CN1633774B

CN1633774B - 基于身份的分级加密与签名方案

Info

Publication number: CN1633774B
Application number: CN038039109A
Authority: CN
Inventors: 克雷格·B·金特里; 艾丽斯·西尔弗伯格
Original assignee: NTT Docomo Inc
Current assignee: NTT Docomo Inc
Priority date: 2002-03-21
Filing date: 2003-03-18
Publication date: 2011-12-07
Anticipated expiration: 2023-03-18
Also published as: US7349538B2; US20080013722A1; EP1495573A4; WO2003081780A2; US20030179885A1; WO2003081780A3; EP2012459A1; AU2003214189A1; JP2005521323A; ATE419690T1; US20070050629A1; US7337322B2; US7443980B2; CN1633774A; DE60325575D1; EP2309671A2; EP1495573A2; US7590854B2; US20080052521A1; JP4405810B2

Abstract

本发明提供了用来在一个包含多个私有密钥生成器(“PKG”)的系统中的发送方与接收方之间编码与解码一条数字消息的方法。所述的PKG中至少包括一个根PKG以及根PKG与接收方之间的分级结构中的n个低级PKG。一个根密钥生成密文被选取且只为根PKG所知(102)。根据所述的根密钥生成密文产生一个根密钥生成参数(104)。为所述的n个低级PKG各选取一个低级密钥生成密文，其中每个低级密钥生成密文只对其相关的低级PKG已知(106)。还要为n个低级PKG各产生一个低级密钥生成参数，产生的过程中至少要利用对应于其相关低级私有密钥生成器的低级密钥生成密文(108)。至少利用根密钥生成参数以及与接收方相关的接收方身份信息对所述的消息进行编码以形成一个密文(110)。生成一个接收方私有密钥，使得该接收方私有密钥至少与根密钥生成密文、n个低级密钥生成密文中的一个或多个、以及接收方身份信息相关(112)。至少利用接收方私有密钥对所述的密文解码以恢复所述的消息(114)。

Description

基于身份的分级加密与签名方案

相关申请

申请人特此依据35 U.S.C§119(e)要求2002年3月21日提交的临时美国专利申请60/366292和2002年3月21日提交的临时美国专利申请60/366196的优先权，所述的两个临时专利申请都通过引用包括在本申请中。

技术领域

本发明主要涉及密码技术以及通过计算机网络或通过其他类型的系统与设备进行的保密通信，并尤其涉及用来对通信进行加密和解密的基于身份的分级方案。

背景技术

大致说来，基于身份的密码系统是公共密钥密码系统，在这类系统中，一个实体的公共密钥是由与该实体的身份相关的信息得来的。例如，所述的身份信息可以是个人信息(即姓名、地址、电子邮箱地址等)或是计算机信息(即IP地址等)。但是，身份信息不仅可以包括与实体身份严格相关的信息，还包括广泛的可用信息，比如时间或日期。也就是说，身份信息概念的重要性不在于它与实体身份的严格关系，而在于任何希望向实体发送加密消息的人都能轻易获得该信息。

一个实体的私有密钥由一个受委托方或逻辑进程产生并分配，所述的受委托方或逻辑进程通常被称为私有密钥生成器(“PKG”)。PKG利用一个主密文信息来产生私有密钥。由于一个实体的公共密钥可根据其身份推知，因此当Alice想要向Bob发送一条消息时，她就不必从数据库中取回Bob的公共密钥。而是Alice只需根据Bob的识别信息直接推知密钥。公共密钥数据库就成为多余，认证授权(“CAs”) 也是不必要的了。无需将Bob的身份“绑定”到他的公共密钥上，因为他的身份即是他的公共密钥。

基于身份的系统的概念并不新鲜。它在A.Shamir所著的“Identity-Based Cryptosystems and Signatures Schemes(基于身份的加密系统与签名方案)”中就已被提出，该文发表于ADVANCES INCRYPTOGRAPHY-CRYPTO‘84，Lecture Notes in ComputerScience 196(1984)，Springer，47-53。然而，可实际应用的基于身份的加密方案至今仍未被找到。例如，基于身份的方案在下列文献中就已被提出，C.Cocks所著的“An Identity-Based Encryption SchemeBased on Quadratic Residues(以平方残差为基础的基于身份的加密方案)”，该文可在http：//www.cesg.gov.uk/technology/id-pkc/media/ciren.pdf得到；D.Boneh，M.Franklin所著的“Identity BasedEncryption from the Weil Pairing(由Weil配对得到的基于身份的加密)”，该文发表于ADVANCES IN CRYPTOGRAPHY-CRYPTO2001，Lecture Notes in Computer Science2139(2001)，Springer，213-229；以及D.Boneh，M.Franklin所著的“Identity BasedEncryption from the Weil Pairing(extended version)(由Weil配对得到的基于身份的加密(扩展版本))”，该文可在 http：//www.cs.stanford.edu/～dabo/papers/ibe.pdf得到。Cocks的方案是基于“平方残差问题”的，尽管加密和解密都相当地快(大约是RSA的速度)，但是会有显著的消息扩展(即密文比特长度是明文比特长度的许多倍)。Boneh-Franklin方案将其安全性的基础建立在“双线性Diffie-Hellman问题”上，在使用超奇异椭圆曲线或阿贝尔簇曲线上的Weil或Tate配对时，该方案相当快速与高效。

然而，已知的基于身份的加密方案都有一个显著的缺陷——它们都不是分级结构的。在非基于身份的公共密钥加密技术中，已经可以设置CA的分级结构，在该结构中，根CA可以为其他CA发放证书，而后者又可以为特定域内的用户发放证书。这样做是很值得的，因为它减轻了根CA的工作量。可供基于身份的加密技术使用的实用分级方案还未被开发出来。

理想情况下，基于身份的分级加密方案将包括一个逻辑或实际PKG的分级结构。例如，一个根PKG可以向其他PKG发放私有密钥，而后者又可以向特定域内的用户发放私有密钥。同时，只要发送方获得了根PKG的公共参数，即使发送方根本不在系统中，也可以在不上线查找接收方的公共密钥或低级公共参数的情况下发送一条加密信息。基于身份的分级加密方案的另一个优点在于损坏控制。例如，一个域PKG的密文的泄漏并不会危及更高层次PKG的密文，也不会危及任何其他不是这个被损害的域PKG的直接下级的PKG的密文。而Cocks和Boneh-Franklin所提倡的方案并不具有这些特性。

安全而实用的基于身份的分级加密方案还未被开发出来。一种具有部分共谋抵抗性的基于身份的分级密钥共享方案已经在下列文献中被提出：G.Hanaoka，T.Nishioka，Y.Zheng，H.Imai所著的“AnEfficient Hierarchical Identity-Based Key-Sharing Method ResistantAgainst Collusion Attacks(一种能够抵抗共谋攻击的高效的基于身份的分级密钥共享方法)”，该文发表于ADVANCES INCRYPTOGRAPHY-ASIACRYPT 1999，Lecture Notes in ComputerScience 1716(1999)，Springer，348-362；以及G.Hanaoka，T.Nishioka，Y.Zheng，H.Imai所著的“A Hierarchical Non-InteractiveKey-Sharing Scheme With Low Memory Size and High ResistanceAgainst Collusion Attacks(一种具有低内存容量、高共谋攻击抵抗性的分级非互动密钥共享方案)”，该文将发表于THE COMPUTERJOURNAL。另外，在J.Horwitz，B.Lynn所著的“TowardHierarchical Identity-Based Encryption(走向基于身份的分级加密)”一文中还提供了对基于身份的分级加密的介绍，该文即将发表于ADVANCES IN CRYPTOGRAPHY-EUROCRYPT 2002，LectureNotes in Computer Science，Springer。Horwitz和Lynn提出了一种两级的分级方案，该方案在第一级具有完全的共谋抵抗性，并在第二级具有部分的共谋抵抗性(即，用户可以共谋以获得他们的域PKG 的密文，并据此假扮成域PKG)。但是，Horwitz-Lynn系统的复杂性会随着第二级上的共谋抵抗性提高，因此该方案不可能做到既实用又安全。

因此需要一种安全实用的基于身份的分级加密方案。本发明的一个目标就是要提供一种安全而又实用的基于身份的分级加密方案。本发明的另一个目标是要提供一种安全而又实用的基于身份的分级签名方案。本发明的另一个目标是所述的加密与签名方案都是完全可调整的。本发明的另一个目标是所述的加密与签名方案在任意数量的级别上都具有完全的共谋抵抗性，并且它们具有随机预言模型中的选定密文安全性。

发明内容

根据本发明，它提供了用来实现安全可靠且实用的基于身份的分级加密与签名方案的方法。

根据本发明的一方面内容，它提供了一种用来在一个系统中的发送方与接收方之间编码和解码数字消息的方法，所述的系统中包括多个私有密钥生成器(“PKG”)。这些PKG中至少包括一个根PKG以及根PKG与接收方之间的分级结构中的n个低级PKG，其中n≥1。一个根密钥生成密文被选取，并且仅为根PKG所知。根据所述的根密钥生成密文产生一个根密钥生成参数。为n个低级PKG各选取一个低级密钥生成密文，其中每个低级密钥生成密文仅对其相关的低级PKG已知。还要为n个低级PKG各产生一个低级密钥生成参数，其中至少要用到对应于相关低级私有密钥生成器的低级密钥生成密文。至少利用根密钥生成参数和接收方身份信息来对所述的消息进行编码，以形成一个密文。产生一个接收方私有密钥，使得该接收方私有密钥至少与根密钥生成密文、根PKG和接收方之间的分级结构中的n个低级PKG相关的n个低级密钥生成密文中的一个或多个、以及接收方身份信息有关。至少利用接收方私有密钥来解密所述的密文以恢复所述的消息。

根据本发明的另一方面内容，它提供了一种用来在一个系统中的发送方与接收方之间编码和解码数字消息的方法，所述的系统中包括多个私有密钥生成器(“PKG”)。这些PKG中至少包括一个根PKG、根PKG与发送方之间的分级结构中的m个低级PKG，其中m≥1，根PKG与接收方之间的分级结构中的n个低级PKG，其中n≥1，以及PKG_l，它是发送方与接收方共同的前辈PKG。在该分级结构中，m个私有密钥生成器中的l个是发送方与接收方共同的前辈PKG，其中l≥1。

根据本发明这一方面的内容，要为根PKG与发送方之间的分级结构中的m个低级PKG各选取一个低级密钥生成密文。生成一个发送方私有密钥，使得该发送方私有密钥至少与根密钥生成密文、根PKG和发送方之间的分级结构中的m个低级PKG相关的m个低级密钥生成密文中的一个或多个、以及发送方身份信息有关。生成一个接收方私有密钥，使得该接收方私有密钥至少与根密钥生成密文、根PKG和接收方之间的分级结构中的n个低级PKG相关的n个低级密钥生成密文中的一个或多个、以及接收方身份信息有关。至少利用接收方身份信息、发送方私有密钥、以及和位于或低于公共前辈PKG_l 级别的(m-l+1)个私有密钥生成器相关的低级密钥生成参数中的0个或多个，来对所述的消息进行编码，但是不能使用和高于公共前辈PKG_l的(l-1)个PKG相关的低级密钥生成参数中的任何一个。至少利用发送方身份信息、接收方私有密钥、以及和位于或低于公共前辈PKG_l级别的(n-l+1)个私有密钥生成器相关的低级密钥生成参数中的0个或多个，来对所述的消息进行解码，但是不能使用和高于公共前辈PKG_l的(l-1)个PKG相关的低级密钥生成参数中的任何一个。

