CN112260830B - 秘密共享机制下无证书门限签密方法 - Google Patents

Abstract

一种秘密共享机制下无证书门限签密方法，由系统初始化、确定用户公私钥、提取用户部分私钥、门限签密、解签密步骤组成。在门限签密步骤中采用了无证书门限加密和认证的方法，解决了证书管理和密钥托管问题和由于私钥唯一而导致的单点故障问题；以无证书公钥密码学、秘密共享机制和门限签密为理论基础，提高了安全性，避免了对安全信道的依赖、证书管理和密钥托管问题、私钥拥有者具有绝对权限问题，可以防御适应性选择密文攻击和适应性选择消息攻击，适用于网络信息安全应用环境。本发明具有安全性好、计算复杂度低等优点，在网络信息安全领域有着良好的应用前景。

Description

秘密共享机制下无证书门限签密方法

技术领域

本发明属于网络信息安全技术领域，具体涉及到无证书公钥密码学和门限签密方法。

背景技术

无证书门限签密方法可以保证多用户共同分享签密操作权限，使得不少于门限值个用户协同完成签密操作，而少于门限值个用户无法进行合谋。无证书门限签密方法不仅克服了密钥托管和证书管理问题，而且避免了传统公钥密码由于私钥唯一而导致的单点故障问题，这些优点使之特别适合应用于电子政务、电子商务、电子军务等网络信息安全领域。无证书门限签密方法能同时达到保密和认证的效果，是公钥密码系统的最主要应用之一，目前还没有基于两个乘法循环群的秘密共享机制下无证书门限签密方法。

在现有的网络信息安全应用环境中，运用无证书门限签密方法还存在安全性弱、计算复杂度和通信成本比较大的技术问题。这两个问题在网络信息安全应用中不容忽视，是需要迫切解决的技术问题。

发明内容

本发明所要解决的技术问题在于克服上述现有技术的缺点，在无私钥拥有者的绝对权限、无密钥托管和证书管理问题的条件下，提供一种安全性好、计算复杂度低的秘密共享机制下无证书门限签密方法。

解决上述技术问题所采用的技术方案由下述步骤组成：

1、一种秘密共享机制下无证书门限签密方法，其特征在于它是由下述步骤组成：

A、系统初始化

(A1)密钥生成中心选取一个k比特大素数q，k是安全参数、为有限的正整数，设定G₁和G₂是两个q阶乘法循环群、e是G₁×G₁→G₂为一个双线性映射。

(A2)密钥生成中心选取三个密码学安全的哈希函数H₁、H₂、H₃：H₁:{0,1}^*×G₁×G₁→G₁，H₂:G₁×G₁→{0,1}^λ，H₃:{0,1}^λ×G₁ ³×G₂→Z_q ^*，其中λ表示消息长度，Z_q ^*表示{1,2,...,q-1}，{0,1}^*表示由0和1所组成的任意长度的身份，{0,1}^λ表示由0和1所组成的长度为λ的消息，H₁表示把任意长度的身份和两个G₁上的元素联接，通过散列算法变换成G₁上的元素，H₂表示把两个G₁上的元素联接，通过散列算法变换成长度为λ的中间信息，H₃表示把一个长度为λ的消息、三个G₁上的元素和一个G₂上的元素联接，通过散列算法变换成有限域Z_q ^*上的元素。

(A3)密钥生成中心从有限域Z_q ^*中随机选取系统私钥s，确定系统公钥y_pub：

y_pub＝g^s∈G₁

其中g是群G₁的一个生成元。

(A4)密钥生成中心保密系统私钥s，公开系统全局参数L：

L＝{G₁,G₂,e,g,y_pub,q,λ,H₁,H₂,H₃}

B、确定用户公私钥

(B1)拥有身份I_D的密钥分发者随机选取其私钥x_D∈Z_q ^*，确定其公钥u_D：

(B2)拥有身份I_r的接收者随机选取私钥x_r∈Z_q ^*，确定其公钥u_r：

C、提取用户部分私钥

(C1)密钥生成中心确定拥有身份I_D的密钥分发者的部分私钥d_D：

d_D＝ξ_D ^s∈G₁

其中ξ_D是哈希值H₁(I_D||y_pub||u_D)，密钥生成中心发送部分私钥d_D给密钥分发者，如果e(g,d_D)与e(y_pub,ξ_D)相等，密钥分发者接受部分私钥d_D，否则，要求重发。

