CN111934887A - 基于插值多项式的多接受者签密方法 - Google Patents

Abstract

本发明提出了基于插值多项式的多接受者签密方法，旨在降低签密过程的计算量和密钥生成过程的通信成本，实现步骤为：初始化参数；每个用户向密钥生成中心发送身份标识；密钥生成中心生成每个用户的部分公私钥；每个用户对密钥生成中心发送的的合法性进行验证；建立拥有完整公私钥用户的集合；发送者获取密文信息并发送；每个接受者通过密文信息获取签密结果。本发明可用于网络广播签密场景。

Description

基于插值多项式的多接受者签密方法

技术领域

本发明属于信息安全技术领域，涉及一种无证书的多接受者签密方法，具体涉及一种基于插值多项式的多接受者签密方法，可用于网络安全广播和安全组播。

背景技术

签密方法是指消息发送者对明文信息同时进行签名和加密，而消息接受者对明文信息进行解密以获取明文信息。

签密方法分为一对一签密和多对一签密方法两类，多对一签密即多接受者签密方法，多接受者签密方法是指签密者，即消息发送者，利用自己的私钥对明文信息进行签密，而每一个授权的解密者，即消息接收者，可以利用自己的私钥对签密密文进行解密以获取明文信息，相比于一对一的签密，多接收者签密能够仅通过一次签密操作完成对多个接收者安全地发送同一消息，保证安全性的同时，提高了签密效率，因此特别适合网络安全广播和安全组播等业务。

多接受者签密方法主要分为有证书的多接受者签密方法和无证书的多接受者签密方法两大类，其中，无证书的多接受者签密方法的主要思想是，用户的公私钥由密钥生成中心KGC和用户共同生成，用户不完全依赖密钥生成中心KGC，与有证书的多接受者签密方法相比，无证书的多接受者签密方法中的密钥管理可以得到适当简化。

在网络安全广播场景下，签密方法需要考虑安全性和签密效率两方面，安全性与密文在传递过程中被破解的时间复杂度有关，签密效率与生成密文和解密密文时的计算量和计算复杂度有关。郭会、邓伦治在2018年的贵州师范大学学报(自然科学版)第6期发表的名称为“一个基于双线性映射的无证书多接收者签密方案”的文章中，公开了一种基于双线性映射的无证书多接受者签密方法，在该方法中，仅仅在解密过程中需要3次双线性对运算，相比较其他的无证书多接受者签密方法，该方法运算量更低，更具实用价值。但该方法还是有不足之处：在解密过程中采用双线性对的计算量和计算复杂度很高,导致解密过程计算效率较低。

发明内容

本发明的目的在于克服上述现有技术存在的缺陷，提出了一种基于插值多项式的多接受者签密方法，旨在保证安全性的前提下，降低加解密过程的计算量。

为实现上述目的，本发明采取的技术方案包括如下步骤：

(1)初始化参数：

(1a)初始化包括n个用户的用户集合R＝{R₁,R₂,...,R_i,...R_n}，其中R_i表示第i个用户，n≥3；

(1b)初始化阶数为大素数q生成元为P的加法循环群G_q、阶数为大素数q的非零乘法群

哈希函数

和哈希函数

其中，q≥2¹⁹¹，l表示明文m的长度；

(1c)从非零乘法群

中随机选择元素s作为密钥生成中心KGC的主密钥并秘密保存，并根据s和P计算密钥生成中心KGC的主公钥P_pub，P_pub＝sP，然后将q、G_q、

P、H₁、H₂和P_pub进行组合，得到密钥生成中心KGC的参数

(2)每个用户R_i向密钥生成中心KGC发送身份标识：

每个用户R_i生成自己的身份标识(ID_i,Q_i)，并发送给密钥生成中心KGC，其中ID_i和Q_i分别表示R_i的第一身份标识和第二身份标识；

(3)密钥生成中心KGC生成每个用户R_i的部分公私钥(U_i,d_i)：

密钥生成中心KGC生成每个用户R_i的部分公私钥(U_i,d_i)，并将(U_i,d_i)发送给每个用户R_i；

(4)每个用户R_i对密钥生成中心KGC发送的(U_i,d_i)的合法性进行验证：

每个用户R_i判断d_iP＝U_i+P_pubH₁(ID_i,Q_i,U_i)是否成立，若是，对Q_i与U_i，以及r_i与d_i分别进行拼接，得到自己的完整公钥(Q_i,U_i)和完整私钥(r_i,d_i)，否则，(U_i,d_i)不合法；

