CN106936593B - 基于椭圆曲线高效匿名的无证书多接收者签密方法 - Google Patents

Abstract

本发明公开了一种基于椭圆曲线高效匿名的无证书多接收者签密方法，用于解决现有无证书多接收者签密方法运算效率低的技术问题。技术方案是首先将私钥生成中心PKG生成的用户公钥和部分私钥发送给用户，用户收到后，计算自己的私钥，同时验证接收到的公钥和部分私钥是否成立，若成立，则继续，否则停止操作；接下来不仅将签密算法设计在椭圆曲线上，而且密文信息中不包括发送者和接收者的身份信息，最后广播密文消息，只有授权的接收者可以公平的解密验证密文消息。本发明虽然签密过程设计在椭圆曲线上，但是减少了椭圆曲线上的数乘运算，提高了计算效率。

Description

基于椭圆曲线高效匿名的无证书多接收者签密方法

技术领域

本发明涉及一种无证书多接收者签密方法，特别是涉及一种基于椭圆曲线高效匿名的无证书多接收者签密方法。

背景技术

文献“Anonymous and Provably Secure Certificateless MultireceiverEncryption without Bilinear Pairing，Security and communication networks,2015,8(13):2214-2231.”中提出了一种匿名安全的无双线性对的无证书多接收者加密方法。该方法利用拉格朗日多项式对接收者的身份信息进行隐藏，使得密文信息中不包括接收者和发送者的身份信息，但是无法确认消息的来源，不能保证消息的正确性；将加密算法设计在椭圆曲线上，但是椭圆曲线的数乘运算比较多，另外用户的公钥和私钥是由私钥生成中心PKG(Private Key Generator)和用户共同生成的，是成对出现的，导致在加密的过程中需要的参数比较多，运算效率过低。

发明内容

为了克服现有无证书多接收者签密方法运算效率低的不足，本发明提供一种基于椭圆曲线高效匿名的无证书多接收者签密方法。该方法首先将私钥生成中心PKG生成的用户公钥和部分私钥发送给用户，用户收到后，计算自己的私钥，同时验证接收到的公钥和部分私钥是否成立，若成立，则继续，否则停止操作；接下来不仅将签密算法设计在椭圆曲线上，而且密文信息中不包括发送者和接收者的身份信息，最后广播密文消息，只有授权的接收者可以公平的解密验证密文消息。本发明虽然签密过程设计在椭圆曲线上，但是减少了椭圆曲线上的数乘运算，提高了计算效率。

本发明解决其技术问题所采用的技术方案是：一种基于椭圆曲线高效匿名的无证书多接收者签密方法，其特点是包括以下步骤：

步骤一、私钥生成中心PKG选取大素数p，选择阶为大素数p的有限域F_p和安全的椭圆曲线E(F_p)以及加法循环群G_p，选取加法循环群G_p上的生成元P；

其中，F_p表示阶为大素数p的有限域，P表示加法循环群G_p上的生成元；

步骤二、私钥生成中心PKG选取***主密钥s∈Z_p ^*，计算P_pub＝sP作为***公钥，并将***主密钥s安全保存；

其中，∈表示限定域符号，Z_p ^*表示基于大素数p构成的非零乘法群，P_pub表示***公钥；

步骤三、私钥生成中心PKG构造5个抗碰撞的哈希函数，分别记为：其中λ₁＝|ID|； 其中λ₂＝|m|；

其中，H₀,H₁,H₂,H₃,H₄表示抗碰撞的哈希函数，A→B表示定义域A到值域B的映射，表示长为λ₁的0或1构成的串，λ₁＝|ID|表示用户的身份信息的长度，表示长为λ₂的0或1构成的串，λ₂＝|m|表示明文消息的长度，×表示笛卡尔乘积；

步骤四、私钥生成中心PKG选取安全的对称加密函数E_k(.)和对称解密函数D_k(.)；

其中，k表示对称密钥；

步骤五、私钥生成中心PKG公布阶为大素数p的有限域F_p，加法循环群G_p，加法循环群G_p上的生成元P，安全的椭圆曲线E(F_p)，5个抗碰撞的哈希函数H₀,H₁,H₂,H₃,H₄，对称加密函数E_k(.)，对称解密函数D_k(.)，***公钥P_pub，安全保存***主密钥s；

步骤六、用户注册步骤中的用户包括接收者和发送者，均需通过执行下列步骤获取自己的公钥和私钥；

步骤七、用户随机的选取一个整数v∈Z_p ^*作为秘密值；

其中，v表示用户随机选择的秘密值；

步骤八、按照下式，计算用户的验证份额V：

V＝vP

步骤九、用户将自己的验证份额V和自己的身份信息ID发送给私钥生成中心PKG；

步骤十、私钥生成中心PKG收到用户的验证份额V和用户的身份信息ID后，随机选取整数d∈Z_p ^*，按照下式计算用户的公钥PK：

PK＝H₀(ID,d)P+H₁(ID,V)V

其中，d表示私钥生成中心PKG随机选取的整数，H₀,H₁表示抗碰撞的哈希函数；

步骤十一、按照下式，私钥生成中心PKG计算用户的部分私钥T：

T＝H₀(ID,d)+s(mod p)

