CN103888249A - 组播通信用代理重加密方法 - Google Patents

Abstract

本发明提供了一种组播通信用代理重加密方法，包括以下步骤：一：发送方设置安全参数，并将安全参数向所有用户进行广播；二：自主选择私钥，根据私钥生成公钥并将公钥公开；三：发送方根据安全参数以及被代理者公钥，对待加密明文进行哈希函数运算及双线性对运算，生成一级密文；四：发送方根据安全参数以及代理者公钥，生成重加密密钥，并发送给第三方代理；五：第三方代理根据重加密密钥对一级密文进行重加密，生成二级密文，并将二级密文发送到代理者；六：被代理者和代理者分别根据私钥进行解密，获取明文。本发明能够达到选择密文攻击安全，通过代理重加密密钥可以完全公开，代理重加密密钥由发送方生成，可以抵抗合谋攻击，提高明文的安全。

Description

组播通信用代理重加密方法

技术领域

本发明涉及数据安全通信领域，具体涉及一种组播通信用代理重加密方法。

背景技术

随着无线网络技术的发展，安全组通信成为一种重要的信息交换方式，并在视频会议、证券行情发布、数字内容分发等场合有着良好的应用前景。在安全组通信中，通常有一个发送方向多个接收方发送相同的或不同的消息。为保证信息安全性，首先要确保所发送消息的机密性和完整性，即消息的内容不能被不属于通信组成员的攻击者窃取和篡改；同时要对发送方可以验证，即通过验证能够识别出消息发送方的身份；且要满足前向安全性和后向安全性，即接收方不能获取在他加入之前和离开以后所传输的消息内容。

在安全组通信中，通常用密码技术来获得安全性，在组播密钥管理中，目前存在的具体解决方案有两类：第一类是基于集中式管理模型，如GKMP（Group Key Management Protocol）组密钥管理协议，指定一个组控制器，组控制器和合法的组成员一起生成组密钥包(Group Key Package，GKP)。GKP中包含组播通信密钥(Group Traffic Encrypting Key，GTEK)和密钥加密密钥(Group Key Encrypting Key，GKEK)。所有组成员共享一个组密钥GTEK，用于加密组中传输的通信数据。组控制器和每一个组成员之间通过秘密渠道建立共享的对称密钥KEKi（Key Encryption Key），组控制器用它加密组密钥GTEK，成员Mi用它来解密组密钥GTEK，组密钥得到分配。另一种典型方案是LKH逻辑密钥树组密钥管理协议，采用具有树型结构的辅助密钥分发组密钥，密钥树采用平衡二叉树结构，有三类节点：根节点代表组密钥，中间节点代表该节点所管理成员共享的子组密钥，叶子节点代表每个成员和组控制器共享的密钥。每个成员拥有从该叶子节点到根节点路径上的所有密钥，组密钥得到分配。第二类是基于分布式管理模型，如Clique密钥管理方案，密钥由多方协商，逻辑环中编号最大的成员担任临时的组管理者，负责组密钥的生成、分发和更新。组密钥由全体成员逐个参与运算产生。第一类方案的缺点是随着组成员规模的增大，组控制器会成为瓶颈。第二类方案的缺点是计算复杂导致延时很大，难以适用于成员关系频繁变化的大规模动态群组。

