CN111052673B - 匿名广播方法、密钥交换方法、匿名广播系统、密钥交换系统、通信装置、程序 - Google Patents

Abstract

提供可以隐匿与通信有关的元数据的、N(≧2)者之间的密钥交换技术。包括：第一密钥生成步骤，通信装置U_i生成第一密钥；第一匿名广播步骤，对于i∈{1,…,n}，通信装置U_i指定集合R‑{U_i}，对于i∈{n+1,…,N}，通信装置U_i指定

匿名广播第一密钥；第二密钥生成步骤，通信装置U_i生成第二密钥；第二匿名广播步骤，对于i∈{1,…,n}，通信装置U_i指定集合R‑{U_i}，对于i∈{n+1,…,N}，通信装置U_i指定

匿名广播第二密钥；以及会话密钥生成步骤，对于i∈{1,…,n}，通信装置U_i在满足规定的条件的情况下，生成会话密钥SK。

Description

匿名广播方法、密钥交换方法、匿名广播系统、密钥交换系统、 通信装置、程序

技术领域

本发明涉及信息安全技术的应用，特别涉及形成群(group)的多个用户共享共同密钥的密钥交换技术。

背景技术

以往，提出形成群的多个用户共享共同密钥的密钥交换技术。图1表示实现那样的密钥交换技术的系统的一例子。密钥交换系统90包含密钥交换服务器700以及N(≧2)台通信装置800₁,…,800_N。在该实施方式中，密钥交换服务器700以及通信装置800₁,…,800_N被分别连接至通信网900，各通信装置800_i经由密钥交换服务器700与其它的通信装置800_j相互交换密钥(1≦i,j≦N,其中，i与j不同)。但是，由于为了确保通信的机密性所需要的密钥交换，产生哪个通信装置与哪个通信装置、并且以何种程度的频度进行通信这样的与通信有关的元数据被泄露给外部的攻击者，难以完全隐匿元数据的问题。例如，在使用了公开密钥基础设施(PKI:Public Key-Infrastructure)的密钥交换中，得到了公开密钥的用户想要与作为公开密钥的所有者的用户进行通信的情况被攻击者得知。

因此，作为可隐匿元数据的密钥交换技术，已提出存在于非专利文献1中的协议。在非专利文献1的技术中，在其通信路径中使用概率的公开密钥暗号实现两者间的密钥交换。由此，能够隐匿在两者间的密钥交换时的与通信有关的元数据(例如，电话号码、发送目的地、发送元、通信时刻、通信路径、添付文件名、发送次数等)。

现有技术文献

非专利文献

非专利文献1：DavidLazarandNickolaiZeldovich,“Alpenhorn:BootstrappingSecureCommunicationwithoutLeakingMetadata”，[online]，[平成29年7月14日搜索]，因特网

在步骤S411中，在U_i∈R的情况下，通信装置U_i的密文生成单元411通过基于ID署名的署名生成算法，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)和消息(ID_i,M_i)(即，希望与作为发送元的通信装置U_i的识别符ID_i共享的原来的消息M_i的组)，生成对于消息(ID_i,M_i)的署名ω_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(ID_i,M_i))。通信装置U_i的密文生成单元411通过基于匿名ID的广播加密的加密算法，从掩码公开密钥Σ_j＝1,..,LMPK_j、明文(ID_i,ω_i,M_i)(即，通信装置U_i的识别符ID_i、署名ω_i和原来的消息M_i的组)和接收者的集合R-{U_i}，生成密文C_i←(Σ_j＝1,..,LMPK_j,(ID_i,ω_i,M_i),(R-{U_i}))。

在U_i∈{U₁,…,U_N}-R的情况下，通信装置U_i的密文生成单元411生成作为伪(dummy)消息的密文C_i。例如，伪消息C_i设为，指定意味着无接收者的