其中，H₀表示抗碰撞的哈希函数，mod表示求模操作；

步骤十二、私钥生成中心PKG将用户的部分私钥T和用户的公钥PK发送给用户，其中用户的部分私钥T通过安全信道发送给用户；

步骤十三、用户收到私钥生成中心PKG发送的用户的部分私钥T和用户的公钥PK，按照下式计算用户的私钥SK：

SK＝T+H₁(ID,V)v(mod p)

步骤十四、用户判断收到的公钥PK和部分私钥T是否满足如下等式，若是，则执行步骤十五，否则，则执行步骤十六：

v(PK+P_pub)＝V(T+H₁(ID,V)v)

其中，P_pub表示***公钥，V表示用户的验证份额，T表示用户的部分私钥，H₁表示抗碰撞的哈希函数，ID表示用户的身份信息；

步骤十五、用户将公钥PK发送给私钥生成中心PKG，并由私钥生成中心PKG对外公布用户的公钥PK，用户安全保存自己的私钥SK，之后退出用户注册过程；

步骤十六、用户向私钥生成中心PKG报错，并退出用户注册过程；

步骤十七、发送者S判断自己是否已经执行用户注册过程，若是，利用自己的公钥PK_S和私钥SK_S，执行步骤十八，否则，发送者S执行用户注册过程获取自己的公钥PK_S和私钥SK_S后，再执行步骤十八；

步骤十八、发送者S随机选取n个接收者L₁,L₂,...,L_n，其中，n表示大于0的整数；

步骤十九、按照下式，对每一个i＝1,2,…,n，发送者S计算第i个接收者L_i的伪公钥Q_i：

Q_i＝PK_i+P_pub

其中，Q_i表示第i个接收者L_i的伪公钥，n表示发送者S随机选取的接收者的数目，PK_i表示第i个接收者L_i的公钥，P_pub表示***公钥；

步骤二十、发送者S随机选择整数r∈Z_p ^*，按照下式计算发送者S的签密验证份额R：

R＝rP

其中，r表示发送者S随机选择的整数，R表示发送者S的签密验证份额；

步骤二十一、按照下式，对每一个i＝1,2,…,n，计算第i个接收者L_i的签密验证份额F_i：

F_i＝rQ_i

其中，F_i表示第i个接收者L_i的签密验证份额，n表示发送者S随机选取的接收者的数目，Q_i表示第i个接收者L_i的伪公钥；

步骤二十二、按照下式，对每一个i＝1,2,…,n，发送者S计算第i个接收者L_i的伪身份值α_i：

α_i＝H₂(F_i,R)

其中，α_i表示第i个接收者L_i的伪身份值，H₂表示抗碰撞的哈希函数，F_i表示第i个接收者L_i的签密验证份额，n表示发送者S随机选取的接收者的数目；

步骤二十三、发送者S随机选择整数δ∈Z_p ^*作为伪密钥后，按照下式，发送者S构造接收者身份信息混合值f(x)：

其中，δ表示发送者S随机选取的伪密钥，f(x)表示接收者身份信息混合值，x表示自变量，∏表示连乘操作，n表示发送者S随机选取的接收者的数目，α_i表示第i个接收者L_i的伪身份值，mod表示求模操作，c₀,c₁,...,c_n-1表示接收者身份信息混合值f(x)各项的系数；

步骤二十四、按照下式，发送者S计算对称密钥k：

k＝H₃(δ)

其中，H₃表示抗碰撞的哈希函数；

步骤二十五、发送者S按照下式计算密文消息J：

J＝E_k(m)

其中，E_k(.)表示对称加密函数，m表示明文消息；

步骤二十六、按照下式，发送者S计算密文的有效性参数γ：

γ＝H₄(m,δ,c₀,c₁,...,c_n-1,J,R)

其中，γ表示密文的有效性参数，H₄表示抗碰撞的哈希函数；

步骤二十七、按照下式，发送者S计算验证发送者S身份的有效性参数τ：

τ＝H₄(J,σ,γ,R)

其中，H₄表示抗碰撞的哈希函数，J表示密文消息，σ＝(c₀,c₁,...,c_n-1)表示接收者身份信息混合值f(x)各项的系数的集合；

步骤二十八、按照下式，发送者S计算发送者S的伪私钥w：

w＝SK_S+τr(modp)

其中，SK_S表示发送者S的私钥；

步骤二十九、按照下式，发送者S计算发送者S身份的验证份额W：

W＝wP-P_pub

其中，w表示发送者S的伪私钥，P_pub表示***公钥；

步骤三十、发送者S将密文消息J、发送者S的签密验证份额R、接收者身份信息混合值f(x)的系数c₀,c₁,…,c_n-1、密文的有效性参数γ、发送者S身份的验证份额W作为签密密文C，并将签密密文C进行广播给接收者；

