CN105915340B - 基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法 - Google Patents

基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法 Download PDF

Info

Publication number
CN105915340B
CN105915340B CN201610412414.4A CN201610412414A CN105915340B CN 105915340 B CN105915340 B CN 105915340B CN 201610412414 A CN201610412414 A CN 201610412414A CN 105915340 B CN105915340 B CN 105915340B
Authority
CN
China
Prior art keywords
sender
close
recipient
map1
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610412414.4A
Other languages
English (en)
Other versions
CN105915340A (zh
Inventor
景征骏
古春生
于志敏
赵小荣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu University of Technology
Original Assignee
Jiangsu University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu University of Technology filed Critical Jiangsu University of Technology
Priority to CN201610412414.4A priority Critical patent/CN105915340B/zh
Publication of CN105915340A publication Critical patent/CN105915340A/zh
Application granted granted Critical
Publication of CN105915340B publication Critical patent/CN105915340B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Electromagnetism (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开一种基于理想格上Gu‑Map1多线性映射实例的多接收者匿名签密方法,包括建立模型、签密和解签密三个步骤,利用多线性映射机制实现了一种新的多接收者匿名签密方案,由于Gu‑map1多线性映射实例是在理想格上构造的,所以本发明具有后量子安全的特性。

Description

基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密 方法
技术领域
本发明涉及信息安全的公钥密码领域,特别涉及一种基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法。
背景技术
在信息安全理论中,加密技术用来保证信息的机密性,签名技术可为消息的完整性和可认证性提供保障。在通信过程中,为了同时保证信息的机密性、完整性和可认证性,通常可先对消息签名,再对消息(包含签名)进行加密。但这种“先签名后加密”方法的代价是加密和签名的代价之和,效率较低。签密(Signcryption)的核心思想就是要求在一个合理的逻辑步骤内同时完成加密和签名的工作,从而降低计算量和通信成本。
环签密(Ring Signcryption)是一种结合了环签名匿名性质的特殊签密方式,也被称为匿名签密。在一个环签密方案中,环成员可用自己的私钥和其他成员的公钥以及接收者的公钥对消息进行签密,而接收者可以确信签密来自于环,但并能确定是环中哪个成员。因此,环签密的消息不仅具有机密性和可认证性,还具有匿名性。为了适应有多个接收者的应用场景,环签密的概念可扩展至多接收者环签密(Multi-Receiver RingSigncryption:MRRSC)。多接收者环签密主要结合环签名和多接收者签密的特性。在多接收者环签密方案中,一个成员可以代替整个环对消息进行签密,并以匿名的方式将结果传递给多个接收者。多接收者环签密的一对多匿名发送的特性在分布式计算环境下的电子支付、移动代理安全等方面有着重要的应用。
需要指出的是当前所有的环签密方案,不管是单个接收者情形还是多接收者的情形,方案的安全性主要依赖于双线性对上的CDH/DDH安全假设。随着量子计算技术的发展,给现代密码学的发展带来更大的挑战,这是因为基于数论难题的经典公钥密码系统在量子计算环境下都将不再安全。实际上,Shor在1994年就提出了求解大整数因式分解和离散对数问题的多项式时间的量子算法。在可以预见的将来,一旦实用的量子计算机诞生,那么大量的以经典数论难题为安全基础的公钥密码体制都将不再安全。因此,面对日趋尖锐复杂的网络空间安全竞争和不断进化的密码分析技术与攻击手段,进一步发展密码理论是一个非常迫切的需求,利用新的安全假设构造签密方案是一个重要的研究课题。
发明内容
作为后量子密码的典型代表,格密码的研究正持续升温,取得了丰硕的成果。Garg、Gentry和Halevi(GGH)在理想格上构建的多线性映射是一个分级编码系统,其在多线性映射研究中具有里程碑式的意义。正是GGH多线性映射方案的提出才将该领域的研究向前大大的推进了一步。虽然最新研究成果已经表明在编码工具公开的情况下,基于GGH映射的密码应用是不安全的。但在编码工具隐藏的情况下,基于GGH的不可区分的混淆器和函数加密等密码应用目前仍是安全的,而且隐藏编码的Gu-Map1多线性映射实例已被证明能有效的抗击针对GGH的“0”化攻击。本发明是基于理想格上的Gu-Map1多线性映射实例设计多接收者匿名签密方案。
基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法,包括
步骤1、建立模型,具体是:
1-5、调用Gu-Map1映射实例中的实例生成算法InstGen(1λ,1K),其中,λ为安全参数,N表示发送者成员的个数,L表示接收者成员的个数,K=N+L;
1-6、选择两个安全的哈希函数,h2:{0,1}λ→{0,1}l,其中l是消息M的明文长度,将哈希函数h1和h2看做随机预言机;
1-7、对于第j∈[N]个发送者,采用离散高斯采样法,在接收者公钥R中随机选择元素并计算该发送者的私钥和公钥将第j∈[N]个发送者的公钥/私钥对记为(spkj,sskj);生成接收者的公钥/私钥对并记为(rpkj,rskj);
1-8、计算公共参数PP={Params,h1,h2,{spk1,…,spkN},{rpk1,…,rpkL}};
步骤2、输入公共参数PP和消息M∈{0,1}l,发送者spkj对消息签密,所得密文c有3部分c=(c1,c2,c3),包括
2-1、调用哈希函数h1,生成符合离散高斯采样的分量{r1,…,rτ}←h1(M),其中,M为给定消息;
