[发明专利]基于乘法群的无证书环签密方法

权利要求书

1.一种基于乘法群的无证书环签密方法，其特征在于它是由下述步骤组成：

A、系统初始化

(A1)密钥生成中心选取一个k比特的大素数q，k是安全参数、为有限的正整数，设定G₁,G₂,G₃是三个q阶乘法循环群、g是群G₁的一个生成元、e是G₁×G₂→G₃为一个双线性映射；

(A2)密钥生成中心选取三个密码学安全的哈希函数H₀、H₁、H₂：其中l₁是消息长度，l₂是任意身份的长度，n是环成员的数目、为有限的正整数，Z_q^*是{1,2,...,q-1}，是由0和1所组成的长度为l₁的消息，是由0和1所组成的长度为l₂的身份，是由0和1所组成的n+1个长度为l₂的身份，H₀是表示把两个G₁上的元素和长度为l₂的身份联接，然后通过散列算法变换成G₂上的元素，H₁是表示把由0和1所组成的n+1个长度为l₂的身份、n+1个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成长度为l₁的中间信息，H₂是表示把n+1个长度为l₂的身份、一个长度为l₁的消息、n+2个G₁上的元素和一个G₃上的元素联接，然后通过散列算法变换成Z_q^*上的元素；

(A3)密钥生成中心从有限域Z_q^*中随机选取主密钥x，确定系统公钥y：

y＝g^x∈G₁；

(A4)密钥生成中心保密主密钥x，公布系统全局参数L：

L＝{q,G₁,G₂,G₃,g,y,n,l₁,l₂,H₀,H₁,H₂}；

B、生成用户的私钥和公钥

(B1)设定U是n个用户的身份集合{I₁,I₂,...,I_n}，拥有身份I_i∈U的用户从有限域Z_q^*中随机选择私钥x_i，确定自己的公钥y_i：

其中i∈{1,2,…,n}，设定ω是n个用户的公钥集合{y₁,y₂,...,y_n}；

(B2)拥有身份的接收方从有限域Z_p^*中随机选择私钥x_r，确定自己的公钥y_r：

C、生成用户的部分私钥

(C1)密钥生成中心生成拥有身份I_s∈U是实际签密方的部分私钥d_s：

d_s＝Q_s^x∈G₂

其中Q_s是H₀(y,y_s,I_s)，密钥生成中心发送部分私钥d_s给实际签密方，如果e(g,d_s)与e(y,Q_s)相等，实际签密方接受部分私钥d_s，否则，要求密钥生成中心重新发送；

(C2)密钥生成中心生成拥有身份I_r的接收方的部分私钥d_r：

d_r＝Q_r^x∈G₂

其中Q_r是H₀(y,y_r,I_r)，密钥生成中心发送部分私钥d_r给接收方，如果e(g,d_r)与e(y,Q_r)相等，接收方接受部分私钥d_r，否则，要求密钥生成中心重新发送；

D、环签密

(D1)拥有身份I_s∈U的实际签密方代表n个用户U从有限域Z_q^*中选择一个随机数υ，确定μ、ρ、c：

μ＝g^υ∈G₁

ρ＝e(yy_r,Q_r)^υ

式中m是长度为l₁的消息；

(D2)对于任意的i∈{1,2,…,n}\{s}，实际签密方选择u_i∈G₁，确定h_i：

h_i＝H₂(I_r,U,m,ω,y_r,u_i,ρ)；

(D3)对于i为s，实际签密方选择u_s∈G₂，确定u_s、h_s、s：

h_s＝H₂(I_r,U,m,ω,y_r,u_s,ρ)

(D4)实际签密方将如下密文σ发送给拥有身份I_r的接收方：

σ＝{μ,c,u₁,...,u_n,s}；

E、解签密

(E1)拥有身份I_r的接收方收到密文σ后，确定ρ、m：

(E2)对于任意的i∈{1,2,…,n}，接收方确定h_i：

h_i＝H₂(I_r,U,m,ω,y_r,u_i,ρ)；

(E3)如果

成立，接受明文m；否则，密文无效。