CN106027239B - 基于椭圆曲线的无密钥托管问题的多接收者签密方法 - Google Patents

Abstract

本发明公开了一种基于椭圆曲线的无密钥托管问题的多接收者签密方法，用于解决现有多接收者签密方法存在密钥托管的技术问题。技术方案是首先由用户随机选取一个秘密值作为自己的私钥，而后根据自己的私钥计算出一个验证份额，并将这个验证份额与自己的身份信息一起发送给密钥生成中心KGC。密钥生成中心KGC根据用户发过来的验证份额及身份信息，生成用户的公钥、公钥验证参数和公钥隐藏参数，并发送给用户。用户收到密钥生成中心KGC发送过来的参数后，对公钥进行验证。由于用户的私钥是自己随机选取的秘密值，密钥生成中心KGC只知道用户的公钥和对应的身份信息，故无法获取用户的私钥，无密钥托管。同时，提高了签密效率，减少了带宽。

Description

基于椭圆曲线的无密钥托管问题的多接收者签密方法

技术领域

本发明涉及一种多接收者签密方法，特别是涉及一种基于椭圆曲线的无密钥托管问题的多接收者签密方法。

背景技术

在分布式网络应用(例如网络会议、圆桌会议、收费电视等)中，为了克服密钥托管问题和证书管理问题，保护通信系统中进行会话的所有参与者的身份隐私，以及确保会话内容仅可以被授权用户正确解密，而非授权用户无法正确解密，需要安全广播技术作为支持。安全广播是实现一个发送者向多个授权接收者发送相同消息的安全技术，能够实现上述网络应用的安全需求。

文献1“Anonymous and Provably Secure Certificateless MultireceiverEncryption Without Bilinear Pairing(Security and Communication Networks,2015)”公开了一种匿名安全的无双线性对的无证书多接收者加密方法。该方法(1)用户(包括发送者和接收者)随机选取一个秘密值作为自己的一部分私钥，并根据随机选取的秘密值计算出自己相对应的部分公钥。之后用户将自身的身份信息和部分公钥发送给向密钥生成中心KGC(Key Generation Center)，密钥生成中心KGC为每一个用户计算另一部分公私钥，并将部分公钥、部分私钥秘密地分发给各个用户；故，用户的公钥由两部分组成：密钥生成中心KGC发送给用户的部分公钥和用户计算得到的部分公钥；用户的私钥由两部分组成：密钥生成中心KGC发送给用户的部分私钥和用户随机选取的秘密值；(2)加密时，发送者用授权接收者的身份信息、授权接收者的公钥以及所要发送的明文消息计算得到密文，并将密文进行广播；(3)解密时，授权接收者用自己的私钥计算得到明文和中间参数，若该中间参数与密文中的参数值相等，则授权接收者接受明文消息，否则，拒绝接受。该方法存在的不足之处是：首先，用户的公私钥都是成对出现的，增加了存储空间，限制了该方案在低带宽环境中的应用；其次，在该文献提出的方案中，加密过程所需要的椭圆曲线上的数乘运算过多，增加了计算复杂性，使得算法运算效率过低；同时，该方案没有签名操作，使得接收者无法对消息的来源进行确认，故方案的安全性有待提高。

文献2“申请号是201610203505.7的中国发明专利”公开了一种可显式验证公钥的多接收者签密方法。该方法首先由用户随机选取一个秘密值作为自己的私钥，而后根据自己的私钥计算出一个验证份额，并将这个验证份额与自己的身份信息一起发送给密钥生成中心KGC。密钥生成中心KGC根据用户发过来的验证份额及其身份信息，生成用户的加密公钥，并发送给用户。故，用户的公钥由用户身份的哈希值、验证份额的哈希值以及密钥生成中心KGC发送给用户的加密公钥三部分组成；签密时，发送者用自己的公钥、身份信息以及授权接收者的身份信息进行计算得到密文，并进行广播；解签密时，授权接收者用自己的私钥、发送者的身份计算得到明文和中间参数，若该中间参数与密文中的参数值相等，则授权接收者接受明文消息，否则，拒绝接受。该方法存在的不足之处是：首先，方案虽然解决了基于身份的多接收者加密的密钥托管问题，但是用户的公钥是由三部分组成的，增加了存储空间；其次，该专利提出的方案的安全性是基于离散对数困难假设，而在同等安全条件下，其密钥比椭圆曲线密码系统的密钥更长，故该方案不利于在密码学领域的广泛应用。

