一种基于身份的带个性化信息的广播加密方案的制作方法
【技术领域】
[0001] 本发明涉及到密码学,属于通信安全领域,尤其涉及一种基于身份的带个性化信 息的广播加密方案。
【背景技术】
[0002] 广播加密提供了一种实现在非安全信道上将相同的消息安全地同时传输给多个 不同的用户的方法,在数字付费电视、卫星通信、电话会议、调频收音机等领域有着广泛的 应用。它最早由Berkovits于1991年在《How to broadcast a secret》一文中提出,后来 被Amos Fiat和Moni Naor于1993年在《broadcast encryption》一文中确立为密码学的 新研究领域。
[0003] 广播加密体制分为对称广播加密体制和公钥广播加密体制两种,其区别在于加密 方和解密方使用的会话密钥是否相同。对称广播加密体制要求广播发送者和广播接收者的 具有相同的广播密钥,同时还要求广播群中必须有一个可信任的广播中心,只有广播中心 可以产生所有用户的密钥并通过安全信道传输给广播群中的其他用户,也只有广播中心才 可以发送广播消息给广播群中的所有用户,因此对称广播加密体制中用户对广播中心的依 赖性是一个隐患,同时它无法满足动态性和可验证性。而基于公钥的广播加密体制将密钥 分为加密密钥和解密密钥两种,允许广播群中的任一用户作为广播中心,在发送广播消息 前公开自己的公钥,从而保证接收用户可以用相应的私钥进行解密,因此广播群中的任何 用户均可以作为广播中心使用自己的公钥加密广播消息发送给群中的其他用户。因此目前 研究的广播加密体制以公钥广播加密体制为主。广播加密体制提供的安全服务主要有权 限控制、机密性、抗合谋攻击、前向安全和后向安全。权限控制是指广播发送者可以控制授 权用户集合和非授权用户集合,包括撤销用户权利等。机密性是指广播消息只能被授权用 户解密获得,而非授权的用户无法解密获得。抗合谋攻击是指非授权用户即使联合起来也 不可以解密广播密文获得广播消息。前向安全和后向安全是针对具有动态性的广播加密体 制,即存在新用户加入广播集合和旧用户退出广播集合,分别是指退出广播集合的旧用户 将不能解密退出后的所有广播密文,后向安全是指当有新用户加入广播集合时,该用户不 能解密加入前已经公开的广播密文。除此之外,广播加密体制还可以提供叛逆者追踪技术 来应对叛逆发生,即某一授权用户将获得的解密密钥进行非法复制和传播,使得广播中的 其他非授权用户也可以使用该解密密钥解密广播密文,从而非法获得广播消息,该授权用 户被称为叛逆者。叛逆者追踪技术就是指产生叛逆者后,对该叛逆者可以实现具体的追踪 和定位,剥夺叛逆者的解密权利,废除叛逆者解密密钥,从而制止叛逆行为继续发生。
[0004] 2000年,Naor等学者提出了第一个公钥广播加密方案,该方案采用了门限秘密共 享技术(门限值t),达到了 t-抗合谋攻击安全性,并且建立了叛逆者追踪机制。2005年, 谭作文等学者提出了一个安全的公钥广播加密方案,并且对某个用户的授权和撤销权力均 不影响其他用户。2008年,Jong Hwan Park等学者提出了一个公钥广播加密方案,该方案 抗合谋攻击。然而,上述方案均基于公钥基础设施(PKI)。在PKI中,每个用户的公钥都附 加了一个由证书管理机构CA签发的公钥证书,它是一个结构化的数据记录,包括了用户的 公钥参数、身份信息以及来自CA的签名。任何用户在使用公钥前都需要通过验证公钥证书 的合法性来对该公钥进行认证,因此会增加用户的通信带宽和计算量,同时CA也需要进行 诸如证书的存储、颁发和撤销等复杂的证书管理工作。
[0005] 为了简化公钥的管理,Shamir等学者于1984年在《Identity-based cryptosystems and signature schemes)) 一文中第一次提出了基于身份的密码体制的概 念。在该密码体制中,用户的公钥与用户的身份信息(如邮箱地址、身份证号码、电话号码 等)直接相关,用户的私钥是由可信方私钥生成中心(PKG)根据相应的公钥和私有的主密 钥生成。因此基于身份的密码体制在很大程度上减少了公钥证书的管理和合法性验证所带 来的复杂性。之后,随着双线性对(bilinear pairings)算法的产生,基于身份的密码体制 逐步得到了广泛的应用。2002年,Dodis和Fazio提出了一种基于分级身份加密思想将对 称广播加密转换为公钥广播加密的方法。随后,Kurosawa等学者提出了一个针对多个接收 者加密方案,即不同的用户可以解密获得各自的不同的消息(个性化消息),并且该方案的 密文长度很小。2003年,Yevgeniy Dodis等学者提出了一个基于身份的无状态接收者的广 播加密方案,即接收者不能更改其初始状态,如用户密钥的修改。