專(zhuān)利名稱(chēng):更新私鑰的方法及設(shè)備、獲得會(huì)話密鑰的方法和通信設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及身份基加密系統(tǒng),尤其涉及用于身份基加密系統(tǒng)的身份基加密方案, 其能夠以較低的代價(jià)進(jìn)行身份撤銷(xiāo)。
背景技術(shù):
傳統(tǒng)的公鑰加密系統(tǒng)需要公鑰基礎(chǔ)設(shè)施(PKI)負(fù)責(zé)驗(yàn)證用戶(hù)身份與其公鑰之間的對(duì)應(yīng)關(guān)系。公鑰基礎(chǔ)設(shè)施通過(guò)公布一些公開(kāi)信息來(lái)保證加密者可以驗(yàn)證其他用戶(hù)身份與其所使用的公鑰之間的對(duì)應(yīng)關(guān)系。由于加密者需要檢查接收者公鑰以及證書(shū)合格與否,因此傳統(tǒng)公鑰加密系統(tǒng)的計(jì)算和通信負(fù)擔(dān)就大為增加。在 A. Shamir, Identity-based cryptosystems and signature schemes, In CRYPTO' 84, LNCS vol. 196, pages 47-53. Springer,1984 中提出了身份基加密(IBE)的概念,其目的在于消除傳統(tǒng)加密系統(tǒng)對(duì)公鑰基礎(chǔ)設(shè)施的需求。IBE的基本思想是直接將用戶(hù)的身份作為用戶(hù)的公鑰,比如用戶(hù)公開(kāi)的電子郵箱或者家庭地址之類(lèi)的信息直接作為用戶(hù)的公鑰。這樣,就無(wú)需第三方來(lái)驗(yàn)證用戶(hù)公鑰與其身份之間的對(duì)應(yīng)關(guān)系。盡管身份基加密有眾多的優(yōu)點(diǎn),身份撤銷(xiāo)(revocation)仍然是個(gè)引起關(guān)注的問(wèn)題。不管在傳統(tǒng)的公鑰加密系統(tǒng)還是身份基加密中,身份撤銷(xiāo)問(wèn)題都存在。其原因在于總是有一些用戶(hù)的私鑰丟失了,或者被某些攻擊者以某種手段獲得,或者過(guò)期了。因此系統(tǒng)需要提供手段來(lái)撤銷(xiāo)這些已不能繼續(xù)使用的用戶(hù)私鑰。在傳統(tǒng)的基于PKI的公鑰加密系統(tǒng),撤銷(xiāo)一個(gè)用戶(hù)通常是通過(guò)HiI向加密者公開(kāi)證書(shū)撤銷(xiāo)列表來(lái)實(shí)現(xiàn)的。然而,這種方法并不適用于身份基加密系統(tǒng),其原因在于這種方法與身份基加密系統(tǒng)的宗旨相沖突的。在身份基加密系統(tǒng)中用戶(hù)加密產(chǎn)生密文只需要系統(tǒng)的公開(kāi)參數(shù)和接收者的身份,因此就不存在這種允許私鑰生成中心(PKG)對(duì)加密者通知被撤銷(xiāo)用戶(hù)身份列表的渠道。在Dan Boneh 禾口 Matthew K. Franklin,“ Identity-based encryption from the weil pairing",In CRYPTO, pages 213-229,2001中提出的身份基加密方案建議用戶(hù)周期性地更新其私鑰,比如每隔一周更新一次用戶(hù)私鑰。加密者則以當(dāng)前時(shí)間周期和接收者身份對(duì)消息進(jìn)行加密。然而,這種周期性私鑰更新方法在身份基加密系統(tǒng)中用戶(hù)數(shù)量劇增時(shí)并不適用,其原因在于在這種情況下PKG的工作量將會(huì)與系統(tǒng)用戶(hù)數(shù)量成正比。為改進(jìn)身份基加密系統(tǒng)中身份撤銷(xiāo)的效率,在A. Boldyreva, V. Goyal,和 V. Kumar. Identity-based encryption with efficient revocation. In ACM Conference on Computer and Communications Security, pages 417—426,2008 巾 [JB 了—禾中 1 白勺可撤銷(xiāo)身份基加密(revocable IBE)方案。在Boldyreva等人的方案中,用戶(hù)身份和時(shí)間周期被看作兩種獨(dú)立的屬性。加密者針對(duì)這兩種屬性加密消息,當(dāng)且僅當(dāng)接收者擁有對(duì)應(yīng)正確身份和正確時(shí)間的私鑰時(shí)才能成功解密。這里對(duì)應(yīng)正確時(shí)間的含義是指用戶(hù)的身份沒(méi)有在密文加密時(shí)間周期之前已被撤銷(xiāo)。系統(tǒng)將周期性地公布一些更新信息(update information)。合法用戶(hù)將使用這些更新信息更新其所持有的用戶(hù)私鑰以在新周期中解密密文。被撤銷(xiāo)用戶(hù)則無(wú)法使用這些更新信息來(lái)更新用戶(hù)私鑰。
發(fā)明內(nèi)容