将适当的消息M_i通过掩码公开密钥Σ_j＝1,..,LMPK_j进行了加密的密文C_i。通过这样处理，后述的步骤S415中的密文的解密必定失败。

(2)混合网络

通信装置U_i∈{U₁,…,U_N}使用发送接收单元498，对混合网络服务器S₁发送在S411中生成的密文C_i。混合网络服务器S₁,…,S_M将混合网络服务器S₁接收到的密文(C₁,…,C_N)按顺序进行混洗。混合网络服务器S_M在公开用的布告牌上布告将作为输出消息的密文(C₁,…,C_N)进行了混洗的混洗完毕密文(～C₁,…,～C_N)。这里，(C₁,…,C_N)和(～C₁,…,～C_N)作为集合相等。即，{～C₁,…,～C_N}＝{C₁,…,C_N}。例如，混合网络服务器S_M的布告通过对公开用服务器200上传混洗完毕密文(～C₁,…,～C_N)即可。由此，通信装置U_i(1≦i≦N)可以获取混洗完毕密文(～C₁,…,～C_N)。

(3)下载和检查

步骤S414中，通信装置U_i∈{U₁,…,U_N}的密文获取单元414通过从布告牌下载混洗完毕密文(～C₁,…,～C_N)，获取密文{C₁,…,C_N}。

在步骤S415中，通信装置U_i∈{U₁,…,U_N}的消息复原单元415通过基于匿名ID的广播加密的解密算法，从解密密钥Σ_j＝1,..,Ldk_i ^(j)和密文C_k(1≦k≦N)生成明文(ID_k,ω_k,M_k)←(Σ_j＝1,..,Ldk_i ^(j),C_k)(其中，限定为U_i∈R-{U_k}的情况)。在密文C_k的解密已成功的情况下，通信装置U_i的消息复原单元415通过基于ID署名的署名验证算法，从掩码公开密钥Σ_{j＝1,.., L}SMPK_j和消息(ID_k,ω_k,M_k)生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,M_k,ω_k)，验证署名ω_k。在署名ω_k的验证已成功的情况下，通信装置U_i的消息复原单元415将消息M_k视为从识别符

执行这样的程序的计算机例如首先将便携式记录介质中记录的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的存储装置中存储的程序，执行按照读取的程序的处理。而且，作为该程序其它执行方式，计算机也可以从便携式记录介质直接读取程序，执行按照该程序的处理，进而，也可以在每次从服务器计算机对该计算机转发程序时，逐次执行按照接受的程序的处理。而且，也可以设为通过不进行从服务器计算机向该计算机的程序的转发，仅通过该执行指令和结果取得来实现处理功能的、所谓ASP(Application Service Provider，应用服务提供商)型的服务，执行上述的处理的结构。再者，在本方式中的程序中，包含供电子计算机的处理用的信息即基于程序的信息(虽然不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。

而且，在本方式中，设为通过在计算机上执行规定的程序来构成本装置，但也可以硬件性地实现这些处理内容的至少一部分。

上述的本发明的实施方式的记载是以例证和记载的目的而提示的。不是包罗的意思，也没有将发明限定于公开的严密的形式的意思。可从上述的教导进行变形或变化。实施方式是为了提供本发明的原理的最佳例证，并且为了本领域的本领域的技术人员将本发明以各种实施方式、并且附加各种变形而可利用，以便适于深思熟虑的实际的使用，而选择并表现的方式。所有这样的变形和变化，都在按照由公正、合法、公平地给予的广度而解释的添加权利要求所决定的本发明的范围内。

Claims (4)

1.一种密钥交换方法，

是将N设为2以上的整数，将密钥生成服务器的数量即L设为1以上的整数，

在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享会话密钥SK的密钥交换方法，其中2≦n≦N，

将ID_i设为通信装置U_i的识别符，将MPK_j设为基于匿名ID的广播加密的掩码公开密钥，将SMPK_j设为基于ID署名的掩码公开密钥，将dk_i ^(j)设为基于匿名ID的广播加密的解密密钥，将sk_i ^(j)设为基于ID署名的署名密钥，将G设为将g、h设为生成元的素数位数p的有限循环群，将||设为连结运算符，其中1≦i≦N,1≦j≦L，

在通信装置U_i的记录单元中，记录秘密字符串(st_i,st'_i)，其中1≦i≦N，

所述密钥交换方法包括：

第一密钥生成步骤，

对于i∈{1,…,n}，通信装置U_i通过扭曲伪随机函数，使用所述秘密字符串(st_i,st'_i)计算r_i、k_i、s_i，通过计算

生成第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，通信装置U_i随机地选择R_i,c_i∈_RG，生成第一密钥(R_i,c_i)；

