[发明专利]一种基于身份的广播加密方法

说明书

本发明公开了一种基于身份的广播加密方案，可以实现安全的广播通信。本发明包括：初始化系统安全参数、建立广播用户集合集合U、用户身份空间，生成主密钥s，生成公开参数param。广播中心根据用户U_i∈U的身份ID_i生成其相应公钥pk_i并公开，同时根据主密钥s生成私钥sk_i并发送给U_i。广播者U_i∈U按以下步骤发送广播消息：首先定义接收者集合S，选取广播密钥K，计算广播头Hdr，然后使用K作为密钥加密广播消息得到密文c，将(Hdr,c)通过广播信道公开。用户接收到(Hdr,c)后，其中将无法解密获得广播消息，只有用户U_r∈S可以通过下列步骤解密：用私钥sk_r从Hdr中恢复出密钥K，使用K解密密文c得到广播消息。本发明适用于一对多的广播通信领域，为广播集合中的消息传输提供了保密性、权限控制、抗同谋攻击等服务。

技术领域

本发明涉及到密码学，属于保密通信领域，尤其涉及一种基于身份的广播加密方案。

背景技术

广播加密最早于1991年由Berkovits等学者在《How to broadcast a secret》一文中提出，后来于1993年由Amos Fiat等学者在《broadcast encryption》一文中将广播加密确立为一个新的领域。广播加密主要用于实现“一对多”的通信模式，即广播发送者在非安全信道上将广播消息加密后同时传输给多个不同的接收者，其中只有被该广播发送者授权的合法接收者才能够正确解密获得广播消息，而非授权的用户不能正确解密获得广播消息。广播加密目前广泛应用于数字付费电视、卫星通信、电话会议、无线传感器网络等具体场景中。

广播加密的研究主要包括广播加密方案和叛逆者追踪技术两个方面。其中广播加密方案即提出一个具体的能满足安全地“一对多”通信的加密方案。根据加密体制分为对称加密和非对称加密两种，广播加密也分为对称广播加密和非对称广播加密两种。其区别主要在于广播加密和解密过程中使用的加密密钥和解密密钥是否相同。对称广播加密要求广播发送者和广播接收者的广播密钥必须相同，因此广播群中必须存在一个可信任的广播中心来负责广播密钥的设定和管理。广播用户集合中的所有用户的广播密钥需要由广播中心生成并通过安全信道发放，因此也只有广播中心才具备可以发送广播消息给广播群中的所有用户的条件，并且广播中心和广播接收者的密钥协商必须在非常安全的环境下进行。但是对称广播加密体制中广播中心对广播密钥的控制会造成用户对其的完全依赖性，同时也无法满足动态性和可验证性。非对称广播加密则使广播密钥分为加密密钥和解密密钥两种，因此广播发送者只要在发送加密的广播消息前公开自己的公钥等信息，则可以保证合法授权接收用户可以用相应的私钥进行解密，即不需要广播发送者和每个不同的广播接收者持有不同的广播密钥对，从而大大的节省了密钥空间，因此广播群中的任何用户均可以作为对称广播加密体制的广播中心，但非对称广播加密方案在传输时效上常常弱于对称加密广播加密方案。目前的广播加密方案主要以非对称广播加密方案为主。广播加密方案除了提供基本的“一对多”通信模式之外，还可以提供如权限控制、机密性、动态性、抗同谋攻击等服务。权限控制是指广播发送者在发送广播消息前，可以自己确定授权接收用户集合，因此广播信道上的其他非授权接收者即使收到了加密的广播消息也无法正确解密，同时权限控制还包括撤销授权用户权利等。机密性是指加密后的广播消息只能被授权接收用户通过自己的解密密钥正确解密后获得，而非授权的用户则无法通过自己的解密密钥正确解密获得。动态性是针对动态的广播用户集合而言，即广播集合中存在新用户的加入和旧用户的退出两种行为，当发生这两种行为时，应该有具体的方案来给新加入的用户发放密钥，并且应满足后向安全，即新加入的用户不能解密加入前已经存在和公开的广播密文，同时也应有具体的方案来回收退出的旧用户的密钥，并且应满足前向安全，即退出的旧用户将不能解密退出后收到的所有广播密文。抗同谋攻击是针对指非授权接收用户而言，即非授权接收用户进行任意的联合后也不能解密广播密文获得广播消息。