CN102694654A - 基于身份的门限环签密方法 - Google Patents

Abstract

一种基于身份的门限环签密方法，包括标准模型下的((1)***建立、(2)私钥提取、(3)签密、(4)解签密。本发明的方法是在标准模型下构造的，与随机预言模型下设计的方案相比，安全性更好。

Description

基于身份的门限环签密方法

技术领域

本发明涉及一种环签密方法，尤其是一种基于身份的门限环签密方法。 

背景技术

在传统公钥密码体制中，一个重要的问题是公钥的真实性。一般来说，为了在现实世界中应用公钥密码算法，需要有一种机制能够随时验证某公钥与某主体身份之间的联系。通常采用的办法是建立公钥基础设施，通过其认证中心发布的公钥数字证书将公钥与用户的身份捆绑在一起。在这类基于公钥数字证书的***中，在使用用户的公钥之前，人们需要获取该用户的公钥数字证书并验证其证书的正确性和合法性。这就需要较大的存储空间来存储不同用户的公钥证书，也需要较多的时间开销来验证用户的公钥证书。这是传统的公钥密码体制难以克服的缺点。 

为了解决传统公钥密码体制中庞大的公钥证书存储和验证开销问题，1984年Shamir创造性地提出了基于身份的公钥密码学思想。在基于身份的公钥密码体制中，用户的公钥可以是能够标识用户身份的信息，如E-mail、身份证号码等，用户的私钥则由可信第三方根据用户的身份信息产生。基于身份的密码体制使得任意两个用户都可以安全通信，用户的公钥和用户身份自然地绑定在一起，不需要公钥证书，也不必使用在线的第三方，只需一个可信的密钥发行中心为每个第一次接入***的用户发行一个私钥就行。它解决了传统公钥密码学难以克服的缺点，并且由于其自身特点也使它拥有了广阔的应用领域。 

由于基于身份密码学的优势，推出了不少基于身份的密码体制，基于身份 的签密体制就是其中之一。同时，签密体制还可以和一些具有特殊性质的密码技术相结合，构造具有特殊性质的签密体制，如将环签密方案和秘密分享方案相结合，从而得到基于身份的门限环签密。 

双线性对是研究代数几何的重要工具，也是构造基于身份的密码体制的重要工具，在密码学领域扮演着非常重要的角色。 

另外，对于基于身份的公钥密码***而言，目前比较好用的证明方法是随机预言机模型。然而对于基于随机预言模型的安全性证明，需要假设在公钥密码体制中使用的密码杂凑函数具有随机预言机的安全性质，可是随机预言模型下的安全密码方案在实际环境中不一定是安全的，而基于标准模型的安全性证明，其唯一依赖于公钥密码体制所包含陷门单向函数的困难性。因此，构造标准模型下基于身份的门限环签密方案既具有较高的安全性同时也具有现实意义，是亟待解决的问题。 

有鉴于此，特提出本发明。 

发明内容

本发明要解决的技术问题在于克服现有技术的不足，提供一种与随机预言模型下设计的方案更具安全性的基于身份的门限环签密方法。 

为解决上述技术问题，本发明采用技术方案的基本构思是： 

一种基于身份的门限环签密方法，其特征在于：包括以下步骤： 

(1)***建立：随机选取参数，生成***参数以及相应的主密钥，其中***参数为公开参数，具体步骤为： 

令G，G_T是阶为素数p的循环群，e：G×G→G_T是一个双线性映射，两个无碰撞的哈希函数 

和 

将任意长度的身份ID和消息m分 别输出长度为n_u和n_m的位串； 

可信第三方随机选取参数α∈Z_p，生成元g∈G，计算g₁＝g^a。随机选取参数g₂，u′，m′∈G，n_u维向量 

n_m维向量 

其中u_i，m_i∈_RG，则***参数为 $\mathrm{param}=(G,G_T,e,g,g_1,g_2,u^{\′},\hat{U},m^{\′},\hat{M},H_u,H_m),$ 主密钥为 

(2)私钥提取：输入***参数、主密钥和用户的身份，获得该用户身份的私钥，具体步骤为： 

给定用户身份ID，通过哈希函数u＝H_u(ID)计算得到代表用户身份的长度为n_u的位串，令u[i]表示该位串中的第i位，定义位串中数值为1的序号集合Φ_ID； 

随机选取参数r_u∈Z_p，计算用户身份为ID的私钥 

$d_{\mathrm{ID}}=(d_1,d_2)=(g_2^{\mathrm{\α}}{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_{\mathrm{ID}}}{\mathrm{\Π}}{u}_i\right)}^{r_u},g^{r_u}).$

