CN104158661B - 一种基于模糊身份的一次性公钥签密构造方法 - Google Patents

Abstract

本发明公开了一种基于模糊身份的一次性公钥匿名签密的构造方法，该方法利用计算机系统完成基于模糊身份的一次性公钥匿名签密的构造，所述的计算机系统包括用户A、用户B、一个PKG(公钥生成中心)以及一个KGC(私钥生成中心)，其中两个用户之间需要互相发送和接受消息。该方法共分为5个步骤，第一步是初始化，第二步是生成用户密钥，第三步是生成一次性公钥，第四步是签密，第五步是解签密。本发明的方法与现有方法相比具有匿名性、不可伪造性和可追踪性，同时能有效防止恶意用户的一次性攻击和来自系统内部可信中心的非信任攻击。同时，本方法与现有方法相比还具有较高的运算效率和较低的通信开销。

Description

一种基于模糊身份的一次性公钥签密构造方法

技术领域

本发明属于信息安全技术领域，具体涉及一种基于模糊身份的一次性公钥签密的构造方法。

背景技术

基于身份加密(Identity Based Encryption,IBE)的主要思想是用户将自己的用户信息(例如，用户名和网络IP地址)作为自己的公钥，由私钥生成中心(Key GenerationCenter,KGC)生成相应的私钥，解决了基于证书公钥系统(Certificate Based Public KeyCryptosystem)的管理“瓶颈”问题。在所有提出的IBE方案中，都将用户的身份看作一个均匀分布的随机串。然而，将用户名或IP地址等身份信息作为公钥已不能满足一些现实的需求。由于生物特征信息的唯一性、确定性和不易伪造性等突出的优势，生物特征信息应用于身份认证技术中越来越受到关注和重视。因此，采集个体的生物特征，利用生物特征的唯一性来进行识别认证有更大的优势和应用前景。

生物特征数据的噪声主要是由两次采集时的不均匀和不完全一致造成的，这与IBE中所要求的密钥的一致性和准确性相矛盾。2005年，Sahai和Waters^[1]第一次提出了基于模糊身份的概念(Fuzzy Identity-Based Encryption,Fuzzy-IBE)，并提出了相应的加密方案，方案中若两个身份足够接近，即w和w′交集满足用户身份属性重叠域至少为d，则身份w可以用自己的私钥解密用户身份为w′发送的密文，方案给出了标准模型下的证明，能抵抗合谋攻击。因此，基于模糊身份方案具有一定的容错性，可直接将用户的生物特征数据作为身份信息。此后，一些方案相继提出^[6,7]。2008年，Yang等人^[2]第一次提出了基于模糊身份的数字签名的概念(Fuzzy Identity-Based Signature,Fuzzy-IBS)，并基于文献[1]构造了签名方案，在标准模型下证明了其安全性，该方案具有不可伪造性，能抵抗适应性选择消息攻击。2009年，文献[3]和[4]提出了两个Fuzzy-IBS方案，但文献[7]指出文献[3]第一个方案并不安全，不能抵挡唯密钥攻击，第二个方案只在ROM下证明了其安全性。文献[5]提出了在ROM下的基于模糊身份的数字签名方案，并在此基础上，提出了基于模糊身份的盲签名方案。此外，文献[8]介绍了各种生物体征识别的基本原理和一些关键技术，基于生物特征的加密方案(Attribute-Based Encryption)也相继提出^[9-12]。文献[9]提出了一种新的细粒度加密数据共享的密码系统KP-ABE(Key-Policy Attribute-Based Encryption)，并且可利用在分层身份加密(Hierarchical Identity-Based Encryption)中。文献[10]提出了密文策略的属性加密方案CP-ABE(Ciphertext-Policy Attribute-Based Encryption)。文献[11]提出了在人体区域网(Body Area Networks,BAN)中的基于模糊生物特征的签密方案(Fuzzy Attribute-Based Signcryption,FABSC)，证明了其在实际BAN中的安全性，但方案应用的局限性较大。文献[12]提出了在标准模型下的基于模糊生物特征身份识别签名方案，并基于CDH问题证明了其安全性，但方案计算比较复杂。

背景技术中所述的参考文献如下：

[1]Sahai A.,Waters B..Fuzzy Identity-Based Encryption[C].Proceedingsof EUROCRYPT 2005,In:volume 3494LNCS.2005,457-473.