第一匿名广播步骤，通过匿名广播方法，

对于i∈{1,…,n}，通信装置U_i指定集合R-{U_i}，匿名广播所述第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，通信装置U_i指定意味着无接收者的

匿名广播所述第一密钥(R_i,c_i)；

第二密钥生成步骤，

对于i∈{2,…,n}，通信装置U_i通过目标抗冲突散列函数，使用所述c_k计算会话IDsid，其中1≦k≦n，通过伪随机函数，使用

计算K_i ^(l)，通过伪随机函数，使用

计算K_i ^(r)，通过K_i ^(l)和K_i ^(r)的“异或”计算T_i，随机地选择T'_i∈_RZ_p ²，从掩码公开密钥Σ_{j＝1,.., L}SMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)、以及消息(R,R_i,c_i,k_i,s_i,T_i,T'_i)生成署名σ_i←(Σ_{j＝1,.., L}SMPK_j,Σ_j＝1,..,Lsk_i ^(j),(R,R_i,c_i,k_i,s_i,T_i,T'_i))，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)，

对于i＝1，通信装置U₁通过目标抗冲突散列函数，从所述c_k计算会话IDsid，通过伪随机函数，使用

计算K₁ ^(l)，通过伪随机函数，使用

计算K₁ ^(r)，通过K₁ ^(l)和K₁ ^(r)的“异或”计算T₁，通过K₁ ^(l)和k₁||s₁的“异或”计算T'，随机地选择k"₁,s"₁∈_RZ_p，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk₁ ^(j)、以及消息(R,R₁,c₁,k"₁,s"₁,T₁,T')生成署名σ₁←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk₁ ^(j),(R,R₁,c₁,k"₁,s"₁,T₁,T'))，生成第二密钥(k"₁,s"₁,T₁,T',σ₁)，其中1≦k≦n，

对于i∈{n+1,…,N}，通信装置U_i随机地选择k_i,s_i∈_RZ_p，T_i,T'_i∈_RZ_p ²，σ_i∈_RΣ，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)，其中，Σ为署名空间；

第二匿名广播步骤，通过所述匿名广播方法，

对于i∈{2,…,n}，通信装置U_i指定集合R-{U_i}，匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)，

对于i＝1，通信装置U₁指定集合R-{U₁}，匿名广播所述第二密钥(k"₁,s"₁,T₁,T',σ₁)，

对于i∈{n+1,…,N}，通信装置U_i指定所述

匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)；

会话密钥生成步骤，

对于i∈{2,…,n}，通信装置U_i若获取所述第二密钥(k"₁,s"₁,T₁,T',σ₁)和所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功的情况下，通过与K_i ^(l)和T_j的“异或”的“异或”计算K₁ ^(l)，通过T'和K₁ ^(l)的“异或”计算k₁||s₁，对于满足1≦k≦n的k，在

成立的情况下，通过伪随机函数，使用所述sid、所述k_i(1≦i≦n)的“异或”，生成所述会话密钥SK，其中2≦k≦n,k≠i，1≦j≦i-1，

对于i＝1，若通信装置U₁获取所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_{j＝1,.., L}SMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功，且对于满足1≦k≦n的k，

成立的情况下，通过伪随机函数，使用所述sid、所述k_i的“异或”，生成所述会话密钥SK，其中2≦k≦n，1≦i≦n，

所述匿名广播方法是在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享消息M₁,…,M_n的匿名广播方法，其中2≦n≦N，

所述匿名广播方法包括：

密文生成步骤，对于i∈{1,…,n}，通信装置U_i从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)、以及所述识别符ID_i和所述消息M_i的组即消息(ID_i,M_i)，生成署名ω_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(ID_i,M_i))，从掩码公开密钥Σ_j＝1,..,LMPK_j、所述识别符ID_i和所述署名ω_i和所述消息M_i的组即明文(ID_i,ω_i,M_i)、以及集合R-{U_i}，生成密文C_i←(Σ_j＝1,..,LMPK_j,(ID_i,ω_i,M_i),(R-{U_i}))，

