一种基于无证书的签密方法和系统的制作方法

一种基于无证书的签密方法和系统的制作方法
【专利摘要】本发明公开了一种基于无证书的签密方法和系统，属于签密【技术领域】。一种基于无证书的签密方法和系统包括第三方KGC(Key Generation Center部分私钥生成中心)、用户模块，其中第三方模块包括通过安全信道连接的在线任务分配器、部分私钥生成器、Hash运算器；用户模块包括用户秘密值生成器、用户完全私钥生成器、离线签密器、在线签密器和解密器，依次采用系统参数生成、用户秘密值生成、用户部分私钥生成、用户完全私钥生成、离线签密、在线签密、解密的步骤对用户进行签密操作。本发明中的签密以一个逻辑单元高效代替简单的加密与签名结合的方法，可以实现一个无证书环境下安全、高效的在线/离线签密，并且实现离线阶段无需确定接收者的身份，效率高、安全性好、灵活性大、应用性强。
【专利说明】-种基于无证书的签密方法和系统

【技术领域】
[0001] 本发明涉及一种签密【技术领域】，尤其设计一种基于无证书的签密方法和系统。

【背景技术】
[0002] 在电子商务中，认证性与机密性是最基本也是重要的要求。电子商务不免涉及移 动设备与智能卡，然而它们的物理层易受到攻击，因此，一些有效的密码学保护是非常有必 要的。但由于这些设备本身存在功率受限的本质，致使设计出代价低的算法显得尤为重要。
[0003] Zheng第一次提出签密的原语，它同时拥有不可伪造性与机密性，相对于签名与加 密的简单结合，具有更少的计算复杂度和更低的通信代价。Malone-Lee首次提出基于身份 的签密，相继一些基于身份的签密方案被提出，在效率与安全性方面得到相应的改进。
[0004] An等人提出在线/离线的签密。在线/离线原语的原则是在线阶段的计算代价尽 量小，换言之，大部分复杂的操作，如指数、双线性对操作，应该在离线阶段完成。为提高系 统的灵活性，待签密的消息与接收者的身份信息在离线阶段应该是未知的。然而，2002年， An等人只提出了在线/离线签密的安全模型，及其通用构造的分析，但并未给出在线/离线 签密的具体方案。2005年，Zhang等人给出了具体的在线/离线的签密方案，但是该方案需 要额外的对称密钥加密方案才能获得整体方案的机密性。
[0005] 为克服基于身份密码学内在的密钥托管问题，Al-Riyami等人在2003年提出了无 证书密码学系统。无证书签密的概念首先由Barbosa在2008年提出。目前，大部分的无证 书签密方案并不安全，2010年，Selvi等人指出了相关文献存在的安全性问题。
[0006] 2010年，Luo提出了无证书的在线/离线签密，但在其离线阶段接收者的身份是 已知的，这样的条件减少了方案的灵活性，造成其实用性的退化。并且，Shi在2014年指出 Luo的方案存在安全性问题，攻击者可以通过窃听消息得到用户的私钥，安全性不足。


【发明内容】

[0007] 1.要解决的技术问题
[0008] 针对目前大多数无证书签密方案都是在基于身份的环境下实现的，有少数方案是 基于无证书的，效率低、安全性差的问题，本发明提供了一种基于无证书的签密方法和系 统，它可以实现一个无证书环境下安全、高效的在线/离线签密，并且实现离线阶段无需确 定接收者的身份，效率高、安全性好、灵活性大、应用性强。
[0009] 2.技术方案
[0010] 一种基于无证书的签密方法，包括如下步骤：
[0011] (a)系统参数生成：
[0012] PKG运行系统参数生成算法：首先系统选取大素数p，p阶乘法循环群G1和G2，双 线性映射O = G1XG1 - G2。从G1中选择一个生成元P，随机选择5 eZp，计算p_ = sP，g = e(P, P),系统参数生成算法生成系统参数,其中公开参数为params = (G1, G2, e, q, P, Ppub), 系统的的主密钥为msk = s ;
[0013] (b)用户秘密值生成：
[0014] 步骤1 :用户随机选择^z;;作为秘密值，计算PK = xp作为其相对应的公钥；
[0015] (C)用户部分私钥生成：
[0016] 步骤2 :在线任务分配器用发送者和接收者身份发送给用户部分密钥生成器；
[0017] 步骤3:用户部分密钥生成器将元组（ID，PK)发送给Hash运算器进行运算， 计算得到Hash值q，即：(H1是{0, IKXG1到< 的密码学哈希函 数，{0, IKxg1表示输入为不确定个集合{〇, 1}的卡笛尔积与G1群中元素，Z,.表示集合 {1,2, , p-2, p-1})；
[0018] 步骤4 :Hash运算器将计算得到的值q发送给用户部分密钥生成器，用户为发送者 和接受者；
[0019] 步骤5 :用户部分密钥生成器利用主私钥msk = s计算用户的部分私钥 然后发送给在线任务分配器；

