CN112152803A - 一种多接收者密文可搜索的基于身份加密方法和系统 - Google Patents

Abstract

本发明公开了一种多接收者密文可搜索的基于身份加密方法和系统，所述方法包括生成系统的全局公开参数和主密钥、生成实体的私钥、生成索引密文、生成搜索陷门和匹配测试的步骤。本发明还提供了一种多接收者密文可搜索的基于身份加密系统，包括系统初始化模块、实体私钥生成模块、索引密文生成模块、搜索陷门生成模块和匹配测试模块。本发明所述技术方案不仅能支持多接收者密文搜索的功能，减少了通信和计算的代价，而且能有效抵抗针对搜索陷门的关键词猜测攻击，达到保护接收者隐私的目的。

Description

一种多接收者密文可搜索的基于身份加密方法和系统

技术领域

本发明涉及信息安全中的数据加密技术领域，特别是一种多接收者密文可搜索的基于身份加密方法和系统。

背景技术

为解决加密数据检索的难题，Song等人在2000年提出了可搜索加密的技术。这一新型密码技术克服了传统加密技术无法对密文直接检索的缺陷，迅速引起密码学界的关注和研究。然而，Song等人所提出的可搜索加密基于对称密码体制，因此存在密钥管理和密钥分发问题。2004年，Boneh等人首次提出可搜索公钥加密方法。该方法使得用户可以授权不可信的密文存储服务器检测发送给他的且以其公钥加密的密文中是否包含有特定的关键词。可搜索公钥加密方法实现密文检索的基本思想如下：密文发送者使用接收者的公钥加密与数据密文相关联的关键词生成索引密文，并将之附加在数据密文上一并发送给密文存储服务器；接收者使用自己的私钥生成待搜索关键词的搜索陷门，并将之发送给密文存储服务器；收到搜索陷门后，密文存储服务器使用它对发送给接收者的数据密文上所附加的索引密文进行测试，然后将所有匹配的数据密文发送给接收者；接收到数据密文后，接收者使用自己的私钥解密数据密文即可获得包含有所搜索关键词的数据信息。Boneh等人所提出的可搜索公钥加密方法有效解决了公钥密码系统中密文检索的问题，但由于基于传统的公钥密码体制，需要使用公钥证书认证用户公钥的真实性，因此存在复杂的证书管理问题以及证书状态的第三方询问问题。

1984年，Shamir等人提出了基于身份密码体制的概念。在基于身份密码系统中，用户的公钥是唯一标识该用户的身份，如身份证号、邮箱地址、手机号等。而用户的私钥则由一个可信第三方——私钥生成中心根据用户的身份信息来生成。由于用户的身份即为其公钥，不需要使用公钥证书解决用户公钥与其身份的绑定问题，因此有效克服了证书管理产生的一系列问题。2008年，Abdalla等人结合基于身份密码体制和可搜索公钥加密，首次提出了可搜索基于身份加密的方法，克服了传统可搜索公钥加密方法中存在的证书问题。但是，已有方法存在如下两点不足。首先，仅支持单一接收者。在实际应用中，经常需要将相同的数据信息分发给多个用户。如果使用单一接收者的可搜索基于身份加密方法，发送方需要针对每一个接收者生成并发送密文。显然，这会产生高昂的计算和通信代价。其次，易遭受关键词猜测攻击。已有方法使用接收者的身份加密关键词产生索引密文，这使得攻击者能够生成其猜测的关键词的索引密文并通过匹配测试算法揭露任意给定搜索陷门中关键词信息，从而造成接收者的搜索信息的泄露，损坏接收者的隐私。

发明内容

发明目的：本发明所要解决的技术问题是克服现有技术的不足而提供一种多接收者密文可搜索的基于身份加密方法和系统，本发明所提出的多接收者密文可搜索的基于身份加密方法不仅支持多接收者密文搜索的功能，显著降低计算代价和通信代价，提高系统的实用性，而且能够有效抵抗关键词猜测攻击问题，有效保护搜索者的隐私。