发明内容

针对上述缺陷或不足，本发明提供一种组播通信用代理重加密方法，将组播密钥通过代理重加密后发送给组播中的代理者与被代理者，组播成员解密后即可得到会话密钥。

与现有技术比较，本发明的技术方案为：

包括以下步骤：

步骤一：发送方设置安全参数，并将安全参数向所有用户进行广播；

步骤二：代理者与被代理者自主生成私钥，根据私钥生成公钥并将公钥公开；

步骤三：发送方根据安全参数以及被代理者公钥，对待加密明文进行哈希函数运算及双线性对运算，生成一级密文；

步骤四：发送方根据安全参数以及代理者公钥，生成重加密密钥，并发送给代理；

步骤五：第三方代理根据重加密密钥对一级密文进行重加密，生成二级密文，并将二级密文发送到代理者；

步骤六：被代理者和代理者分别根据自己的私钥进行解密，获取明文。

所述步骤三对待加密明文进行哈希函数运算及双线性对运算，生成一级密文具体包括：

发送方根据安全参数及被代理者公钥，进行哈希函数运算及双线性对运算，输入明文m，m∈{0,1}^l，输出一级密文C=(c₁,c₂,c₃,c₄,c₅,c₆,c₇)，其中：c₁=g^r,c₂=g^tr， $c_3=\mathrm{he}{(g,g)}^{{\mathrm{rr}}_1},c_4=m\⊕H_2\left(h\right),c_5={{\mathrm{pk}}_1}^{\frac{r_1}{t}},c_6={\mathrm{pk}}_1^{\mathrm{\π}},$ $c_7=g^{\′\frac{r_1}{t}}{H}_3{\left(c_1\right|\left|c_2\right|\left|c_3\right|\left|c_4\right|\left|c_5\right|\left|c_6\right|\left|{\mathrm{pk}}_1\right)}^{\mathrm{\π}};$

其中: $H_1(.):{\left\{\mathrm{0,1}\right\}}^{*}\→Z_p^{*},H_2(.):G_T\→Z_p^{*},$ H₃(.):G²×G_T×{0,1}^l×G³→G为三个哈希函数，e:G×G→G_T表示G到G_T的双线性映射，{0,1}^*表示任意长度的0、1字符串，

是乘法群，该乘法群上的元素包括大于等于1且小于p-1的所有整数，{0,1}^l表示长度为l比特的0、1字符串；r=H₁(m,h)，t、r₁、π从中随机选取，h是乘法循环群G_T中的一个随机元素，g和g'是群G的两个独立的生成元，pk₁表示被代理者的公钥，

表示异或操作，||表示级联操作，e(g,g)表示双线性运算。

所述步骤四具体包括：

发送方生成重加密密钥为：其中r₂为

中选取的随机数，

是乘法群，r₁,t为加密算法过程中所使用的随机数，pk₂为代理者的公钥。

所述步骤五具体包括：

第三方代理根据重加密密钥对一级密文C进行加密，代理输出重加密后的二级密文C'=(c'₁,c'₂,c'₃,c'₄,c'₅,c'₆,c'₇)，其中：

c^′ ₁=c₁，c′₂=c₂，c′₄=c₄， $c_5^{\′}={\mathrm{pk}}_2^{\frac{r_2}{t}},c_6^{\′}={\mathrm{pk}}_2^{{\mathrm{\π}}^{\′}},c_3^{\′}=\mathrm{he}{(g,g)}^{{\mathrm{rr}}_1}e(g^r,g^{r_2}{g}^{{-r}_1})=\mathrm{he}{(g,g)}^{{\mathrm{rr}}_2},$ $c_7^{\′}=g^{\′\frac{r_2}{t}}{H}_3{\left(c_1^{\′}\right|\left|c_2^{\′}\right|\left|c_3^{\′}\right|\left|c_4^{\′}\right|\left|c_5^{\′}\right|\left|c_6^{\′}\right|\left|{\mathrm{pk}}_2\right)}^{{\mathrm{\π}}^{\′}},$ 其中π'为从

中随机选取，e:G×G→G_T表示G到G_T的双线性映射。

所述步骤六具体包括：

6.1对于第一层密文C，被代理者利用自己的私钥sk₁，解密算法运行如下：

1）检查e(c₇,pk₁)=e(g',c₅)e(H₃(c₁||c₂||c₃||c₄||c₅||c₆||pk₁),c₆)是否成立，如果不成立，则输出⊥并终止，否则进行如下运行；

2）计算

其中x₁表示被代理者的私钥sk₁；

3）计算明文 $m=c_4\⊕H_2\left(h\right);$

计算r=H₁(m,h)；如果c₁=g^r,输出m；否则输出⊥；

6.2根据对于第二层密文C'，代理者利用自己的私钥sk₂，解密算法运行如下：

1）检查e(c₇',pk₂)=e(g',c₅')e(H₃(c₁'||c₂'||c₃'||c₄'||c₅'||c₆'||pk₂),c₆')是否成立，如果不成立，则输出⊥并终止，否则进行如下运行；

