CN105024822A - 来自多线性映射的基于身份加密方法 - Google Patents

Abstract

本发明公开了一种来自多线性映射的基于身份加密方法，具体按照以下步骤实施:首先系统建立，令身份空间I＝{0,1}^l-1，用户最大个数为N，N＝2^l-1,消息空间M∈G_n，然后私钥生成，其次是加密，将公共参数PP，消息空间M∈M，身份ID∈I作为输入，首先随机选择指数γ∈Z_p，然后输出身份ID对应的密文，最后是解密，将公共参数PP，密文C_ID和解密密钥SK_ID＝{SK_ID,1,SK_ID,2}作为输入，输出解密的消息

Description

来自多线性映射的基于身份加密方法

技术领域

本发明属于信息安全技术领域，具体涉及一种来自多线性映射的基于身份加密方法。

背景技术

基于身份的公钥密码体制既采用传统公钥密码体制中的双密钥，又能将密钥管理过程很好地简单化处理，所以它渐渐地成为近年来很多专家学者研究的对象。

Shamir于1984年首次提出了基于身份的公钥密码系统。直到2001年，第一个真正实用的IBE方案才由Boneh等人提出，该加密方案使用双线性对进行构造，基于双线性Diffie-Hellman假设，在随机预言模型下证明了方案的抵抗适应性选择密文攻击安全。此后，双线性对成了构造基于身份密码系统以及各种数字签名方案的重要工具，大量的使用双线性映射函数构造的方案被提出。

量子计算的发展和第一台量子计算机的问世，意味着新时代即将来临。量子计算机使过去不可能穷举的计算复杂度变得可行，因此双线性对已经不能抵抗量子攻击。使用双线性对的方案还有效率不高的缺点，原因是方案一般需要计算多次双线性对。因此人们尝试利用其它的技术来构建基于身份的密码体制。

扩展双线性椭圆曲线对到多线性映射上是一个长期存在的开放问题。早在2003年，在代数几何领域的多线性映射存在的前提下，Boneh和Silverberg提出了多线性映射两个有趣的应用，即多方Diffie-Hellman密钥和十分有效的广播加密。然而，他们对来自代数几何领域的类似映射的存在感到悲观。直到2013年，Garg，Gentry和Halevi才构造出了第一个貌似可信的基于理想格的多线性映射——GGH分层编码系统，同时将其应用到了一轮N方Diffie-Hellman密钥交换中。基于格理论的密码方案有诸多优点，例如简单易理解，享有高强度的安全性以及执行效率高。最重要的一个优势是，基于格的密码被认为是可以抵抗量子攻击的密码体制。这个理想格上类似的多线性映射打开了使用多线性映射这个抽象概念构造新方案的大门。将这个结果应用到一般基于双线性的方案中是绝对有可能的，因此这个方向必将成为以后密码学的热点之一。

随着GGH框架的提出和学者们的不断研究，多线性映射的研究已取得一些进展。Garg，Gentry，Sahai和Waters构造了一个证据加密方案，在该方案中，一个用户的解密密钥不用是真实的“密钥”，而是由加密者指定的某个任意的NP关系的一个证据(加密者自己可能不知道这个证据)。他们还提出了一个在一般电路上的基于属性加密方案，这是Garg，Gentry，Halevi和Sahai，Waters的两篇文章合并的结果。同时，Jean-Sebastien Coron，Tancrede Lepoint和Mehdi Tibouchi描述了一个与GGH类似的构造，不是理想格而是在整数中，它与DGHV全同态加密方案和它的变形类似。他们描述了一个证明编码完全随机性的不同的技术，即在一个商格中应用经典剩余哈希引理。为了证明此构造是相对实用的，将其应用到一个一轮七方Diffie-Hellman密钥交换协议中，得到了每方仅需40秒的时间。随后Hohenberger，Sahai和Waters又提出了来自分层多线性映射的全域哈希函数和基于身份的聚合签名，他们首先利用BLS构造了一个标准模型下的聚合签名方案，然后提出了第一个允许无限制聚合的基于身份的聚合签名方案，最后将其从一般的分层多线性映射转换到了类似多线性映射的GGH框架中。

