從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)的匿名簽密方法
【專利摘要】本發(fā)明公開了一種從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)的匿名簽密方法��。其具體過程為:從公鑰函數(shù)數(shù)據(jù)庫中隨機選取參數(shù)�,并生成身份公鑰系統(tǒng)和證書公鑰系統(tǒng)的系統(tǒng)公鑰和系統(tǒng)私鑰;根據(jù)系統(tǒng)參數(shù)和公���、私鑰生成用戶的公�����、私鑰���;利用雙線性對、身份公鑰系統(tǒng)用戶的私鑰和證書公鑰系統(tǒng)用戶的公鑰���,對消息進行匿名簽密��,并把密文發(fā)送給接收者��;接收者根據(jù)雙線性對和自身的私鑰���,對收到的密文進行解簽密,同時認證發(fā)送者的身份。本發(fā)明具有實施過程簡單����、傳輸效率高的優(yōu)點,可用于實現(xiàn)從身份公鑰系統(tǒng)向證書公鑰系統(tǒng)傳輸消息的機密性��、認證性和匿名性���。
【專利說明】從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)的匿名簽密方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全【技術(shù)領(lǐng)域】���,涉及匿名簽密,具體地說是一種高效的從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)的匿名簽密方法���,可用于實現(xiàn)從身份公鑰系統(tǒng)向證書公鑰系統(tǒng)傳輸消息的機密性��、認證性和匿名性��。
【背景技術(shù)】
[0002]信息安全是信息化社會所面臨的重要問題之一�����,信息安全問題已經(jīng)成為制約網(wǎng)絡(luò)技術(shù)發(fā)展的一個重要因素?��,F(xiàn)代密碼學是信息安全的理論基礎(chǔ),機密性和認證性是密碼學中兩個重要的安全目標�。消息的機密性可以通過一種基本的密碼技術(shù)加密來獲得。加密可以看成是這樣一種變換�,它將可讀的明文信息變換成不可讀的密文信息。消息的認證性可以通過另一種基本的密碼技術(shù)數(shù)字簽名來實現(xiàn)�����。數(shù)字簽名也是對信息的一種變換��,它可以使信息的接收者確認信息發(fā)送者的身份���。然而�����,像電子支付這樣的實際應(yīng)用不但需要實現(xiàn)機密性��,同時也需要實現(xiàn)認證性��。
[0003]為了同時實現(xiàn)機密性和認證性��,一個傳統(tǒng)的方法是先對消息進行數(shù)字簽名�,然后再進行加密�����,稱為“先簽名后加密”。然而�����,這種方法的效率比較低�����,其計算量和通信成本是分別進行簽名和加密的代價之和��。為了提高效率�,Zheng在1997年提出了“數(shù)字簽密”的概念。與傳統(tǒng)的“先簽名后加密”方法相比�,簽密具有如下優(yōu)點:簽密能夠在一個邏輯步驟內(nèi)同時實現(xiàn)機密性和認證性,而其計算量和通信成本都要低于傳統(tǒng)的“先簽名后加密”方法�;合理設(shè)計的簽密方案具有更高的安全性;簽密可以簡化同時需要保密和認證的密碼系統(tǒng)的設(shè)計�。總之���,簽密是實現(xiàn)既保密又認證地傳輸消息的較為理想的方法�,并已得到了廣泛的應(yīng)用����,如移動代理安全�����、電子商務(wù)和電子郵件等。
[0004]自從公鑰密碼的概念被提出以后�����,證書公鑰密碼系統(tǒng)吸引了大量研究者的注意�����。在公鑰密碼體制中�����,公鑰的管理通常采用數(shù)字證書的方式��。一個可信的證書權(quán)威機構(gòu)通過向用戶簽發(fā)數(shù)字證書��,把用戶的身份信息和公鑰綁定在一起��。任何人可以通過驗證證書的有效性來確認公鑰的有效性���?;跇藴实臄?shù)字簽名算法D SA (D i g i t a I SignatureAlgorithm),韓國學者Shin��,Lee和Shim在2002年提出了兩種實用的簽密方法�。