CN107294972B - 基于身份的广义多接收者匿名签密方法 - Google Patents

Abstract

本发明公开了一种基于身份的广义多接收者匿名签密方法，用于解决现有多接收者匿名签密方法复杂的技术问题。技术方案是利用sgn()函数作为身份函数，实现广义签密目的。在签名模式中，发送者是确定的而接收者是空缺的，利用符号函数能够消去和接收者有关的代数项，自动切换为签名方案。加密模式和签密模式的情况与签名模式类似，同样按照这种方法实现。更重要的是，本发明还保持了基础方案具有的基于身份的密码体制的特点，和完全匿名性、认证性、机密性和解密公平性的特点。能够根据需要自适应地切换成签密方法、签名方法或加密方法，与背景技术采用签名、加密和签密三个算法相比较，本发明只用一个算法，方法简单，且具有更强的适应性。

Description

基于身份的广义多接收者匿名签密方法

技术领域

本发明涉及一种多接收者匿名签密方法，特别是涉及一种基于身份的广义多接收者匿名签密方法。

背景技术

在面向组的多播与广播服务中，一对多是常用的数据传输方式。基于身份的多接收者签密是实现多播与广播密钥管理的一个关键技术。在该方法中，发送者只需进行一次签密操作，不同的接收者可以从其对应的密文中解签密得到不同的消息。基于身份的多接收者签密可以同时提供认证性和机密性，而且通信效率很高，是一种较为理想的一对多安全数据传输方法。

文献“Pang L,Li H.NMIBAS:a novel multi-receiver ID-based anonymoussigncryption with decryption fairness.Computing and Informatics,2013,32(3):441-460.”提出了一种新的多接收者匿名签密方法。该方法采用基于身份的密码体制，解决了传统的公钥基础设施(PKI)方法中存在的公钥证书管理问题。该方法实现了发送者和接收者双方的匿名性，能够有效保护参与者身份等隐私信息。此外，该方法具有认证性、机密性以及解密公平性，即能够防止由于在数据传输过程中部分密文的损坏而引起的部分接收者可以解签密，而其他接收者不可以解签密的问题。该文献提出的方法在网络会议等场合下有着广泛的应用。

在实际应用中，除了同时提供认证性和机密性，有时仅仅需要提供认证性或机密性中的一种。但是文献提到的方法不能自适应地切换成签密方法、签名方法或加密方法，在文献“韩益亮,杨晓元.ECDSA可公开验证广义签密.计算机学报,2006,29(11):2003-2012.”中，将具有这种特点的方法称为广义签密。广义签密具有极大的灵活性，可以利用一套密码算法有选择地实现认证性和机密性，因此在资源受限的设备上具有广泛的应用前景。但目前的广义签密方案仍工作在单个接收者的环境下，致使其无法应用在多接收者的环境下，另外现有的广义签密方案不能有效保护用户的隐私，导致用户的隐私被轻易泄露。

发明内容

为了克服现有多接收者匿名签密方法复杂的不足，本发明提供一种基于身份的广义多接收者匿名签密方法。该方法利用sgn()函数作为身份函数，实现广义签密目的。在签名模式中，发送者是确定的而接收者是空缺的，利用符号函数能够消去和接收者有关的代数项，自动切换为签名方案。加密模式和签密模式的情况与签名模式类似，同样按照这种方法实现。更重要的是，本发明还保持了基础方案具有的基于身份的密码体制的特点，和完全匿名性、认证性、机密性和解密公平性的特点。能够根据需要自适应地切换成签密方法、签名方法或加密方法，与背景技术采用签名、加密和签密三个算法相比较，本发明只用一个算法，方法简单，且具有更强的适应性和更大的灵活性。

本发明解决其技术问题所采用的技术方案是：一种基于身份的广义多接收者匿名签密方法，其特点是包括以下步骤：

步骤一、建立系统参数。这一步由私钥生成中心执行。

选择安全参数k，令G₁和G₂分别是阶同为q的加法循环群和乘法循环群，其中，q≥2^k为一个素数，令P是G₁的生成元，选择一个双线性映射e:G₁×G₁→G₂；随机选择一个整数

