CN109698747B - 一种基于双线性对的身份基身份匿藏密钥协商方法 - Google Patents

Abstract

本发明提供了一种高效的基于双线性对的身份基身份匿藏密钥协商方法，其具有的如下特征使得该方法具有唯一性，是目前最为简洁高效、通信便利灵活、隐私保护、和强安全的身份基密钥协商协议。(1)高效性：每个用户仅需做1个配对运算和3个模指数运算。(2)简洁性：无需主公钥。(3)通信便利和灵活性：通信双方无需事先知晓对方身份。(4)隐私保护：提供身份隐藏保护，和可抵赖隐私保护。(5)强安全性：抗临时密钥泄露的强可证明安全。

Description

一种基于双线性对的身份基身份匿藏密钥协商方法

技术领域

本发明涉及密码技术领域，具体地说，涉及一种基于双线性对的身份基身份匿藏密钥协商方法。

背景技术

认证密钥交换(AKE)，特别是Diffie–Hellman(DH)，在现代密码学中扮演着重要的角色，并在公钥密码学和对称密码学之间起到桥梁作用，是一系列广泛标准化并使用的网络安全协议的核心机制。与传统的公钥密码体制下的密钥交换协议相比，基于身份的密钥交换协议将用户的身份作为公钥，可以简化公钥证书管理和发放的问题。但是，原有的安全的基于身份的密钥协商协议均需公开传输用户的身份和公钥信息，并且效率较差。而在移动互联时代，设备的计算和存储能力受限，并且在很多应用中用户的身份信息往往属于敏感信息，需要保护。因此，发展高效的基于身份的身份匿藏密钥协商方法具有重要的理论及应用意义。

令G₁、G₂和G_T是三个q阶循环群(q可以是素数,也可以是合数,如RSA模数)。为了描述方便起见，我们记G₁、G₂和G_T为乘法群(所有本发明中描述的方案均在G₁、G₂和G_T记为加法群时同样工作)，并且在这些群中离散对数问题是难的。一般而言，一个双线性对

就是一个从G₁×G₂到G_T的双线性映射,并满足下面性质:

(1)双线性性:设g₁∈G₁，g₂∈G₂，x,y∈Z_q，有

(2)非退化性：对于每一个

总存在一个g₂∈G₂，使得

其中，

是G₁的单位元，

是G_T的单位元；

(3)双线性映射可以有效计算。

双线性对有下面三种类型:

类型-I：G₁→G₂有一个可有效计算的同构，这时一般记为G₁＝G₂(通常用G表示)。这类双线性对一般可以用超奇异椭圆曲线或超椭圆曲线来实现。

类型-II：有一个有效计算群同态G₂→G₁,但无从G₁到G₂的可有效计算的同态.这类双线性对一般用素数域上的一般椭圆曲线实现,G₁是基域上椭圆曲线群,G₂是扩域上椭圆曲线子群,G₂→G₁的同态一般取迹映射。

类型-III：没有任何G₂→G₁或G₁→G₂的有效可计算的同态(同态甚至同构一定是存在的,这里是指没有有效计算的同态)。这类双线性对也是用素域上的一般曲线来构造,G₂一般取迹映射的核。对于类型-III的配对，G₁通常是定义在有限域F_p上椭圆曲线，记为E(F_p)，上阶为q的子群，其中p是一个素数。

令G∈{G₁，G₂,}是阶为N的群G’的q-阶子群，其中N是整数。判断一个元素是否X∈G的方法包括：

(1)显式验证：检查X∈G′且X^q≠1_G，其中1_G是群G的单位元；

(2)隐式验证：t＝N/q为群G的伴随因子，检查X∈G′且X^t≠1_G；一般来说，X∈G′和X^t≠1_G保证了X不在G′的一个(小的)子群中，该小子群以t的一个因数为阶(但这不能完全保证X∈G，比如，考虑X＝-g^x)。

(3)利用配对检查：令Y∈G₁或Y∈G₂，检查

或

(4)对于一些特殊的子群安全曲线，

只需检查X∈G′₁和/或

本发明所描述的方法可以在上述三种类型双线性对任一类型上都可以工作，区别在于：对于类型-I双线性对，G₁＝G₂；对于类型-II双线性对，系统公开参数中需要有一个可有效计算的同态ψ:G₁→G₂，即ψ为将G₁中元素映射到G₂的可有效计算的同态；对于类型-III双线性对，系统公开参数中不需要有一个可有效计算的同态ψ:G₁→G₂，但每个用户的私钥由一个增加到两个，分别用于会话发起和会话接收。

