CN108418686B - 一种多分布式的sm9解密方法与介质及密钥生成方法与介质 - Google Patents

Abstract

本发明公开了一种多分布式的SM9解密方法与介质及密钥生成方法，多个通信方在不泄漏自己的部分加密密钥，无法获得完整的加密密钥的情况下共同完成对消息的解密过程。其技术方案为：密钥生成中心(KGC)为参与SM9解密系统的通信方生成对应的部分密钥。收到密钥后，第n通信方A_n计算第一个临时变量

并返回给A_n‑1。A_n‑1收到w₁后，计算第二个临时变量

并返回给A_n‑2，如此继续下去，直到A₁收到w_n‑1后，计算第n个临时变量

并按加密明文的方法分类进行解密计算，最终输出明文M′。

Description

一种多分布式的SM9解密方法与介质及密钥生成方法与介质

技术领域

本发明涉及密码技术领域，尤其涉及基于多方共同产生SM9解密方法及介质。

背景技术

随着科学技术的飞速发展，物联网等网络平台为大数据的存储和传输提供了强大的计算平台，也为人们的日常生活提供了便利。但是，数据的安全和隐私问题成为人们高度关注的问题。在大数据环境中，既能实现消息安全存储、传输以及使用，又能防止消息泄漏、保证消息的完整性、保密性是一个巨大的挑战。

基于公钥密码学的数字签名和加解密技术是实现消息机密性、完整性和不可否认性的关键技术，已经广泛应用于网络通信、电子商务和电子政务等领域。但是其安全性主要取决于对密钥的保护，一旦密钥泄露则安全性无从谈起。秘密共享为解决密钥管理问题提供了一个崭新的思路，在秘密数据的安全存储及传输中起着关键作用。秘密共享采用一种算法将秘密分割成若干份额，只有将一定数量的份额放在一起，秘密才可以通过一定的算法重构出来，而少于这个数量的份额无法重构秘密，这个数量被称作门限。在(t,n)门限签名方案中，秘密被分割成n份，即使攻击者窃取了t-1个份额，也无法生成有效签名。

但是，上述算法的实现通常需要大量的双线性对和指数运算，而这些运算对于资源受限的用户而言将是一个巨大的计算负担。

因此，现有的密钥分割大多数安全防护性较差，而现有的解密方案往往交互次数较多，用户的计算复杂度比较高，不能满足大数据环境中要求的低延时、少交互的应用需求。

发明内容

以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览，并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。

本发明的目的在于解决上述问题，提供了一种多分布式的SM9解密方法与介质及密钥生成方法，多个通信方在不泄漏自己的部分加密密钥，无法获得完整的加密密钥的情况下共同完成对消息的解密过程。

本发明的技术方案为：本发明揭示了一种密钥生成方法，包括：

步骤1：密钥生成中心计算一个临时变量t₁＝H₁(ID||hid,q)+ke，若t₁＝0则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的加密密钥，否则计算第二个临时变量

其中

表示t₁模q的逆元，即

其中ke表示主私钥，hid是密钥生成中心选择公开用一个字节表示的加密密钥生成函数识别符，q是循环群的阶且q＞2¹⁹¹为素数，ID是用户的身份标识符，H₁()表示由密码杂凑函数派生的密码函数；

步骤2：密钥生成中心随机选择d₁,d₂,...,d_n-1∈[1,q-1]，计算

其中

表示d_i模q的逆元，即

其中[1,q-1]表示不小于1且不大于q-1的整数的集合；

步骤3：密钥生成中心设置第一部分加密密钥

第二部分加密密钥

以此类推，第n-1部分加密密钥

第n部分加密密钥

其中P₂表示阶为素数q的加法循环群G₂的生成元，[d_n]P₂是生成元 P₂的d_n倍；

步骤4：用户把

存储到设备A_i中。

根据本发明的密钥生成方法的一实施例，在步骤1之前还包括系统初始化阶段：

密钥生成中心选择选择随机数ke∈[1,q-1]作为主私钥，计算P_pub-e＝[ke]P₁作为加密主公钥，密钥生成中心秘密保存主私钥ke，公开P_pub-e，且密钥生成中心选择公开用一个字节表示的加密密钥生成函数识别符hid，其中P₁是阶为素数q 的加法循环群G₁的生成元，[ke]P₁是生成元P₁的ke倍。