步骤三十一、接收者L_i判断自己是否已经执行用户注册过程，若是，利用自己的公钥PK_i和私钥SK_i，执行步骤三十二，否则，接收者L_i执行用户注册过程获取自己的公钥PK_i和私钥SK_i后，再执行步骤三十二；

步骤三十二、按照下式，接收者L_i计算自己的签密验证份额F_i：

F_i＝SK_iR

其中，F_i表示接收者L_i的签密验证份额，SK_i表示接收者L_i的私钥，R表示发送者S的签密验证份额；

步骤三十三、按照下式，接收者L_i计算自己的伪身份值α_i：

α_i＝H₂(F_i,R)

其中，α_i表示接收者L_i的伪身份值，H₂表示抗碰撞的哈希函数，F_i表示接收者L_i的签密验证份额，i＝1,2,…,n，n表示发送者S随机选取的接收者的数目，R表示发送者S的签密验证份额；

步骤三十四、按照下式，接收者L_i计算接收者身份信息混合值f(x)：

f(x)＝xⁿ+c_n-1x^n-1+...+c₁x+c₀

其中，f(x)表示接收者身份信息混合值，x表示自变量，n表示发送者S随机选取的接收者的数目，c₀,c₁,...,c_n-1表示接收者身份信息混合值f(x)各项的系数；

步骤三十五、按照下式，接收者L_i计算发送者S随机选取的伪密钥δ：

δ＝f(α_i)

其中，δ表示发送者S随机选取的伪密钥，f(x)表示接收者身份信息混合值，x表示自变量，α_i表示接收者L_i的伪身份值；

步骤三十六、按照下式，接收者L_i计算对称密钥k：

k＝H₃(δ)

其中，k表示对称密钥，H₃表示抗碰撞的哈希函数；

步骤三十七、按照下式，接收者L_i计算明文消息m：

m＝D_k(J)

其中，m表示明文消息，D_k(.)表示对称解密函数，J表示密文消息；

步骤三十八、按照下式，接收者L_i计算密文的权限参数γ′：

γ′＝H₄(m,δ,c₁,c₂,...,c_n-1,R,J)

其中，γ′表示密文的权限参数，H₄表示抗碰撞的哈希函数；

步骤三十九、接收者判断密文的权限参数γ′与密文的有效性参数γ是否相等；若是，则执行步骤四十,否则，接收者L_i拒绝明文消息m，并退出接收者解密过程；

步骤四十、按照下式,接收者L_i计算验证发送者S身份的权限参数τ′：

τ′＝H₄(J,σ,γ′,R)

其中，τ′表示验证发送者S身份的权限参数，H₄表示抗碰撞的哈希函数，J表示密文消息，σ＝(c₀,c₁,...,c_n-1)表示接收者身份信息混合值f(x)各项的系数的集合，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(x)各项的系数，γ′表示密文的权限参数，R表示发送者S的签密验证份额；

步骤四十一、按照下式,接收者L_i计算发送者S身份的有效性验证份额W'：

W′＝τ′R+PK_S

其中，W'表示发送者S身份的有效性验证份额，τ′表示验证发送者S身份的权限参数，R表示发送者S的签密验证份额，PK_s表示发送者S的公钥；

步骤四十二、接收者L_i判断发送者S身份的验证份额W与发送者S身份的有效性验证份额W'是否相等，若是，说明发送者S的身份通过验证，接收者L_i确定接受发送者S发送的明文消息m，并退出接收者的解密过程,否则，说明发送者S的身份验证不通过，接收者L_i拒绝发送者S发送的明文消息m，并退出接收者的解密过程。

本发明的有益效果是：该方法首先将私钥生成中心PKG生成的用户公钥和部分私钥发送给用户，用户收到后，计算自己的私钥，同时验证接收到的公钥和部分私钥是否成立，若成立，则继续，否则停止操作；接下来不仅将签密算法设计在椭圆曲线上，而且密文信息中不包括发送者和接收者的身份信息，最后广播密文消息，只有授权的接收者可以公平的解密验证密文消息。本发明虽然签密过程设计在椭圆曲线上，但是减少了椭圆曲线上的数乘运算，提高了计算效率。

第一，在现有技术中，用户的公钥和私钥是一对元素，导致在加解密的过程中需要的参数过多，有的现有技术中用户的公钥和私钥是一个元素，但是计算量比较大；本发明用户的公钥和私钥仅仅是一个元素，减少了参数的数量，同时解决了计算用户的公钥和私钥花费多的问题；

第二，在现有技术中，用户的公钥由私钥生成中心PKG和用户同时生成的，没有对私钥生成中心PKG生成的公钥进行验证，不能确定公钥的正确性，或者有的现有技术只对私钥生成中心PKG生成的部分私钥进行了验证；本发明对私钥生成中心PKG生成的用户的公钥和部分私钥进行验证，避免恶意的私钥生成中心PKG或者在传输的中攻击者的攻击；

第三，本发明利用拉格朗日多项式隐藏接收者的身份信息，采用发送者的私钥和发送者随机选择的整数计算发送者的伪私钥进行签密，不仅实现了接收者和发送者的匿名性，而且可以验证密文消息的来源是否是可靠的和正确的；

