一种可证安全的异构盲签密方法

本发明涉及密钥安全技术领域，尤其涉及一种可证安全的异构盲签密方法。

背景技术：

签密是在同一个操作步骤内实现公钥加密和数字签名两种功能，并保证消息的机密性和认证性。与签名和加密先后在两个步骤内完成的方式相比，签密的运算代价和通信开销大幅度降低，且安全系数和效率更高。1997年，zhengy.digitalsigncryptionorhowtoachievecost(signature&encryption)＜＜cost(signature)+cost(encryption)[c]//annualinternationalcryptologyconference.springer,berlin,heidelberg,1997:165-179.提出了签密的思想，并给出了具体的方案设计，满足消息的机密性和不可否认性。2002年，baekj,steinfeldr,zhengy.formalproofsforthesecurityofsigncryption[c]//internationalworkshoponpublickeycryptography.springer,berlin,heidelberg,2002:80-98.提出了安全模型，用于验证签密方案是否满足自适应选择密文攻击下的语义安全性和选择消息攻击下的存在性不可伪造性。随后，国内外学者提出了大量签密方案，其中不泛对特殊签密方案的研究，如混合签密、群组签密、盲签密等。盲签密将盲签名的优势与签密相结合，能够有效的保护签密信息内容的安全，可防止在通信过程中签密人对原始内容的查阅导致的原始消息泄露，被广泛地应用于电子遗嘱、电子现金、电子拍卖和电子选举等场合。2005年，yuenth,weivk.fastandprovensecureblindidentity-basedsigncryptionfrompairings[c]//cryptographers’trackatthersaconference.springer,berlin,heidelberg,2005:305-322.首次提出了一个高效且可证安全的盲签密方案，并给出了相应的盲签密安全模型，但该方案在盲签密和解签密阶段共使用了5次双线性对运算，运算量较大，效率较低。2008年，yux,hed.anewefficientblindsigncryption[j].wuhanuniversityjournalofnaturalsciences,2008,13(6):662-664.提出了一个有效的可公开验证的盲签密方案，并给出了安全性证明。2010年，俞惠芳,王彩芬,杨林,王之仓.基于无证书的盲签密方案[j].计算机应用与软件,2010,27(07):71-73.提出了一个基于无证书的盲签密方案，该方案效率非常高，仅用了3次双线性对对运算。2017年，李建民,俞惠芳,赵晨.uc安全的自认证盲签密协议[j].计算机科学与探索,2017,11(06):932-940.提出了uc安全的自认证盲签密协议，利用uc安全框架设计自认证盲签密协议，并提供了安全性证明。

目前已存在的签密方案中单一体制下的盲签密方案居多，异构环境下的盲签密方案相对较少。但由于密码体制的具体应用场景不同，交互使用的情况越发频繁，异构密码体制不但能实现签密所必需的机密性和认证性，而且在一个计算机终端和通信系统分布不均等的全球通信网络中，为用户的交流提供了更多可能。2018年，牛淑芬,杨喜艳,王彩芬,田苗,贾向东.基于异构密码系统的混合盲签密方案[j].计算机工程,2018,44(08):151-154+160.提出了基于异构密码系统的混合盲签密方案，利用双线性对构造盲签密算法，实现了由传统公钥基础设施(traditionalpublickeyinfrastructure,tpki)到基于身份密码体制(identity-basedcryptography,ibc)间的通信。2019年，王彩芬,许钦百,刘超,成玉丹,赵冰.无证书公钥密码体制→传统公钥基础设施异构环境下部分盲签密方案[j].电子与信息学报,2019,41(08):1823-1830.提出了由无证书公钥密码体制(certificatelesspublickeycryptography,clpkc)到传统公钥基础设施异构环境下的部分盲签密方案，基于计算diffie-hellman困难问题(cdhp)和修改逆计算diffie-hellman困难问题(micdhp)证明了其安全性。

技术实现要素：

为解决上述技术问题，本发明提出一种可证安全的异构盲签密方法，本方法方案不仅实现了收发双方在不同密码体制中的通信，且签名者可在不知道内容的情况下进行签名，实现了签名在法律上的有效性并保护了消息提供者的隐私。满足机密性和不可伪造性，且具有盲性和公开验证性。在签密过程中不需要双线性对运算，具有较高的计算效率。

一种可证安全的异构盲签密方法，包括以下步骤：

步骤1：对异构密码系统的系统参数进行生成；

设定异构密码系统安全参数k，密钥生成中心(kgc)选择一个阶为素数q的加法循环群g，生成元为p，定义4个安全的哈希函数h1-h4：kgc随机选择作为系统主密钥，计算系统公钥ppub＝sp，公开系统参数params＝{g,p,q,h1,h2,h3,h4,ppub}并保密s，zq^*为模q的整数乘法群；

