基于无证书环境的可否认认证的加密方法和系统技术方案

本发明专利技术公开了一种基于无证书环境的可否认认证的加密方法和系统，利用发送者的私钥生成对称密钥，并生成对消息的可否认认证的密文；接收者利用自己的私钥验证对称密钥的合法性；如果对称密钥合法，则解密出原始消息；否则，拒绝该对称密钥。本发明专利技术实现基于无证书环境的可否认认证的加密通信，为基于无证书环境的用户提供端到端的安全保障。

Deniable Authentication Encryption Method and System Based on Certificate-free Environment

【技术实现步骤摘要】
基于无证书环境的可否认认证的加密方法和系统
本专利技术涉及一种基于无证书环境的可否认认证的加密方法和系统，属于加密

技术介绍
认证的加密(AuthenticatedEncryption,AE)方案分为对称的AE和非对称的AE，它可同时实现两种安全目标：保密性和认证性。对称的AE通过使用密钥K1的哈希函数和使用密钥K2的安全加密算法来实现AE。在对称的AE中，密钥K1和密钥K2需要提前协商好。对称AE的认证性是可否认的认证，因为发送者和接收者都可以产生相同的密文。也就是说，接收者可以产生一个和发送者在概率上不可区分的密文。非对称的AE在一个逻辑步骤内实现了公钥加密和数字签名两种算法，可以大大减少计算和通信开销。但是，非对称的AE不能自动实现可否认的认证，因为只有发送者能产生一个有效的密文。也就是说，非对称的AE可以实现不可否认性。所以，对于认证性，对称的AE和非对称的AE是完全不同的。对称的AE是可否认的，而非对称的AE是不可否认的。可否认的认证不同于传统的认证，它有两个主要的特点：(1)指定的接收者能够确定给定消息的来源；(2)指定的接收者不能向任意第三方证明给定消息的来源。可否认的认证可以应用在很多具体的方面，比如，电子选票系统中的无胁迫投票、网络上的安全协商以及基于编码器的安全系统。但是在这些协议中，消息都是以明文的形式进行传输的，容易造成隐私泄露的问题。为了解决这个问题，带有保密性的可否认的认证协议被提出[Harn,L.andRen,J.(2008).Designoffullydeniableauthenticationservicefore-mailapplications.CommunicationsLetters,12(3),219-221.]。2016年，Li等人[Li,F.,Zhong,D.,&Takagi,T.(2016).EfficientDeniablyAuthenticatedEncryptionandItsApplicationtoE-Mail.IEEETransactionsonInformationForensicsandSecurity,11(11),2477-2486.]提出了可否认认证的加密协议，并把该协议应用在电子邮件系统中。随后，Li等人[Li,F.,Zheng,Z.,&Jin,C.(2016).Identity-baseddeniableauthenticatedencryptionanditsapplicationtoe-mailsystem.TelecommunicationSystems,62(4),625-639.]提出了使用tag-KEM和DEM混合方式构造的基于身份的可否认认证的加密协议，并给出了安全性证明。Jin和Zhao[Jin,C.,&Zhao,J.(2017).EfficientandShortIdentity-BasedDeniableAuthenticatedEncryption.Inproc.ofInternationalConferenceonCloudComputingandSecurity,pp.244-255.]提出了一个基于身份的可否认认证的加密协议。与已有的协议相比，他们的协议在计算和通信开销方面都具有优势。Ahene等人[Ahene,E.,Jin,C.,&Li,F.(2018).Certificatelessdeniablyauthenticatedencryptionanditsapplicationtoe-votingsystem.TelecommunicationSystems,1-18.]提出了一个基于无证书环境的可否认认证的加密协议，他们的协议既可以避免基于PKI的公钥证书管理问题，又可以避免基于身份的密钥托管问题。在密码学中，有三种公钥认证的方法：基于公钥基础设施(PublicKeyInfrastructure,PKI)的方法、基于身份(Identity-Based)的方法和无证书(Certificateless)方法。在基于PKI的密码系统中，一个可信的第三方CA签发与每个用户公钥相关的公钥证书，包括证书的颁发、存储、撤销等。每个用户在使用任何公钥前都需要先验证公钥证书的合法性，增加了用户的计算开销。为了解决公钥证书管理的问题，Shamir于1984年首次提出了基于身份的密码体制的概念[ShamirA.Identity-basedcryptosystemsandsignatureschemes.AdvancesinCryptology-CRYPTO’84,LNCS196,1985:47-53.]。在基于身份的密码体制中，用户的公钥可以根据用户的身份信息(如姓名、身份证号码、电话号码、E-mail地址等)直接计算出来，用户的私钥则是由一个称为私钥生成中心(privatekeygenerator,PKG)的可信第三方生成。但是，基于身份的密码体制有一个致命的缺点：所有用户的私钥都由PKG生成。PKG知道所有用户的私钥，不可避免的引起密钥托管问题。为了克服基于身份密码体制中的密钥托管问题，Al-Riyami和Paterson提出了无证书密码体制(certificatelesscryptography)的概念[Al-RiyamiSS,PatersonKG.Certificatelesspublickeycryptography.AdvancesinCryptology-ASIACRYPT2003,LNCS2894,2003:452-473.]。在这种密码体制中，用户的私钥由两部分组成：一部分是用户自己选择的秘密值，另一部分是由密钥生成中心(keygeneratingcentre,KGC)根据用户的身份信息计算的部分私钥。也就是说，用户需要联合KGC生成的部分私钥和自己的秘密值来生成完全私钥。因此，KGC并不知道用户的完全私钥，从而消除了密钥托管问题。而用户的公钥通常利用秘密值来生成，不需要额外的公钥证书。对于大容量的消息来说，实现秘密通信最有效的方式就是使用混合加密技术。混合加密把加密进程分成了两部分：一部分使用公钥技术来加密一次性对称密钥；另一部分使用对称密钥来加密真正的消息。在这种构造下，公钥部分被称为密钥封装机制(keyencapsulationmechanism,KEM)，对称部分被称为数据封装机制(dataencapsulationmechanism,DEM)。2003年，CramerandShoup(Cramer,R.,&Shoup,V.(2003).Designandanalysisofpracticalpublic-keyencryptionschemessecureagainstaadaptivechosenciphertextattack.SIAMJournalonComputing,33(1),167-226.)首次对混合的KEM-DEM构造进行了形式化的安全性分析。2008年，Abeetal.(Abe,M.,Gennaro,R.,&Kurosawa,K.(2008).Tag-KEM/DEM:Anewframeworkfo本文档来自技高网...