【权利要求】
1. 一种基于无证书的签密方法，包括如下步骤： (a) 系统参数生成： PKG运行系统参数生成算法：首先系统选取大素数p，p阶乘法循环群G1和G2，双线性映 射S = G1XG1 - G2。从G1中选择一个生成元P，随机选择，计算^3_ = sp，g = e(p，p)， 系统参数生成算法生成系统参数，其中公开参数为params = (G1, G2, e，q，P，Ppub)，系统的的 主密钥为msk = s ; (b) 用户秘密值生成： 步骤1 :用户随机选择作为秘密值，计算PK = xP作为其相对应的公钥； (c) 用户部分私钥生成： 步骤2 :在线任务分配器用发送者和接收者身份发送给用户部分密钥生成器； 步骤3:用户部分密钥生成器将元组（ID，PK)发送给Hash运算器进行运算，计 算得到Hash值q，S卩：F1 JO^xG1 (H1是{0, IKXG1到< 的密码学哈希函数， {〇, IKXG1表示输入为不确定个集合{0，1}的卡笛尔积与G1群中元素，S表示集合 {1,2,, p-2, p-1})； 步骤4 :Hash运算器将计算得到的值q发送给用户部分密钥生成器，用户为发送者和接 受者； 步骤5 :用户部分密钥生成器利用主私钥msk = s计算用户的部分私钥
然后 发送给在线任务分配器； (d) 用户完全私钥生成： 步骤6 :在线任务分配器将得到的部分用户私钥通过安全信道发送给相应的用户，用 户将（x，D)作为自己的完全私钥； (e) 离线签密： 步骤7 :发送者将自己的完全私钥都发送给离线签密生成器，离线签密生成器选择 r1； β , 7 gZp ^ if# w = e(P,P)1 = gr, ^ C1 = a ^r1P, C2 = T1 ( β +s) P = T1 ( β P+Ppub), T = Y μ Da ； 步骤8 :发送者随机选择"e z% 2 e {〇, 1}%计算U = μ P，将元组（r2, IDA，U，PKA)发 送给 Hash 运算器，得到 a e , S卩：/Z2: {Ο,?Γ x G1 x G1 4 Z〗（H2 是{0, 1} *X G1X G1 到之二的 密码学哈希函数，输入为不确定个集合{〇, 1}的卡笛尔积与两个G1群中元素，<表示集合 {1,2,, p-2, p-1})； 步骤9:离线签密生成器从Hash运算器得到哈希值α ; 步骤10 :发送者将σ ' = (U^CpQT，μ，α，β，Y，r2)作为离线密文存储在内存 中； (f) 在线签密： 步骤11 :发送者从内存中检索出离线密文σ ' = (u，W，C1, C2, Τ，μ，α，β，Y，r2); 步骤12 :发送者要将消息m e {〇, 1}?发送给接收者，从在线任务分配器获得Hash运算 器的哈希值qB = H1(IDb^Kb); 步骤13 :发送者从Hash运算器获得哈希值qB ; 步骤14:发送者计算值μ PKb，将元组（U，W，PKB，μ PKB)发送给Hash运算器，得到 k e {〇, 1}% 即 A3 = G1XG1XG1XG1^ {0, 1}*〇13是61\61\61父61到{0, 1Γ 的密码学哈希函 数，输入为四个G1群中元素，{0，1}#表示有不确定个集合{0，1}的笛卡尔积）； 步骤15 :发送者从Hash运算器获得哈希值k ; 步骤 16 :发送者计算 c ? IM Di)，将元组（c3, c，r2, IDa，IDb，Ci，C2, PKa，pjg 发送给 Hash 运算器，获得 & <，即："4: Z；； x ·|0，1Γ x G1 x G1 x G1 x G1 - Z；： (H4 是 Ζ；；χ{0，?Γχ<^χ<^χ<^χσ4ι』Ζ$的密码学哈希函数，输入为集合{1，2, · · ·，p-2，p-l}元素、 不确定个集合{〇，1}的笛卡尔积和四个个匕群中元素，输出为集合{l，2，...，p-2，p-l}元 素）； 步骤17 :发送者从Hash运算器获得哈希值h ; 步骤18 :发送者将密文σ = (C1, C2, C3, C，U，T，t)通过信道发送给接收者； (g)解密： 步骤19 :接收者从在线任务分配器收到密文σ = (C1, C2, C3, C，U，T，t); 步骤20 :接收者将接收到的密文发送给解密器进行解密与验证； 步骤21:接收者利用自己的完全私钥分别计算值W = e (C1CfC2, Db)，xBU，然后将元组 (U，W，PKB，xBU)发送给 Hash 运算器，获得 k e {〇, 1} *，即：H3: G1X G1X G1X G1 - {0, 1} * (H3 是 G1XG1XG1XG1到{0, 1Γ的密码学哈希函数，输入为四个G1群中元素，{0, 1Γ表示有不确定 个集合{〇, 1}的笛卡尔积）； 步骤22 :接收者从Hash运算器获得哈希值k ; 步骤 23 :接收者解密w Ik Il 气将元组（C3, C，r2, IDA，IDB，C1, C2, PKA，PKb)发送 给Hash运算器； 步骤24 :接收者从Hash运算器获得哈希值h ; 步骤25 :接收者将元组（r2, IDA，U，PKa)发送给Hash运算器； 步骤26 :接收者从Hash运算器获得哈希值α ; 步骤 27 :接收者验证等式 e (Ppub+qAP，Tt) = e (U，hP) e (U，PKA)，e (C1, P)° = W 是否成立， 若都成立，消息m是合法的，否则消息是不合法的，拒绝接收。
2. -种基于无证书的签密系统，其特征在于：包括第三方部分私钥生成中心、用户模 块，其中第三方部分私钥生成中心包括在线任务分配器、部分私钥生成器、Hash运算器；用 户模块包括用户秘密值生成器、用户完全私钥生成器、离线签密器、在线签密器和解密器， 第三方部分私钥生成中心通过安全信道连接的在线任务分配器、部分私钥生成器和Hash 运算器。
3. 根据权利要求2所述的一种基于无证书的签密系统，其特征在于：所述的安全信道， 通过X. 509证书、对称密码算法、密钥交换协议或消息摘要安全技术构建。
【文档编号】H04L9/32GK104393996SQ201410614542
【公开日】2015年3月4日 申请日期:2014年11月4日 优先权日:2014年11月4日
【发明者】李继国, 张乐, 陈超东 申请人:马鞍山城智信息技术有限公司