CN108833345A - 可追踪匿名发送者身份的无证书多接收者签密方法 - Google Patents

Abstract

本发明公开了一种可追踪匿名发送者身份的无证书多接收者签密方法，用于解决现有无证书多接收者签密方法实用性差的技术问题。技术方案是首先由用户和密钥生成中心KGC合作生成用户的公钥与私钥；其次，发送者在已注册的用户中选取多个接收者，然后利用自己的私钥、自己的公钥、接收者的公钥和系统参数对明文消息进行签密运算以得到签密密文，并对签密密文进行广播；之后，接收到签密密文的接收者利用自己的私钥和系统参数进行解签密运算得到明文消息；最后，在必要时由解签密成功的接收者与密钥生成中心KGC合作追踪出匿名发送者的身份信息。本发明在实现发送者匿名性和接收者匿名性的同时，实现了追踪匿名发送者身份的功能，实用性好。

Description

可追踪匿名发送者身份的无证书多接收者签密方法

技术领域

本发明涉及一种无证书多接收者签密方法，特别涉及一种可追踪匿名发送者身份的无证书多接收者签密方法。

背景技术

文献“高效的无证书多接收者匿名签密方案.通信学报,2016,37(6):129-136.”提出了一种无证书多接收者签密方法。该方法在用户注册时，用户与密钥生成中心KGC合作生成用户的私钥与公钥，私钥由用户自己秘密保存，公钥向外公开；在签密时，发送者选取一些已注册的用户作为接收者，然后使用系统参数、自己的私钥、接收者的公钥和选取的随机数对明文消息进行签密运算，得到签密密文并将签密密文广播；在解签密时，接收者使用系统参数、自己的私钥和发送者的公钥对签密密文进行解签密运算和验证。该方法是第一个同时实现了接收者匿名性和发送者匿名性的基于无证书的多接收者签密方法，具有一定的参考价值。但是该方法的匿名性并没有很好地实现。该方法中接收者在解密成功后得到了发送者的身份信息，因此发送者的匿名性只针对解签密不成功的接收者；另外，该方法使用拉格朗日插值多项式对接收者的身份信息进行隐藏，但是拉格朗日插值多项式已被证实不能真正实现接收者匿名性。

发明内容

为了克服现有无证书多接收者签密方法实用性差的不足，本发明提供一种可追踪匿名发送者身份的无证书多接收者签密方法。该方法首先由用户和密钥生成中心KGC合作生成用户的公钥与私钥，其中密钥生成中心KGC不知道用户的完整私钥；其次，发送者在已注册的用户中选取多个接收者，然后利用自己的私钥、自己的公钥、接收者的公钥和系统参数对明文消息进行签密运算以得到签密密文，并对签密密文进行广播；之后，接收到签密密文的接收者利用自己的私钥和系统参数进行解签密运算得到明文消息；最后，在必要时由解签密成功的接收者与密钥生成中心KGC合作追踪出匿名发送者的身份信息。本发明在实现发送者匿名性和接收者匿名性的同时，实现了追踪匿名发送者身份的功能，保证发送者即使在匿名通信的情况下也不可否认曾经发送过的消息。另外，本发明使用更少的椭圆曲线上的点乘操作，降低签密和解签密阶段的计算复杂度，提高了计算效率。

本发明解决其技术问题所采用的技术方案：一种可追踪匿名发送者身份的无证书多接收者签密方法，其特点是包括以下步骤：

第一步，用户U随机选取一个正整数x_U∈Z_q ^*作为自己的秘密值并安全保存，然后按照下式，计算自己的公钥生成份额X_U：

X_U＝x_UP

其中，U表示用户，包括发送者S和接收者R_i，i＝1,2,…,n，n表示正整数，是发送者S选取的接收者的个数，X_U表示用户U的公钥生成份额，x_U表示用户U选取的秘密值，P表示密钥生成中心KGC选取的椭圆曲线E上的一个生成元，∈表示限定域符号，Z_q ^*表示基于大素数q构成的非零乘法群，q表示密钥生成中心KGC根据系统安全参数λ选取的大素数，λ表示密钥生成中心KGC选取的系统安全参数；

第二步，用户U将自己的身份信息ID_U和自己的公钥生成份额X_U通过公开信道一起发送给密钥生成中心KGC，密钥生成中心KGC接收到用户U发送的身份信息ID_U和公钥生成份额X_U后，按照下面四个公式，计算用户U的公钥PK_U、用户U的部分私钥d_U、用户U的公钥验证参数σ_U1和用户U的部分私钥验证参数σ_U2：

PK_U＝H₀(ID_U,s)X_U

d_U＝sH₀(ID_U,s)(modq)

σ_U1＝H₀(ID_U,s)P

σ_U2＝H₀(ID_U,s)^-1P

其中，ID_U表示用户U的身份信息，PK_U表示用户U的公钥，d_U表示用户U的部分私钥，σ_U1表示用户U的公钥验证参数，σ_U2表示用户U的部分私钥验证参数，s表示密钥生成中心KGC选取的系统主密钥，H₀表示密钥生成中心KGC选取的第一个安全的单向哈希函数，mod表示求模运算，H₀(ID_U,s)^-1表示H₀(ID_U,s)在非零乘法群Z_q ^*上的乘法逆元；

第三步，密钥生成中心KGC将第二步中计算出来的用户U的部分私钥d_U通过安全信道发送给用户U，并将第二步中计算出来的用户U的公钥PK_U、用户U的公钥验证参数σ_U1和用户U的部分私钥验证参数σ_U2通过公开信道同时发送给用户U；