2-2、计算
2-3、计算其中,sskj是发送者spkj的私钥;c′1是中间量;
2-4、调用Gu-Map1映射实例中的提取算法,计算
2-5、计算其中,
2-6、输出消息M关于N个发送者和L个接收者的签密c=(c1,c2,c3);
步骤3、收到签密c后,接收者rpkj∈[L]进行解签密,包括
3-1、将签密c解析成(c1,c2,c3)的形式,再用接收者的私钥rskj计算中间量
3-2、调用Gu-Map1映射实例中的提取算法,计算消息明文3-3、计算{r′1,…,r′τ}←h1(M);
3-4、验证等式是否成立,
如果都成立则输出明文M′,否则接收者认为消息不是来自诚实的发送者,拒绝接收消息,算法输出符号⊥。
不同于现有的基于双线性对的多接收者匿名签密,本发明利用多线性映射机制实现了一种新的多接收者匿名签密方案。由于Gu-map1多线性映射实例是在理想格上构造的,所以本发明具有后量子安全的特性。
附图说明
图1为不同安全级别下方案各部分的计算代价。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明利用NTL函数库来实现,从而对方案的存储空间复杂性和执行时间复杂性进行评测。为了提高运行效率,令多项式环Ryx=Ry[x]/<xn+1>,其中,m=O(λ),λ为安全参数。方案中所有由离散高斯采样法获得的参数系数(包括g,ai,bi,ei,d,r和w)都从{0,1,-1}中选取,且非0系数的数目较少。矩阵S和T在Rq上可逆且||Si,j||和||Ti,j||均小于3。若N,L分别表示发送者环成员数和接收者用户数,Gu-Map1映射等级K=N+L。根据对Gu-Map1映射实例的参数优化结果,在选择参数n后,可选择τ=2n,并计算和l=|||V|||。同时,可设置|q|=l+δ作为模数q的比特长度,其中,20≤δ≤35。
基于Gu-Map1的方案中公共参数、用户的公钥、私钥以及密文都采用矩阵的形式,因此多项式环中的参数n、m、|q|以及τ、K的取值对方案的安全性和复杂性(包括存储空间和运行时间)有重要影响。本方案的安全级别可采用BKZ算法求解最短向量所需的计算时间进行估计。表1显示了当Gu-Map1实例的映射等级数K=7时,参数n、m、|q|的取值与方案安全级别估计,其中维数是n×m。这里的安全级别估计λ的单位是比特位,也就是说,在相同的安全条件下,方案中密钥的维数为2048时,攻击系统的计算时间复杂性约为O(280)。当然,随着方案安全级别的不断升高,方案自身的复杂性也将增加。
表1方案的安全级别估计
维数(n×m) 模数长度(|q|) 安全级别(λ)
256 80 50
512 90 60
1024 100 70
2048 110 80
表2显示了在选择不同的参数值时,方案的公共参数、用户公钥和私钥以及密文等相关数据的存储空间大小(单位KB)。
表2相关数据所需的存储空间大小
表3方案各个部分的运行时间统计
N L n m |q| 系统建立 签密 解签密
2 3 2 128 90 12.8s 0.28s 0.36s
3 2 4 256 110 232.1s 10.62s 13.4s
3 4 2 128 90 18.3s 0.41s 0.51s
4 3 4 256 110 331.2s 13.74s 17.6s
5 2 4 512 120 1661.7s 189.3s 278.5s
表3显示了在选择不同的维数以及用户数时,方案各个部分运行时间的统计,单位为秒(s),其包括系统建立、签密和解签密三部分。由于参数n、m、|q|的选择与方案的安全级别相关,图1可进一步说明,在不同的安全级别的下,方案各个部分的计算代价。
从以上方案的实际运行来看,随着维数的增加以及用户数的增加,存储相关数据所需的空间也不断增大。因为求解逆元素g-1,z-1和T-1是比较耗时的,所以负责方案初始化的系统建立部分也是用时最多的。而签密部分和解签密部分运行较快。
对于一个多接收者匿名签密方案,其安全性主要考虑发送者身份的匿名性、信息的机密性和签密的不可伪造性。对于涉及多个用户的情景,签密方案有外部安全和内部安全。在外部安全模型中敌手仅知道方案的公共参数,而内部安全模型是指敌手在知道方案的公共参数的同时,还能获知某个发送者或接收者的私钥。实际上,内部安全要求敌手在已知发送者的私钥时无法恢复出明文,同时,也要求敌手在已知接收者的私钥时无法伪造出另一个新消息的有效签密。本发明主要考虑敌手只知道方案的公共参数的外部安全,在外部安全模型下完成基于Gu-Map1多线性映射的多接收者环签密方案的匿名性、机密性和不可伪造性的证明。
虽然在Gu-Map1映射实例中不能为任意给定元素的0级编码直接生成1级编码,但是可以为隐含的0级编码生成1级编码同时,由Gu-Map1映射实例中零测试参数Pzt,i也可以计算编码U的隐含编码e。由于在Gu-Map1映射实例中Pzt,i不仅是零测试参数,它还是ei特殊0级编码,且与Yi一一对应,所以在计算过程中并不会泄露隐含编码e。根据此性质可知,在计算与相关的隐含编码时,必须采用与其对应的零测试参数
在基于Gu-Map1映射实例的MRRSC方案中,将随机生成的零测试参数作为用户(包括发送者和接收者)的私钥。同时,将对应的1级编码作为公钥,其中,dj是离散高斯采样算法随机生成的。由签密算法可知,密文是随机生成的1级编码,密文c3是一个与密文c1进行绑定的随机编码,同时,也通过添加隐含元素0的N级编码YN-1(Y1Pzt,2-Y2Pzt,1)做为‘噪声’,以阻止敌手通过除法获得相关私钥。而密文中的c1·c′1是由K个1级编码的乘积形成K级编码与一个发送者私钥的乘积,即根据Gu-Map1映射实例上的ext-GDDH安全假设可知,编码U2与任意形成的编码是不可区分的。也就是说,如果敌手没有与相对应的零测试参数是无法恢复出正确明文的。
当拥有私钥的接收者解签密获得明文后,可以通过验证确定明文是否正确。同时,由于式右边的K级编码中除了包含编码Y1、相应的零测试参数Pzt,1和编码c1,还包含了N个发送者的公钥编码,而左边的K级编码不仅绑定了c1,还包含了一个发送者的私钥。因此,如果对式两边编码进行提取运算并能够验证成功的话,那么就可以确定消息一定来自于发送者环,即保证了密文的不可伪造性。
对于方案的匿名性,我们可以从两方面来考虑。首先,为了不失一般性,可随机选择发送者环中的两个发送者j0,j1∈[N]。随机选择明文M,观察发送者j0,j1两者产生密文c=(c1,c2,c3)的相关编码可发现c1部分的编码是相同的,即而c2部分的编码和c3部分的编码分别为:
其中,b∈{0,1}。由Gu-Map1映射实例的运算规则可知 也就是说,环中的每个发送者都有可能生成此密文c。其次,由签密算法可知,密文是随机生成的1级编码。编码计算过程是由K个1级编码的乘积再与对应的一个零测试参数相乘,其符合K级ext-GDDH困难问题的实验过程,即密文中的编码与任意随机选择的零测试参数形成的编码是不可区分的。而编码是一个与密文c1进行绑定的随机编码,同时,也通过添加隐含元素0的N级编码YN-1(Y1Pzt,2-Y2Pzt,1)做为‘噪声’,以阻止敌手通过除法获得相关信息。因此,方案中的密文不会泄露发送者的身份信息,即保证了发送者身份的无条件匿名性。
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段,还包括由以上技术特征任意组合所组成的技术方案。