发明内容

本发明的目的是提供一种来自多线性映射的基于身份加密方法，解决了现有技术中存在的基于身份加密方法难以抵抗量子攻击且效率不高的问题。

本发明所采用的技术方案是，来自多线性映射的基于身份加密方法,其特征在于,具体按照以下步骤实施:

步骤1、系统建立；

步骤2、私钥生成；

步骤3、加密；

步骤4、解密。

本发明的特点还在于，

步骤1的过程为：令身份空间用户最大个数为N＝2^l-1,消息空间具体按照以下步骤实施:

步骤(1.1)、身份系统的私钥生成权威PKG，输入安全参数λ、群的个数n，其中用户个数的最大值N＝2^l-1；

步骤(1.2)、运行群生成器输出群序列每个群的阶数均为素数p，其中p＝2^λ，假设群序列的生成元分别为g₁,g₂,…,g_n，令g＝g₁；

步骤(1.3)、定义U＝(u₁,u₂,…,u_l)，其中u_i在G_n-1中随机选择，i∈[1,l]，再随机选择u′∈G_n-1；

步骤(1.4)、随机选择α,β₁,…,β_n-1∈Z_p，这里Z_p＝{0,1,…,p-1}，令 $g_{\hat{1}}=g^{\mathrm{\α}}\∈G_1,$ 令 $g_{\hat{2}}=e(g^{{\mathrm{\β}}_1},g^{{\mathrm{\β}}_2},...,g^{{\mathrm{\β}}_{n-1}})=g_{n-1}^{{\mathrm{\Π}}_{i\∈\[1,n-1\]}{\mathrm{\β}}_i}\∈G_{n-1},$ 这里e代表多线性对映射，公共参数PP由群序列和组成，主密钥MSK为 $g_{\hat{2}}^{\mathrm{\α}}=g_{n-1}^{{\mathrm{\α\Π}}_{i\∈\[1,n-1\]}{\mathrm{\β}}_i},$ 由PKG秘密保管。

步骤2具体按照以下步骤实施:

步骤(2.1)、输入主密钥MSK，身份公共参数PP，令v＝(v₁,v₂,…,v_l)代表身份ID，其中v_i∈{0,1}，设集合当且仅当v_i＝1时i∈[1,l]，设H(ID)＝u′∏_i∈Vu_i，这里u_i是U＝(u₁,u₂,…,u_l)的分量；

步骤(2.2)、随机选取r_s∈Z_p，这里Z_p＝{0,1,…,p-1}，则身份ID的初始私钥计算如下：

返回SK_ID＝{SK_ID,1,SK_ID,2}。

步骤3具体为:

将公共参数PP，消息空间身份作为输入，首先随机选择指数γ∈Z_p，然后输出身份ID对应的密文：

$C_{ID}=(C_0,C_1,C_2)=(e{(g_{\hat{1}},g_{\hat{2}})}^{\mathrm{\γ}}\·M,g^{\mathrm{\γ}},H{\left(ID\right)}^{\mathrm{\γ}})\∈G_n\×G_1\×G_{n-1}.$

步骤4具体为:

将公共参数PP，密文C_ID和解密密钥SK_ID＝{SK_ID,1,SK_ID,2}作为输入，输出解密的消息这里e代表多线性对映射。

本发明的有益效果是,来自多线性映射的基于身份加密方法,该方法满足正确性、安全性，在时间与空间方面的效率与之前的方案相当，因为使用了多线性判定Diffie-Hellman困难问题，而多线性对是基于格问题构造的，因此本发明可以抵抗量子攻击，具有更高的安全性，本发明的方法可以解决传统使用双线性对的方案在量子计算下将不再安全的缺陷。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

来自多线性映射的基于身份加密方法,其特征在于,具体按照以下步骤实施:

步骤(1.1)、身份系统的私钥生成权威PKG(private key generator)运行本算法，输入安全参数λ、群的个数n，其中用户个数的最大值N＝2^l-1；

