CN111934858B - 一种可监管的随机公钥派生方法 - Google Patents

Abstract

本发明公开了一种可监管的随机公钥派生方法，提供可选的监管功能，包括：(1)***参数生成算法；(2)用户初始密钥生成算法；(3)用户追踪密钥生成算法；(4)用户追踪密钥验证算法；(5)用户派生公钥生成算法；(6)用户派生私钥生成算法；(7)用户派生公钥追踪算法；当选择监管功能时执行步骤(1)～(7)，当不选择监管功能时执行步骤(1)、(2)、(5)、(6)。本发明的方法实现了仅需要接收方初始注册一个公钥，同时还提供可选的监管功能。

Description

一种可监管的随机公钥派生方法

技术领域

本发明涉及公钥派生技术领域，尤其是一种可监管的随机公钥派生方法。

背景技术

在当今信息技术高速发展的时代，5G、物联网等尖端数据采集、传输技术势必会带来内容更丰富，时效性更强，体量更大的数据流，其中裹挟着无数隐私数据。在这个数据洪流奔涌的时代，无论是个人用户安心享用服务还是企业探索新兴商业模式，落实隐私保护都至关重要。

目前绝大多数的密钥派生方法都是基于对称密钥的派生方法，针对公钥的派生方法只有2012年Cryptonote协议提出的一种基于双公钥的随机公钥派生方法。该方法主要用于增强数据接收方的匿名性。在Cryptonote协议中，当A和B发生交易，发送方A(如果已知B的初始公钥)可以在无交互的情况下根据接收方B的初始公钥对派生一个随机公钥，并声明将制定转移给随机公钥对应的用户。由于只有接收方B才能计算出指定的私钥，所以只有B才能拥有这个资产，并且其他人不能推测出B的身份。

但是该方法需要每个接收方初始注册两个公钥才能进行派生，因此需要注册两个公钥证书，这不仅增加了申请初始证书的成本，而且增加了证书存储的代价。并且，该方法中派生的密钥不具有被监管的功能。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种可监管的随机公钥派生方法，该方法仅需要接收方初始注册一个公钥，同时还提供可选的监管功能。

本发明采用的技术方案如下：

一种可监管的随机公钥派生方法，包括：

当参与方包括用户A和用户B，且用户A为发送方，用户B为接收方时，所述随机公钥派生方法的执行流程依次为：步骤(1)、(2)、(5)、(6)，其中，步骤(1)由第三方机构执行，或者由用户A和用户B共同执行；步骤(5)由用户A执行，步骤(2)、(6)由用户B执行；

当参与方包括监管方、用户A和用户B，且用户A为发送方，用户B为接收方时，所述随机公钥派生方法的执行流程依次为：步骤(1)～(7)；其中，步骤(1)、(4)、(7)由监管方执行，步骤(5)由用户A执行，步骤(2)、(3)、(6)由用户B执行；

其中，步骤(1)～(7)如下：

(1)***参数生成算法Pub←(1^λ)：

输入安全参数1^λ，其中λ为正整数，输出生成***参数Pub；

(2)用户初始密钥生成算法(PK₀,SK₀)←Pub：

输入***参数Pub，输出用户B初始公私钥对(PK₀,SK₀)；

(3)用户追踪密钥生成算法TK←(Pub,SK₀)：

输入***参数Pub，用户B初始私钥SK₀，输出用户B追踪密钥TK；

(4)用户追踪密钥验证算法(Y/N)←(Pub,PK₀,TK)：

输入***参数Pub，用户B初始公钥PK₀，用户B追踪密钥TK，如果TK确实为用户B初始公钥PK₀，则输出Y，否则输出N；

(5)用户派生公钥生成算法(PK_R,R)←(Pub,PK₀)：

输入***参数Pub，用户B初始公钥PK₀，输出用户B派生公钥(PK_R,R)；

(6)用户派生私钥生成算法(SK_R,R)←(Pub,SK₀,PK_R,R)：

输入***参数Pub，用户B初始私钥SK₀，用户派生公钥(PK_R,R)，输出用户B派生私钥SK_R；

(7)用户派生公钥追踪算法(Y/N)←(Pub,PK₀,PK_R,R,TK)：

输入***参数Pub，用户B初始公钥PK₀，用户B派生公钥(PK_R,R)，用户B追踪密钥TK，如果派生公钥确实是由用户B初始公钥PK₀派生则输出Y，否则输出N。

