專(zhuān)利名稱(chēng)：：組密鑰初始分配中的隱私保護(hù)方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及一種組密鑰初始分配中的隱私保護(hù)方法，具體是一種基于橢圓曲線ElGamal密碼體制、有向簽名機(jī)制和零知識(shí)證明機(jī)制的，針對(duì)組密鑰的簽發(fā)者和首次加入群組的申請(qǐng)者的隱私信息進(jìn)行有效保護(hù)的方法，使得除了首次加入群組的申請(qǐng)者以外，任何組密鑰消息的接收者無(wú)法獲知組密鑰的簽發(fā)者和組密鑰的簽發(fā)對(duì)象，可用于網(wǎng)絡(luò)群組通信環(huán)境下組密鑰初始分配過(guò)程中存在一個(gè)或者多個(gè)組密鑰簽發(fā)者的情景，屬于信息安全領(lǐng)域。
背景技術(shù)：
：在網(wǎng)絡(luò)群組通信環(huán)境下，現(xiàn)已部署實(shí)施的基于橢圓曲線ElGamal密碼體制的組密鑰初始分配方法是通過(guò)數(shù)字簽名機(jī)制驗(yàn)證組密鑰消息的有效性。首先，組密鑰的簽發(fā)者用首次加入群組的申請(qǐng)者的公鑰對(duì)組密鑰消息進(jìn)行加密，用組密鑰的簽發(fā)者的私鑰對(duì)組密鑰消息進(jìn)行數(shù)字簽名，將消息密文和數(shù)字簽名一起發(fā)送首次加入群組的申請(qǐng)者。然后，首次加入群組的申請(qǐng)者用首次加入群組的申請(qǐng)者的私鑰解密消息密文獲得組密鑰消息，用組密鑰的簽發(fā)者的公鑰驗(yàn)證組密鑰消息簽名的有效性。目前現(xiàn)有的組密鑰初始分配方法中沒(méi)有考慮對(duì)組密鑰的簽發(fā)者和首次加入群組的申請(qǐng)者的隱私信息進(jìn)行有效的保護(hù)，使得除了首次加入群組的申請(qǐng)者以外，任何組密鑰消息的接收者只要擁有組密鑰的簽發(fā)者的公鑰就可以驗(yàn)證組密鑰消息簽名的有效性，從而獲知誰(shuí)是組密鑰的簽發(fā)者和誰(shuí)是組密鑰的簽發(fā)對(duì)象。本發(fā)明在組密鑰初始分配中引入有向簽名機(jī)制，使得除了首次加入群組的申請(qǐng)者以外，任何組密鑰消息的接收者無(wú)法獲知組密鑰的簽發(fā)者和組密鑰的簽發(fā)對(duì)象。
發(fā)明內(nèi)容本發(fā)明的目的在于提供一種組密鑰初始分配過(guò)程中對(duì)組密鑰的簽發(fā)者和首次加入群組的申請(qǐng)者的隱私信息進(jìn)行有效保護(hù)的方法。該方法充分利用橢圓曲線ElGamal密碼體制安全性高和資源消耗少的特點(diǎn)，通過(guò)關(guān)聯(lián)隨機(jī)數(shù)綁定加密和簽名的方法增加安全的復(fù)雜性，通過(guò)引入有向簽名機(jī)制確保只有首次加入群組的申請(qǐng)者才可以驗(yàn)證組密鑰消息簽名的有效性，從而有效地保護(hù)組密鑰的簽發(fā)者和首次加入群組的申請(qǐng)者的隱私信息，使得除了首次加入群組的申請(qǐng)者以外，任何組密鑰消息的接收者無(wú)法獲知組密鑰的簽發(fā)者和組密鑰的簽發(fā)對(duì)象，資源消耗小，方便部署實(shí)現(xiàn)。為實(shí)現(xiàn)上述目的，本發(fā)明采取以下技術(shù)方案。整個(gè)技術(shù)方案包括組密鑰簽發(fā)、組密鑰驗(yàn)證和第三方證明三個(gè)階段。首先，在組密鑰簽發(fā)階段，組密鑰的簽發(fā)者用首次加入群組的申請(qǐng)者的公鑰對(duì)組密鑰消息進(jìn)行加密，用組密鑰的簽發(fā)者的私鑰和首次加入群組的申請(qǐng)者的公鑰對(duì)組密鑰消息進(jìn)行有向簽名，將消息密文和簽名一起發(fā)送首次加入群組的申請(qǐng)者。