CN107682145A - 真实匿名的无证书多消息多接收者签密方法 - Google Patents

Abstract

本发明公开了一种真实匿名的无证书多消息多接收者签密方法，用于解决现有无证书多消息多接收者签密方法实用性差的技术问题。技术方案是用户选择一个秘密值作为部分私钥，并用这个秘密值来计算部分公钥，然后将部分公钥和自己的身份信息发送给密钥生成中心KGC。密钥生成中心生成对应的部分私钥和对应的部分公钥验证参数，然后通过安全信道发送给用户。用户收到对应的部分私钥和对应的部分公钥之后，验证其合法性，若能通过验证，则继续计算出自己的公钥和私钥，并公开公钥，否则停止操作；签密过程中不仅不包含发送者和接收者的身份信息，而且对要发送的多个不同的消息进行整体加密，只有授权的接收者可以解密验证密文消息，实用性好，效率高。

Description

真实匿名的无证书多消息多接收者签密方法

技术领域

本发明涉及一种无证书多消息多接收者签密方法，特别是涉及一种真实匿名的无证书多消息多接收者签密方法。

背景技术

文献“周彦伟,杨波,张文政.匿名的无证书多接收者签密机制.电子学报,2016,44(8):1784-1790.”中提出了一种匿名的无证书多消息多接收者签密方法。该方法存在以下缺点：该方法密文信息中不包括接收者的身份信息，但是攻击者可以通过密文参数和公开参数判断一个身份是否为合法的接收者的身份；将签密算法设计在椭圆曲线上，但是椭圆曲线的数乘运算比较多，导致加密过程中运算效率较低；未考虑发送者的匿名性；另外接收者只需解密自己的部分，若密文遭到破坏，可能导致部分接收者可以解密，部分不能解密。

发明内容

为了克服现有无证书多消息多接收者签密方法实用性差的不足，本发明提供一种真实匿名的无证书多消息多接收者签密方法。该方法的用户选择一个秘密值作为部分私钥，并用这个秘密值来计算部分公钥，然后用户将部分公钥和自己的身份信息发送给密钥生成中心KGC。密钥生成中心KGC根据收到的用户的身份信息和用户的部分公钥生成对应的部分私钥和对应的部分公钥验证参数，然后通过安全信道发送给用户。用户收到对应的部分私钥和对应的部分公钥之后，验证其合法性，若能通过验证，则继续计算出自己的公钥和私钥，并公开公钥，否则停止操作；签密过程中不仅不包含发送者和接收者的身份信息，而且对要发送的多个不同的消息进行整体加密，只有授权的接收者可以解密验证密文消息，实用性好且运算效率高。

本发明解决其技术问题所采用的技术方案是：一种真实匿名的无证书多消息多接收者签密方法，其特点是包括以下步骤：

(1)用户注册：

用户包括接收者和发送者，通过执行下列步骤获取自己的公钥和私钥。

(1a)用户随机选取一个整数严格保密并作为自己的秘密值x；

(1b)按照下式，用户计算验证份额D：

D＝xP

其中，D表示用户的验证份额，x表示用户的秘密值，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(1c)用户将自己的验证份额D和自己的身份信息ID发送给密钥生成中心KGC；

(1d)密钥生成中心KGC收到用户的验证份额D和身份信息ID后，随机选取一个整数r，按照下式计算用户的部分私钥验证参数W：

W＝rP

其中，W表示用户的部分私钥验证参数，r表示密钥生成中心KGC随机选取的整数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(1e)按照下式，密钥生成中心KGC计算用户的公钥PK：

PK＝D+H₀(ID,D,W)W

其中,PK表示用户的公钥，D表示用户的验证份额，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID表示用户的身份信息，W表示用户的部分私钥验证参数；

(1f)按照下式，密钥生成中心KGC计算用户的部分私钥y：

y＝s+rH₀(ID,D,W)

其中，y表示用户的部分私钥，s表示密钥生成中心KGC选取的密码系统主密钥，r表示密钥生成中心KGC随机选取的整数，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID表示用户的身份信息，D表示用户的验证份额，W表示用户的部分私钥验证参数；

(1g)密钥生成中心KGC将用户的部分私钥y和部分私钥验证参数W发送给用户；

(1h)按照下式，用户生成自己的私钥SK：

SK＝(x,y)

其中,SK表示用户的私钥，x表示用户的秘密值，y表示用户的部分私钥；

(1i)用户判断收到的部分私钥y和部分私钥验证参数W是否满足如下等式，若是，则执行步骤(1j)，否则，则执行步骤(1k)：

yP＝H₀(ID,D,W)P+P_pub

其中，y表示用户的部分私钥，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID表示用户的身份信息，D表示用户的验证份额，W表示用户的部分私钥验证参数，P_pub表示密钥生成中心KGC生成的密码系统公钥；

(1j)密钥生成中心KGC对外公布用户的公钥PK，用户秘密保存自己的私钥SK，之后退出用户注册过程；

(1k)用户向密钥生成中心KGC报错，并退出用户注册过程；

(2)发送者签密：

(2a)发送者S判断自己是否已经执行步骤(1)的用户注册过程，并获取自己的公钥PK_S和私钥SK_S，若是，则执行步骤(2b)，否则，发送者S执行步骤(1)获取自己的公钥PK_S和私钥SK_S后，执行步骤(2b)；

(2b)发送者S在已注册的用户中随机选取n个作为接收者R₁,R₂,…,R_n，其中，n表示大于0的整数；

(2c)发送者S随机选取整数t，按照下式，发送者S计算每一个接收者R_i的公钥隐藏信息K_i：

K_i＝t(PK_i+P_pub)

其中，K_i表示第i个接收者R_i的公钥隐藏信息，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，t表示发送者随机选取的整数，PK_i表示第i个接收者R_i的公钥，P_pub表示密钥生成中心KGC生成的密码系统公钥；

(2d)按照下式，发送者S计算发送者的签密验证份额T：

T＝tP

其中，T表示发送者的签密验证份额，t表示发送者随机选取的整数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(2e)按照下式，发送者S计算每一个接收者R_i的伪身份值α_i：

α_i＝H₁(ID_i,K_i,T)

其中，α_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，H₁表示密钥生成中心KGC选取的密码单向哈希函数，ID_i表示第i个接收者R_i的身份信息，K_i表示第i个接收者R_i的公钥隐藏信息，T表示发送者的签密验证份额；

(2f)发送者S随机选取整数θ作为伪密钥后，按照下式，发送者S构造接收者身份信息混合值f(u)：

其中，f(u)表示接收者身份信息混合值，u表示自变量，∏表示连乘操作，n表示发送者S在已注册的用户中随机选取的接收者的数目，i表示计数游标，α_i表示第i个接收者R_i的伪身份值，θ表示发送者S随机选取的伪密钥，mod表示求模操作，q表示密钥生成中心KGC选取的大素数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数；

