专利名称:更新私钥的方法及设备、获得会话密钥的方法和通信设备的制作方法
技术领域:
本发明涉及身份基加密系统,尤其涉及用于身份基加密系统的身份基加密方案, 其能够以较低的代价进行身份撤销。
背景技术:
传统的公钥加密系统需要公钥基础设施(PKI)负责验证用户身份与其公钥之间的对应关系。公钥基础设施通过公布一些公开信息来保证加密者可以验证其他用户身份与其所使用的公钥之间的对应关系。由于加密者需要检查接收者公钥以及证书合格与否,因此传统公钥加密系统的计算和通信负担就大为增加。在 A. Shamir, Identity-based cryptosystems and signature schemes, In CRYPTO' 84, LNCS vol. 196, pages 47-53. Springer,1984 中提出了身份基加密(IBE)的概念,其目的在于消除传统加密系统对公钥基础设施的需求。IBE的基本思想是直接将用户的身份作为用户的公钥,比如用户公开的电子邮箱或者家庭地址之类的信息直接作为用户的公钥。这样,就无需第三方来验证用户公钥与其身份之间的对应关系。尽管身份基加密有众多的优点,身份撤销(revocation)仍然是个引起关注的问题。不管在传统的公钥加密系统还是身份基加密中,身份撤销问题都存在。其原因在于总是有一些用户的私钥丢失了,或者被某些攻击者以某种手段获得,或者过期了。因此系统需要提供手段来撤销这些已不能继续使用的用户私钥。在传统的基于PKI的公钥加密系统,撤销一个用户通常是通过HiI向加密者公开证书撤销列表来实现的。然而,这种方法并不适用于身份基加密系统,其原因在于这种方法与身份基加密系统的宗旨相冲突的。在身份基加密系统中用户加密产生密文只需要系统的公开参数和接收者的身份,因此就不存在这种允许私钥生成中心(PKG)对加密者通知被撤销用户身份列表的渠道。在Dan Boneh 禾口 Matthew K. Franklin,“ Identity-based encryption from the weil pairing",In CRYPTO, pages 213-229,2001中提出的身份基加密方案建议用户周期性地更新其私钥,比如每隔一周更新一次用户私钥。加密者则以当前时间周期和接收者身份对消息进行加密。然而,这种周期性私钥更新方法在身份基加密系统中用户数量剧增时并不适用,其原因在于在这种情况下PKG的工作量将会与系统用户数量成正比。为改进身份基加密系统中身份撤销的效率,在A. Boldyreva, V. Goyal,和 V. Kumar. Identity-based encryption with efficient revocation. In ACM Conference on Computer and Communications Security, pages 417—426,2008 巾 [JB 了—禾中 1 白勺可撤销身份基加密(revocable IBE)方案。在Boldyreva等人的方案中,用户身份和时间周期被看作两种独立的属性。加密者针对这两种属性加密消息,当且仅当接收者拥有对应正确身份和正确时间的私钥时才能成功解密。这里对应正确时间的含义是指用户的身份没有在密文加密时间周期之前已被撤销。系统将周期性地公布一些更新信息(update information)。合法用户将使用这些更新信息更新其所持有的用户私钥以在新周期中解密密文。被撤销用户则无法使用这些更新信息来更新用户私钥。
发明内容
