CN110708157A - 一种基于无证书的多接收者匿名签密方法 - Google Patents

Abstract

一种基于无证书的多接收者匿名签密方法，该方法采用拉格朗日插值法和无双线性对构造出新的多接收者签密方法，首先通过密文通过广播的形式发送给每一位接受者，密文不再列出收件人的身份，从而保护隐私信息，具有解签密匿名性；每一个接收者解密所需密文信息相同，满足解签密公平性；任何第三方在仅拥有密文时就可验证密文发送方的身份，满足公开可验证性。与现有签密方案相比，新方案具有更高的计算效率，不仅具有安全性、不可伪造性、匿名性，并且还是多接收者签密。

Description

一种基于无证书的多接收者匿名签密方法

技术领域

本发明涉及一种基于无证书的多接收者匿名签密方法，属于信息安全领域。

背景技术

对于信息的加密一直是人们探索的热点，密码学是关于消息保密研究的科学，加密和解密的数学函数被称为加密算法，其包含加密和解密函数。密钥参数由通信双方共有，密钥保证了算法的安全性。在签密概念提出之前，密码学中的一种典型做法方法就是对需要传输的内容先经行数字签名然后再对其经行加密，这也是当时研究的重要方向。

签密能够同时执行签名和加密两个操作，相比传统的先签名后加密的加密机制有较低的计算和操作成本，保密和认证是密码学中两个重要的安全目标，签密能够在一个合理的逻辑步骤内同时实现保密性和认证性，因此签密一直被认为是一种有效的方法来解决两者之间的沟通安全问题。签密算法在最近十多年里面得到了普遍的应用与研究，因此，多种签密方案被提出。

多接收者签密是把发送者消息签密后发送给多个接收者并提供批量验证，减少信息传输功耗，提高签密验证效率，因此非常适合于一对多模式通信，例如网络安全广播和安全组播等业务。国内外很多学者提出了多种新的多接受者签密方案，然而大多签密机制都是基于身份的密码系统，其中存在密钥托管的问题。2003年，Al-Riyami和Paterson首先在传统的公钥密码体制和基于身份的公钥密码体制之间提出了一个没有证书的公钥密码体制，国内外学者相继提出了很多适用于网络传输、无线传感等新型网络传输环境下无证书签密算法。

随着人们对个人隐私的不断重视，不仅发送者希望自己在广播消息的时候避免自己身份的泄露，同时接收者也希望自己在收到某个消息的事实不被泄露，在现有的大多数多接收者签密方案中，在密文信息中会直接暴露接收者的身份信息，主要原因是因为在这些方法中，授权用户的身份信息是密文的一部分，这样就不可避免的暴露接收者的身份信息，导致接收者身份信息泄露。

发明内容

本发明提出一种基于无证书的多接收者匿名签密方法，该方法保护了发送者和接收者信息，并且具有较高的解签密效率和较低的通信开销，密文通过广播的形式发送给每一位接受者，密文不再列出收件人的身份，从而保护隐私信息，具有解签密匿名性；每一个接收者解密所需密文信息相同，满足解签密公平性；任何第三方在仅拥有密文时就可验证密文发送方的身份，满足公开可验证性。最终目的是设计出一种不仅具有安全性、不可伪造性、匿名性，并且还是多接收者签密的方法。

一种基于无证书的多接收者匿名签密方法，包括如下步骤：

步骤1，系统初始化：输入生成元，定义四个抗碰撞的理想哈希函数，随机选择主密钥s并秘密保存，然后生成系统公钥，最后公开系统参数params和保密系统的主密钥s；

步骤2，用户密钥设置：输入给定用户身份、系统参数params，KGC输出用户的部分私钥，并通过安全渠道返回其给这个用户；

步骤3，部分私钥提取：输入给定用户身份、系统参数params，用户输出其部分私钥；

步骤4，签密：输入系统参数params、消息、发送者身份及其私钥、所有接收者身份及其公钥，返回密文；

步骤5，解密验证算法：输入系统参数params、发送者身份及其公钥、接收者身份及其私钥，如果验证通过，则用户输出明文消息；否则，返回出错消息，拒绝接收消息。

进一步地，所述步骤1中，具体的，定义循环群G的阶为素数q(q＞2^k)的，P为群G的一个生成元，具有抗碰撞的理想哈希函数：

L1代表用户身份的标志，L2代表明文长度；选取随机的主密钥s，根据s计算系统公钥P_pub＝sP，设定系统参数params为<q,P,G,P_pub,H₁,H₂,H₃,H₄>，严密保存主密钥s。

进一步地，所述步骤2中，用户ID_i选取随机数x_i，计算公钥X_i＝x_iH₃(ID_i)。

进一步地，所述步骤3中，具体的，用户u_i发送{ID_i,X_i}给KGC，KGC随机选取

计算Y_i＝r_iP，计算h_i1＝H₁(ID_i,X_i,Y_i)，y_i＝r_i+sh_i1，用户私钥由(x_i,y_i)组成，公钥由(X_i,Y_i)组成。

