CN106992871A - 一种面向多群组的广播加密方法 - Google Patents

Abstract

本发明涉及一种面向多群组的广播加密方法，包括以下步骤：1、广播加密系统生成系统的公钥以及主私钥，并将公钥公开；2、私钥生成中心为每个广播授权接收用户生成用户私钥并秘密发送至广播授权接收用户；3、广播发布方生成公有密钥、私有密钥以及广播密文头，然后将明文信息进行加密并生成密文，最后将密文以及广播密文头发送至广播授权接收用户；4、广播授权接收用户在接收到密文以及广播密文头后，根据用户私钥与广播密文头恢复出公有密钥与私有密钥，再将密文进行解密，恢复出明文信息。本发明利用广播加密技术与群加解密技术，使得广播加密可应用于多用户群组的环境。利用双线性映射等技术，降低了广播系统的密文量、系统公私钥的开销。

Description

一种面向多群组的广播加密方法

技术领域

本发明属于计算机网络中保密通信领域，具体涉及一种面向多群组的广播加密方法。

背景技术

广播加密是一种在不安全信道实现一对多保密通信的加密体制。在一般的广播加密系统中，广播者对其系统内的用户广播加密后的信息，任何用户监听该广播均能获得加密后的信息，只有在授权用户集合中的用户才能利用其私钥解密广播密文，恢复出相应的明文信息。若所有的非授权用户合谋也无法解密广播信息，则该广播加密系统具有完全抗合谋特性。目前，广播加密作为一种常用的加密手段已广泛应用于付费电视、数字版权管理、卫星通信、电视电话会议以及无线传感网络中。

广播加密有效的实现了一对多的保密通信，但是在目前的应用中，随着网络与通信技术的不断发展，广播者所要广播的信息量与日俱增，广播者所要面对的用户群体也变得愈加复杂多变。如在付费电视系统中，电视运营商可根据用户订购业务或缴纳费用的不同，将电视用户划分为不同的授权用户群组，不同的用户群组获取的节目信息也不尽相同。目前而言，运营商针对不同的用户群组单独地发送对应的密文信息，这也就意味着运营商所要发送的密文信息与用户的群组成线性的关系。然而随着目前广播电视节目的多样化，广播电视用户的多元化，用户选择的订购业务也越来越复杂多样，因此所构成的广播用户群组数目也越来越多，电视运营商作为广播者所要广播的信息也越来越多，广播中心的负担也越来越重，性能瓶颈问题也随之出现，限制了广播系统的应用。因此，传统的简单一对多的广播加密已不能满足上述应用环境，设计针对多用户群组环境下的广播加密具有十分重要的意义。

Fiat与Naor在1994年首先提出了广播加密的概念，随后一系列的广播加密方案相继被提出，但是这些方案的密文长度均与用户的数目成线性关系。在2005年，Boneh等人利用双线性对构造的BGW方案，密文长度与用户私钥长度均为常数，Delerablee等人提出了基于身份的动态广播加密方案DPP07、Gentry等人构造了一种具有适应性安全、密文长度短的广播加密方案GW09，但是这些方案的公钥长度与用户的数目成线性关系。这样，随着用户数目的增加，其公钥长度随之增加，将会增加广播系统的存储开销。为降低公钥开销，Boneh等人利用多线性映射构造了低开销的广播加密方案，在保证其密文与用户私钥长度均为常数的前提下，公钥长度仅为O(log(N))(Boneh D,Waters B,Zhandry M.Low overheadbroadcast encryption from multilinear maps[C]//International CryptologyConference.Springer Berlin Heidelberg,2014:206-223.)；其他如基于身份的广播加密方案、可撤销的广播加密方案、基于证书的广播加密方案等也相继被提出。BZ14利用不可区分混淆，构造了第一个低开销的具有接收者隐私保护的广播加密方案。在方案的灵活性上，Ohtake等人提出了BEPM方案实现了广播者与用户间一对一的私密通信Ohtake G,HanaokaG,Ogawa K.Efficient broadcast encryption with personalized messages[C]//International Conference on Provable Security.Springer Berlin Heidelberg,2010:214-228.)，Xu等人利用多线性映射构造了一个基于身份的BEPM方案，但是这些方案在多用户环境下会造成较大的密文与计算开销，设计针对多用户群组环境下的广播加密具有很好的应用价值。

