CN105049207A - 一种基于身份的带个性化信息的广播加密方案 - Google Patents

Abstract

本发明公开了一种基于身份的带个性化信息的广播加密方案，属于通信安全领域。本发明包括：首先初始化安全参数、广播中心建立用户数量为n的集合U、身份空间，生成公钥params、主密钥msk并通过广播信道公开params。广播中心获取用户U_i∈U的身份信息并生成私钥sk_i返回给U_i。广播中心计算广播密钥K、U_i的个性化密钥K′_i和广播头Hdr，使用对称加密算法加密广播消息m(密钥为K)得到c，加密个性化消息m′_i(密钥为K′_i)得到c′_i，将(Hdr,c,c′_{i(i∈{1,...,n})})通过广播信道公开。仅有属于广播集合U中的用户可以进行以下步骤：用私钥从Hdr中恢复出密钥K和K′_i，使用K解密c得到广播消息，使用K′_i解密c′_i得到个性化信息。本发明适用于带个性化信息的广播系统，如条件接收系统，并为广播集合中的消息传输提供了个性化信息、保密性、抗合谋攻击服务。<pb pnum="1" />

Description

一种基于身份的带个性化信息的广播加密方案

技术领域

本发明涉及到密码学，属于通信安全领域，尤其涉及一种基于身份的带个性化信息的广播加密方案。

背景技术

广播加密提供了一种实现在非安全信道上将相同的消息安全地同时传输给多个不同的用户的方法，在数字付费电视、卫星通信、电话会议、调频收音机等领域有着广泛的应用。它最早由Berkovits于1991年在《Howtobroadcastasecret》一文中提出，后来被AmosFiat和MoniNaor于1993年在《broadcastencryption》一文中确立为密码学的新研究领域。

广播加密体制分为对称广播加密体制和公钥广播加密体制两种，其区别在于加密方和解密方使用的会话密钥是否相同。对称广播加密体制要求广播发送者和广播接收者的具有相同的广播密钥，同时还要求广播群中必须有一个可信任的广播中心，只有广播中心可以产生所有用户的密钥并通过安全信道传输给广播群中的其他用户，也只有广播中心才可以发送广播消息给广播群中的所有用户，因此对称广播加密体制中用户对广播中心的依赖性是一个隐患，同时它无法满足动态性和可验证性。而基于公钥的广播加密体制将密钥分为加密密钥和解密密钥两种，允许广播群中的任一用户作为广播中心，在发送广播消息前公开自己的公钥，从而保证接收用户可以用相应的私钥进行解密，因此广播群中的任何用户均可以作为广播中心使用自己的公钥加密广播消息发送给群中的其他用户。因此目前研究的广播加密体制以公钥广播加密体制为主。广播加密体制提供的安全服务主要有权限控制、机密性、抗合谋攻击、前向安全和后向安全。权限控制是指广播发送者可以控制授权用户集合和非授权用户集合，包括撤销用户权利等。机密性是指广播消息只能被授权用户解密获得，而非授权的用户无法解密获得。抗合谋攻击是指非授权用户即使联合起来也不可以解密广播密文获得广播消息。前向安全和后向安全是针对具有动态性的广播加密体制，即存在新用户加入广播集合和旧用户退出广播集合，分别是指退出广播集合的旧用户将不能解密退出后的所有广播密文，后向安全是指当有新用户加入广播集合时，该用户不能解密加入前已经公开的广播密文。除此之外，广播加密体制还可以提供叛逆者追踪技术来应对叛逆发生，即某一授权用户将获得的解 密密钥进行非法复制和传播，使得广播中的其他非授权用户也可以使用该解密密钥解密广播密文，从而非法获得广播消息，该授权用户被称为叛逆者。叛逆者追踪技术就是指产生叛逆者后，对该叛逆者可以实现具体的追踪和定位，剥夺叛逆者的解密权利，废除叛逆者解密密钥，从而制止叛逆行为继续发生。