本发明还揭示了一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序执行以下的步骤：

步骤1：密钥生成中心计算一个临时变量t₁＝H₁(ID||hid,q)+ke，若t₁＝0则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的加密密钥，否则计算第二个临时变量

其中

表示t₁模q的逆元，即

其中ke表示主私钥，hid是密钥生成中心选择公开用一个字节表示的加密密钥生成函数识别符，q是循环群的阶且q＞2¹⁹¹为素数，ID是用户的身份标识符，H₁()表示由密码杂凑函数派生的密码函数；

步骤2：密钥生成中心随机选择d₁,d₂,...,d_n-1∈[1,q-1]，计算

其中

表示d_i模q的逆元，即

其中[1,q-1]表示不小于1且不大于q-1的整数的集合；

步骤3：密钥生成中心设置第一部分加密密钥

第二部分加密密钥

以此类推，第n-1部分加密密钥

第n部分加密密钥

其中P₂表示阶为素数q的加法循环群G₂的生成元，[d_n]P₂是生成元 P₂的d_n倍；

步骤4：用户把

存储到设备A_i中。

根据本发明的计算机存储介质的一实施例，运行计算机程序执行的步骤还包括在步骤1之前的系统初始化阶段：

密钥生成中心选择选择随机数ke∈[1,q-1]作为主私钥，计算P_pub-e＝[ke]P₁作为加密主公钥，密钥生成中心秘密保存主私钥ke，公开P_pub-e，且密钥生成中心选择公开用一个字节表示的加密密钥生成函数识别符hid，其中P₁是阶为素数q 的加法循环群G₁的生成元，[ke]P₁是生成元P₁的ke倍。

本发明还揭示了一种多分布式的SM9解密方法，包括：

步骤1：第n通信方A_n从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则， A_n计算第一个临时变量

并将w₁发送给A_n-1，其中密文 C＝C₁||C₃||C₂，C₁、C₂、C₃为比特串，G₁为阶q为素数的加法循环群，

为密钥生成中心设置的第n部分加密密钥，e(·,·)表示G₁×G₂→G_T的双线性映射， G₁,G₂为阶是素数q的加法循环群，G_T为阶是素数q的乘法循环群；

步骤2：第n-1通信方A_n-1收到w₁后，计算第二个临时变量

并将w₂发送给第n-2通信方A_n-2，其中

为密钥生成中心设置的第n-1部分加密密钥，

表示w₁的

次幂，即

步骤3：第n-2通信方A_n-2收到w₂后，计算第三个临时变量

并将w₃发送给第n-3通信方A_n-3，其中

为密钥生成中心设置的第n-2部分加密密钥；

步骤4：以此类推，第2通信方A₂收到w_n-2后，计算第n-1个临时变量

并将w_n-1发送给第1通信方A₁，其中

为密钥生成中心设置的第 2部分加密密钥；

步骤5：第1通信方A₁收到w_n-1后，计算第n个临时变量

并将w_n的数据类型转换为比特串，第1通信方A₁按加密明文的方法分类进行解密计算。

根据本发明的多分布式的SM9解密方法的一实施例，步骤5的按加密明文的方法分类进行解密计算进一步包括：

若加密明文的方法是基于密钥派生函数KDF(·)的序列密码算法，则计算 klen＝mlen+K₂_len，然后计算K'＝KDF(C₁||w_n||ID,klen)，设K₁′为K′前mlen比特， K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出，否则计算

其中mlen是密文C的比特长度，K_{2_}len是消息认证码函数 MAC(K₂,Z)中密钥K₂的比特长度，ID表示作为解密者的用户的标识，可以唯一确定用户的公钥，Z表示待求取消息认证码的消息数据比特串；

