一种基于广播加密的匿名订阅方法

1.本发明属于信息安全领域，涉及一种基于广播加密的匿名订阅方法，主要通过广播加密过程中对用户信息进行加密隐藏，从而实现用户与用户之间的匿名性。


背景技术：

2.互联网时代中，订阅模式应用广泛，订阅模式下用户通过支付一定费用，获取对特定资源进行访问的权限。但在传统订阅模式下，用户可以知晓其他订阅用户的存在，因此存在一定安全隐患。
3.1984年，shamir首先提出基于身份加密概念，基于身份的加密体制使用用户的个人信息作为用户公钥，如电话号码、身份证号码、邮箱地址等，从而避免大量公钥证书的分配和管理。
4.he等人在2016提出了基于身份的匿名广播加密方案。该方案解决了用户与用户之间匿名问题。服务器在生成密文时，通过对用户集合身份信息的隐藏，将隐藏用户信息的密文发送给用户，从而实现用户与用户之间的匿名性。
5.传统的基于广播加密的订阅方案中不能实现用户与用户之间的匿名性，用户在解密消息时能够知道其他订阅用户的存在，用户订阅服务的信息被公开给所有用户，从而导致用户的隐私得不到保证。然而在现实生活中，用户订阅某些服务时并不想让其他用户知道，这种情况下传统的基于广播加密的订阅方案就无法满足用户的需求。