发明内容

为解决上述问题，本发明提供了一种在双线性配对环境下高效的基于身份的身份匿藏密钥协商方法，所述方法包括：

基于类型-I对称双线性配对方法实现

系统建立：生成系统公开参数，包括：一个安全参数n，双线性对

G₁×G₁→G_T，整数q，其中G₁和G_T是三个q阶循环群，q的二进制长度(记为|q|)为n的多项式；一个哈希函数：

其中{0,1}^*表示任意长度的0-1串，

为群G₁的单位元，

表示G₁中除去

之后的元素集合；一个密钥导出函数KDF:{0,1}^*→{0,1}^p(n)，其中p(n)表示n的多项式；令g₁∈G₁为G₁的生成元，

为群G_T的单位元；E为一个对称加密函数，E_k(m₁,…,m_k),k≥1,表示基于对称密钥k对消息m₁,…,m_k进行加密,具体而言，把m₁||…||m_k按照约定的编码方式进行加密，||表示字符串链接操作，这里，m₁,…,m_k的先后顺序可以任意变化。D是与加密函数E对应的解密函数，D_k(c)表示基于对称密钥k对密文c进行解密；在实际应用中，E可以是一个带有附加数据的认证加密函数。系统公开参数包括：

系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；私钥生成器(Private Key Generator,简称为PKG)生成用户主密钥(Master Secret Key)

(msk从

或

的一个子集中随机选取，其中

的取值范围为1到q-1中的整数)；公开发布SysPar，保密保存msk。

用户私钥生成：具有身份ID∈{0,1}^*的用户在PKG注册，PKG根据主密钥msk和用户身份生成用户私钥：SK_ID＝(H₁(ID))^msk。为了描述方便起见，下述的描述中会话发起方记为A，其私钥记为SK_A＝(H₁(ID_A))^msk；会话接收方记为B，其私钥记为SK_B＝(H₁(ID_B))^msk。

密钥协商过程：

(1)用户A选取

计算X＝(H₁(ID_A))^x，用户A将{X,aux_X}发送给用户B，其中aux_X是可为空的消息的集合，在实际应用中aux_X可以包含认证加密的附加数据；

(2)用户B接收到{X,aux_X}后，选取

计算Y＝(H₁(ID_B))^y，以及

若

则重新选取y，并重新计算Y和PS_B；

(3)用户B计算(K₁,K₂)←KDF(PS_B,X||Y||aux)，

其中“||”是字符串联结符，在本发明中“||”联结的字符串的顺序可以任意，

是包含ID_B的一个消息集合的可为空的子集，

且可为空，aux_Y是可为空的消息的集合；K₁和K₂相同或不同，K₁＝(K_A,K_B),K_A和K_B相同或不同；在具体应用中，通常使用HMAC作为KDF，KDF的第一个输入是随机密钥种子，后面的输入的顺序可以任意调整；

(4)用户B发送{Y,C_B,aux_Y}给用户A，在实际应用中aux_Y可以包含认证加密的附加数据

(5)用户A接收到{Y,C_B,aux_Y}后，计算

若

则中止协议运行，否则计算(K₁,K₂)←KDF(PS_A,X||Y||aux)；

(6)用户A使用K_B解密C_B得到

并验证

且Y＝(H₁(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算

并将C_A发送给用户B，其中

是包含ID_A,的一个消息集合的可为空的消息集合；用户A将会话密钥K设置为K₂或K₁或会话密钥由

导出；

(7)用户B接收到C_A后，使用K_A解密C_A得到

验证

且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂或K₁或会话密钥由

导出；

基于类型-II非对称双线性对方法实现

系统建立：生成系统公开参数，包括：一个安全参数n，双线性对

G₁×G₂→G_T，整数q，其中G₁、G₂和G_T是三个q阶循环群，q的二进制长度(记为|q|)为n的多项式；一个哈希函数：

其中{0,1}^*表示任意长度的0-1串，

为群G₁的单位元，

表示G₁中除去

之后的元素集合；一个可有效计算的同态ψ:G₁→G₂；一个密钥导出函数KDF:{0,1}^*→{0,1}^p(n)，其中p(n)表示n的多项式；令g₁∈G₁为G₁的生成元，