对于i∈{n+1,…,N}，通信装置U_i生成作为伪消息的密文C_i；

密文获取步骤，对于i∈{1,…,N}，通信装置U_i获取混合网络混洗后的密文{C₁,…,C_N}；以及

消息复原步骤，对于i∈{1,…,N}，通信装置U_i从解密密钥Σ_j＝1,..,Ldk_i ^(j)、以及所述密文C_k，其中1≦k≦N，生成消息(ID_k,ω_k,M_k)←(Σ_j＝1,..,Ldk_i ^(j),C_k)，在U_i∈R-{U_k}的情况下，从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、所述消息(ID_k,ω_k,M_k)生成验证结果Ver_k←(Σ_{j＝1,.., L}SMPK_j,ID_k,M_k,ω_k)，在署名ω_k的验证成功的情况下，将所述消息M_k视为从所述识别符ID_k的通信装置U_k发送的消息，通信装置U_i∈R获取所述消息M₁,…,M_n。

2.一种密钥交换系统，

是将N设为2以上的整数，将密钥生成服务器的数量即L设为1以上的整数，

在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享会话密钥SK的密钥交换系统，其中2≦n≦N，

将ID_i设为通信装置U_i的识别符，将MPK_j设为基于匿名ID的广播加密的掩码公开密钥，将SMPK_j设为基于ID署名的掩码公开密钥，将dk_i ^(j)设为基于匿名ID的广播加密的解密密钥，将sk_i ^(j)设为基于ID署名的署名密钥，将G设为将g、h设为生成元的素数位数p的有限循环群，将||设为连结运算符，其中1≦i≦N,1≦j≦L，

通信装置U_i包括：

记录单元，记录秘密字符串(st_i,st'_i)；

第一密钥生成单元，

对于i∈{1,…,n}，通过扭曲伪随机函数，通过使用所述秘密字符串(st_i,st'_i)计算r_i、k_i、s_i，并计算

生成第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，随机地选择R_i,c_i∈_RG，生成第一密钥(R_i,c_i)；

第一匿名广播单元，通过匿名广播系统，

对于i∈{1,…,n}，指定集合R-{U_i}，匿名广播所述第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，指定意味着无接收者的

匿名广播所述第一密钥(R_i,c_i)；

第二密钥生成单元，

对于i∈{2,…,n}，通过目标抗冲突散列函数，使用所述c_k计算会话IDsid，通过伪随机函数，使用

计算K_i ^(l)，通过伪随机函数，使用

计算K_i ^(r)，通过计算K_i ^(l)和K_i ^(r)的“异或”计算T_i，随机地选择T'_i∈_RZ_p ²，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)和消息(R,R_i,c_i,k_i,s_i,T_i,T'_i)，生成署名σ_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(R,R_i,c_i,k_i,s_i,T_i,T'_i))，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)，其中1≦k≦n，

对于i＝1，通过目标抗冲突散列函数，从所述c_k计算会话IDsid，通过伪随机函数，使用

计算K₁ ^(l)，通过伪随机函数，使用

计算K₁ ^(r)，通过K₁ ^(l)和K₁ ^(r)的“异或”计算T₁，通过K₁ ^(l)和k₁||s₁的“异或”计算T'，随机地选择k"₁,s"₁∈_RZ_p，从掩码公开密钥Σ_{j＝1,.., L}SMPK_j、署名密钥Σ_j＝1,..,Lsk₁ ^(j)和消息(R,R₁,c₁,k"₁,s"₁,T₁,T')，生成署名σ₁←(Σ_{j＝1,.., L}SMPK_j,Σ_j＝1,..,Lsk₁ ^(j),(R,R₁,c₁,k"₁,s"₁,T₁,T'))，生成第二密钥(k"₁,s"₁,T₁,T',σ₁)，其中1≦k≦n，

对于i∈{n+1,…,N}，随机地选择k_i,s_i∈_RZ_p，T_i,T'_i∈_RZ_p ²，σ_i∈_RΣ，其中，Σ是署名空间，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)；

第二匿名广播单元，通过所述匿名广播系统，

对于i∈{2,…,n}，指定集合R-{U_i}，匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)，

对于i＝1，指定集合R-{U₁}，匿名广播所述第二密钥(k"₁,s"₁,T₁,T',σ₁)，

对于i∈{n+1,…,N}，指定指定所述

匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)；以及

会话密钥生成单元，对于i∈{2,…,n}，若获取所述第二密钥(k"₁,s"₁,T₁,T',σ₁)和所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功了的情况下，通过与K_i ^(l)和T_j的“异或”的“异或”计算K₁ ^(l)，通过T'和K₁ ^(l)的“异或”计算k₁||s₁，对于满足1≦k≦n的k，