盡管克服了對稱密碼系統(tǒng)的密鑰分發(fā)問題,而且具有更強的保密性�,但是證書公鑰系統(tǒng)仍存在一個缺點,即需要管理大量的數(shù)字證書�。在證書公鑰系統(tǒng)中,在向其他用戶發(fā)送消息之前��,發(fā)送者首先需要查找目標用戶的公鑰證書�����,并基于證書權(quán)威機構(gòu)的公鑰對證書的合法性和有效性進行驗證��。證書管理將會帶來較大的計算開銷和存儲開銷�����,降低了證書公鑰系統(tǒng)的可擴展性�。針對證書公鑰系統(tǒng)的上述缺陷,Shamir于1984年提出了基于身份的密碼體制的概念�����。在基于身份的公鑰密碼中,公鑰直接就是用戶的身份��,如姓名���、地址和身份證號碼等任何唯一的字符串。因此�����,基于身份的公鑰系統(tǒng)可以很自然地實現(xiàn)公鑰和用戶身份的綁定���,不需要數(shù)字證書���。然而,直到2001年�,基于超奇異橢圓曲線上的雙線性對,Boneh和Franklin提出了第一個實用的基于身份的加密方案�����。為了在基于身份的環(huán)境下同時獲得機密性和認證性�,美國學者Lynn于2002年提出了第一個基于身份的簽密方案�。為了進一步提高效率�����,巴西學者Barreto等人利用雙線性對構(gòu)造了一個更高效的基于身份的簽密方案�。在2009年,印度學者Selvi����,Vivek和Srinivasan提出了具有多接收者的基于身份的簽密方案。
[0005]然而����,已有的簽密方法大都只支持單一的密碼系統(tǒng),要么是證書公鑰系統(tǒng)�,要么是身份公鑰系統(tǒng)。在實際應(yīng)用中�,不同的機構(gòu)可能采用不同的公鑰密碼系統(tǒng)。當身份公鑰系統(tǒng)的用戶A想要給證書公鑰系統(tǒng)的用戶B發(fā)送消息時��,A首先要對消息做基于身份的簽名�����,再對簽名做證書公鑰加密���,或者需要在證書公鑰系統(tǒng)里申請一對公私鑰�����,然后再用基于證書的簽密技術(shù)對消息進行簽密����,把簽密密文發(fā)送給B,這兩種方法的效率都比較低����,而且增加了系統(tǒng)的復雜性����。為了簡化系統(tǒng)的設(shè)計,中國學者Sun和Li于2010年構(gòu)造了身份公鑰系統(tǒng)和證書公鑰系統(tǒng)之間的簽密方法���。然而��,在實際應(yīng)用中�,為了保護自己的隱私�,消息的發(fā)送者往往不想讓任何第三方獲悉消息的來源。在已有的從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)的簽密方法中,由于發(fā)送者的身份直接被暴露在簽密密文中�,因而已有方法不能實現(xiàn)傳遞消息的匿名性,泄露了用戶的隱私��。
【發(fā)明內(nèi)容】
[0006]本發(fā)明目的在于提高從身份公鑰系統(tǒng)向證書公鑰系統(tǒng)傳輸消息的安全性和效率���,提供一種從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)的匿名簽密方法�,一種能簡單高效的實現(xiàn)從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)的匿名簽密方法,以簡單高效地實現(xiàn)從身份公鑰系統(tǒng)向證書公鑰系統(tǒng)傳輸消息的機密性�����、認證性和匿名性�����,簡化系統(tǒng)�、提高安全性和傳輸效率���。
[0007]實現(xiàn)本發(fā)明目的的技術(shù)方案是:對身份公鑰系統(tǒng)用戶的公鑰進行盲化�,計算從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)的雙線性對,再用計算結(jié)果對消息進行匿名簽密并傳輸���。
[0008]具體過程如下:
[0009](I)系統(tǒng)初始化步驟: [0010]身份公鑰系統(tǒng)和證書公鑰系統(tǒng)從公鑰函數(shù)數(shù)據(jù)庫中隨機選取一套參數(shù)�����,包括兩個階為素數(shù)q的循環(huán)群G和GT���,G的生成元P�,一個雙線性對