(5)建立拥有完整公私钥用户的集合S：

将经过步骤(4)验证的拥有完整公钥和私钥的用户组合为合法用户集合S，S＝{S₁,S₂,...,S_i,..S_k},并将其中任意一个合法用户S_x作为发送者，将其余k-1个合法用户S'＝{S₁,S₂,...,S_y,S_k-1}作为接受者，其中3≤k≤n，y∈[1,k-1],y≠x；

(6)发送者S_x获取密文信息σ并发送：

(6a)发送者S_x从非零乘法群

随机选择元素t_x，并通过t_x和生成元P计算S_x的签密参数T_x＝t_xP；

(6b)发送者S_x向每个接受者S_y请求公钥(Q_y,U_y)和第一身份标识ID_y，并通过(Q_y,U_y)和第一身份标识ID_y，以及S_x的私钥(r_x,d_x)、密钥生成中心KGC的公钥P_pub，计算S_y的签密参数V_y：

V_y＝t_x(r_x+d_x)(Q_y+U_y+[H₁(ID_y,Q_y,U_y)]P_pub)；

(6c)发送者S_x从非零乘法群

随机选择元素θ_x作为秘密值，构建插值多项式f(u)：

其中，b_y＝H₁(ID_y,V_y,T_x)；

(6d)发送者S_x对明文m进行签密，得到密文λ_x，

(6e)发送者S_x通过自己的第一身份标识ID_x和公钥(Q_x,U_x)，计算自己的签名Y_x：

Y_x＝t_x(Q_x+U_x+[H₁(ID_x,Q_x,U_x)]P_pub)；

(6f)发送者S_x通过私钥(r_x,d_x)、签密参数T_x、密文λ_x和签名Y_x，计算自己的密文有效性参数h_x：

h_x＝H₁(λ_x,T_x,Y_x)+r_x+d_x；

(6g)发送者S_x将密文λ_x、多项式f、签密参数T_x、签名Y_x、密文有效性参数h_x，第一身份标识ID_x和公钥(Q_x,U_x)的组合作为密文信息σ发送给每个接受者S_y；

(7)每个接受者S_y通过密文信息σ获取签密结果：

(7a)每个接受者S_y通过自己的私钥(r_y,d_y)和发送者S_x的签名Y_x，计算自己的签密参数V_y'＝Y_x(r_y+d_y)；

(7b)每个接受者S_y通过自己的第一身份标识ID_y、发送者S_x的签密参数T_x，以及步骤(7a)所计算的签密参数V_y'，计算b'_y＝H₁(ID_y,V_y',T_x)，并将b'_y作为多项式f(u)的自变量u求解秘密值θ_x；

(7c)每个接受者S_y通过秘密值θ_x对密文λ_x进行解密，得到λ_x对应的明文m′，

并验证h_xP＝H₁(λ_x,T_x,Y_x)P+Q_x+U_x+P_pubH₁(ID_x,Q_x,U_x)是否成立，若是，则m'即为m，接受m'，否则，拒绝接受。

本发明与现有技术相比，具有如下优点：

本发明在加解密过程使用插值多项式中的点乘运算，解决了加密过程和解密过程中采用双线性对运算导致的计算效率低的问题，相比于双线性对运算，计算量和计算困难程度显著降低；而且在加密过程通过构建插值多项式来保护每个接受者的隐私信息，每一个接受者接收相同的密文信息，保证接受者的匿名性与解密公平性；

