专利名称:非延展单向代理转密密钥产生方法和设备、非延展单向代理转密执行方法和系统的制作方法
技术领域:
本发明涉及计算机通信网络安全领域,更具体地,涉及一种非延展单向代理转密 密钥产生方法和设备、以及一种非延展单向代理转密执行方法和系统。
背景技术:
代理转密(PRE)是一种具有特殊属性的加密系统,其中作为授权方的Alice可以 授权作为被授权方的Bob来对Alice的密文进行解密。PRE系统的关键要求是为Bob进行 的密文转密操作不需要Alice的参与。否则,PRE系统就没有存在的意义。为了满足这种关键要求,在PRE系统中引入代理方,代理方在没有看见明文的情 况下将Alice的密文转换为Bob的相同消息的密文。需要注意的是,在公钥加密设置中,原 始的PRE方案是=Alice向代理方提供私钥。但是这需要对代理方具有不实际的受信度,而 PRE系统的目标是在不依赖于受信方的情况下确保能够对密文进行转密。PRE可应用于很多应用场景,例如电子邮件转发(参考文献[1])、安全发送名单 (参考文献[2])、数字权限管理(DRM)(参考文献[3])以及对加密文件存储器的访问控制 (参考文献[4]和[5])。代理转密(PRE)首先是由Blaze等提出的(参考文献[1])。PRE —经提出就受到 广泛关注,近来又提出了一系列的PRE技术。在多数现有技术中,单向代理转密方案是一种 (概率的)多项式时间算法元组(/(^,π ;,£,π,叼,其中的元素定义如下今(/CG,£·,P)是底层密码系统的标准密钥产生、加密和解密算法。这里ε和幻是 算法的集合(可能是单元素集)。在输入安全参数Ik时,/Cg输出密钥对(Pk,Sk) 0在输入 pkA和消息meTW时,对于所有的ε,输出是密文CA。在输入skA和密文Ca时,存在 输出消息的今在输入(pkA,skA, pkB,skB)时,转密密钼产牛算法输出针对代理方的转密密
朗 Bo令在输入rkA —B和密文Ca时,转密函数兄输出转密后的密文Cb。然而,上述定义不必要地限制了转密密钥的数据流,即转密密钥仅能够被发送给 代理方。结果,如果实际上转密密钥被发送给不是代理方的一方,例如转密密钥被发送给被 授权方Bob,则遵循上述定义并实现算法(eg, ng, ε, η, ρ)的现有技术不安全。下面首先简要地介绍五个现有PRE方案,以佐证上述观点即如果实际上转密密 钥被发送给不是代理方的一方,则现有技术不安全。参考文献[1]在该方案中,授权方Alice具有公_ga和私钥a,而被授权方Bob具 有公钥gb和秘密密钥b,其中g产生了 ρ阶有限循环群。为了授权Bob,Alice将rka —b = b/amodp发送给代理方。参考文献[4]和[5]在该方案中,尤其是方案3(第3. 3部分,ThirdAttempt),授权方Alice具有公钥(Ρ,/2)和私钥( , ),被授权方Bob具有公钥(Ζ\々;)和私钥(b1;b2), 其中Z产生有限循环群,而g产生另一有限循环群。为了授权Bob,Alice将= /^发 送给代理方。参考文献W]在该方案中,授权方Alice具有公钥ga和私钥a,被授权方Bob具 有公钥gb和私钥b,其中g产生有限循环群。为了授权Bob,Alice将—b = b/a发送给 代理方。参考文献[7]:在该方案中,授权方Alice具有针对随机群元素hA的公钥 (hA, h:,h:)和私钥(ai,a2),被授权方Bob具有针对另一随机群元素hB的公钥(~,, 、) 和私钥(b1; b2)0为了授权Bob,Alice将针对另一随机群元素比的化_6