(3)签密：给定门限环签密中n个成员的集合L＝{ID₁，...，ID_n}，实际进行签密的t个签密者的身份下标为{1，2，...，t}，待签密消息m，签密接收者的身份ID_R，签密的具体步骤为： 

各签密者ID_i(i＝1，...，t)随机选择其子秘密s_i∈Z_p，构造系数在Z_p的t-1次多项式f_i(x)＝a_i，0+a_i，1x+…+a_i，t-1x_t-1，其中s_i＝a_i，0；然后签密者ID_i计算公开参数 

并向其它签密者广播； 

计算其它各签密者ID_j(j≠i)的秘密分享s_i，j＝f_i(j)，并将它们发送给其它签密者ID_j(j＝1，2，..，t；j≠i)，自己保留s_i，i＝f_i(i)； 

其他各签密者ID_j(j＝1，2，..，t；j≠i)从第i个签密者ID_i得到秘密分享s_i，j后，用如下等式验证其有效性： 

当确认秘密分享有效后，各签密者ID_i根据秘密分享计算其私有秘密为 

根据环成员身份列表L＝{ID₁，...，ID_n}、t个签密者、待签密消息m以及t个签密 者的私钥，环签密接收者身份ID_R，获得在待签密消息m下的(t，n)门限环签密C，(t，n)表示门限环签密中成员总数为n，t是门限值，实际参与生成门限环签密的成员数≥t，具体步骤为： 

令m∈GT为待签密消息，该门限环签密者随机选取l₁，...，l_n∈Z_p，计算  $U_i=u^{\′}\underset{j\∈{\mathrm{\Φ}}_{{\mathrm{ID}}_i}}{\mathrm{\Π}}{\hat{u}}_j,$ i＝1，...，n， $R_1={\mathrm{\σ}}_{16}{g}^{l_1},...,R_t={\mathrm{\σ}}_{t6}{g}^{l_t},$ $R_{t+1}=g^{l_{t+1}},...,R_n=g^{l_n}.$ 令 ${\mathrm{\σ}}_1={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i1}\·m,$ ${\mathrm{\σ}}_2={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i2},$ ${\mathrm{\σ}}_3={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i3},$ ${\mathrm{\σ}}_4={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i4}\·\underset{i=1}{\overset{n}{\mathrm{\Π}}}{\left(U_i\right)}^{l_i},$ ${\mathrm{\σ}}_5={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i5},$ 则生成的门限环签密为C＝(σ₁，...σ₅，R₁，...R_n)。 

(4)解签密：根据门限环签密和环签密接收者ID_R的私钥计算得到消息，将得到的消息带到公式 $e{(\mathrm{\σ}}_4,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)...e(U_n,R_n)e(m^{\′}\underset{i\∈M}{\mathrm{\Π}}{m}_i,{\mathrm{\σ}}_5)$ 中，当且仅当等式成立时，门限环签密有效，所得消息正确，否则所得门限环签密无效，所得消息错误，返回步骤(1)。 

优选的，所述步骤(3)签密中获得私有秘密后进行下列步骤获得门限环签密：： 

对于i∈{1，2，...，t}，设每个签密者ID_i的私钥为(d_i1，d_i2)，计算M＝H_m(L，m)，令 

为消息m的位串中M[k]＝1的序号k的集合，随机选取r_i∈Z_p，计算部分门限环签密 ${\mathrm{\σ}}_{i1}=e{(g_1,g_2)}^{r_i},$ ${\mathrm{\σ}}_{i2}=g^{r_i},$ ${\mathrm{\σ}}_{i3}={\left(u^{\′}\underset{j\∈{\mathrm{\Φ}}_{{\mathrm{ID}}_R}}{\mathrm{\Π}}{\hat{u}}_J\right)}^{r_i},$ ${\mathrm{\σ}}_{i4}=d_{i1}{\left(m^{\′}\underset{i\∈M}{\mathrm{\Π}}{\hat{m}}_i\right)}^{x_i{\mathrm{\η}}_i},$ ${\mathrm{\σ}}_{i5}=g^{x_i{\mathrm{\η}}_i},$ σ_i6＝d_i2，并把(σ_i1，σ_i2，σ_i3，σ_i4，σ_i5，σ_i6)发送给t个签密者中任一用以产生门限环签密的签密者，其中 

