:3没G G0,使得e(g,g)在G1中的阶数为 q;3)可计算性:对于Vlt,t?eG(),存在计算e(u,v)的有效算法。那么,e就是一个复合阶双 线性群上的对称双线性映射。另外,G tl包含3个子群GPl、GP2、Gp3 (各自的阶数分别为 Pi、p2、P3),这些子群满足正交性质:对于e Gpi,V e GpjQ乒j),都有e(u,V) = 1。其 证明过程如下:假设心E Gpi, Zi2 G Gp2,如果g是G的一个生成元,则5PlP2是gP 3的生成元, 5Ρ?Ρ3是\2的生成元,沒Ρ2Ρ3是生成元,因此有Zl 1 = (#21?)?^ = (其中 α 1,α 2e Z q),并且
【主权项】
1. 一种满足前向安全的短密文身份基加密方法,其特征在于:其具体步骤如下: 步骤1私钥生成机构初始化:私钥生成机构首先指定系统的时间片总数为N,然后根 据系统安全参数K,生成公共参数PK和主密钥MK;其中,公共参数PK公布给系统中的所有 用户;主密钥MK由私钥生成机构秘密保存; 步骤2用户的注册与认证;系统中的所有用户都要对自己的身份信息进行注册,私钥 生成机构对该些身份信息进行认证,然后分别建立与各个用户身份信息相对应的BTE树 (其深度1为满足N《2^-1的最小整数值),并按照某种树遍历方法,将系统的所有时间 片标识与该些BTE树的各个节点进行关联; 步骤3初始私钥的生成与分发;假设某用户的身份为id(该里假设id是某个整数 值),在第1个时间片开始之前,私钥生成机构将公共参数PK、主密钥MK、该用户身份id作 为输入,调用私钥生成算法,得到与该用户身份相对应的初始私钥SKidi。;私钥生成机构按 照上述方式为系统中的所有用户生成与其身份相对应的初始私钥,并将其分发给相应的用 户; 步骤4私钥更新:假设当前时间片标识为i,某用户的身份为id(该里假设id是某个 整数值),该用户持有的对应于当前时间片的私钥为SKidU,在当前时间片的结束时刻,该用 户将该私钥SKidU、公共参数PK、当前时间片标识i及其对应的BTE树节点idIwW作为输入, 调用私钥更新算法,得到对应于下一时间片的私钥SKwiw,最后删除SKidU的解密成分; 步骤5加密;加密者首先指定一个加密者身份,然后将明文M、公共参数PK、指定的解 密者身份id、当前时间片标识U及其相应的BTE树节点idIwW作为输入,调用加密算法,得 到对应于当前时间片的密文C(要求只有对应于身份id和当前时间片标识U的私钥才能对 该密文C进行解密),并将该密文C发送给指定的解密者; 步骤6解密;解密者接收到密文消息之后,使用对应于自身身份信息和当前时间片标 识的私钥对该密文消息进行解密;如果解密者持有的私钥SKidiu对应的身份id和时间片标 识U与接收到的密文C一致,则该解密者将密文C、自身身份id、解密私钥SKidiu作为输入, 调用解密算法,得到正确的明文M。
2. 根据权利要求1所述的一种满足前向安全的短密文身份基加密方法,其特征在于: 在步骤1中所述的"根据系统安全参数K,生成公共参数PK和主密钥MK",其具体计算过程 如下: 私钥生成机构首先选择2个复合阶乘法循环群G。和G1(其阶数均满足q=P1P2P3,且Pi、P2、P3分别为3个不同的大素数,G的子群分别为Gpi、Gp2、Gps),并且有复合阶双线性群上 的对称双线性映射e;GqXGq=G1;然后随机选择巧,h,化丄,...,巨RGpi,ErGps, 曰G而,最后输出公共参数PK= {N,q,g,h,Ui,...,Ui,X3,e(g,gr}和主密钥MK=曰。
3. 根据权利要求1所述的一种满足前向安全的短密文身份基加密方法,其特征在于: 在步骤3中所述的"私钥生成机构将公共参数PK、主密钥MK、该用户身份id作为输入,调用 私钥生成算法,得到与该用户身份相对应的初始私钥SKwi。",其具体计算过程如下: 该算法首先随机选择rwX。,X'。£cZ。,令巧0二又巧0二义3X;ErGps,得到与该 用户身份id相对应的BTE树的根节点私钥为=〈巧心%,巧最后输出 初始私钥SKidIci二skid|e。