令r表示被撤销用户的数目,η为所有用户的数目。在Boneh和Franklin所提出的身份基加密方案中,更新信息的大小为0(n-r),0 <r彡n/2,私钥大小为常数。在 Boldyreva等人提出的身份基加密方案中,更新信息的大小为0 (r log (n/r)),O < r彡n/2, 而私钥大小为0(log η)。人们不断寻求进一步降低身份基加密方案中用于身份撤销的代价。本发明的一个目的在于提供一种身份基加密方案,其能够以较低的代价实现身份撤销。本发明的一个实施例是一种在身份基加密系统中更新用户私钥的方法,包括将完全二叉树中的合法叶节点划分到一或多个子集,其中,每个子集是所述完全二叉树的完全子树和所述完全子树的完全子子树的叶节点集的差,所述完全子子树的每个叶节点均与一个不同撤销用户相关联,对于完全二叉树中非叶节点与所述非叶节点之下的节点层的每个组合,关联有不同的一阶线性多项式f(x),所有多项式的零阶系数为所述身份基加密系统的主私钥;响应于所述划分,针对每个子集,根据与相应完全子树的根节点和相应完全子子树的根节点所位于的层的组合相关联的一阶线性多项式f (χ)计算信息f (k),其中k是所述相应完全子子树的根节点的身份,使用单向函数由信息f(k)计算更新多项式信息,通过变化量的更新值的散列获得变化信息,和用所述变化信息加扰所述更新多项式信息以获得更新信息;以及发布关于所述划分的信息和各个所述子集的更新信息。本发明的一个实施例是一种在身份基加密系统的通信设备中获得会话密钥的方法,包括接收头信息;根据关于子集划分的信息确定接收用户的对应叶节点所属的子集, 其中完全二叉树中的合法叶节点被划分到一或多个子集,每个子集是所述完全二叉树的完全子树和所述完全子树的完全子子树的叶节点集的差,所述完全子子树的每个叶节点均与一个不同撤销用户相关联,对于完全二叉树中非叶节点与所述非叶节点之下的节点层的每个组合,关联有不同的一阶线性多项式f(x),所有多项式的零阶系数为所述身份基加密系统的主私钥;针对所确定的子集,确定相应完全子树中从根节点到所述对应叶节点的路径上与相应完全子子树的根节点同级的节点,其中,对于所述路径的非叶节点与所述非叶节点之下的节点所位于的层的每个组合,所述接收用户的私钥包含与所述组合相关联的私钥部分,所述私钥部分包含通过用所述接收用户的身份的散列加扰私钥多项式信息而获得的私钥片段,所述私钥多项式信息是通过对根据与所述组合相关联的一阶线性多项式f(x) 计算的信息f (i)应用单向函数而获得的,其中i是所述非叶节点之下的节点的身份,并且其中,每个子集关联有通过用变化量的更新值的散列加扰更新多项式信息而获得的更新信息,所述更新多项式信息是通过对根据与相应完全子树的根节点和相应完全子子树的根节点所位于的层的组合相关联的一阶线性多项式f(x)计算的信息f(k)应用所述单向函数而获得的,其中k是所述相应完全子子树的根节点的身份;根据头信息对与所确定的子集的相应完全子树的根节点和所确定的同级节点所位于的层的组合相关联的私钥部分中的私钥片段解扰以获得取决于相应私钥多项式信息的第一值;根据头信息对与所确定的子集相关联的更新信息解扰以获得取决于相应更新多项式信息的第二值;和使用多项式插值方法根据所述第一值和第二值获得取决于信息f(0)的第三值,以作为会话密钥。本发明的一个实施例是一种身份基加密系统的私钥更新设备,包括子集生成装置,其将完全二叉树中的合法叶节点划分到一或多个子集,其中,每个子集是所述完全二叉树的完全子树和所述完全子树的完全子子树的叶节点集的差,所述完全子子树的每个叶节点均与一个不同撤销用户相关联,对于完全二叉树中非叶节点与所述非叶节点之下的节点层的每个组合,关联有不同的一阶线性多项式f(x),所有多项式的零阶系数为所述身份基加密系统的主私钥;更新信息生成装置,其响应于所述划分,针对每个子集,根据与相应完全子树的根节点和相应完全子子树的根节点所位于的层的组合相关联的一阶线性多项 Sf(X)计算信息f(k),其中k是所述相应完全子子树的根节点的身份,使用单向函数由信息f (k)计算更新多项式信息,通过变化量的更新值的散列获得变化信息,和用所述变化信息加扰所述更新多项式信息以获得更新信息;以及发布装置,其发布关于所述划分的信息和各个所述子集的更新信息。