第四步，用户U接收到密钥生成中心KGC发送给自己的部分私钥d_U、公钥PK_U、公钥验证参数σ_U1和部分私钥验证参数σ_U2后，验证以下两个等式是否都成立。若是，则执行下一步骤，否则，向密钥生成中心KGC报错并退出用户注册过程：

x_Uσ_U1＝PK_U

d_Uσ_U2＝P_pub

其中，P_pub表示密钥生成中心KGC生成的系统公钥；

第五步，按照下式，用户U提取自己的私钥SK_U，同时通知密钥生成中心KGC自己接受部分私钥d_U和公钥PK_U：

SK_U＝(x_U,d_U)

其中，SK_U表示用户U的私钥，它由两部分构成；

第六步，密钥生成中心KGC接收到用户U发送的接受部分私钥d_U和公钥PK_U的反馈后，公布用户U的公钥PK_U，然后退出用户注册过程；

第七步，发送者S判断自己是否已经完成了第一步到第六步的用户注册过程，并且获得自己的公钥PK_S和私钥SK_S。若是，则执行第八步，否则，发送者S执行第一步到第六步的用户注册过程，获取自己的公钥PK_S和私钥SK_S，然后执行第八步；

第八步，发送者S在已注册的用户U中选取n个用户作为接收者R₁,R₂,…,R_n；

第九步，发送者S随机选取一个正整数r∈Z_q ^*，然后按照下面两个公式，计算自己的伪公钥W和第一个追踪参数V：

W＝rPK_S

V＝rx_SP

其中，r表示发送者S随机选取的一个正整数，W表示发送者S的伪公钥，V表示第一个追踪参数，PK_S表示发送者S的公钥，x_S表示发送者S选取的秘密值；

第十步，按照下面两个公式，发送者S计算每一个接收者R_i的公钥隐藏信息K_i和每一个接收者R_i的伪身份值α_i：

K_i＝rx_Sd_SPK_i

α_i＝H₁(K_i,W)

其中，K_i表示第i个接收者R_i的公钥隐藏信息，α_i表示第i个接收者R_i的伪身份值，d_S表示发送者S的部分私钥，PK_i表示第i个接收者R_i的公钥，H₁表示密钥生成中心KGC选取的第二个安全的单向哈希函数；

第十一步，发送者S随机选取一个正整数θ∈Z_q ^*作为伪密钥，然后按照下式，计算接收者R_i的身份信息混合值f(ξ)：

其中

其中，f(ξ)表示接收者R_i的身份信息混合值，a_n-1,…,a₁,a₀表示接收者R_i的身份信息混合值f(ξ)的系数，ξ表示自变量，∏表示连乘运算符，θ表示发送者S随机选取的伪密钥；

第十二步，按照下式，发送者S计算对称密钥k：

k＝H₂(θ,W)

其中，k表示对称密钥，H₂表示密钥生成中心KGC选取的第三个安全的单向哈希函数；

第十三步，按照下式，发送者S对明文消息M和自己计算出来的第一个追踪参数V的横坐标V_x与纵坐标V_y进行加密，生成密文消息Z：

Z＝E_k(M||V_x||V_y)

其中，Z表示密文消息，E_k(.)表示密钥生成中心KGC选取的对称加密算法，M表示明文消息，V_x表示第一个追踪参数V的横坐标，V_y表示第一个追踪参数V的纵坐标，||表示连接操作；

第十四步，按照下面两个公式，发送者S计算密文有效性参数h和第二个追踪参数t：

h＝H₃(M||V_x||V_y,W,θ,a_n-1,...,a₁,a₀)

t＝(x_Sd_S)^-1(hW_x+rx_S)(modq)

其中，h表示密文有效性参数，t表示第二个追踪参数，H₃表示密钥生成中心KGC选取的第四个安全的单向哈希函数，W_x表示发送者S的伪公钥W的横坐标，(x_Sd_S)^-1表示x_Sd_S在非零乘法群Z_q ^*上的乘法逆元；

第十五步，发送者S将自己的伪公钥W、密文消息Z、密文有效性参数h、第二个追踪参数t、接收者R_i的身份信息混合值f(ξ)的系数a_n-1,…,a₁,a₀构成签密密文C＝<W,Z,h,t,a_n-1,…,a₁,a₀>，并将签密密文C在通信网络中进行广播；

第十六步，按照下面两个公式，接收者R_i计算自己的公钥隐藏信息K_i和自己的伪身份值α_i：

K_i＝x_id_iW

α_i＝H₁(K_i,W)

其中，x_i表示第i个接收者R_i选取的秘密值，d_i表示第i个接收者R_i的部分私钥；

第十七步，按照下面两个公式，接收者R_i计算发送者S随机选取的伪密钥θ和对称密钥k：

θ＝f(α_i)

k＝H₂(θ,W)

第十八步，按照下式，接收者R_i解密出明文消息M′和第一个追踪验证参数V′的横坐标V_x′和纵坐标V_y′：

M′||V_x′||V_y′＝D_k(Z)

其中，M′表示第i个接收者R_i解密出的明文消息，V_x′表示第i个接收者R_i解密出的第一个追踪验证参数V′的横坐标，V_y′表示第i个接收者R_i解密出的第一个追踪验证参数V′的纵坐标，V′表示第i个接收者R_i解密出的第一个追踪验证参数，它由第i个接收者R_i利用解密出来的横坐标V_x′和纵坐标V_y′恢复出来，D_k(.)表示密钥生成中心KGC选取的对称解密算法；

第十九步，按照下式，接收者R_i计算密文有效性验证参数h′：

h′＝H₃(M′||V_x′||V_y′,W,θ,a_n-1,...,a₁,a₀)