为群G_T的单位元；E为一个对称加密函数，E_k(m₁,…,m_k),k≥1,表示基于对称密钥k对消息m₁,…,m_k进行加密,具体而言，把m₁||…||m_k按照约定的编码方式进行加密，||表示字符串链接操作，这里，m₁,…,m_k的先后顺序可以任意变化。D是与加密函数E对应的解密函数，D_k(c)表示基于对称密钥k对密文c进行解密；系统公开参数：

系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；私钥生成器(Private Key Generator,简称为PKG)生成用户主密钥(Master Secret Key)

(mak从

或

的一个子集中随机选取)；公开发布SysPar，保密保存msk。

用户私钥生成：具有身份ID∈{0,1}^*的用户在PKG注册，PKG根据主密钥msk和用户身份生成用户私钥：SK_ID＝(H₁(ID))^msk。为了描述方便起见，下述的描述中会话发起方记为A，其私钥记为SK_A＝(H₁(ID_A))^msk；会话接收方记为B，其私钥记为SK_B＝(H₁(ID_B))^msk。

密钥协商过程：

(1)用户A选取

计算X＝(H₁(ID_A))^x，用户A将{X,aux_X}发送给用户B，其中aux_X是可为空的消息的集合；

(2)用户B接收到{X,aux_X}后，选取

计算Y＝(H₁(ID_B))^y，以及

若

则重新选取y，并重新计算Y和PS_B；

(3)用户B计算(K₁,K₂)←KDF(PS_B,X||Y||aux)，

其中

是包含ID_B的一个消息集合的可为空的子集，

且可为空，aux_Y是可为空可为的消息的集合；K₁和K₂相同或不同，K₁＝(K_A,K_B),K_A和K_B相同或不同；

(4)用户B发送{Y,C_B,aux_Y}给用户A；

(5)用户A接收到{Y,C_B,aux_Y}后，计算

若

则中止协议运，否则计算(K₁,K₂)←KDF(PS_A,X||Y||aux)；

(6)用户A使用K_B解密C_B得到

并验证

且Y＝(H₁(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算

并将C_A发送给用户B，其中

是包含ID_A的一个消息集合的可为空的子集；用户A将会话密钥K设置为K₂或K₁或会话密钥由

导出；

(7)用户B接收到C_A后，使用K_A解密C_A得到

验证

且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂或K₁或会话密钥由

导出。

基于类型-III非对称双线性对方法实现

系统建立：生成系统公开参数，包括：一个安全参数n，双线性对

G₁×G₂→G_T，整数q，其中G₁、G₂和G_T是三个q阶循环群，q的二进制长度(记为|q|)为n的多项式；两个哈希函数：

其中{0,1}^*表示任意长度的0-1串，

为群G₁的单位元，

表示G₁中除去

之后的元素集合；

为群G₂的单位元，

表示G₂中除去

之后的元素集合；一个密钥导出函数KDF:{0,1}^*→{0,1}^p(n)，其中p(n)表示n的多项式；令g₁∈G₁为G₁的生成元，g₂∈G₂为G₂的生成元，

为群G_T的单位元；E为一个对称加密函数，E_k(m₁,…,m_k),k≥1,表示基于对称密钥k对消息m₁,…,m_k进行加密,具体而言，把m₁||…||m_k按照约定的编码方式进行加密，||表示字符串链接操作，这儿，m₁,…,m_k的先后顺序可以任意变化。D是与加密函数E对应的解密函数，D_k(c)表示基于对称密钥k对密文c进行解密；系统公开参数：

系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；私钥生成器(Private Key Generator,简称为PKG)生成用户主密钥(Master Secret Key)

