CN110830254A - 一种基于身份与属性的签密方法 - Google Patents

Abstract

本发明公开了一种基于身份与属性的签密方法，包括如下步骤：(1)系统初始化：中心权威初始化系统，生成系统公钥以及主密钥；(2)密钥生成：中心权威根据每个数据拥有端的身份ID生成签名密钥；中心权威根据每个数据使用端的属性集合S生成用户解密密钥；(3)签密：数据拥有端使用系统公钥以及自己的签名密钥对消息进行签密得到密文；(4)解签密：数据使用端使用自己的解密密钥对密文进行解密，并使用数据拥有端的身份ID对解密得到的数据进行验证。本发明的方法不仅能够实现消息的一对多传输、消息发送者身份的追溯，而且在适应性选择密文攻击下具有保密性，在适应性选择消息攻击下具有不可伪造性。

Description

一种基于身份与属性的签密方法

技术领域

本发明涉及信息安全技术领域，尤其是一种基于身份与属性的签密方法。

背景技术

为了能够同时保证消息的保密性与不可伪造性，传统的解决方法是对消息先签名后加密，这种方法的计算开销与通信开销为所使用的签名算法与加密算法的计算与通信开销的总和。1997年，Zheng首次提出了签密的概念，使用签密方法能够在一个逻辑步骤内实现保密性与不可伪造性，且所用的计算时间与通信开销比加密与签名所用的代价总和更少。此后，大量的签密方案不断被提出。2002年，Malone-Lee整合了基于身份的加密与基于身份的签名，提出了基于身份的签密方案；2010年，Gagné等人整合了基于属性的加密与基于属性的签名，提出了基于属性的签密方案。

然而，以上的签密方法均为同一类型的密码学加密与签名方案的整合，功能较为单一。比如基于身份的签密方案只能实现对消息的一对一传输，而基于属性的签密方案很难实现对签名者身份的追溯。因此在需要对消息进行一对多传输并且实现对消息发送者身份进行追溯的环境中，以上的方案均不能取得很好的效果。比如在车联网环境中，车辆收集到的路面状况信息需要发送给路边单元以及周围的车辆，同时能够对错误的消息发送者进行追溯，进而进行追责。于是有人提出了基于身份与属性的签密方案，这种方案能够同时实现对消息的一对多传输，同时实现对消息发送者身份的追溯。然而目前针对基于身份与属性的签密方法的研究较少，实现方法不够成熟，方案安全性较低。如何设计安全而有效的签密方法是本发明研究的关键。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种基于身份与属性的签密方法，该方法不仅能够实现消息的一对多传输、消息发送者身份的追溯，而且在适应性选择密文攻击下具有保密性，在适应性选择消息攻击下具有不可伪造性。

