CN105743646A - 一种基于身份的加密方法及系统 - Google Patents

Abstract

本发明属于密码学领域，目的是为了提供一种新的IBE密码体制的加密方法。本发明提供一种基于身份的加密系统包括：加密模块，使用IBE系统公共参数和目标接收者所拥有的IBE公钥对消息M进行加密，加密模块使用群乘法运算及群指数运算获取密文；解密模块，使用IBE公钥相对的IBE私钥对密文C进行解密，解密模块使用双线性映射执行解密运算；密钥生成机构，根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥的权限，凭证信息为唯一标识接收者身份的信息，如果私钥生成机构经验证认为接收者的私钥请求是合法的，私钥生成机构根据在私钥请求中所包含的IBE公钥生成对应的IBE私钥并发送给接收端。本发明还提供一种基于身份的加密方法，适用于加密通信。

Description

一种基于身份的加密方法及系统

技术领域

本发明属于密码学领域，特别涉及一种基于身份的加密系统。

背景技术

基于身份的加密系统(identity-basedencryption(IBE))是基于身份的密码体制中重要的部分之一。Shamir在1984年提出了基于身份的密码体制IBC(Identity-BasedEncryption)。在这个IBE系统中，用户的标识信息(如邮箱、IP地址)被用于加密或签名验证的公钥。基于身份的密码体制显著地减少了系统的复杂性和建立和管理公钥基础设施的成本。

和传统的公钥密码体制一样，在IBE密码体制中，发送者使用消息接收者的公钥加密消息，接收者收到消息后，使用接收者对应的私钥解密消息。

不同于公钥密码体制PKI，IBE密码体制不需要发送者查找接收者的公钥。在IBE密码体制中，发送者基于接收者的身份信息及其他公共信息，按照一定的规则生成接收者的公钥。例如消息接收者的Email地址、生物特征信息或其它具有唯一标识性的ID可以作为接收者的公钥，因此发送者能够通过接收者的邮箱地址生成接收者的公钥。

当前最著名的IBE加密体制是基于椭圆曲线上的双线性对(Weil对或Tate对)，其代表主要有三个：Boneh–Franklin(BF-IBE)、Sakai–Kasahara(SK-IBE)和Boneh–Boyen(BB_IBE)。它们之间的主要不同在于明文空间、密文空间及密文具体计算方法。

发明内容

本发明的目的是为了新的IBE密码加密体制，在明文空间、密文空间及密文具体计算方法方面不同于上述三种IBE密码体制。

具体地，本发明提供一种基于身份的加密方法，用于支持安全通信或密钥交换，包括系统建立过程、私钥生成过程、加密过程和解密过程，其特征在于：

在发送端，发送者利用已实现加密模块的计算设备加密消息M并产生密文C，其中，加密模块使用IBE系统公共参数和目标接收者所拥有的IBE公钥对消息M进行加密，所述加密模块使用群乘法运算及群指数运算获取密文；

在接收端，接收者利用已实现解密模块的计算设备解密密文C并获取消息M，其中，解密模块使用IBE公钥相对的IBE私钥对密文C进行解密，所述解密模块使用双线性映射执行解密运算。

具体地，所述IBE系统公共参数由私钥生成机构使用IBE主密钥通过双线性映射生成后发布到公共服务器，所述IBE私钥由私钥生成机构根据IBE主密钥生成。

具体地，接收者向私钥生成机构请求获得IBE私钥，私钥生成机构根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥的权限，所述凭证信息为唯一标识接收者身份的信息。

具体地，私钥生成机构根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥的权限，如果私钥生成机构经验证认为接收者的私钥请求是合法的，私钥生成机构根据在私钥请求中所包含的IBE公钥生成对应的IBE私钥，接收者接收IBE私钥后进行存储。

优选地，所述加密模块采用密码学哈希算法，使用IBE系统公共参数和目标接收者所拥有的IBE公钥对明文M进行加密得到密文。

具体地，所述私钥生成机构使用群运算及所述哈希值生成IBE私钥。

具体地，所述消息M为明文或密钥。

具体地，私钥生成机构使用对称双线性对或非对称双线性对执行IBE系统建立过程。

具体地，对于非对称双线性对情形，若所述消息为明文，具体步骤如下：

1)系统建立过程setup：私钥生成机构随机地选择合适的整数ω∈Z_p，作为系统主密钥masterKey。系统建立过程setup确定IBE系统公共参数为其中，g_pub＝g^ω和 $v=e(g,\hat{g});$

2)私钥生成过程keygen:私钥生成机构根据IBE公钥ID和系统主密钥masterKey生成IBE私钥d_ID，私钥生成过程keygen计算IBE私钥d_ID：其中，t∈Z_p；

3)加密过程encrypt：发送端随机选择s∈Z_p密文C计算如下：

$k=v^{{\mathrm{sH}}_5\left(ID\right)},$

c₀＝g^s，

c₁＝g_pub ^s，

$c=M\⊕H_2\left(v^{{\mathrm{sH}}_5\left(ID\right)}\right),$

t＝s+H₆(k,c,c₀,c₁)modp，

C＝(c₀,c₁,c,t)；

4)解密过程decrypt：接收端解析密文C＝(c₀,c₁,c,t)，然后利用IBE私钥d_ID＝(d₀,d₁)计算：

$k=e(c_1,{\hat{g}}^{d_1})/e(c_0,d_0),$

s＝t-H₆(k,c,c₀,c₁)modp，

接收端如果判定或c₀≡g^s不成立，那么拒绝密文C，否则，计算明文M：

$M=c\⊕H_2\left(k\right).$

具体地，对于对称双线性对情形，若所述消息为明文，具体步骤如下：

1)系统建立过程setup：私钥生成机构随机地选择合适的整数ω∈Z_p，作为系统主密钥masterKey。系统建立过程setup确定IBE系统公共参数为params＝(g,g_pub,v)。其中，g_pub＝g^ω和v＝e_s(g,g)；

