[发明专利]一种基于双线性对的身份基身份匿藏密钥协商方法

摘要

本发明提供了一种高效的基于双线性对的身份基身份匿藏密钥协商方法，其具有的如下特征使得该方法具有唯一性，是目前最为简洁高效、通信便利灵活、隐私保护、和强安全的身份基密钥协商协议。(1)高效性：每个用户仅需做1个配对运算和3个模指数运算。(2)简洁性：无需主公钥。(3)通信便利和灵活性：通信双方无需事先知晓对方身份。(4)隐私保护：提供身份隐藏保护，和可抵赖隐私保护。(5)强安全性：抗临时密钥泄露的强可证明安全。

主权项

1.一种基于双线性对的身份基身份匿藏密钥协商方法，其特征在于，所述方法包括在三种类型的双线性配对中的实现方法，分别描述如下：基于类型‑I对称双线性配对方法实现系统建立：生成系统公开参数，包括：一个安全参数n，双线性对整数q，其中G₁和G_T是三个q阶循环群，q的二进制长度(记为|q|)为n的多项式；一个哈希函数：其中{0，1}^*表示任意长度的0‑1串，为群G₁的单位元，表示G₁中除去之后的元素集合；一个密钥导出函数KDF：{0，1}^*→{0，1}^p(n)，其中p(n)表示n的多项式；令g₁∈G₁为G₁的生成元，为群G_T的单位元；E为一个对称加密函数，E_k(m)表示基于对称密钥k对消息m∈{0，1}^*进行加密；D是与加密函数E对应的解密函数，D_k(c)表示基于对称密钥k对密文c进行解密；系统公开参数：系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；私钥生成器(Private Key Generator，简称为PKG)生成用户主密钥(Master Secret Key)(msk从或的一个子集中随机选取，其中的取值范围为1到q‑1中的整数)；公开发布SysPar，保密保存msk，用户私钥生成：具有身份ID∈{0，1}^*的用户在PKG注册，PKG根据主密钥msk和用户身份生成用户私钥：SK_ID＝(H₁(ID))^msk，为了描述方便起见，下述的描述中会话发起方记为A，其私钥记为SK_A＝(H₁(ID_A))^msk；会话接收方记为B，其私钥记为SK_B＝(H₁(ID_B))^msk，密钥协商过程：(1)用户A选取计算X＝(H₁(ID_A))^x，用户A将{X，aux_X}发送给用户B，其中aux_X是可为空的消息的集合；(2)用户B接收到{X，aux_X}后，检查如果检查失败则中止运行；选取计算Y＝(H₁(ID_B))^y，以及(3)用户B计算(K₁，K₂)←KDF(PS_B，X||Y||aux)，其中“||”是字符串联结符，是包含ID_B的一个消息集合的可为空的子集，且可为空，aux_Y是可为空的消息的集合；K₁和K₂相同或不同，K₁＝(K_A，K_B)，K_A和K_B相同或不同；(4)用户B发送{Y，C_B，aux_Y}给用户A；(5)用户A接收到{Y，C_B，aux_Y}后，检查或不检查计算计算(K₁，K₂)←KDF(PS_A，X||Y||aux)；(6)用户A使用K_B解密C_B得到并验证且Y＝(H₁(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算并将C_A发送给用户B，其中是包含ID_A’的一个消息集合的可为空的消息集合；用户A将会话密钥K设置为K₂或K₁或会话密钥由导出；(7)用户B接收到C_A后，使用K_A解密C_A得到验证且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂或K₁或会话密钥由导出；基于类型‑II非对称双线性对方法实现系统建立：生成系统公开参数，包括：一个安全参数n，双线性对整数q，其中G₁、G₂和G_T是三个q阶循环群，q的二进制长度(记为|q|)为n的多项式；一个哈希函数：其中{0，1}^*表示任意长度的0‑1串，为群G₁的单位元，表示G₁中除去之后的元素集合；一个可有效计算的同态ψ：G₁→G₂；一个密钥导出函数KDF：{0，1}^*→{0，1}^p(n)，其中p(n)表示n的多项式；令g₁∈G₁为G₁的生成元，为群G_T的单位元；E为一个对称加密函数，E_k(m)表示基于对称密钥k对消息m∈{0，1}^*进行加密；D是与加密函数E对应的解密函数，D_k(c)表示基于对称密钥k对密文c进行解密；系统公开参数：系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；私钥生成器(Private Key Generator，简称为PKG)生成用户主密钥(Master Secret