[2]Yang Piyi,Cao Zhenfu,Dong Xiaolei.Fuzzy Identity Based Signatrue[J].Preprint submitted toElsevier Preprint,2008.

[3]Wang C,Kim J.Two constructions of fuzzy identity based signature[C].2009International Conferenceon Biomedical Engineering andInformatics.2009,1-5.

[4]Wang C.,Chen W.and Liu Y..A fuzzy identity based signature scheme[C].2009International Conferenceon E-Business and Information SystemSecurity.2009,1–5.

[5]陈伟.基于模糊身份的数字签名研究[D].广东：中山大学,2008.

[6]Baek J.,SusiloW.,Zhou Jianying.New Constructions of FuzzyIdentity-Based Encryption[C].Proceedings of ASIACCS,2007.

[7]Tan S.Y.,Heng S.H.,GoiB.M..On the Security of Two Fuzzy Identity-BasedSignature Schemes[C].New Technologies,Mobility and Security(NTMS),20114th IFIP International Conference.2011,1-5.

[8]孙冬梅,裘正定.生物特征识别综述[J].电子学报,2001,29(12A),1744-1748.

[9]Goyal V,Pandey O,Sahai A,Waters B.Attributebased encryption forfinegrained accesscontrol of encrypted data[C].Proc.of CCS’06.2006,221-238.

[10]Bethencourt J.,Sahai A.,Waters B..Ciphertext-Policy Attribute-Based Encryption[C].2007 IEEE Symposium on Security and Privacy(SP'07).2007.

[11]Hu Chunqiang,Zhang Nan,Li Hongjuan,et al.Body Area NetworkSecurity:A FuzzyAttribute-based SigncryptionScheme[J].Journal on SelectedAreas inCommunications(JSAC),Special Issue on EmergingTechnologies inCommunications,2012.

[12]Wu Qing.Fuzzy Biometric Identity-based Signature in theStandardModel[J].Journal of Computational Information Systems,2012,8(20):8405–8412.

发明内容

本发明的目的是提供一种基于模糊身份的一次性公钥签密的构造方法，解决现有技术中存在的问题，这些问题主要包括：基于证书公钥系统存在证书管理开销过大，长期使用同一身份将暴露用户的敏感信息的问题；缺乏可追踪性，无法确定恶意用户的身份的问题；非法用户可以伪造私钥和证书，制造签名进行欺骗的问题；注册和非注册用户均可伪造签名等问题。

为了实现上述任务，本发明采用以下技术方案：

一种基于模糊身份的一次性公钥签密构造方法，该方法利用计算机系统完成基于模糊身份的一次性公钥匿名签密的构造，计算机系统包括用可相互通信的用户A和用户B，该计算机系统还包括一个公钥生成中心PKG和一个私钥生成中心KGC；该方法包括以下步骤：

步骤一，系统初始化

步骤S10，设P为椭圆曲线上的一个点，G₁、G₂为由P生成的两个群，G₁、G₂的阶为素数q，G₁为循环加法群，G₂为循环乘法群，在群G₁，G₂中的离散对数问题为难解问题；G₁，G₂存在关系： 为双线性对映射；H₁和H₂为安全Hash函数，表示为：

步骤S11，PKG随机选取u′∈Z_q和集合S′∈Z_q，生成拉格朗日系数Δ_u′,S′：

步骤S12，PKG定义身份属性集取值空间为M，将身份属性集中的每个元素都映射到集合中的唯一整数值；

步骤S13，PKG随机选取s∈Z_q、计算参数：g＝sP,T₁＝t₁P,T₂＝t₂P,...,T_|U|＝t_|U|P，U为系统内用户数；计算系统主密钥为：<s,t₁,t₂,...,t_|U|>；