发送给代理方。参考文献[8]在该方案中,授权方Alice具有公钥ga和私钥a,被授权方Bob具 有公钥gb和私钥b。为了授权Bob,Alice将rka —b = gb/a发送给代理方。根据上面对现有技术的简要描述,可以看出这些方案是脆弱的。然而,需要注意, 这些现有技术仅在以下条件下才是不安全的(1)转密密钥被发送给Bob而不是代理方;以 及(2)Bob与攻击方Malice串通。参考文献[1]在该方案中,授权方Alice具有公_ga和私钥a,而被授权方Bob具 有公钥gb和秘密密钥b,其中g产生了 ρ阶有限循环群。为了授权Bob,Alice将rka —b = b/amodp发送给代理方。因此,与Bob串通的攻击方Malice (具有公钥ge和私钥c)很容易按照rka — c = (c/b) · rka^bmodp来产生转密密钥。参考文献[4]和[5]在该方案中,尤其是方案3(第3. 3部分,ThirdAttempt), 授权方Alice具有公钥(沪,广)和私钥(a1; ),被授权方Bob具有公钥(少妒)和私钥(b1; 1 ),其中Z产生有限循环群,而g产生另一有限循环群。为了授权Bob,Alice将汝a一 =Z^ 发送给代理方。因此,与Bob串通的攻击方Malice(具有公钥和私钥(Cl,c2))可以计算 rk = (rk。参考文献W]在该方案中,授权方Alice具有公钥ga和私钥a,被授权方Bob具 有公钥gb和私钥b,其中g产生有限循环群。为了授权Bob,Alice将—b = b/a发送给 代理方。因此,与Bob串通的攻击方Malice (具有公钥ge和私钥c)可以按照rka、= (c/ b) —b来产生转密密钥。参考文献[7]:在该方案中,授权方Alice具有针对随机群元素hA的公钥 (hA,h:,h:)和私钥(ai,a2),被授权方Bob具有针对另一随机群元素hB的公钥( , /i/,hB、) 和私钥(b1; b2)0为了授权Bob,Alice将针对另一随机群元素hK的rfc“ =( , "1,
发送给代理方。因此,与Bob串通的攻击方Malice (具有针对另一随机群元素hc的公钥 (/^V1, V2)和私钥(C1, C2))可以计算义…=(J^1Hraj〒”。
参考文献[8]在该方案中,授权方Alice具有公钥ga和私钥a,被授权方Bob具 有公钥gb和私钥b。为了授权Bob,Alice将rka —b = gb/a发送给代理方。因此,与Bob串通的攻击方Malice(具有公钥ge和私钥c)可以计算— c = (rka —b严。这里再次重申,现有技术在所选择的单向代理转密(PRE)系统的原始定义下是安 全的。在原始定义中,转密密钥的数据流受到限制,转密密钥只可能被发送给代理方。然而, 如果该限制恰好不满足,如上所述,在限制放松的情况下,现有技术实际上是不安全的。换 言之,在本发明重新定义的单向代理转密系统中,即在转密密钥可直接传送给被授权方的 情况下,现有技术无法正常工作。
发明内容
鉴于现有技术的上述缺点,本发明提出了一种非延展单向代理转密密钥产生方法 和设备、以及一种非延展单向代理转密执行方法和系统。首先,将转密密钥可直接安全地被发送给被授权方的属性定义为非延展性。非延展件的定义串通的一组被授权方无法向第三方授予解密权限。例如,在(1)代理方的转密密钥是rka —b、(2)Bob的秘密密钥是skb、(3)Malice的 秘密密钥是sk。的情况下,串通的被授权方难以产生rka —。。下面,论证非延展性的重要性。例如,在参考文献[4]和[5]中提出使用代理转密 密钥来进行对加密文件存储系统的访问控制。在这种场景下,未受信的访问控制服务器管 理对存储在分布式不受信块存储器中的加密文件的访问。用户从块存储器下载加密内容, 然后与访问控制服务器进行通信,请求对内容进行解密的权限。内容所有方选择哪个(哪 些)用户可以访问内容,并且将适当的授权权限发送给访问控制服务器。不难想到,PRE系 统是这种访问控制系统的一种解决方案,其中访问控制服务器用作代理方。同样也很容易 想到,对于数据所有方将委托权限直接发送给用户,实际上是没有阻碍的。无庸置疑,除了 上述场景之外,显然,用户也可能获得委托权限,例如由于代理方的疏忽;又例如,由于数据 所有方的疏忽;或者又例如,由于数据所有方和用户之间的串通。