进一步，步骤(1)包括：

(1.1)输入安全参数1^λ，其中λ为正整数；

(1.2)运行1^λ生成素数p，群G₁、G₂，和一个可计算的双线性对运算ê；

(1.3)输出***参数Pub，Pub＝{P₁，P₂，G₁，G₂，G_T，ê，Z_p，H}；

其中，G₁，G₂为阶数为p的椭圆曲线加法循环群，G_T为阶数为p的椭圆曲线乘法循环群，Z_p为阶数为p的整数群，P₁为群G₁的生成元，P₂为群G₂的生成元；H为抗碰撞的哈希函数G_T→Z_p；ê为可计算的双线性对运算ê：G₁×G₂→G_T；满足：

1)双线性；对于任意U₁∈G₁，U₂∈G₂，任意整数a,b∈Z_p，都有ê(a·U₁，b·U₂)＝ê(ab·U₁，U₂)＝ê(U₁，ab·U₂)＝ê(U₁，U₂)^ab；

2)非退化性；ê(P₁，P₂)≠1。

进一步，步骤(2)包括：

(2.1)随机选择SK₀∈Z_p；

(2.2)计算PK₀←SK₀·P₁∈G₁。

进一步，步骤(3)包括：

(3.1)计算TK←SK₀·P₂∈G₂。

进一步，步骤(4)包括：

(4.1)如果ê(P₁，TK)＝＝ê(PK₀，P₂)，输出Y；

(4.2)否则输出N。

进一步，步骤(5)包括：

(5.1)随机选择r∈Z_p；

(5.2)计算R←r·P₁∈G₁；

(5.3)计算RK←ê(PK₀，r·P₂)∈G_T；

(5.4)计算PK_R←H(RK)·P₁+PK₀∈G₁。

进一步，步骤(6)包括：

(6.1)计算RK←ê(R，SK₀·P₂)∈G_T；

(6.2)计算R←r·P₁∈G₁；

(6.3)SK_R←H(RK)+SK₀∈Z_p。

进一步，步骤(7)包括：

(7.1)计算RK←ê(R，TK)∈G_T；

(7.2)PK_R′←H(RK)·P₁+PK₀∈G₁；

(7.3)如果PK_R′＝PK_R，则输出Y，否则输出N。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

本发明的方法实现了仅需要接收方初始注册一个公钥，同时还提供可选的监管功能。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明的随机公钥派生方法的流程框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对现有方法中，需要每个接收方初始注册两个公钥才能进行派生，因此需要注册两个公钥证书，这不仅增加了申请初始证书的成本，而且增加了证书存储的代价。并且，该现有方法中派生的密钥不具有被监管的功能。本发明基于双线性对技术，提出一种可监管的随机公钥派生方法，该方法仅需要接收方初始注册一个公钥，同时还提供可选的监管功能。由此，如图1所示，本发明的一种可监管的随机公钥派生方法，包括：

当参与方包括用户A和用户B，且用户A为发送方，用户B为接收方时，所述随机公钥派生方法的执行流程依次为：步骤(1)、(2)、(5)、(6)，其中，步骤(1)由第三个机构执行，或者由用户A和用户B共同执行；步骤(5)由用户A执行，步骤(2)、(6)由用户B执行；

当参与方包括监管方、用户A和用户B，且用户A为发送方，用户B为接收方时，所述随机公钥派生方法的执行流程依次为：步骤(1)～(7)；其中，步骤(1)、(4)、(7)由监管方执行，步骤(5)由用户A执行，步骤(2)、(3)、(6)由用户B执行；