本发明的一个实施例是一种身份基加密系统的通信设备,包括接收装置,其接收头信息;私钥选择装置,被配置为根据关于子集划分的信息确定接收用户的对应叶节点所属的子集,其中完全二叉树中的合法叶节点被划分到一或多个子集,每个子集是所述完全二叉树的完全子树和所述完全子树的完全子子树的叶节点集的差,所述完全子子树的每个叶节点均与一个不同撤销用户相关联,对于完全二叉树中非叶节点与所述非叶节点之下的节点层的每个组合,关联有不同的一阶线性多项式f(x),所有多项式的零阶系数为所述身份基加密系统的主私钥,并且针对所确定的子集,确定相应完全子树中从根节点到所述对应叶节点的路径上与相应完全子子树的根节点同级的节点,其中,对于所述路径的非叶节点与所述非叶节点之下的节点所位于的层的每个组合,所述接收用户的私钥包含与所述组合相关联的私钥部分,所述私钥部分包含通过用所述接收用户的身份的散列加扰私钥多项式信息而获得的私钥片段,所述私钥多项式信息是通过对根据与所述组合相关联的一阶线性多项式f(X)计算的信息f(i)应用单向函数而获得的,其中i是所述非叶节点之下的节点的身份,并且其中,每个子集关联有通过用变化量的更新值的散列加扰更新多项式信息而获得的更新信息,所述更新多项式信息是通过对根据与相应完全子树的根节点和相应完全子子树的根节点所位于的层的组合相关联的一阶线性多项式f(X)计算的信息f(k)应用所述单向函数而获得的,其中k是所述相应完全子子树的根节点的身份;和会话密钥生成装置,被配置为根据头信息对与所确定的子集的相应完全子树的根节点和所确定的同级节点所位于的层的组合相关联的私钥部分中的私钥片段解扰以获得取决于相应私钥多项式信息的第一值,根据头信息对与所确定的子集相关联的更新信息解扰以获得取决于相应更新多项式信息的第二值,和使用多项式插值方法根据所述第一值和第二值获得取决于信息f(0)的第三值,以作为会话密钥。根据本发明的实施例,对于任一所划分的子集而言,相应完全子子树的叶节点所对应的被撤销用户所得到的更新信息是根据信息f(k)获得的,其中k是相应完全子子树的根节点的身份。信息f(k)所基于的多项式是与相应完全子树的根节点和相应完全子子树的根节点所位于的层的组合相关联的一阶线性多项式f(x)。当尝试解密时,对于所属的子集而言,被撤销用户拥有的私钥部分所包含的私钥片段是基于信息f(i)获得的,其中i是相应完全子树中从根节点到被撤销用户的相应叶节点的路径上非叶节点之下的节点的身份。这样的话,对于更新信息所基于的信息f (k),身份k所对应的节点也在该路径上,使得对于相同的多项式f (x),更新信息所基于的信息f (k)中的身份k与私钥片段所基于的信息 f(i)中的身份i相同。这导致无法通过多项式插值来产生f(0)。在根据取决于f(0)的值 (例如通过对f(0)应用单向函数而得到的公开参数)产生会话密钥的情况下,被撤销用户无法获得会话解密,从而无法解密出明文。根据本发明的实施例,在根据子集差方法进行子集划分的情况下,更新信息大小为0(r),1 < r彡n/2,私钥大小为Odog2 (η));在根据分层子集差方法进行划分的情况下, 更新信息大小为0(r/e),l <r ^ n/2,私钥大小为0(log1+E (η))。