因此,本发明的目的是重新定义单向代理转密方案如下,使之成为非延展单向代 理转密方案。单向代理转密方案是一种(概率的)多项式时间算法元组(/CG,亿P),其中 的元素定义如下今(ZC^CP)是底层密码系统的标准密钥产生、加密和解密算法。这里ε和ρ是 算法的集合(可能是单元素集)。在输入安全参数Ik时,冗^输出密钥对(pk,sk)。在输入 pkA和消息,对于所有的e ε,输出是密文CA。在输入skA和密文(;时,存在 输出消息m 6 的八£ V。今在输入(pkA,skA, pkB,skB)时,转密密钥产生算法尺口,输出转密密钥rkA —Β。今在输入rkA —B和密文Ca时,转密函数兄输出转密后的密文CB。与多数现有技术中的原始定义相比,根据本发明的重新定义的非延展单向代理转 密方案的唯一区别在于本发明不再定义转密密钥产生算法兄例又针对代理方输出转密密钥
rkA — β。
因此,可以想到,可以直接将转密密钥rkA — B发送给被授权方。本发明的目的是提 出一种代理转密方案,该方案在重新定义的定义下是安全的,即允许被授权方接收转密密 钥的一种安全代理转密方案。根据本发明的第一方面,提出一种非延展单向代理转密密钥产生设备,包括转密 密钥产生单元,用于获得授权方的私钥对(%, )、以及被授权方的公钥#,并根据授权方的 私钥对中的一个私钥 和被授权方的公钥#来产生单向代理密钥;以及增强单元,用于 选择调整因子s,获得授权方的公钥h,并根据所产生的单向代理转密密钥/Α,通过代入所 选择的调整因子S、授权方的公钥h和授权方的私钥对中的另一个私钥%,来产生非延展单 向代理转密密钥rka —b。优选地,授权方的公钥h是根据授权方的约束集合尺、按照h = 产生的,其中 HW是安全单向散列函数。优选地,授权方的公钥h是根据授权方的另一私钥 、按照A 二 ^产生的。优选地,授权方的公钥h是根据授权方的约束集合π以及授权方的另一私钥%、按 照/i =沪· Γ(π)产生的,其中Η(*)是安全单向散列函数。根据本发明的第二方面,提出一种非延展单向代理转密密钥产生方法,包括以下 步骤获得授权方的私钥对(a1; )、以及被授权方的公钥^ ;根据授权方的私钥对中的一 个私钥 和被授权方的公钥力,产生单向代理密钥;选择调整因子s,并获得授权方的公 钥h ;根据所产生的单向代理转密密钥,通过代入所选择的调整因子S、授权方的公钥h 和授权方的私钥对中的另一个私钥%,产生非延展单向代理转密密钥rka —b。优选地,授权方的公钥h是根据授权方的约束集合兄、按照A =产生的,其中 HW是安全单向散列函数。优选地,授权方的公钥h是根据授权方的另一私钥 、按照A = /3产生的。优选地,授权方的公钥h是根据授权方的约束集合兄以及授权方的另一私钥%、按 照/i 二 P ■ 产生的,其中Η(*)是安全单向散列函数。根据本发明的第三方面,提出一种非延展单向代理转密执行系统,包括在授权方处,转密密钥产生单元,用于获得授权方的私钥对(a” a2)、授权方的公钥Ztl1以及被授 权方的公钥口\力),并根据授权方的私钥对中的一个私钥 以及被授权方的公钥0,产生 单向代理转密密钥;增强单元,用于选择调整因子s,获得授权方的公钥h,并根据所产生 的单向代理转密密钥Za,通过代入所选择的调整因子S、授权方的公钥h和授权方的私钥 对中的另一个私钥 ,来产生非延展单向代理转密密钥rka —b ;以及加密单元,用于利用授权方的公钥广,对明文消息m进行加密,产生在授权方的公 钥^^之下的增强原始密文;以及在代理方处,转密单元,用于将在授权方的公钥广1之下的增强原始密文转换为在被授权方的公钥之下的转换后的密文。优选地,非延展单向代理转密密钥吡4是以
权利要求
1.一种非延展单向代理转密密钥产生设备,包括转密密钥产生单元,用于获得授权方的私钥对(a” a2)、以及被授权方的公钥#,并根 据授权方的私钥对中的一个私钥 和被授权方的公钥#来产生单向代理密钥广、;以及增强单元,用于选择调整因子s,获得授权方的公钥h,并根据所产生的单向代理转密 密钥,通过代入所选择的调整因子S、授权方的公钥h和授权方的私钥对中的另一个私 钥a2,来产生非延展单向代理转密密钥—b。
