CN111541669A - 一种广播加密方法及系统 - Google Patents

Abstract

本发明提供了一种广播加密方法及系统，广播端接收证书中心生成的系统公开参数及接收端的公钥；所述广播端根据所述系统公开参数生成会话密钥，使用所述会话密钥加密需广播的消息，生成广播密文主体；所述广播端接收所述接收端中的目标接收端集合并分解，根据所述分解后的目标接收端集合、所述会话密钥和所述接收端的公钥，生成广播密文头；所述广播端广播包括所述广播密文主体及广播密文头的广播密文；所述接收端接收所述广播端广播的广播密文，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理，提高了解密效率，并且使计算开销不随广播接收者的数量增加而增大。

Description

一种广播加密方法及系统

技术领域

本发明涉及加密算法领域，尤其涉及一种广播加密方法及系统。

背景技术

在很多广播应用场景下，匿名性或者隐私保护是一个非常重要的安全性质；例如，在付费电视系统中，那些订阅了敏感节目频道的用户不希望在他们通过广播的方式接收节目内容的过程中泄露其真实的身份信息；换言之，订阅者的身份信息需要对订阅了同一节目的组内其他订阅者以及组外非订阅者保持匿名；然而，在传统的广播加密方案中，目标接收者集合通常需要作为最终广播密文的一个隐式组成部分，由于广播密文是通过公开信道传输的，故目标接收者的身份信息很容易被泄露，因此，在广播过程中保持目标接收者身份信息匿名以实现隐私保护显得尤为重要，具体而言，在匿名或者隐私保护广播加密方案中，用户仅能验证其自身是否在目标接收者集合中，而无法获得任何其他用户的身份信息。

已有的匿名广播加密方案都构造于传统公钥密码体制或者基于身份密码体制中，但是，传统公钥密码体制存在证书管理问题，而基于身份密码体制存在密钥托管问题；现已有提出一些优化方法，如Gentry在EUROCRYPT 2003上提出的基于证书加密(CBE)的概念结合了上述两个密码体制的优点，具体而言，在CBE中，各个用户自行生成其公钥和私钥，然后用户向证书中心(CA)申请证书，对其身份进行标识，CBE中的证书将作为解密阶段时用户私钥的一个隐式组成部分，而CA虽然掌握了用户的证书，但其无法知晓用户的完整私钥，因此其无法解密密文，CBE这一隐式证书机制有效地解决了公钥密码体制的证书管理问题，同时也规避了基于身份密码体制的密钥托管问题；但这个设想并未给出具体的实现方案。

近几年来基于证书密码体制已经吸引了众多研究者的关注，也有了一些基于证书密码体制的广播加密方法实现方案，如Sur等人提出了多接收者基于证书加密的概念并构造了一个具体的方案，然而，他们并未给出多接收者基于证书加密的形式化定义和安全模型；Fan等人提出了一个多接收者基于证书加密方案，但是该方案中接收者的解密代价与当前目标接收者数量成线性增长关系，对于那些存在大量目标接收者的应用而言，例如群组通信、公共云下的文件共享等，随着目标接收者数量的增加，计算开销也将快速增加，这将极大降低这些应用的效率，也将极大限制将这些应用部署于那些具有大量用户且计算能力有限的广播场景。

发明内容

本发明所要解决的技术问题是：提供一种广播加密方法及终端，能够提高解密效率，使计算开销不随广播接收者的数量增加而增大。

为了解决上述技术问题，本发明采用的一种技术方案为：

一种广播加密方法，包括步骤：

S1、广播端接收证书中心生成的系统公开参数及接收端的公钥；

S2、所述广播端根据所述系统公开参数生成会话密钥，使用所述会话密钥加密需广播的消息，生成广播密文主体；

S3、所述广播端接收所述接收端中的目标接收端集合并分解，根据所述分解后的目标接收端集合、所述会话密钥和所述接收端的公钥，生成广播密文头；

S4、所述广播端广播包括所述广播密文主体及广播密文头的广播密文；

S5、所述接收端接收所述广播端广播的广播密文，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理。

为了解决上述技术问题，本发明采用的另一种技术方案为：

一种广播加密系统，包括广播端和接收端，所述广播端包括第一存储器、第一处理器及存储在第一存储器上并可在所述第一处理器上运行的第一计算机程序，所述接收端包括第二存储器、第二处理器及存储在第二存储器上并可在所述第二处理器上运行的第二计算机程序，所述第一处理器执行所述第一计算机程序时实现以下步骤：

