组密钥初始分配中的隐私保护方法

组密钥初始分配中的隐私保护方法

技术领域

本发明涉及一种组密钥初始分配中的隐私保护方法，具体是一种基于椭圆曲线ElGamal密码体制、有向签名机制和零知识证明机制的，针对组密钥的签发者和首次加入组的申请者的隐私信息进行有效保护的方法，使得除了首次加入组的申请者以外，任何组密钥消息的接收者无法获知组密钥的签发者和组密钥的签发对象，可用于网络组通信环境下组密钥初始分配过程中存在一个或者多个组密钥签发者的情景，属于信息安全领域。

背景技术

在网络组通信环境下，现已部署实施的基于椭圆曲线ElGamal密码体制的组密钥初始分配方法是通过数字签名机制验证组密钥消息的有效性。首先，组密钥的签发者用首次加入组的申请者的公钥对组密钥消息进行加密，用组密钥的签发者的私钥对组密钥消息进行数字签名，将消息密文和数字签名一起发送首次加入组的申请者。然后，首次加入组的申请者用首次加入组的申请者的私钥解密消息密文获得组密钥消息，用组密钥的签发者的公钥验证组密钥消息签名的有效性。目前现有的组密钥初始分配方法中没有考虑对组密钥的签发者和首次加入组的申请者的隐私信息进行有效的保护，使得除了首次加入组的申请者以外，任何组密钥消息的接收者只要拥有组密钥的签发者的公钥就可以验证组密钥消息签名的有效性，从而获知谁是组密钥的签发者和谁是组密钥的签发对象。

本发明在组密钥初始分配中引入有向签名机制，使得除了首次加入组的申请者以外，任何组密钥消息的接收者无法获知组密钥的签发者和组密钥的签发对象。

发明内容

本发明的目的在于提供一种组密钥初始分配过程中对组密钥的签发者和首次加入组的申请者的隐私信息进行有效保护的方法。该方法充分利用椭圆曲线ElGamal密码体制安全性高和资源消耗少的特点，通过关联随机数绑定加密和签名的方法增加安全的复杂性，通过引入有向签名机制确保只有首次加入组的申请者才可以验证组密钥消息签名的有效性，从而有效地保护组密钥的签发者和首次加入组的申请者的隐私信息，使得除了首次加入组的申请者以外，任何组密钥消息的接收者无法获知组密钥的签发者和组密钥的签发对象，资源消耗小，方便部署实现。

为实现上述目的，本发明采取以下技术方案。整个技术方案包括组密钥签发、组密钥验证和第三方证明三个阶段。首先，在组密钥签发阶段，组密钥的签发者用首次加入组的申请者的公钥对组密钥消息进行加密，用组密钥的签发者的私钥和首次加入组的申请者的公钥对组密钥消息进行有向签名，将消息密文和签名一起发送首次加入组的申请者。然后，在组密钥验证阶段，首次加入组的申请者用首次加入组的申请者的私钥对消息密文进行解密，用组密钥的签发者的公钥和首次加入组的申请者的私钥对组密钥消息签名进行验证。最后，在第三方证明阶段，首次加入组的申请者用零知识证明机制在任何 需要的时候向第三方证明组密钥消息签名的有效性，同时不向第三方透漏任何隐私信息。

本发明技术方案描述中使用的基础标识符包括：

F_p：有限域，满足F_p＝{0，1，2，...，p-1}，p为大于3的素数；

E(F_p)：定义在仿射平面上的3次方程E：y²≡x³+ax+b(mod p)的所有解与无穷远点O的并集，记作E(F_p)＝{(x，y)|y²＝x³+ax+b，(x，y)∈F_p*F_p}U{O}；

