CN105376213A

CN105376213A - 一种基于身份的广播加密方案

Info

Publication number: CN105376213A
Application number: CN201510471475.3A
Authority: CN
Inventors: 廖永建; 许珂; 乔莉; 韩亚楠
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2015-08-04
Filing date: 2015-08-04
Publication date: 2016-03-02
Anticipated expiration: 2035-08-04
Also published as: CN105376213B

Abstract

本发明公开了一种基于身份的广播加密方案，可以实现安全的广播通信。本发明包括：初始化系统安全参数、建立广播用户集合U、用户身份空间，生成主密钥s，生成公开参数param。广播中心根据用户U_i∈U的身份ID_i生成其相应公钥pk_i并公开，同时根据主密钥s生成私钥sk_i并发送给U_i。广播者U_i∈U按以下步骤发送广播消息：首先定义接收者集合S，选取广播密钥K，计算广播头Hdr，然后使用K作为密钥加密广播消息得到密文c，将(Hdr,c)通过广播信道公开。用户接收到(Hdr,c)后，其中将无法解密获得广播消息，只有用户U_r∈S可以通过下列步骤解密：用私钥sk_r从Hdr中恢复出密钥K，使用K解密密文c得到广播消息。本发明适用于一对多的广播通信领域，为广播集合中的消息传输提供了保密性、权限控制、抗同谋攻击等服务。

Description

一种基于身份的广播加密方案

技术领域

本发明涉及到密码学，属于保密通信领域，尤其涉及一种基于身份的广播加密方案。

背景技术

广播加密最早于1991年由Berkovits等学者在《Howtobroadcastasecret》一文中提出，后来于1993年由AmosFiat等学者在《broadcastencryption》一文中将广播加密确立为一个新的领域。广播加密主要用于实现“一对多”的通信模式，即广播发送者在非安全信道上将广播消息加密后同时传输给多个不同的接收者，其中只有被该广播发送者授权的合法接收者才能够正确解密获得广播消息，而非授权的用户不能正确解密获得广播消息。广播加密目前广泛应用于数字付费电视、卫星通信、电话会议、无线传感器网络等具体场景中。

广播加密的研究主要包括广播加密方案和叛逆者追踪技术两个方面。其中广播加密方案即提出一个具体的能满足安全地“一对多”通信的加密方案。根据加密体制分为对称加密和非对称加密两种，广播加密也分为对称广播加密和非对称广播加密两种。其区别主要在于广播加密和解密过程中使用的加密密钥和解密密钥是否相同。对称广播加密要求广播发送者和广播接收者的广播密钥必须相同，因此广播群中必须存在一个可信任的广播中心来负责广播密钥的设定和管理。广播用户集合中的所有用户的广播密钥需要由广播中心生成并通过安全信道发放，因此也只有广播中心才具备可以发送广播消息给广播群中的所有用户的条件，并且广播中心和广播接收者的密钥协商必须在非常安全的环境下进行。但是对称广播加密体制中广播中心对广播密钥的控制会造成用户对其的完全依赖性，同时也无法满足动态性和可验证性。非对称广播加密则使广播密钥分为加密密钥和解密密钥两种，因此广播发送者只要在发送加密的广播消息前公开自己的公钥等信息，则可以保证合法授权接收用户可以用相应的私钥进行解密，即不需要广播发送者和每个不同的广播接收者持有不同的广播密钥对，从而大大的节省了密钥空间，因此广播群中的任何用户均可以作为对称广播加密体制的广播中心，但非对称广播加密方案在传输时效上常常弱于对称加密广播加密方案。目前的广播加密方案主要以非对称广播加密方案为主。广播加密方案除了提供基本的“一对多”通信模式之外，还可以提供如权限控制、机密性、动态性、抗同谋攻击等服务。权限控制是指广播发送者在发送广播消息前，可以自己确定授权接收用户集合，因此广播信道上的其他非授权接收者即使收到了加密的广播消息也无法正确解密，同时权限控制还包括撤销授权用户权利等。机密性是指加密后的广播消息只能被授权接收用户通过自己的解密密钥正确解密后获得，而非授权的用户则无法通过自己的解密密钥正确解密获得。动态性是针对动态的广播用户集合而言，即广播集合中存在新用户的加入和旧用户的退出两种行为，当发生这两种行为时，应该有具体的方案来给新加入的用户发放密钥，并且应满足后向安全，即新加入的用户不能解密加入前已经存在和公开的广播密文，同时也应有具体的方案来回收退出的旧用户的密钥，并且应满足前向安全，即退出的旧用户将不能解密退出后收到的所有广播密文。抗同谋攻击是针对指非授权接收用户而言，即非授权接收用户进行任意的联合后也不能解密广播密文获得广播消息。