若加密明文的方法是基于密钥派生函数KDF(·)的分组密码算法，则计算 klen＝K_{1_}len+K_{2_}len，然后计算K'＝KDF(C₁||w_n||ID,klen)，设K₁′为K′前K_{1_}len比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出，否则计算M′＝Dec(K₁′,C₂)，其中K_{1_}len是分组密码算法Dec(·)中密钥K₁的比特长度， klen表示输出的比特串长度，取值为预先设定；

之后计算u＝MAC(K₂′,C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出，否则输出明文M′。

本发明还揭示了一种计算机存储介质，存储有计算机程序，运行计算机程序后执行如下的步骤：

步骤1：第n通信方A_n从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则， A_n计算第一个临时变量

并将w₁发送给A_n-1，其中密文 C＝C₁||C₃||C₂，C₁、C₂、C₃为比特串，G₁为阶q为素数的加法循环群，

为密钥生成中心设置的第n部分加密密钥，e(·,·)表示G₁×G₂→G_T的双线性映射， G₁,G₂为阶是素数q的加法循环群，G_T为阶是素数q的乘法循环群；

步骤2：第n-1通信方A_n-1收到w₁后，计算第二个临时变量

并将w₂发送给第n-2通信方A_n-2，其中

为密钥生成中心设置的第n-1部分加密密钥，

表示w₁的

次幂，即

步骤3：第n-2通信方A_n-2收到w₂后，计算第三个临时变量

并将w₃发送给第n-3通信方A_n-3，其中

为密钥生成中心设置的第n-2部分加密密钥；

步骤4：以此类推，第2通信方A₂收到w_n-2后，计算第n-1个临时变量

并将w_n-1发送给第1通信方A₁，其中

为密钥生成中心设置的第 2部分加密密钥；

步骤5：第1通信方A₁收到w_n-1后，计算第n个临时变量

并将w_n的数据类型转换为比特串，第1通信方A₁按加密明文的方法分类进行解密计算。

根据本发明的计算机存储介质的一实施例，运行计算机程序执行的步骤5 的按加密明文的方法分类进行解密计算进一步包括：

若加密明文的方法是基于密钥派生函数KDF(·)的序列密码算法，则计算 klen＝mlen+K_{2_}len，然后计算K'＝KDF(C₁||w_n||ID,klen)，设K₁′为K′前mlen比特， K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出，否则计算

其中mlen是密文C的比特长度，K_{2_}len是消息认证码函数 MAC(K₂,Z)中密钥K₂的比特长度，ID表示作为解密者的用户的标识，可以唯一确定用户的公钥，Z表示待求取消息认证码的消息数据比特串；

若加密明文的方法是基于密钥派生函数KDF(·)的分组密码算法，则计算 klen＝K_{1_}len+K_{2_}len，然后计算K'＝KDF(C₁||w_n||ID,klen)，设K₁′为K′前K_{1_}len比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出，否则计算M′＝Dec(K₁′,C₂)，其中K_{1_}len是分组密码算法Dec(·)中密钥K₁的比特长度， klen表示输出的比特串长度，取值为预先设定；

计算u＝MAC(K₂′,C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出，否则输出明文M′。

本发明对比现有技术有如下的有益效果：SM9标识密码算法是一种基于双线性对的标识密码算法，它可以把用户的身份标识用以生成用户的公、私密钥对。SM9的应用与管理不需要数字证书、证书库或密钥库，主要用于数字签名、数据加密、密钥交换以及身份认证等，该算法于2015年发布为国家密码行业标准(GM/T 0044-2016)。基于SM9标识密码算法，本发明中的密钥生成中心 (KGC)为参与SM9解密系统的通信方生成对应的部分密钥。收到密钥后，第n通信方A_n计算第一个临时变量

并返回给A_n-1。A_n-1收到w₁后，计算第二个临时变量

并返回给A_n-2，如此继续下去，直到A₁收到w_n-1后，计算第n个临时变量

并按加密明文的方法分类进行解密计算，最终输出明文M′。

因此，本发明设计了一种多方分布式SM9解密方法与系统，假设有n个通信方，此方案必须在n个通信方协同利用自己的部分私钥共同协作解密，才能的到最终的计算结果，同时保证了私钥的安全性。相较于现有技术，本发明不仅降低了用户的计算复杂度，同时提高了密钥的安全性。

