CN110113150A

CN110113150A - 基于无证书环境的可否认认证的加密方法和系统

Info

Publication number: CN110113150A
Application number: CN201910274726.7A
Authority: CN
Inventors: 陈冠华; 赵建洋; 金鹰; 金春花; 王兰芳
Original assignee: Huaiyin Institute of Technology
Current assignee: Huaiyin Institute of Technology
Priority date: 2019-04-08
Filing date: 2019-04-08
Publication date: 2019-08-09
Anticipated expiration: 2039-04-08
Also published as: CN110113150B

Abstract

本发明公开了一种基于无证书环境的可否认认证的加密方法和系统，利用发送者的私钥生成对称密钥，并生成对消息的可否认认证的密文；接收者利用自己的私钥验证对称密钥的合法性；如果对称密钥合法，则解密出原始消息；否则，拒绝该对称密钥。本发明实现基于无证书环境的可否认认证的加密通信，为基于无证书环境的用户提供端到端的安全保障。

Description

基于无证书环境的可否认认证的加密方法和系统

技术领域

本发明涉及一种基于无证书环境的可否认认证的加密方法和系统，属于加密技术领域。

背景技术

认证的加密(Authenticated Encryption,AE)方案分为对称的AE和非对称的AE，它可同时实现两种安全目标：保密性和认证性。对称的AE通过使用密钥K₁的哈希函数和使用密钥K₂的安全加密算法来实现AE。在对称的AE中，密钥K₁和密钥K₂需要提前协商好。对称AE的认证性是可否认的认证，因为发送者和接收者都可以产生相同的密文。也就是说，接收者可以产生一个和发送者在概率上不可区分的密文。非对称的AE在一个逻辑步骤内实现了公钥加密和数字签名两种算法，可以大大减少计算和通信开销。但是，非对称的AE不能自动实现可否认的认证，因为只有发送者能产生一个有效的密文。也就是说，非对称的AE可以实现不可否认性。所以，对于认证性，对称的AE和非对称的AE是完全不同的。对称的AE是可否认的，而非对称的AE是不可否认的。

可否认的认证不同于传统的认证，它有两个主要的特点：(1)指定的接收者能够确定给定消息的来源；(2)指定的接收者不能向任意第三方证明给定消息的来源。可否认的认证可以应用在很多具体的方面，比如，电子选票系统中的无胁迫投票、网络上的安全协商以及基于编码器的安全系统。但是在这些协议中，消息都是以明文的形式进行传输的，容易造成隐私泄露的问题。为了解决这个问题，带有保密性的可否认的认证协议被提出[Harn,L.and Ren,J.(2008).Design of fully deniable authentication service for e-mailapplications.Communications Letters,12(3),219-221.]。2016年，Li等人[Li,F.,Zhong,D.,&Takagi,T.(2016).Efficient Deniably Authenticated Encryption and ItsApplication to E-Mail.IEEE Transactions on Information Forensics andSecurity,11(11),2477-2486.]提出了可否认认证的加密协议，并把该协议应用在电子邮件系统中。随后，Li等人[Li,F.,Zheng,Z.,&Jin,C.(2016).Identity-based deniableauthenticated encryption and its application to e-mailsystem.Telecommunication Systems,62(4),625-639.]提出了使用tag-KEM和DEM混合方式构造的基于身份的可否认认证的加密协议，并给出了安全性证明。Jin和Zhao[Jin,C.,&Zhao,J.(2017).Efficient and Short Identity-Based Deniable AuthenticatedEncryption.In proc.of International Conference on Cloud Computing andSecurity,pp.244-255.]提出了一个基于身份的可否认认证的加密协议。与已有的协议相比，他们的协议在计算和通信开销方面都具有优势。Ahene等人[Ahene,E.,Jin,C.,&Li,F.(2018).Certificateless deniably authenticated encryption and its applicationto e-voting system.Telecommunication Systems,1-18.]提出了一个基于无证书环境的可否认认证的加密协议，他们的协议既可以避免基于PKI的公钥证书管理问题，又可以避免基于身份的密钥托管问题。

在密码学中，有三种公钥认证的方法：基于公钥基础设施(Public KeyInfrastructure,PKI)的方法、基于身份(Identity-Based)的方法和无证书(Certificateless)方法。在基于PKI的密码系统中，一个可信的第三方CA签发与每个用户公钥相关的公钥证书，包括证书的颁发、存储、撤销等。每个用户在使用任何公钥前都需要先验证公钥证书的合法性，增加了用户的计算开销。

