(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111337039.9 (22)申请日 2021.11.12 (71)申请人 电子科技大 学 地址 611731 四川省成 都市高新区 （西区） 西源大道 2006号 (72)发明人 姚天昂　高克寒　冯峻　 (51)Int.Cl. H04L 9/14(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于身份的可穿刺代理重加密方法 (57)摘要 本发明公开了一种基于身份的可穿刺代理 重加密方法。 其特征在于在构造中将可穿刺加密 与基于身份的代理重加密结合在同一个算法中， 从而使得委托用户和受托用户可以使用精准加 密技术实现细粒度撤销功能和前向安全性。 在基 于身份的代理重加密技术中， 用户可以使用委托 用户的身份作为公钥来加密消息生成对应的密 文。 代理服务器则可以利用重加密密钥将该密文 转化为使用受托用户的身份作为公钥加密密文 的相同明文。 同时身份基的使用也解决了普通公 钥加密方案的证书管理问题。 本发 明引入了可穿 刺加密技术。 通过更新私钥可以撤销对特定消息 的解密功能。 在公钥不变的情况下， 当密文中嵌 入了与私钥中相同的标签时， 该私钥将无法解密 该密文。 这样即使当下使用的私钥泄露， 也不会 泄露之前传递的消息 。 权利要求书3页 说明书4页 CN 114095171 A 2022.02.25 CN 114095171 A 1.基于身份的可穿刺代理重加密方法， 其特 征在于： (1)允许代理服务器使用委托用户Alice的身份作为公钥进行加密的密文转换为使用 受托用户Bob的身份作为公钥加密 的密文， 这样受托用户Bob可以使用自己的私钥解密密 文； (2)所提出方案具有单向性， 即只能将委托用户Alice对消息M的密文转换为在相同消 息下受托用户Bob的密文， 该转换 过程不可逆； (3)所提出方案具有单跳性， 即重加密算法中输入的密文仅能是由加密算法生成的原 始密文； (4)所提出方案实现了细粒度的解密撤销功能。 用户使用公钥进行加密时， 可以在密文 中嵌入任意的标签， 通过更新私钥可以撤销对特定消息的解密能力。 如果私钥中被嵌入了 与密文中同样的标签， 则该私钥不能解密该密文； (5)所提出方案可实现前向安全性。 通信双方可以约定使用的标签集合， 通过不断更新 私钥来避免正在使用的私钥泄 露， 导致之前传递的消息泄 露。 2.根据权利要求1所述的基于身份的可穿刺代理重加密方法， 所述方法的具体步骤包 括： (1)系统建立Setup： 输入安全参数和系统最大标签数， PKG运行该算法并生成系统公开 参数和系统主密钥； (2)密钥生成KeyExtract： 输入系统公开参数、 用户身份和系统主密钥， PKG运行该算法 生成对应用户的私钥； (3)加密Encrypt： 输入明文消息、 系统公开参数、 用户身份和若干标签， 由加密用户运 行该算法并输出密文消息； (4)代理重加密密钥生成ReKeyGen： 输入系统公开参数、 委托用户的身份信息和受托用 户的身份信息， 由委托用户运行 该算法生成代理重加密 密钥； (5)代理重加密ReEncrypt： 输入密文和代理重加密密钥， 由代理服务器执行该算法并 生成重加密 密文； (6)穿刺加密Puncture： 输入系统公开参数、 用户私钥和一个标签， 由PKG执行该算法并 输出被精准加密后的用户私钥； (7)原始密文解密Decrypt ‑I： 输入密文消息、 委托用户的私钥和若干标签， 由用户执行 该算法解密出明文消息； (8)重加密密文解密Decrypt ‑II： 输入重加密密文消息、 受托用户的私钥和若干标签， 由代理用户执 行该算法解密出明文消息 。 3.根据权利要求2所述的基于身份的精准代理重加密方法所述方法的具体算法包括： (1)系统建立Setup： 输入安全参数k和密文能嵌入的最大标签数d； 选择一个素数p， 并 构造两个阶数为p的乘法循环群 和 设g是群 的生成元； 定义一个双线性映射 随机选取三个哈希函数： 和 随机选取 和 并计算g1＝gα和g2＝gβ； 随机选取一个满足q (0)＝β 的d次多项式q( ·)； 定义V(x)＝gq(x)； 令t0为一个在正常操作中不会被使用的标签 值； PKG秘密保留主密钥MSK＝α， 并发布系统公开参数Param＝(g， g1， g2， gq(1)， ...， gq(d)， H1，权　利　要　求　书 1/3 页 2 CN 114095171 A 2H2， H3)； 注意， 任何人都可以通过对(g2， gq(1)， ...， gq(d))进行插值， 从而计算出V( ·)； (2)密钥提取KeyExtract： 输入系统公开参数Param、 用户身份id和主密钥MSK。 对每个 id∈{0， 1}l的用户， PKG按如下 方式生成用户id的私钥： a)随机选取 b)生成用户id的初始私钥为： 在收到了PKG发送的私钥后， 用户id可以通过检查下列等式是否成立来验证私钥的正 确性： (3)加密Encrypt： 输入系统公开参数Param、 用户身份id和一个标签集合t1...， td， 随机 选取 对于消息 输出密文为 Cid＝(c1， c2， c3.c(4， 1)…， c(4， d)， c5) ＝(M·e(g1， g2)s， gs， H2(id)s， V(H1(t1))s， ...， V(H1(td))s) (4)重加密密钥生成ReKeyGen： 输入系统公开参数Param、 一组用户的身份(id， id ′)， 用 户id首先设定 和 然后随机 选取 和 并计算： C′＝Encrypt(Param， σ， id ′， t1， ...， td) ＝(c′1， c′2， c′3， c′(4， 1)， ...， c′(4， d)) ＝( σ·e(g1， g2)s′， gs′， H2(id′)s′， V(H1(t1))s′， ...， V(H1(td))s′) 用户id在 和 的条件下计算重加密 密钥： (5)重加密ReEncrypt： 输入系统公开参数Param， 原始密文Cid＝(c1， c2， c3.c(4， 1)...， c(4， d)， c5)和重加密密钥RKid→id′＝(rk1， rk2， rk3)。 对于.j＝1， 2， ...， i， 将 拆分为 接下来计算一组满 足 的系数ω1， ...， ωd， ω*， 然后计算： 权　利　要　求　书 2/3 页 3 CN 114095171 A 3