CN109462481A

CN109462481A - 一种基于非对称双线性对的匿签密方法

Info

Publication number: CN109462481A
Application number: CN201811403997.XA
Authority: CN
Inventors: 赵运磊; 王红兵; 黄兴忠
Original assignee: Shanghai Hu Min Block Chain Science And Technology Co Ltd
Current assignee: Shanghai Hu Min Block Chain Science And Technology Co Ltd
Priority date: 2018-11-23
Filing date: 2018-11-23
Publication date: 2019-03-12
Anticipated expiration: 2038-11-23
Also published as: CN109462481B; WO2020103631A1

Abstract

本发明提供了一种非对称环境下高效的基于身份的匿签密方法，包括：私钥生成器生成系统主私钥在非对称双线性对类型‑1和类型‑2下，身份为的匿签密发送方的私钥为身份为的匿签密验证方的私钥为选取计算并将{X,C}发送给其中是双线性映射。计算且则接受匿签密信息M。在非对称双线性对类型‑3下，身份为的匿签密发送方的私钥为身份为的匿签密验证方的私钥为选取计算并将{X,C}发送给其中是双线性映射。计算且则接受匿签密信息M。

Description

一种基于非对称双线性对的匿签密方法

技术领域

本发明涉及密码技术领域，具体地说，涉及一种基于非对称双线性对的身份基匿签密方法。

背景技术

数字签名和公钥加密是密码理论及应用的核心内容。签密是将数字签名和公钥加密的功能合二为一，既保证了加密内容的完整性和可验证性，又保证了加密消息的私密性，并且比简单地结合签名和加密的效率大为提升。与传统的公钥密码体制下相比，基于身份的签密将用户的身份作为公钥，可以简化公钥证书管理和发放的问题。但是，原有的基于身份签密方案均需公开传输用户的身份和公钥信息，并且效率较差。而在移动互联时代，设备的计算和存储能力受限，并且在很多应用中用户的身份信息往往属于敏感信息，需要保护。因此，发展高效的基于身份的身份匿藏签密方法(简记为“匿签密”)具有重要的理论及应用意义。

令G₁、G₂和GT是三个q阶循环群(q可以是素数,也可以是合数,如RSA模数)。为了描述方便起见，我们记G₁、G₂和G_T为乘法群(所有本发明中描述的方案均在G₁、G₂和G_T记为加法群时同样工作)。一般而言，一个双线性对就是一个从G₁×G₂到G_T的双线性映射,并满足下面性质:

(1)双线性性:设g₁∈G₁，g₂∈G₂，x,y∈Z_q，有

(2)非退化性：对于每一个总存在一个g₂∈G₂，使得其中，是G₁的单位元，是G_T的单位元；

(3)双线性映射可以有效计算。

双线性对有下面三种类型:

类型1：G₁→G₂有一个可有效计算的同构，这时一般记为G₁＝G₂(通常用G表示)。这类双线性对一般可以用超奇异椭圆曲线或超椭圆曲线来实现。

类型2：有一个有效计算群同态G₂→G₁,但无从G₁到G₂的有效同态.这类双线性对一般用素数域上的一般椭圆曲线实现,G₁是基域上椭圆曲线群,G₂是扩域上椭圆曲线子群,G₂→G₁的同态一般取迹映射。

类型3：没有任何G₂→G₁或G₁→G₂的有效可计算的同态(同态甚至同构一定是存在的,这里是指没有有效计算的同构)。这类双线性对也是用素域上的一般曲线来构造,G₂一般取迹映射的核。

本发明所描述的方法可以在上述三种类型双线性对任一类型上都可以工作，区别在于：对于类型1双线性对，G₁＝G₂；对于类型2双线性对，系统公开参数中需要有一个可有效计算的同构ψ:G₁→G₂，即ψ为将G₁中元素映射到G₂的可有效计算的同构；对于类型3双线性对，系统公开参数中不需要有一个可有效计算的同构ψ:G₁→G₂，但每个用户的私钥由一个增加到两个，分别用于签密和验证签密。在下述的发明方案描述中，基于类型-2和类型-3来描述，当应用到类型-1双线性对时则有G₁＝G₂。

发明内容

为解决上述问题，本发明提供了一种非对称环境下高效的基于身份的匿签密方法，包括：私钥生成器生成系统主私钥在非对称双线性对类型-1和类型-2下，身份为的匿签密发送方的私钥为身份为的匿签密验证方的私钥为选取计算并将{X,C}发送给其中是双线性映射。计算且则接受匿签密信息M。在非对称双线性对类型-3下，身份为的匿签密发送方的私钥为身份为的匿签密验证方的私钥为选取计算并将{X,C}发送给其中是双线性映射。计算且则接受匿签密信息M。

附图说明

图1是发明方法一个实例(非对称双线性配对类型-2)实现的流程图。

图2是发明方法一个实例(非对称双线性配对类型-3)实现的流程图。

具体实施方式

图1是发明方法一个实例(非对称双线性配对类型-2)实现的流程图；其中，令G₁≠G₂,aux_M为空，为群G_T的单位元，H:{0,1}^*→G₁是哈希函数，D是与加密函数E对应的解密函数，指的是利用密钥K对密文C进行解密得到表示的是x从中随机选取。

图2是发明方法一个实例(非对称双线性配对类型-3)实现的流程图；其中，令G₁≠G₂,aux_M为空，为群G_T的单位元，H₁:{0,1}^*→G₁,H₂:{0,1}^*→G₂是两个哈希函数，D是与加密函数E对应的解密函数，指的是利用密钥K对密文C进行解密得到表示的是x从中随机选取。

本发明提供了一种基于非对称双线性对的匿签密方法，现举例给出具体实施方式：

系统建立：生成系统公开参数，一个安全参数n取128，双线性对其中G₁、G₂和G_T是三个q阶循环群，整数q取

3594707740912722592580264824659245374581620005772120566140827390747490618210732713776201829166921179104690985316170865403357128018053115705235365035756944666781840271151398486024508905819032066430042870294016997308232041571009239026199854058373227102211040396565230117801219598111998342507534997235192001889，q的二进制长度(记为|q|)为n的多项式；两个哈希函数：H₁:{0,1}^*→G₁，H₂:{0,1}^*→G₂，分别采用MD5和SHA256函数；密钥导出函数KDF:{0,1}^*→{0,1}ⁿ采用Openssl的AES算法内置KDF；g₁为G₁的生成元，取值

72026754027934651490995918212523766243371000525971101339334699885320636543746077563483364060839557244370694227487917252409638191550569389028359389164974323853180025346237445763293422583856014029352597479177910324941936807527651378495009235344516904490274731975063077229612562360754643102255089897348148780690，g₂∈G₂为G₂的生成元，取值

77706302561608440010618368313478656108503343589089519700566055587018553414302968551516717115506698339473642981470868826042443741805044287846666289451133627751364843226483789350336451089265057408624982566636736744757835440696623220350219622426665921578454579853475107616688094007335536946549349101096432348567，为群G_T的单位元；E采用对称加密函数AES；系统公开参数包括：

系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；PKG生成系统主密钥msk取647581328478097883885856815637104132132453561065；

用户私钥提取：具有身份ID∈{0,1}^*的用户在PKG注册，PKG为其生成私钥：

为了描述方便起见，下述的方法描述中签密的生成方的身份记为令计算签密和验证签密私钥分别签密验证方记为令签密和验证签密私钥分别为

匿签密生成：令M∈{0,1}^*为匿签密的信息，M取值

2MMMMMMMMMMMMMMMMmmmmmmMMMMMMMMMMMMMMMMMMMMM；用户选取x＝344135958399807195458316225370763102587786809162，计算若采用类型-3双线性对，计算 (若采用类型-2双线性对，计算)若(否则重新选取x，重新计算PS)，计算K＝KDF(PS,aux_K)＝KDF(PS,aux_K)＝{rounds＝10；rd_key＝946168116 875979576 895575096 811676005 1969327858 1096281546 19497313141146599575 4252685724 3157080150}，计算得

667afc15fc776f81b5f74e9028723c7236f804cf40491f86cbcc70a1ef3b5976e1343fe5cdedd30ad1da70fbfd61cf53a1a7ab57d004c56799351dd3afa32cdf13506dc5e10af7cd39fc3ca426cb7b7fd091c5d70454517841a01412e48d2b43；最后，用户将{X,C}发送给用户

匿签密验证：用户接收到{X,C}后，若采用类型-3双线性对，计算 (若采用类型-1双线性对，计算若采用类型-2双线性对，计算若计算K＝KDF(PS,aux_K)＝{rounds＝10；rd_key＝946168116 875979576895575096 811676005 1969327858 1096281546 19497313141146599575 42526857243157080150}，利用K对C解密得到且与传输密文相等，验证成功，接受匿签密信息M。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

应该理解的是，本发明所公开的实施例不限于这里所公开的特定处理步骤，而应当延伸到相关领域的普通技术人员所理解的这些特征的等同替代。还应当理解的是，在此使用的术语仅用于描述特定实施例的目的，而并不意味着限制。

说明书中提到的“两个实施例”或“实施例”意指结合实施例描述的特定特征、结构或特性包括在本发明的至少两个实施例中。因此，说明书通篇各个地方出现的短语“两个实施例”或“实施例”并不一定均指同一实施例。

虽然上述示例用于说明本发明在一个或多个应用中的原理，但对于本领域的技术人员来说，在不背离本发明的原理和思想的情况下，明显可以在形式上、用法及实施的细节上作各种修改而不用付出创造性劳动。因此，本发明由所附的权利要求书来限定。

Claims

1.一种高效的基于非对称双线性对的身份基匿签密方法，所述方法包括：

系统建立：生成系统公开参数，包括：一个安全参数n，双线性对G₁×G₂→G_T，整数q，其中G₁、G₂和G_T是三个q阶循环群，q的二进制长度(记为|q|)为n的多项式；两个哈希函数：H₁:{0,1}^*→G₁，H₂:{0,1}^*→G₂，一个可有效计算的同构ψ:G₁→G₂，一个密钥导出函数KDF:{0,1}^*→{0,1}ⁿ；令g₁∈G₁为G₁的生成元，g₂∈G₂为G₂的生成元，为群G_T的单位元；E为一个对称加密函数；系统公开参数记为：

系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；私钥生成器(Private Key Generator,简称为PKG)生成用户主密钥(Master Secret Key)(msk从中随机选取，其中的取值范围为1到q-1中的整数，且q为一个大素数)；公开发布SysPar，保密保存msk。

用户私钥生成：具有身份ID∈{0,1}^*的用户在PKG注册，PKG根据主密钥msk和用户身份生成用户私钥：其中用来签密，用来验证签密。为了描述方便起见，下述的描述中签密生成方记为签密和验证签密私钥分别为签密验证方记为签密和验证签密私钥分别为

匿签密生成：令M∈{0,1}^*为匿签密的信息；

构造方法一(基于Type 1双线性对)：用户选取计算计算若(否则重新选取x)，计算K＝KDF(PS,aux_K)，aux_K或为空，或为的一个子集，aux_K的具体形式或者双方事先约定或者是协议规范的一部分，aux_d可为空或包含一些不会泄露通信双方身份的附加信息；计算即：将K作为对称加密函数E的密钥对按照规定或约定编码方式进行加密，其中aux_M是可为空或包含一个时间戳信息的集合；最后，用户将{X,C}发送给用户

构造方法二(基于Type 2双线性对)：用户选取计算计算若(否则重新选取x)，计算K＝KDF(PS,aux_K)，aux_K或为空，或为的一个子集，aux_K的具体形式或者双方事先约定或者是协议规范的一部分，aux_d可为空或包含一些不会泄露通信双方身份的附加信息；计算即：将K作为对称加密函数E的密钥对按照规定或约定编码方式进行加密，其中aux_M是可为空或包含一个时间戳信息的集合；最后，用户将{X,C}发送给用户

构造方法三(基于Type 3双线性对)：用户选取计算计算若(否则重新选取x)，计算K＝KDF(PS,aux_K)，aux_K或为空，或为的一个子集(这里，哈希函数H₁将的身份映射到群G₁，哈希函数H₂将的身份映射到群G₂，且并且aux_K的具体形式或者双方事先约定或者是协议规范的一部分，aux_d可为空或包含一些不会泄露通信双方身份的附加信息；计算即：将K作为对称加密函数E的密钥对按照规定或约定编码方式进行加密，其中aux_M是可为空或包含一个时间戳信息的集合；最后，用户将{X,C}发送给用户

匿签密验证：用户接收到{X,C}后，针对如上的三种匿签密算法分别做如下解密及验证：

验证方法一(基于Type 1双线性对)：计算若返回无效字符，表明匿签密无效；否则，计算K＝KDF(PS,aux_K)，利用K对C解密得到若且且aux_M有效，则接受匿签密信息M，否则拒绝接受。

验证方法二(基于Type 2双线性对)：计算若返回无效字符，表明匿签密无效；否则，计算K＝KDF(PS,auxK)，利用K对C解密得到若且且aux_M有效，则接受匿签密信息M，否则拒绝接受。

验证方法三(基于Type 3双线性对)：计算若返回无效字符，表明匿签密无效；否则，计算K＝KDF(PS,aux_K)，利用K对C解密得到若且且aux_M有效，则接受匿签密信息M，否则拒绝接受。

2.如权利要求1所述的方法，其特征在于，

群G₁和G₂可以相等(记为G)，即基于Type 1的双线性配对的构造(如构造方法一)；q为素数或合数；从中随机选取，或在Z_q∩{0,1}^l中随机选取，其中1≤l≤|q|；或aux_M为空或包含一个时间戳信息；aux_d为空或包含不会泄露通信双方身份的附件信息；E是一个认证加密函数或者带有辅助输入的认证加密函数。

3.如权利要求书1～2中任一项所述的方法，其特征在于，对于Type 2和Type 3双线性对，G₁≠G₂。

4.如权利要求书1～2中任一项所述的方法，其特征在于，对于Type 2双线性对，H₁＝H₂:{0,1}^*→G₁，记为H:{0,1}^*→G₁，此时有

5.如权利要求书1～2中任一项所述的方法，其特征在于，对于Type 2双线性对，其构造方法不需要哈希函数H₂:{0,1}^*→G₂。

6.如权利要求书1～2中任一项所述的方法，其特征在于，对于Type 3双线性对，其构造方法不需要一个可有效计算的同构ψ:G₁→G₂。

7.如权利要求书1～2中任一项所述的方法，其特征在于，对于Type 3双线性对，其中用来签密，用来验证签密。