2）计算

其中x₂表示被代理者的私钥sk₂；

3）计算明文 $m={c_4}^{\′}\⊕H_2\left(h\right);$

计算r=H₁(m,h)；如果c₁'=g^r,输出m；否则输出⊥。

与现有技术比较，本发明的有益效果为：

1）本发明提供的组播通信用代理重加密方法，能够达到选择密文攻击安全，通过代理重加密密钥可以完全公开，此方法中代理重加密密钥由发送方生成，可以抵抗合谋攻击，提高明文的安全。

2）相对于多跳代理重加密方案，该方法提高了效率。首先，该方法的密文长度是固定的，密文与重加密密文的形式相同，都是由固定长度的七部分组成。另外从计算效率看，重加密算法只需要一个双线性对运算和两个指数运算。

3）此方法具有可扩展性，特别是当方法运用到安全组播密钥分配中时。当有新的用户（代理者）加入系统中时，密钥发送者（加密者）只需要更改其后面相邻的代理的重加密密钥。当有用户退出系统时，只需要其相邻的两个代理重新计算重加密密钥。

附图说明

图1是本发明的组播通信用代理重加密方法流程图；

图2是本发明的代理加密示意图；

图3是代理加密方案网络拓扑结构图。

具体实施方式

下面结合附图对本发明做详细描述。

参见图1、2、3所示，本发明组播通信用代理重加密方法包括以下步骤：步骤一：系统初始化；发送方设置安全参数，并将安全参数向所有代理者与被代理者广播进行广播；

由发送方或者一个统一的安全通信平台负责设定安全参数。参数设定后向所有用户广播。所要设定的系统参数如下：k为安全参数，是p和l的函数，p为素数，G和G_T是两个阶为p的乘法循环群，g和g'是群G的两个独立的生成元， $H_1(.):{\left\{\mathrm{0,1}\right\}}^{*}\→Z_p^{*},H_2(.):G_T\→Z_p^{*},$ H₃(.):G²×G_T×{0,1}^l×G²→G为三个哈希函数，e:G×G→G_T表示G到G_T的双线性映射，{0,1}^*表示任意长度的0、1字符串，

是乘法群，该乘法群上的元素包括大于等于1且小于p-1的所有整数，{0,1}^l表示长度为l比特的0、1字符串。

步骤二：代理者与被代理者自主选择私钥，根据私钥生成公钥并将公钥公开；

代理者与被代理者从

中随机选取x作为私钥sk，计算g^x作为公钥pk。

步骤三：发送方根据安全参数、被代理者公钥，对待加密明文进行哈希函数运算及双线性对运算，生成一级密文；

根据参数及被代理者公钥，进行哈希函数运算及双线性对运算，输入明文m，m∈{0,1}^l，输出密文C=(c₁,c₂,c₃,c₄,c₅,c₆,c₇)，其中：c₁=g^r,c₂=g^tr, $c_3=\mathrm{he}{(g,g)}^{{\mathrm{rr}}_1},c_4=m\⊕H_2\left(h\right),c_5={{\mathrm{pk}}_1}^{\frac{r_1}{t}},c_6={\mathrm{pk}}_1^{\mathrm{\π}},$ $c_7=g^{\′\frac{r_1}{t}}{H}_3{\left(c_1\right|\left|c_2\right|\left|c_3\right|\left|c_4\right|\left|c_5\right|\left|c_6\right|\left|{\mathrm{pk}}_1\right)}^{\mathrm{\π}};$

其中: $H_1(.):{\left\{\mathrm{0,1}\right\}}^{*}\→Z_p^{*},H_2(.):G_T\→Z_p^{*},$ H₃(.):G²×G_T×{0,1}^l×G³→G为三个哈希函数，e:G×G→G_T表示G到G_T的双线性映射，{0,1}^*表示任意长度的0、1字符串，