进一步地，所述步骤4中，具体的，用户u_A对发送给ID_i消息m_i签密如下：

步骤4-1，随机选择

计算V_A＝bP；

步骤4-2，计算拉格朗日差值多项式；

其中

步骤4-3，计算

步骤4-4，计算h_i,2＝H₂(ID_A,V_A,X_A,Z_i)，其中Z_i＝(b+y_A)(Y_i+P_pubh_i1)，

步骤4-5，计算R_i＝H₄(ID_A||m_i)；

步骤4-6，计算S_i＝b+(X_A+y_A)R_i，这样u_A对ID_i消息m_i的签密为δ_i＝(V_A,T₁,T₂,…T_n,W_i,S_i)；

最后的密文是δ＝{T₁,T₂,…T_n,V_A,W₁,W₂,…W_n,S₁,S₂…S_n}，最后以广播的形式发送给每一位接收者。

进一步地，所述步骤5中，具体的，ID_i对u_A发送的签密进行解签密，步骤如下：

步骤5-1，计算

如果b(Y_i+P_pubh_i1)'＝y_iV_A，那么δ_i为u_A对ID_i消息m_i的签密，Z_i＝b(Y_i+P_pubh_i1)'+y_i(Y_A+h_A1P_pub)，计算h_i2＝H₂(ID_A,V_A,X_A,Z_i)；

步骤5-2，计算

步骤5-3，计算h_i1＝H₁(ID_i,X_i,Y_i)；

步骤5-4，计算R_i＝H₄(ID_A||m_i)，通过等式S_iP＝V_A+(X_AP+Y_A+P_pubh_i1)R_i进行验证，正确即输出对应消息(ID_A||m_i)，否则无效。

本发明达到的有益效果为：

(1)本发明利用采用拉格朗日插值法和无双线性对构造出新的多接受者匿名签密方法，对与发送者和接收者的身份信息都进行了保护，避免的双方身份信息的泄露。

(2)本发明相对与现有的方法具有较高的计算效率和较低的通信开销。该方法在接收人数大于1时，签密过程中不需要双线性对运算，并且具有匿名性、公开验证性、机密性和不可伪造性，提高了签密和解签密的计算效率。

附图说明

图1是本发明实施例中基于无证书的多接受匿名签密方法的整体流程框图。

具体实施方式

下面结合说明书附图对本发明的技术方案做进一步的详细说明。

一种基于无证书的多接收者匿名签密方法，包括如下步骤：

步骤1，系统初始化：输入生成元，定义四个抗碰撞的理想哈希函数，随机选择主密钥s并秘密保存，然后生成系统公钥，最后公开系统参数params和保密系统的主密钥s。

定义循环群G的阶为素数q(q＞2^k)的，P为群G的一个生成元，具有抗碰撞的理想哈希函数：

L1代表用户身份的标志，L2代表明文长度；选取随机的主密钥s，根据s计算系统公钥P_pub＝sP，设定系统参数params为<q,P,G,P_pub,H₁,H₂,H₃,H₄>，严密保存主密钥s。

步骤2，用户密钥设置：输入给定用户身份、系统参数params，KGC输出用户的部分私钥，并通过安全渠道返回其给这个用户。用户ID_i选取随机数x_i，计算公钥X_i＝x_iH₃(ID_i)。

步骤3，部分私钥提取：输入给定用户身份、系统参数params，用户输出其部分私钥。

用户i_i发送{ID_i,X_i}给KGC，KGC随机选取

计算Y_i＝r_iP，计算h_i1＝H₁(ID_i,X_i,Y_i)，y_i＝r_i+sh_i1，用户私钥由(x_i,y_i)组成，公钥由(X_i,Y_i)组成。

步骤4，签密：输入系统参数params、消息、发送者身份及其私钥、所有接收者身份及其公钥，返回密文。

具体的，用户u_A对发送给ID_i消息m_i签密如下：

步骤4-1，随机选择

计算V_A＝bP。

步骤4-2，计算拉格朗日差值多项式。

其中

步骤4-3，计算

步骤4-4，计算h_i,2＝H₂(ID_A,V_A,X_A,Z_i)，其中Z_i＝(b+y_A)(Y_i+P_pubh_i1)，

步骤4-5，计算R_i＝H₄(ID_A||m_i)。

步骤4-6，计算S_i＝b+(X_A+y_A)R_i，这样u_A对ID_i消息m_i的签密为δ_i＝(V_A,T₁,T₂,…T_n,W_i,S_i)。

最后的密文是δ＝{T₁,T₂,…T_n,V_A,W₁,W₂,…W_n,S₁,S₂…S_n}，最后以广播的形式发送给每一位接收者。

步骤5，解密验证算法：输入系统参数params、发送者身份及其公钥、接收者身份及其私钥，如果验证通过，则用户输出明文消息；否则，返回出错消息，拒绝接收消息。

具体的，ID_i对u_A发送的签密进行解签密，步骤如下：

步骤5-1，计算

如果b(Y_i+P_pubh_i1)'＝y_iV_A，那么δ_i为u_A对ID_i消息m_i的签密，Z_i＝b(Y_i+P_pubh_i1)'+y_i(Y_A+h_A1P_pub)，计算h_i2＝H₂(ID_A,V_A,X_A,Z_i)。