(2g)按照下式，发送者S计算明文混合值M：

其中，M表示明文混合值，H₂表示密钥生成中心KGC选取的密码单向哈希函数，α_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，T表示发送者S的签密验证份额，||表示链接操作，H₃表示密钥生成中心KGC选取的密码单向哈希函数，⊕表示逐位异或操作，m_i表示要发送给第i个接收者R_i的明文,i＝1,2,…,n；

(2h)按照下式，发送者S计算加密消息密文V：

其中，V表示加密消息密文，E_k表示密钥生成中心KGC选取的对称加密算法，H₄表示密钥生成中心KGC选取的密码单向哈希函数，θ表示发送者S随机选取的伪密钥，M表示明文混合值；

(2i)按照下式，发送者S计算发送者的身份隐藏参数h：

h＝H₅(T,ID_s,M)

其中，h表示发送者S的身份隐藏参数，H₅表示密钥生成中心KGC选取的密码单向哈希函数，T表示发送者S的签密验证份额，ID_s表示发送者S的身份信息，M表示明文混合值；

(2j)按照下式，发送者S计算发送者的身份验证参数k：

k＝H₆(c₀,c₁,…,c_n-1,T,V)

其中，k表示发送者S的身份验证参数，H₆表示密钥生成中心KGC选取的密码单向哈希函数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，T表示发送者S的签密验证份额，V表示加密消息密文；

(2k)按照下式，发送者S计算发送者的伪私钥w：

其中，w表示发送者S的伪私钥，k表示发送者S的身份验证参数，t表示发送者S随机选取的整数，x_S表示发送者S的秘密值，y_S表示发送者的部分私钥，h表示发送者S的身份隐藏参数；

(2l)按照下式，发送者S计算发送者的公钥隐藏参数U：

U＝w(PK_S+P_pub+hP)+P_pub

其中，U表示发送者S的公钥隐藏参数，w表示发送者S的伪私钥，PK_S表示发送者S的公钥，P_pub表示密钥生成中心KGC生成的系统公钥，h表示发送者S的身份隐藏参数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(2m)按照下式，发送者S计算密文有效性参数Λ：

Λ＝H₇(M,θ,c₀,c₁,…,c_n-1,V,T,U)

其中，Λ表示密文有效性参数，H₇表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，θ表示发送者S随机选取的伪密钥，c₀,c₁,…,c_n-1表示接收者的身份信息混合值f(u)的系数，V表示加密消息密文，T表示发送者S的签密验证份额，U表示发送者S的公钥隐藏参数；

(2n)发送者S将接收者的身份信息混合值f(u)的系数c₀,c₁,…,c_n-1、发送者的签密验证份额T、加密消息密文V、发送者的公钥隐藏参数U和密文有效性参数Λ构成签密密文C，并对签密密文C进行广播；

(3)接收者解签密：

每个接收者R_i通过以下步骤进行解签密，其中i＝1,2,…,n：

(3a)接收者R_i计算发送者S的身份验证参数k：

k＝H₆(c₀,c₁,…,c_n-1,T,V)

其中，k表示发送者S的身份验证参数，H₆表示密钥生成中心KGC选取的密码单向哈希函数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，T表示发送者S的签密验证份额，V表示加密消息密文；

(3b)接收者R_i验证下式是否相等，如果相等则执行(3c),否则退出解签密过程：

U＝kT+P_pub

其中，U表示发送者S的公钥隐藏参数，k表示发送者S的身份验证参数，T表示发送者S的签密验证份额，P_pub表示密钥生成中心KGC生成的密码系统公钥；

(3c)按照下式，接收者R_i计算公钥隐藏信息K_i：

K_i＝(x_i+y_i)T

其中，K_i表示第i个接收者R_i的公钥隐藏信息，x_i表示第i个接收者R_i的秘密值，y_i表示第i个接收者R_i的部分私钥，T表示发送者S的签密验证份额；

(3d)按照下式，接收者R_i计算伪身份值α_i：

α_i＝H₁(ID_i,K_i,T)

其中，α_i表示第i个接收者R_i的伪身份值，H₁表示密钥生成中心KGC选取的密码单向哈希函数，ID_i表示第i个接收者R_i的身份信息，K_i表示第i个接收者R_i的公钥隐藏信息，T表示发送者S的签密验证份额；

(3e)按照下式，接收者R_i计算发送者S随机选取的伪密钥θ：

θ＝f(α_i)

其中，θ表示发送者S随机选取的伪密钥，f(u)表示接收者的身份信息混合值，u表示自变量，α_i表示第i个接收者R_i的伪身份值；

(3f)按照下式，接收者R_i计算明文混合值M：

其中，M表示明文混合值，D_k表示密钥生成中心KGC选取的对称解密算法，H₄表示密钥生成中心KGC选取的密码单向哈希函数，θ表示发送者S随机选取的伪密钥，V表示加密消息密文；

(3g)按照下式，接收者R_i计算权限参数Λ′：

Λ′＝H₇(M,θ,c₀,c₁,…,c_n-1,V,T,U)

其中，Λ′表示权限参数，H₇表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，θ表示发送者S随机选取的伪密钥，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，V表示加密消息密文，T表示发送者S的签密验证份额，U表示发送者S的公钥隐藏参数；

(3h)接收者判断权限参数Λ′与密文有效性参数Λ是否相等；若是，则执行步骤(3i),否则，解密失败，退出解签密过程；

(3i)接收者计算H₂(α_i,T)和H₃(α_i)，根据H₂(α_i,T)找出明文混合值M中对应的H₂(α_i,T)||H₃(α_i)⊕m_i，计算m_i＝(H₂(α_i)⊕m_i)⊕H₃(α_i)，并退出接收者解签密过程；

其中，H₂表示密钥生成中心KGC选取的密码单向哈希函数，α_i表示第i个接收者R_i的伪身份值，T表示发送者S的签密验证份额，H₃表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，||表示链接操作，⊕表示逐位异或操作，m_i表示要发送给第i个接收者的明文。

本发明的有益效果是：该方法的用户选择一个秘密值作为部分私钥，并用这个秘密值来计算部分公钥，然后用户将部分公钥和自己的身份信息发送给密钥生成中心KGC。密钥生成中心KGC根据收到的用户的身份信息和用户的部分公钥生成对应的部分私钥和对应的部分公钥验证参数，然后通过安全信道发送给用户。用户收到对应的部分私钥和对应的部分公钥之后，验证其合法性，若能通过验证，则继续计算出自己的公钥和私钥，并公开公钥，否则停止操作；签密过程中不仅不包含发送者和接收者的身份信息，而且对要发送的多个不同的消息进行整体加密，只有授权的接收者可以解密验证密文消息，实用性好且运算效率高。