成立的情况下，通过伪随机函数，使用所述sid、所述k_i的“异或”生成所述会话密钥SK，其中2≦k≦n,k≠i，1≦j≦i-1，1≦i≦n，

对于i＝1，若获取所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_{j＝1,.., L}SMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功，且对于满足1≦k≦n的k，

成立的情况下，通过伪随机函数，使用所述sid、所述k_i的“异或”，生成所述会话密钥SK，其中2≦k≦n，1≦i≦n，

所述匿名广播系统是在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享消息M₁,…,M_n的匿名广播系统，其中2≦n≦N，

所述通信装置U_i(1≦i≦N)的第一匿名广播单元和所述第二匿名广播单元分别包括：

密文生成单元，对于i∈{1,…,n}，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_{j＝1,.., L}sk_i ^(j)、以及所述识别符ID_i和所述消息M_i的组即消息(ID_i,M_i)中，生成署名ω_i←(Σ_{j＝1,.., L}SMPK_j,Σ_j＝1,..,Lsk_i ^(j),(ID_i,M_i))，从掩码公开密钥Σ_j＝1,..,LMPK_j、以及所述识别符ID_i和所述署名ω_i和所述消息M_i的组即明文(ID_i,ω_i,M_i)的集合R-{U_i}中，生成密文C_i←(Σ_{j＝1,.., L}MPK_j,(ID_i,ω_i,M_i),(R-{U_i}))，

对于i∈{n+1,…,N}，生成作为伪消息的密文C_i；

密文获取单元，获取混合网络混洗后的密文{C₁,…,C_N}；以及

消息复原单元，从解密密钥Σ_j＝1,..,Ldk_i ^(j)和所述密文C_k，生成消息(ID_k,ω_k,M_k)←(Σ_j＝1,..,Ldk_i ^(j),C_k)，其中1≦k≦N，

对于i∈{1,…,n}，其中，i≠k，从所述掩码公开密钥Σ_j＝1,..,LSMPK_j和所述消息(ID_k,ω_k,M_k)生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,M_k,ω_k)，在署名ω_k的验证成功的情况下，将所述消息M_k视为从所述识别符ID_k的通信装置U_k发送的消息，

对于i∈{1,…,n}，获取所述消息M₁,…,M_n。

3.一种通信装置，

将N设为2以上的整数，将密钥生成服务器的数量即L设为1以上的整数，

在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享会话密钥SK，其中2≦n≦N，

将ID_i设为通信装置U_i的识别符，将MPK_j设为基于匿名ID的广播加密的掩码公开密钥，将SMPK_j设为基于ID署名的掩码公开密钥，将dk_i ^(j)设为基于匿名ID的广播加密的解密密钥，将sk_i ^(j)设为基于ID署名的署名密钥，将G设为将g、h设为生成元的素数位数p的有限循环群，将||设为连结运算符，其中1≦i≦N,1≦j≦L，

通信装置U_i包括：

记录单元，记录秘密字符串(st_i,st'_i)；

第一密钥生成单元，

对于i∈{1,…,n}，通过扭曲伪随机函数，通过使用所述秘密字符串(st_i,st'_i)计算r_i、k_i、s_i，并计算

生成第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，随机地选择R_i,c_i∈_RG，生成第一密钥(R_i,c_i)；

第一匿名广播单元，通过匿名广播系统，

对于i∈{1,…,n}，指定集合R-{U_i}，匿名广播所述第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，指定意味着无接收者的

匿名广播所述第一密钥(R_i,c_i)；

第二密钥生成单元，

对于i∈{2,…,n}，通过目标抗冲突散列函数，使用所述c_k计算会话IDsid，通过伪随机函数，使用

计算K_i ^(l)，通过伪随机函数，使用

计算K_i ^(r)，通过计算K_i ^(l)和K_i ^(r)的“异或”计算T_i，随机地选择T'_i∈_RZ_p ²，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i ^(j)和消息(R,R_i,c_i,k_i,s_i,T_i,T'_i)，生成署名σ_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i ^(j),(R,R_i,c_i,k_i,s_i,T_i,T'_i))，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)，其中1≦k≦n，

