[发明专利]可更新密钥的无证书多消息多接收者签密方法

权利要求书

1.一种可更新密钥的无证书多消息多接收者签密方法，其特征在于包括以下步骤：

首先，密钥生成中心KGC根据系统安全参数η选取大素数q和一个有限域F_q，并选取一条在有限域F_q上的安全椭圆曲线E，选取P为密钥生成中心KGC选取的椭圆曲线E的一个生成元；随机选系统主密钥s∈Z_q^*并秘密保存，其中，∈表示限定域符号，Z_q^*表示基于大素数q构成的非零乘法群；构造4个单向哈希函数，分别记为：

H₀：{0,1}^*×G_q×G_q→Z_q^*；H₁：G_q×Z_q^*→{0,1}^*；H₂：Z_q^*→{0,1}^*；

H₃：{0,1}^*×Z_q^*×Z_q^*×…×Z_q^*×{0,1}^*×G_q×Z_q^*→Z_q^*；

其中，H₀，H₁，H₂和H₃表示密钥生成中心KGC构造的4个单向哈希函数，A→B表示定义域A到值域B的映射，{0,1}^*表示任意长的“0”或“1”构成的串，F_q表示密钥生成中心KGC选取的一个有限域，×表示笛卡尔乘积，Z_q^*表示基于大素数q构成的非零乘法群；

密钥生成中心KGC从现有的对称加密算法中任意选取一种对称加密算法E_k(.)，并选取与该对称加密算法对应的对称解密算法D_k(.)；

密钥生成中心KGC构造并公开系统参数：params＝F_q,E,P,P_pub,H₀,H₁,H₂,H₃,E_k(.),D_k(.)，同时密钥生成中心KGC秘密保存系统主密钥s；

(1)用户注册过程：

(1a)用户U随机选取一个整数d_U作为自己的秘密值，按照下式，用户U计算自己的验证份额D_U，并将自己的身份信息ID_U和验证份额D_U通过公开信道发送给密钥生成中心KGC：

D_U＝d_UP (1-1)

其中，D_U表示用户U的验证份额，d_U表示用户U的秘密值，P表示密钥生成中心KGC选取的椭圆曲线E的一个生成元，ID_U表示用户U的身份信息，用户U包括接收者R_i和发送者S，i＝1,2,…,n，n表示发送者S在已注册的用户U中随机选取的接收者R_i的数目；

(1b)密钥生成中心KGC收到用户U的验证份额D_U和身份信息ID_U后，随机选取一个整数w_U，按照下式计算用户U的部分私钥验证参数W_U和部分私钥v_U，并将用户U的部分私钥验证参数W_U和部分私钥v_U通过安全信道发送给用户U：

W_U＝w_UP (1-2)

v_U＝s+w_UH₀(ID_U,D_U,W_U) (1-3)

其中，w_U表示密钥生成中心KGC为用户U随机选取的整数，W_U表示用户U的部分私钥验证参数，v_U表示用户U的部分私钥，s表示密钥生成中心KGC选取的系统主密钥，H₀表示密钥生成中心KGC选取的单向哈希函数；

(1c)用户U判断收到的部分私钥v_U和部分私钥验证参数W_U是否满足如下等式；若是，则执行步骤(4)，否则，用户U向密钥生成中心KGC报错，并退出用户注册过程：

v_UP＝H₀(ID_U,D_U,W_U)P+P_pub (1-4)

其中，P_pub表示密钥生成中心KGC生成的系统公钥；

(1d)按照下式，用户U计算自己的部分公钥Q_U：

Q_U＝H₀(ID_U,D_U,W_U)W_U (1-5)

其中，Q_U表示用户U的部分公钥；

(1e)按照下式，用户U生成自己的公钥PK_U并将其发送给密钥生成中心KGC：

PK_U＝(D_U,Q_U) (1-6)

其中，PK_U表示用户U的公钥，包含用户U的验证份额D_U和用户U的部分公钥Q_U两部分；

(1f)密钥生成中心KGC收到用户U发送的公钥PK_U后，对外发布用户U的公钥PK_U；

(1g)密钥生成中心KGC对外发布用户U的公钥PK_U后，按照下式，用户U计算自己的伪秘密值x_U和伪部分私钥y_U：

x_U＝d_UH₀(ID_U,D_U,Q_U) (1-7)

y_U＝v_UH₀(ID_U,D_U,Q_U) (1-8)

其中，x_U表示用户U的伪秘密值，y_U表示用户U的伪部分私钥；

(1h)按照下式，用户U生成自己的私钥SK_U，并秘密保存，然后退出用户注册过程：

SK_U＝(x_U,y_U) (1-9)

其中，SK_U表示用户U的私钥，包含用户U的伪秘密值x_U和用户U的伪部分私钥y_U两部分；

(2)用户密钥更新过程：

(2a)当用户U需要进行更新密钥时执行步骤(2b)，若不需要更新密钥则直接执行步骤(3)；

(2b)用户U随机选取一个整数d_U′，然后计算用户U新的验证份额D_U′和密钥更新验证参数β_U，并将用户U新的验证份额D_U′和密钥更新验证参数β_U通过公开信道发送给密钥生成中心KGC：

D_U′＝d_U′P (2-1)

β_U＝d_U′^-1(x_U+y_U)H₀(ID_U,D_U′,Q_U) (2-2)

其中，d_U′表示用户U新的秘密值，D_U′表示用户U新的验证份额，β_U表示用户U的密钥更新验证参数，^-1表示求逆元操作；

(2c)密钥生成中心KGC判断收到的用户U新的验证份额D_U′和密钥更新验证参数β_U是否满足等式β_UD_U′＝(D_U+Q_U+P_pub)H₀(ID_U,D_U′,Q_U)；若满足，则密钥生成中心KGC将用户U的公钥设置为PK_U＝(D_U,Q_U)＝(D_U′,Q_U)并进行发布，否则，用户密钥更新失败并退出用户密钥更新过程；

(2d)密钥生成中心KGC发布用户U的公钥PK_U＝(D_U,Q_U)＝(D_U′,Q_U)后，按照下式，用户U计算自己新的伪秘密值x_U′和新的伪部分私钥y_U′，并设置自己的私钥SK_U＝(x_U,y_U)＝(x_U′,y_U′)：

x_U′＝d_U′H₀(ID_U,D_U′,Q_U) (2-3)

y_U′＝y_UH₀(ID_U,D_U,Q_U)^-1H₀(ID_U,D_U′,Q_U) (2-4)

其中，x_U′表示用户U新的伪秘密值，y_U′表示用户U新的伪部分私钥；

(3)发送者签密：

(3a)发送者S判断自己是否已经执行了步骤(1)的用户注册过程；若是，则执行步骤(3b)，否则发送者S执行步骤(1)的用户注册过程，并获取自己的私钥SK_S＝(x_S,y_S)，然后执行步骤(3b)；

其中SK_S表示发送者的私钥，包含发送者S的伪秘密值x_S和发送者S的伪部分私钥y_S两部分，x_S表示发送者S的伪秘密值，y_S表示发送者S的伪部分私钥；

(3b)发送者S在已注册的用户U中随机选取n个用户作为接收者R₁,R₂,…,R_n并获取n个用户的公钥PK₁,PK₂,…,PK_n，然后执行步骤(3c)；

其中，PK_i表示第i个接收者R_i的公钥，包含第i个接收者R_i的验证份额D_i和第i个接收者R_i的部分公钥Q_i两部分，D_i表示第i个接收者R_i的验证份额，Q_i表示第i个接收者R_i的部分公钥；

(3c)发送者S随机选取一个整数t，计算签密验证份额T：

T＝tP (3-1)

其中，t表示发送者S随机选取的整数，T表示发送者S的签密验证份额；

(3d)按照下式，发送者S计算每一个接收者R_i的公钥隐藏信息K_i：

K_i＝tH₀(ID_i,D_i,Q_i)(D_i+Q_i+P_pub) (3-2)