为拉格朗日系数。 

优选的，所述的解签密的具体步骤如下： 

当收到门限环签密后，门限环签密接收者利用其私钥首先计算出待签密消息m，m＝σ₁·e(d_R2，σ₃)·e(d_R1，σ₂)^-1，然后通过哈希函数计算得到待签密消 息的长度为n_m的位串，定义位串中数值为1的序号集合M； 

将消息代入式 $e{(\mathrm{\σ}}_4,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)...e(U_n,R_n)e(m^{\′}\underset{i\∈M}{\mathrm{\Π}}{m}_i,{\mathrm{\σ}}_5)$ 中，当且仅当等式成立时，门限环签密有效，所得消息正确，否则所得门限环签密无效，所得消息错误。 

采用上述技术方案后，本发明与现有技术相比具有以下有益效果：本发明的方法是在标准模型下构造的，与随机预言模型下设计的方案相比，安全性更好。 

下面结合附图对本发明的具体实施方式作进一步详细的描述。 

附图说明

图1是本发明的基本流程图； 

图2是从对门限签密算法的攻击到求解DBDH问题的规约； 

图3是从伪造门限签密到求解CDH问题的规约。 

具体实施方式

如图1所示，一种基于身份的门限环签密方法，包括以下步骤： 

S1、***建立：随机选取参数，生成***参数以及相应的主密钥，其中***参数为公开参数，具体步骤为： 

令G，G_T是阶为素数p的循环群，e：G×G→G_T是一个双线性映射，两个无碰撞的哈希函数 和 

将任意长度的身份ID和消息m分别输出长度为n_u和n_m的位串； 

可信第三方随机选取参数α∈Z_p，生成元g∈G，计算g₁＝g^a。随机选取参数 g₂，u′，m′∈G，n_u维向量 

n_m维向量 

其中u_i，m_i∈_RG，则***参数为 $\mathrm{param}=(G,G_T,e,g,g_1,g_2,u^{\′},\hat{U},m^{\′},\hat{M},H_u,H_m),$ 主密钥为 

S2、私钥提取：输入***参数、主密钥和用户的身份，获得该用户身份的私钥，具体步骤为： 

给定用户身份ID，通过哈希函数u＝H_u(ID)计算得到代表用户身份的长度为n_u的位串，令u[i]表示该位串中的第i位，定义位串中数值为1的序号集合Φ_ID； 

随机选取参数r_u∈Z_p，计算用户身份为ID的私钥 

$d_{\mathrm{ID}}=(d_1,d_2)=(g_2^{\mathrm{\α}}{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_{\mathrm{ID}}}{\mathrm{\Π}}{u}_i\right)}^{r_u},g^{r_u});$

这里在计算私钥时用到了序号集合Φ_ID，对于公式中的d₁即 

这里的 

是n_u维向量，u_i就是集合Φ_ID中相应序号在 

中所对应的元素。 

S3、签密：给定门限环签密中n个成员的集合L＝{ID₁，...，ID_n}，实际进行签密的t个签密者的身份下标为{1，2，...，t}，待签密消息m，签密接收者的身份ID_R，签密的具体步骤为： 

各签密者ID_i(i＝1，...，t)随机选择其子秘密s_i∈Z_p，构造系数在Z_p的t-1次多项式f_i(x)＝a_i，0+a_i，1x+…+a_i，t-1x^t-1，其中s_i＝a_i，0；然后签密者ID_i计算公开参数 

并向其它签密者广播；( 

表示整数模p的剩余类群，这是密码学中通用的表示形式) 

计算其它各签密者ID_j(j≠i)的秘密分享s_i，j＝f_i(j)，并将它们发送给其它签密者ID_j(j＝1，2，..，t；j≠i)，自己保留s_i，i＝f_i(i)； 

签密者ID_j(j＝1，2，..，t；j≠i)从签密者ID_i得到秘密分享s_i，j后，用如下等式验证其有效性： 当确认秘密分享有效后，各签密者ID_i根据秘密分享计算 其私有秘密为 

各签密者ID_i是所有接收到秘密分享的签密者。举个例子，假设这里有t个签密者，不妨设它们的编号是1，...，t。现在签密者1要向剩余的签密者计算秘密分享，同样的道理，剩余的每一个签密者也要向除它以外的t-1个签密者计算秘密分享，因此，这里的各签密者就是这里的t个签密者。 