根据本发明的另一方面内容，它提供了一种用来在一个系统中的发送方与接收方之间产生及验证一条消息的数字签名的方法，所述的系统中包括多个PKG。这些PKG中至少包括一个根PKG以及根PKG与发送方之间的分级结构中的n个低级PKG，其中n≥1。一个根密钥生成密文被选取，并且仅为根PKG所知。根据所述的根密钥生成密文产生一个根密钥生成参数。为n个低级PKG各选取一个低级密钥生成密文，其中每个低级密钥生成密文仅对其相关的低级PKG已知。还要为n个低级PKG各产生一个低级密钥生成参数，其中至少要用到对应于相关低级私有密钥生成器的低级密钥生成密文。为发送方生成一个私有密钥，使得该私有密钥至少与根密钥生成密文以及发送方身份信息有关。至少利用发送方私有密钥来签署所述的消息以生成一个数字签名。至少利用根密钥生成参数以及发送方身份信息来验证所述的数字消息。

附图说明

以下对本发明优选实施例的说明参照了附图，其中：

图1示出了一张流程图，该图根据本发明的当前优选实施例展示了一种编码和解码数字消息的方法；

图2示出了一张流程图，该图根据本发明的另一个当前优选实施例展示了一种在发送方y和接收方z之间编码及解码数字消息的方法；

图3示出了一张框图，该图展示了一种典型的分级结构，在这种结构中可以实现图2所示的方法；

图4示出了一张流程图，该图根据本发明的另一个当前优选实施例展示了一种编码和解码一条数字消息M的方法，所述的数字消息在发送方y和接收方z之间传递；

图5示出了一张流程图，该图根据本发明的另一个当前优选实施例展示了一种编码和解码一条数字消息M的方法，所述的数字消息在发送方y和接收方z之间传递；

图6示出了一张流程图，该图根据本发明的另一个当前优选实施例展示了一种编码和解码一条数字消息M的方法，所述的数字消息在发送方y和接收方z之间传递；

图7示出了一张流程图，该图根据本发明的另一个当前优选实施例展示了一种生成及验证一个数字签名的方法；

图8示出了一张流程图，该图根据本发明的另一个当前优选实施例展示了一种生成及验证一条数字消息M的数字签名sig的方法，所述的数字消息在发送方y和接收方z之间传递；以及

图9示出了一张流程图，该图根据本发明的另一个当前优选实施例展示了一种生成及验证一条数字消息M的数字签名sig的方法，所述的数字消息在发送方y和接收方z之间传递。

具体实施方式

本发明的当前优选方法提供了安全可靠而实用的基于身份的分级加密(“HIDE”)与签名(“HIDS”)方案。所述的分级方案是完全可调整的，在任意数量的级别上都具有完全的共谋抵抗性，并且具有随机预言模型中的选定密文安全性。这些目标部分是通过在各个低级PKG中引入附加随机信息而实现的。这些方案在直观上令人惊讶的一个方面在于，即使低级PKG产生了附加随机信息，也不会迫使在分级结构的根级别以下添加公共参数。另外，低级PKG所产生的随机信息不会对不在低级PKG以下的用户向低级PKG以下的用户发送加密信息的能力造成负面影响。

本发明的每一个HIDE和HIDS方案都需要PKG的分级结构，该结构中至少包括一个根PKG和多个低级PKG。分级结构和低级PKG可以是逻辑的，也可以是实际的。例如，一个单个实体就可以产生根密钥生成密文和低级密钥生成密文，低级用户的加密或签名密钥都是由后者生成的。在这种情况下，低级PKG都不是独立的实体，而只是以逻辑分级结构组织的进程或信息，并被用来为分级结构中的后代PKG及用户生成密钥。或者，每个低级PKG也可以是独立的实体。另一种备选方案涉及实际与逻辑低级PKG的混合形式。为了本文公开说明的目的，短语“低级PKG”一般被用来指代这些备选方案中的任意一种。

在本文所公开的基于身份的分级密码系统环境下，基于身份的公共密钥可以是基于时间周期的。例如，一个特定接收方的身份会随各个随后的时间周期而变化。或者，接收方也可以将时间周期安排为它自己在分级结构中的后代或下级，并且发送方会在编码消息时使用正确时间周期上的身份。不论采用何种方式，每个密钥都只在相关的时间周期内才能有效的用来签署要送给Bob的消息。

本发明的HIDE方案通常包括5个随机化的算法：根设置、低级设置、抽取、加密以及解密。这些算法中的三个依赖于分级结构中相关实体的身份。每名用户最好都在分级结构中拥有一个位置，该分级结构可由它的ID元组(ID₁，...，ID_t)定义。所述用户在分级结构中的前辈是根PKG以及ID元组为{(ID₁，...，ID_i)：1≤i≤(t-1)}的用户或PKG。为了计算的目的，ID元组最好用二进制字串表示。

在根设置算法中，根PKG使用一个保密参数k来产生公共系统参数params以及一个根密钥生成密文。所述的系统参数包括对消息空间M和密文空间X的描述。所述的系统参数是公开使用的，但只有根PKG知道根密钥生成密文。

在低级设置算法中，为了抽取的目的，每个低级PKG最好产生它自己的低级密钥生成密文。或者，低级PKG也可以为每次抽取产生一次性密文。

在抽取算法中，一个PKG(根PKG或低级PKG)为它的任意一个后代产生一个私有密钥。该私有密钥是利用系统参数、生出方PKG的私有密钥以及任何其他的优选密文信息产生的。

在加密算法中，发送方从根PKG接收系统参数，最好是通过本系统以外的某些安全途径接收。发送方不必接收任何低级密钥生成参数。所述的发送方利用params和期望接收方的ID元组来编码一条消息M∈M，以产生一个加密文本C∈X。相反地，在解码算法中，接收方利用params和接收方的私有密钥d来解码加密文本C，以恢复消息M。加密和解密最好都满足标准的一致性约束：

M∈M：Decryption (params，d，C)＝M

其中C＝Encryption(params，ID元组，M)。

象HIDE方案一样，本发明的HIDS方案一般也包括5个随机化的算法：根设置、低级设置、抽取、签署以及验证。在根设置中，系统参数会被补充以包括进对签名空间∑的说明。低级设置和抽取最好与上述HIDE中的算法一样。

在签署算法中，数字消息的发送方利用params和发送方的私有密钥d签署消息M∈M，以生成一个签名S∈∑。在验证算法中，被签署消息的接收方利用params以及发送方的ID元组来验证签名S。验证算法最好输出“有效”或“无效”。签署与验证最好也满足一致性约束：

M∈M：Verification(params，ID元组，S)＝“有效”

其中S＝Signing (params，d，M)。

HIDE与HIDS方案的安全性

下面将分别针对HIDE和HIDS来说明实现了本发明的方案的安全性。在基于身份的非分级加密技术环境下人们已经注意到，必须为基于身份的系统加强选定密文安全性的标准定义。这是因为，为了进行安全性分析，应该假定一个敌对方能够获得与其选择的任意身份相关的私有密钥(除了受到攻击的特定身份以外)。这一点同样适用于基于身份的分级加密技术。因此，为了确保本发明的HIDE方案是具有选定密文安全的，就可以让一个模拟攻击者进行密钥抽取查询。同时，还要允许该模拟敌对方选择其所希望挑战的身份。

还应该注意的是，一个敌对方可以自适应性或非自适应性地选取其对象的身份。自适应地选取其对象的敌对方将首先进行乱序查询和抽取查询，并接着根据这些查询的结果选取它的目标。这样的敌对方在开始攻击时不会有特定的目标。而是，只要它能破解某人，该敌对方就是成功的。另一方面，一个非自适应的敌对方不会根据乱序查询和抽取查询的结果来选取它的目标。例如，这样的敌对方会以一个私敌为目标。该敌对方仍会进行乱序查询和抽取查询，但是它的目标选择是严格根据目标身份的，而非根据查询结果。显而易见，针对自适应目标选取的敌对方的安全性是更强的，因此也是更加优越可取的安全性概念。但是，对本发明中HIDE方案的安全性分析提到了两种类型的安全性。

如果在以下的竞赛中不存在对挑战者具有不可忽略优势的受多项式限制的敌对方A，那么就称HIDE方案对自适应选取密文以及自适应选取目标的攻击具有语义上的安全性。

设置：挑战者取得一个保密参数k并运行根设置算法。它将得到的系统参数params提供给敌对方。它将根密钥生成密文留给自己。

阶段1：敌对方提出查询q₁，...，q_m，其中q_i是下列查询中的一种：

1.公共密钥查询(ID元组_i)：挑战者对ID元组_i运行一个乱序算法，以获得对应于ID元组_i的公共密钥H(ID元组_i)。

2.抽取查询(ID元组_i)：挑战者运行抽取算法以生成对应于ID元组_i的私有密钥d_i，并将d_i发送给敌对方。

3.解密查询(ID元组_i，C_i)：挑战者运行抽取算法以生成对应于ID元组_i 的私有密钥d_i，利用d_i运行解密算法以解密C_i，并将结果得到的明文发送给敌对方。

这些查询可以自适应地提出。另外，被查询的ID元组_i可以对应于分级结构任何一个级别上的位置。

挑战：一旦敌对方判定阶段1已经结束，它就会输出两个长度相等的明文M₀，M₁∈M，以及一个它希望挑战的ID元组。唯一的限制在于，该ID元组以及它的前辈都不能出现在阶段1中的任何私有密钥抽取查询中。挑战者随意选取一个随机比特b∈{0，1}，并设C＝Encryption(params，ID元组，M_b)。它将C作为一次挑战发送给敌对方。

阶段2：敌对方提出更多的查询q_m+1，...，q_n，其中q_i是下列查询中的一种：

1.公共密钥查询(ID元组_i)：挑战者像在阶段1中那样进行回应。

2.抽取查询(ID元组_i)：挑战者像在阶段1中那样进行回应。

3.解密查询(C，ID元组_i)：挑战者像在阶段1中那样进行回应。

阶段2中的查询受到如下限制，即挑战者不能对与挑战密文C相关的ID元组进行抽取查询，或是利用那个ID元组以及密文C进行解密查询。这一限制同样适用于该ID元组的所有前辈。

猜测：敌对方输出一个猜测值b′∈{0，1}。如果b＝b′，则敌对方赢得比赛。敌对方在攻击本方案中所拥有的优势被定义为|Pr[b＝b′]-1/2|。

在以下所述的竞赛中，如果不存在拥有不可忽略优势的多项式时间敌对方，那么HIDE方案就被称为单向加密方案。在该竞赛中，敌对方A被给予一个随机公共密钥K_pub和一个加密文本C，并输出一个对明文的猜测值，所述的加密文本C是利用K_pub对随机消息M进行加密得到的。如果ε是A输出M的概率，那么就称所述的敌对方对本方案具有优势ε。所述的竞赛如下进行：

阶段1：敌对方就如在上述选定密文安全性分析的阶段1中那样进行公共密钥和/或抽取查询。

挑战：一旦敌对方判定阶段1已经结束，它就会输出一个它希望挑战的新ID元组ID。挑战者随意选取一个随机的M∈M，并设C＝Encryption(params，ID元组，M)。它将C作为一次挑战发送给敌对方。

阶段2：敌对方对除了ID及其前辈以外的其他身份提出更多的公共密钥查询以及更多的抽取查询，挑战者则会如阶段1中那样作出回应。

猜测：敌对方输出一个猜测值M′∈M。如果M＝M′，则敌对方赢得比赛。敌对方在攻击本方案中所拥有的优势被定义为Pr[M＝M′]。

本发明的方案对于上述挑战是安全可靠的。另外，本发明的HIDS方案针对现有的针对自适应选取消息的伪造也是安全可靠的。即使在(自适应地)获取了目标在敌对方所选取的消息上的签名之后，敌对方也不能伪造出它的目标在其以前并未签署过的其他消息上的签名。一个HIDS敌对方还将拥有对除了它的目标及其前辈以外的其他实体进行公共密钥查询和私有密钥抽取查询的能力，以及选取其目标的能力。对于HIDE而言，敌对方的目标选择可以是自适应的也可以是非自适应的。

配对

本发明的当前优选HIDE和HIDS方案都是基于配对的，例如与椭圆曲线或阿贝尔簇曲线相关的Weil或Tate配对。所述的方法也可以是基于双线性Diffie-Hellman问题的。它们使用两个循环群Γ₁和Γ₂，这两个循环群最好具有同样大小的素数阶q。第一群Γ₁最好是椭圆曲线或阿贝尔簇曲线上的一群点，并且Γ₁上的群规则可以被写成加性的。第二群Γ₂最好是一个有限域的乘性子群，并且Γ₂上的群规则可以被写成乘性的。但是，也可以使用其他类型的群作为符合本发明的Γ₁和Γ₂。

