[发明专利]基于多变量密码体制的无证书多接收者签密方法

权利要求书

1.一种基于多变量密码体制的无证书多接收者签密方法，其特征在于包括以下步骤：

步骤一、密钥生成中心选择秘密正整数参数s，产生大素数p和正整数l；

选择阶为q的有限域G，其中q=p^l；

令Gⁿ是有限域G的n次扩张；

令正整数g为多变量方程组中方程的个数；

选择H₁∶G×G×Gⁿ→Gⁿ，H₂∶G→Gⁿ为密码学安全的抗碰撞单向不可逆哈希函数，生成系统参数{G，l，g，n，q，p，H₁，H₂｝；

步骤二、密钥生成中心选择安全的多变量加密算法，其核心变换F为Gⁿ→Gⁿ上的可逆二次变换，并在Gⁿ→Gⁿ上随机选择两个可逆的仿射变换T和V，生成密钥生成中心的系统公钥系统私钥

密钥生成中心在Gⁿ→Gⁿ上随机选择两个可逆的仿射变换T₀和V₀，计算则系统部分公钥为系统部分私钥为最后，密钥生成中心通过秘密信道将系统部分私钥传递给合法用户，密钥生成中心公开自己的系统公钥；当有用户退出时，密钥生成中心需重新生成系统部分公钥和系统部分私钥；增加新用户则不需重新生成系统部分公钥和系统部分私钥；

步骤三、用户U获取密钥生成中心的系统部分私钥，然后计算系统部分私钥，随机选择Gⁿ→Gⁿ上的仿射变换T_u和V_u，合成自己的私钥并计算自己的公钥生成用户U的公钥为F_u，用户U的私钥为

用户U将自己的公钥F_u传递给密钥生成中心，并且秘密保存自己的私钥

步骤四、身份为ID_A的用户Alice将签密消息m∈G发送给用户组L={ID₁，ID₂,…，ID_t}，首先通过向密钥生成中心查询得到用户组L的公钥信息，然后进行如下计算；

选择随机数r∈Gⁿ，r₁∈Gn^-1，将消息m和r₁链接得到M=m||r₁,并依次计算X=E(F‾,r),]]>Y＝H₁(m，ID_A，X)，S=D(FA-1,Y);]]>

对于ID_i，i＝1，2，...，t，计算q_i＝H₂(ID_i)，

对于用户组L，将L和r₁链接得到L₁=L||r₁，计算

最后生成密文σ＝{S，W₁，W₂，...，W_t，L′}；

步骤五、用户ID_i，i＝1，2，...，t，收到密文σ后，进行如下计算；

获取身份列表，L₁的第一维元素即用户组身份列表L，提取ID_i对应的密文信息{S，W_i｝；

依次计算Y′＝E(F_A，S)，q_i＝H₂(ID_i)，M′的第一维元素即消息m′；

验证等式Y′＝H₁(m′，ID_A，X′)是否成立；若等式成立，则接受密文σ；否则拒绝密文σ，并输出⊥。