2000年，Naor等学者提出了第一个公钥广播加密方案，该方案采用了门限秘密共享技术(门限值t)，达到了t-抗合谋攻击安全性，并且建立了叛逆者追踪机制。2005年，谭作文等学者提出了一个安全的公钥广播加密方案，并且对某个用户的授权和撤销权力均不影响其他用户。2008年，JongHwanPark等学者提出了一个公钥广播加密方案，该方案抗合谋攻击。然而，上述方案均基于公钥基础设施(PKI)。在PKI中，每个用户的公钥都附加了一个由证书管理机构CA签发的公钥证书，它是一个结构化的数据记录，包括了用户的公钥参数、身份信息以及来自CA的签名。任何用户在使用公钥前都需要通过验证公钥证书的合法性来对该公钥进行认证，因此会增加用户的通信带宽和计算量，同时CA也需要进行诸如证书的存储、颁发和撤销等复杂的证书管理工作。

为了简化公钥的管理，Shamir等学者于1984年在《Identity-basedcryptosystemsandsignatureschemes》一文中第一次提出了基于身份的密码体制的概念。在该密码体制中，用户的公钥与用户的身份信息(如邮箱地址、身份证号码、电话号码等)直接相关，用户的私钥是由可信方私钥生成中心(PKG)根据相应的公钥和私有的主密钥生成。因此基于身份的密码体制在很大程度上减少了公钥证书的管理和合法性验证所带来的复杂性。之后，随着双线性对(bilinearpairings)算法的产生，基于身份的密码体制逐步得到了广泛的应用。2002年，Dodis和Fazio提出了一种基于分级身份加密思想将对称广播加密转换为公钥广播加密的方法。随后，Kurosawa等学者提出了一个针对多个接收者加密方案，即不同的用户可以解密获得各自的不同的消息(个性化消息)，并且该方案的密文长度很小。2003年，YevgeniyDodis等学者提出了一个基于身份的无状态接收者的广播加密方案，即接收者不能更改其初始状态，如用户密钥的修改。2005年，Boneh、Gentry、Waters提出了抗合谋攻击的BGW方案，该方案中用户的私钥长度是一个常数，而且广播密文长度不会随着用户的增加而增加，但公钥的长度会随着用户的增加呈线性增加。Baek等学者提出了基于身份的多接收者密钥封装机制，这使得基于身份的多接收者加密体制更加成为了研究热点之一。随后Joonsang等学者也提出了一个针对多个接收者加密方案，并将其运用到基于子集覆盖的广播加密中，在该方案中，加密广播消息时，只需要进行一次对的运算，大大减少了计算量，但该方案不能满足广播消息和个性化消息的同时传输。2013年，SanjamGarg等学者基于格构建了多线 性映射(multilinearmaps)，同时多线性映射非常适用于多用户的环境，如多方密钥协商、广播加密。因此，2014年，Boneh等学者在《LowOverheadBroadcastEncryptionfromMultilinearMaps》一文中提出了三种基于多线性映射的广播加密方案，并表示三个方案均满足低负载条件，即广播密文中超出描述接收者集合的字节数和用对称加密方法对明文进行加密的负载。但是以上任何方案均不能满足在传输广播信息的同时进行针对某个用户的个性化消息的传输。

2010年，Ohtake等学者将BGW方案和Kurosawa方案结合，提出了第一个带个性化信息的广播加密方案，该方案基于双线性映射，但是公钥长度很大，与用户数量呈线性增加。由于广播加密方案的性能指标主要是密钥量、通信开销和计算量，其中密钥量是指用户存储的密钥的长度和数量，通信开销是指广播密文的长度，计算量是指进行加密和解密计算时所消耗的时间。因此也没有一种方案能更高效的将广播加密体制和多接收者加密体制结合起来，产生一种公钥长度较短的基于身份的带个性化信息的广播加密方案。如今越来越多的用户开始使用数字付费电视观看各类电视节目，而带个性化信息的广播加密方案可以有效地运用到条件接收系统(CAS)中，即如今开展付费电视的核心系统。该类方案运用于CAS中比起常规的CAS可以满足以下三个优点：密钥管理量小、条件控制更简单、个性化消息传输更效率。密钥管理量小是指广播发送者使用公钥进行加密，因此不需要再管理所有用户的私钥，并且对广播消息和个性化消息的加密均采用效率更高的对称加密方法；条件控制更简单是指广播发送者可以自己通过定义授权用户来管理相应付费电视节目的用户，同时也可以通过更改授权用户集合来取消用户的观看权；个性化消息传输更效率是指广播发送者可以更效率地加密针对某个用户的个性化消息，主要体现在加密算法中。

基于以上所述，如何设计出一种更高性能的、基于身份的带个性化信息的广播加密方案，仍然是当前需要解决的问题之一。

发明内容

本发明的目的在于：实现基于一种基于身份的带个性化信息的广播加密方案，该方案不仅能保证广播中心传送广播消息，还可以保证广播中心向广播集合中的某一用户传送个性化消息。