叛逆者追踪技术是对广播加密方案发生了广播消息泄露后的一种安全完善。即当授权接收用户集合中的某一用户将自己的解密密钥进行非法复制和传播后，使得广播集合中的其他非授权用户获得该解密密钥，并利用其解密广播密文，从而非法获得广播消息时，该授权接收用户则转变为叛逆者。叛逆者追踪技术就是指某一授权接收用户在发生上述叛逆行为后，可以实现对该叛逆者的具体追踪和定位，找到该叛逆者，回收其解密密钥，剥夺其解密权利，以制止其继续发生叛逆行为，造成严重的安全后果。

目前已经存在了许多对称广播加密方案和非对称广播加密方案：2000年，Naor等学者提出了第一个非对称广播加密方案，达到了t-抗合谋攻击安全性(t为门限值)，并且建立了叛逆者追踪机制。2005年，EunSunYoo等学者通过分割用户集合和插入多元多项式的方法优化了Naor的方案，提升了其效率性。2008年，DongHoonLee等学者通过改进Boneh的混合加密方案实现了一种新的公钥广播加密方案，减少了公钥的长度。以上所述方案均是基于公钥基础设施(PKI)的，即每个用户的公钥都附加了一个由证书管理机构CA签发的公钥证书，该公钥证书是一个结构化的数据记录，包括了用户的公钥参数、身份信息和证书管理机构CA对其进行的签名。CA需要对所有用户的公钥证书进行存储、颁发和撤销等复杂的证书管理工作，并且所有用户在使用公钥前都需要首先验证其公钥证书的合法性，然后才可以使用该公钥，这也将大大的增加用户的计算量和通信带宽。为了简化公钥的管理和提高用户使用公钥的效率，1984年，Shamir等学者在《Identity-basedcryptosystemsandsignatureschemes》一文中首次提出了基于身份的密码体制这一概念，即用户的公钥不再由证书管理机构CA管理，而是与用户的身份信息(如身份证号码、家庭住址、电话号码等)直接相关联，而用户的私钥则由第三方私钥生成中心(PKG)根据相应的公钥等信息生成后发放给相应的用户。因此基于身份的密码体制大大的减少了证书管理机构CA的管理开销和公钥证书合法性验证的计算量和通信带宽。

2003年，YevgeniyDodis等学者提出了一个基于身份的无状态接收者的广播加密方案，无状态接收者是指不能更改初始状态(如用户密钥等)的接收者。2005年，Boneh等学者提出了基于身份的公钥广播加密方案，该方案中广播密文长度与用户的数量无关增，但公钥的长度会根据用户的增加而线性增加。2007年，Delerablée等学者提出了针对无状态接收者的基于身份的公钥广播加密方案，该方案首次实现了广播密文的长度和私钥的长度均为常数，但仅仅证明了其方案在选择身份安全模型下的安全性。2008年，MasafumiKusakawa等学者在Delerablée方案的基础上进行改变，提出了一种基于身份的动态广播加密方案，且该方案的计算开销和公钥的长度均得到了减小。2011年，Sun-MiPark等学者证明了Delerablée的方案可以在完全安全模型下达到了选择明文安全。2012年，KitakKim等学者提出了一种将基于身份的公钥加密方案转化为基于身份的(门限值为t)广播加密方案的方法。2013年，SanjamGarg等学者和Jean-SébastienCoron等学者分别基于格和整数构造出多线性映射(multilinearmaps)，多线性映射非常适用于广播加密这一“一对多”的通信模式。2014年，Boneh等学者提出了三种基于身份的广播加密方案，这三种方案均是基于身份的且开销低的条件，即广播密文中除了描述接收者集合的字节数和用对称加密方法对明文进行加密之外的开销很低。但是以上方案的公钥长度都很大，并且最多只能达到适应性选择密文安全。1995年，Bellare等学者首次提出了明文可意识性安全。1998年，Bellare等学者证明了明文可意识性安全的安全性高于适应性选择密文安全。

