基于身份的门限环签密方法

摘要

一种基于身份的门限环签密方法，包括标准模型下的((1)系统建立、(2)私钥提取、(3)签密、(4)解签密。本发明的方法是在标准模型下构造的，与随机预言模型下设计的方案相比，安全性更好。

主权项

1.一种基于身份的门限环签密方法，其特征在于：包括以下步骤：(1)系统建立：随机选取参数，生成系统参数以及相应的主密钥，其中系统参数为公开参数，具体步骤为：令G，G_T是阶为素数p的循环群，e：G×G→G_T是一个双线性映射，两个无碰撞的哈希函数和将任意长度的身份ID和消息m分别输出长度为n_u和n_m的位串；可信第三方随机选取参数α∈Z_p，生成元g∈G，计算g₁＝g^a。随机选取参数g₂，u′，m′∈G，n_u维向量n_m维向量其中u_i，m_i∈_RG，则系统参数为$\mathrm{param}=(G,G_T,e,g,g_1,g_2,u^{\prime },\hat{U},m^{\prime },\hat{M},H_u,H_m),$主密钥为(2)私钥提取：输入系统参数、主密钥和用户的身份，获得该用户身份的私钥，具体步骤为：给定用户身份ID，通过哈希函数u＝H_u(ID)计算得到代表用户身份的长度为n_u的位串，令u[i]表示该位串中的第i位，定义位串中数值为1的序号集合Φ_ID；随机选取参数r_u∈Z_p，计算用户身份为ID的私钥$d_{\mathrm{ID}}=(d_1,d_2)=(g_2^{\alpha }{\left(u^{\prime }\underset{i\in {\Phi }_{\mathrm{ID}}}{\Pi }{u}_i\right)}^{r_u},g^{r_u}).$(3)签密：给定门限环签密中n个成员的集合L＝{ID₁，...，ID_n}，实际进行签密的t个签密者的身份下标为{1，2，...，t}，待签密消息m，签密接收者的身份ID_R，签密的具体步骤为：各签密者ID_i(i＝1，...，t)随机选择其子秘密s_i∈Z_p，构造系数在Z_p的t-1次多项式f_i(x)＝a_i，0+a_i，1x+…+a_i，t-1x_t-1，其中s_i＝a_i，0；然后签密者ID_i计算公开参数并向其它签密者广播；计算其它各签密者ID_i(j≠i)的秘密分享s_i，j＝f_i(j)，并将它们发送给其它签密者ID_j(j＝1，2，..，t；j≠i)，自己保留s_i，i＝f_i(i)；其他各签密者ID_j(j＝1，2，..，t；j≠i)从第i个签密者ID_i得到秘密分享s_i，j后，用如下等式验证其有效性：当确认秘密分享有效后，各签密者ID_i根据秘密分享计算其私有秘密为根据环成员身份列表L＝{ID₁，...，ID_n}、t个签密者、待签密消息m以及t个签密者的私钥，环签密接收者身份ID_R，获得在待签密消息m下的(t，n)门限环签密C，(t，n)表示门限环签密中成员总数为n，t是门限值，实际参与生成门限环签密的成员数≥t，具体步骤为：令m∈G_T为待签密消息，该门限环签密者随机选取l₁，...，l_n∈Z_p，计算$U_i=u^{\prime }\underset{j\in {\Phi }_{{\mathrm{ID}}_i}}{\Pi }{\hat{u}}_j,$i＝1，...，n，$R_1={\sigma }_{16}{g}^{l_1},...,R_t={\sigma }_{t6}{g}^{l_t},$$R_{t+1}=g^{l_{t+1}},...,R_n=g^{l_n}.$令${\sigma }_1={\Pi }_{i=1}^t{\sigma }_{i1}·m,$${\sigma }_2={\Pi }_{i=1}^t{\sigma }_{i2},$${\sigma }_3={\Pi }_{i=1}^t{\sigma }_{i3},$${\sigma }_4={\Pi }_{i=1}^t{\sigma }_{i4}·\underset{i=1}{\overset{n}{\Pi }}{\left(U_i\right)}^{l_i},$${\sigma }_5={\Pi }_{i=1}^t{\sigma }_{i5},$则生成的门限环签密为C＝(σ₁，...σ₅，R₁，...R_n)。(4)解签密：根据门限环签密和环签密接收者ID_R的私钥计算得到消息，将得到的消息带到公式$e{(\sigma }_4,g)=e{(g_1,g_2)}^{t}e(U_1,R_1)...e(U_n,R_n)e(m^{\prime }\underset{i\in M}{\Pi }{m}_i,{\sigma }_5)$中，当且仅当等式成立时，门限环签密有效，所得消息正确，否则所得门限环签密无效，所得消息错误，返回步骤(1)。