CN107682158A

CN107682158A - 一种可托管的认证加密方法

Info

Publication number: CN107682158A
Application number: CN201710838702.0A
Authority: CN
Inventors: 王圣宝; 李振宇
Original assignee: Hangzhou Normal University
Current assignee: Hangzhou Normal University
Priority date: 2017-09-18
Filing date: 2017-09-18
Publication date: 2018-02-09
Anticipated expiration: 2037-09-18
Also published as: CN107682158B

Abstract

一种可托管认证加密方法，包括以下步骤：生成加密和解密的系统参数；选取随机数以及所述的系统参数，做为用户长期私钥，包括发送方，接收方以及托管方；根据所述系统参数和用户的长期私钥获得公钥，包括发送方，接收方以及托管方；计算得到一个仅由双方共享的秘密值；根据所述的共享秘密值结合托管方的公钥得到会话密钥，随机选取一个临时私钥，并对明文进行加密；接收方利用与发送方共享的秘密值来对密文进行解密；托管方利用自己的私钥来对密文进行解密。

Description

一种可托管的认证加密方法

技术领域

本发明涉及一种文件的认证加密方法。

技术背景

随着互联网的全面普及，信息安全越来越受到人们的重视。在一个安全的密码系统中，密钥起着至关重要的作用，只有掌握秘钥的合法用户才能执行加解密操作。在某些特定的环境中，有时候需要用户将密钥托管至可信第三方。例如，用户在使用服务的过程中可能丢失了自己的密钥，造成之前加密的文件不可解密，此时就需要密钥的备份，以便恢复明文；再有，为了满足公司或政府机关内部监管的需要，往往需要得到用户的密钥来解密文件。但是，考虑到密码学中的另一重要分支----数字签名，若要满足数字签名在法律意义上的不可抵赖性，仅仅利用一组公/私钥对来实现上述服务却天然存在缺陷。换句话说，让用户上交其解密私钥到可信任的托管中心(EA:Escrowagency)，虽然解决了上述问题，却带来了另一个问题：在传统公钥密码体系中，用于签名的私钥与用于解密的私钥相同，由于私钥不再由用户自己唯一掌管，在使用数字签名服务时，用户的签名将无法满足不可抵赖性，失去了数字签名的意义。

为了解决上述矛盾，通常的做法是利用“双证书模式”，即用于解密的公/私钥对与用于签名的公/私钥对是不同的。然而，两组公/私钥对，意味着需要两份公钥证书来证实，虽然看似解决了问题，却使得公钥基础设施(PKI:Public Key Infrastructure)颁发的证书数量加倍，大大加重了其证书管理的负担。同时，用户也需要管理两个私钥，包括解密私钥与签名私钥，在一定程度上也加重了用户端自身的负担。

2001年，Verheul提出的可托管公钥加密(E-PKE:Escrowable Public-KeyEncryption)方案，成功解决了上述难题。在该方案中，签名私钥不需要被托管也能够使用密文恢复的服务，仅使用一个公钥(即只需要一份公钥证书)，就能够实现签名的不可抵赖性和对消息的加密。用户用于签名的主密钥与托管给可信任第三方的托管解密密钥不同。自己所掌握的主私钥(Primary decryption key,记为K_P),利用K_P进行数字签名,而托管中心无法从托管解密密钥(Escrow decryption key,记为K_E)中得到K_P，如此一来,用户利用K_P进行数字签名就能够满足法律上的不可抵赖性。当用户丢失解密密钥需要托管中心提供恢复密文服务，或者当需要满足内部监管要求时，就可以利用K_E来实现托管解密服务。

Boneh-Franklin，介绍了全局托管ElGamal加密方案，在该方案中，由于每位用户的私钥均是利用托管中心的主私钥生成，因此该方案天然拥有托管加密的性质。然而，在该方案中，用户不能自己选择托管方，且托管方可以依靠其唯一的托管解密私钥，解密系统中所有用户的密文，属于被动方案。

刘文浩等人提出了两种可托管公钥加密方案，其中第二种在传统公钥加密方案的形式化安全模型下可达到选择明文安全。在该方案中，一个公钥对应着两个私钥，能使用户的解密权在不牺牲数字签名服务的前提下被托管，并且能够允许加密方以离线方式提前加密明文，效率较高。在这种方式下，用户可自行选择托管，如选择托管，需要通过安全行道将托管解密私钥K_E交付给托管中心，属于主动方案。