步骤S14，PKG向用户A、用户B以及私钥生成中心KGC公开系统参数：P,q,G₁,G₂,g,H₁,H₂,＜T₁,...T_|U|＞；

步骤S15，PKG定义容错度D，D为整数；

步骤二，生成用户密钥

步骤S20，记用户A的身份属性集为ψ_A，用户A随机选取计算Y_A＝p_AP，将其身份属性及Y_A发送给PKG；记用户B的身份属性集为ψ_B，用户B随机选取计算Y_B＝p_BP，将其身份属性及Y_B发送给PKG；

步骤S21，PKG对用户A的身份和Y_A进行确认后，PKG随机选取计算X₁＝x_AP，X_A＝X₁+Y_A，Q_A＝H₁(g,X_A)，以及用户A的部分密钥d_A＝x_A+s·Q_A，并将<d_A,X_A>发送给用户A；PKG对用户B的身份和Y_B进行确认后，PKG随机选取计算X₂＝x_BP，X_B＝X₂+Y_B，Q_B＝H₂(g,X_B)，以及用户B的部分密钥d_B＝x_B+s·Q_B，并将<d_B,X_B>发送给用户B；

步骤S22，PKG随机选取一个D-1阶的多项式f，该多项式的f(0)＝s；

步骤S23，KGC计算用户A的私钥其中i∈ψ_A，o∈(1,|U|)；KGC将私钥发送给用户A，用户A计算y_A＝p_A+d_A，判断X₁+gH₁(g,X_A)＝d_AP是否成立来验证PKG生成的部分密钥d_A，如果该式成立说明部分密钥d_A正确，将<z_i,y_A>作为用户A的密钥；KGC计算用户B的私钥其中j∈ψ_B，o∈(1,|U|)；KGC将私钥发送给用户B，用户B计算y_B＝p_B+d_B，判断X₂+gH₂(g,X_B)＝d_BP是否成立来验证PKG生成的部分密钥d_B，如果该式成立说明部分密钥d_B正确，将<z_j,y_B>作为用户B的密钥；

步骤三，生成用户一次性公钥

步骤S30，用户A随机选取计算W_A＝k·y_A·P，V_A＝k·X_A，K_A＝k·P·Q_A，则用户A的一次性公钥为<W_A,V_A,K_A〉；

步骤S31，用户B随机选取计算W_B＝l·y_B·P，V_B＝l·X_B，K_B＝l·P·Q_B，则用户B的一次性公钥为<W_B,V_B,K_B>；

步骤四，签密

用户A将消息m进行签密发送给用户B，具体过程如下：

步骤S40，用户A随机选取计算R＝rP；

步骤S41，用户A计算q_A＝k·y_A·W_B，对于每一个i∈ψ_A，计算E_i＝r·z_i·P和h＝H₂(e,q_A,m)；则〈h,E_i〉为对消息m的签名；

步骤S42，用户A计算c＝m·e，然后将签密消息σ＝〈h,E_i,c〉发送给用户B；

步骤五，解签密

记用户B的身份属性集为ψ_B，F为ψ_B的子集且F的阶为D；用户B收到签密消息σ后，从F中选取参数a，然后进行解签密，具体过程如下：

步骤S50，用户B按照下式恢复消息m：

步骤S51，用户B计算q'＝l·y_B·W_A，然后验证等式：

是否成立，若成立，说明签名验证成功，用户B接收消息，否则拒绝接收消息；上面两式中，E_a为密文，T_a为用户B与KGC的共享参数。

本发明与现有技术相比具有以下技术特点：

本发明的方法与现有方法相比具有匿名性、不可伪造性和可追踪性，不会发生长期使用统一身份而暴露用户敏感信息的不安全事件，认证双方以及非法用户均不可伪造一次性公钥和签密密文，并且保证用户活动时的匿名性前提下，能够防止并揭示用户的恶意活动；本方案利用效率更高的点乘运算构造了新的基于模糊身份的签名方案，在标准模型下证明了其安全性，通过比较可以发现，方案的运算效率也是最高的。