发明内容

为了解决现有技术中存在的广播加密方法在多用户环境下造成的较大的密文与计算的开销问题，本发明提供了一种面向多群组的广播加密方法。本发明要解决的技术问题通过以下技术方案实现：

一种面向多群组的广播加密方法，包括以下步骤：

步骤一：广播加密系统根据广播加密系统安全参数λ建立广播用户集合空间并生成广播加密系统的公钥PK以及主私钥MSK，并将公钥PK公开；

步骤二：私钥生成中心为每个广播授权接收用户生成用户私钥SK_ij并秘密发送至广播授权接收用户；

步骤三：广播发布方生成广播对称加密公有密钥K、广播发布方与广播授权接收用户群组私密通信的对称加密私有密钥K_i以及广播密文头Hdr，然后根据公有密钥K的对称加密算法将广播发布方发送的广播授权接收用户的公有信息M进行加密并生成公有密文E_K(M)，以及根据私有密钥K_i的对称加密算法将广播发布方发送的广播授权接收用户群组的私有信息M_i进行加密并生成私有密文最后，广播发布方将公有密文E_K(M)、私有密文以及广播密文头Hdr发送至每个广播授权接收用户；

所述公有密钥K的对称加密算法和所述私有密钥K_i的对称加密算法为相同的对称加密算法；

步骤四：广播授权接收用户在接收到所述公有密文E_K(M)、私有密文以及广播密文头Hdr后，若所述广播授权接收用户群组属于广播授权接收用户群组的集合，则根据所述用户私钥SK_ij与广播密文头Hdr恢复出公有密钥K与私有密钥K_i，再根据所述公有密钥K的对称加密算法将公有密文E_K(M)进行解密，以及根据所述私有密钥K_i的对称加密算法将私有密文进行解密，恢复出对应的明文信息。

进一步的，所述步骤一的具体步骤为：广播加密系统运行广播加密系统建立算法，首先，随机选择生成元g,h∈G和α∈Z_p，生成i＝1,2,…,n,n+2,…,2n；

然后，选择随机数β,γ∈Z_P，生成V＝g^γ,Y＝g^β；

最后，得到主私钥为：MSK＝(α,β,γ)，

公钥为：PK＝(g,g₁,…,g_n,g_n+2,…,g_2n,V,Y)；

其中，n表示广播授权接收用户群组的数目,G,G_T构成阶为素数p的双线性映射群，g和h表示乘法循环群G的生成元，α表示循环群Z_p中的随机数，β，γ表示循环群Z_p中的随机数，Z_p表示模p的循环群。

进一步的，所述步骤二的具体步骤为：选择一个随机数s_i∈Z_p,i∈[1,n]，私钥生成中心生成每个广播授权接收用户群组i的群组公钥为：其中Y＝h^β，则生成广播授权接收用户群组i里的每个广播授权接收用户p_j的用户私钥SK_ij的步骤为：

(1)选择随机数m_j∈Z_P,n_j∈Z_P，使s_i＝(m_j+n_j)modp；

(2)生成

(3)生成其中

每个广播授权接收用户p_j的用户私钥为：SK_ij＝(d_i,d_ij1,d_ij2)；

其中，s表示为每个广播授权接收用户群组i选择的一个随机数，i∈[1,n]，j表示自然数；g和h表示乘法循环群G的生成元，β，γ表示循环群Z_p中的随机数。

进一步的，所述步骤三的具体步骤为：首先，选择一个随机数t∈Z_p，广播加密系统生成公有密钥为：K＝e(g_n+1,g)^t＝e(g_n,g₁)^t，其中g₁＝g^α,