【技术保护点】
1.一种基于无证书环境的可否认认证的加密方法，其特征在于，所述方法包括以下步骤：步骤1：设定系统参数，所述系统参数包括选择的安全参数k、加法群G1和乘法群G2的阶q、加法群G1的生成元P、加法群G1、乘法群G2、无证书环境的密钥生成中心生成的主公钥Ppub、主私钥s以及用于无证书环境可否认认证加密解密的双线性对e和哈希函数hash；步骤2：密钥生成中心根据主私钥s和用户提交的身份信息ID，生成用户的部分私钥DID；无证书环境的用户联合其部分私钥DID和自己的秘密值xID生成自身的完全私钥SID，同时利用秘密值xID生成其公钥PKID；步骤3：无证书环境的发送者获取接收者的身份信息IDB和接收者的公钥PKB，根据自身的身份信息IDA、公钥PKA、完全私钥SA、接收者的身份信息IDB、接收者的公钥PKB以及无证书环境的密钥生成中心生成的主公钥Ppub，通过双线性对e和哈希函数hash运算生成对称密钥K，同时生成内部状态信息ω；步骤4：发送者根据对称密钥K和消息m生成密文c，并根据密文c、标签τ、发送者的身份信息IDA、发送者的公钥PKA、发送者的完全私钥SA、接收者的身份信息IDB、接收者的公钥PKB和消息m，通过异或、哈希函数、点乘、点加和双线性对运算执行加密过程；步骤5：接收者根据标签τ、密文c、发送者的身份信息IDA、发送者的公钥PKA、接收者的身份信息IDB、接收者的公钥PKB和接收者的完全私钥SB，通过双线性对、哈希函数、点乘和异或运算执行解密过程，若验证通过，则输出对称密钥并恢复出原始消息，否则拒绝该对称密钥。...