发明内容

为了克服现有多接收者签密方法存在密钥托管的不足，本发明提供一种基于椭圆曲线的无密钥托管问题的多接收者签密方法。该方法首先由用户随机选取一个秘密值作为自己的私钥，而后根据自己的私钥计算出一个验证份额，并将这个验证份额与自己的身份信息一起发送给密钥生成中心KGC。密钥生成中心KGC根据用户发过来的验证份额及身份信息，生成用户的公钥、公钥验证参数和公钥隐藏参数，并发送给用户。用户收到密钥生成中心KGC发送过来的参数后，对公钥进行验证，若成立，则接受公钥，否则，拒绝接受，并向密钥生成中心KGC报错。在此过程中，用户的私钥是自己随机选取的秘密值，密钥生成中心KGC只知道用户的公钥和对应的身份信息，故无法获取用户的私钥，解决了密钥托管问题；用户的公钥是一个值而并非公钥对，故解决了通信过程中需要带宽过高的问题；同时，在签密过程中采用发送者计算与每一个接收者之间的关联信息进行签密操作，使得整个签密过程中使用的椭圆曲线上的数乘操作次数远远小于同类型方案，故大大提高了签密操作的计算效率。因此，本方法解决了广播通信时潜在的密钥托管问题、效率过低问题，同时减少了通信过程中所需要的带宽。

本发明解决其技术问题所采用的技术方案是：一种基于椭圆曲线的无密钥托管问题的多接收者签密方法，其特点是包括以下步骤：

(1)生成系统参数：

(1a)密钥生成中心KGC选取素数q，确定循环群G_q；

(1b)密钥生成中心KGC选取一条在循环群G_q上的椭圆曲线E，P为椭圆曲线E上的点，其阶为p，p为素数；

(1c)密钥生成中心KGC选取密码系统主密钥s，并将密码系统主密钥s秘密保存；

(1d)密钥生成中心KGC构造6个密码单向哈希函数，分别记为：

H₀：{0,1}^*→G_q；H₁：G_q×G_q×{0,1}^*→Z_q ^*；H₂：G_q×G_q→Z_q ^*；

H₃：Z_q ^*→{0,1}^l；H₄：{0,1}^l→{0,1}^l；

H₅：{0,1}^l×{0,1}^*×{0,1}^l×Z_q ^*×…×Z_q ^*→Z_q ^*；

其中，H₀,H₁,H₂,H₃,H₄,H₅表示密钥生成中心KGC构造的6个密码单向哈希函数，A→B表示定义域A到值域B的映射，{0,1}^*表示任意长的0或1构成的串，G_q为密钥生成中心KGC选取的循环群，×表示笛卡尔乘积，Z_q ^*表示基于素数q构成的非零乘法群，l表示明文消息m的长度，{0,1}^l表示长度为l的0或1构成的串；

(1e)密钥生成中心KGC选取对称加密算法E_k和对应的对称解密算法D_k，其中k表示对称密钥；

(1f)密钥生成中心KGC发布密钥生成中心KGC选取循环群G_q、椭圆曲线E、椭圆曲线E上的点P、6个密码单向哈希函数H₀,H₁,H₂,H₃,H₄,H₅、对称加密算法E_k、对称解密算法D_k，秘密保存密码系统主密钥s；

(2)用户注册：

(2a)用户注册步骤中的用户包括接收者和发送者，均需通过执行下列步骤获取自己的公钥和私钥；

(2b)用户随机选取一个整数作为自己的私钥d；

(2c)按照下式，用户计算验证份额V：

V＝dP

其中，V表示用户的验证份额，d表示用户的私钥，P表示椭圆曲线E上的点；

(2d)用户将自己的验证份额V和自己的身份信息ID发送给密钥生成中心KGC；

(2e)密钥生成中心KGC收到用户的验证份额V和身份信息ID后，随机选取一个整数t，按照下式计算用户的公钥验证参数T：

T＝tP

其中，T表示用户的公钥验证参数，t表示密钥生成中心KGC随机选取的整数，P表示椭圆曲线E上的点；

(2f)按照下式，密钥生成中心KGC计算用户的公钥PK：

PK＝sV-H₀(ID)

其中，PK表示用户的公钥，s表示密码系统主密钥，V表示用户的验证份额，H₀表示密码单向哈希函数，ID表示用户的身份信息；

(2g)按照下式，密钥生成中心KGC计算用户的公钥隐藏参数x：

x＝s+tH₁(T,PK,ID)

其中，x表示用户的公钥隐藏参数，s表示密码系统主密钥，t表示密钥生成中心KGC随机选取的整数，H₁表示密码单向哈希函数，T表示用户的公钥验证参数，PK表示用户的公钥，ID表示用户的身份信息；

(2h)密钥生成中心KGC将用户的公钥验证参数T、用户的公钥隐藏参数x和用户的公钥PK发送给用户；

(2i)用户判断收到的公钥PK是否满足如下等式，若是，则执行步骤(2j)，否则，则执行步骤(2k)：

xV＝PK+H₀(ID)+dTH₁(T,PK,ID)

其中，x表示用户的公钥隐藏参数，V表示用户的验证份额，PK表示用户的公钥，H₀、H₁表示密码单向哈希函数，ID表示用户的身份信息，d表示用户的私钥，T表示用户的公钥验证参数；

(2j)密钥生成中心KGC对外公布用户的公钥PK，用户秘密保存自己的私钥d，之后退出用户注册过程；

(2k)用户向密钥生成中心KGC报错，并退出用户注册过程；

(3)发送者签密：

(3a)发送者S判断自己是否已经执行步骤2的用户注册过程，并获取自己的公钥PK_S和私钥d_S，若是，则执行步骤(3b)，否则，发送者S执行步骤(2)获取自己的公钥PK_S和私钥d_S后，执行步骤(3b)；