步骤(1.2)、运行群生成器输出群序列每个群的阶数均为素数p(p＝2^λ)，假设群序列的生成元分别为g₁,g₂,…,g_n，令g＝g₁；

步骤(1.3)、定义U＝(u₁,u₂,…,u_l)，其中u_i在G_n-1中随机选择，i∈[1,l]，再随机选择u′∈G_n-1；

步骤(1.4)、随机选择α,β₁,…,β_n-1∈Z_p，这里Z_p＝{0,1,…,p-1}，令 $g_{\hat{1}}=g^{\mathrm{\α}}\∈G_1,$ 令 $g_{\hat{2}}=e(g^{{\mathrm{\β}}_1},g^{{\mathrm{\β}}_2},...,g^{{\mathrm{\β}}_{n-1}})g_{n-1}^{{\mathrm{\Π}}_{i\∈\[1,n-1\]}{\mathrm{\β}}_i}\∈G_{n-1},$ 这里e代表多线性对映射。公共参数PP由群序列和组成，主密钥MSK为 $g_{\hat{2}}^{\mathrm{\α}}=g_{n-1}^{{\mathrm{\α\Π}}_{i\∈\[1,n-1\]}{\mathrm{\β}}_i},$ 由PKG秘密保管；

步骤2、私钥生成：具体按照以下步骤实施:

步骤(2.1)、输入主密钥MSK，身份公共参数PP，令v＝(v₁,v₂,…,v_l)代表身份ID，其中v_i∈{0,1}，设集合当且仅当v_i＝1时i∈[1,l]，设H(ID)＝u′∏_i∈Vu_i，这里u_i是U＝(u₁,u₂,…,u_l)的分量；

步骤(2.2)、随机选取r_s∈Z_p，这里Z_p＝{0,1,…,p-1}，则身份ID的初始私钥计算如下：

返回SK_ID＝{SK_ID,1,SK_ID,2}；

步骤3、加密：具体为将公共参数PP，消息空间身份作为输入，首先随机选择指数γ∈Z_p，然后输出身份ID对应的密文：

$C_{ID}=(C_0,C_1,C_2)=(e{(g_{\hat{1}},g_{\hat{2}})}^{\mathrm{\γ}}\·M,g^{\mathrm{\γ}},H{\left(ID\right)}^{\mathrm{\γ}})\∈G_n\×G_1\×G_{n-1};$

步骤4、解密：具体为:

将公共参数PP，密文C_ID和解密密钥SK_ID＝{SK_ID,1,SK_ID,2}作为输入，输出解密的消息这里e代表多线性对映射。

下面验证本发明来自多线性映射的基于身份加密方法的正确性与安全性：

(1)正确性证明：

证明如下：

因此上述加密方案是正确的。

(2)安全性证明：

结论1：本申请中提出的基于身份的加密方法具有安全性。如果多线性判定Diffie-Helman(MDDH)假设成立，那么上述来自多线性映射的基于身份的加密方案在适应性选择密文攻击下(IND-CCA2)是安全的，即就是，对任意的概率多项式时间的敌手有成立。

证明：我们要证明的是，如果存在一个概率多项式时间(PPT)内的敌手他能在下面的游戏中以不可忽略的优势ε攻破我们来自多线性映射的基于身份的加密方案的安全性，那么就存在一个概率多项式时间内的模拟器能以ε的概率攻破n-MDDH假设。

假设这个模拟器将多线性判定Diffie-Helman(MDDH)的一个实例，即将和T作为输入，这里g＝g₁，模拟器需要判定或者T是G_n中一个随机元素T₁∈_R G_n，即T＝T₁∈_R G_n。如果模拟器回答δ＝0；如果T＝T₁∈_R G_n，模拟器回答δ＝1。模拟器的目标就是通过下面的模拟解决多线性判定Diffie-Helman(MDDH)问题，即判定δ＝0还是δ＝1。在下面的游戏中，模拟器扮演挑战者的角色。

系统建立：首先先设置一个整数m＝4q，依次随机选择整数k∈[0,l₁]，x′∈[0,m-1]和一个长度为l₁的随机向量整数x_i∈[0,m-1]。再随机选择y′∈Z_p和一个长度为l₁的向量y_i是在Z_p中随机选取的。

令v＝(v₁,v₂,…,v_l)代表身份ID，其中v_i∈{0,1}，设集合当且仅当v_i＝1时i∈[1,l]。

定义和同时设 $u^{\′}=g_{\hat{2}}^{p-km+x^{\′}},$ 设置原方案中的α＝c₁，β₁，…,β_n-1分别为c₂,…,c_n，那么 $g_{\hat{2}}=g_{n-1}^{{\mathrm{\Π}}_{i\∈\[2,n\]}{c}_i},$ 此时，主密钥相当于 $g_{n-1}^{{\mathrm{\Π}}_{i\∈\[1,n\]}{c}_i}.$

