CN107104802A - 一种在标准模型下可证安全的基于属性的签密方法 - Google Patents

Abstract

本发明公开了一种在标准模型下可证安全的基于属性的签密方法，所述签密为在一个逻辑步骤内同时实现数字签名和加密两种功能。所述签名为发送方以电子形式签名一个消息或文件,签名后的消息或文件能在计算机网络中传送,并表示签名人对该消息或文件的内容负有责任；所述加密为利用技术手段把重要数据进行编码传送。既可以做到对消息的保密传输，还可以对签密者所含的属性进行认证。同时，该方法在标准模型下满足机密性,即在MBDH假设下适应性选择密文攻击下的不可区分性。

Description

一种在标准模型下可证安全的基于属性的签密方法

技术领域：

本发明属于计算机信息安全技术领域,涉及一种签密方法,尤其是一种在标准模型下可证安全的基于属性的签密方法。

背景技术：

1984年Shamir提出了基于身份的公钥密码体制，其基本思想是用户采用自己的身份信息作为公钥，而用户的私钥由一个可信的第三方产生。基于身份的公钥密码体制以较低的代价解决了基于证书的公钥体制中证书与用户身份的绑定问题，但是也带来了另一个问题就是会泄漏用户身份信息。2005年在欧密会上首次提出了模糊身份的概念，这就是基于属性密码系统的雏形。在一个属性基加密方法中,每个用户都拥有一组属性,一个中心机构拥有一个主密钥。当用户第一次加入属性基加密系统时,中心机构根据该用户的属性,利用主密钥为其产生一个密钥。加密者可以利用一组属性来加密消息,使得只有属性与密文中要求的属性相匹配的用户才能利用其密钥解密密文。由于不同的用户可能有部分相同的属性,所以属性基加密方法可以实现一对多的安全的数据传输，同时它也可以容易地实现解密者身份的隐藏。

在基于属性密码的实际应用中解密者有可能需要对自己收到的密文进行认证。比如，属性集合为A₁的用户收到属性集合为A₂的用户发送的密文C，接收者不仅要解密该密文，而且要验证C的发送者是属性集合为A₁的用户。这时，就要同时用到基于属性的加密和签名两项功能。如果用传统的先签名后加密，则它的计算量和通信成本都将会增加。同时，由于在随机预言机模型中,哈希函数被看作为一个完全随机的理想模型,是一个很强的要求。因此在随机预言机模型下是可证安全的签密方案在具体应用中却无法构造出相应的实例。所以,构造标准模型下安全的基于属性的签密方案既具有较高的安全性同时也具有现实意义,是亟待解决的问题。

发明内容：

本发明的目的在于将线性码上的属性基密码构造方法引入签密之中，提出了一个线性码上的基于属性的签密方法。该方法可以在一个合理的逻辑步骤内同时完成基于属性加密和基于属性签名两项功能，既可以做到对消息的保密传输，还可以对签密者所含的属性进行认证。同时，该方法在标准模型下满足机密性,即在MBDH假设下适应性选择密文攻击下的不可区分性。

本发明的目的是通过以下技术方案来解决的：

本发明是标准模型下安全的基于属性的签密方法。所述签密为在一个逻辑步骤内同时实现数字签名和加密两种功能。所述签名为发送方以电子形式签名一个消息或文件,签名后的消息或文件能在计算机网络中传送,并表示签名人对该消息或文件的内容负有责任；所述加密为利用技术手段把重要数据进行编码传送。

该方法按照以下步骤实施

步骤一、系统建立

1)给定安全系数κ,密钥生成中心(PKG)任意选取素数p阶的循环群G₁，G₂,g是G₁的生成元，双线性映射e：G₁*G₁→G₂，全部属性集合A＝{1，2，…，n-1}；

2)PKG选取一个密码学哈希函数H：{0，1}^*→Z_p；

3)PKG随机选取y∈Z_p，计算Y＝e(g,g)^y；

4)PKG随机选取整数l_i对应于某项属性i∈A，计算

则系统参数为params＝{L₁,L₂,…,L_n-1,Y},主密钥为{l₁,l₂,…,l_n-1,y}。

步骤二、用户密钥生成

令C是一个[n,k；p]线性码且生成矩阵G＝(g₀，g₁，…，g_n-1)_k×n，则基于属性集A的线性码C上秘密共享体制的访问结构随机选择向量使得y＝ug₀。令A_s和A_e分别是签密者P₁的签名属性集和加密属性集，其中A_s是线性码C上秘密共享体制的访问结构Γ_A中的授权子集，即A_s∈Γ_A。A_u是接收者P₂的属性集。对某一系统用户p,该用户的属性集合是A的一个子集，记作A_p，则用户p的私钥为其中i∈A_p。具体地，

