CN110995412A - 基于乘法群的无证书环签密方法 - Google Patents

Abstract

一种基于乘法群的无证书环签密方法，由系统初始化、生成用户的私钥和公钥、生成用户的部分私钥、环签密、解签密步骤组成。在环签密步骤中采用了基于乘法群的加密并匿名认证的方法，解决了传统公钥基础设施中复杂的证书管理问题和身份密码学中的密钥托管问题以及在无证书模式下的匿名通信问题；以无证书公钥密码学和乘法循环群为理论基础，提高了安全性，避免了对安全信道的依赖、无证书管理和密钥托管问题，能够抵抗适应性选择密文攻击和适应性选择消息攻击，适用于网络信息安全应用环境。本发明具有安全性好、计算复杂度低等优点，可在网络信息安全领域中应用。

Description

基于乘法群的无证书环签密方法

技术领域

本发明属于网络信息安全技术领域，具体涉及到无证书公钥密码体制和签密方法。

背景技术

无证书环签密能够同时达到保密并匿名认证的效果，是公钥密码系统的最主要应用之一。无证书环签密已经成为同时实现加密并匿名认证的重要手段，而且安全性越来越完善。然而，绝大多数使用双线性对的无证书环签密方法都是基于一个加法循环群和一个乘法循环群，目前没有基于三个乘法循环群的无证书环签密方法。无证书环签密在通信量、计算量和存储量上优于传统公钥模式下的环签密，而且克服了密钥托管问题，也无需安全信道。无证书环签密的这些优点使得它特别适合用于匿名通信、多方计算、电子选举、电子现金等网络信息安全领域。

目前，在网络信息安全应用环境中，运用无证书环签密还存在需要安全信道传送秘密信息，计算复杂度和通信成本比较大的技术问题。这两个问题在网络信息安全应用中不容忽视，需要迫切解决的的技术问题。

发明内容

本发明所要解决的技术问题在于克服上述现有技术的缺点，在不需要安全信道、无可信中心和无密钥托管的条件下，提供一种安全性好、计算复杂度低的基于乘法群的无证书环签密方法。

解决上述技术问题所采用的技术方案由下述步骤组成：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，k是安全参数、为有限的正整数，设定G₁,G₂,G₃是三个q阶乘法循环群、g是群G₁的一个生成元、e是G₁×G₂→G₃为一个双线性映射。

(A2)密钥生成中心选取三个密码学安全的哈希函数H₀、H₁、H₂：H₀:

H₁:

H₂:

其中l₁是消息长度，l₂是任意身份的长度，n是环成员的数目、为有限的正整数，Z_q ^*是{1,2,...,q-1}，

是由0和1所组成的长度为l₁的消息，

是由0和1所组成的长度为l₂的身份，

是由0和1所组成的n+1个长度为l₁的身份，H₀是

表示把两个G₁上的元素和长度为l₂的身份联接，然后通过散列算法变换成G₂上的元素，H₁是

表示把由0和1所组成的n+1个长度为l₂的身份、n+1个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成长度为l₁的中间信息，H₂是

表示把n+1个长度为l₂的身份、一个长度为l₁的消息、n+2个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成Z_q ^*上的元素。

(A3)密钥生成中心从有限域Z_q ^*中随机选取主密钥x，确定系统公钥y：

y＝g^x∈G₁。

(A4)密钥生成中心保密主密钥x，公布系统全局参数L：

L＝{q,G₁,G₂,G₃,g,y,n,l₁,l₂,H₀,H₁,H₂}。

B、生成用户的私钥和公钥

(B1)设定U是n个用户的身份集合{I₁,I₂,...,I_n}，拥有身份I_i∈U的用户从有限域Z_q ^*中随机选择私钥x_i，确定自己的公钥y_i：

其中i∈{1,2,…,n}，设定ω是n个用户的公钥集合{y₁,y₂,...,y_n}。

(B2)拥有身份

的接收方从有限域Z_p ^*中随机选择私钥x_r，确定自己的公钥y_r：

C、生成用户的部分私钥

(C1)密钥生成中心生成拥有身份I_s∈U是实际签密方的部分私钥d_s：

d_s＝Q_s ^x∈G₂

其中Q_s是H₀(y,y_s,I_s)，密钥生成中心发送部分私钥d_s给实际签密方，如果e(g,d_s)与e(y,Q_s)相等，实际签密方接受部分私钥d_s，否则，要求密钥生成中心重新发送。