S1、接收证书中心生成的系统公开参数及接收端的公钥；

S2、根据所述系统公开参数生成会话密钥，使用所述会话密钥加密需广播的消息，生成广播密文主体；

S3、接收所述接收端中的目标接收端集合并分解，根据所述分解后的目标接收端集合、所述会话密钥和所述接收端的公钥，生成广播密文头；

S4、广播包括所述广播密文主体及广播密文头的广播密文；

所述第二处理器执行所述第二计算机程序时实现以下步骤：

S11、发送接收端的公钥给所述广播端；

S5、接收所述广播端广播的广播密文，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理。

本发明的有益效果在于：采用会话密钥而不是接收端的私钥对广播密文主体进行加密，同时，将目标接收端集合分解生成广播密文头，并且接收端可以根据广播密文头中分解后的接收端集合判断自身是否处于目标接收端集合内，若不处于，则无需进行下一步广播密文主体的解密，大大提高了解密效率，不以整个接收者集合作为广播密文的一部分，目标接收端智能验证自身身份而无法获取目标接收端集合中其他接收端的身份，实现了匿名；单次广播中采用固定会话密钥加密广播主体，不论目标接收者集合数量如何变化，都使用同一个会话密钥，解密代价不随目标接收者集合的变化而变化，大大提高了解密效率，能够在计算能力有限的系统中向大数量用户广播消息。

附图说明

图1为本发明实施例的一种广播系统加密方法的步骤流程图；

图2为本发明实施例的一种广播加密系统的结构示意图；

图3为本发明实施例的一种广播加密方法的数据流示意图；

标号说明：

0、一种广播加密系统；

1、广播端；1.1、第一处理器；1.2、第一存储器；

2、接收端；2.1、第二处理器；2.2、第二存储器。

具体实施方式

为详细说明本发明的技术内容、所实现目的及效果，以下结合实施方式并配合附图予以说明。

请参照图1，一种广播加密方法，包括步骤：

S1、广播端接收证书中心生成的系统公开参数及接收端的公钥；

S2、所述广播端根据所述系统公开参数生成会话密钥，使用所述会话密钥加密需广播的消息，生成广播密文主体；

S3、所述广播端接收所述接收端中的目标接收端集合并分解，根据所述分解后的目标接收端集合、所述会话密钥和所述接收端的公钥，生成广播密文头；

S4、所述广播端广播包括所述广播密文主体及广播密文头的广播密文；

S5、所述接收端接收所述广播端广播的广播密文，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理。

从上述描述可知，本发明的有益效果在于：采用会话密钥而不是接收端的私钥对广播密文主体进行加密，同时，将目标接收端集合分解生成广播密文头，并且接收端可以根据广播密文头中分解后的接收端集合判断自身是否处于目标接收端集合内，若不处于，则无需进行下一步广播密文主体的解密，大大提高了解密效率，不以整个接收者集合作为广播密文的一部分，目标接收端智能验证自身身份而无法获取目标接收端集合中其他接收端的身份，实现了匿名；单次广播中采用固定会话密钥加密广播主体，不论目标接收者集合数量如何变化，都使用同一个会话密钥，解密代价不随目标接收者集合的变化而变化，大大提高了解密效率，能够在计算能力有限的系统中向大数量用户广播消息。

