CN105553664B - 一种具有非交互式不可否认性质的签密方法 - Google Patents

Abstract

本发明提供了一种具有非交互式不可否认性质的签密方法，该签密方法利用一种具有特殊的性质的公钥加密方案，称为具有非交互式打开性质的加密（PKENO）来代替普通的公钥加密方案，使之和数字签名相结合，从而构造非交互式不可否认性质的签密。本发明的构造方法属于一般性构造方法，先签名后加密，签密方案的效率依赖于所选取的PKENO方案和数字签名方案的效率。特别地，如果接收方在执行证据生成算法之前，已经执行过解签密算法，则签密中证据生成算法的效率与PKENO算法中证据生成算法的效率相当。本发明的运行效率高，且保密性可以在标准模型下进行证明，极具优势。

Description

一种具有非交互式不可否认性质的签密方法

技术领域

本发明涉及签密技术领域，特别是涉及一种具有非交互式不可否认性质的签密方法。

背景技术

签密是一种公钥密码技术，用于高效地同时提供保密性和认证性服务。密钥在签密系统中起着十分重要的作用，只有拥有合法密钥的用户才能执行相关的签密和解签密操作。

数字签名中的消息以明文的形式出现，任何第三方都能验证签名的合法性。只要签名算法满足不可伪造性，则任何签名者都不能否认自己合法签名的消息。从这个角度讲，数字签名中的不可伪造性包含了不可否认性。然而在签密中，消息被加密起来，只有接收方解密出消息并验证是否是发送方合法签密的。任何第三方都不知道消息的内容，所以无从进行验证。可以看出在签密中，不可伪造性满足并不意味着不可否认性也相应满足。

考虑一种情况，发送方签密了一个消息(这个消息可能是一份敏感的医疗报告，一个商业承诺，或一封重要的电子邮件等)，并将签密密文发送给了接收方，不久以后收发双方发生纠纷，发送方否认其签密过此消息。此时接收方面临的问题就是如何向仲裁方(例如法院)澄清这个事实。

目前关于对于解决签密消息的不可否认性质，密码学者中最优者为Malone-Lee的方法。在其方法中，签密密文σ为：

σ＝(c，r，s)＝(Eτ(m)，r＝H(m，y_a，y_b，g^x)s＝x/(r+x_a))，，

其中

在实现不可否认性质时，Malone-Lee将接收方发送给仲裁方的信息划分为两个部分，一部分是需要仲裁的信息包，括收发双方公钥、消息和密文；另一部分就是证据。仲裁方通过证据验证消息和密文之间的关系。在本方案中，证据就是。有了的帮助，仲裁方可以验证(r,s)是否是消息m的Schnorr签名。

为了保证具有不可否认性质的签密方案的安全性，Malone-Lee建立了专门针对具有不可否认性质的签密安全性模型。与之前的安全性定义不同的是，Malone-Lee在新的保密性和不可伪造性的攻击游戏里面允许攻击者进行多次证据询问。每次证据询问的具体处理如下：

证据询问：攻击者提交签密密文，和收发双方的公钥给挑战者，挑战者返回给攻击者相关的证据。

可以看出攻击者在两个攻击游戏中都可以通过证据询问可以获得证据，从而从根本上保证了证据的暴露不会影响到签密方案的保密性和不可伪造性。

Malone-Lee的方法迈出了保证具有不可否认性质的签密方案安全性非常重要的一大步。但是该方法只适用于一个具体的方案，不是一般性的解决方案，因此在应用上有一定的局限性。本发明提出一种一般性的高效的具有非交互式不可否认性质的签密方法，使得具有非交互式不可否认性质的签密可以适用于一般情况，以更广泛地构造。

发明内容

为解决上述问题，本发明提供了一种非交互式不可否认性质的签密构造方法，包括如下步骤：

步骤一:执行参数建立算法，输入安全参数1^k，输出公开参数Pub；

参数建立算法公式为:PubSetup(1^k)；

详细步骤为：

(1)计算Pub←1^k；

(2)返回Pub；

步骤二:发送方运行发送方密钥生成算法，输入Pub和发送方身份ID_S，输出发送方公私钥对(PK_S；SK_S)；

发送方的密钥生成算法公式为：KeyGen_S(Pub；ID_S):