本发明为解决上述技术问题采用以下技术方案：一种多接收者密文可搜索的基于身份加密方法，所述方法包含以下步骤：

步骤A、根据安全参数，密钥生成中心生成系统的全局参数集和主秘密钥；

步骤B、根据系统的全局参数集、系统的主秘密钥和实体的身份标识，密钥生成中心生成实体的私钥，实体包括发送者和接收者；

步骤C、根据系统的全局参数集、发送者的私钥、多个接收者的身份标识和一个与待发送数据密文相关联的关键词，发送者生成索引密文，并将之附加在待发送数据密文后；

步骤D、根据系统的全局参数集、发送者的身份标识、接收者的私钥和待搜索的关键词，接收者生成搜索陷门；

步骤E、根据系统的全局参数集、索引密文和搜索陷门，密文存储服务器测试索引密文和搜索陷门是否匹配，即测试索引密文和搜索陷门所包含的关键词是否相同，若索引密文和搜索陷门匹配成功，密文存储服务器将该索引密文对应的数据密文发送给接收者；否则，密文存储服务器忽略该索引密文对应的数据密文。

进一步的，所述步骤A的详细步骤如下：

步骤A.1、密钥生成中心根据安全参数λ∈Z⁺生成一个λ比特的素数q，一个q阶加法循环群G和一个q阶乘法循环群G_T，并定义一个双线性映射f_bp:G×G→G_T，其中Z⁺为正整数集合，f_bp:G×G→G_T是加法循环群G和自身的笛卡尔积G×G到乘法循环群 G_T的映射，即双线性映射f_bp:G×G→G_T是指函数z＝f_bp(x,y)，其中，x,y∈G为自变量，z∈G_T为因变量；

步骤A.2、从加法循环群G中选择一个生成元P，并随机选择选择一个整数

计算系统的主公钥P_pub＝αP，其中，集合

步骤A.3、定义四个哈希函数H₁:{0,1}^*→G，

其中，H₁是{0,1}^*到加法循环群G的哈希函数，H₂是{0,1}^*与乘法循环群G_T的笛卡尔积{0,1}^*×G_T到集合

的哈希函数，H₃是乘法循环群G_T到集合

的哈希函数，H₄是两个加法循环群G和n+1个集合

的笛卡尔积

到集合

的哈希函数，{0,1}^*是长度不固定的二进制符号串的集合，n是接收者的数目；

步骤A.4、生成系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}和系统的主秘密钥msk＝α。

进一步的，所述步骤B的详细步骤如下：根据系统的全局参数集 prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}，系统的主秘密钥msk＝α和实体的身份标识 ID，私钥生成中心生成实体的私钥sk_ID＝αQ_ID，其中，Q_ID＝H₁(ID)为哈希函数H₁输出的身份标识ID的哈希值，将发送者的身份标识和私钥分别表示为ID_S和

n个接收者的身份标识和私钥分别表示为

进一步的，所述步骤C的详细步骤如下：

步骤C.1、根据系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}和n个接收者的身份标识{ID_R,1,ID_R,2,…,ID_R,n}，发送者根据自己的私钥

以及一个与待发送数据密文相关联的关键词w，随机选择两个整数

生成一个n次多项式

其中，

为多项式g(x)展开式的系数，

为哈希函数H₃输出的

和rP_pub的哈希值，

为哈希函数H₂输出的关键词w和双线性映射值

的哈希值，

为哈希函数H₁输出的第i个接收者的身份标识ID_R,i的哈希值，i∈{1,2,…,n}；

步骤C.2、计算索引密文的第一部分C₁＝rP和索引密文的第二部分

置索引密文的第三部分C₃＝(c₀,c₁,…,c_n-1)和第四部分C₄＝H₄(C₁,C₂,c₀,c₁,…,c_n-1,β)，其中，C₃＝(c₀,c₁,…,c_n-1)由多项式g(x)展开式的系数c₀,c₁,…,c_n-1构成，C₄＝H₄(C₁,C₂,c₀,c₁,…,c_n-1,β)是哈希函数H₄输出的C₁,C₂,c₀,c₁,…,c_n-1,β的哈希值；

步骤C.3、发送者组合C₁,C₂,C₃,C₄生成索引密文IC，即索引密文IC＝(C₁,C₂,C₃,C₄)由C₁,C₂,C₃,C₄四个部分构成，然后将之附加在数据密文上发送给密文存储服务器。

进一步的，所述步骤D的详细步骤如下：

步骤D.1、第i个接收者随机选择一个整数

计算搜索陷门的第一部分T₁＝tP，其中，i∈{1,2,…,n}；

步骤D.2、根据系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}，发送者的身份标识ID_S，第i个接收者的私钥