根据环成员身份列表L＝{ID₁，...，ID_n}、t个签密者、待签密消息m以及t个签密者的私钥，环签密接收者身份ID_R，获得在待签密消息m下的(t，n)门限环签密C，(t，n)为门限环签密中成员总数为n，t是门限值，实际参与生成门限环签密的成员数≥t，在表示门限的时候均采用这种表示形式。具体步骤为： 

令m∈G_T为待签密消息，该门限环签密者随机选取l₁，...，l_n∈Z_p，计算  $U_i=u^{\′}\underset{j\∈{\mathrm{\Φ}}_{{\mathrm{ID}}_i}}{\mathrm{\Π}}{\hat{u}}_j,$ i＝1，...，n， $R_1={\mathrm{\σ}}_{16}{g}^{l_1},...,R_t={\mathrm{\σ}}_{t6}{g}^{l_t},$ $R_{t+1}=g^{l_{t+1}},...,R_n=g^{l_n}.$ 令 ${\mathrm{\σ}}_1={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i1}\·m,$ ${\mathrm{\σ}}_2={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i2},$ ${\mathrm{\σ}}_3={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i3},$ ${\mathrm{\σ}}_4={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i4}\·\underset{i=1}{\overset{n}{\mathrm{\Π}}}{\left(U_i\right)}^{l_i},$ ${\mathrm{\σ}}_5={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i5},$ 则生成的门限环签密为C＝(σ₁，...σ₅，R₁，...R_n)； 

S4、解签密：根据门限环签密和环签密接收者ID_R的私钥计算得到消息，将得到的消息带到公式 $e{(\mathrm{\σ}}_4,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)...e(U_n,R_n)e(m^{\′}\underset{i\∈M}{\mathrm{\Π}}{m}_i,{\mathrm{\σ}}_5)$ 中，当且仅当等式成立时，门限环签密有效，所得消息正确，否则所得门限环签密无效，所得消息错误。 

优选的，所述步骤S3签密中获得私有秘密后进行下列步骤获得门限环签密： 

对于i∈{1，2，...，t}，设每个签密者ID_i的私钥为(d_i1，d_i2)，计算M＝H_m(L，m)，令 

为消息m的位串中M[k]＝1的序号k的集合，随机选取r_i∈Z_p，计算部 分门限环签密 ${\mathrm{\σ}}_{i1}=e{(g_1,g_2)}^{r_i},$ ${\mathrm{\σ}}_{i2}=g^{r_i},$ ${\mathrm{\σ}}_{i3}={\left(u^{\′}\underset{j\∈{\mathrm{\Φ}}_{{\mathrm{ID}}_R}}{\mathrm{\Π}}{\hat{u}}_J\right)}^{r_i},$ ${\mathrm{\σ}}_{i4}=d_{i1}{\left(m^{\′}\underset{i\∈M}{\mathrm{\Π}}{\hat{m}}_i\right)}^{x_i{\mathrm{\η}}_i},$ ${\mathrm{\σ}}_{i5}=g^{x_i{\mathrm{\η}}_i},$ σ_i6＝d_i2，并把(σ_i1，σ_i2，σ_i3，σ_i4，σ_i5，σ_i6)发送给t个签密者中任一用以产生门限环签密的签密者，其中 

为拉格朗日系数。 

优选的，所述的解签密的具体步骤如下： 

当收到门限环签密后，门限环签密接收者利用其私钥首先计算出待签密消息m，m＝σ₁·e(d_R2，σ₃)·e(d_R1，σ₂)^-1，然后通过哈希函数计算得到待签密消息的长度为n_m的位串，定义位串中数值为1的序号集合M； 

将消息代入式 $e{(\mathrm{\σ}}_4,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)...e(U_n,R_n)e(m^{\′}\underset{i\∈M}{\mathrm{\Π}}{m}_i,{\mathrm{\σ}}_5)$ 中，当且仅当等式成立时，门限环签密有效，所得消息正确，否则所得门限环签密无效，所得消息错误。 

这里在进行验证时用到了M，对于 

这里的 

是n_m维向量，m_i就是集合M中相应序号在 

中所对应的元素。 

本发明的不可区分性安全性证明如图2所示，具体实施步骤为： 

1.假设敌手A能以不可忽略的优势攻击本方案，则能够构造算法B，B可以利用A解决DBDH问题。给定B一个DBDH问题的实例(g，g^a，g^b，g^c，h)，其的目标是判断是否h＝e(g，g)^abc，B模仿A的挑战者。 