附图说明

图1为本发明实施的总流程图，描述了构造方法的整体运算过程；

图2为本发明的初始化过程图；

图3为生成用户密钥算法图；

图4为生成用户一次性公钥图；

图5为签密图；

图6为解签密图；

具体实施方式

以下结合附图和具体实施例对本发明的技术方案进行进一步详细说明。

一、本发明详细步骤

本发明方法采用计算机系统完成基于模糊身份的一次性公钥匿名签密的构造，该计算机系统包括可相互通信的用户A和用户B、一个公钥生成中心PKG和一个私钥生成中心KGC；该方法步骤如下：

步骤一，系统初始化

步骤S10，如图2所示，设P为椭圆曲线上的一个点，该椭圆曲线的方程式为：y³＝x³+ax+b，a和b为常数；G₁、G₂为由P生成的两个群，其阶为素数q；其中，G₁为循环加法群，G₂为循环乘法群，在群G₁，G₂中DLP(离散对数问题)为难解问题；G₁，G₂存在关系： 为双线性对映射；H₁和H₂为安全Hash函数，表示为：

步骤S11，PKG随机选取u′∈Z_q和集合S′∈Z_q，生成拉格朗日系数Δ_u′,S′：

步骤S12，PKG定义身份属性集取值空间为M，将身份属性集中的每个元素都映射到集合中的唯一整数值，其中每个用户的身份属性N＝|M|；

本步骤实现物理身份到逻辑身份的转换：将身份属性集中的每个元素映射到身份属性集取值空间M，身份属性集是指系统中用户的身份属性的集合，如本实施例中的两个用户：用户A和用户B的身份属性集ψ_A、ψ_B，每个身份属性集就是由若干身份属性构成。这里是将用户实际的身份属性元素，如ID、IP等一一映射为唯一的整数属性值。实际具体属性值可以是任意比特串，只需提供一个无碰撞的映射，实现物理身份属性到逻辑身份属性的转换。

步骤S13，PKG随机选取s∈Z_q、其中Z_q为模(取模运算)q的完全剩余类，为模q的既约剩余类；计算参数：g＝sP,T₁＝t₁P,T₂＝t₂P,...,T_|U|＝t_|U|P，其中U为系统内用户数，每个用户拥有一个私钥；计算系统主密钥为：<s,t₁,t₂,…,t_|U|>；

步骤S14，PKG向用户A、用户B以及公钥生成中心PKG公开系统参数：P,q,G₁,G₂,g,H₁,H₂,＜T₁,...T_|U|＞；

步骤S15，PKG定义容错度D，D为整数；容错度越低，意味着错误匹配的概率越低，而错误不匹配的概率则越高；相反的，容错度越高，意味着错误不匹配的概率越低，而错误匹配的概率则越高。因此，容错度的选择同样是根据实际情况决定的，其本质上是在系统安全度和用户友好度之间的权衡。

步骤二，生成用户密钥

步骤S20，设系统中的用户为用户A和用户B，如图3所示，记用户A的身份属性集为ψ_A，用户身份属性集是表示用户身份属性的集合，如身份证号、手机号、性别、年龄、职业等。用户A随机选取计算Y_A＝p_AP，将其身份属性p_A及Y_A发送给PKG；记用户B的身份属性集为ψ_B，用户B随机选取计算Y_B＝p_BP，将其身份属性及Y_B发送给PKG；

步骤S21，PKG对用户A的身份和Y_A进行确认后，如零知识证明方式；PKG随机选取计算X₁＝x_AP，X_A＝X₁+Y_A，Q_A＝H₁(g,X_A)，以及用户A的部分密钥d_A＝x_A+s·Q_A，并将<d_A,X_A>发送给用户A；PKG对用户B的身份和Y_B进行确认后，PKG随机选取计算X₂＝x_BP，X_B＝X₂+Y_B，Q_B＝H₂(g,X_B)，以及用户B的部分密钥d_B＝x_B+s·Q_B，并将<d_B,X_B>发送给用户B；