所述的方法还利用了第一群Γ₁的生成器P₀。另外，还提供了一个配对或函数ê：Γ₁×Γ₁→Γ₂，用来将第一群Γ₁的两个元素映射成第二群Γ₂的一个元素。函数ê最好满足三个条件。首先，函数ê最好是双线性的，如果Q和R都在Γ₁中，且a和b都是整数，那么ê(aQ，bR)＝ê(Q，R)^ab。第二，函数ê最好是非退化的，从而使得该映射不会将Γ₁×Γ₁中的所有配对转变为Γ₂中的身份。第三，函数ê最好是可以高效计算的。满足这三个条件的函数ê被认为是可行的。

函数ê最好还是对称的，从而对所有的Q，R∈Γ₁都有ê(Q，R)＝ê(R，Q)。然而，对称性直接来自于双线性以及Γ₁是循环群这样一个事实。可根据现有技术中已知的方法来修改与超奇异椭圆曲线以及阿贝尔簇曲线相关的Weil和Tate配对，以创建这样的双线性映射。但是，即使将第一循环群Γ₁的元素称为“点”会暗示函数ê是一种经过修改的Weil或Tate配对，但应该注意的是，任何可行的配对ê都能够发挥作用。

本发明中HIDE和HIDS方案的安全性主要是基于双线性Diffie-Hellman问题的。双线性Diffie-Hellman问题是在给定一个随机选取的P∈Γ₁、以及aP、bP和cP(对于未知的随机选取的a，b，c∈Z/qZ)的情况下，求出ê(P，P)^abc的问题。在Γ₁中解决Diffie-Hellman问题就解决了双线性Diffie-Hellman问题，这是因为ê(P，P)^abc＝ê(abP，cP)。类似地，在Γ₂中解决Diffie-Hellman问题也就解决了双线性Diffie-Hellman问题，因为如果g＝ê(P，P)，那么g^abc＝(g^ab)^c，其中g^ab＝ê(aP，bP)且g^c＝ê(P，cP)。为了使双线性Diffie-Hellman问题变得困难，就应该对Γ₁和Γ₂进行选取，使得在Γ₁或Γ₂中不存在能够有效地解决Diffie-Hellman问题的已知算法。

如果一个随机化算法IΓ采用了一个保密参数k＞0、在k的多项式时间内运行、并输出两个群Γ₁和Γ₂的描述以及一个可行配对ê：Γ₁×Γ₁→Γ₂ 的描述，其中所述的两个群最好具有相同的素数阶q，那么该算法IΓ就是一个双线性Diffie-Hellman生成器。如果IΓ是一个双线性Diffie-Hellman参数生成器，那么一个算法B在解决双线性Diffie-Hellman问题中所拥有的优势Adv_IΓ(B)就被定义为，当送入算法的输入项为Γ₁、Γ₂、ê、P、aP、bP和cP时，算法B输出ê(P，P)^abc的概率，其中(Γ₁，Γ₂，ê)是IΓ针对足够大的保密系数k的输出，P是Γ₁的随机生成器，a、b和c则是Z/qZ的随机元素。双线性Diffie-Hellman问题下的假设是，Adv_IΓ(B)对于所有的有效算法B都是可忽略的。

HIDE方案

现在参见附图，图1所示的流程图根据本发明的一种当前优选实施例展示了一种编码和解码数字消息的方法。该方法在包括多个PKG的HIDE系统中执行。所述的PKG中至少包括一个根PKG以及根PKG和接收方之间的分级结构中的n个低级PKG，其中n≥1。

在模块102中，根PKG选取一个只有根PKG知道的根密钥生成密文。该根密钥生成密文可被用来为分级结构中根PKG以下的PKG和/或用户生成私有密钥。然后，在模块104中，根PKG根据根密钥生成密文产生一个根密钥生成参数。该根密钥生成参数被用来掩饰根密钥生成密文。该根密钥生成参数可被透露给低级PKG，而又不会危及根密钥生成密文。在模块106中，低级PKG选取低级密钥生成密文。与一个给定的低级PKG相关的低级密钥生成密文可被用来为分级结构中在该相关低级PKG之下的PKG和/或用户生成私有密钥。与根密钥生成密文类似，每个低级密钥生成密文仅对其相关的低级PKG已知。

在模块108中，为n个低级PKG各自产生低级密钥生成参数。每个低级密钥生成参数的产生至少要利用其相关低级PKG的低级密钥生成密文。与根密钥生成参数类似，每个低级密钥生成参数掩饰了与其相关的低级密钥生成密文。

在模块110中，发送方至少利用根密钥生成参数以及与接收方相关的身份信息来编码消息以形成一个密文。例如，可以只利用根密钥生成参数以及接收方的身份来编码所述的消息。或者，也可以利用低级密钥生成参数中的一个，就像在下文中将根据双HIDE方案进行更详细说明的一样。在模块112中，一个低级PKG为接收方生成一个私有密钥，使得该私有密钥至少与根密钥生成密文、与分级结构中根PKG和接收方之间的n个低级PKG相关的n个低级密钥生成密文中的一个或多个、以及接收方的身份信息相关。例如，除了根密钥生成密文和接收方的身份信息之外，接收方的私有密钥最好还至少与向接收方发放私有密钥的PKG的低级密钥生成密文相关。或者，接收方的私有密钥也可以与所有n个前辈PKG的低级密钥生成密文以及根密钥生成密文相关。在模块114中，接收方至少利用其私有密钥来解码密文并恢复消息。除了利用其私有密钥来解码以外，接收方最好还利用与分级结构中根PKG和接收方之间的n个低级PKG相关的n个低级密钥生成参数。

每个低级PKG都有一个密钥生成密文，就像根PKG一样。如上所述，低级PKG最好利用这个密文来为它的各个后代生成私有密钥，就像根PKG那样做。这样，后代的私有密钥就与低级PKG的密钥生成密文相关。即使低级PKG为了限制密钥托管(escrow)的目的而使用其密钥生成密文的修改版本来隐藏那个密文，这一点也是成立的，正如下文中将要更完整地说明的那样。同时，低级PKG不必总是使用相同的密文来进行每次私有密钥提取，而是可以为PKG的每个后代随机产生一个新的密钥生成密文，从而为每个后代得到不同的密钥生成参数。

由于一个低级PKG能够为接收方生成一个私有密钥(模块112)，因此根PKG不必自己生成所有的私有密钥。另外，由于低级PKG使用它们自己的密钥生成密文来为它们的后代产生私有密钥，因此暴露一个低级密钥生成密文只会对分级结构造成有限的安全性损害。与其暴露分级结构中所有的私有密钥，不如让一个低级PKG的一次违规行为只暴露该PKG的私有密钥以及利用那个PKG的密钥生成密文产生的那些私有密钥(即，作为被暴露PKG在分级结构中的直系后代的那些用户的私有密钥)。

本实施例的另一个优点在于，发送方不必处在分级结构中即可向接收方发送一个编码消息。该发送方只需知道与接收方相关的身份信息以及由根PKG生成的系统参数。但是，当发送方处于分级结构中时，本发明的HIDE方案还有某些额外的优点会体现出来。例如，当发送方与接收方都处在分级结构中时，就可以通过利用双方的身份来改善消息加密的效率。这类HIDE方案可以被称为双HIDE，因为发送方与接收方的身份都被用作加密及解密算法的输入。现在将参照图2和图3来说明使用了双HIDE方案的编码与解码方法。

双HIDE

图2所示的流程图根据本发明的另一个当前优选实施例展示了一种在发送方y和接收方z之间编码及解码数字消息的方法。图3所示的框图展示了一种典型的分级结构，在这种结构中可以实现这种方法。与先前的实施例相似，该方法可在一个HIDE系统中实现，所述的HIDE系统中至少包括一个根PKG 302，以及根PKG 302与接收方z 308之间的分级结构中的n个低级PKG 304a，b，d，其中n≥1。该实施例中的发送方y 306必须也在分级结构中，并且该分级结构中还包括根PKG 302与发送方y306之间的m个低级PKG 304a，b，c，其中m≥1。在根PKG 302与发送方y306之间的m个PKG 304a，b，c，以及根PKG 302与接收方z 308之间的n个PKG 304a，b，d中，有l个PKG304a，b是发送方y 306与接收方z 308的公共前辈，其中1≤l≤m，n。例如，在图3中示出了这l个公共前辈PKG中的两个(PKG_y1/PKG_z1 304a和PKG_yl/PKG_zl304b)。

该实施例的方法在模块202中开始，在该模块中，根PKG 302选取一个只有根PKG 302知道的根密钥生成密文。然后，在模块204中，根PKG 302根据根密钥生成密文产生一个根密钥生成参数。在模块206中，低级PKG 304a-d选取低级密钥生成密文。与根密钥生成密文类似，每个低级密钥生成密文只对与其相关的低级PKG 304a-d已知。在模块208中，为n个低级PKG 304a-d各自产生低级密钥生成参数。每个低级密钥生成参数的产生至少要用到对应于其相关低级PKG 304a-d的低级密钥生成密文。

在模块210中，发送方的上代PKG_ym304c为发送方y306生成一个私有密钥，使得该私有密钥至少与根密钥生成密文、与根PKG302和发送方y 306之间的m个低级PKG 304a，b，c相关的m个低级密钥生成密文中的一个或多个、以及发送方的身份信息相关。例如，除了根密钥生成密文和发送方的身份信息以外，发送方的私有密钥最好至少还与发送方的上代PKG_ym 304c的低级密钥生成密文相关。或者，发送方的私有密钥也可以与它所有m个直系前辈PKG的低级密钥生成密文以及根密钥生成密文相关。在模块212中，接收方的上代PKG_zn 304d为接收方z生成一个私有密钥，生成的方式与发送方的上代PKG_ym 304c用来生成发送方私有密钥的方式类似。

在模块214中，发送方y编码消息以形成一个密文，该过程至少要用到发送方的私有密钥以及与根PKG 302和发送方y 306之间的(m-l+1)个PKG(即，PKG_yl 304b和PKG_ym 304c)相关的低级密钥生成参数中的一个或多个，且所述的PKG位于发送方y 306和接收方z308的最低级公共前辈PKG(PKG_yl/PKG_zl 304b)的级别或低于该级别。在对消息进行编码时，发送方y 306最好不要用到与高于最低级公共前辈PKG(PKG_yl/PKG_zl 304b)的(l-1)个PKG(即PKG_y1 304a)有关的任何低级密钥生成参数。

然后，在模块216中，接收方z 308解码密文以恢复出所述的消息，该过程至少要用到接收方的私有密钥以及与根PKG 302和接收方z 308之间的(n-l+1)个PKG(即，PKG_zl 304b和PKG_zn 304c)相关的低级密钥生成参数中的一个或多个，且所述的PKG位于发送方y 306和接收方z 308的最低级公共前辈PKG(PKG_yl/PKG_zl 304b)的级别或低于该级别。在对消息进行解码时，接收方z 308最好不要用到与高于最低级公共前辈PKG(PKG_yl/PKG_zl 304b)的(l-1)个PKG(即PKG_z1 304a)有关的任何低级密钥生成参数。

本发明的这种双HIDE实施例提供了对消息进行编码和解码的更为高效的方案，因为只需使用较少的密钥生成参数。例如，普通HIDE方案中的解码大约需要所有的n个密钥生成参数，但是在双HIDE方案中的解码只需要(n-l+1)个密钥生成参数。双HIDE方案要求发送方y 306在向接收方z 308发送一条编码消息之前先获得它的私有密钥，这与只需获得根PKG的公共系统参数相反。双HIDE方案还使得发送方y 306和接收方z 308能够限制密钥托管的范围，就如下文中将要更完整说明的那样。这个共享的密文是除了它们最低级公共前辈PKG_yl/PKG_zl 304b以外的第三方所不知道的。