令r表示被撤銷(xiāo)用戶(hù)的數(shù)目,η為所有用戶(hù)的數(shù)目。在Boneh和Franklin所提出的身份基加密方案中,更新信息的大小為0(n-r),0 <r彡n/2,私鑰大小為常數(shù)。在 Boldyreva等人提出的身份基加密方案中,更新信息的大小為0 (r log (n/r)),O < r彡n/2, 而私鑰大小為0(log η)。人們不斷尋求進(jìn)一步降低身份基加密方案中用于身份撤銷(xiāo)的代價(jià)。本發(fā)明的一個(gè)目的在于提供一種身份基加密方案,其能夠以較低的代價(jià)實(shí)現(xiàn)身份撤銷(xiāo)。本發(fā)明的一個(gè)實(shí)施例是一種在身份基加密系統(tǒng)中更新用戶(hù)私鑰的方法,包括將完全二叉樹(shù)中的合法葉節(jié)點(diǎn)劃分到一或多個(gè)子集,其中,每個(gè)子集是所述完全二叉樹(shù)的完全子樹(shù)和所述完全子樹(shù)的完全子子樹(shù)的葉節(jié)點(diǎn)集的差,所述完全子子樹(shù)的每個(gè)葉節(jié)點(diǎn)均與一個(gè)不同撤銷(xiāo)用戶(hù)相關(guān)聯(lián),對(duì)于完全二叉樹(shù)中非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)層的每個(gè)組合,關(guān)聯(lián)有不同的一階線性多項(xiàng)式f(x),所有多項(xiàng)式的零階系數(shù)為所述身份基加密系統(tǒng)的主私鑰;響應(yīng)于所述劃分,針對(duì)每個(gè)子集,根據(jù)與相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的一階線性多項(xiàng)式f (χ)計(jì)算信息f (k),其中k是所述相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)的身份,使用單向函數(shù)由信息f(k)計(jì)算更新多項(xiàng)式信息,通過(guò)變化量的更新值的散列獲得變化信息,和用所述變化信息加擾所述更新多項(xiàng)式信息以獲得更新信息;以及發(fā)布關(guān)于所述劃分的信息和各個(gè)所述子集的更新信息。本發(fā)明的一個(gè)實(shí)施例是一種在身份基加密系統(tǒng)的通信設(shè)備中獲得會(huì)話密鑰的方法,包括接收頭信息;根據(jù)關(guān)于子集劃分的信息確定接收用戶(hù)的對(duì)應(yīng)葉節(jié)點(diǎn)所屬的子集, 其中完全二叉樹(shù)中的合法葉節(jié)點(diǎn)被劃分到一或多個(gè)子集,每個(gè)子集是所述完全二叉樹(shù)的完全子樹(shù)和所述完全子樹(shù)的完全子子樹(shù)的葉節(jié)點(diǎn)集的差,所述完全子子樹(shù)的每個(gè)葉節(jié)點(diǎn)均與一個(gè)不同撤銷(xiāo)用戶(hù)相關(guān)聯(lián),對(duì)于完全二叉樹(shù)中非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)層的每個(gè)組合,關(guān)聯(lián)有不同的一階線性多項(xiàng)式f(x),所有多項(xiàng)式的零階系數(shù)為所述身份基加密系統(tǒng)的主私鑰;針對(duì)所確定的子集,確定相應(yīng)完全子樹(shù)中從根節(jié)點(diǎn)到所述對(duì)應(yīng)葉節(jié)點(diǎn)的路徑上與相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)同級(jí)的節(jié)點(diǎn),其中,對(duì)于所述路徑的非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)所位于的層的每個(gè)組合,所述接收用戶(hù)的私鑰包含與所述組合相關(guān)聯(lián)的私鑰部分,所述私鑰部分包含通過(guò)用所述接收用戶(hù)的身份的散列加擾私鑰多項(xiàng)式信息而獲得的私鑰片段,所述私鑰多項(xiàng)式信息是通過(guò)對(duì)根據(jù)與所述組合相關(guān)聯(lián)的一階線性多項(xiàng)式f(x) 計(jì)算的信息f (i)應(yīng)用單向函數(shù)而獲得的,其中i是所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)的身份,并且其中,每個(gè)子集關(guān)聯(lián)有通過(guò)用變化量的更新值的散列加擾更新多項(xiàng)式信息而獲得的更新信息,所述更新多項(xiàng)式信息是通過(guò)對(duì)根據(jù)與相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的一階線性多項(xiàng)式f(x)計(jì)算的信息f(k)應(yīng)用所述單向函數(shù)而獲得的,其中k是所述相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)的身份;根據(jù)頭信息對(duì)與所確定的子集的相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和所確定的同級(jí)節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的私鑰部分中的私鑰片段解擾以獲得取決于相應(yīng)私鑰多項(xiàng)式信息的第一值;根據(jù)頭信息對(duì)與所確定的子集相關(guān)聯(lián)的更新信息解擾以獲得取決于相應(yīng)更新多項(xiàng)式信息的第二值;和使用多項(xiàng)式插值方法根據(jù)所述第一值和第二值獲得取決于信息f(0)的第三值,以作為會(huì)話密鑰。