以及待搜索的关键词w′，第i个接收者计算搜索陷门的第二部分

其中，

为哈希函数H₁输出的发送者的身份标识ID_S的哈希值，

为哈希函数H₁输出的第i个接收者的身份标识ID_R,i的哈希值，

为哈希函数H₂输出的关键词w′和双线性映射值

的哈希值；

步骤D.3、第i个接收者组合T₁和T₂生成搜索陷门ST，即搜索陷门ST＝(T₁,T₂)由 T₁和T₂两个部分构成，然后发送给密文存储服务器。

进一步的，所述步骤E的详细步骤如下：

步骤E.1、根据系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}，索引密文IC＝(C₁,C₂,C₃,C₄)和搜索陷门ST＝(T₁,T₂)，密文存储服务器计算 v_i′＝H₃(f_bp(T₂,C₁)·f_bp(T₁,C₂))，并利用索引密文的第三部分C₃＝(c₀,c₁,…,c_n-1)重构多项式g(x)＝c₀+c₁x+...+c_n-1x^n-1+xⁿ，其中，v_i′＝H₃(f_bp(T₂,C₁)·f_bp(T₁,C₂))为哈希函数H₃输出的双线性映射值f_bp(T₂,C₁)和双线性映射值f_bp(T₁,C₂)乘积的哈希值；

步骤E.2、密文存储服务器计算β′＝g(v_i′)，检查等式C₄＝H₄(C₁,C₂,c₀,c₁,…,c_n-1,β′) 是否成立，如果等式成立，则表示索引密文和搜索陷门相匹配，将索引密文IC对应的数据密文发送给接收者；否则，匹配测试失败，忽略该索引密文IC。

本发明还提出一种多接收者密文可搜索的基于身份加密系统，包括系统参数生成模块、实体私钥生成模块、关键词密文生成模块、关键词陷门生成模块和测试模块：

系统参数生成模块，用于根据输入的安全参数生成系统的全局参数集和主秘密钥；

实体私钥生成模块，用于根据所述系统的全局参数集、系统的主秘密钥和实体的身份标识，生成实体的私钥；

索引密文生成模块，用于根据所述系统的全局参数集、发送者的私钥、多个接收者的身份标识和一个与待发送数据密文相关联的关键词，生成索引密文；

搜索陷门生成模块，用于根据所述系统的全局参数集、发送者的身份标识、接收者的私钥和待搜索关键词，生成搜索陷门；

匹配测试模块，用于根据所述系统的全局参数集、索引密文和搜索陷门，测试索引密文和搜索陷门是否匹配，若索引密文和搜索陷门匹配成功，则将该索引密文对应的数据密文发送给接收者；否则，忽略该索引密文对应的数据密文。

有益效果：与现有技术相比，本发明的技术方案具有以下有益技术效果：

首先，由于该方法支持多接收者搜索功能，在计算代价和通信代价方面与现有密文可搜索的基于身份加密方法相比具有明显的优势，因此能极大地提高系统的运行效率。

其次，由于该方法在需要同时使用发送者的私钥和接收者的身份生成关键词的索引密文，因此攻击者无法产生其所猜测关键词的索引密文，进而无法对搜索陷门中的关键词发起有效的猜测攻击。因此，该方法能够有效抵抗关键词猜测攻击，保护接收者的搜索隐私。

附图说明

图1是本发明所述的多接收者密文可搜索的基于身份加密方法的流程图。

图2依照本发明所述的多接收者密文可搜索的基于身份加密系统执行的操作流程图。

图3是本发明所述的多接收者密文可搜索的基于身份加密系统的示意图。

具体实施方式

下面结合附图对本发明的技术方案做进一步的详细说明：

本发明所述多接收者密文可搜索的基于身份加密方法可利用双线性映射来实现，下面首先简要地介绍双线性映射的基本知识。

令q为素数，G为q阶加法循环群，G_T为q阶乘法循环群，P是加法循环群G的生成元。若定义在加法循环群G和乘法循环群G_T上的一个映射f_bp:G×G→G_T满足下面的三个性质，则称该映射为有效的双线性映射。其中，f_bp:G×G→G_T是加法循环群G 和自身的笛卡尔积G×G到乘法循环群G_T的映射，即双线性映射f_bp:G×G→G_T是指函数z＝f_bp(x,y)，其中x,y∈G为自变量，z∈G_T为因变量。