详细步骤为：

(1)计算(SK^sig；PK^sig)←SigKeyGen(Pub)；

(2)计算(SK_S；PK_S)←(SK^sig；PK^sig)；

(3)返回(SK_S；PK_S)；

步骤三：接收方运行密钥生成算法，输入Pub和接收方身份ID_R，输出接受公私钥对(SK_R；PK_R).接收方保密自己的私钥SK_R，并公开自己的公钥PK_R；

接收方的密钥生成算法公式为：KeyGen_R(Pub；ID_R)；

详细步骤为：

(1)计算(SK^enc；PK^enc)←EncKeyGen(Pub)；

(2)计算(SK_R；PK_R)←(SK^enc；PK^enc)；

(3)返回(SK_R；PK_R)；

步骤四：发送方运行签密算法，输入SK_S；PK_R和消息M，输出签密密文σ；

签密算法公式为：Signcrypt(M；SK_S；PK_R)；输入SK_S；PK_R和消息M，输出签密密文σ；

详细步骤为：

(1)将SK_S表示为SK^sig；

(2)计算σ^sig←Sign(PK_R||M；SK^sig)；

(3)将PK_R表示为PK^enc；

(4)计算C←Encrypt(σ^sig||M；PK^enc)；

(5)设置σ←C；

(6)返回σ；

步骤五：接收方运行解签密算法，输入σ；PK_S和SK_R，输出消息M或者输出⊥表示密文不合法；

解签密算法公式为:Unsigncrypt(σ；PK_S；SK_R)；

详细步骤为：

(1)将PK_S表示为PK^sig、将SK_R表示为SK^enc、将σ表示为(C；σ^sig)；

(2)计算M^enc←Decrypt(C；SK^enc)；如果M^enc＝⊥,return⊥，否则将M^enc表示成σ^sig||M；

(3)计算SigVer(PK_R||M；σ^sig；PK^sig)，如为⊥,则返回⊥，否则返回M；

步骤六：接收方运行证据生成算法，输入σ；PK_S和SK_R，输出证据d或者输出⊥表示密文不合法。

证据生成算法公式为:EvidenceGen(σ；PK_S；SK_R)；

详细步骤为：

(1)将PK_S表示为PK^sig、将SK_R表示为SK^enc、将σ表示为C；

(2)计算π←EncEvidenceGen(C；SK^enc)；

(3)计算M^enc←Decrypt(C；SK^enc)；如果M^enc＝⊥,返回d←(π；⊥)；否则将M^enc表示成σ^sig||M，并返回d←(π；σ^sig)；

步骤七：接收方运行仲裁验证算法，输入σ，M，d，PK_S和PK_R，输出Т表示该证据d证明了消息M是密文σ对应的消息，否则输出⊥。

仲裁验证算法为:JudgeVer(σ；M；d；PK_S；PK_R)；

详细步骤为：

(1)将PK_S表示为PK^sig、将SK_R表示为SK^enc、将σ表示为C、将d表示成(π；σ^sig)或者(π；⊥)；

(2)判断：

如果M＝⊥，EncVer(C；⊥；π；PK^enc)＝Т且d＝(π；⊥)则返回Т；

如果d＝(π；σ^sig),EncVer(C；σ^sig||M；π；PK^enc)＝Т并且SigVer(PK_R||M；σ^sig；PK^sig)＝Т,则返回Т；

否则返回⊥；其中，为明文空间。

具体实施方式

本发明的设计构思为：利用一种具有特殊的性质的公钥加密方案，称为具有非交互式打开性质的加密(PKENO)来代替普通的公钥加密方案，使之和数字签名相结合，从而构造非交互式不可否认性质的签密。