基本HIDE

图4所示的流程图根据本发明的另一个当前优选实施例展示了一种编码和解码一条数字消息M的方法，所述的数字消息在发送方y和接收方z之间传递。如图3中所示，接收方z 308在分级结构中比根PKG低n+1个级别，并且与ID元组(ID_z1，...，ID_z(n+1))相关联。接收方的ID元组中包括与接收方有关的身份信息ID_z(n+1)，以及与其在分级结构中的n个前辈低级PKG相关的身份信息ID_zi。该方法在模块402中开始，在该模块中生成元素的第一与第二循环群Γ₁和Γ₂。在模块404中，选取一个函数ê，使得该函数ê能够由第一循环群Γ₁的两个元素生成第二循环群Γ₂的一个元素。函数ê最好是一种可行的配对，如上所述。在模块406中选取第一循环群Γ₁的一个根生成器P₀。在模块408中，选取一个随机根密钥生成密文s₀，该密文与根PKG 302相关且只有根PKG 302知道。s₀最好是循环群Z/qZ的一个元素。在模块410中产生一个根密钥生成参数Q₀＝s₀P₀。Q₀最好是第一循环群Γ₁的一个元素。在模块412中，选取一个第一函数H₁，使得H₁能够由第一串二进制数生成第一循环群Γ₁的一个元素。在模块414中选取一个第二函数H₂，使得H₂能够由第二循环群Γ₂的一个元素生成第二串二进制数。模块402至414的功能都是上述HIDE根设置算法的组成部分，并且最好都在大致相同的时刻完成。作为示例，比如那些在Boneh-Franklin中公开的函数就可以被用作H₁和H₂。

接下来的一系列模块(模块416至424)示出了作为低级设置算法的组成部分而执行的功能。在模块416中，为接收方的n个前辈低级PKG各生成一个公共元素P_zi。每个公共元素P_zi＝H₁(ID₁，...，ID_zi)最好都是第一循环群Γ₁的一个元素，其中1≤i≤n。尽管是以单个模块表示的，但是所有公共元素P_zi的产生需要进行一段时间，而非一次全部完成。

为接收方的n个前辈低级PKG 304a，b，d各选取一个低级密钥生成密文s_zi(模块418)。该低级密钥生成密文s_zi最好是循环群Z/qZ的元素，其中1≤i≤n，并且每个低级密钥生成密文s_zi最好只有它相关的低级PKG知道。同样，尽管是以单个模块表示，但是所有低级密钥生成密文s_zi的选取需要进行一段时间，而非一次全部完成。

为发送方的n个前辈低级PKG各生成一个低级机密元素S_zi(模块420)。每个低级机密元素S_zi＝S_z(i-1)+s_z(i-1)P_zi最好是第一循环群Γ₁的一个元素，其中1≤i≤n。尽管与公共元素P_zi以及密文s_zi一样都是以单个模块表示的，但是所有机密元素S_zi的产生也需要进行一段时间，而非一次全部完成。为了这些重复的密钥生成过程的缘故，可将S₀定为Γ₁的身份元素。

还要为接收方的n个前辈低级PKG各产生一个低级密钥生成参数Q_zi(模块422)。每个密钥生成参数Q_zi＝s_ziP₀最好都是第一循环群Γ₁的元素，其中1≤i≤n。同样，尽管以单个模块表示，但是所有密钥生成参数Q_zi的产生也需要进行一段时间，而非一次全部完成。

随后两个模块(模块424和426)的功能是作为上述抽取算法的一部分而执行的。在模块424中生成与接收方z相关的接收方公共元素P_z(n+1)。该接收方公共元素，P_z(n+1)＝H₁(ID_z1，...ID_z(n+1))，最好是第一循环群Γ₁的一个元素。然后在模块426中生成与接收方z有关的接收方机密元素S_z(n+1)。该接收方机密元素，

S_{z (n + 1)} = S_{zn} + s_{zn} P_{z (n + 1)} = Σ_{i = 1}^{n + 1} s_{z (i - 1)} P_{zi},

最好也是第一循环群Γ₁的一个元素。

为方便起见，第一函数H₁可被选为一种迭代函数，从而可以按照例如H₁(P_z(i-1)，ID_zi)而非H₁(ID₁，...，ID_zi)来计算公共点P_i。

图4中所示的最后两个模块(模块428和430)代表了上述的加密与解密算法。在模块428中，消息M被编码以生成一个加密文本C。该编码过程最好至少用到根密钥生成参数Q₀以及ID元组(ID_z1，...，ID_z(n+1))。然后在模块430中解码加密文本C以恢复消息M。该解码过程最好至少用到低级密钥生成参数Q_zi以及接收方机密元素S_z(n+1)，其中1≤i≤n。

图4中所示的模块不必完全顺次出现。例如，一个知道接收方身份的发送方可以在接收方获得私有密钥之前对通信进行加密。

现在将参照图5和图6，来详细说明在对消息M及密文C进行编码和解码中所提到的参数及元素的具体运用。图5所示的流程图根据本发明的另一个当前优选实施例展示了一种编码和解码一条数字消息M的方法，所述的数字消息在发送方y和接收方z之间传递。在这个被称为基本HIDE的方案中，根设置、低级设置以及抽取算法都与图4中模块402至426所示的实施例相同。图5所示的流程图展示了加密与解密算法，它在模块528a中从选取一个随机加密参数r开始。r最好是循环群Z/qZ中的一个整数。然后在模块528b中利用公式C＝[U₀，U₂，...，U_n+1，V]生成加密文本C。该加密文本C中包括元素U_i＝rP_zi，其中i＝0和2≤i≤n+1，这些元素与接收方在分级结构中的位置有关。加密文本C的其他组成部分是加密形式的实际消息，V＝M

H₂(g^r)，其中g＝ê(Q₀，P_z1)。元素g最好是第二循环群Γ₂的成员。在消息被编码之后，可以根据基本HIDE解密算法对其进行解密，在该解密算法中利用公式

M = V &CirclePlus; H_{2} (\frac{\hat{e} (U_{0}, S_{n + 1})}{Π_{i = 2}^{n + 1} \hat{e} (Q_{i - 1}, U_{i})}),

从加密文本C中恢复出消息M(模块530)。

全HIDE

利用已知的方法来使得单向加密方案具有针对选定加密文本攻击的安全性，可以将基本HIDE方案转换为全HIDE方案，后者在随机预言模型中具有选定加密文本安全性。现在将参照图6来说明一种具有选定密文安全性的全HIDE方案。

图6所示的流程图根据本发明的另一个当前优选实施例展示了一种编码和解码一条数字消息M的方法，所述的数字消息在发送方y和接收方z之间传递。在本发明的该实施例中，根设置、低级设置以及抽取算法都与参照图4所述的实施例相同，只是该实施例的根设置算法需要两个额外的函数。因此，图6所示的流程图从额外函数(模块615a和615b)的选择开始，并继续进行加密与解密算法(模块628a至630d)。

通过选择一个第三函数H₃(模块615a)和一个第四函数H₄(模块615b)来完成根设置算法。第三函数H₃最好能够由两串二进制数产生循环群Z/qZ的一个整数。第四函数H₄最好能够由另一个二进制串产生一个二进制串。

加密算法从模块628a开始，该模块示出了随机二进制串σ的选取。然后，该随机二进制串σ被用来生成一个随机整数r＝H₃(σ，M，W)，如模块628b所示。其中W是实际消息M的对称加密。该加密最好是利用对称加密算法E生成的，并用H₄(σ)作为加密密钥。相应的，

W = E_{H_{4} (σ)} (M) .

在模块628c中，生成加密文本C＝[U₀，U₂，...，U_n+1，V，W]。该密文C中包括元素U_i＝rP_zi，其中i＝0和2≤i≤n+1，其与接收方在分级结构中的位置有关。加密文本C的第二个组成部分是加密形式的随机二进制串σ，

V = σ &CirclePlus; H_{2} (g^{r}),

其中

g = \hat{e} (Q_{0}, P_{z 1}) .

元素g最好是第二循环群Γ₂的成员。加密文本C的第三个组成部分是W，如上所述，它是对称加密形式的实际消息。

解密算法从模块630a开始，该模块示出了随机二进制串σ的恢复。随机二进制串σ是利用公式

s = V &CirclePlus; H_{2} (\frac{\hat{e} (U_{0}, S_{n + 1})}{Π_{i = 2}^{n + 1} \hat{e} (Q_{i - 1}, U_{i})})

恢复的。然后利用公式

M = E_{H_{4} (σ)}^{- 1} (W)

从密文C中恢复出消息M(模块630b)。可对加密文本进行检查，以检验内部一致性。例如，可以生成一个实验性的随机整数r′＝H₃(σ，M，W)，如模块630c中所示。然后，就可以在模块630d中利用该实验性的随机整数r′来检验U₀＝r′P₀及U_i＝r′P_zi，其中2≤i≤n+1。如果成立，则可认为加密文本C是真实的。

双基本HIDE与双全HIDE

参照图2和图3所述的双HIDE概念可被应用于基本HIDE和全HIDE方案。当发送方与接收方都处在分级结构中时，如图3所示，双HIDE就能令它们提高它们的加密通信的效率与安全性。对基本HIDE和全HIDE方案应用双HIDE需要决定附加信息，这些信息大多是通过上述的低级设置算法决定的。例如，必须为发送方的m个前辈低级PKG决定公共元素P_yi、低级密钥生成密文s_yi、低级机密元素S_yi 以及低级密钥生成参数Q_yi。但是要注意，对于作为发送方y和接收方z的公共前辈的低级PKG来说，这些参数最好相同，以便对发送方y和接收方z进行分析(也就是说，对于所有的i≤l最好有：P_yi＝P_zi，s_yi＝s_zi，S_yi＝S_zi以及Q_yi＝Q_zi)。双HIDE还需要为发送方决定一个发送方公共元素P_y(m+1)和一个发送方机密元素S_y(m+1)，使用的方法与上述为接收方决定这些参数时所用的方法相同。

有了这些附加参数，就可以根据双HIDE原理对消息M进行编码以生成一个加密文本C，编码的过程要利用低级密钥生成参数Q_yi(其中i≥l)以及发送方机密元素S_y(m+1)，但是不会用到i＜l的低级密钥生成参数Q_yi。类似地，对加密文本C解码以恢复消息M时要利用低级密钥生成参数Q_yi(其中i≥l)以及接收方机密元素S_z(n+1)，但是不会用到i＜l的低级密钥生成参数Q_zi。

例如，在基本HIDE方案中(图4与图5)，双HIDE的应用改变了消息M的编码以生成一个密文C＝[U₀，U_l+1，...，U_n+1，V]，其中对于i＝0和l+1≤i≤n+1，有U_i＝rP_zi，其中

V = M &CirclePlus; H_{2} (g_{yl}^{r}),

并且其中

g_{yl} = \frac{\hat{e} (P_{0}, S_{y (m + 1)})}{Π_{i = l + 1}^{m + 1} \hat{e} (Q_{y (i - 1)}, P_{yi})} .

U_i因子的计算与以前相同，但是只需计算其中的少部分。然而，双基本HIDE要求发送方y使用多于上述生成g所必需的密钥生成参数Q_yi 来生成g_yl。这是因为发送方的身份被包含到加密算法中了。解密算法的效率提高更为惊人。消息M是利用

M = V &CirclePlus; H_{2} (\frac{\hat{e} (U_{0}, S_{z (n + 1)})}{Π_{i = l + 1}^{n + 1} \hat{e} (Q_{z (i - 1)}, U_{zi})})

恢复的。同样，还是只需要较少的U_i参数。类似地，接收方需要用于双HIDE的密钥生成参数Q_zi比其他情况下所必需的要少。

全HIDE也可以被修改以创建一种双全HIDE方案。加密算法中加密文本C的生成被修改为C＝[u₀，U_l+1，...，U_n+1，V，W]，其中对于i＝0和l+1≤i≤n+1，有U_i＝rP_zi。参数W和r仍然以同样的方法生成，

W = E_{H_{4} (s)} (M),

并且

V = σ &CirclePlus; H_{2} (g_{yl}^{r})

中的参数

g_{yl} = \frac{\hat{e} (P_{0}, S_{y (m + 1)})}{Π_{i = l + 1}^{m + 1} \hat{e} (Q_{y (i - 1)}, P_{yi})} .