是乘法群，该乘法群上的元素包括大于等于1且小于p-1的所有整数，{0,1}^l表示长度为l比特的0、1字符串；r=H₁(m,h)，t、r₁、π从

中随机选取，h是乘法循环群G_T中的一个随机元素，g和g'是群G的两个独立的生成元，pk₁表示被代理者的公钥，

表示异或操作，||表示级联操作，e(g,g)表示双线性运算。

步骤四：发送方根据安全参数以及代理者公钥，生成重加密密钥，并发送给代理；

发送方生成重加密密钥为：

其中r₂为

中选取的随机数，r₁,t为加密算法过程中所使用的随机数，pk₂为代理者的公钥。

步骤五：第三方代理根据重加密密钥对一级密文进行重加密，生成二级密文，并将二级密文发送到代理者；

输入为给pk₁的密文C，代理输出重加密后的密文C'=(c'₁,c'₂,c'₃,c'₄,c'₅,c'₆,c'₇)，其中：

c′₁=c₁,c′₂=c₂,c′₄=c₄, $c_5^{\′}={\mathrm{pk}}_2^{\frac{r_2}{t}},c_6^{\′}={\mathrm{pk}}_2^{{\mathrm{\π}}^{\′}},c_3^{\′}=\mathrm{he}{(g,g)}^{{\mathrm{rr}}_1}e(g^r,g^{r_2}{g}^{{-r}_1})=\mathrm{he}{(g,g)}^{{\mathrm{rr}}_2},$ $c_7^{\′}=g^{\′\frac{r_2}{t}}{H}_3{\left(c_1^{\′}\right|\left|c_2^{\′}\right|\left|c_3^{\′}\right|\left|c_4^{\′}\right|\left|c_5^{\′}\right|\left|c_6^{\′}\right|\left|{\mathrm{pk}}_2\right)}^{{\mathrm{\π}}^{\′}},$ 其中π'为从

中随机选取的，e:G×G→G_T表示G到G_T的双线性映射。

步骤六：被代理者和代理者分别根据自己的私钥进行解密，获取明文；

对于第一层密文，输入密文C和被代理者私钥sk₁，解密算法运行如下：

1）检查e(c₇,pk₁)=e(g',c₅)e(H₃(c₁||c₂||c₃||c₄||c₅||c₆||pk₁),c₆)是否成立。如果不成立，则输出⊥并终止。否则进行如下运行；

2）计算

其中x₁表示被代理者私钥sk₁；

3）计算 $m=c_4\⊕H_2\left(h\right);$

计算r=H₁(m,h)；如果c₁=g^r,输出m。否则输出⊥。对于第二层密文，其形式与第一层密文完全一样，其解密算法与上面算法相同，只是此时使用的密钥是代理者的私钥sk₂具体过程为：

根据对于第二层密文C'，代理者利用自己的私钥sk₂，解密算法运行如下：

1）检查e(c₇',pk₂)=e(g',c₅')e(H₃(c₁′||c₂'||c₃'||c₄'||c₅'||c₆'||pk₂),c₆')是否成立，如果不成立，则输出⊥并终止，否则进行如下运行；

2）计算

其中x₂表示被代理者的私钥sk₂；

3）计算明文 $m={c_4}^{\′}\⊕H_2\left(h\right);$

计算r=H₁(m,h)；如果c₁'=g^r,输出m；否则输出⊥。

Claims (5)

1.一种组播通信用代理重加密方法，其特征在于，包括以下步骤：

步骤一：发送方设置安全参数，并将安全参数向所有用户进行广播；

步骤二：代理者与被代理者自主生成私钥，根据私钥生成公钥并将公钥公开；

步骤三：发送方根据安全参数以及被代理者公钥，对待加密明文进行哈希函数运算及双线性对运算，生成一级密文；

步骤四：发送方根据安全参数以及代理者公钥，生成重加密密钥，并发送给代理；

步骤五：第三方代理根据重加密密钥对一级密文进行重加密，生成二级密文，并将二级密文发送到代理者；

步骤六：被代理者和代理者分别根据自己的私钥进行解密，获取明文。

2.根据权利要求1所述的组播通信用代理重加密方法，其特征在于，所述步骤三对待加密明文进行哈希函数运算及双线性对运算，生成一级密文具体包括：

发送方根据安全参数及被代理者公钥，进行哈希函数运算及双线性对运算，输入明文m，m∈{0,1}^l，输出一级密文C=(c₁,c₂,c₃,c₄,c₅,c₆,c₇)，其中：c₁=g^r,c₂=g^tr, $c_3=\mathrm{he}{(g,g)}^{{\mathrm{rr}}_1},c_4=m\⊕H_2\left(h\right),c_5={{\mathrm{pk}}_1}^{\frac{r_1}{t}},c_6={\mathrm{pk}}_1^{\mathrm{\π}},$ $c_7=g^{\′\frac{r_1}{t}}{H}_3{\left(c_1\right|\left|c_2\right|\left|c_3\right|\left|c_4\right|\left|c_5\right|\left|c_6\right|\left|{\mathrm{pk}}_1\right)}^{\mathrm{\π}};$