(C2)密钥生成中心确定拥有身份I_r的接收者的部分私钥d_r：

d_r＝ξ_r ^s∈G₁

其中ξ_r是哈希值H₁(I_r||y_pub||u_r)，密钥生成中心发送部分私钥d_r给接收者，如果e(g,d_r)与e(y_pub,ξ_r)相等，接收者接受部分私钥d_r，否则，要求重发。

D、共享密钥

(D1)设定{U₁,U₂,…,U_n}是n个签密者的集合，n是有限的正整数，密钥分发者随机选取b₁,b₂,…,b_t-1，构造(t-1)次多项式：

f(x)＝s₀+b₁x+b₂x+...+b_t-1x^t-1

其中t是门限值。

(D2)密钥分发者确定s_i：

s_i＝f(i)，i∈{0,1,2,...,n}

其中s₀＝x_D，发送s_i给签密者U_l，U_l∈{U₁,U₂,…,U_n}，l∈{1,2,…,n}。

(D3)密钥分发者确定y₀、y_j：

广播y₀、y_j，其中j∈{1,2,...,t-1}。

(D4)如果

签密者U_l接受密钥份额，否则，要求重发。

E、门限签密

(E1)签密者U_l从有限域Z_q ^*中随机选取私钥μ_i，确定中间值r_i、v_i：

发送r_i和v_i给密钥分发者。

(E2)密钥分发者收到r_i和v_i，确定部分密文r、中间值v、对称密钥κ、加密密文c、哈希值

κ＝e(v,ξ_r)∈G₂

发送哈希值

给签密者U_l。

(E3)签密者U_l确定中间值h_i：

发送中间值h_i给密钥分发者，其中

(E4)如果

成立，密钥分发者接受中间值h_i，否则，要求重发。

(E5)密钥分发者确定部分密文h：

发送密文σ给拥有身份I_r的接收者：

σ＝{r,c,h}

F、解签密

(F1)拥有身份I_r的接收者收到密文σ，确定对称密钥κ、明文m、哈希值

(F2)如果

成立，接受明文m；否则，密文无效。

由于本发明在门限签密步骤中采用了秘密共享体制下无证书门限加密和认证的方法，不仅解决了证书管理和密钥托管问题，还解决了由于私钥唯一而导致的单点故障问题及在电子政务、电子商务和电子军务等应用领域中的保密和认证问题。秘密共享体制下无证书门限签密方法中，多用户共同分享签密操作权限，不少于门限值个用户可协同完成签密操作，而少于门限值个用户无法进行合谋。本发明具有安全性好、计算复杂度低等优点，在网络信息安全领域具有很好的应用前景。

附图说明

图1是本发明实施例1的流程图。

具体实施方式

下面结合附图和实施例对本发明进一步详细说明，但本发明不限于这些实施例。

实施例1

以密钥生成中心选择的大素数q，q为2¹⁹²-2⁶⁴-1为例，如图1所示，本实施例的秘密共享体制下无证书门限签密方法步骤如下：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，本实施例采用q为2¹⁹²-2⁶⁴-1，k是安全参数、为有限的正整数，设定G₁和G₂是两个q阶乘法循环群、e是G₁×G₁→G₂为一个双线性映射。

(A2)密钥生成中心选取三个密码学安全的哈希函数H₁、H₂、H₃：H₁:{0,1}^*×G₁×G₁→G₁，H₂:G₁×G₁→{0,1}^λ，H₃:{0,1}^λ×G₁ ³×G₂→Z_q ^*，其中λ表示消息长度，Z_q ^*表示{1,2,…,2¹⁹²-2⁶⁴-2}，{0,1}^*表示由0和1所组成的任意长度的身份，{0,1}^λ表示由0和1所组成的长度为λ的消息，H₁表示把任意长度的身份和两个G₁上的元素联接，通过散列算法变换成G₁上的元素，H₂表示把两个G₁上的元素联接，通过散列算法变换成长度为λ的中间信息，H₃表示把一个长度为λ的消息、三个G₁上的元素和一个G₂上的元素联接，通过散列算法变换成有限域Z_q ^*上的元素。