一个有效的双线性映射f_bp:G×G→G_T需满足以下三条性质：

(1)双线性：对于任意的

满足f_bp(mP,nP)＝f_bp(P,P)^mn；

(2)非退化性：

其中

表示乘法循环群G_T中的单位元；

(3)可计算性：对任意的

都存在一个算法有效的计算

其中，群和循环群的概念为：设G为群，如果存在一个元素P∈G使得G＝{nP|n∈Z}(或G＝{Pⁿ|n∈Z})，则称G为加法循环群(或乘法循环群)，称P是群G的生成元。若生成元P的阶为q(即q是使得P的幂等于群G的单位元的最小正整数)，则称G为q 阶循环群。此外，

其中Z_q是指整数模q的剩余类，即Z_q＝{0,1,…,q-1}。

根据以上双线性对的描述，下面结合附图和实现例对本发明提出的多接收者密文可搜索的基于身份加密方法作进一步说明，但并不作为对本发明的限定。

本发明所述方法涉及的实体如下：

(1)密钥生成中心：系统中唯一的可信第三方，负责生成系统的全局参数集和主秘密钥，以及所有其它实体(包括发送者和接收者)的私钥；

(2)密文存储服务器：负责存储系统中接收者的密文，并负责在收到接收者的搜索陷门后，对密文进行检索，将符合要求的密文发送给接收者；

(4)发送者：密文的发送实体，将待发送的数据加密成数据密文，然后将与数据相关联的关键词加密成索引密文并附加在数据密文上发送给密文存储服务器；

(5)接收者：密文的接收实体，生成待搜索关键词的搜索陷门并发送给密文存储服务器，授权密文存储服务器通过搜索陷门检索其接收到的密文。

参照图附图1和附图2，本发明所述方法的步骤具体描述如下：

一种多接收者密文可搜索的基于身份加密方法，所述方法包含以下步骤：

步骤A、根据安全参数，密钥生成中心生成系统的全局参数集和主秘密钥；

步骤B、根据系统的全局参数集、系统的主秘密钥和实体的身份标识，密钥生成中心生成实体的私钥，实体包括发送者和接收者；

步骤C、根据系统的全局参数集、发送者的私钥、多个接收者的身份标识和一个与待发送数据密文相关联的关键词，发送者生成索引密文，并将之附加在待发送数据密文后；

步骤D、根据系统的全局参数集、发送者的身份标识、接收者的私钥和待搜索的关键词，接收者生成搜索陷门；

步骤E、根据系统的全局参数集、索引密文和搜索陷门，密文存储服务器测试索引密文和搜索陷门是否匹配，即测试索引密文和搜索陷门所包含的关键词是否相同，若索引密文和搜索陷门匹配成功，密文存储服务器将该索引密文对应的数据密文发送给接收者；否则，密文存储服务器忽略该索引密文对应的数据密文。

进一步的，所述步骤A的详细步骤如下：

步骤A.1、密钥生成中心根据安全参数λ∈Z⁺生成一个λ比特的素数q，一个q阶加法循环群G和一个q阶乘法循环群G_T，并定义一个双线性映射f_bp:G×G→G_T，其中Z⁺为正整数集合，f_bp:G×G→G_T是加法循环群G和自身的笛卡尔积G×G到乘法循环群 G_T的映射，即双线性映射f_bp:G×G→G_T是指函数z＝f_bp(x,y)，其中，x,y∈G为自变量，z∈G_T为因变量；

步骤A.2、从加法循环群G中选择一个生成元P，并随机选择选择一个整数

计算系统的主公钥P_pub＝αP，其中，集合

步骤A.3、定义四个哈希函数H₁:{0,1}^*→G，

其中，H₁是{0,1}^*到加法循环群G的哈希函数，H₂是{0,1}^*与乘法循环群G_T的笛卡尔积{0,1}^*×G_T到集合

的哈希函数，H₃是乘法循环群G_T到集合

的哈希函数，H₄是两个加法循环群G和n+1个集合

的笛卡尔积

到集合

的哈希函数，{0,1}^*是长度不固定的二进制符号串的集合，n是接收者的数目；

步骤A.4、生成系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}和系统的主秘密钥msk＝α。

进一步的，所述步骤B的详细步骤如下：根据系统的全局参数集 prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}，系统的主秘密钥msk＝α和实体的身份标识 ID，私钥生成中心生成实体的私钥sk_ID＝αQ_ID，其中，Q_ID＝H₁(ID)为哈希函数H₁输出的身份标识ID的哈希值，将发送者的身份标识和私钥分别表示为ID_S和

n个接收者的身份标识和私钥分别表示为

进一步的，所述步骤C的详细步骤如下：

步骤C.1、根据系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}和n个接收者的身份标识{ID_R,1,ID_R,2,…,ID_R,n}，发送者根据自己的私钥