基于以上所述，如何更好的解决广播加密中的公钥长度不是常数的问题和安全性没有达到最高的问题，设计出更高效、更安全的广播加密方案是当前的研究热点之一。

发明内容

本发明的目的在于：实现基于一种更安全的基于身份的广播加密方案，该方案能够保证广播消息的发送和接收的安全性和高效性。

本发明公开了一种基于一种基于身份的广播加密方案，包括：

系统初始化：设定系统安全参数k，生成广播用户集合U，生成多线性映射e_n，哈希函数H₁、H₂、用户的身份信息空间、广播消息空间、广播密钥空间、公钥params、主密钥s及发送者的加密和接收者的解密。广播中心根据主密钥msk和用户U_i∈U的身份信息ID_i生成用户U_i的公钥pk_i和私钥sk_i，并公开公钥，发送私钥给相应用户；

广播发送者根据系统参数、公开参数param、授权接收者集合S、多线性映射e_n、接收者的公钥和广播密钥K，生成广播头Hdr，并根据广播消息m利用K和对称加密方法E对m进行加密生成广播密文c，发送者将(Hdr,c)通过广播信道进行广播；

属于授权接收集合S的用户可以根据系统参数、公开参数param、授权接收者集合S、授权接收用户U_r的公钥和自己的私钥x_r对广播头Hdr进行解密处理得到会话密钥K，最后利用K解密密文c得到广播消息m；

不属于授权接收集合S的用户无法进行上述解密过程。

由于采用了以上所述技术方案，本发明的有益效果在于：

(1)广播集合中的用户均可作为广播发送者发送广播密文：过去的广播加密中只有广播中心可以发送广播消息，而在本方案中，广播集合中的所有用户都可以发送广播消息。

(2)广播传输带宽低：广播集合中各用户的公钥和私钥长度均为常量，广播头和广播密文的长度也为常量，独立于广播集合中用户的数量。

(3)高效率：对于广播消息和个性化消息的加密使用了对称加密方法而不是公钥加密方法，提高了对广播消息加密的效率性。

(4)抗同谋攻击：对于任意数量的非授权接收者，无论其通过何种联合也不能进行正确的解密行为，获得正确的广播消息。

(5)达到了明文可意识性安全：本方案首次达到了明文可意识性安全，该安全性高于适应性选择密文安全。

(6)减少了公钥管理和验证开销：本方案为基于身份的广播加密体制，因此不需要证书管理机构CA对公钥证书进行管理，也不需要用户对公钥进行认证。

附图说明

本发明将通过具体实例及附图的方式说明，其中：

图1为本发明具体实施的加密操作流程图；

图2为本发明具体实施的解密操作流程图；

图3是本发明的实施实例1的系统结构示意图；

具体实施方式

为使本发明的方案技术和应用性更加清楚，下面结合具体实施实例和附图，对本发明作更详细的描述。

实施实例1

参见图3，具体执行步骤包括广播中心设定系统安全参数、生成广播用户集合、身份空间、广播密钥空间、广播消息空间、公开参数，生成集合中各用户的公钥和私钥、广播发送者对广播消息的加密和授权接收者的解密，具体描述如下：

(1)设定系统参数

(1.1)设系统安全参数为k，q为大素数，G₁表示阶为q的循环乘法群，P∈G₁表示G₁的生成元，G_n表示阶为q的循环乘法群。e_n表示多线性映射且n≥3。定义两个安全的Hash函数H₁,H₂，H₁表示从{0,1}ⁿ映射到G₁的哈希函数，H₂表示从映射到的哈希函数，用户U_i∈U的身份信息空间为{0,1}ⁿ，其中{0,1}ⁿ表示n比特长的二进制序列组成的集合(n为预设参数)。广播密钥空间为K∈G_n，广播消息空间为m∈{0,1}^l，其中{0,1}^l表示l比特长的二进制序列组成的集合(l为预设参数)。授权接收者集合S∈U且|S|＝n-1＜N。本实施例中n取值设定为n＝|S|+1，为授权接收者数量加1。l为广播消息m的比特长度。表示有限域Z_q＝{0,1,...,q-1}去掉零元素所得到的集合，广播用户集合为U＝{U₁,U₂,...,U_N}，其中|U|＝N表示广播集合中用户的数量为N，N为大于2的正整数。对称加密算法为E，相应的解密算法为D。

