专利名称:基于多变量密码体制的无证书多接收者签密方法
技术领域:
本发明属于信息安全技术领域,涉及一种无证书多接收者签密方法,特别是涉及一种基于多变量密码体制的无证书多接收者签密方法。
背景技术:
在广播通信应用中,保密和认证是最重要的两个问题,通常使用“先签名后加密”的方法对信息进行处理,但该方法所需要的代价是签名和加密所需的代价之和,效率较低。签密是一种同时实现加密和数字签名两项功能的重要密码学技术,集加密和数字签名于一体。签密提高了通信效率,降低了运算负担,是一种较为理想的数据信息安全传输方法。文献“SelviS S D, Vivek S S,Rangan C P. Cryptanalysis of CerticatelessSigncryption Schemes and an Efficient Construction without Pairing, Inscrypt2009,LNCE, Vol. 6151,Spinger, pp :52-67, 2010. ”公开了一种无证书签密方法。该方法选用无证书密码体制,是传统公钥密码体制和基于身份的密码体制间的折中方案,既克服了传统密码体制CA (Certificate Authority)对证书管理的问题,又解决了基于身份密码体制固有的密钥托管问题,在电子商务,广播通信中得到广泛应用。使用有限域上的离散对数问题取代了椭圆曲线上的离散对数问题,因此,该方案不需要复杂的双线性对运算,进一步提高了计算效率。然而,随着量子计算机的发展,利用量子计算机可以在多项式时间内解决因式分解、离散对数等数学问题,进而威胁依赖上述数学问题的传统公钥密码的安全性。现有的几乎所有的无证书签密方案都是基于传统密码体制的,面对量子计算机的出现,现有的无证书签密体制在量子计算下将不再安全。因此,文献公开的方法存在以下缺陷(1)在量子计算机攻击下,该方案将不在安全,攻击者通过求解离散对数问题,直接对密文进行分析,可以获取明文消息;(2)在以大素数为阶的有限域上的运算,计算量依旧较大,不适用于计算能力小的终端设备;(3)实现多接收者环境下的签密效率较低。
发明内容
为了克服现有的无证书签密方法安全性差的不足,本发明提供一种基于多变量密码体制的无证书多接收者签密方法。该方法采用基于多变量的密码体制,可以实现抗量子计算的高安全性,面对量子计算机的攻击,本发明依然保持安全性;且计算量小、效率高、安全性高,适用于智能卡等计算能力较小的终端设备;另外,本发明具有完备性、机密性、不可伪造性、前向安全性、后向安全性、保护接收者隐私等特点,能够抗击现有的已知攻击。本发明解决其技术问题所采用的技术方案是一种基于多变量密码体制的无证书多接收者签密方法,其特点是包括以下步骤步骤一、密钥生成中心选择秘密正整数参数S,产生大素数P和正整数I ;选择阶为q的有限域G,其中Q=P1 ;令Gn是有限域G的η次扩张;令正整数g为多变量方程组中方程的个数;
选择H1: G X G X Gn — Gn, H2: G — Gn为密码学安全的抗碰撞单向不可逆哈希函数,生成系统参数{G, I, g, n, q, p, H1, H2I ;步骤二、密钥生成中心选择安全的多变量加密算法,其核心变换F为Gn — Gn上的可逆二次变换,并在Gn — Gn上随机选择两个可逆的仿射变换T和V,生成密钥生成中心的系统公钥F =ο表示映射合成运算),系统私钥F-密钥生成中心在6" —Gn上随机选择两个可逆的仿射变换Ttl和Vtl,计算F0 = T00F0V0,则系统部分公钥力巧,系统部分私钥力只1 =彳I;。1\卩7。匕}。最后,密钥生成中心通过秘密信道将系统部分私钥传递给合法用户,密钥生成中心公开自己的系统公钥。当有用户退出时,密钥生成中心需重新生成系统部分公钥和系统部分私钥;增加新用户则不需重新生成系统部分公钥和系统部分私钥。步骤三、用户U获取密钥生成中心的系统部分私钥,然后计算系统部分私钥,随机选择Gn — Gn上的仿射变换Tu和Vu,合成自己的私钥Fu-1 = {I οT0 ο \FJoV0oVu},
并计算自己的公钥巧=1;。5。匕。生成用户U的公钥为Fu,用户U的私钥为Kl = iTuoT0oT,F,VoVnoVlt}0用户U将自己的公钥Fu传递给密钥生成中心,并且秘密保存自己的私钥iT步骤四、身份为IDa的用户Alice将签密消息m e G发送给用户组L=IID1, ID2,.. .,IDJ,首先通过向密钥生成中心查询得到用户组L的公钥信息,然后进行如下计算。选择随机数r e Gn, T1 e Gn_S将消息m和Γι链接得到M = m| Ir1,并依次计算X = E(F,r),Y = H1 (m, IDa, X) ,S = D(Fj\Y);对于IDi, i=l, 2, ..., t,计算 qj = H2(IDi), Wi =E{FnM || S || Χ)Φ(^- [| Y);对于用户组L,将L和Γι链接得到L1=L I I Γι,计算I/ = E(F0J1);最后生成密文σ = {S,W11W2,...,WtlLi }。