(3b)发送者S在已注册的用户中随机选取n个接收者R₁,R₂,...,R_n，其中，n表示大于0的整数；

(3c)按照下式，发送者S计算与每一个接收者R_i之间的关联信息K_S,i：

K_S,i＝d_S(PK_i+H₀(ID_i))

其中，K_S,i表示发送者S与第i个接收者R_i之间的关联信息，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，d_S表示发送者S的私钥，PK_i表示第i个接收者R_i的公钥，H₀表示密码单向哈希函数，ID_i表示第i个接收者R_i的身份信息；

(3d)按照下式，发送者S计算每一个接收者R_i的伪身份值ω_i：

ω_i＝H₂(K_S,i,H₀(ID_i))

其中，ω_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，H₂、H₀表示两个密码单向哈希函数，K_S,i表示发送者S与第i个接收者R_i之间的关联信息，ID_i表示第i个接收者R_i的身份信息；

(3e)按照下式，发送者S构造接收者身份信息混合值f(x)：

其中，f(x)表示接收者身份信息混合值，x表示自变量，∏表示连乘操作，n表示发送者S在已注册的用户中随机选取的接收者的数目，i表示计数游标，ω_i表示第i个接收者R_i的伪身份值，u表示发送者S随机选取的整数，mod表示求模操作，q为密钥生成中心KGC选取的素数；

(3f)按照下式，发送者S计算密钥验证值J：

其中，J表示密钥验证值，δ表示发送者S随机选取的长度为l的0或1构成的串，l表示明文消息m的长度，表示逐位异或操作，H₃表示密码单向哈希函数，u表示发送者S随机选取的整数；

(3g)按照下式，发送者S计算加密消息密文Z：

其中，Z表示加密消息密文，E_k表示对称加密算法，k表示对称密钥，k＝H₄(δ)，H₄表示密码单向哈希函数，δ表示发送者S随机选取的长度为l的0或1构成的串，l表示明文消息m的长度，m表示明文消息；

(3h)按照下式，发送者S计算密文有效性参数h：

h＝H₅(m,Z,J,a₀,a₁,...,a_n-1)

其中，h表示密文有效性参数，H₅表示密码单向哈希函数，m表示明文消息，Z表示加密消息密文，J表示密钥验证值，a₀,a₁,…,a_n-1表示接收者身份信息混合值f(x)的系数；

(3i)发送者S将加密消息密文Z、密钥验证值J、接收者身份信息混合值f(x)的系数a₀,a₁,…,a_n-1、密文有效性参数h和发送者S的身份信息ID_S构成签密密文C，并对签密密文C进行广播；

(4)接收者解密：

(4a)接收者R_i完成步骤2的用户注册过程计算出自己的公钥PK_i和私钥d_i后，进行如下操作进行解密，i＝1,2,…,n；

(4b)按照下式，接收者R_i计算与发送者S之间的关联信息K_S,i：

K_S,i＝d_i(PK_S+H₀(ID_S))

其中，K_S,i表示发送者S与第i个接收者R_i之间的关联信息，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，d_i表示第i个接收者R_i的私钥,PK_S表示发送者S的公钥，H₀表示密码单向哈希函数，ID_S表示发送者S的身份信息；

(4c)按照下式，接收者R_i计算伪身份值ω_i：

ω_i＝H₂(K_S,i,H₀(ID_i))

其中，ω_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，H₂、H₀表示两个密码单向哈希函数，K_S,i表示发送者S与第i个接收者R_i之间的关联信息，ID_i表示第i个接收者R_i的身份信息；

(4d)按照下式，接收者R_i计算发送者S随机选取的整数u：

u＝f(ω_i)

其中，u表示发送者S随机选取的整数，f(x)表示接收者身份信息混合值，x表示自变量，ω_i表示第i个接收者R_i的伪身份值；

(4e)按照下式，接收者R_i计算发送者S随机选取的长度为l的0或1构成的串δ：

其中，δ表示发送者S随机选取的长度为l的0或1构成的串，l表示明文消息m的长度，J表示密钥验证值，表示逐位异或操作，H₃表示密码单向哈希函数，u表示发送者S随机选取的整数；

(4f)按照下式，接收者R_i计算明文消息m：

其中，m表示明文消息，D_k表示对称解密算法，k表示对称密钥，k＝H₄(δ)，H₄表示密码单向哈希函数，δ表示发送者S随机选取的长度为l的0或1构成的串，l表示明文消息m的长度，Z表示加密消息密文；

(4g)按照下式，接收者R_i计算权限参数h′：

h′＝H₅(m,Z,J,a₀,a₁,...,a_n-1)

其中，h′表示权限参数，H₅表示密码单向哈希函数，m表示明文消息，Z表示加密消息密文，J表示密钥验证值，a₀,a₁,…,a_n-1表示接收者身份信息混合值f(x)的系数；