附图说明

图1为本发明的实现流程图。

具体实施方式

以下结合附图和具体实施例，对本发明作进一步详细描述。

参照图1，本发明包括以下步骤：

步骤1)初始化参数：

步骤1a)初始化包括n个用户的用户集合R＝{R₁,R₂,...,R_i,...R_n}，其中R_i表示第i个用户，n≥3，集合R中包括一个发送者和多个接受者；

步骤1b)初始化阶数为大素数q生成元为P的加法循环群G_q、阶数为大素数q的非零乘法群

哈希函数

和哈希函数

其中，q≥2¹⁹¹，哈希函数H₁表示将任意长度的比特串和加法循环群G_q中的元素的乘积映射为非零乘法群

中的元素，哈希函数H₂表示将非零乘法群

中的元素映射为长度为l的比特串；

步骤1c)从非零乘法群

中随机选择元素s作为密钥生成中心KGC的主密钥并秘密保存，并根据s和P计算密钥生成中心KGC的主公钥P_pub，P_pub＝sP，然后将q、G_q、

P、H₁、H₂和P_pub进行组合，得到密钥生成中心KGC的参数

步骤2)每个用户R_i向密钥生成中心KGC发送身份标识(ID_i,Q_i)：

步骤2a)每个用户R_i从加法循环群G_q随机选择元素ID_i作为自己的第一身份标识，同时从非零乘法群

随机选择元素r_i，并将r_i和P的乘积作为自己的第二身份标识Q_i，Q_i＝r_iP；

步骤2b)每个用户R_i对ID_i与Q_i进行拼接，并将拼接结果(ID_i,Q_i)作为自己的身份标识发送给密钥生成中心KGC；

步骤3)密钥生成中心KGC生成每个用户R_i的部分公私钥(U_i,d_i)：

步骤3a)密钥生成中心KGC从非零乘法群

随机选择元素u_i，并通过u_i和生成元P计算每个用户R_i的部分公钥U_i，U_i＝u_iP，然后从非零乘法群

随机选择元素s_i，并通过每个用户R_i的身份标识(ID_i,Q_i)和部分公钥U_i，计算每个用户R_i的部分私钥d_i＝u_i+[H₁(ID_i,Q_i,U_i)]s_i；

步骤3b)密钥生成中心KGC对U_i与d_i进行拼接，得到用户R_i的部分公私钥(U_i,d_i)并将(U_i,d_i)发送给每个用户R_i；

步骤4)每个用户R_i对密钥生成中心KGC发送的(U_i,d_i)的合法性进行验证：

每个用户R_i判断d_iP＝U_i+P_pubH₁(ID_i,Q_i,U_i)是否成立，若是，对Q_i与U_i，以及r_i与d_i分别进行拼接，得到自己的完整公钥(Q_i,U_i)和完整私钥(r_i,d_i)，否则，(U_i,d_i)不合法；用户接收密钥生成中心KGC生成的(U_i,d_i)，不需要借助安全通道，只需对(U_i,d_i)的合法性进行验证，减少了通信成本；

步骤5)建立拥有完整公私钥用户的集合S：

密文加解密过程只在合法用户之间进行，需要建立合法用户集合。将经过步骤(4)验证的拥有完整公钥和私钥的用户组合为合法用户集合S，S＝{S₁,S₂,...,S_i,..S_k},并将其中任意一个合法用户S_x作为发送者，将其余k-1个合法用户S'＝{S₁,S₂,...,S_y,S_k-1}作为接受者，其中3≤k≤n，y∈[1,k-1],y≠x,这里限制集合S'包括一个发送者和多个接受者；

步骤6)发送者S_x获取密文信息σ并发送：

步骤6a)发送者S_x从非零乘法群

随机选择元素t_x，并通过t_x和生成元P计算S_x的签密参数T_x＝t_xP；

步骤6b)发送者S_x向每个接受者S_y请求公钥(Q_y,U_y)和第一身份标识ID_y，并通过(Q_y,U_y)和第一身份标识ID_y，以及S_x的私钥(r_x,d_x)、密钥生成中心KGC的公钥P_pub，计算S_y的签密参数V_y：

V_y＝t_x(r_x+d_x)(Q_y+U_y+[H₁(ID_y,Q_y,U_y)]P_pub)，

签密参数V_j的生成采用了点乘运算，相比于双线性对运算，计算量和计算困难程度显著降低，提高了签密速度；

步骤6c)发送者S_x从非零乘法群

随机选择元素θ_x作为秘密值，构建插值多项式f(u)：

其中，b_y＝H₁(ID_y,V_y,T_x)；

通过构建插值多项式来保护每个接受者的隐私信息，每一个接受者接收相同的密文信息，保证接受者的匿名性，同时每一个接受者都可以通过自己的私钥解密密文，保证接受者的解密公平性；