其次，生成私有密钥为：

再次，生成广播密文头

然后，根据公有密钥K的对称加密算法将广播发布方发送的广播授权接收用户的公有信息M进行加密并生成公有密文E_K(M)，以及根据私有密钥K_i的对称加密算法将广播发布方发送的广播授权接收用户群组的私有信息M_i进行加密并生成私有密文

最后，广播发布方将公有密文E_K(M)、私有密文以及广播密文头Hdr发送至每个广播授权接收用户；

其中，t循环群Z_p中的随机数，g表示乘法循环群G的生成元，S表示广播授权接收用户群组的集合。

进一步的，所述步骤四的具体步骤为：广播加密系统运行解密算法，广播授权接收用户接收到公有密文E_K(M)、私有密文以及广播密文头Hdr后，若i∈S，则根据用户私钥SK_ij与广播密文头Hdr恢复公有密钥为：

恢复每个广播授权接收用户群组i的私有密钥为：

广播授权接收用户再根据所述公有密钥K的对称加密算法将公有密文E_K(M)进行解密，以及根据所述私有密钥K_i的对称加密算法将私有密文进行解密，恢复出对应的明文信息；

其中，Hdr＝(C₀,C₁,C₂)，C₀＝g^t，C₁＝Y^t，

与现有技术相比，本发明的有益效果：

(1)面向多用户群组环境：本发明不仅仅能够向一个接收者的用户集合发送加密的消息，更重要的是可以同时向多个用户群组发送信息。

(2)广播系统的存储开销低：本发明的密文长度与用户私钥长度均为常量、公钥长度也与用户数量无关，仅与系统中的用户群组数目相关。

(3)计算效率高，本发明采用了密钥封装技术，在对具体的消息进行加密时使用的是对称加密，提高了加解密效率。在生成广播对称加密公有密钥K和广播发布方与广播授权接收用户群组私密通信的对称加密私有密钥K_i时，重复利用了广播密文头Hdr中的信息，减少密文量。

(4)安全性高：本发明具有机密性、抗合谋攻击性和选择明文攻击安全性。

附图说明

图1是本发明加解密过程的流程示意图。

具体实施方式

下面结合具体实施例对本发明做进一步详细的描述，但本发明的实施方式不限于此。

本实施例所述的标准模型下、抗选择明文攻击安全的，广播发布方利用广播信道发送密文信息，广播授权接收用户接收密文信息后，利用自身私钥，解密信息恢复出相应的明文信息。

一种面向多群组的广播加密方法，包括以下步骤：

步骤一：广播加密系统根据广播加密系统安全参数λ建立广播用户集合空间并生成广播加密系统的公钥PK以及主私钥MSK，并将公钥PK公开；

步骤二：私钥生成中心为每个广播授权接收用户生成用户私钥SK_ij并秘密发送至广播授权接收用户；广播授权接收用户可以分类为不同的广播授权接收用户群组。

步骤三：广播发布方生成广播对称加密公有密钥K、广播发布方与广播授权接收用户群组私密通信的对称加密私有密钥K_i以及广播密文头Hdr，然后根据公有密钥K的对称加密算法将广播发布方发送的广播授权接收用户的公有信息M进行加密并生成公有密文E_K(M)，以及根据私有密钥K_i的对称加密算法将广播发布方发送的广播授权接收用户群组的私有信息M_i进行加密并生成私有密文最后，广播发布方将公有密文E_K(M)、私有密文以及广播密文头Hdr发送至每个广播授权接收用户；

所述公有密钥K的对称加密算法和私有密钥K_i的对称加密算法为相同的对称加密算法；公有密钥K的对称加密算法和私有密钥K_i的对称加密算法均可以采用DES(数据加密标准)或AES(高级加密标准)，以及其他现有的对称加密算法。公有信息M为所有授权用户都可以接收的基础信息，私有信息M_i为只有广播授权接收用户群组可以接收的信息。