a，b：椭圆曲线方程的参数，满足a，b∈F_p，

n：椭圆曲线E(F_p)上的生成元P的一个素数阶，是满足nP＝0的最小整数；

P：椭圆曲线E(F_p)上的生成元；

d_A：组密钥签发者的私钥，满足d_A∈[1，n-1]；

A：组密钥签发者的公钥，满足A＝d_A·P(mod p)；

d_B：首次加入组的申请者的私钥，满足d_B∈[1，n-1]；

B：首次加入组的申请者的公钥，满足B＝d_B·P(mod p)；

k₁，k₂，k，ω：随机数；

m：组密钥消息。

整个技术方案包括组密钥签发、组密钥验证和第三方证明三个阶段。

1.组密钥签发阶段

组密钥签发阶段包括以下具体步骤：

1.1组密钥的签发者随机选择两个整数k₁和k₂，满足1≤k₁＜n，1≤k₂＜n，k₁和n互素，k₂和n互素；

n是椭圆曲线E(F_p)上的生成元P的一个素数阶，是满足nP＝0的最小整数；有限域F_p上的椭圆曲线E(F_p)是定义在仿射平面上的3次方程E：y²≡x³+ax+b(mod p)的所有解与无穷远点O的并集，记作E(F_p)＝{(x，y)|y²＝x³+ax+b，(x，y)∈F_p*F_p}U{O}，其中p为大于3的素数，参数a，b∈有限域F_p＝{0，1，2，...，p-1}，满足

1.2组密钥的签发者计算点G＝(k₁-k₂)·P，点R₁＝(k₁-k₂)·B＝(x₁，y₁)，点R₂＝k₁·B＝(x₂，y₂)，参数r₁＝x₁(mod n)，参数r₂＝x₂(mod n)；如果r₁＝0或者r₂＝0，则返回步骤1.1；

B是首次加入组的申请者的公钥，满足B＝d_B·P(mod p)，d_B是首次加入组的申请者的私钥，满足d_B∈[1，n-1]，mod是数学模运算；有限域F_p上的椭圆曲线E(F_p)的运算包括点的加法和点的数乘：

点的加法：令P₁，P₂∈E(F_p)，P₁＝(x₁，y₁)，P₂＝(x₂，y₂)，则R＝P₁+P₂＝(x₃，y₃)∈E(F_p)，其中x₃＝λ²＝x₁-x₂，y₃＝λ(x₁-x₃)-y₁；当P₁≠P₂时，λ＝(y₂-y₁)/(x₂-x₁)；当P₁＝P₂时，λ＝(3x₁²+a)/(2y₂)；

点的数乘：令P＝(x，y)≠0，k是整数，则kP＝(x，y)+(x，y)+...+(x，y)的k-1次加法；

1.3组密钥的签发者计算组密钥消息密文c＝m·r₁和组密钥消息签名s≡k₂^-1(m-d_A·r₂)(mod n)；如果s＝0，则返回步骤1.1；

m是组密钥消息，d_A是组密钥签发者的私钥，满足d_A∈[1，n-1]，A是组密钥签发者的公钥，满足A＝d_A·P(mod p)；

1.4组密钥的签发者发送{c，G，R₂，s}给首次加入组的申请者。

2.组密钥验证阶段

组密钥验证阶段包括以下具体步骤：

2.1首次加入组的申请者验证点G和点R₂＝(x₂，y₂)是否是椭圆曲线E(F_p)上的点；如果点G或者点R₂不是椭圆曲线E(F_p)上的点，则终止本程序执行；计算参数r₂＝x₂(mod n)，验证参数r₂和签名s是否满足r₂∈[1，n-1]，s∈[1，n-1]；如果不满足，则终止本程序执行；

2.2首次加入组的申请者计算点R₁＝d_B·G＝(x₁，y₁)，参数r₁＝x₁(modn)；

2.3首次加入组的申请者解密组密钥消息密文m＝c·r₁^-1；

2.4首次加入组的申请者计算点V₁＝r₂·A+d_B^-1·s·R₂-s·G和点V₂＝m·P；

2.5首次加入组的申请者验证是否满足V₁＝V₂；如果满足，则接收组密钥消息；如果不满足，则终止本程序执行。

3.第三方证明阶段

第三方证明阶段包括以下具体步骤：

3.1首次加入组的申请者计算点V＝d_B^-1·s·R₂和点U＝d_B·V，发送{m，G，R₂，s，V}给第三方；

如果使用的是可信的通信信道，首次加入组的申请者明文传送组密钥消息m；如果使用的是不可信的通信信道，首次加入组的申请者与第三方协商加密传送组密钥消息m；

3.2第三方计算点V₁＝r₂·A+V-s·G和点V₂＝m·P，其中参数r₂＝x₂(mod n)，点R₂＝(x₂，y₂)，验证是否满足V₁＝V₂；如果不满足，终止本程序执行；如果满足，则计算点U＝s·R₂；