技术实现要素：

6.发明目的：针对上述技术问题，本发明提供了一种基于广播加密的匿名订阅方法，通过基于身份的匿名广播加密方案，在订阅模式下，实现用户与用户之间的匿名性，保证用户订阅信息不被其他用户得知。
7.技术方案：本发明提出一种基于广播加密的匿名订阅方法，包括如下步骤：
8.步骤1：设置系统主公钥pk和主私钥msk，设置签名公钥pk和签名私钥sk；
9.步骤2：根据系统主公钥pk和主私钥msk，生成用户私钥
10.步骤3：用户通过用户私钥登陆服务器；
11.步骤4：服务器和用户通过会话标识c0中止会话。
12.进一步地，所述步骤1的具体方法为：
13.步骤1.1：选取三个不同素数p1、p2、p3，n＝p1p2p3，n阶循环群g和g
t
，双线性映射e：g
×g→ct
，设分别表示循环群g中阶为p1、p2、p3的子群；
14.步骤1.2：输入安全参数k和接收者数量m，随机选取g，h，u1，u2，
…
，系统主公钥pk＝{g，h，u1，u2，
…
，um，v＝e(g，g)
α
，pk}，系统主私钥msk＝{α，sk}。
15.进一步地，所述步骤2的具体方法为：
16.步骤2.1：选取用户集合s∈{id1，id2，
…
，ids}，s≤m，随机选择ri∈zn，zn为整数集
合，1≤i≤s；
17.步骤2.2：为每个用户计算用户私钥步骤2.2：为每个用户计算用户私钥
18.进一步地，所述步骤3的具体方法为：
19.步骤3.1：用户随机选取计算r，r＝e(g，g)
x
，将r发送给服务器；
20.步骤3.2：服务器随机选取计算c0、c1、c2、t，c0＝vkm，c2＝gkz
′
，t＝e(g，g)y，m表示服务器选取的登录口令，对《r，c0，c1，c2，t》计算签名σ，发送《r，c0，c1，c2，σ》给用户；
21.步骤3.3：使用签名公钥pk进行签名验证，如果验证为真，则计算解密值p和会话密钥kc，kc＝t
x
，发送p给服务器；
22.步骤3.4：服务器验证等式p＝m是否成立，如果等式成立，服务器计算会话密钥ks＝ry，且ks＝kc，c0定义为会话标识，用户和服务器成功建立连接。
23.进一步地，所述步骤4的具体方法为：
24.步骤4.1：服务器对会话标识c0和sk计算签名η，发送η给用户；
25.步骤4.2：用户验证签名η是否为真，如果为真，则中止c0会话。
26.本发明采用上述技术方案，具有以下有益效果：本发明在已有的基于身份匿名广播加密方案基础上，利用其方案的匿名性和订阅模式相结合，在实现正常的订阅功能下，同时实现用户与用户之间的匿名性。
附图说明
27.图1为基于广播加密的匿名订阅过程图；
28.图2为系统初始化流程图；
29.图3为用户私钥生成流程图；
30.图4为用户登陆流程图；
31.图5为用户退出登陆流程图。
具体实施方式
32.下面结合具体实施案例，进一步阐明本发明，应理解这些实施案例仅用于说明本发明而不用于限制本发明的范围，在阅读了本发明之后，本领域技术人员对本发明的各种等价形式的修改均落于本技术所附权利要求所限定的范围。
33.一.本发明所用的理论说明：
34.1.双线性对(bilinear pairing)
35.给定g，g
t
是两个阶数为n＝p1p2p3的循环群，定义的双线性映射e：g
×g→gt
，且具有
以下性质：
36.(1)双线性：任意g，h∈g，a，b∈zn，c(ga，gb)＝e(g，h)
ab
均成立。
37.(2)非退化性：存在g∈g，使得e(g，h)在g
t
中的阶为n。
38.(3)可计算性：对于任意的的g，h∈g，e(g，h)是可计算的。
39.2.双系统加密技术
40.双系统加密技术中，密文和密钥均有两种形态，密文分别有正常密文和半功能密文，密钥有正常密钥和半功能密钥。正常密钥可以解密正常密文和半功能密文，半功能密钥不能解密半功能密文。双系统加密方案的安全性证明通过多个不可区分的游戏来证明。
41.二.本发明公开了一种基于广播加密的匿名订阅方法，包括如下步骤：
42.步骤1：设置系统主公钥pk和主私钥msk，设置签名公钥pk和签名私钥sk，具体的如图2所示：
43.步骤1.1：选取三个不同素数p1、p2、p3，n＝p1p2p3，n阶循环群g和g
t
，双线性映射e：g
×g→gt
，设分别表示循环群g中阶为p1、p2、p3的子群
44.步骤1.2：输入安全参数k和接收者数量m，随机选取g，h，u1，u2，
…
，系统主公钥pk＝{g，h，u1，u2，
…
，um，v＝e(g，g)
α
，pk}，系统主私钥msk＝{α，sk}。
45.步骤2：根据系统主公钥pk和主私钥msk，生成用户私钥具体的如图3所示：
46.步骤2.1：选取用户集合s∈{id1，id2，
…
，ids}，s≤m，随机选择ri∈zn，1≤i≤s；
47.步骤2.2：为每个用户计算用户私钥步骤2.2：为每个用户计算用户私钥
48.步骤3：用户通过用户私钥登陆服务器，具体的如图4所示：
49.步骤3.1：用户随机选取计算r，r＝e(g，g)
x
，将r发送给服务器；
50.步骤3.2：服务器随机选取计算c0、c1、c2、t，c0＝vkm，c2＝gkz
′
，t＝e(g，g)y，m表示服务器选择的登录口令，对《r，c0，c1，c2，t》计算签名σ，发送《r，c0，c1，c2，σ》给用户；
51.步骤3.3：使用签名公钥pk进行签名验证，如果验证为真，则计算解密值p和会话密钥kc，kc＝t
x
，发送p给服务器；
52.步骤3.4：服务器验证等式p＝m是否成立，如果等式成立，服务器计算会话密钥ks＝ry，且ks＝kc，c0定义为会话标识，用户和服务器成功建立连接。
53.步骤4：服务器和用户通过会话标识c0中止会话，具体的如图5所示：
54.步骤4.1：服务器对c0、sk计算签名η，发送η给用户；
55.步骤4.2：用户验证签名η是否为真，如果为真，则中止c0会话。
56.上述实施方式只为说明本发明的技术构思及特点，其目的在于让熟悉此项技术的人能够了解本发明的内容并据以实施，并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰，都应涵盖在本发明的保护范围之内。