CN114095171A - 一种基于身份的可穿刺代理重加密方法 - Google Patents

Abstract

本发明公开了一种基于身份的可穿刺代理重加密方法。其特征在于在构造中将可穿刺加密与基于身份的代理重加密结合在同一个算法中，从而使得委托用户和受托用户可以使用精准加密技术实现细粒度撤销功能和前向安全性。在基于身份的代理重加密技术中，用户可以使用委托用户的身份作为公钥来加密消息生成对应的密文。代理服务器则可以利用重加密密钥将该密文转化为使用受托用户的身份作为公钥加密密文的相同明文。同时身份基的使用也解决了普通公钥加密方案的证书管理问题。本发明引入了可穿刺加密技术。通过更新私钥可以撤销对特定消息的解密功能。在公钥不变的情况下，当密文中嵌入了与私钥中相同的标签时，该私钥将无法解密该密文。这样即使当下使用的私钥泄露，也不会泄露之前传递的消息。

Description

一种基于身份的可穿刺代理重加密方法

技术领域

本发明涉及网络安全和通信领域，具体涉及了一种基于身份的可穿刺代理重加密方法。该方法在代理重加密的基础上引入了细粒度撤销功能，并实现了前向安全性。

背景技术

1998年，Blaze、Bleumer和Strauss提出了代理重加密(Proxy Re-Encryption，PRE)的概念。此后，各种代理重加密方案被相继提出。在代理重加密中，半可信代理者可以使用代理密钥将使用委托者公钥加密的密文转化为被委托者公钥加密的密文，从而使得被委托者可以解密密文。一般来说，代理重加密方案分为两类：单向(unidirectional)代理重加密和双向(bidirectional)代理重加密。单向代理重加密仅能实现从Alice到Bob的密文转换，而双向代理重加密还能实现从Bob到Alice的密文转换。

2015年，为了实现前向安全，Green和Miers首次提出了可穿刺加密 (PuncturableEncryption，PE)的概念。在上述可穿刺的加密方案中，解密者可以反复更新其解密密钥，从而撤销密钥对特定时间段或发信人的消息的解密能力。

发明内容

本发明针对现有技术的弊端，提供了一种高效安全的基于身份的可穿刺代理重加密方法。

为了达到上述发明目的，本发明采用以下技术方案实现：通过对代理重加密中的私钥和重加密密钥等结构和算法进行设计，将可穿刺加密技术与代理重加密原语结合。加密用户使用委托用户Alice的身份作为公钥对消息M加密，并能够在密文中嵌入任意标签。代理服务器能将该密文转换为相同消息M下受托用户Bob的密文。受托用户Bob可以通过更新密钥实现对特定消息的细粒度撤销功能。当受托用户Bob的私钥中嵌入了与密文中相同的标签时将无法解密该密文。

与现有技术相比，本发明的有益效果是技巧性地将可穿刺加密与基于身份的代理重加密方法相结合，不仅节省了计算和通信成本，同时提供了细粒度撤销功能，并满足机密性、不可否认性、可撤销、访问控制和前向安全等性质。

本发明共涉及三个实体：代理服务器、委托用户和受托用户。所述方法的具体步骤包括：

(1)系统建立Setup：输入安全参数和系统最大标签数，PKG运行该算法并生成系统公开参数和系统主密钥；

(2)密钥生成KeyGen：输入系统公开参数、用户身份和系统主密钥，PKG 运行该算法生成对应用户的私钥；

(3)加密Encrypt：输入明文消息、系统公开参数、用户身份和若干标签，由加密用户运行该算法并输出密文消息；

(4)代理重加密密钥生成ReKeyGen：输入系统公开参数、委托用户的身份信息和受托用户的身份信息，由委托用户运行该算法生成代理重加密密钥。

(5)代理重加密ReEncrypt：输入密文和代理重加密密钥，由代理服务器执行该算法并生成重加密密文；

(6)可穿刺加密Puncture：输入系统公开参数、用户私钥和一个标签，由 PKG执行该算法并输出用户私钥；

(7)密文解密Decrypt-I：输入密文消息、委托用户的私钥和若干标签，由用户执行该算法解密出明文消息；

(8)重加密密文解密Decrypt-II：输入重加密密文消息、受托用户的私钥和若干标签，由代理用户执行该算法解密出明文消息。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