2)私钥生成过程keygen:私钥生成机构根据IBE公钥ID和系统主密钥masterKey生成IBE私钥d_ID，私钥生成过程keygen计算IBE私钥d_ID：d_ID＝(d₀,d₁)＝(g^t,ωt+H₅(ID))，其中，t∈Z_p；

3)加密过程encrypt：发送端随机选择s∈Z_p密文C计算如下：

$k=v^{{\mathrm{sH}}_5\left(ID\right)},$

c₀＝g^s，

c₁＝g_pub ^s，

$c=M\⊕H_2\left(v^{{\mathrm{sH}}_5\left(ID\right)}\right),$

t＝s+H₆(k,c,c₀,c₁)modp，

C＝(c₀,c₁,c,t)，

4)解密过程decrypt：接收端解析密文C＝(c₀,c₁,c,t)，然后利用IBE私钥d_ID＝(d₀,d₁)计算：

$k=e_s(c_1,g^{d_1})/e_s(c_0,d_0),$

s＝t-H₆(k,c,c₀,c₁)modp，

接收端判定或c₀≡g^s不成立，那么拒绝密文C，否则，计算明文M：

$M=c\⊕H_2\left(k\right).$

具体地，对于非对称双线性对情形，若所述消息为密钥，具体步骤如下：

1)系统建立过程setup：私钥生成机构随机地选择合适的整数ω∈Z_p，作为系统主密钥masterKey，系统建立过程setup确定IBE系统公共参数为其中，g_pub＝g^ω和 $v=e(g,\hat{g});$

2)私钥生成过程keygen:私钥生成机构根据IBE公钥ID和系统主密钥masterKey生成IBE私钥d_ID，私钥生成过程keygen计算IBE私钥d_ID：其中，t∈Z_p；

3)加密(封装)过程encapsulate:发送端随机选择s∈Z_p并计算：

E＝(c₀,c₁)＝(g^s,g_pub ^s)，

$K=v^{{\mathrm{sH}}_5\left(ID\right)},$

4)解密(解封)过程unencapsulate:接收端把封装密钥E解析成(c₀,c₁)，然后利用IBE私钥d_ID＝(d₀,d₁)计算共享密钥K：

具体地，对于对称双线性对情形，若所述消息为密钥，具体步骤如下：

1)系统建立过程setup：私钥生成机构随机地选择合适的整数ω∈Z_p，作为系统主密钥masterKey，系统建立过程setup确定IBE系统公共参数为params＝(g,g_pub,v)。其中，g_pub＝g^ω和v＝e_s(g,g)；

2)私钥生成过程keygen:私钥生成机构根据IBE公钥ID和系统主密钥masterKey生成IBE私钥d_ID，私钥生成过程keygen计算IBE私钥d_ID：d_ID＝(d₀,d₁)＝(g^t,ωt+H₅(ID))，其中，t∈Z_p；

3)封装过程encapsulate:发送端随机选择s∈Z_p并计算：

E＝(c₀,c₁)＝(g^s,g_pub ^s)，

$K=v^{{\mathrm{sH}}_5\left(ID\right)},$

4)解封过程unencapsulate:接收端把封装密钥E解析成(c₀,c₁)，然后利用IBE私钥d_ID＝(d₀,d₁)计算共享密钥K： $K=e_s(c_1,g^{d_1})/e_s(c_0,d_0).$

对应于上述方法，本发明还提供一种基于身份的加密系统，其特征在于，包括发送端、接收端及密钥生成机构；

所述发送端包括加密模块，所述加密模块使用IBE系统公共参数和目标接收者所拥有的IBE公钥对消息M进行加密，所述加密模块使用群乘法运算及群指数运算获取密文；

所述接收端包括解密模块，所述解密模块使用IBE公钥相对的IBE私钥对密文C进行解密，所述解密模块使用双线性映射执行解密运算；所述密钥生成机构，根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥的权限，所述凭证信息为唯一标识接收者身份的信息，如果私钥生成机构经验证认为接收者的私钥请求是合法的，私钥生成机构根据在私钥请求中所包含的IBE公钥生成对应的IBE私钥并发送给接收端；

所述发送端、接收端及密钥生成机构通过通信网络进行数据传输。

本发明的有益效果是：本发明所涉及的IBE方案使用双线性群和双线性映射。加密模块的加密过程或封装模块的封装过程仅仅涉及群运算，不涉及双线性映射运算。双线性映射仅仅用于解密模块的解密过程或解封模块的解封过程。这有助于提高加密运算或封装运算的有效性。

附图说明

图1为本发明基于身份的加密系统的原理结构图；

图2为实施例的IBE密钥交换方案的流程图；

图3为实施例的IBE加密方案的流程图。

具体实施方式

以下结合附图及实施例对本发明的技术方案作进一步详细描述。

本发明为提供一种在明文空间、密文空间及密文具体计算方法方面不同于现有IBE密码体制的加密方法。本发明提供一种基于身份的加密系统，如图1所示，包括发送端、接收端及密钥生成机构；所述发送端包括加密模块，所述加密模块使用IBE系统公共参数和目标接收者所拥有的IBE公钥对明文M进行加密，所述加密模块使用群乘法运算及群指数运算获取密文；所述接收端包括解密模块，所述解密模块使用IBE公钥相对的IBE私钥对密文C进行解密，所述解密模块使用双线性映射执行解密运算；所述密钥生成机构，根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥的权限，所述凭证信息为唯一标识接收者身份的信息，如果私钥生成机构经验证认为接收者的私钥请求是合法的，私钥生成机构根据在私钥请求中所包含的IBE公钥生成对应的IBE私钥并发送给接收端；所述发送端、接收端及密钥生成机构通过通信网络进行数据传输。