发明内容

本发明要克服现有技术上的缺点，提供一种可托管的认证加密方法，简化托管机构的密钥管理负担以及提高解密速度，同时能够提供认证性。

本发明的一种可托管认证加密方法，包括以下步骤：

步骤1：生成加密和解密的系统参数；给定一个安全参数k，其中k是一个整数，根据用户安全性需求指定其大小；输出两个阶为q的循环群G₁与G₂，同时生成群G₁的一个生成元P,以及一个双线性映射其中q是一个素数。选择一个杂凑函数H，规定其输出至少为160位。明文空间为M＝{0,1}ⁿ，密文空间为其中n整数。系统公共参数为<q,G₁,G₂,n,P,H>；

步骤2：选取随机数以及所述的系统参数，做为用户长期私钥，包括发送方，接收方以及托管方；随机选择一个整数x∈Z_q，其中Z_q＝{0,1,2,...,q-1}。作为发送方主解密私钥；随机选择一个整数y∈Z_q，作为接收方的主解密私钥；随机选择一个整数s∈Z_q，作为托管方主解密私钥；

步骤3：根据所述系统参数和用户的长期私钥获得公钥，包括发送方，接收方以及托管方；发送方的公钥为：接收方的公钥为：托管方的公钥为：

步骤4：计算得到一个仅由双方共享的秘密值；利用接收方与发送方的公私钥，计算由双方唯一共享的静态DH值(Static Diffie-Hellman Value),记为h_AB，h_AB＝H(xyP)；即该静态DH值只能由二者共享，任何第三方均无法获取；

步骤5：根据所述的共享秘密值并结合托管方的公钥得到会话密钥，随机选取一个临时私钥，并对明文进行加密；具体来说，对消息m∈M进行加密，随机选取选择r∈Z_q；利用步骤3中的和步骤4中的h_AB计算这里令接着计算令U＝rP，则密文C＝<U,V>。并将密文发送给接收方与托管方。

步骤6：接收方利用与发送方共享的秘密值来对密文进行解密；具体来说，接收方若需要对密文C＝<U,V>进行解密，利用步骤4中的h_AB和步骤5中的U,计算：利用S_K，计算如此接收方即可解密成功；其中一致性成立是因为：

步骤7：托管方利用自己的私钥来对密文进行解密；具体来说，托管方若需要对密文C＝<U,V>进行解密，利用步骤4中的s，即托管方的私钥，计算：利用步骤6中的S_K，计算如此托管方即可解密成功；其中一致性成立是因为：

本发明的优点是：托管方可直接使用自己的私钥进行解密，从而减轻托管方对于托管密钥管理的负担。用户无需上交自己的私钥，就可以实现托管功能，满足了签名的不可抵赖性的同时，使得证书数量减半。每位用户仅需一份公钥证书(一个公钥)，即可实现加解密、签名并使得托管中心可托管解密的三大功能，从而同时达成机密性、认证性、不可抵赖性及可控性等四种安全服务，大大减少了公钥证书管理的负担。最后，由于发送方与接收方所唯一共享的、用于加解密的静态Diffie-Hellman值是任何第三方不可生成的，所以具有认证性。

附图说明

图1是本发明的方法流程图。

具体实施方式：

下面结合附图进一步说明本发明方法的技术方案

本发明的一种可托管认证加密方法，包括以下步骤：系统初始化(Setup)，私钥生成(Key-Gen)，加密算法(Encryption)，解密算法(Decryption)，托管解密算法(Escrow-Decrypt)。具体包括：

步骤1：生成加密和解密的系统参数；给定一个安全参数k，其中k是一个整数，根据用户安全性需求指定其大小；输出两个阶为q的循环群G₁与G₂，同时生成群G₁的一个生成元P,以及一个双线性映射其中q是一个素数。选择一个杂凑函数H，规定其输出至少为160位。明文空间为M＝{0,1}ⁿ，密文空间为其中n整数系统公共参数为<q,G₁,G₂,n,P,H>；

步骤6与步骤7表明，无论是接收方还是托管方，其最终都可以获得相同的会话密钥，利用该会话密钥就可以对密文进行正确的解密。而该会话密钥在未获得接收方私钥或者托管方的私钥的前提下无法计算得知。在实际实现过程中，用户可自由选择托管方，在确定了需要托管的第三方后，只需将步骤5中中的更换成相应托管方的公钥即可。而其中的h_AB是由发送方A与接收方B利用双方的公私钥共同计算得出，因此，在未获得两者的私钥的前提下，该共享秘密值h_AB无法由第三方计算得出。在进一步保证通信安全的同时，更能够为双方提供认证性，即使在不使用数字签名的情况下，也无需担心内容遭敌手恶意篡改。