为了解决公钥证书管理的问题，Shamir于1984年首次提出了基于身份的密码体制的概念[Shamir A.Identity-based cryptosystems and signature schemes.Advancesin Cryptology-CRYPTO’84,LNCS 196,1985:47-53.]。在基于身份的密码体制中，用户的公钥可以根据用户的身份信息(如姓名、身份证号码、电话号码、E-mail地址等)直接计算出来，用户的私钥则是由一个称为私钥生成中心(private key generator,PKG)的可信第三方生成。但是，基于身份的密码体制有一个致命的缺点：所有用户的私钥都由PKG生成。PKG知道所有用户的私钥，不可避免的引起密钥托管问题。

为了克服基于身份密码体制中的密钥托管问题，Al-Riyami和Paterson提出了无证书密码体制(certificateless cryptography)的概念[Al-Riyami S S,Paterson KG.Certificateless public key cryptography.Advances in Cryptology-ASIACRYPT2003,LNCS 2894,2003:452-473.]。在这种密码体制中，用户的私钥由两部分组成：一部分是用户自己选择的秘密值，另一部分是由密钥生成中心(key generating centre,KGC)根据用户的身份信息计算的部分私钥。也就是说，用户需要联合KGC生成的部分私钥和自己的秘密值来生成完全私钥。因此，KGC并不知道用户的完全私钥，从而消除了密钥托管问题。而用户的公钥通常利用秘密值来生成，不需要额外的公钥证书。

对于大容量的消息来说，实现秘密通信最有效的方式就是使用混合加密技术。混合加密把加密进程分成了两部分：一部分使用公钥技术来加密一次性对称密钥；另一部分使用对称密钥来加密真正的消息。在这种构造下，公钥部分被称为密钥封装机制(keyencapsulation mechanism,KEM)，对称部分被称为数据封装机制(data encapsulationmechanism,DEM)。2003年，Cramer and Shoup(Cramer,R.,&Shoup,V.(2003).Design andanalysis of practicalpublic-key encryption schemes secure against aadaptivechosenciphertext attack.SIAM Journal on Computing,33(1),167-226.)首次对混合的KEM-DEM构造进行了形式化的安全性分析。2008年，Abe et al.(Abe,M.,Gennaro,R.,&Kurosawa,K.(2008).Tag-KEM/DEM:A new framework for hybrid encryption.Journalof Cryptology,21(1),97-130.)在KEM中加入了一个标签tag。这样的构造使得方案的描述更加简单，并且具有更好的一般性安全规约。Bentahar et al.(Bentahar,K.,Farshim,P.,Malone-Lee,J.,&Smart,N.P.(2008).Generic constructions of identity-based andcertificateless KEMs.Journal of Cryptology,21(2),178-199.)将KEM扩展到基于身份的环境中，并且提出了很多有效的基于身份的KEM方案。2014年，Abdalla等人(Abdalla,M.,Catalano,D.,&Fiore,D.(2014).Verifiable random functions:Relations toidentity-based key encapsulation and new constructions.Journal of Cryptology,27(3),544-593.)提出了可变的随机函数和基于身份的KEM之间的关系。

上述可否认认证的加密方法都没有讨论基于无证书环境的采用tag-KEM和DEM混合方式的可否认认证的加密方法。因此，很有必要发明一种新的可否认认证的加密方法来保证基于无证书环境的安全通信问题。

发明内容

本发明目的在于克服以上现有技术中的不足，实现基于无证书环境的可否认认证的加密通信，为基于无证书环境的用户提供端到端的安全保障。

为解决上述技术问题，本发明采用以下技术方案：

一方面，本发明提供了一种基于无证书环境的可否认认证的加密方法，所述方法包括以下步骤：

步骤1：设定系统参数，所述系统参数包括选择的安全参数k、加法群G₁和乘法群G₂的阶q、加法群G₁的生成元P、加法群G₁、乘法群G₂、无证书环境的密钥生成中心生成的主公钥P_pub、主私钥s以及用于无证书环境可否认认证加密解密的双线性对e和哈希函数hash；