附图说明

在结合以下附图阅读本公开的实施例的详细描述之后，能够更好地理解本发明的上述特征和优点。在附图中，各组件不一定是按比例绘制，并且具有类似的相关特性或特征的组件可能具有相同或相近的附图标记。

图1示出了本发明的密钥生成方法的一实施例的流程图。

图2示出了本发明的多分布式的SM9解密方法的一实施例的流程图。

图3示出了本发明的多分布式的SM9解密方法的一实施例的示意图。

具体实施方式

以下结合附图和具体实施例对本发明作详细描述。注意，以下结合附图和具体实施例描述的诸方面仅是示例性的，而不应被理解为对本发明的保护范围进行任何限制。

在开始描述本发明的实施例的技术方案之前，先列出在下述描述中会出现的符号及其定义。

KGC：密钥生成中心。是一个可信机构，主要负责生成系统参数、主私钥以及加密密钥。

KDF(·)：密钥派生函数。

MAC(·)：消息认证码函数。

G₁,G₂：阶为素数q的加法循环群。

G_T：阶为素数q的乘法循环群。

e：从G₁×G₂到G_T的双线性对。

g^u：乘法群G_T中g的u次幂，即

其中u是正整数。

H₁(·),H₂(·)：由{0,1}^*到

的密码杂凑函数。

ID_C：通信方C的标识，可以唯一确定通信方C的公钥。

通信方C的加密密钥。

modq：模q运算。例如，27(mod5)≡2。

q：循环群G₁,G₂和G_T的阶，且q＞2¹⁹¹为素数。

P₁，P₂：分别是群G₁和G₂的生成元。

[u]P：加法群G₁,G₂中元素P的u倍。

x||y：x与_y的拼接，其中x和y是比特串或字节串。

[x,y]：不小于x且不大于y的整数的集合。

本发明的密钥生成方法的实施例如图1所示，以下是对密钥生成方法的各步骤的详细描述。

步骤S11：KGC计算一个临时变量t₁＝H₁(ID||hid,q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的加密密钥；否则，计算第二个临时变量

其中

表示t₁模q的逆元，即

其中在步骤S11之前的系统初始化阶段，KGC选择随机数ke∈[1,q-1]作为主私钥，计算P_pub-e＝[ke]P₁作为加密主公钥。KGC秘密保存ke，公开P_pub-e。 KGC选择并公开用一个字节表示的加密密钥生成函数识别符hid。

步骤S12：KGC随机选择d₁,d₂,...,d_n-1∈[1,q-1]，计算

其中

表示d_i模q的逆元，即

步骤S13：KGC设置第一部分加密密钥

第二部分加密密钥

以此类推，第n-1部分加密密钥

第n部分加密密钥

步骤S14：用户把

存储到设备A_i中。

此外，本发明还揭示了一种计算机存储介质，其上存有计算机程序，运行计算机程序以执行如前述实施例所述的密钥生成方法的各步骤。由于执行的步骤和前述实施例的相同，在此不再赘述。

本发明的多分布式的SM9解密方法的一实施例的流程如图2和图3所示，以下是对SM9解密方法的各步骤的详细描述。设密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K_{1_}len，函数MAC(K₂,Z)中密钥 K₂的比特长度为K_{2_}len。为了对密文C解密，n个通信方进行如下交互。

步骤S21：第n通信方A_n从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则， A_n计算第一个临时变量