对应地，本发明提供的基于身份的加密方法，包括IBE系统建立过程，用于支持安全通信，在发送端，发送者利用已实现加密模块的计算设备加密消息M并产生密文C，其中，加密模块使用IBE系统公共参数和目标接收者所拥有的IBE公钥对消息M进行加密，所述加密模块使用群乘法运算及群指数运算获取密文；在接收端，接收者利用已实现解密模块的计算设备解密密文C并获取消息M，其中，解密模块使用IBE公钥相对的IBE私钥对密文C进行解密，所述解密模块使用双线性映射执行解密运算。所述消息为明文或者密钥。

实施例

以下结合图2及图3，分别对采用本发明的方法进行明文传输及密钥交换的具体流程及实现作详细描述。

本发明所述的密码系统可使用硬件(计算设备)或软件实现。计算设备包括个人计算机、便携式计算机、移动设备、网络终端、工作站、服务器和其它适合的电子设备。计算设备通过通信网络连接在一起。计算设备用于实现本发明所述的密码系统的相关功能：如IBE私钥生成、加密/解密和发布系统公共参数等。发送者和接收者使用计算设备运行IBE加密模块和IBE解密模块(在IBE密钥交换方案中，IBE加密模块用作IBE封装模块，IBE解密模块用作IBE解封模块)。本发明所涉及的软件包括安装和运行在计算设备中的代码，软件及代码实现了本发明所涉及的IBE密码系统所述的方法。

本发明所述的加密方法可用于构建IBE密钥交换方案和IBE加密方案。在IBE密钥交换方案中，发送者要求安全地传输随机秘密密钥给接收者。随机秘密密钥由密钥封装过程随机生成并由密钥封装过程加密，然后发送者把已封装秘密密钥传输给接收者。在IBE加密方案中，发送者要求安全地传输消息给接收者。消息的具体内容可能包括文本、图形、音频、视频、可执行代码和其它任何适合的内容。一般地，在加密方案中，未加密的消息被称作明文。已加密的消息被称作密文。

本发明所述的密码系统所涉及的各实体及其关系展示在图1中。IBE密码系统100用于支持在IBE加密方案和IBE密钥交换方案中所涉及的IBE密码运算。IBE密码系统100中所示的发送者、接收者和其它实体可能是个人、组织、设备或其它适合的用户。在IBE系统100中，发送者通过通信网络106发送封装秘密密钥或密文给接收者。

发送者和接收者通过计算设备102和计算设备108相互通信。计算设备102和计算设备108可以是任何适合的计算设备。适合的计算设备包括个人计算机、便携式计算机、移动设备、网络终端、工作站、服务器和其它适合的电子设备。

图1所示的设备通过通信网络106相互连接在一起。通信网络106包括英特网、广域网、局域网、VPN、电话网、无线网以及通过适合的网络技术构造的其它网络。

IBE加密模块104用于执行IBE加密过程。IBE系统公共参数和目标接收者的IBE公钥作为IBE加密模块的输入。IBE解密模块110用于执行IBE解密过程。解密过程需要相应于IBE公钥的IBE私钥以便从封装秘密密钥或密文中获取秘密密钥或明文。接收者从私钥生成机构PKG112获得IBE私钥。IBE私钥可能被安全地存储在本地。通过合适的IBE私钥缓存机制，接收者在每次解密/解封过程中不需要从私钥生成机构PKG112获得IBE私钥。当缓存的IBE私钥没有过期时，接收者能够使用本地缓存中的IBE私钥解密封装秘密密钥或密文。接收者能够在接收到封装秘密密钥或密文之前或之后从私钥生成机构PKG112请求并获取IBE私钥。

在IBE加密方案中，发送者使用在计算设备102中的加密模块104加密明文，然后发送密文给接收者。接收者使用在计算设备108中的解密模块110解密密文以便获取明文。在IBE密钥交换方案中，发送者使用在计算设备102中的封装模块(即加密模块)104生成随机秘密密钥，加密随机秘密密钥成封装秘密密钥，然后发送封装秘密密钥给接收者。接收者使用在计算设备108中的解封模块(即解密模块)110解密封装秘密密钥以便获取随机秘密密钥。

在IBE系统建立过程中，私钥生成机构PKG112生成或获取IBE主密钥并使用IBE主密钥生成IBE系统公共参数。IBE系统公共参数被私钥生成机构PKG112发布，以便能够被系统100所涉及的各实体所访问。IBE系统公共参数被发布的方式多种多样。比如，通过公共目录服务发布IBE系统公共参数。

为描述方便作如下约定：

G，和G_t是价为素数p的循环群，G的生成元记为g，的生成元记为e:是双线性映射，特别地e_s:G×G→G_t记为对称双线性映射。Φ:是满足的群同构。在IBE加密方案中，明文记为M，密文记为C。在IBE密钥交换方案中，随机秘密密钥记为K，封装秘密密钥记为E。接收者的IBE公钥记为ID∈{0,1}^*。相对应于IBE公钥ID的IBE私钥记为d_ID。H₂:G_t→{0,1}^l是G_t到{0,1}^l的可计算映射。H₅:{0,1}^*→Z_p是密码学哈希函数，用于对任意长的IBE公钥作哈希运算得到固定长度的哈希值。H₆:G_t×{0,1}^l×G×G→Z_p是可计算映射，用于防止密文被伪造。在系统100中，IBE系统公共参数记为params，IBE主密钥为masterKey。