然后，在組密鑰驗(yàn)證階段，首次加入群組的申請(qǐng)者用首次加入群組的申請(qǐng)者的私鑰對(duì)消息密文進(jìn)行解密，用組密鑰的簽發(fā)者的公鑰和首次加入群組的申請(qǐng)者的私鑰對(duì)組密鑰消息簽名進(jìn)行驗(yàn)證。最后，在第三方證明階段，首次加入群組的申請(qǐng)者用零知識(shí)證明機(jī)制在任何4需要的時(shí)候向第三方證明組密鑰消息簽名的有效性，同時(shí)不向第三方透漏任何隱私信息。本發(fā)明技術(shù)方案描述中使用的基礎(chǔ)標(biāo)識(shí)符包括Fp:有限域，滿足Fp二(0，1，2，...，p-lhp為大于3的素?cái)?shù)；E(Fp):定義在仿射平面上的3次方程E:y2三x3+ax+b(modp)的所有解與無(wú)窮遠(yuǎn)點(diǎn)0的并集，記作E(Fp)={(x，y)|y2=x3+aX+b，(x，y)GFp*Fp}U{0};a，b:橢圓曲線方程的參數(shù)，滿足a，bGFp，4a3+27b2褲0(modp);n:橢圓曲線E(FP)上的生成元P的一個(gè)素?cái)?shù)階，是滿足nP=0的最小整數(shù)；P:橢圓曲線E(Fp)上的生成元；dA:組密鑰簽發(fā)者的私鑰，滿足dAG[1，n-1];A:組密鑰簽發(fā)者的公鑰，滿足A=dAP(modp);4:首次加入群組的申請(qǐng)者的私鑰，滿足4G[l，n-l];B:首次加入群組的申請(qǐng)者的公鑰，滿足B=dBP(modp);、，k2，k，w:隨機(jī)數(shù)；m:組密鑰消息。整個(gè)技術(shù)方案包括組密鑰簽發(fā)、組密鑰驗(yàn)證和第三方證明三個(gè)階段。1.組密鑰簽發(fā)階段組密鑰簽發(fā)階段包括以下具體步驟1.1組密鑰的簽發(fā)者隨機(jī)選擇兩個(gè)整數(shù)、和k2，滿足1《、<n，1《k2<n，、禾口n互素，k2禾口n互素；n是橢圓曲線E(Fp)上的生成元P的一個(gè)素?cái)?shù)階，是滿足nP=0的最小整數(shù)；有限域Fp上的橢圓曲線E(Fp)是定義在仿射平面上的3次方程E:y2ex3+ax+b(modp)的所有解與無(wú)窮遠(yuǎn)點(diǎn)0的并集，記作E(Fp)={(x，y)Iy2=x3+aX+b，(x，y)GFp*Fp}U{0}，其中p為大于3的素?cái)?shù)，參數(shù)a，bG有限域Fp={o，l，2，...，p-lh滿足4a3+27b2—O(modp);1.2組密鑰的簽發(fā)者計(jì)算點(diǎn)G=(k「k2)P，點(diǎn)&=(k「k2)B=(Xl，y》，點(diǎn)R2=、B=(x2，y2)，參數(shù)巧=(modn)，參數(shù)r2=x2(modn);如果巧=0或者r2=0，則返回步驟1.1;B是首次加入群組的申請(qǐng)者的公鑰，滿足B=dBP(modp)，dB是首次加入群組的申請(qǐng)者的私鑰，滿足4G[l，n-l]，mod是數(shù)學(xué)模運(yùn)算；有限域Fp上的橢圓曲線E(Fp)的運(yùn)算包括點(diǎn)的加法和點(diǎn)的數(shù)乘點(diǎn)的加法令P"P2GE(Fp)，Pi=(Xl，y》，P2=(x2，y2)，則R==(x3，y3)GE(Fp)，其中x3<formula>formulaseeoriginaldocumentpage5</formula>當(dāng)P工^P2時(shí)，入=(y廠y》/(x廠x》；當(dāng)P工=P2時(shí)，A=(3Xl2+a)/(2y2);點(diǎn)的數(shù)乘令p二(x，y)半0，k是整數(shù)，則kP二(x，y)+(x，y)+...+(x，y)的k_l次加法；1.3組密鑰的簽發(fā)者計(jì)算組密鑰消息密文c=n^巧和組密鑰消息簽名s三k2—乂m-dAr2)(modn);如果s=O，則返回步驟1.1;m是組密鑰消息，《是組密鑰簽發(fā)者的私鑰，滿足《G[1，n-l]，A是組密鑰簽發(fā)者的公鑰，滿足A=dAP(modp);1.4組密鑰的簽發(fā)者發(fā)送{c，G，R2，s}給首次加入群組的申請(qǐng)者。