步骤2：密钥生成中心根据主私钥s和用户提交的用户身份信息ID，生成用户的部分私钥D_ID；无证书环境的用户联合密钥生成中心生成的部分私钥D_ID和自己的秘密值x_ID生成自身的完全私钥S_ID，同时利用秘密值x_ID生成其公钥PK_ID；

步骤3：无证书环境的发送者获取接收者的身份ID_B和接收者的公钥PK_B，根据自身的身份信息ID_A、公钥PK_A、完全私钥S_A、接收者的身份信息ID_B、接收者的公钥PK_B以及无证书环境的密钥生成中心生成的主公钥P_pub，通过双线性对和哈希函数运算生成对称密钥K，同时生成内部状态信息ω；

步骤4：发送者根据对称密钥K和消息m生成密文c，并根据密文c、标签τ、发送者的身份信息ID_A、发送者的公钥PK_A、发送者的完全私钥S_A、接收者的身份信息ID_B、接收者的公钥PK_B和消息m，通过异或、哈希函数、点乘、点加和双线性对运算执行加密过程；

步骤5：接收者根据密文c、标签τ、发送者的身份信息ID_A、发送者的公钥PK_A、接收者的身份信息ID_B、接收者的公钥PK_B和接收者的完全私钥S_Bx_B，通过双线性对、哈希函数、点乘和异或运算执行解密过程，若验证通过，则输出对称密钥并恢复原始消息，否则拒绝该对称密钥。

进一步地，步骤2具体包括如下：

密钥生成中心计算用户的部分私钥D_ID，表达式为：D_ID＝sQ_ID，

其中s为密钥生成中心随机选择的主私钥，为阶为q的无零元的有限域；Q_ID为用户身份信息的hash值，表达式为Q_ID＝H₁(ID)，ID为用户提交给密钥生成中心的身份信息；

用户随机选择作为秘密值；

用户根据部分私钥D_ID和秘密值x_ID设置完全私钥S_ID＝(D_ID,x_ID)；

用户计算公钥PK_ID＝x_IDP。

进一步地，步骤3具体包括：

步骤3.1：生成一个随机数r，并根据随机数r、主公钥P_pub以及接收者身份信息ID_B的哈希值Q_B计算双线性对T；

步骤3.2：计算由随机数r、双线性对T、发送者的身份信息ID_A、接收者的身份信息ID_B、发送者的公钥PK_A、接收者的公钥PK_B构成的hash值，也即对称密钥K；

步骤3.3：输出对称密钥K和内部状态信息w，所述内部状态信息w包括发送者完全私钥S_A、随机数r、双线性对T、发送者的身份信息ID_A、接收者的身份信息ID_B、发送者的公钥PK_A和接收者的公钥PK_B。

进一步地，步骤4中加密过程包括以下步骤：

步骤4.1：计算由对称密钥K和消息m生成的密文c；

步骤4.2：计算由密文c、标签τ、双线性对T、发送者的公钥PK_A、接收者的公钥PK_B以及发送者生成的秘密值x_A与接收者公钥PK_B的乘积构成的hash值h，表达式如下：

h＝H₃(c,τ,T,PK_A,,PK_B,,x_APK_B),

步骤4.3：利用hash值h与发送者部分私钥D_A的乘积，加上发送者的随机数r和主公钥P_pub的乘积，生成签名V；

步骤4.4：计算由签名V和接收者身份信息的hash值Q_B构成的双线性对W；

步骤4.5：计算承诺S并把生成的封装密文σ＝(c,W,S)发送给接收者；

再进一步地，步骤5中解密过程包括以下步骤：

步骤5.1：计算由双线性对W、承诺S和接收者的部分私钥D_B生成的双线性对T’；

步骤5.2：计算由密文c、标签τ、双线性对T’、发送者公钥PK_A、接收者公钥PK_B和接收者秘密值和发送者公钥的乘积x_BPK_A构成的hash值h’；

步骤5.3：计算S’＝h’Q_B，如果S’＝S，输出由r、T’、ID_A、ID_B、PK_A、PK_B的哈希值构成的对称密钥K同时恢复消息m；如果不成立，输出错误符号“⊥”。