(msk从

或

的一个子集中随机选取，其中

的取值范围为1到q-1中的整数，且q为一个整数)；公开发布SysPar，保密保存msk。

用户私钥生成：具有身份ID∈{0,1}^*的用户在PKG注册，PKG根据主密钥msk和用户身份生成用户私钥：

其中当ID作为会话发起者时使用

当ID作为会话接收者时使用

为了描述方便起见，下述的描述中会话发起方记为A，其私钥记为

会话接收方记为B，其私钥记为

密钥协商过程：

(1)用户A选取

计算X＝(H₁(ID_A))^x，用户A将{X,aux_X}发送给用户B，其中aux_X是可为空的消息的集合；

(2)用户B接收到{X,aux_X}后，选取

计算Y＝(H₂(ID_B))^y，以及

若

则重新选取y，并重新计算Y和PS_B；

(3)用户B计算(K₁,K₂)←KDF(PS_B,X||Y||aux)，

其中

是包含ID_B的一个消息集合的可为空的子集，

且可为空，aux_Y是可为空的消息的集合；K₁和K₂相同或不同，K₁＝(K_A,K_B),K_A和K_B相同或不同；

(4)用户B发送{Y,C_B,aux_Y}给用户A；

(5)用户A接收到{Y,C_B,aux_Y}后，计算

若

则中止协议运行，否则计算(K₁,K₂)←KDF(PS_A,X||Y||aux)；

(6)用户A使用K_B解密C_B得到

并验证

且Y＝(H₂(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算

并将C_A发送给用户B，其中

是包含ID_A的一个消息集合的可为空的子集；用户A将会话密钥K设置为K₂或K₁或会话密钥由

导出；

(7)用户B接收到C_A后，使用K_A解密C_A得到

验证

且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂或K₁或会话密钥由

导出。

根据本发明的一个实施例，

其特征在于，用户B收到X之后，检查

如果检查不通过则用户B中止运行；令G₁是阶为N₁的群G′₁的q-阶子群，其中N₁是整数；检查一个元素

的方法包括：(1)显式检查：检查

且

其中

表示的是G′₁除去单位元

之后剩余元素的集合；或(2)隐式检查：令t₁＝N₁/q为群G₁的伴随因子，检查X∈G′₁且

(3)PS-检查：对于类型-I实现，计算

对于类型-II实现，计算

对于类型-III的实现，

如果

或

则用户B中止运行；(4)对于一些特殊的子群安全曲线，

只需检查X∈G′₁和/或

根据本发明的一个实施例，

其特征在于，令G₂是阶为N₂的群G′₂的q-阶子群，用户A收到Y之后，检查

如果检查不通过则用户A中止运行。

根据本发明的一个实施例，

对于基于类型-III非对称双线性对方法实现中，如果ID_A只是会话的发起方，则在会话密钥的生成过程中，只使用ID_A的私钥

同理，如果ID_B只是会话的接收方，则在会话密钥的生成过程中，只使用ID_B的私钥

根据本发明的一个实施例，

且

和/或q是素数，和/或，E是一个认证加密函数，和/或x从

或

的一个子集中均匀选取，y从

或

的一个子集中均匀选取。

根据本发明的一个实施例，

且

本发明方法的操作步骤，在不影响功能的前提下，可以任意调换。

附图说明

图1是发明方法一个实例(对称双线性配对类型-I)实现的流程图。

图2是发明方法一个实例(非对称双线性配对类型-II)实现的流程图。

图3是发明方法一个实例(非对称双线性配对类型-III)实现的流程图。

具体实施方式

图1是发明方法一个实例(类型-I对称双线性配对)实现的流程图；其中，G₁＝G₂,双线性对

G₁×G₁→G_T，其中G₁和G_T是两个q阶循环群，其中G₁是阶为N₁群G′₁的q-阶子群，其中伴随因子t₁＝N₁/q，q的二进制长度(记为|q|)为安全参数n的多项式；q可以取合数或素数；一个哈希函数：

其中{0,1}^*表示任意长度的0-1串，

为群G₁的单位元，

表示G₁中除去

之后的元素集合；密钥导出函数KDF:{0,1}^*→{0,1}^klen×{0,1}^klen采用Openssl的AES算法内置KDF或HMAC或SM9所描述的密钥导出函数，其中klen是一个正整数表示加密函数E所需对称密钥的长度；