(A3)密钥生成中心从有限域Z_q ^*中随机选取系统私钥s，确定系统公钥y_pub：

y_pub＝g^s∈G₁

其中g是群G₁的一个生成元。

(A4)密钥生成中心保密系统私钥s，公开系统全局参数L：

L＝{G₁,G₂,e,g,y_pub,q,λ,H₁,H₂,H₃}

B、确定用户公私钥

(B1)拥有身份I_D的密钥分发者随机选取其私钥x_D∈Z_q ^*，确定其公钥u_D：

(B2)拥有身份I_r的接收者随机选取私钥x_r∈Z_q ^*，确定其公钥u_r：

C、提取用户部分私钥

(C1)密钥生成中心确定拥有身份I_D的密钥分发者的部分私钥d_D：

d_D＝ξ_D ^s∈G₁

其中ξ_D是哈希值H₁(I_D||y_pub||u_D)，密钥生成中心发送部分私钥d_D给密钥分发者，如果e(g,d_D)与e(y_pub,ξ_D)相等，密钥分发者接受部分私钥d_D，否则，要求重发。

(C2)密钥生成中心确定拥有身份I_r的接收者的部分私钥d_r：

d_r＝ξ_r ^s∈G₁

其中ξ_r是哈希值H₁(I_r||y_pub||u_r)，密钥生成中心发送部分私钥d_r给接收者，如果e(g,d_r)与e(y_pub,ξ_r)相等，接收者接受部分私钥d_r，否则，要求重发。

D、共享密钥

(D1)设定{U₁,U₂,…,U_n}是n个签密者的集合，n是有限的正整数，密钥分发者随机选取b₁,b₂,…,b_t-1，构造(t-1)次多项式：

f(x)＝s₀+b₁x+b₂x+...+b_t-1x^t-1

其中t是门限值。

(D2)密钥分发者确定s_i：

s_i＝f(i)，i∈{0,1,2,...,n}

其中s₀＝x_D，发送s_i给签密者U_l，U_l∈{U₁,U₂,…,U_n}，l∈{1,2,…,n}。

(D3)密钥分发者确定y₀、y_j：

广播y₀、y_j，其中j∈{1,2,...,t-1}。

(D4)如果

签密者U_l接受密钥份额，否则，要求重发。

E、门限签密

(E1)签密者U_l从有限域Z_q ^*中随机选取私钥μ_i，确定中间值r_i、v_i：

发送r_i和v_i给密钥分发者。

(E2)密钥分发者收到r_i和v_i，确定部分密文r、中间值v、对称密钥κ、加密密文c、哈希值

κ＝e(v,ξ_r)∈G₂

发送哈希值

给签密者U_l。

(E3)签密者U_l确定中间值h_i：

发送中间值h_i给密钥分发者，其中

(E4)如果

成立，密钥分发者接受中间值h_i，否则，要求重发。

(E5)密钥分发者确定部分密文h：

发送密文σ给拥有身份I_r的接收者：

σ＝{r,c,h}

在门限签密步骤中，采用了秘密共享体制下无证书门限加密和认证的方法，解决了证书管理和密钥托管问题以及由于私钥唯一而导致的单点故障问题，在电子政务、电子商务和电子军务等应用领域中的保密和认证问题。秘密共享体制下无证书门限签密方法中，多用户共同分享签密操作权限，使得不少于门限值个用户协同完成签密操作，而少于门限值个用户无法进行合谋。这种秘密共享机制下无证书门限签密方法，具有安全性好、计算复杂度低等优点，在网络信息安全领域具有很好的应用前景。

F、解签密

(F1)拥有身份I_r的接收者收到密文σ，确定对称密钥κ、明文m、哈希值

(F2)如果

成立，接受明文m；否则，密文无效。

实施例2

以密钥生成中心选择的大素数q，q为2²²⁴-2⁹⁶+1为例，本实施例的秘密共享机制下无证书门限签密方法步骤如下：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，本实施例采用q为2²²⁴-2⁹⁶+1，k是安全参数、为有限的正整数，设定G₁和G₂是两个q阶乘法循环群、e是G₁×G₁→G₂为一个双线性映射。

(A2)密钥生成中心选取三个密码学安全的哈希函数H₁、H₂、H₃：H₁:{0,1}^*×G₁×G₁→G₁，H₂:G₁×G₁→{0,1}^λ，H₃:{0,1}^λ×G₁ ³×G₂→Z_q ^*，其中λ表示消息长度，Z_q ^*表示{1,2,…,2²²⁴-2⁹⁶}，{0,1}^*表示由0和1所组成的任意长度的身份，{0,1}^λ表示由0和1所组成的长度为λ的消息，H₁表示把任意长度的身份和两个G₁上的元素联接，通过散列算法变换成G₁上的元素，H₂表示把两个G₁上的元素联接，通过散列算法变换成长度为λ的中间信息，H₃表示把一个长度为λ的消息、三个G₁上的元素和一个G₂上的元素联接，通过散列算法变换成有限域Z_q ^*上的元素。