另一个方面，本发明提供了一种基于无证书环境的可否认认证的加密系统，所述系统包括：无证书系统参数设置模块：用于设定系统参数，所述系统参数包括选择的安全参数k、加法群G₁和乘法群G₂的阶q、加法群G₁的生成元P、加法群G₁、乘法群G₂、无证书环境的密钥生成中心生成的主公钥P_pub、主私钥s以及用于无证书环境可否认认证加密解密的双线性对e和哈希函数hash；

无证书环境用户密钥生成模块：用于密钥生成中心根据主私钥s和用户提交的身份信息ID，生成用户的部分私钥D_ID；无证书环境的用户联合密钥生成中心生成的部分私钥D_ID和自己的秘密值x_ID生成自身的完全私钥S_ID，同时利用秘密值x_ID生成其公钥PK_ID；

对称密钥生成模块：无证书环境的发送者获取接收者的身份ID_B和接收者的公钥PK_B，根据自身的身份信息ID_A、公钥PK_A、完全私钥S_A、接收者的身份信息ID_B、接收者的公钥PK_B以及无证书环境的密钥生成中心生成的主公钥P_pub，通过双线性对和哈希函数运算生成对称密钥K，同时生成内部状态信息ω；

封装模块：用于发送者根据对称密钥生成模块生成的对称密钥K、消息m，生成密文c，并根据密文c、标签τ、发送者的身份信息ID_A、发送者的公钥PK_A、发送者的完全私钥S_A、接收者的身份信息ID_B、接收者的公钥PK_B和消息m，通过异或、哈希函数、点乘、点加和双线性对运算执行加密过程；

解封装模块：用于接收者根据密文c、标签τ、发送者的身份信息ID_A、发送者的公钥PK_A、接收者的身份信息ID_B、接收者的公钥PK_B和接收者的完全私钥S_B，通过双线性对、哈希函数、点乘和异或运算执行解密过程，若验证通过，则输出对称密钥并恢复消息，否则拒绝该对称密钥并输出错误符号。

进一步地，所述对称密钥生成模块包括：

双线性T计算模块：用于生成一个随机数r，并根据随机数r、主公钥P_pub以及发送者身份信息ID_A的哈希值Q_A计算双线性对T；

对称密钥生成模块：计算由随机数r、双线性T计算模块生成的双线性对T、发送者的身份信息ID_A、接收者的身份信息ID_B、发送者的公钥PK_A、接收者的公钥PK_B构成的hash值，也即对称密钥K；

对称密钥K和内部状态信息w输出模块：用于输出对称密钥生成模块生成的对称密钥K和内部状态信息w，所述内部状态信息w包括发送者完全私钥S_A、随机数r、双线性对T、发送者的身份信息ID_A、接收者的身份信息ID_B、发送者的公钥PK_A和接收者的公钥PK_B。

进一步地，所述封装模块包括：

密文生成模块：计算由对称密钥K和消息m生成的密文c；

签名生成模块：用于计算由密文生成模块生成的密文c、标签τ、双线性对T、发送者的公钥PK_A、接收者的公钥PK_B以及发送者生成的秘密值x_A与接收者公钥PK_B的乘积构成的hash值h，表达式如下：

h＝H₃(c,τ,T,PK_A,PK_B,x_APK_B),

利用hash值h与发送者部分私钥D_A的乘积，加上发送者的随机数r和主公钥P_pub的乘积，生成签名V；

封装密文生成和发送模块：用于计算由签名生成模块生成的签名V和接收者的身份信息的hash值Q_B构成的双线性对W；计算承诺S并把生成的封装密文σ＝(c,W,S)发送给接收者。

再进一步地，所述解封装模块包括：

双线性对T’生成模块，用于计算由双线性对W、承诺S和接收者的部分私钥D_B生成的双线性对T’；

验证即消息恢复模块：用于计算由密文c、标签τ、双线性对T’，生成模块生成的双线性对T’、PK_A、PK_B、x_BPK_A构成的hash值h’；计算S’＝h’Q_B，如果S’＝S，输出由r、T’、ID_A、ID_B、PK_A、PK_B的哈希值构成的对称密钥K同时恢复消息m；如果不成立，输出错误符号“⊥”。

本发明所达到的有益效果：

1、为基于无证书环境可否认认证的加密通信提供了理论基础与技术保障。可以为基于无证书环境的用户提供端到端的保密性和可否认认证性服务；

2、本发明发送者计算双线性对时包括了一个随机数，并基于随机数和双线性对计算对称密钥，只有拥有随机数的用户才能得到对称密钥并恢复出消息m，因此本发明具有很强的保密性；