步骤2：对无证书公钥密码体制clpkc中用户的密钥进行设置；

步骤2.1：部分密钥提取：密钥生成中心(kgc)给定用户身份ida，kgc随机选择计算用户的部分公钥部分私钥其中并经安全信道将部分密钥发送给用户，为zq^*中的随机数；

步骤2.2：用户密钥设置：用户验证等式是否成立，若成立，说明kgc所发部分密钥合法，随机选择作为秘密值，设置其私钥计算用户的部分公钥设置用户公钥其中为zq^*中的随机数；

步骤3：对传统公钥基础设施tpki中用户的密钥进行设置：用户idb随机选择作为自己的私钥，计算作为公钥，ca生成并发布用户公钥证书；

步骤4：消息提供者使用盲化因子对消息进行盲化后将其发送给盲签密者，由盲签密者进行签名并返回，消息提供者收到后进行解盲并生成密文发送给接收者；

步骤4.1：盲签密者随机选择一个zq^*中的随机数计算安全参数r＝rp，并将r发送给消息提供者；

步骤4.2：消息提供者随机选择盲化因子计算验证参数u1＝αr+αβp，验证参数u2＝αr和盲化消息h＝α^-1h2(m,u1,u2)+β，并将h发送给盲签密者；m为明文消息；

步骤4.3：盲签密者计算安全参数t＝rpkb和盲签名并将(t,v)发送给消息提供者；其中pkb为tpki中用户的公钥；

步骤4.4：消息提供者计算验证参数q＝αt，去盲后的签名v'＝αv和加密后的消息

步骤4.5：消息提供者输出密文σ＝(r,u1,u2,v',c)，并发送给接收者。

步骤5：接收者收到密文σ后，对密文进行解密，完成异构盲签密；

步骤5.1：计算

步骤5.2：计算

步骤5.3：验证等式是否成立，若成立，则输出m；否则认为签密无效。

本发明所产生的有益效果在于：

本技术方案提供了一种可证安全的异构盲签密方法，基于离散对数困难问题证明了本文方案满足安全性，能够验证发送者的身份是否合法且不会被追踪，可以很好的应用于密码体制不同且隐私需求较高的通信环境中。异构盲签密提高了异构密码体制中用户隐私的安全性，但如何在满足安全性的前提下，构造更为高效的异构盲签密方案仍是日后研究的重点。

附图说明

图1为本发明方法流程图；

图2为本发明实施例中clpkc中用户密钥生成示意图；

图3为本发明实施例中tpki中用户密钥生成示意图；

图4为本发明实施例中盲签密及解签密过程示意图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

一种可证安全的异构盲签密方法，如图1所示，包括以下步骤：

步骤1：对异构密码系统的系统参数进行生成；

设定异构密码系统安全参数k，密钥生成中心(kgc)选择一个阶为素数q的加法循环群g，生成元为p，定义4个安全的哈希函数h1-h4：kgc随机选择作为系统主密钥，计算系统公钥ppub＝sp，公开系统参数params＝{g,p,q,h1,h2,h3,h4,ppub}并保密s，zq^*为模q的整数乘法群；

步骤2：对无证书公钥密码体制clpkc中用户的密钥进行设置，如图2所示；

步骤2.1：部分密钥提取：密钥生成中心(kgc)给定用户身份ida，kgc随机选择计算用户的部分公钥部分私钥其中并经安全信道将部分密钥发送给用户，为zq^*中的随机数；

步骤2.2：用户密钥设置：用户验证等式是否成立，若成立，说明kgc所发部分密钥合法，随机选择作为秘密值，设置其私钥计算用户的部分公钥设置用户公钥其中为zq^*中的随机数；

步骤3：对传统公钥基础设施tpki中用户的密钥进行设置，如图3所示：用户idb随机选择作为自己的私钥，计算作为公钥，ca生成并发布用户公钥证书；

步骤4：消息提供者使用盲化因子对消息进行盲化后将其发送给盲签密者，由盲签密者进行签名并返回，消息提供者收到后进行解盲并生成密文发送给接收者，如图4所示；

步骤4.1：盲签密者随机选择一个zq^*中的随机数计算安全参数r＝rp，并将r发送给消息提供者；

步骤4.2：消息提供者随机选择盲化因子计算验证参数u1＝αr+αβp，验证参数u2＝αr和盲化消息h＝α^-1h2(m,u1,u2)+β，并将h发送给盲签密者；m为明文消息；