双线性映射e需要满足双线性性和非退化性，即：对于任意的u∈G,和任意的a,b∈Z,有e(u^a,v^b)＝e(u,v)^ab；群同构Φ需要满足如下条件：Φ是可有效可计算的，或Φ^-1是可有效可计算的。

双线性映射也被称为双线性对，其可分为对称双线性对和非对称双线性对。一方面，在G上的对称双线性对能够被作为在上的非对称双线性对，其中和Φ＝Φ^-1是单位群同构。另一方面，我们能够从非对称双线性对出发构造对称双线性对e_s。具体构造步骤如下：如果Φ是可有效计算的，那么定义对称双线性对e_s:为e_s(x,y)＝e(Φ(x),y)；反之，如果Φ^-1是可有效计算的，那么定义非对称双线性对e:为e(x,y)＝e_s(x,Φ^-1(y))；

IBE加密方案和IBE密钥交换方案可以使用对称双线性映射或非对称双线性映射实现。任何适合的群和双线性映射都可用于本发明所述的方案中。可用的非对称双线性对包括Weil对和Tate对。考虑对称双线性对e_s:G×G→G_t，在本实施例中，素数p是至少160位的素数，选择随机数r使得q＝12rp-1至少是512位的素数。考虑Z_q上的椭圆曲线EC：y²＝x³+1，取G为椭圆曲线群EC(GF(q))的一个阶为q的子群，G_t为Galois域GF(q²)的一个阶为p的一个子群。定义Wf:G×EC(GF(q²))→GF(q²)是椭圆曲线EC上的Tate对，进一步，定义扭映射Df:EC(GF(q))→EC(GF(q²))是一个椭圆曲线群到椭圆曲线群的映射，它满足Df(x,y)＝(ζx,y)，其中ζ是GF(q²)内的非平凡三次单位根。那么，定义对称双线性对e_s:G×G→G_t：对于任意a∈G,b∈G,e_s(a,b)＝Wf(a,Df(b))。

由上可知，可使用对称双线性对或非对称双线性对来实现本发明所述的IBE加密方案和IBE密钥交换方案。

图2展示了使用系统100实现IBE密钥交换方案的流程图。

在步骤200中，私钥生成机构112执行IBE系统建立过程。在系统建立过程中，系统建立需要的参数由相关实体(如系统管理员)提供。系统管理员选择双线性群G和G_t并选择适合的对称双线性映射e_s，或者系统管理员选择双线性群G,和双线性群G_t并非对称双线性映射e。系统管理员把所选择的参数提供给私钥生成机构112。

在步骤200的系统建立过程中，私钥生成机构112生成或获取IBE主密钥masterKey。私钥生成机构112可能使用随机数生成器生成随机数并从生成的随机数中派生出IBE主密钥，或者，IBE主密钥被离线生成并提供给私钥生成机构112。IBE主密钥masterKey是私钥生成机构112的秘密信息，用于生成IBE私钥。私钥生成机构112使用IBE主密钥masterKey生成IBE系统公共参数params并发布IBE系统公共参数params。私钥生成机构112可能发布IBE系统公共参数params到一个IBE系统100的各参与方能够访问的位置(如公共目录服务器)。任何适合的技术都可用于发布IBE系统公共参数params。

在步骤202中，发送者使用IBE加密模块104(在IBE密钥交换方案中，加密模块作为封装模块)创建封装秘密密钥E。发送者使用适合的方法(如随机数生成器)生成随机种子s，发送者使用随机种子s、IBE系统公共参数params和IBE公钥ID生成随机秘密密钥K和封装秘密密钥E。随机秘密密钥K被发送者保留以作后用。在生成随机秘密密钥K和封装秘密密钥E的过程中，IBE加密模块104涉及群运算和群指数运算，但不涉及任何的双线性映射运算。一般地，群运算和群指数运算比双线性映射运算执行速度快，因此，步骤202所述的封装过程比较有效，步骤202所涉及的群指数运算使用仅依赖于IBE系统公共参数的固定基元(如：g)，因此，在IBE系统公共参数给定的情况下，可预计算并缓存一系列值(如：)以加速群指数运算。使用预计算的结果执行步骤202所述的运算。

在步骤204中，发送者通过通信网络106发送封装秘密密钥E给接收者。封装秘密密钥E仅仅能够被拥有相应于IBE公钥ID的IBE私钥的目标接收者解封。因此，封装秘密密钥E能够安全到达目标接收者。目标接收者接收到封装秘密密钥E后准备解封E。

在步骤206中，接收者请求对应于接收者IBE公钥ID的IBE私钥d_ID。接收者通过通信网络106向私钥生成机构112请求IBE私钥。步骤206的私钥请求过程可能发生在步骤202所述的封装过程之前或之后。在私钥请求过程中，接收者提供IBE公钥ID和相关的凭证信息给私钥生成机构112。私钥生成机构112根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥d_ID的权限。凭证信息可以是用户名/口令、生物特证信息或其它能够唯一标识接收者身份的信息。

在步骤208中，私钥生成机构112根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥d_ID的权限。如果私钥生成机构112经验证认为接收者的私钥请求是合法的，私钥生成机构112根据在私钥请求中所包含的IBE公钥ID生成对应的IBE私钥d_ID。