本發(fā)明的一個(gè)實(shí)施例是一種身份基加密系統(tǒng)的私鑰更新設(shè)備,包括子集生成裝置,其將完全二叉樹(shù)中的合法葉節(jié)點(diǎn)劃分到一或多個(gè)子集,其中,每個(gè)子集是所述完全二叉樹(shù)的完全子樹(shù)和所述完全子樹(shù)的完全子子樹(shù)的葉節(jié)點(diǎn)集的差,所述完全子子樹(shù)的每個(gè)葉節(jié)點(diǎn)均與一個(gè)不同撤銷(xiāo)用戶(hù)相關(guān)聯(lián),對(duì)于完全二叉樹(shù)中非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)層的每個(gè)組合,關(guān)聯(lián)有不同的一階線性多項(xiàng)式f(x),所有多項(xiàng)式的零階系數(shù)為所述身份基加密系統(tǒng)的主私鑰;更新信息生成裝置,其響應(yīng)于所述劃分,針對(duì)每個(gè)子集,根據(jù)與相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的一階線性多項(xiàng) Sf(X)計(jì)算信息f(k),其中k是所述相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)的身份,使用單向函數(shù)由信息f (k)計(jì)算更新多項(xiàng)式信息,通過(guò)變化量的更新值的散列獲得變化信息,和用所述變化信息加擾所述更新多項(xiàng)式信息以獲得更新信息;以及發(fā)布裝置,其發(fā)布關(guān)于所述劃分的信息和各個(gè)所述子集的更新信息。本發(fā)明的一個(gè)實(shí)施例是一種身份基加密系統(tǒng)的通信設(shè)備,包括接收裝置,其接收頭信息;私鑰選擇裝置,被配置為根據(jù)關(guān)于子集劃分的信息確定接收用戶(hù)的對(duì)應(yīng)葉節(jié)點(diǎn)所屬的子集,其中完全二叉樹(shù)中的合法葉節(jié)點(diǎn)被劃分到一或多個(gè)子集,每個(gè)子集是所述完全二叉樹(shù)的完全子樹(shù)和所述完全子樹(shù)的完全子子樹(shù)的葉節(jié)點(diǎn)集的差,所述完全子子樹(shù)的每個(gè)葉節(jié)點(diǎn)均與一個(gè)不同撤銷(xiāo)用戶(hù)相關(guān)聯(lián),對(duì)于完全二叉樹(shù)中非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)層的每個(gè)組合,關(guān)聯(lián)有不同的一階線性多項(xiàng)式f(x),所有多項(xiàng)式的零階系數(shù)為所述身份基加密系統(tǒng)的主私鑰,并且針對(duì)所確定的子集,確定相應(yīng)完全子樹(shù)中從根節(jié)點(diǎn)到所述對(duì)應(yīng)葉節(jié)點(diǎn)的路徑上與相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)同級(jí)的節(jié)點(diǎn),其中,對(duì)于所述路徑的非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)所位于的層的每個(gè)組合,所述接收用戶(hù)的私鑰包含與所述組合相關(guān)聯(lián)的私鑰部分,所述私鑰部分包含通過(guò)用所述接收用戶(hù)的身份的散列加擾私鑰多項(xiàng)式信息而獲得的私鑰片段,所述私鑰多項(xiàng)式信息是通過(guò)對(duì)根據(jù)與所述組合相關(guān)聯(lián)的一階線性多項(xiàng)式f(X)計(jì)算的信息f(i)應(yīng)用單向函數(shù)而獲得的,其中i是所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)的身份,并且其中,每個(gè)子集關(guān)聯(lián)有通過(guò)用變化量的更新值的散列加擾更新多項(xiàng)式信息而獲得的更新信息,所述更新多項(xiàng)式信息是通過(guò)對(duì)根據(jù)與相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的一階線性多項(xiàng)式f(X)計(jì)算的信息f(k)應(yīng)用所述單向函數(shù)而獲得的,其中k是所述相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)的身份;和會(huì)話密鑰生成裝置,被配置為根據(jù)頭信息對(duì)與所確定的子集的相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和所確定的同級(jí)節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的私鑰部分中的私鑰片段解擾以獲得取決于相應(yīng)私鑰多項(xiàng)式信息的第一值,根據(jù)頭信息對(duì)與所確定的子集相關(guān)聯(lián)的更新信息解擾以獲得取決于相應(yīng)更新多項(xiàng)式信息的第二值,和使用多項(xiàng)式插值方法根據(jù)所述第一值和第二值獲得取決于信息f(0)的第三值,以作為會(huì)話密鑰。