一种标准模型中素数阶下基于身份匿名广播加密方法
【专利摘要】本发明公开了一种标准模型中素数阶下基于身份匿名广播加密方法,首先进行用户的私钥提取,提取私钥后再进行基于身份的匿名广播加密,然后再进行解密。当接收者收到密文进行验证时,如果密文解密后通过验证,则输出接收;否则输出拒绝,利用双系统加密技术和对偶对向量空间,基于对称性External Diffie?Hellman假设下的一种基于身份匿名广播加密方法,在标准模型中证明所提方案是完全安全的,能够实现匿名、加密两种功能,保护用户的隐私,本发明提供电子文档的标准模型中素数阶下基于身份匿名广播加密,能够同时提供匿名、加密两种功能,保护了电子文档的隐私性。
【专利说明】
-种标准模型中素数阶下基于身份匿名广播加密方法
技术领域
[0001] 本发明属于计算机信息安全领域,具体设及一种标准模型中素数阶下基于身份匿 名广播加密方法。
【背景技术】
[0002] 1993年,Fiat等学者首先提出了广播加密的概念。广播加密方案中广播者能够加 密消息并通过广播信道发送给多个用户,其中只有授权用户能够使用自己持有的密钥解密 获得消息。广播加密被广泛应用于多播通信,付费电视,基于卫星的电子商务等领域。自从 广播加密方案概念被提出后,许多广播加密方案相继被提出。
[0003] 1984年,Shamir首次提出基于身份加密(Identity Based Enc巧ption,IBE)的概 念,其思想是允许发送方用接收方的身份(如IP地址,Email地址等)作为公钥来加密数据, 避免了公钥证书的分配,简化了公钥加密的应用。基于身份广播加密(Identity Based Broadcast Encryption, IBBE)是基于身份加密的一般化形式。2007年,Delerabl自e提出了 基于身份广播加密方案,该方案取得了固定大小的私钥长度和密文长度,在随机预言机模 型下证明方案是选择身份(SeIective identity)安全(攻击者必须提前给出挑战身份)。 2009年,Gentry等学者提出了标准模型下可证安全的广播加密方案,该方案满足完全 (fully)安全(攻击者能够适应性的选择挑战身份),同时方案取得亚线性的密文长度。同 年,Ren等学者提出标准模型下完全安全的基于身份广播加密方案,该方案取得固定长度的 公钥和密文。2009年,Waters利用双系统加密技术提出了基于身份加密方案,该方案取得了 短的固定长度系统参数和密钥。2010年,Lewko等学者在合数阶下利用双系统加密技术提出 基于身份加密方案。2012年,Zhang等学者在合数阶下利用双系统加密技术提出基于身份广 播加密方案。
[0004] 2001年,Bellare等学者提出了加密体制中的匿名性或者隐私密钥的概念,密文不 会泄露任何密钥和明文的信息。2006年,Barth等学者提出了隐私广播加密,同年 Krzywiecki等学者提出了隐私公钥广播加密方案,但没有给出正式的安全性证明。2007年, Jarecki等学者提出了实用的多接收者匿名广播加密方案,该方案的构建可W被视为一个 有状态的公钥广播加密方案。2010年,Yu等学者首次提出了密钥组播方案,用户的匿名性和 通信的复杂度与接收者的数量相互独立。2012年,Benoii等学者提出了在标准模型下匿名 广播加密方案,然而方案中的密文长度随接收者的数量呈线性增长。2013年,Zhang等学者 在合数阶下利用双系统加密技术提出标准模型下可证安全的匿名广播加密方案,该方案满 足完全(fully)安全,同时取得固定大小的密文长度。