阶段一：下面适应性地进行一系列的初始私钥询问：

初始私钥询问：如果上述的F(v)＝0mod p，即x′+Σ_i∈Vx_i＝mk mod p，模拟器终止游戏，随机选择一个值δ′∈{0,1}作为对δ的猜测结果，否则，随机选择r′∈Z_p，以下面的方法来构造私钥SK_ID：

${\mathrm{SK}}_{ID,2}=g_{\hat{1}}^{\frac{-1}{F\left(v\right)}}{g}^{r^{\′}}=g^{r^{\′}-\frac{c_1}{F\left(v\right)}}=g^{r_s}$

这里令返回SK_ID＝{SK_ID,1,SK_ID,2}。

挑战：向提交要挑战的身份ID^*和两个等长的消息M₀,如果(即F(v^*)≠0mod p)，模拟器终止游戏，随机选择一个值δ′∈{0,1}作为对δ的猜测结果。否则，F(v^*)＝0mod p，选择一个随机比特δ∈{0,1}，并对消息M_δ进行加密，得到密文

$C_0^{*}=T\·M_{\mathrm{\δ}},C_1^{*}=g^{c_{n+1}},C_2^{*}=e{(C_1^{*},g_{n-2})}^{J\left(v^{*}\right)}$

这里暗含地令γ＝c_n+1。

$T=g_n^{{\mathrm{\Π}}_{i\∈\[1,n-1\]}{c}_i}=e{(g^{c_1},g^{c_2},...,g^{c_n})}^{c_{n+1}}=e{(g_{\hat{1}},g_{\hat{2}})}^{\mathrm{\γ}}$

$C_2^{*}=e{(C_1^{*},g_{n-2})}^{J\left(v^{*}\right)}=g_{\hat{2}}^{F\left(v^{*}\right)c_{n+1}}e{(C_1^{*},g_{n-2})}^{J\left(v^{*}\right)}={\left(g_{\hat{2}}^{F\left(v^{*}\right)}{g}_{n-1}^{J\left(v^{*}\right)}\right)}^{c_{n+1}}=H{\left({\mathrm{ID}}^{*}\right)}^{c_{n+1}}$

因此得到的密文与原方案一致，将密文返回给敌手

阶段二：敌手可以继续进行更多的初始私钥询问，但所受限制与阶段1相同。

猜测：最终，输出一个猜测δ′∈{0,1}，如果δ′＝δ，输出0，否则输出1。

在上述模拟中，令η∈{0,1}是与T_η对应的比特，因为上面的模拟分布是正确的，所以有同时，有 $\mathrm{Pr}\[\mathrm{\δ}={\mathrm{\δ}}^{\′}|\mathrm{\η}=1\]=\frac{1}{2},$ 这是因为当η＝1时，T₁是完全随机的，这就表明，δ对于敌手来说是完全隐藏的，因此可以得到下面的式子

定理得证。

本发明来自多线性映射的基于身份加密方法，通过深入研究现存的基于身份的加密方案，使用分层多线性映射构造了一个新的基于身份加密方案，在适应性选择密文攻击下使用多线性判定Diffie-Hellman假设证明了方案的安全性，与使用双线性对所构造的方案相比，因为使用了多线性判定Diffie-Hellman困难问题，而多线性对是基于格问题构造的，因此本方案可以抵抗量子攻击，在安全性方面有了较大提高。

本发明来自多线性映射的基于身份加密方法，所采用的技术手段是Garg，Gentry和Halevi于2013年构造出的基于理想格的多线性映射，在此基础上提出了一个来自分层多线性映射的基于身份加密方案，并在标准模型下证明了方案的安全性，新方案达到了适应性选择密文安全，具有更高的安全级别。同时，新方案在时间与空间方面的效率与之前的方案相当。