步骤S22，PKG随机选取一个D-1阶的多项式f，该多项式的f(0)＝s；因为多项式f是随机选取的，随机多项式不同则系统对同一用户所生成的私钥也就不会相同。此外，用户的身份属性集的采集在实际情况中只需进行一次，对应生成的私钥便是唯一的。

步骤S23，KGC计算用户A的私钥其中i∈ψ_A，o∈(1,|U|)，KGC将私钥发送给用户A，用户A计算y_A＝p_A+d_A，判断X₁+gH₁(g,X_A)＝d_AP是否成立来验证PKG生成的部分密钥d_A，如果该式成立说明部分密钥d_A正确，将<z_i,y_A>作为用户A的密钥；如果不成立，则KGC拒绝给用户提供密钥；KGC计算用户B的私钥其中j∈ψ_B，o∈(1,|U|)；KGC将私钥发送给用户B，用户B计算y_B＝p_B+d_B，判断X₂+gH₂(g,X_B)＝d_BP是否成立来验证PKG生成的部分密钥d_B，如果该式成立说明部分密钥d_B正确，将<z_j,y_B>作为用户B的密钥；

步骤三，生成用户一次性公钥

步骤S30，如图4所示，用户A随机选取计算W_A＝k·y_A·P，V_A＝k·X_A，K_A＝k·P·Q_A，则用户A的一次性公钥为<W_A,V_A,K_A>；

步骤S31，用户B随机选取计算W_B＝l·y_B·P，V_B＝l·X_B，K_B＝l·P·Q_B，则用户B的一次性公钥为<W_B,V_B,K_B>；

步骤四，签密

用户A将消息m进行签密发送给用户B，如图5所示，具体过程如下：

步骤S40，用户A随机选取计算R＝rP；

步骤S41，用户A计算q_A＝k·y_A·W_B，对于每一个i∈ψ_A，计算E_i＝r·z_i·P和h＝H₂(e,q_A,m)；则<h,E_i>为对消息m的签名；

步骤S42，用户A计算c＝m·e，然后将签密消息σ＝<h,E_i,c>发送给用户B；

步骤五，解签密

记用户B的身份属性集为ψ_B，F为ψ_B的子集且F的阶为D；用户B收到签密消息σ后，从F中选取参数a，然后进行解签密，如图6所示，具体过程如下：

步骤S50，用户B按照下式恢复消息m：

步骤S51，用户B计算q′＝l·y_B·W_A，然后验证等式：

是否成立，若成立，说明签名验证成功，用户B接收消息，否则拒绝接收消息；上面两式中，E_a为密文，T_a为用户B与KGC的共享参数。

二、本发明的证明

1.正确性证明

上式验证了消息由用户A签名。

2.安全性证明

(1)匿名性

由于用户选取生成一次性公钥的数值具有随机性，便可保证认证双方的用户每次使用的一次性公钥的非关联性，不会发生长期使用同一身份而暴露用户的敏感信息的不安全事件。现用具体例子加以说明。用户A随机选取计算一次性公钥为<W_A,V_A,K_A>。用户B随机选取计算一次性公钥为<W_B,V_B,K_B>。用户A和用户B在下一次则分别将选择随机数不同的用户的一次性公钥也将不同，因此，用户无法获知对方的真实身份，保证了认证过程的匿名性。

(2)不可伪造性

①认证双方无法伪造一次性公钥和签密密文

现用具体例子加以说明用户A无法伪造一次性公钥<W_A,V_A,K_A>和签密密文σ。

若用户A随机选取k,则计算V_A＝k·X_A，伪造生成一次性公钥并将其发送给用户B。用户B首先验证等式的正确性，验证通过。但是由于k≠k^*，用户B发现则无法通过验证，用户A无法伪造一次性公钥欺骗其他用户。因此，认证双方都无法伪造自己的一次性公钥。