其中: $H_1(.):{\left\{\mathrm{0,1}\right\}}^{*}\→Z_p^{*},H_2(.):G_T\→Z_p^{*},$ H₃(.):G²×G_T×{0,1}^l×G³→G为三个哈希函数，e:G×G→G_T表示G到G_T的双线性映射，{0,1}^*表示任意长度的0、1字符串，

是乘法群，该乘法群上的元素包括大于等于1且小于p-1的所有整数，{0,1}^l表示长度为l比特的0、1字符串；r=H₁(m,h)，t、r₁、π从

中随机选取，h是乘法循环群G_T中的一个随机元素，g和g'是群G的两个独立的生成元，pk₁表示被代理者的公钥，

表示异或操作，||表示级联操作，e(g,g)表示双线性运算。

3.根据权利要求1所述的组播通信用代理重加密方法，其特征在于，所述步骤四具体包括：

发送方生成重加密密钥为：

其中r₂为

中选取的随机数，

是乘法群，r₁,t为加密算法过程中所使用的随机数，pk₂为代理者的公钥。

4.根据权利要求1所述的组播通信用代理重加密方法，其特征在于，所述步骤五具体包括：

第三方代理根据重加密密钥对一级密文C进行加密，代理输出重加密后的二级密文C'=(c'₁,c'₂,c'₃,c'₄,c'₅,c'₆,c'₇)，其中：

c′₁=c₁，c′₂=c₂，c′₄=c₄， $c_5^{\′}={\mathrm{pk}}_2^{\frac{r_2}{t}},c_6^{\′}={\mathrm{pk}}_2^{{\mathrm{\π}}^{\′}},c_3^{\′}=\mathrm{he}{(g,g)}^{{\mathrm{rr}}_1}e(g^r,g^{r_2}{g}^{{-r}_1})=\mathrm{he}{(g,g)}^{{\mathrm{rr}}_2},$ $c_7^{\′}=g^{\′\frac{r_2}{t}}{H}_3{\left(c_1^{\′}\right|\left|c_2^{\′}\right|\left|c_3^{\′}\right|\left|c_4^{\′}\right|\left|c_5^{\′}\right|\left|c_6^{\′}\right|\left|{\mathrm{pk}}_2\right)}^{{\mathrm{\π}}^{\′}},$ 其中π'为从

中随机选取，e:G×G→G_T表示G到G_T的双线性映射。

5.根据权利要求1所述的组播通信用代理重加密方法，其特征在于，所述步骤六具体包括：

6.1对于第一层密文C，被代理者利用自己的私钥sk₁，解密算法运行如下：

1）检查e(c₇,pk₁)=e(g',c₅)e(H₃(c₁||c₂||c₃||c₄||c₅||c₆||pk₁),c₆)是否成立，如果不成立，则输出⊥并终止，否则进行如下运行；

2）计算

其中x₁表示被代理者的私钥sk₁；

3）计算明文 $m=c_4\⊕H_2\left(h\right);$

计算r=H₁(m,h)；如果c₁=g^r,输出m；否则输出⊥；

6.2根据对于第二层密文C'，代理者利用自己的私钥sk₂，解密算法运行如下：

1）检查e(c₇',pk₂)=e(g',c₅')e(H₃(c₁'||c₂'||c₃'||c₄'||c₅'||c₆'||pk₂),c₆')是否成立，如果不成立，则输出⊥并终止，否则进行如下运行；

2）计算其中x₂表示被代理者的私钥sk₂；

3）计算明文 $m={c_4}^{\′}\⊕H_2\left(h\right);$

计算r=H₁(m,h)；如果c₁'=g^r,输出m；否则输出⊥。

Images