(A3)密钥生成中心从有限域Z_q ^*中随机选取系统私钥s，确定系统公钥y_pub：

y_pub＝g^s∈G₁

其中g是群G₁的一个生成元。

(A4)密钥生成中心保密系统私钥s，公开系统全局参数L：

L＝{G₁,G₂,e,g,y_pub,q,λ,H₁,H₂,H₃}

其它步骤与实施例1相同。完成秘密共享机制下无证书门限签密方法。

实施例3

以密钥生成中心选择的大素数q，q为2²⁵⁶-2²²⁴+2¹⁹²+2⁹⁶+1为例，本实施例的秘密共享机制下无证书门限签密方法步骤如下：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，本实施例采用q为2²⁵⁶-2²²⁴+2¹⁹²+2⁹⁶+1，k是安全参数、为有限的正整数，设定G₁和G₂是两个q阶乘法循环群、e是G₁×G₁→G₂为一个双线性映射。

(A2)密钥生成中心选取三个密码学安全的哈希函数H₁、H₂、H₃：H₁:{0,1}^*×G₁×G₁→G₁，H₂:G₁×G₁→{0,1}^λ，H₃:{0,1}^λ×G₁ ³×G₂→Z_q ^*，其中λ表示消息长度，Z_q ^*表示{1,2,…,2²⁵⁶-2²²⁴+2¹⁹²+2⁹⁶}，{0,1}^*表示由0和1所组成的任意长度的身份，{0,1}^λ表示由0和1所组成的长度为λ的消息，H₁表示把任意长度的身份和两个G₁上的元素联接，通过散列算法变换成G₁上的元素，H₂表示把两个G₁上的元素联接，通过散列算法变换成长度为λ的中间信息，H₃表示把一个长度为λ的消息、三个G₁上的元素和一个G₂上的元素联接，通过散列算法变换成有限域Z_q ^*上的元素。

(A3)密钥生成中心从有限域Z_q ^*中随机选取系统私钥s，确定系统公钥y_pub：

y_pub＝g^s∈G₁

其中g是群G₁的一个生成元。

(A4)密钥生成中心保密系统私钥s，公开系统全局参数L：

L＝{G₁,G₂,e,g,y_pub,q,λ,H₁,H₂,H₃}

其它步骤与实施例1相同。完成秘密共享机制下无证书门限签密方法。

实施例4

以密钥生成中心选择的大素数q，q为2³⁸⁴-2¹²⁸-2⁹⁶+2³²-1为例，本实施例的秘密共享机制下无证书门限签密方法步骤如下：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，本实施例采用q为2³⁸⁴-2¹²⁸-2⁹⁶+2³²-1，k是安全参数、为有限的正整数，设定G₁和G₂是两个q阶乘法循环群、e是G₁×G₁→G₂为一个双线性映射。

(A2)密钥生成中心选取三个密码学安全的哈希函数H₁、H₂、H₃：H₁:{0,1}^*×G₁×G₁→G₁，H₂:G₁×G₁→{0,1}^λ，H₃:{0,1}^λ×G₁ ³×G₂→Z_q ^*，其中λ表示消息长度，Z_q ^*表示{1,2,…,2³⁸⁴-2¹²⁸-2⁹⁶+2³²-2}，{0,1}^*表示由0和1所组成的任意长度的身份，{0,1}^λ表示由0和1所组成的长度为λ的消息，H₁表示把任意长度的身份和两个G₁上的元素联接，通过散列算法变换成G₁上的元素，H₂表示把两个G₁上的元素联接，通过散列算法变换成长度为λ的中间信息，H₃表示把一个长度为λ的消息、三个G₁上的元素和一个G₂上的元素联接，通过散列算法变换成有限域Z_q ^*上的元素。

(A3)密钥生成中心从有限域Z_q ^*中随机选取系统私钥s，确定系统公钥y_pub：

y_pub＝g^s∈G₁

其中g是群G₁的一个生成元。

(A4)密钥生成中心保密系统私钥s，公开系统全局参数L：

L＝{G₁,G₂,e,g,y_pub,q,λ,H₁,H₂,H₃}

其它步骤与实施例1相同。完成秘密共享机制下无证书门限签密方法。

Claims (1)