在步骤210中，私钥生成机构112通过通信网络106安全地传输IBE私钥d_ID给接收者。

在步骤212中，接收者接收到IBE私钥d_ID后，接收者可能安全地缓存IBE私钥d_ID以备后用。仅仅当缓存的IBE私钥d_ID过期后，接收者才需要从私钥生成机构112请求新的IBE私钥。

在步骤214中，接收者接收到IBE私钥d_ID和封装秘密密钥E后，使用解密模块110解封封装秘密密钥E。解密模块110使用IBE私钥d_ID和封装秘密密钥E作为解封过程的输入并使用在系统建立过程(步骤200)中所选择的双线性映射执行相关解封操作，从而，解密模块110获得随机秘密密钥K。至此，密钥交换过程完成，发送者和接收者都拥有相同的随机秘密密钥K。随机秘密密钥K能够应用于任何其它的应用之中。

步骤202所述的封装过程和步骤206所述的私钥请求过程没有直接的时序关系。私钥请求过程可以发生在封装过程之前或之后。图2所示的时序关系只是实施例的一种。

图3展示了使用系统100实现加密方案的流程图。

在步骤300中，私钥生成机构112执行IBE系统建立过程。在系统建立过程中，系统建立需要的参数由相关实体(如系统管理员)提供。系统管理员选择双线性群G和G_t并选择适合的对称双线性映射e_s，或者系统管理员选择双线性群G,和双线性群G_t并非对称双线性映射e。系统管理员把所选择的参数提供给私钥生成机构112。

在步骤300的系统建立过程中，私钥生成机构112生成或获取IBE主密钥masterKey。私钥生成机构112可能使用真随机数生成器生成随机数并从生成的随机数中派生出IBE主密钥，或者，IBE主密钥被离线生成并提供给私钥生成机构112。IBE主密钥masterKey是私钥生成机构112的秘密信息，用于生成IBE私钥。私钥生成机构112使用IBE主密钥masterKey生成IBE系统公共参数params并发布IBE系统公共参数params。私钥生成机构112可能发布IBE系统公共参数params到一个IBE系统100的各参与方能够访问的位置(如公共目录服务器)。任何适合的技术都可用于发布IBE系统公共参数params。

在步骤302中，发送者使用IBE加密模块104加密明文M。在加密过程中，IBE加密模块104使用IBE系统公共参数params和接收者所拥有的IBE公钥ID作为输入并产生密文C。IBE加密模块104涉及群运算和群指数运算，但不涉及任何的双线性映射运算。正如在步骤202中所述的一样，加密过程能够有效地执行。

在步骤304中，发送者通过通信网络106发送密文C给接收者。密文C仅仅能够被拥有相应于IBE公钥ID的IBE私钥的目标接收者解密。因此，密文C能够安全到达目标接收者。目标接收者接收到密文C后准备解密密文C。

在步骤306中，接收者请求对应于接收者IBE公钥ID的IBE私钥d_ID。接收者通过通信网络106向私钥生成机构112请求IBE私钥。步骤306的私钥请求过程可能发生在步骤302所述的封装过程之前或之后。在私钥请求过程中，接收者提供IBE公钥ID和相关的凭证信息给私钥生成机构112。私钥生成机构112根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥d_ID的权限。凭证信息可以是用户名/口令、生物特证信息或其它能够唯一标识接收者身份的信息。

在步骤308中，私钥生成机构112根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥d_ID的权限。如果私钥生成机构112经验证认为接收者的私钥请求是合法的，私钥生成机构112根据在私钥请求中所包含的IBE公钥ID生成对应的IBE私钥d_ID。

在步骤310中，私钥生成机构112通过通信网络106安全地传输IBE私钥d_ID给接收者。

在步骤312中，接收者接收到IBE私钥d_ID后，接收者可能安全地缓存IBE私钥d_ID以备后用。仅仅当缓存的IBE私钥d_ID过期后，接收者才需要从私钥生成机构112请求新的IBE私钥。

在步骤314中，接收者接收到IBE私钥d_ID和密文C后，使用解密模块110解密密文C。解密模块110使用IBE私钥d_ID和密文C作为解密过程的输入并使用在系统建立过程(步骤300)中所选择的双线性映射执行相关解密操作，从而，解密模块110获得相应的明文M。

步骤302所述的封装过程和步骤306所述的私钥请求过程没有直接的时序关系。私钥请求过程可以发生在封装过程之前或之后。图2所示的时序关系只是实施例的一种。

根据图2所述的IBE密钥交换方案，步骤200所述的系统建立过程记为setup，步骤208所述的私钥生成过程记为keygen，步骤202所述的封装过程记为encapsulate，步骤214所述的解封过程记为unencapsulate。

根据图3所述的IBE加密方案，步骤300所述的系统建立过程记为setup，步骤308所述的私钥生成过程记为keygen，步骤302所述的加密过程记为encrypt，步骤314所述的解密过程记为decrypt。

实施例1基于对称双线性对的IBE密钥交换方案实现方法

对于使用对称双线性对构建IBE密钥交换方案所涉及的函数(setup，keygen，encapsulate和unencapsulate)的具体描述在如下的方程(1-6)中。

根据图2所述的基于对称双线性对的IBE密钥交换方案，步骤200所涉及的系统建立函数setup具体过程如下：系统建立函数setup随机地选择合适的整数ω∈Z_p。系统建立函数setup计算g_pub＝g^ω和v＝e_s(g,g)。系统建立函数setup确定系统公共参数为：

params＝(g,g_pub,v)(1)

确定主密钥为：

masterKey＝ω(2)