本发明采用的技术方案如下：

一种基于身份与属性的签密方法，包括如下步骤：

(1)系统初始化：中心权威初始化系统，生成系统公钥以及主密钥；

(2)密钥生成：包括签名密钥的生成以及解密密钥的生成；

签名密钥生成：中心权威根据每个数据拥有端的身份ID生成签名密钥；

解密密钥生成：中心权威根据每个数据使用端的属性集合S生成用户解密密钥；

(3)签密：数据拥有端使用系统公钥以及自己的签名密钥对消息进行签密得到密文；

(4)解签密：数据使用端使用自己的解密密钥对密文进行解密，并使用数据拥有端的身份ID对解密得到的数据进行验证。

具体地，中心权威初始化系统，生成系统公钥以及主密钥的方法为：

(1.1)选择两个p阶乘法群G，G_T满足双线性映射e：G×G→G_T，其中p是大素数；

(1.2)选择两个单向哈希函数

(1.3)随机选择

以及群G的生成元g，其中

(1.4)中心权威发布系统公钥：PK＝(e，G，G_T，g，g^a，e(g，g)^α，H₀，H₁)，秘密保存主密钥：MK＝(a，g^α)。

具体地，签名密钥生成的方法为：输入主密钥MK，系统公钥PK以及数据拥有端的身份ID；中心权威计算g_ID＝H₁(ID)，则签名密钥为

中心权威返回(g_ID，SignK)给数据拥有端。

具体地，解密密钥生成的方法为：输入主密钥MK，系统公钥PK以及数据使用端的属性集合S；中心权威随机挑选

计算解密密钥DecK＝(K＝g^αg^at，K′＝g^t，{K_attr＝H₁(attr)^t}_attr∈S)；中心权威返回解密密钥DecK给数据使用端。

具体地，数据拥有端使用系统公钥以及自己的签名密钥对消息进行签密得到密文的方法为：

(3.1)输入系统公钥，数据拥有端的签名密钥D_ID，消息M以及秘密共享方案

其中A是一个l×n维矩阵，

ρ(x)将A的每一行A_x映射到属性attr_x，其中x∈[l]＝{1，2...，l}，A_x表示矩阵A的第x行；

(3.2)选择R∈G_T，

以及一个随机向量

其中表示所有n维向量的集合，并且集合中的每一个元素均属于集合Z_p＝{0，1，...，p-1}；

(3.3)计算得到密文

其中：

C₀＝(M||R)e(g，g)^αs；

C₁＝g^s；

σ＝D_IDH₀(M，R，C₀，C₁)^s。

具体地，数据使用端使用自己的解密密钥对密文进行解密，并使用数据拥有端的身份ID对解密得到的数据进行验证的方法为：

(4.1)数据使用端输入自己的解密密钥DecK，自己拥有的属性集合S以及密文

(4.2)如果属性集合S不满足秘密共享方案

则输出⊥表示解密失败；

(4.3)否则数据使用端使用自己的解密密钥DecK对密文CT_M进行解密：令I＝{x：ρ(x)∈S}，计算{ω_x∈Z_p}_i∈ω使得∑_x∈Iω_xA_x＝(1，0，…，0)，其中Z_p＝{0，1...，p-1}，然后计算：

若等式e(g，σ)＝e(g_ID，g^a)·e(H₀(M，R，C₀，C₁)，C₁)成立，则输出明文M；否则输出⊥表示解密失败。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

本发明的方法不仅能够实现消息的一对多传输、消息发送者身份的追溯，而且在适应性选择密文攻击下具有保密性，在适应性选择消息攻击下具有不可伪造性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明的基于身份与属性的签密方法的原理图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

以下结合实施例对本发明的特征和性能作进一步的详细描述。

如图1所示，一种基于身份与属性的签密方法，包括如下步骤：

签名密钥生成：中心权威根据每个数据拥有端的身份ID生成签名密钥；

解密密钥生成：中心权威根据每个数据使用端的属性集合S生成用户解密密钥；

(1)系统初始化：中心权威初始化系统，生成系统公钥以及主密钥；具体地，

(1.1)选择两个p阶乘法群G，G_T满足双线性映射e：G×G→G_T，其中p是大素数；

(1.2)选择两个单向哈希函数

(1.3)随机选择

以及群G的生成元g，其中

(1.4)中心权威发布系统公钥：PK＝(e，G，G_T，g，g^a，e(g，g)^α，H₀，H₁)，秘密保存主密钥：MK＝(a，g^α)。

(2)密钥生成：包括签名密钥的生成以及解密密钥的生成；具体地，

签名密钥生成：

输入主密钥MK，系统公钥PK以及数据拥有端的身份ID；中心权威计算g_ID＝H₁(ID)，则签名密钥为

中心权威返回(g_ID，SignK)给数据拥有端。

解密密钥生成：

输入主密钥MK，系统公钥PK以及数据使用端的属性集合S；中心权威随机挑选

计算解密密钥DecK＝(K＝g^αg^at，K′＝g^t，{K_attr＝H1attrtattr∈S)；中心权威返回解密密钥DecK给数据使用端。

(3)签密：数据拥有端使用系统公钥以及自己的签名密钥对消息进行签密得到密文；具体地，

(3.1)输入系统公钥，数据拥有端的签名密钥D_ID，消息M以及秘密共享方案

其中A是一个l×n维矩阵，ρ(x)将A的每一行A_x映射到属性attr_x，其中x∈[l]＝{1，2...，l}，A_x表示矩阵A的第x行；

(3.2)选择R∈G_T，

以及一个随机向量

其中

表示所有n维向量的集合，并且集合中的每一个元素均属于集合Z_p＝{0，1，...，p-1}；

(3.3)计算

得到密文

其中：

C₀＝(M||R)e(g，g)^αs；

C₁＝g^s；

σ＝D_IDH₀(M，R，C₀，C₁)^s。

该签名过程中：

一方面，数据拥有端对M||R进行签密，R是一个随机数，同时对M，R，C₀，C₁进行签名，因此攻击者无法同密文获得关于明文的任何信息，也无法通过密文伪造关于相同明文的另一个合法密文，因此本发明在适应性选择密文攻击下具有保密性。

另一方面，σ＝D_IDH₀(M，R，C₀，C₁)^s相当于一个对M，R，C₀，C₁的签名，同时s也是计算

的重要元素，因此想要通过修改

来达到伪造签名的目的是不可能的；而D_ID是数据拥有端秘密保存的签名密钥，s是一个随机数，攻击者无法通过σ获得更多的签名信息，因此本发明在适应性选择消息攻击下具有不可伪造性。