2.組密鑰驗(yàn)證階段組密鑰驗(yàn)證階段包括以下具體步驟2.1首次加入群組的申請(qǐng)者驗(yàn)證點(diǎn)G和點(diǎn)R2=(x2，y2)是否是橢圓曲線E(Fp)上的點(diǎn)；如果點(diǎn)G或者點(diǎn)I^不是橢圓曲線E(Fp)上的點(diǎn)，則終止本程序執(zhí)行；計(jì)算參數(shù)1~2=x2(modn)，驗(yàn)證參數(shù)r2和簽名8是否滿足1~2G[l，n-l]，sG[1，n-l];如果不滿足，則終止本程序執(zhí)行；2.2首次加入群組的申請(qǐng)者計(jì)算點(diǎn)&=dBG=(Xl，y》，參數(shù)巧=Xl(modn);2.3首次加入群組的申請(qǐng)者解密組密鑰消息密文m=cr「1;2.4首次加入群組的申請(qǐng)者計(jì)算點(diǎn)V:=r2A+dB—1sR2_sG和點(diǎn)V2=mP;2.5首次加入群組的申請(qǐng)者驗(yàn)證是否滿足K=V2;如果滿足，則接收組密鑰消息；如果不滿足，則終止本程序執(zhí)行。3.第三方證明階段第三方證明階段包括以下具體步驟3.1首次加入群組的申請(qǐng)者計(jì)算點(diǎn)V=dB-1sR2和點(diǎn)U=dBV，發(fā)送{m，G，R2，S，V}給第三方；如果使用的是可信的通信信道，首次加入群組的申請(qǐng)者明文傳送組密鑰消息m;如果使用的是不可信的通信信道，首次加入群組的申請(qǐng)者與第三方協(xié)商加密傳送組密鑰消息m;3.2第三方計(jì)算點(diǎn)=r2A+V_sG和點(diǎn)V2=mP，其中參數(shù)r2=x2(modn)，點(diǎn)R2=(x2，y2)，驗(yàn)證是否滿足K=V2;如果不滿足，終止本程序執(zhí)行；如果滿足，則計(jì)算點(diǎn)U=SR2;3.3首次加入群組的申請(qǐng)者隨機(jī)選擇一個(gè)整數(shù)k，kG[1，n-1]，計(jì)算點(diǎn)E工=kV和點(diǎn)E2=kP，發(fā)送E丄和E2給第三方;3.4第三方隨機(jī)選擇一個(gè)整數(shù)"發(fā)送給首次加入群組的申請(qǐng)者；3.5首次加入群組的申請(qǐng)者計(jì)算v=k_dB"，發(fā)送v給第三方；3.6第三方驗(yàn)證是否滿足=vV+"U和E2=vP+"B;如果滿足，則第三方驗(yàn)證成功；如果不滿足，則第三方驗(yàn)證失敗。本發(fā)明方法的整個(gè)程序存在于網(wǎng)絡(luò)群組通信的整個(gè)過(guò)程中，可以不斷重復(fù)執(zhí)行。本發(fā)明提出的一種組密鑰初始分配中的隱私保護(hù)方法，充分利用了橢圓曲線ElGamal密碼體制安全性高和資源消耗少的特點(diǎn)，通過(guò)關(guān)聯(lián)隨機(jī)數(shù)綁定加密和簽名的方法增加安全的復(fù)雜性，通過(guò)引入有向簽名機(jī)制確保只有首次加入群組的申請(qǐng)者才可以驗(yàn)證組密鑰消息簽名的有效性，從而有效地保護(hù)組密鑰的簽發(fā)者和首次加入群組的申請(qǐng)者的隱私信息，使得除了首次加入群組的申請(qǐng)者以外，任何組密鑰消息的接收者無(wú)法獲知組密鑰的簽發(fā)者和組密鑰的簽發(fā)對(duì)象，資源消耗小，方便部署實(shí)現(xiàn)，達(dá)到了隱私保護(hù)的目的。具體實(shí)施例方式本發(fā)明以一個(gè)小尺寸的具體實(shí)施為例展示本發(fā)明的具體實(shí)施方式，尺寸選擇越大則安全性越高。