参照下面结合附图对本发明实施例的说明,会更加容易地理解本发明的以上和其它目的、特点和优点。在附图中,相同的或对应的技术特征或部件将采用相同或对应的附图标记来表示。在附图中不必依照比例绘制出单元的尺寸和相对位置。图1是示出根据本发明实施例的身份基加密系统的体系结构的示例的示意图。图2是示出根据本发明实施例的私钥生成设备的结构示例的框图。图3a示意性地示出了一个完全二叉树的一部分。图北示意性地示出了多项式计算装置针对图3a示出的完全二叉树中从根节点到叶节点的路径上的各个非叶节点的处理。图4是示出根据本发明实施例的私钥生成方法的过程示例的流程图。图5是示出根据本发明实施例的私钥更新设备的结构示例的框图。图6示出了划分的子集的一个示例。图7是示出根据本发明实施例的私钥更新方法的过程示例的流程图。图8是示出根据本发明实施例的通信设备的结构示例的框图。图9是示出根据本发明实施例的通信设备中获得会话密钥的方法的过程示例的流程图。图10是示出其中实现本发明实施例的物理计算机的示例性结构的框图。
具体实施例方式下面参照附图来说明本发明的实施例。应当注意,为了清楚的目的,附图和说明中省略了与本发明无关的、本领域普通技术人员已知的部件和处理的表示和描述。图1是示出根据本发明实施例的身份基加密系统的体系结构的示例的示意图。在图1示出的身份基加密系统包括如下两种角色私钥分发中心(PKG) 101和用户,即用户使用的通信设备,例如通信设备102和通信设备103。在实际操作中用户使用的通信设备可以是产生密文的加密者,也可以是进行解密的解密者。PKG 101包括初始化设备104、私钥生成设备105、身份撤销设备106和私钥更新设备 107。初始化设备104在建立身份基加密系统时运行初始化算法。具体地,初始化设备 104根据系统安全参数Γ与系统用户数目η运行初始化算法。运行初始化算法后,初始化设备104输出公开参数pk,系统主私钥mk,系统中被撤销的身份列表rl (起初为空)以及状态st。公开参数pk被公开给用户。当用户向PKG 101注册时,用户将其身份ω提交给PKG 101。私钥生成设备105 根据身份ω、公开参数pk和系统主私钥mk运行私钥生成算法。运行算法后,私钥生成设备 105向用户输出用户身份私钥Sku。在由于例如但不限于用户私钥丢失、被某些攻击者以某种手段获得或过期的原因而需要撤销不能继续使用的用户私钥的情况下,身份撤销装置106执行身份撤销算法。虽然撤销私钥也称为撤销身份,然而实际撤销的是当前为用户生成的私钥。当更撤销用户的私钥时,身份撤销设备106根据被撤销私钥的用户的身份ω、撤销时间t、撤销身份列表rl和状态st执行身份撤销算法。执行身份撤销算法后,身份撤销设备106输出更新后的撤销身份列表rl。这里,如果PKG 101对身份撤销设备106输入(ω, t,rl, st),则称身份ω在时间周期t之前被撤销了。也可以用其它变化量来代替时间周期,只要各方能够同步地获得变化量的当前值。例如,变化量可以是与时间相关的值序列。 根据当前时间可以获得值序列中的特定值以作为变化量的当前值。周期性地或响应于用户身份的撤销,私钥更新设备107执行私钥更新算法来生成更新信息。更新信息被发布给身份基加密系统的用户。私钥更新设备107根据公开参数pk、系统主私钥mk、私钥更新时间t、被撤销用户身份列表rl执行私钥更新算法。执行私钥更新算法后,私钥更新设备107输出对应于更新时间t的更新信息kut。当用户要向具有身份ω的用户发送消息明文m时,其使用的通信设备对消息明文 m执行加密算法。加密算法根据公开参数pk、用户身份ω、加密时间t对消息明文m加密, 并且输出头信息Hdr和密文C。用户的通信设备向身份为ω的用户的通信设备发送头信息 Hdr和密文C。当身份为ω的用户的通信设备接收到头信息Hdr和密文c时,执行会话密钥生成算法。会话密钥生成算法接受如下输入头信息Hdr、身份为ω的用户的身份私钥sku和更新信息kut。