本发明公开了一种基于一种基于身份的带个性化信息的广播加密方案，包括：

系统初始化：设定系统安全参数k，生成源群为目标群为的多线性映射e、广播用户集合U，用户身份信息空间ID、公钥params、主密钥msk以及广播中心的加密和接收者的解密；

广播中心根据主密钥msk和用户U_i∈U的身份信息ID_i∈ID生成用户U_i的私钥sk_i，并发送给相应用户；

广播中心根据公钥计算广播密钥K，针对用户U_i∈U的个性化密钥K′_i以及广播头Hdr，并根据广播消息m利用K和对称加密方法E对m进行加密生成广播密文c，广播中心通过广播信道将(Hdr,c,c′_{i(i∈{1,...,n})})广播；

广播集合U中的接收者U_r根据公钥params和自己的私钥sk_r对广播头Hdr进行解密处理得到广播密钥K和个性化密钥K'_r，最后利用K和K'_r分别对广播密文c和个性化密文c'_r进行解密处理；

不属于广播用户集合的接收者将无法进行上述解密过程。

由于采用了以上所述技术方案，本发明的有益效果在于：

(1)提供个性化信息传送：将公钥广播加密和多接收者加密方案结合起来设计出基于身份的带个性化信息的广播加密方案，保证广播中心在进行广播消息传送的同时，还可以对广播集合中的任意用户发送个性化信息，适用于条件接收系统。

(2)广播传输带宽消耗低：广播集合中各用户的私钥长度均为常量，广播密文的长度独立于广播集合中用户的数量。

(3)高效率：对于广播消息和个性化消息的加密使用了对称加密方法而不是公钥加密方法，有效地提高了效率性。

(4)为广播中心和用户之间的信息交互提供了机密性、抗合谋攻击的服务。

附图说明

本发明将通过具体实例及附图的方式说明，其中：

图1为本发明具体实施的加密操作流程图；

图2为本发明具体实施的解密操作流程图；

图3是本发明的实施实例1的系统结构示意图；

具体实施方式

为使本发明的方案技术和应用性更加清楚，下面结合具体实施实例和附图，对本发明作更详细的描述。

实施实例1

参见图3，具体执行步骤包括广播中心设定系统安全参数、生成广播用户集合、身份空间、生成集合中各用户的私钥、广播中心对广播消息和针对任意用户的个性化消息的加密和接收者的解密，具体描述如下：

(1)设定系统参数

(1.1)设系统安全参数为k，p为大素数，广播用户集合为U＝{U₁,...,U_n}，其中n≥2。身份信息空间为ID＝{0,1}ⁿ\{0ⁿ}，其中{0,1}ⁿ表示n比特长的二进制序列组成的集合,{0}ⁿ表示一个长为n比特的全0序列。e表示源群为目标群为的多线性映射，其中 均为阶为p的循环乘法群。表示长度为n+1的向量表示第i+1位为1，其余位为0的长为n+1的向量Z_p表示有限域Z_p＝{0,1,…p-1}。本实施例中n为广播集合中用户的数量，对称加密算法为E，相应的解密算法为D。

基于上述设定，得到系统参数为 ${\mathrm{params}}^{\&prime;}=(k,g,e,{\stackrel{\&RightArrow;}{e}}_i,p,G_{\stackrel{\&RightArrow;}{n}},G_{2\stackrel{\&RightArrow;}{n}},\stackrel{\&RightArrow;}{n},Z_p,D,E)$

(1.2)广播中心随机选取α,γ,β₁,...,β_n∈Z_p，进行以下计算： $X_i=g_{{\stackrel{\&RightArrow;}{e}}_i}^{{\mathrm{\&alpha;}}^{\left(2^i\right)}}(i=0,...,n-1),X_n=g_{{\stackrel{\&OverBar;}{e}}_n}^{{\mathrm{\&alpha;}}^{(2^n+1)}},W=g_{2\stackrel{\&RightArrow;}{n}}^{{\mathrm{\&alpha;}}^{\left(2^n\right)}}V=g_{\stackrel{\&RightArrow;}{n}}^{\mathrm{\&gamma;}};$

