CN110120939B - 一种基于异构系统的可否认认证的加密方法和系统 - Google Patents

Abstract

本发明公开了一种基于异构系统的可否认认证的加密方法和系统，所述加密方法包括以下步骤：发送者通过双线性对以及哈希函数运算生成对称密钥K；发送者根据对称密钥K、内部状态信息ω、标签τ和消息m，通过异或、哈希函数、点乘、点加和双线性对运算执行加密过程；接收者根据封装密文c、标签τ、发送者的身份信息ID_s、主公钥P_pub以及接收者的私钥x_r执行解密过程；若验证通过，则输出对称密钥并恢复出原始消息，否则拒绝该用户发送的对称密钥。本发明为发送者属于基于身份环境、接收者属于公钥基础设施环境之间的通信提供了理论基础与技术保障，可以为基于身份环境的用户和公钥基础设施环境的用户提供端到端的机密性、完整性和否认认证性服务。

Description

一种基于异构系统的可否认认证的加密方法和系统

技术领域

本发明涉及一种可否认认证的加密方法和系统，特别是涉及一种发送者属 于基于身份环境、接收者属于公钥基础设施环境的可否认认证的加密方法和系 统。

背景技术

与传统的认证相比，可否认的认证使得指定的接收者能够确定给定消息的 来源，但是任何第三方都不能确定给定消息的来源。由于可否认认证的特殊性 质，所以它可以应用在隐私保护的场合中，比如电子选票、网络购物以及基于 位置的隐私保护等系统中。通常，在可否认的认证方案中，消息都是以明文的 形式进行传输的，但是，对于需要隐私保护的用户来说，这可能会损害他们的 利益。为了确保传输消息的安全性，对传输的消息加密，让它们以密文的形式 呈现。

对于大容量的消息来说，实现秘密通信最有效的方式就是使用混合加密技 术。混合加密把加密过程分成了两部分：一部分使用公钥技术来加密一次性对 称密钥；另一部分使用对称密钥来加密真正的消息。在这种构造下，公钥部分 被称为密钥封装机制(keyencapsulation mechanism,KEM)，对称部分被称为数据 封装机制(data encapsulationmechanism,DEM)。tag-KEM/DEM方案的提出，使 方案的描述更加简单，并且具有更好的一般性安全规约。

在基于公钥基础设施(Public Key Infrastructure,PKI)的密码系统中，在使用用户的公钥之前，需要先验证公钥证书的合法性；此外，公钥证书的存储、分 发和撤销都需要大量的计算开销。为了解决公钥证书的管理问题，Shamir提出 了基于身份的密码系统(Identity-Based Cryptograph,简称IBC)。在这种系统中， 用户的公钥可以根据用户的身份信息(如姓名、身份证号码、电话号码、E-mail 地址等)直接计算出来，用户的私钥则由一个称为私钥生成中心(private key generator,PKG)的可信第三方生成。

Jin和Zhao提出了基于身份的可否认的认证方案，他们的方案在随机预言 机模型下被证明是安全的。随后，Jin等人提出了基于身份的可否认认证的加密 方案，经过综合性能分析，他们的方案在安全性和效率方面，都具有很好的优 势。Ahene等人提出了一个基于无证书环境的可否认认证的加密协议，他们的 协议既可以避免基于PKI的公钥证书管理问题，又可以避免基于身份的密钥托 管问题。Li等人提出了基于身份的tag-KEM/DEM的可否认的认证方案，并把他 们的方案应用在电子邮件系统中。但是他们的方案处于同一个密码系统中，在 实际的应用中存在局限性。Jin等人提出了基于异构系统的可否认的认证方案，但是他们的方案不能实现保密性。

上述可否认认证的加密方案，都没有讨论发送者属于身份环境、接收者属 于公钥基础设施环境的采用tag-KEM和DEM混合方式的可否认认证的加密方 法。因此，很有必要发明一种新的可否认认证的加密方法，来保证基于此异构 系统的安全通信问题。

