基于多變量�、多安全屬性的多接收者簽密方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種多接收者簽密方法,特別是涉及一種基于多變量���、多安全屬性的 多接收者簽密方法����。
【背景技術(shù)】
[0002] 簽密方案將保證消息機密性的加密技術(shù)和保證消息完整性的簽名技術(shù)融合到一 個邏輯步驟中����,同時實現(xiàn)了加密和簽名兩個功能���,比簡單的先簽名再加密具有更高的效率�����。 隨著科技的發(fā)展����,攻擊技術(shù)也不斷升級,消息在傳輸中易遭到篡改����、偽造等攻擊。保護消息 的完整性和機密性的需求日益增強����。簽密技術(shù)被提出后發(fā)展迅速,出現(xiàn)了適應(yīng)不同環(huán)境的 簽密方案����。由于現(xiàn)在大量網(wǎng)絡(luò)應(yīng)用服務(wù)都同時面對眾多用戶,如付費電視�、DVD版權(quán)等,多 接收者的簽密方案應(yīng)運而生�。
[0003] 文獻 1"Efficientandprovablysecuremulti-receiveridentitybased signcryption,ACISP2006,Springer_Verlag���,LNCS4058,pp. 195-206" 首次提出了基于身 份的多接收者簽密方案�,實現(xiàn)了簽名和加密同時在一個邏輯步驟中完成。方案中授權(quán)接收 者使用自己的私鑰驗證消息的有效性�����,但該方案沒有接收者身份信息�,接收者無法判斷自 己是否為合法接收者。
[0004] 文獻 2"Efficientidentity-basedsigncryptionschemeformultiple receivers.Proc.theAutonomicandTrustedComputing4thInternational Conference, 13 - 21.doi:10. 1007/978-3-540-73547-2_4" 在簽密方案中增加了接收者身 份列表�����,但是該方案容易受到對發(fā)送者的偽造攻擊�,不能保證安全性。
[0005] 文獻3"AnovelID-basedanonymoussigncryptionscheme.Proc.theAdvances inDataandWebManagementJointInternationalConferences, 604 - 610.doi:10. 1 007/978-3-642-00672-2_58. "提出了接收者匿名的簽密方案�����,但該方案存在很多安全隱 患�,尤其是不能保證接收者的解簽密的公平性。近年來量子技術(shù)的發(fā)展給傳統(tǒng)簽密技術(shù) 帶來了 巨大的威脅�,為了抵抗量子攻擊�,"QuantumAttack-resistantCertificateless Multi-receiverSigncryptionScheme.PLOSONE. 8(6) :e49141. 2013."在簽密方案中增加 了抗量子計算技術(shù),但它不能實現(xiàn)解簽密的公平性����。
【發(fā)明內(nèi)容】
