CN106921638A

CN106921638A - 一种基于非对称加密的安全装置

Info

Publication number: CN106921638A
Application number: CN201511001018.4A
Authority: CN
Inventors: 郭宝安; 苏斌; 王素玲; 张庆胜
Original assignee: Aisino Corp
Current assignee: Aisino Corp
Priority date: 2015-12-28
Filing date: 2015-12-28
Publication date: 2017-07-04
Anticipated expiration: 2035-12-28
Also published as: CN106921638B

Abstract

本发明涉及安全领域，公开了一种基于非对称加密的安全装置。该安全装置包括：大数运算模块，进行加、减、乘、除、模加、模减、模乘以及模幂运算；ECC运算模块，进行ECC的普加、倍加和点乘运算；扩域元素运算模块，进行扩域元素的模加、模减、模乘以及模幂运算；扩域ECC运算模块，进行扩域ECC的普加、倍加和点乘运算；ECC配对运算模块，进行集合映射；SM9加密算法协议模块，根据SM9加密算法并利用大数运算模块、ECC运算模块、扩域元素运算模块、扩域ECC运算模块、以及ECC配对运算模块进行加密、解密、签名验证以及密钥交换。本发明采用椭圆曲线加密算法，并且可以支持国家密码管理局发布加密算法SM2和SM9，能够满足用户在不同场景下的安全使用需求。

Description

一种基于非对称加密的安全装置

技术领域

本发明涉及安全领域，具体地，涉及一种基于国密SM2算法和SM9算法的非对称安全装置。

背景技术

非对称加密算法采用公钥和私钥两个密钥来进行加密和解密。由于其采用两个不同的密钥，而且可以将公钥公开，便于他人向私钥拥有者发送加密信息而不用担心密钥泄漏。与非对称加密算法的相对的对称加密算法，发送方和接收方必须使用相同的密钥，因此任何一方泄漏密钥就会导致密钥泄漏，因而密钥泄漏风险相对较大。

非对称加密算法自从RSA成功应用以来已经得到了广泛的研究。椭圆曲线加密算法是非对称加密算法的一种，目前也已经得到了广泛的应用。我国目前已经基于椭圆曲线加密算法公布了SM2和SM9两种算法。SM2是国家密码管理局于2010年12月发布的椭圆曲线加密算法(ECC)，相比于国际上的ECC标准，SM2算法采用了更安全的机制，并推荐了一条256位的曲线作为标准曲线。SM9是国家密码管理局于2007年12月发布的标识密码算法(IBC)，SM9算法采用更高的安全性，并可以有多种安全曲线选择的可能，算法自主设计，其先进性达到了国际水平。SM2算法是PKI的关键技术，可以实现强身份认证。SM9算法方便易用，属于轻量级公钥密码算法。另外，SM2算法和SM9算法融合使用可以解决特定应用场景的安全问题。研发一款既支持SM2算法又支持SM9算法的智能密码钥匙有着现实需求和重要意义。

发明内容

本发明的目的是提供一种基于椭圆曲线加密算法ECC的非对称安全装置，以实现基于椭圆曲线加密算法的装置。

为了实现上述目的，本发明提供了一种基于非对称加密的安全装置，该安全装置包括：大数运算模块，用于进行加、减、乘、除、模加、模减、模乘以及模幂运算；ECC运算模块，用于进行ECC的普加、倍加和点乘运算；扩域元素运算模块，用于进行扩域元素的模加、模减、模乘以及模幂运算；扩域ECC运算模块，用于进行扩域ECC的普加、倍加和点乘运算；ECC配对运算模块，用于进行集合映射；SM9加密算法协议模块，用于根据SM9加密算法并利用大数运算模块、ECC运算模块、扩域元素运算模块、扩域ECC运算模块、以及ECC配对运算模块进行加密、解密、签名验证以及密钥交换；其中所述大数运算模块的输出作为所述扩域元素运算模块的输入，所述扩域元素运算模块的输出作为扩域ECC运算模块的输入，所述扩域ECC运算模块的输出作为所述ECC配对运算模块的输入。

