[发明专利]基于多变量密码体制的无证书多接收者签密方法

说明书

技术领域

本发明属于信息安全技术领域，涉及一种无证书多接收者签密方法，特别是涉及一种基于多变量密码体制的无证书多接收者签密方法。

背景技术

在广播通信应用中，保密和认证是最重要的两个问题，通常使用“先签名后加密”的方法对信息进行处理，但该方法所需要的代价是签名和加密所需的代价之和，效率较低。签密是一种同时实现加密和数字签名两项功能的重要密码学技术，集加密和数字签名于一体。签密提高了通信效率，降低了运算负担，是一种较为理想的数据信息安全传输方法。

文献“Selvi S S D,Vivek S S,Rangan C P.Cryptanalysis of Certicateless Signcryption Schemes and an Efficient Construction without Pairing,Inscrypt2009,LNCE,Vol.6151,Spinger,pp：52-67,2010.”公开了一种无证书签密方法。该方法选用无证书密码体制，是传统公钥密码体制和基于身份的密码体制间的折中方案，既克服了传统密码体制CA（Certificate Authority）对证书管理的问题，又解决了基于身份密码体制固有的密钥托管问题，在电子商务，广播通信中得到广泛应用。使用有限域上的离散对数问题取代了椭圆曲线上的离散对数问题，因此，该方案不需要复杂的双线性对运算，进一步提高了计算效率。然而，随着量子计算机的发展，利用量子计算机可以在多项式时间内解决因式分解、离散对数等数学问题，进而威胁依赖上述数学问题的传统公钥密码的安全性。现有的几乎所有的无证书签密方案都是基于传统密码体制的，面对量子计算机的出现，现有的无证书签密体制在量子计算下将不再安全。因此，文献公开的方法存在以下缺陷：（1）在量子计算机攻击下，该方案将不在安全，攻击者通过求解离散对数问题，直接对密文进行分析，可以获取明文消息；（2）在以大素数为阶的有限域上的运算，计算量依旧较大，不适用于计算能力小的终端设备；（3）实现多接收者环境下的签密效率较低。

发明内容

为了克服现有的无证书签密方法安全性差的不足，本发明提供一种基于多变量密码体制的无证书多接收者签密方法。该方法采用基于多变量的密码体制，可以实现抗量子计算的高安全性，面对量子计算机的攻击，本发明依然保持安全性；且计算量小、效率高、安全性高，适用于智能卡等计算能力较小的终端设备；另外，本发明具有完备性、机密性、不可伪造性、前向安全性、后向安全性、保护接收者隐私等特点，能够抗击现有的已知攻击。

本发明解决其技术问题所采用的技术方案是：一种基于多变量密码体制的无证书多接收者签密方法，其特点是包括以下步骤：

步骤一、密钥生成中心选择秘密正整数参数s，产生大素数p和正整数l；

选择阶为q的有限域G，其中q=p^l；

令Gⁿ是有限域G的n次扩张；

令正整数g为多变量方程组中方程的个数；

选择H₁:G×G×Gⁿ→Gⁿ，H₂:G→Gⁿ为密码学安全的抗碰撞单向不可逆哈希函数，生成系统参数{G,l,g,n,q,p,H₁,H₂}；

步骤二、密钥生成中心选择安全的多变量加密算法，其核心变换F为Gⁿ→Gⁿ上的可逆二次变换，并在Gⁿ→Gⁿ上随机选择两个可逆的仿射变换T和V，生成密钥生成中心的系统公钥（ο表示映射合成运算），系统私钥

密钥生成中心在Gⁿ→Gⁿ上随机选择两个可逆的仿射变换T₀和V₀，计算则系统部分公钥为系统部分私钥为最后，密钥生成中心通过秘密信道将系统部分私钥传递给合法用户，密钥生成中心公开自己的系统公钥。当有用户退出时，密钥生成中心需重新生成系统部分公钥和系统部分私钥；增加新用户则不需重新生成系统部分公钥和系统部分私钥。

步骤三、用户U获取密钥生成中心的系统部分私钥，然后计算系统部分私钥，随机选择Gⁿ→Gⁿ上的仿射变换T_u和V_u，合成自己的私钥并计算自己的公钥生成用户U的公钥为F_u，用户U的私钥为