以下首先描述PKENO方案，数字签名方案，以及具有非交互式不可否认性质的签密的语法定义，最后给出本发明具体的的签名方法。

1.具有非交互式打开性质的公钥加密(PKENO)

语法定义:一个具有非交互式打开性质的公钥加密方案的语法定义包含四个算法，密钥建立算法EncKeyGen、加密算法Encrypt、解密算法Decrypt、证据产生算法EncEvidenceGen和验证算法EncVer。其中，EncKeyGen、Encrypt和EncEvidenceGen是概率性算法，Decrypt和EncVer是确定性算法。这四个算法的具体描述如下：

EncKeyGen(l^k)：输入安全性参数l^k，该算法输出公钥pk和私钥sk.

Encrypt(pk,M)：输入公钥pk和消息(为明文空间)，该算法输出密文C。

Decrypt(sk,C)：输入密文C和私钥sk，该算法输出解密的消息m。若密文C是非法密文，该算法输出特殊字符⊥。

EncEvidenceGen(sk,C):输入密文C和私钥sk，该算法输出证据π。

EncVer(pk,C,m,π):输入密文C，消息m，公钥pk和证据π，该算法输出Т代表证据π证明了密文C是消息m在公钥pk下的加密密文。反之，算法输出⊥。特别地，表明C是非法密文。

2.数字签名算法：

语法定义:一个数字签名方案的语法定义包含四个算法，密钥建立算法SigKeyGen、签名算法Sign、和验证算法SigVer。其中，

SigKeyGen和Sign是概率性算法，SigVer是确定性算法。这三个算法的具体描述如下：

SigKeyGen(1^k)：输入安全性参数1^k，该算法输出公钥pk和私钥sk.

Sign(sk,M)：输入私钥sk和消息(为明文空间)，该算法输出签名σ。

SigVer(pk,σ)：输入签名σ和公钥pk，该算法输出解密的消息m。输出Т代表通过签名验证。反之，算法输出⊥。

3.具有非交互式不可否认性质的签密

参数建立算法PubSetup(1^k):该算法输入安全参数1^k，输出公开参数Pub。该算法由一个收发双方可信任的机构来运行，可信机构随后公开Pub。

发送方密钥生成算法KeyGen_S(Pub；ID_S):该算法由发送方运行。输入Pub和发送方身份ID_S，输出发送方公私钥对(PK_S；SK_S).

接收方密钥生成算法KeyGen_R(Pub；ID_R):该算法由接收方运行。输入Pub和发送方身份ID_R，输出发送方公私钥对(SK_R；PK_R).接收方保密自己的私钥SK_R，并公开自己的公钥PK_R.

签密算法Signcrypt(M；SK_S；PK_R):该算法由发送方运行。输入SK_S；PK_R和消息M，输出签密密文σ.

解签密算法Unsigncrypt(σ；PK_S；SK_R):该算法由接收方运行。输入σ；PK_S和SK_R，输出消息M或者输出⊥表示密文不合法。

证据生成算法EvidenceGen(σ；PK_S；SK_R):该算法由接收方运行。输入σ；PK_S和SK_R，输出证据d或者输出⊥表示密文不合法。

仲裁验证算法JudgeVer(σ；M；d；PK_S；PK_R):该算法由接收方运行。输入σ，M，d，PK_S和PK_R，输出Т表示该证据d证明了消息M是密文σ对应的消息，否则输出⊥。

下面对具体构造方法进行说明。包括如下步骤：

步骤一:执行参数建立算法，输入安全参数1^k，输出公开参数Pub；

参数建立算法公式为:PubSetup(1^k)；

详细步骤为：

(1)计算Pub←1^k；

(2)返回Pub；

步骤二:发送方运行发送方密钥生成算法，输入Pub和发送方身份ID_S，输出发送方公私钥对(PK_S；SK_S)；

发送方的密钥生成算法公式为：KeyGen_S(Pub；ID_S):