3.3首次加入组的申请者随机选择一个整数k，k∈[1，n-1]，计算点E₁＝k·V和点E₂＝k·P，发送E₁和E₂给第三方；

3.4第三方随机选择一个整数ω发送给首次加入组的申请者；

3.5首次加入组的申请者计算v＝k-d_B·ω，发送v给第三方；

3.6第三方验证是否满足E₁＝v·V+ω·U和E₂＝v·P+ω·B；如果满足，则第三方验证成功；如果不满足，则第三方验证失败。

本发明方法的整个程序存在于网络组通信的整个过程中，可以不断重复执行。

本发明提出的一种组密钥初始分配中的隐私保护方法，充分利用了椭圆曲线ElGamal密码体制安全性高和资源消耗少的特点，通过关联随机数绑定加密和签名的方法增加安全的复杂性，通过引入有向签名机制确保只有首次加入组的申请者才可以验证组密钥消息签名的有效性，从而有效地保护组密钥的签发者和首次加入组的申请者的隐私信息，使得除了首次加入组的申请者以外，任何组密钥消息的接收者无法获知组密钥的签发者和组密钥的签发对象，资源消耗小，方便部署实现，达到了隐私保护的目的。

具体实施方式

本发明以一个小尺寸的具体实施为例展示本发明的具体实施方式，尺寸选择越大则安全性越高。

系统参数选择：

椭圆曲线：E：y²≡x³+2x+24(mod 97)，其中a＝2，b＝24，p＝97

椭圆曲线的生成元：P＝(2，6)

生成元P的阶数：n＝103

组密钥消息：m＝5

组密钥签发者的私钥：d_A＝3

组密钥签发者的公钥：A＝d_A·P(mod p)＝3(2，6)(mod 97)＝(69，61)

首次加入组的申请者的私钥：d_B＝4

首次加入组的申请者的公钥：B＝d_B·P(mod p)＝4(2，6)(mod 97)＝(59，50)

本发明具体实施时包括组密钥签发、组密钥验证和第三方证明三个阶段。

s1.组密钥签发阶段

组密钥签发阶段包括以下具体步骤：

s1.1组密钥的签发者随机选择两个整数k₁＝7和k₂＝8，满足1≤k₁＝7＜n＝103，1≤k₂＝8＜n＝103，k₁和n的最大公约数gcd(k₁，n)＝gcd(7，103)＝1，k₂和n的最大公约数gcd(k₂，n)＝gcd(8，103)＝1，表明k₁和n互素，k₂和n互素；

s1.2组密钥的签发者计算

G＝(k₁-k₂)·P

 ＝(mod((k₁-k₂)，n))·P

  ＝(mod((7-8)，103))·(2，6)

  ＝102(2，6)

  ＝(2，91)

R₁＝(k₁-k₂)·B

  ＝(mod((k₁-k₂)，n))·B

  ＝(mod((7-8)，103))·(59，50)

  ＝102(59，50)

  ＝(59，47)

  ＝(x₁，y₁)

R₂＝k₁·B＝7(59，50)＝(13，93)＝(x₂，y₂)

r₁＝x₁(mod n)＝59(mod 103)＝59

r₂＝x₂(mod n)＝13(mod 103)＝13

mod((k₁-k₂)，n)是(k₁-k₂)模n运算；

s1.3组密钥的签发者计算组密钥消息密文c＝m·r₁＝5·59＝295和组密钥消息签名s≡k₂^-1(m-d_A·r₂)(mod n)；

s＝mod((invmodn(k₂，n)·(m-d_A·r₂))，n)

 ＝mod((invmodn(8，103)·(5-3·13))，103)

