CN102811125B - 基于多变量密码体制的无证书多接收者签密方法 - Google Patents

Abstract

本发明公开了一种基于多变量密码体制的无证书多接收者签密方法，用于解决现有的无证书签密方法安全性差的技术问题。技术方案是首先由密钥生成中心生成***参数，再选择安全的多变量加密算法生成部分密钥；用户U获取密钥生成中心的***部分私钥生成用户密钥，身份为ID_A的用户Alice将签密消息m发送给用户组L={ID₁，ID₂，...，ID_t}，通过解签密接受或拒绝密文σ。由于采用基于多变量的密码体制，实现了抗量子计算的高安全性，面对量子计算机的攻击，本发明依然保持安全性；相对于背景技术，本发明方法计算量小、安全性高；另外，本发明具有完备性、机密性、不可伪造性、前向安全性、后向安全性、保护接收者隐私等特点，能够抗击现有的已知攻击。

Description

基于多变量密码体制的无证书多接收者签密方法

技术领域

本发明属于信息安全技术领域，涉及一种无证书多接收者签密方法，特别是涉及一种基于多变量密码体制的无证书多接收者签密方法。

背景技术

在广播通信应用中，保密和认证是最重要的两个问题，通常使用“先签名后加密”的方法对信息进行处理，但该方法所需要的代价是签名和加密所需的代价之和，效率较低。签密是一种同时实现加密和数字签名两项功能的重要密码学技术，集加密和数字签名于一体。签密提高了通信效率，降低了运算负担，是一种较为理想的数据信息安全传输方法。

文献“Selvi S S D,Vivek S S,Rangan C P.Cryptanalysis of Certicateless SigncryptionSchemes and an Efficient Construction without Pairing,Inscrypt2009,LNCE,Vol.6151,Spinger,pp：52-67,2010.”公开了一种无证书签密方法。该方法选用无证书密码体制，是传统公钥密码体制和基于身份的密码体制间的折中方案，既克服了传统密码体制CA（Certificate Authority）对证书管理的问题，又解决了基于身份密码体制固有的密钥托管问题，在电子商务，广播通信中得到广泛应用。使用有限域上的离散对数问题取代了椭圆曲线上的离散对数问题，因此，该方案不需要复杂的双线性对运算，进一步提高了计算效率。然而，随着量子计算机的发展，利用量子计算机可以在多项式时间内解决因式分解、离散对数等数学问题，进而威胁依赖上述数学问题的传统公钥密码的安全性。现有的几乎所有的无证书签密方案都是基于传统密码体制的，面对量子计算机的出现，现有的无证书签密体制在量子计算下将不再安全。因此，文献公开的方法存在以下缺陷：（1）在量子计算机攻击下，该方案将不在安全，攻击者通过求解离散对数问题，直接对密文进行分析，可以获取明文消息；（2）在以大素数为阶的有限域上的运算，计算量依旧较大，不适用于计算能力小的终端设备；（3）实现多接收者环境下的签密效率较低。

发明内容

为了克服现有的无证书签密方法安全性差的不足，本发明提供一种基于多变量密码体制的无证书多接收者签密方法。该方法采用基于多变量的密码体制，可以实现抗量子计算的高安全性，面对量子计算机的攻击，本发明依然保持安全性；且计算量小、效率高、安全性高，适用于智能卡等计算能力较小的终端设备；另外，本发明具有完备性、机密性、不可伪造性、前向安全性、后向安全性、保护接收者隐私等特点，能够抗击现有的已知攻击。

本发明解决其技术问题所采用的技术方案是：一种基于多变量密码体制的无证书多接收者签密方法，其特点是包括以下步骤：

步骤一、密钥生成中心选择秘密正整数参数s，产生大素数p和正整数l；

选择阶为q的有限域G，其中q=p^l；

令Gⁿ是有限域G的n次扩张；

令正整数g为多变量方程组中方程的个数；

选择H₁:G×G×Gⁿ→Gⁿ，H₂:G→Gⁿ为密码学安全的抗碰撞单向不可逆哈希函数，生成***参数{G,l,g,n,q,p,H₁,H₂}；

步骤二、密钥生成中心选择安全的多变量加密算法，其核心变换F为Gⁿ→Gⁿ上的可逆二次变换，并在Gⁿ→Gⁿ上随机选择两个可逆的仿射变换T和V，生成密钥生成中心的***公钥（ο表示映射合成运算），***私钥