(5)接收者判断权限参数h′与密文有效性参数h是否相等；若是，则执行步骤(6),否则，执行步骤(7)；

(6)接收者接受明文消息，并退出接收者解密过程；

(7)接收者拒绝明文消息，并退出接收者解密过程。

本发明的有益效果是：第一，由于在用户注册中，设置用户的私钥是用户随机选取的秘密值，密钥生成中心KGC只能得到由用户私钥生成的验证份额和对应的身份信息，不能得到用户的私钥；同时，密钥生成中心KGC根据验证份额和身份信息生成公钥发送给用户后，用户可以对公钥的正确性进行验证，克服了现有技术中不能抵抗恶意KGC攻击的问题，使得本发明具有抵抗恶意KGC攻击的优点。

第二，由于在用户注册过程中，设置用户的公钥为一个而非一对，故解决了传输过程中需要的带宽过高问题，使得本发明具有可适用于带宽不受限制的通信环境中的优点；

第三，由于在发送者签密过程中，采用发送者计算与每一个接收者之间的关联信息进行签密操作，使得整个签密操作使用的椭圆曲线上的数乘操作次数远远小于同类型方案，大大提高了签密操作的效率，故解决了签密过程中效率过低的问题，使得本发明具有可节省运算量的优点。

第四，由于在签密过程中，采用接收者身份信息混合值将所有接收者的身份信息融合在一起作为签密密文的一部分，从而在签密密文中不直接暴露接收者的身份信息列表，克服了现有技术中的接收者身份隐私泄露问题，使得本发明具有可实现接收者身份匿名性的优点。

下面结合具体实施方式对本发明作详细说明。

具体实施方式

名词解释。

KGC：密钥生成中心，为可信第三方，负责产生发送者和接收者的公私钥；

λ：密钥生成中心KGC选取的安全参数；

q：密钥生成中心KGC选取的素数；

G_q：密钥生成中心KGC选取的循环群；

E：椭圆曲线；

P：椭圆曲线E上的点；

p：点P的阶，为一个大素数；

s：密码系统主密钥；

∈：限定域符号，例如y∈Z_q ^*，表示y是Z_q ^*中的一个元素；

H_j：密码单向哈希函数，其中j＝0,1,2,3,4,5；

A→B：定义域A到值域B的映射；

{0,1}^*：任意长的“0”或“1”构成的串；

×：笛卡尔乘积；

Z_q ^*：基于素数q构成的非零乘法群；

m：明文消息；

l：明文消息m的长度；

{0,1}^l：长度为l的“0”或“1”构成的串；

k：对称密钥；

E_k：对称加密算法；

D_k：对称解密算法；

params：密码系统参数；

d：用户的私钥；

V：用户的验证份额；

ID：用户的身份信息；

t：密钥生成中心KGC随机选取的整数；

T：用户的公钥验证参数；

PK：用户的公钥；

x：用户的公钥隐藏参数；

S：发送者；

d_S：发送者S的私钥；

V_S：发送者S的验证份额；

t_S：密钥生成中心KGC为发送者S随机选取的整数；

T_S：发送者S的公钥验证参数；

PK_S：发送者S的公钥；

x_S：发送者S的公钥隐藏参数；

n：发送者S在已注册的用户中随机选取的接收者的数目；

R_i：第i个接收者，i＝1,2,…,n；

d_i：第i个接收者R_i的私钥；

V_i：第i个接收者R_i的验证份额；

t_i：密钥生成中心KGC为接收者R_i随机选取的整数；

T_i：第i个接收者R_i的公钥验证参数；

x_i：第i个接收者R_i的公钥隐藏参数；

K_S,i：发送者S与第i个接收者R_i之间的关联信息，i＝1,2,…,n；

PK_i：第i个接收者R_i的公钥，i＝1,2,…,n；

ID_i：第i个接收者R_i的身份信息，i＝1,2,…,n；

ω_i：第i个接收者R_i的伪身份值，i＝1,2,…,n；

f(x)：接收者身份信息混合值，其中x表示自变量；

∏：连乘操作；

u：发送者S随机选取的整数；

mod：求模操作；

J：密钥验证值；

δ：发送者S随机选取的长度为l的“0”或“1”构成的串；

逐位异或操作；

Z：加密消息密文；

h：密文有效性参数；

a_i：接收者身份信息混合值f(x)的系数，其中i＝0,1,…,n-1；

ID_S：发送者S的身份信息；

C：签密密文；

d_i：第i个接收者R_i的私钥，i＝1,2,…,n；

h′：权限参数。

本发明基于椭圆曲线的无密钥托管问题的多接收者签密方法具体步骤如下：

步骤1，生成系统参数。

密钥生成中心KGC根据系统安全参数λ选取大素数q，确定循环群G_q，并选取一条在循环群G_q上的安全椭圆曲线E，P为椭圆曲线E上的点，其阶为p，p为大素数；随机选取密码系统主密钥s∈Z_q ^*并秘密保存，其中∈表示限定域符号，Z_q ^*表示基于大素数q构成的非零乘法群；设明文消息m的长度为l，构造6个密码单向Hash函数，分别记为：