根据图2所述的基于对称双线性对的IBE密钥交换方案，步骤208所涉及的私钥生成函数keygen具体过程如下：为了生成对应于IBE公钥ID∈{0,1}^*的IBE私钥d_ID，随机地选择t∈Z_p。私钥生成函数keygen计算IBE私钥d_ID：

d_ID＝(d₀,d₁)＝(g^t,ωt+H₅(ID))(3)

根据图2所述的基于对称双线性对的IBE密钥交换方案，步骤202所述的封装过程encapsulate具体过程如下：封装过程encapsulate随机选择s∈Z_p并计算：

E＝(c₀,c₁)＝(g^s,g_pub ^s)(4)

$K=v^{{\mathrm{sH}}_5\left(ID\right)}---\left(5\right)$

在给定系统公共参数下，基元g保持不变。IBE加密模块104所涉及的指数运算基于固定基元g。因此，本发明所涉及的解封过程更有效。

根据图2所述的基于对称双线性对的IBE密钥交换方案，步骤214所述的解封过程unencapsulate具体过程如下：解封过程unencapsulate把封装密钥E解析成(c₀,c₁)，然后利用IBE私钥d_ID＝(d₀,d₁)计算K：

$K=e_s(c_1,g^{d_1})/e_s(c_0,d_0)---\left(6\right)$

实施例2基于对称双线性对的IBE加密方案实现方法

对于使用对称双线性对构建IBE加密方案所涉及的函数(setup，keygen，encrypt和decrypt)的具体描述在如下的方程(7-20)中。记为异或操作。

根据图3所述的基于对称双线性对的IBE加密方案，步骤300所涉及的系统建立函数setup具体过程如下：系统建立函数setup随机地选择合适的整数ω∈Z_p。系统建立函数setup计算g_pub＝g^ω和v＝e_s(g,g)。系统建立函数setup确定系统公共参数为：

params＝(g,g_pub,v)(7)

确定主密钥为：

masterKey＝ω(8)

根据图3所述的基于对称双线性对的IBE加密方案，步骤308所涉及的私钥生成函数keygen具体过程如下：为了生成对应于IBE公钥ID∈{0,1}^*的IBE私钥d_ID，随机地选择t∈Z_p。私钥生成函数keygen计算IBE私钥d_ID：

d_ID＝(d₀,d₁)＝(g^t,ωt+H₅(ID))(9)

根据图3所述的基于对称双线性对的IBE加密方案，步骤302所述的加密函数encrypt具体过程如下：随机选择s∈Z_p密文C计算如下：

$k=v^{{\mathrm{sH}}_5\left(ID\right)}---\left(10\right)$

c₀＝g^s(11)

c₁＝g_pub ^s(12)

$c=M\⊕H_2\left(v^{{\mathrm{sH}}_5\left(ID\right)}\right)---\left(13\right)$

t＝s+H₆(k,c,c₀,c₁)modp(14)

C＝(c₀,c₁,c,t)(15)

根据图3所述的基于对称双线性对的IBE加密方案，步骤314所述的解密函数decrypt具体过程如下：解密函数decrypt解析密文C为(c₀,c₁,c,t)，然后利用IBE私钥d_ID＝(d₀,d₁)计算：

$k=e_s(c_1,g^{d_1})/e_s(c_0,d_0)---\left(16\right)$

s＝t-H₆(k,c,c₀,c₁)modp(17)

判断如下方程是否成立：

$k\≡v^{{\mathrm{sH}}_5\left(ID\right)}---\left(18\right)$

c₀≡g^s(19)

如果等式(18)或等式(19)不成立，接收者应该拒绝密文C，否则，计算明文M：

$M=c\⊕H_2\left(k\right)---\left(20\right)$

实施例3基于非对称双线性对的IBE密钥交换方案实现方法

对于使用非对称双线性对构建IBE密钥交换方案所涉及的函数(setup，keygen，encapsulate和unencapsulate)的具体描述在如下的方程(21-26)中。

根据图2所述的基于非对称双线性对的IBE密钥交换方案，步骤200所涉及的系统建立函数setup具体过程如下：系统建立函数setup随机地选择合适的整数ω∈Z_p。系统建立函数setup计算g_pub＝g^ω和系统建立函数setup确定系统公共参数为：

$params=(g,g_{pub},\hat{g},v)---\left(21\right)$

确定主密钥：

masterKey＝ω(22)

根据图2所述的基于非对称双线性对的IBE密钥交换方案，步骤208所涉及的私钥生成函数keygen具体过程如下：为了生成对应于IBE公钥ID∈{0,1}^*的IBE私钥d_ID，随机地选择t∈Z_p。私钥生成函数keygen计算IBE私钥d_ID：

$d_{ID}=(d_0,d_1)=({\hat{g}}^t,\mathrm{\ω}t+H_5(ID\left)\right)---\left(23\right)$

根据图2所述的基于对称双线性对的IBE密钥交换方案，步骤202所述的封装过程encapsulate具体过程如下：封装过程encapsulate随机选择s∈Z_p并计算：

E＝(c₀,c₁)＝(g^s,g_pub ^s)(24)

$K=v^{{\mathrm{sH}}_5\left(ID\right)}---\left(25\right)$

在给定系统公共参数下，基元g保持不变。IBE加密模块104所涉及的指数运算基于固定基元g。因此，本发明所涉及的解封过程更有效。

根据图2所述的基于非对称双线性对的IBE密钥交换方案，步骤214所述的解封过程unencapsulate具体过程如下：解封过程unencapsulate把封装密钥E解析成(c₀,c₁)，然后利用IBE私钥d_ID＝(d₀,d₁)计算K：