优选地，该非对称安全装置还包括SM2加密算法协议模块，用于根据SM2加密算法并利用ECC运算模块以及大数运算模块进行加密、解密、签名验证以及密钥交换。

优选地，该非对称安全装置还包括USB通信模块，用于发送或接收加密或解密的数据。

优选地，该非对称安全装置还包括硬件接口模块，用于进行密码运算、产生随机数以及访问闪存。

优选地，该非对称安全装置还包括管理模块，用于进行安全管理、命令管理、文件管理以及文件访问控制管理。

优选地，所述安全管理包括身份认证管理、安全状态认证管理以及掉电保护管理。

优选地，所述命令管理包括基本命令管理以及PKI命令管理。

优选地，所述文件访问控制管理包括创建文件管理、删除文件管理、读文件管理、写文件管理以及查找文件管理。

本发明提供的安全装置采用椭圆曲线加密算法，并且可以支持国家密码管理局发布的加密算法SM2和SM9，能够满足用户在不同场景下的安全使用需求。

本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。在附图中：

图1是本发明提供的基于SM9的安全装置示意图；

图2是本发明提供的基于SM9以及SM2的安全装置示意图；

图3是本发明提供的管理模块、USB通信模块以及硬件接口模块的功能示意图。

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

图1示出了本发明提供的基于SM9算法的安全装置示意图，具体包括大数运算模块、ECC运算模块、扩域元素运算模块、扩域ECC运算模块、ECC配对运算模块、以及SM9加密算法协议模块。其中，大数运算模块，用于进行加、减、乘、除、模加、模减、模乘以及模幂运算；ECC运算模块，用于进行ECC的普加、倍加和点乘运算；扩域元素运算模块，用于进行扩域元素的模加、模减、模乘以及模幂运算；扩域ECC运算模块，用于进行扩域ECC的普加、倍加和点乘运算；ECC配对运算模块，用于进行集合映射；SM9加密算法协议模块，用于根据SM9加密算法并利用大数运算模块、ECC运算模块、扩域元素运算模块、扩域ECC运算模块、以及ECC配对运算模块进行加密、解密、签名验证以及密钥交换；其中所述大数运算模块的输出作为所述扩域元素运算模块的输入，所述扩域元素运算模块的输出作为扩域ECC运算模块的输入，所述扩域ECC运算模块的输出作为所述ECC配对运算模块的输入。

如上所述，基于大数运算和ECC运算，可以实现SM9相关的运算。现有技术中尚无实现标识密码SM9算法相关的协处理器。本领域技术人员可以根据上述的安全装置通过硬件来实现基于SM9算法的安全装置，也可以通过嵌入式开发，采用诸如CodeWarrior IDE开发工具，调用大数运算和ECC运算，程序实现SM9相关运算。基于大数运算，程序实现扩域元素的运算，包括扩域元素的模加、模减、模乘和模幂。基于大数运算和扩域元素运算，程序实现扩域ECC运算，包括扩域ECC上点的普加、倍加和点乘。基于大数运算、扩域元素运算和扩域ECC运算，程序实现ECC配对运算。最后，基于大数运算、ECC运算、扩域元素运算、扩域ECC运算和ECC配对运算，可以程序实现IBC/SM9密码协议，包括IBC/SM9的加密解密、签名验证和密钥交换协议。

SM9加密算法是基于身份的密码技术。身份可以是用户唯一身份标识，如电子邮箱地址、手机号、税号等直接作为系统中用户的公钥信息，因而避免了繁琐的数字证书管理问题。在2001年，基于椭圆曲线和Weil配对数学理论，斯坦福大学计算机科学技术系的教授Dan Boneh和加州大学戴维斯分院的教授Matt Franklin分别发明了具体可实施的IBC方案，简称BF-IBC算法。

基于身份密码相关的简称有IBE、IBC和SM9。IBE为Identity-basedEncryption的缩写，意为基于身份的加密；IBC为Identity-based Cryptograph，意为基于身份的密码体制；SM9是中国密码管理局在2007年制定的IBC技术标准规范，其完整名称为基于对的标识密码算法。BF-IBC算法基于椭圆曲线密码技术和双线性配对的数学理论。BF-IBC算法的安全性基于椭圆曲线离散对数问题(ECDLP)的困难性。

下面通过示例来说明使用IBC技术进行加解密的过程，其中发送方为Alice，接收方为Bob。

为了对传送给Bob的信息进行加密，Alice选择随机数r并且计算k：k＝ê(rQ_IDBob,sP)，接着用k发送密文E_k[Message]和rP给Bob。

Bob接收后，通过计算得到的数值k：k＝ê(sQ_IDBob,rP)，接着用k解密E_k[Message]，得到明文，只有Bob知道自己的私钥sQ_IDBob，别的用户得不到k值。