以及一个与待发送数据密文相关联的关键词w，随机选择两个整数

生成一个n次多项式

其中，

为多项式g(x)展开式的系数，

为哈希函数H₃输出的

和rP_pub的哈希值，

为哈希函数H₂输出的关键词w和双线性映射值

的哈希值，

为哈希函数H₁输出的第i个接收者的身份标识ID_R,i的哈希值，i∈{1,2,…,n}；

步骤C.2、计算索引密文的第一部分C₁＝rP和索引密文的第二部分

置索引密文的第三部分C₃＝(c₀,c₁,…,c_n-1)和第四部分C₄＝H₄(C₁,C₂,c₀,c₁,…,c_n-1,β)，其中，C₃＝(c₀,c₁,…,c_n-1)由多项式g(x)展开式的系数c₀,c₁,…,c_n-1构成，C₄＝H₄(C₁,C₂,c₀,c₁,…,c_n-1,β)是哈希函数H₄输出的C₁,C₂,c₀,c₁,…,c_n-1,β的哈希值；

步骤C.3、发送者组合C₁,C₂,C₃,C₄生成索引密文IC，即索引密文IC＝(C₁,C₂,C₃,C₄)由C₁,C₂,C₃,C₄四个部分构成，然后将之附加在数据密文上发送给密文存储服务器。

进一步的，所述步骤D的详细步骤如下：

步骤D.1、第i个接收者随机选择一个整数

计算搜索陷门的第一部分T₁＝tP，其中，i∈{1,2,…,n}；

步骤D.2、根据系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}，发送者的身份标识ID_S，第i个接收者的私钥

以及待搜索的关键词w′，第i个接收者计算搜索陷门的第二部分

其中，

为哈希函数H₁输出的发送者的身份标识ID_S的哈希值，

为哈希函数H₁输出的第i个接收者的身份标识ID_R,i的哈希值，

为哈希函数H₂输出的关键词w′和双线性映射值

的哈希值；

步骤D.3、第i个接收者组合T₁和T₂生成搜索陷门ST，即搜索陷门ST＝(T₁,T₂)由 T₁和T₂两个部分构成，然后发送给密文存储服务器。

进一步的，所述步骤E的详细步骤如下：

步骤E.1、根据系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}，索引密文IC＝(C₁,C₂,C₃,C₄)和搜索陷门ST＝(T₁,T₂)，密文存储服务器计算 v_i′＝H₃(f_bp(T₂,C₁)·f_bp(T₁,C₂))，并利用索引密文的第三部分C₃＝(c₀,c₁,…,c_n-1)重构多项式g(x)＝c₀+c₁x+...+c_n-1x^n-1+xⁿ，其中，v_i′＝H₃(f_bp(T₂,C₁)·f_bp(T₁,C₂))为哈希函数H₃输出的双线性映射值f_bp(T₂,C₁)和双线性映射值f_bp(T₁,C₂)乘积的哈希值；

步骤E.2、密文存储服务器计算β′＝g(v_i′)，检查等式C₄＝H₄(C₁,C₂,c₀,c₁,…,c_n-1,β′) 是否成立，如果等式成立，则表示索引密文和搜索陷门相匹配，将索引密文IC对应的数据密文发送给接收者；否则，匹配测试失败，忽略该索引密文IC。

参见附图3，本发明还提出一种多接收者密文可搜索的基于身份加密系统，包括系统参数生成模块、实体私钥生成模块、关键词密文生成模块、关键词陷门生成模块和测试模块：

系统参数生成模块，用于根据输入的安全参数生成系统的全局参数集和主秘密钥；

实体私钥生成模块，用于根据所述系统的全局参数集、系统的主秘密钥和实体的身份标识，生成实体的私钥；

索引密文生成模块，用于根据所述系统的全局参数集、发送者的私钥、多个接收者的身份标识和一个与待发送数据密文相关联的关键词，生成索引密文；

搜索陷门生成模块，用于根据所述系统的全局参数集、发送者的身份标识、接收者的私钥和待搜索关键词，生成搜索陷门；

匹配测试模块，用于根据所述系统的全局参数集、索引密文和搜索陷门，测试索引密文和搜索陷门是否匹配，若索引密文和搜索陷门匹配成功，则将该索引密文对应的数据密文发送给接收者；否则，忽略该索引密文对应的数据密文。