(C2)密钥生成中心生成拥有身份I_r的接收方的部分私钥d_r：

d_r＝Q_r ^x∈G₂

其中Q_r是H₀(y,y_r,I_r)，密钥生成中心发送部分私钥d_r给接收方，如果e(g,d_r)与e(y,Q_r)相等，接收方接受部分私钥d_r，否则，要求密钥生成中心重新发送。

D、环签密

(D1)拥有身份I_s∈U的实际签密方代表n个用户U从有限域Z_q ^*中选择一个随机数υ，确定μ、ρ、c：

μ＝g^υ∈G₁

ρ＝e(yy_r,Q_r)^υ

式中m是长度为l₁的消息。

(D2)对于任意的i∈{1,2,…,n}\{s}，实际签密方选择u_i∈G₁，确定h_i：

h_i＝H₂(I_r,U,m,ω,y_r,u_i,ρ)。

(D3)对于i为s，实际签密方选择u_s∈G₂，确定u_s、h_s、s：

h_s＝H₂(I_r,U,m,ω,y_r,u_s,ρ)

(D4)实际签密方将如下密文σ发送给拥有身份I_r的接收方：

σ＝{μ,c,u₁,...,u_n,s}。

E、解签密

(E1)拥有身份I_r的接收方收到密文σ后，确定ρ、m：

(E2)对于任意的i∈{1,2,…,n}，接收方确定h_i：

h_i＝H₂(I_r,U,m,ω,y_r,u_i,ρ)。

(E3)如果

成立，接受明文m；否则，密文无效。

由于本发明在环签密步骤中采用了无证书公钥密码体制下基于乘法群的加密并匿名认证的方法，解决了传统公钥基础设施中复杂的证书管理问题和身份密码学中的密钥托管问题以及在匿名通信、电子选举、电子现金等应用领域中的加密并匿名认证的问题。基于乘法群的无证书环签密方法中，用户的公私钥由用户自己生成，其部分公私钥由密钥生成中心生成。本发明具有安全性好、计算复杂度低等优点，在网络信息安全领域具有很好的应用前景。

附图说明

图1是本发明实施例1的流程图。

具体实施方式

下面结合附图和实施例对本发明进一步详细说明，但本发明不限于这些实施例。

实施例1

以密钥生成中心选择的大素数q，q为2¹⁹²-2⁶⁴-1为例，如图1所示，本实施例的基于乘法群的无证书环签密方法步骤如下：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，本实施例采用q为2¹⁹²-2⁶⁴-1，k是安全参数、为有限的正整数，设定G₁,G₂,G₃是三个q阶乘法循环群、g是群G₁的一个生成元、e是G₁×G₂→G₃为一个双线性映射。

(A2)密钥生成中心选取三个密码学安全的哈希函数H₀、H₁、H₂：H₀:

H₁:

H₂:

其中l1是消息长度，l2是任意身份的长度，n是环成员的数目、为有限的正整数，Z_q ^*是{1,2,...,2¹⁹²-2⁶⁴-2}，

是由0和1所组成的长度为l1的消息，

是由0和1所组成的长度为l2的身份，

是由0和1所组成的n+1个长度为l1的身份，H0是

表示把两个G1上的元素和长度为l2的身份联接，然后通过散列算法变换成G2上的元素，H1是

表示把由0和1所组成的n+1个长度为l2的身份、n+1个G1上的元素和一个G3上的元素联接，然后通过散列算法变换成长度为l1的中间信息，H2是

表示把n+1个长度为l2的身份、一个长度为l1的消息、n+2个G1上的元素和一个G3上的元素联接，然后通过散列算法变换成Zq*上的元素。

(A3)密钥生成中心从有限域Z_q ^*中随机选取主密钥x，确定系统公钥y：

y＝g^x∈G₁。

(A4)密钥生成中心保密主密钥x，公布系统全局参数L：

L＝{q,G₁,G₂,G₃,g,y,n,l₁,l₂,H₀,H₁,H₂}。

B、生成用户的私钥和公钥

(B1)设定U是n个用户的身份集合{I₁,I₂,...,I_n}，拥有身份I_i∈U的用户从有限域Z_q ^*中随机选择私钥x_i，确定自己的公钥y_i：

其中i∈{1,2,…,n}，设定ω是n个用户的公钥集合{y₁,y₂,...,y_n}。

(B2)拥有身份

的接收方从有限域Z_p ^*中随机选择私钥x_r，确定自己的公钥y_r：

C、生成用户的部分私钥

(C1)密钥生成中心生成拥有身份I_s∈U是实际签密方的部分私钥d_s：

d_s＝Q_s ^x∈G₂

其中Q_s是H₀(y,y_s,I_s)，密钥生成中心发送部分私钥d_s给实际签密方，如果e(g,d_s)与e(y,Q_s)相等，实际签密方接受部分私钥d_s，否则，要求密钥生成中心重新发送。

(C2)密钥生成中心生成拥有身份I_r的接收方的部分私钥d_r：

d_r＝Q_r ^x∈G₂

其中Q_r是H₀(y,y_r,I_r)，密钥生成中心发送部分私钥d_r给接收方，如果e(g,d_r)与e(y,Q_r)相等，接收方接受部分私钥d_r，否则，要求密钥生成中心重新发送。

D、环签密

(D1)拥有身份I_s∈U的实际签密方代表n个用户U从有限域Z_q ^*中选择一个随机数υ，确定μ、ρ、c：

μ＝g^υ∈G₁

ρ＝e(yy_r,Q_r)^υ

式中m是长度为l₁的消息。

(D2)对于任意的i∈{1,2,…,n}\{s}，实际签密方选择u_i∈G₁，确定h_i：

h_i＝H₂(I_r,U,m,ω,y_r,u_i,ρ)。

(D3)对于i为s，实际签密方选择u_s∈G₂，确定u_s、h_s、s：

h_s＝H₂(I_r,U,m,ω,y_r,u_s,ρ)

(D4)实际签密方将如下密文σ发送给拥有身份I_r的接收方：

σ＝{μ,c,u₁,...,u_n,s}。

E、解签密

(E1)拥有身份I_r的接收方收到密文σ后，确定ρ、m：

(E2)对于任意的i∈{1,2,…,n}，接收方确定h_i：

h_i＝H₂(I_r,U,m,ω,y_r,u_i,ρ)。

(E3)如果

成立，接受明文m；否则，密文无效。完成基于乘法群的无证书环签密方法。

实施例2

以密钥生成中心选择的大素数q，q为2²²⁴-2⁹⁶+1为例，基于乘法群的无证书环签密方法步骤如下：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，本实施例采用q为2²²⁴-2⁹⁶+1，k是安全参数、为有限的正整数，设定G₁,G₂,G₃是三个q阶乘法循环群、g是群G₁的一个生成元、e是G₁×G₂→G₃为一个双线性映射。

(A2)密钥生成中心选取三个密码学安全的哈希函数H₀、H₁、H₂：H₀:

H₁:

H₂:

其中l₁是消息长度，l₂是任意身份的长度，n是环成员的数目、为有限的正整数，Z_q ^*是{1,2,...,2²²⁴-2⁹⁶}，

是由0和1所组成的长度为l₁的消息，

是由0和1所组成的长度为l₂的身份，

是由0和1所组成的n+1个长度为l₁的身份，H₀是

表示把两个G₁上的元素和长度为l₂的身份联接，然后通过散列算法变换成G₂上的元素，H₁是

表示把由0和1所组成的n+1个长度为l₂的身份、n+1个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成长度为l₁的中间信息，H₂是