在双全HIDE方案中，解密算法也被修改。随机二进制串σ是利用

σ = V &CirclePlus; H_{2} (\frac{\hat{e} (U_{0}, S_{z (n + 1)})}{Π_{i = l + 1}^{n + 1} \hat{e} (Q_{z (i - 1)}, U_{zi})})

恢复的。另外，消息M的恢复不变。

尽管已经用PKG_l304b作为发送方y与接收方z的最低公共前辈PKG说明了这些双HIDE方案，但是PKG_l304b可以是任意的公共前辈PKG。加密与解密算法是相同的。但是为了获得最高的效率，PKG_l 304b最好是最低公共前辈PKG。

除了效率的提高以外，本发明的双HIDE方案还通过限制密钥托管提供了更高的安全性。在上述的基本HIDE和全HIDE方案中，接收方的所有直系前辈PKG都能解密发给接收方的消息。但是，由于双HIDE方案加入了PKG_l-1(PKG_l的直接上代)的密钥生成密文，该密文对于PKG_l-1以上的公共前辈PKG是未知的，因此那些公共前辈PKG就不能解密发送方y与接收方z之间的消息。

密钥托管可被进一步限制，从而即使是PKG_l的直接上代也不能解密发送方y与接收方z之间的消息。这一点可以通过在为发送方y和接收方z生成私有密钥(或是为PKG_l的后代同时又是发送方y与接收方z的前辈的PKG生成私有密钥)的过程中隐藏PKG_l的私有密钥来实现。例如，对于某些随机的b∈Z/qZ，PKG_l 304b可以通过设置S′_l：＝S_l+bP_l和Q′_l-1：＝Q_l-1+bP₀而轻易地改变其私有密钥。新的私有密钥S′_l 同样有效，但是却不为PKG_l的直接上代所知。因此，PKG_l以上的PKG都不能对加密发送给接收方z的消息进行解码。更具体地说，只有接收方z在PKG_l的域内的前辈才能够解密发送给接收方z的消息。

当PKG_l 304b通过设置S′_l：S_l+bP_l和Q′_l-1：＝Q_l-1+bP₀来改变其私有密钥时，新的私有密钥仍然与PKG_l-1的密钥生成密文s_l-1相关，因为新的私有密钥是从一个由PKG_l-1利用s_l-1生成的私有密钥推得的。一般而言，在本文所讨论的所有方案中，一个用户或PKG可以通过选取bi的值(其中1≤i≤n)并设置

{S^{'}}_{z (n + 1)} : = S_{z (n + 1)} + Σ_{i = 1}^{n} b_{i} P_{z (i + 1)}

和Q＇_zi：＝Q_zi+b_iP₀(其中1≤i ≤n)，来改变它自己的机密元素S_z(n+1)和密钥生成参数Q_zi(其中1≤i≤n)。然而，为了本发明的目的，这种新的私有密钥仍然被认为与原始的私有密钥有关，从而也和密钥生成密文s_zi的初始值有关。

具有更高效的加密解密技术的双HIDE方案

在上述的双HIDE方案中，可以将加密器必须计算的配对值的数量减少一个，而又不会提高解密器必须计算的配对值的数量。例如，上述的双基本HIDE加密算法可以被修改，从而密文

C = [P_{0}, r (P_{y (l + 1)} - P_{z (l + 1)}), r P_{z (l + 2)}, K, r P_{z (n + 1)}, M &CirclePlus; H_{2} (g_{y (l + 1)}^{r})],

其中

g_{y (l + 1)} = \frac{\hat{e} (P_{0}, S_{y (n + 1)})}{Π_{i = l + 2}^{m} \hat{e} (Q_{y (i - 1)}, P_{yi})} = \hat{e} (P_{0}, S_{y (l + 1)}) .

如果密文被表示为

C＝[U₀，U_l+1，K，U_n+1，V]，那么就可以利用

M = V &CirclePlus; H_{2} [\frac{\hat{e} (U_{0}, S_{z (n + 1)}) \hat{e} (U_{l + 1}, Q_{zl})}{Π_{i = l + 2}^{n} \hat{e} (Q_{z (i - 1)}, U_{i})}]

来对其进行解密。

同样地，也可以将解密器必须计算的配对值的数量减少一个，而又不会提高加密器必须计算的值的数量。例如，双基本HIDE加密算法可以被修改，从而密文

C = [P_{0}, r P_{y (l + 2)}, K, r P_{y (n)}, M &CirclePlus; H_{2} (g_{z (l + 1)}^{r})],

其中

g_{z (l + 1)} = \frac{\hat{e} (P_{0}, S_{y (m + 1)}) \hat{e} (Q_{yl}, (P_{z (l + 1)} - P_{y (l + 1)}))}{Π_{i = l + 2}^{m} \hat{e} (Q_{y (l - 1)}, p_{yi})} = \hat{e} (P_{0}, S_{z (l + 1)}) .

如果密文被表示为

C＝[U₀，U_l+2，K，U_n，V]，那么就可以利用

M = V &CirclePlus; H_{2} [\frac{\hat{e} (U_{0}, S_{z (n + 1)})}{Π_{i = l + 2}^{n} \hat{e} (Q_{z (i - 1)}, U_{i})}]

来对其进行解密。

经过认证的低级根PKG

可以通过创建一个经过认证的低级根PKG将上述双HIDE方案的高效性扩展到位于分级结构之外的消息发送方。要“认证”低级PKG，根PKG可以提出一个附加参数，比如一个随机消息M′。然后，低级PKG“签署”M′，生成签名Sig＝S_zl+s_zlP_M′，其中S_l是低级PKG的私有密钥，s_l则是其低级密钥生成密文。低级PKG还会公布对应于1≤i≤t的Q_i。

利用经过认证的低级根PKG，位于分级结构之外的发送方无需计算接收方所有n个前辈PKG的公共元素P_zi即可向接收方z发送加密消息。发送方可以利用对应于低级认证根PKG的参数更高效地加密消息。具体地说，发送方计算P_zi＝H₁(ID₁，...，ID_zi)∈Γ₁，其中l+1≤i≤n+1。然后发送方选取一个随机的r∈Z/qZ，并生成加密文本

C = [P_{0}, r P_{z (l + 1)}, . . ., r P_{z (n + 1)}, M &CirclePlus; H_{2} (g_{zl}^{r})],

其中

g_{zl} = \frac{\hat{e} (P_{0}, Sig)}{\hat{e} (s_{zl} P_{0}, P_{M^{'}})} = \hat{e} (P_{0}, S_{zl}) .

假设接收到的密文C＝[U₀，U_l+1，...，U_n+1，V]，则接收方可以解密该密文以恢复消息

M = V &CirclePlus; H_{2} [\frac{\hat{e} (U_{0}, S_{z (n + 1)})}{Π_{i = l + 1}^{n + 1} \hat{e} (Q_{z (i - 1)}, U_{i})}],

其中S_z(n+1)是接收方的私有密钥。

分布式PKG

为了进一步保护上述HIDE方案的密钥生成密文，并使得这些方案对于不诚实的PKG具有鲁棒性，可以利用已知的阈加密技术将密钥生成密文和私有密钥分布开。

更高效的加密技术

通过将分级结构中的最高两级合并成单个根PKG，就可以提高用于上述HIDE方案的加密技术的效率。在那种情况下，g＝ê(Q₀，P₁)被包含在系统参数中。这样就省去了加密器计算该配对值的任务。然而，解密器必须计算一个额外的配对(这是它在树的下一级的结果)。

HIDS方案

现在考虑本发明的签名方案或HIDS方案，图7所示的流程图根据本发明的另一个当前优选实施例展示了一种生成及验证一个数字签名的方法。该方法在一个包含多个PKG的HIDS系统中实现。所述的PKG中至少包括一个根PKG以及根PKG与发送方或签署人之间的分级结构中的n个低级PKG，其中n≥1。在模块702中，根PKG选取一个只有根PKG知道的根密钥生成密文。该根密钥生成密文可被用来为分级结构中低于根PKG的PKG或用户产生私有密钥。然后在模块704中，根PKG根据根密钥生成密文产生一个根密钥生成参数。在模块706中，低级PKG选取低级密钥生成密文。与一个给定的低级PKG相关的低级密钥生成密文可被用来为分级结构中低于该相关低级PKG的PKG或用户生成私有密钥。与根密钥生成密文类似，每个低级密钥生成密文只对其相关的低级PKG已知。在模块708中，为n个低级PKG各自产生低级密钥生成参数。每个低级密钥生成参数的产生都至少要用到其相关低级PKG的低级密钥生成密文。

在模块710中，一个低级PKG为接收方生成一个私有密钥，使得该私有密钥至少与n个低级密钥生成密文中的一个相关。例如，发送方的私有密钥至少可以与向接收方发放私有密钥的PKG的低级密钥生成密文相关。但是，接收方的私有密钥最好与它所有n个前辈PKG的低级密钥生成密文以及根密钥生成密文相关。在模块712中，发送方至少利用其私有密钥来签署消息并生成数字签名。然后在模块714中，接收方或校验器至少利用低级密钥生成参数之一来验证该数字签名。例如，可以只利用根密钥生成参数来验证该签名。或者，也可以利用低级密钥生成参数中的一个或多个。

图8所示的流程图根据本发明的另一个当前优选实施例展示了一种生成及验证一条数字消息M的数字签名Sig的方法，所述的数字消息在发送方y和接收方z之间传递。如图3所示，发送方y 306在分级结构中比根PKG低m+1个级别，并且与ID元组(ID_y1，...，ID_y(m+1))相关联。发送方的ID元组中包括与发送方相关的身份信息ID_y(m+1)，以及与它在分级结构中的m个前辈低级PKG的每一个相关的身份信息ID_yi。该方法从模块802开始，生成元素的第一与第二循环群Γ₁和Γ₂。在模块804中，选取一个函数ê，使得该函数ê能够由第一循环群Γ₁的两个元素生成第二循环群Γ₂的一个元素。函数ê最好是一种可行的配对，如上所述。在模块806中选取第一循环群Γ₁的一个根生成器P₀。在模块808中，选取一个随机根密钥生成密文s₀，该密文与根PKG 302相关且只有根PKG 302知道。s₀最好是循环群Z/qZ的一个元素。在模块810中产生一个根密钥生成参数Q₀＝s₀P₀。Q₀最好是第一循环群Γ₁的一个元素。在模块812中，选取一个第一函数H₁，使得H₁能够由第一串二进制数生成第一循环群Γ₁的一个元素。在模块814中选取一个第二函数H₃，使得H₃能够由第二循环群Γ₂的一个元素生成第二串二进制数。模块802至814的功能都是上述HIDS根设置算法的组成部分，并且最好都在大致相同的时刻完成。作为示例，比如那些在Boneh-Franklin中公开的函数就可以被用作H₁和H₃。实际上，函数H₁和H₃可以是完全相同的函数。但是会有一个潜在的隐患。一名攻击者可能尝试让签署人签署M＝ID_t，其中ID_t代表了一个实际身份。在这种情况下，签署人的签名实际上会是一个私有密钥，此后该密钥可被用来解密消息及伪造签名。但是，通过采用某些能够区分签名与私有密钥提取的手段——比如一个比特前缀或为H₃采用不同的函数，该隐患是可以避免的。

接下来的一系列模块(模块816至824)示出了作为低级设置算法的组成部分而执行的功能。在模块816中，为发送方的m个前辈低级PKG各生成一个公共元素P_yi。每个公共元素P_yi＝H₁(ID₁，...，ID_yi)最好都是第一循环群Γ₁的一个元素，其中1≤i≤m。尽管是以单个模块表示的，但是所有公共元素P_yi的产生需要进行一段时间，而非一次全部完成。