 ＝mod(13(5-3·13)，103)

 ＝73

invmodn(k₂，n)是k₂模n求逆运算，运算结果为k₂^-1；

s1.4组密钥的签发者发送{c，G，R₂，s}＝{295，(2，91)，(13，93)，73}给首次加入 组的申请者。

s2.组密钥验证阶段

组密钥验证阶段包括以下具体步骤：

s2.1首次加入组的申请者验证点G＝(2，91)和点R₂＝(13，93)＝(x₂，y₂)是否是椭圆曲线E(F_p)上的点；如果点G或者点R₂不是椭圆曲线E(F_p)上的点，则终止本程序执行；计算参数r₂＝x₂(mod n)，验证参数r₂和签名s是否满足r₂∈[1，n-1]，s∈[1，n-1]；如果不满足，则终止本程序执行；

将点G＝(2，91)代入椭圆曲线方程E：y²≡x³+2x+24(mod 97)进行验证：

y²(mod p)＝91²(mod 97)＝36

x³+2x+24(mod p)＝2³+2·2+24(mod 97)＝36(mod 97)＝36

将点R₂＝(13，93)代入椭圆曲线方程E：y²≡x³+2x+24(mod 97)进行验证：

y²(mod p)＝93²(mod 97)＝16

x³+2x+24(mod p)＝13³+2·13+24(mod 97)＝2247(mod 97)＝16

验证结果表明点G＝(2，91)和点R₂＝(13，93)是椭圆曲线E(F_p)上的点；计算参数r₂＝x₂(mod n)＝13(mod 103)＝13，验证结果表明r₂＝13∈[1，n-1]，s＝73∈[1，n-1]；

s2.2首次加入组的申请者计算

R₁＝d_B·G＝4(2，91)＝(59，47)＝(x₁，y₁)

r₁＝x₁(mod n)＝59(mod 103)＝59；

s2.3首次加入组的申请者解密组密钥消息密文

m＝c.r₁^-1＝295·59^-1＝5；

s2.4首次加入组的申请者计算

V₁＝r₂·A+d_B^-1·s·R₂-s·G

  ＝r₂·A+invmodn(d_B，n)·s·R₂-s·G

  ＝13(69，61)+invmodn(4，103)·73·(13，93)-73·(2，91)

  ＝13(69，61)+26·73·(13，93)-73·(2，91)

  ＝13(69，61)+73·(26·(13，93)-(2，91))

  ＝(64，28)+73·((74，79)-(2，91))

  ＝(64，28)+73·(74，83) 

  ＝(64，28)+(62，27)

  ＝(44，79)

V₂＝m·P＝5(2，6)＝(44，79)；

s2.5首次加入组的申请者验证是否满足V₁＝V₂；如果满足，则接收组密钥消息；如果不满足，则终止本程序执行；

验证结果表明V₁＝V₂，接收组密钥消息。

s3.第三方证明阶段

第三方证明阶段包括以下具体步骤：

s3.1首次加入组的申请者计算

V＝d_B^-1·s·R₂

  ＝invmodn(d_B，n)·s·R₂

  ＝invmodn(4，103)·73·(13，93)

  ＝26·73·(13，93)

  ＝mod(26·73，103)·(13，93)

  ＝44(13，93)

  ＝(59，47)

U＝d_B·V＝4(59，47)＝(32，78)

发送{m，G，R₂，s，V}＝{5，(2，91)，(13，93)，73，(59，47)}给第三方；

26·73·(13，93)＝mod(26·73，103)·(13，93)是因为运算是在有限域F_p内进行，n＝103是椭圆曲线E(F_p)的生成元P的阶数；

s3.2第三方计算点V₁＝r₂·A+V-s·G和点V₂＝m·P，验证是否满足V₁＝V₂；如果不满足，则终止本程序执行；如果满足，则计算点U＝s·R₂；

V₁＝r₂·A+V-s·G

  ＝13(69，61)+(59，47)-73(2，91)

  ＝(64，28)+(59，47)-(24，92)

  ＝(44，79)

V₂＝m·P

  ＝5(2，6)