(1.2)广播中心随机选取作为主密钥，计算p_pub＝sP；

基于上述设定，得到的公开参数为：主密钥为s。

(1.3)广播中心将公开参数params通过广播信道公开。

(2)广播中心生成广播集合中用户公钥和私钥。

(2.1)广播中心得到用户U_i∈U的身份信息ID_i∈ID。

(2.2)广播中心计算用户U_i∈U的公钥为pk_i＝H₁(ID_i)，然后计算用户U_i∈U的私钥为sk_i＝spk_i，并秘密安全地发送给用户U_i。

(2)生成广播发送者的相关信息

(2.1)发送者通过广播信道获取广播用户集合U和公开参数param以及用户的公钥信息。

(2.2)发送者根据选取授权接收集合S∈U，且满足|S|＝n-1＜N。

(2.3)发送者随机选择K∈G_n作为广播密钥。

(3)广播加密

广播发送者利用公钥params、授权接收者集合S∈U、广播密钥K、对称加密算法E对广播消息m进行加密。参见图1，具体步骤如下：

(3.1)随机选取计算R＝rP，A＝aP，R'＝e_n(pk₁,pk₂,...,P_pub)^r，Y＝KR'以及A'＝e_n(pk₁,pk₂,...,P_pub)^a。

(3.2)根据哈希函数H₂，计算c＝H₂(Y,R,R',A,A')，θ＝a+cr，然后得到广播头Hdr＝(Y,R,A,θ)。

(3.3)随机选取一个广播消息m∈{0,1}^l，计算广播密文c＝E_K(m)。

(3.4)通过广播信道公开(Hdr,c)、集合S。

(4)解密

不属于授权接收集合S的用户无法进行以下解密操作，而属于授权接收集合S的用户在收到(Hdr,c)后，参见图2，将具体执行以下步骤：

(4.1)计算广播密钥K：接收者U_r∈S根据私钥sk_r、Hdr、公开参数param以及集合S中用户公钥计算R'＝e_n(pk₁,...,pk_n-1,R)^s＝e_n(pk₁,...,spk_r,...,pk_n-1,R)＝e_n(pk₁,...,sk_r,...,pk_n-1,R)，A'＝e_n(pk₁,...,pk_n-1,A)^a＝e_n(pk₁,...,sk_r,...,pk_n-1,A)，K＝Y/R'。

(4.2)根据步骤(4.1)计算的值，计算c＝H₂(Y,R,R',A,A')。

(4.3)验证(Hdr,c)的合法性：检查等式θP＝A+cR和e_n(pk₁,...,P_pub)^θ＝A'R^'c是否成立，如果该式不成立，则认为当前(Hdr,c)无效，拒绝解密(Hdr,c)；否则继续执行步骤(4.4)。

(4.4)根据步骤(4.3)计算的广播密钥K，基于对称解密算法D和广播密文c恢复并输出广播消息m＝D_K(c)。

以上所述，仅为本发明的具体实施方式，本说明书(包括附加权利要求、摘要和附图)中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换，即除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子。本发明可以扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。

Claims

1.一种基于身份的广播加密方案，其特征在于，包括下列步骤：

设定系统安全参数，广播中心生成广播用户集合U、用户U_i∈U的身份信息ID_i，生成系统公开参数param、主密钥s以及用户U_i∈U的公钥pk_i。广播中心通过广播信道将公开参数和所有广播用户的公钥公开；

广播中心根据用户U_i∈U的公钥pk_i和主密钥s计算出该用户相应的私钥sk_i；

任一用户U_i∈U作为广播发送者，首先根据系统安全参数和广播用户集合U生成授权接收者集合S，然后随机选取会话密钥K生成广播头Hdr，利用密钥K通过对称加密方法加密广播消息m得到广播密文c，将(Hdr,c)通过广播信道发送给广播集合中的其他用户；