进一步的，所述步骤S1中所述系统公开参数由证书中心根据安全参数λ生成：

params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}；

其中，params表示所述系统公开参数，G和G_T为两个乘法循环群，所述乘法循环群的群阶为λ比特的素数p，e:G×G→G_T是一个双线性群；g为所述乘法循环群G的一个生成元，随机选取

计算g₁＝g^α，g_T＝e(g,g)，其中

表示集合{1,2,...,p-1}；H₁，H₂，H₃，H₄，H₅为五个抗碰撞哈希函数；l表示待加密的广播消息比特位数，w表示一个随机正整数；

所述接收端的公钥

其中，

作为其私钥SK_i；

其中，i表示一接收端。

由上述描述可知，系统公开参数的组成较为复杂，便于之后广播端的加密操作，提高了密文破译的难度，同时，设置抗碰撞哈希函数，广播端在加密过程中可以直接调用，提高了加密的效率。

进一步的，所述步骤S2具体为：

读取所述系统公开参数params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}；

随机选取K∈G_T，作为会话密钥；

广播密文主体

其中，M为待加密的广播消息。

由上述描述可知，随机在乘法循环群中选择一元素作为会话密钥，并对所述会话密钥进行哈希运算，而所述乘法循环群和哈希函数都由系统公共开参数直接提供，生成密钥的效率高，且使用哈希运算过后的密钥对待加密的广播消息进行加密，提高了待加密广播消息的安全性。

进一步的，所述步骤S3具体为：

接收所述目标接受者集合S＝{ID₁,ID₂,...ID_n}，并按照所述ID分解；

根据所述会话密钥K，计算r＝H₃(M,K)；

根据所述接收端的公钥，计算Q_k＝H₁(ID_k,PK_k)，R_k＝H₂(ID_k,PK_k,g₁)；

根据所述Q_k、R_k及所述r，计算C₀＝g^r，及x_k＝e(g₁,Q_k)^-r·e(PK_k,R_k)^-r；

上式中，k表示目标接收端集合中的一终端，ID_k表示所述一终端的ID标识，n表示目标接收端集合S中接收端的总数，PK_k表示所述一终端的公钥；

设置C_1k＝(C_{1k_1},C_{1k_2})，其中，C_{1k_1}＝H₄(x_k)，C_{1k_2}＝K·x_k；

根据上式生成广播密文头Hdr＝(C₀,C₁₁,C₁₂,...,C_1n)。

由上述描述可知，将接收者集合中的接收端ID与公钥进行哈希运算，通过哈希值实现接收者集合的隐式输入，并对所述进行哈希运算后获得的哈希值再次进行加密运算，在最终产生的广播密文头中不包含能直接破译出接收端ID值的信息，进一步保证了接收端的匿名性。

进一步的，所述步骤S5中，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理，具体为：

所述步骤S5中所述根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理，具体为：

S51、计算

其中，Cert_i表示一接收端的证书，SK_i表示一接收端的公钥对应的私钥；

S52、读取所述广播密文头，根据所述x_i'计算H₄(x_i')，查找所述广播密文头中是否存在H₄(x_i')，若是，则表示所述一接收端i即为目标接收端集合中的一终端k，即H₄(x_k')＝H₄(x_i')进行步骤S53，否则停止解密过程；

S53、根据所述H₄(x_k')，及C_{1k_1}＝H₄(x′_k)，C_1k＝(C_{1k_1},C_{1k_2})，在广播密文头中定位C_1k；

计算

所述K′为解密获得的会话密钥；

读取所述广播密文主体C₂，计算

所述M′为解密获得的广播消息。

由上述描述可知，接收端在对广播密文进行解密的过程中，并不直接分析整条广播密文，而是先读取广播密文头，并根据自身ID进行相应计算，若所述计算后获得的结果值无法与广播密文头中值对应，则不进行解密操作，若能够对应，再进行下一步对广播密文主体的解密操作，并且可以沿用上一步的计算结果，提高了解密过程的效率。