系統(tǒng)參數(shù)選擇橢圓曲線E:y2三x3+2x+24(mod97)，其中a=2，b=24，p=97橢圓曲線的生成元P=(2，6)生成元P的階數(shù)n=103組密鑰消息m=5組密鑰簽發(fā)者的私鑰dA=3組密鑰簽發(fā)者的公鑰:A=dAP(modp)=3(2，6)(mod97)=(69，61)首次加入群組的申請(qǐng)者的私鑰dB=4首次加入群組的申請(qǐng)者的公鑰:B=dB'P(modp)=4(2，6)(mod97)=(59，50)本發(fā)明具體實(shí)施時(shí)包括組密鑰簽發(fā)、組密鑰驗(yàn)證和第三方證明三個(gè)階段。si.組密鑰簽發(fā)階段組密鑰簽發(fā)階段包括以下具體步驟si.1組密鑰的簽發(fā)者隨機(jī)選擇兩個(gè)整數(shù)、=7和k2=8，滿足1《、=7<n=103，1《k2=8<n=103，、和n的最大公約數(shù)gcd(k"n)=gcd(7，103)=1，k2和n的最大公約數(shù)gcd(k2，n)=gcd(8，103)=l，表明、和n互素，k2和n互素；si.2組密鑰的簽發(fā)者計(jì)算G=(k「k2)P=(mod((k「k2)，n))P=(mod((7-8)，103))(2，6)=102(2,6)=(2，91)R丄=(k「k2)B=(mod((k「k2)，n))B=(mod((7-8)，103))(59，50)=102(59,50)=(59，47)=(Xl，yi)R2=、B=7(59,50)=(13，93)=(x2，y2)巧=x丄(modn)=59(mod103)=59r2=x2(modn)=13(mod103)=13mod((k「k2)，n)是(k「k2)模n運(yùn)算；si.3組密鑰的簽發(fā)者計(jì)算組密鑰消息密文c=mri=559=295和組密鑰消息簽名s三k2—1(m-dAr2)(modn);s=mod((invmodn(k2，n)(m_dAr2))，n)=mod((invmodn(8，103)(5-313))，103)=mod(13(5-313)，103)=73invmodn(k2，n)是k2模n求逆運(yùn)算，運(yùn)算結(jié)果為k2—1;sl.4組密鑰的簽發(fā)者發(fā)送{c，G，R2，s}={295，(2，91)，(13，93)，73}給首次加入7群組的申請(qǐng)者。s2.組密鑰驗(yàn)證階段組密鑰驗(yàn)證階段包括以下具體步驟s2.1首次加入群組的申請(qǐng)者驗(yàn)證點(diǎn)G=(2，91)和點(diǎn)R2=(13，93)=(x2，y2)是否是橢圓曲線E(Fp)上的點(diǎn)；如果點(diǎn)G或者點(diǎn)I^不是橢圓曲線E(Fp)上的點(diǎn)，則終止本程序執(zhí)行；計(jì)算參數(shù)r2=x2(modn)，驗(yàn)證參數(shù)r2和簽名s是否滿足r2G[1，n-l]，sG[1，n-1];如果不滿足，則終止本程序執(zhí)行；將點(diǎn)G=(2，91)代入橢圓曲線方程E:y2三x3+2x+24(mod97)進(jìn)行驗(yàn)i正:y2(modp)=912(mod97)=36x3+2x+24(modp)=23+22+24(mod97)=36(mod97)=36將點(diǎn)R2=(13，93)代入橢圓曲線方程E:y2三x3+2x+24(mod97)進(jìn)行驗(yàn)證y2(modp)=932(mod97)=16x3+2x+24(modp)=133+213+24(mod97)=2247(mod97)=16驗(yàn)證結(jié)果表明點(diǎn)G二(2，91)和點(diǎn)12=(13，93)是橢圓曲線E(Fp)上的點(diǎn)；計(jì)算參數(shù)1~2=x2(modn)=13(mod103)=13，驗(yàn)證結(jié)果表明r2=13G[l，n-l]，s=73G[1，n-l];s2.2首次加入群組的申請(qǐng)者計(jì)算R丄=dBG=4(2，91)=(59，47)=(Xl，y》巧=x丄(modn)