3、本发明接收者利用自己的私钥产生的封装密文，和发送者利用自己的私钥产生的封装密文在概率上是不可区分的，因此本发明具有可否认的认证性。

附图说明

图1是本发明具体实施的方法流程图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

实施例：一种基于无证书环境的可否认认证的加密方法，流程图见图1所示，包括以下步骤：

(1)设定系统参数

本实施例系统参数包括以下：

(1.1)设G₁为由P生成的循环加法群，阶为q，G₂为具有相同阶q的循环乘法群，e:G₁×G₁→G₂为一个双线性映射，P为群G₁的生成元。

定义三个安全的Hash函数H₁、H₂和H₃。H₁是从{0,1}^*映射到G₁，H₂从{0,1}^*映射到{0,1}ⁿ，H₃是从{0,1}^*×G₁×G₂映射到在说明书中，是阶为q的无零元的有限域；系统参数表示为：

{G₁,G₂,q,n,e,P,P_pub,H₁,H₂,H₃}。

(1.2)私钥生成中心随机选择一个主私钥计算相应的主公钥P_pub＝sP。

(2)生成基于无证书环境的密钥

(2.1)用户提交身份信息ID给密钥生成中心，密钥生成中心计算部分私钥D_ID＝sQ_ID，其中Q_ID为用户身份信息的hash值，可以看作用户的部分公钥，表达式为：Q_ID＝H₁(ID)，s为私钥生成中心随机选择一个主私钥，密钥生成中心将D_ID发送给发送者。

如发送者A向密钥生成中心提交身份信息ID_A，密钥生成中心计算部分私钥D_A＝sQ_A，其中Q_A为发送者A的部分公钥，Q_A＝H₁(ID_A)，密钥生成中心将部分私钥D_A发送给发送者；ID_A为发送者的身份信息。

如接收者B向密钥生成中心提交身份信息ID_B，密钥生成中心计算部分私钥D_B＝sQ_B，其中Q_B为接收者B的部分公钥，Q_B＝H₁(ID_B)，密钥生成中心将部分私钥D_B发送给接收者；ID_B为接收者的身份信息。

(2.2)用户随机选择作为秘密值。

发送者选择的秘密值为x_A，接收者选择的秘密值为x_B；

(2.3)用户设置完全私钥S_ID＝(D_ID,x_ID)。

发送者的完全私钥为S_A＝(D_A,x_A)，接收者的完全私钥为S_B＝(D_B,x_B)；

(2.4)用户计算公钥PK_ID＝x_IDP。

发送者的公钥为PK_A＝x_AP，接收者的公钥为PK_B＝x_BP；

(3)生成对称密钥：无证书环境的发送者获取接收者的身份ID_B和接收者的公钥PK_B，根据自身的身份信息ID_A、公钥PK_A、完全私钥S_A、接收者的身份信息ID_B、接收者的公钥PK_B以及无证书环境的密钥生成中心生成的主公钥P_pub，通过双线性对和哈希函数运算生成对称密钥K，同时生成内部状态信息ω；

本实施例中具体地，生成一个随机数r，并根据随机数r、主公钥P_pub以及接收者身份信息ID_B的哈希值Q_B(即接收者的部分公钥Q_B)计算双线性对T，表达式为：

T＝e(P_pub,Q_B)^r；

发送者在获取到接收者的身份ID_B和公钥PK_B后，利用随机数r、双线性对T、主公钥P_pub、发送者的身份ID_A、发送者的公钥PK_A、接收者的身份ID_B和接收者的公钥PK_B生成对称密钥K，表达式如下：

K＝H₂(r,T,ID_A,ID_B,PK_IDA,PK_IDB)；

(3.3)输出K和内部状态信息ω＝(r,T,S_A,ID_A,ID_B,PK_A,PK_B)，其中S_A为发送者的完全私钥。

(4)可否认认证的加密

发送者根据对称密钥K和消息m生成密文c，并根据密文c、标签τ、发送者的身份信息ID_A、发送者的公钥PK_A、发送者的完全私钥S_A、接收者的身份信息ID_B、接收者的公钥PK_B和消息m，通过异或、哈希函数、点乘、点加和双线性对运算执行加密过程。本实施例中发送者的完全私钥为S_A＝(D_A,x_A)，其中D_A为发送者的部分私钥，x_A为发送者生成的秘密值。本步骤具体如下：

