[发明专利]匿名广播方法、密钥交换方法、匿名广播系统、密钥交换系统、通信装置、程序

权利要求书

1.一种密钥交换方法，

是将N设为2以上的整数，将密钥生成服务器的数量即L设为1以上的整数，

在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享会话密钥SK的密钥交换方法，其中2≦n≦N，

将ID_i设为通信装置U_i的识别符，将MPK_j设为基于匿名ID的广播加密的掩码公开密钥，将SMPK_j设为基于ID署名的掩码公开密钥，将dk_i^(j)设为基于匿名ID的广播加密的解密密钥，将sk_i^(j)设为基于ID署名的署名密钥，将G设为将g、h设为生成元的素数位数p的有限循环群，将||设为连结运算符，其中1≦i≦N,1≦j≦L，

在通信装置U_i的记录单元中，记录秘密字符串(st_i,st'_i)，其中1≦i≦N，

所述密钥交换方法包括：

第一密钥生成步骤，

对于i∈{1,…,n}，通信装置U_i通过扭曲伪随机函数，使用所述秘密字符串(st_i,st'_i)计算r_i、k_i、s_i，通过计算生成第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，通信装置U_i随机地选择R_i,c_i∈_RG，生成第一密钥(R_i,c_i)；

第一匿名广播步骤，通过匿名广播方法，

对于i∈{1,…,n}，通信装置U_i指定集合R-{U_i}，匿名广播所述第一密钥(R_i,c_i)，

对于i∈{n+1,…,N}，通信装置U_i指定意味着无接收者的匿名广播所述第一密钥(R_i,c_i)；

第二密钥生成步骤，

对于i∈{2,…,n}，通信装置U_i通过目标抗冲突散列函数，使用所述c_k计算会话IDsid，其中1≦k≦n，通过伪随机函数，使用计算K_i^(l)，通过伪随机函数，使用计算K_i^(r)，通过K_i^(l)和K_i^(r)的“异或”计算T_i，随机地选择T'_i∈_RZ_p²，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i^(j)、以及消息(R,R_i,c_i,k_i,s_i,T_i,T'_i)生成署名σ_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i^(j),(R,R_i,c_i,k_i,s_i,T_i,T'_i))，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)，

对于i＝1，通信装置U₁通过目标抗冲突散列函数，从所述c_k计算会话IDsid，通过伪随机函数，使用计算K₁^(l)，通过伪随机函数，使用计算K₁^(r)，通过K₁^(l)和K₁^(r)的“异或”计算T₁，通过K₁^(l)和k₁||s₁的“异或”计算T'，随机地选择k₁,s₁∈_RZ_p，从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk₁^(j)、以及消息(R,R₁,c₁,k₁,s₁,T₁,T')生成署名σ₁←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk₁^(j),(R,R₁,c₁,k₁,s₁,T₁,T'))，生成第二密钥(k₁,s₁,T₁,T',σ₁)，其中1≦k≦n，

对于i∈{n+1,…,N}，通信装置U_i随机地选择k_i,s_i∈_RZ_p，T_i,T'_i∈_RZ_p²，σ_i∈_RΣ，生成第二密钥(k_i,s_i,T_i,T'_i,σ_i)，其中，Σ为署名空间；

第二匿名广播步骤，通过所述匿名广播方法，

对于i∈{2,…,n}，通信装置U_i指定集合R-{U_i}，匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)，

对于i＝1，通信装置U₁指定集合R-{U₁}，匿名广播所述第二密钥(k₁,s₁,T₁,T',σ₁)，

对于i∈{n+1,…,N}，通信装置U_i指定所述匿名广播所述第二密钥(k_i,s_i,T_i,T'_i,σ_i)；

会话密钥生成步骤，

对于i∈{2,…,n}，通信装置U_i若获取所述第二密钥(k₁,s₁,T₁,T',σ₁)和所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功的情况下，通过与K_i^(l)和T_j的“异或”的“异或”计算K₁^(l)，通过T'和K₁^(l)的“异或”计算k₁||s₁，对于满足1≦k≦n的k，在成立的情况下，通过伪随机函数，使用所述sid、所述k_i(1≦i≦n)的“异或”，生成所述会话密钥SK，其中2≦k≦n,k≠i，1≦j≦i-1，

对于i＝1，若通信装置U₁获取所述第二密钥(k_k,s_k,T_k,T'_k,σ_k)，则从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、消息(R,R_k,c_k,k_k,s_k,T_k,T'_k)和所述署名σ_k，生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,(R,R_k,c_k,k_k,s_k,T_k,T'_k),σ_k)，在署名σ_k的验证成功，且对于满足1≦k≦n的k，成立的情况下，通过伪随机函数，使用所述sid、所述k_i的“异或”，生成所述会话密钥SK，其中2≦k≦n，1≦i≦n，

所述匿名广播方法是在N台通信装置U₁,…,U_N中，在通信装置的集合R＝{U₁,…,U_n}中包含的通信装置之间共享消息M₁,…,M_n的匿名广播方法，其中2≦n≦N，

所述匿名广播方法包括：

密文生成步骤，对于i∈{1,…,n}，通信装置U_i从掩码公开密钥Σ_j＝1,..,LSMPK_j、署名密钥Σ_j＝1,..,Lsk_i^(j)、以及所述识别符ID_i和所述消息M_i的组即消息(ID_i,M_i)，生成署名ω_i←(Σ_j＝1,..,LSMPK_j,Σ_j＝1,..,Lsk_i^(j),(ID_i,M_i))，从掩码公开密钥Σ_j＝1,..,LMPK_j、所述识别符ID_i和所述署名ω_i和所述消息M_i的组即明文(ID_i,ω_i,M_i)、以及集合R-{U_i}，生成密文C_i←(Σ_j＝1,..,LMPK_j,(ID_i,ω_i,M_i),(R-{U_i}))，

对于i∈{n+1,…,N}，通信装置U_i生成作为伪消息的密文C_i；

密文获取步骤，对于i∈{1,…,N}，通信装置U_i获取混合网络混洗后的密文{C₁,…,C_N}；以及

消息复原步骤，对于i∈{1,…,N}，通信装置U_i从解密密钥Σ_j＝1,..,Ldk_i^(j)、以及所述密文C_k，其中1≦k≦N，生成消息(ID_k,ω_k,M_k)←(Σ_j＝1,..,Ldk_i^(j),C_k)，在U_i∈R-{U_k}的情况下，从所述掩码公开密钥Σ_j＝1,..,LSMPK_j、所述消息(ID_k,ω_k,M_k)生成验证结果Ver_k←(Σ_j＝1,..,LSMPK_j,ID_k,M_k,ω_k)，在署名ω_k的验证成功的情况下，将所述消息M_k视为从所述识别符ID_k的通信装置U_k发送的消息，通信装置U_i∈R获取所述消息M₁,…,M_n。