[发明专利]群加密方法及设备

说明书

技术领域

本发明一般涉及加密码术，更具体地，涉及群加密(group encryption)。

背景技术

这部分旨在向读者介绍与在下面说明和/或请求保护的本发明的各个方面相关的技术领域的各个方面。相信该论述有助于向读者提供背景信息以便更好地理解本发明的各个方面。相应地，应当理解的是，这些陈述应当就此而论地阅读，而不是作为对现有技术的承认。

在这部分中，定义了群加密原语，呈现了必要的构件块(公共密钥加密、基于标签的加密以及一次性签名)，并且说明了群加密的技术现状。

作为群签名的加密模拟，Kiayias-Tsiounis-Yung提出了群加密(参见Aggelos Kiayias、Yiannis Tsiounis和Moti Yung的《Group Encryption》，ASIACRYPT2007：181-199页)。群加密在期望隐藏在一组合法用户中的一接收者(解密者)的情况下很有用。

示意性示例是想要将某些广告发送给订阅用户的网络服务提供商(NSP)，其中，该订阅用户的配置文件(profile)与要发送的广告相匹配。同时，NSP想要在对接收者的确切身份保密的同时，向其客户(亦即，付款给该NSP来发送广告的公司)证明其确实在其用户组内发送了讨论的广告。广告的接收者的隐私也应当保留在该NSP的用户组之内。

群加密形成解决该问题的看上去合理的方案，因为其允许发送者(在该示例中的NSP)对给目标用户的消息(广告)进行加密，另外，使验证者能够检查形成的密文是有效的(例如，检查对应的明文满足某种关系)并且用户组中的某匿名成员能够对其进行解密。群加密还支持如下功能：在发生纠纷的情况下，由指定的权威机构打开密文并且往下恢复(recover down)接收者的身份。

更形式化地，群加密(GE)方案涉及注册组成员的组管理者以及能够从对应的密文恢复接收者的身份的开放型权威机构(OA)。

构成GE方案基础的主要过程有：

·Join。GM与可能的组成员之间的交互式协议。GM发布关于组成员的公共密钥pk_i的证书cert_i。GM还在公共数据库DB中存储(pk_i,cert_i)对。

·Encrypt。在目标组成员的公共密钥pk下关于输入标签t生成输入消息m上的密文c，其中，标签是指定加密上下文的二进制串。为了防止发送伪造的消息，要求要加密的消息m满足某一先验关系：m是关于关系R的“实例”x(公共值)的“证据(witness)”，亦即，(m,x)∈R。在这个意义上说，Encrypt还输出与经加密的证据相对应的实例x。

·Decrypt。关于输入标签t使用与公共密钥pk相对应的私有密钥sk恢复被加密成输入密文c的消息m，其中，密文是用公共密钥pk创建的。该过程还检查被恢复的消息是否是输入实例x的证据，亦即，是否(m,x)∈R。如果是这种情况，则算法输出m，否则输出“失败(Fail)”。

·Open。输入密文c、标签t和OA的私有密钥，并且恢复公共密钥pk，其中，密文是关于输入标签t在该公共密钥pk下创建的。

·Prove。从创建密文的实体向任何验证者提供交互式或非交互式的证明。应当使验证者确信讨论的密文是有效的(例如，底层消息满足关系R)并且某匿名注册组成员可以对其进行解密。

公共密钥加密(PKE)方案包含产生(公共密钥，私有密钥)形式的对的密钥产生算法、使用接收者的公共密钥生成输入消息的加密的加密算法以及使用适当的私有密钥恢复被加密成输入密文的消息的解密算法。

无论对于加密还是对于解密，基于标签的加密方案(TBE)都进一步地需要另一参量(argument)，即标签。非形式化地，标签是指定关于加密的信息(日期、上下文等)的适当长度的二进制串。

一次性数字签名方案可以用于对至多一条消息进行签名；否则，签名就可以被伪造。经签名的每条消息均需要新的公共密钥。如同“正常的”数字签名一样，用密钥产生算法、签名算法以及验证算法来定义它们。指定公共密钥，一次性签名方案的安全性依赖于提供消息和对应签名的新的有效对的困难程度。