其中，步骤(1)～(7)如下：

(1)***参数生成算法Pub←(1^λ)：

输入安全参数1^λ，其中λ为正整数，输出生成***参数Pub；

(2)用户初始密钥生成算法(PK₀,SK₀)←Pub：

输入***参数Pub，输出用户B初始公私钥对(PK₀,SK₀)；

(3)用户追踪密钥生成算法TK←(Pub,SK₀)：

输入***参数Pub，用户B初始私钥SK₀，输出用户B追踪密钥TK；

(4)用户追踪密钥验证算法(Y/N)←(Pub,PK₀,TK)：

输入***参数Pub，用户B初始公钥PK₀，用户B追踪密钥TK，如果TK确实为用户B初始公钥PK₀，则输出Y，否则输出N；

(5)用户派生公钥生成算法(PK_R,R)←(Pub,PK₀)：

输入***参数Pub，用户B初始公钥PK₀，输出用户B派生公钥(PK_R,R)；

(6)用户派生私钥生成算法(SK_R,R)←(Pub,SK₀,PK_R,R)：

输入***参数Pub，用户B初始私钥SK₀，用户B派生公钥(PK_R,R)，输出用户B派生私钥SK_R；

(7)用户派生公钥追踪算法(Y/N)←(Pub,PK₀,PK_R,R,TK)：

输入***参数Pub，用户B初始公钥PK₀，用户B派生公钥(PK_R,R)，用户B追踪密钥TK，如果派生公钥确实是由用户B初始公钥PK₀派生则输出Y，否则输出N。

以下结合实施例对本发明的特征和性能作进一步的详细描述。

设G₁，G₂为阶数为p的椭圆曲线加法循环群，G_T为阶数为p的椭圆曲线乘法循环群，Z_p为阶数为p的整数群，P₁为群G₁的生成元，P₂为群G₂的生成元；H为抗碰撞的哈希函数G_T→Z_p；ê为可计算的双线性对运算ê：G₁×G₂→G_T；满足：

1)双线性；对于任意U₁∈G₁，U₂∈G₂，任意整数a,b∈Z_p，都有ê(a·U₁，b·U₂)＝ê(ab·U₁，U₂)＝ê(U₁，ab·U₂)＝ê(U₁，U₂)ab；

2)非退化性；ê(P₁，P₂)≠1。

1、不需要使用监管功能时

即：当参与方包括用户A和用户B，且用户A为发送方，用户B为接收方时，所述随机公钥派生方法的执行流程依次为：步骤(1)、(2)、(5)、(6)，其中，步骤(1)由第三方机构执行，或者由用户A和用户B共同执行；步骤(5)由用户A执行，步骤(2)、(6)由用户B执行；