详细步骤为：

(1)计算(SK^sig；PK^sig)←SigKeyGen(Pub)；

(2)计算(SK_S；PK_S)←(SK^sig；PK^sig)；

(3)返回(SK_S；PK_S)；

步骤三：接收方运行密钥生成算法，输入Pub和接收方身份ID_R，输出接受公私钥对(SK_R；PK_R).接收方保密自己的私钥SK_R，并公开自己的公钥PK_R；

接收方的密钥生成算法公式为：KeyGen_R(Pub；ID_R)；

详细步骤为：

(1)计算(SK^enc；PK^enc)←EncKeyGen(Pub)；

(2)计算(SK_R；PK_R)←(SK^enc；PK^enc)；

(3)返回(SK_R；PK_R)；

步骤四：发送方运行签密算法，输入SK_S；PK_R和消息M，输出签密密文σ；

签密算法公式为：Signcrypt(M；SK_S；PK_R)；输入SK_S；PK_R和消息M，输出签密密文σ；

详细步骤为：

(1)将SK_S表示为SK^sig；

(2)计算σ^sig←Sign(PK_R||M；SK^sig)；

(3)将PK_R表示为PK^enc；

(4)计算C←Encrypt(σ^sig||M；PK^enc)；

(5)设置σ←C；

(6)返回σ；

步骤五：接收方运行解签密算法，输入σ；PK_S和SK_R，输出消息M或者输出⊥表示密文不合法；

解签密算法公式为：Unsigncrypt(σ；PK_S；SK_R):

详细步骤为：

(1)将PK_S表示为PK^sig、将SK_R表示为SK^enc、将σ表示为(C；σ^sig)；

(2)计算M^enc←Decrypt(C；SK^enc)；如果M^enc＝⊥,return⊥，否则将M^enc表示成σ^sig||M；

(3)计算SigVer(PK_R||M；σ^sig；PK^sig)，如为⊥,则返回⊥，否则返回M；

步骤六：接收方运行证据生成算法，输入σ；PK_S和SK_R，输出证据d或者输出⊥表示密文不合法。

证据生成算法公式为：EvidenceGen(σ；PK_S；SK_R)；

详细步骤为：

(1)将PK_S表示为PK^sig、将SK_R表示为SK^enc、将σ表示为C；

(2)计算π←EncEvidenceGen(C；SK^enc)；

(3)计算M^enc←Decrypt(C；SK^enc)；如果M^enc＝⊥,返回d←(π；⊥)；否则将M^enc表示成σ^sig||M，并返回d←(π；σ^sig)；

步骤七：接收方运行仲裁验证算法，输入σ，M，d，PK_S和PK_R，输出Т表示该证据d证明了消息M是密文σ对应的消息，否则输出⊥；

仲裁验证算法为：JudgeVer(σ；M；d；PK_S；PK_R)；

详细步骤为：

(1)将PK_S表示为PK^sig、将SK_R表示为SK^enc、将σ表示为C、将d表示成(π；σ^sig)或者(π；⊥)；

(2)判断：

如果M＝⊥，EncVer(C；⊥；π；PK^enc)＝Т且d＝(π；⊥)则返回Т；

如果d＝(π；σ^sig),EncVer(C；σ^sig||M；π；PK^enc)＝Т并且SigVer(PK_R||M；σ^sig；PK^sig)＝Т,则返回Т；

否则返回⊥；其中，为明文空间。

本发明的有益效果为：

本发明的构造方法属于一般性构造方法，先签名后加密，签密方案的效率依赖于所选取的PKENO方案和数字签名方案的效率。特别地，如果接收方在执行证据生成算法之前，已经执行过解签密算法(一般情况下也都是这样的情况)，则签密中证据生成算法的效率与PKENO算法中证据生成算法的效率相当。本发明的运行效率高，且保密性可以在标准模型下进行证明，极具优势。

由于本发明中的方法具有一般性，因此效率具有可持续发展性，可以随着PKENO方案和数字签名方案的效率提高而得到提高。由于PKENO方案可以通过基于身份加密(IBE)方案来构造，因此，本发明的方法效率还可以随着IBE方案的发展进一步提高。

Claims (1)