作为系统主密钥，令P_pub＝sP∈G₁是系统公钥。此外，随机选择P₀∈G₁，计算ω＝e(P_pub,P₀)；选择4个密码学单向哈希函数：H₁:{0,1}^*→G₁；H₂:

H₃:

H₄:

其中，{0,1}^*表示任意长度的比特串，l₀表示明文的比特长度。

最后，私钥生成中心公布系统参数params＝{G₁,G₂,q,e,P,P_pub,P₀,ω,H₁,H₂,H₃,H₄}，同时将s安全地保存起来。

步骤二、密钥生成。这一步由私钥生成中心执行。

输入params，s和参与者的身份ID∈{0,1}^*，私钥生成中心执行如下计算：

计算身份为ID的参与者的公钥：Q_ID＝H₁(ID)；

计算其私钥：d_ID＝sQ_ID。

步骤三、广义匿名签密。

如果|L|＝0，这里|L|表示发送者集合的元素个数，则参与算法的发送者集合为空集，算法认为发送者是空缺的；如果|L|>0，算法认为发送者是确定的。对于接收者而言，如果|L’|＝0，这里L’表示接收者集合，则接收者集合为空集，算法认为接收者是空缺的；如果|L’|>0，算法认为接收者是确定的。

令ID_S为消息的真实发送者，L’＝{ID₁’,ID₂’,...,ID_n’}表示由发送者挑选的n个接收者的集合。输入系统公开参数params和明文消息M，ID_S根据|L|和|L’|是否大于0，分三大类情况计算消息M的密文：

第一类如果|L|>0，此时又细分为两种情况。情况一：|L|>0且|L’|＝0，此时算法是签名模式。情况二：|L|>0且|L’|>0，此时算法是签密模式。这两种情况的密文都是按照以下步骤进行计算的：随机构造一个发送者的集合L＝{ID₁,ID₂,...,ID_m}，保证ID_S∈L而且

即集合L和L’的交集为空。这个集合是用来迷惑消息的接收者和敌手的，防止接收者和敌手获取到发送者的真实身份。

对每一个i∈{1,2,...,m}\{S}，其中\表示从集合{1,2,...,m}中除去S元素，随机选择一个整数u_i，计算R_i＝u_iP；

随机选择一个整数

然后计算

U＝sgn(|L’|)αP，σ＝ω^α以及

这里ω是由系统参数给出的，|L’|表示集合L’中的元素个数；

对每一个i∈{1,2,...,m}\{S}，其中\表示从集合{1,2,...,m}中除去S元素，计算h_i＝H₃(W,R_i)；

计算

这里，Q_S是ID_S的公钥。最后，令R＝{R₁,R₂,...,R_m}。

计算V＝(u_S+h_S)d_S，这里，h_S＝H₃(W,R_S)，d_S表示ID_S的私钥；

计算x_j＝H₄(ID_j′)和y_j＝α(P₀+Q_j')，这里j＝1,2,...,n，而且Q_j’表示ID_j’的公钥，因此，发送者能够得到n对值：(x₁,y₁)，(x₂,y₂)，...，(x_n,y_n)；

对每个j＝1,2,...,n，计算

其中，a_j,1,a_j,2,...,a_j,n∈Z_q；

对每个j＝1,2,...,n，计算

然后令T＝{T₁,T₂,...,T_n}；

定义明文M的密文为C＝{U,V,W,T,R,L}。

第二类如果|L|＝0且|L’|>0，此时算法是加密模式：

随机选择

计算U＝αP，σ＝ω^α，

令

其中

表示内容为空；

定义明文M的加密密文是C＝{U,V,W,T,R,L}，其中T的计算和第一类的计算方法相同。

第三类即|L|＝0且|L’|＝0，算法不做任何运算，返回错误并退出。

步骤四、解签密。

在执行这一步之前需要判断：

如果|L|＝0且|L’|>0，则执行下面的解密子算法；

否则如果|L|>0且|L’|＝0，则执行验证子算法；

否则，依次执行下面的三个算法。

输入密文C＝{U,V,W,T,R,L}和系统的公开参数params，每一个接收者ID_j’(j＝1,2,...,n)利用其私钥对C进行解密以得到M，有选择地执行下面的三个子算法：