所述随机公钥派生方法的执行流程如下：

(1)(第三方机构执行，或者由用户A和用户B共同执行)生成***参数算法Pub←(1^λ)：

(1.1)输入安全参数1^λ，其中λ为正整数；

(1.2)运行1^λ生成素数p，群G₁、G₂，和一个可计算的双线性对运算ê；

(1.3)输出***参数Pub，Pub＝{P₁，P₂，G₁，G₂，G_T，ê，Z_p，H}。

(2)(用户B执行)用户初始密钥生成算法(PK₀,SK₀)←Pub：

(2.1)随机选择SK₀∈Z_p；

(2.2)计算PK₀←SK₀·P₁∈G₁；然后执行(5)；

(5)(用户A执行)用户派生公钥生成算法(PK_R,R)←(Pub,PK₀)：

(5.1)随机选择r∈Z_p；

(5.2)计算R←r·P₁∈G₁；

(5.3)计算RK←ê(PK₀，r·P₂)∈G_T；

(5.4)计算PK_R←H(RK)·P₁+PK₀∈G₁。

(6)(用户B执行)用户派生私钥生成算法(SK_R,R)←(Pub,SK₀,PK_R,R)：

(6.1)计算RK←ê(R，SK₀·P₂)∈G_T；

(6.2)计算R←r·P₁∈G₁；

(6.3)SK_R←H(RK)+SK₀∈Z_p。

2、需要使用监管功能时

即：当参与方包括监管方、用户A和用户B，且用户A为发送方，用户B为接收方时，所述随机公钥派生方法的执行流程依次为：步骤(1)～(7)；其中，步骤(1)、(4)、(7)由监管方执行，步骤(5)由用户A执行，步骤(2)、(3)、(6)由用户B执行；

所述随机公钥派生方法的执行流程如下：

(1)(监管方执行)生成***参数算法Pub←(1^λ)：

(1.1)输入安全参数1^λ，其中λ∈Z⁺；

(1.2)运行1^λ生成素数p，群G₁、G₂，和一个可计算的双线性对运算ê；

(1.3)输出***参数Pub，Pub＝{P₁，P₂，G₁，G₂，G_T，ê，Z_p，H}。

(2)(用户B执行)用户初始密钥生成算法(PK₀,SK₀)←Pub：

(2.1)随机选择SK₀∈Z_p；

(2.2)计算PK₀←SK₀·P₁∈G₁。

(3)(用户B执行)用户追踪密钥生成算法TK←(Pub,SK₀)：

(3.1)计算TK←SK₀·P₂∈G₂；

(4)(监管方执行)用户追踪密钥验证算法(Y/N)←(Pub,PK₀,TK)：

(4.1)如果ê(P₁，TK)＝＝ê(PK₀，P₂)，输出Y；

(4.2)否则输出N。

(5)(用户A执行)用户派生公钥生成算法(PK_R,R)←(Pub,PK₀)：

(5.1)随机选择r∈Z_p；

(5.2)计算R←r·P₁∈G₁；

(5.3)计算RK←ê(PK₀，r·P₂)∈G_T；

(5.4)计算PK_R←H(RK)·P₁+PK₀∈G₁。

(6)(用户B执行)用户派生私钥生成算法(SK_R,R)←(Pub,SK₀,PK_R,R)：

(6.1)计算RK←ê(R，SK₀·P₂)∈G_T；

(6.2)计算R←r·P₁∈G₁；

(6.3)SK_R←H(RK)+SK₀∈Z_p。

(7)(监管方执行)用户派生公钥追踪算法(Y/N)←(Pub,PK₀,PK_R,R,TK)：

(7.1)计算RK←ê(R，TK)∈G_T；

(7.2)PK_R′←H(RK)·P₁+PK₀∈G₁；

(7.3)如果PK_R′＝PK_R，则输出Y，否则输出N。

通过上述过程可知，用户B将自己的追踪密钥TK发送给监管方，则监管方可以对用户B的所有交易进行监管，进而可以实现单用户追踪。若用户B不发送自己的追踪密钥TK给监管方，针对每一次具体的派生将RK←ê(R，SK₀·P₂)∈G_T发送给监管方，则监管方仅能对该笔交易进行监管，可实现单交易追踪。

上述的随机公钥派生方法中，都是追踪密钥由用户根据自己的私钥生成，发送给监管方，因此该监管方式属于用户可选择性监管。若要实现强监管，则强制要求每个用户将自己的追踪密钥发送给监管方，监管方收到来自用户的追踪密钥后，可以通过用户的公钥来验证追踪密钥的正确性，避免用户为了逃避监管，而发送错误的追踪密钥，导致监管方无法进行正确的追踪。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种可监管的随机公钥派生方法，其特征在于，包括：

当参与方包括用户A和用户B，且用户A为发送方，用户B为接收方时，所述随机公钥派生方法的执行流程依次为：步骤(1)、(2)、(5)、(6)，其中，步骤(1)由第三方机构执行，或者由用户A和用户B共同执行；步骤(5)由用户A执行，步骤(2)、(6)由用户B执行；