下面结合具体实施方式对本发明作详细说明。

具体实施方式

名词解释：

KGC：密钥生成中心，为可信第三方，负责产生发送者和接收者的公私钥；

λ：密钥生成中心KGC选取的安全参数；

q：密钥生成中心KGC选取的大素数；

G_q：密钥生成中心KGC选取的一个有限域；

E：密钥生成中心KGC在有限域GF_q上选取的一条椭圆曲线；

P：密钥生成中心KGC选取的椭圆曲线E的一个生成元；

s：密钥生成中心KGC选取的密码系统主密钥；

P_pub：密钥生成中心KGC生成的密码系统公钥；

∈：限定域符号，例如A∈B，就是A属于B；

H_j：密钥生成中心KGC选取的密码单向哈希函数，其中j＝0,1,2,3,4,5,6,7；

A→B：定义域A到值域B的映射；

{0,1}^*：任意长的“0”或“1”构成的串；

×：笛卡尔乘积；

Z_q ^*：基于大素数q构成的非零乘法群；

k：对称密钥；

E_k：密钥生成中心KGC选取的对称加密算法；

D_k：密钥生成中心KGC选取的对称解密算法；

params：密码系统参数；

x：用户的秘密值；

D：用户的验证份额；

ID：用户的身份信息；

r：密钥生成中心KGC随机选取的整数；

W：用户的部分私钥验证参数；

PK：用户的公钥；

y：用户的部分私钥；

SK：用户的私钥；

S：发送者；

x_S：发送者S的秘密值；

D_S：发送者S的验证份额；

ID_S：发送者的身份信息；

r_s：密钥生成中心KGC为发送者S随机选取的整数；

W_S：发送者的部分私钥验证参数；

PK_S：发送者S的公钥；

y_S：发送者S的部分私钥；

SK_S：发送者S的私钥；

n：发送者S在已注册的用户中随机选取的接收者的数目；

R_i：第i个接收者,i＝1,2,…,n；

x_i：第i个接收者R_i的秘密值,i＝1,2,…,n；

D_i：第i个接收者R_i的验证份额,i＝1,2,…,n；

ID_i：第i个接收者R_i的身份信息,i＝1,2,…,n；

r_i：密钥生成中心KGC为接收者R_i随机选取的整数,i＝1,2,…,n；

W_i：第i个接收者R_i的部分私钥验证参数,i＝1,2,…,n；

PK_i：第i个接收者R_i的公钥,i＝1,2,…,n；

y_i：第i个接收者R_i的部分私钥,i＝1,2,…,n；

SK_i：第i个接收者R_i的私钥,i＝1,2,…,n；

t：发送者S随机选取的整数；

T：发送者S的签密验证份额；

K_i：第i个接收者R_i的公钥隐藏信息,i＝1,2,…,n；

α_i：第i个接收者R_i的伪身份值,i＝1,2,…,n；

f(u)：接收者身份信息混合值，其中u表示自变量；

∏：连乘操作；

θ：发送者S随机选取的伪密钥；

mod：求模操作；

c₀,c₁,…,c_n-1：接收者身份信息混合值f(u)的系数；

M：明文混合值；

⊕：逐位异或操作；

||：链接操作

m_i：要发送给第i个接收者R_i的明文；

V：加密消息密文；

h：发送者S的身份隐藏参数；

k：发送者S的身份验证参数；

w：发送者S的伪私钥；

U：发送者S的公钥隐藏参数；

Λ：密文有效性参数；

C：签密密文；

Λ′：权限参数。

本发明真实匿名的无证书多消息多接收者签密方法具体步骤如下：

(1)用户注册：

用户注册步骤中的用户包括接收者和发送者，均需通过执行下列步骤获取自己的公钥和私钥。

(1a)用户随机选取一个整数严格保密并作为自己的秘密值x；

(1b)按照下式，用户计算验证份额D：

D＝xP

其中，D表示用户的验证份额，x表示用户的秘密值，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(1c)用户将自己的验证份额D和自己的身份信息ID发送给密钥生成中心KGC；

(1d)密钥生成中心KGC收到用户的验证份额D和身份信息ID后，随机选取一个整数r，按照下式计算用户的部分私钥验证参数W：

W＝rP

其中，W表示用户的部分私钥验证参数，r表示密钥生成中心KGC随机选取的整数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(1e)按照下式，密钥生成中心KGC计算用户的公钥PK：

PK＝D+H₀(ID,D,W)W

其中,PK表示用户的公钥，D表示用户的验证份额，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID表示用户的身份信息，W表示用户的部分私钥验证参数；

(1f)按照下式，密钥生成中心KGC计算用户的部分私钥y：

y＝s+rH₀(ID,D,W)

其中，y表示用户的部分私钥，s表示密钥生成中心KGC选取的密码系统主密钥，r表示密钥生成中心KGC随机选取的整数，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID表示用户的身份信息，D表示用户的验证份额，W表示用户的部分私钥验证参数；

(1g)密钥生成中心KGC将用户的部分私钥y和部分私钥验证参数W发送给用户；

(1h)按照下式，用户生成自己的私钥SK：

SK＝(x,y)

其中,SK表示用户的私钥，x表示用户的秘密值，y表示用户的部分私钥；

(1i)用户判断收到的部分私钥y和部分私钥验证参数W是否满足如下等式，若是，则执行步骤(1j)，否则，则执行步骤(1k)：

yP＝H₀(ID,D,W)P+P_pub

其中，y表示用户的部分私钥，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID表示用户的身份信息，D表示用户的验证份额，W表示用户的部分私钥验证参数，P_pub表示密钥生成中心KGC生成的密码系统公钥；

(1j)密钥生成中心KGC对外公布用户的公钥PK，用户秘密保存自己的私钥SK，之后退出用户注册过程；

(1k)用户向密钥生成中心KGC报错，并退出用户注册过程；

(2)发送者签密：

(2a)发送者S判断自己是否已经执行步骤(1)的用户注册过程，并获取自己的公钥PK_S和私钥SK_S，若是，则执行步骤(2b)，否则，发送者S执行步骤(1)获取自己的公钥PK_S和私钥SK_S后，执行步骤(2b)；

(2b)发送者S在已注册的用户中随机选取n个作为接收者R₁,R₂,…,R_n，其中，n表示大于0的整数；

(2c)发送者S随机选取整数t，按照下式，发送者S计算每一个接收者R_i的公钥隐藏信息K_i：

K_i＝t(PK_i+P_pub)

其中，K_i表示第i个接收者R_i的公钥隐藏信息，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，t表示发送者随机选取的整数，PK_i表示第i个接收者R_i的公钥，P_pub表示密钥生成中心KGC生成的密码系统公钥；

(2d)按照下式，发送者S计算发送者的签密验证份额T：

T＝tP

其中，T表示发送者的签密验证份额，t表示发送者随机选取的整数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(2e)按照下式，发送者S计算每一个接收者R_i的伪身份值α_i：

α_i＝H₁(ID_i,K_i,T)

其中，α_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，H₁表示密钥生成中心KGC选取的密码单向哈希函数，ID_i表示第i个接收者R_i的身份信息，K_i表示第i个接收者R_i的公钥隐藏信息，T表示发送者的签密验证份额；

(2f)发送者S随机选取整数θ作为伪密钥后，按照下式，发送者S构造接收者身份信息混合值f(u)：

其中，f(u)表示接收者身份信息混合值，u表示自变量，∏表示连乘操作，n表示发送者S在已注册的用户中随机选取的接收者的数目，i表示计数游标，α_i表示第i个接收者R_i的伪身份值，θ表示发送者S随机选取的伪密钥，mod表示求模操作，q表示密钥生成中心KGC选取的大素数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数；

