[发明专利]一种基于证书的广义签密方法

权利要求书

1.一种基于证书的广义签密方法，其特征在于，发送者只需使用一个算法和保存一对密钥就可实现加密、签名和签密三项功能，具体包括下列步骤：

步骤1：系统初始化：

设定系统参数，安全参数k为正整数；认证中心选择两个素数p和q满足q互质于p-1，和一个安全椭圆曲线E(F_p),其中Fp表示阶为p的有限域；设G是E(F_p)上的一个阶为q的循环群，P是G的一个生成元；认证中心随机选择作为主私钥，计算P_pub＝sP作为主公钥；认证中心定义五个散列函数H₁,H₂,H₃,H₄:和H₅:{0,1}^*→{0,1}^m，其中{0,1}^*表示任意比特长的二进制序列组成的集合，{0,1}^m表示比特长为m的二进制序列组成的集合，m为预设参数，表示消息的比特长度，是由所有大于等于1且小于q的正整数组成的有限域；认证中心定义一个特殊函数f(ID_i)，其中ID_i∈{0,1}^*为用户身份；如果用户身份为空，令f(ID_i)＝0，否则令f(ID_i)＝1；公开系统参数为{p,q,E(Fp),G,P,P_pub,m,H₁,H₂,H₃,H₄,H₅,f(ID_i)}，认证中心保密主私钥s；

步骤2：用户密钥生成：

身份为ID_i的用户随机选取作为他的私钥，并计算他的公钥为X_i＝x_iP；则身份为ID_a的发送者的私钥为x_a，公钥为X_a，身份为ID_b的接收者的私钥为x_b，公钥为X_b；

步骤3：证书产生：

给定用户身份ID_i和他的公钥X_i，认证中心随机选取计算Y_i＝y_iP和z_i＝y_i+sH₁(ID_i,X_i,Y_i,P_pub)mod q；认证中心把Y_i和z_i从公开信道传递给身份为ID_i的用户；身份为ID_i的用户通过验证等式z_iP＝Y_i+H₁(ID_i,X_i,Y_i,P_pub)P_pub来验证证书z_i的正确性；如果不正确，则要求认证中心重新生成证书；则身份为ID_a的发送者的证书为z_a，公开参数为Y_a，身份为ID_b的接收者的证书为z_b，公开参数为Y_b；

步骤4：广义签密：

设发送者身份为ID_a，接收者身份为ID_b，消息为m∈{0,1}^*，标签tag∈{0,1}；身份为ID_a的发送者首先计算f(ID_a)和f(ID_b)；然后他随机选择r₁,计算Q₁＝r₁P，Q₂＝r₂P，h₁＝H₁(ID_b,X_b,Y_b,P_pub)，U₁＝r₁X_b，U₂＝r₁(Y_b+h₁P_pub)，c＝f(ID_b)H₅(Q₁,Q₂,U₁,U₂,ID_a,X_a,Y_a,ID_b,X_b,Y_b)⊕m，h₂＝H₂(Q₁,Q₂,ID_a,X_a,Y_a,ID_b,X_b,Y_b,c)，h₃＝H₃(Q₁,Q₂,ID_a,X_a,Y_a,ID_b,X_b,Y_b,c)，h₄＝H₄(Q₁,Q₂,ID_a,X_a,Y_a,ID_b,X_b,Y_b,c)和s＝f(ID_a)(x_ah₂+z_ah₃)+r₁h₄+r₂ mod q；输出σ＝(Q₁,Q₂,s,c,tag)作为广义签密密文，其中⊕表示异或运算；

(1)加密模式：如果发送者身份ID_a为空而接收者身份ID_b不空，则算法运行于该模式；此时密文σ＝(Q₁,Q₂,s,c,tag＝1)是一个加密密文，在这种情况下X_a和Y_a设为椭圆曲线E(F_p)上的无穷远点∞，x_a和z_a设为0；

(2)签名模式：如果发送者身份ID_a不空而接收者身份ID_b为空，则算法运行于该模式；此时密文σ＝(Q₁,Q₂,s,c,tag＝2)是一个签名，在这种情况下X_b和Y_b设为椭圆曲线E(F_p)上的无穷远点∞；

(3)签密模式：如果发送者身份ID_a和接收者身份ID_b都不为空，则算法运行于该模式；此时密文σ＝(Q₁,Q₂,s,c,tag＝3)是一个签密密文；

步骤5：解广义签密：

给定一个广义签密密文σ＝(Q₁,Q₂,s,c,tag)，身份为ID_b的接收者首先根据tag的值计算f(ID_a)和f(ID_b)；如果tag＝1，则f(ID_a)＝0，f(ID_b)＝1；如果tag＝2，则f(ID_a)＝1，f(ID_b)＝0；如果tag＝3，则f(ID_a)＝1，f(ID_b)＝1；然后，他计算h₁＝H₁(ID_a,X_a,Y_a,P_pub)，h₂＝H₂(Q₁,Q₂,ID_a,X_a,Y_a,ID_b,X_b,Y_b,c)，h₃＝H₃(Q₁,Q₂,ID_a,X_a,Y_a,ID_b,X_b,Y_b,c)，h₄＝H₄(Q₁,Q₂,ID_a,X_a,Y_a,ID_b,X_b,Y_b,c)，并验证等式sP＝f(ID_a)(X_ah₂+(Y_a+h₁P_pub)h₃)+Q₁h₄+Q₂是否成立；如果等式不成立就拒绝；否则他计算U₁＝x_bQ₁，U₂＝z_bQ₁，解密得消息m＝f(ID_b)H₅(Q₁,Q₂,U₁,U₂,ID_a,X_a,Y_a,ID_b,X_b,Y_b)⊕c。