  ＝(44，79)

验证结果表明V₁＝V₂，计算点U＝s·R₂＝73(13，93)＝(32，78)；

s3.3首次加入组的申请者随机选择一个整数k＝9∈[1，n-1]，计算点E₁＝k·V＝9(59，47)＝(17，11)和点E₂＝k·P＝9(2，6)＝(18，13)，发送E₁＝(17，11)和E₂＝(18，13)给第三方；

s3.4第三方随机选择一个整数ω＝11发送给首次加入组的申请者；

s3.5首次加入组的申请者计算

v＝k-d_B·ω(mod n)

 ＝9-4·11(mod 103)

＝9-44(mod 103)

＝68(mod 103)

＝68

发送v＝68给第三方；

s3.6第三方验证是否满足E₁＝v·V+ω·U和E₂＝v·P+ω·B；如果满足，则第三方验证成功；如果不满足，则第三方验证失败；

E₁＝(17，11)

v·V+ω·U＝68·(59，47)+11·(32，78)＝(31，1)+(24，92)＝(17，11)

E₂＝(18，13)

v·P+ω·B＝68·(2，6)+11·(59，50)＝(35，80)+(36，17)＝(18，13)

验证结果表明E₁＝v·V+ω·U和E₂＝v·P+ω·B，第三方验证成功。

本发明具体实施与方法I(基于椭圆曲线ElGamal密码体制和数字签名机制的加 密和签名分离的组密钥初始分配方法)和方法II(基于椭圆曲线ElGamal密码体制和数字签名机制的加密和签名绑定的组密钥初始分配方法)进行比较，见表1和表2，实验环境为MATLAB 7.8.0.347(R2009a)32-bit(win32)，Microsoft windows XP professional 2002 service pack 2，Intel Pentium 4CPU 3.00GHz 512MB，具体实施效果表明，本发明方法以较少的资源消耗达到对组密钥签发者和首次加入组的申请者进行隐私保护的目的。

表1组密钥签发阶段时间消耗(时间/秒)

  序号   本发明方法   方法I   方法II   1   0.0394   0.0278   0.0396   2   0.0396   0.0278   0.0398   3   0.0396   0.0263   0.0394   4   0.0399   0.0277   0.0391   5   0.0391   0.0282   0.0395   6   0.0392   0.0282   0.0398   7   0.0396   0.0295   0.0392   8   0.0394   0.0280   0.0396   9   0.0394   0.0277   0.0389   10   0.0398   0.0281   0.0374   11   0.0396   0.0282   0.0392   12   0.0383   0.0272   0.0384   13   0.0396   0.0281   0.0397   序号   本发明方法   方法I   方法II   14   0.0398   0.0270   0.0396   15   0.0382   0.0277   0.0365

  序号   本发明方法   方法I   方法II   16   0.0396   0.0284   0.0383   17   0.0398   0.0279   0.0396   18   0.0395   0.0279   0.0393   19   0.0396   0.0279   0.0381   20   0.0395   0.0278   0.0395   均值   0.039425   0.02787   0.039025

表2组密钥验证阶段时间消耗(时间/秒)

  序号   本发明方法   方法I   方法II   1   0.0486   0.0374   0.0431   2   0.0484   0.0357   0.0421   3   0.0486   0.0361   0.0423   4   0.0469   0.0364   0.0407   5   0.0492   0.0371   0.0431   6   0.0484   0.0362   0.0420   7   0.0485   0.0378   0.0421   8   0.0480   0.0362   0.0429   9   0.0462   0.0376   0.0416   10   0.0481   0.0368   0.0426   11   0.0484   0.0367   0.0416   12   0.0480   0.0372   0.0422   13   0.0485   0.0366   0.0427

  序号   本发明方法   方法I   方法II   14   0.0487   0.0372   0.0423   15   0.0482   0.0377   0.0403   16   0.0478   0.0368   0.0421   17   0.0464   0.0367   0.0426   18   0.0485   0.0362   0.0426   19   0.0484   0.0380   0.0418   20   0.0469   0.0376   0.0425   均值   0.048035   0.0369   0.04216