(2g)按照下式，发送者S计算明文混合值M：

M＝(H₂(α₁,T)||H₃(α₁)⊕m₁,...,H₂(α_i,T)||H₃(α_i)⊕m_i,...,H₂(α_n,T)||H₃(α_n)⊕m_n)

其中，M表示明文混合值，H₂表示密钥生成中心KGC选取的密码单向哈希函数，α_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，T表示发送者S的签密验证份额，||表示链接操作，H₃表示密钥生成中心KGC选取的密码单向哈希函数，⊕表示逐位异或操作，m_i表示要发送给第i个接收者R_i的明文,i＝1,2,…,n；

(2h)按照下式，发送者S计算加密消息密文V：

其中，V表示加密消息密文，E_k表示密钥生成中心KGC选取的对称加密算法，H₄表示密钥生成中心KGC选取的密码单向哈希函数，θ表示发送者S随机选取的伪密钥，M表示明文混合值；

(2i)按照下式，发送者S计算发送者的身份隐藏参数h：

h＝H₅(T,ID_s,M)

其中，h表示发送者S的身份隐藏参数，H₅表示密钥生成中心KGC选取的密码单向哈希函数，T表示发送者S的签密验证份额，ID_s表示发送者S的身份信息，M表示明文混合值；

(2j)按照下式，发送者S计算发送者的身份验证参数k：

k＝H₆(c₀,c₁,…,c_n-1,T,V)

其中，k表示发送者S的身份验证参数，H₆表示密钥生成中心KGC选取的密码单向哈希函数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，T表示发送者S的签密验证份额，V表示加密消息密文；

(2k)按照下式，发送者S计算发送者的伪私钥w：

其中，w表示发送者S的伪私钥，k表示发送者S的身份验证参数，t表示发送者S随机选取的整数，x_S表示发送者S的秘密值，y_S表示发送者的部分私钥，h表示发送者S的身份隐藏参数；

(2l)按照下式，发送者S计算发送者的公钥隐藏参数U：

U＝w(PK_S+P_pub+hP)+P_pub

其中，U表示发送者S的公钥隐藏参数，w表示发送者S的伪私钥，PK_S表示发送者S的公钥，P_pub表示密钥生成中心KGC生成的系统公钥，h表示发送者S的身份隐藏参数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(2m)按照下式，发送者S计算密文有效性参数Λ：

Λ＝H₇(M,θ,c₀,c₁,…,c_n-1,V,T,U)

其中，Λ表示密文有效性参数，H₇表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，θ表示发送者S随机选取的伪密钥，c₀,c₁,…,c_n-1表示接收者的身份信息混合值f(u)的系数，V表示加密消息密文，T表示发送者S的签密验证份额，U表示发送者S的公钥隐藏参数；

(2n)发送者S将接收者的身份信息混合值f(u)的系数c₀,c₁,…,c_n-1、发送者的签密验证份额T、加密消息密文V、发送者的公钥隐藏参数U和密文有效性参数Λ构成签密密文C，并对签密密文C进行广播；

(3)接收者解签密：

每个接收者R_i通过以下步骤进行解签密，其中i＝1,2,…,n：

(3a)接收者R_i计算发送者S的身份验证参数k：

k＝H₆(c₀,c₁,…,c_n-1,T,V)

其中，k表示发送者S的身份验证参数，H₆表示密钥生成中心KGC选取的密码单向哈希函数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，T表示发送者S的签密验证份额，V表示加密消息密文；

(3b)接收者R_i验证下式是否相等，如果相等则执行(3c),否则退出解签密过程：

U＝kT+P_pub

其中，U表示发送者S的公钥隐藏参数，k表示发送者S的身份验证参数，T表示发送者S的签密验证份额，P_pub表示密钥生成中心KGC生成的密码系统公钥；

(3c)按照下式，接收者R_i计算公钥隐藏信息K_i：

K_i＝(x_i+y_i)T

其中，K_i表示第i个接收者R_i的公钥隐藏信息，x_i表示第i个接收者R_i的秘密值，y_i表示第i个接收者R_i的部分私钥，T表示发送者S的签密验证份额；

(3d)按照下式，接收者R_i计算伪身份值α_i：

α_i＝H₁(ID_i,K_i,T)

其中，α_i表示第i个接收者R_i的伪身份值，H₁表示密钥生成中心KGC选取的密码单向哈希函数，ID_i表示第i个接收者R_i的身份信息，K_i表示第i个接收者R_i的公钥隐藏信息，T表示发送者S的签密验证份额；

(3e)按照下式，接收者R_i计算发送者S随机选取的伪密钥θ：

θ＝f(α_i)

其中，θ表示发送者S随机选取的伪密钥，f(u)表示接收者的身份信息混合值，u表示自变量，α_i表示第i个接收者R_i的伪身份值；

(3f)按照下式，接收者R_i计算明文混合值M：

M＝D_H4(θ)(V)

其中，M表示明文混合值，D_k表示密钥生成中心KGC选取的对称解密算法，H₄表示密钥生成中心KGC选取的密码单向哈希函数，θ表示发送者S随机选取的伪密钥，V表示加密消息密文；

(3g)按照下式，接收者R_i计算权限参数Λ′：

Λ′＝H₇(M,θ,c₀,c₁,…,c_n-1,V,T,U)

其中，Λ′表示权限参数，H₇表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，θ表示发送者S随机选取的伪密钥，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，V表示加密消息密文，T表示发送者S的签密验证份额，U表示发送者S的公钥隐藏参数；

(3h)接收者判断权限参数Λ′与密文有效性参数Λ是否相等；若是，则执行步骤(3i),否则，解密失败，退出解签密过程；

(3i)接收者计算H₂(α_i,T)和H₃(α_i)，根据H₂(α_i,T)找出明文混合值M中对应的H₂(α_i,T)||H₃(α_i)⊕m_i，计算m_i＝(H₂(α_i)⊕m_i)⊕H₃(α_i)，并退出接收者解签密过程；

其中，H₂表示密钥生成中心KGC选取的密码单向哈希函数，α_i表示第i个接收者R_i的伪身份值，T表示发送者S的签密验证份额，H₃表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，||表示链接操作，⊕表示逐位异或操作，m_i表示要发送给第i个接收者的明文。

应用实施例。

步骤1，密钥生成中心KGC生成系统参数。

密钥生成中心KGC根据系统安全参数λ选取大素数q，选取一个有限域G_q，并选取一条在有限域G_q上的安全椭圆曲线E，P为密钥生成中心KGC选取的椭圆曲线E的一个生成元；随机选密码系统主密钥s∈Z_q ^*并秘密保存，其中，∈表示限定域符号，Z_q ^*表示基于大素数q构成的非零乘法群；构造8个密码单向哈希函数，分别记为：