本技术领域技术人员可以理解的是，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

以上所述，仅是本发明的优选实施例，并非对本发明做任何形式上的限制，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围；凡是依据本发明的技术实质，对以上实施例所做出任何简单修改或同等变化，均落入本发明的保护范围之内。

Claims (7)

1.一种多接收者密文可搜索的基于身份加密方法，其特征在于，所述方法包含以下步骤：

步骤A、根据安全参数，密钥生成中心生成系统的全局参数集和主秘密钥；

步骤B、根据系统的全局参数集、系统的主秘密钥和实体的身份标识，密钥生成中心生成实体的私钥，实体包括发送者和接收者；

步骤C、根据系统的全局参数集、发送者的私钥、多个接收者的身份标识和一个与待发送数据密文相关联的关键词，发送者生成索引密文，并将之附加在待发送数据密文后；

步骤D、根据系统的全局参数集、发送者的身份标识、接收者的私钥和待搜索的关键词，接收者生成搜索陷门；

步骤E、根据系统的全局参数集、索引密文和搜索陷门，密文存储服务器测试索引密文和搜索陷门是否匹配，即测试索引密文和搜索陷门所包含的关键词是否相同，若索引密文和搜索陷门匹配成功，密文存储服务器将该索引密文对应的数据密文发送给接收者；否则，密文存储服务器忽略该索引密文对应的数据密文。

2.根据权利要求1所述的一种多接收者密文可搜索的基于身份加密方法，其特征在于，所述步骤A的详细步骤如下：

步骤A.1、密钥生成中心根据安全参数λ∈Z⁺生成一个λ比特的素数q，一个q阶加法循环群G和一个q阶乘法循环群G_T，并定义一个双线性映射f_bp:G×G→G_T，其中Z⁺为正整数集合，f_bp:G×G→G_T是加法循环群G和自身的笛卡尔积G×G到乘法循环群G_T的映射，即双线性映射f_bp:G×G→G_T是指函数z＝f_bp(x,y)，其中，x,y∈G为自变量，z∈G_T为因变量；

步骤A.2、从加法循环群G中选择一个生成元P，并随机选择选择一个整数

计算系统的主公钥P_pub＝αP，其中，集合

步骤A.3、定义四个哈希函数H₁:{0,1}^*→G，

其中，H₁是{0,1}^*到加法循环群G的哈希函数，H₂是{0,1}^*与乘法循环群G_T的笛卡尔积{0,1}^*×G_T到集合

的哈希函数，H₃是乘法循环群G_T到集合

的哈希函数，H₄是两个加法循环群G和n+1个集合

的笛卡尔积

到集合

的哈希函数，{0,1}^*是长度不固定的二进制符号串的集合，n是接收者的数目；

步骤A.4、生成系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}和系统的主秘密钥msk＝α。

3.根据权利要求2所述的一种多接收者密文可搜索的基于身份加密方法，其特征在于，所述步骤B的详细步骤如下：根据系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}，系统的主秘密钥msk＝α和实体的身份标识ID，私钥生成中心生成实体的私钥sk_ID＝αQ_ID，其中，Q_ID＝H₁(ID)为哈希函数H₁输出的身份标识ID的哈希值，将发送者的身份标识和私钥分别表示为ID_S和

n个接收者的身份标识和私钥分别表示为

4.根据权利要求3所述的一种多接收者密文可搜索的基于身份加密方法，其特征在于，所述步骤C的详细步骤如下：

步骤C.1、根据系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}和n个接收者的身份标识{ID_R,1,ID_R,2,…,ID_R,n}，发送者根据自己的私钥