上述加解密过程中，s是主密钥，P和sP都是系统公共参数，ID_Bob是接收方Bob的身份信息所对应的曲线上的点，在安全电子邮件中，就是Bob的Email地址，Q_IDBob是身份信息对应的曲线上的点，E_k[Message]表示利用k和对称密码算法加密明文，sQ_IDBob是用户Bob的私钥信息。

此外，上述的安全装置可以结合USB通信模块来实现USB钥匙，USB通信模块可以用于发送或接收加密或解密的数据。

为了同时在同一个安全装置中还实现SM2算法，本发明可以通过复用大数运算模块以及ECC运算模块以及增加SM2加密算法协议模块来实现。同时实现SM9和SM2算法的安全装置如图2所示。基于大数运算可以实现ECC运算和ECC/SM2协议运算，ECC运算包括椭圆曲线上点的普加、倍加和点乘运算，ECC/SM2协议运算包括加密解密、签名验证和密钥交换协议的运算。较佳的，可以选取一款支持ECC/SM2算法的密码芯片，通过硬件计算ECC运算和ECC/SM2协议运算，以获取更快速度和更高效率。此外，也可以通过嵌入式开发，采用诸如CodeWarrior IDE开发工具，调用底层硬件大数运算接口，程序实现ECC运算和ECC/SM2协议运算。

下面说明SM2加密算法的加密过程、解密过程以及签名验算过程，其中涉及一条定义在有限域F上符合安全需求的椭圆曲线E，它的基点是G，基点的阶是n。信息发送方A的私钥为d_A，公钥为P_A＝d_AG；信息接收方B的私钥为d_B，公钥为P_B＝d_BG。

加密算法：

设需要发送的消息为比特串M，klen为M的比特长度。为了对明文M进行加密，作为加密者的用户A应实现以下运算步骤：

A1：用随机数发生器产生随机数k∈[1,n-1]；

A2：计算椭圆曲线点C₁＝[k]G＝(x₁,y₁)，按SM2算法文本第1部分4.2.8和4.2.4给出的细节，将C₁的数据类型转换为比特串；

A3：计算椭圆曲线点S＝[h]P_B，若S是无穷远点，则报错并退出；

A4：计算椭圆曲线点[k]P_B＝(x₂,y₂)，按本文本第1部分4.2.5和4.2.4给出的细节，将坐标x₂、y₂的数据类型转换为比特串；

A5：按SM2算法文本第4部分5.4.3给出的密钥派生函数，计算t＝KDF(x₂||y₂,klen)，若t为全0比特串，则返回A1；

A6：计算C₂＝M⊕t；

A7：计算C₃＝Hash(x₂||M||y₂)；

A8：输出密文C＝C₁||C₂||C₃。

解密算法：

设klen为密文中C₂的比特长度。

为了对密文C＝C₁||C₂||C₃进行解密，作为解密者的用户B应实现以下运算步骤：

B1：从C中取出比特串C₁，按SM2算法文本第1部分4.2.3和4.2.9给出的细节，将C₁的数据类型转换为椭圆曲线上的点，验证C₁是否满足椭圆曲线方程，若不满足则报错并退出；

B2：计算椭圆曲线点S＝[h]C₁，若S是无穷远点，则报错并退出；

B3：计算[d_B]C₁＝(x₂,y₂)，按本文本第1部分4.2.5和4.2.4给出的细节，将坐标x₂、y₂的数据类型转换为比特串；

B4：按SM2算法文本第4部分5.4.3给出的密钥派生函数，计算t＝KDF(x₂||y₂,klen)，若t为全0比特串，则报错并退出；

B5：从C中取出比特串C₂，计算M′＝C₂⊕t；

B6：计算u＝Hash(x₂||M′||y₂)，从C中取出比特串C₃，若u≠C₃，则报错并退出；

B7：输出明文M′。

SM2签名验证算法

作为签名者的用户A具有长度为entlen_A比特的可辨别标识ID_A，记ENTL_A是由整数entlen_A转换而成的两个字节，在规定的椭圆曲线数字签名算法中，签名者和验证者都需要用密码杂凑函数求得用户A的杂凑值Z_A。按SM2算法文本第1部分4.2.5和4.2.4给出的细节，将椭圆曲线方程参数a、b、G的坐标x_G、y_G和P_A的坐标x_A、y_A的数据类型转换为比特串，Z_A＝H₂₅₆(ENTL_A||ID_A||a||b||x_G||y_G||x_A||y_A)。

