一种具有非交互式不可否认性质的签密方法
【技术领域】
[0001] 本发明设及签密技术领域,特别是设及一种具有非交互式不可否认性质的签密方 法。
【背景技术】
[0002] 签密是一种公钥密码技术,用于高效地同时提供保密性和认证性服务。密钥在签 密系统中起着十分重要的作用,只有拥有合法密钥的用户才能执行相关的签密和解签密操 作。
[0003] 数字签名中的消息W明文的形式出现,任何第=方都能验证签名的合法性。只要 签名算法满足不可伪造性,则任何签名者都不能否认自己合法签名的消息。从运个角度讲, 数字签名中的不可伪造性包含了不可否认性。然而在签密中,消息被加密起来,只有接收方 解密出消息并验证是否是发送方合法签密的。任何第=方都不知道消息的内容,所W无从 进行验证。可W看出在签密中,不可伪造性满足并不意味着不可否认性也相应满足。
[0004] 考虑一种情况,发送方签密了一个消息(运个消息可能是一份敏感的医疗报告,一 个商业承诺,或一封重要的电子邮件等),并将签密密文发送给了接收方,不久W后收发双 方发生纠纷,发送方否认其签密过此消息。此时接收方面临的问题就是如何向仲裁方(例如 法院)澄清运个事实。
[0005] 目前关于对于解决签密消息的不可否认性质,密码学者中最优者为Malone-Lee的 方法。在其方法中,
[0006] 签密密文曰为:
[000引其中(Ti,T2)=G(ya,yb,k),&-》^3S9;d>。
[0009] 在实现不可否认性质时,Malone-Lee将接收方发送给仲裁方的信息划分为两个部 分,一部分是需要仲裁的信息包,括收发双方公钥、消息和密文;另一部分就是证据。仲裁方 通过证据验证消息和密文之间的关系。在本方案中,证据就是。有了的帮助,仲裁方可W验 证(r,S)是否是消息m的Schnorr签名。
[0010] 为了保证具有不可否认性质的签密方案的安全性,Malone-Lee建立了专口针对具 有不可否认性质的签密安全性模型。与之前的安全性定义不同的是,Malone-Lee在新的保 密性和不可伪造性的攻击游戏里面允许攻击者进行多次证据询问。每次证据询问的具体处 理如下:
[0011] 证据询问:攻击者提交签密密文,和收发双方的公钥给挑战者,挑战者返回给攻击 者相关的证据。
[0012] 可W看出攻击者在两个攻击游戏中都可W通过证据询问可W获得证据,从而从根 本上保证了证据的暴露不会影响到签密方案的保密性和不可伪造性。
[0013] Malone-Lee的方法迈出了保证具有不可否认性质的签密方案安全性非常重要的 一大步。但是该方法只适用于一个具体的方案,不是一般性的解决方案,因此在应用上有一 定的局限性。本发明提出一种一般性的高效的具有非交互式不可否认性质的签密方法,使 得具有非交互式不可否认性质的签密可W适用于一般情况,W更广泛地构造。
【发明内容】
[0014] 为解决上述问题,本发明提供了一种非交互式不可否认性质的签密构造方法,包 括如下步骤:
[0015] 步骤一:执行参数建立算法;
[0016] 参数建立算法公式为= PubSeUip(Ik);
[0017] 详细步骤为:
[001引 (1)计算化
[0019] (2)返回化 b;
[0020] 其中,Ik为输入安全参数,化b为输出公开参数;
[0021] 步骤二:发送方运行发送方密钥生成算法,输入化b和发送方身份IDs,输出发送方 公私钥对(PKs; SKs);
[0022] 发送方的密钥生成算法公式为:IfeyGens(化b;IDs):
[0023] 详细步骤为:
[0024] (1)计算(SKsig;PKsig)^Si巧巧Gen(化b);
[0025] (2)计算(SKs; PKs) ^ (sr ig; Pr ig);
[0026] (3)返回(SKs;PKs);
[0027] 步骤接收方运行密钥生成算法,输入化b和接收方身份IDr,输出接受公私钥对 (SKr ;PKr).接收方保密自己的私钥SKr,并公开自己的公钥PKr ;
[002引接收方的密钥生成算法公式为= IfeyGem(化b; IDr);
[00巧]详细步骤为:
[0030] (1)计算(SKenc; PKenc) ^化ClfeyGen(化b);
[0031] (2)计算(SKr ; PKr ) ^ (Srnc; PKenc);
[0032] (3)返回(SKr;PKr);
[00削步骤四:发送方运行签密算法,输入SKs;PKr和消息M,输出签密密文0;
[0034] 签密算法公式为:Signc巧Pt(M; SKs; PKr);输入SKs;PKr和消息M,输出签密密文O;
[0035] 详细步骤为:
[0036] (1)将SKs 表示为 SKSig;
[0037] (2)将PKr表示为PKenc;;
[003 引(3)计算护8^51即。耐|1;51(318);
[0039] (4)计算化crypt(〇sig| |M;PKenc);
[0040] (5)设置〇户。
[0041 ] (6)返回 0;
[0042] 步骤五:接收方运行解签密算法,输入〇;PK沸SKr,输出发消息M或者输出丄表示密 文不合法;
[0043] 解签密算法公式为:Unsi即crypt(日;PKs;SKr);