2005年,Boneh、Gentry、 Waters提出了抗合谋攻击的BGW方案,该方案中用户的私钥长度是一个常数,而且广播密 文长度不会随着用户的增加而增加,但公钥的长度会随着用户的增加呈线性增加。Baek等 学者提出了基于身份的多接收者密钥封装机制,这使得基于身份的多接收者加密体制更加 成为了研究热点之一。随后Joonsang等学者也提出了一个针对多个接收者加密方案,并将 其运用到基于子集覆盖的广播加密中,在该方案中,加密广播消息时,只需要进行一次对的 运算,大大减少了计算量,但该方案不能满足广播消息和个性化消息的同时传输。2013年, Sanjam Garg等学者基于格构建了多线性映射(multilinear maps),同时多线性映射非 常适用于多用户的环境,如多方密钥协商、广播加密。因此,2014年,Boneh等学者在《Low Overhead Broadcast Encryption from Multilinear Maps))一文中提出了三种基于多线性 映射的广播加密方案,并表示三个方案均满足低负载条件,即广播密文中超出描述接收者 集合的字节数和用对称加密方法对明文进行加密的负载。但是以上任何方案均不能满足在 传输广播信息的同时进行针对某个用户的个性化消息的传输。
[0006] 2010年,Ohtake等学者将BGW方案和Kurosawa方案结合,提出了第一个带个性 化信息的广播加密方案,该方案基于双线性映射,但是公钥长度很大,与用户数量呈线性增 加。由于广播加密方案的性能指标主要是密钥量、通信开销和计算量,其中密钥量是指用户 存储的密钥的长度和数量,通信开销是指广播密文的长度,计算量是指进行加密和解密计 算时所消耗的时间。因此也没有一种方案能更高效的将广播加密体制和多接收者加密体制 结合起来,产生一种公钥长度较短的基于身份的带个性化信息的广播加密方案。如今越来 越多的用户开始使用数字付费电视观看各类电视节目,而带个性化信息的广播加密方案可 以有效地运用到条件接收系统(CAS)中,即如今开展付费电视的核心系统。该类方案运用 于CAS中比起常规的CAS可以满足以下三个优点:密钥管理量小、条件控制更简单、个性化 消息传输更效率。密钥管理量小是指广播发送者使用公钥进行加密,因此不需要再管理所 有用户的私钥,并且对广播消息和个性化消息的加密均采用效率更高的对称加密方法;条 件控制更简单是指广播发送者可以自己通过定义授权用户来管理相应付费电视节目的用 户,同时也可以通过更改授权用户集合来取消用户的观看权;个性化消息传输更效率是指 广播发送者可以更效率地加密针对某个用户的个性化消息,主要体现在加密算法中。
[0007] 基于以上所述,如何设计出一种更高性能的、基于身份的带个性化信息的广播加 密方案,仍然是当前需要解决的问题之一。
【发明内容】
[0008] 本发明的目的在于:实现基于一种基于身份的带个性化信息的广播加密方案,该 方案不仅能保证广播中心传送广播消息,还可以保证广播中心向广播集合中的某一用户传 送个性化消息。
[0009] 本发明公开了一种基于一种基于身份的带个性化信息的广播加密方案,包括:
[0010] 系统初始化:设定系统安全参数k,生成源群为G17、目标群为O25的多线性映射 e、 广播用户集合U,用户身份信息空间ID、公钥params、主密钥msk以及广播中心的加密和接 收者的解iS' ;
[0011] 广播中心根据主密钥msk和用户U1E U的身份信息ID ID生成用户U i的私钥 Sk1,并发送给相应用户;
[0012] 广播中心根据公钥计算广播密钥K,针对用户U1E U的个性化密钥Γ 及广播 头Hdr,并根据广播消息m利用K和对称加密方法E对m进行加密生成广播密文c,广播中 心通过广播信道将(Hdr,c,c' {1,...,n}))广播;
[0013] 广播集合U中的接收者14根据公钥params和自己的私钥sk ^对广播头Hdr进行 解密处理得到广播密钥K和个性化密钥K\,最后利用K和1(\分别对广播密文c和个性化 密文(:\进行解密处理;
[0014] 不属于广播用户集合的接收者将无法进行上述解密过程。
[0015] 由于采用了以上所述技术方案,本发明的有益效果在于:
[0016] (1)提供个性化信息传送:将公钥广播加密和多接收者加密方案结合起来设计出 基于身份的带个性化信息的广播加密方案,保证广播中心在进行广播消息传送的同时,还 可以对广播集合中的任意用户发送个性化信息,适用于条件接收系统。
[0017] (2)广播传输带宽消耗低:广播集合中各用户的私钥长度均为常量,广播密文的 长度独立于广播集合中用户的数量。
[0018] (3)高效率:对于广播消息和个性化消息的加密使用了对称加密方法而不是公钥 加密方法,有效地提高了效率性。
[0019] (4)为广播中心和用户之间的信息交互提供了机密性、抗合谋攻击的服务。
【附图说明】
[0020] 本发明将通过具