2.算法B设定l_u＝2(q_e+q_s)、l_m＝2q_s，其中q_e是A私钥询问的次数，q_s是A签密询问的次数。随机选择k_u和k_m，满足0≤k_u≤n_u和0≤k_m≤n_m，并假定l_u(n_u+1)＜p和l_m(n_m+1)＜p。B选择 及长度为n_u的向量X＝(x_i)，其中 

选择 

及长度为n_m的向量Z＝(z_k)，其中 

最后B选择y′，w′∈_RZ_p，长度为n_u的向量Y＝(y_i)，长度为n_m的向量W＝(w_i)，其中y_i，w_i∈_RZ_p。对于L中的成员身份ID和消息m的位串u＝H_u(ID)和M＝H_m(L，m)，定义以下几个函数： 

$F\left(\mathrm{ID}\right)=x^{\′}+\underset{i\∈\mathrm{\Φ}}{\mathrm{\Σ}}{x}_i-l_u{k}_u,$ $J\left(\mathrm{ID}\right)=y^{\′}+\underset{i\∈\mathrm{\Φ}}{\mathrm{\Σ}}{y}_i$

$K\left(M\right)=z^{\′}+\underset{i\∈M}{\mathrm{\Σ}}{z}_i-l_m{k}_m,$ $L\left(M\right)=w^{\′}+\underset{i\∈M}{\mathrm{\Σ}}{w}_i$

算法B构造本发明方案中的公开参数如下： 

g₁＝g_a，g₂＝g_b； $u^{\′}=g_2^{{-l}_u{k}_u+x^{\′}}{g}^{y^{\′}},$ $u_i=g_2^{x_i}{g}^{y_i},$ 1≤i ≤n_u； $m^{\′}=g_2^{{-l}_m{k}_m+z^{\′}}{g}^{w^{\′}},$ $m_i=g_2^{z_i}{g}^{w_i},$ 1≤i≤n_u；然后算法B将公开参数发送给敌手A。 

3.在第一阶段，当敌手A发起一定数量的询问时，算法B进行如下响应： 

(1)私钥询问：当敌手A询问身份ID的私钥时，虽然算法B不知道主密钥，但假定F(ID)≠0mod p，B也能够构造其私钥d_ID。B任选r_u∈Z_p并计算： 

$d_{{\mathrm{ID}}_u}=(d_{u1},d_{u2})=(g_1^{-J\left(\mathrm{ID}\right)/F\left(\mathrm{ID}\right)}{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_u}{\mathrm{\Π}}{u}_i\right)}^{r_u},g_1^{-1/F\left(\mathrm{ID}\right)}{g}^{r_u}),$ 如果F(ID)＝0mod p，上面的计算将无法进行，B将失败退出。 

(2)签密询问：当敌手A询问环成员身份为L＝{ID₁，...，ID_n}，门限值为t(t＜n)，消息为m，实际签密者为ID_i(i＝1，...t)以及环签密接收者为ID_R的门限环签密时，算法B首先计算M＝H_m(L，m)，然后按照如下步骤输出门限环签密： 

①算法B随机选择s，a₀，a₁，...，a_t-1∈Z_p，构造次数为t-1的多项式f(x)＝a₀+a₁x+…+a_t-1x^t-1，其中s＝a₀。 

②假定对于实际签密者ID_i(i＝1，...t)，满足F(ID_i)≠0mod p，则算法B按照私钥询问中的方法构造它们的私钥，计算各签密者ID_i(i＝1，...t)的私有秘密x_i＝f(i)，然后利用签密算法生成相应的门限环签密C。 

③如果条件F(ID_i)≠0mod p，i＝1，...t不成立，那么算法B也可以像在私钥询问中构造私钥的方法那样构造该门限环签密。假定K(M)≠0mod p，算法B随机选择r，r₁，...，r_n，r_m∈Z_p，计算： 

σ₁＝e(g₁，g₂)^r·m，σ₂＝g^r， 

$\mathrm{\σ}=\left(\underset{i=1}{\overset{n}{\mathrm{\Π}}}{\left(U_i\right)}^{r_i}\right)g_1^{-\mathrm{tL}\left(M\right)/K\left(M\right)}{\left(m^{\′}\underset{i\∈M}{\mathrm{\Π}}{m}_i\right)}^{r_m},$ ${\mathrm{\σ}}_5=g^{r_m},$ $R_1=g^{r_1},...,R_n=g^{r_n},$ 其中 

