CN104113420A - 一种基于身份的可聚合签密方法 - Google Patents

Abstract

本发明公开了一种基于身份的可聚合签密方法，包括以下步骤：1.密钥管理中心设定系统公共参数并产生用户密钥；2.每个发送方对各自的数据进行签密产生签密文；3.聚合方对所有的签密文进行聚合产生聚合签密文；4.接收方验证聚合签密文。该方法对各个发送方的签密文中的三个参数都进行了聚合，总体的签密文数据量与单个签密文的数据量完全相同；同时，接收方只需要一次验证操作就能完成对所有签密文的验证，其计算量与验证单个签密文基本相当。在安全性方面能够同时实现机密性、完整性、认证性。克服了传统方法中每个发送方分别发送签密文、接收方逐一验证的低效率问题，具有更高的传输效率和计算效率。

Description

一种基于身份的可聚合签密方法

技术领域

本发明属于通信网络中数据保密和认证领域，具体涉及一种基于身份的可聚合签密方法。

背景技术

随着计算机通信网络技术的不断发展和广泛应用，多个用户间的安全通信成为主要的通信方式之一，特别是在无线网络通信中，多用户通信安全通信更是最主要的通信方式，广泛应用在车载网络通信、无线局域网通信、传感器网络等场合。在这些网络的上行通信中，多个发送方向同一个接收方分别发送不同的数据，接收方依次接收处理。这要占用大量的带宽，特别是接收方要占有用大量通信资源来接收每个发送方的数据。可以将多个发送方的数据进行聚合，然后一次性发送给接收方。接收方一次性接收到这些数据，再分别进行处理，就能有效提高效率。

在安全性方面，安全通信的基本要求是要保证数据的机密性、完整性和可认证性。通常使用加密技术来保证机密性，使用散列函数或消息认证码技术来保证完整性，使用数字签名技术来保证认证性。要同时满足这些安全性要求时，目前通用的做法是将这些技术结合起来，加密与认证码相结合，或者加密和签名相结合。组合的方式需要分别进行两个操作，效率不高。同时，如果随意将两个方案组合在一起时无法保证安全性。签密是一种能在一个方案中同时实现加密和数字签名功能的新技术。最初的签密方案主要用于点对点通信。针对上述的多个发送方向一个接收方发送数据的场合，普通的签密算法无法直接实现数据的聚合。近几年来，设计出了几个具有签密文聚合功能的签密方案。但是，目前已有的签密文可聚合签密方案，只能聚合签密文的三个参数中的一个，即主要聚合了与签名相关的数据，而无法聚合与密文相关的数据，所以聚合后的总体签密文数据量虽然得到了降低，但仍然会随发送方数量增加而快速增长，可扩展性比较差。

发明内容

针对上述缺陷或不足，本发明的目的在于提供一种基于身份的可聚合签密方法，该方法具有较高传输效率和验证计算效率。

为达到以上目的，本发明的技术方案为：

包括以下步骤：

步骤一：密钥生成中心设定系统公共参数，并为各个用户生成密钥后进行广播；

步骤二：每个发送方根据系统公共参数分别计算各自数据的签密文，并将数据的签密文发送给将签密文进行聚合的聚合方，所述聚合方为任意一个发送方或所有发送方直接联通的网关节点；

步骤三：聚合方将各个发送方的签密文进行聚合，得到聚合签密文，并将聚合签密文发送给接收方；

步骤四：接收方用其私钥和所有发送方的公钥，对聚合签密文进行解签密操作，恢复出所有的数据。

(1)密钥生成中心设定系统公共参数，并向所有用户广播。所设定的系统参数包括：安全参数λ为整数；生成元为P的加法循环群G₁和一个乘法循环群G₂，它们的阶都为素数q；三个散列函数H₁:{0,1}^*×G₁→G₁、H₂:G₂→{0,1}^l和其中消息长度l为整数，Z_q ^*是由所有大于等于1且小于q-1的整数组成的加法群；对参数选择的规格要求为：消息长度l与对加密算法的密文长度相同；群G₁中的元素规格|G₁|为安全参数λ；

(2)密钥生成中心选择两个随机整数s₁和s₂作为主密钥，计算P_Pub1＝s₁P,P_Pub2＝s₂P，将P_Pub1和P_Pub2向所有用户公开，其中，P_Pub1为系统的第一主公钥，P_Pub2为系统的第二主公钥，将系统主密钥s₁和s₂保密；

(3)密钥生成中心为第i个发送方U_i，i∈[1,…,n]，计算公钥Q_i＝H₁(U_i)，私钥d_i＝s₁Q_i；为接收者B，计算公钥Q_B＝H₁(B)，私钥d_B＝s₁Q_B，将所生成的密钥通过安全信道分别发送给各个用户。