[0005] 在相同安全条件下,基于合数阶群的密码体制中的群阶数至少为102比特,而素数 阶群的阶数仅为160比特,素数阶群中的双线性对计算效率远高于合数阶群中的计算效率。 因此,如何构建素数阶群下的密码方案成为研究热点问题。2010年,Freeman等学者使用通 用技术把合数阶方案转换成素数阶方案,给出了素数阶下公钥加密体制。2012年,Lewko等 学者指出Freeman技术效率不高,提出了一种把合数阶加密方案转换成素数阶加密方案的 通用方法,同时给出了素数阶下基于身份加密方案和基于身份分级加密方案。2013年,化en 等学者利用双系统加密技术和对偶对向量空间在素数阶下提出了基于身份加密方案,同 年,Jia等学者提出了素数阶下基于身份匿名加密方案,该方案安全性满足完全安全。2016 年,Ming等学者提出了在素数阶下利用双系统加密技术提出基于身份广播加密方案。
[0006] 在多播通信,付费电视,基于卫星的电子商务等领域中进行广播,为了保护用户的 隐私,则需要匿名广播加密,现有技术中有匿名广播加密,但效率很低,因此,如何在素数阶 群下构建匿名广播加密方法具有十分重要的现实意义。
【发明内容】
[0007] 本发明的目的在于克服上述不足,提供一种标准模型中素数阶下基于身份匿名广 播加密方法,利用双系统加密技术和对偶对向量空间,基于对称性External Diffie- Hellman假设下的一种基于身份匿名广播加密方法,在标准模型中证明所提方案是完全安 全的,能够实现匿名、加密两种功能,保护用户的隐私。
[000引为了达到上述目的,本发明包括W下步骤:
[0009] 步骤一,建立系统:输入安全参数和接收者数量,输出主密钥和系统参数;
[0010] 步骤二,输入系统参数,主密钥和用户的身份,提取用户私钥;
[0011] 步骤=,用提取的私钥对消息进行基于身份的匿名广播加密,将加密后的消息发 送给接收者;
[0012] 步骤四,接收者对加密消息进行解密,通过验证后进行接收,否则拒绝接收。
[0013] 所述步骤一中,系统建立方法如下:
[0014] 第一步,输入安全参数、接收者数量m和双线性对e: Gi X G2一Gt ;
[0015] 第二步,密钥生成中屯、PKG随机选择双正交基(D,护),di, ??? ,(U表示D中的元 素表示护中的元素;
[0016]第S步,密钥生成中屯、P K G随机选择a G Z q,输出系统参数为
[0017]所述步骤二中,提取用户私钥的方法如下:
[001 引第一步,输入身份IDiGS,S={IDi, ? ? ? JDnh
[0019] 第二步,密钥生成中屯、P K G随机选择和'?,/;" eZg,则私钥为
[0020] 所述步骤S中,用私钥对消息加密的方法如下:
[0021] 第一步,输入消息M;
[0022] 第二步,密钥生成中屯、P K G随机选择Z G Z q,则密文为
[0023] 所述步骤四中,对加密消息进行解密的方法如下:
[0024] 第一步,若IDiGS,用私钥SKiDi来解密接收到的密文CT ={Cl,C2};
[00巧]第二步,验证W下方程的有效性:
[0026]
[0027] 从而判定是否接收。
[0028] 与现有技术相比,本发明针对传统广播加密中效率低的问题,利用双系统加密技 术和对偶对向量空间,基于对称性External Diff ie-化Ilman假设下的一种基于身份匿名 广播加密方法,在标准模型中证明所提方案是完全安全的,能够实现匿名、加密两种功能, 保护用户的隐私,本发明提供电子文档的标准模型中素数阶下基于身份匿名广播加密,能 够同时提供匿名、加密两种功能,保护了电子文档的隐私性。
【具体实施方式】
[0029] 下面结合实施例对本发明做进一步说明。
[0030] 实施例:
[0031] 步骤一,系统建立:
[0032] 1)输入安全参数、接收者数量m和双线性对e:Gi XG2一Gt;
[0033] 2)密钥生成中屯、PKG随机选择双正交基(D,D*),di,? ? ?,d4表示D中的元素, 聲,…,《表示护中的元素;
[0034] 3 )密钥生成中屯、P K G随机选择a G Z n,输m系统参数为
,主密钥关
。