[0044] 详细步骤为:
[0045] (1)将PKs表示为PKSig、将SKr表示为SIT。、将O表示为(C; 〇sig);
[0046] (2)计算 Menc^Decrypt(C;SKenc);如果 Menc=丄,reUirn 丄,否则将 Menc 表示成 〇sig| M;
[0047] (3)计算SigVer(PKR||M;〇sig;PKsig),如为丄,则返回丄,否则返回M;
[004引步骤六:接收方运行证据生成算法,输入O,PK沸SKr,输出发证据d或者输出丄表示 密文不合法。
[0049] 证据生成算法公式为:6¥1(16]1。666]1(日;?1(5;5脉);
[0050] 详细步骤为:
[0051 ] (1)将PKs表示为PKSig、将SKr表示为SKene、将O表示为C;
[0052] (2)计算Ji^E;ncEvidenceGen(C;SRenc);
[(K)M] (3)计算Menc^Decrypt(C;Srnc);如果Menc=丄,返回丄);否则将Menc表示成 〇sig||M,并返回 dMn;〇sig);
[0化4] 步骤屯:接收方运行仲裁验证算法,输入〇,M,d,PKs和PKr,输出T表示该证据d证明 了消息M是密文切4应的消息,否则输出丄。
[0055]仲裁验证算法为:JudgeVer (O; M; d; PKs; PKr );
[0056] 详细步骤为:
[0057] (1)将?柄表示为?1(318、将8脉表示为5护。。、将〇表示为(:、将(1表示成(31;〇318)或者如 丄);
[0化引 (2)判断:
[0化9]如果M=丄,EncVer(C;丄;3T;PKenc)= T且d=(3T;丄)则返回 T ;
[0060] 如果M□Mpk,d=(3T;osig),EncVer(C;osig||M;JT;prnc)=T并且SigVer(PKRMM; 〇sig;pKsig)二 T,则返回 T;
[0061] 否则返回丄;其中,Mpk为明文空间。
【具体实施方式】
[0062] 本发明的设计构思为:利用一种具有特殊的性质的公钥加密方案,称为具有非交 互式打开性质的加密(PKENO)来代替普通的公钥加密方案,使之和数字签名相结合,从而构 造非交互式不可否认性质的签密。
[0063] W下首先描述PKENO方案,数字签名方案,W及具有非交互式不可否认性质的签密 的语法定义,最后给出本发明具体的的签名方法。
[0064] 1.具有非交互式打开性质的公钥加密(PKENO)
[0065] 语法定义:一个具有非交互式打开性质的公钥加密方案的语法定义包含四个算 法,密钥建立算法EncKeyGen、加密算法Encrypt、解密算法Decrypt、证据产生算法 ElncEvidenceGen 和验证算法 ElncVer。其中,En cKeyGen、Enc;rypt 和 EncEvidenceGen 是概率性 算法,Decrypt和化cVer是确定性算法。运四个算法的具体描述如下:
[0066] EncKeyGen(Ik):输入安全性参数1*%该算法输出公钥pk和私钥sk.
[0067] Enc巧pt(pk,M):输入公钥地和消息MEMpk(Mpk为明文空间),该算法输出密文C。
[0068] 0日日巧9*(34,〇:输入密文(:和私钥34,该算法输出解密的消息111。若密文(:是非法密 文,该算法输出特殊字符丄。
[0069] EncEvidenceGen(sk,C):输入密文C和私钥sk,该算法输出证据31。
[0070] EncVe;r(pk,C,m,3T):输入密文C,消息m,公钥边和证据31,该算法输出T代表证据JT 证明了密文C是消息m在公钥Pk下的加密密文。反之,输出丄。特别地,表明C是非法密 文。
[0071] 2.数字签名算法:
[0072] 语法定义:一个数字签名方案的语法定义包含四个算法,密钥建立算法 Si巧eyGen、签名算法Sign、和验证算法SigVer。其中,SigKeyGen和Sign是概率性算法, SigVer是确定性算法。运S个算法的具体描述如下:
[0073] Si巧巧Gen(Ik):输入安全性参数ik,该算法输出公钥Pk和私钥Sk.
[0074] Sign(sk,M):输入私钥Sk和消息mEMpk(Mpk为明文空间),该算法输出签名0。
[0075] SigVer(地,0):输入签名O和公钥pk,该算法输出解密的消息m。输出T代表通过签 名验证。反之,算法输出丄。
[0076] 3.具有非交互式不可否认性质的签密
[0077] 参数建立算法化bSetupQk):该算法输入安全参数ik,输出公开参数化b。该算法由 一个收发双方可信任的机构来运行,可信机构随后公开化b。
[0078] 发送方密钥生成算法KeyGens^ub; IDs):该算法由发送方运行。输入化b和发送方 身份IDs,输出发送方公私钥对(PKs;SKs).
[0079] 接收方密钥生成算法KeyGenR^ub; IDr):该算法由接收方运行。输入化b和发送方 身份IDr,输出发送方公私钥对(SKr;PKr).接收方保密自己的私钥SKr,并公开自己的公钥 PKr.
[0080] 签密算法Si即crypt(M; SKs;PKr