当参与方包括监管方、用户A和用户B，且用户A为发送方，用户B为接收方时，所述随机公钥派生方法的执行流程依次为：步骤(1)～(7)；其中，步骤(1)、(4)、(7)由监管方执行，步骤(5)由用户A执行，步骤(2)、(3)、(6)由用户B执行；

其中，步骤(1)～(7)如下：

(1)***参数生成算法Pub←(1^λ)：

输入安全参数1^λ，其中λ为正整数，输出生成***参数Pub；

(2)用户初始密钥生成算法(PK₀，SK₀)←Pub：

输入***参数Pub，输出用户B初始公私钥对(PK₀，SK₀)；

(3)用户追踪密钥生成算法TK←(Pub，SK₀)：

输入***参数Pub，用户B初始私钥SK₀，输出用户追踪密钥TK；

(4)用户追踪密钥验证算法(Y/N)←(Pub，PK₀，TK)：

输入***参数Pub，用户B初始公钥PK₀，用户追踪密钥TK，如果TK确实为用户B初始公钥PK₀，则输出Y，否则输出N；

(5)用户派生公钥生成算法(PK_R，R)←(Pub，PK₀)：

输入***参数Pub，用户B初始公钥PK₀，输出用户B派生公钥(PK_R，R)；

(6)用户派生私钥生成算法(SK_R，R)←(Pub，SK₀，PK_R，R)：

输入***参数Pub，用户B初始私钥SK₀，用户B派生公钥(PK_R，R)，输出用户B派生私钥SK_R；

(7)用户派生公钥追踪算法(Y/N)←(Pub，PK₀，PK_R，R，TK)：

输入***参数Pub，用户B初始公钥PK₀，用户B派生公钥(PK_R，R)，用户B追踪密钥TK，如果派生公钥确实是由用户B初始公钥PK₀派生则输出Y，否则输出N；

步骤(1)包括：

(1.1)输入安全参数1^λ，其中λ为正整数；

(1.2)运行1^λ生成素数p，群G₁、G₂，和一个可计算的双线性对运算

(1.3)输出***参数Pub，

其中，G₁，G₂为阶数为p的椭圆曲线加法循环群，G_T为阶数为p的椭圆曲线乘法循环群，Z_p为阶数为p的整数群，P₁为群G₁的生成元，P₂为群G₂的生成元；H为抗碰撞的哈希函数G_T→Z_p；

为可计算的双线性对运算

G₁×G₂→G_T；满足：

1)双线性；对于任意U₁∈G₁，U₂∈G₂，任意整数a，b∈Z_p，都有

2)非退化性；

步骤(2)包括：

(2.1)随机选择SK₀∈Z_p；

(2.2)计算PK₀←SK₀·P₁∈G₁；

步骤(5)包括：

(5.1)随机选择r∈Z_p；

(5.2)计算R←r·P₁∈G₁；

(5.3)计算

(5.4)计算PK_R←H(RK)·P₁+PK₀∈G₁。

2.根据权利要求1所述的一种可监管的随机公钥派生方法，其特征在于，步骤(3)包括：

(3.1)计算TK←SK₀·P₂∈G₂。

3.根据权利要求2所述的一种可监管的随机公钥派生方法，其特征在于，步骤(4)包括：

(4.1)如果

输出Y；

(4.2)否则输出N。

4.根据权利要求3所述的一种可监管的随机公钥派生方法，其特征在于，步骤(6)包括：

(6.1)计算

(6.2)计算R←r·P₁∈G₁；

(6.3)SK_R←H(RK)+SK₀∈Z_p。

5.根据权利要求4所述的一种可监管的随机公钥派生方法，其特征在于，步骤(7)包括：

(7.1)计算

(7.2)PK_R′←H(RK)·P₁+PK₀∈G₁；

(7.3)如果PK_R′＝PK_R，则输出Y，否则输出N。

Images