[发明专利]一种公钥认证可否认加密方法及系统

说明书

本发明属于信息加密技术领域，公开了一种公钥认证可否认加密(PKADE)方法及系统，包括：可信权威和用户，其中用户包括发送方和接收方，每个用户均持有一个独一无二的身份；可信权威用于生成系统的公开参数和主私钥，以及发送方的加密密钥和接收方的解密密钥；发送方用于向系统提交加密密钥、消息接收方的身份以及消息，请求生成密文；此外，发送方还用于向系统提交加密密钥、消息接收方的身份、原始加密的消息以及随机数和假消息，请求生成假随机数，用于将原始密文打开成假消息；接收方用于向系统提交解密密钥、预期发送方的身份和密文，请求解密。本发明不仅可以实现发送方的可否认性，同时支持发送方和接收方的身份认证。本发明可以达到预期的安全性目标。

技术领域

本发明属于信息加密技术领域，尤其涉及一种公钥认证可否认加密方法及系统

背景技术

AES和RSA等加密方案被广泛用于保护信息在公开信道上传输的机密性。尽管一般的加密方案可以为消息提供窃听攻击下的安全保障，然而在面对胁迫或贿赂攻击时却不再能保证消息的机密性。为此，Canetti等人提出了可否认加密(DE)原语，该原语允许通信参与方对传输的密文进行模棱两可。具体地说，在DE系统中，存在一个“伪造算法”，该算法允许发送方(接收方)能够在密文传输后生成假随机数(假私钥)。当通信各方被要求公开与传输密文相关的明文、发送方用于加密的随机数以及接收方持有的私钥时，他们将提供这些假随机数和假私钥，并利用它们将传输密文不可检测地打开为不同的明文，因此，DE使得胁迫和贿赂攻击变的无效。由于DE的独特优点，其得到了广泛的应用。例如，DE隐含着非承诺加密原语，它是自适应设置中构建安全多方计算协议的核心工具。此外，DE在各种现实场景中也非常有用，如电子选举、电子拍卖、情报工作、云存储服务等。

尽管DE在强制情况下确保了消息的机密性，但现有方案根据可用性和效率仍然不实用。Canetti等人基于半透明集提出了一个优雅的DE方案，其中半透明集可以通过陷门置换和硬核谓词实现。由于该方案仅支持逐比特加密，且密文长度与伪造概率成反比，因此在实际应用中效率较低。为此，他们进一步提出了一个较弱的概念，灵活可否认性或者多分布可否认性。在灵活可否认框架下，已有许多基于半透明集设计的DE方案。此外，O'Neill等人还基于可模拟公钥加密提出了第一个双方可否认加密方案，该方案具有非交互性和可忽略的可否认性。然而，由于这些构造是在灵活可否认框架下实现的，因此容易出现怀疑、协商和误用等问题。为了避免上述问题，后续的研究工作关注在完全可否认框架下构造DE方案。2011年，Dürmuth等人基于采样加密提出了完全发送方可否认加密方案，然而，该方案后来被证明是不安全的。直到Sahai等人提出了第一个满足可忽略的可否认性的完全发送方可否认加密方案，DE才有了巨大突破。之后，Canetti等人提出了一个双方可否认加密的交互方案，该方案同样提供了可忽略的可否认性。然而，上述的这两个方案都是基于iO设计的，因此，低效是不可避免的。最近，Cao等人在完全可否认框架下提出了一个δ(n)-DE方案，该方案使用了简单的二进制串位置和比特翻转操作，极大降低了通信开销。

除了关注提高DE的效率外，本发明还发现以前所有的DE构造都没有考虑用户(包括发送方和接收方)的认证性。然而，认证性在DE的各种应用场景是一个必需的功能。例如，在电子选举场景中，投票中心需要核实选民的身份和资格，以确保只有授权的选民才能投出唯一的一票。如果不能正确识别选民身份，重复投票将不可避免。也就是说，选民可以尝试多次投票。在最坏的情况下，选民可以代表其他选民投票，即选民冒充。这些行为将影响投票的最终结果，从而破坏选举的公平公正性。此外，从选民的角度来看，投票过程中会涉及到他们的隐私。因此，为了保护他们的隐私不被投票中心泄露，他们需要确保他们即将联系的是真正的投票中心，不是一个非法机构。在情报工作场景中，身份认证是一个基本的安全需求。如果特工在开始通信前没有确认彼此的身份，任何人，即使不是目标特工，都能交换秘密，这将导致情报内容和特工身份信息的泄露。因此，在DE原语中实现双向认证是提高DE实用性的重要一步。到目前为止，还没有一个DE方案可以提供双向认证功能。

通过上述分析，现有技术存在的问题及缺陷为：