CN104868963B - 一种基于多线性映射的广播加密方案 - Google Patents
一种基于多线性映射的广播加密方案 Download PDFInfo
- Publication number
- CN104868963B CN104868963B CN201510236799.9A CN201510236799A CN104868963B CN 104868963 B CN104868963 B CN 104868963B CN 201510236799 A CN201510236799 A CN 201510236799A CN 104868963 B CN104868963 B CN 104868963B
- Authority
- CN
- China
- Prior art keywords
- broadcast
- user
- key
- hdr
- represent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明公开了一种基于多线性映射的广播加密方案,能够实现一对多的通信。本发明包括:首先初始化系统参数,建立广播用户集合U,用户Ui随机选取私钥xi,生成公钥yi并通过广播信道将yi公开。集合中任意用户Ui作为发送者时,首先定义接收者集合S,选取密钥K并计算广播头Hdr,用对称加密算法使用密钥K加密广播消息得到密文c,将Hdr和c通过广播信道公开。用户接收到Hdr和c后,不属于授权集合S中的用户将无法解密获得广播消息,只有属于集合S中的用户可以进行以下步骤:用私钥从Hdr中恢复出密钥K,使用K解密收到的密文c得到广播消息。本发明适用于一对多的广播消息加密,为广播群中的消息传输提供了保密性、权限控制、抗合谋攻击服务。
Description
技术领域
本发明涉及密码学,属于保密通信技术领域,尤其涉及一种基于多线性映射的广播加密 方案。
背景技术
密码体制是实现保密通信的重要工具,当通信双方需要建立秘密会话时,通常采用一些 加密方法对双方的会话内容进行加密后再通过网络信道进行传输,从而保证了该会话的机密 性。加密体制分为对称加密和非对称加密两种,其区别在于加密方和解密方使用的加密密钥 和解密密钥是否相同。对称加密体制要求通信双方的密钥相同,这使得双方的密钥协商必须 在非常安全的环境下进行,并且任意两个用户之间都必须持有一个与其他用户不同的密钥, 这在很大程度上增加了用户的密钥空间。而非对称加密体制则将密钥分为加密密钥和解密密 钥两种不同的密钥,发送方只需要使用自己的加密密钥(公钥)进行加密,任何持有解密密 钥(私钥)的用户均可以对其进行解密,从而节省了密钥空间,但其在传输时效上常常弱于 对称加密体制。在生活中,除了“点对点”通信之外,还存在着“一对多”“多对一”以及“多对 多”的通信方式,广播通信则属于“点对点”“多对多”的通信方式。广播加密提供了一种在非 安全信道上将相同的消息同时传输给多个不同的授权用户的方法,它能够保证不同的授权用 户可以使用自己特有的与其他用户不同的私钥来解密相同的密文从而得到相同的广播消息, 因此其加密方法较“点对点”加密方法更为复杂。广播加密研究主要包括广播加密和叛逆者追 踪两个部分。广播加密即发送者加密需要广播的消息,使得只有被发送者授权的用户可以才 正确解密广播密文得到广播消息,而非授权用户无法解密广播密文得到广播消息。广播加密 提供的安全服务有机密性、权限控制、抗合谋攻击、前向安全和后向安全。机密性是指广播 消息只能为授权用户知道,不能泄露给未授权的用户。权限控制是指广播消息发送者可以控 制授权用户集合和非授权用户集合。抗同谋攻击是指任意数量的非授权用户即使联合后也不 可以解密广播密文得到广播消息。前向安全是指广播用户集合中退出广播集合的用户将不再 有权利解密退出后的广播密文,即无法获知退出后的广播消息。后向安全是指当广播用户集 合中有新用户加入时,该新加入的用户不可以解密加入前的广播密文,即不能获知加入前的 广播消息。同时广播加密还可以提供一种解决叛逆发生方法,即叛逆者追踪。当授权用户在 获得解密密钥后,如果将其进行非法复制和传播,使得广播中的其他非授权用户也可以使用 该解密密钥对广播密文进行解密非法获得广播消息,那么则认为进行此行为的授权用户为叛 逆者。叛逆者追踪是指在叛逆发生后,可以实现对叛逆者的追踪和定位,剥夺其解密权利, 废除其解密密钥,从而制止其继续进行叛逆行为。
广播加密最早由Berkovits于1991年在《How to broadcast a secret》中提出,后来由 Amos Fiat和Moni Naor于1993年在《broadcast encryption》中确立了广播加密这一新领域。 根据使用的场景可以分为有状态广播加密(stateful broadcast)和无状态广播加密(stateless broadcast)两种,它们的区别在于接收者能否改变其初始状态,如用户密钥的修改。无状态 广播加密是指用户不需要更改其初始状态,可以分为基于对称密钥的广播加密和基于公钥的 广播加密两类。基于对称密钥的广播加密要求广播群中必须有一个信任广播中心,只有广播 中心可以产生并持有所有用户的密钥,因此也只有该广播中心才可以发送广播消息给群中所 有的用户,但类方案对广播中心的依赖性是一个隐患,同时它也无法满足动态性和可验证 性。而基于公钥的广播加密则允许广播群中的所有用户广播自己的公钥,从而保证所有用户 不仅拥有自己的私钥,还可以得到广播群中其他用户的公钥,因此广播群中的任何用户均可 以使用自己的公钥加密广播消息发送给群中的所有用户。