广播集合中的任意用户U_r∈U均可以接收到(Hdr,c)，根据广播发送者U_i的授权接收用户集合S，当且仅当U_r∈S时，用户U_r才可以利用其私钥x_r解密Hdr得到密钥K，然后验证Hdr的合法性，若其合法则得到正确的密钥K为正确的广播密钥，最后利用K解密c得到广播消息m。

2.如权利要求1所述的方法，其特征在于系统安全参数为k，广播用户集合为U＝{U₁,…,U_N}，其中|U|＝N表示集合中用户数量为N，N为大于2的正整数。用户U_i∈U的身份信息为ID_i∈{0,1}ⁿ，其中{0,1}ⁿ表示n比特长的二进制序列组成的集合，n为预设参数。系统参数param包括其中l为预设参数，G₁表示阶为q的循环乘法群，P∈G₁表示G₁的生成元，G_n表示阶为q的循环乘法群，e_n表示的多线性映射其中n≥3。H₁表示从{0,1}ⁿ映射到G₁的哈希函数，H₂表示从映射到的哈希函数。表示有限域Z_q＝{0,1,…,q-1}去掉元素零所得到的集合；

广播中心根据用户U_i∈U的身份信息ID_i∈{0,1}ⁿ和哈希函数H₁，计算用户U_i的公钥为pk_i＝H₁(ID_i)，私钥为sk_i＝spk_i并发送给相应的用户U_i；

广播发送者U_i发送广播消息的具体过程如下：

U_i随机选取广播密钥K∈G_n，随机选取两个元素选择授权接收用户集合S∈U且|S|＝n-1＜N，其中n为预设参数，计算R＝rP，A＝aP，R'＝e_n(pk₁,pk₂,...,P_pub)^r，A'＝e_n(pk₁,pk₂,...,P_pub)^a，Y＝KR'，c＝H₂(Y,R,R',A,A')，θ＝a+cr，得到广播头Hdr＝(Y,R,A,θ)，然后利用广播密钥K作为对称加密密钥，使用对称加密算法E加密广播消息m，得到密文c＝E_K(m)，U_i将(Hdr,c)和集合S以及加密算法E对应的解密算法D通过广播信道广播出去。

广播接收者U_r收到(Hdr,c)后解密步骤具体如下：

若接收者则该用户不是合法授权用户，无法进行解密；若接收者U_r∈S，则该接收者可以使用私钥sk_r、Hdr、公开参数param以及集合S中用户公钥计算R'＝e_n(pk₁,...,pk_n-1,R)^s＝e_n(pk₁,...,spk_r,...,pk_n-1,R)＝e_n(pk₁,...,sk_r,...,pk_n-1,R)，K＝Y/R'，然后计算A'＝e_n(pk₁,...,pk_n-1,A)^a＝e_n(pk₁,...,spk_r,...,pk_n-1,A)＝e_n(pk₁,...,sk_r,...,pk_n-1,A)，R'＝e_n(pk₁,...,pk_n-1,R)^s＝e_n(pk₁,...,spk_r,...,pk_n-1,R)＝e_n(pk₁,...,sk_r,...,pk_n-1,R)，c＝H₂(Y,R,R',A,A')，最后验证θP＝A+cR和e_n(pk₁,...,P_pub)^θ＝A'R'^c是否成立，当且仅当都成立时，才可以使用K作为对称密钥解密c得到广播消息m＝D_K(c)，否则认为Hdr无效，不能解密。

3.如权利要求1或2所述的方法，其特征在于，所述主密钥应满足公开参数param中包含的元素P_pub＝sP。E_K(m)表示使用密钥K对其广播消息m进行加密，而D为算法E的解密算法，D_K(c)表示使用密钥K对广播密文c进行解密得到消息m。

4.如权利要求1所述的方法，其特征在于，预设参数n＝|S|+1。

5.如权利要求2所述的方法，其特征在于，预设参数l为广播消息m的比特长度。

6.如权利要求4所述的方法，其特征在于，|S|表示集合S中元素的个数。