[00巧]步骤二,提取用户私钥:
[0036] 1)输入身份iDiGS,S={IDi, ? ? ? JDnh
[0037] 2 )密钥生成中屯、P K G随机选择,'/,..Zy ,则私钥为 .化中 一么
。
[003引步骤立,加密:
[0039] 1)输入消息M;
[0040] 2 )密钥生成中屯、P K G随机选择Z G Z q,则密文为
>
[OOW 步骤四,解密:
[0042] 当接收者接收到密文CT=ICi,C2},执行如下步骤:
[0043] 1)若IDi G S,用私钥来解密接收到的密文CT = {Cl,C2};
[0044] 2)验证W下方程的有效性:
[0045]
[0046] 如果有效,输出接收;否则输出拒绝。
[0047] 下面分别给出本发明在标准模型中素数阶下基于身份匿名广播加密方法的正确 性和安全性证明。
[004引一、正确性
[0049]本发明提出的标准模型中素数阶下基于身份匿名广播加密方法是正确性的。
[0050]接收方收到关于消息M的密文,若该密文时按如上步骤进行并且传输的过程中没 有改变,木难证巧,
[0化1 ]
[0052] 证明:为了证明方案的安全性,定义半功能密钥和半功能密文如下:
[0化3]半功能密钥:根据密钥生成算法生成正常密钥为S馬〇,,随机选取Vi,V2 G Zq,生成半 功能密钥为慰进n =化;。扭如帥'。
[0054] 半功能密文:根据加密算法生成正常密文为CT^ =似1,(/ 2},随机选取Xi,X2 G Zq, 生成半功能密文为幻^'邸> ={q,Q} = 。
[0055] 定义下述游戏:
[0化6] Gamereai:真实的安全游戏。
[0化7] Gamek:和Gamereai相同,其中0《k《Qn,除了:
[0058] (1)挑战密文是半功能;
[0059] (2)前k个密钥是半功能的,其他密钥是正常的。
[0060] 注意:在Gameo中所有的密钥都是正常的,挑战密文是半功能的,在Gww'。中所有的 密文和密钥都是半功能的。
[006。 GameFinai:和相同,除了挑战密文为Gt中的一个随机元素对应的半功能密 文。
[0062] 定理 1:
[0063] 对于给定的安全参数、如果SXDH假设成立,则所提IB肥方案完全安全且满足匿名 性。在任何多项式的时间内,如果存在攻击者A攻破IB肥方案,则可W构造算法A,…,乂"解 SXDH问题.滿巧
[0064]
[0065] 证明:由引理1-4可得。
[0066] 引理1:
[0067] 假设存在一个攻击者A使得I
则构造一个算法BoWe 的优势攻破DSl假设,满足
,
[00側证明:算法Bo给定D二仍,G:,Gr,&,折,6,g,茲,皆,谷iV.?,分,巧,(6/:,片2冲Tl,T2,Bo 判定Tl,&是护I,复严还是如A+喃,《严"*。赏法B日和攻击者A交互如下:
[0069]系统建立:算法Bo随机选择可逆矩阵A E ZyW,定义两个双正交基D二(di,d2,Cb,
ck):
[007
[007
[0072] Bq随机选择aGZq,计算系统参数户户=!6'|,G:,G,,如折,扭'I,护I, 主密钥騰=批,各f,接},并将系统参数返回给A。
[0073] 阶段1:攻击者A适应性的询问與,…,史。,对IDiGS,S=UDi, ???,IDn}进行密钥 询问。算法Bo运行密钥提取算法得到正常的密钥,并返回给A。
[0074] 挑战:当攻击者A决定结束阶段1时,A输出挑战消息Mo,Mi和挑战身份集合So = (IDoi,- ? -,IDonKSi=UDii, - ? - IDin}发送给算法8〇,8〇随机选择0居{〇,1},输出密文 CT =片,。=沙. e巧,gf )。,J;. Tf一。'"}并发送给A。
[007引阶段2:攻击者A进行也扣,…,史询问,与询问阶段1相同,除了巧g&A。