$K=e(c_1,{\hat{g}}^{d_1})/e(c_0,d_0)---\left(26\right)$

实施例4基于非对称双线性对的IBE加密方案实现方法

对于使用非对称双线性对构建IBE加密方案所涉及的函数(setup，keygen，encrypt和decrypt)的具体描述在如下的方程(27-40)中。记为异或操作。

根据图3所述的基于非对称双线性对的IBE加密方案，步骤300所涉及的系统建立函数setup具体过程如下：系统建立函数setup随机地选择合适的整数ω∈Z_p。系统建立函数setup计算g_pub＝g^ω和系统建立函数setup确定系统公共参数为：

$params=(g,g_{pub},\hat{g},v)---\left(27\right)$

确定主密钥：

masterKey＝ω(28)

根据图3所述的基于非对称双线性对的IBE加密方案，步骤308所涉及的私钥生成函数keygen具体过程如下：为了生成对应于IBE公钥ID∈{0,1}^*的IBE私钥d_ID，随机地选择t∈Z_p。私钥生成函数keygen计算IBE私钥d_ID：

$d_{ID}=(d_0,d_1)=({\hat{g}}^t,\mathrm{\ω}t+H_5(ID\left)\right)---\left(29\right)$

根据图3所述的基于非对称双线性对的IBE加密方案，步骤302所述的加密函数encrypt具体过程如下：随机选择s∈Z_p密文C计算如下：

$k=v^{{\mathrm{sH}}_5\left(ID\right)}---\left(30\right)$

c₀＝g^s(31)

c₁＝g_pub ^s(32)

$c=M\⊕H_2\left(v^{{\mathrm{sH}}_5\left(ID\right)}\right)---\left(33\right)$

t＝s+H₆(k,c,c₀,c₁)modp(34)

C＝(c₀,c₁,c,t)(35)

根据图3所述的基于非对称双线性对的IBE加密方案，步骤314所述的解密函数decrypt具体过程如下：解密函数decrypt解析密文C＝(c₀,c₁,c,t)，然后利用IBE私钥d_ID＝(d₀,d₁)计算：

$k=e(c_1,{\hat{g}}^{d_1})/e(c_0,d_0)---\left(36\right)$

s＝t-H₆(k,c,c₀,c₁)modp(37)

判断如下方程是否成立：

$k\≡v^{{\mathrm{sH}}_5\left(ID\right)}---\left(38\right)$

c₀≡g^s(39)

如果等式(38)或等式(39)不成立，接收者应该拒绝密文C，否则，计算明文M：

$M=c\⊕H_2\left(k\right)---\left(40\right)$

在图1所示的系统100的典型实施例中，私钥生成机构112所拥有的主密钥masterKey必须进行安全保护。如果主密钥masterKey泄漏，那么系统100的安全受到损害，整个IBE系统必须进行重建。主密钥masterKey保护措施包括使用密钥共享机制进行分散存储。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims (14)

1.一种基于身份的加密方法，用于支持安全通信或密钥交换，包括系统建立过程、私钥生成过程、加密过程和解密过程，其特征在于：

在发送端，发送者利用已实现加密模块的计算设备加密消息M并产生密文C，其中，加密模块使用IBE系统公共参数和目标接收者所拥有的IBE公钥对消息M进行加密，所述加密模块使用群乘法运算及群指数运算获取密文；

在接收端，接收者利用已实现解密模块的计算设备解密密文C并获取消息M，其中，解密模块使用IBE公钥相对的IBE私钥对密文C进行解密，所述解密模块使用双线性映射执行解密运算。

2.如权利要求1所述的基于身份的加密方法，其特征在于，所述IBE系统公共参数由私钥生成机构使用IBE主密钥通过双线性映射生成后发布到公共服务器，所述IBE私钥由私钥生成机构根据IBE主密钥生成。

3.如权利要求1或2所述的基于身份的加密方法，其特征在于，接收者向私钥生成机构请求获得IBE私钥，私钥生成机构根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥的权限，所述凭证信息为唯一标识接收者身份的信息。

4.如权利要求3所述的基于身份的加密方法，其特征在于，私钥生成机构根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥的权限，如果私钥生成机构经验证认为接收者的私钥请求是合法的，私钥生成机构根据在私钥请求中所包含的IBE公钥生成对应的IBE私钥，接收者接收IBE私钥后进行存储。

5.如权利要求4所述的基于身份的加密方法，其特征在于，所述加密模块采用密码学哈希算法，使用IBE系统公共参数和目标接收者所拥有的IBE公钥对明文M进行加密得到密文。

6.如权利要求5所述的基于身份的加密方法，其特征在于，所述密码学哈希算法以IBE公钥作为输入以得到哈希值。

7.如权利要求6所述的基于身份的加密方法，其特征在于，所述私钥生成机构使用群运算及所述哈希值生成IBE私钥。

8.如权利要求1至7任意一项所述的基于身份的加密方法，其特征在于，所述消息M为明文或密钥。

9.如权利要求8所述的基于身份的加密方法，其特征在于，私钥生成机构使用对称双线性对或非对称双线性对执行IBE系统建立过程。

10.如权利要求9所述的基于身份的加密方法，其特征在于，对于非对称双线性对情形，若所述消息为明文，具体步骤如下：

1)系统建立过程setup：私钥生成机构随机地选择合适的整数ω∈Z_p，作为系统主密钥masterKey，系统建立过程setup确定IBE系统公共参数为其中，g_pub＝g^ω和