为群G_T的单位元；E为一个认证加密函数；D是与加密函数E对应的解密函数，

指的是利用密钥K₁对消息(ID_A,x)加密得到密文C_A，其中K₁的二进制长度|K₁|＝klen；同理，

指的是利用密钥K₁对消息(ID_B,y)加密得到密文C_B。

指的是利用密钥K₁对密文C_A解密得到消息(ID_A，x)；同理，

指的是利用密钥K₁对密文C_B解密得到消息(ID_B，y)。

表示的是x从

中随机选取，

表示的是y从

中随机选取，

表示的是从

中随机选取系统主私钥msk。系统公开参数：

在图1中，会话发起方记为A，其私钥记为SK_A＝(H₁(ID_A))^msk；会话接收方记为B，其私钥记为SK_B＝(H₁(ID_B))^msk。

密钥协商过程如下：

(1)用户A选取

计算X＝(H₁(ID_A))^x，用户A将X发送给用户B；

(2)用户B接收到X后，检查X∈G′₁，如果检查不通过则中止运行；选取

计算Y＝(H₁(ID_B))^y，以及

若

则中止运行；

(3)用户B计算(K₁,K₂)←KDF(PS_B,X||Y)，

(4)用户B发送{Y,C_B}给用户A；

(5)用户A接收到{Y,C_B}后，计算

(K₁,K₂)←KDF(PS_A,X||Y)；

(6)用户A使用K₁解密C_B得到(ID_B,y)，并验证

且Y＝(H₁(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算

并将C_A发送给用户B；用户A将会话密钥K设置为K₂；

(7)用户B接收到C_A后，使用K₁解密C_A得到(ID_A，x)，验证

且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂。

图2是发明方法一个实例(类型-II非对称双线性配对)实现的流程图；其中，G₁≠G₂,双线性对

G₁×G₂→G_T，其中G₁、G₂和G_T是三个q阶循环群，G₁是阶为N₁群G′₁的q-阶子群，其中伴随因子t₁＝N₁/q，q的二进制长度(记为|q|),为安全参数n的多项式；q可以取合数或素数；一个哈希函数：

其中{0，1}^*表示任意长度的0-1串，

为群G₁的单位元，

表示G₁中除去

之后的元素集合；密钥导出函数KDF:{0，1}^*→{0，1}^klen×{0，1}^klen采用Openssl的AES算法内置KDF或HMAC或SM9所描述的密钥导出函数，其中klen是一个正整数表示加密函数E所需对称密钥的长度；

为群G_T的单位元；ψ:G₁→G₂是一个可有效计算的从G₁到G₂同态；E为一个认证加密函数；D是与加密函数E对应的解密函数，

指的是利用密钥K₁对消息(ID_A,x)加密得到密文C_A，其中K₁的二进制长度|K₁|＝klen；同理，

指的是利用密钥K₁对消息(ID_B，y)加密得到密文C_B。

指的是利用密钥K₁对密文C_A解密得到消息(ID_A，x)；同理，

指的是利用密钥K₁对密文C_B解密得到消息(ID_B,y)。

表示的是x从

中随机选取，

表示的是y从

中随机选取，

表示的是从

中随机选取系统主私钥msk。系统公开参数：

在图2中，会话发起方记为A，其私钥记为SK_A＝(H₁(ID_A))^msk；会话接收方记为B，其私钥记为SK_B＝(H₁(ID_B))^msk。

密钥协商过程如下：

(1)用户A选取

计算X＝(H₁(ID_A))^x，用户A将X发送给用户B；

(2)用户B接收到X后，检查X∈G′₁，如果检查不通过则中止运行；选取

计算Y＝(H₁(ID_B))^y，以及

若

则中止运行；

(3)用户B计算(K₁,K₂)←KDF(PS_B,X||Y)，

(4)用户B发送{Y，C_B}给用户A；

(5)用户A接收到{Y，C_B}后，计算

(K₁，K₂)←KDF(PS_A，X||Y)；

(6)用户A使用K₁解密C_B得到(ID_B，y)，并验证

且Y＝(H₁(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算

并将C_A发送给用户B；用户A将会话密钥K设置为K₂；

(7)用户B接收到C_A后，使用K₁解密C_A得到(ID_A，x)，验证

且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂。

图3是发明方法一个实例(类型-III非对称双线性配对)实现的流程图；其中，G₁≠G₂,双线性对

G₁×G₂→G_T，其中G₁、G₂和G_T是三个q阶循环群，G₁是阶为N₁群G′₁的q-阶子群，其中伴随因子t₁＝N₁/q，q的二进制长度(记为|q|)为安全参数n的多项式；对于类型-III的配对，G₁通常是定义在有限域F_p上椭圆曲线，记为E(F_p)，上阶为q的子群，其中p是一个素数；特别地，对于我国SM9标准所采用的BN曲线，t₁＝1。q可以取合数或素数；两个哈希函数：

其中{0，1}^*表示任意长度的0-1串，

为群G₁的单位元，

表示G₁中除去

之后的元素集合；密钥导出函数KDF:{0，1}^*→{0，1}^klen×{0,1}^klen采用Openssl的AES算法内置KDF或HMAC或SM9所描述的密钥导出函数，其中klen是一个正整数表示加密函数E所需对称密钥的长度；