第四，本发明在整个签密操作的过程中椭圆曲线上数乘次数是(29.1n+58.1)T_m，背景技术中的数乘次数是(58.2n+29)T_m，本发明提高了签密操作的效率，故解决了签密过程中运算效率过低的问题。

下面结合具体实施方式对本发明作详细说明。

具体实施方式

名词解释：

PKG(Private Key Generator)：私钥生成中心；

η：***安全参数；

p：大素数；

F_p：阶为大素数p的有限域；

G_p：加法循环群；

E(F_p)：安全的椭圆曲线；

P：加法循环群G_p上的生成元；

s：***主密钥；

P_pub：***公钥；

∈：限定域符号，例如A∈B，就是A属于B；

H_i：抗碰撞的哈希函数，其中i＝0,1,2,3,4；

A→B：定义域A到值域B的映射；

S：发送者；

L_i:第i个接收者，i＝1,2,…,n；

n：发送者S随机选取的接收者的数目；

ID：用户的身份信息；

ID_S：发送者S的身份信息；

ID_i：第i个接收者L_i的身份信息，i＝1,2,…,n；

λ₁：用户的身份信息的长度，其中λ₁＝|ID|；

长为λ₁的“0”或“1”构成的串；

m：明文消息；

λ₂：明文消息的长度，其中λ₂＝|m|；

长为λ₂的“0”或“1”构成的串；

×：笛卡尔乘积，例如集合A＝{a,b}，集合B＝{0,1,2}，则两个集合的笛卡尔积为{(a,0),(a,1),(a,2),(b,0),(b,1),(b,2)}；

Z_p ^*：基于大素数p构成的非零乘法群；

k：对称密钥；

E_k(.)：对称加密函数；

D_k(.)：对称解密函数；

Params：***参数；

v：用户的秘密值；

v_S：发送者S的秘密值；

v_i：第i个接收者L_i的秘密值，i＝1,2,…,n；

V：用户的验证份额；

V_S：发送者S的验证份额；

V_i：第i个接收者L_i的验证份额，i＝1,2,…,n；

d：私钥生成中心PKG随机选取的整数；

d_S:私钥生成中心PKG为发送者S随机选取的整数；

d_i:私钥生成中心PKG为第i个接收者L_i随机选取的整数，i＝1,2,…,n；

T：用户的部分私钥；

T_S：发送者S的部分私钥；

T_i：第i个接收者L_i的部分私钥，i＝1,2,…,n；

PK：用户的公钥；

PK_i：第i个接收者L_i的公钥，i＝1,2,…,n；

PK_S：发送者S的公钥；

SK：用户的私钥；

SK_i：第i个接收者L_i的私钥，i＝1,2,…,n；

SK_S：发送者S的私钥；

Q_i：第i个接收者L_i的伪公钥，i＝1,2,…,n；

r：发送者S随机选择的整数；

R：发送者S的签密验证份额；

F_i：第i个接收者L_i的签密验证份额，i＝1,2,…,n；

α_i：第i个接收者L_i的伪身份值，i＝1,2,…,n；

δ：发送者S随机选取的伪密钥；

f(x)：接收者身份信息混合值，其中x表示自变量；

∏：连乘操作，例如

mod：求模操作；

J：密文消息；

γ：密文的有效性参数；

γ′：密文的权限参数；

σ：接收者身份信息混合值f(x)各项的系数的集合，其中σ＝(c₀,c₁,...,c_n-1)；

c_i：接收者身份信息混合值f(x)各项的系数，i＝0,1,…,n-1；

τ：验证发送者S身份的有效性参数；

τ′：验证发送者S身份的权限参数；

w：发送者S的伪私钥；

W：发送者S身份的验证份额；

W′：发送者S身份的有效性验证份额；

C：签密密文。

本发明基于椭圆曲线高效匿名的无证书多接收者签密方法具体步骤如下：

步骤1，生成***参数。

私钥生成中心PKG根据***安全参数η选取大素数p，选择阶为大素数p的有限域F_p和安全的椭圆曲线E(F_p)以及加法循环群G_p，选取加法循环群G_p上的生成元P，随机选取***主密钥s∈Z_p ^*并安全保存，计算***公钥P_pub＝sP，构造5个抗碰撞的哈希函数，分别记为:其中λ₁＝|ID|；其中λ₂＝|m|；

其中，η表示***安全参数，p表示大素数，F_p表示阶为大素数p的有限域，G_p表示加法循环群，P表示加法循环群G_p的生成元，E(F_p)表示安全的椭圆曲线，s表示***主密钥，H₀,H₁,H₂,H₃,H₄表示抗碰撞的哈希函数，A→B表示定义域A到值域B的映射，表示长为λ₁的“0”或“1”构成的串，λ₁＝|ID|表示用户的身份信息的长度，表示长为λ₂的“0”或“1”构成的串，λ₂＝|m|表示明文消息的长度，×表示笛卡尔乘积，Z_p ^*表示基于大素数p构成的非零乘法群，∈表示限定域符号，P_pub表示***公钥；

