专利名称:基于身份的门限环签密方法
技术领域:
本发明涉及ー种环签密方法,尤其是一种基于身份的门限环签密方法。
背景技术:
在传统公钥密码体制中,ー个重要的问题是公钥的真实性。一般来说,为了在现实世界中应用公钥密码算法,需要有一种机制能够随时验证某公钥与某主体身份之间的联系。通常采用的办法是建立公钥基础设施,通过其认证中心发布的公钥数字证书将公钥与用户的身份捆绑在一起。在这类基于公钥数字证书的系统中,在使用用户的公钥之前,人们需要获取该用户的公钥数字证书并验证其证书的正确性和合法性。这就需要较大的存储空间来存储不同用户的公钥证书,也需要较多的时间开销来验证用户的公钥证书。这是传统的公钥密码体制难以克服的缺点。为了解决传统公钥密码体制中庞大的公钥证书存储和验证开销问题,1984年Shamir创造性地提出了基于身份的公钥密码学思想。在基于身份的公钥密码体制中,用户的公钥可以是能够标识用户身份的信息,如E-mail、身份证号码等,用户的私钥则由可信第三方根据用户的身份信息产生。基于身份的密码体制使得任意两个用户都可以安全通信,用户的公钥和用户身份自然地绑定在一起,不需要公钥证书,也不必使用在线的第三方,只需ー个可信的密钥发行中心为每个第一次接入系统的用户发行一个私钥就行。它解决了传统公钥密码学难以克服的缺点,并且由于其自身特点也使它拥有了广阔的应用领域。由于基于身份密码学的优势,推出了不少基于身份的密码体制,基于身份的签密体制就是其中之一。同时,签密体制还可以和ー些具有特殊性质的密码技术相结合,构造具有特殊性质的签密体制,如将环签密方案和秘密分享方案相结合,从而得到基于身份的门限环签密。双线性对是研究代数几何的重要工具,也是构造基于身份的密码体制的重要エ具,在密码学领域扮演着非常重要的角色。另外,对于基于身份的公钥密码系统而言,目前比较好用的证明方法是随机預言机模型。然而对于基于随机预言模型的安全性证明,需要假设在公钥密码体制中使用的密码杂凑函数具有随机预言机的安全性质,可是随机預言模型下的安全密码方案在实际环境中不一定是安全的,而基于标准模型的安全性证明,其唯一依赖于公钥密码体制所包含陷门单向函数的困难性。因此,构造标准模型下基于身份的门限环签密方案既具有较高的安全性同时也具有现实意义,是亟待解决的问题。有鉴于此,特提出本发明。
发明内容
本发明要解决的技术问题在于克服现有技术的不足,提供一种与随机預言模型下设计的方案更具安全性的基于身份的门限环签密方法。为解决上述技术问题,本发明采用技术方案的基本构思是
一种基于身份的门限环签密方法,其特征在于包括以下步骤(I)系统建立随机选取參数,生成系统參数以及相应的主密钥,其中系统參数为公开參数,具体步骤为令G,Gt是阶为素数P的循环群,e :GXG — Gt是一个双线性映射,两个无碰撞的哈希函数ド和// :{0,1丨、{0,1广将任意长度的身份10和消息!11分别输出长度为nu和Iini的位串; 可信第三方随机选取參数α e Zp,生成元g e G,计算gl = ga。随机选取參数g2, u' , m/ eG, nu维向量ウ=( ,.),nm维向量M = (w,),其中Ui, Iiii e KG,则系统參数为param - {G,GT,e,g,gx,g2,u ,U,m\ M, Hu, Hm),主密钥为 msk = gj °(2)私钥提取输入系统參数、主密钥和用户的身份,获得该用户身份的私钥,具体步骤为给定用户身份ID,通过哈希函数u = Hu(ID)计算得到代表用户身份的长度为nu的位串,令u[i]表示该位串中的第i位,定义位串中数值为I的序号集合ΦΙ);随机选取參数ru e Zp,计算用户身份为ID的私钥
ベ/γ 、d[D ={dx,d^)= ^20I u'Ylu, ,gr- ο
K Vノ ノ(3)签密给定门限环签密中η个成员的集合L= (ID1, ...,IDn},实际进行签密的t个签密者的身份下标为{1,2,. . .,t},待签密消息m,签密接收者的身份IDk,签密的具体步骤为各签密者IDiQ = I, , t)随机选择其子秘密Si e Zp,构造系数在Zp的t-1次多项式fi(x) = BiZaiaX-H^ai, ηΧη,其中Si = aij0 ;然后签密者IDi计算公开參数C14 = gり(d = 0,1,.·, -I)并向其它签密者广播;计算其它各签密者1 (jホi)的秘密分享Sm =も(j),并将它们发送给其它签密者 IDj (j = 1,2, · · , t ;j 关 i),自己保留 Sia = fi(i);其他各签密者IDj (j = 1,2,· ·,t ; j尹i)从第i个签密者IDi得到秘密分享Si,ゴ