2000年,Naor和Pinkas提出了第一个公钥广播加密方案,该方案采用门限秘密共享技 术(门限值t),达到了t-抗合谋攻击安全性,建立了叛逆者追踪机制。Dodis和Fazio于2002年提出了一种基于分级身份加密思想将对称广播加密转换为公钥广播加密的方法。2005年,Boneh、Gentry、Waters提出了BGW方案,该方案不仅抗完全同谋,而且广播密 文长度不会随着用户的增加而增加,而是一个常数,用户的私钥长度同样的也是一个常数 (大小均为),并且该方案中只有一个公钥,公钥的长度随着用户的增加呈线性增 加,但是该方案不存在有效的叛逆者追踪机制,并且当接收者的数量变得非常多时,该方案 会变得很复杂。2007年,Delerablee等学者提出了一个完全抗共谋的动态广播加密方案,在 该方案中,广播密文和解密密钥的长度均为常数,且广播群中的管理员虽然不能更改群中用户的初始信息,但可以动态的管理新用户的加入。随着双线性对(bilinear pairings)算法的 产生,基于身份的密码方案由于其在群密钥生成阶段优于其它的公钥密码方案而得到了广泛 的应用,2005年,Baek等提出了基于身份的多接收者密钥封装机制,这使得基于身份的广 播加密成为热点之一。随后Joonsang等提出了基于身份的多接收者加密方案,并将其运用 到基于子集覆盖的广播加密中,在该方案中,加密广播消息时,只需要进行一次对的运算, 并且此运算也可以在加密消息前进行预计算,该方案基于BDDH假设。2009年,Gentry和 Waters讨论了广播加密中的适应性安全性,提出了广播加密中静态语义安全(semi-static security)的概念,表明之前的基于短密文的广播加密方案仅仅只能达到静态安全,同时还提 出了一种基于双线性对的在标准模型下达到静态语义安全的广播加密方案。由于广播加密方 案的主要性能指标是在于密钥存储量、通信开销、计算量,其中密钥存储量是指接受用户需 要存储的密钥的大小和数量,通信开销是指广播密文的长度,计算量是指加密和解密时的计 算开销,因此,近年来的广播加密的研究内容主要集中在如何减小广播密文长度、公私钥大 小、以及计算复杂度。由于在2003年Silverberg、Boneh在《Applications of multilinear forms to cryptography》一文中提出了多线性映射(multilinear maps)的概念和相关性质,表明多线 性映射除了拥有许多和双线性对相似的性质之外,还非常适用于多用户的环境,如基于多线 性映射的多方密钥协商,这与广播加密中多个接收者的通信环境非常匹配,因此可以根据多 线性映射的特性将其运用于广播加密中。2014年,Boneh在《multiparty key exchange, efficient traitor tracingand more from indistinguishability obfuscation》一文中提出广播加密方 案的效率性在于密文的负载大小,即广播密文中超出描述接收者集合的字节数和用对称加密 方法对明文进行加密的负载,并提出了一个分布式广播加密方案。此后,Boneh、Gentry、 Waters在《Low Overhead Broadcast Encryption from Multilinear Maps》提出了三个静态的广播加密方案,并指出之前的许多方案均满足低负载条件,但是它们的公钥长度都很大。
基于以上所述,如何更好的解决广播加密中的负载问题和公钥长度问题,设计出高效、 适用性更强的广播加密方案仍然是当前的热点之一。
发明内容
本发明的目的在于:实现基于一种多线性映射的广播加密方案,为广播集合中用户之间 的信息交互提供安全保障。
本发明公开了一种基于多线性映射的广播加密方案,包括:
系统初始化:设定系统参数,用于生成广播用户集合U,集合中所有用户的公钥yi和私 钥xi,多线性映射哈希函数H1、H2以及发送者的加密和接收者的解密;
发送者根据系统参数、自己设置的接收者用户集合S、发送者的公钥ys、多线性映射 接收者的公钥yi和以及会话密钥K,生成广播头Hdr,并根据广播消息m利用K和对称加密方法E对m进行加密生成广播密文c,发送者将Hdr和c广播给群中所有用户;
被授权的接收者根据系统参数、发送者的公钥ys、自己的私钥xr对广播头Hdr进行解密 处理得到会话密钥K,最后利用K对密文c进行解密处理;
未授权的接收者将无法进行上述解密过程。
由于采用了以上所述技术方案,本发明的有益效果在于:
(1)无需建立广播中心:广播集合中的用户不再需要依靠可信任的广播中心获取自己 的公钥和私钥,而是自己选取私钥并生成相应的公钥,最后将公钥通过广播信道公开。
(2)广播集合中的用户均可作为发送者发送广播密文:过去的广播加密要求存在一个 广播中心,而且只有广播中心可以广播消息给集合中的所有用户,而在本方案中,广播集合 中的所有用户都可以作为广播中心发送广播消息。