H₀：{0,1}^*×G_q×G_q→Z_q ^*；H₁：{0,1}^*×G_q×G_q→Z_q ^*；H₂：G_q×Z_q ^*→{0,1}^*；

H₃：Z_q ^*→{0,1}^*；H₄：Z_q ^*→{0,1}^*；

H₅：G_q×{0,1}^*×{0,1}^*→Z_q ^*；H₆：Z_q ^*×Z_q ^*×…×Z_q ^*×G_q×G_q→Z_q ^*；

H₇：{0,1}^*×Z_q ^*×Z_q ^*×…×Z_q ^*×{0,1}^*×Z_q ^*×G_q×G_q→Z_q ^*；

其中，H₀,H₁,H₂,H₃,H₄,H₅,H₆,H₇表示密钥生成中心KGC构造的8个密码单向哈希函数，A→B表示定义域A到值域B的映射，{0,1}^*表示任意长的“0”或“1”构成的串，G_q表示密钥生成中心KGC选取的一个有限域，×表示笛卡尔乘积，Z_q ^*表示基于大素数q构成的非零乘法群；

密钥生成中心KGC从现有的对称加密算法中任意选取一种对称加密算法E_k(如AES)，并选取与该对称加密算法对应的对称解密算法D_k；

密钥生成中心KGC构造并公开密码系统参数，密码系统参数的构造方法为：params＝<G_q,E,P,P_pub,H₀,H₁,H₂,H₃,H₄,H₅,H₆,H₇,E_k,D_k>；同时密钥生成中心KGC秘密保存密码系统主密钥s。

步骤2，发送者注册。

第一步，发送者S随机选取一个整数严格保密并作为自己的秘密值x_S∈Z_q ^*，发送者S计算自己的验证份额D_S为：D_S＝x_SP，其中，x_S表示发送者S的秘密值，∈表示限定域符号，Z_q ^*表示基于大素数q构成的非零乘法群，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元。

第二步，发送者S将自己的验证份额D_S和身份信息ID_S发送给密钥生成中心KGC。密钥生成中心KGC接收发送者S的验证份额V_s和身份信息ID_S后，随机选取整数r_S，按照下式计算发送者的部分私钥验证参数W_S：

W_S＝r_SP

其中，W_S表示发送者S的部分私钥验证参数，r_S表示密钥生成中心KGC随机选取的整数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

按照下式，密钥生成中心KGC计算发送者的公钥PK_S：

PK_S＝D_S+H₀(ID_S,D_S,W_S)W_S

其中,PK_S表示发送者S的公钥，D_S表示发送者S的验证份额,H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID_S表示发送者S的身份信息，W_S表示发送者S的部分私钥验证参数；

按照下式，密钥生成中心KGC计算发送者的部分私钥y_S：

y_S＝s+r_SH₀(ID_S,D_S,W_S)

其中，y_S表示发送者的部分私钥，s表示密钥生成中心KGC选取的密码系统主密钥，r_S表示密钥生成中心KGC随机选取的整数，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID_S表示发送者的身份信息，D_S表示发送者的验证份额，W_S表示发送者的部分私钥验证参数；

密钥生成中心KGC将发送者S的部分私钥验证参数W_S和发送者S的部分私钥y_S发送给发送者S。

发送者S接收自己的部分私钥验证参数W_S和部分私钥y_S后，按照下式，生成自己的私钥SK_S：

SK_S＝(x_S,y_S)

其中,SK_S表示发送者的私钥，x_S表示发送者S的秘密值，y_S表示发送者S的部分私钥；

发送者S判断自己的部分私钥y_S是否满足验证条件，若是，则通知密钥生成中心KGC执行本步骤的第三步，否则，向密钥生成中心KGC报错，并退出发送者注册过程。

发送者S的部分私钥y_S的验证条件是指判断如下等式是否成立，若等式成立，则表示满足部分私钥y_S的验证条件，若等式不成立，则表示不满足部分私钥y_S的验证条件：

y_SP＝H₀(ID_S,D_S,W_S)P+P_pub

其中，y_S表示发送者S的部分私钥，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID_S表示发送者S的身份信息，D_S表示发送者S的验证份额，W_S表示发送者S的部分公钥验证参数，P_pub表示密钥生成中心KGC生成的密码系统公钥；。

第三步，密钥生成中心KGC对外公布发送者S的公钥PK_S，发送者S秘密保存自己的私钥SK_S，并退出发送者注册过程。

步骤3，接收者注册。

第一步，接收者R_i随机选取x_i∈Z_q ^*作为自己的秘密值，按照下式计算自己的验证份额D_i：

D_i＝x_iP

其中，x_i表示接收者R_i的私钥，∈表示限定域符号，Z_q ^*表示基于大素数q构成的非零乘法群，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

第二步，接收者R_i将自己的验证份额D_i和身份信息ID_i发送给密钥生成中心KGC。密钥生成中心KGC接收到接收者R_i的验证份额D_i和身份信息ID_i后，随机选取整数r_i，按照下式计算接收者R_i的部分私钥验证参数W_i：

W_i＝r_iP

其中，W_i表示接收者的部分私钥验证参数，r_i表示密钥生成中心KGC随机选取的整数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

按照下式，密钥生成中心KGC计算接收者R_i的公钥PK_i：

PK_i＝D_i+H₀(ID_i,D_i,W_i)W_i

其中,PK_i表示发送者的公钥，D_i表示接收者的验证份额,H₀表示密码单向哈希函数，ID_i表示接收者R_i的身份信息，W_i表示接收者的部分私钥验证参数；

按照下式，密钥生成中心KGC计算接收者R_i的部分私钥y_i：

y_i＝s+r_iH₀(ID_i,D_i,W_i)

其中，y_i表示接收者R_i的部分私钥，s表示密钥生成中心KGC选取的密码系统主密钥，r_i表示密钥生成中心KGC随机选取的整数，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID_i表示接收者R_i的身份信息，D_i表示接收者R_i的验证份额，W_i表示接收者R_i的部分私钥验证参数；

密钥生成中心KGC将接收者R_i的部分私钥验证参数W_i、接收者R_i的部分私钥y_i发送给接收者R_i。

接收者S接收自己的部分私钥验证参数W_i和部分私钥y_i后，按照下式，生成自己的私钥SK_i：

SK_i＝(x_i,y_i)

其中,SK_i表示接收者的私钥，x_i表示第i个接收者R_i的秘密值，y_i表示接收者R_i的部分私钥；

接收者R_i判断自己的部分私钥y_s是否满足验证条件，若是，则通知密钥生成中心KGC执行本步骤的第三步，否则，向密钥生成中心KGC报错，并退出接收者注册过程。

接收者R_i的部分私钥y_i的验证条件是指判断如下等式是否成立，若等式成立，则表示满足部分私钥y_i的验证条件，若等式不成立，则表示不满足部分私钥y_i的验证条件：

y_SP＝H₀(ID_S,D_S,W_S)P+P_pub

其中，y_i表示接收者R_i的部分私钥，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID_i表示接收者R_i的身份信息，D_i表示接收者R_i的验证份额，W_i表示接收者R_i的部分公钥验证参数，P_pub表示密钥生成中心KGC生成的密码系统公钥；