后,用如下等式验证其有效性S、1 =]1(cm);,当确认秘密分享有效后,各签密者IDi根
t
据秘密分享计算其私有秘密为ろ=Σ4/パ根据环成员身份列表L = UD1, , IDJ、t个签密者、待签密消息m以及t个签密者的私钥,环签密接收者身份IDk,获得在待签密消息m下的(t,n)门限环签密C,(t,n)表示门限环签密中成员总数为n,t是门限值,实际參与生成门限环签密的成员数>t,具体步骤为令me GT为待签密消息,该门限环签密者随机选取I1, ... , In e Zp,计算
17.5 , 1 1 —し· · ·,n,巧=al6gh,...,Rt = at6g' ,Rt+l =gM,...,Rn ^gn。令びι =Π,=ισ 'm,
σ2=Π^, ^ =K^ひ,),,,び5=Π: ,则生成的门限环签密为C =
(O I,· · · O 5,Ri,· · · Rn)。
(4)解签密根据门限环签密和环签密接收者IDk的私钥计算得到消息,将得到的
消息带到公式
权利要求
1.一种基于身份的门限环签密方法,其特征在于包括以下步骤 (1)系统建立随机选取參数,生成系统參数以及相应的主密钥,其中系统參数为公开參数,具体步骤为 令G,Gt是阶为素数P的循环群,e:GXG —Gt是一个双线性映射,两个无碰撞的哈希函数// :{0, Γ — {O.す和も:{0,1}4 ~ {0,1广将任意长度的身份ID和消息m分别输出长度为nu和nm的位串; 可信第三方随机选取參数a e Zp,生成元g e G,计算gl = ga。随机选取參数g2,u ' , m ' e G, nu维向量け=(w,),nm维向量A = (w,),其中Ui, Iiii e KG,则系统參数为pararn = {G,GT,e,g,gvg2,u ,U,m\ M, Hu, Hm),主密钥为//W ん=gミ。
(2)私钥提取输入系统參数、主密钥和用户的身份,获得该用户身份的私钥,具体步骤为 给定用户身份ID,通过哈希函数u = Hu(ID)计算得到代表用户身份的长度为nu的位串,令u[i]表示该位串中的第i位,定义位串中数值为I的序号集合ΦΙ); 随机选取參数ru e Zp,计算用户身份为ID的私钥 ぺ/ 丫 、 dID=(d^d2)= Sa2 mTIm-。
、 Vノ ノ (3)签密给定门限环签密中η个成员的集合L=UD1, , IDJ,实际进行签密的t个签密者的身份下标为{1,2,. . .,t},待签密消息m,签密接收者的身份IDk,签密的具体步骤为 各签密者IDiQ = I, , t)随机选择其子秘密Si e Zp,构造系数在Zp的t-Ι次多项式fi(X) =其中Si = aij0 ;然后签密者IDi计算公开參数c,,d = g {d = 0,1,._, -1)并向其它签密者广播; 计算其它各签密者IDi (j幸i)的秘密分享Si, j = f, (j),并将它们发送给其它签密者IDj (j = 1,2, · · , t ;j 关 i),自己保留 Siji = fi (i); 其他各签密者IDjj = 1,2,. .,t ;j尹i)从第i个签密者IDi得到秘密分享Si, j后,用如下等式验证其有效性=Y\{ci4)f,当确认秘密分享有效后,各签密者IDi根据秘 t
2.根据权利要求I所述的基于身份的门限环签密方法,其特征在于所述步骤(3)签密中获得私有秘密后进行下列步骤获得门限环签密对于 设每个签密者IDi的私钥为(dn,di2),计算M = Hm(L,m),令
3.根据权利要求I或2或3所述的基于身份的门限环签密方法,其特征在于所述的解签密的具体步骤如下 当收到门限环签密后,门限环签密接收者利用其私钥首先计算出待签密消息m,m =O I · e(dE2, O 3) · e(dE1, σ 2)へ然后通过哈希函数计算得到待签密消息的长度为nm的位串,定义位串中数值为I的序号集合M ;将消息代入式C(AJ) = eU1ふ)、(ひ!,尺)…4ひメI中,当且仅当等式成立时,门限环签密有效,所得消息正确,否则所得门限环签密无效,所得消息错误。
全文摘要
一种基于身份的门限环签密方法,包括标准模型下的((1)系统建立、(2)私钥提取、(3)签密、(4)解签密。本发明的方法是在标准模型下构造的,与随机预言模型下设计的方案相比,安全性更好。
文档编号H04L9/30GK102694654SQ20121016540
公开日2012年9月26日 申请日期2012年5月25日 优先权日2012年5月25日
发明者孙华, 孙虹, 熊晶, 王爱民, 葛彦强, 韩娇红 申请人:孙华, 孙虹, 熊晶, 王爱民, 葛彦强