1)签名私钥为其中i∈A_s。

2)解密私钥为其中i∈A_u∩A_e。

步骤三、签密

假设签密者P₁想要给接收者发送签密消息，其中要签密的消息为M∈G₂。

1)在Z_p上选取随机数x，计算

2)计算r＝H₁(ε||M)；

3)计算

4)计算E＝M*Y^x；

5)则密文为C＝(A_s,A_e,E,ε,s)。

步骤四、解签密

当接收者P₂接收到密文C＝(A_s,A_e,E,ε,s)时，执行如下步骤：

1)计算其中λ_i是接收者P₂计算的满足的系数。

2)计算M＝E/β；

3)计算r＝H₁(ε||M)；

4)计算υ'＝β^r，其中α_i是接收者P₂计算的满足的系数。

如果υ＝υ'，验证通过，所得消息有效，返回解密后的信息M；否则输出拒绝。

本发明具有以下有益效果

本发明针对签密使用环境中,系统只需要机密性或认证性时,系统必须使用额外的加密算法或签名算法,增加系统负担；签密过程无法实现一对多的安全的数据传输以及解密者身份的隐藏；随机预言机模型下安全方案现实中无法构建具体实例等问题。本发明利用双线性对技术,基于线性码定义灵活的访问结构，提出标准模型下安全的基于属性的签密方法解决上述问题。基于计算性Diffie-Hellman假设和判定性双线性Diffie-Hellman假设下,本发明能够满足不可伪造性和机密性。本发明提供电子文档的标准模型下安全的基于属性的签密,保护了电子文档的机密性、完整性、不可伪造性和不可否认性。

附图说明：

图1为本发明提供的属性基签密方法的流程图；

图2为本发明提供的属性基签密装置的结构示意图。

具体实施方式：

下面结合附图对本发明做进一步详细描述：

参见图1、2，本发明是标准模型下安全的基于属性的签密方法。所述签密为在一个逻辑步骤内同时实现数字签名和加密两种功能。所述签名为发送方以电子形式签名一个消息或文件,签名后的消息或文件能在计算机网络中传送,并表示签名人对该消息或文件的内容负有责任；所述加密为利用技术手段把重要数据进行编码传送。

该方法按照以下步骤实施

步骤一、系统建立

1)给定安全系数κ,密钥生成中心(PKG)任意选取素数p阶的循环群G₁，G₂,g是G₁的生成元，双线性映射e：G₁*G₁→G₂，全部属性集合A＝{1，2，…，n-1}；

2)PKG选取一个密码学哈希函数H：{0，1}^*→Z_p；

3)PKG随机选取y∈Z_p，计算Y＝e(g,g)^y；

4)PKG随机选取整数l_i对应于某项属性i∈A，计算

则系统参数为params＝{L₁,L₂,…,L_n-1,Y},主密钥为{l₁,l₂,…,l_n-1,y}。

步骤二、用户密钥生成

令C是一个[n,k；p]线性码且生成矩阵G＝(g₀,g₁,…,g_n-1)_k×n，

则基于属性集A的线性码C上秘密共享体制的访问结构随机选择向量使得y＝ug₀。令A_s和A_e分别是签密者P₁的签名属性集和加密属性集，其中A_s是线性码C上秘密共享体制的访问结构Γ_A中的授权子集，即A_s∈Γ_A。A_u是接收者P₂的属性集。对某一系统用户p,该用户的属性集合是A的一个子集，记作A_p，则用户p的私钥为其中i∈A_p。

具体地，

1)签名私钥为其中i∈A_s。

2)解密私钥为其中i∈A_u∩A_e。

步骤三、签密

假设签密者P₁想要给接收者发送签密消息，其中要签密的消息为M∈G₂。

1)在Z_p上选取随机数x，计算

2)计算r＝H₁(ε||M)；

3)计算

4)计算E＝M*Y^x；

5)则密文为C＝(A_s,A_e,E,ε,s)。

步骤四、解签密

当接收者P₂接收到密文C＝(A_s,A_e,E,ε,s)时，执行如下步骤：

1)计算其中λ_i是接收者P₂计算的满足的系数。

2)计算M＝E/β；

3)计算r＝H₁(ε||M)；

4)计算υ'＝β^r，其中α_i是接收者P₂计算的满足的系数。

如果υ＝υ'，验证通过，所得消息有效，返回解密后的信息M；否则输出拒绝。

本发明具有以下有益效果

本发明针对签密使用环境中,系统只需要机密性或认证性时,系统必须使用额外的加密算法或签名算法,增加系统负担；签密过程无法实现一对多的安全的数据传输以及解密者身份的隐藏；随机预言机模型下安全方案现实中无法构建具体实例等问题。本发明利用双线性对技术,基于线性码定义灵活的访问结构，提出标准模型下安全的基于属性的签密方法解决上述问题。基于计算性Diffie-Hellman假设和判定性双线性Diffie-Hellman假设下,本发明能够满足不可伪造性和机密性。本发明提供电子文档的标准模型下安全的基于属性的签密,保护了电子文档的机密性、完整性、不可伪造性和不可否认性。

下面分别给出本发明标准模型下安全的基于属性签密方法的正确性和安全性证明：

·正确性

故M＝E/β，r＝H₁(ε||M)，可算得υ'＝β^r；又

验证υ＝υ'，若等式成立，则消息有效，返回解密后的信息M；否则,输出拒绝。

·机密性

证明：

假设伪造者A能以不可忽略的优势ò攻击本方案,则能够构造算法B以至少ò/2的优势解决群G₁中的计算性Diffie-Hellman问题，具体实施构造步骤如下：

区分者把作为子程序来解决一个随机的问题实例,即给定g,g^a,g^b,g^c,Z,判定是否成立。B模拟A的挑战者，且接收挑战的加密属性集

初始化：B按照下面方法分配公钥参数。令Y＝e(g,A)＝e(g,g)^a，全部属性集合A＝{1，2，…，n-1}。对于所有的i∈A,若随机选择β_i∈Z_p且令(故l_i＝cβ_i)；若则随机γ_i∈Z_p且令(故l_i＝γ_i)。并将公钥参数PK发给敌手A，在他看来这些参数就像是按照签密系统随机产生的。

阶段1:当敌手A发起一定数量的询问时,算法B进行如下响应：

1)私钥询问：当敌手A对于属性集ω_u且时，我们定义解密秘钥如果令其中k_i∈Z_p；否则，令其中γ_i∈Z_p。对于ug_i＝cβ_ik_i，且对于我们有ug_i＝ξ_i,B能够构造其私钥。

2)解签密询问：在满足的情况下，敌手A对密文C＝(ω_s,ω_e,E,ε,s)发起解签密询问时,假设A提供属性集ω_u,i，算法B运行私钥提取算法，并将签密结果传送给A。

挑战阶段：敌手A提交两个相同长度的消息M₀andM₁，B随机选取ν∈{0，1}，则将C^*发送给A,继续随机选取μ∈{0，1}。

如果μ＝0,则令则

如果μ＝1,则Z＝e(g,g)^z，那么E'＝M_νe(g,g)^z。由于z是随机选取的,E'是群G₂中的一个随机元，故明文不包含M_ν的任何消息。

阶段2：敌手A按照第一步中定义的查询再次进行询问

猜想：敌手A输出对ν的猜想ν'。如果ν＝ν',B输出μ'＝0,令如果B输出μ'＝1,则Z是群G₂中的一个随机数。

下面计算B成功的概率。

当μ＝1时，A不会得到有关ν的任何信息。因此我们可得由于当ν≠ν',B猜想μ'＝1,故

当μ＝0时，A看到关于M_ν的一个签密。定义A的优势为，可得由于当ν＝ν',B猜想μ'＝1,故

所以B的优势是：

即当伪造者A能以不可忽略的优势ò攻击本方案,能够构造算法B以至少ò/2的优势解决群G₁中的计算性Diffie-Hellman问题。

注：如图2所示,属性基签密装置包括建立单元,接收单元,解密验证单元。

1)建立单元,用于中心机构建立基于线性码秘密共享体制的属性基签密系统。

2)接收单元,用于接收中心机构发送的密钥,所述密钥是由中心机构通过线性码上的秘密共享理论体系、属性基签密系统的主密钥以及P₁、P₂的属性集生成的，所要用到的属性基签密系统的公共参数、属性基签密系统的主密钥是通过中心机构的安全参数生成的。所述接收单元还用于,接收签密方P₁发送的密文,所述密文是由其密钥、系统主密钥以及公共参数生成的。

接收单元还包括输入子单元,输出子单元

所述输入子单元,用于输入安全参数,生成属性基签密系统的主密钥，属性基签密系统的公共参数以及P₁、P₂的属性集。

所述输出子单元,用于输出签密方P₁和解密方P₂的密钥以及密文。

3)解密验证单元,P₂的属性集A_u满足A_u∩A_e∈Γ_A时，在通过其相应密钥解密密文的同时，利用公共参数和双线性群产生算法验证所述密钥的正确性。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施方式仅限于此，对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单的推演或替换，都应当视为属于本发明由所提交的权利要求书确定专利保护范围。

Claims (6)

1.一种在标准模型下可证安全的基于属性的签密方法，其特征在于：所述签密为在一个逻辑步骤内同时实现数字签名和加密两种功能；所述签名为发送方以电子形式签名一个消息或文件,签名后的消息或文件能在计算机网络中传送,并表示签名人对该消息或文件的内容负有责任；所述加密为利用技术手段把重要数据进行编码传送；既可以做到对消息的保密传输，还可以对签密者所含的属性进行认证。

2.如权利要求1所述的签密方法，其特征在于，按照如下步骤：

步骤一：中心机构建立属性基签密系统；

步骤二：签密方P₁和解密方P₂接收中心机构发送的密钥，密钥是由中心机构通过线性码上的秘密共享理论体系、属性基签密系统的主密钥以及签密方P₁、解密方P₂的属性生成的；

步骤三：签密方P₁利用其密钥、系统主密钥以及公共参数生成密文，并将其发送给解密方P₂；

步骤四：当解密方P₂的属性集按一定要求满足访问控制结构时，通过其相应密钥解密密文并验证签名，以判定该密文的有效性及真实性。

3.如权利要求2所述的签密方法，其特征在于，所述步骤一如下：

1)给定安全系数κ,密钥生成中心(PKG)任意选取素数p阶的循环群G₁，G₂,g是G₁的生成元，双线性映射e：G₁*G₁→G₂，全部属性集合A＝{1，2，…，n-1}；

2)PKG选取一个密码学哈希函数H：{0，1}^*→Z_p；

3)PKG随机选取y∈Z_p，计算Y＝e(g,g)^y；

4)PKG随机选取整数l₁,l₂,...,l_n-1∈Z_p，l_i对应于某项属性i∈A，计算则系统参数为params＝{L₁,L₂,...,L_n-1,Y},主密钥为{l₁,l₂,...,l_n-1,y}。

4.如权利要求2所述的签密方法，其特征在于，所述步骤二如下：

令C是一个[n,k；p]线性码且生成矩阵G＝(g₀,g₁,...,g_n-1)_k×n，则基于属性集A的线性码C上秘密共享体制的访问结构随机选择向量使得y＝ug₀；令A_s和A_e分别是签密者P₁的签名属性集和加密属性集，其中A_s是线性码C上秘密共享体制的访问结构Γ_A中的授权子集，即A_s∈Γ_A；A_u是接收者P₂的属性集；对某一系统用户p,该用户的属性集合是A的一个子集，记作A_p，则用户p的私钥为其中i∈A_p；具体地，

1)签名私钥为其中i∈A_s；

2)解密私钥为其中i∈A_u∩A_e。

5.如权利要求2所述的签密方法，其特征在于，所述步骤三如下：

假设签密者P₁想要给接收者发送签密消息，其中要签密的消息为M∈G₂。

1)在Z_p上选取随机数x，计算

2)计算r＝H₁(ε||M)；

3)计算

4)计算E＝M*Y^x；

5)则密文为C＝(A_s,A_e,E,ε,s)。

6.如权利要求2所述的签密方法，其特征在于，所述步骤四如下：

当接收者P₂接收到密文C＝(A_s,A_e,E,ε,s)时，执行如下步骤：

1)计算其中λ_i是接收者P₂计算的满足的系数；

2)计算M＝E/β；

3)计算r＝H₁(ε||M)；

4)计算其中α_i是接收者P₂计算的满足的系数；

如果υ＝υ'，验证通过，所得消息有效，返回解密后的信息M；否则输出拒绝。