根據(jù)本發(fā)明的實(shí)施例,對(duì)于任一所劃分的子集而言,相應(yīng)完全子子樹(shù)的葉節(jié)點(diǎn)所對(duì)應(yīng)的被撤銷(xiāo)用戶(hù)所得到的更新信息是根據(jù)信息f(k)獲得的,其中k是相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)的身份。信息f(k)所基于的多項(xiàng)式是與相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的一階線性多項(xiàng)式f(x)。當(dāng)嘗試解密時(shí),對(duì)于所屬的子集而言,被撤銷(xiāo)用戶(hù)擁有的私鑰部分所包含的私鑰片段是基于信息f(i)獲得的,其中i是相應(yīng)完全子樹(shù)中從根節(jié)點(diǎn)到被撤銷(xiāo)用戶(hù)的相應(yīng)葉節(jié)點(diǎn)的路徑上非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)的身份。這樣的話,對(duì)于更新信息所基于的信息f (k),身份k所對(duì)應(yīng)的節(jié)點(diǎn)也在該路徑上,使得對(duì)于相同的多項(xiàng)式f (x),更新信息所基于的信息f (k)中的身份k與私鑰片段所基于的信息 f(i)中的身份i相同。這導(dǎo)致無(wú)法通過(guò)多項(xiàng)式插值來(lái)產(chǎn)生f(0)。在根據(jù)取決于f(0)的值 (例如通過(guò)對(duì)f(0)應(yīng)用單向函數(shù)而得到的公開(kāi)參數(shù))產(chǎn)生會(huì)話密鑰的情況下,被撤銷(xiāo)用戶(hù)無(wú)法獲得會(huì)話解密,從而無(wú)法解密出明文。根據(jù)本發(fā)明的實(shí)施例,在根據(jù)子集差方法進(jìn)行子集劃分的情況下,更新信息大小為0(r),1 < r彡n/2,私鑰大小為Odog2 (η));在根據(jù)分層子集差方法進(jìn)行劃分的情況下, 更新信息大小為0(r/e),l <r ^ n/2,私鑰大小為0(log1+E (η))。
參照下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例的說(shuō)明,會(huì)更加容易地理解本發(fā)明的以上和其它目的、特點(diǎn)和優(yōu)點(diǎn)。在附圖中,相同的或?qū)?yīng)的技術(shù)特征或部件將采用相同或?qū)?yīng)的附圖標(biāo)記來(lái)表示。在附圖中不必依照比例繪制出單元的尺寸和相對(duì)位置。圖1是示出根據(jù)本發(fā)明實(shí)施例的身份基加密系統(tǒng)的體系結(jié)構(gòu)的示例的示意圖。圖2是示出根據(jù)本發(fā)明實(shí)施例的私鑰生成設(shè)備的結(jié)構(gòu)示例的框圖。圖3a示意性地示出了一個(gè)完全二叉樹(shù)的一部分。圖北示意性地示出了多項(xiàng)式計(jì)算裝置針對(duì)圖3a示出的完全二叉樹(shù)中從根節(jié)點(diǎn)到葉節(jié)點(diǎn)的路徑上的各個(gè)非葉節(jié)點(diǎn)的處理。圖4是示出根據(jù)本發(fā)明實(shí)施例的私鑰生成方法的過(guò)程示例的流程圖。圖5是示出根據(jù)本發(fā)明實(shí)施例的私鑰更新設(shè)備的結(jié)構(gòu)示例的框圖。圖6示出了劃分的子集的一個(gè)示例。圖7是示出根據(jù)本發(fā)明實(shí)施例的私鑰更新方法的過(guò)程示例的流程圖。圖8是示出根據(jù)本發(fā)明實(shí)施例的通信設(shè)備的結(jié)構(gòu)示例的框圖。圖9是示出根據(jù)本發(fā)明實(shí)施例的通信設(shè)備中獲得會(huì)話密鑰的方法的過(guò)程示例的流程圖。圖10是示出其中實(shí)現(xiàn)本發(fā)明實(shí)施例的物理計(jì)算機(jī)的示例性結(jié)構(gòu)的框圖。
具體實(shí)施例方式下面參照附圖來(lái)說(shuō)明本發(fā)明的實(shí)施例。應(yīng)當(dāng)注意,為了清楚的目的,附圖和說(shuō)明中省略了與本發(fā)明無(wú)關(guān)的、本領(lǐng)域普通技術(shù)人員已知的部件和處理的表示和描述。圖1是示出根據(jù)本發(fā)明實(shí)施例的身份基加密系統(tǒng)的體系結(jié)構(gòu)的示例的示意圖。在圖1示出的身份基加密系統(tǒng)包括如下兩種角色私鑰分發(fā)中心(PKG) 101和用戶(hù),即用戶(hù)使用的通信設(shè)備,例如通信設(shè)備102和通信設(shè)備103。在實(shí)際操作中用戶(hù)使用的通信設(shè)備可以是產(chǎn)生密文的加密者,也可以是進(jìn)行解密的解密者。PKG 101包括初始化設(shè)備104、私鑰生成設(shè)備105、身份撤銷(xiāo)設(shè)備106和私鑰更新設(shè)備 107。初始化設(shè)備104在建立身份基加密系統(tǒng)時(shí)運(yùn)行初始化算法。具體地,初始化設(shè)備 104根據(jù)系統(tǒng)安全參數(shù)Γ與系統(tǒng)用戶(hù)數(shù)目η運(yùn)行初始化算法。運(yùn)行初始化算法后,初始化設(shè)備104輸出公開(kāi)參數(shù)pk,系統(tǒng)主私鑰mk,系統(tǒng)中被撤銷(xiāo)的身份列表rl (起初為空)以及狀態(tài)st。