[发明专利]一种基于无证书的多接收者匿名签密方法

权利要求书

1.一种基于无证书的多接收者匿名签密方法，其特征在于：包括如下步骤：

步骤1，系统初始化：输入安全参数k，定义阶为素数q的循环群G，q2^k，P为群G的一个生成元，KGC选择具有抗碰撞的理想哈希函数：l₁代表用户身份的标志，l₂代表明文长度；KGC随机选取一个主密钥计算系统公钥P_pub＝sP，设定系统参数params＝{q,P,G,P_pub,H₁,H₂,H₃,H₄,l₁,l₂}，严密保存主密钥s；

步骤2，用户密钥设置：输入系统参数params，身份为ID_i的用户u_i选取随机数计算公钥X_i＝x_iH₃(ID_i)；

步骤3，部分私钥提取：用户u_i发送{ID_i,X_i}给KGC，KGC随机选取计算Y_i＝r_iP，计算h_i1＝H₁(ID_i,X_i,Y_i)，y_i＝r_i+sh_i1；KGC输出用户的部分私钥y_i和公钥Y_i，并通过安全渠道返回y_i给用户u_i；公开用户u_i公钥的(X_i,Y_i)；用户u_i的私钥由(x_i,y_i)组成，公钥由(X_i,Y_i)组成；

步骤4，签密：输入系统参数params、系统中所有用户的公钥对列表{(X_μ,Y_μ)}，μ∈θ，θ为系统中所有用户身份集合，令R＝{ID₁,ID₂,…,ID_n}为n个接收者身份列表，M＝{m₁,m₂,..,m_n}为u_A发送给各个接收者的消息列表，发送者u_A发送给接收者u_i的消息为m_i∈M，发送者u_A身份为ID_A，接收者u_i身份为ID_i∈R，其签密计算如下：

步骤4-1，随机选择计算V_A＝bP；

步骤4-2，计算拉格朗日差值多项式；

，其中

步骤4-3，计算其中h_j1＝H₁(ID_j,X_j,Y_j)，k＝1,2,…,n；

步骤4-4，计算h_i,2＝H₂(ID_A,V_A,X_A,Z_i)，其中Z_i＝(b+y_A)(Y_i+P_pubh_i1)，

步骤4-5，计算R_i＝H₄(ID_A||m_i)；

步骤4-6，计算S_i＝b+(X_A+y_A)R_i，这样u_A对ID_i消息m_i的签密为δ_i＝(V_A,T₁,T₂,…T_n,W_i,S_i)；

发送者u_A对发送给其他接收者u_j的消息m_j∈M的签密只需重复步骤4-4到步骤4-6，计算(W_j,S_j)，最后得到密文δ＝{V_A,T₁,T₂,…T_n,W₁,W₂,…W_n,S₁,S₂…S_n,R}，并以广播的形式发送给用户集R中的每一位接收者；

步骤5，解签密及验证：输入系统参数params、密文δ、系统中所有用户的公钥对列表{(X_μ,Y_μ)}，μ∈θ，θ为系统中所有用户身份集合，接收者u_i对收到的签密δ进行解签密，步骤如下：

步骤5-1，计算并验证是否

如果等式成立，那么计算Z_i＝y_iV_A+y_i(Y_A+h_A1P_pub)，h_i2＝H₂(ID_A,V_A,X_A,Z_i)，并进行继续进行后续步骤5-2到步骤5-4；否则认为密文δ_i＝(V_A,T₁,T₂,…T_n,W_i,S_i)不合法，输出Invalid；

步骤5-2，恢复出

步骤5-3，计算h_A1＝H₁(ID_A,X_A,Y_A)；

步骤5-4，计算R_i＝H₄(ID_A||m_i)，并验证是否正确即输出明文消息(ID_A||m_i)，否则输出Invalid。