CN110071804A - 一种抗私钥持续泄漏的基于身份的广播加密方法 - Google Patents

Abstract

本发明公开了一种抗私钥持续泄漏的基于身份的广播加密方法，本发明所采用的技术方案是密文和密钥呈现两种状态：正常和半功能的，正常密钥可以解密正常和半功能密文，半功能密钥只能解密正常密文。本发明的有益效果是提出的方案是可以抵抗私钥的持续泄漏，具有较好的弹性抗泄漏性能。

Description

一种抗私钥持续泄漏的基于身份的广播加密方法

技术领域

本发明属于加密算法技术领域，涉及一种抗私钥持续泄漏的基于身份的广播加密方法。

背景技术

Fiat and Naor提出了广播加密(BE)的思想。在广播加密系统中，一个广播者加密消息并通过广播信道把密文发送给大量的接收者。但是，仅仅那些指定的接收者才能通过自己的私钥解密出明文。每一次加密，广播者选定一个可以解密密文的用户子集S。在S中的任何用户都能用私钥解密密文。一些广播加密方案被提出，包括基于身份的广播加密(IBBE)。IBBE的概念是基于身份加密(IBE)概念的推广，在IBE中选定的接收者集合中用户数字为1。目前的IBBE方案没有考虑泄漏问题。最近，许多边信道攻击可能导致密码系统的部分秘密信息泄漏给敌手。在边信道攻击中，敌手通过观测密码系统的执行特征来获取相关的秘密信息。边信道攻击包括电磁辐射、能源消耗和时序攻击等。冷启动攻击是另一种边信道攻击，在这样的攻击中，即使系统断电之后敌手也能从存储器中获得一些信息。为了获得针对边信道攻击的系统安全性，抗泄漏密码学被提出。目前，抗泄漏(LR)密码算法设计已经成为密码学研究领域的一个热点。在抗泄漏的密码算法中，泄漏通常通过一个函数来刻画。在安全模型中，敌手选择一个高效可计算的泄漏函数f：输入私钥SK和系统的内部状态，输出定长的泄漏信息。基本的限制是泄漏函数不能揭露整个私钥信息。

发明内容

本发明的目的在于提供一种抗私钥持续泄漏的基于身份的广播加密方法，本发明的有益效果是提出的方案是可以抵抗私钥的持续泄漏，具有较好的弹性抗泄漏性能。

本发明所采用的技术方案是密文和密钥呈现两种状态：正常和半功能的，正常密钥可以解密正常和半功能密文，半功能密钥只能解密正常密文。

进一步，设置算法：该算法输入安全参数θ和用户的最大数目，算法输出主公钥PK和主密钥MK，主公钥PK对所有用户公开，MK是作为秘密保持的；

密钥产生算法：算法输入主公钥PK、主私钥MK和一个用户身份ID，算法产生用户ID的私钥SK_ID；

密钥更新算法：算法输入私钥SK_ID和主公钥PK，输出更新的私钥SK_ID；

加密算法：算法以主公钥PK和一个身份集S＝{ID₁，...，ID_d}(d≤m)为输入，输出(Hdr，DK)，其中Hdr称为头部，DK是用于加密消息M的对称密钥，当广播者将要把消息M的密文发送给S中的用户时，他用DK计算关于M的密文信息C，生成密文CT＝(C，Hdr)，广播者广播(C，Hdr，S)；

解密算法：算法输入主公钥PK、私钥用户身份集S和密文CT，首先，划分CT为(C，Hdr)，如果ID_i∈S，算法用Hdr计算出对称密钥DK，然后，用DK解密密文C恢复出明文消息M；

半功能密钥产生算法：算法输入主公钥PK、主私钥MK和身份ID，输出半功能私钥SK_ID；

半功能加密算法：算法输入主公钥PK、身份集S和消息M。算法输出半功能密文CT；

设置算法(Setup)，密钥产生算法(KeyGen)和密钥更新算法(KeyUpd)由私钥产生中心(KGC)运行，其他算法由用户运行，半功能密钥产生算法(KeyGenSF)与半功能加密算法(EncryptSF)仅仅用于安全性证明。

进一步，用ψ表示复合阶双线性群生成算法。ψ以安全参数θ为输入，输出复合阶双线性群其中N＝p₁p₂p₃，p₁，p₂，p₃是三个不同的均为长度λ比特的素数，G和是阶为N＝p₁p₂p₃的循环群，e是一个双线性映射：λ对于泄漏率有重要影响；