如果K(M)＝0mod p，上面的计算将无法进行，B将失败退出。 

(3)解签密询问：当敌手A发起在环成员列表L、环签密接收者身份为ID_R以及密文C下的解签密询问时，算法B首先运行私钥提取算法得到ID_R的私钥 

然后运行解签密算法，如果C是一个有效的密文，则输出m，否则，输出false。 

4.在挑战阶段，敌手A任取两个相同长度的消息m₀、m₁，并将环成员列表 

以及环签密接收者的身份 

发送给算法B。如果A在第一阶段询问了 

的私钥，则B将失败退出。B任选一位b∈{0，1}，如果K(M_b)≠0mod p， 

那么B将失败退出。如果L^*中不存在t个身份ID^*，满足F(ID^*)≠0mod p，那么B将失败退出；否则，为描述方便起见，不妨设这t个身份为 

B随机选取r，r₁，...，r_n，r_m∈Z_p，构造如下： 

${\mathrm{\σ}}_1^{*}=h\·m_b,$ ${\mathrm{\σ}}_2^{*}=g^c,$ ${\mathrm{\σ}}_3^{*}=g^{\mathrm{cJ}\left({\mathrm{ID}}_R^{*}\right)}={\left(u^{\′}\underset{j\∈{\mathrm{\Φ}}_{{\mathrm{ID}}_R^{*}}}{\mathrm{\Π}}{\hat{u}}_j\right)}^c,$

${\mathrm{\σ}}_4^{*}=\underset{i=1}{\overset{t}{\mathrm{\Π}}}{g}_1^{\frac{-J\left({\mathrm{ID}}_i^{*}\right)}{F\left({\mathrm{ID}}_i^{*}\right)}}{\left(g_2^{F\left({\mathrm{ID}}_i^{*}\right)}{g}^{J\left({\mathrm{ID}}_i^{*}\right)}\right)}^{r_i}\·\underset{i=t+1}{\overset{n}{\mathrm{\Π}}}{\left(g_2^{F\left({\mathrm{ID}}_i^{*}\right)}{g}^{J\left({\mathrm{ID}}_i^{*}\right)}\right)}^{r_i}\·g^{r_{m}L\left(M_b\right)},$ ${\mathrm{\σ}}_5^{*}=g^{r_m},$

$R_1^{*}=g^{{\tilde{r}}_1},...,R_t^{*}=g^{{\tilde{r}}_t},$ $R_{t+1}^{*}=g^{r_{t+1}},...,R_n^{*}=g^{r_n},$

其中 i＝1，...，t。如果h＝e(g，g)^abc，可知C^*是一个有效的门限环签密。 

5.在第二阶段，敌手A可以如同阶段1那样，发出一定数量的私钥询问、签密询问以及解密询问，但是A不能询问 

的私钥以及对C^*进行解签密询问。 

6.在猜测阶段，敌手A输出对b的猜测b′。如果b＝b′，则B输出1，将h＝e(g，g)^abc作为DBDH问题的解；否则，B输出0，终止游戏。 

因此，如果存在一个敌手能够以不可忽略的概率进行CCA2攻击，那么就存在一个有效的算法能够以不可忽略的概率解决DBDH问题，而这与DBDH是一个困难问题相矛盾，故方案是IND-IDTRSC-CCA2安全的。 

本发明的存在不可伪造性安全性证明如图3所示，具体实施步骤为： 

1.假设伪造者A能以不可忽略的优势攻击本方案，则能够构造算法B，B可以利用A解决CDH问题。给定B一个CDH问题的实例(g，g^a，g^b)，其目标是计算出g^ab，B模仿A的挑战者。 