根据上述7个步骤，即实现了可托管的认证加密方案。托管方用于托管解密的私钥即自己的私钥，对于用户主私钥的信息一无所知，用户的主解密私钥)由用户唯一掌握，因此，用户的私钥在用于数字签名时，仍然满足法律上的不可抵赖性。只需要一份公钥证书对应一份公钥就可以同时满足数字签名与托管解密的条件。从而，利用传统的基于离散对数难题假设的数字签名方案，均可以提供不可抵赖服务。

本说明书实施例所述的内容仅仅是对发明构思的实现形式的列举，本发明的保护范围不应当被视为仅限于实施例所陈述的具体形式，本发明的保护范围也及于本领域技术人员根据本发明构思所能够想到的等同技术手段。

Claims

1.一种可托管认证加密方法，包括以下步骤：

步骤1：生成加密和解密的系统参数；给定一个安全参数k，其中k是一个整数，根据用户安全性需求指定其大小；输出两个阶为q的循环群G₁与G₂，同时生成群G₁的一个生成元P,以及一个双线性映射其中q是一个素数；选择一个杂凑函数H，规定其输出至少为160位；明文空间为M＝{0,1}ⁿ，密文空间为其中n整数系统公共参数为<q,G₁,G₂,n,P,H>；

步骤5：根据所述的共享秘密值并结合托管方的公钥得到会话密钥，随机选取一个临时私钥，并对明文进行加密；具体来说，对消息m∈M进行加密，随机选取选择r∈Z_q；利用步骤3中的和步骤4中的h_AB计算这里令接着计算令U＝rP，则密文C＝<U,V>；并将密文发送给接收方与托管方；

<mrow> <mover> <mi>e</mi> <mi>&Lambda;</mi> </mover> <msup> <mrow> <mo>(</mo> <msub> <mi>P</mi> <mrow> <msub> <mi>Pub</mi> <mi>E</mi> </msub> </mrow> </msub> <mo>,</mo> <msub> <mi>h</mi> <mrow> <mi>A</mi> <mi>B</mi> </mrow> </msub> <mi>P</mi> <mo>)</mo> </mrow> <mi>r</mi> </msup> <mo>=</mo> <mover> <mi>e</mi> <mi>&Lambda;</mi> </mover> <msup> <mrow> <mo>(</mo> <mi>s</mi> <mi>P</mi> <mo>,</mo> <msub> <mi>h</mi> <mrow> <mi>A</mi> <mi>B</mi> </mrow> </msub> <mi>P</mi> <mo>)</mo> </mrow> <mi>r</mi> </msup> <mo>=</mo> <mover> <mi>e</mi> <mi>&Lambda;</mi> </mover> <msup> <mrow> <mo>(</mo> <mi>s</mi> <mi>P</mi> <mo>,</mo> <mi>r</mi> <mi>P</mi> <mo>)</mo> </mrow> <msub> <mi>h</mi> <mrow> <mi>A</mi> <mi>B</mi> </mrow> </msub> </msup> <mo>=</mo> <msup> <mi>g</mi> <mi>r</mi> </msup> <mo>;</mo> </mrow>

<mrow> <mover> <mi>e</mi> <mi>&Lambda;</mi> </mover> <msup> <mrow> <mo>(</mo> <msub> <mi>P</mi> <mrow> <msub> <mi>Pub</mi> <mi>E</mi> </msub> </mrow> </msub> <mo>,</mo> <msub> <mi>h</mi> <mrow> <mi>A</mi> <mi>B</mi> </mrow> </msub> <mi>P</mi> <mo>)</mo> </mrow> <mi>r</mi> </msup> <mo>=</mo> <mover> <mi>e</mi> <mi>&Lambda;</mi> </mover> <msup> <mrow> <mo>(</mo> <mi>s</mi> <mi>P</mi> <mo>,</mo> <msub> <mi>h</mi> <mrow> <mi>A</mi> <mi>B</mi> </mrow> </msub> <mi>P</mi> <mo>)</mo> </mrow> <mi>r</mi> </msup> <mo>=</mo> <mover> <mi>e</mi> <mi>&Lambda;</mi> </mover> <msup> <mrow> <mo>(</mo> <mi>r</mi> <mi>P</mi> <mo>,</mo> <msub> <mi>h</mi> <mrow> <mi>A</mi> <mi>B</mi> </mrow> </msub> <mi>P</mi> <mo>)</mo> </mrow> <mi>s</mi> </msup> <mo>=</mo> <msup> <mi>g</mi> <mi>r</mi> </msup> <mo>.</mo> </mrow>