CN109462481B

CN109462481B - 一种基于非对称双线性对的匿签密方法

Info

Publication number: CN109462481B
Application number: CN201811403997.XA
Authority: CN
Inventors: 赵运磊; 王红兵; 黄兴忠
Original assignee: Shanghai Humin Blockchain Technology Co ltd
Current assignee: Shanghai Humin Blockchain Technology Co ltd
Priority date: 2018-11-23
Filing date: 2018-11-23
Publication date: 2022-04-26
Anticipated expiration: 2038-11-23
Also published as: CN109462481A; WO2020103631A1

Abstract

本发明提供了一种非对称环境下基于身份的匿签密方法，包括：生成系统主私钥

在非对称双线性对类型‑1和类型‑2下，身份为

的匿签密发送方的私钥为

身份为

的匿签密验证方的私钥为

选取

计算

并将{X,C}发送给

其中

是双线性映射。在非对称双线性对类型‑3下，身份为

的匿签密发送方的私钥为

身份为

的匿签密验证方的私钥为

选取

计算

并将{X,C}发送给

Description

一种基于非对称双线性对的匿签密方法

技术领域

本发明涉及密码技术领域，具体地说，涉及一种基于非对称双线性对的身份基匿签密方法。

背景技术

数字签名和公钥加密是密码理论及应用的核心内容。签密是将数字签名和公钥加密的功能合二为一，既保证了加密内容的完整性和可验证性，又保证了加密消息的私密性，并且比简单地结合签名和加密的效率大为提升。与传统的公钥密码体制下相比，基于身份的签密将用户的身份作为公钥，可以简化公钥证书管理和发放的问题。但是，原有的基于身份签密方案均需公开传输用户的身份和公钥信息，并且效率较差。而在移动互联时代，设备的计算和存储能力受限，并且在很多应用中用户的身份信息往往属于敏感信息，需要保护。因此，发展高效的基于身份的身份匿藏签密方法(简记为“匿签密”)具有重要的理论及应用意义。

令G₁、G₂和G_T是三个q阶循环群(q可以是素数,也可以是合数,如RSA模数)。为了描述方便起见，我们记G₁、G₂和G_T为乘法群(所有本发明中描述的方案均在G₁、G₂和G_T记为加法群时同样工作)。一般而言，一个双线性对

就是一个从G₁×G₂到G_T的双线性映射,并满足下面性质:

(1)双线性:设g₁∈G₁，g₂∈G₂，x,y∈Z_q，有

(2)非退化性：对于每一个

总存在一个g₂∈G₂，使得

其中，

是G₁的单位元，

是G_T的单位元；

(3)双线性映射可以有效计算。

双线性对有下面三种类型:

Type-1(类型1)：G₁→G₂有一个可有效计算的同构，这时一般记为G₁＝G₂(通常用G表示)。这类双线性对一般可以用超奇异椭圆曲线或超椭圆曲线来实现。

Type 2(类型2)：有一个有效计算群同态G₂→G₁,但无从G₁到G₂的有效同态。这类双线性对一般用素数域上的一般椭圆曲线实现,G₁是基域上椭圆曲线群,G₂是扩域上椭圆曲线子群,G₂→G₁的同态一般取迹映射。

Type 3(类型3)：没有任何G₂→G₁或G₁→G₂的有效可计算的同态(同态甚至同构一定是存在的,这里是指没有有效计算的同构)。这类双线性对也是用素域上的一般曲线来构造,G₂一般取迹映射的核。

本发明所描述的方法可以在上述三种类型双线性对任一类型上都可以工作，区别在于：对于类型1双线性对，G₁＝G₂；对于类型2双线性对，系统公开参数中需要有一个可有效计算的同构ψ:G₁→G₂，即ψ为将G₁中元素映射到G₂的可有效计算的同构；对于类型3双线性对，系统公开参数中不需要有一个可有效计算的同构ψ:G₁→G₂，但每个用户的私钥由一个增加到两个，分别用于签密和验证签密。在下述的发明方案描述中，基于类型-2和类型-3来描述，当应用到类型-1双线性对时则有G₁＝G₂。

发明内容

为解决上述问题，本发明提供了一种非对称环境下高效的基于身份的匿签密方法，包括：私钥生成器生成系统主私钥

在非对称双线性对类型-1和类型-2下，身份为

的匿签密发送方的私钥为

身份为

的匿签密验证方的私钥为

选取

计算

并将{X,C}发送给

其中

是双线性映射。

计算

且

则接受匿签密信息M。在非对称双线性对类型-3下，身份为

的匿签密发送方的私钥为

身份为

的匿签密验证方的私钥为

选取

计算

并将{X,C}发送给

其中

是双线性映射。

计算

且

则接受匿签密信息M。

附图说明

图1是发明方法一个实例(非对称双线性配对类型-2)实现的流程图。

图2是发明方法一个实例(非对称双线性配对类型-3)实现的流程图。

具体实施方式

图1是发明方法一个实例(非对称双线性配对类型-2)实现的流程图；其中，令G₁≠G₂,

aux_M为空，

为群G_T的单位元，H:{0,1}^*→G₁是哈希函数，D是与加密函数E对应的解密函数，

指的是利用密钥K对密文C进行解密得到

表示的是x从

中随机选取。

图2是发明方法一个实例(非对称双线性配对类型-3)实现的流程图；其中，令G₁≠G₂,

aux_M为空，

为群G_T的单位元，H₁:{0,1}^*→G₁,H₂:{0,1}^*→G₂是两个哈希函数，D是与加密函数E对应的解密函数，

指的是利用密钥K对密文C进行解密得到

表示的是x从

中随机选取。

本发明提供了一种基于非对称双线性对的匿签密方法，现举例给出具体实施方式：

系统建立：生成系统公开参数，一个安全参数n取128，双线性对

G₁×G₂→G_T，其中G₁、G₂和G_T是三个q阶循环群，整数q取3594707740912722592580264824659245374581620005772120566140827390747490618210732713776201829166921179104690985316170865403357128018053115705235365035756944666781840271151398486024508905819032066430042870294016997308232041571009239026199854058373227102211040396565230117801219598111998342507534997235192001889，q的二进制长度(记为|q|)为n的多项式；两个哈希函数：H₁:{0,1}^*→G₁，H₂:{0,1}^*→G₂，分别采用MD5和SHA-1函数；密钥导出函数KDF:{0,1}^*→{0,1}ⁿ采用Openssl的AES算法内置KDF；g₁为G₁的生成元，取值72026754027934651490995918212523766243371000525971101339334699885320636543746077563483364060839557244370694227487917252409638191550569389028359389164974323853180025346237445763293422583856014029352597479177910324941936807527651378495009235344516904490274731975063077229612562360754643102255089897348148780690，g₂∈G₂为G₂的生成元，取值77706302561608440010618368313478656108503343589089519700566055587018553414302968551516717115506698339473642981470868826042443741805044287846666289451133627751364843226483789350336451089265057408624982566636736744757835440696623220350219622426665921578454579853475107616688094007335536946549349101096432348567，

为群G_T的单位元；E采用对称加密函数AES；系统公开参数包括：

系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；PKG生成系统主密钥

msk取315541380177942662356417812076875991665600114430；

用户私钥提取：具有身份ID∈{0,1}^*的用户在PKG注册，PKG为其生成私钥：

为了描述方便起见，下述的方法描述中签密的生成方的身份记为

令

计算签密和验证签密私钥分别

签密验证方记为

令

签密和验证签密私钥分别为

匿签密生成：令M∈{0,1}^*为匿签密的信息，M取值2MMMMMMMMMMMMMMMMmmmmmmMMMMMMMMMMMMMMMMMMMMM；用户

选取x＝272228183584204209780836865847286436217086609891，计算

若采用类型-3双线性对，计算

(若采用类型-2双线性对，计算

)若

(否则重新选取x，重新计算PS)，计算K＝KDF(PS,aux_K)＝KDF(PS,aux_K)＝{rounds＝10；rd_key＝4216471528 24692937404275299365 3296311078 2466021090 3720210055 17518228831838784427 10530547351329698917}iv＝a45978c5a2726072，

计算

得667afc15fc776f81b5f74e9028723c7236f804cf40491f86cbcc70a1ef3b5976e1343fe5cdedd30ad1da70fbfd61cf53a1a7ab57d004c56799351dd3afa32cdf13506dc5e10af7cd39fc3ca426cb7b7fd091c5d70454517841a01412e48d2b43；最后，用户

将{X,C}发送给用户

匿签密验证：用户

接收到{X,C}后，若采用类型-3双线性对，计算

(若采用类型-1双线性对，计算

若采用类型-2双线性对，计算

)；若

计算K＝KDF(PS,aux_K)＝{rounds＝10；rd_key＝4216471528 24692937404275299365 3296311078 2466021090 3720210055 17518228831838784427 10530547351329698917}iv＝a45978c5a2726072，

利用K对C解密得到

且

与传输密文相等，验证成功，接受匿签密信息M。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

应该理解的是，本发明所公开的实施例不限于这里所公开的特定处理步骤，而应当延伸到相关领域的普通技术人员所理解的这些特征的等同替代。还应当理解的是，在此使用的术语仅用于描述特定实施例的目的，而并不意味着限制。

说明书中提到的“两个实施例”或“实施例”意指结合实施例描述的特定特征、结构或特性包括在本发明的至少两个实施例中。因此，说明书通篇各个地方出现的短语“两个实施例”或“实施例”并不一定均指同一实施例。

虽然上述示例用于说明本发明在一个或多个应用中的原理，但对于本领域的技术人员来说，在不背离本发明的原理和思想的情况下，明显可以在形式上、用法及实施的细节上作各种修改而不用付出创造性劳动。因此，本发明由所附的权利要求书来限定。

Claims

1.一种基于非对称双线性对的身份基匿签密方法，所述方法包括：

系统建立：生成系统公开参数，包括：一个安全参数n，双线性对

整数q，其中G₁、G₂和G_T是三个q阶循环群，q的二进制长度记为|q|，其为n的多项式；两个哈希函数：H₁:{0,1}^*→G₁，H₂:{0,1}^*→G₂，一个可有效计算的同构ψ:G₁→G₂，一个密钥导出函数KDF:{0,1}^*→{0,1}ⁿ；令g₁∈G₁为G₁的生成元，g₂∈G₂为G₂的生成元，1_GT为群G_T的单位元；E为一个对称加密函数；系统公开参数记为：