并将w₁发送给A_n-1。

步骤S22：A_n-1收到w₁后，计算第二个临时变量

并将w₂发送给 A_n-2。

步骤S23：A_n-2收到w₂后，计算第三个临时变量

并将w₃发送给 A_n-3。

步骤S24：以此类推，A₂收到w_n-2后，计算第n-1个临时变量

并将w_n-1发送给A₁。

步骤S25：A₁收到w_n-1后，计算第n个临时变量

并将w_n的数据类型转换为比特串。A₁按加密明文的方法分类进行解密计算。

A₁按加密明文的方法分类进行解密计算的具体方式如下。

a)若加密明文的方法是基于密钥派生函数的序列密码算法，则

i.计算klen＝mlen+K_{2_}len，然后计算K'＝KDF(C₁||w_n||ID,klen)。设 K₁′为K′前mlen比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0 比特串，则报错并退出；

ii.否则，计算

b)若加密明文的方法是基于密钥派生函数的分组密码算法，则

i.计算klen＝K_{1_}len+K_{2_}len，然后计算K'＝KDF(C₁||w_n||ID,klen)。设K₁′为K′前K_{1_}len比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

ii.否则，计算M′＝Dec(K₁′,C₂)，其中Dec(·)为分组解密算法。

c)计算u＝MAC(K₂′,C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

d)否则，输出明文M′。

此外，本发明还揭示了一种计算机存储介质，其上存有计算机程序，运行计算机程序以执行如前述实施例所述的多分布式的SM9解密方法的各步骤。由于执行的步骤和前述实施例的相同，在此不再赘述。

本发明具有安全性高、通信代价小等优点，通信方在不泄漏各自密钥的前提下，必须共同参与才能完成对消息的完整解密。在基本操作运算中，双线性映射计算代价比较大，因此在本发明的方案中，双线性操作是由一个通信方来完成的，从而降低其他通信方的计算代价并减少了交互次数。

尽管为使解释简单化将上述方法图示并描述为一系列动作，但是应理解并领会，这些方法不受动作的次序所限，因为根据一个或多个实施例，一些动作可按不同次序发生和/或与来自本文中图示和描述或本文中未图示和描述但本领域技术人员可以理解的其他动作并发地发生。

本领域技术人员将进一步领会，结合本文中所公开的实施例来描述的各种解说性逻辑板块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性，各种解说性组件、框、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和施加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性，但这样的实现决策不应被解读成导致脱离了本发明的范围。

结合本文所公开的实施例描述的各种解说性逻辑板块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器，但在替换方案中，该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合，例如DSP 与微处理器的组合、多个微处理器、与DSP核心协作的一个或多个微处理器、或任何其他此类配置。

结合本文中公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中体现。软件模块可驻留在RAM 存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读取和写入信息。在替换方案中，存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中，处理器和存储介质可作为分立组件驻留在用户终端中。

在一个或多个示例性实施例中，所描述的功能可在硬件、软件、固件或其任何组合中实现。如果在软件中实现为计算机程序产品，则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者，其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定，这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM 或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合意程序代码且能被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如，如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来，则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟，其中盘(disk)往往以磁的方式再现数据，而碟(disc)用激光以光学方式再现数据。上述的组合也应被包括在计算机可读介质的范围内。

提供对本公开的先前描述是为使得本领域任何技术人员皆能够制作或使用本公开。对本公开的各种修改对本领域技术人员来说都将是显而易见的，且本文中所定义的普适原理可被应用到其他变体而不会脱离本公开的精神或范围。由此，本公开并非旨在被限定于本文中所描述的示例和设计，而是应被授予与本文中所公开的原理和新颖性特征相一致的最广范围。

Claims (6)

1.一种密钥生成方法，其特征在于，包括：

步骤1：密钥生成中心计算一个临时变量t₁＝H₁(ID||hid,q)+ke，若t₁＝0则重新产生主密钥，主密钥包括主公钥和主私钥，计算和公开主公钥，并更新已有用户的加密密钥，否则计算第二个临时变量

其中

表示t₁在模q群的逆元，即

其中ke表示主私钥，hid是密钥生成中心选择公开的用一个字节表示的加密密钥生成函数识别符，q是循环群的阶且q＞2¹⁹¹且q为素数，ID是用户的身份标识符，H₁()表示由密码杂凑函数派生的密码函数；