发明内容

本发明所要解决的技术问题是克服现有技术的缺陷，提供一种基于异构系 统的可否认认证的加密方法和系统。

为实现上述技术目的，本发明采用以下技术方案。

一方面，本发明提供一种基于异构系统的可否认认证的加密方法，发送者 处于基于身份环境，接收者处于公钥基础设施环境，所述加密方法包括以下步 骤：

1)：设置系统参数完成系统初始化，所述系统参数包括安全参数、素数阶、 生成元、加法群、乘法群、主公钥、主私钥、双线性映射和哈希函数；

2)：基于身份环境的私钥生成中心PKG根据发送者提交的身份信息ID_s确 定发送者的公钥Q_IDS，并根据该公钥Q_IDS计算发送者的私钥S_IDS；

3)：基于公钥基础设施环境的接收者选择其私钥x_r，并生成其公钥pk_r；

4)：发送者根据系统预先设置的主公钥P_pub和接收者的公钥pk_r通过双线性 对以及哈希函数运算生成对称密钥K，并且生成内部状态信息ω；

5)：发送者根据对称密钥K、内部状态信息ω、标签τ和消息m，通过异或、 哈希函数、点乘、点加和双线性对运算执行加密过程；

6)：接收者根据封装密文c、标签τ、发送者的身份信息ID_s、主公钥P_pub以 及接收者的私钥x_r通过双线性对、哈希函数、点乘和异或运算执行解密过程， 若验证通过，则输出对称密钥并恢复出消息，否则拒绝该用户发送的对称密钥。

另一方面，本发明提供一种基于异构系统的可否认认证的加密系统，发送 者基于身份环境，接收者基于公钥基础设施环境，所述加密系统包括以下步骤：

系统初始化模块，用于设置系统参数完成系统初始化；

发送者私钥及公钥生成模块，用于基于身份环境的私钥生成中心PKG采用 哈希函数计算发送者身份信息ID_s的哈希值获得发送者的公钥Q_IDS，并根据该公 钥Q_IDS计算发送者的私钥S_IDS；

接收者私钥公钥生成模块，用于基于公钥基础设施环境的接收者生成其私 钥x_r和公钥pk_r；

对称密钥及内部状态信息生成模块，用于发送者根据系统预先设置的主公 钥P_pub和接收者的公钥pk_r通过双线性对以及哈希函数运算生成对称密钥K，以 及内部状态信息ω；

加密模块，用于发送者根据对称密钥K、内部状态信息ω、标签τ和消息m， 通过异或、哈希函数、点乘、点加和双线性对运算执行加密过程；

解密模块：接收者根据封装密文c、标签τ、发送者的身份信息ID_s、主公钥 P_pub以及接收者的私钥x_r，通过双线性对、哈希函数、点乘和异或运算执行解密 过程，若验证通过，则输出对称密钥并恢复出消息，否则拒绝该对称密钥。

本发明所达到的有益效果：

1、本发明为发送者属于基于身份环境、接收者属于公钥基础设施环境之间 的通信提供了理论基础与技术保障，可以为基于身份环境的用户和公钥基础设 施环境的用户提供端到端的机密性、完整性和否认认证性服务；

2、本发明发送者选择随机数r以及自己的私钥对消息m进行加密，消息是 以密文的形式进行传送的。非法用户不可能从密文σ中恢复出消息m，只有真正 拥有私钥的接收者能解密该密文。所以本协议可以实现保密性；

3、本发明在接收端，只有拥有私钥x_r的接收者才能计算出双线性对 t’＝T/e(V,x_rP_pub)，从而计算出hash函数值h。发送者和接收者都可以生成V＝h’Q_IDS， 意味着他们可以产生在概率上不可区分的可否认的密文，从而实现否认认证性；

4、本发明用户要发送的消息m是用对称密钥K加密的，若不知道随机数r， 也就计算不出K，所以敌手无法解密出消息m；此外密文c包含在hash值h中，所 以敌手也无法篡改c的值，从而确保了消息的完整性。

具体实施方式

以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制 本发明的保护范围。

实施中用到的符号说明见下表1。

表1具体实施例符号说明

具体实施例：一种基于异构系统的可否认认证的加密方法，包括以下步骤：

(一)设置系统参数完成系统初始化(Setup)：PKG生成主私钥和系统公开参 数。

所述系统参数包括安全参数、素数阶、生成元、加法群、乘法群、主公钥、 主私钥、双线性映射和哈希函数，本实施例中具体包括以下：

1)给定安全参数k，私钥生成中心(PKG)首先选择阶为q(q≥2^k)的双线性映 射群(G₁,G₂)，群G₁的生成元P和双线性映射e:G₁×G₁→G₂。

2)选择主私钥

计算主公钥P_pub＝sP。

3)选择三个哈希数:

H₁:{0,1}^*→G₁，

H₂:G₂→{0,1}ⁿ，

其中n表示DEM的密钥长度。

4)系统公开参数为{G₁,G₂,e,q,k,P,P_pub,n,H₁,H₂,H₃}。

(二)基于身份密码系统的密钥提取(IBC-KE):

基于身份环境的私钥生成中心PKG根据发送者提交的身份信息ID_s确定发 送者的公钥Q_IDS，并根据该公钥Q_IDS计算发送者的私钥S_IDS；

本实施例中具体如下：

1)IBC密码系统中的发送者把它的身份信息ID_s发送给PKG；

2)PKG计算Q_IDS＝H₁(ID_s)并根据发送者的公钥Q_IDS和主私钥s计算发送者的私 钥S_IDS，表达式为S_IDS＝sQ_IDS，把私钥发送给IBC密码系统中的发送者。

(三)基于公钥基础设施密码系统的密钥提取(PKI-KE):接收者选择一个随机 数生成自己的私钥x_r并计算出自己的公钥pk_r。

本实施例中具体如下：PKI密码系统中的接收者选择一个随机数x_r，

作 为自己的私钥并计算出相应的公钥pk_r＝x_rP。

(四)生成对称密钥(Sym):发送者利用自己的私钥S_IDS，身份信息ID_s、接收 者的公钥pk_r，通过双线性对运算，得到要输出的对称密钥K，并且生成内部状态 信息ω。

本实施例中具体如下：

1)选择随机数

并计算t＝e(P_pub,pk_r)^r；

2)输出K＝H₂(t),，内部状态信息ω＝(r,t,S_IDS,ID_s,pk_r)；

(五)加密(Encrypt)：发送者利用对称密钥K、内部状态信息ω、标签τ和消息 m，通过异或、哈希函数、点乘以及双线性对运算，得到要输出的密文。

本实施例中具体步骤如下：

5-1)对消息m和对称密钥K进行数据封装机制DEM(即异或关系)得到封装后 的封装密文c，表达式如下：c＝DEM_K(m)；

5-2)根据封装密文c、标签τ以及双线性对t采用哈希函数计算哈希值h，表达 式如下：h＝H₃(c,τ,t,)；

5-3)计算承诺S，表达式如下：

S＝hS_IDS+rP_pub；

5-4)根据承诺S与接收者公钥pk_r计算双线性对T，表达式如下：

T＝e(S,pk_r),

5-5)根据发送者的公钥Q_IDS计算签名V，表达式如下：V＝hQ_IDS；

5-6)输出密文σ，表达式为：σ＝(c,T,V)。

(六)解密(Decrypt)：接收者利用封装密文σ，标签τ，发送者的身份ID_s和接收者的私钥x_r，通过双线性对、哈希函数、点乘以及异或运算执行解密过 程，若验证通过，则输出对称密钥并恢复出消息，否则拒绝该用户发送的对称 密钥并输出错误符号。

本实施例中具体如下：

6-1)计算双线性对T除以签名V与接收者私钥x_r和主公钥P_pub乘积的双线性 对得到双线性对t’，表达式为：t’＝T/e(V,x_rP_pub)；

6-2)计算封装密文c、标签τ、双线性对t的哈希值h’，表达式为：

h’＝H₃(c,τ,t’)；

6-3)如果V＝h’Q_IDS，输出对称密钥K＝H₂(t)并计算m＝DEM_K(c)；否则输出 错误符号⊥。

本发明基于确定性双线性对Diffie-Hellman困难问题。在同一个逻辑步骤内 能够同时实现保密性和否认认证性。同时，发送者和接收者处于不同的密码环 境中。发送者处于IBC的密码环境，不存在公钥证书管理的问题；而接收者处于 PKI的密码环境，能够负担起证书管理的问题。

