[发明专利]一种无双线性配对的代理重加密系统及加密方法

权利要求书

1.一种无双线性配对的代理重加密方法，其特征在于，包括以下步骤：

S1、设定系统公开参数par和系统主密钥mk；S1具体包括以下步骤：

S11、给定安全参数k，选取一个长度为k比特的素数q，G是Zq*的一个q阶子群，g是G的生成元；

S12、选取四个哈希函数H1、H2、H3、和H4，H1：{0，1}*→Zq*,H2：{0，1}ⁿ⁰×{0，1}ⁿ¹×G→Zq*,H3：G→{0，1}ⁿ⁰⁺ⁿ¹,H4：{0，1}*×G→Zq*；其中n0，n1是由安全参数k所决定的安全参数，明文空间为{0，1}ⁿ⁰；

S13、随机选择系统主密钥mk，且满足mk∈Zq*，计算Z＝mk*g，保密系统主密钥mk；

S14、公开系统参数par{q,G,g,z,H1,H2,H3,H4,n₀,n₁}；

S2、根据系统公开参数par，生成委托方的身份id_i、受理方的身份id_j、秘密值x_i、公钥pk_i、委托方的私钥sk_i和受理方的私钥sk_j；S2具体包括以下步骤：

S21、输入系统公开参数par，给定委托方的身份标识id_i、委托方的公钥pk_i和委托方的私钥sk_i；

S22、随机选取x_i，使x_i∈Zq*；

S23、随机选取x_j，使x_j∈Zq*；设置委托方的公钥pk_i＝gx_i，设置委托方的私钥sk_i＝x_i，设置受理方的私钥sk_j＝x_j；

S3、根据系统公开参数par、委托方的身份id_i和公钥pk_i进行加密与签名，得到原始密文c_i；S3具体包括以下步骤：

S31、输入系统公开参数par、明文信息m、委托方的身份标识id_i和委托方的公钥pk_i；

S32、随机选取计算t＝H2(m，r，pk_i),c₁＝pk_i^t；其中，l1表示由0或1组成的数串的长度；

S33、计算

S34、选择需要签名的公私钥对(spk_i，ssk_i)，随机选取u_i∈Zq*，计算U_i＝g×u_i，D_i＝u_i+mk×H4(id_i，U_i)，X_i＝x_i×g，spk_i＝(X_i，U_i)，ssk_i＝(x_i，D_i)，c₃＝ssk_i；

S35、运行签名算法，随机选取整数e_i∈Zq*，计算E_i＝e_i×g，f_i＝H1(E_i||X_i||id_i||m)，h_i＝e/(x_i+f_i+D_i)，v_i＝x_i/(x_i+f_i+D_i)，得到签名S_i＝(f_i，h_i，v_i)；

S36、输出原始密文c_i＝(c₁，c₂，c₃，S_i)；

S4、根据系统公开参数par、委托方的私钥sk_i和受理方的私钥sk_j生成代理重加密密钥rk_ij；S4具体包括以下步骤：

S41、输入委托方的私钥sk_i＝x_i和受理方的私钥sk_j＝x_j；

S42、生成代理重加密密钥rk_ij＝sk_j/sk_i mod q＝x_j/x_imod q；

S5、根据系统公开参数par、原始密文c_i、委托方的身份id_i、受理方的身份id_j和代理重加密密钥rk_ij，进行签名认证，认证成功后生成代理重加密密文c_j，S5具体包括以下步骤：

S51、输入系统公开参数par、原始密文c_i、委托方的身份标识id_i，受理方的身份标识id_j和代理重加密密钥rk_ij；

S52、签名验证，计算a_i＝H4(id_i,U_i),检验h_i×(U_i+X_i+a_i*Z+f_i*g)＝E_i和v_i×(U_i+X_i+a_i*Z+f_i*g)＝X_i两式是否成立，若不成立则输出⊥，若成立则进行下一步骤；

S53、计算

S54、选择需要签名的公私钥对(spk_j，ssk_j)，随机选取u_j∈Zq*，计算U_j＝g×u_j，D_j＝u_j+mk×H4(id_j，U_j)，X_j＝x_j×g，spk_j＝(X_j，U_j)，ssk_j＝(x_j，D_j)，c₃’＝ssk_j；

S55、c₄＝pk_i；

S56、运行签名算法，随机选取整数e_j∈Zq*，计算E_j＝e_j×g，f_j＝H1(E_j||X_j||id_j||m)，h_j＝e/(x_j+f_j+D_j)，v_j＝x_j/(x_j+f_j+D_j)，得到签名S_j＝(f_j，h_j，v_j)；

S57、输出代理重加密密文c_j＝(c₁’,c₂,c₃’,c₄,sj)；

S6、判断所接收到的密文是原始密文还是代理重加密密文，并解密恢复相应的明文信息m。

2.根据权利要求1所述的一种无双线性配对的代理重加密方法，其特征在于，S6具体包括以下步骤：

S61、判断密文形式是原始密文还是重加密密文；

S62、若密文为原始密文，则进行签名验证，计算a_i＝H4(id_i,U_i)，检验h_i×(U_i+X_i+a_i*Z+f_i*g)＝E_i和v_i×(U_i+X_i+a_i*Z+f_i*g)＝X_i两式是否成立，若不成立则输出⊥，若成立则进行下一步骤；

S63、检验是否成立，若不成立则输出⊥，若成立则进行下一步骤；

S64、计算输出明文消息m；

S65、若密文为重加密密文，则进行签名验证，计算a_j＝H4(id_j,U_j)，检验h_j×(U_j+X_j+a_j*Z+f_j*g)＝E_j和v_j×(U_j+X_j+a_j*Z+f_j*g)＝X_j两式是否成立，若不成立则输出⊥，若成立则进行下一步骤；

S66、检验c₁’＝c₄^H2(m,r,c4)是否成立，若不成立则输出⊥，若成立则进行下一步骤；

S67、计算输出明文消息m。