所述步骤二具体包括以下步骤：

(1)发送方U_i选择随机数r_i∈Z_q ^*，计算R_i＝r_iP，其中，i∈[1,…,n]，Z_q ^*是由所有大于等于1且小于q-1的整数组成的加法群，P是阶为q的加法循环群G₁的生成元，R_i为群G₁中的元素；

(2)发送方U_i对数据m_i生成签密文，步骤如下：

①计算K_i＝H₂(e(d_i,Q_B))，其中e为双线性对运算；

②计算 $C_i=m_i\⊕K_i;$

③计算h_i＝H₃(C_i,U_i)；

④计算V_i＝r_iP_pub2+h_id_i；

发送方输出δ_i＝(R_i,C_i,V_i)作为对数据m_i的签密文；其中，K_i为解密密钥，h_i为发送方U_i计算得到的散列值；i∈[1,…,n]，V_i为加法循环群G₁上的元素，C_i是二进制序列，H₂()和H₃()为两个散列函数，P_Pub2为系统的第二主公钥。

所述步骤三具体包括以下步骤：

(1)计算 $R_{\mathrm{Agg}}={\mathrm{\Σ}}_{i=1}^n{R}_i;$

(2)计算 $V_{\mathrm{Agg}}={\mathrm{\Σ}}_{i=1}^n{V}_i;$

输出δ_Agg＝{R_Agg，C₁,...，C_n，V_Agg}作为聚合签密文，其中，R_Agg为群G₁中的元素，V_Agg为群G₁中的元素。

所述步骤四具体包括以下步骤：

(1)对i∈[1,…,n]，接收方B计算h_i＝H₃(C_i,U_i)，验证等式 是否成立，如果上述等式成立，进行下一步计算；否则认为签密文无效，并退出，其中P_Pub1为系统的第一主公钥，P_Pub2为系统的第二主公钥；

(2)计算K_i＝H₂(e(Q_i,d_B))，恢复出

与现有技术比较，本是发明的有益效果为：

1、本发明中，能将签密文中的两个数据进行聚合，使得生成的聚合签密文长度得到有效减少，能显著提高大规模网络应用中的信息传输效率，特别是在无线网络中能效减少数据传输的次数和等交换的数据量；

2、接收方通过对聚合签密文进行一次验证操作从而实现对所有签密文的批量验证，降低了接收方的存储开销，提高了解签密的处理速度；

3、本方法中用户的公钥是根据身份信息产生的，各用户在通信之前无需获取其他的公钥信息；

4、只有合法的接收方才能使用自己的私钥计算出解密密钥，因此可以有效地保证数据的机密性；攻击者不能计算出发送方的私钥，因此也不能伪造出合法的签密文，因此具有不可伪造性，接收方通过验证签密文的有效性就能验证出消息的完整性；

5、实现了可公开验证的认证性，验证等式中的所有参数都是已知的或可计算的，发生纠纷时任何人都能在不泄露任何秘密数据的情况下对聚合签密文的有效性进行验证，因此发送方也不能否认其发出的签密文。

附图说明

图1是本发明方法中的流程图；

图2是本发明方法的具体的流程框图。

具体实施方式

下面结合附图对本发明做详细描述。

如图1、2所示，本发明提供给了基于身份的可聚合签密方法，在所述签密可聚合签密方法的应用场景中，具有n个对等发送方，每个发送方分别对相应的明文消息独立生成签密文；具有一个聚合方，负责将签密文进行聚合，聚合方可以由任意一个发送方承担，也可以由与所有发送方直接联通的网关节点承担；具有一个接收方，接收所有的数据，并对聚合的签密文进行解签密和验证操作，包括以下步骤：

步骤一：密钥生成中心设定系统公共参数，并为各个用户生成密钥后进行广播；

(1)密钥生成中心设定系统公共参数，并向所有用户广播。所设定的系统参数包括：安全参数λ为整数；生成元为P的加法循环群G₁和一个乘法循环群G₂，它们的阶都为素数q；三个散列函数H₁:{0,1}^*×G₁→G₁、H₂:G₂→{0,1}^l和其中消息长度l为整数，Z_q ^*是由所有大于等于1且小于q-1的整数组成的加法群；对参数选择的规格要求为：消息长度l与对加密算法的密文长度相同；群G₁中的元素规格|G₁|为安全参数λ；

(2)密钥生成中心选择两个随机整数s₁和s₂作为主密钥，计算P_Pub1＝s₁P,P_Pub2＝s₂P，将P_Pub1和P_Pub2向所有用户公开，其中，P_Pub1为系统的第一主公钥，P_Pub2为系统的第二主公钥，将系统主密钥s₁和s₂保密；

(3)密钥生成中心为第i个发送方U_i，i∈[1,…,n]，计算公钥Q_i＝H₁(U_i)，私钥d_i＝s₁Q_i；为接收者B，计算公钥Q_B＝H₁(B)，私钥d_B＝s₁Q_B，将所生成的密钥通过安全信道分别发送给各个用户。

步骤二：每个发送方根据系统公共参数分别计算各自数据的签密文，并将数据的签密文发送给将签密文进行聚合的聚合方，所述聚合方为任意一个发送方或所有发送方直接联通的网关节点；

(1)发送方U_i选择随机数r_i∈Z_q ^*，计算R_i＝r_iP，其中，i∈[1,…,n]，Z_q ^*是由所有大于等于1且小于q-1的整数组成的加法群，P是阶为q的加法循环群G₁的生成元，R_i为群G₁中的元素；

(2)发送方U_i对数据m_i生成签密文，步骤如下：

①计算K_i＝H₂(e(d_i,Q_B))，其中e为双线性对运算；

②计算 $C_i=m_i\⊕K_i;$

③计算h_i＝H₃(C_i,U_i)；

④计算V_i＝r_iP_pub2+h_id_i；

发送方输出δ_i＝(R_i,C_i,V_i)作为对数据m_i的签密文；其中，K_i为解密密钥，h_i为发送方U_i计算得到的散列值；i∈[1,…,n]，V_i为加法循环群G₁上的元素，C_i是二进制序列，H₂()和H₃()为两个散列函数，P_Pub2为系统的第二主公钥。

步骤三：聚合方将各个发送方的签密文进行聚合，得到聚合签密文，并将聚合签密文发送给接收方；

(1)计算 $R_{\mathrm{Agg}}={\mathrm{\Σ}}_{i=1}^n{R}_i;$

(2)计算 $V_{\mathrm{Agg}}={\mathrm{\Σ}}_{i=1}^n{V}_i;$

输出δ_Agg＝{R_Agg，C₁,...，C_n，V_Agg}作为聚合签密文，其中，R_Agg为群G₁中的元素，V_Agg为群G₁中的元素。

步骤四：接收方用其私钥和所有发送方的公钥，对聚合签密文进行解签密操作，恢复出所有的数据：

(1)对i∈[1,…,n]，接收方B计算h_i＝H₃(C_i,U_i)，验证等式 是否成立，如果上述等式成立，进行下一步计算；否则认为签密文无效，并退出，其中P_Pub1为系统的第一主公钥，P_Pub2为系统的第二主公钥；

(2)计算K_i＝H₂(e(Q_i,d_B))，恢复出

本发明在安全性方面同时实现了机密性、完整性和可认证性。只有合法的接收方才能使用自己的私钥，通过公式K_i＝H₂(e(Q_i,d_B))计算出解密密钥，因此可以有效地保证数据的机密性；攻击者不能计算出发送方的私钥，因此不能伪造出消息m_i的签密文即使是合法的接收方也不能伪造出来自于发送方的签密文，因此具有不可伪造性；只有通过合法签密文生成的聚合签密文才满足等式 $e(V_{\mathrm{Agg}},P)=e(R_{\mathrm{Agg}},P_{\mathrm{pub}2})e(P_{\mathrm{pub}1},{\mathrm{\Σ}}_{i=1}^n{h}_i{Q}_i),$ 因此具有不可否认性；实现了可公开验证，验证等式中的所有参数都是已知的或可计算的，发生纠纷时任何人都能在不泄露任何秘密数据的情况下对聚合签密文的有效性进行验证，因此发送方也不能否认其发出的签密文。

本发明在当前普遍采用的安全标准下对签密文的数据量进行了估算和比较。取所处理的消息长度为128比特，安全参数λ为384。在进行比较的场景中，分别估算了有1个、2个、10个、1000个发送方和1个接收方的情况。通过分别计算本发明方法和普通方法的签密文数据量，来衡量不同方法的性能。通过表1的对比，发明人观察了总体签密文的数据量，本发明方法的总体签密文的数据量均小于普通方法。随着发送方数量增加时，本发明方法的总体签密文数据量为常数，与发送方数量无关，而普通方法中总体签密文数据量随发送方数量增加而线性增长。同时，随着发送方数量增加时，本发明方法相对于普通方法的性能提高也在增加，在有1个发送方时总体签密文的数据量与普通方法相同，在有2个发送方时总体签密文的数据量相对于普通方法减少了42.9％，在有10个发送方时总体签密文的数据量相对于普通方法减少了77.1％，在有1000个发送方时总体签密文的数据量相对于普通方法减少了85.6％。

表1说明了所记录的总体签密文长度和计算得到的性能提高数值。具体指本发明方法与未经聚合的普通方法(传统多接收方签密方法参见背景技术部分的介绍)的总体签密文长度比较。表中第一行指发送方数量分别为1个、2个、10个和1000个，表中第二行、第三行分别计算了普通方法和和本发明方法的总体签密文长度(单位为比特)，第四行为计算得到的本发明方法总体签密文长度相对于普通方法的性能提高，计算方法为“数据量减少＝(普通方法的总体签密文长度–本发明的总体签密文长度)/普通方法的总体签密文长度”，计算结果如表1所示：

表1

Claims (5)

1.一种基于身份的可聚合签密方法，其特征在于，包括以下步骤：

步骤一：密钥生成中心设定系统公共参数，并为各个用户生成密钥后进行广播；

步骤二：每个发送方根据系统公共参数分别计算各自数据的签密文，并将数据的签密文发送给将签密文进行聚合的聚合方，所述聚合方为任意一个发送方或所有发送方直接联通的网关节点；

步骤三：聚合方将各个发送方的签密文进行聚合，得到聚合签密文，并将聚合签密文发送给接收方；

步骤四：接收方用其私钥和所有发送方的公钥，对聚合签密文进行解签密操作，恢复出所有的数据。

2.根据权利要求1所述的基于身份的可聚合签密方法，其特征在于：所述步骤一具体包括以下步骤：

(1)密钥生成中心设定系统公共参数，并向所有用户广播，所设定的系统参数包括：安全参数λ为整数；生成元为P的加法循环群G₁和一个乘法循环群G₂，它们的阶都为素数q；三个散列函数H₁:{0,1}^*×G₁→G₁、H₂:G₂→{0,1}^l和其中消息长度l为整数，Z_q ^*是由所有大于等于1且小于q-1的整数组成的加法群；对参数选择的规格要求为：消息长度l与对加密算法的密文长度相同；群G₁中的元素规格|G₁|为安全参数λ；

(2)密钥生成中心选择两个随机整数s₁和s₂作为主密钥，计算P_Pub1＝s₁P,P_Pub2＝s₂P，将P_Pub1和P_Pub2向所有用户公开，其中，P_Pub1为系统的第一主公钥，P_Pub2为系统的第二主公钥，将系统主密钥s₁和s₂保密；

(3)密钥生成中心为第i个发送方U_i，i∈[1,…,n]，计算公钥Q_i＝H₁(U_i)，私钥d_i＝s₁Q_i；为接收者B，计算公钥Q_B＝H₁(B)，私钥d_B＝s₁Q_B，将所生成的密钥通过安全信道分别发送给各个用户。

3.根据权利要求1所述的基于身份的可聚合签密方法，其特征在于：所述步骤二具体包括以下步骤：

(1)发送方U_i选择随机数r_i∈Z_q ^*，计算R_i＝r_iP，其中，i∈[1,…,n]，Z_q ^*是由所有大于等于1且小于q-1的整数组成的加法群，P是阶为q的加法循环群G₁的生成元，R_i为群G₁中的元素；

(2)发送方U_i对数据m_i生成签密文，步骤如下：

①计算K_i＝H₂(e(d_i,Q_B))，其中e为双线性对运算；

②计算 $C_i=m_i\⊕K_i;$

③计算h_i＝H₃(C_i,U_i)；

④计算V_i＝r_iP_pub2+h_id_i；

发送方输出δ_i＝(R_i,C_i,V_i)作为对数据m_i的签密文；其中，K_i为解密密钥，h_i为发送方U_i计算得到的散列值；i∈[1,…,n]，V_i为加法循环群G₁上的元素，C_i是二进制序列，H₂()和H₃()为两个散列函数，P_Pub2为系统的第二主公钥。

4.根据权利要求1所述的基于身份的可聚合签密方法，其特征在于：所述步骤三具体包括以下步骤：

(1)计算 $R_{\mathrm{Agg}}={\mathrm{\Σ}}_{i=1}^n{R}_i;$

(2)计算 $V_{\mathrm{Agg}}={\mathrm{\Σ}}_{i=1}^n{V}_i;$

输出δ_Agg＝{R_Agg，C₁,...，C_n，V_Agg}作为聚合签密文，其中，R_Agg为群G₁中的元素，V_Agg为群G₁中的元素。

5.根据权利要求1所述基于身份的可聚合签密方法，其特征在于：所述步骤四具体包括以下步骤：

(1)对i∈[1,…,n]，接收方B计算h_i＝H₃(C_i,U_i)，验证等式 是否成立，如果上述等式成立，进行下一步计算；否则认为签密文无效，并退出，其中P_Pub1为系统的第一主公钥，P_Pub2为系统的第二主公钥；

(2)计算K_i＝H₂(e(Q_i,d_B))，恢复出