步骤6d)发送者S_x对通过哈希运算和异或运算对明文m进行加密，得到密文λ_x，

步骤6e)发送者S_x通过自己的第一身份标识ID_x和公钥(Q_x,U_x)，计算自己的签名Y_x：

Y_x＝t_x(Q_x+U_x+[H₁(ID_x,Q_x,U_x)]P_pub)，签名Y_x可用来公开验证发送者的身份；

步骤6f)发送者S_x通过私钥(r_x,d_x)、签密参数T_x、密文λ_x和签名Y_x，运用哈希运算，计算自己的密文有效性参数h_x：

h_x＝H₁(λ_x,T_x,Y_x)+r_x+d_x；

步骤6g)发送者S_x将密文λ_x、多项式f、签密参数T_x、签名Y_x、密文有效性参数h_x，第一身份标识ID_x和公钥(Q_x,U_x)的组合作为密文信息σ发送给每个接受者S_y；

步骤7)每个接受者S_y通过密文信息σ获取签密结果：

步骤7a)每个接受者S_y通过自己的私钥(r_y,d_y)和发送者S_x的签名Y_x，通过点乘运算，计算自己的签密参数V′_y＝Y_x(r_y+d_y)；

步骤7b)每个接受者S_y通过自己的第一身份标识ID_y、发送者S_x的签密参数T_x，以及步骤(7a)所计算的签密参数V′_y，计算b′_y＝H₁(ID_y,V′_y,T_x)，并将b'_y作为多项式f(u)的自变量u求解秘密值θ_x，用来解密密文λ_x；

步骤7c)每个接受者S_y通过秘密值θ_x对密文λ_x进行解密，得到λ_x对应的明文m'，

验证h_xP＝H₁(λ_x,T_x,Y_x)P+Q_x+U_x+P_pubH₁(ID_x,Q_x,U_x)是否成立，若是，则m'即为m，接受m'，否则，拒绝接受；签密参数V_j'的生成和明文m的合法性验证采用了点乘运算，相比于双线性对运算，计算量和计算困难程度显著降低，提高了解密速度。

Claims (3)

1.一种基于插值多项式的多接受者签密方法，其特征在于，包括以下步骤：

(1)初始化参数：

(1a)初始化包括n个用户的用户集合R＝{R₁,R₂,...,R_i,...R_n}，其中R_i表示第i个用户，n≥3；

(1b)初始化阶数为大素数q生成元为P的加法循环群G_q、阶数为大素数q的非零乘法群

哈希函数

和哈希函数

其中，q≥2¹⁹¹，l表示明文m的长度；

(1c)从非零乘法群

中随机选择元素s作为密钥生成中心KGC的主密钥并秘密保存，并根据s和P计算密钥生成中心KGC的主公钥P_pub，P_pub＝sP，然后将q、G_q、

P、H₁、H₂和P_pub进行组合，得到密钥生成中心KGC的参数

(2)每个用户R_i向密钥生成中心KGC发送身份标识：

每个用户R_i生成自己的身份标识(ID_i,Q_i)，并发送给密钥生成中心KGC，其中ID_i和Q_i分别表示R_i的第一身份标识和第二身份标识；

(3)密钥生成中心KGC生成每个用户R_i的部分公私钥(U_i,d_i)：

密钥生成中心KGC生成每个用户R_i的部分公私钥(U_i,d_i)，并将(U_i,d_i)发送给每个用户R_i；

(4)每个用户R_i对密钥生成中心KGC发送的(U_i,d_i)的合法性进行验证：

每个用户R_i判断d_iP＝U_i+P_pubH₁(ID_i,Q_i,U_i)是否成立，若是，对Q_i与U_i，以及r_i与d_i分别进行拼接，得到自己的完整公钥(Q_i,U_i)和完整私钥(r_i,d_i)，否则，(U_i,d_i)不合法；