Claims (1)

1.基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法,其特征在于,包括
步骤1、建立模型,具体是:
1-1、调用Gu-Map1映射实例中的实例生成算法其中,λ为安全参数,N表示发送者成员的个数,L表示接收者成员的个数,K=N+L;
1-2、选择两个安全的哈希函数,其中是消息M的明文长度,将哈希函数h1和h2看做随机预言机;
1-3、对于第j∈[N]个发送者,采用离散高斯采样法,在接收者公钥R中随机选择元素并计算该发送者的私钥和公钥将第j∈[N]个发送者的公钥/私钥对记为(spkj,sskj);生成接收者的公钥/私钥对并记为(rpkj,rskj);
1-4、计算公共参数PP={Params,h1,h2,{spk1,…,spkN},{rpk1,…,rpkL}};
步骤2、输入公共参数PP和消息发送者spkj对消息签密,所得密文c有3部分c=(c1,c2,c3),包括
2-1、调用哈希函数h1,生成符合离散高斯采样的分量{r1,…,rτ}←h1(M),其中,M为给定消息;
2-2、计算
2-3、计算其中,sskj是发送者spkj的私钥;c′1是中间量;
2-4、调用Gu-Map1映射实例中的提取算法,计算
2-5、计算其中,
2-6、输出消息M关于N个发送者和L个接收者的签密c=(c1,c2,c3);
步骤3、收到签密c后,接收者rpkj∈[L]进行解签密,包括
3-1、将签密c解析成(c1,c2,c3)的形式,再用接收者的私钥rskj计算中间量
3-2、调用Gu-Map1映射实例中的提取算法,计算消息明文3-3、计算{r′1,…,r′τ}←h1(M′);
3-4、验证等式是否成立,如果都成立则输出明文M′,否则接收者认为消息不是来自诚实的发送者,拒绝接收消息,算法输出符号⊥。
CN201610412414.4A 2016-06-12 2016-06-12 基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法 Active CN105915340B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610412414.4A CN105915340B (zh) 2016-06-12 2016-06-12 基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610412414.4A CN105915340B (zh) 2016-06-12 2016-06-12 基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法