请参照图2，一种广播加密系统，包括广播端和接收端，所述广播端包括第一存储器、第一处理器及存储在第一存储器上并可在所述第一处理器上运行的第一计算机程序，所述接收端包括第二存储器、第二处理器及存储在第二存储器上并可在所述第二处理器上运行的第二计算机程序，其特征在于，所述第一处理器执行所述第一计算机程序时实现以下步骤：

S1、接收证书中心生成的系统公开参数及接收端的公钥；

S2、根据所述系统公开参数生成会话密钥，使用所述会话密钥加密需广播的消息，生成广播密文主体；

S3、接收所述接收端中的目标接收端集合并分解，根据所述分解后的目标接收端集合、所述会话密钥和所述接收端的公钥，生成广播密文头；

S4、广播包括所述广播密文主体及广播密文头的广播密文；

所述第二处理器执行所述第二计算机程序时实现以下步骤：

S11、发送接收端的公钥给所述广播端；

S5、接收所述广播端广播的广播密文，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理。

本发明的有益效果在于：采用会话密钥而不是接收端的私钥对广播密文主体进行加密，同时，将目标接收端集合分解生成广播密文头，并且接收端可以根据广播密文头中分解后的接收端集合判断自身是否处于目标接收端集合内，若不处于，则无需进行下一步广播密文主体的解密，大大提高了解密效率，不以整个接收者集合作为广播密文的一部分，目标接收端智能验证自身身份而无法获取目标接收端集合中其他接收端的身份，实现了匿名；单次广播中采用固定会话密钥加密广播主体，不论目标接收者集合数量如何变化，都使用同一个会话密钥，解密代价不随目标接收者集合的变化而变化，大大提高了解密效率，能够在计算能力有限的系统中向大数量用户广播消息。

进一步的，所述步骤S1中所述系统公开参数由证书中心根据安全参数λ生成：

params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}；

其中，params表示所述系统公开参数，G和G_T为两个乘法循环群，所述乘法循环群的群阶为λ比特的素数p，e:G×G→G_T是一个双线性群；g为所述乘法循环群G的一个生成元，随机选取

计算g₁＝g^α，g_T＝e(g,g)，其中

表示集合{1,2,...,p-1}；H₁，H₂，H₃，H₄，H₅为五个抗碰撞哈希函数；l表示待加密的广播消息比特位数，w表示一个随机正整数；

所述接收端的公钥

其中，

作为其私钥SK_i；

其中，i表示一接收端。

由上述描述可知，系统公开参数的组成较为复杂，便于之后广播端的加密操作，提高了密文破译的难度，同时，设置抗碰撞哈希函数，广播端在加密过程中可以直接调用，提高了加密的效率。

进一步的，所述步骤S2具体为：

读取所述系统公开参数params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}；

随机选取K∈G_T，作为会话密钥；

广播密文主体

其中，M为待加密的广播消息。

由上述描述可知，随机在乘法循环群中选择一元素作为会话密钥，并对所述会话密钥进行哈希运算，而所述乘法循环群和哈希函数都由系统公共开参数直接提供，生成密钥的效率高，且使用哈希运算过后的密钥对待加密的广播消息进行加密，提高了待加密广播消息的安全性。

进一步的，所述步骤S3具体为：

接收所述目标接受者集合S＝{ID₁,ID₂,...ID_n}，并按照所述ID分解；

根据所述会话密钥K，计算r＝H₃(M,K)；

根据所述接收端的公钥，计算Q_k＝H₁(ID_k,PK_k)，R_k＝H₂(ID_k,PK_k,g₁)；

根据所述Q_k、R_k及所述r，计算C₀＝g^r，及x_k＝e(g₁,Q_k)^-r·e(PK_k,R_k)^-r；

上式中，k表示目标接收端集合中的一终端，ID_k表示所述一终端的ID标识，n表示目标接收端集合S中接收端的总数，PK_k表示所述一终端的公钥；

设置C_1k＝(C_{1k_1},C_{1k_2})，其中，C_{1k_1}＝H₄(x_k)，C_{1k_2}＝K·x_k；

根据上式生成广播密文头Hdr＝(C₀,C₁₁,C₁₂,...,C_1n)。

由上述描述可知，将接收者集合中的接收端ID与公钥进行哈希运算，通过哈希值实现接收者集合的隐式输入，并对所述进行哈希运算后获得的哈希值再次进行加密运算，在最终产生的广播密文头中不包含能直接破译出接收端ID值的信息，进一步保证了接收端的匿名性。