4.根据权利要求1所述的一种满足前向安全的短密文身份基加密方法,其特征在于: 在步骤4中所述的"该用户将该私钥SKidU、公共参数PK、当前时间片标识i及其对应的BTE 树节点idIwW作为输入,调用私钥更新算法,得到对应于下一时间片的私钥SKidw,最后删 除SKidU的解密成分",其具体计算过程如下: 该里分两种情况进行讨论,具体如下; 1)如果与当前时间片i相对应的BTE树节点id|wW是内部节点,则有W下两种情况: ① 如果是idI根节点,即idIWW=idIe,其对应的BTE私钥为
I其中馬,/?^ErGp3;该算法先随机选择S,x〇,i, X'0,1,枯1,. . .,Xl'lE為,令巧0,1二皆'1,咕]二皆'1,巧2 1 二《2.1,巧u二皆.1ErGp3, 计算相应BTE树中的两个子节点私钥分别为:
最后,输出对应于下一时间片的私钥SKw|w=SKid|i= {skidi。,skidiJ; ② 否则,假设id|wW=id|wi,"WkG{0,1}k<i,其对应的BTE私钥为 备、d|wi.-.Wk_
其中fG^Zq,兵0知馬'u,知+1如…,度G扣;该算法先随机选择
,令巧0,/c+l二乂3''知1,巧〇,fc+l二 <;灿,R…,k+i二又f+化",…,K/,k+i二乂r'k+iGrG化,并计算相应BTE树中两个 子节点的私钥分别为:
最后,输出对应于下一时间片的私钥啡+ 1二S、d|wW].)'U口/<W|i-s/Cw|w")}; 2)如果与当前时间片i相对应的BTE树节点id|wW是叶节点,则该算法直接输出对应 于下一时间片的私钥邮+1 = 口K帥-s、d|wa))'。
5. 根据权利要求1所述的一种满足前向安全的短密文身份基加密方法,其特征在于: 在步骤5中所述的"将明文M、公共参数PK、指定的解密者身份id、当前时间片标识U及其 相应的BTE树节点id|wM作为输入,调用加密算法,得到对应于当前时间片的密文C(要求 只有对应于身份id和当前时间片标识U的私钥才能对该密文C进行解密)",其具体计算过 程如下: 该里分两种情况进行讨论,具体如下; 1)如果与当前时间片U相对应的BTE树节点idIwM是根节点,即id|ww=id|e,贝。 该算法首先随机选择tGcZ。,然后输出密文: C=〈Cq=M?e(g,g)t",。二ht,〔2二gt〉 。否则,假设id|wW= {Oa}Ki,则该算法首先随机选择tGkZ。,然后 输出密文:
6. 根据权利要求1所述的一种满足前向安全的短密文身份基加密方法,其特征在于: 在步骤6中所述的"将密文C、自身身份id、解密私钥SKwiu作为输入,调用解密算法,得到 正确的明文M",其具体计算过程如下: 令接收到的密文消息为C=〈C。,Ci,C2〉,解密私钥SKwiu中的有效解密成分为〈K1,馬〉, 该算法首先计莫
最后输出明文M;该 里分两种情况进行讨论,具体如下: 1)如果与时间片U相对应的BTE树节点idIwM是根节点,即idIWM=idIe, 解密私钥SKwiu中的skidiu为s/q伞二倘=巧rw巧〇,&二巧巧^其中
。否贝!],假设id|w(u)=id|wi.'.WjG{Oa}J《i,解密私钥SKwiu中的skidiu为
【专利摘要】本发明公开一种满足前向安全的短密文身份基加密方法,主要包括以下6个步骤:1)私钥生成机构初始化;2)用户的注册与认证;3)初始私钥的生成与分发;4)私钥更新;5)加密;6)解密。本发明在身份基加密体制的基础上实现了前向安全,用户可以自主更新私钥,能够有效降低因私钥泄露带来的损失,适用于开放网络环境及非安全设备中的通信加密解决方案。另外,密文短且长度固定,加解密计算开销小,解密过程无需验证环节,加解密效率高,使本发明在实际应用中具有更广泛的适用性。
【IPC分类】H04L9-32, H04L9-30
【公开号】CN104796260
【申请号】CN201510158202
【发明人】刘建伟, 艾倩颖, 王志学, 李妍
【申请人】北京航空航天大学, 航天恒星科技有限公司
【公开日】2015年7月22日
【申请日】2015年4月3日