其中，K_i表示第i个接收者R_i的公钥隐藏信息，ID_i表示第i个接收者R_i的身份信息；

(3e)按照下式，发送者S计算每一个接收者R_i的伪身份值α_i：

α_i＝H₀(ID_i,K_i,T) (3-3)

其中，α_i表示第i个接收者R_i的伪身份值；

(3f)发送者S随机选取一个整数θ作为伪密钥，按照下式，发送者S构造接收者身份信息混合值f(u)：

其中，θ表示发送者S随机选取的伪密钥，mod表示求模操作，f(u)表示接收者身份信息混合值，u表示自变量，∏表示连乘操作，q表示密钥生成中心KGC选取的大素数，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(u)的系数；

(3g)按照下式，发送者S计算明文消息混合值M：

其中，M表示明文消息混合值，H₁和H₂表示密钥生成中心KGC选取的单向哈希函数，||表示链接操作，表示逐位异或操作，m_i表示要发送给第i个接收者R_i的明文消息；

(3h)按照下式，发送者S计算加密消息密文V：

其中，V表示加密消息密文，E_k(.)表示密钥生成中心KGC选取的对称加密算法，k为对称密钥，ID_S表示发送者S的身份信息；

(3i)按照下式，发送者S计算签名参数λ：

λ＝(x_S+y_S)t^-1 (3-7)

其中，λ表示发送者S的签名参数，x_S表示发送者S的伪秘密值，y_S表示发送者S的伪部分私钥；

(3j)按照下式，发送者S计算密文有效性参数Λ：

Λ＝H₃(M,θ,c₁,c₂,...,c_n,V,T,λ) (3-8)

其中，Λ表示密文有效性参数，H₃表示密钥生成中心KGC选取的单向哈希函数；

(3k)发送者S将接收者身份信息混合值f(u)的系数c₀,c₁,…,c_n-1、发送者S的签密验证份额T、加密消息密文V、发送者S的签名参数λ和密文有效性参数Λ构成签密密文C＝c₀,c₁,…,c_n-1,T,V,λ,Λ，并对签密密文C进行广播，然后结束发送者签密过程；

(4)接收者解签密：

(4a)按照下式，接收者R_i计算公钥隐藏信息K_i：

K_i＝(x_i+y_i)T (4-1)

x_i为第i个接收者R_i的伪秘密值，i＝1,2,…,n；y_i为第i个接收者R_i的伪部分私钥，i＝1,2,…,n；

(4b)按照下式，接收者R_i计算自己的伪身份值α_i：

α_i＝H₀(ID_i,K_i,T) (4-2)

(4c)按照下式，接收者R_i计算发送者S随机选取的伪密钥θ：

θ＝f(α_i) (4-3)

(4d)按照下式，接收者R_i计算明文消息混合值和发送者S的身份信息M||ID_S：

M||ID_S＝D_H2(θ)(V) (4-4)

(4e)按照下式，接收者R_i计算权限参数Λ′：

Λ′＝H₃(M,θ,c₁,c₂,...,c_n,V,T,λ) (4-5)

其中，Λ′表示权限参数；

(4f)接收者R_i判断权限参数Λ′与密文有效性参数Λ是否相等；若是，则执行步骤(4g)，否则，解密失败，并退出接收者解签密过程；

(4g)接收者R_i计算H₁(α_i,T)和H₂(α_i)，根据H₁(α_i,T)找出明文消息混合值M中对应的计算

(4h)接收者R_i根据(4d)中解密得到的发送者S的身份信息ID_S找到对应的发送者S的公钥PK_S＝(D_S,Q_S)，并判断下述等式是否成立；若是，则接收者R_i接收明文消息m_i并退出接收者解签密过程，否则，接收者R_i拒绝明文消息m_i并退出接收者解签密过程：

λT＝H₀(ID_S,D_S,Q_S)(D_S+Q_S+P_pub) (4-6)

PK_S表示发送者S的公钥，包含发送者S的验证份额D_S和发送者S的部分公钥Q_S两部分，D_S表示发送者S的验证份额，Q_S表示发送者S的部分公钥。