密钥生成中心在Gⁿ→Gⁿ上随机选择两个可逆的仿射变换T₀和V₀，计算则***部分公钥为***部分私钥为最后，密钥生成中心通过秘密信道将***部分私钥传递给合法用户，密钥生成中心公开自己的***公钥。当有用户退出时，密钥生成中心需重新生成***部分公钥和***部分私钥；增加新用户则不需重新生成***部分公钥和***部分私钥。

步骤三、用户U获取密钥生成中心的***部分私钥，然后计算***部分私钥，随机选择Gⁿ→Gⁿ上的仿射变换T_u和V_u，合成自己的私钥并计算自己的公钥生成用户U的公钥为F_u，用户U的私钥为

用户U将自己的公钥F_u传递给密钥生成中心，并且秘密保存自己的私钥

步骤四、身份为ID_A的用户Alice将签密消息m∈G发送给用户组L={ID₁,ID₂，...,ID_t}，首先通过向密钥生成中心查询得到用户组L的公钥信息，然后进行如下计算。

选择随机数r∈Gⁿ,r₁∈G^n-1，将消息m和r₁链接得到M＝m||r₁,并依次计算 $X=E(\stackrel{\‾}{F},r),$ Y＝H₁(m,ID_A,X)， $S=D(F_A^{-1},Y);$

对于ID_i，i=1,2，...,t，计算q_i＝H₂(ID_i)，

对于用户组L，将L和r₁链接得到L₁=L||r₁，计算

最后生成密文σ＝{S,W₁,W₂,...,W_t,L′}。

步骤五、

用户ID_i,i=1,2，...,t，收到密文σ后，进行如下计算。

获取身份列表，L₁的第一维元素即用户组身份列表L，提取ID_i对应的密文信息{S,W_i}；

依次计算Y′＝E(F_A,S)，q_i＝H₂(ID_i)， M′的第一维元素即消息m′；

验证等式Y′＝H₁(m′,ID_A,X′)是否成立；若等式成立，则接受密文σ；否则拒绝密文σ，并输出⊥。

本发明的有益效果是：由于采用基于多变量的密码体制，实现了抗量子计算的高安全性，面对量子计算机的攻击，本发明依然保持安全性；相对于背景技术，本发明方法计算量小、效率高、安全性高，适用于智能卡等计算能力较小的终端设备；另外，本发明具有完备性、机密性、不可伪造性、前向安全性、后向安全性、保护接收者隐私等特点，能够抗击现有的已知攻击。

下面通过实施例对本发明作详细说明。

具体实施方式

实施例中变量及运算的符号说明。

本实例针对实际广播通信环境，实施基于多变量无证书多接收者签密的方法，该方法按照以下步骤实施：

步骤1.生成***参数。

1）密钥生成中心Key Generator Center（以下简称KGC）选择秘密正整数参数s，KGC产生大素数p和正整数l；

2）选择阶为q的有限域G，其中q=p^l；

3）令Gⁿ是有限域G的n次扩张；

4）令正整数g为多变量方程组中方程的个数；

5）选择H₁:G×G×Gⁿ→Gⁿ，H₂:G→Gⁿ为密码学安全的抗碰撞单向不可逆哈希函数。***参数为{G,l,g,n,q,p,H₁,H₂}。

步骤2.部分密钥生成。

1）KGC选择安全的多变量加密算法MES，其核心变换F为Gⁿ→Gⁿ上的可逆二次变换，并在Gⁿ→Gⁿ上随机选择两个可逆的仿射变换T和V，则KGC的***公钥为***私钥为

2）KGC在Gⁿ→Gⁿ上随机选择两个可逆的仿射变换T₀和V₀，计算则***部分公钥为***部分私钥为最后，KGC通过秘密信道将***部分私钥传递给合法用户，KGC公开自己的***公钥。注意：当有用户退出时，KGC需重新生成***部分公钥和***部分私钥；增加新用户则不需重新生成***部分公钥和***部分私钥。

步骤3.用户密钥生成。

1）用户U获取KGC的***部分私钥，然后计算***部分公钥，随机选择Gⁿ→Gⁿ上的仿射变换T_u和V_u，合成自己的私钥并计算自己的公钥用户U的公钥为F_u，用户U的私钥为

2）用户U将公钥F_u传递给KGC，并且秘密保存自己的私钥

步骤4.签密。

身份为ID_A的用户Alice，将签密消息m∈G发送给用户组L={ID₁,ID₂,…,ID_t}，首先通过向KGC查询得到用户组L的公钥信息，然后进行如下计算。

1）选择随机数r∈Gⁿ,r₁∈G^n-1，链接消息m和r₁得到M＝m||r₁，并依次计算 $X=E(\stackrel{\‾}{F},r),$ Y＝H₁(m,ID_A,X)， $S=D(F_A^{-1},Y).$

