一种从无证书环境到公钥基础设施环境的签密方法
【技术领域】
[0001] 本发明属于信息安全技术领域,具体设及一种从无证书环境到公钥基础设施环境 的异构签密方法。
【背景技术】
[0002] 传统的公钥密码体制是基于公钥基础设施(PublicIfeyIn化astruc化re,W下 简称PKI)的。在该种密码体制中,公钥与用户身份没有直接关系,所W需要一个可信第S 方--认证中屯、(CertificateAuthority,W下简称CA)颁发一个证书来把用户的公钥与其 身份信息进行绑定,从而需要建立一套PKI系统。由于PKI的建立需要高昂的费用,该阻碍 了基于PKI的公钥密码体制的广泛使用,使得它只适合于用户数量适中的系统。
[000引基于身份的密码体制可W降低高昂的公钥管理费用,它是化amir于1984年在CRYPTO'84中提出的概念。基于身份的密码体制是先确定用户的公钥,再计算相应的私钥。 因而公钥可W取为用户的身份信息,省去了公钥证书,降低了公钥管理的费用。但基于身份 的密码体制的私钥必须由可信第S方一私钥生成中屯、(PrivateIfeyGenerator,W下简称 PKG)产生,不可避免地引起密钥托管问题,即PKG知道所有用户的私钥。所W,它只能适合 于对PKG绝对可信的场合应用。
[0004] 无证书密码体制既可降低公钥的管理费用又可解决密钥托管问题,它是 Al-Riyami和化terson于2003年在ASIACRYPT' 2003中提出的概念。无证书密码体制的 私钥由两部分组成。一部分是密钥生成中屯、化巧Generation Center, W下简称KGC)生成 的部分私钥;另一部分是用户自己选取的一个秘密值。公钥也由两部分组成。一部分是用 户的身份信息;另一部分是秘密值对应的公钥。由于KGC不知道用户的完整私钥,因而解决 了密钥托管问题。并且用户的公钥不需要证书,因而降低了公钥的管理费用。
[0005] 保密性和认证性是信息安全领域里两个基本的安全需求。保密性可W通过加密技 术来实现;而认证性可W通过数字签名来实现。当我们同时需要保密性和认证性时,传统 做法是"先签名再加密"。签密可W实现在一个逻辑步骤内同时实现加密和签名两项功能, 而且其计算代价和通信成本比传统的"先签名再加密"的两步实现要小得多,它是化eng于 1997年在CRYPTO' 97中提出的概念。
[0006] 目前,基于PKI的签密方案、基于身份的签密方案和基于无证书的签密方案都得 到了广泛的研究。但它们都假定用户属于相同的公钥认证环境,即收发双方要么同属于PKI 环境、要么同属于基于身份的环境、要么同属于无证书环境。
[0007] 2010年,Sun和Li提出了一个异构环境的签密方案,该方案的发送方属于PKI环 境而接收方属于基于身份的环境,它为属于不同公钥认证环境的用户提供了能进行签密通 信的方法。2011年,化ang, Wong和Yang提出两个发送方属于PKI环境而接收方属于基于 身份环境的异构签密方案。2013年,Li,化ang和化kagi提出两个异构环境签密方案,第一 个方案的发送方属于PKI环境而接收方属于基于身份的环境,第二个方案的发送方属于基 于身份环境而接收方属于PKI环境。同年,Li和Xiong提出一个异构环境的在线/离线签 密方案,该方案的发送方属于基于身份的环境而接受方属于PKI环境。
[000引另外,中国专利申请CN103746810A公开了一种发送方属于PKI环境而接收方属 于基于身份环境的匿名签密方法。中国专利申请CN103746811A公开了一种发送方属于基 于身份环境而接收方属于PKI环境的匿名签密方法。中国专利申请CN104270249A公开了 一种发送方属于基于无证书环境而接收方属于基于身份环境的签密方法。中国专利申请 CN104301108A公开了一种发送方属于基于身份环境而接收方属于无证书环境的签密方法。
[0009] 但W上所有异构环境的签密方法都假定收发双方共用相同的系统共用参数,然而 由于收发双方属于不同的公钥环境,更普遍和更实际的情况是收发双方使用不同的系统共 用参数。而且,若发送方属于无证书环境而接收方属于PKI环境,则W上方法都将无法使 用。