会话密钥生成算法输出会话密钥dku,t或某个出错符号丄,这个符号代表身份ω被撤销。接着,身份为ω的用户的通信设备执行解密算法。解密算法接受如下输入会话密钥dku,t以及密文c,并且输出消息明文m或出错符号丄,该符号代表密文不合格。图2是示出私钥生成设备105的结构示例的框图。如图2所示,私钥生成设备105包括指派装置201、多项式计算装置202和私钥生成装置203。指派装置201维护一个深度为d的完全二叉树。将身份基加密系统的用户与完全二叉树的叶节点一一对应起来,因而身份基加密系统的最大用户数目η = 2d。完全二叉树中的每个节点分配有一个身份。对于完全二叉树中非叶节点i与所述非叶节点之下的节
点层j的每个组合(i,j),关联有不同的一阶线性多项式
权利要求
1.一种在身份基加密系统中更新用户私钥的方法,包括将完全二叉树中的合法叶节点划分到一或多个子集,其中,每个子集是所述完全二叉树的完全子树和所述完全子树的完全子子树的叶节点集的差,所述完全子子树的每个叶节点均与一个不同撤销用户相关联,对于完全二叉树中非叶节点与所述非叶节点之下的节点层的每个组合,关联有不同的一阶线性多项式f(x),所有多项式的零阶系数为所述身份基加密系统的主私钥;响应于所述划分,针对每个子集,根据与相应完全子树的根节点和相应完全子子树的根节点所位于的层的组合相关联的一阶线性多项式f(x)计算信息f(k),其中k是所述相应完全子子树的根节点的身份,使用单向函数由信息f(k)计算更新多项式信息,通过变化量的更新值的散列获得变化信息,和用所述变化信息加扰所述更新多项式信息以获得更新信息;以及发布关于所述划分的信息和各个所述子集的更新信息。
2.如权利要求1所述的方法,其中,所述单向函数具有如下形式
3.如权利要求2所述的方法,其中,通过将所述多项式信息与所述变化信息相乘来进行所述加扰。
4.如权利要求3所述的方法,其中,所述变化信息为丑( /’,其中H(X)为散列函数,t 为所述变化量的更新值,r'是、中的随机数,并且所述方法还包括响应于所述划分,针对每个子集,获得附加更新信息g"’,其中g是双线性群G1的生成元;以及发布各个所述子集的附加更新信息。
5.如权利要求4所述的方法,其中,
6.如权利要求1所述的方法,其中,所述变化量是时间。
7.如权利要求1所述的方法,其中,所述划分是根据子集差方法或分层子集差方法进行的。
8.一种在身份基加密系统的通信设备中获得会话密钥的方法,包括接收头信息;根据关于子集划分的信息确定接收用户的对应叶节点所属的子集,其中完全二叉树中的合法叶节点被划分到一或多个子集,每个子集是所述完全二叉树的完全子树和所述完全子树的完全子子树的叶节点集的差,所述完全子子树的每个叶节点均与一个不同撤销用户相关联,对于完全二叉树中非叶节点与所述非叶节点之下的节点层的每个组合,关联有不同的一阶线性多项式f(x),所有多项式的零阶系数为所述身份基加密系统的主私钥;针对所确定的子集,确定相应完全子树中从根节点到所述对应叶节点的路径上与相应完全子子树的根节点同级的节点,其中,对于所述路径的非叶节点与所述非叶节点之下的节点所位于的层的每个组合, 所述接收用户的私钥包含与所述组合相关联的私钥部分,所述私钥部分包含通过用所述接收用户的身份的散列加扰私钥多项式信息而获得的私钥片段,所述私钥多项式信息是通过对根据与所述组合相关联的一阶线性多项式f (X)计算的信息f(i)应用单向函数而获得的,其中i是所述非叶节点之下的节点的身份,并且其中,每个子集关联有通过用变化量的更新值的散列加扰更新多项式信息而获得的更新信息,所述更新多项式信息是通过对根据与相应完全子树的根节点和相应完全子子树的根节点所位于的层的组合相关联的一阶线性多项式f(X)计算的信息f(k)应用所述单向函数而获得的,其中k是所述相应完全子子树的根节点的身份;根据头信息对与所确定的子集的相应完全子树的根节点和所确定的同级节点所位于的层的组合相关联的私钥部分中的私钥片段解扰以获得取决于相应私钥多项式信息的第一值;根据头信息对与所确定的子集相关联的更新信息解扰以获得取决于相应更新多项式信息的第二值;和使用多项式插值方法根据所述第一值和第二值获得取决于信息f(0)的第三值,以作为会话密钥。