为群G_T的单位元；E为一个认证加密加密函数；D是与加密函数E对应的解密函数，

指的是利用密钥K₁对消息(ID_A,x)加密得到密文C_A，其中K₁的二进制长度|K₁|＝klen；同理，

指的是利用密钥K₁对消息(ID_B,y)加密得到密文C_B。

指的是利用密钥K₁对密文C_A解密得到消息(ID_A,x)；同理，

指的是利用密钥K₁对密文C_B解密得到消息(ID_B,y)。

表示的是x从

中随机选取，

表示的是y从

中随机选取，

表示的是从

中随机选取系统主私钥msk。系统公开参数：

在图3中，会话发起方记为A，其私钥记为

会话接收方记为B，其私钥记为

密钥协商过程如下：

(1)用户A选取

计算X＝(H₁(ID_A))^x，用户A将X发送给用户B；

(2)用户B接收到X后，检查X∈G′₁，如果检查不通过则中止运行；选取

计算Y＝(H₂(ID_B))^y，以及

若

则中止运行；

(3)用户B计算(K₁,K₂)←KDF(PS_B,X||Y)，

(4)用户B发送{Y,C_B}给用户A；

(5)用户A接收到{Y,C_B}后，计算

(K₁,K₂)←KDF(PS_A,X||Y)；

(6)用户A使用K₁解密C_B得到(ID_B,y)，并验证

且Y＝(H₂(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算

并将C_A发送给用户B；用户A将会话密钥K设置为K₂；

(7)用户B接收到C_A后，使用K₁解密C_A得到(ID_A，x)，验证

且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

发明方法所具有的如下特征使得该方法具有唯一性，是目前最为简洁高效、通信便利灵活、隐私保护、和强安全的身份基密钥协商协议。

(1)高效性：每个用户仅需做1个配对运算和3个模指数运算。

(2)简洁性：无需主公钥。

(3)通信便利和灵活性：通信双方无需事先知晓对方身份。

(4)隐私保护：提供身份隐藏保护，和可抵赖隐私保护。

(5)强安全性：抗临时密钥泄露的强可证明安全。

下表是发明方法的类型-III实现实例与我国SM9身份基密钥协商的对比图(具体而言，是显式认证的SM9身份基密钥协商)，其中，

指的是配对运算，exp1指的是G₁上模指数运算，exp2指的是G₂上模指数运算，expT指的是G_T上的模指数运算，G-test指的是群G₁元素检验。在比较计算效率时，自方的公钥计算由于可以事先计算存储没有考虑在内(比如，以用户A为例，我们方法不考虑用户公钥H₁(ID_A)的计算代价)，但是计算对方用户公钥的计算代价要考虑在内；另外，我们的协议只有接受者需要做G-test。计算效率我们仅统计最主要的配对、模指数和G-test操作数。注意，如果是BN曲线，G-test比较容易，但是如果是BLS曲线，G-test则会是一个比较耗时的操作，因此我们把G-test也列为主要操作进行比较。

应该理解的是，本发明所公开的实施例不限于这里所公开的特定处理步骤，而应当延伸到相关领域的普通技术人员所理解的这些特征的等同替代。还应当理解的是，在此使用的术语仅用于描述特定实施例的目的，而并不意味着限制。

说明书中提到的“两个实施例”或“实施例”意指结合实施例描述的特定特征、结构或特性包括在本发明的至少两个实施例中。因此，说明书通篇各个地方出现的短语“两个实施例”或“实施例”并不一定均指同一实施例。

虽然上述示例用于说明本发明在一个或多个应用中的原理，但对于本领域的技术人员来说，在不背离本发明的原理和思想的情况下，明显可以在形式上、用法及实施的细节上作各种修改而不用付出创造性劳动。因此，本发明由所附的权利要求书来限定。

Claims (6)

1.一种基于双线性对的身份基身份匿藏密钥协商方法，其特征在于，所述方法包括在三种类型的双线性配对中的实现方法，分别描述如下：

基于类型-I对称双线性配对方法实现

系统建立：生成系统公开参数，包括：一个安全参数n，双线性对

整数q，其中G₁和G_T是两个q阶循环群，q的二进制长度，记为|q|，为n的多项式；一个哈希函数：

其中{0,1}^*表示任意长度的0-1串，

为群G₁的单位元，

表示G₁中除去

之后的元素集合；一个密钥导出函数KDF:{0,1}^*→{0,1}^p(n)，其中p(n)表示n的多项式；令g₁∈G₁为G₁的生成元，

为群G_T的单位元；E为一个对称加密函数，E_k(m)表示基于对称密钥k对消息m∈{0,1}^*进行加密；D是与加密函数E对应的解密函数，D_k(c)表示基于对称密钥k对密文c进行解密；系统公开参数：

系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；私钥生成器Private Key Generator,简称为PKG，生成用户主密钥Master Secret Key：

