(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211007880.6 (22)申请日 2022.08.22 (71)申请人 武汉大学 地址 430072 湖北省武汉市武昌区珞珈山 街道八一路2 99号 (72)发明人 曹越　侯英哲　 (74)专利代理 机构 武汉科皓知识产权代理事务 所(特殊普通 合伙) 42222 专利代理师 鲁力 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 67/10(2022.01) H04L 67/12(2022.01) (54)发明名称 一种基于中国剩余定理的区块链无证书聚 合签密密钥协商方法 (57)摘要 本发明涉及一种基于中国剩余定理的区块 链无证书聚合签密密钥协商 方法， 主要涉及密码 学和信息安全 方向。 本发明首先采用聚合签密技 术来提高消息传输速度， 同时确保消息的完整 性、 真实性和机密性； 其次， 区块链技术的引入保 证新加入区域用户的可信度； 然后， 密钥协商技 术为域内外用户的通讯建立可信桥梁， 当域内用 户加入或者离开域时， 采用基于中国剩余定理的 思维进行模除运算， 更新用户密钥， 保证消息的 前向安全和后向安全； 最后， 将上述技术与无证 书密码系统相结合， 同时解决传统公钥基础设施 和基于身份的密码体制中所存在的证书管理和 密钥托管问题。 权利要求书3页 说明书7页 附图7页 CN 115473631 A 2022.12.13 CN 115473631 A 1.一种基于中国剩余定理的区块链无证书聚合签密 密钥协商方法， 其特 征在于， 包括: 进行系统初始化时,密钥生成中心KGC基于给定的安全参数生成相关密钥和公钥， 以及 系统参数， 并且， 当一个用户加入域， 可信机构TA 为该用户分配私有信息并公布嵌入中 国剩 余定理的参数， 然后为其分配对应的区块链节 点， 当接收到用户真实身份时， 可信机构TA 生 成用户的假名信息并返回给对应用户； 可信机构TA将生成的嵌入中国剩余定理的域密钥发送至域内用户； 生成用户所需的相关密钥； 进行签密， 对于单个消息签密， 发送者通过模除运算求出域密钥， 然后产生单个签密密 文并返回给接收者； 对于多个消息签密， 发送者将多 条消息转发至聚合器， 由聚合器实现聚 合签密并返回给接收者； 进行解签密算法， 对于单个消息解签密： 接收者首先验证密文， 如果通过验证， 则运行 解密步骤， 恢复出明文消息， 否则， 接收者输出 空； 对于多个消息解签密： 接收者首先验证聚 合密文， 如果 通过验证， 则依次运行解密步骤， 恢复出明文消息； 否则， 接收者输出空。 2.根据权利要求1所述的一种基于中国剩余定理 的区块链无证书聚合签密密钥协商方 法， 其特征在于， 给定的安全参数是 其中p是一个素数， 相关密 钥和公钥包括系统主密钥 追踪密钥 系统主公钥Ppub、 追踪公钥Tpub和系统 参数par， 具体生成方法是： 可信机构TA选取素数阶为q的两个群G1,G2， 其中G1的生成元为P， 然后设定e:G1×G1→G2 作为双线性映射， 随后选取5个哈希函数， H1: 其中 表示3个G1相连，→ 表 示 映 射 ，{ 0 ,1 }*表 示 任 意 长 度 比 特 字 符 串 集 合 , H2: 其中{0,1}n表示长度为n的比特字符串集合， H5:G1→{0,1}n； 密钥生成中心KGC选取系统主密钥 并计算系统主公钥Ppub＝s1P， 随后由TA继续选取 追踪密钥 并计算追踪公钥Tpub＝s2P， 最终， 可信机构TA公布系统参数par＝{G,P, Ppub,Tpub,H1,H2,H3,H4,H5}。 3.根据权利要求1所述的一种基于中国剩余定理 的区块链无证书聚合签密密钥协商方 法， 其特征在于， 用户加入域时， 将进行注册操作， 可信机构TA记录新用户的身份信息， 并选 取 作为私有信息返回给 该用户， 然后可信机构TA计算 其中mod为模除运算， 并计算τi＝αi×βi, 其中n为注册的用户数量， 最终， TA将私有信息 τi返回给不同用户， 并公布Ω。 4.