步骤2：密钥生成中心随机选择d₁,d₂,...,d_n-1∈[1,q-1]，计算

其中

表示d_i在模q群的逆元，即

其中[1,q-1]表示不小于1且不大于q-1的整数的集合；

步骤3：密钥生成中心设置第一部分加密密钥

第二部分加密密钥

以此类推，第n-1部分加密密钥

第n部分加密密钥

其中P₂表示阶为素数q的加法循环群G₂的生成元，[d_n]P₂是生成元P₂的d_n倍；

步骤4：用户把

存储到设备A_i中，其中

表示第i部分加密密钥，A_i表示设备i，i表示参与方的索引数。

2.根据权利要求1所述的密钥生成方法，其特征在于，在步骤1之前还包括系统初始化阶段：

密钥生成中心选择选择随机数ke∈[1,q-1]作为主私钥，计算P_pub-e＝[ke]P₁作为主公钥，密钥生成中心秘密保存主私钥ke，公开P_pub-e，且密钥生成中心选择公开用一个字节表示的加密密钥生成函数识别符hid，其中P₁是阶为素数q的加法循环群G₁的生成元，[ke]P₁是生成元P₁的ke倍。

3.一种计算机存储介质，其特征在于，存储有计算机程序，处理器运行所述计算机程序以执行以下的步骤：

步骤1：密钥生成中心计算一个临时变量t₁＝H₁(ID||hid,q)+ke，若t₁＝0则重新产生主密钥，主密钥包括主公钥和主私钥，计算和公开主公钥，并更新已有用户的加密密钥，否则计算第二个临时变量

其中

表示t₁在模q群的逆元，即

其中ke表示主私钥，hid是密钥生成中心选择公开用一个字节表示的加密密钥生成函数识别符，q是循环群的阶且q＞2¹⁹¹且q为素数，ID是用户的身份标识符，H₁()表示由密码杂凑函数派生的密码函数；

步骤2：密钥生成中心随机选择d₁,d₂,...,d_n-1∈[1,q-1]，计算

其中

表示d_i在模q群的逆元，即

其中[1,q-1]表示不小于1且不大于q-1的整数的集合；

步骤3：密钥生成中心设置第一部分加密密钥

第二部分加密密钥

以此类推，第n-1部分加密密钥

第n部分加密密钥

其中P₂表示阶为素数q的加法循环群G₂的生成元，[d_n]P₂是生成元P₂的d_n倍；

步骤4：用户把

存储到设备A_i中，其中

表示第i部分加密密钥，A_i表示设备i，i表示参与方的索引数。

4.根据权利要求3所述的计算机存储介质，其特征在于，运行计算机程序执行的步骤还包括在步骤1之前的系统初始化阶段：

密钥生成中心选择选择随机数ke∈[1,q-1]作为主私钥，计算P_pub-e＝[ke]P₁作为主公钥，密钥生成中心秘密保存主私钥ke，公开P_pub-e，且密钥生成中心选择公开用一个字节表示的加密密钥生成函数识别符hid，其中P₁是阶为素数q的加法循环群G₁的生成元，[ke]P₁是生成元P₁的ke倍。

5.一种多分布式的SM9解密方法，其特征在于，包括：

步骤1：第n通信方A_n从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，A_n计算第一个临时变量

并将w₁发送给A_n-1，其中密文C＝C₁||C₃||C₂，C₁、C₂、C₃为比特串，

为密钥生成中心设置的第n部分加密密钥，e(·,·)表示G₁×G₂→G_T的双线性映射，G₁,G₂为阶是素数q的加法循环群，G_T为阶是素数q的乘法循环群；

步骤2：第n-1通信方A_n-1收到w₁后，计算第二个临时变量

并将w₂发送给第n-2通信方A_n-2，其中

为密钥生成中心设置的第n-1部分加密密钥，

表示w₁的

次幂，即

步骤3：第n-2通信方A_n-2收到w₂后，计算第三个临时变量

并将w₃发送给第n-3通信方A_n-3，其中

为密钥生成中心设置的第n-2部分加密密钥；

步骤4：以此类推，第2通信方A₂收到w_n-2后，计算第n-1个临时变量

并将w_n-1发送给第1通信方A₁，其中

为密钥生成中心设置的第2部分加密密钥；

步骤5：第1通信方A₁收到w_n-1后，计算第n个临时变量

并将w_n的数据类型转换为比特串，第1通信方A₁按加密明文的方法分类进行解密计算；

其中步骤5的按加密明文的方法分类进行解密计算进一步包括：

步骤5.1：若加密明文的方法是基于密钥派生函数KDF(·)的序列密码算法，则计算klen＝mlen+K_{2_}len，然后计算K'＝KDF(C₁||w_n||ID,klen)，设K₁′为K′前mlen比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出，否则计算

