[发明专利]具有多重安全属性的基于身份的多接收者环签密方法

权利要求书

1.一种具有多重安全属性的基于身份的多接收者环签密方法，其特征在于包括以下步骤：

1.参数设置；

给定一个秘密参数k，k是一个长整数，由私钥生成中心执行下列操作：

①设G₁和G₂分别是阶数为q＞2^k的加法群和乘法群，q为大素数，P为G₁的一个生成元；

②选择一个随机数P₀∈_RG₁，并选取一个随机数s∈_RZ_q^*作为主密钥，设P_pub＝sP为系统公钥；其中，P₀是加法群G₁中的一个随机数，G₁是阶数为q的加法群，Z_q^*是模为q的整数乘法群；

③选择安全的对称加解密算法对(E,D)；

④选择双线性映射ê:G₁×G₁→G₂；

⑤选择六个哈希函数：下式中|M|表示将要传输的明文消息的二进制长度，

H₁：{0,1}^*→G₁，H₂：G₂→{0,1}^*，H₃：{0,1}^|M|×G₁→_RZ_q^*，

H₄：{0,1}^|M|×G₁×G₁×G₁×{0,1}^*→_RZ_q^*，

H₅：G₁×G₂×{0,1}^|M|→{0,1}^|M|，H₆：{0,1}^|M|×G₁×G₁×{0,1}^*→G₁；

⑥系统公开参数为params＝<G₁,G₂,ê,P,P₀,P_pub,H₁,H₂,H₃,H₄,H₅,H₆,q>；其中，H₁,H₂,H₃,H₄,H₅,H₆均表示单向散列函数；

2.密钥提取；

输入用户i的身份ID_i，私钥生成中心计算用户的公私钥：公钥Q_i＝H₁(ID_i)和私钥D_i＝sQ_i然后通过安全信道将私钥发送给用户；

3.匿名签密；

L'＝{ID'₁,ID'₂,…,ID'_n}为实际签密者选择的n个接收者的身份集合；选择一个用户身份集合L＝{ID₁,ID₂,…,ID_t}，该集合中包含实际签密者的身份ID_S，即ID_S∈L，且输入系统公开参数params、明文消息M，签密者执行下列步骤：

①加密部分：

a)选择随机参数α∈_RZ_q^*，计算参数U＝αP，然后计算

θ＝H₂(ω) (1)

得到θ为对称密钥，计算σ₁＝E_θ(M)，对消息进行加密；

b)使用n对数(x₁,y₁)，(x₂,y₂)，…，(x_n,y_n)，构造拉格朗日函数f(x)满足x_j是f_j(x)＝y_j的解，这里对于j＝1,2,…,n都有x_j＝H₃(ID'_j)，y_j＝α(P₀+Q'_j)，其中Q'_j为接收者ID'_j的公钥；x_j是使用接收者身份信息计算得到的哈希值；y_j是使用接收者公钥等参数计算得到的参数，与x_j一同共构成n对数构造拉格朗日函数；

c)对于j＝1,2,…,n，计算f_j(x)＝Π_{1≤j≠j'≤n}(x-x_j)/(x_j-x_j')＝τ_j,1+τ_j,2x+…+τ_j,nx^n-1，其中τ_j,1,τ_j,2,…,τ_j,n∈Z_q^*；对于j＝1,2,…,n，计算T_j＝∑_j'＝1τ_j,j'y_j，T＝∑T_j；其中，f_j(x)是拉格朗日插值函数，用于隐藏接收者的身份信息；τ_j，1、τ_j，2、τ_j，n是含有接收者信息的参数，接收者用该参数获得解密的关键信息；T_j是由τ_j,1和y_j计算得到的参数，作为密文的一部分，用于隐藏接收者的身份信息；T是所有T_j之和；

②环签名部分：

a)对于非实际签密者i＝1,2,…,t，i≠S，选择R_i∈_RG₁，R_i为对于不是实际签密者计算时在整数乘法群中随机选择的参数，计算

h_i＝H₄(σ₁,R_i,U,T,L) ⑵

b)对于实际签密者i＝S，选择x_S∈_RZ_q^*，计算R_S＝x_SQ_S-∑_i≠S(R_i+h_iQ_i)，h_S＝H₄(σ₁,R_S,U,T,L)，计算R＝∑R_i；

c)计算

σ₂＝H₅(R,ω,M) ⑶

S₁＝(x_S+h_S)D_S ⑷

S₂＝αH₆(σ₁,R,T,L) ⑸

最后得到密文为C＝<σ₁,σ₂,S₁,S₂,U,R₁,…,R_t,T,T₁,…,T_n,L>；其中，U是计算得到的部分密文；ω是计算得到的参数，参与计算对称密钥；σ₁是使用对称加密算法加密的消息值；h_i是非实际签密者使用参数σ₁,R_i,U,T,L，计算得到的哈希值；x_S是实际签密者计算时在整数乘法群中随机选择的参数；R_S是实际签密者计算得到的参数；h_S是实际签密者使用参数σ₁,R_s,U,T,L，计算得到的哈希值；R是包含实际签密者在内的所有发送者的参数R_i和R_S之和；S₁是包含实际签密者私钥等参数计算得到的值，是密文的一部分；S₂是使用第六种哈希函数计算得到的参数值，是密文的一部分；

4.解签密；

输入密文C、系统公开参数params、接收者身份信息L'＝{ID'₁,ID'₂,…,ID'_n}，每个接收者ID'_j使用自己的私钥D'_j进行如下计算来解密密文C；

①计算

δ_j＝T₁+x_jT₂+…+(x_j^n-1mod q)T_n ⑹

其中x_j＝H₃(ID'_j)；

②将⑹式的值代入下式，计算

通过公式⑴来还原对称密钥θ'＝H₂(ω')，并进行解密计算M'＝D_θ'(σ₁)，得到一个消息值M'；

将得到的消息M'带入公式⑶中，检查σ₂＝H₅(R,ω',M')是否成立，若成立，则认为M'＝M；若不成立，则输出“⊥”，说明签名值是无效的；σ₂是使用参数R,ω,M和第五种哈希函数计算得到的签名值，是密文的一部分；δ_j是使用密文计算得到的解密参数；ω'是计算对称密钥的参数；

5.公开验证；

接收者或者任意的第三方获得密文后，通过该算法验证发送者身份的可靠性；

①对于i＝1,…,t，通过公式⑵，恢复出h_i＝H₄(σ₁,R_i,U,T,L)，计算H＝H₆(σ₁,R,T,L)；

②利用⑷式、⑸式中得到的S₁和S₂判断⑻式、⑼式是否成立：

若⑻式、⑼式皆成立，则认为签名者身份合法、可靠，签密值具有真实性；否则认为该签密无效。