[0076] 猜测:攻击者A输出一个猜测护G {0,1},如果护=0,则攻击者A赢得游戏。令Ti = Z,如果2; = g严,n二g严,则CT = (Cl,C2}是正常的密文,算法B日模拟Gamereai;如果 二扣A+r*心2 =各严+ r,A,贝化T二!Ci,C2}是半功能的密文,C2的指数增加一个因子,即T2 [b3+b4(IDei+* ? .+IDfti)]。为了得出基d3,d4 的系数,利用矩阵 Al乘 WT2[l + (IDei+? ? ? + IDen)]T得出T2A气l+(IDei+ . . . +IDen)]T,由于矩阵A是随机的选取,由统计不可区分引理 可知d 3,d 4的系数也是随机的,因此算法B 0完全模拟G a m e 0其优势为 Adv[^,'\A) - C O #
[0077] 引理2:
[007引假设存在一个攻击者A使得I心Vf "Wt-I (1)-心VfHh (1)1 = 6,则构造算法Bk W e-1/q 的优势攻破DS2假设,满足.如i.'r3(別二-1 /(/,且K = 2,N=4。
[0079] 证明:算法Bk给定Z>二府,G:A,&,斯乂y,斯容产,漂f,...,茲斯馬,倍和Ti,T2,Bk 判定Tl J2是g产,gf;还是绍9'+。6:,gf ,算法Bo和攻击者A交互如下:
[0080] 系统建立:算法Bk随机选择可逆矩阵AeZf2,定义两个双正交基D= (di,Cb, Cb,
cU),
[0081
[0082
[00削 Bk随机选择日EZq,计算系统参数微=輯,如知6,9,作&,&)"'柄,班,执(':}, 主密钥MK =知,各f,知<2'},并将系统参数返回给A。
[0084] 阶段l:攻击者A适应性的询问兩,???,?,对IDiGS,S={IDl,???,IDn}进行密钥 询问。
[0085] I)如果i<k,算法Bk知道,Bk运行半功能密钥提取算法,生成半功能密钥返 回给A。
[0086] 2)如果i>k,算法化运行密钥提取算法,生成正常密钥返回给A。
[0087] 3 )如果i = k,算法B k随机选择。1,…,e Zy,令巧i = Tl,B k计算 战.二各["+如..。'-1-巧响(巧叫取恥-如1-巧+
[008引如果=各;A',r:=各f:',化巧是正常的密钥;如果2;=各;片"名,r:=各, 化阳,是半功能的密钥,密钥的指数增加一个因子,即了2[(巧+???+化佑-K]。为了得出基 d3,d4 的系数,利用矩阵 AT 乘 Wt2[(IDi+ - ? .+IDn)-l]T 得出 T2AT[(IDi+ - ? .+IDn)-l]T。
[0089] 挑战:当攻击者A决定结束阶段I时,A输出挑战消息Mo,Ml和挑战身份集合So = {IDoi,? ? ?,ID〇n},Sl={lDll,? ? ?,IDln}发送给算法化,故随机选择0G{〇,1},输出半功 能的密文掛二{Cl,C2} = {Mク.e(巧,gfr,^.^/严'+''w。''''}。令z = Ul,为了得出基d3,d4的系 数,利用矩阵A-1乘W "2口叫/邱+ ? ? ? +巧U]得出W;A、] + (/巧,+…^。
[0090] 由于矩阵A是随机的选取,由统计不可区分引理可知d3,d4的系数也是随机的(除了 1/q的概率)。
[0091] 阶段2:攻击者4进行和心…,成询问,与询问阶助相同,除了碼g馬為。
[0092] 猜测:攻击者A输出一个猜测护G {0,1},如果护=0,则攻击者A赢得游戏。
[OOW]根据Tl,T2的分布,Bk模拟游戏Gamek-I或者Gamek,算法Bk的优势为 A(h= 6' - /q O #
[0094] 引理 3:
[0095] 对于任意的攻击者A有.4如f "心(/I)=心vf "心"U)。
[0096] 证明:定义如下分布
[0097] G醒e'!。:(PP,CT武、,{化常、邮},G肌te巧1,。,:巧P,CT這 y、SK還%加?)