2）对于ID_i，i=1,2，...,t，计算q_i＝H₂(ID_i)，

3）对于用户组L，链接用户组L和r₁得到L₁=L||r₁，计算

4）最后生成密文σ＝{S,W₁,W₂,...,W_t,L′}

步骤5.解签密。

身份为ID_B的用户Bob，ID_B∈L，收到密文σ后，进行如下计算。

1)获取身份列表，L₁的第一维元素即用户身份列表L，提取Bob对应的密文信息{S,W_B}。

2）依次计算Y′＝E(F_A,S)，q_B＝H₂(ID_B)， M′的第一维元素即消息m′；

3）验证等式Y′＝H₁(m′,ID_A,X′)是否成立。若等式成立，则接受密文σ；否则拒绝，并输出⊥。

Claims (1)

1.一种基于多变量密码体制的无证书多接收者签密方法，其特征在于包括以下步骤：

步骤一、密钥生成中心选择秘密正整数参数s，产生大素数p和正整数l；

选择阶为q的有限域G，其中q＝p^l；

令Gⁿ是有限域G的n次扩张；

令正整数g为多变量方程组中方程的个数；

选择H₁:G×G×Gⁿ→Gⁿ，H₂:G→Gⁿ为密码学安全的抗碰撞单向不可逆哈希函数，生成***参数{G,l,g,n,q,p,H₁,H₂}；

步骤二、密钥生成中心选择安全的多变量加密算法，其核心变换F为Gⁿ→Gⁿ上的可逆二次变换，并在Gⁿ→Gⁿ上随机选择两个可逆的仿射变换T和V，生成密钥生成中心的***公钥о表示映射合成运算；***私钥

密钥生成中心在Gⁿ→Gⁿ上随机选择两个可逆的仿射变换T₀和V₀，计算则***部分公钥为***部分私钥为最后，密钥生成中心通过秘密信道将***部分私钥传递给合法用户，密钥生成中心公开自己的***公钥；当有用户退出时，密钥生成中心需重新生成***部分公钥和***部分私钥；增加新用户则不需重新生成***部分公钥和***部分私钥；

步骤三、用户U获取密钥生成中心的***部分私钥，然后计算***部分私钥，随机选择Gⁿ→Gⁿ上的仿射变换T_u和V_u，合成自己的私钥并计算自己的公钥生成用户U的公钥为F_u，用户U的私钥为

用户U将自己的公钥F_u传递给密钥生成中心，并且秘密保存自己的私钥

步骤四、身份为ID_A的用户Alice将签密消息m∈G发送给用户组L＝{ID₁,ID₂,…,ID_t}，首先通过向密钥生成中心查询得到用户组L的公钥信息，然后进行如下计算；

选择随机数r∈Gⁿ,r₁∈G^n-1，将消息m和r₁链接得到M＝m||r₁,并依次计算 $X=E(\stackrel{\‾}{F},r),$ Y＝H₁(m,ID_A,X)， $S=D(F_A^{-1},Y);$

对于ID_i，i＝1,2,…,t，计算q_i＝H₂(ID_i)，W_i＝E(F_i,M||S||X)⊕(q_i||Y)；

对于用户组L，将L和r₁链接得到L₁＝L||r₁，计算

最后生成密文σ＝{S,W₁,W₂,...,W_t,L′}；

步骤五、用户ID_i,i＝1,2,…,t，收到密文σ后，进行如下计算；

获取身份列表，L₁的第一维元素即用户组身份列表L，提取ID_i对应的密文信息{S,W_i}；H₁、H₂均表示密码学安全的哈希函数；E(A,B)表示以A为密钥对B执行加密运算；D(A,B)表示以A为密钥对B执行解密运算；

依次计算Y′＝E(F_A,S)，q_i＝H₂(ID_i)，Z＝W_i⊕(q_i||Y′)，M′的第一维元素即消息M′；M′表示第i个用户利用私钥对Z解密得到的消息M；S′表示第i个用户利用私钥对Z解密得到的签名信息S；X′表示第i个用户利用私钥对Z解密得到的X；

验证等式Y′＝H₁(m′,ID_A,X′)是否成立；若等式成立，则接受密文σ；否则拒绝密文σ，并输出拒绝标识⊥。