1.一种秘密共享机制下无证书门限签密方法，其特征在于它是由下述步骤组成：

A、系统初始化

(A1)密钥生成中心选取一个k比特大素数q，k是安全参数、为有限的正整数，设定G₁和G₂是两个q阶乘法循环群、e是G₁×G₁→G₂为一个双线性映射；

(A2)密钥生成中心选取三个密码学安全的哈希函数H₁、H₂、H₃：H₁:{0,1}^*×G₁×G₁→G₁，H₂:G₁×G₁→{0,1}^λ，H₃:{0,1}^λ×G₁ ³×G₂→Z_q ^*，其中λ表示消息长度，Z_q ^*表示{1,2,...,q-1}，{0,1}^*表示由0和1所组成的任意长度的身份，{0,1}^λ表示由0和1所组成的长度为λ的消息，H₁表示把任意长度的身份和两个G₁上的元素联接，通过散列算法变换成G₁上的元素，H₂表示把两个G₁上的元素联接，通过散列算法变换成长度为λ的中间信息，H₃表示把一个长度为λ的消息、三个G₁上的元素和一个G₂上的元素联接，通过散列算法变换成有限域Z_q ^*上的元素；

(A3)密钥生成中心从有限域Z_q ^*中随机选取系统私钥s，确定系统公钥y_pub：

y_pub＝g^s∈G₁

其中g是群G₁的一个生成元；

(A4)密钥生成中心保密系统私钥s，公开系统全局参数L：

L＝{G₁,G₂,e,g,y_pub,q,λ,H₁,H₂,H₃}

B、确定用户公私钥

(B1)拥有身份I_D的密钥分发者随机选取其私钥x_D∈Z_q ^*，确定其公钥u_D：

(B2)拥有身份I_r的接收者随机选取私钥x_r∈Z_q ^*，确定其公钥u_r；

C、提取用户部分私钥

(C1)密钥生成中心确定拥有身份I_D的密钥分发者的部分私钥d_D：

d_D＝ξ_D ^s∈G₁

其中ξ_D是哈希值H₁(I_D||y_pub||u_D)，密钥生成中心发送部分私钥d_D给密钥分发者，如果e(g,d_D)与e(y_pub,ξ_D)相等，密钥分发者接受部分私钥d_D，否则，要求重发；

(C2)密钥生成中心确定拥有身份I_r的接收者的部分私钥d_r：

d_r＝ξ_r ^s∈G₁

其中ξ_r是哈希值H₁(I_r||y_pub||u_r)，密钥生成中心发送部分私钥d_r给接收者，如果e(g,d_r)与e(y_pub,ξ_r)相等，接收者接受部分私钥d_r，否则，要求重发；

D、共享密钥

(D1)设定{U₁,U₂,…,U_n}是n个签密者的集合，n是有限的正整数，密钥分发者随机选取b₁,b₂,…,b_t-1，构造(t-1)次多项式：

f(x)＝s₀+b₁x+b₂x+...+b_t-1x^t-1

其中t是门限值；

(D2)密钥分发者确定s_i：

s_i＝f(i)，i∈{0,1,2,...,n}

其中s₀＝x_D；发送s_i给签密者U_l，U_l∈{U₁,U₂,…,U_n}，l∈{1,2,…,n}；

(D3)密钥分发者确定y₀、y_j：

广播y₀、y_j，其中j∈{1,2,...,t-1}；

(D4)如果

签密者U_l接受密钥份额，否则，要求重发；

E、门限签密

(E1)签密者U_l从有限域Z_q ^*中随机选取私钥μ_i，确定中间值r_i、v_i：

发送r_i和v_i给密钥分发者；

(E2)密钥分发者收到r_i和v_i，确定部分密文r、中间值v、对称密钥κ、加密密文c、哈希值

κ＝e(v,ξ_r)∈G₂

发送哈希值

给签密者U_l；

(E3)签密者U_l确定中间值h_i：

发送中间值h_i给密钥分发者，其中

(E4)如果

成立，密钥分发者接受中间值h_i，否则，要求重发；

(E5)密钥分发者确定部分密文h：

发送密文σ给拥有身份I_r的接收者：

σ＝{r,c,h}

F、解签密

(F1)拥有身份I_r的接收者收到密文σ，确定对称密钥κ、明文m、哈希值

(F2)如果

成立，接受明文m；否则，密文无效。

Images