【技术特征摘要】
1.一种基于无证书环境的可否认认证的加密方法，其特征在于，所述方法包括以下步骤：步骤1：设定系统参数，所述系统参数包括选择的安全参数k、加法群G1和乘法群G2的阶q、加法群G1的生成元P、加法群G1、乘法群G2、无证书环境的密钥生成中心生成的主公钥Ppub、主私钥s以及用于无证书环境可否认认证加密解密的双线性对e和哈希函数hash；步骤2：密钥生成中心根据主私钥s和用户提交的身份信息ID，生成用户的部分私钥DID；无证书环境的用户联合其部分私钥DID和自己的秘密值xID生成自身的完全私钥SID，同时利用秘密值xID生成其公钥PKID；步骤3：无证书环境的发送者获取接收者的身份信息IDB和接收者的公钥PKB，根据自身的身份信息IDA、公钥PKA、完全私钥SA、接收者的身份信息IDB、接收者的公钥PKB以及无证书环境的密钥生成中心生成的主公钥Ppub，通过双线性对e和哈希函数hash运算生成对称密钥K，同时生成内部状态信息ω；步骤4：发送者根据对称密钥K和消息m生成密文c，并根据密文c、标签τ、发送者的身份信息IDA、发送者的公钥PKA、发送者的完全私钥SA、接收者的身份信息IDB、接收者的公钥PKB和消息m，通过异或、哈希函数、点乘、点加和双线性对运算执行加密过程；步骤5：接收者根据标签τ、密文c、发送者的身份信息IDA、发送者的公钥PKA、接收者的身份信息IDB、接收者的公钥PKB和接收者的完全私钥SB，通过双线性对、哈希函数、点乘和异或运算执行解密过程，若验证通过，则输出对称密钥并恢复出原始消息，否则拒绝该对称密钥。2.根据权利要求1所述的加密方法，其特征在于，步骤2具体包括如下：密钥生成中心计算用户的部分私钥DID，表达式为：DID＝sQID，其中s为密钥生成中心随机选择的主私钥，为阶为q的无零元的有限域；QID为用户身份信息的hash值，表达式为QID＝H1(ID)，ID为用户提交给密钥生成中心的身份信息；用户随机选择作为秘密值；用户根据部分私钥DID和秘密值xID设置完全私钥SID＝(DID,xID)；用户计算公钥PKID＝xIDP。3.根据权利要求1所述的加密方法，其特征在于，步骤3具体包括：步骤3.1：生成一个随机数r，并根据随机数r、主公钥Ppub以及接收者身份信息IDB的哈希值计算双线性对T；步骤3.2：计算由随机数r、双线性对T、发送者的身份信息IDA、接收者的身份信息IDB、发送者的公钥PKA、接收者的公钥PKB构成的hash值，也即对称密钥K；步骤3.3：输出对称密钥K和内部状态信息w，所述内部状态信息w包括发送者完全私钥SA、随机数r、双线性对T、发送者的身份信息IDA、接收者的身份信息IDB、发送者的公钥PKA和接收者的公钥PKB。4.根据权利要求1所述的加密方法，其特征在于，步骤4中加密过程包括以下步骤：步骤4.1：计算由对称密钥K和消息m生成的密文c；步骤4.2：计算由密文c、标签τ、双线性对T、发送者的公钥PKA、接收者的公钥PKB以及发送者生成的秘密值xA与接收者公钥PKB的乘积构成的hash值h，表达式如下：h＝H3(c,τ,T,PKA,PKB,xAPKB),步骤4.3：利用hash值h与发送者部分私钥DA的乘积，加上发送者的随机数r和主公钥Ppub的乘积，生成签名V；步骤4.4：计算由签名V和接收者身份信息IDB的hash值QB构成的双线性对W；步骤4.5：计算承诺S并把生成的封装密文σ＝(c,W,S)发送给接收者。5.根据权利要求4所述的加密方法，其特征在于，步骤5中解密过程包括以下步骤：步骤5.1：计算由双线性对W、承诺S和接收者的部分私钥DB生成的双线性对T’；步骤5.2：计算由密文c、标签τ、双线性对T’、发送者的公钥PKA、接收者的公钥PKB、接收者的秘密值xB与发送者公钥PKA的乘积xBPKA构成的hash值h’；步骤5.3：计算S’＝h’QB，其中QB为接收者身份信息的hash值，如果S’＝S，输出由随机数r、双线性对T’、发送者的身份信息IDA、接收者的身份信息IDB、发送者的公钥PKA、接收者的公钥PKB的哈希值构成的对称密钥K同时恢复消息...

【专利技术属性】
技术研发人员：陈冠华，赵建洋，金鹰，金春花，王兰芳，
申请(专利权)人：淮阴工学院，
类型：发明
国别省市：江苏,32