私钥生成中心PKG从现有的对称加密算法中任意选取一种安全的对称加密函数E_k(.)，并选取与该对称加密算法对应的对称解密函数D_k(.)；

其中，E_k(.)表示对称加密函数，D_k(.)表示对称解密函数，k表示对称密钥；

私钥生成中心PKG构造并公开***参数Params，***参数的构造方法为：

Params＝〈F_p,E(F_p),G_p,P,P_pub,E_x(.),D_x(.),H₀,H₁,H₂,H₃,H₄>

同时私钥生成中心PKG安全保存***主密钥s。

步骤2，发送者S注册。

第一步，发送者S随机选取整数vS∈Z_p ^*作为秘密值，并计算自己的验证份额VS为：

V_S＝v_SP

其中，v_S表示发送者S的秘密值，V_S表示发送者S的验证份额；

第二步，发送者S将自己的验证份额V_S和身份信息ID_S发送给私钥生成中心PKG，私钥生成中心PKG接收到发送者S的验证份额V_S和身份信息ID_S后，随机选取整数d_S∈Z_p ^*，计算发送者S的公钥：

PK_S＝H₀(ID_S,d_S)P+H₁(ID_S,V_S)V_S

私钥生成中心PKG计算发送者S的部分私钥：

T_S＝H₀(ID_S,d_S)+s(mod p)

其中，d_S表示私钥生成中心PKG为发送者S随机选取的整数，PK_S表示发送者S的公钥，ID_S表示发送者S的身份信息，T_S表示发送者S的部分私钥，mod表示求模操作；

私钥生成中心PKG将发送者S的部分私钥T_S、发送者S的公钥PK_S发送给发送者S，发送者S接收后，计算自己的私钥：

SK_S＝T_S+H₁(ID_S,V_S)v_S(mod p)

其中，SK_S表示发送者S的私钥；

发送者S判断自己的公钥PK_S和部分私钥T_S是否满足验证条件：

v_S(PK_S+P_pub)＝V_S(T_S+H₁(ID_S,V_S)v_S)

若满足，则发送者S通知私钥生成中心PKG执行本步骤的第三步，否则，向私钥生成中心PKG报错，并退出发送者S注册过程；

第三步，发送者S将自己的公钥PK_S发送给私钥生成中心PKG，并由私钥生成中心PKG对外公布发送者S的公钥PK_S，同时，发送者S安全保存自己的私钥SK_S，并退出发送者S注册过程。

步骤3，接收者L_i注册。

第一步，接收者L_i随机选取整数v_i∈Z_p ^*作为秘密值，并计算自己的验证份额V_i：

V_i＝v_iP

其中，v_i表示接收者L_i的秘密值，V_i表示接收者L_i的验证份额；

第二步，接收者L_i将自己的验证份额V_i和身份信息ID_i发送给私钥生成中心PKG，私钥生成中心PKG接收到接收者L_i发送的验证份额V_i和身份信息ID_i后，私钥生成中心PKG随机选取整数d_i∈Z_p ^*，计算第i个接收者L_i的公钥：

PK_i＝H₀(ID_i,d_i)P+H₁(ID_i,V_i)V_i

私钥生成中心PKG计算第i个接收者L_i的部分私钥：

T_i＝H₀(ID_i,d_i)+s(mod p)；

其中，d_i表示私钥生成中心PKG为接收者L_i随机选取的整数，PK_i表示接收者L_i的公钥，ID_i表示接收者L_i的身份信息，T_i表示接收者L_i的部分私钥；

私钥生成中心PKG将接收者L_i的部分私钥T_i和公钥PK_i发送给接收者L_i，接收者L_i接收后，计算自己的私钥SK_i：

SK_i＝T_i+H₁(ID_i,V_i)v_i(mod p)

其中，SK_i表示接收者L_i的私钥；

接收者L_i判断自己的公钥PK_i是否满足验证条件：

v_i(PK_i+P_pub)＝V_i(T_i+H₁(ID_i,V_i)v_i)

若满足，则接收者L_i通知私钥生成中心PKG执行本步骤的第三步，否则，向私钥生成中心PKG报错，并退出接收者L_i注册过程；

第三步，接收者L_i将自己的公钥PK_i发送给私钥生成中心PKG，并由私钥生成中心PKG对外公布接收者L_i的公钥PK_i，同时，接收者L_i安全保存自己的私钥SK_i，并退出接收者L_i注册过程。

步骤4，发送者S签密。

发送者S执行步骤2进行注册，得到自己的公钥PK_S和私钥SK_S，发送者S随机选取n个接收者L₁,L₂,…,L_n，对每一个i＝1,2,…,n，发送者S计算接收者L_i的伪公钥Q_i：