本发明所述方法由八个算法组成，具体构造过程如下：

(1)系统建立Setup：输入安全参数k和密文能嵌入的最大标签数d；选择一个素数p，并构造两个阶数为p的乘法循环群

和

设g是群

的生成元；定义一个双线性映射

随机选取三个哈希函数：

和

随机选取α，

和

并计算g₁＝g^α和g₂＝g^β；随机选取一个满足q(0)＝β的d次多项式q(·)；定义V(x)＝g^q(x)；令t₀为一个在正常操作中不会被使用的标签值；PKG秘密保留主密钥MSK＝α，并发布系统公开参数 Param＝(g，g₁，g₂，g^q(1)，...，g^{q (d)}，H₁，H₂，H₃)；注意，任何人都可以通过对 (g₂，g^q(1)，...，g^q(d))进行插值，从而计算出V(·)；

(2)密钥提取KeyExtract：输入系统公开参数Param、用户身份id和主密钥MSK。对每个id∈{0，1}^l的用户，PKG按如下方式生成用户id的私钥：

a)随机选取r，

b)生成用户id的初始私钥为：

在收到了PKG发送的私钥后，用户id可以通过检查下列等式是否成立来验证私钥的正确性：

(3)加密Encrypt：输入系统公开参数Param、用户身份id和一个标签集合t₁...，t_d，随机选取

对于消息

输出密文为

C_id＝(c₁，c₂，c₃.c_(4，1)…，c_(4，d)，c₅)

＝(M·e(g₁，g₂)^s，g^s，H₂(id)^s，V(H₁(t₁))^s，...，V(H₁(t_d))^s)

(4)重加密密钥生成ReKeyGen：输入系统公开参数Param、一组用户的身份(id，id′)，用户id首先设定

和

然后随机选取δ，

和

并计算：

C′＝Encrypt(Param，σ，id′，t₁，...，t_d)

＝(c′₁，c′₂，c′₃，c′_(4，1)，...，c′_(4，d))

＝(σ·e(g₁，g₂)^s′，g^s′，H₂(id′)^s′，V(H₁(t₁))^s′，...，V(H₁(t_d))^s′)

用户id在

和

的条件下计算重加密密钥：

(5)重加密ReEncrypt：输入系统公开参数Param，原始密文 C_id＝(c₁，c₂，c₃.c_(4，1)...，c_(4，d)，c₅)和重加密密钥RK_id→id′＝(rk₁，rk₂，rk₃)。对于 .j＝1，2，...，i，将

拆分为

接下来计算一组满足

的系数ω₁，...，ω_d，ω_*，然后计算：

得到重加密密文：

(6)穿刺Puncture：输入用户id的私钥

和标签t∈{0，1}^*/{t₀}，将私钥

拆分为

并进一步将

拆分为

并输入从

中随机选取样本λ和 n₁，n₂，并计算：

则用户id新的私钥为

(7)原始密文解密Decrypt-I：输入密钥

原始密文C和附加在密文上的一组标签t₁，...，t_d，令C＝(c₁，c₂，c₃.c_(4，1)…，c_(4，d)，c₅)，

且将

拆分为

对于j＝1，2，...，i，将

拆分为

接下来计算一组满足

的系数ω₁，...，ω_d，ω_*，使用该系数计算：

原始明文最终可以通过以下算式被恢复：

(8)重加密密文解密Decrypt-II：输入密钥

重加密密文C_id→id′和附加在密文上的一组标签t₁，...，t_d，令

可以恢复出：

原始明文最终可以通过以下算式被恢复：

。

Claims (3)

1.基于身份的可穿刺代理重加密方法，其特征在于：

(1)允许代理服务器使用委托用户Alice的身份作为公钥进行加密的密文转换为使用受托用户Bob的身份作为公钥加密的密文，这样受托用户Bob可以使用自己的私钥解密密文；

(2)所提出方案具有单向性，即只能将委托用户Alice对消息M的密文转换为在相同消息下受托用户Bob的密文，该转换过程不可逆；

(3)所提出方案具有单跳性，即重加密算法中输入的密文仅能是由加密算法生成的原始密文；

(4)所提出方案实现了细粒度的解密撤销功能。用户使用公钥进行加密时，可以在密文中嵌入任意的标签，通过更新私钥可以撤销对特定消息的解密能力。如果私钥中被嵌入了与密文中同样的标签，则该私钥不能解密该密文；