H₀：{0,1}^*→G_q；H₁：G_q×G_q×{0,1}^*→Z_q ^*；H₂：G_q×G_q→Z_q ^*；

H₃：Z_q ^*→{0,1}^l；H₄：{0,1}^l→{0,1}^l；

H₅：{0,1}^l×{0,1}^*×{0,1}^l×Z_q ^*×…×Z_q ^*→Z_q ^*；

其中，H₀,H₁,H₂,H₃,H₄,H₅表示密钥生成中心KGC构造的6个密码单向哈希函数，A→B表示定义域A到值域B的映射，{0,1}^*表示任意长的“0”或“1”构成的串，G_q为密钥生成中心KGC选取的循环群，×表示笛卡尔乘积，Z_q ^*表示基于大素数q构成的非零乘法群，l表示明文消息m的长度，{0,1}^l表示长度为l的“0”或“1”构成的串；

密钥生成中心KGC从现有的对称加密算法中任意选取一种对称加密算法E_k，并选取与该对称加密算法对应的对称解密算法D_k；

密钥生成中心KGC构造并公开密码系统参数，密码系统参数的构造方法为：params＝<G_q,E,P,H₀,H₁,H₂,H₃,H₄,H₅,E_k,D_k>；同时密钥生成中心KGC秘密保存密码系统主密钥s。

步骤2，发送者注册。

第一步，发送者S随机选取d_S∈Z_q ^*作为自己的私钥，并计算自己的验证份额V_S为：V_S＝d_SP，其中，d_S表示发送者S的私钥，∈表示限定域符号，Z_q ^*表示基于大素数q构成的非零乘法群，P表示椭圆曲线E上的点。

第二步，发送者S将自己的验证份额V_S和身份信息ID_S发送给密钥生成中心KGC。密钥生成中心KGC接收发送者S的验证份额V_S和身份信息ID_S后，随机选取整数t_S，计算发送者S的公钥验证参数T_S＝t_SP和发送者S的公钥PK_S＝sV_S-H₀(ID_S)，之后计算发送者S的公钥隐藏参数x_S＝s+t_SH₁(T_S,PK_S,ID_S)，其中，T_S表示发送者S的公钥验证参数，t_S表示密钥生成中心KGC为发送者S随机选取的整数，P表示椭圆曲线E上的点，PK_S表示发送者S的公钥，s表示密码系统主密钥，V_S表示发送者S的验证份额，H₀、H₁表示密码单向哈希函数，ID_S表示发送者S的身份信息，x_S表示发送者S的公钥隐藏参数；

密钥生成中心KGC将发送者S的公钥验证参数T_S、发送者S的公钥隐藏参数x_S、发送者S的公钥PK_S发送给发送者S。发送者S接收后，判断自己的公钥PK_S是否满足验证条件，若是，则通知密钥生成中心KGC执行本步骤的第三步，否则，向密钥生成中心KGC报错，并退出发送者注册过程。

发送者S的公钥PK_S的验证条件是指判断如下等式是否成立，若等式成立，则表示满足公钥PK_S的验证条件，若等式不成立，则表示不满足公钥PK_S的验证条件：

x_SV_S＝PK_S+H₀(ID_S)+d_ST_SH₁(T_S,PK_S,ID_S)

其中，x_S表示发送者S的公钥隐藏参数，V_S表示发送者S的验证份额，PK_S表示发送者S的公钥，H₀、H₁表示密码单向哈希函数，ID_S表示发送者S的身份信息，d_S表示发送者S的私钥，T_S表示发送者S的公钥验证参数。

第三步，密钥生成中心KGC对外公布发送者S的公钥PK_S，发送者S秘密保存自己的私钥d_S，并退出发送者注册过程。

步骤3，接收者注册。

第一步，接收者R_i随机选取d_i∈Z_q ^*作为自己的私钥，并计算自己的验证份额V_i为：V_i＝d_iP，其中，d_i表示接收者R_i的私钥，∈表示限定域符号，Z_q ^*表示基于大素数q构成的非零乘法群，P表示椭圆曲线E上的点。

第二步，接收者R_i将自己的验证份额V_i和身份信息ID_i发送给密钥生成中心KGC。密钥生成中心KGC接收到接收者R_i的验证份额V_i和身份信息ID_i后，随机选取整数t_i，计算接收者R_i的公钥验证参数T_i＝t_iP和接收者R_i的公钥PK_i＝sV_i-H₀(ID_i)，之后计算接收者R_i的公钥隐藏参数x_i＝s+t_iH₁(T_i,PK_i,ID_i)，其中，T_i表示接收者R_i的公钥验证参数，t_i表示密钥生成中心KGC为接收者R_i随机选取的整数，P表示椭圆曲线E上的点，PK_i表示接收者R_i的公钥，s表示密码系统主密钥，V_i表示接收者R_i的验证份额，H₀、H₁表示密码单向哈希函数，ID_i表示接收者R_i的身份信息，x_i表示接收者R_i的公钥隐藏参数；

密钥生成中心KGC将接收者R_i的公钥验证参数T_i、接收者R_i的公钥隐藏参数x_i、接收者R_i的公钥PK_i发送给接收者R_i。接收者R_i接收后，判断自己的公钥PK_i是否满足验证条件，若是，则通知密钥生成中心KGC执行本步骤的第三步，否则，向密钥生成中心KGC报错，并退出接收者注册过程。