=59(mod103)=59;S2.3首次加入群組的申請(qǐng)者解密組密鑰消息密文m=c.r卩1=29559—1=5;S2.4首次加入群組的申請(qǐng)者計(jì)算V丄=r2A+dB—1sR2_sG=r2A+invmodn(dB，n)sR2—sG=13(69，61)+invmodn(4，103)73(13，93)-73(2，91)=13(69，61)+2673(13，93)-73(2，91)=13(69，61)+73(26(13，93)-(2，91))=(64，28)+73*((74，79)-(2，91))=(64，28)+73(74，83)=(64，28)+(62，27)=(44，79)V2=mP=5(2，6)=(44，79);s2.5首次加入群組的申請(qǐng)者驗(yàn)證是否滿足^=V2;如果滿足，則接收組密鑰消息；如果不滿足，則終止本程序執(zhí)行；驗(yàn)證結(jié)果表明K=、，接收組密鑰消息。S3.第三方證明階段第三方證明階段包括以下具體步驟s3.1首次加入群組的申請(qǐng)者計(jì)算V=dB—1sR20117]=invmodn(dB，n)sR20118]=i扁odn(4，103)73(13，93)0119]=2673(13，93)0120]=mod(2673，103)(13，93)0121]=44(13,93)0122]=(59，47)0123]U=dBV=4(59,47)=(32，78)0124]發(fā)送{m，G，R2，s，V}={5，(2，91)，(13，93)，73，(59，47)}給第三方;0125]26*73*(13，93)=mod(2673，103)(13，93)是因?yàn)檫\(yùn)算是在有限域Fp內(nèi)進(jìn)行，n二103是橢圓曲線E(Fp)的生成元P的階數(shù)；0126]s3.2第三方計(jì)算點(diǎn)=r2A+V_sG和點(diǎn)V2=mP，驗(yàn)證是否滿足V丄=V2;如果不滿足，則終止本程序執(zhí)行；如果滿足，則計(jì)算點(diǎn)U=sR2;0127]=r2A+V-sG0128]=13(69，61)+(59，47)_73(2，91)0129]=(64，28)+(59，47)-(24，92)0130]=(44，79)0131]V2=mP0132]=5(2，6)0133]=(44，79)0134]驗(yàn)證結(jié)果表明V!=V2，計(jì)算點(diǎn)U=sR2=73(13,93)=(32，78);0135]s3.3首次加入群組的申請(qǐng)者隨機(jī)選擇一個(gè)整數(shù)k=9G[1，n-l]，計(jì)算點(diǎn)E工=kV=9(59,47)=(17，11)和點(diǎn)E2=kP=9(2，6)=(18，13)，發(fā)送E丄=(17，11)和E2=(18，13)給第三方;0136]S3.4第三方隨機(jī)選擇一個(gè)整數(shù)"s3.5首次加入群組的申請(qǐng)者計(jì)算v=k-dBco(modn)=9-411(mod103)=9-44(mod103)=68(mod103)=68發(fā)送v=68給第三方；s3.6第三方驗(yàn)證是否滿足=v三方驗(yàn)證成功；如果不滿足，則第三方驗(yàn)證失?。?145]=(17，11)vv+U=68(59，47)+ll(32，78)E2=(18，13)vp+cob=68(2，6)+ll(59，50)=(35，80)+(36，17)=(18，13)驗(yàn)證結(jié)果表明=vV+"U和^=vP+"B，第三方驗(yàn)證成功。