进一步的，所述步骤S5中，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理，具体为：

所述步骤S5中所述根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理，具体为：

S51、计算

其中，Cert_i表示一接收端的证书，SK_i表示一接收端的公钥对应的私钥；

S52、读取所述广播密文头，根据所述x_i'计算H₄(x_i')，查找所述广播密文头中是否存在H₄(x_i')，若是，则表示所述一接收端i即为目标接收端集合中的一终端k，即H₄(x_k')＝H₄(x_i')，进行步骤S53，否则停止解密过程；

S53、根据所述H₄(x_k')，及C_{1k_1}＝H₄(x′_k)，C_1k＝(C_{1k_1},C_{1k_2})，在广播密文头中定位C_1k；

计算

所述K′为解密获得的会话密钥；

读取所述广播密文主体C₂，计算

所述M′为解密获得的广播消息。

由上述描述可知，接收端在对广播密文进行解密的过程中，并不直接分析整条广播密文，而是先读取广播密文头，并根据自身ID进行相应计算，若所述计算后获得的结果值无法与广播密文头中值对应，则不进行解密操作，若能够对应，再进行下一步对广播密文主体的解密操作，并且可以沿用上一步的计算结果，提高了解密过程的效率。

请参照图1，本发明的实施例一为：

一种广播加密方法，具体包括：

S1、广播端接收证书中心生成的系统公开参数及接收端的公钥；

所述步骤S1中所述系统公开参数由证书中心根据安全参数λ生成：

params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}；

其中，params表示所述系统公开参数，G和G_T为两个乘法循环群，所述乘法循环群的群阶为λ比特的素数p，e:G×G→G_T是一个双线性群；g为所述乘法循环群G的一个生成元，随机选取

计算g₁＝g^α，g_T＝e(g,g)，其中

表示集合{1,2,...,p-1}；H₁，H₂，H₃，H₄，H₅为五个抗碰撞哈希函数；l表示待加密的广播消息比特位数，w表示一个随机正整数；

所述五个抗碰撞哈希函数具体为：H₁:{0,1}^*×G→G，H₂：{0,1}^*×G×G→G，

H₄:G_T→{0,1}^w，H₅:G_T→{0,1}^l；

所述随机选取的α作为系统主密钥；

所述证书中心发布系统公开参数，并秘密持有系统主密钥；

所述接收端的公钥

其中，

作为所述接收端的私钥SK_i；

所述证书中心根据系统公开参数params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}、系统主密钥MK，用户端ID及对应的公钥PK，生成用户端证书

其中，Q_i＝H₁(ID_i,PK_i)，并通过验证等式e(g,Cert_i)＝e(g₁,Q_i)是否成立，核实证书的有效性，当等式成立，所述证书有效，否则所述证书无效，所述证书中心重新生成证书；

S2、所述广播端根据所述系统公开参数生成会话密钥，使用所述会话密钥加密需广播的消息，生成广播密文主体；

具体为：

读取所述系统公开参数params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}；

随机选取K∈G_T，作为会话密钥；

广播密文主体

其中，M为待加密的广播消息

S3、所述广播端接收所述接收端中的目标接收端集合并分解，根据所述分解后的目标接收端集合、所述会话密钥和所述接收端的公钥，生成广播密文头；

具体为：

接收所述目标接收者集合S＝{ID₁,ID₂,...ID_n}，并按照所述ID分解；

根据所述会话密钥K，计算r＝H₃(M,K)；

根据所述接收端的公钥，计算Q_k＝H₁(ID_k,PK_k)，R_k＝H₂(ID_k,PK_k,g₁)；

根据所述Q_k、R_k及所述r，计算C₀＝g^r，及x_k＝e(g₁,Q_k)^-r·e(PK_k,R_k)^-r；

优选的，可以将Q_i、R_i、e(g₁，Q_i)及e(PK_i,R_i)预先计算完，并将结果存储于列表中，需要加密广播消息时，直接根据目标接收端集合从列表中调取计算好的值；