公開(kāi)參數(shù)pk被公開(kāi)給用戶(hù)。當(dāng)用戶(hù)向PKG 101注冊(cè)時(shí),用戶(hù)將其身份ω提交給PKG 101。私鑰生成設(shè)備105 根據(jù)身份ω、公開(kāi)參數(shù)pk和系統(tǒng)主私鑰mk運(yùn)行私鑰生成算法。運(yùn)行算法后,私鑰生成設(shè)備 105向用戶(hù)輸出用戶(hù)身份私鑰Sku。在由于例如但不限于用戶(hù)私鑰丟失、被某些攻擊者以某種手段獲得或過(guò)期的原因而需要撤銷(xiāo)不能繼續(xù)使用的用戶(hù)私鑰的情況下,身份撤銷(xiāo)裝置106執(zhí)行身份撤銷(xiāo)算法。雖然撤銷(xiāo)私鑰也稱(chēng)為撤銷(xiāo)身份,然而實(shí)際撤銷(xiāo)的是當(dāng)前為用戶(hù)生成的私鑰。當(dāng)更撤銷(xiāo)用戶(hù)的私鑰時(shí),身份撤銷(xiāo)設(shè)備106根據(jù)被撤銷(xiāo)私鑰的用戶(hù)的身份ω、撤銷(xiāo)時(shí)間t、撤銷(xiāo)身份列表rl和狀態(tài)st執(zhí)行身份撤銷(xiāo)算法。執(zhí)行身份撤銷(xiāo)算法后,身份撤銷(xiāo)設(shè)備106輸出更新后的撤銷(xiāo)身份列表rl。這里,如果PKG 101對(duì)身份撤銷(xiāo)設(shè)備106輸入(ω, t,rl, st),則稱(chēng)身份ω在時(shí)間周期t之前被撤銷(xiāo)了。也可以用其它變化量來(lái)代替時(shí)間周期,只要各方能夠同步地獲得變化量的當(dāng)前值。例如,變化量可以是與時(shí)間相關(guān)的值序列。 根據(jù)當(dāng)前時(shí)間可以獲得值序列中的特定值以作為變化量的當(dāng)前值。周期性地或響應(yīng)于用戶(hù)身份的撤銷(xiāo),私鑰更新設(shè)備107執(zhí)行私鑰更新算法來(lái)生成更新信息。更新信息被發(fā)布給身份基加密系統(tǒng)的用戶(hù)。私鑰更新設(shè)備107根據(jù)公開(kāi)參數(shù)pk、系統(tǒng)主私鑰mk、私鑰更新時(shí)間t、被撤銷(xiāo)用戶(hù)身份列表rl執(zhí)行私鑰更新算法。執(zhí)行私鑰更新算法后,私鑰更新設(shè)備107輸出對(duì)應(yīng)于更新時(shí)間t的更新信息kut。當(dāng)用戶(hù)要向具有身份ω的用戶(hù)發(fā)送消息明文m時(shí),其使用的通信設(shè)備對(duì)消息明文 m執(zhí)行加密算法。加密算法根據(jù)公開(kāi)參數(shù)pk、用戶(hù)身份ω、加密時(shí)間t對(duì)消息明文m加密, 并且輸出頭信息Hdr和密文C。用戶(hù)的通信設(shè)備向身份為ω的用戶(hù)的通信設(shè)備發(fā)送頭信息 Hdr和密文C。當(dāng)身份為ω的用戶(hù)的通信設(shè)備接收到頭信息Hdr和密文c時(shí),執(zhí)行會(huì)話密鑰生成算法。會(huì)話密鑰生成算法接受如下輸入頭信息Hdr、身份為ω的用戶(hù)的身份私鑰sku和更新信息kut。會(huì)話密鑰生成算法輸出會(huì)話密鑰dku,t或某個(gè)出錯(cuò)符號(hào)丄,這個(gè)符號(hào)代表身份ω被撤銷(xiāo)。接著,身份為ω的用戶(hù)的通信設(shè)備執(zhí)行解密算法。解密算法接受如下輸入會(huì)話密鑰dku,t以及密文c,并且輸出消息明文m或出錯(cuò)符號(hào)丄,該符號(hào)代表密文不合格。圖2是示出私鑰生成設(shè)備105的結(jié)構(gòu)示例的框圖。如圖2所示,私鑰生成設(shè)備105包括指派裝置201、多項(xiàng)式計(jì)算裝置202和私鑰生成裝置203。指派裝置201維護(hù)一個(gè)深度為d的完全二叉樹(shù)。將身份基加密系統(tǒng)的用戶(hù)與完全二叉樹(shù)的葉節(jié)點(diǎn)一一對(duì)應(yīng)起來(lái),因而身份基加密系統(tǒng)的最大用戶(hù)數(shù)目η = 2d。完全二叉樹(shù)中的每個(gè)節(jié)點(diǎn)分配有一個(gè)身份。對(duì)于完全二叉樹(shù)中非葉節(jié)點(diǎn)i與所述非葉節(jié)點(diǎn)之下的節(jié)
點(diǎn)層j的每個(gè)組合(i,j),關(guān)聯(lián)有不同的一階線性多項(xiàng)式
權(quán)利要求
1.一種在身份基加密系統(tǒng)中更新用戶(hù)私鑰的方法,包括將完全二叉樹(shù)中的合法葉節(jié)點(diǎn)劃分到一或多個(gè)子集,其中,每個(gè)子集是所述完全二叉樹(shù)的完全子樹(shù)和所述完全子樹(shù)的完全子子樹(shù)的葉節(jié)點(diǎn)集的差,所述完全子子樹(shù)的每個(gè)葉節(jié)點(diǎn)均與一個(gè)不同撤銷(xiāo)用戶(hù)相關(guān)聯(lián),對(duì)于完全二叉樹(shù)中非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)層的每個(gè)組合,關(guān)聯(lián)有不同的一階線性多項(xiàng)式f(x),所有多項(xiàng)式的零階系數(shù)為所述身份基加密系統(tǒng)的主私鑰;響應(yīng)于所述劃分,針對(duì)每個(gè)子集,根據(jù)與相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的一階線性多項(xiàng)式f(x)計(jì)算信息f(k),其中k是所述相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)的身份,使用單向函數(shù)由信息f(k)計(jì)算更新多項(xiàng)式信息,通過(guò)變化量的更新值的散列獲得變化信息,和用所述變化信息加擾所述更新多項(xiàng)式信息以獲得更新信息;以及發(fā)布關(guān)于所述劃分的信息和各個(gè)所述子集的更新信息。
2.如權(quán)利要求1所述的方法,其中,所述單向函數(shù)具有如下形式
3.如權(quán)利要求2所述的方法,其中,通過(guò)將所述多項(xiàng)式信息與所述變化信息相乘來(lái)進(jìn)行所述加擾。
4.如權(quán)利要求3所述的方法,其中,所述變化信息為丑( /’,其中H(X)為散列函數(shù),t 為所述變化量的更新值,r'是、中的隨機(jī)數(shù),并且所述方法還包括響應(yīng)于所述劃分,針對(duì)每個(gè)子集,獲得附加更新信息g"’,其中g(shù)是雙線性群G1的生成元;以及發(fā)布各個(gè)所述子集的附加更新信息。
5.如權(quán)利要求4所述的方法,其中,
6.如權(quán)利要求1所述的方法,其中,所述變化量是時(shí)間。
7.如權(quán)利要求1所述的方法,其中,所述劃分是根據(jù)子集差方法或分層子集差方法進(jìn)行的。
8.一種在身份基加密系統(tǒng)的通信設(shè)備中獲得會(huì)話密鑰的方法,包括接收頭信息;根據(jù)關(guān)于子集劃分的信息確定接收用戶(hù)的對(duì)應(yīng)葉節(jié)點(diǎn)所屬的子集,其中完全二叉樹(shù)中的合法葉節(jié)點(diǎn)被劃分到一或多個(gè)子集,每個(gè)子集是所述完全二叉樹(shù)的完全子樹(shù)和所述完全子樹(shù)的完全子子樹(shù)的葉節(jié)點(diǎn)集的差,所述完全子子樹(shù)的每個(gè)葉節(jié)點(diǎn)均與一個(gè)不同撤銷(xiāo)用戶(hù)相關(guān)聯(lián),對(duì)于完全二叉樹(shù)中非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)層的每個(gè)組合,關(guān)聯(lián)有不同的一階線性多項(xiàng)式f(x),所有多項(xiàng)式的零階系數(shù)為所述身份基加密系統(tǒng)的主私鑰;針對(duì)所確定的子集,確定相應(yīng)完全子樹(shù)中從根節(jié)點(diǎn)到所述對(duì)應(yīng)葉節(jié)點(diǎn)的路徑上與相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)同級(jí)的節(jié)點(diǎn),其中,對(duì)于所述路徑的非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)所位于的層的每個(gè)組合, 所述接收用戶(hù)的私鑰包含與所述組合相關(guān)聯(lián)的私鑰部分,所述私鑰部分包含通過(guò)用所述接收用戶(hù)的身份的散列加擾私鑰多項(xiàng)式信息而獲得的私鑰片段,所述私鑰多項(xiàng)式信息是通過(guò)對(duì)根據(jù)與所述組合相關(guān)聯(lián)的一階線性多項(xiàng)式f (X)計(jì)算的信息f(i)應(yīng)用單向函數(shù)而獲得的,其中i是所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)的身份,并且其中,每個(gè)子集關(guān)聯(lián)有通過(guò)用變化量的更新值的散列加擾更新多項(xiàng)式信息而獲得的更新信息,所述更新多項(xiàng)式信息是通過(guò)對(duì)根據(jù)與相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的一階線性多項(xiàng)式f(X)計(jì)算的信息f(k)應(yīng)用所述單向函數(shù)而獲得的,其中k是所述相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)的身份;根據(jù)頭信息對(duì)與所確定的子集的相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和所確定的同級(jí)節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的私鑰部分中的私鑰片段解擾以獲得取決于相應(yīng)私鑰多項(xiàng)式信息的第一值;根據(jù)頭信息對(duì)與所確定的子集相關(guān)聯(lián)的更新信息解擾以獲得取決于相應(yīng)更新多項(xiàng)式信息的第二值;和使用多項(xiàng)式插值方法根據(jù)所述第一值和第二值獲得取決于信息f(0)的第三值,以作為會(huì)話密鑰。
9.如權(quán)利要求8所述的方法,其中,所述單向函數(shù)具有如下形式