本發(fā)明具體實(shí)施與方法I(基于橢圓曲線ElGamal密碼體制和數(shù)字簽名機(jī)制的加11發(fā)送給首次加入群組的申請(qǐng)者；0137]0138]0139]0140]0141]0142]0143]0144]0146]0147]0148]0149]0150]V+"U禾PE2=vP+"B;如果滿足，則第(31，l)+(24，92)=(17，11)密和簽名分離的組密鑰初始分配方法)和方法II(基于橢圓曲線ElGamal密碼體制和數(shù)字簽名機(jī)制的加密和簽名綁定的組密鑰初始分配方法)進(jìn)行比較，見(jiàn)表1和表2，實(shí)驗(yàn)環(huán)境為MATLAB7.8.0.347(R2009a)32-bit(Win32)，MicrosoftwindowsXPprofessional2002servicepack2，IntelPentium4CPU3.00GHz512MB，具體實(shí)施效果表明，本發(fā)明方法以較少的資源消耗達(dá)到對(duì)組密鑰簽發(fā)者和首次加入群組的申請(qǐng)者進(jìn)行隱私保護(hù)的目的。表1組密鑰簽發(fā)階段時(shí)間消耗(時(shí)間/秒)<table>tableseeoriginaldocumentpage10</column></row><table><table>tableseeoriginaldocumentpage11</column></row><table><table>tableseeoriginaldocumentpage12</column></row><table>權(quán)利要求組密鑰初始分配中的隱私保護(hù)方法，其特征在于，整個(gè)程序包括組密鑰簽發(fā)，組密鑰驗(yàn)證和第三方證明三個(gè)階段；1.)組密鑰簽發(fā)包括以下具體步驟1.1組密鑰的簽發(fā)者隨機(jī)選擇兩個(gè)整數(shù)k1和k2，滿足1≤k1＜n，1≤k2＜n，k1和n互素，k2和n互素；n是橢圓曲線E(Fp)上的生成元P的一個(gè)素?cái)?shù)階；有限域Fp上的橢圓曲線E(Fp)是定義在仿射平面上的3次方程Ey2≡x3+ax+b(modp)的所有解與無(wú)窮遠(yuǎn)點(diǎn)O的并集，記作E(Fp)＝{(x，y)|y2＝x3+ax+b，(x，y)∈Fp*Fp}U{O}，其中p為大于3的素?cái)?shù)，參數(shù)a，b∈有限域Fp＝{0，1，2，...，p-1}，滿足生成元P的階數(shù)n是滿足nP＝0的最小整數(shù)；1.2組密鑰的簽發(fā)者計(jì)算點(diǎn)G＝(k1-k2)·P，點(diǎn)R1＝(k1-k2)·B＝(x1，y1)，點(diǎn)R2＝k1·B＝(x2，y2)，參數(shù)r1＝x1(modn)，參數(shù)r2＝x2(modn)；如果r1＝0或者r2＝0，則返回步驟1.1；B是首次加入群組的申請(qǐng)者的公鑰，滿足B＝dB·P(modp)，dB是首次加入群組的申請(qǐng)者的私鑰，滿足dB∈[1，n-1]，mod是數(shù)學(xué)模運(yùn)算；有限域Fp上的橢圓曲線E(Fp)的運(yùn)算包括點(diǎn)的加法和點(diǎn)的數(shù)乘點(diǎn)的加法令P1，P2∈E(Fp)，P1＝(x1，y1)，P2＝(x2，y2)，則R＝P1+P2＝(x3，y3)∈E(Fp)，其中x3＝λ2＝x1-x2，y3＝λ(x1-x3)-y1；當(dāng)P1≠P2時(shí)，λ＝(y2-y1)/(x2-x1)；當(dāng)P1＝P2時(shí)，λ＝(3x12+a)/(2y2)；點(diǎn)的數(shù)乘令P＝(x，y)≠0，k是整數(shù)，則kP＝(x，y)+(x，y)+...+(x，y)的k-1次加法；1.3組密鑰的簽發(fā)者計(jì)算組密鑰消息密文c＝m·r1和組密鑰消息簽名s≡k2-1(m-dA·r2)(modn)；如果s＝0，則返回步驟1.1；m是組密鑰消息，dA是組密鑰簽發(fā)者的私鑰，滿足dA∈[1，n-1]，A是組密鑰簽發(fā)者的公鑰，滿足A＝dA·P(modp)；1.4組密鑰的簽發(fā)者發(fā)送{c，G，R2，s}給首次加入群組的申請(qǐng)者；2.)