其中mlen是密文C的比特长度，ID表示作为解密者的用户的标识，可以唯一确定用户的公钥；

步骤5.2：若加密明文的方法是基于密钥派生函数KDF(·)的分组密码算法，则计算klen＝K_{1_}len+K_{2_}len，然后计算K'＝KDF(C₁||w_n||ID,klen)，设K₁′为K′前K_{1_}len比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出，否则计算M′＝Dec(K₁′,C₂)，其中K_{1_}len是分组密码算法Dec(·)中密钥K₁′的比特长度；

步骤5.3：之后计算u＝MAC(K₂′,C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出，否则输出明文M′；

其中，klen表示输出的比特串长度，取值为预先设定，K_{2_}len是消息认证码函数MAC(K₂,Z)中密钥K₂的比特长度，Z表示待求取消息认证码的消息数据比特串。

6.一种计算机存储介质，其特征在于，存储有计算机程序，处理器运行所述计算机程序后执行如下的步骤：

步骤1：第n通信方A_n从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，A_n计算第一个临时变量

并将w₁发送给A_n-1，其中密文C＝C₁||C₃||C₂，C₁、C₂、C₃为比特串，

为密钥生成中心设置的第n部分加密密钥，e(·,·)表示G₁×G₂→G_T的双线性映射，G₁,G₂为阶是素数q的加法循环群，G_T为阶是素数q的乘法循环群；

步骤2：第n-1通信方A_n-1收到w₁后，计算第二个临时变量

并将w₂发送给第n-2通信方A_n-2，其中

为密钥生成中心设置的第n-1部分加密密钥，

表示w₁的

次幂，即

步骤3：第n-2通信方A_n-2收到w₂后，计算第三个临时变量

并将w₃发送给第n-3通信方A_n-3，其中

为密钥生成中心设置的第n-2部分加密密钥；

步骤4：以此类推，第2通信方A₂收到w_n-2后，计算第n-1个临时变量

并将w_n-1发送给第1通信方A₁，其中

为密钥生成中心设置的第2部分加密密钥；

步骤5：第1通信方A₁收到w_n-1后，计算第n个临时变量

并将w_n的数据类型转换为比特串，第1通信方A₁按加密明文的方法分类进行解密计算；

其中运行计算机程序执行的步骤5的按加密明文的方法分类进行解密计算进一步包括：

步骤5.1：若加密明文的方法是基于密钥派生函数KDF(·)的序列密码算法，则计算klen＝mlen+K_{2_}len，然后计算K'＝KDF(C₁||w_n||ID,klen)，设K₁′为K′前mlen比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出，否则计算

其中mlen是密文C的比特长度，ID表示作为解密者的用户的标识，可以唯一确定用户的公钥；

步骤5.2：若加密明文的方法是基于密钥派生函数KDF(·)的分组密码算法，则计算klen＝K_{1_}len+K_{2_}len，然后计算K'＝KDF(C₁||w_n||ID,klen)，设K₁′为K′前K_{1_}len比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出，否则计算M′＝Dec(K₁′,C₂)，其中K_{1_}len是分组密码算法Dec(·)中密钥K₁′的比特长度，取值为预先设定；

步骤5.3：计算u＝MAC(K₂′,C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出，否则输出明文M′；

其中，klen表示输出的比特串长度，取值为预先设定，K_{2_}len是消息认证码函数MAC(K₂,Z)中密钥K₂的比特长度，Z表示待求取消息认证码的消息数据比特串。

Images