以及一个与待发送数据密文相关联的关键词w，随机选择两个整数

生成一个n次多项式

其中，

为多项式g(x)展开式的系数，

为哈希函数H₃输出的

和rP_pub的哈希值，

为哈希函数H₂输出的关键词w和双线性映射值

的哈希值，

为哈希函数H₁输出的第i个接收者的身份标识ID_R,i的哈希值，i∈{1,2,…,n}；

步骤C.2、计算索引密文的第一部分C₁＝rP和索引密文的第二部分

置索引密文的第三部分C₃＝(c₀,c₁,…,c_n-1)和第四部分C₄＝H₄(C₁,C₂,c₀,c₁,…,c_n-1,β)，其中，C₃＝(c₀,c₁,…,c_n-1)由多项式g(x)展开式的系数c₀,c₁,…,c_n-1构成，C₄＝H₄(C₁,C₂,c₀,c₁,…,c_n-1,β)是哈希函数H₄输出的C₁,C₂,c₀,c₁,…,c_n-1,β的哈希值；

步骤C.3、发送者组合C₁,C₂,C₃,C₄生成索引密文IC，即索引密文IC＝(C₁,C₂,C₃,C₄)由C₁,C₂,C₃,C₄四个部分构成，然后将之附加在数据密文上发送给密文存储服务器。

5.根据权利要求4所述的一种多接收者密文可搜索的基于身份加密方法，其特征在于，所述步骤D的详细步骤如下：

步骤D.1、第i个接收者随机选择一个整数

计算搜索陷门的第一部分T₁＝tP，其中，i∈{1,2,…,n}；

步骤D.2、根据系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}，发送者的身份标识ID_S，第i个接收者的私钥

以及待搜索的关键词w′，第i个接收者计算搜索陷门的第二部分

其中，

为哈希函数H₁输出的发送者的身份标识ID_S的哈希值，

为哈希函数H₁输出的第i个接收者的身份标识ID_R,i的哈希值，

为哈希函数H₂输出的关键词w′和双线性映射值

的哈希值；

步骤D.3、第i个接收者组合T₁和T₂生成搜索陷门ST，即搜索陷门ST＝(T₁,T₂)由T₁和T₂两个部分构成，然后发送给密文存储服务器。

6.权利要求5中所述的一种多接收者密文可搜索的基于身份加密方法，其特征在于，所述步骤E的详细步骤如下：

步骤E.1、根据系统的全局参数集prms＝{q,G,G_T,f_bp,P,P_pub,H₁,H₂,H₃,H₄}，索引密文IC＝(C₁,C₂,C₃,C₄)和搜索陷门ST＝(T₁,T₂)，密文存储服务器计算v′_i＝H₃(f_bp(T₂,C₁)·f_bp(T₁,C₂))，并利用索引密文的第三部分C₃＝(c₀,c₁,…,c_n-1)重构多项式g(x)＝c₀+c₁x+...+c_n-1x^{n -1}+xⁿ，其中，v′_i＝H₃(f_bp(T₂,C₁)·f_bp(T₁,C₂))为哈希函数H₃输出的双线性映射值f_bp(T₂,C₁)和双线性映射值f_bp(T₁,C₂)乘积的哈希值；

步骤E.2、密文存储服务器计算β′＝g(v′_i)，检查等式C₄＝H₄(C₁,C₂,c₀,c₁,…,c_n-1,β′)是否成立，如果等式成立，则表示索引密文和搜索陷门相匹配，将索引密文IC对应的数据密文发送给接收者；否则，匹配测试失败，忽略该索引密文IC。

7.基于权利要求1所述的一种多接收者密文可搜索的基于身份加密系统，其特征在于，包括系统参数生成模块、实体私钥生成模块、关键词密文生成模块、关键词陷门生成模块和测试模块：

系统参数生成模块，用于根据输入的安全参数生成系统的全局参数集和主秘密钥；

实体私钥生成模块，用于根据所述系统的全局参数集、系统的主秘密钥和实体的身份标识，生成实体的私钥；

索引密文生成模块，用于根据所述系统的全局参数集、发送者的私钥、多个接收者的身份标识和一个与待发送数据密文相关联的关键词，生成索引密文；

搜索陷门生成模块，用于根据所述系统的全局参数集、发送者的身份标识、接收者的私钥和待搜索关键词，生成搜索陷门；

匹配测试模块，用于根据所述系统的全局参数集、索引密文和搜索陷门，测试索引密文和搜索陷门是否匹配，若索引密文和搜索陷门匹配成功，则将该索引密文对应的数据密文发送给接收者；否则，忽略该索引密文对应的数据密文。

Images