本发明为用户数据提供了保密性和完整性要求，并且确保了发送者和接收 者能以一定的概率产生不可区分的密文，达到了一定的安全和隐私要求，其说 明如下：

1)数据保密性：在通信过程中，消息m是以密文的形式传送的。发送者选择 的随机数

以及自己的私钥只有自己知道，非法用户不可能从密文σ中恢复 出消息m，只有真正拥有私钥的接收者能解密该密文。所以本协议可以实现保密 性。

2)否认认证性：在接收端，只有拥有接收者私钥x_r的接收者才能计算出双 线性对t’＝T/e(V,x_rP_pub)，从而计算出hash函数值h’。发送者和接收者都可以生成 V＝h’Q_IDS，意味着他们可以产生在概率上不可区分的可否认的密文，从而实现 否认认证性。

3)完整性：用户要发送的消息m是用对称密钥K加密的，其中c＝DEM_K(m)， K＝H₂(t)，t＝e(P_pub,pk_r)^r，

敌手不知道随机数r，计算不出t，也就计算不 出K，所以敌手无法解密出消息m。此外，密文c包含在hash值h中，所以敌手也 无法篡改c的值，从而确保了消息的完整性。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计 算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结 合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包 含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、 CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产 品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/ 或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入 式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算 机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个 流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备 以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的 指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流 程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使 得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理， 从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程 或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意 性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离 本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于 本发明的保护之内。

Claims (7)

1.一种基于异构系统的可否认认证的加密方法，其特征是，发送者处于基于身份环境，接收者处于公钥基础设施环境，所述加密方法包括以下步骤：

1)：设置系统参数完成系统初始化，所述系统参数包括安全参数、素数阶、生成元、加法群、乘法群、主公钥、主私钥、双线性映射和哈希函数；

2)：基于身份环境的私钥生成中心PKG根据发送者提交的身份信息ID_s确定发送者的公钥Q_IDS，并根据该公钥Q_IDS计算发送者的私钥S_IDS；

3)：基于公钥基础设施环境的接收者选择其私钥x_r，并生成其公钥pk_r；

4)：发送者根据系统预先设置的主公钥P_pub和接收者的公钥pk_r，通过双线性对以及哈希函数运算生成对称密钥K，并且生成内部状态信息ω；

5)：发送者根据对称密钥K、内部状态信息ω、标签τ和消息m，通过异或、哈希函数、点乘、点加和双线性对运算执行加密过程；

6)：接收者根据封装密文c、标签τ、发送者的身份信息ID_s、主公钥P_pub以及接收者的私钥x_r，通过双线性对、哈希函数、点乘和异或运算执行解密过程，若验证通过，则输出对称密钥并恢复出消息，否则拒绝发送者发送的对称密钥；

步骤5)的加密步骤如下：

5-1)对消息m和对称密钥K进行数据封装机制DEM得到封装后的封装密文c，表达式如下：c＝DEM_K(m)；5-2)根据封装密文c、标签τ以及双线性对t采用哈希函数计算哈希值h，表达式如下：h＝H₃(c,τ,t)；

5-3)计算承诺S，表达式如下：

S＝hS_IDS+rP_pub；

5-4)根据承诺S与接收者公钥pk_r计算双线性对T，表达式如下：

T＝e(S,pk_r)；

5-5)根据发送者的公钥Q_IDS计算签名V，表达式如下：V＝hQ_IDS；

5-6)输出密文σ，表达式为：σ＝(c,T,V)；

步骤6)的解密步骤如下：

6-1)计算双线性对T除以签名V与接收者私钥和主公钥P_pub乘积的双线性对得到双线性对t’，表达式为：t’＝T/e(V,x_rP_pub)；

6-2)计算封装密文c、标签τ、双线性对t’的哈希值h’，表达式为：h’＝H₃(c,τ,t’)；

6-3)如果V＝h’Q_IDS，输出对称密钥K＝H₂(t)并计算m＝DEM_K(c)；否则输出错误符号；H₂和H₃为哈希函数。

2.根据权利要求1所述的加密方法，其特征是，所述系统参数包括：

安全参数k、双线性映射群(G₁,G₂)、双线性映射群(G₁,G₂)的阶q、群G₁的生成元P、双线性映射e:G₁×G₁→G₂、主私钥s且

表示阶为q的整数群除去0元素，主公钥P_pub且P_pub＝sP，以及三个函数H₁、H₂和H₃，系统参数表示为：{G₁,G₂,e,n,k,q,P,P_pub,H₁,H₂,H₃}，n表示DEM的密钥长度。