(3)广播传输带宽消耗低:广播集合中各用户的公钥长度均为常量,广播头的长度也 为常量,独立于用户数量。
(4)高效率:对于广播消息的加密使用了对称加密方法而不是公钥加密方法,提高了 效率性。
(5)为广播加密中用户之间的信息交互提供了机密性、权限控制、抗合谋攻击的服务。
附图说明
本发明将通过具体实例及附图的方式说明,其中:
图1为本发明具体实施的加密操作流程图;
图2为本发明具体实施的解密操作流程图;
图3是本发明的实施实例1的系统结构示意图;
具体实施方式
为使本发明的技术方案和适用性更加清楚,下面结合具体实施实例和附图,对本发明作 更详细的描述。
实施实例1
参见图3,具体执行步骤包括设定系统参数、生成广播用户集合、生成集合中各用户的 公钥和私钥、发送者生成授权接收者集合以及对广播消息的加密和合法接收者的解密,具体 描述如下:
(1)设定系统参数
(1.1)设G1表示阶为q的循环乘法群,g∈G1表示G1的生成元,Gn表示与G1同阶的循环乘法群。表示的多线性映射,且n≥3。定义两个安全的Hash函数H1,H2,H1表示映射Gn→{0,1}l,H2表示映射其中{0,1}l表示l比特长的二进 制序列组成的集合(l为预设参数),本实施例中l取值设定为广播消息m的比特长度。表示有限域Zq={0,1,…,q-1}去掉零元素所得到的集合,广播用户集合为U={U1,U2,…,UN}, 其中|U|=N表示广播集合中用户的数量为N,N为大于2的正整数。
基于上述设定,得到的系统参数为:(G1,Gn,q,g,H1,H2,n,N,l,U)。
(1.2)集合U中的用户Ui随机选择一个私钥计算相应的公钥
(1.3)所有用户均将自己的公钥通过广播信道公开。
(2)生成发送者的相关信息
(2.1)发送者通过广播信道获取广播用户集合U。
(2.2)发送者根据需要设置授权接收者集合S∈U,且满足|S|=ω≤n≤N。
(2.3)发送者随机选取会话密钥K∈{0,1}l。
(2.4)发送者选取安全高效的对称加密算法E。
(3)广播加密
发送者在获取到广播集合中所有用户的的公钥yi后,可以利用自己的公钥ys、授权接收 者的公钥对称密钥K、对称加密算法E对广播消息m进行加密。参见图1,具体步骤如下:
(3.1)随机选取根据哈希函数H1,计算
(3.2)随机选取根据哈希函数H2,计算广播头Hdr=(c1,c2,c3,c4),其中 c2=gα,c3=H2(c1,c2,gβ),c4≡β-c3αmodq,符号表示异或运算。
(3.3)随机选取一个广播消息m∈{0,1}l,计算广播密文c=Ek(m)。
(3.4)通过广播信道公开广播消息m的密文c和广播头Hdr、集合S以及对称解密算法D。
(4)解密
不属于授权集合S的用户将无法进行解密操作,而被授权的接收者在收到广播头Hdr和 广播密文c时,参见图2,将具体执行以下步骤:
(4.1)验证广播头Hdr的合法性
(4.1)根据哈希函数H2,检查等式是否成立,如果该式不成立,则 认为当前广播头Hdr无效,拒绝该广播头Hdr;否则继续执行步骤4.2。
(4.2)基于集合S中用户的公钥发送者的公钥ys和接收者的私钥xr以及 哈希函数H1恢复h,即计算
(4.3)根据步骤(4.2)计算的h值,计算其中符号表示异或运算。
(4.4)再根据步骤(4.3)计算的密钥K,基于对称解密算法D和广播密文c恢复并输出广 播消息m=Dk(c)。
以上所述,仅为本发明的具体实施方式,本说明书(包括附加权利要求、摘要和附图) 中所公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替 换,即除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子。本发明可以扩展 到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤 或任何新的组合。
Claims (4)
1.一种基于多线性映射的广播加密方法,其特征在于,包括下列步骤:
设定系统参数,用于生成广播用户集合U、集合中各个用户Ui的私钥xi和公钥yi;
广播用户集合中的各个用户将自己的公钥yi通过广播信道发送给集合中的其它用户;
广播集合中的某个用户Us作为发送者,首先根据系统参数和集合U生成授权接收用户集合S,随机选取会话密钥K并生成广播头Hdr,利用对称密钥K加密广播消息m得到对称加密密文c,将(Hdr,c)通过广播信道发送给广播集合中的其他用户;
广播集合中的其他用户Ur接收到(Hdr,c),根据发送者Us的授权接收用户集合S,只有当Ur∈S时,用户Ur才可以根据自己的私钥xr解密Hdr并判断Hdr的合法性,若合法则得到正确的会话密钥K,利用K解密c得到广播消息m,
所述系统参数包括其中G1表示阶为q的循环乘法群,g∈G1表示G1的生成元,Gn表示阶为q的循环乘法群,表示的多线性映射,且n≥3,H1,H2表示哈希函数,其中H1表示从Gn映射到{0,1}l,H2表示从映射到其中{0,1}l表示l比特长的二进制序列组成的集合,其中l为预设参数,去掉单位元所得到的乘法群,表示有限域Zq={0,1,…,q-1}去掉元素零所得到的集合,广播用户集合U={U1,U2,…,UN},其中|U|=N表示集合中用户数量为N,N为大于2的正整数;
广播用户集合中的任意一个用户Ui的私钥为公钥其中g∈G1表示循环乘法群G1的生成元;