其中，h′表示第i个接收者R_i计算出的密文有效性验证参数；

第二十步，接收者R_i判断自己计算出来的密文有效性验证参数h′与接收到的签密密文C中的密文有效性参数h是否相等。若是，则解签密成功，接收者R_i解密出的明文消息M′就是发送者S签密的明文消息M，且明文消息M来自合法发送者S，接收者R_i接受明文消息M并退出接收者解签密过程；否则，则解签密失败，接收者R_i退出接收者解签密过程；

第二十一步，任意一个已经解签密成功的接收者R_i利用解密出来的横坐标V_x′和纵坐标V_y′恢复出第一个追踪验证参数V′，然后将第一个追踪验证参数V′、发送者S的伪公钥W、第二个追踪参数t和密文有效性参数h通过公开信道同时发送给密钥生成中心KGC；

第二十二步，密钥生成中心KGC接收到解签密成功的接收者R_i发送过来的第一个追踪验证参数V′、发送者S的伪公钥W、第二个追踪参数t和密文有效性参数h，按照下式，计算发送者S的公钥PK_S′：

PK_S′＝s^-1t^-1(V′+hW_xP)

其中，PK_S′表示密钥生成中心KGC在追踪过程中计算出来的发送者S的公钥，s^-1表示系统主密钥s在非零乘法群Z_q ^*上的乘法逆元，t^-1表示第二个追踪参数t在非零乘法群Z_q ^*上的乘法逆元；

第二十三步，密钥生成中心KGC在公钥列表上查找公钥为PK_S′的用户U。若找到该用户U，则暂时认为该用户U为发送者S′，提取该发送者S′的身份信息ID_S′，然后执行第二十四步；否则，则追踪过程失败，然后通知接收者R_i抛弃接收到的签密密文C与解密出的明文消息M，并退出追踪过程；

第二十四步，密钥生成中心KGC验证下面的等式是否成立。若是，则追踪过程成功，追踪到的发送者S′就是真正的发送者S；否则，追踪过程失败，然后通知接收者R_i抛弃接收到的签密密文C与解密出的明文消息M，并退出追踪过程：

W＝H₀(ID_S′,s)V′

其中，ID_S′表示密钥生成中心KGC在追踪过程中追踪到的发送者S′的身份信息。

本发明的有益效果是：首先由用户和密钥生成中心KGC合作生成用户的公钥与私钥，其中密钥生成中心KGC不知道用户的完整私钥；其次，发送者在已注册的用户中选取多个接收者，然后利用自己的私钥、自己的公钥、接收者的公钥和系统参数对明文消息进行签密运算以得到签密密文，并对签密密文进行广播；之后，接收到签密密文的接收者利用自己的私钥和系统参数进行解签密运算得到明文消息；最后，在必要时由解签密成功的接收者与密钥生成中心KGC合作追踪出匿名发送者的身份信息。本发明在实现发送者匿名性和接收者匿名性的同时，实现了追踪匿名发送者身份的功能，保证发送者即使在匿名通信的情况下也不可否认曾经发送过的消息。另外，本发明使用更少的椭圆曲线上的点乘操作，降低签密和解签密阶段的计算复杂度，提高了计算效率。

具体的，利用第二十一步到第二十四步中的计算步骤，能够追踪出匿名发送者的身份，使得发送者在匿名通信的情况下也不可否认曾经发送过的消息。背景技术没有这种功能。

另外，在第十一步中，通过构造一个模大素数整系数多项式来杂糅授权接收者的身份信息，实现了真正的接收者匿名性，使得除了发送者以外的任何人都不能判断出其他接收者是不是授权接收者；而背景技术中，授权接收者可以判断出其他接收者是不是授权接收者。在第九步中，使用一个随机数与发送者的公钥相乘的方法，隐藏了发送者的公钥，从而隐藏发送者的身份信息，包括授权接收者在内的所有人都不知道发送者的身份信息；背景技术中，发送者对授权接收者不匿名，只对非授权接收者匿名。

下面结合附图和具体实施方式对本发明作详细说明。

附图说明

图1是本发明可追踪匿名发送者身份的无证书多接收者签密方法的流程图。

具体实施方式

名词解释：

KGC：Key Generation Center的缩写，密钥生成中心，为可信第三方，负责与用户U一起生成用户U的公钥和私钥，还可以和任意一个解签密成功的接收者R_i合作，追踪发送者S的身份信息，其中，i＝1,2,…,n，n是一个正整数，表示发送者S选取的接收者的个数；