(4.1)计算由对称密钥K和消息m生成的密文c，表达式为：

c＝DEM.E_K(m)；

(4.2)计算由密文c、标签τ、双线性对T、发送者的公钥PK_A、接收者的公钥PK_B以及发送者生成的秘密值x_A与接收者的公钥PK_B的乘积构成的hash值h，表达式如下：计算h＝H₃(c,τ,T,PK_A,PK_B,x_A PK_B)；

(4.3)利用hash值h与发送者部分私钥D_A的乘积，加上发送者的随机数r和主公钥P_pub的乘积，生成签名V，表达式为：V＝hD_A+rP_pub，

(4.4)计算由签名V和接收者的部分公钥Q_B构成的双线性对W，

表达式为：W＝e(V,Q_B)，

其中接收者的部分公钥Q_B的表达式为：Q_B＝H₁(ID_B)；

(4.5)计算承诺S，表达式为：S＝hQ_B；

(4.6)输出可否认认证的密文：σ＝(c,W,S)。

(5)可否认认证的解密

接收者根据密文c、标签τ、发送者的身份信息ID_A、发送者的公钥PK_A、接收者的身份信息ID_B、接收者的公钥PK_B和接收者的完全私钥S_B，通过双线性对、哈希函数、点乘和异或运算执行解密过程，若验证通过，则输出对称密钥并恢复出原始消息，否则拒绝该对称密钥。本实施例中接收者的的完全私钥为S_B＝(D_B,x_B)，其中D_B为接收者的部分私钥，x_B为接收者生成的秘密值；

本步骤具体如下：

接收者在收到密文σ＝(c,W,S)时，执行以下步骤：

(5.1)计算T’＝W/e(S,D_B)；

(5.2)计算h’＝H₃(c,τ,T’,PK_A,PK_B,x_B PK_A)；

(5.3)计算S’＝h’Q_B，如果S’＝S，输出对称密钥K＝H₂(r,T’,ID_A,ID_B,PK_A,PK_B)，并计算出消息m＝DEM.D_K(c)；如果不成立，拒绝该对称密钥。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。

Claims

1.一种基于无证书环境的可否认认证的加密方法，其特征在于，所述方法包括以下步骤：

步骤2：密钥生成中心根据主私钥s和用户提交的身份信息ID，生成用户的部分私钥D_ID；无证书环境的用户联合其部分私钥D_ID和自己的秘密值x_ID生成自身的完全私钥S_ID，同时利用秘密值x_ID生成其公钥PK_ID；

步骤3：无证书环境的发送者获取接收者的身份信息ID_B和接收者的公钥PK_B，根据自身的身份信息ID_A、公钥PK_A、完全私钥S_A、接收者的身份信息ID_B、接收者的公钥PK_B以及无证书环境的密钥生成中心生成的主公钥P_pub，通过双线性对e和哈希函数hash运算生成对称密钥K，同时生成内部状态信息ω；

步骤5：接收者根据标签τ、密文c、发送者的身份信息ID_A、发送者的公钥PK_A、接收者的身份信息ID_B、接收者的公钥PK_B和接收者的完全私钥S_B，通过双线性对、哈希函数、点乘和异或运算执行解密过程，若验证通过，则输出对称密钥并恢复出原始消息，否则拒绝该对称密钥。