步骤5-2，计算

步骤5-3，计算h_i1＝H₁(ID_i,X_i,Y_i)。

步骤5-4，计算R_i＝H₄(ID_A||m_i)，通过等式S_iP＝V_A+(X_AP+Y_A+P_pubh_i1)R_i进行验证，正确即输出对应消息(ID_A||m_i)，否则无效。

以上所述仅为本发明的较佳实施方式，本发明的保护范围并不以上述实施方式为限，但凡本领域普通技术人员根据本发明所揭示内容所作的等效修饰或变化，皆应纳入权利要求书中记载的保护范围内。

Claims (6)

1.一种基于无证书的多接收者匿名签密方法，其特征在于：包括如下步骤：

步骤1，系统初始化：输入生成元，定义四个抗碰撞的理想哈希函数，随机选择主密钥s并秘密保存，然后生成系统公钥，最后公开系统参数params和保密系统的主密钥s；

步骤2，用户密钥设置：输入给定用户身份、系统参数params，KGC输出用户的部分私钥，并通过安全渠道返回其给这个用户；

步骤3，部分私钥提取：输入给定用户身份、系统参数params，用户输出其部分私钥；

步骤4，签密：输入系统参数params、消息、发送者身份及其私钥、所有接收者身份及其公钥，返回密文；

步骤5，解密验证算法：输入系统参数params、发送者身份及其公钥、接收者身份及其私钥，如果验证通过，则用户输出明文消息；否则，返回出错消息，拒绝接收消息。

2.基于权利要求1所述的一种基于无证书的多接收者匿名签密方法，其特征在于：所述步骤1中，具体的，定义循环群G的阶为素数q

的，P为群G的一个生成元，具有抗碰撞的理想哈希函数：

L1代表用户身份的标志，L2代表明文长度；选取随机的主密钥s，根据s计算系统公钥P_pub＝sP，设定系统参数params为<q，P，G，P_pub，H₁，H₂，H₃，H₄>，严密保存主密钥s。

3.基于权利要求1所述的一种基于无证书的多接收者匿名签密方法，其特征在于：所述步骤2中，用户ID_i选取随机数x_i，计算公钥X_i＝x_iH₃(ID_i)。

4.基于权利要求1所述的一种基于无证书的多接收者匿名签密方法，其特征在于：所述步骤3中，具体的，用户u_i发送{ID_i，X_i}给KGC，KGC随机选取

计算Y_i＝r_iP，计算h_i1＝H₁(ID_i，X_i，Y_i)，y_i＝r_i+sh_i1，用户私钥由(x_i，y_i)组成，公钥由(X_i，Y_i)组成。

5.基于权利要求1所述的一种基于无证书的多接收者匿名签密方法，其特征在于：所述步骤4中，具体的，用户u_A对发送给ID_i消息m_i签密如下：

步骤4-1，随机选择

计算V_A＝bP；

步骤4-2，计算拉格朗日差值多项式；

其中

步骤4-3，计算

步骤4-4，计算h_i，2＝H₂(ID_A，V_A，X_A，Z_i)，其中Z_i＝(b+y_A)(Y_i+P_pubh_i1)，

步骤4-5，计算R_i＝H₄(ID_A||m_i)；

步骤4-6，计算S_i＝b+(X_A+y_A)R_i，这样u_A对ID_i消息m_i的签密为δ_i＝(V_A，T₁，T₂，…T_n，W_i，S_i)；

最后的密文是δ＝{T₁，T₂，…T_n，V_A，W₁，W₂，…W_n，S₁，S₂…S_n}，最后以广播的形式发送给每一位接收者。

6.基于权利要求1所述的一种基于无证书的多接收者匿名签密方法，其特征在于：所述步骤5中，具体的，ID_i对u_A发送的签密进行解签密，步骤如下：

步骤5-1，计算

如果b(Y_i+P_pubh_i1)＝y_iV_A，那么δ_i为u_A对ID_i消息m_i的签密，Z_i＝b(Y_i+P_pubh_i1)′+y_i(Y_A+h_A1P_pub)，计算h_i2＝H₂(ID_A，V_A，X_A，Z_i)；

步骤5-2，计算

步骤5-3，计算h_i1＝H₁(ID_i，X_i，Y_i)；

步骤5-4，计算R_i＝H₄(ID_A||m_i)，通过等式S_iP＝V_A+(X_AP+Y_A+P_pubh_i1)R_i进行验证，正确即输出对应消息(ID_A||m_i)，否则无效。

Images