e: G X G 4 Gr�,以及三個哈希函數(shù) H0: {0,1} * — G�����,丑1: {0�,1}η X G 4 和H2: Gt {O, I}" χ {0,1}-- χ {0,1}* χ 這里���,{0����,I}* 表示任意比特長的二進制序列組成的集合����,η是明文消息的比特長度,{0���,1}η表示η比特長的二進制序列組成的集合7, = {.1���,2〃..����,g — 1}表示有限域Zq={0,1,..., q-Ι}去掉元素零所得到的乘法群���,
根據(jù)選取的參數(shù)�����,身份公鑰系統(tǒng)選取系統(tǒng)公鑰mpk和系統(tǒng)私鑰msk�,證書公鑰系統(tǒng)選取系統(tǒng)公鑰tpk和系統(tǒng)私鑰tsk ;
[0011](2)用戶密鑰生成步驟:
[0012]身份公鑰系統(tǒng)的密鑰生成中心PKG把用戶A的身份104作為用戶A的公鑰�,并根據(jù)IDa和msk計算出用戶A的私鑰Da ;證書公鑰系統(tǒng)的用戶B由自己生成公鑰Yb和私鑰xB ;
[0013](3)匿名簽密步驟:
[0014]根據(jù)自己的私鑰Da和證書公鑰系統(tǒng)的用戶B的公鑰YB,身份公鑰系統(tǒng)的用戶A對消息m進行匿名簽密得到簽密密文C���,并將C發(fā)送給用戶B ��;
[0015](4)解簽密步驟:
[0016]收到由身份公鑰系統(tǒng)的用戶A發(fā)送來的密文C后�����,證書公鑰系統(tǒng)的用戶B根據(jù)雙線性對的性質(zhì)�,利用自己的私鑰xB對密文C進行解簽密�,得到消息m,同時對發(fā)送者的身份進行認證���。
[0017]其中步驟(1)所述的身份公鑰系統(tǒng)的系統(tǒng)公鑰mpk和系統(tǒng)私鑰msk���,以及證書公鑰系統(tǒng)的系統(tǒng)公鑰tpk和系統(tǒng)私鑰tsk,按照如下方式生成:
[0018](a)身份公鑰系統(tǒng)從Y:中隨機選取一個元素s作為系統(tǒng)私鑰msk�,并計算Ptl=S.Ρ作為系統(tǒng)公鑰mpk ;
[0019](b)證書公鑰系統(tǒng)從中隨機選取一個元素作為系統(tǒng)私鑰tsk�����,并計算系統(tǒng)公鑰tpk=tsk.P,其中符號“.”表示群G對應(yīng)的橢圓曲線上的點乘運算�����。
[0020]其中步驟⑵所述的用戶A的私鑰Da,以及用戶B的公鑰Yb和私鑰xB����,按照如下方式生成:
[0021](a)根據(jù)系統(tǒng)私鑰s和用戶A的身份IDa,身份公鑰系統(tǒng)的PKG計算Da=S.Qa作為用戶A的私鑰��,其中Qa=Hci(IDa)�;
[0022](b)證書公鑰系統(tǒng)的用戶B M Z1中隨機選取一個元素作為自己的私鑰xB���,并將該
私鑰與系統(tǒng)參數(shù)中G的生成元P相乘,計算出自己的公鑰Yb=Xb.Po
[0023]其中步驟(3)所述的身份公鑰系統(tǒng)的用戶A利用Da和Yb對消息m進行匿名簽密,計算出簽密密文C��,按照如下過程進行:
[0024](a)用戶A從{0�,1}η中隨機選取一個元素σ ;
[0025](b)用戶A計算--ι(σ十m, (?)�����,記為Zi1 = --ι(σ十m,Qj)��,其中符號“十”表
示比特異或運算�����;
[0026](c)用戶A分別計算
[0027]hi.Qa,記為 Ctl=Ii1.Qa,
[0028]^Wip\\m\\IDA\\hi)?H2{e{DA,YB)hi),
[0029]記為Ci=卜||爪||/1^1||/11)出好2間1^�����,¥0產(chǎn))�,其中符號“||”表示比特級聯(lián)����;
[0030](d)根據(jù)計算的結(jié)果�,用戶A輸出密文CMQ�,C1)����,該密文不包含發(fā)送者A的身份IDa���。
[0031]其中步驟(4)所述的證書公鑰系統(tǒng)的用戶B利用自己的私鑰xB對密文C進行解簽密,按照如下過程進行:
[0032](a)用戶B把密文C解析成C= (C0, C1)�����;
[0033](b)用戶 B 計算C1 十馬(6'((70��,PqYb),
[0034]記為σ? Iw/lliX^pi = CiOiJ2Ce (Co,巧)句);
[0035](C)用戶 B 計算(V 1.Co��,記為 Q/ =(h/ )-、C0;
[0036](d)用戶B驗證等式Q/ =H0 (ID; A)和^ = ^((J'十(?)是否同時成立�,如果是,則B輸出消息m=m'和發(fā)送者A的身份IDa=ID' A���,否則認為密文C無效��。