10.如權(quán)利要求9所述的方法,其中,通過(guò)將所述私鑰多項(xiàng)式信息與所述接收用戶(hù)的身份的散列相乘來(lái)加擾所述私鑰多項(xiàng)式信息,并且通過(guò)將所述更新多項(xiàng)式信息與所述變化量的更新值的散列相乘來(lái)加擾所述更新多項(xiàng)式信息。
11.如權(quán)利要求10所述的方法,其中,所述變化量的更新值的散列為,所述接收用戶(hù)的身份的散列為Η(ωΓ,其中H(X)為散列函數(shù),t為所述變化量的更新值,ω是所述接收用戶(hù)的身份,r和r'是、中的隨機(jī)數(shù),每個(gè)子集的更新信息還包含附加更新信息g"’,并且每個(gè)私鑰部分還包含附加私鑰片段A其中g(shù)是雙線性群G1的生成元。
12.如權(quán)利要求11所述的方法,其中,
13.如權(quán)利要求11或12所述的方法,其中,所述頭信息包含g%Η(ω)ζ*Ηα)% ζ是從\中隨機(jī)選擇的,并且分別通過(guò)下式來(lái)獲得所述第一值和第二值
14.如權(quán)利要求8所述的方法,其中,所述變化量是時(shí)間。
15.如權(quán)利要求8所述的方法,其中,所述劃分是根據(jù)子集差方法或分層子集差方法進(jìn)行的。
16.一種身份基加密系統(tǒng)的私鑰更新設(shè)備,包括子集生成裝置,其將完全二叉樹(shù)中的合法葉節(jié)點(diǎn)劃分到一或多個(gè)子集,其中,每個(gè)子集是所述完全二叉樹(shù)的完全子樹(shù)和所述完全子樹(shù)的完全子子樹(shù)的葉節(jié)點(diǎn)集的差,所述完全子子樹(shù)的每個(gè)葉節(jié)點(diǎn)均與一個(gè)不同撤銷(xiāo)用戶(hù)相關(guān)聯(lián),對(duì)于完全二叉樹(shù)中非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)層的每個(gè)組合,關(guān)聯(lián)有不同的一階線性多項(xiàng)式f(x),所有多項(xiàng)式的零階系數(shù)為所述身份基加密系統(tǒng)的主私鑰;更新信息生成裝置,其響應(yīng)于所述劃分,針對(duì)每個(gè)子集,根據(jù)與相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的一階線性多項(xiàng)式f(x)計(jì)算信息f(k),其中k是所述相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)的身份, 使用單向函數(shù)由信息f(k)計(jì)算更新多項(xiàng)式信息, 通過(guò)變化量的更新值的散列獲得變化信息,和用所述變化信息加擾所述更新多項(xiàng)式信息以獲得更新信息;以及發(fā)布裝置,其發(fā)布關(guān)于所述劃分的信息和各個(gè)所述子集的更新信息。
17.如權(quán)利要求16所述的私鑰更新設(shè)備,其中,所述單向函數(shù)具有如下形式
18.如權(quán)利要求17所述的私鑰更新設(shè)備,其中,通過(guò)將所述多項(xiàng)式信息與所述變化信息相乘來(lái)進(jìn)行所述加擾。
19.如權(quán)利要求18所述的私鑰更新設(shè)備,其中,所述變化信息為丑(/)"’,其中H(X)為散列函數(shù),t為所述變化量的更新值,r'是、中的隨機(jī)數(shù),并且所述更新信息生成裝置進(jìn)一步被配置為響應(yīng)于所述劃分,針對(duì)每個(gè)子集,獲得附加更新信息纟,其中g(shù)是雙線性群G1的生成元,并且所述發(fā)布裝置進(jìn)一步被配置為發(fā)布各個(gè)所述子集的附加更新信息。
20.如權(quán)利要求19所述的私鑰更新設(shè)備,其中,
21.如權(quán)利要求16所述的私鑰更新設(shè)備,其中,所述變化量是時(shí)間。
22.如權(quán)利要求16所述的私鑰更新設(shè)備,其中,所述劃分是根據(jù)子集差方法或分層子集差方法進(jìn)行的。
23.一種身份基加密系統(tǒng)的通信設(shè)備,包括 接收裝置,其接收頭信息;私鑰選擇裝置,被配置為根據(jù)關(guān)于子集劃分的信息確定接收用戶(hù)的對(duì)應(yīng)葉節(jié)點(diǎn)所屬的子集,其中完全二叉樹(shù)中的合法葉節(jié)點(diǎn)被劃分到一或多個(gè)子集,每個(gè)子集是所述完全二叉樹(shù)的完全子樹(shù)和所述完全子樹(shù)的完全子子樹(shù)的葉節(jié)點(diǎn)集的差,所述完全子子樹(shù)的每個(gè)葉節(jié)點(diǎn)均與一個(gè)不同撤銷(xiāo)用戶(hù)相關(guān)聯(lián),對(duì)于完全二叉樹(shù)中非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)層的每個(gè)組合,關(guān)聯(lián)有不同的一階線性多項(xiàng)式f(X),所有多項(xiàng)式的零階系數(shù)為所述身份基加密系統(tǒng)的主私鑰,并且針對(duì)所確定的子集,確定相應(yīng)完全子樹(shù)中從根節(jié)點(diǎn)到所述對(duì)應(yīng)葉節(jié)點(diǎn)的路徑上與相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)同級(jí)的節(jié)點(diǎn),其中,對(duì)于所述路徑的非葉節(jié)點(diǎn)與所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)所位于的層的每個(gè)組合, 