根据权利要求1所述的一种基于中国剩余定理 的区块链无证书聚合签密密钥协商方 法， 其特征在于， 用户以真实身份RIDi作为输入， TA随机选取 然后计算 其中Tp表示假名的有效时间， 最 终， TA将假名PIDi＝(PIDi,1,PIDi,2,Tp)返回给用户。 5.根据权利要求1所述的一种基于中国剩余定理 的区块链无证书聚合签密密钥协商方权　利　要　求　书 1/3 页 2 CN 115473631 A 2法， 其特征在于， 以<par,PIDi>作为输入， TA随机选取 作为域密钥， 然后TA计算ξk＝zk ×Ω,Zk＝zkP， 并利用自己的私钥skTA生成签名 并返回给 用户， 其中Tk表示该签名的有效时间。 6.根据权利要求1所述的一种基于中国剩余定理 的区块链无证书聚合签密密钥协商方 法， 其特征在于， 用户所需的相关密钥包括密钥生成中心KGC生成的用户的部分私钥、 以及 用户自行生成的私钥和公钥 信息； 具体生成过程是： 以<par,PIDi>作为输入， 密钥生成中心KGC随机选取 并计算Ki＝kiP,h2＝H2 (PIDi,1,PIDi,2,Ppub,Ki),Di＝ki+h2·s1,最终， 密钥生成中心KGC返回部分私钥Di以及Ki给用 户； 以<par,PIDi>作为输入， 用户将选取 作为秘密值， 随后计算用户公钥PKi＝xiP， 并设置用户私钥为SKi＝(Di,xi)。 7.根据权利要求1所述的一种基于中国剩余定理 的区块链无证书聚合签密密钥协商方 法， 其特征在于， 当域外(链下)和域内(链上)的用户需要进 行通讯时， 交互双方分别运行密 钥协商协议， 生成会话密钥并进行密钥协商， 具体是： 当用户u和i建立安全通讯时， 以< PIDu,PIDi,SKu,PKu,SKi,PKi>作为输入， 其中PIDu,SKu,PKu分别为用户u的假名， 私钥和公钥， PIDi,SKi,PKi分别为用户i的假名， 私钥和公钥， 随后两个用户运行以下算法： S8.1、 用户u选取 并计算Tu＝γuP； 用户i选取 并计算Ti＝γiP； S8.2、 用户u将(PIDu,Tu,Ku)发送给用户i， 用户i将(PIDi,Ti,Ki)发送给用户u； S8.3、 用户u计算hi,2＝H2(PIDi,1,PIDi,2,Ppub,Ki),Pi＝Ki+hi,2Ppub； S8.4、 用户i计算hu,2＝H2(PIDu,1,PIDu,2,Ppub,Ku),Pu＝Ku+hu,2Ppub； S8.5、 用户u计算Ki＝(PKu+Pu+Tu)(xi+Di+γi)＝K， 用户i计算Ku＝(xu+Du+γu)(PKi+Pi+ Ti)＝K； S8.6、 生成会话密钥SK＝H(PIDu,PIDi,Tu,Ti,K)。 8.根据权利要求1所述的一种基于中国剩余定理 的区块链无证书聚合签密密钥协商方 法， 其特征在于， 当用户加入或者离开域时， 可信机构TA运行该步骤， 生成更新后嵌入域密 钥的参数并返回给用户， 具体是： 以<par,PIDi>作为输入， 当单个用户i加入域时， TA将加入τi， 并随机选取z ′k， 计算Ω′ ＝Ω+τi， ξ′k＝z′k×Ω′； 当单个用户i离 开域时， 可信机构TA将删除τi， 并随机选取z ′k， 计算 Ω′＝Ω‑τi， ξ′k＝z′k×Ω′； 当批量用户i， u， v加入域 时， 可信机构TA将加入τi， τu， τv， 并随 机选取z′k， 计算Ω′＝Ω+τi+τu+τv， ξ′k＝z′k×Ω′； 当批量用户i， u， v离开域时， 可信机构TA 将删除τi， τu， τv， 并随机选取z ′k， 计算Ω′＝Ω‑( τi+τu+τv)， ξ′k＝z′k×Ω′； 最终， 可信 机构 TA更新ξ′k。 9.根据权利要求1所述的一种基于中国剩余定理 的区块链无证书聚合签密密钥协商方 法， 其特征在于， 签密时， 以<par,M, σTA,PIDs,PIDr,SKs,PKr>作为输入， 其中PIDs＝(PIDs,1, PIDs,2)和SKs为发送者s的假名和私钥， PIDr＝(PIDr,1,PIDr,2)和PKr为接收者r的假名和公 钥， 并且： 对于单个消息签密： 当接收到σTA后， 发送者s首先利用TA的公钥解密， 得到ξk和Zk， 然后 通过计算zk＝ξk modμs得到此刻的域密钥zk， 通过已知的参数计算h3＝H3(PIDs,1,PIDs,2,权　利　要　求　书 2/3 页 3 CN 115473631 A 3