2.算法B构造与前面证明中相同的***公开参数，然后将其发送给敌手A。 

3.敌手A可如同前面证明中那样，适应性地发起一定数量的私钥询问、签密询问以及解签密询问。 

4.在伪造阶段，敌手A输出在环成员列表 

门限值t、消息m^*以及环签密接收者身份为 

下的伪造门限环签密C^*。如果在整个过程中算法B没有失败退出，那么算法B检查下列条件是否成立： 

① 

对于所有的i∈(1，...，n)都成立； 

②K(M^*)＝0mod p，其中M^*＝H_m(L，m^*)。 

如果上述条件不同时成立，那么算法B将失败退出；否则，B可计算 

${\left(\frac{{\mathrm{\σ}}_4^{*}}{{R_1}^{J\left({\mathrm{ID}}_1^{*}\right)}...{R_n}^{J\left({\mathrm{ID}}_n^{*}\right)}{R_m}^{L\left(M^{*}\right)}}\right)}^{1/t}={\left(\frac{g_2^{\mathrm{ta}}{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_{{\mathrm{ID}}_i^{*}}}{\mathrm{\Π}}{u}_i\right)}^{r_i}...{\left(u^{\′}\underset{i\∈{\mathrm{ID}}_n^{*}}{\mathrm{\Π}}{u}_i\right)}^{r_i}{\left(m^{\′}\underset{k\∈M}{\mathrm{\Π}}{m}_j\right)}^{r_m}}{g^{J\left({\mathrm{ID}}_1^{*}\right)r_1}...g^{J\left({\mathrm{ID}}_n^{*}\right)r_n}{g}^{L\left(M^{*}\right)r_m}}\right)}^{1/t}={\left(g_2^{\mathrm{ta}}\right)}^{1/t}=g_2^a=g^{\mathrm{ab}}$

这就是CDH问题的解。 

因此，如果存在一个敌手能够以不可忽略的概率伪造一个有效的门限环签 密，那么就存在一个算法能够以不可忽略的概率解决CDH问题，而这与CDH问题是一个困难问题相矛盾，故方案是EUF-IDTRSC-CMIA安全的。 

综上所述，依照本发明实现了在标准模型下构造基于身份门限环签密方案的新途径和新方法，并且通过具体的方案安全性证明表明了方案的安全可靠性，该方法的实现不仅具有理论意义，同时也具有现实意义。 

由上可见，本发明是在标准模型下构造的，该方法通过实验证明具有不可区分性和不可伪造性，因此本方法相对于在随机预言模型下设计的方案而言，具有更好的安全性。 

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。 

Claims (3)

1.一种基于身份的门限环签密方法，其特征在于：包括以下步骤：

(1)***建立：随机选取参数，生成***参数以及相应的主密钥，其中***参数为公开参数，具体步骤为：

令G，G_T是阶为素数p的循环群，e：G×G→G_T是一个双线性映射，两个无碰撞的哈希函数

和

将任意长度的身份ID和消息m分别输出长度为n_u和n_m的位串；

可信第三方随机选取参数α∈Z_p，生成元g∈G，计算g₁＝g^a。随机选取参数g₂，u′，m′∈G，n_u维向量n_m维向量

其中u_i，m_i∈_RG，则***参数为 $\mathrm{param}=(G,G_T,e,g,g_1,g_2,u^{\′},\hat{U},m^{\′},\hat{M},H_u,H_m),$ 主密钥为

(2)私钥提取：输入***参数、主密钥和用户的身份，获得该用户身份的私钥，具体步骤为：

给定用户身份ID，通过哈希函数u＝H_u(ID)计算得到代表用户身份的长度为n_u的位串，令u[i]表示该位串中的第i位，定义位串中数值为1的序号集合Φ_ID；

随机选取参数r_u∈Z_p，计算用户身份为ID的私钥

$d_{\mathrm{ID}}=(d_1,d_2)=(g_2^{\mathrm{\α}}{\left(u^{\′}\underset{i\∈{\mathrm{\Φ}}_{\mathrm{ID}}}{\mathrm{\Π}}{u}_i\right)}^{r_u},g^{r_u}).$

(3)签密：给定门限环签密中n个成员的集合L＝{ID₁，...，ID_n}，实际进行签密的t个签密者的身份下标为{1，2，...，t}，待签密消息m，签密接收者的身份ID_R，签密的具体步骤为：

各签密者ID_i(i＝1，...，t)随机选择其子秘密s_i∈Z_p，构造系数在Z_p的t-1次多项式f_i(x)＝a_i，0+a_i，1x+…+a_i，t-1x_t-1，其中s_i＝a_i，0；然后签密者ID_i计算公开参数

并向其它签密者广播；

计算其它各签密者ID_i(j≠i)的秘密分享s_i，j＝f_i(j)，并将它们发送给其它签密者ID_j(j＝1，2，..，t；j≠i)，自己保留s_i，i＝f_i(i)；