第三步，密钥生成中心KGC对外公布接收者R_i的公钥PK_i，接收者R_i秘密保存自己的私钥SK_i，并退出接收者注册过程。

步骤4，发送者签密。

发送者S执行步骤2进行注册并获取自己的公钥PK_S和私钥SK_S之后，在步骤3已注册的用户中，随机选取n个接收者R₁,R₂,…,R_n，并计算每一个接收者R_i的公钥隐藏信息K_i＝t(PK_i+P_pub)、发送者的签密验证份额T＝tP和每一个接收者的伪身份值α_i＝H₁(ID_i,K_i,T)，其中，K_i表示第i个接收者R_i的公钥隐藏信息，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，t表示发送者随机选取的整数，PK_i表示第i个接收者R_i的公钥，P_pub表示密钥生成中心KGC生成的密码系统公钥，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元，ID_i表示第i个接收者R_i的身份信息。

发送者S随机选取θ∈Z_q ^*作为伪密钥，构造接收者身份信息混合值：其中，∈表示限定域符号，q表示密钥生成中心KGC选取的大素数，Z_q ^*表示基于大素数q构成的非零乘法群，f(u)表示接收者身份信息混合值，u表示自变量，∏表示连乘操作，n表示发送者S在已注册的用户中随机选取的接收者的数目，i表示计数游标，α_i表示第i个接收者R_i的伪身份值，θ表示发送者S随机选取的伪密钥，mod表示求模操作，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数；

发送者S计算明文混合值M＝(H₂(α₁,T)||H₃(α₁)⊕m₁,...,H₂(α_i,T)||H₃(α_i)⊕m_i,...,H₂(α_n,T)||H₃(α_n)⊕m_n)，其中，H₂表示密钥生成中心KGC选取的密码单向哈希函数，α_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，T表示发送者的签密验证份额，||表示链接操作，H₃表示密钥生成中心KGC选取的密码单向哈希函数，⊕表示逐位异或操作，m_i表示要发送给第i个接收者的明文；

发送者S计算加密消息密文其中，E_k表示密钥生成中心KGC选取的对称加密算法，H₄表示密钥生成中心KGC选取的密码单向哈希函数，θ表示发送者S随机选取的伪密钥，M表示明文混合值；

发送者S计算发送者的身份隐藏参数h＝H₅(T,ID_s,M)，其中，H₅表示密钥生成中心KGC选取的密码单向哈希函数，T表示发送者的签密验证份额，ID_s表示发送者的身份信息，M表示明文混合值；

发送者S计算发送者的身份验证参数k＝H₆(c₀,c₁,…,c_n-1,T,V)，其中，H₆表示密钥生成中心KGC选取的密码单向哈希函数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，T表示发送者的签密验证份额，V表示加密消息密文；

发送者S计算发送者的伪私钥其中，k表示发送者S的身份验证参数，t表示发送者S随机选取的整数，x_S表示发送者S的秘密值，y_S表示发送者S的部分私钥，h表示发送者S的身份隐藏参数；

发送者S计算发送者的公钥隐藏参数U＝w(PK_S+P_pub+hP)+P_pub，其中，w表示发送者S的伪私钥，PK_S表示发送者S的公钥，P_pub表示密钥生成中心KGC生成的密码系统公钥，h表示发送者S的身份隐藏参数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

发送者S计算密文有效性参数Λ＝H₇(M,θ,c₀,c₁,…,c_n-1,V,T,U)，其中，H₇表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，θ表示发送者S随机选取的伪密钥，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，V表示加密消息密文，T表示发送者S的签密验证份额，U表示发送者S的公钥隐藏参数；

发送者S将接收者身份信息混合值f(u)的系数c₀,c₁,…,c_n-1、发送者的签密验证份额T，加密消息密文V、发送者的公钥隐藏参数U和密文有效性参数Λ构成签密密文C＝<c₀,c₁,…,c_n-1,T,V,U,Λ>，并对签密密文C进行广播。

步骤5，接收者解签密。

接收者R_i执行步骤3进行注册并获取自己的公钥PK_i和私钥SK_i后，按照下式，接收者R_i验证下式是否相等，如果相等则执行(2d),否则退出解签密过程：

U＝kT+P_pub

其中，U表示发送者S的公钥隐藏参数，k表示发送者S的身份验证参数，T表示发送者S的签密验证份额，P_pub表示密钥生成中心KGC生成的密码系统公钥；

按照下式，接收者R_i计算公钥隐藏信息K_i：

K_i＝(x_i+y_i)T

其中，K_i表示表示第i个接收者R_i的公钥隐藏信息，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，x_i表示第i个接收者R_i的秘密值，y_i表示第i个接收者R_i的部分私钥，T表示发送者S的签密验证份额；

按照下式，接收者R_i计算伪身份值α_i：

α_i＝H₁(ID_i,K_i,T)

其中，α_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，H₁表示密钥生成中心KGC选取的密码单向哈希函数，ID_i表示第i个接收者R_i的身份信息，K_i表示第i个接收者R_i的公钥隐藏信息，T表示发送者S的签密验证份额；

按照下式，接收者R_i计算发送者S随机选取的伪密钥θ：

θ＝f(α_i)

其中，θ表示发送者S随机选取的伪密钥，f(u)表示接收者身份信息混合值，u表示自变量，α_i表示第i个接收者R_i的伪身份值；

按照下式，接收者R_i计算明文混合值M：

M＝D_H4(θ)(V)

其中，M表示明文混合值，D_k表示对称解密算法，H₄表示密钥生成中心KGC选取的密码单向哈希函数，θ表示发送者S随机选取的伪密钥，V表示加密消息密文；

按照下式，接收者R_i计算权限参数Λ′：

Λ′＝H₇(M,θ,c₀,c₁,…,c_n-1,V,T,U)

其中，Λ′表示权限参数，H₇表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，θ表示发送者S随机选取的伪密钥，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，V表示加密消息密文，T表示发送者的签密验证份额，U表示发送者S的公钥隐藏参数；

接收者判断权限参数Λ′与密文有效性参数Λ是否相等；若是，则继续往下执行,否则，解密失败，退出解签密过程；

接收者计算H₂(α_i,T)和H₃(α_i)，根据H₂(α_i,T)找出明文混合值M中对应的H₂(α_i,T)||H₃(α_i)⊕m_i，计算m_i＝(H₂(α₃)⊕m_i)⊕H₃(α_i)，接收者R_i接受明文消息m_i，并退出接收者解密过程；

其中，H₂表示密钥生成中心KGC选取的密码单向哈希函数，α_i表示第i个接收者R_i的伪身份值，n表示发送者S在已注册的用户中随机选取的接收者的数目，i＝1,2,…,n，T表示发送者的签密验证份额，H₃表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，||表示链接操作，⊕表示逐位异或操作，m_i表示要发送给第i个接收者的明文。

Claims (1)

1.一种真实匿名的无证书多消息多接收者签密方法，其特征在于包括以下步骤：

(1)用户注册：

用户包括接收者和发送者，通过执行下列步骤获取自己的公钥和私钥；

(1a)用户随机选取一个整数严格保密并作为自己的秘密值x；

(1b)按照下式，用户计算验证份额D：

D＝xP

其中，D表示用户的验证份额，x表示用户的秘密值，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(1c)用户将自己的验证份额D和自己的身份信息ID发送给密钥生成中心KGC；