设待签名的消息为M，为了获取消息M的数字签名(r,s)，作为签名者的用户A应实现以下运算步骤：

A1：置

A2：计算按SM2算法文本第1部分4.2.3和4.2.2给出的细节将e的数据类型转换为整数；

A3：用随机数发生器产生随机数k∈[1,n-1]；

A4：计算椭圆曲线点(x₁,y₁)＝[k]G，按SM2算法文本第1部分4.2.7给出的细节将x₁的数据类型转换为整数；

A5：计算r＝(e+x₁)mod n，若r＝0或r+k＝n则返回A3；

A6：计算s＝((1+d_A)^-1·(k-r·d_A))mod n，若s＝0则返回A3；

A7：按SM2算法文本第1部分4.2.1给出的细节将r、s的数据类型转换为字节串，消息M的签名为(r,s)。

为了检验收到的消息M′及其数字签名(r′,s′)，作为验证者的用户B应实现以下运算步骤：

B1：检验r′∈[1,n-1]是否成立，若不成立则验证不通过；

B2：检验s′∈[1,n-1]是否成立，若不成立则验证不通过；

B3：置

B4：计算按SM2算法文本第1部分4.2.3和4.2.2给出的细节将e′的数据类型转换为整数；

B5：按SM2算法文本第1部分4.2.2给出的细节将r′、s′的数据类型转换为整数，计算t＝(r′+s′)mod n，若t＝0，则验证不通过；

B6：计算椭圆曲线点(x₁′,y₁′)＝[s′]G+[t]P_A；

B7：按SM2算法文本第1部分4.2.7给出的细节将x₁′的数据类型转换为整数，计算R＝(e′+x₁′)mod n，检验R＝r′是否成立，若成立则验证通过；否则验证不通过。

同样地，也可以通过复用USB通信模块实现支持SM9和SM2算法的USB钥匙。

优选地，可以基于标准的外部接口，包括加密、解密、签名和验证，实现PKCS11国际标准和CSP微软标准支持SM2算法，进而实现智能密码钥匙支持基于SM2算法的X509数字证书。

在PKCS11中，可以将SM2的公私钥打包成一个特有的数据结构对象，可以由用户创建临时会话对象进行算法操作，也可以由用户将公私钥对象写入智能密码钥匙之中，在使用密钥的权限方面，需要校验用户或管理员口令。加入SM2算法机制，并检验SM2算法的标识，在不同的密钥模板、密文模板、签名模板和验签模板里，模板再通过属性链表来管理，根据SM2算法特性，进行优化存储和数据组织。通过这种实现方式，可以获取对象的某个属性和增加删除某个属性。在运算过程中，PKCS11会根据会话模板中临时存储的数据和硬件设备中的数据进行调度，以达到运算时的最大性能。

在CSP的实现中，需要重点考虑密钥生成、明文或密文方式导入导出密钥、进行加密解密、签名验签操作和SM3的摘要操作。密钥生成时，会根据所在容器的名称和属性，将SM2公私钥放在特定的BLOB对象中。明文导入或导出密钥时，SM2公私钥分别各自的BLOB格式直接导入或临时导入到硬件容器中。密文导入时，会用相应的对称密钥句柄(事先导入的对称密钥明文或用公私加密的对称密钥密文产生)导入加密过的公钥或私钥密文。导出密钥时，可以通过私钥来直接计算出公钥，并以明文或者密文的方式导出。加解密过程时，需要先从容器中提取出密钥句柄，再进行运算操作，此处公钥可以是明文方式存储在内存中。签名和验签时，在SM3摘要运算中，先把Z值计算出来，存储在CSP层。当需要私钥来签名时，将其提取出来，进行签名和验签运算。签名操作同时需要用户权限管理。

X509格式的证书，可以用OpenSSL的函数来提取出版本、序列号、签名算法、颁发者、有效期、使用者、公钥、密钥用法等字段信息。对于SM2格式的证书，只需通过算法标识、公钥位数、签名算法等信息来区别于普通RSA算法格式的证书。根据国家密码管理局的规定，SM2证书中签名算法OID为1.2.156.10197.1.501，公钥算法的OID为1.2.840.10045.2.1，目前大部分的厂商并不识别这两个算法，能识别的系统直接显示的是SM2算法。SM2证书在Windows系统上，可以通过查看证书属性中的签名算法和公钥算法来判断是否为SM2的证书。