Publications (2)

Publication Number Publication Date
CN105915340A CN105915340A (zh) 2016-08-31
CN105915340B true CN105915340B (zh) 2019-06-11

Family

ID=56749830

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610412414.4A Active CN105915340B (zh) 2016-06-12 2016-06-12 基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法

Country Status (1)

Country Link
CN (1) CN105915340B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106888096B (zh) * 2017-03-23 2019-10-08 西安电子科技大学 基于混淆技术的安全广播多重签名方法
CN112787816A (zh) * 2021-01-21 2021-05-11 江苏理工学院 基于中国剩余定理构造的无可信安装的多线性映射方法
CN114598460B (zh) * 2022-02-18 2023-05-16 中国人民解放军战略支援部队信息工程大学 基于sm9的多接收者签密方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103312506A (zh) * 2013-05-06 2013-09-18 西安电子科技大学 接收者身份匿名的多接收者签密方法
CN103634788A (zh) * 2013-12-16 2014-03-12 重庆邮电大学 前向安全的无证书多代理签密方法
CN104967513A (zh) * 2015-05-29 2015-10-07 西北工业大学 具有多重安全属性的基于身份的多接收者环签密方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103312506A (zh) * 2013-05-06 2013-09-18 西安电子科技大学 接收者身份匿名的多接收者签密方法
CN103634788A (zh) * 2013-12-16 2014-03-12 重庆邮电大学 前向安全的无证书多代理签密方法
CN104967513A (zh) * 2015-05-29 2015-10-07 西北工业大学 具有多重安全属性的基于身份的多接收者环签密方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
An optimization of Gu Map-1;Yupu Hu等;《IACR Cryptology ePrint Archive》;20151231;全文 *

Also Published As

Publication number Publication date
CN105915340A (zh) 2016-08-31

Similar Documents

Publication Publication Date Title
CN1633774B (zh) 基于身份的分级加密与签名方案
Masuda et al. Chaotic block ciphers: from theory to practical algorithms
CN102263638B (zh) 认证设备、认证方法和签名生成设备
CN104967513B (zh) 具有多重安全属性的基于身份的多接收者环签密方法
Abdalla et al. Wildcarded identity-based encryption
Jiang et al. Lattice‐based multi‐use unidirectional proxy re‐encryption
Li et al. Secure identity-based signcryption in the standard model
CN109981265B (zh) 一种基于身份的不使用双线性对的密文等值判定方法
CN102594551B (zh) Rfid标签隐私数据可靠统计方法
CN109995509A (zh) 基于消息恢复签名的认证密钥交换方法
Liu et al. Efficient and strongly unforgeable identity‐based signature scheme from lattices in the standard model
CN105915340B (zh) 基于理想格上Gu-Map1多线性映射实例的多接收者匿名签密方法
CN113141247B (zh) 一种同态加密方法、装置、系统及可读存储介质
Zhang et al. A lattice‐based identity‐based proxy blind signature scheme in the standard model
Aslan et al. Algebraic construction of cryptographically good binary linear transformations
Qin et al. Simultaneous authentication and secrecy in identity-based data upload to cloud
CN104539425B (zh) 基于多变量、多安全属性的多接收者签密方法
Noh et al. Strong designated verifier signature scheme from lattices in the standard model
Sinha et al. Chaotic image encryption scheme based on modified arnold cat map and henon map
Soni et al. Quantum-resistant public-key encryption and signature schemes with smaller key sizes
Backes et al. Fully secure inner-product proxy re-encryption with constant size ciphertext
Jiang et al. Revocable identity‐based matchmaking encryption in the standard model
Rupa A secure information framework with ap RQ properties
Zhang et al. Provably secure and subliminal-free variant of schnorr signature
JP2014157354A (ja) 線形準同型な構造保存署名を生成および検証する暗号学的装置および方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant