[发明专利]具有多重安全属性的基于身份的多接收者环签密方法

摘要

本发明公开了一种具有多重安全属性的基于身份的多接收者环签密方法，用于解决现有基于身份的环签密方法安全性差的技术问题。技术方案是通过参数设置、密钥提取、匿名签密、解签密以及公开验证等步骤，在签密阶段将混合加密方法应用到签密中，利用求解对称密钥的困难问题，确保方法具有前向安全性；采用环签密和拉格朗日插值函数，将包括发送者和多个接收者的用户身份信息完全隐藏起来，有效保障了用户隐私；同时采用双线性对运算，确保同时具有公开验证性和解密公平性等多种安全属性。

主权项

1.一种具有多重安全属性的基于身份的多接收者环签密方法，其特征在于包括以下步骤：1.参数设置；给定一个秘密参数k，k是一个长整数，由私钥生成中心执行下列操作：①设G1和G2分别是阶数为q＞2k的加法群和乘法群，q为大素数，P为G1的一个生成元；②选择一个随机数P0∈RG1，并选取一个随机数s∈RZq*作为主密钥，设Ppub＝sP为系统公钥；其中，P0是加法群G1中的一个随机数，G1是阶数为q的加法群，Zq*是模为q的整数乘法群；③选择安全的对称加解密算法对(E,D)；④选择双线性映射ê:G1×G1→G2；⑤选择六个哈希函数：下式中|M|表示将要传输的明文消息的二进制长度，H1：{0,1}*→G1，H2：G2→{0,1}*，H3：{0,1}|M|×G1→RZq*，H4：{0,1}|M|×G1×G1×G1×{0,1}*→RZq*，H5：G1×G2×{0,1}|M|→{0,1}|M|，H6：{0,1}|M|×G1×G1×{0,1}*→G1；⑥系统公开参数为params＝；其中，H1,H2,H3,H4,H5,H6均表示单向散列函数；2.密钥提取；输入用户i的身份IDi，私钥生成中心计算用户的公私钥：公钥Qi＝H1(IDi)和私钥Di＝sQi然后通过安全信道将私钥发送给用户；3.匿名签密；L'＝{ID'₁,ID'₂,…,ID'_n}为实际签密者选择的n个接收者的身份集合；选择一个用户身份集合L＝{ID₁,ID₂,…,ID_t}，该集合中包含实际签密者的身份ID_S，即ID_S∈L，且输入系统公开参数params、明文消息M，签密者执行下列步骤：①加密部分：a)选择随机参数α∈_RZ_q^*，计算参数U＝αP，然后计算θ＝H2(ω)   (1)得到θ为对称密钥，计算σ1＝Eθ(M)，对消息进行加密；b)使用n对数(x1,y1)，(x2,y2)，…，(xn,yn)，构造拉格朗日函数f(x)满足xj是fj(x)＝yj的解，这里对于j＝1,2,…,n都有xj＝H3(ID'j)，yj＝α(P0+Q'j)，其中Q'j为接收者ID'j的公钥；xj是使用接收者身份信息计算得到的哈希值；yj是使用接收者公钥等参数计算得到的参数，与xj一同共构成n对数构造拉格朗日函数；c)对于j＝1,2,…,n，计算fj(x)＝Π1≤j≠j'≤n(x‑xj)/(xj‑xj')＝τj,1+τj,2x+…+τj,nxn‑1，其中τj,1,τj,2,…,τj,n∈Zq*；对于j＝1,2,…,n，计算Tj＝∑j'＝1τj,j'yj，T＝∑Tj；其中，fj(x)是拉格朗日插值函数，用于隐藏接收者的身份信息；τj，1、τj，2、τj，n是含有接收者信息的参数，接收者用该参数获得解密的关键信息；Tj是由τj,1和yj计算得到的参数，作为密文的一部分，用于隐藏接收者的身份信息；T是所有Tj之和；②环签名部分：a)对于非实际签密者i＝1,2,…,t，i≠S，选择Ri∈RG1，Ri为对于不是实际签密者计算时在整数乘法群中随机选择的参数，计算hi＝H4(σ1,Ri,U,T,L)   ⑵b)对于实际签密者i＝S，选择xS∈RZq*，计算RS＝xSQS‑∑i≠S(Ri+hiQi)，hS＝H4(σ1,RS,U,T,L)，计算R＝∑Ri；c)计算σ2＝H5(R,ω,M)   ⑶S1＝(xS+hS)DS   ⑷S2＝αH6(σ1,R,T,L)   ⑸最后得到密文为C＝<σ1,σ2,S1,S2,U,R1,…,Rt,T,T1,…,Tn,L>；其中，U是计算得到的部分密文；ω是计算得到的参数，参与计算对称密钥；σ1是使用对称加密算法加密的消息值；hi是非实际签密者使用参数σ1,Ri,U,T,L，计算得到的哈希值；xS是实际签密者计算时在整数乘法群中随机选择的参数；RS是实际签密者计算得到的参数；hS是实际签密者使用参数σ1,Rs,U,T,L，计算得到的哈希值；R是包含实际签密者在内的所有发送者的参数Ri和RS之和；S1是包含实际签密者私钥等参数计算得到的值，是密文的一部分；S2是使用第六种哈希函数计算得到的参数值，是密文的一部分；4.解签密；输入密文C、系统公开参数params、接收者身份信息L'＝{ID'1,ID'2,…,ID'n}，每个接收者ID'j使用自己的私钥D'j进行如下计算来解密密文C；①计算δj＝T1+xjT2+…+(xjn‑1mod q)Tn   ⑹其中xj＝H3(ID'j)；②将⑹式的值代入下式，计算通过公式⑴来还原对称密钥θ'＝H2(ω')，并进行解密计算M'＝Dθ'(σ1)，得到一个消息值M'；将得到的消息M'带入公式⑶中，检查σ2＝H5(R,ω',M')是否成立，若成立，则认为M'＝M；若不成立，则输出“⊥”，说明签名值是无效的；σ2是使用参数R,ω,M和第五种哈希函数计算得到的签名值，是密文的一部分；δj是使用密文计算得到的解密参数；ω'是计算对称密钥的参数；5.公开验证；接收者或者任意的第三方获得密文后，通过该算法验证发送者身份的可靠性；①对于i＝1,…,t，通过公式⑵，恢复出hi＝H4(σ1,Ri,U,T,L)，计算H＝H6(σ1,R,T,L)；②利用⑷式、⑸式中得到的S1和S2判断⑻式、⑼式是否成立：若⑻式、⑼式皆成立，则认为签名者身份合法、可靠，签密值具有真实性；否则认为该签密无效。