表示把n+1个长度为l₂的身份、一个长度为l₁的消息、n+2个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成Z_q ^*上的元素。

(A3)密钥生成中心从有限域Z_q ^*中随机选取主密钥x，确定系统公钥y：

y＝g^x∈G₁。

(A4)密钥生成中心保密主密钥x，公布系统全局参数L：

L＝{q,G₁,G₂,G₃,g,y,n,l₁,l₂,H₀,H₁,H₂}。

其它步骤与实施例1相同。完成基于乘法群的无证书环签密方法。

实施例3

以密钥生成中心选择的大素数q，q为2²⁵⁶-2²²⁴+2¹⁹²+2⁹⁶+1为例，基于乘法群的无证书环签密方法步骤如下：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，本实施例采用q为2²⁵⁶-2²²⁴+2¹⁹²+2⁹⁶+1，k是安全参数、为有限的正整数，设定G₁,G₂,G₃是三个q阶乘法循环群、g是群G₁的一个生成元、e是G₁×G₂→G₃为一个双线性映射。

(A2)密钥生成中心选取三个密码学安全的哈希函数H₀、H₁、H₂：H₀:

H₁:

H₂:

其中l₁是消息长度，l₂是任意身份的长度，n是环成员的数目、为有限的正整数，Z_q ^*是{1,2,...,2²⁵⁶-2²²⁴+2¹⁹²+2⁹⁶}，

是由0和1所组成的长度为l₁的消息，

是由0和1所组成的长度为l₂的身份，

是由0和1所组成的n+1个长度为l₁的身份，H₀是

表示把两个G₁上的元素和长度为l₂的身份联接，然后通过散列算法变换成G₂上的元素，H₁是

表示把由0和1所组成的n+1个长度为l₂的身份、n+1个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成长度为l₁的中间信息，H₂是

表示把n+1个长度为l₂的身份、一个长度为l₁的消息、n+2个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成Z_q ^*上的元素。

(A3)密钥生成中心从有限域Z_q ^*中随机选取主密钥x，确定系统公钥y：

y＝g^x∈G₁。

(A4)密钥生成中心保密主密钥x，公布系统全局参数L：

L＝{q,G₁,G₂,G₃,g,y,n,l₁,l₂,H₀,H₁,H₂}。

其它步骤与实施例1相同。完成基于乘法群的无证书环签密方法。

实施例4

以密钥生成中心选择的大素数q，q为2³⁸⁴-2¹²⁸-2⁹⁶+2³²-1为例，基于乘法群的无证书环签密方法步骤如下：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，本实施例采用q为2³⁸⁴-2¹²⁸-2⁹⁶+2³²-1，k是安全参数、为有限的正整数，设定G₁,G₂,G₃是三个q阶乘法循环群、g是群G₁的一个生成元、e是G₁×G₂→G₃为一个双线性映射。

(A2)密钥生成中心选取三个密码学安全的哈希函数H₀、H₁、H₂：H₀:

H₁:

H₂:

其中l₁是消息长度，l₂是任意身份的长度，n是环成员的数目、为有限的正整数，Z_q ^*是{1,2,...,2³⁸⁴-2¹²⁸-2⁹⁶+2³²-2}，

是由0和1所组成的长度为l₁的消息，

是由0和1所组成的长度为l₂的身份，

是由0和1所组成的n+1个长度为l₁的身份，H₀是

表示把两个G₁上的元素和长度为l₂的身份联接，然后通过散列算法变换成G₂上的元素，H₁是

表示把由0和1所组成的n+1个长度为l₂的身份、n+1个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成长度为l₁的中间信息，H₂是

表示把n+1个长度为l₂的身份、一个长度为l₁的消息、n+2个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成Z_q ^*上的元素。

(A3)密钥生成中心从有限域Z_q ^*中随机选取主密钥x，确定系统公钥y：

y＝g^x∈G₁。

(A4)密钥生成中心保密主密钥x，公布系统全局参数L：

L＝{q,G₁,G₂,G₃,g,y,n,l₁,l₂,H₀,H₁,H₂}。

其它步骤与实施例1相同。完成基于乘法群的无证书环签密方法。

Claims (1)