(1d)密钥生成中心KGC收到用户的验证份额D和身份信息ID后，随机选取一个整数r，按照下式计算用户的部分私钥验证参数W：

W＝rP

其中，W表示用户的部分私钥验证参数，r表示密钥生成中心KGC随机选取的整数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(1e)按照下式，密钥生成中心KGC计算用户的公钥PK：

PK＝D+H₀(ID,D,W)W

其中,PK表示用户的公钥，D表示用户的验证份额，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID表示用户的身份信息，W表示用户的部分私钥验证参数；

(1f)按照下式，密钥生成中心KGC计算用户的部分私钥y：

y＝s+rH₀(ID,D,W)

其中，y表示用户的部分私钥，s表示密钥生成中心KGC选取的密码系统主密钥，r表示密钥生成中心KGC随机选取的整数，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID表示用户的身份信息，D表示用户的验证份额，W表示用户的部分私钥验证参数；

(1g)密钥生成中心KGC将用户的部分私钥y和部分私钥验证参数W发送给用户；

(1h)按照下式，用户生成自己的私钥SK：

SK＝(x,y)

其中,SK表示用户的私钥，x表示用户的秘密值，y表示用户的部分私钥；

(1i)用户判断收到的部分私钥y和部分私钥验证参数W是否满足如下等式，若是，则执行步骤(1j)，否则，则执行步骤(1k)：

yP＝H₀(ID,D,W)P+P_pub

其中，y表示用户的部分私钥，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元，H₀表示密钥生成中心KGC选取的密码单向哈希函数，ID表示用户的身份信息，D表示用户的验证份额，W表示用户的部分私钥验证参数，P_pub表示密钥生成中心KGC生成的密码系统公钥；

(1j)密钥生成中心KGC对外公布用户的公钥PK，用户秘密保存自己的私钥SK，之后退出用户注册过程；

(1k)用户向密钥生成中心KGC报错，并退出用户注册过程；

(2)发送者签密：

(2a)发送者S判断自己是否已经执行步骤(1)的用户注册过程，并获取自己的公钥PK_S和私钥SK_S，若是，则执行步骤(2b)，否则，发送者S执行步骤(1)获取自己的公钥PK_S和私钥SK_S后，执行步骤(2b)；

(2b)发送者S在已注册的用户中随机选取n个作为接收者R₁,R₂,…,R_n，其中，n表示大于0的整数；

(2c)发送者S随机选取整数t，按照下式，发送者S计算每一个接收者R_i的公钥隐藏信息K_i：

K_i＝t(PK_i+P_pub)

其中，K_i表示第i个接收者R_i的公钥隐藏信息，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，t表示发送者随机选取的整数，PK_i表示第i个接收者R_i的公钥，P_pub表示密钥生成中心KGC生成的密码系统公钥；

(2d)按照下式，发送者S计算发送者的签密验证份额T：

T＝tP

其中，T表示发送者的签密验证份额，t表示发送者随机选取的整数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(2e)按照下式，发送者S计算每一个接收者R_i的伪身份值α_i：

α_i＝H₁(ID_i,K_i,T)

其中，α_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，H₁表示密钥生成中心KGC选取的密码单向哈希函数，ID_i表示第i个接收者R_i的身份信息，K_i表示第i个接收者R_i的公钥隐藏信息，T表示发送者的签密验证份额；

(2f)发送者S随机选取整数θ作为伪密钥后，按照下式，发送者S构造接收者身份信息混合值f(u)：

<mrow> <mi>f</mi> <mrow> <mo>(</mo> <mi>u</mi> <mo>)</mo> </mrow> <mo>=</mo> <munderover> <mo>&amp;Pi;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <mrow> <mo>(</mo> <mi>u</mi> <mo>-</mo> <msub> <mi>&amp;alpha;</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mo>+</mo> <mi>&amp;theta;</mi> <mrow> <mo>(</mo> <mi>mod</mi> <mi>q</mi> <mo>)</mo> </mrow> <mo>=</mo> <msup> <mi>u</mi> <mi>n</mi> </msup> <mo>+</mo> <msub> <mi>c</mi> <mrow> <mi>n</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <msup> <mi>u</mi> <mrow> <mi>n</mi> <mo>-</mo> <mn>1</mn> </mrow> </msup> <mo>+</mo> <mn>...</mn> <mo>+</mo> <msub> <mi>c</mi> <mn>1</mn> </msub> <mi>u</mi> <mo>+</mo> <msub> <mi>c</mi> <mn>0</mn> </msub> </mrow>

其中，f(u)表示接收者身份信息混合值，u表示自变量，∏表示连乘操作，n表示发送者S在已注册的用户中随机选取的接收者的数目，i表示计数游标，α_i表示第i个接收者R_i的伪身份值，θ表示发送者S随机选取的伪密钥，mod表示求模操作，q表示密钥生成中心KGC选取的大素数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数；

(2g)按照下式，发送者S计算明文混合值M：

<mrow> <mi>M</mi> <mo>=</mo> <mrow> <mo>(</mo> <msub> <mi>H</mi> <mn>2</mn> </msub> <mo>(</mo> <mrow> <msub> <mi>&amp;alpha;</mi> <mn>1</mn> </msub> <mo>,</mo> <mi>T</mi> </mrow> <mo>)</mo> <mo>|</mo> <mo>|</mo> <msub> <mi>H</mi> <mn>3</mn> </msub> <mo>(</mo> <msub> <mi>&amp;alpha;</mi> <mn>1</mn> </msub> <mo>)</mo> <mo>&amp;CirclePlus;</mo> <mi>n</mi> <mo>,</mo> <mn>...</mn> <mo>,</mo> <msub> <mi>H</mi> <mn>2</mn> </msub> <mo>(</mo> <mrow> <msub> <mi>&amp;alpha;</mi> <mi>i</mi> </msub> <mo>,</mo> <mi>T</mi> </mrow> <mo>)</mo> <mo>|</mo> <mo>|</mo> <msub> <mi>H</mi> <mn>3</mn> </msub> <mo>(</mo> <msub> <mi>&amp;alpha;</mi> <mi>i</mi> </msub> <mo>)</mo> <mo>&amp;CirclePlus;</mo> <msub> <mi>m</mi> <mi>i</mi> </msub> <mo>,</mo> <mn>...</mn> <mo>,</mo> <msub> <mi>H</mi> <mn>2</mn> </msub> <mo>(</mo> <mrow> <msub> <mi>&amp;alpha;</mi> <mi>n</mi> </msub> <mo>,</mo> <mi>T</mi> </mrow> <mo>)</mo> <mo>|</mo> <mo>|</mo> <msub> <mi>H</mi> <mn>3</mn> </msub> <mo>(</mo> <msub> <mi>&amp;alpha;</mi> <mi>n</mi> </msub> <mo>)</mo> <mo>&amp;CirclePlus;</mo> <msub> <mi>m</mi> <mi>n</mi> </msub> <mo>)</mo> </mrow> </mrow>