为发送方的m个前辈低级PKG 304a，b，d各选取一个低级密钥生成密文s_yi(模块818)。该低级密钥生成密文s_yi最好是循环群Z/qZ的元素，其中1≤i≤m，并且每个低级密钥生成密文s_yi最好只有与它相关的低级PKG知道。同样，尽管是以单个模块表示，但是所有低级密钥生成密文s_yi的选取需要进行一段时间，而非一次全部完成。

为发送方的m个前辈低级PKG各生成一个低级机密元素S_yi(模块820)。每个低级机密元素S_yi＝S_y(i-1)+s_y(i-l)P_yi最好是第一循环群Γ₁的一个元素，其中1≤i≤m。尽管与公共元素P_yi以及密文s_yi一样都是以单个模块表示的，但是所有机密元素S_yi的产生也需要进行一段时间，而非一次全部完成。为了这些重复的密钥生成过程的缘故，可将S₀定为Γ₁的身份元素。

还要为发送方的m个前辈低级PKG各产生一个低级密钥生成参数Q_yi(模块822)。每个密钥生成参数Q_yi＝s_yiP₀最好都是第一循环群Γ₁的元素，其中1≤i≤m。同样，尽管以单个模块表示，但是所有密钥生成参数Q_yi的产生也需要进行一段时间，而非一次全部完成。

随后两个模块(模块824和826)的功能是作为上述抽取算法的一部分而执行的。在模块824中生成与发送方y相关的发送方公共元素P_y(m+1)。该发送方公共元素，P_y(m+1)＝H₁(ID_y1，...ID_y(m+1))，最好是第一循环群Γ₁的一个元素。然后在模块826中生成与发送方y有关的发送方机密元素S_y(m+1)。该发送方机密元素，

S_{y (m + 1)} = S_{ym} + s_{ym} P_{y (m + 1)} = Σ_{i = 1}^{m + 1} s_{y (i - 1)} P_{yi},

最好也是第一循环群Γ₁的一个元素。

为方便起见，第一函数H₁可被选为一种迭代函数，从而可以按照例如H₁(P_y(i-1)，ID_yi)而非H₁(ID₁，...，ID_yi)来计算公共点P_i。

图8中所示的最后两个模块(模块828和830)代表了上述的签署与验证算法。在模块828中，消息M被签署以生成一个数字签名Sig。该签署过程最好至少用到发送方机密元素S_y(m+1)。然后在模块830中验证数字签名Sig。该验证过程最好至少用到根密钥生成参数Q₀以及低级密钥生成参数Q_yi。现在将参照图9来说明这些参数和元素在签署消息M以及验证数字签名Sig时的具体用法。

图9所示的流程图根据本发明的另一个当前优选实施例展示了一种生成及验证一条数字消息M的数字签名Sig的方法，所述的数字消息在发送方y和接收方z之间传递。在该方案中，根设置、低级设置以及抽取算法都与图8中模块802至826所示的实施例相同。因此，图9所示的流程图在模块927a中从选取一个发送方密钥生成密文s_y(m+1)开始，该密文只有发送方y知道。在模块927b中，利用公式Q_y(m+1)＝s_y(m+1)P₀ 产生一个与发送方相关联的发送方密钥生成参数Q_y(m+1)。然后，签署算法从发送方在模块928a中生成一个消息元素P_M＝H₃(ID_y1，...，ID_y(m+1)，M)。该消息元素P_M最好是第一循环群Γ₁的一个成员。在模块928b中利用方程Sig＝S_y(m+1)+s_y(m+1)P_M生成数字签名Sig本身。接收方通过检验方程

\frac{\hat{e} (P_{0}, Sig)}{\hat{e} (Q_{y (m + 1)}, P_{M}) Π_{i = 2}^{m + 1} \hat{e} (Q_{y (i - 1)}, P_{yi})} = \hat{e} (Q_{0}, P_{1})

是否满足来验证数字签名Sig。

本文参照本发明的优选实施例以及图示实例对本发明进行了详细的说明，但是应该明白，在本发明的思想与范围内可以实现各种变化与改进。

Claims

1.一种在发送方与接收方之间编码和解码数字消息M的方法，其中所述的接收方在一个分级系统中比一个根PKG低n+1个级别，所述的系统中包括多个PKG，这多个PKG中至少包括一个根PKG以及在所述根PKG与接收方之间的分级结构中的n个低级PKG，其中n≥1，该方法包括：

选取一个仅为根PKG所知的根密钥生成密文；

根据所述的根密钥生成密文产生一个根密钥生成参数；

为n个低级PKG各选取一个低级密钥生成密文，其中每个低级密钥生成密文仅对其相关的低级PKG已知；

为n个低级PKG各产生一个低级密钥生成参数，其中每个低级密钥生成参数的产生至少要利用其相关低级PKG的低级密钥生成密文；

至少利用根密钥生成参数和接收方身份信息来对所述的消息进行编码以形成加密文本C；

生成一个接收方私有密钥，使得该接收方私有密钥至少与根密钥生成密文、根PKG和接收方之间的分级结构中的n个低级PKG相关的n个低级密钥生成密文中的一个或多个、以及接收方身份信息有关；以及

至少利用接收方私有密钥来解密所述的加密文本以恢复所述的消息。

2.根据权利要求1所述的在发送方与接收方之间编码和解码数字消息的方法，其中所述的接收方身份信息由一个接收方ID元组(ID_z1，...，ID_z(n+1))构成，其中包括与接收方相关的身份信息ID_z(n+1)以及与根PKG和接收方之间的分级结构中的n个低级PKG相关的身份信息ID_zi。

3.根据权利要求1所述的在发送方与接收方之间编码和解码数字消息的方法，其中所述的接收方私有密钥与所有的n个低级密钥生成密文有关，所述的低级密钥生成密文与根PKG和接收方之间的分级结构中的n个低级PKG相关。

4.根据权利要求1所述的在发送方与接收方之间编码和解码数字消息的方法，其中所述的消息编码还包括保护加密文本免受选定加密文本攻击。

5.根据权利要求4所述的在发送方与接收方之间编码和解码数字消息的方法，其中所述的消息编码还包括：

根据一种对称加密方案加密消息，以形成一个对称加密；以及

根据一种单向加密方案加密所述对称加密，以形成加密文本；并且

其中所述的加密文本解密还包括：

根据所述单向加密方案解密加密文本以恢复所述对称加密；以及

根据所述对称加密方案解密所述对称加密以恢复消息。

6.权利要求1的方法，所述的接收方是与一个接收方ID元组(ID_z1，...，ID_z(n+1))相关联的实体z，该ID元组中包含与接收方相关联的身份信息ID_z(n+1)以及与根PKG和接收方之间的分级结构中的n个低级PKG各自相关的身份信息ID_zi，该方法还包括：

生成元素的第一循环群Γ₁和元素的第二循环群Γ₂；

选取一个函数

，该函数能够由第一循环群Γ₁的两个元素生成第二循环群Γ₂的一个元素；

选取第一循环群Γ₁的一个根生成器P₀；

选取一个随机根密钥生成密文s₀该密文与根PKG相关且只为根PKG所知；

产生一个根密钥生成参数Q₀＝s₀P₀；

选取一个第一函数H₁，该函数能够由第一串二进制数生成第一循环群Γ₁的一个元素；

选取一个第二函数H₂，该函数能够由第二循环群Γ₂的一个元素生成第二串二进制数；

为n个低级PKG各生成一个公共元素P_zi，其中P_zi＝H₁(ID_z1，...，ID_zi)，1≤i≤n；

为n个低级PKG各选取一个低级密钥生成密文s_zi，其中各个低级密钥生成密文s_zi只对其相关的低级PKG已知；

为n个低级PKG各生成一个低级机密元素S_zi，其中S_zi＝S_z(i-1)+s_z(i-1)P_zi，1≤i≤n，其中s_z0＝s₀，并且其中S_z0被定义为0；

为n个低级PKG各产生一个低级密钥生成参数Q_zi，其中Q_zi＝s_ziP₀，1≤i≤n；

生成一个与接收方相关的接收方公共元素P_z(n+1)＝H₁(ID_z1，...ID_z(n+1))；

生成一个与接收方相关的接收方机密元素

S_{z (n + 1)} = S_{zn} + s_{zn} P_{z (n + 1)} = Σ_{i = 1}^{n + 1} s_{z (i - 1)} P_{zi};

至少利用接收方ID元组(ID_z1，....ID_zi)和根密钥生成参数Q₀对消息M编码以生成一个加密文本C；以及

至少利用接收方机密元素S_z(n+1)来解码加密文本C以恢复消息M。

7.根据权利要求6所述的方法，其中：

第一群Γ₁和第二群Γ₂具有相同的素数阶q。

8.根据权利要求6所述的方法，其中：

所述的第一循环群Γ₁是超奇异椭圆曲线或阿贝尔簇曲线上的点的加性群，第二循环群Γ₂则是一个有限域的乘性子群。

9.根据权利要求6所述的方法，其中：

函数

是一种双线性、非退化且可高效计算的配对。

10.根据权利要求7所述的方法，其中：

s₀是循环群Z/qZ的一个元素；

Q₀是第一循环群Γ₁的一个元素；

每个公共元素P_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成密文s_zi都是循环群Z/qZ的一个元素；

每个机密元素S_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_zi都是第一循环群Γ₁的一个元素；

接收方公共元素P_z(n+1)是第一循环群Γ₁的一个元素；并且

接收方机密元素S_z(n+1)是第一循环群Γ₁的一个元素。

11.根据权利要求6所述的方法，其中：编码消息M还包括：

选取一个随机参数r；并

生成加密文本C＝[U₀，U₂，...，U_n+1，V]，其中对于i＝0和2≤i≤n+1有U_i＝rP_zi，其中

并且其中

并且

解码加密文本C还包括：

利用

M = V &CirclePlus; H_{2} (\frac{\hat{e} (U_{0}, S_{z (n + 1)})}{Π_{i = 2}^{n + 1} \hat{e} (Q_{i - 1}, U_{i})})

恢复消息M。

12.根据权利要求11所述的方法，其中：

第一群Γ₁和第二群Γ₂具有相同的素数阶q。

13.根据权利要求11所述的方法，其中：

14.根据权利要求11所述的方法，其中：

函数

是一种双线性、非退化且可高效计算的配对。

15.根据权利要求12所述的方法，其中：

s₀是循环群Z/qZ的一个元素；

Q₀是第一循环群Γ₁的一个元素；

每个公共元素P_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成密文s_zi都是循环群Z/qZ的一个元素；

每个机密元素S_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_zi都是第一循环群Γ₁的一个元素；

接收方公共元素P_z(n+1)是第一循环群Γ₁的一个元素；

接收方机密元素S_z(n+1)是第一循环群Γ₁的一个元素；

r是循环群Z/qZ的一个元素；并且

g是第二循环群Γ₂的一个元素。

16.根据权利要求7所述的方法，还包括：

选取一个第三函数H₃，该函数能够由第三串二进制数生成循环群Z/qZ的一个整数；以及

选取一个第四函数H₄，该函数能够由第五串二进制数生成第四串二进制数；

其中编码消息M还包括：

选取一个随机二进制串σ，

选取一个对称加密方案E；

生成一个随机整数r＝H₃(σ，M，W)，其中W＝E_H4(σ)(M)；以及

生成加密文本C＝[U₀，U₂，...，U_n+1，V，W]，其中对于i＝0和2≤i≤n+1有U_i＝rP_zi，其中并且其中并且

其中解码加密文本C还包括：

利用

σ = V &CirclePlus; H_{2} (\frac{\hat{e} (U_{0}, S_{z (n + 1)})}{Π_{i = 2}^{n + 1} \hat{e} (Q_{i - 1}, U_{i})})

恢复随机二进制串σ，并

利用

M = E_{H_{4} (σ)}^{- 1} (W)