上式中，k表示目标接收端集合中的一终端，ID_k表示所述一终端的ID标识，n表示目标接收端集合S中接收端的总数，PK_k表示所述一终端的公钥；

设置C_1k＝(C_{1k_1},C_{1k_2})，其中，C_{1k_1}＝H₄(x_k)，C_{1k_2}＝K·x_k；

根据上式生成广播密文头Hdr＝(C₀,C₁₁,C₁₂,...,C_1n)；

S4、所述广播端广播包括所述广播密文主体及广播密文头的广播密文；

S5、所述接收端接收所述广播端广播的广播密文，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理；

根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理，具体为：

S51、计算

其中，Cert_i表示一接收端的证书，SK_i表示一接收端的公钥对应的私钥；

S52、读取所述广播密文头，根据所述x_i'计算H₄(x_i')，查找所述广播密文头中是否存在H₄(x_i')，若是，则表示所述一接收端i即为目标接收端集合中的一终端k，即H₄(x_k')＝H₄(x_i')，进行步骤S53，否则停止解密过程；

S53、根据所述H₄(x_k')，及C_{1k_1}＝H₄(x′_k)，C_1k＝(C_{1k_1},C_{1k_2})，在广播密文头中定位C_1k；

计算

所述K′为解密获得的会话密钥；

读取所述广播密文主体C₂，计算

所述M′为解密获得的广播消息；

计算r′＝H₃(M′,K′)，验证等式C₀＝g^r′是否成立，若等式成立，则解密成功，输出解密后的广播消息M′，若等式不成立，则重复步骤S53。

请参照图3，本发明的实施例二为：

一种广播加密系统，包括证书中心、广播端及接收端；

所述证书中心创建系统，并生成系统公开参数供所述广播端及接收端使用，所述接收端自行生成其密钥，包括公钥和私钥，证书中心为所述接收端生成证书并发送给偶数接收端，广播端生成会话密钥，利用所述会话密钥加密广播消息，生成广播消息密文；

所述生成的广播消息密文通过公开信道传输；

所述目标接收端接收所述广播消息密文，并解密，得到广播消息。

请参照图2，本发明的实施例三为：

一种广播加密系统(0)，包括广播端(1)和接收端(2)，所述广播端包括第一存储器(1.2)、第一处理器(1.1)及存储在第一存储器上并可在所述第一处理器上运行的第一计算机程序，所述接收端包括第二存储器(2.2)、第二处理器(2.1)及存储在第二存储器上并可在所述第二处理器上运行的第二计算机程序，所述第一处理器执行所述第一计算机程序，实现实施例一中广播端执行的各个步骤，所述第二处理器执行所述第二计算机程序时实现实施例一中接收端执行的各个步骤。

综上所述，本发明提供了一种广播加密方法及系统，设置统一的会话密钥，并将目标接收端集合分解生成广播密文头，而不是将整个目标接收端集合放入广播密文中，通过设置统一的会话密钥对待加密的广播消息进行加密，而不是分别使用各个接收端的公钥对所述待加密的广播消息进行加密，加速了加密过程，计算量不会随着接收端的增加而增加，并且即使接收端的数量增加，也只需要获得会话密钥解密广播密文主体，不会增加广播密文主体的长度，使解密代价固定；同时，隐式输入接收端公钥，并将目标接收端集合分解，并且分解后的目标接收端集合中目标接收端的ID并不直接出现在最后的密文中，而是进行哈希运算之后作为验证接收端是否为目标接收端的标识，即使密文被截获或者破解，也无法获取具体的ID值，从而无法获取目标接收端集合中具体的接收端有哪些，实现了目标接收端在目标接收端集合中互相的匿名以及对目标接收端集合外的匿名，并且，目标接收端可以根据这种标识确认自身是否在目标接收端集合中，若否，则无需对广播密文主体进行解密，大大提高了解密效率，即在减小计算开销、提高解密效率的同时，保证了目标接收端的匿名性。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等同变换，或直接或间接运用在相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种广播加密方法，其特征在于，包括步骤：

