一种加密群签名的混淆方法
【技术领域】
[0001] 本发明设及密码学、群签名和混淆理论领域,尤其是设及一种加密群签名的混淆 方法。
【背景技术】
[0002] 群签名是为一组成员设计的特别的数字签名,最初是由化am和化ySt提出的。群 签名中,有一个群管理者和许多成员。每个群有一个群公钥用来认证。每个群成员有独立 的私钥用于产生群签名,且能被群公钥检测出其签名。群管理者有一个主密钥。假设一个 签名,群管理员可W用主密钥知道哪个群成员产生的该个签名。该就是可追踪性。另外,没 有主密钥的其他群成员不能知道该个签名是哪个群成员产生的,该叫做可匿名性。实际上, 群签名有W下4点性质;1)只有群成员能签名,2)接受着可W证实签名是否有效,3)可匿 名性,4)可追踪性。
[0003] 现有的群签名信息的签名加密方法包括:
[0004] Usetup;群主构建签名群,并确定管理员后,获取群参数序列pub、主私钥MK和追 踪秘钥TK;
[0005] 2、信息接收者根据群参数序列pub通过ffiGen算法获取各自的加密公钥PK。和解 密私钥SK。;
[0006] 3、群主根据群参数序列pub、主私钥MK和群内成员的ID,通过化roll算法获取群 内成员的签名追踪信息Sid和与各自ID对应的签名密钥KID,并将签名密钥Kid发送给对应 的群内成员;
[0007] 4、EGS;首先对消息M进行Si即,得到六元组(0。02,03,04,n。312),然后对元 组中的六个元素,依次进行化C,并将结果输出。
[000引 化C;
[0009] 对系统参数进行解析;首先将9油解析为(/?,^^,6,(;,,尸尸);再将其中的??进一步 解析为(g,h,U,v',Vi,…,乂。,Q,A)。系统参数集合pub是在setup时生成的。
[0010] 计算并输出密文C=牌6, 〇x,PKe,1^,gX+y?M);其中PKe=(PK6,。,PKe,1)是由算法 EKGen生成的公钥,M是输入的明文,x,yGZ。是算法执行过程中随机产生的元素。
[0011] Sign;
[001引对系统参数进行解析;首先将pub解析为(",^^,6,馬,^3)1再将其中的??进一步解 , 析为(g,h,u,v',Vi,...,Vm,Q,A)。系统参数集合pub是在setup时生成的。
[0013] 将签名私钥Kid解析为化。K2,ig;将输入消息M解析为二进制序列Ui,…,Um。
[0014] 计算并输出(0。0如0引0 4,n。312)
[00巧] (T|=0| ?/!'',〇: =马'/!'-'0;,=巧?/?';,= .々'I其中
[0016]
s是在Z。中随机选择的元素
[0017]
[001引其中ti,*2, *3,t4是在Z。中随机选择的元素
[0019] 近些年,在构建各式各样信息系统的隐私保护方案时,群签名技术得到广泛的使 用。但是,传统的群签名技术只能保证在黑盒攻击下的安全,所谓黑盒攻击环境,即是说攻 击者只能够控制或知晓密码算法或模块的输入和输出。此时,密码算法的实现本身,特别是 其中的私钥,攻击者是无法知晓的,仿佛面对一个"黑盒子"进行攻击。除了黑盒攻击环境 之外,在实际应用中,有必要考虑一些更加恶劣的运行环境。其中最为难W应对的,是所谓 白盒攻击环境。在白盒攻击环境中,攻击者对密码模块或算法的运行环境有完全的控制权。 此时,攻击者可W分析程序实现的代码,对其进行反编译或动态的执行追踪,密码算法的实 现对于攻击者而言是完全透明的。攻击者此时是在研究一个毫无遮蔽的"白盒子"。
[0020] 近年来,随着移动计算和分布式计算的发展,W及高级持续威胁(APT)攻击和各 种严重安全漏洞的层出不穷,研究白盒攻击环境下密码技术的安全性已经迫在眉睫。典型 的白盒攻击环境例如:一台被入侵并被获取了管理员权限的计算机,在恶意主机上运行的 移动代理,一台被窃取的平板电脑或智能手机等(此时,对于专业的黑客,突破访问口令或 图形密码并非难事),另外,2014年被曝光的S化屯、脏出血漏洞,可W导致攻击者远程获取 服务器上的某些内存片段,如果其中存放了签名密钥,后果同样严重。
【发明内容】
[0021] 本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种适用于保护私 钥的情况、保密效果好的加密群签名的混淆方法。
[0022] 本发明的目的可W通过W下技术方案来实现:
[0023] 一种加密群签名的混淆方法,用W保护群内成员的签名私钥,包括W下步骤:
[0024] 1)群主构建签名群,在确定管理员后,根据setup算法获取群参数序列pub、主私 钥MK和追踪秘钥TK;
[002引 2)信息接收者根据群参数序列pub通过ffiGen算法获取各自的加密公钥PK。和解 密私钥SK。;