2.根据权利要求1所述的设备,其中授权方的公钥h是根据授权方的约束集合π、按照& = 产生的,其中Η(*)是安全 单向散列函数。
3.根据权利要求1所述的设备,其中授权方的公钥h是根据授权方的另一私钥a3、按照Λ = 产生的。
4.根据权利要求1所述的设备,其中授权方的公钥h是根据授权方的约束集合兄以及授权方的另一私_a3、按照 h = ga、孖(尺)产生的,其中Η(*)是安全单向散列函数。
5.一种非延展单向代理转密密钥产生方法,包括以下步骤获得授权方的私钥对(a” a2)、以及被授权方的公钥力;根据授权方的私钥对中的一个私钥 和被授权方的公钥^,产生单向代理密钥;选择调整因子s,并获得授权方的公钥h ;以及根据所产生的单向代理转密密钥/“62,通过代入所选择的调整因子S、授权方的公钥h 和授权方的私钥对中的另一个私钥a2,产生非延展单向代理转密密钥rka —b。
6.根据权利要求5所述的方法,其中授权方的公钥h是根据授权方的约束集合兄、按照Λ = 产生的,其中Η(*)是安全 单向散列函数。
7.根据权利要求5所述的方法,其中授权方的公钥h是根据授权方的另一私钥a3、按照Zi = 产生的。
8.根据权利要求5所述的方法,其中授权方的公钥h是根据授权方的约束集合尺以及授权方的另一私_a3、按照 h = gH·孖(尺)产生的,其中H(*)是安全单向散列函数。
9.一种非延展单向代理转密执行系统,包括在授权方处,转密密钥产生单元,用于获得授权方的私钥对(a” a2)、授权方的公钥^^以及被授权方的公钥(Z/2),并根据授权方的私钥对中的一个私钥 B1以及被授权方的公钥#,产生单向代理转密密钥;增强单元,用于选择调整因子s,获得授权方的公钥h,并根据所产生的单向代理转密 密钥/^,通过代入所选择的调整因子S、授权方的公钥h和授权方的私钥对中的另一个私 钥a2,来产生非延展单向代理转密密钥rka —b ;以及加密单元,用于利用授权方的公钥Zai,对明文消息m进行加密,产生在授权方的公钥 之下的增强原始密文;以及在代理方处,转密单元,用于将在授权方的公钥^之下的增强原始密文转换为在被授权方的公钥 (沪,^ )之下的转换后的密文。
10.根据权利要求9所述的系统,其中非延展单向代理转密密钥rka — b是以(s, (h ■ Qa^ )1/(°2+ ))的形式产生的; 在授权方的公之下的增强原始密文是以(m_ZV,/,5V)的形式产生的;在被授权方的公钥之下的转换后的密文具有卜.ZairIiv)的形式。
11.根据权利要求9所述的系统,其中授权方的公钥h是根据授权方的约束集合尺、按照A = 产生的,其中Η(*)是安全 单向散列函数;非延展单向代理转密密钥rkpb是以s,j的形式产生的;在授权方的公钥”之下的增强原始密文是以(m ·f)的形式产生的;当且仅当丑(兄)=Zi时,在被授权方的公钥(力,一)之下的转换后的密文具有 —的形式。
12.根据权利要求9所述的系统,其中授权方的公钥h是根据授权方的另一私钥a3、按照& = ρ产生的;非延展单向代理转密密钥rka — b是以+刊 的形式产生的; 在授权方的公钥”之下的增强原始密文是以@V,m · Zv,/,疒)的形式产生的;在被授权方的公钥(力,之下的转换后的密文具有(m.r'r,r&)的形式。
13.根据权利要求9所述的系统,其中授权方的公钥h是根据授权方的约束集合尺以及授权方的另一私_a3、按照 h = ^ .丑(尺)产生的,其中H(*)是安全单向散列函数;非延展单向代理转密密钥rka —b是以5,兄,(/^5,) 的形式产生的;在授权方的公钥”之下的增强原始密文是以@9,rn · Za「,5/,<2”)的形式产生的; 当且仅当P·丑(咒)时,在被授权方的公钥之下的转换后的密文具有 (爪‘广,沪^的形式。