S1、广播端接收证书中心生成的系统公开参数及接收端的公钥；

S2、所述广播端根据所述系统公开参数生成会话密钥，使用所述会话密钥加密需广播的消息，生成广播密文主体；

S3、所述广播端接收所述接收端中的目标接收端集合并分解，根据所述分解后的目标接收端集合、所述会话密钥和所述接收端的公钥，生成广播密文头；

S4、所述广播端广播包括所述广播密文主体及广播密文头的广播密文；

S5、所述接收端接收所述广播端广播的广播密文，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理。

2.根据权利要求1所述的一种广播加密方法，其特征在于，所述步骤S1中所述系统公开参数由证书中心根据安全参数λ生成：

params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}；

其中，params表示所述系统公开参数，G和G_T为两个乘法循环群，所述乘法循环群的群阶为λ比特的素数p，e:G×G→G_T是一个双线性群；g为所述乘法循环群G的一个生成元，随机选取

计算g₁＝g^α，g_T＝e(g,g)，其中

表示集合{1,2,...,p-1}；H₁，H₂，H₃，H₄，H₅为五个抗碰撞哈希函数；l表示待加密的广播消息比特位数，w表示一个随机正整数；

所述接收端的公钥

其中，

作为其私钥SK_i；

其中，i表示一接收端。

3.根据权利要求2所述的一种广播加密方法，其特征在于，所述步骤S2具体为：

读取所述系统公开参数params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}；

随机选取K∈G_T，作为会话密钥；

广播密文主体

其中，M为待加密的广播消息。

4.根据权利要求3所述的一种广播加密方法，其特征在于，所述步骤S3具体为：

接收所述目标接收者集合S＝{ID₁,ID₂,...ID_n}，并按照所述ID分解；

根据所述会话密钥K，计算r＝H₃(M,K)；

根据所述接收端的公钥，计算Q_k＝H₁(ID_k,PK_k)，R_k＝H₂(ID_k,PK_k,g₁)；

根据所述Q_k、R_k及所述r，计算C₀＝g^r，及x_k＝e(g₁,Q_k)^-r·e(PK_k,R_k)^-r；

上式中，k表示目标接收端集合中的一终端，ID_k表示所述一终端的ID标识，n表示目标接收端集合S中接收端的总数，PK_k表示所述一终端的公钥；

设置C_1k＝(C_{1k_1},C_{1k_2})，其中，C_{1k_1}＝H₄(x_k)，C_{1k_2}＝K·x_k；

根据上式生成广播密文头Hdr＝(C₀,C₁₁,C₁₂,...,C_1n)。

5.根据权利要求4所述的一种广播加密方法，其特征在于，所述步骤S5中所述根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理，具体为：

S51、计算

其中，Cert_i表示一接收端的证书，SK_i表示一接收端的公钥对应的私钥；

S52、读取所述广播密文头，根据所述x_i'计算H₄(x_i')，查找所述广播密文头中是否存在H₄(x_i')，若是，则表示所述一接收端i即为目标接收端集合中的一终端k，即H₄(x_k')＝H₄(x_i')，进行步骤S53，否则停止解密过程；

S53、根据所述H₄(x_k')，及C_{1k_1}＝H₄(x′_k)，C_1k＝(C_{1k_1},C_{1k_2})，在广播密文头中定位C_1k；

计算

所述K′为解密获得的会话密钥；

读取所述广播密文主体C₂，计算

所述M′为解密获得的广播消息。

6.一种广播加密系统，包括广播端和接收端，所述广播端包括第一存储器、第一处理器及存储在第一存储器上并可在所述第一处理器上运行的第一计算机程序，所述接收端包括第二存储器、第二处理器及存储在第二存储器上并可在所述第二处理器上运行的第二计算机程序，其特征在于，所述第一处理器执行所述第一计算机程序时实现以下步骤：

