基于椭圆曲线离散对数的无证书混合加密

基于椭圆曲线离散对数困难问题，结合KEM-DEM混合加密结构，提出一个新的无证书混合加密方案。采用椭圆曲线签名算法保证用户自主生成公钥的不可伪造性，利用用户公钥生成的会话密钥以对称加密算法加密明文，保证明文的机密性，对明文空间的大小没有严格限制。该方案主要涉及椭圆曲线上的点运算，与原有无证书加密方案中采用双线性对计算相比具有更高的执行效率。

一、基于椭圆曲线离散对数的无证书混合加密相关知识

1、椭圆曲线离散对数问题

E(Fq)椭圆曲线离散对数问题(ECDLP)定义如下：假设P是E(Fq)上的一个点，Q是E(Fq)上为P的倍数点，即存在整数x>0，使Q=xP，在已知P和Q的前提下，计算出z在计算上是不可行的，即：

其中，EECDLP为可忽略量。

2、无证公钥加密的形式化定义

一个无证书加密方案一般由7个算法组成：

(1)参数生成算法(Setup)：输入安全参数k，返回系统参数params和主密钥masterkey；

(2)部分私钥提取算法(Partial-Private-Key-Extract)：输入系统参数params和主密钥masterkey以及一个身份标识ID，输出部分私钥DID；

(3)设定秘密值算法(Set-Secret-Value)：输入参数params，输出一个秘密值SID；

(4)设定私钥算法(Set-Private-Key)：输出参数params，输出一个用户（全）私钥SKID；

(5)设定公钥算法(Set-Public-Key)：输入参数params、部分私钥DID、秘密值SID、私钥SKID，输出一个公钥PKID；

(6)加密算法(Encrypt)：输入参数params、公钥PKID以及待加密消息m，输出一个密文c；

(7)解密算法(Decrypt)：输入参数params、用户身份ID、（全）私钥SKID以及待解密的密文c，输出一个密文m或一个错误指示符。

二、基于椭圆曲线离散对数的无证书混合加密方案

本文基于椭圆曲线离散对数问题和无证书加密一般模型，提出一个新的无证书混合加密方案。方案的具体执行过程如下：

(1)密钥生成中心系统参数生成：选取一个基域Fq，q为一个大素数。选取一个定义在‘上的椭圆曲线E(Fq)和E(Fq)上的一个生成元P，其阶为一个可整除#E(q)的大素数n。选择一个安全对称加密算法(ENCx，DECK)。选择2个密码安全Hash函数H:{O，I)*:→(0，l)K，其中，{O，I}K是对称加密使用的会话密钥空间。公开系统参数params={g,E(Fq)，n，P，n，Hi,{0,1）n，(ENCK,DECK)）。

(2)密钥生成中心生成主密钥：中随机选取一个正整数s∈Rzn，设主私钥为Msk=5；计算主公钥Mpk=sP；密钥生成中心保留主私钥Msk，公开主公钥Mpk。

(3)密钥生成中心生成部分私钥：用户将身份ID提交给密钥生成中心后，密钥生成中心随机选取一个正整数f∈R Z，计算eid= tP=(xT，modn)；计算e=H(ID)+xr mod，n；

计算w= (seID +t) modn。设部分私钥为D/D=(t，w），通过安全信道将其传输给用户。

(4)用户私钥生成：随机选取一个正整数sk∈rZn，设用户私钥为SKID=sk，用户自己保留。

(5)用户公钥生成：计算PK=skP=(XPK，yPK)；随机选取一个正整数rzn，计算Q= rP=(xo，yQ)；计算ePK=H(XPK¨yPK)+XQ modn；计算u=(r-w-ePK)modn。设用户公钥为PKID= (PK.T.ePK，∞，用户将PKID公开给系统其他用户。

(6)加密，分为3个执行过程：

1)验证用户公钥的真实性，计算(xo‘，yQ‘)=up十(H(ID)+xtmodn)．ePK．Mpk十ePKT，计算ePK‘=H(XPX¨yPK)+xt‘。

如果ePK’=ePA，验证成功；否则验证失败放弃加密。明显地，验证的正确性基于：