用户A的一次性公钥<W_A,V_A,K_A>通过验证等式则可证明系统主密钥中的s包含于公钥W_A中，同样通过验证等式q＝q′＝l·y_B·W_A，也可证明系统主密钥s包含于公钥W_A中，通过验证等式则可证明E_i是由用户A的z_i生成，合法私钥z_i中包含了多项式f(i)和系统主密钥中的t_i，即使知道了f(i)的值，也无法解决DLP难解问题R＝rP得到r值，因而伪造<h,E_i>是不可行的。因此，认证中的发送方用户无法伪造签密密文σ。

②任意非法用户无法伪造一次性公钥和签密密文

设用户U^*没有在PKG注册登记，U^*随机选取k,计算W^*＝k·X^*+k^*·g·Q^*，V^*＝k·X^*，K^*＝k^*·g·Q^*，U^*一次性公钥为〈W^*,V^*,K^*〉。接收方用户首先验证等式的正确性，验证通过。但是由于用户U^*未注册，无法得到合法的私钥d^*，则无法计算得出合法私钥y^*，也就无法伪造签密密文σ。

设用户U^*试图伪造合法用户A的一次性公钥〈W_A,V_A,K_A>和签密密文σ，U^*随机选取计算W^*＝k^*·X_A，V^*＝k^*·V_A，K^*＝k^*·K_A，U^*一次性公钥为<W^*,V^*,K^*〉。接收方用户首先验证等式的正确性，验证通过。即使用户U^*能模拟出身份集合，知道身份密钥z_i，也知道r值，但多项式f(i)的生成是随机的，无法计算多项式f(i)，则无法伪造〈h,E_i〉，也就无法伪造签密密文σ。因此，任意非法用户都无法伪造合法用户的一次性公钥和签密密文。

(3)可追踪性

根据本发明提出方案，系统为防止用户的恶意活动，用户B和PKG可通过合作来揭示用户A恶意活动时的身份。用户B将用户A的〈V_A,K_A>发送给PKG以便揭示用户A的真实身份。PKG根据已保存的用户A身份信息<X_A,Q_A>，验证等式的正确性，若通过验证则证明了用户A是恶意活动发起者。因此，在保证了用户活动时的匿名性前提下，方案能够防止用户进行恶意活动。

三、本发明的性能分析

从计算量和通信成本来评价本方案。表1给出了本方案与目前存在的一次性公钥签密方案的性能比较。为了方便说明，表1中用f代表多项式运算次数，exp表示指数运算次数，mul表示点乘运算次数，pair表示双线性对运算次数，hash表示哈希函数运算次数，n表示身份属性集大小，D表示容错度(解签密所需的身份属性子集大小)。

本方案在签密过程中，运用到了一次Hash函数运算：h＝H₂(e,q_A,m)；n+4次G₁群上的点乘运算，分别为R＝rP，q_A＝k·y_A·W_B，c＝m·e和E_i＝r·z_i·P；一次双线性对运算，此外，没有指数运算和多项式运算。在解签密过程中，运用到了2次G₁群上的点乘运算，D+1次G₂群上的点乘运算，D+1次G₂群上的指数运算和D次双线性对运算。签密的时间复杂度与用户身份属性集成正比，解签密的时间复杂度与D成线性关系。

通过与背景技术中的文献[8][9][10][11][12]的签密和解签密过程比较可以发现，本发明的运算不需要指数运算，同时在确保了安全性的前提下，本发明在运算效率和通信开销方面均较为理想。

表1本方案与现有方法的性能比较

Claims (1)

1.一种基于模糊身份的一次性公钥签密构造方法，该方法利用计算机系统完成基于模糊身份的一次性公钥匿名签密的构造，计算机系统包括可相互通信的用户A和用户B，其特征在于，该计算机系统还包括一个公钥生成中心PKG和一个私钥生成中心KGC；该方法包括以下步骤：

步骤一，系统初始化

步骤S10，设P为椭圆曲线上的一个点，G₁、G₂为由P生成的两个群，G₁、G₂的阶为素数q，G₁为循环加法群，G₂为循环乘法群，在群G₁，G₂中的离散对数问题为难解问题；G₁，G₂存在关系： 为双线性对映射；H₁和H₂为安全Hash函数，表示为：