S1、接收证书中心生成的系统公开参数及接收端的公钥；

S2、根据所述系统公开参数生成会话密钥，使用所述会话密钥加密需广播的消息，生成广播密文主体；

S3、接收所述接收端中的目标接收端集合并分解，根据所述分解后的目标接收端集合、所述会话密钥和所述接收端的公钥，生成广播密文头；

S4、广播包括所述广播密文主体及广播密文头的广播密文；

所述第二处理器执行所述第二计算机程序时实现以下步骤：

S11、发送接收端的公钥给所述广播端；

S5、接收所述广播端广播的广播密文，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理。

7.根据权利要求6所述的一种广播加密系统，其特征在于，所述步骤S1中所述系统公开参数由证书中心根据安全参数λ生成：

params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}；

其中，params表示所述系统公开参数，G和G_T为两个乘法循环群，所述乘法循环群的群阶为λ比特的素数p，e:G×G→G_T是一个双线性群；g为所述乘法循环群G的一个生成元，随机选取

计算g₁＝g^α，g_T＝e(g,g)，其中

表示集合{1,2,...,p-1}；H₁，H₂，H₃，H₄，H₅为五个抗碰撞哈希函数；l表示待加密的广播消息比特位数，w表示一个随机正整数；

所述接收端的公钥

其中，

作为其私钥SK_i；

其中，i表示一接收端。

8.根据权利要求7所述的一种广播加密系统，其特征在于，所述步骤S2具体为：

读取所述系统公开参数params＝{p,G,G_T,e,g₁,g_T,H₁,H₂,H₃,H₄,H₅,l,w}；

随机选取K∈G_T，作为会话密钥；

广播密文主体

其中，M为待加密的广播消息。

9.根据权利要求8所述的一种广播加密系统，其特征在于，所述步骤S3具体为：

接收所述目标接收者集合S＝{ID₁,ID₂,...ID_n}，并按照所述ID分解；

根据所述会话密钥K，计算r＝H₃(M,K)；

根据所述接收端的公钥，计算Q_k＝H₁(ID_k,PK_k)，R_k＝H₂(ID_k,PK_k,g₁)；

根据所述Q_k、R_k及所述r，计算C₀＝g^r，及x_k＝e(g₁,Q_k)^-r·e(PK_k,R_k)^-r；

上式中，k表示目标接收端集合中的一终端，ID_k表示所述一终端的ID标识，n表示目标接收端集合S中接收端的总数，PK_k表示所述一终端的公钥；

设置C_1k＝(C_{1k_1},C_{1k_2})，其中，C_{1k_1}＝H₄(x_k)，C_{1k_2}＝K·x_k；

根据上式生成广播密文头Hdr＝(C₀,C₁₁,C₁₂,...,C_1n)。

10.根据权利要求9所述的一种广播加密系统，其特征在于，所述步骤S5中所述根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理，具体为：

S51、计算

其中，Cert_i表示一接收端的证书，SK_i表示一接收端的公钥对应的私钥；

S52、读取所述广播密文头，根据所述x_i'计算H₄(x_i')，查找所述广播密文头中是否存在H₄(x_i')，若是，则表示所述一接收端i即为目标接收端集合中的一终端k，即H₄(x_k')＝H₄(x_i')，进行步骤S53，否则停止解密过程；

S53、根据所述H₄(x_k')，及C_{1k_1}＝H₄(x′_k)，C_1k＝(C_{1k_1},C_{1k_2})，在广播密文头中定位C_1k；

计算

所述K′为解密获得的会话密钥；

读取所述广播密文主体C₂，计算

所述M′为解密获得的广播消息。

Images