[0006] 為了克服現(xiàn)有多接收者簽密方法解簽密公平性差的不足,本發(fā)明提供一種基于多 變量、多安全屬性的多接收者簽密方法�����。該方法包含生成系統(tǒng)參數(shù)和每個用戶的密鑰對的 算法KeyGen���、簽密算法Signcrypt和解簽密算法Designcrypt�����。簽密算法基于特征為q的 有限域F�,系統(tǒng)中共有N+t個參與者��,包括N個簽密者和t個解簽密者(N多t)�,簽密者集 合和解簽密者集合沒有交集。該方法從實際簽密者中選擇一個領(lǐng)導(dǎo)L��,實際簽密者用自己的 密鑰對消息進行簽密��。為了隱藏實際簽密者的身份�,領(lǐng)導(dǎo)L會計算出干擾數(shù)據(jù),這些數(shù)據(jù)是 L在不知道非實際簽密者的密鑰情況下替每一個非實際簽密者計算得到的�����。干擾數(shù)據(jù)和實 際簽密者的真實數(shù)據(jù)混合在一起,讓接收者無法判斷實際簽密者的身份����。本發(fā)明采用門限 技術(shù)保證了發(fā)送者匿名性;在通信數(shù)據(jù)中不再直接給出接收者的身份列表��,保證了接收者 匿名性和提前判斷性�;將解簽密的關(guān)鍵信息和授權(quán)接收者的信息融合到一個參數(shù)列表中, 保證了解簽密公平性�����。
[0007] 本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是:一種基于多變量�����、多安全屬性的多 接收者簽密方法�����,其特點是采用以下步驟:
[0008] 步驟一�����、通過KeyGen算法產(chǎn)生用戶i的公鑰pki和用戶i的私鑰skp其中i= 1�����,…�����,N�����。系統(tǒng)在實際的t個簽密者組成的群體中選擇一個領(lǐng)導(dǎo)者L��,將整個明文消息M分為t塊��。選擇一個Com函數(shù)和五個Hash函數(shù)�����,Com:Fn| |Fm-F°�����,n>m�,| |是級聯(lián)符號,Com函數(shù) 滿足統(tǒng)計隱藏和計算綁定屬性���,選擇〇 = 128�。如{0, 1}* - {0, 1} 1廠一{0, 1,2,3} k�����,H2: {0, 1} 1+m-Zq*����,H3:Zq* -Zq*,H4:Zq* - {0,l}n+M/t�����。得到系統(tǒng)參數(shù)為params= (H0,氏 �,H2,H3�,H4,q��,Com)�。函數(shù)的具體過程如下,
[0009] Com函數(shù)的隱藏統(tǒng)計屬性表示不同的輸入?yún)?shù)經(jīng)過Com函數(shù)計算后得到的輸出結(jié) 果不同����,且結(jié)果對于接收者不可區(qū)分��。Com函數(shù)的計算綁定屬性表示輸入數(shù)據(jù)經(jīng)過Com函數(shù) 計算得到輸出結(jié)果后�,發(fā)送者無法否認輸入數(shù)據(jù)的值�。
[0010] 發(fā)送者確定Com函數(shù)的輸入?yún)?shù)的長度�����。Com函數(shù)的輸入?yún)?shù)的長度為n+m���, Com函數(shù)的輸入?yún)?shù)包括兩個參數(shù)���,第一個參數(shù)是基于有限域F的n維向量,第二個參數(shù) 是基于F的m維向量�����。定義輸入?yún)?shù)為X��。定義《為Com函數(shù)的安全參數(shù)���,定義小= 2?+2(n+m)+4���。選擇一個碰撞避免的Hash函數(shù)h5: {0, 1} 1} u����,已知一個碰撞避免 的函數(shù)群H6:{0����,1} {0,l��,}n+m�����。Com的輸出包含兩部分���,記為c和d�����。發(fā)送者將c和d發(fā) 送給接收者��。115是公開的Hash函數(shù)�����。
[0011] a)發(fā)送者隨機選擇rG{〇, 1} *����,計算y=h5(r).