其他各签密者ID_j(j＝1，2，..，t；j≠i)从第i个签密者ID_i得到秘密分享s_i，j后，用如下等式验证其有效性：当确认秘密分享有效后，各签密者ID_i根据秘密分享计算其私有秘密为

根据环成员身份列表L＝{ID₁，...，ID_n}、t个签密者、待签密消息m以及t个签密者的私钥，环签密接收者身份ID_R，获得在待签密消息m下的(t，n)门限环签密C，(t，n)表示门限环签密中成员总数为n，t是门限值，实际参与生成门限环签密的成员数≥t，具体步骤为：

令m∈G_T为待签密消息，该门限环签密者随机选取l₁，...，l_n∈Z_p，计算 $U_i=u^{\′}\underset{j\∈{\mathrm{\Φ}}_{{\mathrm{ID}}_i}}{\mathrm{\Π}}{\hat{u}}_j,$ i＝1，...，n， $R_1={\mathrm{\σ}}_{16}{g}^{l_1},...,R_t={\mathrm{\σ}}_{t6}{g}^{l_t},$ $R_{t+1}=g^{l_{t+1}},...,R_n=g^{l_n}.$ 令 ${\mathrm{\σ}}_1={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i1}\·m,$ ${\mathrm{\σ}}_2={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i2},$ ${\mathrm{\σ}}_3={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i3},$ ${\mathrm{\σ}}_4={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i4}\·\underset{i=1}{\overset{n}{\mathrm{\Π}}}{\left(U_i\right)}^{l_i},$ ${\mathrm{\σ}}_5={\mathrm{\Π}}_{i=1}^t{\mathrm{\σ}}_{i5},$ 则生成的门限环签密为C＝(σ₁，...σ₅，R₁，...R_n)。

(4)解签密：根据门限环签密和环签密接收者ID_R的私钥计算得到消息，将得到的消息带到公式 $e{(\mathrm{\σ}}_4,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)...e(U_n,R_n)e(m^{\′}\underset{i\∈M}{\mathrm{\Π}}{m}_i,{\mathrm{\σ}}_5)$ 中，当且仅当等式成立时，门限环签密有效，所得消息正确，否则所得门限环签密无效，所得消息错误，返回步骤(1)。

2.根据权利要求1所述的基于身份的门限环签密方法，其特征在于：所述步骤(3)签密中获得私有秘密后进行下列步骤获得门限环签密：：

对于i∈{1，2，...，t}，设每个签密者ID_i的私钥为(d_i1，d_i2)，计算M＝H_m(L，m)，令

为消息m的位串中M[k]＝1的序号k的集合，随机选取r_i∈Z_p，计算部分门限环签密 ${\mathrm{\σ}}_{i1}=e{(g_1,g_2)}^{r_i},$ ${\mathrm{\σ}}_{i2}=g^{r_i},$ ${\mathrm{\σ}}_{i3}={\left(u^{\′}\underset{j\∈{\mathrm{\Φ}}_{{\mathrm{ID}}_R}}{\mathrm{\Π}}{\hat{u}}_J\right)}^{r_i},$ ${\mathrm{\σ}}_{i4}=d_{i1}{\left(m^{\′}\underset{i\∈M}{\mathrm{\Π}}{\hat{m}}_i\right)}^{x_i{\mathrm{\η}}_i},$ ${\mathrm{\σ}}_{i5}=g^{x_i{\mathrm{\η}}_i},$ σ_i6＝d_i2，并把(σ_i1，σ_i2，σ_i3，σ_i4，σ_i5，σ_i6)发送给t个签密者中任一用以产生门限环签密的签密者，其中为拉格朗日系数。

3.根据权利要求1或2或3所述的基于身份的门限环签密方法，其特征在于：所述的解签密的具体步骤如下：

当收到门限环签密后，门限环签密接收者利用其私钥首先计算出待签密消息m，m＝σ₁·e(d_R2，σ₃)·e(d_R1，σ₂)^-1，然后通过哈希函数计算得到待签密消息的长度为n_m的位串，定义位串中数值为1的序号集合M；

将消息代入式 $e{(\mathrm{\σ}}_4,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)...e(U_n,R_n)e(m^{\′}\underset{i\∈M}{\mathrm{\Π}}{m}_i,{\mathrm{\σ}}_5)$ 中，当且仅当等式成立时，门限环签密有效，所得消息正确，否则所得门限环签密无效，所得消息错误。

Images