步骤4.3：盲签密者计算安全参数t＝rpkb和盲签名并将(t,v)发送给消息提供者；其中pkb为tpki中用户的公钥；

步骤4.4：消息提供者计算验证参数q＝αt，去盲后的签名v'＝αv和加密后的消息

步骤4.5：消息提供者输出密文σ＝(r,u1,u2,v',c)，并发送给接收者。

步骤5：接收者收到密文σ后，对密文进行解密，完成异构盲签密；

步骤5.1：计算

步骤5.2：计算

步骤5.3：验证等式是否成立，若成立，则输出m；否则认为签密无效。

本实施例中通过密钥正确性、公开验证性、盲性、机密性以及不可伪造性五个方面对本方案进行验证，验证过程如下：

首先对于离散对数(discretelogarithm,dl)问题：已知g是椭圆曲线上的加法循环群，g的阶为大素数q，生成元为p，dl问题是指给定元组(p,ap)，其中求解a的值。

定义算法a在概率多项式时间内成功解决dl问题的概率为adv^dl(a)＝pr[a←a(p,ap)]，其中a是选自的任一元素。对于任意多项式时间的算法a，adv^dl(a)是可以忽略的。

所述密钥安全性，clpkc中用户通过下式验证部分密钥是否有效：

具体包括：

(1)消息的正确性，接收者通过以下等式验证消息m的正确性：

若等式成立，能够保证接收者通过解得正确明文。

(2)签名的正确性，接收者通过以下等式验证签名的正确性：

若等式成立，则签名有效，消息m可被接收。

所述公开验证性指任何第三方验证者都可通过(r,u1,u2,v',m)直接验证盲签密的有效性，不需要盲签密者和接收者的任何私有信息。接收者只需将(r,u1,u2,v',m)提供给第三方验证者，第三方验证者验证等式是否成立即可。若成立，则验证通过；否则，盲签密无效。以上过程不需要接收者的私钥不需要盲签密者的私钥因此，本文方案具有公开验证性。

所述盲性不仅是指盲签密过程中盲签密者对消息的不可见，还包括盲签密者对签密的不可追踪性。

对于任意一个公布的合法盲签密σ＝(r,u1,u2,v',c)和任意一组盲签密者私自保存的签密发布交互过程中的中间变量(r,h,t,v)，可知：

v'＝αv(1)

h＝α^-1h2(m,u1,u2)+β(2)

u1＝αr+αβp(3)

其中，r＝rp。

由式(1)可知，存在唯一的即α＝v'v^-1。同时，由式(2)可知，存在唯一的即β＝h-α^-1h2(m,u1,u2)。

由于σ＝(r,u1,u2,v',c)是合法的盲签密，因此满足下式：

其中，于是有：

表明由式(1)和式(2)确定的α,β也满足式(3)。

所以，在任意一个盲签名和它的中间变量之间一定可以确定一组盲化因子而不会产生矛盾。即便一个攻击者具有无穷的计算能力，也无法将某个消息的盲签密与某一次签密过程相联系，当然也就无法追踪。因此，本文方案满足盲性要求。

所述机密性指攻击者从密文中获取明文信息在计算上是不可行的。

假设除了消息提供者和接收者外，存在其他用户(假设是盲签密者)可从密文σ中得知消息m。由于在盲签密过程中消息提供者给的是关于m的哈希函数，求解单向散列函数的逆是困难的，且式子h＝α^-1h2(m,u1,u2)+β中含有盲化因子(α,β)，所以想要得到消息m只能通过密文σ恢复。已知盲签密者知道若想通过q计算解得明文消息m，必需知道接收者的私钥即根据已知的求解面临求解dl问题。由于dl问题是困难问题，任一算法在概率多项式时间内成功解决dl问题的概率是可忽略的，造成获取接收者私钥在多项式数量级计算条件下的不可行。因此，本文方案具有机密性。

所述不可伪造性指攻击者伪造一个关于消息m的合法盲签密在计算上是不可行的。

本发明的攻击者大致可分为四类：盲签密者、接收者、消息提供者和任何与本文方案无关的第三方。

对于盲签密者，虽然在签名中含有盲签密者的私钥和由盲签密者自己选择的随机数但由于盲签密者不能得知消息m和盲化因子(α,β)，因此无法伪造盲签密。

对于接收者，如果接收者称从消息提供者处收到了密文σ，为了能使伪造的数据通过验证，必须通过q＝αt计算出α，其中t＝rpkb，再通过u1＝αr+αβp计算出β，进而去伪造盲签密，然而接收者不知道盲签密者随机选取的r，且面临求解dl问题。由于dl问题是困难问题，任一算法在概率多项式时间内成功解决dl问题的概率是可忽略的，造成获取随机数r在多项式数量级计算条件下的不可行。因此接收者无法伪造盲签密。

对于消息提供者，想要伪造盲签密，必需知道其中为盲签密者的私钥，消息提供者无从得知，即使被意外泄漏，想要得知r仍面临求解dl问题，即根据已知的r＝rp求解r，因此消息提供者无法伪造盲签密。

对于任意第三方，即使在公开信道上截获了但是却无法获得因此任何与本文方案无关的第三方根本无法伪造出合法的盲签密。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明权利要求所限定的范围。