[009引其中,PP表示GwneJ或GameFinai)中系统参数,巧^:嗦示Gflwe,,,中半功能密文, C瑞:表示GameFinai下Gt中随机元素对应的半功能密文,呀巧表示Gaw馬(或 GameFinai)中半功能密钥。
[0099] 随机选择矩阵A =候定义新的双正交基F=(fi,. . .,f4)和 F*=or,...,/;伽下:
[0100]
[0101] 容易验证F,F*和D,护具有相同分布的双正交基。
[010^ Gaweg,中的系统参数,挑战密文和密钥询问(W,巧?{化公在基D,护分别 表示为:
[0103]
[0104]
[0105]
[0106]
[0107]
[010 引
[0109]
[0110]
[0111]
[0112]
[0113]
[0114] 挑战密文C2中di,cb的系数z[l,(IDei+ ? ? ? +IDen)]变换到fi,f2的系数 材,4)€ ZJ,因此挑战密文是Gt中随机元素对应的半功能密文。此外,因为省,C的系数 倘吨,,]是相互独立的随机值,所W化皆i中/;;,/;的系数{(吃,嗦/)}吨"1也是相互独立 的随机值。因此,,巧1T,识巧中,,,])在基F,F*上可W表示为GameFinai的 (户戶,巧貧,触:'1}咖,)。
[011引在基(D,护)和基(F,F*)上GwMCg。和Gam肿inai有相同的系统参数,上述的挑战密文和 密钥询问可W看成密钥和密文的两种方式,即在基(D,D*)上的Game,/,,和在基(F,F*)上的 GameFinai,则可知和6曰1脚1。31是统计不可区分的。#
[0116] 引理 4:
[0117] 对任何的攻击者A,有細巧?。'林)=0 6
[011引证明;G a m e F i n a 1中0的值是独立于攻击者的,因此 印乂)二0。 斧
[0119] 在GameFinai中,挑战密文是Gt中随机元素对应的半功能密文,独立于攻击者A提供 的两个消息和挑战身份。因此,IBBE方案具有匿名性。
【主权项】
1. 一种标准模型中素数阶下基于身份匿名广播加密方法,其特征在于,包括W下步骤: 步骤一,建立系统:输入安全参数和接收者数量,输出主密钥和系统参数; 步骤二,输入系统参数,主密钥和用户的身份,提取用户私钥; 步骤Ξ,用提取的私钥对消息进行基于身份的匿名广播加密,将加密后的消息发送给 接收者; 步骤四,接收者对加密消息进行解密,通过验证后进行接收,否则拒绝接收。2. 根据权利要求1所述的一种标准模型中素数阶下基于身份匿名广播加密方法,其特 征在于,所述步骤一中,系统建立方法如下: 第一步,输入安全参数、接收者数量m和双线性对e: Gi X G2^Gt ; 第二步,密钥生成中屯、PKG随机选择双正交基(D,护),(11,...,(1康示0中的元素,夺,...,< 表示护中的元素; 第Ξ步,密钥生成中屯、P K G随机选择α e Z q,输出系统参数为3. 根据权利要求1所述的一种标准模型中素数阶下基于身份匿名广播加密方法,其特 征在于,所述步骤二中,提取用户私钥的方法如下: 第一步,输入身份IDi e S,S= {IDi,…,IDn}; 第二步,密钥生成中屯、P Κ G随机选择r 1 1,…,r 1 η e Z q,则私钥为4. 根据权利要求1所述的一种标准模型中素数阶下基于身份匿名广播加密方法,其特 征在于,所述步骤Ξ中,用私钥对消息进行加密的方法如下: 第一步,输入消息M; 第二步,密钥生成中屯、P K G随机选择Z e Z q,则密文为5. 根据权利要求1所述的一种标准模型中素数阶下基于身份匿名广播加密方法,其特 征在于,所述步骤四中,对加密消息进行解密的方法如下: 第一步,若IDi e S,用私钥&[皿,来解密接收到的密文CT = {Cl,C2}; 第二步,验证W下方程的有效性:从而判定是否接收。
【文档编号】H04L29/06GK105978687SQ201610317841
【公开日】2016年9月28日
【申请日】2016年5月12日
【发明人】明洋, 原红平, 董玉柱
【申请人】长安大学