[发明专利]基于椭圆曲线高效匿名的无证书多接收者签密方法

权利要求书

1.一种基于椭圆曲线高效匿名的无证书多接收者签密方法，其特征在于包括以下步骤：

步骤一、私钥生成中心PKG选取大素数p，选择阶为大素数p的有限域F_p和安全的椭圆曲线E(F_p)以及加法循环群G_p，选取加法循环群G_p上的生成元P；

其中，F_p表示阶为大素数p的有限域，P表示加法循环群G_p上的生成元；

步骤二、私钥生成中心PKG选取系统主密钥s∈Z_p^*，计算P_pub＝sP作为系统公钥，并将系统主密钥s安全保存；

其中，∈表示限定域符号，Z_p^*表示基于大素数p构成的非零乘法群，P_pub表示系统公钥；

步骤三、私钥生成中心PKG构造5个抗碰撞的哈希函数，分别记为：H₀:H₁:其中λ₁＝|ID|；H₂:H₃:H₄:其中λ₂＝|m|；

其中，H₀,H₁,H₂,H₃,H₄表示抗碰撞的哈希函数，A→B表示定义域A到值域B的映射，表示长为λ₁的0或1构成的串，λ₁＝|ID|表示用户的身份信息的长度，表示长为λ₂的0或1构成的串，λ₂＝|m|表示明文消息的长度，×表示笛卡尔乘积；

步骤四、私钥生成中心PKG选取安全的对称加密函数E_k(.)和对称解密函数D_k(.)；

其中，k表示对称密钥；

步骤五、私钥生成中心PKG公布阶为大素数p的有限域F_p，加法循环群G_p，加法循环群G_p上的生成元P，安全的椭圆曲线E(F_p)，5个抗碰撞的哈希函数H₀,H₁,H₂,H₃,H₄，对称加密函数E_k(.)，对称解密函数D_k(.)，系统公钥P_pub，安全保存系统主密钥s；

步骤六、用户注册步骤中的用户包括接收者和发送者，均需通过执行下列步骤获取自己的公钥和私钥；

步骤七、用户随机的选取一个整数v∈Z_p^*作为秘密值；

其中，v表示用户随机选择的秘密值；

步骤八、按照下式，计算用户的验证份额V：

V＝vP

步骤九、用户将自己的验证份额V和自己的身份信息ID发送给私钥生成中心PKG；

步骤十、私钥生成中心PKG收到用户的验证份额V和用户的身份信息ID后，随机选取整数d∈Z_p^*，按照下式计算用户的公钥PK：

PK＝H₀(ID,d)P+H₁(ID,V)V

其中，d表示私钥生成中心PKG随机选取的整数，H₀,H₁表示抗碰撞的哈希函数；

步骤十一、按照下式，私钥生成中心PKG计算用户的部分私钥T：

T＝H₀(ID,d)+s(mod p)

其中，H₀表示抗碰撞的哈希函数，mod表示求模操作；

步骤十二、私钥生成中心PKG将用户的部分私钥T和用户的公钥PK发送给用户，其中用户的部分私钥T通过安全信道发送给用户；

步骤十三、用户收到私钥生成中心PKG发送的用户的部分私钥T和用户的公钥PK，按照下式计算用户的私钥SK：

SK＝T+H₁(ID,V)v(mod p)

步骤十四、用户判断收到的公钥PK和部分私钥T是否满足如下等式，若是，则执行步骤十五，否则，则执行步骤十六：

v(PK+P_pub)＝V(T+H₁(ID,V)v)

其中，P_pub表示系统公钥，V表示用户的验证份额，T表示用户的部分私钥，H₁表示抗碰撞的哈希函数，ID表示用户的身份信息；

步骤十五、用户将公钥PK发送给私钥生成中心PKG，并由私钥生成中心PKG对外公布用户的公钥PK，用户安全保存自己的私钥SK，之后退出用户注册过程；

步骤十六、用户向私钥生成中心PKG报错，并退出用户注册过程；

步骤十七、发送者S判断自己是否已经执行用户注册过程，若是，利用自己的公钥PK_S和私钥SK_S，执行步骤十八，否则，发送者S执行用户注册过程获取自己的公钥PK_S和私钥SK_S后，再执行步骤十八；

步骤十八、发送者S随机选取n个接收者L₁,L₂,...,L_n，其中，n表示大于0的整数；

步骤十九、按照下式，对每一个i＝1,2,…,n，发送者S计算第i个接收者L_i的伪公钥Q_i：

Q_i＝PK_i+P_pub

其中，Q_i表示第i个接收者L_i的伪公钥，n表示发送者S随机选取的接收者的数目，PK_i表示第i个接收者L_i的公钥，P_pub表示系统公钥；

步骤二十、发送者S随机选择整数r∈Z_p^*，按照下式计算发送者S的签密验证份额R：

R＝rP

其中，r表示发送者S随机选择的整数，R表示发送者S的签密验证份额；

步骤二十一、按照下式，对每一个i＝1,2,…,n，计算第i个接收者L_i的签密验证份额F_i：

F_i＝rQ_i

其中，F_i表示第i个接收者L_i的签密验证份额，n表示发送者S随机选取的接收者的数目，Q_i表示第i个接收者L_i的伪公钥；

步骤二十二、按照下式，对每一个i＝1,2,…,n，发送者S计算第i个接收者L_i的伪身份值α_i：

α_i＝H₂(F_i,R)

其中，α_i表示第i个接收者L_i的伪身份值，H₂表示抗碰撞的哈希函数，F_i表示第i个接收者L_i的签密验证份额，n表示发送者S随机选取的接收者的数目；

步骤二十三、发送者S随机选择整数δ∈Z_p^*作为伪密钥后，按照下式，发送者S构造接收者身份信息混合值f(x)：

其中，δ表示发送者S随机选取的伪密钥，f(x)表示接收者身份信息混合值，x表示自变量，Π表示连乘操作，n表示发送者S随机选取的接收者的数目，α_i表示第i个接收者L_i的伪身份值，mod表示求模操作，c₀,c₁,...,c_n-1表示接收者身份信息混合值f(x)各项的系数；

步骤二十四、按照下式，发送者S计算对称密钥k：

k＝H₃(δ)

其中，H₃表示抗碰撞的哈希函数；

步骤二十五、发送者S按照下式计算密文消息J：

J＝E_k(m)

其中，E_k(.)表示对称加密函数，m表示明文消息；

步骤二十六、按照下式，发送者S计算密文的有效性参数γ：

γ＝H₄(m,δ,c₀,c₁,...,c_n-1,J,R)

其中，γ表示密文的有效性参数，H₄表示抗碰撞的哈希函数；

步骤二十七、按照下式，发送者S计算验证发送者S身份的有效性参数τ：

τ＝H₄(J,σ,γ,R)

其中，H₄表示抗碰撞的哈希函数，J表示密文消息，σ＝(c₀,c₁,...,c_n-1)表示接收者身份信息混合值f(x)各项的系数的集合；

步骤二十八、按照下式，发送者S计算发送者S的伪私钥w：

w＝SK_S+τr(modp)

其中，SK_S表示发送者S的私钥；

步骤二十九、按照下式，发送者S计算发送者S身份的验证份额W：

W＝wP-P_pub

其中，w表示发送者S的伪私钥，P_pub表示系统公钥；

步骤三十、发送者S将密文消息J、发送者S的签密验证份额R、接收者身份信息混合值f(x)的系数c₀,c₁,…,c_n-1、密文的有效性参数γ、发送者S身份的验证份额W作为签密密文C，并将签密密文C进行广播给接收者；

步骤三十一、接收者L_i判断自己是否已经执行用户注册过程，若是，利用自己的公钥PK_i和私钥SK_i，执行步骤三十二，否则，接收者L_i执行用户注册过程获取自己的公钥PK_i和私钥SK_i后，再执行步骤三十二；

步骤三十二、按照下式，接收者L_i计算自己的签密验证份额F_i：

F_i＝SK_iR

其中，F_i表示接收者L_i的签密验证份额，SK_i表示接收者L_i的私钥，R表示发送者S的签密验证份额；

步骤三十三、按照下式，接收者L_i计算自己的伪身份值α_i：

α_i＝H₂(F_i,R)

其中，α_i表示接收者L_i的伪身份值，H₂表示抗碰撞的哈希函数，F_i表示接收者L_i的签密验证份额，i＝1,2,…,n，n表示发送者S随机选取的接收者的数目，R表示发送者S的签密验证份额；

步骤三十四、按照下式，接收者L_i计算接收者身份信息混合值f(x)：

f(x)＝xⁿ+c_n-1x^n-1+...+c₁x+c₀

其中，f(x)表示接收者身份信息混合值，x表示自变量，n表示发送者S随机选取的接收者的数目，c₀,c₁,...,c_n-1表示接收者身份信息混合值f(x)各项的系数；

步骤三十五、按照下式，接收者L_i计算发送者S随机选取的伪密钥δ：

δ＝f(α_i)

其中，δ表示发送者S随机选取的伪密钥，f(x)表示接收者身份信息混合值，x表示自变量，α_i表示接收者L_i的伪身份值；

步骤三十六、按照下式，接收者L_i计算对称密钥k：

k＝H₃(δ)

其中，k表示对称密钥，H₃表示抗碰撞的哈希函数；

步骤三十七、按照下式，接收者L_i计算明文消息m：

m＝D_k(J)

其中，m表示明文消息，D_k(.)表示对称解密函数，J表示密文消息；

步骤三十八、按照下式，接收者L_i计算密文的权限参数γ′：

γ′＝H₄(m,δ,c₀,c₁,...,c_n-1,J,R)

其中，γ′表示密文的权限参数，H₄表示抗碰撞的哈希函数；

步骤三十九、接收者判断密文的权限参数γ′与密文的有效性参数γ是否相等；若是，则执行步骤四十,否则，接收者L_i拒绝明文消息m，并退出接收者解密过程；

步骤四十、按照下式,接收者L_i计算验证发送者S身份的权限参数τ′：

τ′＝H₄(J,σ,γ′,R)

其中，τ′表示验证发送者S身份的权限参数，H₄表示抗碰撞的哈希函数，J表示密文消息，σ＝(c₀,c₁,...,c_n-1)表示接收者身份信息混合值f(x)各项的系数的集合，c₀,c₁,…,c_n-1表示接收者身份信息混合值f(x)各项的系数，γ′表示密文的权限参数，R表示发送者S的签密验证份额；

步骤四十一、按照下式,接收者L_i计算发送者S身份的有效性验证份额W'：

W′＝τ′R+PK_S

其中，W'表示发送者S身份的有效性验证份额，τ′表示验证发送者S身份的权限参数，R表示发送者S的签密验证份额，PK_s表示发送者S的公钥；

步骤四十二、接收者L_i判断发送者S身份的验证份额W与发送者S身份的有效性验证份额W'是否相等，若是，说明发送者S的身份通过验证，接收者L_i确定接受发送者S发送的明文消息m，并退出接收者的解密过程,否则，说明发送者S的身份验证不通过，接收者L_i拒绝发送者S发送的明文消息m，并退出接收者的解密过程。