为了对安全装置进行管理，本发明中还提供了管理模块，用于进行安全管理、命令管理、文件管理以及文件访问控制管理。在通过嵌入式系统实现加密算法的过程中，为了加快运算速度，需要调用底层的硬件单元，因此本发明提供了硬件接口模块，用于进行密码运算、产生随机数以及访问闪存。硬件接口模块主要封装了芯片硬件模块的功能，为别的模块提供产生随机数接口、密码运算接口和读写NORFLASH接口。

图3示出了本发明提供的管理模块、USB通信模块以及硬件接口模块的功能示意图。管理模块可以包括命令管理模块、文件访问控制和文件管理模块、安全管理模块。PC端通过USB接口给智能密码钥匙发送命令，智能密码钥匙的通信模块接收到命令后，把命令头和命令数据送给命令管理模块，由命令管理模块负责解析和执行命令，并把响应数据和状态返回给通信模块，通信模块再发送给PC端。命令管理模块可以用于进行基本命令管理以及PKI命令管理，例如调用安全管理模块、文件访问控制和文件管理模块。安全管理模块可以用于进行身份认证管理、安全状态认证管理和/或掉电保护管理。文件管理模块可以用于创建文件管理、删除文件管理、读文件管理、写文件管理和/或查找文件管理。文件访问控制和文件管理模块实现文件系统功能，并为别的模块提供文件访问接口。文件系统的设计包括文件结构、文件类型、文件标识、文件权限和文件查询。文件系统提供的文件访问接口包括：创建文件、删除文件、打开文件、关闭文件、读文件、写文件和查找文件。

以上结合附图详细描述了本发明的优选实施方式，但是，本发明并不限于上述实施方式中的具体细节，在本发明的技术构思范围内，可以对本发明的技术方案进行多种简单变型，这些简单变型均属于本发明的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本发明对各种可能的组合方式不再另行说明。

此外，本发明的各种不同的实施方式之间也可以进行任意组合，只要其不违背本发明的思想，其同样应当视为本发明所公开的内容。

Claims

1.一种基于非对称加密的安全装置，其特征在于，该安全装置包括：

大数运算模块，用于进行加、减、乘、除、模加、模减、模乘以及模幂运算；

ECC运算模块，用于进行ECC的普加、倍加和点乘运算；

扩域元素运算模块，用于进行扩域元素的模加、模减、模乘以及模幂运算；

扩域ECC运算模块，用于进行扩域ECC的普加、倍加和点乘运算；

ECC配对运算模块，用于进行集合映射；

SM9加密算法协议模块，用于根据SM9加密算法并利用大数运算模块、ECC运算模块、扩域元素运算模块、扩域ECC运算模块、以及ECC配对运算模块进行加密、解密、签名验证以及密钥交换；

其中所述大数运算模块的输出作为所述扩域元素运算模块的输入，所述扩域元素运算模块的输出作为扩域ECC运算模块的输入，所述扩域ECC运算模块的输出作为所述ECC配对运算模块的输入。

2.根据权利要求1所述的安全装置，其特征在于，该非对称安全装置还包括SM2加密算法协议模块，用于根据SM2加密算法并利用ECC运算模块以及大数运算模块进行加密、解密、签名验证以及密钥交换。

3.根据权利要求1或2所述的安全装置，其特征在于，该非对称安全装置还包括USB通信模块，用于发送或接收加密或解密的数据。

4.根据权利要求1或2所述的安全装置，其特征在于，该非对称安全装置还包括硬件接口模块，用于进行密码运算、产生随机数以及访问闪存。

5.根据权利要求1或2所述的安全装置，其特征在于，该非对称安全装置还包括管理模块，用于进行安全管理、命令管理、文件管理以及文件访问控制管理。

6.根据权利要求5所述的安全装置，其特征在于，所述安全管理包括身份认证管理、安全状态认证管理以及掉电保护管理。

7.根据权利要求5所述的安全装置，其特征在于，所述命令管理包括基本命令管理以及PKI命令管理。

8.根据权利要求5所述的安全装置，其特征在于，所述文件访问控制管理包括创建文件管理、删除文件管理、读文件管理、写文件管理以及查找文件管理。