(5)所提出方案可实现前向安全性。通信双方可以约定使用的标签集合，通过不断更新私钥来避免正在使用的私钥泄露，导致之前传递的消息泄露。

2.根据权利要求1所述的基于身份的可穿刺代理重加密方法，所述方法的具体步骤包括：

(1)系统建立Setup：输入安全参数和系统最大标签数，PKG运行该算法并生成系统公开参数和系统主密钥；

(2)密钥生成KeyExtract：输入系统公开参数、用户身份和系统主密钥，PKG运行该算法生成对应用户的私钥；

(3)加密Encrypt：输入明文消息、系统公开参数、用户身份和若干标签，由加密用户运行该算法并输出密文消息；

(4)代理重加密密钥生成ReKeyGen：输入系统公开参数、委托用户的身份信息和受托用户的身份信息，由委托用户运行该算法生成代理重加密密钥；

(5)代理重加密ReEncrypt：输入密文和代理重加密密钥，由代理服务器执行该算法并生成重加密密文；

(6)穿刺加密Puncture：输入系统公开参数、用户私钥和一个标签，由PKG执行该算法并输出被精准加密后的用户私钥；

(7)原始密文解密Decrypt-I：输入密文消息、委托用户的私钥和若干标签，由用户执行该算法解密出明文消息；

(8)重加密密文解密Decrypt-II：输入重加密密文消息、受托用户的私钥和若干标签，由代理用户执行该算法解密出明文消息。

3.根据权利要求2所述的基于身份的精准代理重加密方法所述方法的具体算法包括：

(1)系统建立Setup：输入安全参数k和密文能嵌入的最大标签数d；选择一个素数p，并构造两个阶数为p的乘法循环群

和

设g是群

的生成元；定义一个双线性映射

随机选取三个哈希函数：

和

随机选取

和

并计算g₁＝g^α和g₂＝g^β；随机选取一个满足q(0)＝β的d次多项式q(·)；定义V(x)＝g^q(x)；令t₀为一个在正常操作中不会被使用的标签值；PKG秘密保留主密钥MSK＝α，并发布系统公开参数Param＝(g，g₁，g₂，g^q(1)，...，g^q(d)，H₁，H₂，H₃)；注意，任何人都可以通过对(g₂，g^q(1)，...，g^q(d))进行插值，从而计算出V(·)；

(2)密钥提取KeyExtract：输入系统公开参数Param、用户身份id和主密钥MSK。对每个id∈{0，1}^l的用户，PKG按如下方式生成用户id的私钥：

a)随机选取

b)生成用户id的初始私钥为：

在收到了PKG发送的私钥后，用户id可以通过检查下列等式是否成立来验证私钥的正确性：

(3)加密Encrypt：输入系统公开参数Param、用户身份id和一个标签集合t₁...，t_d，随机选取

对于消息

输出密文为

C_id＝(c₁，c₂，c₃.c_(4，1)…，c_(4，d)，c₅)

＝(M·e(g₁，g₂)^s，g^s，H₂(id)^s，V(H₁(t₁))^s，...，V(H₁(t_d))^s)

(4)重加密密钥生成ReKeyGen：输入系统公开参数Param、一组用户的身份(id，id′)，用户id首先设定

和

然后随机选取

和

并计算：

C′＝Encrypt(Param，σ，id′，t₁，...，t_d)

＝(c′₁，c′₂，c′₃，c′_(4，1)，...，c′_(4，d))

＝(σ·e(g₁，g₂)^s′，g^s′，H₂(id′)^s′，V(H₁(t₁))^s′，...，V(H₁(t_d))^s′)

用户id在

和

的条件下计算重加密密钥：

(5)重加密ReEncrypt：输入系统公开参数Param，原始密文C_id＝(c₁，c₂，c₃.c_(4，1)...，c_(4，d)，c₅)和重加密密钥RK_id→id′＝(rk₁，rk₂，rk₃)。对于.j＝1，2，...，i，将

拆分为

接下来计算一组满足

的系数ω₁，...，ω_d，ω_*，然后计算：

得到重加密密文：

(6)穿刺加密Puncture：输入用户id的私钥

和标签t∈{0，1}^*/{t₀}，将私钥

拆分为

并进一步将

拆分为

并输入从

中随机选取样本λ和n₁，n₂，并计算：

则用户id新的私钥为

(7)原始密文解密Decrypt-I：输入密钥

原始密文C和附加在密文上的一组标签t₁，...，t_d，令C＝(c₁，c₂，c₃.c_(4，1)…，c_(4，d)，c₅)，

且将

拆分为

对于j＝1，2，...，i，将

拆分为

接下来计算一组满足

的系数ω₁，...，ω_d，ω_*，使用该系数计算：

原始明文最终可以通过以下算式被恢复：

(8)重加密密文解密Decrypt-II：输入密钥

重加密密文C_id→id′和附加在密文上的一组标签t₁，...，t_d，令

可以恢复出：

原始明文最终可以通过以下算式被恢复：