Q_i＝PK_i+P_pub

其中，Q_i表示接收者L_i的伪公钥，n表示发送者S随机选取的接收者的数目；

发送者S随机选择整数r∈Z_p ^*，并按照下式，发送者S计算自己的签密验证份额：

R＝rP

其中，r表示发送者S随机选择的整数，R表示发送者S的签密验证份额；

按照下式，发送者S对每一个i＝1,2,…,n，计算第i个接收者L_i的签密验证份额F_i：

F_i＝rQ_i

其中，F_i表示接收者L_i的签密验证份额；

接下来，发送者S对每一个i＝1,2,…,n，计算接收者L_i的伪身份值α_i：

α_i＝H₂(F_i,R)

其中，α_i表示接收者L_i的伪身份值；

发送者S将随机选择整数δ∈Z_p ^*作为伪密钥，按照下式，发送者S构造接收者身份信息混合值f(x)：

其中，δ表示发送者S随机选取的伪密钥，f(x)表示接收者身份信息混合值，x表示自变量，∏表示连乘操作，c₀,c₁,...,c_n-1表示接收者身份信息混合值f(x)各项的系数；

按照下式，发送者S计算对称密钥k：

k＝H₃(δ)

按照下式，发送者S计算密文消息J：

J＝E_k(m)

其中，J表示密文消息，m表示明文消息；

按照下式，发送者S计算密文的有效性参数γ：

γ＝H₄(m,δ,c₀,c₁,...,c_n-1,J,R)

其中，γ表示密文的有效性参数；

按照下式，发送者S计算验证发送者S身份的有效性参数τ：

τ＝H₄(J,σ,γ,R)

其中，τ表示验证发送者S身份的有效性参数，σ＝(c₀,c₁,...,c_n-1)表示接收者身份信息混合值f(x)各项的系数的集合；

按照下式，发送者S计算发送者S的伪私钥w：

w＝SK_S+τr(modp)

其中，w表示发送者S的伪私钥；

按照下式，发送者S计算发送者S的身份的验证份额W：

W＝wP-P_pub

其中，W表示发送者S的身份验证份额；

发送者S将密文消息J、发送者的签密验证份额R、接收者身份信息混合值f(x)的系数c₀,c₁,…,c_n-1、密文的有效性参数γ、发送者身份的验证份额W作为签密密文C，并对签密密文C进行广播。

步骤5，接收者解密，接收到步骤4广播的密文后，每个接收者L_i通过下面步骤进行解密，i＝1,2,…,n。

接收者L_i执行步骤3进行注册，得到自己的公钥PK_i和私钥SK_i，按照下式，接收者L_i计算接收者L_i的签密验证份额F_i：

F_i＝SK_iR

按照下式，接收者L_i计算伪身份值α_i：

α_i＝H₂(F_i,R)

按照下式，接收者L_i计算接收者身份信息混合值f(x)：

f(x)＝xⁿ+c_n-1x^n-1+...+c₁x+c₀

按照下式，接收者L_i计算发送者S随机选取的伪密钥δ：

δ＝f(α_i)

按照下式，接收者L_i计算对称密钥k：

k＝H₃(δ)

按照下式，接收者L_i计算明文消息m：

m＝D_k(J)

按照下式，接收者L_i计算密文的权限参数γ′：

γ′＝H₄(m,δ,c₁,c₂,...,c_n-1,R,J)

其中，γ′表示密文的权限参数；

接下来，接收者L_i判断密文的权限参数γ′与密文的有效性参数γ是否相等，若是，则继续往下执行,否则，接收者L_i拒绝明文消息m，并退出接收者解密过程；

按照下式,接收者L_i计算验证发送者S身份的权限参数τ′：

τ′＝H₄(J,σ,γ′,R)

其中，τ′表示验证发送者S身份的权限参数；

按照下式,接收者L_i计算发送者S身份的有效性验证份额W'：

W′＝τ′R+PK_S

其中，W'表示发送者S身份的有效性验证份额；

接下来，接收者L_i判断发送者S身份的验证份额W与发送者S身份的有效性验证份额W'是否相等，若是，说明发送者S的身份通过验证，接收者L_i确定接受发送者S发送的明文消息m，并退出接收者的解密过程，否则，说明发送者S的身份验证不通过，接收者L_i拒绝发送者S发送的明文消息m，并退出接收者的解密过程。

Claims (1)

1.一种基于椭圆曲线高效匿名的无证书多接收者签密方法，其特征在于包括以下步骤：

步骤一、私钥生成中心PKG选取大素数p，选择阶为大素数p的有限域F_p和安全的椭圆曲线E(F_p)以及加法循环群G_p，选取加法循环群G_p上的生成元P；

其中，F_p表示阶为大素数p的有限域，P表示加法循环群G_p上的生成元；

步骤二、私钥生成中心PKG选取***主密钥s∈Z_p ^*，计算P_pub＝sP作为***公钥，并将***主密钥s安全保存；

其中，∈表示限定域符号，Z_p ^*表示基于大素数p构成的非零乘法群，P_pub表示***公钥；

步骤三、私钥生成中心PKG构造5个抗碰撞的哈希函数，分别记为：H₀:H₁:其中λ₁＝|ID|；H₂:H₃:H₄:其中λ₂＝|m|；

其中，H₀,H₁,H₂,H₃,H₄表示抗碰撞的哈希函数，A→B表示定义域A到值域B的映射，表示长为λ₁的0或1构成的串，λ₁＝|ID|表示用户的身份信息的长度，表示长为λ₂的0或1构成的串，λ₂＝|m|表示明文消息的长度，×表示笛卡尔乘积；