λ：密钥生成中心KGC选取的系统安全参数；

q：密钥生成中心KGC根据系统安全参数λ选取的大素数；

Z_q ^*：基于大素数q构成的非零乘法群；

∈：限定域符号，例如a∈A，就是元素a属于集合A；

F_q：密钥生成中心KGC确定的阶为大素数q的有限域；

E：密钥生成中心KGC选取的有限域F_q上的安全椭圆曲线；

G_q：密钥生成中心KGC确定的椭圆曲线E上的加法循环群；

P：密钥生成中心KGC选取的椭圆曲线E上的一个生成元；

s：密钥生成中心KGC选取的系统主密钥；

s^-1：系统主密钥s在非零乘法群Z_q ^*上的乘法逆元；

P_pub：密钥生成中心KGC生成的系统公钥；

H_j：密钥生成中心KGC选取的第j个安全的单向哈希函数，其中j＝0,1,2,3；

A→B：定义域A到值域B的映射；

M：明文消息，是发送者S签密的真正的消息；

M′：第i个接收者R_i解密出的明文消息，它是否与明文消息M相同需要通过后续判断得知；

{0,1}^*：长度为任意长的“0”或“1”构成的串；

×：笛卡尔乘积，如集合A＝{a,b}，集合B＝{0,1}，则两个集合的笛卡尔积为A×B＝{(a,0),(a,1),(b,0),(b,1)}；

k：对称密钥；

E_k(.)：密钥生成中心KGC选取的对称加密算法；

D_k(.)：密钥生成中心KGC选取的对称解密算法；

params：系统参数的集合，由密钥生成中心KGC构造并公布；

U：用户，指通信过程中的所有参与者，包括发送者S和接收者R_i；

S：发送者，指通信过程中发送消息的一方；

S′：密钥生成中心KGC在追踪过程中追踪到的发送者S′，它是否为真正的发送者S需要通过后续判断得知；

R_i：第i个接收者，指通信过程中接收消息的一方；

PK_U：用户U的公钥；

PK_S：发送者S的公钥；

PK_S′：密钥生成中心KGC在追踪过程中计算出来的发送者S′的公钥，它是否为真正的发送者S的公钥PK_S需要通过后续判断得知；

PK_i：第i个接收者R_i的公钥；

SK_U：用户U的私钥，由两部分构成，第一部分是用户U选取的秘密值x_U，第二部分是用户U的部分私钥d_U，用户U的部分私钥d_U由密钥生成中心KGC为用户U计算出来；

SK_S：发送者S的私钥，由两部分构成，第一部分是发送者S选取的秘密值x_S，第二部分是发送者S的部分私钥d_S，发送者S的部分私钥d_S由密钥生成中心KGC为发送者S计算出来；

SK_i：第i个接收者R_i的私钥，由两部分构成，第一部分是第i个接收者R_i选取的秘密值x_i，第二部分是第i个接收者R_i的部分私钥d_i，第i个接收者R_i的部分私钥d_i由密钥生成中心KGC为第i个接收者R_i计算出来；

x_U：用户U选取的秘密值，是用户U的私钥SK_U的第一部分；

x_S：发送者S选取的秘密值，是发送者S的私钥SK_S的第一部分；

x_i：第i个接收者R_i选取的秘密值，是第i个接收者R_i的私钥SK_i的第一部分；

X_U：用户U的公钥生成份额；

X_S：发送者S的公钥生成份额；

X_i：第i个接收者R_i的公钥生成份额；

ID_U：用户U的身份信息；

ID_S：发送者S的身份信息；

ID_S′：密钥生成中心KGC在追踪过程中追踪到的发送者S′的身份信息；

ID_i：第i个接收者R_i的身份信息；

d_U：用户U的部分私钥，是用户U的私钥SK_U的第二部分，由密钥生成中心KGC为用户U计算出来；

d_S：发送者S的部分私钥，是发送者S的私钥SK_S的第二部分，由密钥生成中心KGC为发送者S计算出来；

d_i：第i个接收者R_i的部分私钥，是第i个接收者R_i的私钥SK_i的第二部分，由密钥生成中心KGC为第i个接收者R_i计算出来；

σ_U1：用户U的公钥验证参数，由密钥生成中心KGC为用户U计算出来；

σ_U2：用户U的部分私钥验证参数，由密钥生成中心KGC为用户U计算出来；

n：正整数，表示发送者S选取的接收者R_i的个数；

r：发送者S随机选取的一个正整数；

W：发送者S的伪公钥，属于签密密文C中的一部分；

W_x：发送者S的伪公钥W的横坐标；

V：第一个追踪参数，它由发送者S计算出来；

V′：第i个接收者R_i解密出的第一个追踪验证参数，它是否与发送者S计算出来的第一个追踪参数V相同需要通过后续判断得知；

V_x：第一个追踪参数V的横坐标；

V_x′：第i个接收者R_i解密出来的第一个追踪验证参数V′的横坐标，它是否与第一个追踪参数V的横坐标V_x相同需要通过后续判断得知；

V_y：第一个追踪参数V的纵坐标；

V_y′：第i个接收者R_i解密出来的第一个追踪验证参数V′的纵坐标，它是否与第一个追踪参数V的纵坐标V_y相同需要通过后续判断得知；

K_i：第i个接收者R_i的公钥隐藏信息；

α_i：第i个接收者R_i的伪身份值；

θ：发送者S随机选取的伪密钥；

f(ξ)：接收者R_i的身份信息混合值，其中，ξ表示自变量；

∏：连乘运算符，例如

i：计数游标；

mod：求模运算；

a_n-1,…,a₁,a₀：接收者R_i的身份信息混合值f(ξ)的系数，属于签密密文C中的一部分；

Z：密文消息，由发送者S计算出来，属于签密密文C中的一部分；

||：连接操作，例如：100||110＝100110；

h：密文有效性参数，由发送者S计算出来，属于签密密文C中的一部分；

h′：第i个接收者R_i计算出的密文有效性验证参数，若其与签密密文C中的密文有效性参数h相等，则解签密成功，否则解签密失败；

t：第二个追踪参数，由发送者S计算出来，属于签密密文C中的一部分；

t^-1：第二个追踪参数t在非零乘法群Z_q ^*上的乘法逆元；

(x_Sd_S)^-1：x_Sd_S在非零乘法群Z_q ^*上的乘法逆元；

C：签密密文，由发送者S构造并进行广播；

<W,Z,h,t,a_n-1,…,a₁,a₀>：组成签密密文C的有序集合，由发送者S的伪公钥W、密文消息Z、,密文有效性参数h、第二个追踪参数t和接收者R_i的身份信息混合值f(ξ)的系数a_n-1,…,a₁,a₀构成。

参照图1。本发明可追踪匿名发送者身份的无证书多接收者签密方法具体步骤如下：

准备工作，即由密钥生成中心KGC生成系统参数。密钥生成中心KGC生成系统参数的具体步骤为：

密钥生成中心KGC生成系统参数params、系统私钥s和系统公钥P_pub。具体过程为：密钥生成中心KGC选取一个系统安全参数λ，然后根据系统安全参数λ选取一个大素数q，确定阶为大素数q的有限域F_q，并选取有限域F_q上的安全椭圆曲线E，确定椭圆曲线E上的加法循环群G_q，选取椭圆曲线E上的一个生成元P，随机选取一个正整数s∈Z_p ^*，将s作为系统主密钥并安全保存，然后生成系统公钥P_pub＝sP；密钥生成中心KGC选取4个安全的单向哈希函数，分别记为：H₀：{0,1}^*×Z_q ^*→Z_q ^*，H₁：G_q×G_q→Z_q ^*，H₂：Z_q ^*×G_q→Z_q ^*，H₃：{0,1}^*×G_q×Z_q ^*×Z_q ^*×…×Z_q ^*→Z_q ^*；密钥生成中心KGC从现有的对称加密算法中任意选取一种安全的对称加密算法E_k(.)以及相对应的对称解密算法D_k(.)；密钥生成中心KGC构造并公开系统参数params＝<q,F_q,E,G_q,P,P_pub,E_k(.),D_k(.),H₀,H₁,H₂,H₃>，同时安全保存系统主密钥s；

其中，λ表示密钥生成中心KGC选取的系统安全参数，q表示密钥生成中心KGC根据系统安全参数λ选取的大素数，F_q表示密钥生成中心KGC确定的阶为大素数q的有限域，E表示密钥生成中心KGC选取的有限域F_q上的安全椭圆曲线，G_q表示密钥生成中心KGC确定的椭圆曲线E上的加法循环群，P表示密钥生成中心KGC选取的椭圆曲线E上的一个生成元，s表示密钥生成中心KGC选取的系统主密钥，∈表示限定域符号，Z_q ^*表示基于大素数q构成的非零乘法群，P_pub表示密钥生成中心KGC生成的系统公钥，H₀,H₁,H₂,H₃表示密钥生成中心KGC选取的4个安全的单向哈希函数，A→B表示定义域A到值域B的映射，{0,1}^*表示长度为任意长的“0”或者“1”构成的串，×表示笛卡尔乘积，E_k(.)表示一种安全的对称加密算法，D_k(.)表示对称加密算法E_k(.)相对应的对称解密算法，k表示对称密钥，params表示系统参数的集合；

在上述步骤完成的前提下，即可执行以下步骤。

注意到，第一步到第六步是用户注册过程的步骤，而用户注册过程中的用户U包括发送者S和接收者R_i。已注册的用户U在向其他已注册的用户发送消息时，用户U作为发送者S，其他用户作为接收者R_i。用户U在接收其他用户发送的消息时，用户U作为接收者R_i，其他用户作为发送者S。因此，每个注册的用户都具有双重身份。

第一步，用户U随机选取一个正整数x_U∈Z_q ^*作为自己的秘密值并安全保存，然后按照下式，计算自己的公钥生成份额X_U：

X_U＝x_UP

其中，U表示用户，包括发送者S和接收者R_i，i＝1,2,…,n，n表示正整数，是发送者S选取的接收者的个数，X_U表示用户U的公钥生成份额，x_U表示用户U选取的秘密值；

第二步，用户U将自己的身份信息ID_U和自己的公钥生成份额X_U通过公开信道一起发送给密钥生成中心KGC，密钥生成中心KGC接收到用户U发送的身份信息ID_U和公钥生成份额X_U后，按照下面四个公式，计算用户U的公钥PK_U、用户U的部分私钥d_U、用户U的公钥验证参数σ_U1和用户U的部分私钥验证参数σ_U2：

PK_U＝H₀(ID_U,s)X_U

d_U＝sH₀(ID_U,s)(modq)

σ_U1＝H₀(ID_U,s)P

σ_U2＝H₀(ID_U,s)^-1P

其中，ID_U表示用户U的身份信息，PK_U表示用户U的公钥，d_U表示用户U的部分私钥，σ_U1表示用户U的公钥验证参数，σ_U2表示用户U的部分私钥验证参数，H₀表示密钥生成中心KGC选取的第一个安全的单向哈希函数，mod表示求模运算，H₀(ID_U,s)^-1表示H₀(ID_U,s)在非零乘法群Z_q ^*上的乘法逆元；

第三步，密钥生成中心KGC将第二步中计算出来的用户U的部分私钥d_U通过安全信道发送给用户U，并将第二步中计算出来的用户U的公钥PK_U、用户U的公钥验证参数σ_U1和用户U的部分私钥验证参数σ_U2通过公开信道同时发送给用户U；

第四步，用户U接收到密钥生成中心KGC发送给自己的部分私钥d_U、公钥PK_U、公钥验证参数σ_U1和部分私钥验证参数σ_U2后，验证以下两个等式是否都成立。若是，则执行下一步骤，否则，向密钥生成中心KGC报错并退出用户注册过程：

x_Uσ_U1＝PK_U

d_Uσ_U2＝P_pub

第五步，按照下式，用户U提取自己的私钥SK_U，同时通知密钥生成中心KGC自己接受部分私钥d_U和公钥PK_U：

SK_U＝(x_U,d_U)

其中，SK_U表示用户U的私钥，它由两部分构成；

第六步，密钥生成中心KGC接收到用户U发送的接受部分私钥d_U和公钥PK_U的反馈后，公布用户U的公钥PK_U，然后退出用户注册过程；

第七步，发送者S判断自己是否已经完成第一步到第六步的用户注册过程，并且获得自己的公钥PK_S和私钥SK_S。若是，则执行第八步，否则，发送者S执行第一步到第六步的用户注册过程，获取自己的公钥PK_S和私钥SK_S，然后执行第八步；

第八步，发送者S在已注册的用户U中选取n个用户作为接收者R₁,R₂,…,R_n；

第九步，发送者S随机选取一个正整数r∈Z_q ^*，然后按照下面两个公式，计算自己的伪公钥W和第一个追踪参数V：

W＝rPK_S

V＝rx_SP

其中，r表示发送者S随机选取的一个正整数，W表示发送者S的伪公钥，V表示第一个追踪参数，PK_S表示发送者S的公钥，x_S表示发送者S选取的秘密值；

第十步，按照下面两个公式，发送者S计算每一个接收者R_i的公钥隐藏信息K_i和每一个接收者R_i的伪身份值α_i：

K_i＝rx_Sd_SPK_i

α_i＝H₁(K_i,W)

其中，K_i表示第i个接收者R_i的公钥隐藏信息，α_i表示第i个接收者R_i的伪身份值，d_S表示发送者S的部分私钥，PK_i表示第i个接收者R_i的公钥，H₁表示密钥生成中心KGC选取的第二个安全的单向哈希函数；

第十一步，发送者S随机选取一个正整数θ∈Z_q ^*作为伪密钥，然后按照下式，计算接收者R_i的身份信息混合值f(ξ)：

其中

其中，f(ξ)表示接收者R_i的身份信息混合值，a_n-1,…,a₁,a₀表示接收者R_i的身份信息混合值f(ξ)的系数，ξ表示自变量，∏表示连乘运算符，θ表示发送者S随机选取的伪密钥；

第十二步，按照下式，发送者S计算对称密钥k：

k＝H₂(θ,W)

其中，H₂表示密钥生成中心KGC选取的第三个安全的单向哈希函数；

第十三步，按照下式，发送者S对明文消息M和自己计算出来的第一个追踪参数V的横坐标V_x与纵坐标V_y进行加密，生成密文消息Z：

Z＝E_k(M||V_x||V_y)

其中，Z表示密文消息，M表示明文消息，V_x表示第一个追踪参数V的横坐标，V_y表示第一个追踪参数V的纵坐标，||表示连接操作；

第十四步，按照下面两个公式，发送者S计算密文有效性参数h和第二个追踪参数t：

h＝H₃(M||V_x||V_y,W,θ,a_n-1,...,a₁,a₀)

t＝(x_Sd_S)^-1(hW_x+rx_S)(modq)

其中，h表示密文有效性参数，t表示第二个追踪参数，H₃表示密钥生成中心KGC选取的第四个安全的单向哈希函数，W_x表示发送者S的伪公钥W的横坐标，(x_Sd_S)^-1表示x_Sd_S在非零乘法群Z_q ^*上的乘法逆元；

第十五步，发送者S将自己的伪公钥W、密文消息Z、密文有效性参数h、第二个追踪参数t、接收者R_i的身份信息混合值f(ξ)的系数a_n-1,…,a₁,a₀构成签密密文C＝<W,Z,h,t,a_n-1,…,a₁,a₀>，并将签密密文C在通信网络中进行广播；

以下第十六步到第二十步是解签密过程。接收者R_i在接收到第十五步中发送者S广播的签密密文C后，首先判断自己是否已经完成第一步到第六步的接收者注册过程并且获得自己的公钥PK_i和私钥SK_i。若是，则执行第十六步到第二十步完成接收者解签密过程，否则，抛弃接收到的签密密文C并退出接收者解签密过程；

第十六步，按照下面两个公式，接收者R_i计算自己的公钥隐藏信息K_i和自己的伪身份值α_i：

K_i＝x_id_iW

α_i＝H₁(K_i,W)

其中，x_i表示第i个接收者R_i选取的秘密值，d_i表示第i个接收者R_i的部分私钥；

第十七步，按照下面两个公式，接收者R_i计算发送者S随机选取的伪密钥θ和对称密钥k：

θ＝f(α_i)

k＝H₂(θ,W)

第十八步，按照下式，接收者R_i解密出明文消息M′和第一个追踪验证参数V′的横坐标V_x′和纵坐标V_y′：

M′||V_x′||V_y′＝D_k(Z)

其中，M′表示第i个接收者R_i解密出的明文消息，V_x′表示第i个接收者R_i解密出的第一个追踪验证参数V′的横坐标，V_y′表示第i个接收者R_i解密出的第一个追踪验证参数V′的纵坐标，V′表示第i个接收者R_i解密出的第一个追踪验证参数，它由第i个接收者R_i利用解密出来的横坐标V_x′和纵坐标V_y′恢复出来；

第十九步，按照下式，接收者R_i计算密文有效性验证参数h′：

h′＝H₃(M′||V_x′||V_y′,W,θ,a_n-1,...,a₁,a₀)

其中，h′表示第i个接收者R_i计算出的密文有效性验证参数；

第二十步，接收者R_i判断自己计算出来的密文有效性验证参数h′与接收到的签密密文C中的密文有效性参数h是否相等。若是，则解签密成功，接收者R_i解密出的明文消息M′就是发送者S签密的明文消息M，且明文消息M来自合法发送者S，接收者R_i接受明文消息M并退出接收者解签密过程；否则，则解签密失败，接收者R_i退出接收者解签密过程；

以下第二十一步到第二十四步是追踪过程，由密钥生成中心KGC和任意一个解签密成功的接收者R_i合作追踪出发送者S的真实身份。值得注意的是，追踪过程不是必须执行的，而是只在发送者身份必须被公开时才执行。

第二十一步，任意一个已经解签密成功的接收者R_i利用解密出来的横坐标V_x′和纵坐标V_y′恢复出第一个追踪验证参数V′，然后将第一个追踪验证参数V′、发送者S的伪公钥W、第二个追踪参数t和密文有效性参数h通过公开信道同时发送给密钥生成中心KGC；

第二十二步，密钥生成中心KGC接收到解签密成功的接收者R_i发送过来的第一个追踪验证参数V′、发送者S的伪公钥W、第二个追踪参数t和密文有效性参数h，按照下式，计算发送者S的公钥PK_S′：

PK_S′＝s^-1t^-1(V′+hW_xP)

其中，PK_S′表示密钥生成中心KGC在追踪过程中计算出来的发送者S的公钥，s^-1表示系统主密钥s在非零乘法群Z_q ^*上的乘法逆元，t^-1表示第二个追踪参数t在非零乘法群Z_q ^*上的乘法逆元；

第二十三步，密钥生成中心KGC在公钥列表上查找公钥为PK_S′的用户U。若找到该用户U，则暂时认为该用户U为发送者S′，提取该发送者S′的身份信息ID_S′，然后执行第二十四步；否则，则追踪过程失败，然后通知接收者R_i抛弃接收到的签密密文C与解密出的明文消息M，并退出追踪过程；

第二十四步，密钥生成中心KGC验证下面的等式是否成立。若是，则追踪过程成功，追踪到的发送者S′就是真正的发送者S；否则，追踪过程失败，然后通知接收者R_i抛弃接收到的签密密文C与解密出的明文消息M，并退出追踪过程：

W＝H₀(ID_S′,s)V′

其中，ID_S′表示密钥生成中心KGC在追踪过程中追踪到的发送者S′的身份信息。

Claims (1)

1.一种可追踪匿名发送者身份的无证书多接收者签密方法，其特征在于包括以下步骤：

第一步，用户U随机选取一个正整数x_U∈Z_q ^*作为自己的秘密值并安全保存，然后按照下式，计算自己的公钥生成份额X_U：

X_U＝x_UP

其中，U表示用户，包括发送者S和接收者R_i，i＝1,2,…,n，n表示正整数，是发送者S选取的接收者的个数，X_U表示用户U的公钥生成份额，x_U表示用户U选取的秘密值，P表示密钥生成中心KGC选取的椭圆曲线E上的一个生成元，∈表示限定域符号，Z_q ^*表示基于大素数q构成的非零乘法群，q表示密钥生成中心KGC根据系统安全参数λ选取的大素数，λ表示密钥生成中心KGC选取的系统安全参数；

第二步，用户U将自己的身份信息ID_U和自己的公钥生成份额X_U通过公开信道一起发送给密钥生成中心KGC，密钥生成中心KGC接收到用户U发送的身份信息ID_U和公钥生成份额X_U后，按照下面四个公式，计算用户U的公钥PK_U、用户U的部分私钥d_U、用户U的公钥验证参数σ_U1和用户U的部分私钥验证参数σ_U2：

PK_U＝H₀(ID_U,s)X_U

d_U＝sH₀(ID_U,s)(modq)

σ_U1＝H₀(ID_U,s)P

σ_U2＝H₀(ID_U,s)^-1P

其中，ID_U表示用户U的身份信息，PK_U表示用户U的公钥，d_U表示用户U的部分私钥，σ_U1表示用户U的公钥验证参数，σ_U2表示用户U的部分私钥验证参数，s表示密钥生成中心KGC选取的系统主密钥，H₀表示密钥生成中心KGC选取的第一个安全的单向哈希函数，mod表示求模运算，H₀(ID_U,s)^-1表示H₀(ID_U,s)在非零乘法群Z_q ^*上的乘法逆元；

第三步，密钥生成中心KGC将第二步中计算出来的用户U的部分私钥d_U通过安全信道发送给用户U，并将第二步中计算出来的用户U的公钥PK_U、用户U的公钥验证参数σ_U1和用户U的部分私钥验证参数σ_U2通过公开信道同时发送给用户U；

第四步，用户U接收到密钥生成中心KGC发送给自己的部分私钥d_U、公钥PK_U、公钥验证参数σ_U1和部分私钥验证参数σ_U2后，验证以下两个等式是否都成立；若是，则执行下一步骤，否则，向密钥生成中心KGC报错并退出用户注册过程：

x_Uσ_U1＝PK_U

d_Uσ_U2＝P_pub

其中，P_pub表示密钥生成中心KGC生成的系统公钥；

第五步，按照下式，用户U提取自己的私钥SK_U，同时通知密钥生成中心KGC自己接受部分私钥d_U和公钥PK_U：

SK_U＝(x_U,d_U)

其中，SK_U表示用户U的私钥，它由两部分构成；

第六步，密钥生成中心KGC接收到用户U发送的接受部分私钥d_U和公钥PK_U的反馈后，公布用户U的公钥PK_U，然后退出用户注册过程；

第七步，发送者S判断自己是否已经完成了第一步到第六步的用户注册过程，并且获得自己的公钥PK_S和私钥SK_S；若是，则执行第八步，否则，发送者S执行第一步到第六步的用户注册过程，获取自己的公钥PK_S和私钥SK_S，然后执行第八步；

第八步，发送者S在已注册的用户U中选取n个用户作为接收者R₁,R₂,…,R_n；

第九步，发送者S随机选取一个正整数r∈Z_q ^*，然后按照下面两个公式，计算自己的伪公钥W和第一个追踪参数V：

W＝rPK_S

V＝rx_SP

其中，r表示发送者S随机选取的一个正整数，W表示发送者S的伪公钥，V表示第一个追踪参数，PK_S表示发送者S的公钥，x_S表示发送者S选取的秘密值；

第十步，按照下面两个公式，发送者S计算每一个接收者R_i的公钥隐藏信息K_i和每一个接收者R_i的伪身份值α_i：

K_i＝rx_Sd_SPK_i

α_i＝H₁(K_i,W)

其中，K_i表示第i个接收者R_i的公钥隐藏信息，α_i表示第i个接收者R_i的伪身份值，d_S表示发送者S的部分私钥，PK_i表示第i个接收者R_i的公钥，H₁表示密钥生成中心KGC选取的第二个安全的单向哈希函数；

第十一步，发送者S随机选取一个正整数θ∈Z_q ^*作为伪密钥，然后按照下式，计算接收者R_i的身份信息混合值f(ξ)：

其中，f(ξ)表示接收者R_i的身份信息混合值，a_n-1,…,a₁,a₀表示接收者R_i的身份信息混合值f(ξ)的系数，ξ表示自变量，∏表示连乘运算符，θ表示发送者S随机选取的伪密钥；

第十二步，按照下式，发送者S计算对称密钥k：

k＝H₂(θ,W)

其中，k表示对称密钥，H₂表示密钥生成中心KGC选取的第三个安全的单向哈希函数；

第十三步，按照下式，发送者S对明文消息M和自己计算出来的第一个追踪参数V的横坐标V_x与纵坐标V_y进行加密，生成密文消息Z：

Z＝E_k(M||V_x||V_y)

其中，Z表示密文消息，E_k(.)表示密钥生成中心KGC选取的对称加密算法，M表示明文消息，V_x表示第一个追踪参数V的横坐标，V_y表示第一个追踪参数V的纵坐标，||表示连接操作；

第十四步，按照下面两个公式，发送者S计算密文有效性参数h和第二个追踪参数t：

h＝H₃(M||V_x||V_y,W,θ,a_n-1,...,a₁,a₀)

t＝(x_Sd_S)^-1(hW_x+rx_S)(modq)

其中，h表示密文有效性参数，t表示第二个追踪参数，H₃表示密钥生成中心KGC选取的第四个安全的单向哈希函数，W_x表示发送者S的伪公钥W的横坐标，(x_Sd_S)^-1表示x_Sd_S在非零乘法群Z_q ^*上的乘法逆元；

第十五步，发送者S将自己的伪公钥W、密文消息Z、密文有效性参数h、第二个追踪参数t、接收者R_i的身份信息混合值f(ξ)的系数a_n-1,…,a₁,a₀构成签密密文C＝<W,Z,h,t,a_n-1,…,a₁,a₀>，并将签密密文C在通信网络中进行广播；

第十六步，按照下面两个公式，接收者R_i计算自己的公钥隐藏信息K_i和自己的伪身份值α_i：

K_i＝x_id_iW

α_i＝H₁(K_i,W)

其中，x_i表示第i个接收者R_i选取的秘密值，d_i表示第i个接收者R_i的部分私钥；

第十七步，按照下面两个公式，接收者R_i计算发送者S随机选取的伪密钥θ和对称密钥k：

θ＝f(α_i)

k＝H₂(θ,W)

第十八步，按照下式，接收者R_i解密出明文消息M′和第一个追踪验证参数V′的横坐标V_x′和纵坐标V_y′：

M′||V_x′||V_y′＝D_k(Z)

其中，M′表示第i个接收者R_i解密出的明文消息，V_x′表示第i个接收者R_i解密出的第一个追踪验证参数V′的横坐标，V_y′表示第i个接收者Ri解密出的第一个追踪验证参数V′的纵坐标，V′表示第i个接收者R_i解密出的第一个追踪验证参数，它由第i个接收者Ri利用解密出来的横坐标V_x′和纵坐标V_y′恢复出来，Dk(.)表示密钥生成中心KGC选取的对称解密算法；

第十九步，按照下式，接收者R_i计算密文有效性验证参数h′：

h′＝H₃(M′||V_x′||V_y′,W,θ,a_n-1,...,a₁,a₀)

其中，h′表示第i个接收者R_i计算出的密文有效性验证参数；

第二十步，接收者R_i判断自己计算出来的密文有效性验证参数h′与接收到的签密密文C中的密文有效性参数h是否相等；若是，则解签密成功，接收者R_i解密出的明文消息M′就是发送者S签密的明文消息M，且明文消息M来自合法发送者S，接收者R_i接受明文消息M并退出接收者解签密过程；否则，则解签密失败，接收者R_i退出接收者解签密过程；

第二十一步，任意一个已经解签密成功的接收者R_i利用解密出来的横坐标V_x′和纵坐标V_y′恢复出第一个追踪验证参数V′，然后将第一个追踪验证参数V′、发送者S的伪公钥W、第二个追踪参数t和密文有效性参数h通过公开信道同时发送给密钥生成中心KGC；

第二十二步，密钥生成中心KGC接收到解签密成功的接收者R_i发送过来的第一个追踪验证参数V′、发送者S的伪公钥W、第二个追踪参数t和密文有效性参数h，按照下式，计算发送者S的公钥PK_S′：

PK_S′＝s^-1t^-1(V′+hW_xP)

其中，PK_S′表示密钥生成中心KGC在追踪过程中计算出来的发送者S的公钥，s^-1表示系统主密钥s在非零乘法群Z_q ^*上的乘法逆元，t^-1表示第二个追踪参数t在非零乘法群Z_q ^*上的乘法逆元；

第二十三步，密钥生成中心KGC在公钥列表上查找公钥为PK_S′的用户U；若找到该用户U，则暂时认为该用户U为发送者S′，提取该发送者S′的身份信息ID_S′，然后执行第二十四步；否则，则追踪过程失败，然后通知接收者R_i抛弃接收到的签密密文C与解密出的明文消息M，并退出追踪过程；

第二十四步，密钥生成中心KGC验证下面的等式是否成立；若是，则追踪过程成功，追踪到的发送者S′就是真正的发送者S；否则，追踪过程失败，然后通知接收者R_i抛弃接收到的签密密文C与解密出的明文消息M，并退出追踪过程：

W＝H₀(ID_S′,s)V′

其中，ID_S′表示密钥生成中心KGC在追踪过程中追踪到的发送者S′的身份信息。