广播发送者US发送广播密文处理具体为:
Us随机选择集合中的任意两个元素α和β,随机选取会话密钥K∈{0,1}l,设置授权接收用户集合S∈U且|S|=ω≤n≤N,其中n为预设参数,计算 c2=gα,c3=H2(c1,c2,gβ)和c4≡β-c3αmodq,得到广播头Hdr=(c1,c2,c3,c4),并利用会话密钥K作为对称加密密钥,使用对称加密算法E加密广播消息m,得到密文c=EK(m),us将(Hdr,c)和集合S以及E对应的解密方法D广播给群中所有用户;
接收者Ur对密文(Hdr,c)的解密处理具体为:
首先判断Ur∈S是否成立,若不成立,则该用户无法解密;若成立,则判断是否成立,若不成立,则认为广播头Hdr无效,若成立,则用户利用自己的私钥xr和集合S中用户的公钥首先求得然后根据解密广播头得到K,最后利用所得的K作为对称密钥解密c得到m=DK(c)。
2.如权利要求1所述的方法,其特征在于,所述E为安全的对称加密算法,Ek(m)表示使用密钥K对其消息m进行加密,而D为算法E的解密算法,Dk(c)表示使用密钥K对其密文c进行解密得到消息m。
3.如权利要求1所述的方法,其特征在于,预设参数l为广播消息m的比特长度。
4.如权利要求1所述的方法,其特征在于,所述其中符号表示比特级异或。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510236799.9A CN104868963B (zh) | 2015-05-11 | 2015-05-11 | 一种基于多线性映射的广播加密方案 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510236799.9A CN104868963B (zh) | 2015-05-11 | 2015-05-11 | 一种基于多线性映射的广播加密方案 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104868963A CN104868963A (zh) | 2015-08-26 |
| CN104868963B true CN104868963B (zh) | 2017-11-28 |
Family
ID=53914516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510236799.9A Active CN104868963B (zh) | 2015-05-11 | 2015-05-11 | 一种基于多线性映射的广播加密方案 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104868963B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106992871A (zh) * | 2017-04-01 | 2017-07-28 | 中国人民武装警察部队工程大学 | 一种面向多群组的广播加密方法 |
| CN109218015B (zh) * | 2017-07-05 | 2021-08-06 | 普天信息技术有限公司 | 一种多选组组短信加密传输方法及装置 |
| CN108964904B (zh) * | 2018-07-16 | 2020-12-22 | 哈尔滨工业大学(深圳) | 群密钥安全管理方法、装置、电子设备及存储介质 |
| CN113872757B (zh) * | 2021-09-23 | 2024-01-12 | 武汉大学 | 一种基于sm2公钥加密算法的广播加密方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103986574A (zh) * | 2014-05-16 | 2014-08-13 | 北京航空航天大学 | 一种基于身份的分层广播加密方法 |
| CN104135473A (zh) * | 2014-07-16 | 2014-11-05 | 北京航空航天大学 | 一种由密文策略的属性基加密实现身份基广播加密的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2913154A1 (fr) * | 2007-02-28 | 2008-08-29 | France Telecom | Chiffrement broadcast base sur identite |
-
2015
- 2015-05-11 CN CN201510236799.9A patent/CN104868963B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103986574A (zh) * | 2014-05-16 | 2014-08-13 | 北京航空航天大学 | 一种基于身份的分层广播加密方法 |
| CN104135473A (zh) * | 2014-07-16 | 2014-11-05 | 北京航空航天大学 | 一种由密文策略的属性基加密实现身份基广播加密的方法 |
Non-Patent Citations (1)