1.一种基于乘法群的无证书环签密方法，其特征在于它是由下述步骤组成：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，k是安全参数、为有限的正整数，设定G₁,G₂,G₃是三个q阶乘法循环群、g是群G₁的一个生成元、e是G₁×G₂→G₃为一个双线性映射；

(A2)密钥生成中心选取三个密码学安全的哈希函数H₀、H₁、H₂：

其中l₁是消息长度，l₂是任意身份的长度，n是环成员的数目、为有限的正整数，Z_q ^*是{1,2,...,q-1}，

是由0和1所组成的长度为l₁的消息，

是由0和1所组成的长度为l₂的身份，

是由0和1所组成的n+1个长度为l₁的身份，H₀是

表示把两个G₁上的元素和长度为l₂的身份联接，然后通过散列算法变换成G₂上的元素，H₁是

表示把由0和1所组成的n+1个长度为l₂的身份、n+1个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成长度为l₁的中间信息，H₂是

表示把n+1个长度为l₂的身份、一个长度为l₁的消息、n+2个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成Z_q ^*上的元素；

(A3)密钥生成中心从有限域Z_q ^*中随机选取主密钥x，确定系统公钥y：

y＝g^x∈G₁；

(A4)密钥生成中心保密主密钥x，公布系统全局参数L：

L＝{q,G₁,G₂,G₃,g,y,n,l₁,l₂,H₀,H₁,H₂}；

B、生成用户的私钥和公钥

(B1)设定U是n个用户的身份集合{I₁,I₂,...,I_n}，拥有身份I_i∈U的用户从有限域Z_q ^*中随机选择私钥x_i，确定自己的公钥y_i：

其中i∈{1,2,…,n}，设定ω是n个用户的公钥集合{y₁,y₂,...,y_n}；

(B2)拥有身份

的接收方从有限域Z_p ^*中随机选择私钥x_r，确定自己的公钥y_r：

C、生成用户的部分私钥

(C1)密钥生成中心生成拥有身份I_s∈U是实际签密方的部分私钥d_s：

d_s＝Q_s ^x∈G₂

其中Q_s是H₀(y,y_s,I_s)，密钥生成中心发送部分私钥d_s给实际签密方，如果e(g,d_s)与e(y,Q_s)相等，实际签密方接受部分私钥d_s，否则，要求密钥生成中心重新发送；

(C2)密钥生成中心生成拥有身份I_r的接收方的部分私钥d_r：

d_r＝Q_r ^x∈G₂

其中Q_r是H₀(y,y_r,I_r)，密钥生成中心发送部分私钥d_r给接收方，如果e(g,d_r)与e(y,Q_r)相等，接收方接受部分私钥d_r，否则，要求密钥生成中心重新发送；

D、环签密

(D1)拥有身份I_s∈U的实际签密方代表n个用户U从有限域Z_q ^*中选择一个随机数υ，确定μ、ρ、c：

μ＝g^υ∈G₁

ρ＝e(yy_r,Q_r)^υ

式中m是长度为l₁的消息；

(D2)对于任意的i∈{1,2,…,n}\{s}，实际签密方选择u_i∈G₁，确定h_i：

h_i＝H₂(I_r,U,m,ω,y_r,u_i,ρ)；

(D3)对于i为s，实际签密方选择u_s∈G₂，确定u_s、h_s、s：

h_s＝H₂(I_r,U,m,ω,y_r,u_s,ρ)

(D4)实际签密方将如下密文σ发送给拥有身份I_r的接收方：

σ＝{μ,c,u₁,...,u_n,s}；

E、解签密

(E1)拥有身份I_r的接收方收到密文σ后，确定ρ、m：

(E2)对于任意的i∈{1,2,…,n}，接收方确定h_i：

h_i＝H₂(I_r,U,m,ω,y_r,u_i,ρ)；

(E3)如果

成立，接受明文m；否则，密文无效。

Images