本发明来自多线性映射的基于身份加密方法与现有方法相比有很多的好处，主要表现在：该方法满足正确性、安全性，在时间与空间方面的效率与之前的方案相当。基于传统的双线性对的加密方法在量子计算机下安全性受到威胁，而来自理想格的多线性映射在量子计算下是安全的，与双线性对构造出的方案相比，因为使用了多线性判定Diffie-Hellman困难问题，而多线性对是基于格问题构造的，因此我们的方案可以抵抗量子攻击，具有更高的安全性。故本发明的方法可以解决传统使用双线性对的方案在量子计算下将不再安全的缺陷。

Claims (5)

1.来自多线性映射的基于身份加密方法,其特征在于,具体按照以下步骤实施:

步骤1、系统建立；

步骤2、私钥生成；

步骤3、加密；

步骤4、解密。

2.根据权利要求1所述的来自多线性映射的基于身份加密方法,其特征在于,所述步骤1的过程为令身份空间用户最大个数为N＝2^l-1，消息空间具体按照以下步骤实施:

步骤(1.1)、身份系统的私钥生成权威PKG运行本算法，输入安全参数λ、群的个数n，其中用户个数的最大值N＝2^l-1；

步骤(1.2)、运行群生成器输出群序列每个群的阶数均为素数p，其中，p＝2^λ，假设群序列的生成元分别为g₁,g₂,…,g_n，令g＝g₁；

步骤(1.3)、定义U＝(u₁,u₂,…,u_l)，其中u_i在G_n-1中随机选择，i∈[1,l]，再随机选择u′∈G_n-1；

步骤(1.4)、随机选择α,β₁,…,β_n-1∈Z_p，这里Z_p＝{0,1,…,p-1}，令 $g_{\hat{1}}=g^{\mathrm{\α}}\∈G_1,$ 令 $g_{\hat{2}}=e(g^{{\mathrm{\β}}_1},g^{{\mathrm{\β}}_2},...,g^{{\mathrm{\β}}_{n-1}})=g_{n-1}^{{\mathrm{\Π}}_{i\∈{\[1,n-1\]}^{{\mathrm{\β}}_i}}}\∈G_{n-1},$ 这里e代表多线性对映射，公共参数PP由群序列U,u′,和组成，主密钥MSK为由PKG秘密保管。

3.根据权利要求1所述的来自多线性映射的基于身份加密方法,其特征在于,所述步骤2具体按照以下步骤实施:

步骤(2.1)、输入主密钥MSK，身份公共参数PP，令v＝(v₁,v₂,…,v_l)代表身份ID，其中v_i∈{0,1}，设集合当且仅当v_i＝1时i∈[1,l]，设这里u_i是U＝(u₁,u₂,…,u_l)的分量；

步骤(2.2)、随机选取r_s∈Z_p，这里Z_p＝{0,1,…,p-1}，则身份ID的初始私钥计算如下：

$\begin{array}{c}({\mathrm{SK}}_{\mathrm{ID},1},{\mathrm{SK}}_{\mathrm{ID},2})=(g_{\hat{2}}^{\mathrm{\α}}H{\left(\mathrm{ID}\right)}^{r_s},g^{r_s})\\ =(g_{\hat{2}}^{\mathrm{\α}}{\left(u^{\′}{\mathrm{\Π}}_{i\∈v}{u}_i\right)}^{r_s},g^{r_s})\∈G_{n-1}\×G_1\end{array}$

返回SK_ID＝{SK_ID,1,SK_ID,2}。

4.根据权利要求1所述的来自多线性映射的基于身份加密方法,其特征在于,所述步骤3具体为:

将公共参数PP，消息空间身份作为输入，首先随机选择指数γ∈Z_p，然后输出身份ID对应的密文：

$C_{ID}=(C_0,C_1,C_2)=(e{\left(g_{\hat{1}},g_{\hat{2}}\right)}^{\mathrm{\γ}}\·M,g^{\mathrm{\γ}},H{\left(ID\right)}^{\mathrm{\γ}})\∈G_n\×G_1\×G_{n-1}.$

5.根据权利要求1所述的来自多线性映射的基于身份加密方法,其特征在于,所述步骤4具体为:

将公共参数PP，密文C_ID和解密密钥SK_ID＝{SK_ID,1,SK_ID,2}作为输入，输出解密的消息这里e代表多线性对映射。