步骤四：广播授权接收用户在接收到所述公有密文E_K(M)、私有密文以及广播密文头Hdr后，若广播授权接收用户群组属于广播授权接收用户群组的集合，则根据所述用户私钥SK_ij与广播密文头Hdr恢复出公有密钥K与私有密钥K_i，再根据公有密钥K的对称加密算法将公有密文E_K(M)进行解密，以及根据私有密钥K_i的对称加密算法将私有密文进行解密，恢复出对应的明文信息。该解密过程采用步骤三中对称加密算法中的解密的算法。

上述步骤的具体流程为：

1、系统建立Setup(n)：广播加密系统运行广播加密系统建立算法，令n为广播授权接收用户群组的数目,G,G_T构成阶为素数p的双线性映射群，首先，随机选择生成元g,h∈G和α∈Z_p，生成i＝1,2,…,n,n+2,…,2n；

然后，选择随机数β,γ∈Z_P，生成V＝g^γ,Y＝g^β；

最后，得到主私钥为：MSK＝(α,β,γ)，

公钥为：PK＝(g,g₁,…,g_n,g_n+2,…,g_2n,V,Y)；

其中，g和h表示乘法循环群G的生成元，α表示循环群Z_p中的随机数，β，γ表示循环群Z_p中的随机数，Z_p表示模p的循环群。

2、密钥生成Keygen(MSK,PK)：对于每个广播授权接收用户群组i,(i∈[1,n])选择一个随机数s_i∈Z_p,i∈[1,n]，私钥生成中心生成每个广播授权接收用户群组i的群组公钥为：其中Y＝h^β，则生成广播授权接收用户群组i里的每个广播授权接收用户p_j的用户私钥SK_ij的步骤为：

(1)选择随机数m_j∈Z_P,n_j∈Z_P，使s_i＝(m_j+n_j)modp；

(2)生成

(3)生成其中

最终，每个广播授权接收用户p_j的用户私钥为：SK_ij＝(d_i,d_ij1,d_ij2)；

其中，s表示为每个广播授权接收用户群组i选择的一个随机数，i∈[1,n]，j表示自然数；g和h表示乘法循环群G的生成元，β，γ表示循环群Z_p中的随机数。

3、加密Enc(PK,S)：首先，该算法选择一个随机数t∈Z_p，广播加密系统生成广播对称加密公有密钥为：K＝e(g_n+1,g)^t＝e(g_n,g₁)^t，其中g₁＝g^α,

其次，生成广播发布方与广播授权接收用户群组私密通信的对称加密私有密钥为：

再次，生成广播密文头

然后，根据公有密钥K的对称加密算法将广播发布方发送的广播授权接收用户的公有信息M进行加密并生成公有密文E_K(M)，以及根据私有密钥K_i的对称加密算法将广播发布方发送的广播授权接收用户群组的私有信息M_i进行加密并生成私有密文

最后，广播发布方将公有密文E_K(M)、私有密文以及广播密文头Hdr发送至每个广播授权接收用户；

其中，t循环群Z_p中的随机数，g表示乘法循环群G的生成元，S表示广播授权接收用户群组的集合。

4、解密Dec(S,i,j,SK_ij,Hdr,PK)：令Hdr＝(C₀,C₁,C₂),则由上述可知C₀＝g^t，C₁＝Y^t，广播加密系统运行对称加密算法中的解密的算法，广播授权接收用户接收到公有密文E_K(M)、私有密文以及广播密文头Hdr后，若i∈S，则根据用户私钥SK_ij与广播密文头Hdr恢复公有密钥为：

恢复每个广播授权接收用户群组i的私有密钥为：

广播授权接收用户再根据公有密钥K的对称加密算法将公有密文E_K(M)进行解密，以及根据私有密钥K_i的对称加密算法将私有密文进行解密，恢复出对应的明文信息；

其中，Hdr＝(C₀,C₁,C₂)，C₀＝g^t，C₁＝Y^t，

本方法是一个标准模型下抗选择明文攻击安全的广播加密方案。当攻击者猜测密文对应的明文信息时，这里用A_win表示攻击者A能够正确的猜测出密文对应的明文信息。B_win来表示仿真算法B能够解决本方案所基于的数学困难问题，τ表示解决该数学困难问题的可能性。S表示广播授权接收用户群组的集合，|S|表示集合S中所有元素的数量。那么攻击者猜测正确的可能性为：