【发明内容】
[0010] 本发明的目的在于克服上述现有技术的缺陷,提供一种发送方属于无证书环境而 接收方属于PKI环境的异构签密方法,并且收发双方的系统公共参数不同。
[0011] 本发明公开了一种从无证书环境到公钥基础设施环境的签密方法,包括下列步 骤:
[0012] 步骤1无证书环境系统初始化;设定无证书环境的系统参数,用于生成发送方的 完全私钥和公钥、签密和解签密。
[0013] 步骤2PKI环境系统初始化;设定PKI环境的系统参数,用于生成接收方的私钥和 公钥、签密和解签密。
[0014] 步骤3无证书环境的发送方密钥生成;发送方A提交自己的身份信息IDa给密钥 生成中屯、KGC,KGC根据系统参数和用户身份信息IDa生成用户的部分私钥DA并秘密地发送 给发送方。发送方基于系统参数随机生成一个秘密值Xa,计算相应于该秘密值的公钥PKa, 并基于秘密值Xa和部分私钥DA计算自己的完整私钥。
[00巧]步骤4PKI环境的接收方密钥生成;接收方B随机选取一个秘密值xe作为私钥,并 计算公钥PKb。
[0016] 步骤5签密;发送方根据系统参数、自己的完整私钥与公钥、消息m和接收方的公 钥生成签密文0。
[0017] 步骤6解签密;接收方根据系统参数,发送方的身份与公钥和自己的公钥验证签 密文0的正确性,如果正确则接受该签密文0,然后再使用自己的私钥解密出消息m,否则 拒绝。
[0018] 作为本发明的优选方法,所述步骤1中无证书环境的系统参数设定为:
[0019] 安全参数ki_i为正整数;一个循环加法群GH和一个循环乘法群G2_1,两个群的阶 都为素数Qh;-个随机的Gh的生成元Ph;-个双线性映射ei:Gi_iXGH-G2_i;四个安全 的散列函数巧端邱:脚r一這1,{(ur-U1,其中{(ur表示任意比特长的二进制 序列组成的集合,适I表示去掉单位元所得的加法群,{〇, 1}1表示比特长为1的二进制序列 组成的集合,1为预设参数,表示消息的比特长度;一个随机数^€马_,作为主私钥,计算Ppub =sPh作为主公钥,其中与,是由所有大于等于1且小于Qh的正整数组成的有限域;公开 系统参数为柄,Gh,G2_i,1,Pi_i,Ppub,Hi,&,也W,保密主密钥s;
[0020] 所述步骤2中PKI环境的系统参数设计为:
[002U 安全参数ki_2为正整数;一个循环加法群G1_2和一个循环乘法群G2_2,两个群的阶 都为素数心;一个随机的Gi_2的生成元Pi_2;-个双线性映射e2:Gi_2XGi_2- 02_2;公开系统 参数为{的,Gi_2,G2-2,Pi-]};
[0022] 所述步骤3无证书环境的发送方密钥生成具体包括:
[002引密钥生成中屯、计算发送方A的部分私钥Da=sQA,其中Qa=H1(IDa);发送方A随 机选取秘密值,并设置完整私钥为值A,Xa),计算公钥PKa=XaPh,则完整公钥为 (Qa,PKa);
[0024] 所述步骤4所述PKI环境的接收方密钥生成具体包括:
[002引接收方B随机选取作为私钥,计算公钥PKb=XbPi_2;
[0026] 所述步骤5签密具体包括;设消息m G {0,:[}1,q = max站_1,Qw},其中max表示 取最大值;发送方A随机选取,计算Ui=巧1_1,&=巧1_2,h = &化,&,巧而,IDa,PKa), F = m?/!,w= Vx化化,也V,IDa,PKa, PKb)+邱化,也V,IDa,PKa, PKb),输出0= 扣1,&,V,W)作为签密文,其中?表示异或运算。
[0027] 所述步骤6解签密具体包括:
[00測接收方B验证
[0029]e(Pi_i,W) =e(Ppub,Qa)e(PKa,H3(Ui,U2,V,IDa,PKa,PKb)) e扣1,H4扣1,&,V,IDa,PKa,PKb))是否成么不成立则返回丄表示拒绝;否则恢复消息 m = V西H2(U、JJ2,XbU2,ID.4,PK.4)。