验证子算法：这个子算法是用来检查集合L里发送者的有效性。

计算

其中h_i＝H₃(W,R_i)，i＝1,2,...,m。

检查等式e(V,P)＝e(K,P_pub)是否成立。如果成立，发送者一定在组L中；否则，停止算法。

判断子算法：这个子算法是用来检查接收者是否有解密权限。

检查等式e(V,Q_j')＝e(K,d_j')是否成立。如果成立，ID_j’有解密权限并执行下面的解密步骤；否则，ID_j’没有解密权限，算法停止。

解密子算法：

计算

其中，x_j＝H₄(ID_j’)，j＝1,2,...,n。

计算σ'＝e(P_pub,δ_j)·e(U,d_j')^-1。然后，计算

这里，M就是明文。

本发明的有益效果是：该方法利用sgn()函数作为身份函数，实现广义签密目的。在签名模式中，发送者是确定的而接收者是空缺的，利用符号函数能够消去和接收者有关的代数项，自动切换为签名方案。加密模式和签密模式的情况与签名模式类似，同样按照这种方法实现。更重要的是，本发明还保持了基础方案具有的基于身份的密码体制的特点，和完全匿名性、认证性、机密性和解密公平性的特点。能够根据需要自适应地切换成签密方法、签名方法或加密方法，与背景技术采用签名、加密和签密三个算法相比较，本发明只用一个算法，方法简单，且具有更强的适应性和更大的灵活性。

下面结合具体实施方式对本发明作详细说明。

具体实施方式

本实施例中变量及运算的符号说明。

本实例针对面向组的云服务订制的应用场合，实施基于身份的广义多接收者匿名签密的方法，下面对本发明作详细说明：

本发明基于身份的广义多接收者匿名签密方法具体步骤如下：

步骤一、系统参数建立。这一步由私钥生成中心(Private Key Generator，PKG)来执行。

选择安全参数k，令G₁和G₂分别是阶同为q的加法循环群和乘法循环群，其中q≥2^k为一个素数，令P是G₁的生成元，选择一个双线性映射e:G₁×G₁→G₂；随机选择一个整数

作为系统主密钥，令P_pub＝sP∈G₁是系统公钥。此外，随机选择P₀∈G₁，计算ω＝e(P_pub,P₀)；选择4个密码学单向哈希函数：H₁:{0,1}^*→G₁；H₂:

H₃:

H₄:

其中，{0,1}^*表示任意长度的比特串，l₀表示明文的比特长度。

最后，私钥生成中心公布系统参数params＝{G₁,G₂,q,e,P,P_pub,P₀,ω,H₁,H₂,H₃,H₄}，同时将s安全地保存起来。

步骤二、密钥生成。这一步由私钥生成中心(PKG)来执行。

输入params，s和云服务系统的参与者身份ID∈{0,1}^*，私钥生成中心执行如下计算：

计算身份为ID的参与者的公钥：Q_ID＝H₁(ID)；

计算其私钥：d_ID＝sQ_ID。

步骤三、广义匿名签密。

如果|L|＝0，这里|L|表示云服务提供者集合的元素个数，则参与算法的云服务提供者集合为空集，算法认为云服务提供者是空缺的；如果|L|>0，算法认为云服务提供者是确定的。对于订阅云服务的用户而言，如果|L’|＝0，这里L’表示订阅云服务的用户集合，则订阅云服务的用户集合为空集，算法认为订阅云服务的用户是空缺的；如果|L’|>0，算法认为订阅云服务的用户是确定的。

令ID_S为云服务的真实提供者，L’＝{ID₁’,ID₂’,...,ID_n’}表示由云服务提供者挑选的n个用户的集合。输入系统公开参数params和明文消息M，ID_S根据|L|和|L’|是否大于0，分三大类情况计算消息M的密文：

第一类如果|L|>0，此时又细分为两种情况。情况一：|L|>0且|L’|＝0，此时算法是签名模式。情况二：|L|>0且|L’|>0，此时算法是签密模式。这两种情况的密文都是按照以下步骤进行计算的：随机构造一个云服务提供者的集合L＝{ID₁,ID₂,...,ID_m}，保证ID_S∈L而且