所述接收用戶(hù)的私鑰包含與所述組合相關(guān)聯(lián)的私鑰部分,所述私鑰部分包含通過(guò)用所述接收用戶(hù)的身份的散列加擾私鑰多項(xiàng)式信息而獲得的私鑰片段,所述私鑰多項(xiàng)式信息是通過(guò)對(duì)根據(jù)與所述組合相關(guān)聯(lián)的一階線性多項(xiàng)式f (X)計(jì)算的信息f(i)應(yīng)用單向函數(shù)而獲得的,其中i是所述非葉節(jié)點(diǎn)之下的節(jié)點(diǎn)的身份,并且其中,每個(gè)子集關(guān)聯(lián)有通過(guò)用變化量的更新值的散列加擾更新多項(xiàng)式信息而獲得的更新信息,所述更新多項(xiàng)式信息是通過(guò)對(duì)根據(jù)與相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的一階線性多項(xiàng)式f(X)計(jì)算的信息f(k)應(yīng)用所述單向函數(shù)而獲得的,其中k是所述相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)的身份;和會(huì)話密鑰生成裝置,被配置為根據(jù)頭信息對(duì)與所確定的子集的相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和所確定的同級(jí)節(jié)點(diǎn)所位于的層的組合相關(guān)聯(lián)的私鑰部分中的私鑰片段解擾以獲得取決于相應(yīng)私鑰多項(xiàng)式信息的第一值,根據(jù)頭信息對(duì)與所確定的子集相關(guān)聯(lián)的更新信息解擾以獲得取決于相應(yīng)更新多項(xiàng)式信息的第二值,和使用多項(xiàng)式插值方法根據(jù)所述第一值和第二值獲得取決于信息f(0)的第三值,以作為會(huì)話密鑰。
24.如權(quán)利要求23所述的通信設(shè)備,其中,所述單向函數(shù)具有如下形式私鑰多項(xiàng)式信息=g2/(x),更新多項(xiàng)式信息=g2/W,其中&是從雙線性群G1中隨機(jī)選擇的,所述雙線性群G1是會(huì)話密鑰的雙線性映射的定義域所基于的以素?cái)?shù)ρ為階的雙線性群。
25.如權(quán)利要求M所述的通信設(shè)備,其中,通過(guò)將所述私鑰多項(xiàng)式信息與所述接收用戶(hù)的身份的散列相乘來(lái)加擾所述私鑰多項(xiàng)式信息,并且通過(guò)將所述更新多項(xiàng)式信息與所述變化量的更新值的散列相乘來(lái)加擾所述更新多項(xiàng)式信息。
26.如權(quán)利要求25所述的通信設(shè)備,其中,所述變化量的更新值的散列為//( /’,所述接收用戶(hù)的身份的散列為Η(ω)\其中H(X)為散列函數(shù),t為所述變化量的更新值,ω是所述接收用戶(hù)的身份,r和r'是、中的隨機(jī)數(shù),每個(gè)子集的更新信息還包含附加更新信息g”’,并且每個(gè)私鑰部分還包含附加私鑰片段A其中g(shù)是雙線性群G1的生成元。
27.如權(quán)利要求沈所述的通信設(shè)備,其中,
28.如權(quán)利要求沈或27所述的通信設(shè)備,其中,所述頭信息包含g%Η(ω)ζ*Ηα)% ζ是從\中隨機(jī)選擇的,并且分別通過(guò)下式來(lái)獲得所述第一值和第二值
29.如權(quán)利要求23所述的通信設(shè)備,其中,所述變化量是時(shí)間。
30.如權(quán)利要求23所述的通信設(shè)備,其中,所述劃分是根據(jù)子集差方法或分層子集差方法進(jìn)行的。
全文摘要
公開(kāi)了一種更新私鑰的方法及設(shè)備、獲得會(huì)話密鑰的方法和通信設(shè)備。更新方法包括將完全二叉樹(shù)中合法葉節(jié)點(diǎn)劃分到一或多個(gè)子集,每個(gè)子集是完全子樹(shù)及其完全子子樹(shù)的葉節(jié)點(diǎn)集的差,完全子子樹(shù)的每個(gè)葉節(jié)點(diǎn)均與一個(gè)不同撤銷(xiāo)用戶(hù)相關(guān)聯(lián),非葉節(jié)點(diǎn)與其之下節(jié)點(diǎn)層的每個(gè)組合關(guān)聯(lián)有不同一階線性多項(xiàng)式.f(x),多項(xiàng)式零階系數(shù)為主私鑰;根據(jù)與每個(gè)子集的相應(yīng)完全子樹(shù)的根節(jié)點(diǎn)和相應(yīng)完全子子樹(shù)的根節(jié)點(diǎn)所在的層的組合相關(guān)聯(lián)的多項(xiàng)式計(jì)算信息.f(k),k是后者根節(jié)點(diǎn)的身份,使用單向函數(shù)由信息f(k)計(jì)算更新多項(xiàng)式信息,通過(guò)變化量的更新值的散列獲得變化信息,和用變化信息加擾更新多項(xiàng)式信息以獲得更新信息;及發(fā)布關(guān)于劃分的信息和各個(gè)子集的更新信息。
文檔編號(hào)H04L9/28GK102347835SQ20101024436
公開(kāi)日2012年2月8日 申請(qǐng)日期2010年7月30日 優(yōu)先權(quán)日2010年7月30日
發(fā)明者曹珍富, 林煌, 梁曉輝, 董曉蕾, 邢東升 申請(qǐng)人:索尼公司