2.根据权利要求1所述的加密方法，其特征在于，步骤2具体包括如下：

密钥生成中心计算用户的部分私钥D_ID，表达式为：D_ID＝sQ_ID，其中s为密钥生成中心随机选择的主私钥，为阶为q的无零元的有限域；

Q_ID为用户身份信息的hash值，表达式为Q_ID＝H₁(ID)，ID为用户提交给密钥生成中心的身份信息；

用户随机选择作为秘密值；

用户计算公钥PK_ID＝x_IDP。

3.根据权利要求1所述的加密方法，其特征在于，步骤3具体包括：

步骤3.1：生成一个随机数r，并根据随机数r、主公钥P_pub以及接收者身份信息ID_B的哈希值计算双线性对T；

4.根据权利要求1所述的加密方法，其特征在于，步骤4中加密过程包括以下步骤：

步骤4.1：计算由对称密钥K和消息m生成的密文c；

h＝H₃(c,τ,T,PK_A,PK_B,x_APK_B),

步骤4.4：计算由签名V和接收者身份信息ID_B的hash值Q_B构成的双线性对W；

步骤4.5：计算承诺S并把生成的封装密文σ＝(c,W,S)发送给接收者。

5.根据权利要求4所述的加密方法，其特征在于，步骤5中解密过程包括以下步骤：

步骤5.2：计算由密文c、标签τ、双线性对T’、发送者的公钥PK_A、接收者的公钥PK_B、接收者的秘密值x_B与发送者公钥PK_A的乘积x_BPK_A构成的hash值h’；

步骤5.3：计算S’＝h’Q_B，其中Q_B为接收者身份信息的hash值，如果S’＝S，输出由随机数r、双线性对T’、发送者的身份信息ID_A、接收者的身份信息ID_B、发送者的公钥PK_A、接收者的公钥PK_B的哈希值构成的对称密钥K同时恢复消息m；如果不成立，则拒绝该对称密钥，其中是阶为q的无零元的有限域。

6.根据权利要求1所述的加密方法，其特征在于，

根据对称密钥K和消息m生成密文c的方法为：

发送者采用数据封装机制DEM对消息m和对称密钥K进行加密生成封装后的密文c，表达式为：

c＝DEM.E_K(m)；

对密文c解密得到消息m的表达式为：

m＝DEM.D_K(c)。

7.一种基于无证书环境的可否认认证的加密系统，其特征在于，所述系统包括：无证书系统参数设置模块：用于设定系统参数，所述系统参数包括选择的安全参数k、加法群G₁和乘法群G₂的阶q、加法群G₁的生成元P、加法群G₁、乘法群G₂、无证书环境的密钥生成中心生成的主公钥P_pub、主私钥s以及用于无证书环境可否认认证加密解密的双线性对e和哈希函数hash；

无证书环境用户密钥生成模块：用于密钥生成中心根据主私钥s和用户提交的用户身份信息ID，生成用户的部分私钥D_ID；无证书环境的用户联合部分私钥D_ID和自己的秘密值x_ID生成自身的完全私钥S_ID，同时利用秘密值x_ID生成其公钥PK_ID；

封装模块：用于发送者根据对称密钥生成模块生成的对称密钥K、消息m生成密文c，并根据密文c、标签τ、发送者的身份信息ID_A、发送者的公钥PK_A、发送者的完全私钥S_A、接收者的身份信息ID_B、接收者的公钥PK_B和消息m，通过异或、哈希函数、点乘、点加和双线性对运算执行加密过程；

解封装模块：用于接收者根据标签τ、密文c、发送者的身份信息ID_A、发送者的公钥PK_A、接收者的身份信息ID_B、接收者的公钥PK_B和接收者的完全私钥S_B，通过双线性对、哈希函数、点乘和异或运算执行解密过程，若验证通过，则输出对称密钥并恢复消息，否则拒绝该对称密钥。

8.根据权利要求7所述的可否认认证的加密系统，其特征在于，所述对称密钥生成模块包括：

双线性T计算模块：用于生成一个随机数r，并根据随机数r、主公钥P_pub以及接收者身份信息ID_B的哈希值Q_B计算双线性对T；

9.根据权利要求7所述的可否认认证的加密系统，其特征在于，所述封装模块包括：

密文生成模块：计算由对称密钥K和消息m生成的密文c；

h＝H₃(c,τ,T,PK_A,PK_B,,x_APK_B),

封装密文生成和发送模块：用于计算由签名生成模块生成的签名V和接收者身份信息ID_B的hash值Q_B构成的双线性对W；计算承诺S并把生成的封装密文σ＝(c,W,S)发送给接收者。

10.根据权利要求9所述的可否认认证的加密系统，其特征在于，所述解封装模块包括：

验证即消息恢复模块：用于计算由密文c、τ、双线性对T’生成模块生成的双线性对T’、PK_A、PK_B、x_BPK_A构成的hash值h’；计算S’＝h’Q_B，如果S’＝S，输出由r、T’、ID_A、ID_B、PK_A、PK_B的哈希值构成的对称密钥K同时恢复消息m；如果不成立，拒绝该对称密钥。