接收者R_i的公钥PK_i的验证条件是指判断如下等式是否成立，若等式成立，则表示满足公钥PK_i的验证条件，若等式不成立，则表示不满足公钥PK_i的验证条件：

x_iV_i＝PK_i+H₀(ID_i)+d_iT_iH₁(T_i,PK_i,ID_i)

其中，x_i表示接收者R_i的公钥隐藏参数，V_i表示接收者R_i的验证份额，PK_i表示接收者R_i的公钥，H₀、H₁表示密码单向哈希函数，ID_i表示接收者R_i的身份信息，d_i表示接收者R_i的私钥，T_i表示接收者R_i的公钥验证参数。

第三步，密钥生成中心KGC对外公布接收者R_i的公钥PK_i，接收者R_i秘密保存自己的私钥d_i，并退出接收者注册过程。

步骤4，发送者签密。

发送者S执行步骤2进行注册并获取自己的公钥PK_S和私钥d_S之后，在步骤3已注册的用户中，随机选取n个接收者R₁,R₂,…,R_n，并计算自己与每一个接收者R_i之间的关联信息K_S,i＝d_S(PK_i+H₀(ID_i))和每一个接收者的伪身份值ω_i＝H₂(K_S,i,H₀(ID_i))，其中，i＝1,2,...,n，n表示发送者S在已注册用户中随机选取的接收者的数目，d_S表示发送者S的私钥，PK_i表示第i个接收者R_i的公钥，H₀、H₂表示密码单向哈希函数，ID_i表示第i个接收者R_i的身份信息。

发送者S随机选取u∈Z_q ^*，构造接收者身份信息混合值：其中，∈表示限定域符号，Z_q ^*表示基于大素数q构成的非零乘法群，f(x)表示接收者身份信息混合值，x表示自变量，∏表示连乘操作，n表示发送者S在已注册的用户中随机选取的接收者的数目，i表示计数游标，ω_i表示第i个接收者R_i的伪身份值，u表示发送者S随机选取的整数，mod表示求模操作，q表示密钥生成中心KGC选取的素数；

发送者S随机选取δ∈{0,1}^l，计算密钥验证值和加密消息其中，δ表示发送者S随机选取的长度为l的“0”或“1”构成的串，∈表示限定域符号，l表示明文消息m的长度，{0,1}^l表示长度为l的“0”或“1”构成的串，J表示密钥验证值，表示逐位异或操作，H₃、H₄表示密码单向哈希函数，u表示发送者S随机选取的整数，Z表示加密消息密文，E_k表示对称加密算法，k＝H₄(δ)为加密时使用的对称密钥，m表示明文消息；

发送者S计算密文有效性参数h＝H₅(m,Z,J,a₀,a₁,...,a_n-1)，其中，h表示密文有效性参数，H₅表示密码单向哈希函数，m表示明文消息，Z表示加密消息密文，J表示密钥验证值，a₀,a₁,…,a_n-1表示接收者身份信息混合值f(x)的系数；

发送者S构造签密密文C＝<J,Z,ID_S,h,a₀,a₁,...,a_n-1>，并将签密密文C进行广播。

步骤5，接收者解密。

接收者R_i执行步骤3进行注册并获取自己的公钥PK_i和私钥d_i后，按照下式，计算与发送者S之间的关联信息K_S,i：

K_S,i＝d_i(PK_S+H₀(ID_S))

其中，K_S,i表示发送者S与第i个接收者R_i之间的关联信息，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，d_i表示第i个接收者R_i的私钥,PK_S表示发送者S的公钥，H₀表示密码单向哈希函数，ID_S表示发送者S的身份信息；

按照下式，接收者R_i计算伪身份值ω_i：

ω_i＝H₂(K_S,i,H₀(ID_i))

其中，ω_i表示第i个接收者R_i的伪身份值，H₂、H₀表示两个密码单向哈希函数，K_S,i表示发送者S与第i个接收者R_i之间的关联信息，ID_i表示第i个接收者R_i的身份信息；

按照下式，接收者R_i计算发送者S随机选取的整数u：

u＝f(ω_i)

其中，f(x)表示接收者身份信息混合值，x表示自变量，ω_i表示第i个接收者R_i的伪身份值。

按照下式，接收者R_i计算发送者S随机选取的长度为l的“0”或“1”构成的串δ：

其中，δ表示发送者S随机选取的长度为l的“0”或“1”构成的串，l表示明文消息m的长度，J表示密钥验证值，表示逐位异或操作，H₃表示密码单向哈希函数，u表示发送者S随机选取的整数；

按照下式，接收者R_i计算明文消息m：

其中，m表示明文消息，D_k表示对称加密算法，k＝H₄(δ)为解密时使用的对称密钥，H₄表示密码单向哈希函数，δ表示发送者S随机选取的长度为l的“0”或“1”构成的串，l表示明文消息m的长度，Z表示加密消息密文；

按照下式，接收者R_i计算权限参数：

h′＝H₅(m,Z,J,a₀,a₁,...,a_n-1)