14.根据权利要求9所述的系统,还包括在被授权方处,解密单元,用于利用被授权方的私钥对(b1;b2),对转换后的密文进行解密,以恢复明文 消息m。
15.根据权利要求10 13之一所述的系统,还包括在被授权方处,解密单元,用于利用被授权方的私钥对(b1; b2),按照m . Z叫(Z*P对转换后的密文[m · Zv,进行解密,以恢复明文消息m。
16.一种非延展单向代理转密执行方法,包括以下步骤 在授权方处,获得授权方的私钥对(a1; a2)、授权方的公钥以及被授权方的公钥根据授权方的私钥对中的一个私钥 以及被授权方的公钥#,产生单向代理转密密钥一;选择调整因子s,并获得授权方的公钥h ;根据所产生的单向代理转密密钥广62,通过代入所选择的调整因子S、授权方的公钥h 和授权方的私钥对中的另一个私钥a2,来产生非延展单向代理转密密钥rka —b ;以及利用授权方的公钥广1,对明文消息m进行加密,产生在授权方的公钥广>之下的增强原 始密文;以及在代理方处,将在授权方的公钥Z0"之下的增强原始密文转换为在被授权方的公钥口/2)之下的转 换后的密文。
17.根据权利要求16所述的方法,其中非延展单向代理转密密钥rka —b是以“(/ι ·的形式产生的;在授权方的公钥yvt下的增强原始密文是以(m的形式产生的;在被授权方的公钥之下的转换后的密文具有(爪·沪 广”的形式。
18.根据权利要求16所述的方法,其中授权方的公钥h是根据授权方的约束集合兄、按照△ = 产生的,其中H(*)是安全在授权方的公下的增强原始密文是以(m·的形式产生的;当且仅当丑(尺)=/i时,在被授权方的公钥(力,於)之下的转换后的密文具有 m.Za'r,r^)的形式。
19.根据权利要求16所述的方法,其中授权方的公钥h是根据授权方的另一私钥a3、按照& = 产生的;非延展单向代理转密密钥rka — b是以s,(h.gaA)j 的形式产生的; 在授权方的公钥”之下的增强原始密文是以(ZvWZY,/,疒)的形式产生的;在被授权方的公钥(力,力之下的转换后的密文具有的形式。
20.根据权利要求16所述的方法,其中单向散列函数;非延展单向代理转密密钥rka —b是以授权方的公钥h是根据授权方的约束集合π以及授权方的另一私钥 、按照 h 二 ga、丑(兄)产生的,其中_是安全单向散列函数; 非延展单向代理转密密钥rka — b是以S,凡(L5lA) 的形式产生的; 在授权方的公钥ρ之下的增强原始密文是以(广爪JWd2V)的形式产生的;当且仅当沪.孖(π) 二/i时,在被授权方的公钥(ζ6',泸)之下的转换后的密文具有 (m.r'r,r松)的形式。
21.根据权利要求16所述的方法,还包括以下步骤在被授权方处,利用被授权方的私钥对(b1; Id2),对转换后的密文进行解密,以恢复明文消息m。
22.根据权利要求17 20之一所述的方法,还包括以下步骤在被授权方处,解密单元,用于利用被授权方的私钥对(b1; b2),按照m · ^^/(^^「对转换后的密文 (m · Zv,进行解密,以恢复明文消息m。
全文摘要
本发明提出了一种非延展单向代理转密密钥产生设备,包括转密密钥产生单元,用于获得授权方的私钥对(a1,a2)、以及被授权方的公钥并根据授权方的私钥对中的一个私钥a1和被授权方的公钥来产生单向代理密钥以及增强单元,用于选择调整因子s,获得授权方的公钥h,并根据所产生的单向代理转密密钥通过代入所选择的调整因子s、授权方的公钥h和授权方的私钥对中的另一个私钥a2,来产生非延展单向代理转密密钥rka→b。此外,本发明还提出了一种非延展单向代理转密密钥产生方法、以及一种非延展单向代理转密执行方法和系统。
文档编号H04L9/30GK102111269SQ20091026369
公开日2011年6月29日 申请日期2009年12月29日 优先权日2009年12月29日
发明者曾珂 申请人:日电(中国)有限公司