基于上述设定，得到的公钥params为：(params',W,X₁,...,X_n,V,Y₁,...,Y_n)，主密钥为(α,γ,β₁,…,β_n)。

(1.3)广播中心将公钥params通过广播信道公开。

(2)广播中心生成广播集合中用户私钥的相关信息

(2.1)广播中心通过广播信道获取用户U_i∈U的身份信息ID_i∈ID。

(2.2)广播中心根据公钥和主密钥，设置身份信息为ID_i∈ID的用户U_i的私钥为 ${\mathrm{sk}}_i=\left({\mathrm{sk}}_i\right[1],{\mathrm{sk}}_i[2\left]\right)=(g_{\stackrel{\&RightArrow;}{n}}^{{\mathrm{\&gamma;\&alpha;}}^{{\mathrm{ID}}_i}},V^{{\mathrm{\&beta;}}_i}),$ 并秘密安全地发送给用户U_i。

(3)广播加密

广播中心已知公钥params、主密钥(α,γ,β₁,…β_n)和到广播集合中所有用户的的身份信息ID，且根据公钥可以计算当j∈[1,2ⁿ-1]时，有其中 $X_i^0{g}_{{\stackrel{\&RightArrow;}{e}}_i}^1=g_{{\stackrel{\&RightArrow;}{e}}_i},X_i^1{g}_{{\stackrel{\&RightArrow;}{e}}_i}^0=X_i.$

广播中心可以利用公钥params、主密钥(α,γ,β₁,…β_n)、广播集合中所有用户的的身份信息集合ID、对称加密算法E对广播消息m和针对任一用户U_i∈U的个性化消息m_i'进行加密。参见图1，具体步骤如下：

随机选择有限域Z_p中的任一元素t，根据公钥{X_i}_{i∈{0,...,n-1}}计算Z_j(j∈[1,2ⁿ-1])，广播密钥，用户U_i∈U的个性化密钥，。广播中心的广播消息m，针对用户U_i∈U的个性化消息为m_i'，从而计算广播密文为和针对用户U_i∈U的个性化密文为；最后广播中心

(3.1)随机选取t∈Z_p，计算广播密钥和针对用户U_i∈U的个性化密钥

$K_i^{\&prime;}=e(g_{\stackrel{\&RightArrow;}{n}}^t,g_{\stackrel{\&RightArrow;}{n}}^{{\mathrm{\&gamma;\&beta;}}_i}).$

(3.2)计算广播头 $\mathrm{Hdr}=(h_0,h_r)=(g_{\stackrel{\&RightArrow;}{n}}^t,{(V\&CenterDot;\underset{{\mathrm{ID}}_i\&Element;\mathrm{ID}}{\mathrm{\&Pi;}}{Z}_{2^n-{\mathrm{ID}}_i})}^t)=(g_{\stackrel{\&RightArrow;}{n}}^t,g_{\stackrel{\&RightArrow;}{n}}^{t(\mathrm{\&gamma;}+{\mathrm{\&Sigma;}}_{{\mathrm{ID}}_i\&Element;\mathrm{ID}}{\mathrm{\&alpha;}}^{(2^n-{\mathrm{ID}}_i)})}).$

(3.3)广播中心使用对称加密算法E，计算广播消息m对应的密文c＝E_K(m)和针对用户U_i∈U的个性化消息m′_i对应的个性化密文

(3.4)广播中心通过通过广播信道公开以及对称解密算法D。

(4)广播解密

不属于广播用户集合U的用户将无法进行解密操作，而用户U_r∈U在收到广播密文后，参见图2，将具体执行以下步骤：

(4.1)接收者U_r∈U利用私钥sk_r＝(sk_r[1],sk_r[2])和公钥params解密广播头Hdr＝(h₀,h₁)，得到广播密钥 $K=e(Z_{{\mathrm{ID}}_r},h_1)/e(\left({\mathrm{sk}}_i\right[1]\&CenterDot;{\mathrm{\&Pi;}}_{j\&Element;\mathrm{ID},j\&NotEqual;{\mathrm{ID}}_r}{Z}_{2^n-j+{\mathrm{ID}}_r}),h_0))$ 和个性化密钥K'_r＝e(h₀,sk_r[2])。

(4.2)根据步骤(4.1)计算的广播密钥K和个性化K'_r分别作为对称密钥，基于对称解密算法D，解密广播密文得到广播消息c＝D_K(m)和个性化消息

以上所述，仅为本发明的具体实施方式，本说明书(包括附加权利要求、摘要和附图)中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换，即除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子。本发明可以扩展到任何在本说明书中披露的任何新的组合或新特征，以及披露的任一新的方法或过程的步骤或任何新的组合。