即msk从

或

的一个子集中随机选取，其中

的取值范围为1到q-1中的整数；公开发布SysPar，保密保存msk，

用户私钥生成：具有身份ID∈{0,1}^*的用户在PKG注册，PKG根据主密钥msk和用户身份生成用户私钥：SK_ID＝(H₁(ID))^msk，为了描述方便起见，下述的描述中会话发起方记为A，其私钥记为SK_A＝(H₁(ID_A))^msk；会话接收方记为B，其私钥记为SK_B＝(H₁(ID_B))^msk，

密钥协商过程：

(1)用户A选取

计算X＝(H₁(ID_A))^x，用户A将{X,aux_X}发送给用户B，其中aux_X是可为空的消息的集合；

(2)用户B接收到{X,aux_X}后，检查

如果检查失败则中止运行；选取

计算Y＝(H₁(ID_B))^y，以及

(3)用户B计算(K₁,K₂)←KDF(PS_B,X||Y||aux)，

其中“||”是字符串联结符，

是包含ID_B的一个消息集合的可为空的子集，

且可为空，aux_Y是可为空的消息的集合；K₁和K₂相同或不同，K₁＝(K_A,K_B),K_A和K_B相同或不同；

(4)用户B发送{Y,C_B,aux_Y}给用户A；

(5)用户A接收到{Y,C_B,aux_Y}后，检查或不检查

计算

计算(K₁,K₂)←KDF(PS_A,X||Y||aux)；

(6)用户A使用K_B解密C_B得到

并验证

且Y＝(H₁(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算

并将C_A发送给用户B，其中

是包含ID_A,的一个消息集合的可为空的消息集合；用户A将会话密钥K设置为K₂或K₁或会话密钥由

导出；

(7)用户B接收到C_A后，使用K_A解密C_A得到

验证

且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂或K₁或会话密钥由

导出；

基于类型-II非对称双线性对方法实现

系统建立：生成系统公开参数，包括：一个安全参数n，双线性对

整数q，其中G₁、G₂和G_T是三个q阶循环群，q的二进制长度，记为|q|，为n的多项式；一个哈希函数：

其中{0,1}^*表示任意长度的0-1串，

为群G₁的单位元，

表示G₁中除去

之后的元素集合；一个可有效计算的同态ψ:G₁→G₂；一个密钥导出函数KDF:{0,1}^*→{0,1}^p(n)，其中p(n)表示n的多项式；令g₁∈G₁为G₁的生成元，

为群G_T的单位元；E为一个对称加密函数，E_k(m)表示基于对称密钥k对消息m∈{0,1}^*进行加密；D是与加密函数E对应的解密函数，D_k(c)表示基于对称密钥k对密文c进行解密；系统公开参数：

系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；私钥生成器Private Key Generator,简称为PKG，生成用户主密钥Master Secret Key：

即msk从

或

的一个子集中随机选取；公开发布SysPar，保密保存msk，

用户私钥生成：具有身份ID∈{0,1}^*的用户在PKG注册，PKG根据主密钥msk和用户身份生成用户私钥：SK_ID＝(H₁(ID))^msk，为了描述方便起见，下述的描述中会话发起方记为A，其私钥记为SK_A＝(H₁(ID_A))^msk；会话接收方记为B，其私钥记为SK_B＝(H₁(ID_B))^msk，