其中，M表示明文混合值，H₂表示密钥生成中心KGC选取的密码单向哈希函数，α_i表示第i个接收者R_i的伪身份值，i＝1,2,…,n，n表示发送者S在已注册的用户中随机选取的接收者的数目，T表示发送者S的签密验证份额，||表示链接操作，H₃表示密钥生成中心KGC选取的密码单向哈希函数，表示逐位异或操作，m_i表示要发送给第i个接收者R_i的明文,i＝1,2,…,n；

(2h)按照下式，发送者S计算加密消息密文V：

<mrow> <mi>V</mi> <mo>=</mo> <msub> <mi>E</mi> <mrow> <msub> <mi>H</mi> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mi>&amp;theta;</mi> <mo>)</mo> </mrow> </mrow> </msub> <mrow> <mo>(</mo> <mi>M</mi> <mo>)</mo> </mrow> </mrow>

其中，V表示加密消息密文，E_k表示密钥生成中心KGC选取的对称加密算法，H₄表示密钥生成中心KGC选取的密码单向哈希函数，θ表示发送者S随机选取的伪密钥，M表示明文混合值；

(2i)按照下式，发送者S计算发送者的身份隐藏参数h：

h＝H₅(T,ID_s,M)

其中，h表示发送者S的身份隐藏参数，H₅表示密钥生成中心KGC选取的密码单向哈希函数，T表示发送者S的签密验证份额，ID_s表示发送者S的身份信息，M表示明文混合值；

(2j)按照下式，发送者S计算发送者的身份验证参数k：

k＝H₆(c₀,c₁,…,c_n-1,T,V)

其中，k表示发送者S的身份验证参数，H₆表示密钥生成中心KGC选取的密码单向哈希函数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，T表示发送者S的签密验证份额，V表示加密消息密文；

(2k)按照下式，发送者S计算发送者的伪私钥w：

<mrow> <mi>w</mi> <mo>=</mo> <mfrac> <mrow> <mi>k</mi> <mi>t</mi> </mrow> <mrow> <msub> <mi>x</mi> <mi>S</mi> </msub> <mo>+</mo> <msub> <mi>y</mi> <mi>S</mi> </msub> <mo>+</mo> <mi>h</mi> </mrow> </mfrac> </mrow>

其中，w表示发送者S的伪私钥，k表示发送者S的身份验证参数，t表示发送者S随机选取的整数，x_S表示发送者S的秘密值，y_S表示发送者的部分私钥，h表示发送者S的身份隐藏参数；

(2l)按照下式，发送者S计算发送者的公钥隐藏参数U：

U＝w(PK_S+P_pub+hP)+P_pub

其中，U表示发送者S的公钥隐藏参数，w表示发送者S的伪私钥，PK_S表示发送者S的公钥，P_pub表示密钥生成中心KGC生成的系统公钥，h表示发送者S的身份隐藏参数，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元；

(2m)按照下式，发送者S计算密文有效性参数Λ：

Λ＝H₇(M,θ,c₀,c₁,…,c_n-1,V,T,U)

其中，Λ表示密文有效性参数，H₇表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，θ表示发送者S随机选取的伪密钥，c₀,c₁,…,c_n-1表示接收者的身份信息混合值f(u)的系数，V表示加密消息密文，T表示发送者S的签密验证份额，U表示发送者S的公钥隐藏参数；

(2n)发送者S将接收者的身份信息混合值f(u)的系数c₀,c₁,…,c_n-1、发送者的签密验证份额T、加密消息密文V、发送者的公钥隐藏参数U和密文有效性参数Λ构成签密密文C，并对签密密文C进行广播；

(3)接收者解签密：

每个接收者R_i通过以下步骤进行解签密，其中i＝1,2,…,n：

(3a)接收者R_i计算发送者S的身份验证参数k：

k＝H₆(c₀,c₁,…,c_n-1,T,V)

其中，k表示发送者S的身份验证参数，H₆表示密钥生成中心KGC选取的密码单向哈希函数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，T表示发送者S的签密验证份额，V表示加密消息密文；

(3b)接收者R_i验证下式是否相等，如果相等则执行(3c),否则退出解签密过程：

U＝kT+P_pub

其中，U表示发送者S的公钥隐藏参数，k表示发送者S的身份验证参数，T表示发送者S的签密验证份额，P_pub表示密钥生成中心KGC生成的密码系统公钥；

(3c)按照下式，接收者R_i计算公钥隐藏信息K_i：

K_i＝(x_i+y_i)T

其中，K_i表示第i个接收者R_i的公钥隐藏信息，x_i表示第i个接收者R_i的秘密值，y_i表示第i个接收者R_i的部分私钥，T表示发送者S的签密验证份额；

(3d)按照下式，接收者R_i计算伪身份值α_i：

α_i＝H₁(ID_i,K_i,T)

其中，α_i表示第i个接收者R_i的伪身份值，H₁表示密钥生成中心KGC选取的密码单向哈希函数，ID_i表示第i个接收者R_i的身份信息，K_i表示第i个接收者R_i的公钥隐藏信息，T表示发送者S的签密验证份额；

(3e)按照下式，接收者R_i计算发送者S随机选取的伪密钥θ：

θ＝f(α_i)

其中，θ表示发送者S随机选取的伪密钥，f(u)表示接收者的身份信息混合值，u表示自变量，α_i表示第i个接收者R_i的伪身份值；

(3f)按照下式，接收者R_i计算明文混合值M：

<mrow> <mi>M</mi> <mo>=</mo> <msub> <mi>D</mi> <mrow> <msub> <mi>H</mi> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mi>&amp;theta;</mi> <mo>)</mo> </mrow> </mrow> </msub> <mrow> <mo>(</mo> <mi>V</mi> <mo>)</mo> </mrow> </mrow>

其中，M表示明文混合值，D_k表示密钥生成中心KGC选取的对称解密算法，H₄表示密钥生成中心KGC选取的密码单向哈希函数，θ表示发送者S随机选取的伪密钥，V表示加密消息密文；

(3g)按照下式，接收者R_i计算权限参数Λ′：

Λ′＝H₇(M,θ,c₀,c₁,…,c_n-1,V,T,U)

其中，Λ′表示权限参数，H₇表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，θ表示发送者S随机选取的伪密钥，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数，V表示加密消息密文，T表示发送者S的签密验证份额，U表示发送者S的公钥隐藏参数；

(3h)接收者判断权限参数Λ′与密文有效性参数Λ是否相等；若是，则执行步骤(3i),否则，解密失败，退出解签密过程；

(3i)接收者计算H₂(α_i,T)和H₃(α_i)，根据H₂(α_i,T)找出明文混合值M中对应的计算并退出接收者解签密过程；

其中，H₂表示密钥生成中心KGC选取的密码单向哈希函数，α_i表示第i个接收者R_i的伪身份值，T表示发送者S的签密验证份额，H₃表示密钥生成中心KGC选取的密码单向哈希函数，M表示明文混合值，||表示链接操作，表示逐位异或操作，m_i表示要发送给第i个接收者的明文。