一种高效的基于身份的匿签密方法

摘要

本发明提供了一种高效的基于身份的匿签密方法，包括：密钥生成中心生成系统主公钥S＝gs，系统主私钥s←Zq；身份为的匿签密发送方的私钥为身份为的匿签密接受方的私钥为选取x←Zq、计算并将{X，C}发送给其中是双线性对映射。计算若x∈Zq且则接受匿签密信息M。

说明书

技术领域

本发明涉及密码技术领域，具体地说，涉及一种高效的基于身份的匿签密方法。

背景技术

数字签名和公钥加密是密码理论及应用的核心内容。签密是将数字签名和公钥加密的功能合二为一，并且比分开的签名和加密的效率大为提升。传统的签密存在密钥管理复杂的缺点，而基于身份的签密将用户的身份作为公钥，可以大幅简化公钥证书管理。但是，目前存在的基于身份签密方案均需公开传输用户的身份和公钥信息，并且效率较差。而在移动互联时代，设备的计算和存储能力受限，并且在很多应用中用户的身份信息往往属于敏感信息，因此发展高效的基于身份的身份匿藏签密方法(简记为“匿签密”)具有重要的理论及应用意义。

令G、G₁、G₂和G_T是三个q阶循环群(q可以是素数，也可以是合数，如RSA模数)。为了描述方面起见，我们记G、G₁、G₂和G_T为乘法群(所有本发明中描述的方案均在G、G₁、G₂和G_T记为加法群时同样工作)。一般而言，G不需要具有双线性映射，因此在其上定义的离散对数问题更困难；一个双线性对就是一个从G₁×G₂，到G_T的双线性映射，并满足下面性质：

(1)双线性性：设g₁∈G₁，g₂∈G₂，x，y∈Z_q，有

(2)非退化性：对于每一个总存在一个g₂∈G₂，使得其中，是G₁的单位元，是G_T的单位元；

(3)双线性对映射可以有效计算。

双线性对有下面三种类型：

类型1：G₁→G₂有一个有效可计算的同构，这时一般记为G₁＝G₂＝G。这类双线性对一般可以用超奇异椭圆曲线或超椭圆曲线来实现。

类型2：有一个有效计算群同态G₂→G₁，但无从G₁到G₂的有效同态.这类双线性对一般用素数域上的一般椭圆曲线实现，G₁是基域上椭圆曲线群，G₂是扩域上椭圆曲线子群，G₂→G₁的同态一般取迹映射。

类型3：没有任何G₂→G₁或G₁→G₂的有效可计算的同态(同态甚至同构一定是存在的，这里是指没有有效计算的同构)。这类双线性对也是用素域上的一般曲线来构造，G₂一般取迹映射的核。

本发明所描述的方法可以在上述三种类型双线性对任一类型上都可以工作，区别在于：对于类型1双线性对，每个用户的仅有唯一的私钥；对于类型2和类型3双线性对，每个用户有2个私钥，一个用于发送签密，一个用于接收验证签密。在下述的发明方案描述中，基于类型-2和类型-3来描述，当应用到类型-1双线性对时则有G₁＝G₂。

发明内容

为解决上述问题，本发明提供了一种高效的基于身份的匿签密方法，所述方法包括：

系统参数：一个安全参数n，双线性对整数q，其中G、G₁、G₂和G_T是三个q阶循环群，q的二进制长度(记为|q|)为n的多项式；两个哈希函数：H₁：{0，1}^*→G₁和H₂：{0，1}^*→G₂，一个密钥导出函数KDF：{0，1}^*→{0，1}ⁿ；令g∈G为G的生成元，为群G_T的单位元；E为一个对称加密函数；系统参数包括：系统参数可以由系统内的用户协商决定，或由可信第三方给定；注意，若是类型1双线性对，则G₁＝G₂且H₁＝H₂；