[0012] b)發(fā)送者從116的Hash函數(shù)群中選擇一個h6GH6,滿足h6(r) =X�。
[0013] c)Com的輸出為c= (h6,y),d=r��。
[0014] 接收者驗證y=h5(r) *h6(r) =X���,由于h#Ph5都是碰撞避免的函數(shù),故不存在 一個滿足h6(r' ) =X和y=h5(r')的r'����。發(fā)送者無法否認X。
[0015] 用戶i選擇一個變換方程組Fi����,同時選擇兩個可逆仿射變換r\GFn和AiGFm。 要求用戶i選擇隨機向量SieFn���,用戶i的私鑰為(知『,.�,54,.)���,滿足€(5,) = 0且5中不含常 數(shù)項�,具體方法如下。
[0016] 保證= 〇且方程中不包含常數(shù)項�����,此算法默認的單項式系數(shù)為1 ;
[0017] a)系統(tǒng)在用戶i的向量Si=(sn�����,s2i�,…,sni)中從右往左尋找第一個不為0的分 量����,將該分量的下標值賦給變量x。系統(tǒng)為用戶i隨機選擇一個具有n個變量和m個方程的 多項式方程組€��,該方程組沒有常數(shù)項����。計算%,)。現(xiàn)在巧(?,) = (供���,的值 不一定為0,需要按照過程b)改變方程組6中方程的系數(shù)�����,直到巧\) = (%...���,%,)的每個分 量值等于〇為止��。
[0018] b)依次從方程組中選擇方程fj�����,j= 1,…����,m�。選擇.也,)的第j個分量 好�����。如果約的值不為0,按照以下公式對&做修改����,直到鈐的值為0為止。以下公式中7?表 示方程fj中的第X個單變量項的系數(shù)�����,S!£是si=(sn,s2i����,…,sni)中下標值為X的分量:
[0019]
【主權(quán)項】
1. 一種基于多變量�����、多安全屬性的多接收者簽密方法�����,其特征在于包括以下步驟: 步驟一����、通過KeyGen算法產(chǎn)生用戶i的公鑰Pki和用戶i的私鑰ski,其中i = 1����,…,N ; 系統(tǒng)在實際的t個簽密者組成的群體中選擇一個領(lǐng)導(dǎo)者L����,將整個明文消息M分為t塊���;選 擇一個Com函數(shù)和五個Hash函數(shù),Com :Fn I I Fm- F °����,n>m,I I是級聯(lián)符號���,Com函數(shù)滿足統(tǒng) 計隱藏和計算綁定屬性��,選擇 〇 = 128 ;HQ: {0, 1}* - {0, 1} S H1: {0, 1} 1�,2, 3} k��,H2: {0, 1}1+m- Z q*�,H3:Z - Zq*,H4:Z - {0, l}n+M/t;得到系統(tǒng)參數(shù)為 params = (H Q����,H1, H2, H3 ���,H4, q��,Com);函數(shù)的具體過程如下�, Com函數(shù)的隱藏統(tǒng)計屬性表示不同的輸入?yún)?shù)經(jīng)過Com函數(shù)計算后得到的輸出結(jié)果不 同,且結(jié)果對于接收者不可區(qū)分����;Com函數(shù)的計算綁定屬性表示輸入數(shù)據(jù)經(jīng)過Com函數(shù)計算 得到輸出結(jié)果后,發(fā)送者無法否認輸入數(shù)據(jù)的值�����; 發(fā)送者確定Com函數(shù)的輸入?yún)?shù)的長度��;Com函數(shù)的輸入?yún)?shù)的長度為n+m���,Com函數(shù) 的輸入?yún)?shù)包括兩個參數(shù)���,第一個參數(shù)是基于有限域F的η維向量,第二個參數(shù)是基于F的 m維向量�;定義輸入?yún)?shù)為X ;定義ω為Com函數(shù)的安全參數(shù),定義Φ = 2ω+2(η+ηι)+4 ;選 擇一個碰撞避免的Hash函數(shù)h5:{0��,l} {0�����,1} ω����,已知一個碰撞避免的函數(shù)群Η6:{0�,1} {0, 1�,} n+m;Com的輸出包含兩部分,記為c和d ;發(fā)送者將c和d發(fā)送給接收者��;h 5是公 開的Hash函數(shù)�; a) 發(fā)送者隨機選擇r e {〇, 1} φ,計算y = h5 (r). b) 發(fā)送者從HfJ^Hash函數(shù)群中選擇一個h6e H6�,滿足h6(r) = X ; c) Com 的輸出為 c = (h6, y),d = r ; 接收者驗證y = h5 (r)和h6 (r) = X���,由于匕和h 5都是碰撞避免的函數(shù)����,故不存在一個 滿足h6 f ) = X和y = h5 f )的y ;發(fā)送者無法否認X ; 用戶i選擇一個變換方程組g��,同時選擇兩個可逆仿射變換FlPA