組密鑰驗(yàn)證階段包括以下具體步驟2.1首次加入群組的申請(qǐng)者驗(yàn)證點(diǎn)G和點(diǎn)R2＝(x2，y2)是否是橢圓曲線E(Fp)上的點(diǎn)；如果G和R2不是橢圓曲線E(Fp)上的點(diǎn)，則拒絕接收組密鑰消息；否則，計(jì)算參數(shù)r2＝x2(modn)，驗(yàn)證參數(shù)r2和簽名s是否滿足r2∈[1，n-1]，s∈[1，n-1]；如果不滿足，則終止該程序；否則，繼續(xù)執(zhí)行步驟2.2；2.2首次加入群組的申請(qǐng)者計(jì)算點(diǎn)R1＝dB·G＝(x1，y1)，參數(shù)r1＝x1(modn)；2.3首次加入群組的申請(qǐng)者解密組密鑰消息密文m＝c·r1-1；2.4首次加入群組的申請(qǐng)者計(jì)算點(diǎn)V1＝r2·A+dB-1·s·R2-s·G和點(diǎn)V2＝m·P；2.5首次加入群組的申請(qǐng)者驗(yàn)證是否滿足V1＝V2；如果不滿足，則拒絕接收組密鑰消息；否則，接收組密鑰消息；3.)第三方證明階段包括以下具體步驟3.1首次加入群組的申請(qǐng)者計(jì)算點(diǎn)V＝dB-1·s·R2和點(diǎn)U＝dB·V，發(fā)送{m，G，R2，s，V}給第三方；如果使用的是可信的通信信道，首次加入群組的申請(qǐng)者明文傳送組密鑰消息m；如果使用的是不可信的通信信道，首次加入群組的申請(qǐng)者與第三方協(xié)商加密傳送組密鑰消息m；3.2第三方計(jì)算點(diǎn)V1＝r2·A+V-s·G和點(diǎn)V2＝m·P，其中參數(shù)r2＝x2(modn)，點(diǎn)R2＝(x2，y2)，驗(yàn)證是否滿足V1＝V2；如果不滿足，則終止該程序；否則，計(jì)算點(diǎn)U＝s·R2；3.3首次加入群組的申請(qǐng)者隨機(jī)選擇一個(gè)整數(shù)k，k∈[1，n-1]，計(jì)算點(diǎn)E1＝k·V和點(diǎn)E2＝k·P，發(fā)送E1和E2給第三方；3.4第三方隨機(jī)選擇一個(gè)整數(shù)ω發(fā)送給首次加入群組的申請(qǐng)者；3.5首次加入群組的申請(qǐng)者計(jì)算v＝k-dB·ω，發(fā)送v給第三方；3.6第三方驗(yàn)證是否滿足E1＝v·V+ω·U和E2＝v·P+ω·B；如果滿足，則第三方驗(yàn)證成功；如果不滿足，則第三方驗(yàn)證失敗。F2009102418764C00011.tif,F2009102418764C00012.tif全文摘要組密鑰初始分配中的隱私保護(hù)方法屬于信息安全領(lǐng)域。該方法包括組密鑰簽發(fā)、組密鑰驗(yàn)證和第三方證明；在組密鑰簽發(fā)階段，組密鑰的簽發(fā)者用公鑰對(duì)組密鑰消息進(jìn)行加密，用私鑰和公鑰對(duì)組密鑰消息進(jìn)行有向簽名，將消息密文和簽名一起發(fā)送首次加入群組的申請(qǐng)者。在組密鑰驗(yàn)證階段，首次加入群組的申請(qǐng)者用私鑰對(duì)消息密文進(jìn)行解密，用公鑰和私鑰對(duì)組密鑰消息簽名進(jìn)行驗(yàn)證。在第三方證明階段，首次加入群組的申請(qǐng)者用零知識(shí)證明機(jī)制向第三方證明組密鑰消息簽名的有效性，同時(shí)不向第三方透漏任何隱私信息。該方法通過(guò)關(guān)聯(lián)隨機(jī)數(shù)綁定加密和簽名的方法增加安全的復(fù)雜性，通過(guò)引入有向簽名機(jī)制確保只有首次加入群組的申請(qǐng)者才可驗(yàn)證組密鑰消息簽名的有效性。文檔編號(hào)H04L9/28GK101741564SQ20091024187公開(kāi)日2010年6月16日申請(qǐng)日期2009年12月11日優(yōu)先權(quán)日2009年12月11日發(fā)明者何涇沙,張興,韋潛申請(qǐng)人:北京工業(yè)大學(xué)