其中，h′表示权限参数，H₅表示密码单向哈希函数，m表示明文消息，Z表示加密消息密文，J表示密钥验证值，a₀,a₁,…,a_n-1表示接收者身份信息混合值f(x)的系数；

步骤6，接收者判断权限参数h′与密文有效性参数h是否相等。若是，则执行步骤7，否则，执行步骤8。

步骤7，接收者接受明文消息，并退出接收者解密过程。

步骤8，接收者拒绝明文消息，并退出接收者解密过程。

Claims (1)

1.一种基于椭圆曲线的无密钥托管问题的多接收者签密方法，其特征在于包括以下步骤：

(1)生成系统参数：

(1a)密钥生成中心KGC选取素数q，确定循环群G_q；

(1b)密钥生成中心KGC选取一条在循环群G_q上的椭圆曲线E，P为椭圆曲线E上的点，其阶为p，p为素数；

(1c)密钥生成中心KGC选取密码系统主密钥s，并将密码系统主密钥s秘密保存；

(1d)密钥生成中心KGC构造6个密码单向哈希函数，分别记为：

H₀：{0,1}^*→G_q；H₁：G_q×G_q×{0,1}^*→Z_q ^*；H₂：G_q×G_q→Z_q ^*；

H₃：Z_q ^*→{0,1}^l；H₄：{0,1}^l→{0,1}^l；

H₅：{0,1}^l×{0,1}^*×{0,1}^l×Z_q ^*×…×Z_q ^*→Z_q ^*；

其中，H₀,H₁,H₂,H₃,H₄,H₅表示密钥生成中心KGC构造的6个密码单向哈希函数，A→B表示定义域A到值域B的映射，{0,1}^*表示任意长的0或1构成的串，G_q为密钥生成中心KGC选取的循环群，×表示笛卡尔乘积，Z_q ^*表示基于素数q构成的非零乘法群，l表示明文消息m的长度，{0,1}^l表示长度为l的0或1构成的串；

(1e)密钥生成中心KGC选取对称加密算法E_k和对应的对称解密算法D_k，其中k表示对称密钥；

(1f)密钥生成中心KGC发布密钥生成中心KGC选取循环群G_q、椭圆曲线E、椭圆曲线E上的点P、6个密码单向哈希函数H₀,H₁,H₂,H₃,H₄,H₅、对称加密算法E_k、对称解密算法D_k，秘密保存密码系统主密钥s；

(2)用户注册：

(2a)用户注册步骤中的用户包括接收者和发送者，均需通过执行下列步骤获取自己的公钥和私钥；

(2b)用户随机选取一个整数作为自己的私钥d；

(2c)按照下式，用户计算验证份额V：

V＝dP

其中，V表示用户的验证份额，d表示用户的私钥，P表示椭圆曲线E上的点；

(2d)用户将自己的验证份额V和自己的身份信息ID发送给密钥生成中心KGC；

(2e)密钥生成中心KGC收到用户的验证份额V和身份信息ID后，随机选取一个整数t，按照下式计算用户的公钥验证参数T：

T＝tP

其中，T表示用户的公钥验证参数，t表示密钥生成中心KGC随机选取的整数，P表示椭圆曲线E上的点；

(2f)按照下式，密钥生成中心KGC计算用户的公钥PK：

PK＝sV-H₀(ID)

其中，PK表示用户的公钥，s表示密码系统主密钥，V表示用户的验证份额，H₀表示密码单向哈希函数，ID表示用户的身份信息；

(2g)按照下式，密钥生成中心KGC计算用户的公钥隐藏参数x：

x＝s+tH₁(T,PK,ID)

其中，x表示用户的公钥隐藏参数，s表示密码系统主密钥，t表示密钥生成中心KGC随机选取的整数，H₁表示密码单向哈希函数，T表示用户的公钥验证参数，PK表示用户的公钥，ID表示用户的身份信息；

(2h)密钥生成中心KGC将用户的公钥验证参数T、用户的公钥隐藏参数x和用户的公钥PK发送给用户；

(2i)用户判断收到的公钥PK是否满足如下等式，若是，则执行步骤(2j)，否则，则执行步骤(2k)：

xV＝PK+H₀(ID)+dTH₁(T,PK,ID)

其中，x表示用户的公钥隐藏参数，V表示用户的验证份额，PK表示用户的公钥，H₀、H₁表示密码单向哈希函数，ID表示用户的身份信息，d表示用户的私钥，T表示用户的公钥验证参数；

(2j)密钥生成中心KGC对外公布用户的公钥PK，用户秘密保存自己的私钥d，之后退出用户注册过程；

(2k)用户向密钥生成中心KGC报错，并退出用户注册过程；

(3)发送者签密：

(3a)发送者S判断自己是否已经执行步骤2的用户注册过程，并获取自己的公钥PK_S和私钥d_S，若是，则执行步骤(3b)，否则，发送者S执行步骤(2)获取自己的公钥PK_S和私钥d_S后，执行步骤(3b)；

