T)进行更新，代理密钥也不断更新，而签密的公钥在整个过程中不变，采用密钥更新算法其是单向函数，若想求出第k_(0≤k≤i)阶段的私钥，则需要计算的是基于求模的n方根问题，在先验信息不完备的情况下，计算上是不可行的。。所以就算是当前阶段是会话密钥丢失，也无法计算出之前的会话密钥，具有前向安全性。

本发明具有强不可伪造性

①两类攻击者A₁、A₂都不能伪造A的授权。

由于类型1的攻击者A₁：在签密的生成过程中将代理签密组的公钥作为输入的部分h_j=H₄(m,m_w,S,N_j)，使得在计算

时候必须用到签密组的公钥N_j，从而使得攻击者不能利用

来替换用户的公钥。

类型2的攻击者A₂：代理签密组员组生成了秘密值和公开参数

在之后KGC产生部分私钥时将用户身份和系统公钥一起进行了Hash运算，这样系统公钥必须要在用户生成部分私钥之前生成，这就抵抗了恶意但被动的KGC攻击。

②其他任何人都无法伪造有效的密文。

由于发明中的代理密钥是由原始签密人A和代理签密组N_j的私钥共同组成，A的私钥是采用密钥不断更新的方法生成，就算i阶段所有的私钥丢失或者代理密钥丢失也无法恢复出j阶段的代理密钥，所以任何人都无法恢复伪造有效密文。

本发明所举实施方式或者实施例对本发明的目的、技术方案和优点进行了进一步的详细说明，所应理解的是，以上所举实施方式或者实施例仅为本发明的优选实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.前向安全的无证书多代理签密方法，其特征在于：包括：

初始化阶段，包括：

101、密钥生成中心设置系统参数，公开系统参数；

动态更新阶段，包括：

106、密文接收人根据所述密文接收人私钥对所述最终密文进行验证，确定所述最终密文的有效性。

2.根据权利要求1所述前向安全的无证书多代理签密方法，其特征在于：所述原始签密人更新原始签密人私钥获得更新后的原始签密人私钥S_Ai为：S_Ai=α_AiD_A，其中，α_Ai为当前阶段的秘密值，α_A(i-1)为原始签密人上一阶段随机选择的秘密值，D_A为原始签密人验证码，D_A=sQ_A，s为由密钥生成中心的系统主密钥，Q_A为原始签密人公钥，根据原始签密人身份通过hash函数运算生成。

3.根据权利要求1所述前向安全的无证书多代理签密方法，其特征在于：所述代理签密组员代表根据代理密钥生成最终签密密文为包括：首先，代理签密组员代表根据各代理签密组员的参数和密文接收人的公开身份信息及密文接收人的公钥，把消息明文转化成密文；然后，代理签密组员分别产生签密并且发送给代理签密组员代表，最后由代理签密组员代表合并各个代理签密组员产生的签密生成最终签密密文。