(5)建立拥有完整公私钥用户的集合S：

将经过步骤(4)验证的拥有完整公钥和私钥的用户组合为合法用户集合S，S＝{S₁,S₂,...,S_i,..S_k},并将其中任意一个合法用户S_x作为发送者，将其余k-1个合法用户S'＝{S₁,S₂,...,S_y,S_k-1}作为接受者，其中3≤k≤n，y∈[1,k-1],y≠x；

(6)发送者S_x获取密文信息σ并发送：

(6a)发送者S_x从非零乘法群

随机选择元素t_x，并通过t_x和生成元P计算S_x的签密参数T_x＝t_xP；

(6b)发送者S_x向每个接受者S_y请求公钥(Q_y,U_y)和第一身份标识ID_y，并通过(Q_y,U_y)和第一身份标识ID_y，以及S_x的私钥(r_x,d_x)、密钥生成中心KGC的公钥P_pub，计算S_y的签密参数V_y：

V_y＝t_x(r_x+d_x)(Q_y+U_y+[H₁(ID_y,Q_y,U_y)]P_pub)；

(6c)发送者S_x从非零乘法群

随机选择元素θ_x作为秘密值，构建插值多项式f(u)：

其中，b_y＝H₁(ID_y,V_y,T_x)；

(6d)发送者S_x对明文m进行签密，得到密文λ_x，

(6e)发送者S_x通过自己的第一身份标识ID_x和公钥(Q_x,U_x)，计算自己的签名Y_x：

Y_x＝t_x(Q_x+U_x+[H₁(ID_x,Q_x,U_x)]P_pub)；

(6f)发送者S_x通过私钥(r_x,d_x)、签密参数T_x、密文λ_x和签名Y_x，计算自己的密文有效性参数h_x：

h_x＝H₁(λ_x,T_x,Y_x)+r_x+d_x；

(6g)发送者S_x将密文λ_x、多项式f、签密参数T_x、签名Y_x、密文有效性参数h_x，第一身份标识ID_x和公钥(Q_x,U_x)的组合作为密文信息σ发送给每个接受者S_y；

(7)每个接受者S_y通过密文信息σ获取签密结果：

(7a)每个接受者S_y通过自己的私钥(r_y,d_y)和发送者S_x的签名Y_x，计算自己的签密参数V′_y＝Y_x(r_y+d_y)；

(7b)每个接受者S_y通过自己的第一身份标识ID_y、发送者S_x的签密参数T_x，以及步骤(7a)所计算的签密参数V′_y，计算b′_y＝H₁(ID_y,V′_y,T_x)，并将b′_y作为多项式f(u)的自变量u求解秘密值θ_x；

(7c)每个接受者S_y通过秘密值θ_x对密文λ_x进行解密，得到λ_x对应的明文m′，

并验证h_xP＝H₁(λ_x,T_x,Y_x)P+Q_x+U_x+P_pubH₁(ID_x,Q_x,U_x)是否成立，若是，则m'即为m，接受m'，否则，拒绝接受。

2.根据权利要求1所述的基于插值多项式的多接受者签密方法，其特征在于，步骤(2)所述的每个用户R_i生成自己的身份标识(ID_i,Q_i)，实现步骤为：

(2a)每个用户R_i从加法循环群G_q随机选择元素ID_i作为自己的第一身份标识，同时从非零乘法群

随机选择元素r_i，并将r_i和P的乘积作为自己的第二身份标识Q_i，Q_i＝r_iP；

(2b)每个用户R_i对ID_i与Q_i进行拼接，并将拼接结果(ID_i,Q_i)作为自己的身份标识。

3.根据权利要求1所述的基于插值多项式的多接受者签密方法，其特征在于，步骤(3)所述的密钥生成中心KGC生成用户R_i的部分公私钥(U_i,d_i)，实现步骤为：

(3a)密钥生成中心KGC从非零乘法群

随机选择元素u_i，并通过u_i和生成元P计算每个用户R_i的部分公钥U_i，U_i＝u_iP，然后从非零乘法群

随机选择元素s_i，并通过每个用户R_i的身份标识(ID_i,Q_i)和部分公钥U_i，计算每个用户R_i的部分私钥d_i＝u_i+[H₁(ID_i,Q_i,U_i)]s_i；

(3b)密钥生成中心KGC对U_i与d_i进行拼接，得到用户R_i的部分公私钥(U_i,d_i)。

Images