即集合L和L’的交集为空。这个集合是用来迷惑订阅云服务的用户和敌手的，防止用户和敌手获取到云服务提供者的真实身份。

对每一个i∈{1,2,...,m}\{S}，其中\表示从集合{1,2,...,m}中除去S元素，随机选择一个整数u_i，计算R_i＝u_iP；

随机选择一个整数

然后计算

U＝sgn(|L’|)αP，σ＝ω^α以及

这里ω是由系统参数给出的，|L’|表示集合L’中的元素个数；

对每一个i∈{1,2,...,m}\{S}，其中\表示从集合{1,2,...,m}中除去S元素，计算h_i＝H₃(W,R_i)；

计算

这里，Q_S是ID_S的公钥。最后，令R＝{R₁,R₂,...,R_m}。

计算V＝(u_S+h_S)d_S，这里，h_S＝H₃(W,R_S)，d_S表示ID_S的私钥；

计算x_j＝H₄(ID_j′)和y_j＝α(P₀+Q_j')，这里j＝1,2,...,n，而且Q_j’表示ID_j’的公钥，因此，云服务提供者能够得到n对值：(x₁,y₁)，(x₂,y₂)，...，(x_n,y_n)；

对每个j＝1,2,...,n，计算

其中，a_j,1,a_j,2,...,a_j,n∈Z_q；

对每个j＝1,2,...,n，计算

然后令T＝{T₁,T₂,...,T_n}；

定义明文M的密文为C＝{U,V,W,T,R,L}。

第二类如果|L|＝0且|L’|>0，此时算法是加密模式：

随机选择

计算U＝αP，σ＝ω^α，

令

其中

表示内容为空；

定义明文M的加密密文是C＝{U,V,W,T,R,L}，其中T的计算和第一类的计算方法相同。

第三类即|L|＝0且|L’|＝0，算法不做任何运算，返回错误并退出。

步骤四、解签密。

在执行这一步之前需要判断：

如果|L|＝0且|L’|>0，则执行下面的解密子算法；

否则如果|L|>0且|L’|＝0，则执行验证子算法；

否则，依次执行下面的三个算法。

输入密文C＝{U,V,W,T,R,L}和系统的公开参数params，每一个用户ID_j’(j＝1,2,...,n)利用其私钥对C进行解密以得到M，可以有选择地执行下面的三个子算法：

验证子算法：这个子算法是用来检查集合L里云服务提供者的有效性。

计算

其中h_i＝H₃(W,R_i)，i＝1,2,...,m。

检查等式e(V,P)＝e(K,P_pub)是否成立。如果成立，云服务提供者一定在组L中；否则，停止算法。

判断子算法：这个子算法是用来检查用户是否有解密权限。

检查等式e(V,Q_j')＝e(K,d_j')是否成立。如果成立，ID_j’有解密权限并执行下面的解密步骤；否则，ID_j’没有解密权限，算法停止。

解密子算法：

计算

其中，x_j＝H₄(ID_j’)，j＝1,2,...,n。

计算σ'＝e(P_pub,δ_j)·e(U,d_j')^-1。然后，计算

这里，M就是明文。

Claims (1)

1.一种基于身份的广义多接收者匿名签密方法，其特征在于包括以下步骤：

步骤一、建立系统参数；这一步由私钥生成中心执行；

选择安全参数k，令G₁和G₂分别是阶同为q的加法循环群和乘法循环群，其中，q≥2^k为一个素数，令P是G₁的生成元，选择一个双线性映射e:G₁×G₁→G₂；随机选择一个整数s∈Z_q*作为系统主密钥，令P_pub＝sP∈G₁是系统公钥；此外，随机选择P₀∈G₁，计算ω＝e(P_pub,P₀)；选择4个密码学单向哈希函数：H₁:{0,1}^*→G₁；

其中，{0,1}^*表示任意长度的比特串，l₀表示明文的比特长度，

表示阶为q的正整数域；

最后，私钥生成中心公布系统参数params＝{G₁,G₂,q,e,P,P_pub,P₀,ω,H₁,H₂,H₃,H₄}，同时将s安全地保存起来；

步骤二、密钥生成；这一步由私钥生成中心执行；

输入params，s和参与者的身份ID∈{0,1}^*，私钥生成中心执行如下计算：

计算身份为ID的参与者的公钥：Q_ID＝H₁(ID)；

计算其私钥：d_ID＝sQ_ID；

步骤三、广义匿名签密；

如果|L|＝0，这里|L|表示发送者集合的元素个数，则参与算法的发送者集合为空集，算法认为发送者是空缺的；如果|L|>0，算法认为发送者是确定的；对于接收者而言，如果|L’|＝0，这里L’表示接收者集合，则接收者集合为空集，算法认为接收者是空缺的；如果|L’|>0，算法认为接收者是确定的；