9.如权利要求8所述的方法,其中,所述单向函数具有如下形式
10.如权利要求9所述的方法,其中,通过将所述私钥多项式信息与所述接收用户的身份的散列相乘来加扰所述私钥多项式信息,并且通过将所述更新多项式信息与所述变化量的更新值的散列相乘来加扰所述更新多项式信息。
11.如权利要求10所述的方法,其中,所述变化量的更新值的散列为,所述接收用户的身份的散列为Η(ωΓ,其中H(X)为散列函数,t为所述变化量的更新值,ω是所述接收用户的身份,r和r'是、中的随机数,每个子集的更新信息还包含附加更新信息g"’,并且每个私钥部分还包含附加私钥片段A其中g是双线性群G1的生成元。
12.如权利要求11所述的方法,其中,
13.如权利要求11或12所述的方法,其中,所述头信息包含g%Η(ω)ζ*Ηα)% ζ是从\中随机选择的,并且分别通过下式来获得所述第一值和第二值
14.如权利要求8所述的方法,其中,所述变化量是时间。
15.如权利要求8所述的方法,其中,所述划分是根据子集差方法或分层子集差方法进行的。
16.一种身份基加密系统的私钥更新设备,包括子集生成装置,其将完全二叉树中的合法叶节点划分到一或多个子集,其中,每个子集是所述完全二叉树的完全子树和所述完全子树的完全子子树的叶节点集的差,所述完全子子树的每个叶节点均与一个不同撤销用户相关联,对于完全二叉树中非叶节点与所述非叶节点之下的节点层的每个组合,关联有不同的一阶线性多项式f(x),所有多项式的零阶系数为所述身份基加密系统的主私钥;更新信息生成装置,其响应于所述划分,针对每个子集,根据与相应完全子树的根节点和相应完全子子树的根节点所位于的层的组合相关联的一阶线性多项式f(x)计算信息f(k),其中k是所述相应完全子子树的根节点的身份, 使用单向函数由信息f(k)计算更新多项式信息, 通过变化量的更新值的散列获得变化信息,和用所述变化信息加扰所述更新多项式信息以获得更新信息;以及发布装置,其发布关于所述划分的信息和各个所述子集的更新信息。
17.如权利要求16所述的私钥更新设备,其中,所述单向函数具有如下形式
18.如权利要求17所述的私钥更新设备,其中,通过将所述多项式信息与所述变化信息相乘来进行所述加扰。
19.如权利要求18所述的私钥更新设备,其中,所述变化信息为丑(/)"’,其中H(X)为散列函数,t为所述变化量的更新值,r'是、中的随机数,并且所述更新信息生成装置进一步被配置为响应于所述划分,针对每个子集,获得附加更新信息纟,其中g是双线性群G1的生成元,并且所述发布装置进一步被配置为发布各个所述子集的附加更新信息。
20.如权利要求19所述的私钥更新设备,其中,
21.如权利要求16所述的私钥更新设备,其中,所述变化量是时间。
22.如权利要求16所述的私钥更新设备,其中,所述划分是根据子集差方法或分层子集差方法进行的。