假定每个身份都是Z_N中的元素且每个消息都是群中的元素，假定g₁，g₂，g₃分别是子群和的生成元，第一个子群提供系统关于明文和每个用户私钥的必要信息；第二个子群提供证明中用到的半功能性；第三个子群对密钥进行随机化；

所述设置算法：定义用户最大数是m，随机选择g₁， α，r∈Z_N，x₁，...x_n∈Z_N，y₁，...，y_n∈Z_N，和ρ_n+2+i∈Z_N(i＝{1，...，m})，这里，n之2是一个整数；

主公钥是

主私钥是

所述密钥产生算法：KeyGen：对于身份ID_i∈S，其中S＝(ID₁，...，ID_d)(d≤m)是可以解密密文的用户总体，算法以主公钥、主私钥和身份为输入，随机选择和r_i∈Z_N，产生私钥：

其中w_j＝y_j+z_j(j＝{1，...，n})，r_i′＝r+r_i，

所述密钥更新算法：KeyUpd：算法以公钥PK和私钥为输入，输出一个新的私钥

对于私钥随机选择Δw_j∈Z_N(j∈{1，2，...，n})，和Δr_i′∈z_N，计算新的私钥：

由于Δw_j∈Z_N(j∈{1，2，...，n))，和Δr_i′∈Z_N都是随机的，那么w_j+Δw_j(j∈{1，2，...，n})，和r_i′+Δr_i′也是随机的，私钥和有同样的分布，这样，私钥被更新了；

令w′_j＝w_j+Δw_j(j＝{1，...，n})，r_i″＝r_i′+Δr_i′，更新后的私钥可表示为可以看出新的私钥和原始私钥具有相同的形式；

所述加密算法：Encrypt：算法以消息M和S＝(ID₁，...，ID_d)(将要接收密文的用户身份集)为输入。随机选择s∈Z_N，计算密文：

对称加密密钥为e(g₁，g₁)^αs，发送者发送(CT，S)给接收者；

所述解密算法：Decrypt：如果接收者ID_i在集合S中，按如下方式解密接收到的密文，接收者划分CT＝(C，Hdr)，首先，用原始密钥计算出或用更新后密钥计算出

然后，计算或

所述半功能密钥产生算法：KeyGenSF：首先，调用算法KeyGen产生正常私钥其次，随机选择生成半功能私钥：

所述半功能加密算法：EncryptSF：首先，运行算法Encrypt产生正常密文CT＝(C，Hdr)，接着，随机选择生成半功能密文：

算法Setup，KeyGen与KeyUpd由私钥生成中心(PKG)运行，其它算法用用户产生。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

本发明一种抗私钥持续泄漏的基于身份的广播加密(CLR-IBBE)方法：密文和密钥呈现两种状态：正常和半功能的，正常密钥可以解密正常和半功能密文，半功能密钥只能解密正常密文。

设置算法(Setup)：该算法输入θ(安全参数)和m(用户的最大数目)。算法输出PK(主公钥)和MK(主密钥)。主公钥PK对所有用户公开。MK是作为秘密保持的。

密钥产生算法(KeyGen)：算法输入主公钥PK、主私钥MK和一个ID(用户身份)。算法产生用户ID的SK_ID(私钥)。

密钥更新算法(KeyUpd)：算法输入私钥SK_ID和主公钥PK。输出SK_ID(用户ID的更新的私钥)。

加密算法(Encrypt)：算法以主公钥PK和一个身份集S＝{ID₁，...，ID_d}(ID₁，...，ID_d为d个用户，d≤m，d是用户数)为输入，输出(Hdr，DK)，其中Hdr称为头部，DK(对称密钥)用于加密M(消息)。当广播者将要把消息M的密文发送给S中的用户时，他用DK计算C(关于M的密文信息)。生成CT＝(C，Hdr)(CT为最终密文)。广播者广播(C，Hdr，S)。

解密算法(Decrypt)：算法输入主公钥PK、私钥(身份为ID_i的用户的私钥)、用户身份集S和密文CT。首先，划分CT为(C，Hdr)。如果ID_i∈S，算法用Hdr计算出对称密钥DK。然后，用DK解密密文C恢复出明文消息M。

