[发明专利]非延展单向代理转密密钥产生方法和设备、非延展单向代理转密执行方法和系统

说明书

技术领域

本发明涉及计算机通信网络安全领域，更具体地，涉及一种非延展单向代理转密密钥产生方法和设备、以及一种非延展单向代理转密执行方法和系统。

背景技术

代理转密(PRE)是一种具有特殊属性的加密系统，其中作为授权方的Alice可以授权作为被授权方的Bob来对Alice的密文进行解密。PRE系统的关键要求是为Bob进行的密文转密操作不需要Alice的参与。否则，PRE系统就没有存在的意义。

为了满足这种关键要求，在PRE系统中引入代理方，代理方在没有看见明文的情况下将Alice的密文转换为Bob的相同消息的密文。需要注意的是，在公钥加密设置中，原始的PRE方案是：Alice向代理方提供私钥。但是这需要对代理方具有不实际的受信度，而PRE系统的目标是在不依赖于受信方的情况下确保能够对密文进行转密。

PRE可应用于很多应用场景，例如电子邮件转发(参考文献[1])、安全发送名单(参考文献[2])、数字权限管理(DRM)(参考文献[3])以及对加密文件存储器的访问控制(参考文献[4]和[5])。

代理转密(PRE)首先是由Blaze等提出的(参考文献[1])。PRE一经提出就受到广泛关注，近来又提出了一系列的PRE技术。在多数现有技术中，单向代理转密方案是一种(概率的)多项式时间算法元组其中的元素定义如下：

是底层密码系统的标准密钥产生、加密和解密算法。这里ε和是算法的集合(可能是单元素集)。在输入安全参数1^k时，输出密钥对(p_k，s_k)。在输入pk_A和消息时，对于所有的ε_i∈ε，输出是密文C_A。在输入sk_A和密文C_A时，存在输出消息的

在输入(pk_A，sk_A，pk_B，sk_B)时，转密密钥产生算法输出针对代理方的转密密钥rk_A→B。

在输入rk_A→B和密文C_A时，转密函数输出转密后的密文C_B。

然而，上述定义不必要地限制了转密密钥的数据流，即转密密钥仅能够被发送给代理方。结果，如果实际上转密密钥被发送给不是代理方的一方，例如转密密钥被发送给被授权方Bob，则遵循上述定义并实现算法的现有技术不安全。

下面首先简要地介绍五个现有PRE方案，以佐证上述观点：即如果实际上转密密钥被发送给不是代理方的一方，则现有技术不安全。

参考文献[1]：在该方案中，授权方Alice具有公钥g^a和私钥a，而被授权方Bob具有公钥g^b和秘密密钥b，其中g产生了p阶有限循环群。为了授权Bob，Alice将rk_a→b＝b/amodp发送给代理方。

参考文献[4]和[5]：在该方案中，尤其是方案3(第3.3部分，ThirdAttempt)，授权方Alice具有公钥和私钥(a₁，a₂)，被授权方Bob具有公钥和私钥(b₁，b₂)，其中Z产生有限循环群，而g产生另一有限循环群。为了授权Bob，Alice将发送给代理方。

参考文献[6]：在该方案中，授权方Alice具有公钥g^a和私钥a，被授权方Bob具有公钥g^b和私钥b，其中g产生有限循环群。为了授权Bob，Alice将rk_a→b＝b/a发送给代理方。

参考文献[7]：在该方案中，授权方Alice具有针对随机群元素h_A的公钥和私钥(a₁，a₂)，被授权方Bob具有针对另一随机群元素hB的公钥和私钥(b₁，b₂)。为了授权Bob，Alice将针对另一随机群元素h_R的发送给代理方。