[发明专利]基于椭圆曲线密码体制的无证书门限签密方法

权利要求书

1.一种基于椭圆曲线密码体制的无证书门限签密方法，其特征在于，具体包括以下步骤：

S1、公共参数生成：密码生成中心KGC任意选择主密钥S、循环群G以及对应的生成元g，密码生成中心KGC选取四个哈希函数，生成公共参数params；

S2、接收者部分私钥生成：接收者初始化时向密码生成中心KGC输入公共参数params、主密钥S和发送者的身份信息ID₀，密码生成中心KGC对应生成接收者部分私钥D_ID；

S3、接收者完整私钥生成：密码生成中心KGC随机选择秘密值x_ID，通过接收者部分私钥D_ID以及秘密值x_ID，进一步生成接收者完整私钥SK_ID；

S4、接收者公钥生成：密码生成中心KGC通过已输入的公共参数params以及生成的接收者完整私钥SK_ID，进一步生成接收者公钥PK_ID；

S5、发送者密钥生成：向密码生成中心KGC输入所有接收者的身份信息、公共参数params以及主密钥S，密码生成中心KGC通过计算生成发送者部分私钥D_SG并将该部分私钥返回至发送者，然后密码生成中心KGC再任意选取私密值x_SG，进而合成完整的发送者私钥SK_SG，并最终初始化生成对应的发送者公钥PK_SG；

S6、密钥共享：密码生成中心KGC随机选取一个非循环多项式函数F(x)，构造函数F(x)的多项式数列，并任意选择素数p，密码生成中心KGC通过素数p以及发送者私钥SK_SG生成各个接收者的子密钥，并向各个接收者发送子密钥；

S7、密钥还原合成：各个接收者向密码生成中心KGC输入其对应的子密钥，密码生成中心KGC通过提取系数行列式，利用克莱默法则解出多项式函数F(x)的系数，所有接收者最终通过密码生成中心KGC还原出完整的发送者私钥SK_SG；

S8、签密：发送者从集合中随机选择一个数k，输入待签密的信息m和接收者公钥PK_ID，生成签密并发送给所有接收者；

S9、解签密：接收者通过密码生成中心KGC验证签密的有效性，若计算结果为h＝H₂(r，PK_ID，m₀)，则表示此次签密信息有效且未被篡改，否则无效；

其中，h为生成的签名信息；H₂表示构造的密码单向哈希函数；r为加解密参数；PK_ID为接收者公钥；m₀为解密后的信息；

所述步骤S3具体如下：

S3.1、密码生成中心KGC随机选择作为接收者私钥的秘密值；

S3.2、密码生成中心KGC通过下列公式计算生成接收者完整私钥SK_ID，并将该私钥返还给接收者

SK_ID＝H₁(D_ID，X_ID)；

其中，H₁表示密码生成中心KGC构造的密码单向哈希函数；D_ID表示接收者部分私钥；x_ID表示接收者私钥的私密值；

所述步骤S4具体如下：

密码生成中心KGC通过已输入的公共参数params以及生成的接收者完整私钥SK_ID，通过下列计算公式生成接收者公钥PK_ID，并将该公钥发送至接收者与发送者，计算公式如下

其中，表示g的SK_ID次方；

所述步骤S5具体如下：

S5.1、假设组内有n个接收者参与密钥的管理，向密码生成中心KGC输入所有接收者的身份信息ID₁，ID₂，ID₃，...，ID_n、公共参数params以及主密钥S，密码生成中心KGC首先整合所有接收者的身份信息，得到然后通过下列公式计算生成发送者的部分私钥D_SG，并将该部分私钥返回至发送者

Q_SG＝H₀(ID_SG)；

其中，Q_SG表示中间量；H₀表示密码生成中心KGC构造的密码单向哈希函数；ID_SG表示所有接收者的身份信息；表示Q_SG的S次方；

S5.2、密码生成中心KGC任意选取作为发送者私钥的秘密值，通过下列公式计算生成完整的发送者私钥SK_SG：

SK_SG＝H₁(D_SG，x_SG)；

其中，H₁表示密码生成中心KGC构造的密码单向哈希函数；D_SG表示发送者的部分私钥；x_SG表示发送者私钥的私密值；

S5.3、密码生成中心KGC通过下列公式初始化生成对应的发送者公钥PK_SG

其中，表示g的SK_SG次方；

所述步骤S6具体如下：

S6.1、假设组内有n个接收者参与密钥的管理，至少需要u个接收者合作合成完整的密钥，密码生成中心KGC随机选取一个非循环多项式函数

F(x)＝C₀+C₁x+C₂x²+...+C_ux^u；

其中，C₀到C_u表示密码生成中心KGC随机选取的u+1个整数；

S6.2、密码生成中心KGC定义非循环多项式函数F(x)的多项式数列

{a_n}：a₀＝0，a_n＝F(a_n-1)；

其中，数列{a_n}表示所有子密钥的接收者的个人参数的集合，a_n则表示对应子密钥的接收者的个人参数；

S6.3、密码生成中心KGC任意选择素数p，p＞SK_SG，并随机选取通过下列公式计算子密钥的部分参数f

F(a_n+2)＝SK_SG+f+αp；

其中，SK_SG表示发送者私钥；α表示子密钥的隐藏参数；

S6.4、密码生成中心KGC向各个接收者发送对应的子密钥

sk_i＝(a_i，a_i+1，f，p)(i＝1，2，...，n)；

其中，sk_i为第i个接收者收到的子密钥，该接收者收到的子密钥的接收者个人参数为a_i与a_i+1；

所述步骤S7具体如下：

S7.1、各个接收者向密码生成中心KGC输入其对应的子密钥，密码生成中心KGC将接收者的子密钥中的接收者个人参数分别代入函数F(x)的多项式数列，得到如下方程组，密码生成中心KGC根据克莱默法则计算出多项式的系数，并最终求得非循环多项式函数F(x)的表达式

其中，C₀到C_u表示密码生成中心KGC随机选取的u+1个整数；

S7.2、所有接收者通过密码生成中心KGC计算还原出完整的发送者私钥SK_SG，计算公式如下

SK_SG＝(F(a_n+2)-f)mod p；

所述步骤S8具体如下：

S8.1、发送者随机选择计算

其中，k表示发送者签密时随机选取的整数，r为加解密参数；表示接收者公钥PK_ID的k次方；

S8.2、对签密信息m进行签名，计算公式如下

h＝H₂(r，PK_ID，m)；

其中，h为生成的签名信息；H₂密码生成中心KGC表示构造的密码单向哈希函数；r为加解密参数；PK_ID为接收者公钥；

S8.3、对签密信息m进行加密，计算公式如下：

其中，m_c表示加密信息的密文；H₃表示密码生成中心KGC构造的密码单向哈希函数；

S8.4、发送者通过下列公式计算密文解签密有效性参数E

S8.5、发送者向接收者输出签密σ＝(h，m_c，E)；

所述步骤S9具体如下：

S9.1、接收者收到签密信息σ＝(h，m_c，E)，通过密钥PK_SG和密钥SK_ID重新计算加解密参数r，计算公式如下

其中，表示PK_ID的k次方；表示PK_ID的E×SK_SG次方；表示g的E×SK_ID次方；表示PK_SG的E×SK_ID次方；

S9.2、接收者对加密信息的密文m_c进行解密，通过下列公式计算得到解密后的信息m₀

其中，m_c表示加密信息的密文；H₃表示密码生成中心KGC构造的密码单向哈希函数；

S9.3、验证签密有效性，若h＝H₂(r，PK_ID，m₀)，则表示此次签密信息有效且未被篡改，否则无效。