[发明专利]无安全信道的无证书匿名多接收者签密方法

摘要

本发明公开了一种无安全信道的无证书匿名多接收者签密方法，用于解决现有无证书匿名多接收者签密方法安全性差的技术问题。技术方案是首先由密钥生成中心KGC通过公开信道将伪部分私钥和部分公钥发送给用户，用户接收后，验证接收到的部分公钥和伪部分私钥是否成立，若是，则计算出用户的公钥、部分私钥以及私钥，否则停止操作；接下来将签密算法设计在椭圆曲线上，签密算法中的密文信息不包括发送者和接收者的身份信息，最后广播密文消息，只有授权接收者在验证密文消息合法的前提下，才解密密文消息获取明文消息。本发明通过公开信道将用户的伪部分私钥发送给用户，降低了成本；而且授权接收者在验证密文合法时，解密密文消息，提高了安全性。

主权项

1.一种无安全信道的无证书匿名多接收者签密方法，其特征在于包括以下步骤：步骤一、用户U包括发送者S和接收者Ri，获取自己的公钥PKU和私钥SKU，其中i＝1,2,…,n，n是正整数，表示发送者S选取的接收者的个数；步骤二、用户U随机选取一个整数vU∈Zp*作为秘密值，然后按照下式，用户U计算自己的秘密值参数VU：VU＝vUP其中，vU表示用户U随机选取的秘密值，∈表示限定域符号，Zp*表示基于大素数p构成的非零乘法群，p表示密钥生成中心KGC选取的大素数，VU表示用户U的秘密值参数，P表示密钥生成中心KGC选取的加法循环群Gp上的生成元，Gp表示密钥生成中心KGC选取的椭圆曲线E上的加法循环群，E表示密钥生成中心KGC选取的有限域Fp上的安全的椭圆曲线，Fp表示密钥生成中心KGC选取的阶为大素数p的有限域；步骤三、用户U将秘密值参数VU和自己的身份信息IDU通过公开信道发送给密钥生成中心KGC，密钥生成中心KGC收到用户U的秘密值参数VU和身份信息IDU后，随机选取整数dU∈Zp*，按照下式，计算用户U的部分公钥DU：DU＝H0(IDU,VU,dU)P其中，dU表示密钥生成中心KGC为用户U随机选取的整数，∈表示限定域符号，Zp*表示基于大素数p构成的非零乘法群，p表示密钥生成中心KGC选取的大素数，DU表示用户U的部分公钥，H0表示密钥生成中心KGC选取的抗碰撞哈希函数，IDU表示用户U的身份信息，VU表示用户U的秘密值参数，P表示密钥生成中心KGC选取的加法循环群Gp上的生成元；步骤四、按照下式，密钥生成中心KGC计算用户U的部分私钥yU：yU＝H0(IDU,VU,dU)+s(modp)其中，yU表示用户U的部分私钥，H0表示密钥生成中心KGC选取的抗碰撞哈希函数，IDU表示用户U的身份信息，VU表示用户U的秘密值参数，dU表示密钥生成中心KGC为用户U随机选取的整数，s表示密钥生成中心KGC选取的系统主密钥，mod表示求模操作，p表示密钥生成中心KGC选取的大素数；步骤五、按照下式，密钥生成中心KGC计算用户U的伪部分私钥rU：rU＝yU+H1(IDU,sVU)其中，rU表示用户U的伪部分私钥，yU表示用户U的部分私钥，H1表示密钥生成中心KGC选取的抗碰撞哈希函数，IDU表示用户U的身份信息，s表示密钥生成中心KGC选取的系统主密钥，VU表示用户U的秘密值参数；步骤六、密钥生成中心KGC通过公开信道将用户U的部分公钥DU和伪部分私钥rU发送给用户U；步骤七、用户U接收到密钥生成中心KGC发送过来的部分公钥DU和伪部分私钥rU后，判断它们是否满足如下的等式；如果是，则执行步骤八，否则，用户U向密钥生成中心KGC报错，并退出用户注册过程；rUP＝DU+Ppub+H1(IDU,vUPpub)P其中，rU表示用户U的伪部分私钥，DU表示用户U的部分公钥，Ppub表示密钥生成中心KGC生成的系统公钥，H1表示密钥生成中心KGC选取的抗碰撞哈希函数，IDU表示用户U的身份信息，vU表示用户U随机选取的秘密值，P表示密钥生成中心KGC选取的加法循环群Gp上的生成元；步骤八、按照下式，用户U计算公钥PKU：PKU＝DU+H1(IDU,VU)VU其中，PKU表示用户U的公钥，DU表示用户U的部分公钥，H1表示密钥生成中心KGC选取的抗碰撞哈希函数，IDU表示用户U的身份信息，VU表示用户U的秘密值参数；步骤九、按照下式，用户U计算自己的部分私钥yU：yU＝rU‑H1(IDU,vUPpub)其中，yU表示用户U的部分私钥，rU表示用户U的伪部分私钥，H1表示密钥生成中心KGC选取的抗碰撞哈希函数，IDU表示用户U的身份信息，vU表示用户U随机选取的秘密值，Ppub表示密钥生成中心KGC生成的系统公钥；步骤十、用户U按照下式计算私钥SKU：SKU＝H1(IDU,PKU)(yU+H1(IDU,VU)vU)(modp)其中，SKU表示用户U的私钥，H1表示密钥生成中心KGC选取的抗碰撞哈希函数，IDU表示用户U的身份信息，PKU表示用户U的公钥，yU表示用户U的部分私钥，VU表示用户U的秘密值参数，vU表示用户U随机选取的秘密值，mod表示求模操作，p表示密钥生成中心KGC选取的大素数；步骤十一、用户U将自己的公钥PKU通过公开信道发送给密钥生成中心KGC，并由密钥生成中心KGC对外公布用户U的公钥PKU，用户U安全地保存自己的私钥SKU，之后退出用户注册过程；步骤十二、发送者S判断自己是否已经执行了用户注册过程；若是，则执行步骤十三，否则，发送者S执行用户注册过程获取自己的公钥PKS和私钥SKS后，再执行步骤十三；步骤十三、发送者S随机选取已注册的接收者Ri，i＝1,2,…,n，其中，n是正整数，表示发送者S随机选取的接收者Ri的数目；步骤十四、按照下式，对每一个i＝1,2,…,n，发送者S计算第i个接收者Ri的伪公钥Qi：Qi＝PKi+Ppub其中，Qi表示第i个接收者Ri的伪公钥，PKi表示第i个接收者Ri的公钥，n表示发送者S随机选取的接收者Ri的数目，Ppub表示密钥生成中心KGC生成的系统公钥；步骤十五、发送者S随机选取签密整数w∈Zp*，按照下式计算发送者S的签密验证份额W：W＝wP其中，w表示发送者S随机选取的签密整数，W表示发送者S的签密验证份额，∈表示限定域符号，Zp*表示基于大素数p构成的非零乘法群，P表示密钥生成中心KGC选取的加法循环群Gp上的生成元；步骤十六、按照下式，对每一个i＝1,2,…,n，发送者S计算第i个接收者Ri的签密验证份额Fi：Fi＝wH1(IDi,PKi)Qi其中，Fi表示第i个接收者Ri的签密验证份额，w表示发送者S随机选取的签密整数，H1表示密钥生成中心KGC选取的抗碰撞哈希函数，IDi表示第i个接收者Ri的身份信息，PKi表示第i个接收者Ri的公钥，Qi表示第i个接收者Ri的伪公钥，n表示发送者S随机选取的接收者Ri的数目；步骤十七、按照下式，对每一个i＝1,2,…,n，发送者S计算第i个接收者Ri的伪身份值αi：αi＝H2(W,Fi)其中，αi表示第i个接收者Ri的伪身份值，H2表示密钥生成中心KGC选取的抗碰撞哈希函数，W表示发送者S的签密验证份额，Fi表示第i个接收者Ri的签密验证份额，n表示发送者S随机选取的接收者Ri的数目；步骤十八、发送者S随机选取加密整数g∈Zp*，按照下式，计算加密验证份额G：G＝gP其中，g表示发送者S随机选取的加密整数，G表示加密验证份额，∈表示限定域符号，Zp*表示基于大素数p构成的非零乘法群，P表示密钥生成中心KGC选取的加法循环群Gp上的生成元；步骤十九、按照下式，发送者S计算密文消息M：M＝m⊕H3(G,IDS)其中，M表示密文消息，m表示明文消息，⊕表示二进制逐位异或操作，H3表示密钥生成中心KGC选取的抗碰撞哈希函数，G表示加密验证份额，IDS表示发送者S的身份信息；步骤二十、发送者S随机选取整数ξ∈Zp*作为伪密钥，按照下式，发送者S构造接收者身份信息混合值f(x)：其中，ξ表示发送者S随机选取的伪密钥，∈表示限定域符号，Zp*表示基于大素数p构成的非零乘法群，f(x)表示接收者身份信息混合值，x表示自变量，∏表示连乘操作，αi表示第i个接收者Ri的伪身份值，n表示发送者S随机选取的接收者Ri的数目，mod表示求模操作，p表示密钥生成中心KGC选取的大素数，a0,a1,…,an‑1表示接收者身份信息混合值f(x)的各项系数；步骤二十一、按照下式，发送者S计算密文的有效性参数h：h＝H4(M,IDS,G,W,a0,a1,...,an‑1)其中，h表示密文的有效性参数，H4表示密钥生成中心KGC选取的抗碰撞哈希函数，M表示密文消息，IDS表示发送者S的身份信息，G表示加密验证份额，W表示发送者S的签密验证份额，a0,a1,…,an‑1表示接收者身份信息混合值f(x)的各项系数；步骤二十二、按照下式，发送者S计算对称密钥k：k＝H5(ξ)其中，k表示对称密钥，H5表示密钥生成中心KGC选取的抗碰撞哈希函数，ξ表示发送者S随机选取的伪密钥；步骤二十三、发送者S按照下式计算混合密文消息J：J＝Ek(M||IDS||h)其中，J表示混合密文消息，Ek表示对称加密算法，k表示对称密钥，M表示密文消息，IDS表示发送者S的身份信息，h表示密文的有效性参数，||表示链接符号；步骤二十四、发送者S按照下式计算密文的伪参数h0：h0＝H6(h)其中，h0表示密文的伪参数，H6表示密钥生成中心KGC选取的抗碰撞哈希函数，h表示密文的有效性参数；步骤二十五、发送者S计算g‑1使其满足等式gg‑1≡1(modp)，并计算签名参数z：z＝g‑1(SKS+h0)(modp)其中，g表示发送者S随机选取的加密整数，g‑1表示发送者S随机选取的加密整数g在模大素数p下的逆元，z表示签名参数，SKS表示发送者S的私钥，h0表示密文的伪参数，mod表示求模操作，p表示密钥生成中心KGC选取的大素数；步骤二十六、发送者S将混合密文消息J、发送者S的签密验证份额W、接收者身份信息混合值f(x)的系数a0,a1,…,an‑1、签名参数z作为签密密文C，并将签密密文C广播给接收者Ri，其中i＝1,2,…,n；步骤二十七、接收者Ri收到签密密文C后，执行解签密过程，其中，i＝1,2,…,n，n表示发送者S随机选取的接收者Ri的数目；步骤二十八、按照下式，接收者Ri计算自己的签密验证份额Fi：Fi＝SKiW其中，Fi表示第i个接收者Ri的签密验证份额，SKi表示第i个接收者Ri的私钥，W表示发送者S的签密验证份额；步骤二十九、按照下式，接收者Ri计算自己的伪身份值αi：αi＝H2(W,Fi)其中，αi表示第i个接收者Ri的伪身份值，H2表示密钥生成中心KGC选取的抗碰撞哈希函数，W表示发送者S的签密验证份额，Fi表示第i个接收者Ri的签密验证份额；步骤三十、按照下式，接收者Ri计算接收者身份信息混合值f(x)：f(x)＝xn+an‑1xn‑1+...+a1x+a0其中，f(x)表示接收者身份信息混合值，x表示自变量，n表示发送者S随机选取的接收者Ri的数目，a0,a1,...,an‑1表示接收者身份信息混合值f(x)的各项系数；步骤三十一、按照下式，接收者Ri计算发送者S随机选取的伪密钥ξ：ξ＝f(αi)其中，ξ表示发送者S随机选取的伪密钥，f(x)表示接收者身份信息混合值，x表示自变量，αi表示第i个接收者Ri的伪身份值；步骤三十二、按照下式，接收者Ri计算对称密钥k：k＝H5(ξ)其中，k表示对称密钥，H5表示密钥生成中心KGC选取的抗碰撞哈希函数，ξ表示发送者S随机选取的伪密钥；步骤三十三、按照下式，接收者Ri计算密文消息M、发送者S的身份信息IDS以及密文的有效性参数h：M||IDS||h＝Dk(J)其中，M表示密文消息，IDS表示发送者S的身份信息，h表示密文的有效性参数，J表示混合密文消息，Dk表示对称解密算法，k表示对称密钥，||表示链接符号；步骤三十四、接收者Ri按照下式计算密文的伪参数h0：h0＝H6(h)表示，h0表示密文的伪参数，H6表示密钥生成中心KGC选取的抗碰撞哈希函数，h表示密文的有效性参数；步骤三十五、按照下式，接收者Ri计算加密验证份额G：G＝z‑1(H1(IDS,PKS)(PKS+Ppub)+h0P)其中，G表示加密验证份额，z表示签名参数，z‑1表示签名参数z在模大素数p下的逆元，H1表示密钥生成中心KGC选取的抗碰撞哈希函数，IDS表示发送者S的身份信息，PKS表示发送者S的公钥，Ppub表示密钥生成中心KGC生成的系统公钥，h0表示密文的伪参数，P表示密钥生成中心KGC选取加法循环群Gp上的生成元；步骤三十六、按照下式，接收者Ri计算密文的权限参数h′：h′＝H4(M,IDS,G,W,a0,a1,...,an‑1)其中，h′表示密文的权限参数，H4表示密钥生成中心KGC选取的抗碰撞哈希函数，M表示密文消息，IDS表示发送者S的身份信息，G表示加密验证份额，W表示发送者S的签密验证份额，a0,a1,…,an‑1表示接收者身份信息混合值f(x)的各项系数；步骤三十七、接收者Ri判断密文的权限参数h′与密文的有效性参数h是否相等；若是，则说明发送者S的身份通过验证，接收者Ri确定接受发送者S发送的密文消息M，并执行步骤三十八，否则，说明发送者S的身份验证不通过，接收者Ri拒绝接受发送者S发送的密文消息M，并退出解签密过程；步骤三十八、接收者Ri解密得到明文消息m：m＝M⊕H3(G,IDS)其中，m表示明文消息，M表示密文消息，⊕表示二进制逐位异或操作，H3表示密钥生成中心KGC选取的抗碰撞哈希函数，G表示加密验证份额，IDS表示发送者S的身份信息。