(4)解签密：数据使用端使用自己的解密密钥对密文进行解密，并使用数据拥有端的身份ID对解密得到的数据进行验证；具体地，

(4.1)数据使用端输入自己的解密密钥DecK，自己拥有的属性集合S以及密文

(4.2)如果属性集合S不满足秘密共享方案则输出⊥表示解密失败；

(4.3)否则数据使用端使用自己的解密密钥DecK对密文CT_M进行解密：令I＝{x：ρ(x)∈S}，计算{ω_x∈Z_p}_i∈ω使得∑_x∈Iω_xA_x＝(1，0，…，0)，其中Z_p＝{0，1...，p-1}，然后计算：

若等式e(g，σ)＝e(g_ID，g^a)·e(H₀(M，R，C₀，C₁)，C₁)成立，则输出明文M；否则输出⊥表示解密失败。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于身份与属性的签密方法，其特征在于，包括如下步骤：

(1)系统初始化：中心权威初始化系统，生成系统公钥以及主密钥；

(2)密钥生成：包括签名密钥的生成以及解密密钥的生成；

签名密钥生成：中心权威根据每个数据拥有端的身份ID生成签名密钥；

解密密钥生成：中心权威根据每个数据使用端的属性集合S生成用户解密密钥；

(3)签密：数据拥有端使用系统公钥以及自己的签名密钥对消息进行签密得到密文；

(4)解签密：数据使用端使用自己的解密密钥对密文进行解密，并使用数据拥有端的身份ID对解密得到的数据进行验证。

2.根据权利要求1所述的基于身份与属性的签密方法，其特征在于，中心权威初始化系统，生成系统公钥以及主密钥的方法为：

(1.1)选择两个p阶乘法群G，G_T满足双线性映射e：G×G→G_T，其中p是大素数；

(1.2)选择两个单向哈希函数H₀：

H₁：{0，1}^*→G；

(1.3)随机选择α，

以及群G的生成元g，其中

(1.4)中心权威发布系统公钥：PK＝(e，G，G_T，g，g^a，e(g，g)^α，H₀，H₁)，秘密保存主密钥：MK＝(a，g^α)。

3.根据权利要求2所述的基于身份与属性的签密方法，其特征在于，签名密钥生成的方法为：输入主密钥MK，系统公钥PK以及数据拥有端的身份ID；中心权威计算g_ID＝H₁(ID)，则签名密钥为

中心权威返回(g_ID，SignK)给数据拥有端。

4.根据权利要求2或3所述的基于身份与属性的签密方法，其特征在于，解密密钥生成的方法为：输入主密钥MK，系统公钥PK以及数据使用端的属性集合S；中心权威随机挑选计算解密密钥DecK＝(K＝g^αg^at，K′＝g^t，{K_attr＝H₁(attr)^t}_attr∈S)；中心权威返回解密密钥DecK给数据使用端。

5.根据权利要求4所述的基于身份与属性的签密方法，其特征在于，数据拥有端使用系统公钥以及自己的签名密钥对消息进行签密得到密文的方法为：

(3.1)输入系统公钥，数据拥有端的签名密钥D_ID，消息M以及秘密共享方案

其中A是一个l×n维矩阵，l，

ρ(x)将A的每一行A_x映射到属性attr_x，其中x∈[l]＝{1，2...，l}，A_x表示矩阵A的第x行；

(3.2)选择R∈G_T，

以及一个随机向量

其中表示所有n维向量的集合，并且集合中的每一个元素均属于集合Z_p＝{0，1，...，p-1}；

(3.3)计算得到密文

其中：

C₀＝(M||R)e(g，g)^αs；

C₁＝g^s；

σ＝D_IDH₀(M，R，C₀，C₁)^s。

6.根据权利要求5所述的基于身份与属性的签密方法，其特征在于，数据使用端使用自己的解密密钥对密文进行解密，并使用数据拥有端的身份ID对解密得到的数据进行验证的方法为：

(4.1)数据使用端输入自己的解密密钥DecK，自己拥有的属性集合S以及密文

(4.2)如果属性集合S不满足秘密共享方案

则输出⊥表示解密失败；

(4.3)否则数据使用端使用自己的解密密钥DecK对密文CT_M进行解密：令I＝{x：ρ(x)∈S}，计算{ω_x∈Z_p}_i∈ω使得∑_x∈Iω_xA_x＝(1，0，…，0)，其中Z_p＝{0，1...，p-1}，然后计算：

若等式e(g，σ)＝e(g_ID，g^a)·e(H₀(M，R，C₀，C₁)，C₁)成立，则输出明文M；否则输出⊥表示解密失败。

Images