23.一种身份基加密系统的通信设备,包括 接收装置,其接收头信息;私钥选择装置,被配置为根据关于子集划分的信息确定接收用户的对应叶节点所属的子集,其中完全二叉树中的合法叶节点被划分到一或多个子集,每个子集是所述完全二叉树的完全子树和所述完全子树的完全子子树的叶节点集的差,所述完全子子树的每个叶节点均与一个不同撤销用户相关联,对于完全二叉树中非叶节点与所述非叶节点之下的节点层的每个组合,关联有不同的一阶线性多项式f(X),所有多项式的零阶系数为所述身份基加密系统的主私钥,并且针对所确定的子集,确定相应完全子树中从根节点到所述对应叶节点的路径上与相应完全子子树的根节点同级的节点,其中,对于所述路径的非叶节点与所述非叶节点之下的节点所位于的层的每个组合, 所述接收用户的私钥包含与所述组合相关联的私钥部分,所述私钥部分包含通过用所述接收用户的身份的散列加扰私钥多项式信息而获得的私钥片段,所述私钥多项式信息是通过对根据与所述组合相关联的一阶线性多项式f (X)计算的信息f(i)应用单向函数而获得的,其中i是所述非叶节点之下的节点的身份,并且其中,每个子集关联有通过用变化量的更新值的散列加扰更新多项式信息而获得的更新信息,所述更新多项式信息是通过对根据与相应完全子树的根节点和相应完全子子树的根节点所位于的层的组合相关联的一阶线性多项式f(X)计算的信息f(k)应用所述单向函数而获得的,其中k是所述相应完全子子树的根节点的身份;和会话密钥生成装置,被配置为根据头信息对与所确定的子集的相应完全子树的根节点和所确定的同级节点所位于的层的组合相关联的私钥部分中的私钥片段解扰以获得取决于相应私钥多项式信息的第一值,根据头信息对与所确定的子集相关联的更新信息解扰以获得取决于相应更新多项式信息的第二值,和使用多项式插值方法根据所述第一值和第二值获得取决于信息f(0)的第三值,以作为会话密钥。
24.如权利要求23所述的通信设备,其中,所述单向函数具有如下形式私钥多项式信息=g2/(x),更新多项式信息=g2/W,其中&是从双线性群G1中随机选择的,所述双线性群G1是会话密钥的双线性映射的定义域所基于的以素数ρ为阶的双线性群。
25.如权利要求M所述的通信设备,其中,通过将所述私钥多项式信息与所述接收用户的身份的散列相乘来加扰所述私钥多项式信息,并且通过将所述更新多项式信息与所述变化量的更新值的散列相乘来加扰所述更新多项式信息。
26.如权利要求25所述的通信设备,其中,所述变化量的更新值的散列为//( /’,所述接收用户的身份的散列为Η(ω)\其中H(X)为散列函数,t为所述变化量的更新值,ω是所述接收用户的身份,r和r'是、中的随机数,每个子集的更新信息还包含附加更新信息g”’,并且每个私钥部分还包含附加私钥片段A其中g是双线性群G1的生成元。
27.如权利要求沈所述的通信设备,其中,
28.如权利要求沈或27所述的通信设备,其中,所述头信息包含g%Η(ω)ζ*Ηα)% ζ是从\中随机选择的,并且分别通过下式来获得所述第一值和第二值
29.如权利要求23所述的通信设备,其中,所述变化量是时间。
30.如权利要求23所述的通信设备,其中,所述划分是根据子集差方法或分层子集差方法进行的。
全文摘要
公开了一种更新私钥的方法及设备、获得会话密钥的方法和通信设备。更新方法包括将完全二叉树中合法叶节点划分到一或多个子集,每个子集是完全子树及其完全子子树的叶节点集的差,完全子子树的每个叶节点均与一个不同撤销用户相关联,非叶节点与其之下节点层的每个组合关联有不同一阶线性多项式.f(x),多项式零阶系数为主私钥;根据与每个子集的相应完全子树的根节点和相应完全子子树的根节点所在的层的组合相关联的多项式计算信息.f(k),k是后者根节点的身份,使用单向函数由信息f(k)计算更新多项式信息,通过变化量的更新值的散列获得变化信息,和用变化信息加扰更新多项式信息以获得更新信息;及发布关于划分的信息和各个子集的更新信息。
文档编号H04L9/28GK102347835SQ20101024436
公开日2012年2月8日 申请日期2010年7月30日 优先权日2010年7月30日
发明者曹珍富, 林煌, 梁晓辉, 董晓蕾, 邢东升 申请人:索尼公司