| Title |
|---|
| Applications of multilinear forms to cryptography;D.Boneh, A.Silverberg;《Contemporary Mathematics》;20031231;第10页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104868963A (zh) | 2015-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ateniese et al. | Key-private proxy re-encryption | |
| CN105376213B (zh) | 一种基于身份的广播加密方法 | |
| Boneh et al. | A fully collusion resistant broadcast, trace, and revoke system | |
| Li et al. | Privacy-aware attribute-based encryption with user accountability | |
| Kim et al. | Adaptively secure identity-based broadcast encryption with a constant-sized ciphertext | |
| CN101617351B (zh) | 密文生成装置、密码通信系统以及群参数生成装置 | |
| Jiang et al. | Dynamic encrypted data sharing scheme based on conditional proxy broadcast re-encryption for cloud storage | |
| CN105049207B (zh) | 一种基于身份的带个性化信息的广播加密方案 | |
| Derler et al. | Revisiting proxy re-encryption: forward secrecy, improved security, and applications | |
| US20100098253A1 (en) | Broadcast Identity-Based Encryption | |
| Zhang et al. | Efficient constructions of anonymous multireceiver encryption protocol and their deployment in group e-mail systems with privacy preservation | |
| CN107181584B (zh) | 非对称完全同态加密及其密钥置换和密文交割方法 | |
| CN104868963B (zh) | 一种基于多线性映射的广播加密方案 | |
| CN110519226B (zh) | 基于非对称密钥池和隐式证书的量子通信服务端保密通信方法和系统 | |
| CN106713349B (zh) | 一种能抵抗选择密文攻击的群组间代理重加密方法 | |
| Xiong et al. | Flexible, efficient, and secure access delegation in cloud computing | |
| Singh et al. | Cryptanalysis of unidirectional proxy re-encryption scheme | |
| CN111586064A (zh) | 一种匿名的基于身份广播加密方法及其系统 | |
| Wen-Jie et al. | Efficient quantum secure direct communication with authentication | |
| Parmar et al. | A comparative evaluation of algorithms in the implementation of an ultra-secure router-to-router key exchange system | |
| Guo et al. | Towards a secure certificateless proxy re-encryption scheme | |
| CN110912691B (zh) | 一种云环境下基于格上访问控制加密算法的密文分发方法、装置、系统及存储介质 | |
| CN116743358A (zh) | 一种可否认的多接收者认证方法及系统 | |
| Guo et al. | Adaptively secure broadcast encryption with constant ciphertexts | |
| Backes et al. | Fully secure inner-product proxy re-encryption with constant size ciphertext |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |