[发明专利]组密钥初始分配中的隐私保护方法

权利要求书

1.组密钥初始分配中的隐私保护方法，其特征在于，整个程序包括组密钥签发，组密钥验证和第三方证明三个阶段；

1.)组密钥签发包括以下具体步骤：

1.1组密钥的签发者随机选择两个整数k₁和k₂，满足1≤k₁＜n，1≤k₂＜n，k₁和n互素，k₂和n互素；

n是椭圆曲线E(F_p)上的生成元P的一个素数阶；有限域F_p上的椭圆曲线E(F_p)是定义在仿射平面上的3次方程E：y²≡x³+ax+b(mod p)的所有解与无穷远点O的并集，记作E(F_p)＝{(x，y)|y²＝x³+ax+b，(x，y)∈F_p*F_p}∪{O}，其中p为大于3的素数，参数a，b∈有限域F_p＝{0，1，2，...，p-1}，满足 生成元P的阶数n是满足nP＝0的最小整数；

1.2组密钥的签发者计算点G＝(k₁-k₂)·P，点R₁＝(k₁-k₂)·B＝(x₁，y₁)，点R₂＝k₁·B＝(x₂，y₂)，参数r₁＝x₁(mod n)，参数r₂＝x₂(mod n)；如果r₁＝0或者r₂＝0，则返回步骤1.1；

B是首次加入群组的申请者的公钥，满足B＝d_B·P(mod p)，d_B是首次加入群组的申请者的私钥，满足d_B∈[1，n-1]，mod是数学模运算；有限域F_p上的椭圆曲线E(F_p)的运算包括点的加法和点的数乘：

点的加法：令P₁，P₂∈E(F_p)，P₁＝(x₁，y₁)，P₂＝(x₂，y₂)，则R＝P₁+P₂＝(x₃，y₃)∈E(F_p)，其中x₃＝λ²＝x₁-x₂，y₃＝λ(x₁-x₃)-y₁；当P₁≠P₂时，λ＝(y₂-y₁)/(x₂-x₁)；当P₁＝P₂时，λ＝(3x₁²+a)/(2y₂)；

点的数乘：令P＝(x，y)≠0，k是整数，则kP＝(x，y)+(x，y)+...+(x，y)的k-1次加法；

1.3组密钥的签发者计算组密钥消息密文c＝m·r₁和组密钥消息签名s≡k₂^-1(m-d_A·r₂)(mod n)；如果s＝0，则返回步骤1.1；

m是组密钥消息，d_A是组密钥签发者的私钥，满足d_A∈[1，n-1]，A是组密钥签发者的公钥，满足A＝d_A·P(mod p)；

1.4组密钥的签发者发送{c，G，R₂，s}给首次加入群组的申请者；

2.)组密钥验证阶段包括以下具体步骤：

2.1首次加入群组的申请者验证点G和点R₂＝(x₂，y₂)是否是椭圆曲线E(F_p)上的点；如果G和R₂不是椭圆曲线E(F_p)上的点，则拒绝接收组密钥消 息；否则，计算参数r₂＝x₂(mod n)，验证参数r₂和签名s是否满足r₂∈[1，n-1]，s∈[1，n-1]；如果不满足，则终止该程序；否则，继续执行步骤2.2；

2.2首次加入群组的申请者计算点R₁＝d_B·G＝(x₁，y₁)，参数r₁＝x₁(mod n)；

2.3首次加入群组的申请者解密组密钥消息密文m＝c·r₁^-1；

2.4首次加入群组的申请者计算点V₁＝r₂·A+d_B^-1·s·R₂-s·G和点V₂＝m·P；

2.5首次加入群组的申请者验证是否满足V₁＝V₂；如果不满足，则拒绝接收组密钥消息；否则，接收组密钥消息；

3.)第三方证明阶段包括以下具体步骤：

3.1首次加入群组的申请者计算点V＝d_B^-1·s·R₂和点U＝d_B·V，发送{m，G，R₂，s，V}给第三方；

如果使用的是可信的通信信道，首次加入群组的申请者明文传送组密钥消息m；如果使用的是不可信的通信信道，首次加入群组的申请者与第三方协商加密传送组密钥消息m；

3.2第三方计算点V₁＝r₂·A+V-s·G和点V₂＝m·P，其中参数r₂＝x₂(mod n)，点R₂＝(x₂，y₂)，验证是否满足V₁＝V₂；如果不满足，则终止该程序；否则，计算点U＝s·R₂；

3.3首次加入群组的申请者随机选择一个整数k，k∈[1，n-1]，计算点E₁＝k·V和点E₂＝k·P，发送E₁和E₂给第三方；

3.4第三方随机选择一个整数ω发送给首次加入群组的申请者；

3.5首次加入群组的申请者计算v＝k-d_B·ω，发送v给第三方；

3.6第三方验证是否满足E₁＝v·V+ω·U和E₂＝v·P+ω·B；如果满足，则第三方验证成功；如果不满足，则第三方验证失败。