半功能密钥产生算法(KeyGenSF)：算法输入主公钥PK、主私钥MK和身份ID。输出半功能私钥SK_ID(用户ID的半功能私钥)。

半功能加密算法(EncryptSF)：算法输入主公钥PK、身份集S和消息M。算法输出CT(半功能密文)。

算法Setup，KeyGen和KeyUpd由KGC(私钥产生中心)运行，其他算法由用户运行。KeyGenSF与EncryptSF仅仅用于安全性证明。

用ψ表示复合阶双线性群生成算法。ψ以θ(安全参数)为输入，输出复合阶双线性群其中N＝p₁p₂p₃(p₁，p₂，p₃是三个不同的均为长度λ比特的素数)，G和是阶为N＝p₁p₂p₃的循环群，e是一个双线性映射：(λ对于泄漏率有重要影响)。

假定每个身份都是Z_N中的元素且每个消息都是群和的元素。假定g₁，g₂，g₃分别是子群和的生成元。在提供的方法中，第一个子群堤供系统关于明文和每个用户私钥的必要信息；第二个子群提供证明中用到的半功能性；第三个子群对密钥进行随机化。

设置算法(Setup)：定义用户最大数是m。随机选择g₁， α，r∈Z_N(Z_N是模为N的整数群)，x₁，...x_n∈Z_N，y₁，…，y_n∈Z_N，(是Z_N中N个元素)和ρ_n+2+i∈Z_N(i＝{1，...，m})。其中，n≥2是一个整数。n的值是可变的。n取较大的值，相对泄漏率越高，但是主公钥较长。n取值较小的话，相对泄漏率越低，但是主公钥较短。可以从两个角度来理解n。一方面，用动态的视角看待n，通过n的不同取值获得不同的相对泄漏率。另一方面，从静态的角度看待n，一旦某种应用中n取值确定，可以把n看成常数，此时方案具有常数量级密文和密钥。

主公钥是

主私钥是

密钥产生算法(KeyGen)：对于身份ID_i∈S，其中S＝(ID₁，...，ID_d)(d≤m)是可以解密密文的用户总体。算法以主公钥、主私钥和身份为输入。随机选择z₁，…，z_n∈Z_N，和r_i∈Z_N。产生私钥：

其中w_j＝y_j+z_j(j＝{1，...，n})，r_i′＝r+r_i，

密钥更新算法(KeyUpd)：算法以公钥PK和(用户ID_i的私钥)为输入，输出(用户ID_i的新私钥)。对于私钥随机选择Δω_j∈Z_N(j∈{1，2，...，n})，和Δr_i′∈Z_N。计算新的私钥：

由于Δw_j∈Z_N(j∈{1，2，...，n})，和Δr_i′∈Z_N都是随机的，那么w_j+Δw_j(j∈{1，2，...，n})，和r_i′+Δr_i′也是随机的。私钥和有同样的分布。这样，私钥被更新了。

令w′_j＝w_j+Δw_j(j∈{1，2，...，n))，r_i″＝r_i′+Δr_i′，更新后的私钥可表示为可以看出新的私钥和原始私钥具有相同的形式。

加密算法(Encrypt)：算法以消息M和S＝(ID₁，...，ID_d)(将要接收密文的用户身份集，ID₁，...，ID_d为d个用户，d≤m，d是用户数)为输入。随机选择s∈Z_N，计算密文：

评注：对称加密密钥为e(g₁，g₁)^αs。发送者发送(CT，S)给接收者。

解密算法(Decrypt)：如果接收者ID_i在集合S中，按如下方式解密接收到的密文。接收者划分CT＝(C，Hdr)。首先，用原始密钥计算出或用更新后密钥计算出

然后，计算或

评注：一方面，我们注意到更新后的密钥和原始密钥都能正确解密密文。另一方面，我们注意到更新后的私钥与原始私钥具有相同形式。不失一般性，如果我们之后需要一个私钥，为了方便起见，我们将用原始的私钥形式

半功能密钥产生算法(KeyGenSF)：首先，调用算法KeyGen产生正常私钥其次，随机选择生成半功能私钥：

半功能加密算法(EncryptSF)：首先，运行算法Encrypt产生正常密文CT＝(C，Hdr)。接着，随机选择生成半功能密文：

算法Setup，KeyGen与KeyUpd由私钥生成中心(PKG)运行，其它算法由用户产生。

以上所述仅是对本发明的较佳实施方式而已，并非对本发明作任何形式上的限制，凡是依据本发明的技术实质对以上实施方式所做的任何简单修改，等同变化与修饰，均属于本发明技术方案的范围内。

Claims (3)

1.一种抗私钥持续泄漏的基于身份的广播加密方法，其特征在于：密文和密钥呈现两种状态：正常和半功能的，正常密钥可以解密正常和半功能密文，半功能密钥只能解密正常密文。