恢复消息M。

17.根据权利要求16所述的方法，其中：

第一循环群Γ₁和第二循环群Γ₂具有相同的素数阶q。

18.根据权利要求16所述的方法，其中：

19.根据权利要求16所述的方法，其中：

函数是一种双线性、非退化且可高效计算的配对。

20.根据权利要求16所述的方法，还包括：

通过计算一个实验性的随机整数r′＝H₃(σ，M，W)；以及

对2≤i≤n+1检验U₀＝r′P₀和U_i＝r′P_zi来检验加密文本C的内部一致性。

21.根据权利要求17所述的方法，其中：

s₀是循环群Z/qZ的一个元素；

Q₀是第一循环群Γ₁的一个元素；

每个公共元素P_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成密文s_zi都是循环群Z/qZ的一个元素；

每个机密元素S_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_zi都是第一循环群Γ₁的一个元素；

接收方公共元素P_z(n+1)是第一循环群Γ₁的一个元素；

接收方机密元素S_z(n+1)是第一循环群Γ₁的一个元素；

r是循环群Z/qZ的一个元素；并且

g是第二循环群Γ₂的一个元素。

22.一种在一个系统中的发送方与接收方之间编码和解码消息M的方法，所述的系统中包括多个PKG，这多个PKG中包括根PKG与发送方之间的分级结构中的m个低级PKG，其中m≥1，以及根PKG与接收方之间的分级结构中的n个低级PKG，其中n≥1，所述分级结构中的多个PKG中至少有l个是发送方与接收方共同的前辈PKG，其中l≥1，其中的PKG_l是发送方与接收方共同的前辈PKG，该方法还包括：

选取一个仅为根PKG所知的根密钥生成密文；

根据所述的根密钥生成密文产生一个根密钥生成参数；

为m和n个低级PKG各选取一个低级密钥生成密文，其中每个低级密钥生成密文仅对其相关的低级PKG已知；

为m和n个低级PKG各产生一个低级密钥生成参数，其中每个低级密钥生成参数的产生至少要利用其相关低级PKG的低级密钥生成密文；

生成一个发送方私有密钥，使得该发送方私有密钥至少与发送方身份信息、根密钥生成密文、以及在根PKG和发送方之间的分级结构中的m个低级PKG相关的m个低级密钥生成密文中的一个或多个有关；

生成一个接收方私有密钥，使得该接收方私有密钥至少与接收方身份信息、根密钥生成密文、以及在根PKG和接收方之间的分级结构中的n个低级PKG相关的n个低级密钥生成密文中的一个或多个有关；

至少利用接收方身份信息、发送方私有密钥、以及和位于或低于公共前辈PKG_l级别的(m-l+1)个PKG相关的低级密钥生成参数中的0个或多个，来对所述的消息进行编码以形成加密文本C，但是不使用和高于公共前辈PKG_l的(l-1)个PKG相关的低级密钥生成参数中的任何一个；以及

至少利用接收方私有密钥以及和位于或低于最低公共前辈PKG_l级别的(n-l+1)个PKG相关的低级密钥生成参数中的0个或多个，来对所述的消息进行解码，但是不能使用和高于公共前辈PKG_l的(l-1)个PKG相关的低级密钥生成参数中的任何一个。

23.根据权利要求22所述的在一个系统中的发送方与接收方之间编码和解码消息的方法：

其中所述的消息编码还包括利用与根PKG和发送方之间位于或低于公共前辈PKG_l级别的(m-l+1)个PKG相关的低级密钥生成参数中的一个或多个；并且

其中所述的消息解码还包括利用与根PKG和接收方之间位于或低于最低公共前辈PKG_l级别的(n-l+1)个PKG相关的低级密钥生成参数中的一个或多个。

24.根据权利要求22所述的在一个系统中的发送方与接收方之间编码和解码消息的方法：

其中所述的消息解码还包括利用与根PKG和接收方之间位于或低于最低公共前辈PKG_l级别的(n-l+1)个PKG相关的低级密钥生成参数中的零个。

25.根据权利要求22所述的在一个系统中的发送方与接收方之间编码和解码消息的方法：

其中所述的消息编码还包括利用与根PKG和发送方之间位于或低于公共前辈PKG_l级别的(m-l+1)个PKG相关的低级密钥生成参数中的零个；并且

26.根据权利要求22所述的在一个系统中的发送方与接收方之间编码和解码消息的方法，其中要利用与根PKG和发送方之间位于或低于公共前辈PKG_l级别的(m-l+1)个PKG相关的所有低级密钥生成参数来对消息进行编码。

27.根据权利要求22所述的在一个系统中的发送方与接收方之间编码和解码消息的方法，其中要利用与根PKG和接收方之间位于或低于公共前辈PKG_l级别的(n-l+1)个PKG相关的所有低级密钥生成参数来对消息进行解码。

28.权利要求22的方法，其中发送方是与一个发送方ID元组(ID_y1，...，ID_y(m+1))相关联的实体y，该发送方ID元组中包含与发送方y有关的身份信息ID_y(m+1)以及与根PKG和发送方y之间的分级结构中的m个低级PKG相关的身份信息ID_yi，并且其中接收方z与一个接收方ID元组(ID_z1，...，ID_z(n+1))相关联，该接收方ID元组中包含与接收方有关的身份信息ID_z(n+1)以及与根PKG和接收方之间的分级结构中的n个低级PKG相关的身份信息ID_zi，该方法还包括：

生成元素的第一循环群Γ₁和元素的第二循环群Γ₂；

选取一个函数该函数能够由第一循环群Γ₁的两个元素生成第二循环群Γ₂的一个元素；

选取第一循环群Γ₁的一个根生成器P₀；

选取一个随机根密钥生成密文s₀，该密文与根PKG相关且只为根PKG所知；

产生一个根密钥生成参数Q₀＝s₀P₀；

为m个低级PKG各生成一个公共元素P_yi，其中P_yi＝H₁(ID_y1，...，ID_yi)，1≤i≤m，并且对于所有的i≤l有P_yi＝P_zi；

为m个低级PKG各选取一个低级密钥生成密文s_yi，其中对于所有的i≤l有s_yi＝s_zi；

为m个低级PKG各生成一个低级机密元素S_yi，其中S_yi＝S_y(i-1)+s_y(i-1)P_yi，1≤i≤m，并且对于所有的i≤l有S_yi＝S_zi；

为m个低级PKG各产生一个低级密钥生成参数Q_yi，其中Q_yi＝s_yiP₀，1≤i≤m，并且其中对于所有的i≤l有Q_yi＝Q_zi；

生成一个与发送方y相关的发送方公共元素P_y(m+1)＝H₁(ID_y1，...ID_y(m+1))；

生成一个与发送方相关的发送方机密元素

S_{y (m + 1)} = S_{ym} + s_{ym} P_{y (m + 1)} = Σ_{i = 1}^{m + 1} s_{y (i - 1)} P_{yi};

生成一个与接收方相关的接收方机密元素

S_{z (n + 1)} = S_{zn} + s_{zn} P_{z (n + 1)} = Σ_{i = 1}^{n + 1} s_{z (i - 1)} P_{zi};

至少利用对应于l＜i≤m的低级密钥生成参数Q_yi和发送方机密元素S_y(m+1)对消息M编码以生成一个加密文本C，但不能使用对应于i＜l的低级密钥生成参数Q_yi；以及

至少利用对应于l＜i≤n的低级密钥生成参数Q_zi和接收方机密元素S_z(n+1)对加密文本C解码以恢复消息M，但不能使用对应于i＜l的低级密钥生成参数Q_zi。

29.根据权利要求28所述的方法，其中编码消息M还包括使用低级密钥生成参数Q_yl。

30.根据权利要求28所述的方法，其中解码消息M还包括使用低级密钥生成参数Q_zl。

31.根据权利要求28所述的方法，其中：

第一群Γ₁和第二群Γ₂具有相同的素数阶q。

32.根据权利要求28所述的方法，其中：

33.根据权利要求28所述的方法，其中：

函数

是一种双线性、非退化且可高效计算的配对。

34.根据权利要求31所述的方法，其中：

s₀是循环群Z/qZ的一个元素；

Q₀是第一循环群Γ₁的一个元素；

每个公共元素P_zi都是第一循环群Γ₁的一个元素；

每个公共元素P_yi都是第一循环群Γ₁的一个元素；

每个低级密钥生成密文s_zi都是循环群Z/qZ的一个元素；

每个低级密钥生成密文s_yi都是循环群Z/qZ的一个元素；

每个机密元素S_zi都是第一循环群Γ₁的一个元素；

每个机密元素S_yi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_yi都是第一循环群Γ₁的一个元素；

接收方公共元素P_z(n+1)是第一循环群Γ₁的一个元素；

发送方公共元素P_y(m+1)是第一循环群Γ₁的一个元素；

接收方机密元素S_z(n+1)是第一循环群Γ₁的一个元素；

发送方机密元素S_y(m+1)是第一循环群Γ₁的一个元素。

35.根据权利要求28所述的方法，

其中编码消息M还包括：

选取一个随机参数r；并

编码消息M以生成加密文本C＝[U₀，U₂，...，U_n+1，V]，其中U₀＝rP₀，其中对于l+1≤i≤n+1有U_i＝rP_zi，其中

V = M &CirclePlus; H_{2} (g_{yl}^{r}),

并且其中

g_{yl} = \frac{\hat{e} (P_{0}, S_{y (m + 1)})}{Π_{i = l + 1}^{m + 1} \hat{e} (Q_{y (i - 1)}, P_{yi})};

并且

解码加密文本C还包括：

利用

M = V &CirclePlus; H_{2} (\frac{\hat{e} (U_{0}, S_{z (n + 1)})}{Π_{i = l + 1}^{n + 1} \hat{e} (Q_{z (i - 1)}, U_{zi})})

恢复消息M。

36.根据权利要求35所述的方法，其中：

第一循环群Γ₁和第二循环群Γ₂具有相同的素数阶q。

37.根据权利要求35所述的方法，其中：

38.根据权利要求35所述的方法，其中：

函数是一种双线性、非退化且可高效计算的配对。

39.根据权利要求36所述的方法，其中：

s₀是循环群Z/qZ的一个元素；

Q₀是第一循环群Γ₁的一个元素；

每个公共元素P_zi都是第一循环群Γ₁的一个元素；

每个公共元素P_yi都是第一循环群Γ₁的一个元素；

每个低级密钥生成密文s_zi都是循环群Z/qZ的一个元素；

每个低级密钥生成密文s_yi都是循环群Z/qZ的一个元素；

每个机密元素S_zi都是第一循环群Γ₁的一个元素；

每个机密元素S_yi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_yi都是第一循环群Γ₁的一个元素；

接收方公共元素P_z(n+1)是第一循环群Γ₁的一个元素；

发送方公共元素P_y(m+1)是第一循环群Γ₁的一个元素；

接收方机密元素S_z(n+1)是第一循环群Γ₁的一个元素；

发送方机密元素S_y(m+1)是第一循环群Γ₁的一个元素；

r是循环群Z/qZ的一个元素；并且

g_yl是第二循环群Γ₂的一个元素。

40.根据权利要求28所述的方法：

其中编码消息M还包括：

选取一个随机参数r；并

编码消息M以生成加密文本C＝[U₀，U₂，...，U_n+1，V]，其中U₀＝rP₀，其中U_l+1＝r(P_y(l+1)-P_z(l+1))，其中对于l+2≤i≤n有U_i＝rP_zi，其中

V = M &CirclePlus; H_{2} (g_{y (l + 1)}^{r}),

并且其中

g_{y (l + 1)} = \frac{\hat{e} (P_{0}, S_{y (m + 1)})}{Π_{i = l + 2}^{m} \hat{e} (Q_{y (i - 1)}, P_{yi})} = \hat{e} (P_{0}, S_{y (l + 1)});

并且

解码加密文本C还包括：

利用

M = V &CirclePlus; H_{2} (\frac{\hat{e} (U_{0}, S_{z (n + 1)}) \hat{e} (U_{l + 1}, Q_{zl})}{Π_{i = l + 2}^{n} \hat{e} (Q_{z (i - 1)}, U_{i})})