猜测错误的可能性为：

因此，猜测正确与错误的可能性相差Pr[B_win]-Pr′[B_win]＝τ/2。由于τ是可以忽略的，因此猜测正确与错误的可能性相同，故无法猜测出对应的明文信息。

本发明的方法执行效率具体包括计算效率和存储效率两个方面。计算效率上，加密时仅需做3次模指数运算，解密共用了4次双线性对运算，与其它同类方案比，本发明的设计简单高效。存储效率上，密文长度与用户私钥长度均为常量、系统公钥长度也与用户的数目无关，仅和广播系统中的广播授权接收用户群组数相关。综上所述，本发明的方法安全高效。

本发明利用广播加密技术与群加解密技术，拓展了广播加密的应用范围，使得广播加密可应用于多用户群组的环境。利用双线性映射等技术，降低了广播系统的密文量、系统公私钥的开销，减少了用户的计算量，降低了广播发布方的运算负担。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (5)

1.一种面向多群组的广播加密方法，其特征在于：包括以下步骤：

步骤一：广播加密系统根据广播加密系统安全参数λ建立广播用户集合空间并生成广播加密系统的公钥PK以及主私钥MSK，并将公钥PK公开；

步骤二：私钥生成中心为每个广播授权接收用户生成用户私钥SK_ij并秘密发送至广播授权接收用户；

步骤三：广播发布方生成广播对称加密公有密钥K、广播发布方与广播授权接收用户群组私密通信的对称加密私有密钥K_i以及广播密文头Hdr，然后根据公有密钥K的对称加密算法将广播发布方发送的广播授权接收用户的公有信息M进行加密并生成公有密文E_K(M)，以及根据私有密钥K_i的对称加密算法将广播发布方发送的广播授权接收用户群组的私有信息M_i进行加密并生成私有密文E_Ki(M_i)，最后，广播发布方将公有密文E_K(M)、私有密文E_Ki(M_i)以及广播密文头Hdr发送至每个广播授权接收用户；

所述公有密钥K的对称加密算法和所述私有密钥K_i的对称加密算法为相同的对称加密算法；

步骤四：广播授权接收用户在接收到所述公有密文E_K(M)、私有密文E_Ki(M_i)以及广播密文头Hdr后，若所述广播授权接收用户群组属于广播授权接收用户群组的集合，则根据所述用户私钥SK_ij与广播密文头Hdr恢复出公有密钥K与私有密钥K_i，再根据所述公有密钥K的对称加密算法将公有密文E_K(M)进行解密，以及根据所述私有密钥K_i的对称加密算法将私有密文E_Ki(M_i)进行解密，恢复出对应的明文信息。

2.根据权利要求1所述的一种面向多群组的广播加密方法，其特征在于：所述步骤一的具体步骤为：广播加密系统运行广播加密系统建立算法，首先，随机选择生成元g,h∈G和α∈Z_p，生成g_i＝gαⁱ，i＝1,2,…,n,n+2,…,2n；

然后，选择随机数β,γ∈Z_P，生成V＝g^γ,Y＝g^β；

最后，得到主私钥为：MSK＝(α,β,γ)，

公钥为：PK＝(g,g₁,…,g_n,g_n+2,…,g_2n,V,Y)；

其中，n表示广播授权接收用户群组的数目,G,G_T构成阶为素数p的双线性映射群，g和h表示乘法循环群G的生成元，α表示循环群Z_p中的随机数，β，γ表示循环群Z_p中的随机数，Z_p表示模p的循环群。