2.按照权利要求1所述一种抗私钥持续泄漏的基于身份的广播加密方法，其特征在于包括以下算法：

设置算法：该算法输入安全参数θ和可能用户的最大数目，算法输出主公钥PK和主密钥MK，主公钥PK对所有用户公开，MK是作为秘密保持的；

密钥产生算法：算法输入主公钥PK、主私钥MK和一个用户身份ID，算法产生用户ID的私钥SK_ID；

密钥更新算法：算法输入私钥SK_ID和主公钥PK，输出更新的私钥SK_ID；

加密算法：算法以主公钥PK和一个身份集S＝{ID₁,...,ID_d}(d≤m)为输入，输出(Hdr,DK)，其中Hdr称为头部，DK是用于加密消息M的对称密钥，当广播者将要把消息M的密文发送给S中的用户时，他用DK计算关于M的密文C，生成密文CT＝(C,Hdr)，广播者广播(C,Hdr,S)；

解密算法：算法输入主公钥PK、私钥用户身份集S和密文CT，首先，划分CT为(C,Hdr)，如果ID_i∈S，算法用Hdr计算出对称密钥DK，然后，用DK解密密文C恢复出明文消息M；

半功能密钥产生算法：算法输入主公钥PK、主私钥MK和身份ID，输出半功能私钥SK_ID；

半功能加密算法：算法输入主公钥PK、身份集S和消息M，算法输出半功能密文CT。

3.按照权利要求2所述一种抗私钥持续泄漏的基于身份的广播加密方法，其特征在于：

用ψ表示复合阶双线性群生成算法，ψ以安全参数θ为输入，输出复合阶双线性群其中N＝p₁p₂p₃，p₁,p₂,p₃是三个不同的均为长度λ比特的素数，G和是阶为N＝p₁p₂p₃的循环群，e是一个双线性映射：λ对于泄漏率有重要影响；

假定每个身份都是Z_N中的元素且每个消息都是群中的元素，假定g₁,g₂,g₃分别是子群和的生成元，第一个子群提供系统关于明文和每个用户私钥的必要信息；第二个子群提供证明中用到的半功能性；第三个子群对密钥进行随机化；

所述设置算法：定义用户最大数是m，随机选择g₁, α,r∈Z_N，x₁,...x_n∈Z_N，y₁,...,y_n∈Z_N，和ρ_n+2+i∈Z_N(i{1，...，m})，这里，n≥2是一个整数；

主公钥是

主私钥是

所述密钥产生算法：KeyGen：对于身份ID_i∈S，其中S＝(ID₁,...,ID_d)(d≤m)是可以解密密文的用户总体，算法以主公钥、主私钥和身份为输入，随机选择z₁,...,z_n∈Z_N，和r_i∈Z_N，产生私钥：

其中w_j＝y_j+z_j(j＝{1,...,n})，r′_i＝r+r_i，

所述密钥更新算法：KeyUpd：算法以公钥PK和私钥为输入，输出一个新的私钥

对于私钥随机选择Δw_j∈Z_N(j∈{1,2,...,n})，和Δr′_i∈Z_N，计算新的私钥：

由于Δw_j∈Z_N(j∈{1,2,...,n})，和Δr′_i∈Z_N都是随机的，那么w_j+Δw_j(j{1,...,n})，和r′_i+Δr′_i也是随机的，私钥和有同样的分布，这样，私钥被更新了；

令w′_j＝w_j+Δwj(j∈{1,2,...,n})，r″_i＝r′_i+Δr_i′，更新后的私钥可表示为可以看出新的私钥和原始私钥具有相同的形式；

所述加密算法：Encrypt：算法以消息M和S＝(ID₁,...,ID_d)(将要接收密文的用户身份集)为输入，随机选择s∈Z_N，计算密文：

对称加密密钥为e(g₁,g₁)^αs，发送者发送(CT,S)给接收者；

所述解密算法：Decrypt：如果接收者ID_i在集合S中，按如下方式解密接收到的密文，接收者划分CT＝(C,Hdr)，首先，用原始密钥计算出或用更新后密钥计算出

(1)

(2)

然后，计算或

所述半功能密钥产生算法：KeyGenSF：首先，调用算法KeyGen产生正常私钥其次，随机选择生成半功能私钥：

所述半功能加密算法：EncryptSF：首先，运行算法Encryption产生正常密文CT＝(C,Hdr)，接着，随机选择生成半功能密文：

算法Setup，KeyGen与KeyUpd由私钥生成中心(PKG)运行，其它算法用用户产生。