步骤S11，PKG随机选取u′∈Z_q和集合S′∈Z_q，生成拉格朗日系数Δ_u′,S′：

步骤S12，PKG定义身份属性集取值空间为M，将身份属性集中的每个元素都映射到集合中的唯一整数值；

步骤S13，PKG随机选取s∈Z_q、计算参数：g＝sP,T₁＝t₁P,T₂＝t₂P,...,T_|U|＝t_|U|P，U为系统内用户数；计算系统主密钥为：<s,t₁,t₂,...,t_|U|>；

步骤S14，PKG向用户A、用户B以及私钥生成中心KGC公开 系统参数：P,q,G₁,G₂,g,H₁,H₂,＜T₁,...T_|U|＞；

步骤S15，PKG定义容错度D，D为整数；

步骤二，生成用户密钥

步骤S20，记用户A的身份属性集为ψ_A，用户A随机选取计算Y_A＝p_AP，将其身份属性及Y_A发送给PKG；记用户B的身份属性集为ψ_B，用户B随机选取计算Y_B＝p_BP，将其身份属性及Y_B发送给PKG；

步骤S21，PKG对用户A的身份和Y_A进行确认后，PKG随机选取 计算X₁＝x_AP，X_A＝X₁+Y_A，Q_A＝H₁(g,X_A)，以及用户A的部分密钥d_A＝x_A+s·Q_A，并将<d_A,X_A>发送给用户A；PKG对用户B的身份和Y_B进行确认后，PKG随机选取计算X₂＝x_BP，X_B＝X₂+Y_B，Q_B＝H₂(g,X_B)，以及用户B的部分密钥d_B＝x_B+s·Q_B，并将<d_B,X_B>发送给用户B；

步骤S22，PKG随机选取一个D-1阶的多项式f，该多项式的f(0)＝s；

步骤S23，KGC计算用户A的私钥其中i∈ψ_A，o∈(1,|U|)；KGC将私钥发送给用户A，用户A计算y_A＝p_A+d_A，判断X₁+gH₁(g,X_A)＝d_AP是否成立来验证PKG生成的部分密钥d_A，如果该式成立说明部分密钥d_A正确，将<z_i,y_A>作为用户A的密钥；KGC计算用户B的私钥其中j∈ψ_B，o∈(1,|U|)；KGC将私钥发送给用户B，用户B计算y_B＝p_B+d_B，判 断X₂+gH₂(g,X_B)＝d_BP是否成立来验证PKG生成的部分密钥d_B，如果该式成立说明部分密钥d_B正确，将<z_j,y_B>作为用户B的密钥；

步骤三，生成用户一次性公钥

步骤S30，用户A随机选取计算W_A＝k·y_A·P，V_A＝k·X_A，K_A＝k·P·Q_A，则用户A的一次性公钥为<W_A,V_A,K_A>；

步骤S31，用户B随机选取计算W_B＝l·y_B·P，V_B＝l·X_B，K_B＝l·P·Q_B，则用户B的一次性公钥为<W_B,V_B,K_B>；

步骤四，签密

用户A将消息m进行签密发送给用户B，具体过程如下：

步骤S40，用户A随机选取计算R＝rP；

步骤S41，用户A计算q_A＝k·y_A·W_B，对于每一个i∈ψ_A，计算E_i＝r·z_i·P和h＝H₂(e,q_A,m)；则<h_,E_i>为对消息m的签名；

步骤S42，用户A计算c＝m·e，然后将签密消息σ＝<h,E_i,c＞发送给用户B；

步骤五，解签密

记用户B的身份属性集为ψ_B，F为ψ_B的子集且F的阶为D；用户B收到签密消息σ后，从F中选取参数a，然后进行解签密，具体过程如下：

步骤S50，用户B按照下式恢复消息m：

步骤S51，用户B计算q'＝l·y_B·W_A，然后验证等式：

是否成立，若成立，说明签名验证成功，用户B接收消息，否则拒绝接收消息；上面两式中，E_a为密文，T_a为用户B与KGC的共享参数。