密钥生成中心PKG：生成系统主密钥s←Z_q(即，s从Z_q中随机选取)、系统主公钥S＝g^s∈G，公开系统主公钥；

用户私钥提取：具有身份ID的用户在密钥生成中心PKG注册，PKG为其生成一对私钥：其中用来签密，用来验证签密；注意，若系统工作在类型1双线性对，

为描述方便起见，下述描述中我们记签密的生成方的身份为私钥为签密验证方的身份为私钥为

匿签密生成：令M∈{0，1}^*为匿签密的信息，为匿签密的接受方；用户选取x∈Z_q，计算计算若计算K＝KDF(PS，aux_K)，其中为群G_T的单位元，aux_K为一个包含的一个可为空的子集的可为空的集合，并且aux_K的具体形式或者双方事先约定或者是协议规范的一部分，aux_d是可为空的集合；计算即：将K作为对称加密函数E的密钥对按照规定或约定编码方式进行加密，其中aux_M是可为空的集合；最后，用户将{X，C}发送给用户

匿签密验证：用户接收到{X，C}后，计算若计算K＝KDF(PS，aux_K)，利用K对C解密得到若x∈Z_q且且aux_M有效，则接受匿签密信息M，否则拒绝接受。

根据本发明的一个实施例，

G∈{G₁，G₂}或(此时，G不一定具有双线性映射)；q为素数或合数；或或aux_M为空或包含一个时间戳信息；aux_d为空或包含交互双方或单方的IP地址信息、协议版本、cookie、发送者和验证者身份标示等信息；E是一个认证加密函数、或者带有辅助输入的认证加密函数并可以提供消息长度隐藏功能；

x从Z_q中随机选取，或在Z_q∩{0，1}^l中随机选取，其中1≤l≤q|，比如：|x|＝[|q|/2]或|x|＝[|q|/2]+1或|x|＝[|q|/4]或|x|＝|q|或|x|＝32或|x|＝16，其中对于一个实数α，若α是小数则|[α]表示的是α的向上或向下取整，|x|表示x的二进制长度；或x＝h(r，aux_x)，其中h：{0，1}^*→{1，1}^l为一个哈希函数、r是一个随机数，aux_x为空或包含一个时间戳信息，此时此时h成为系统参数的一部分，匿签密验证时对aux_M有效性的检查包括检查时间戳的有效性，以及

根据本发明的一个实施例，

需要指出的是，本实施例中，指的是先将集合中的所有元素按照预设顺序(该预设顺序可以任意，但是需要协议交换的双方均事先知晓并达成一致)连接，例如得到随后将M′按照预设编码规则编码成二进制，并将得到的二进制编码利用K进行加密。E可以是一个认证加密函数，其可以是确定的、或随机的、或带状态的，并可是带有联合信息的认证加密函数(authenticated encryption withassociated data，AEAD)并可以提供消息长度隐藏功能。KDF表示密钥导出函数。一般而言，KDF既然可以是一个哈希函数或哈希函数序列(例如HMAC，HKDF等)，也可以是一个以预先共享密钥S为随机种子的伪随机函数。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

应该理解的是，本发明所公开的实施例不限于这里所公开的特定处理步骤，而应当延伸到相关领域的普通技术人员所理解的这些特征的等同替代。还应当理解的是，在此使用的术语仅用于描述特定实施例的目的，而并不意味着限制。

说明书中提到的“一个实施例”或“实施例”意指结合实施例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，说明书通篇各个地方出现的短语“一个实施例”或“实施例”并不一定均指同一个实施例。

虽然上述示例用于说明本发明在一个或多个应用中的原理，但对于本领域的技术人员来说，在不背离本发明的原理和思想的情况下，明显可以在形式上、用法及实施的细节上作各种修改而不用付出创造性劳动。因此，本发明由所附的权利要求书来限定。

附图说明

图1是发明方法一个实例实现的流程图；其中，令G＝G₁＝G₂，H＝H₁＝H₁，aux_K为空，为群G_T的单位元，D是与加密函数E对应的解密函数，指的是利用密钥K对密文C进行解密得到表示的是x从Z_q中随机选取。

令G＝G₁＝G₂，H＝H₁＝H₂，aux_K为空，为群G_T的单位元，图1示出了本实施例所提供的基于身份匿签密方法的流程图。其中，D是与加密函数E对应的解密函数，指的是利用密钥K对密文C进行解密得到表示的是x从Z_q中随机选取。