[0037]本發(fā)明的有益效果是:由于能夠在簽密密文中隱藏發(fā)送者的身份����,從而保護了發(fā)送者的隱私�����;由于僅用一個雙線性對實現(xiàn)了從身份公鑰系統(tǒng)向證書公鑰系統(tǒng)傳輸消息的機密性和認證性,避免了發(fā)送者先進行數(shù)字簽名再加密��,或者先到接受者所在的證書公鑰系統(tǒng)申請公私鑰��,然后在證書公鑰系統(tǒng)中對消息進行基于公鑰證書的簽密的復雜過程����,從而簡化了系統(tǒng)���,提高了安全性和傳輸效率���;方法簡單且實用性強���,具有推廣作用�。
[0038]以下結(jié)合附圖對本發(fā)明目的、方案作進一步說明�。
【專利附圖】
【附圖說明】
[0039]圖1是從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)進行通信的示意圖�;
[0040]圖2是本發(fā)明的算法流程圖����;
[0041]圖3是本發(fā)明的算法中解簽密步驟的流程圖���。
【具體實施方式】
[0042]一、本發(fā)明所應(yīng)用的數(shù)學理論和技術(shù)術(shù)語說明:
[0043]1、雙線性對
[0044]本發(fā)明中����,雙線性對?: G X Giil是一個滿足雙線性性��、非退化性和可計算
性的映射,它把素數(shù)階群G中的兩個元素映射到素數(shù)階群Gt中的一個元素����。比如����,定義在超奇異橢圓曲線上的Weil對 和Tate對就是滿足條件的雙線性對���。
[0045]2�、哈希函數(shù)
[0046]哈希函數(shù)就是把任意長度的輸入變換成固定長度的輸出這樣一種單向函數(shù)�,這個輸出稱為該輸入的哈希值。一個安全的哈希函數(shù)應(yīng)該滿足以下幾個條件:①輸出長度是固定的��,一般至少取128比特���,以抵抗生日攻擊對每一個給定的輸入����,其哈希值可以很容易的計算出來給定哈希函數(shù)的描述和一個哈希值�����,找到相應(yīng)的輸入是計算上不可行的�;④給定哈希函數(shù)的描述�,找到具有相同哈希值的兩個不同的輸入是計算上不可行的。
[0047]3、有關(guān)技術(shù)術(shù)語
[0048]本發(fā)明的有關(guān)技術(shù)術(shù)語可通過圖1說明如下:
[0049](I)PKG為身份公鑰系統(tǒng)的“密鑰生成中心”�����,負責生成用戶的私鑰;
[0050](2) CA為證書公鑰系統(tǒng)的“證書權(quán)威機構(gòu)”�,負責頒發(fā)和管理公鑰證書;
[0051](3)節(jié)點A為身份公鑰系統(tǒng)的一個用戶����,是消息的發(fā)送者��;
[0052](4)節(jié)點B為證書公鑰系統(tǒng)的一個用戶��,是消息的接收者����;
[0053](5)本發(fā)明中的身份公鑰系統(tǒng)和證書公鑰系統(tǒng)可以是獨立的系統(tǒng)��,也可以是某個公鑰系統(tǒng)下的兩個子系統(tǒng)�。
[0054]二��、本發(fā)明的實現(xiàn)過程
[0055]參照圖1�����、圖2和圖3���,本發(fā)明的具體過程如下:
[0056]步驟1�、系統(tǒng)初始化。
[0057]身份公鑰系統(tǒng)和證書公鑰系統(tǒng)從公鑰函數(shù)數(shù)據(jù)庫中隨機選取一套參數(shù)�����,包括兩個階為素數(shù)q的循環(huán)群G和GT�,G的生成元P����,一個雙線性對
����; G X G -> Gr 以及三個哈希函數(shù) H���。: {0����,I}* — g,E1: {O, l}n x G ^ Ζ* 和?ν.: Gt {0.1}" X {0,1}" X {0.1 K' x '�����,這里�����,{0����,1}* 表示任意比特長的二進制序列組成的集合����,η是明文消息的比特長度��,{O,1}η表示η比特長的二進制序列組成的集合��,A ={12.����,g —1}表示有限域Z,= {0����,1,...,q-1}去掉元素零所得到的乘法群�����;