恢复消息M。

41.根据权利要求28所述的方法：

其中编码消息M还包括：

选取一个随机参数r；并

编码消息M以生成加密文本C＝[U₀，U_l+2，...，U_n，V]，其中U₀＝rP₀，其中对于l+2≤i≤n有U_i＝rP_zi，其中

V = M &CirclePlus; H_{2} (g_{z (l + 1)}^{r}),

并且其中

g_{z (l + 1)} = \frac{\hat{e} (P_{0}, S_{y (m + 1)}) \hat{e} (Q_{yl}, (P_{z (l + 1)} - P_{y (l + 1)}))}{Π_{i = l + 2}^{m} \hat{e} (Q_{y (i - 1)}, P_{yi})} = \hat{e} (P_{0}, S_{z (l + 1)});

并且

解码加密文本C还包括：

利用

M = V &CirclePlus; H_{2} (\frac{\hat{e} (U_{0}, S_{z (n + 1)})}{Π_{i = l + 2}^{n} \hat{e} (Q_{z (i - 1)}, U_{i})})

恢复消息M。

42.根据权利要求31所述的方法，还包括：

其中编码消息M还包括：

选取一个随机二进制串即σ，

计算一个随机整数r＝H₃(σ，M，W)，其中以及

生成加密文本C＝[U₀，U_l+1，...，U_n+1，V，W]，其中对于i＝0和l+1≤i≤n+1有U_i＝rP_zi，其中

V = σ &CirclePlus; H_{2} (g_{yl}^{r}),

并且其中

g_{yl} = \frac{\hat{e} (P_{0}, S_{y (m + 1)})}{Π_{i = l + 1}^{m + 1} \hat{e} (Q_{y (i - 1)}, P_{yi})};

并且

其中解码加密文本C还包括：

利用

σ = V &CirclePlus; H_{2} (\frac{\hat{e} (U_{0}, S_{z (n + 1)})}{Π_{i = l + 1}^{n + 1} \hat{e} (Q_{z (i - 1)}, U_{zi})})

恢复随机二进制串σ，并

利用

M = E_{H_{4} (σ)}^{- 1} (W)

恢复消息M。

43.根据权利要求41所述的方法，其中：

第一循环群Γ₁和第二循环群Γ₂具有相同的素数阶q。

44.根据权利要求41所述的方法，其中：

45.根据权利要求41所述的方法，其中：

函数

是一种双线性、非退化且可高效计算的配对。

46.根据权利要求43所述的方法，其中：

s₀是循环群Z/qZ的一个元素；

Q₀是第一循环群Γ₁的一个元素；

每个公共元素P_zi都是第一循环群Γ₁的一个元素；

每个公共元素P_yi都是第一循环群Γ₁的一个元素；

每个低级密钥生成密文s_zi都是循环群Z/qZ的一个元素；

每个低级密钥生成密文s_yi都是循环群Z/qZ的一个元素；

每个机密元素S_zi都是第一循环群Γ₁的一个元素；

每个机密元素S_yi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_yi都是第一循环群Γ₁的一个元素；

接收方公共元素P_z(n+1)是第一循环群Γ₁的一个元素；

发送方公共元素P_y(m+1)是第一循环群Γ₁的一个元素；

接收方机密元素S_z(n+1)是第一循环群Γ₁的一个元素；

发送方机密元素S_y(m+1)是第一循环群Γ₁的一个元素；

r是循环群Z/qZ的一个元素；并且

g_z(l+1)是第二循环群Γ₂的一个元素。

47.根据权利要求42所述的方法，还包括：

通过计算一个实验性的随机整数r′＝H₃(σ，M，W)；以及

对l+1≤i≤n+1检验U₀＝r′P₀和U_i＝r′P_zi来检验加密文本C的内部一致性。

48.一种在发送方与接收方之间产生及验证一条消息M的数字签名的方法，其中所述的发送方在分级系统中比根PKG低m+1个级别，所述的系统中包括多个PKG，这多个PKG中至少包括一个根PKG以及根PKG与发送方之间的分级结构中的m个低级PKG，其中m≥1，该方法包括：

选取一个仅为根PKG所知的根密钥生成密文；

根据所述的根密钥生成密文产生一个根密钥生成参数；

为m个低级PKG各产生一个低级密钥生成密文，其中每个低级密钥生成密文仅对其相关的低级PKG已知；

为m个低级PKG各产生一个低级密钥生成参数，其中每个低级密钥生成参数的产生至少要利用其相关低级PKG的低级密钥生成密文；

为发送方生成一个发送方私有密钥，使得该发送方私有密钥至少与发送方身份信息、根密钥生成密文、以及根PKG和发送方之间的分级结构中的m个低级PKG相关的m个低级密钥生成密文中的一个或多个有关；

至少利用发送方私有密钥签署所述的消息以生成数字签名Sig；以及

至少利用根密钥生成参数和发送方身份信息验证所述的数字签名。

49.根据权利要求48所述的在发送方与接收方之间产生及验证一条消息的数字签名的方法，其中：

还利用一个或多个低级密钥生成参数来验证数字签名。

50.权利要求49的方法，其中所述的发送方与一个发送方ID元组(ID_y1，...，ID_y(m+1))相关联，该ID元组中包含与发送方相关的身份信息ID_y(m+1)，以及与根PKG和发送方之间的分级结构中的m个低级PKG各自相关的身份信息ID_yi，该方法还包括：

生成元素的第一循环群Γ₁和元素的第二循环群Γ₂；

选取一个双线性、非退化的配对

该配对能够由第一循环群Γ₁的两个元素生成第二循环群Γ₂的一个元素；

选取第一循环群Γ₁的一个根生成器P₀；

产生一个根密钥生成参数Q₀＝s₀P₀；

为所述的m个低级PKG各生成一个公共元素P_yi，其中P_yi＝H₁(ID_y1，...，ID_yi)，1≤i≤m；

为所述的n个低级PKG各选取一个低级密钥生成密文s_yi，其中各个低级密钥生成密文s_yi只对与它相关的低级PKG已知；

为所述的m个低级PKG各生成一个低级机密元素S_yi，其中S_yi＝S_y(i-1)+s_y(i-1)P_yi，1≤i≤m；

为所述的m个低级PKG各产生一个低级密钥生成参数Q_yi，其中Q_yi＝s_yiP₀，1≤i≤m；

生成一个与发送方相关的发送方公共元素P_y(m+1)＝H₁(ID_y1，...ID_y(m+1))；

生成一个与发送方相关的发送方机密元素

S_{y (m + 1)} = S_{ym} + s_{ym} P_{y (m + 1)} = Σ_{i = 1}^{m + 1} s_{y (i - 1)} P_{yi};

至少利用发送方机密元素S_y(m+1)签署消息M以生成一个数字签名Sig；以及

至少利用根密钥生成参数Q₀和低级密钥生成参数Q_yi验证数字签名Sig。

51.根据权利要求50所述的方法，其中：

第一群Γ₁和第二群Γ₂具有相同的素数阶q。

52.根据权利要求50所述的方法，其中：

53.根据权利要求50所述的方法，其中：

函数是一种双线性、非退化且可高效计算的配对。

54.根据权利要求51所述的方法，其中：

s₀是循环群Z/qZ的一个元素；

Q₀是第一循环群Γ₁的一个元素；

每个公共元素P_yi都是第一循环群Γ₁的一个元素；

每个低级密钥生成密文s_yi都是循环群Z/qZ的一个元素；

每个机密元素S_yi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_yi都是第一循环群Γ₁的一个元素；

发送方公共元素P_y(m+1)是第一循环群Γ₁的一个元素；并且

发送方机密元素S_y(m+1)是第一循环群Γ₁的一个元素。

55.根据权利要求50所述的方法，还包括：

选取一个第二函数H₃，该函数能够由第二串二进制数生成第一循环群Γ₁的一个元素；

为发送方y选取一个发送方密钥生成密文s_y(m+1)，其中所述的发送方密钥生成密文s_y(m+1)仅对发送方已知；以及

产生一个与发送方相关的发送方密钥生成参数Q_y(m+1)，其中Q_y(m+1)＝s_y(m+1)P₀；

其中签署消息M还包括：

生成一个消息要素P_M＝H₃(ID_y1，...，ID_y(m+1)，M)，其中所述的消息要素P_M是第一循环群Γ₁的一个元素；以及

利用Sig＝S_y(m+1)+s_y(m+1)P_M生成数字签名Sig；并且

其中验证数字消息Sig还包括：

56.根据权利要求55所述的方法，其中：

第一群Γ₁和第二群Γ₂具有相同的素数阶q。

57.根据权利要求55所述的方法，其中：

58.根据权利要求55所述的方法，其中：

函数

是一种双线性、非退化且可高效计算的配对。

59.根据权利要求56所述的方法，其中：

s₀是循环群Z/qZ的一个元素；

Q₀是第一循环群Γ₁的一个元素；

每个公共元素P_yi都是第一循环群Γ₁的一个元素；

每个低级密钥生成密文s_yi和发送方密钥生成密文s_y(m+1)都是循环群Z/qZ的一个元素；

每个机密元素S_yi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_yi以及发送方密钥生成参数Q_y(m+1)都是第一循环群Γ₁的一个元素；

发送方公共元素P_y(m+1)是第一循环群Γ₁的一个元素；并且

发送方机密元素S_y(m+1)是第一循环群Γ₁的一个元素。

60.一种为一个系统中的一个实体生成一个私有密钥的方法，所述的系统中包括多个PKG，这多个PKG中至少包括一个根PKG以及根PKG与所述实体之间的分级结构中的n个低级PKG，其中n≥1，该方法包括：

生成一个仅为根PKG所知的根密钥生成密文；

根据所述的根密钥生成密文产生一个根密钥生成参数；

为n个低级PKG各产生一个低级密钥生成密文，其中每个低级密钥生成密文仅对其相关的低级PKG已知；

为所述实体生成一个私有密钥，使得该私有密钥至少与和实体相关的身份信息、根密钥生成密文、以及根PKG和所述实体之间的分级结构中的n个低级PKG相关的n个低级密钥生成密文中的一个或多个有关；以及

将所述的私有密钥提供给所述的实体。

61.权利要求60的方法，其中所述实体是接收方z，所述的接收方z在分级结构中比根PKG低n+1个级别，并且所述的接收方与一个接收方ID元组(ID_z1，...，ID_z(n+1))相关联，该ID元组中包括与接收方相关的身份信息ID_z(n+1)以及与根PKG和接收方之间的分级结构中的n个低级PKG相关的身份信息ID_zi，该方法还包括：

生成元素的第一循环群Γ₁与元素的第二循环群Γ₂；

选取一个函数

该函数能够由第一循环群Γ₁的两个元素生成第二循环群Γ₂的一个元素；

选取第一循环群Γ₁的一个根生成器P₀；

产生一个根密钥生成参数Q₀＝s₀P₀；

选取一个函数H₁，该函数能够由第一串二进制数生成第一循环群Γ₁的一个元素；

生成与接收方相关的接收方公共元素P_z(n+1)＝H₁(ID_z1，...ID_z(n+1))，其中P_z(n+1)是第一循环群Γ₁的一个元素；以及

生成与接收方相关的接收方私有密钥

S_{z (n + 1)} = S_{zn} + s_{zn} P_{z (n + 1)} = Σ_{i = 1}^{n + 1} s_{z (i - 1)} P_{zi} .

62.根据权利要求61所述的方法，其中：

第一群Γ₁和第二群Γ₂具有相同的素数阶q。

63.根据权利要求61所述的方法，其中：

64.根据权利要求61所述的方法，其中：

函数

是一种可行的配对。

65.根据权利要求62所述的方法，其中：

s₀是循环群Z/qZ的一个元素；

Q₀是第一循环群Γ₁的一个元素；

每个公共元素P_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成密文s_zi都是循环群Z/qZ的一个元素；

每个机密元素S_zi都是第一循环群Γ₁的一个元素；

每个低级密钥生成参数Q_zi都是第一循环群Γ₁的一个元素；

接收方公共元素P_z(n+1)是第一循环群Γ₁的一个元素；并且

接收方私有密钥S_z(n+1)是第一循环群Γ₁的一个元素。