(3b)发送者S在已注册的用户中随机选取n个接收者R₁,R₂,...,R_n，其中，n表示大于0的整数；

(3c)按照下式，发送者S计算与每一个接收者R_i之间的关联信息K_S,i：

K_S,i＝d_S(PK_i+H₀(ID_i))

其中，K_S,i表示发送者S与第i个接收者R_i之间的关联信息，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，d_S表示发送者S的私钥，PK_i表示第i个接收者R_i的公钥，H₀表示密码单向哈希函数，ID_i表示第i个接收者R_i的身份信息；

(3d)按照下式，发送者S计算每一个接收者R_i的伪身份值ω_i：

ω_i＝H₂(K_S,i,H₀(ID_i))

其中，ω_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，H₂、H₀表示两个密码单向哈希函数，K_S,i表示发送者S与第i个接收者R_i之间的关联信息，ID_i表示第i个接收者R_i的身份信息；

(3e)按照下式，发送者S构造接收者身份信息混合值f(x)：

其中，f(x)表示接收者身份信息混合值，其中a₀,a₁,…,a_n-1表示接收者身份信息混合值f(x)的系数；x表示自变量，∏表示连乘操作，n表示发送者S在已注册的用户中随机选取的接收者的数目，i表示计数游标，ω_i表示第i个接收者R_i的伪身份值，u表示发送者S随机选取的整数，mod表示求模操作，q为密钥生成中心KGC选取的素数；

(3f)按照下式，发送者S计算密钥验证值J：

其中，J表示密钥验证值，δ表示发送者S随机选取的长度为l的0或1构成的串，l表示明文消息m的长度，表示逐位异或操作，H₃表示密码单向哈希函数，u表示发送者S随机选取的整数；

(3g)按照下式，发送者S计算加密消息密文Z：

其中，Z表示加密消息密文，E_k表示对称加密算法，k表示对称密钥，k＝H₄(δ)，H₄表示密码单向哈希函数，δ表示发送者S随机选取的长度为l的0或1构成的串，l表示明文消息m的长度，m表示明文消息；

(3h)按照下式，发送者S计算密文有效性参数h：

h＝H₅(m,Z,J,a₀,a₁,...,a_n-1)

其中，h表示密文有效性参数，H₅表示密码单向哈希函数，m表示明文消息，Z表示加密消息密文，J表示密钥验证值，a₀,a₁,…,a_n-1表示接收者身份信息混合值f(x)的系数；

(3i)发送者S将加密消息密文Z、密钥验证值J、接收者身份信息混合值f(x)的系数a₀,a₁,…,a_n-1、密文有效性参数h和发送者S的身份信息ID_S构成签密密文C，并对签密密文C进行广播；

(4)接收者解密：

(4a)接收者R_i完成步骤2的用户注册过程计算出自己的公钥PK_i和私钥d_i后，进行如下操作进行解密，i＝1,2,…,n；

(4b)按照下式，接收者R_i计算与发送者S之间的关联信息K_S,i：

K_S,i＝d_i(PK_S+H₀(ID_S))

其中，K_S,i表示发送者S与第i个接收者R_i之间的关联信息，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，d_i表示第i个接收者R_i的私钥,PK_S表示发送者S的公钥，H₀表示密码单向哈希函数，ID_S表示发送者S的身份信息；

(4c)按照下式，接收者R_i计算伪身份值ω_i：

ω_i＝H₂(K_S,i,H₀(ID_i))

其中，ω_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，H₂、H₀表示两个密码单向哈希函数，K_S,i表示发送者S与第i个接收者R_i之间的关联信息，ID_i表示第i个接收者R_i的身份信息；

(4d)按照下式，接收者R_i计算发送者S随机选取的整数u：

u＝f(ω_i)

其中，u表示发送者S随机选取的整数，f(x)表示接收者身份信息混合值，x表示自变量，ω_i表示第i个接收者R_i的伪身份值；

(4e)按照下式，接收者R_i计算发送者S随机选取的长度为l的0或1构成的串δ：

其中，δ表示发送者S随机选取的长度为l的0或1构成的串，l表示明文消息m的长度，J表示密钥验证值，表示逐位异或操作，H₃表示密码单向哈希函数，u表示发送者S随机选取的整数；

(4f)按照下式，接收者R_i计算明文消息m：

其中，m表示明文消息，D_k表示对称解密算法，k表示对称密钥，k＝H₄(δ)，H₄表示密码单向哈希函数，δ表示发送者S随机选取的长度为l的0或1构成的串，l表示明文消息m的长度，Z表示加密消息密文；

(4g)按照下式，接收者R_i计算权限参数h′：

h′＝H₅(m,Z,J,a₀,a₁,...,a_n-1)

其中，h′表示权限参数，H₅表示密码单向哈希函数，m表示明文消息，Z表示加密消息密文，J表示密钥验证值，a₀,a₁,…,a_n-1表示接收者身份信息混合值f(x)的系数；

(5)接收者判断权限参数h′与密文有效性参数h是否相等；若是，则执行步骤(6)，否则，执行步骤(7)；

(6)接收者接受明文消息，并退出接收者解密过程；

(7)接收者拒绝明文消息，并退出接收者解密过程。