密钥协商过程：

(1)用户A选取

计算X＝(H₁(ID_A))^x，用户A将{X,aux_X}发送给用户B，其中aux_X是可为空的消息的集合；

(2)用户B接收到{X,aux_X}后，检查

如果检查失败则中止运行；选取

计算Y＝(H₁(ID_B))^y，以及

(3)用户B计算(K₁,K₂)←KDF(PS_B,X||Y||aux)，

其中

是包含ID_B的一个消息集合的可为空的子集，

且可为空，aux_Y是可为空可为的消息的集合；K₁和K₂相同或不同，K₁＝(K_A,K_B),K_A和K_B相同或不同；

(4)用户B发送{Y,C_B,aux_Y}给用户A；

(5)用户A接收到{Y,C_B,aux_Y}后，检查或不检查

计算

计算(K₁,K₂)←KDF(PS_A,X||Y||aux)；

(6)用户A使用K_B解密C_B得到

并验证

且Y＝(H₁(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算

并将C_A发送给用户B，其中

是包含ID_A的一个消息集合的可为空的子集；用户A将会话密钥K设置为K₂或K₁或会话密钥由

导出；

(7)用户B接收到C_A后，使用K_A解密C_A得到

验证

且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂或K₁或会话密钥由

导出，基于类型-III非对称双线性对方法实现

系统建立：生成系统公开参数，包括：一个安全参数n，双线性对

但没有任何G₂→G₁或G₁→G₂的有效可计算的同态，整数q，其中G₁、G₂和G_T是三个q阶循环群，q的二进制长度，记为|q|，为n的多项式；两个哈希函数：

其中{0,1}^*表示任意长度的0-1串，

为群G₁的单位元，

表示G₁中除去

之后的元素集合；

为群G₂的单位元，

表示G₂中除去

之后的元素集合；一个密钥导出函数KDF:{0,1}^*→{0,1}^p(n)，其中p(n)表示n的多项式；令g₁∈G₁为G₁的生成元，g₂∈G₂为G₂的生成元，

为群G_T的单位元；E为一个对称加密函数，E_k(m)表示基于对称密钥k对消息m∈{0,1}^*进行加密；D是与加密函数E对应的解密函数，D_k(c)表示基于对称密钥k对密文c进行解密；系统公开参数：

系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；私钥生成器Private Key Generator,简称为PKG，生成用户主密钥Master Secret Key：

即msk从

或

的一个子集中随机选取，其中

的取值范围为1到q-1中的整数，且q为一个整数；公开发布SysPar，保密保存msk，

用户私钥生成：具有身份ID∈{0,1}^*的用户在PKG注册，PKG根据主密钥msk和用户身份生成用户私钥：

其中当ID作为会话发起者时使用

当ID作为会话接收者时使用

为了描述方便起见，下述的描述中会话发起方记为A，其私钥记为

会话接收方记为B，其私钥记为

密钥协商过程：

(1)用户A选取

计算X＝(H₁(ID_A))^x，用户A将{X,aux_X}发送给用户B，其中aux_X是可为空的消息的集合；

(2)用户B接收到{X,aux_X}后，检查

如果检查失败则中止运行；选取

计算Y＝(H₂(ID_B))^y，以及

(3)用户B计算(K₁,K₂)←KDF(PS_B,X||Y||aux)，

其中

是包含ID_B的一个消息集合的可为空的子集，

且可为空，aux_Y是可为空的消息的集合；K₁和K₂相同或不同，K₁＝(K_A,K_B),K_A和K_B相同或不同；

(4)用户B发送{Y,C_B,aux_Y}给用户A；

(5)用户A接收到{Y,C_B,aux_Y}后，检查或不检查

计算

计算(K₁,K₂)←KDF(PS_A,X||Y||aux)；

(6)用户A使用K_B解密C_B得到

并验证

且Y＝(H₂(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算

并将C_A发送给用户B，其中

是包含ID_A的一个消息集合的可为空的子集；用户A将会话密钥K设置为K₂或K₁或会话密钥由

导出；

(7)用户B接收到C_A后，使用K_A解密C_A得到

验证

且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂或K₁或会话密钥由

导出。

2.如权利要求1所述的方法，其特征在于，用户B收到X之后，检查

如果检查不通过则用户B中止运行；令G₁是阶为N₁的群G′₁的q-阶子群，其中N₁是整数；检查一个元素

的方法包括：(1)显式检查：检查

且

其中

表示的是G′₁除去单位元

之后剩余元素的集合；或(2)隐式检查：令t₁＝N₁/q为群G₁的伴随因子，检查X∈G′₁且

(3)PS-检查：对于类型-I实现，计算

对于类型-II实现，计算

对于类型-III的实现，

如果

或

则用户B中止运行；(4)对于一些特殊的子群安全曲线，

只需检查X∈G′₁和/或

3.如权利要求1所述的方法，其特征在于，令G₂是阶为N₂的群G₂ ^′的q-阶子群，用户A收到Y之后，检查

如果检查不通过则用户A中止运行。

4.如权利要求1所述的方法，对于基于类型-III非对称双线性对方法实现中，如果ID_A只是会话的发起方，则在会话密钥的生成过程中，只使用ID_A的私钥

同理，如果ID_B只是会话的接收方，则在会话密钥的生成过程中，只使用ID_B的私钥

5.如权利要求1所述的方法，其特征在于，

且

和/或q是素数，和/或，E是一个认证加密函数，和/或x从

或

的一个子集中均匀选取，y从

或

的一个子集中均匀选取。

6.如权利要求1所述的方法，其特征在于，

且

Images