1.一种非交互式不可否认性质的签密构造方法，其特征在于，包括如下步骤：

步骤一:执行参数建立算法，输入安全参数1^k，输出公开参数Pub；参数建立算法公式为:PubSetup(1^k)；

详细步骤为：

(1)计算Pub←1^k；

(2)返回Pub；

步骤二:发送方运行发送方密钥生成算法，输入Pub和发送方身份ID_S，输出发送方公私钥对(PK_S；SK_S)；

发送方的密钥生成算法公式为：KeyGen_S(Pub；ID_S):

详细步骤为：

(1)计算(SK^sig；PK^sig)←SigKeyGen(Pub)；所述SigKeyGen为密钥建立算法；

(2)计算(SK_S；PK_S)←(SK^sig；PK^sig)；

(3)返回(SK_S；PK_S)；

步骤三：接收方运行密钥生成算法，输入Pub和接收方身份ID_R，输出接受公私钥对(SK_R；PK_R).接收方保密自己的私钥SK_R，并公开自己的公钥PK_R；

接收方的密钥生成算法公式为：KeyGen_R(Pub；ID_R)；

详细步骤为：

(1)计算(SK^enc；PK^enc)←EncKeyGen(Pub)；

(2)计算(SK_R；PK_R)←(SK^enc；PK^enc)；

(3)返回(SK_R；PK_R)；

步骤四：发送方运行签密算法，输入SK_S；PK_R和消息M，输出签密密文σ；

签密算法公式为：Signcrypt(M；SK_S；PK_R)；输入SK_S；PK_R和消息M，输出签密密文σ；

详细步骤为：

(1)将SK_S表示为SK^sig；

(2)计算σ^sig←Sign(PK_R||M；SK^sig)；

(3)将PK_R表示为PK^enc；；

(4)计算C←Encrypt(σ^sig||M；PK^enc)；

(5)设置σ←C；

(6)返回σ；

步骤五：接收方运行解签密算法，输入σ；PK_S和SK_R，输出消息M或者输出⊥表示密文不合法；

解签密算法公式为：Unsigncrypt(σ；PK_S；SK_R):

详细步骤为：

(1)将PK_S表示为PK^sig、将SK_R表示为SK^enc、将σ表示为(C；σ^sig)；

(2)计算M^enc←Decrypt(C；SK^enc)；如果M^enc＝⊥,返回⊥，否则将M^enc表示成σ^sig||M；

(3)计算SigVer(PK_R||M；σ^sig；PK^sig)，如为⊥,则返回⊥，否则返回M；

步骤六：接收方运行证据生成算法，输入σ；PK_S和SK_R，输出证据d或者输出⊥表示密文不合法；

证据生成算法公式为：EvidenceGen(σ；PK_S；SK_R)；

详细步骤为：

(1)将PK_S表示为PK^sig、将SK_R表示为SK^enc、将σ表示为C；

(2)计算π←EncEvidenceGen(C；SK^enc)；

(3)计算M^enc←Decrypt(C；SK^enc)；如果M^enc＝⊥,返回d←(π；⊥)；否则将M^enc表示成σ^sig||M，并返回d←(π；σ^sig)；

步骤七：接收方运行仲裁验证算法，输入σ，M，d，PK_S和PK_R，输出Т表示该证据d证明了消息M是密文σ对应的消息，否则输出⊥；

仲裁验证算法为：JudgeVer(σ；M；d；PK_S；PK_R)；

详细步骤为：

(1)将PK_S表示为PK^sig、将SK_R表示为SK^enc、将σ表示为C、将d表示成(π；σ^sig)或者(π；⊥)；

(2)判断：

如果M＝⊥，EncVer(C；⊥；π；PK^enc)＝Т且d＝(π；⊥)则返回Т；

如果d＝(π；σ^sig),EncVer(C；σ^sig||M；π；PK^enc)＝Т并且SigVer(PK_R||M；σ^sig；PK^sig)＝Т,则返回Т；

否则返回⊥；其中，M_pk为明文空间。