步骤四、私钥生成中心PKG选取安全的对称加密函数E_k(.)和对称解密函数D_k(.)；

其中，k表示对称密钥；

步骤五、私钥生成中心PKG公布阶为大素数p的有限域F_p，加法循环群G_p，加法循环群G_p上的生成元P，安全的椭圆曲线E(F_p)，5个抗碰撞的哈希函数H₀,H₁,H₂,H₃,H₄，对称加密函数E_k(.)，对称解密函数D_k(.)，***公钥P_pub，安全保存***主密钥s；

步骤六、用户注册步骤中的用户包括接收者和发送者，均需通过执行下列步骤获取自己的公钥和私钥；

步骤七、用户随机的选取一个整数v∈Z_p ^*作为秘密值；

其中，v表示用户随机选择的秘密值；

步骤八、按照下式，计算用户的验证份额V：

V＝vP

步骤九、用户将自己的验证份额V和自己的身份信息ID发送给私钥生成中心PKG；

步骤十、私钥生成中心PKG收到用户的验证份额V和用户的身份信息ID后，随机选取整数d∈Z_p ^*，按照下式计算用户的公钥PK：

PK＝H₀(ID,d)P+H₁(ID,V)V

其中，d表示私钥生成中心PKG随机选取的整数，H₀,H₁表示抗碰撞的哈希函数；

步骤十一、按照下式，私钥生成中心PKG计算用户的部分私钥T：

T＝H₀(ID,d)+s(mod p)

其中，H₀表示抗碰撞的哈希函数，mod表示求模操作；

步骤十二、私钥生成中心PKG将用户的部分私钥T和用户的公钥PK发送给用户，其中用户的部分私钥T通过安全信道发送给用户；

步骤十三、用户收到私钥生成中心PKG发送的用户的部分私钥T和用户的公钥PK，按照下式计算用户的私钥SK：

SK＝T+H₁(ID,V)v(mod p)

步骤十四、用户判断收到的公钥PK和部分私钥T是否满足如下等式，若是，则执行步骤十五，否则，则执行步骤十六：

v(PK+P_pub)＝V(T+H₁(ID,V)v)

其中，P_pub表示***公钥，V表示用户的验证份额，T表示用户的部分私钥，H₁表示抗碰撞的哈希函数，ID表示用户的身份信息；

步骤十五、用户将公钥PK发送给私钥生成中心PKG，并由私钥生成中心PKG对外公布用户的公钥PK，用户安全保存自己的私钥SK，之后退出用户注册过程；

步骤十六、用户向私钥生成中心PKG报错，并退出用户注册过程；

步骤十七、发送者S判断自己是否已经执行用户注册过程，若是，利用自己的公钥PK_S和私钥SK_S，执行步骤十八，否则，发送者S执行用户注册过程获取自己的公钥PK_S和私钥SK_S后，再执行步骤十八；

步骤十八、发送者S随机选取n个接收者L₁,L₂,...,L_n，其中，n表示大于0的整数；

步骤十九、按照下式，对每一个i＝1,2,…,n，发送者S计算第i个接收者L_i的伪公钥Q_i：

Q_i＝PK_i+P_pub

其中，Q_i表示第i个接收者L_i的伪公钥，n表示发送者S随机选取的接收者的数目，PK_i表示第i个接收者L_i的公钥，P_pub表示***公钥；

步骤二十、发送者S随机选择整数r∈Z_p ^*，按照下式计算发送者S的签密验证份额R：

R＝rP

其中，r表示发送者S随机选择的整数，R表示发送者S的签密验证份额；

步骤二十一、按照下式，对每一个i＝1,2,…,n，计算第i个接收者L_i的签密验证份额F_i：

F_i＝rQ_i

其中，F_i表示第i个接收者L_i的签密验证份额，n表示发送者S随机选取的接收者的数目，Q_i表示第i个接收者L_i的伪公钥；

步骤二十二、按照下式，对每一个i＝1,2,…,n，发送者S计算第i个接收者L_i的伪身份值α_i：

α_i＝H₂(F_i,R)

其中，α_i表示第i个接收者L_i的伪身份值，H₂表示抗碰撞的哈希函数，F_i表示第i个接收者L_i的签密验证份额，n表示发送者S随机选取的接收者的数目；

步骤二十三、发送者S随机选择整数δ∈Z_p ^*作为伪密钥后，按照下式，发送者S构造接收者身份信息混合值f(x)：

其中，δ表示发送者S随机选取的伪密钥，f(x)表示接收者身份信息混合值，x表示自变量，Π表示连乘操作，n表示发送者S随机选取的接收者的数目，α_i表示第i个接收者L_i的伪身份值，mod表示求模操作，c₀,c₁,...,c_n-1表示接收者身份信息混合值f(x)各项的系数；