令ID_S为消息的真实发送者，L’＝{ID₁’,ID₂’,...,ID_n’}表示由发送者挑选的n个接收者的集合；输入系统公开参数params和明文消息M，ID_S根据|L|和|L’|是否大于0，分三大类情况计算消息M的密文：

第一类如果|L|>0，此时又细分为两种情况；情况一：|L|>0且|L’|＝0，此时算法是签名模式；情况二：|L|>0且|L’|>0，此时算法是签密模式；这两种情况的密文都是按照以下步骤进行计算的：随机构造一个发送者的集合L＝{ID₁,ID₂,...,ID_m}，保证ID_S∈L而且

即集合L和L’的交集为空；这个集合是用来迷惑消息的接收者和敌手的，防止接收者和敌手获取到发送者的真实身份；

对每一个i∈{1,2,...,m}\{S}，其中\表示从集合{1,2,...,m}中除去S元素，随机选择一个整数u_i，计算R_i＝u_iP；

随机选择一个整数

然后计算

U＝sgn(|L’|)αP，σ＝ω^α以及

这里ω是由系统参数给出的，|L’|表示集合L’中的元素个数，M表示明文；

对每一个i∈{1,2,...,m}\{S}，其中\表示从集合{1,2,...,m}中除去S元素，计算h_i＝H₃(W,R_i)；

计算

这里，Q_S是ID_S的公钥；最后，令R＝{R₁,R₂,...,R_m}，

R表示密文的一部分，环签密份额组成的m元向量；

计算V＝(u_S+h_S)d_S，这里，h_S＝H₃(W,R_S)，d_S表示ID_S的私钥；

计算x_j＝H₄(ID_j′)和y_j＝α(P₀+Q_j')，这里j＝1,2,...,n，而且Q_j’表示ID_j’的公钥，因此，发送者能够得到n对值：(x₁,y₁)，(x₂,y₂)，...，(x_n,y_n)；

对每个j＝1,2,...,n，计算

其中，a_j,1,a_j,2,...,a_j,n∈Z_q；

对每个j＝1,2,...,n，计算

然后令T＝{T₁,T₂,...,T_n}；

定义明文M的密文为C＝{U,V,W,T,R,L}；

第二类如果|L|＝0且|L’|>0，此时算法是加密模式：

随机选择

计算U＝αP，σ＝ω^α，

令

其中

表示内容为空；

定义明文M的加密密文是C＝{U,V,W,T,R,L}，其中T的计算和第一类的计算方法相同；

第三类即|L|＝0且|L’|＝0，算法不做任何运算，返回错误并退出；

步骤四、解签密；

在执行这一步之前需要判断：

如果|L|＝0且|L’|>0，则执行下面的解密子算法；

否则如果|L|>0且|L’|＝0，则执行验证子算法；

否则，依次执行下面的三个算法；

输入密文C＝{U,V,W,T,R,L}和系统的公开参数params，每一个接收者ID_j’(j＝1,2,...,n)利用其私钥对C进行解密以得到M，有选择地执行下面的三个子算法：

验证子算法：这个子算法是用来检查集合L里发送者的有效性；

计算

其中h_i＝H₃(W,R_i)，i＝1,2,...,m；

检查等式e(V,P)＝e(K,P_pub)是否成立；如果成立，发送者一定在组L中；否则，停止算法；

判断子算法：这个子算法是用来检查接收者是否有解密权限；

检查等式e(V,Q_j')＝e(K,d_j')是否成立；如果成立，ID_j’有解密权限并执行下面的解密步骤；否则，ID_j’没有解密权限，算法停止；

解密子算法：

计算

其中，x_j＝H₄(ID_j’)，j＝1,2,...,n；

计算σ'＝e(P_pub,δ_j)·e(U,d_j')^-1；然后，计算

这里，M就是明文。