3.根据权利要求2所述的一种面向多群组的广播加密方法，其特征在于：所述步骤二的具体步骤为：选择一个随机数s_i∈Z_p,i∈[1,n]，私钥生成中心生成每个广播授权接收用户群组i的群组公钥为：其中Y＝h^β，则生成广播授权接收用户群组i里的每个广播授权接收用户p_j的用户私钥SK_ij的步骤为：

(1)选择随机数m_j∈Z_P,n_j∈Z_P，使s_i＝(m_j+n_j)modp；

(2)生成

(3)生成其中

每个广播授权接收用户p_j的用户私钥为：SK_ij＝(d_i,d_ij1,d_ij2)；

其中，s表示为每个广播授权接收用户群组i选择的一个随机数，i∈[1,n]，j表示自然数；g和h表示乘法循环群G的生成元，β，γ表示循环群Z_p中的随机数。

4.根据权利要求3所述的一种面向多群组的广播加密方法，其特征在于：所述步骤三的具体步骤为：首先，选择一个随机数t∈Z_p，广播加密系统生成公有密钥为：K＝e(g_n+1,g)^t＝e(g_n,g₁)^t，其中g₁＝g^α,

其次，生成私有密钥为：

再次，生成广播密文头

然后，根据公有密钥K的对称加密算法将广播发布方发送的广播授权接收用户的公有信息M进行加密并生成公有密文E_K(M)，以及根据私有密钥K_i的对称加密算法将广播发布方发送的广播授权接收用户群组的私有信息M_i进行加密并生成私有密文

最后，广播发布方将公有密文E_K(M)、私有密文以及广播密文头Hdr发送至每个广播授权接收用户；

其中，t循环群Z_p中的随机数，g表示乘法循环群G的生成元，S表示广播授权接收用户群组的集合。

5.根据权利要求4所述的一种面向多群组的广播加密方法，其特征在于：所述步骤四的具体步骤为：广播加密系统运行解密算法，广播授权接收用户接收到公有密文E_K(M)、私有密文以及广播密文头Hdr后，若i∈S，则根据用户私钥SK_ij与广播密文头Hdr恢复公有密钥为：

$\begin{array}{c}K=e(g_i,C_2)/e(d_i\·\underset{j\∈S,j\≠i}{\Π}{g}_{n+1-j+i},C_0)\\ =\frac{e(g^{{\mathrm{\α}}^i},{\left(g^{\mathrm{\γ}}\·\underset{j\∈S}{\Π}{g}_{n+1-j}\right)}^t)}{e(g^{{\mathrm{\γ\α}}^i}\·\underset{j\∈S,j\≠i}{\Π}{g}_{n+1-j+i},g^t)}\\ =\frac{e{(g,g)}^{{\mathrm{t\γ\α}}^i}\·e(g^{{\mathrm{\α}}^i},g^{t{\Σ}_{j\∈S}{\mathrm{\α}}^{n+1-j}})}{e{(g,g)}^{{\mathrm{t\γ\α}}^i}\·e(g^{{\Σ}_{j\∈S,j\≠i}{\mathrm{\α}}^{n+1-j+i}},g^t)}\\ =e{(g,g)}^{{\mathrm{t\α}}^{n+1}}=e(g_{n+1},g^t)=e{(g_n,g_1)}^t\end{array}$

恢复每个广播授权接收用户群组i的私有密钥为：

$\begin{array}{c}{K}_i=e(C_1,d_{ij1})\·e(C_0,d_{ij2})\\ =e(Y^t,h^{m_j})\·e(g^t,{\left(h^{\mathrm{\β}}\right)}^{n_j})\\ =e{(g,h)}^{{\mathrm{\βtm}}_j}\·e{(g,h)}^{{\mathrm{\βtn}}_j}\\ =e{(g,h)}^{{\mathrm{\βts}}_i}\end{array}$

广播授权接收用户再根据所述公有密钥K的对称加密算法将公有密文E_K(M)进行解密，以及根据所述私有密钥K_i的对称加密算法将私有密文进行解密，恢复出对应的明文信息；

其中，