[0026] 3)群主根据群参数序列pub、主私钥MK和群内成员的ID,通过化roll算法获取群 内成员的签名追踪信息Sid和与各自ID对应的签名密钥KID,并将签名密钥Kid发送给对应 的群内成员;
[0027] 4)根据混淆算法化f将群内成员的初始加密群签名算法EGSW及群内成员的签名 密钥Kid进行混淆处理,得到混淆后的加密群签名算法RpubAPK。;
[002引 5)根据混淆后的加密群签名算法Rpuh,,PKe对待发送的信息M进行信息签名加密后 产生加密密文C,并将加密密文C发送给信息接收者。
[0029] 所述的步骤1)中根据setup算法中设定签名消息长度为m比特,且群成员数量不 超过2k时,计算出的群参数序列pub、主私钥MK和追踪秘钥TK的表达式为;
[0037] 且满足约束条件;k的大小与A为线性关系,且存在正整数ci和c2,有CjXA《loggP《CgXA且CiXA《loggq《CgXA成立,
[00測其中,G,Gt为n阶循环群,;是G-Gt的双线性映射,PP为用于群签密的系列参 数,g为G中的随机元素,h为G。中的随机元素,U、V'和V1,…,Vm均为G中的随机元素, a和《为Z。中的随机元素,P和q为自然数集合N中的元素且均为质数,Z。为模n剩余类 环,A为一元安全参数。
[0039] 所述的步骤2)中的ffiGen算法具体包括W下步骤:
[0040]根据在Z。中随机选择的参数a和b,得到加密公钥PK。和解密私钥SK。;
[0041] PKe=(ga,gb)
[0042] SKe= (a,b)
[0043] 其中,g为G中的随机元素,由群参数序列pub解析得出。
[0044] 所述的步骤3)中Enroll算法中Kid的计算式为:
[0050] 其中,g和U为G中的随机元素,且由群参数序列pub解析得出,a和《为Z。中 的随机元素,且由主私钥MK解析得出,式为模n剩余类环Z。的乘法群。
[0化1 ] 所述的步骤4)中的混淆算法化f为:
[005引 41)获得解析后的PKe=牌e,0'PKe,i)、口此=^,^^,(7,(7,.,户尸)和31^ = 1(10 = 化,K2,ig;
[0化3] 42)分别对sk和PK。进行混淆,并获得混淆后的签名密钥Z:
[0064] 其中,Xl,yl,X2,y2,X3,y3为Zn中随机选择的参数,g为G中的随机元素,且由群参 数序列pub解析得出。
[00化]所述的步骤5)中通过乂,f算法进行信息签名后产生加密密文C具体包括W下 步骤:
[0066] 51)判断消息M是否为空,若是,则输出(pub,PK。),若否,则进行步骤52 ;
[0067] 5。获取解析后的二进制形式的M= (y。…,、PKe=牌6,。,PKe,1)、
[0068] 53)进行信息签名后产生加密密文C;
[0074]
[0075] 其中,s、t。…,t4、XlV??,x/、ylV??,y/均为Z。中的随机元素,g为G中的随机元 素,h为G。中的随机元素,V'和V。…,Vm均为G中的随机元素,yi为M中的元素,且g、h、 V'和V。…,Vm均由群参数序列pub解析得出。
[0076] 与现有技术相比,本发明具有W下优点:
[0077] -、适用于保护私钥的情况;混淆器输出的混淆后的加密群签密实现,可W在不 "显式地"使用群成员的签名私钥的前提下,实现加密群签名功能。
[007引二、保密效果好;本发明在攻击者攻破了运行(混淆后的)加密群签名实现的计算 机的情况下,攻击者也几乎无法获得群成员的签名私钥,严格地说,在A的多项式的时间 复杂度内,无论使用何种攻击方法,攻击者获得该私钥的概率,与安全参数A相比较,是可 忽略的,可忽略的数学定义是:对任意的多项式f,攻击成功的概率小于。实际上,为 了获得较高的安全性,可W取A=n= 1024,此时,对本发明进行攻击,约需要2512的复杂 度,所W混淆后的实现具有较高的安全性。
[0079] S、执行效率高;混淆后的算法在实际运行时,其效率(复杂度)与原先的加密群 签名操作基本相对,并不会对系统的性能带来显著的影响。
【附图说明】
[0080] 图1为本发明的方法流程图。
[0081] 图2为实施例中的签名群方法流程图。
【具体实施方式】
[0082] 下面结合附图和具体实施例对本发明进行详细说明。
[0083] 实施例;
[0084] 如图1所示,一种加密群签名的混淆方法,用W保护群内成员的签名私钥,包括W 下步骤:
[0085] 1)群主构建签名群,在确定管理员后,根据setup算法获取群参数序列pub、主私 钥MK和追踪秘钥TK,在根据setup算法中设定签名消息长度为m比特,且群成员数量不超 过2k时,计算出的群参数序列pub、主私钥MK和追踪秘钥TK的表达式为;
[0086