3.根据权利要求2所述的加密方法，其特征是，三个哈希函数的表达式如下：

H₁:{0,1}^*→G₁，

H₂:G₂→{0,1}ⁿ，

H₃:

其中q≥2^k。

4.根据权利要求1所述的加密方法，其特征是，步骤2)的具体方法为：

2-1)基于身份环境的发送者把它的身份信息ID_s发送给其私钥生成中心PKG；

2-2)私钥生成中心PKG计算身份信息ID_s的哈希值并将其作为发送者的公钥Q_IDS，表达式为：

Q_IDS＝H₁(ID_s)，

并根据发送者的公钥Q_IDS和主私钥s计算发送者的私钥S_IDS，表达式为：

S_IDS＝sQ_IDS；

2-3)私钥生成中心PKG将发送者的私钥S_IDS发送给发送者。

5.根据权利要求1所述的加密方法，其特征是，步骤3)的具体方法为：

3-1)基于公钥基础设施环境的接收者选择一个随机数x_r作为它的私钥，

其中

表示阶为q的整数群除去0元素，q为双线性映射群(G₁,G₂)的阶；

3-2)接收者计算其相应的公钥pk_r，pk_r＝x_rP，P为加法群G₁的生成元。

6.根据权利要求1所述的加密方法，其特征是，步骤4)的方法如下：

4-1)发送者选择随机数r，

其中

表示阶为q的整数群除去0元素，q为双线性映射群(G₁,G₂)的阶，计算中间变量t，t＝e(P_pub,pk_r)^r；

4-2)输出对称密钥K和内部状态信息ω，表达式为：

ω＝(r,t,S_IDS,ID_s,pk_r)。

7.一种基于异构系统的可否认认证的加密系统，其特征是，发送者处于基于身份环境，接收者处于公钥基础设施环境，所述加密系统包括以下步骤：

系统初始化模块，用于设置系统参数完成系统初始化；

发送者私钥及公钥生成模块，用于基于身份环境的私钥生成中心PKG采用哈希函数计算发送者身份信息ID_s的哈希值获得发送者的公钥Q_IDS，并根据该公钥Q_IDS计算发送者的私钥S_IDS；

接收者私钥公钥生成模块，用于基于公钥基础设施环境的接收者生成其私钥x_r和公钥pk_r；

对称密钥及内部状态信息生成模块，用于发送者根据系统预先设置的主公钥P_pub和接收者的公钥pk_r通过双线性对以及哈希函数运算生成对称密钥K，以及生成内部状态信息ω；

加密模块，用于发送者根据对称密钥K、内部状态信息ω、标签τ和消息m，通过异或、哈希函数、点乘、点加和双线性对运算执行加密过程；

解密模块：接收者根据封装密文c、标签τ、发送者的身份信息ID_s、主公钥P_pub以及接收者的私钥x_r通过双线性对、哈希函数、点乘和异或运算执行解密过程，若验证通过，则输出对称密钥并恢复出消息，否则拒绝该对称密钥；

所述加密模块具体执行以下加密步骤：

5-1)对消息m和对称密钥K进行数据封装机制DEM得到封装后的封装密文c，表达式如下：c＝DEM_K(m)；

5-2)根据封装密文c、标签τ以及双线性对t采用哈希函数计算哈希值h，表达式如下：h＝H₃(c,τ,t)；

5-3)计算承诺S，表达式如下：

S＝hS_IDS+rP_pub；

5-4)根据承诺S与接收者公钥pk_r计算双线性对T，表达式如下：

T＝e(S,pk_r)；

5-5)根据发送者的公钥Q_IDS计算签名V，表达式如下：V＝hQ_IDS；

5-6)输出密文σ，表达式为：σ＝(c,T,V)；

所述解密模块具体执行以下加密步骤：

6-1)计算双线性对T除以签名V与接收者私钥和主公钥P_pub乘积的双线性对得到双线性对t’，表达式为：t’＝T/e(V,x_rP_pub)；

6-2)计算封装密文c、标签τ、双线性对t’的哈希值h’，表达式为：h’＝H₃(c,τ,t’)；

6-3)如果V＝h’Q_IDS，输出对称密钥K＝H₂(t)并计算m＝DEM_K(c)；否则输出错误符号；H₂和H₃为哈希函数。