2)私钥生成过程keygen:私钥生成机构根据IBE公钥ID和系统主密钥masterKey生成IBE私钥d_ID，私钥生成过程keygen计算IBE私钥其中，t∈Z_p；

3)加密过程encrypt：发送端随机选择s∈Z_p密文C计算如下：

$k=v^{{\mathrm{sH}}_5\left(ID\right)},$

c₀＝g^s，

c₁＝g_pub ^s，

$c=M\⊕H_2\left(v^{{\mathrm{sH}}_5\left(ID\right)}\right),$

t＝s+H₆(k,c,c₀,c₁)modp，

C＝(c₀,c₁,c,t)；

4)解密过程decrypt：接收端解析密文C＝(c₀,c₁,c,t)，然后利用IBE私钥d_ID＝(d₀,d₁)计算：

s＝t-H₆(k,c,c₀,c₁)modp，

接收端如果判定或c₀≡g^s不成立，那么拒绝密文C，否则，计算明文M：

M＝c⊕H₂(k)。

11.如权利要求9所述的基于身份的加密方法，其特征在于，对于对称双线性对情形，若所述消息为明文，具体步骤如下：

1)系统建立过程setup：私钥生成机构随机地选择合适的整数ω∈Z_p，作为系统主密钥masterKey，系统建立过程setup确定IBE系统公共参数为params＝(g,g_pub,v)，其中，g_pub＝g^ω和v＝e_s(g,g)；

2)私钥生成过程keygen:私钥生成机构根据IBE公钥ID和系统主密钥masterKey生成IBE私钥d_ID，私钥生成过程keygen计算IBE私钥d_ID：d_ID＝(d₀,d₁)＝(g^t,ωt+H₅(ID))，其中，t∈Z_p；

3)加密过程encrypt：发送端随机选择s∈Z_p密文C计算如下：

$k=v^{{\mathrm{sH}}_5\left(ID\right)},$

c₀＝g^s，

c₁＝g_pub ^s，

$c=M\⊕H_2\left(v^{{\mathrm{sH}}_5\left(ID\right)}\right),$

t＝s+H₆(k,c,c₀,c₁)modp，

C＝(c₀,c₁,c,t)，

4)解密过程decrypt：接收端解析密文C＝(c₀,c₁,c,t)，然后利用IBE私钥d_ID＝(d₀,d₁)计算：

$k=e_s(c_1,g^{d_1})/e_s(c_0,d_0),$

s＝t-H₆(k,c,c₀,c₁)modp，

接收端判定或c₀≡g^s不成立，那么拒绝密文C，否则，计算明文M：

M＝c⊕H₂(k)。

12.如权利要求9所述的基于身份的加密方法，其特征在于，对于非对称双线性对情形，若所述消息为密钥，具体步骤如下：

1)系统建立过程setup：私钥生成机构随机地选择合适的整数ω∈Z_p，作为系统主密钥masterKey，系统建立过程setup确定IBE系统公共参数为其中，g_pub＝g^ω和

2)私钥生成过程keygen:私钥生成机构根据IBE公钥ID和系统主密钥masterKey生成IBE私钥d_ID，私钥生成过程keygen计算IBE私钥其中，t∈Z_p；

3)封装过程encapsulate:发送端随机选择s∈Z_p并计算：

E＝(c₀,c₁)＝(g^s,g_pub ^s)，

$K=v^{{\mathrm{sH}}_5\left(ID\right)},$

4)解封过程unencapsulate:接收端把封装密钥E解析成(c₀,c₁)，然后利用IBE私钥d_ID＝(d₀,d₁)计算共享密钥

13.如权利要求9所述的基于身份的加密方法，其特征在于，对于对称双线性对情形，若所述消息为密钥，具体步骤如下：

1)系统建立过程setup：私钥生成机构随机地选择合适的整数ω∈Z_p，作为系统主密钥masterKey，系统建立过程setup确定IBE系统公共参数为params＝(g,g_pub,v)，其中，g_pub＝g^ω和v＝e_s(g,g)；

2)私钥生成过程keygen:私钥生成机构根据IBE公钥ID和系统主密钥masterKey生成IBE私钥d_ID，私钥生成过程keygen计算IBE私钥d_ID：d_ID＝(d₀,d₁)＝(g^t,ωt+H₅(ID))，其中，t∈Z_p；

3)封装过程encapsulate:发送端随机选择s∈Z_p并计算：

E＝(c₀,c₁)＝(g^s,g_pub ^s)，

$K=v^{{\mathrm{sH}}_5\left(ID\right)},$

4)解封过程unencapsulate:接收端把封装密钥E解析成(c₀,c₁)，然后利用IBE私钥d_ID＝(d₀,d₁)计算共享密钥K：

14.一种基于身份的加密系统，其特征在于，包括发送端、接收端及密钥生成机构；

所述发送端包括加密模块，所述加密模块使用IBE系统公共参数和目标接收者所拥有的IBE公钥对消息M进行加密，所述加密模块使用群乘法运算及群指数运算获取密文；

所述接收端包括解密模块，所述解密模块使用IBE公钥相对的IBE私钥对密文C进行解密，所述解密模块使用双线性映射执行解密运算；

所述密钥生成机构，根据接收者所提供的凭证信息判断接收者是否拥有获取IBE私钥的权限，所述凭证信息为唯一标识接收者身份的信息，如果私钥生成机构经验证认为接收者的私钥请求是合法的，私钥生成机构根据在私钥请求中所包含的IBE公钥生成对应的IBE私钥并发送给接收端；

所述发送端、接收端及密钥生成机构通过通信网络进行数据传输。