步骤二十四、按照下式，发送者S计算对称密钥k：

k＝H₃(δ)

其中，H₃表示抗碰撞的哈希函数；

步骤二十五、发送者S按照下式计算密文消息J：

J＝E_k(m)

其中，E_k(.)表示对称加密函数，m表示明文消息；

步骤二十六、按照下式，发送者S计算密文的有效性参数γ：

γ＝H₄(m,δ,c₀,c₁,...,c_n-1,J,R)

其中，γ表示密文的有效性参数，H₄表示抗碰撞的哈希函数；

步骤二十七、按照下式，发送者S计算验证发送者S身份的有效性参数τ：

τ＝H₄(J,σ,γ,R)

其中，H₄表示抗碰撞的哈希函数，J表示密文消息，σ＝(c₀,c₁,...,c_n-1)表示接收者身份信息混合值f(x)各项的系数的集合；

步骤二十八、按照下式，发送者S计算发送者S的伪私钥w：

w＝SK_S+τr(modp)

其中，SK_S表示发送者S的私钥；

步骤二十九、按照下式，发送者S计算发送者S身份的验证份额W：

W＝wP-P_pub

其中，w表示发送者S的伪私钥，P_pub表示***公钥；

步骤三十、发送者S将密文消息J、发送者S的签密验证份额R、接收者身份信息混合值f(x)的系数c₀,c₁,…,c_n-1、密文的有效性参数γ、发送者S身份的验证份额W作为签密密文C，并将签密密文C进行广播给接收者；

步骤三十一、接收者L_i判断自己是否已经执行用户注册过程，若是，利用自己的公钥PK_i和私钥SK_i，执行步骤三十二，否则，接收者L_i执行用户注册过程获取自己的公钥PK_i和私钥SK_i后，再执行步骤三十二；

步骤三十二、按照下式，接收者L_i计算自己的签密验证份额F_i：

F_i＝SK_iR

其中，F_i表示接收者L_i的签密验证份额，SK_i表示接收者L_i的私钥，R表示发送者S的签密验证份额；

步骤三十三、按照下式，接收者L_i计算自己的伪身份值α_i：

α_i＝H₂(F_i,R)

其中，α_i表示接收者L_i的伪身份值，H₂表示抗碰撞的哈希函数，F_i表示接收者L_i的签密验证份额，i＝1,2,…,n，n表示发送者S随机选取的接收者的数目，R表示发送者S的签密验证份额；

步骤三十四、按照下式，接收者L_i计算接收者身份信息混合值f(x)：

f(x)＝xⁿ+c_n-1x^n-1+...+c₁x+c₀

其中，f(x)表示接收者身份信息混合值，x表示自变量，n表示发送者S随机选取的接收者的数目，c₀,c₁,...,c_n-1表示接收者身份信息混合值f(x)各项的系数；

步骤三十五、按照下式，接收者L_i计算发送者S随机选取的伪密钥δ：

δ＝f(α_i)

其中，δ表示发送者S随机选取的伪密钥，f(x)表示接收者身份信息混合值，x表示自变量，α_i表示接收者L_i的伪身份值；

步骤三十六、按照下式，接收者L_i计算对称密钥k：

k＝H₃(δ)

其中，k表示对称密钥，H₃表示抗碰撞的哈希函数；

步骤三十七、按照下式，接收者L_i计算明文消息m：

m＝D_k(J)

其中，m表示明文消息，D_k(.)表示对称解密函数，J表示密文消息；

步骤三十八、按照下式，接收者L_i计算密文的权限参数γ′：

γ′＝H₄(m,δ,c₀,c₁,...,c_n-1,J,R)

其中，γ′表示密文的权限参数，H₄表示抗碰撞的哈希函数；

步骤三十九、接收者判断密文的权限参数γ′与密文的有效性参数γ是否相等；若是，则执行步骤四十,否则，接收者L_i拒绝明文消息m，并退出接收者解密过程；

步骤四十、按照下式,接收者L_i计算验证发送者S身份的权限参数τ′：

τ′＝H₄(J,σ,γ′,R)

其中，τ′表示验证发送者S身份的权限参数，H₄表示抗碰撞的哈希函数，J表示密文消息，σ＝(c₀,c₁,...,c_n-1)表示接收者身份信息混合值f(x)各项的系数的集合，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(x)各项的系数，γ′表示密文的权限参数，R表示发送者S的签密验证份额；

步骤四十一、按照下式,接收者L_i计算发送者S身份的有效性验证份额W'：

W′＝τ′R+PK_S

其中，W'表示发送者S身份的有效性验证份额，τ′表示验证发送者S身份的权限参数，R表示发送者S的签密验证份额，PK_s表示发送者S的公钥；

步骤四十二、接收者L_i判断发送者S身份的验证份额W与发送者S身份的有效性验证份额W'是否相等，若是，说明发送者S的身份通过验证，接收者L_i确定接受发送者S发送的明文消息m，并退出接收者的解密过程,否则，说明发送者S的身份验证不通过，接收者L_i拒绝发送者S发送的明文消息m，并退出接收者的解密过程。