步骤五、用户IDi, i=l,2,·…,t,收到密文σ后,进行如下计算。获取身份列表,L = 1XF, U") , L1的第一维元素即用户组身份列表L,提取IDi对应的密文信息{S,WJ ;依次计算Y' =E (Fa, S),Qi = H2 (IDi) ,Z = Wi {q, || Y') ,Mf || S' || X' = D(F1^Z),W的第一维元素即消息m';验证等式Y' =H1On' ,IDa, Xi )是否成立;若等式成立,则接受密文σ ;否则拒绝密文σ,并输出丄。本发明的有益效果是由于采用基于多变量的密码体制,实现了抗量子计算的高安全性,面对量子计算机的攻击,本发明依然保持安全性;相对于背景技术,本发明方法计算量小、效率高、安全性高,适用于智能卡等计算能力较小的终端设备;另外,本发明具有完备性、机密性、不可伪造性、前向安全性、后向安全性、保护接收者隐私等特点,能够抗击现有的已知攻击。下面通过实施例对本发明作详细说明。
具体实施例方式实施例中变量及运算的符号说明。
权利要求
1.一种基于多变量密码体制的无证书多接收者签密方法,其特征在于包括以下步骤 步骤一、密钥生成中心选择秘密正整数参数S,产生大素数P和正整数I ; 选择阶为q的有限域G,其中Q=P1 ; 令6"是有限域G的n次扩张; 令正整数g为多变量方程组中方程的个数; 选择H1 GXGXGn-GnjH2 G — Gn为密码学安全的抗碰撞单向不可逆哈希函数,生成系统参数{G, I, g, n, q, p, H1, H2); 步骤二、密钥生成中心选择安全的多变量加密算法,其核心变换F为Gn — GnI的可逆二次变换,并在Gn — Gn上随机选择两个可逆的仿射变换T和V,生成密钥生成中心的系统^mF = ToFoV,系统私钥,―1 = {T,F,V\ ; 密钥生成中心在Gn — Gn上随机选择两个可逆的仿射变换Ttl和Vtl,计算旯= T0OFaV0,则系统部分公钥为€,系统部分私钥为巧-1 = (!; Qtcr0Fe);最后,密钥生成中心通过秘密信道将系统部分私钥传递给合法用户,密钥生成中心公开自己的系统公钥;当有用户退出时,密钥生成中心需重新生成系统部分公钥和系统部分私钥;增加新用户则不需重新生成系统部分公钥和系统部分私钥; 步骤三、用户U获取密钥生成中心的系统部分私钥,然后计算系统部分私钥,随机选择Gn — Gn上的仿射变换Tu和Vu,合成自己的私钥Ft:1 = [Tu oTaoT, F, V。F0。Vu},并计算自己的公钥Fu=TuOFnOVu ;生成用户U的公钥为Fu,用户U的私钥为K1 = WuOT0OTyFjOV0OVl); 用户U将自己的公钥Fu传递给密钥生成中心,并且秘密保存自己的私钥巧一1; 步骤四、身份为IDa的用户Alice将签密消息mG G发送给用户组L= UD1, ID2,…,IDt},首先通过向密钥生成中心查询得到用户组L的公钥信息,然后进行如下计算; 选择随机数r G Gn7T1 G GrT1,将消息m和!^链接得到M=m| Ir1,并依次计算X = K(I'\r),Y = H1On, IDa, X), 5 = 7)(7-' 1T);对于 IDi, i = 1,2, . , t,计算 = H2 (IDi), Wi = E{Ft,M || S || X) (g(. || Y); 对于用户组L,将L和!T1链接得到L1=Ll I !T1,计算Z/= ^Edi1); 最后生成密文 O = {S,W1, W2, ...,Wt, L' }; 步骤五、用户IDi, i = 1,2, . . . , t,收到密文O后,进行如下计算; 获取身份列表,A1 = IHK '1J'),L1的第一维元素即用户组身份列表L,提取IDi对应的密文信息(SjWi);依次计算 =E (Fa, S), Qi = H2 (IDi),Z =呎讀,Il r) ,M' || S' || X' = D{Fr\Z),M'的第一维元素即消息m'; 验证等式Y' =H1On',IDa,X')是否成立;若等式成立,则接受密文。;否则拒绝密文0,并输出丄。
全文摘要
本发明公开了一种基于多变量密码体制的无证书多接收者签密方法,用于解决现有的无证书签密方法安全性差的技术问题。技术方案是首先由密钥生成中心生成系统参数,再选择安全的多变量加密算法生成部分密钥;用户U获取密钥生成中心的系统部分私钥生成用户密钥,身份为IDA的用户Alice将签密消息m发送给用户组L={ID1,ID2,...,IDt},通过解签密接受或拒绝密文σ。由于采用基于多变量的密码体制,实现了抗量子计算的高安全性,面对量子计算机的攻击,本发明依然保持安全性;相对于背景技术,本发明方法计算量小、安全性高;另外,本发明具有完备性、机密性、不可伪造性、前向安全性、后向安全性、保护接收者隐私等特点,能够抗击现有的已知攻击。
文档编号H04L9/30GK102811125SQ20121029242
公开日2012年12月5日 申请日期2012年8月16日 优先权日2012年8月16日
发明者李慧贤, 陈绪宝, 王楠, 庞辽军, 胡金顺, 杨亚芳 申请人:西北工业大学