Claims (5)

1.一种基于身份的带个性化信息的广播加密方案，其特征在于，包括下列步骤：

建立系统安全参数，用于广播中心生成广播用户集合U、身份信息空间、公钥params和主密钥msk。广播中心通过广播信道将身份信息空间、公钥公开；

广播用户集合中的各个用户将自己的身份信息ID_i∈[1,2ⁿ-1]通过广播信道发送给广播中心；

广播中心根据用户U_i∈U的身份信息ID_i和主密钥msk计算出该用户相应的私钥sk_i；

广播中心选取正确的随机值计算广播密钥K和针对用户U_i∈U的个性化密钥K_i'，并生成广播头Hdr，利用对称加密算法加密广播消息m(K作为对称密钥)得到广播密文c，同时利用对称加密算法加密针对用户U_i∈U的个性化消息m′_i(K′_i作为对称密钥)得到个性化密文c′_i，将(Hdr,c,c′_{i(i∈{1,...,n})})通过广播信道公开；

用户U_r接收到(Hdr,c,c′_{i(i∈{1,...,n})})，根据广播用户集合U，只有当U_r∈U时，用户U_r才可以根据自己的私钥sk_r和身份信息ID_r解密Hdr获得K和K′_r，最后分别进行对称解密获得m和m'_r。

2.如权利要求1所述的方法，其特征在于系统安全参数为k，广播用户集合为U＝{U₁,…,U_n}，身份信息空间为ID＝{0,1}ⁿ\{0ⁿ}，其中{0,1}ⁿ表示n比特长的二进制序列组成的集合,{0}ⁿ表示一个长为n比特的全0序列，公钥params包括其中表示长度为n+1的全1向量，表示阶为p的循环乘法群，表示阶为p的循环乘法群，表示第i+1位为1，其余位为0的长为n+1的向量，e表示源群为目标群为的多线性映射，Z_p表示p阶有限域Z_p＝{0,1,…p-1}，主密钥为(α,γ,β₁,...,β_n)；

广播中心根据接收到的用户U_i∈U的身份信息ID_i∈[1,2ⁿ-1]，计算用户U_i的私钥为sk_i＝(sk_i[1],sk_i[2])并发送给相应的用户U_i；

广播中心生成广播密文c和用户U_i∈U的个性化密文c′_i的具体过程如下：

随机选择有限域Z_p中的任一元素t，根据公钥{X_i}_{i∈{0,...,n-1}}计算Z_j(j∈[1,2ⁿ-1])，广播密钥K＝W^t，用户U_i∈U的个性化密钥广播头广播中心的广播消息m，针对用户U_i∈U的个性化消息为m′_i，从而计算广播密文为c＝E_K(m)和针对用户U_i∈U的个性化密文为最后广播中心通过广播信道公开(Hdr,c,c′_{i(i∈{1,...,n})})；

广播接收者U_r接收到(Hdr,c,c′_{i(i∈{1,...,n})})后解密步骤具体如下：

若接收者即该用户不是广播集合中的用户，则该用户无法进行解密；若接收者U_r∈U，则该接收者利用私钥sk_r＝(sk_r[1],sk_r[2])、Hdr＝(h₀,h₁)和公钥计算K′_r＝e(h₀,sk_r[2])，最后利用K和K′_r分别作为对称密钥得到广播消息c＝D_K(m)和个性化消息

3.如权利要求1或2所述的方法，其特征在于，所述主密钥(α,γ,β₁,...,β_n)，应满足α,γ,β₁,...,β_n∈Z_p，公钥中包含的元素有： 所述用户U_i的私钥为 其中有E_K(m)表示使用密钥K对其广播消息m进行加密，而D为算法E的解密算法，D_K(c)表示使用密钥K对广播密文c进行解密得到消息m，表示使用密钥K′_i对其广播消息m′_i进行加密，表示使用密钥K′_i对个性化密文c′_i进行解密得到消息m′_i。

4.如权利要求1所述的方法，其特征在于，预设参数n为广播用户集合的用户数量。

5.如权利要求1或2所述的方法，其特征在于，所述j∈[1,2ⁿ-1]表示为二进制序列，j_i表示二进制序列j的第i+1位。