根據(jù)選取的參數(shù)�����,身份公鑰系統(tǒng)從中隨機選取一個元素s作為系統(tǒng)私鑰msk�,并計算
P0=S.P作為系統(tǒng)公鑰mpk ;證書公鑰系統(tǒng)從中隨機選取一個元素作為系統(tǒng)私鑰tsk��,并計算系統(tǒng)公鑰tpk=tsk*P�����,其中符號“.”表示群G對應(yīng)的橢圓曲線上的點乘運算��。
[0058]步驟2��、用戶密鑰生成。
[0059]身份公鑰系統(tǒng)的密鑰生成中心PKG把用戶A的身份IDa作為用戶A的公鑰�,并根據(jù)系統(tǒng)私鑰s和用戶A的身份IDa計算Da=S.Qa作為用戶A的私鑰�����,其中Qa=Hci(IDa);證書公
鑰系統(tǒng)的用戶B從Zq中隨機選取一個元素作為自己的私鑰xB�����,并將該私鑰與系統(tǒng)參數(shù)中G
的生成元P相乘��,計算出自己的公鑰Yb=Xb.Po
[0060]步驟3����、匿名簽密���。
[0061]身份公鑰系統(tǒng)的用戶A利用Da和Yb對消息m進行匿名簽密�����,計算出簽密密文C,按照如下過程進行:
[0062](3a)用戶A從{0���,1}η中隨機選取一個元素σ ;
[0063](3b)用戶A計算
【權(quán)利要求】
1.一種從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)的匿名簽密方法�,其特征在于:對身份公鑰系統(tǒng)用戶的公鑰進行盲化���,計算從身份公鑰系統(tǒng)到證書公鑰系統(tǒng)的雙線性對,再用雙線性對的計算結(jié)果對消息進行匿名簽密并傳輸����。
2.如權(quán)利要求1所述的匿名簽密方法��,其特征在于����,包括: (1)系統(tǒng)初始化步驟: 身份公鑰系統(tǒng)和證書公鑰系統(tǒng)從公鑰函數(shù)數(shù)據(jù)庫中隨機選取一套參數(shù)���,包括兩個階為素數(shù)q的循環(huán)群G和GT�,G的生成元P,一個雙線性對?: G X G 4 Gt�����,以及三個哈希函數(shù)
3.根據(jù)權(quán)利要求2所述的匿名簽密方法���,所述步驟(1)中的身份公鑰系統(tǒng)的系統(tǒng)公鑰mpk和系統(tǒng)私鑰msk,以及證書公鑰系統(tǒng)的系統(tǒng)公鑰tpk和系統(tǒng)私鑰tsk�����,按照如下方式生成: (3a)身份公鑰系統(tǒng)從在J中隨機選取一個元素s作為系統(tǒng)私鑰msk,并計算Ptl=S.P作為系統(tǒng)公鑰mpk ; (3b)證書公鑰系統(tǒng)從中隨機選取一個元素作為系統(tǒng)私鑰tsk�,并計算系統(tǒng)公鑰tpk=tsk.P,其中符號“.”表示群G對應(yīng)的橢圓曲線上的點乘運算�。
4.根據(jù)權(quán)利要求2所述的匿名簽密方法�����,其特征在于,所述步驟(2)中的用戶A的私鑰Da,以及用戶B的公鑰Yb和私鑰xB�,按照如下方式生成: (4a)根據(jù)系統(tǒng)私鑰s和用戶A的身份IDa,身份公鑰系統(tǒng)的PKG計算Da=S.Qa作為用戶A的私鑰�����,其中Qa=Hci(IDa)����; (4b)證書公鑰系統(tǒng)的用戶B從中隨機選取一個元素作為自己的私鑰xB,并將該私鑰與系統(tǒng)參數(shù)中G的生成元P相乘,計算出自己的公鑰Yb=Xb.Po
5.根據(jù)權(quán)利要求2所述的匿名簽密方法,其特征在于�����,所述步驟(3)中的身份公鑰系統(tǒng)的用戶A利用Da和Yb對消息m進行匿名簽密,計算出簽密密文C����,按照如下過程進行: (5a)用戶A從{O,1}η中隨機選取一個元素σ ; (5b)用戶A計算
6.根據(jù)權(quán)利要求2所述的匿名簽密方法����,其特征在于�,所述步驟(4)中的證書公鑰系統(tǒng)的用戶B利用自己的私鑰xB對密文C進行解簽密,按照如下過程進行: (6a)用戶B把密文C解析成C= (C0, C1); (6b)用戶 B 計算
【文檔編號】H04L9/32GK103746811SQ201310740804
【公開日】2014年4月23日 申請日期:2013年12月27日 優(yōu)先權(quán)日:2013年12月27日
【發(fā)明者】張應(yīng)輝, 鄭東, 趙慶蘭, 任方 申請人:西安郵電大學