对于i＝1，通过目标抗冲突散列函数，从所述c_k计算会话IDsid，通过伪随机函数，使用

计算K₁ ^(l)，通过伪随机函数，使用

计算K₁ ^(r)，通过K₁ ^(l)和K₁ ^(r)的“异或”计算T₁，通过K₁ ^(l)和k₁||s₁的“异或”计算T'，随机地选择k"₁,s"₁∈_RZ_p，从掩码公开密钥Σ_{j＝1,.., L}SMPK_j、署名密钥Σ_j＝1,..,Lsk₁ ^(j)和消息(R,R₁,c₁,k"₁,s"₁,T₁,T')，生成署名σ₁←(Σ_{j＝1,.., L}SMPK_j,Σ_j＝1,..,Lsk₁ ^(j),(R,R₁,c₁,k"₁,s"₁,T₁,T'))，生成第二密钥(k"₁,s"₁,T₁,T',σ₁)，其中1≦k≦n，

对于i∈{n+1,…,N}，随机地选择k_i,s_i∈_RZ_p，T_i,T'_i∈_RZ_p ²，σ_i∈_RΣ，其中，Σ是署名空间，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)；

第二匿名广播单元，通过所述匿名广播系统，

对于i∈{2,…,n}，指定集合R-{U_i}，匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)，

对于i＝1，指定集合R-{U₁}，匿名广播所述第二密钥(k"₁,s"₁,T₁,T',σ₁)，

对于i∈{n+1,…,N}，指定指定所述

匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)；以及

会话密钥生成单元，对于i∈{2,…,n}，若获取所述第二密钥(k"₁,s"₁,T₁,T',σ₁)和所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功了的情况下，通过与K_i ^(l)和T_j的“异或”的“异或”计算K₁ ^(l)，通过T'和K₁ ^(l)的“异或”计算k₁||s₁，对于满足1≦k≦n的k，

成立的情况下，通过伪随机函数，使用所述sid、所述k_i的“异或”生成所述会话密钥SK，其中2≦k≦n,k≠i，1≦j≦i-1，1≦i≦n，

对于i＝1，若获取所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_{j＝1,.., L}SMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功，且对于满足1≦k≦n的k，

成立的情况下，通过伪随机函数，使用所述sid、所述k_i的“异或”，生成所述会话密钥SK，其中2≦k≦n，1≦i≦n，

所述匿名广播系统是在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享消息M₁,…,M_n的匿名广播系统，其中2≦n≦N，

所述通信装置U_i(1≦i≦N)的第一匿名广播单元和所述第二匿名广播单元分别包括：

密文生成单元，对于i∈{1,…,n}，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_{j＝1,.., L}sk_i ^(j)、以及所述识别符ID_i和所述消息M_i的组即消息(ID_i,M_i)中，生成署名ω_i←(Σ_{j＝1,.., L}SMPK_j,Σ_j＝1,..,Lsk_i ^(j),(ID_i,M_i))，从掩码公开密钥Σ_j＝1,..,LMPK_j、以及所述识别符ID_i和所述署名ω_i和所述消息M_i的组即明文(ID_i,ω_i,M_i)的集合R-{U_i}中，生成密文C_i←(Σ_{j＝1,.., L}MPK_j,(ID_i,ω_i,M_i),(R-{U_i}))，

对于i∈{n+1,…,N}，生成作为伪消息的密文C_i；

密文获取单元，获取混合网络混洗后的密文{C₁,…,C_N}；以及

消息复原单元，从解密密钥Σ_j＝1,..,Ldk_i ^(j)和所述密文C_k，生成消息(ID_k,ω_k,M_k)←(Σ_j＝1,..,Ldk_i ^(j),C_k)，其中1≦k≦N，

对于i∈{1,…,n}，其中，i≠k，从所述掩码公开密钥Σ_j＝1,..,LSMPK_j和所述消息(ID_k,ω_k,M_k)生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,M_k,ω_k)，在署名ω_k的验证成功的情况下，将所述消息M_k视为从所述识别符ID_k的通信装置U_k发送的消息，

对于i∈{1,…,n}，获取所述消息M₁,…,M_n。

4.一种计算机可读取的存储介质，其存储有程序，该程序在被处理器执行时使计算机作为构成权利要求2中记载的密钥交换系统的通信装置而发挥功能。

Images