Key)(msk从或的一个子集中随机选取)；公开发布SysPar，保密保存msk，用户私钥生成：具有身份ID∈{0，1}^*的用户在PKG注册，PKG根据主密钥msk和用户身份生成用户私钥：SK_ID＝(H₁(ID))^msk，为了描述方便起见，下述的描述中会话发起方记为A，其私钥记为SK_A＝(H₁(ID_A))^msk；会话接收方记为B，其私钥记为SK_B＝(H₁(ID_B))^msk，密钥协商过程：(1)用户A选取计算X＝(H₁(ID_A))^x，用户A将{X，aux_X}发送给用户B，其中aux_X是可为空的消息的集合；(2)用户B接收到{X，aux_X}后，检查如果检查失败则中止运行；选取计算Y＝(H₁(ID_B))^y，以及(3)用户B计算(K₁，K₂)←KDF(PS_B，X||Y||aux)，其中是包含ID_B的一个消息集合的可为空的子集，且可为空，aux_Y是可为空可为的消息的集合；K₁和K₂相同或不同，K₁＝(K_A，K_B)，K_A和K_B相同或不同；(4)用户B发送{Y，C_B，aux_Y}给用户A；(5)用户A接收到{Y，C_B，aux_Y}后，检查或不检查计算计算(K₁，K₂)←KDF(PS_A，X||Y||aux)；(6)用户A使用K_B解密C_B得到并验证且Y＝(H₁(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算并将C_A发送给用户B，其中是包含ID_A的一个消息集合的可为空的子集；用户A将会话密钥K设置为K₂或K₁或会话密钥由导出；(7)用户B接收到C_A后，使用K_A解密C_A得到验证且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂或K₁或会话密钥由导出，基于类型‑III非对称双线性对方法实现系统建立：生成系统公开参数，包括：一个安全参数n，双线性对但没有任何G₂→G₁或G₁→G₂的有效可计算的同态，整数q，其中G₁、G₂和G_T是三个q阶循环群，q的二进制长度(记为|q|)为n的多项式；两个哈希函数：其中{0，1}^*表示任意长度的0‑1串，为群G₁的单位元，表示G₁中除去之后的元素集合；为群G₂的单位元，表示G₂中除去之后的元素集合；一个密钥导出函数KDF：{0，1}^*→{0，1}^p(n)，其中p(n)表示n的多项式；令g₁∈G₁为G₁的生成元，g₂∈G₂为G₂的生成元，为群G_T的单位元；E为一个对称加密函数，E_k(m)表示基于对称密钥k对消息m∈{0，1}^*进行加密；D是与加密函数E对应的解密函数，D_k(c)表示基于对称密钥k对密文c进行解密；系统公开参数：系统公开参数可以由系统内的用户协商决定，或由可信第三方给定；私钥生成器(Private Key Generator，简称为PKG)生成用户主密钥(Master Secret Key)(msk从或的一个子集中随机选取，其中的取值范围为1到q‑1中的整数，且q为一个整数)；公开发布SysPar，保密保存msk，用户私钥生成：具有身份ID∈{0，1}^*的用户在PKG注册，PKG根据主密钥msk和用户身份生成用户私钥：其中当ID作为会话发起者时使用当ID作为会话接收者时使用为了描述方便起见，下述的描述中会话发起方记为A，其私钥记为会话接收方记为B，其私钥记为密钥协商过程：(1)用户A选取计算X＝(H₁(ID_A))^x，用户A将{X，aux_X}发送给用户B，其中aux_X是可为空的消息的集合；(2)用户B接收到{X，aux_X}后，检查如果检查失败则中止运行；选取计算Y＝(H₂(ID_B))^y，以及(3)用户B计算(K₁，K₂)←KDF(PS_B，X||Y||aux)，其中是包含ID_B的一个消息集合的可为空的子集，且可为空，aux_Y是可为空的消息的集合；K₁和K₂相同或不同，K₁＝(K_A，K_B)，K_A和K_B相同或不同；(4)用户B发送{Y，C_B，aux_Y}给用户A；(5)用户A接收到{Y，C_B，aux_Y}后，检查或不检查计算计算(K₁，K₂)←KDF(PS_A，X||Y||aux)；(6)用户A使用K_B解密C_B得到并验证且Y＝(H₂(ID_B))^y是否成立；如果验证不通过，用户A中止协议运行；如果验证成功，A进一步计算并将C_A发送给用户B，其中是包含ID_A的一个消息集合的可为空的子集；用户A将会话密钥K设置为K₂或K₁或会话密钥由导出；(7)用户B接收到C_A后，使用K_A解密C_A得到验证且X＝(H₁(ID_A))^x；若验证失败，用户B中止协议运行；如果验证通过，用户B将会话密钥K设置为K₂或K₁或会话密钥由导出。