CN109981269B - 一种安全高效的sm9多方密钥分发方法与装置 - Google Patents

Abstract

本发明公开了一种安全高效的SM9多方密钥分发方法与装置，该方法包括以下步骤：1)由τ个参与方联合生成系统主公钥；2)由τ个参与方联合生成用户私钥。本发明的系统主公钥和用户私钥由τ个参与方联合生成，不再依赖单个KGC，有效规避了单个KGC体制下的单点失效问题，提高了SM9密钥分发的安全性，增强了密码系统的稳定性，具有安全性强、效率高等优点。

Description

一种安全高效的SM9多方密钥分发方法与装置

技术领域

本发明涉及信息安全技术，尤其涉及一种安全高效的SM9多方密钥分发方法与装置。

背景技术

为了克服公钥密码体制的证书管理和维护问题，基于身份的密码(IBC)体制应运而生。用户以身份标识作为公钥，KGC根据身份标识为用户生成私钥，不再使用公钥证书。然而，IBC体制存在单点失效问题。由于KGC承担了整个密钥分发功能，一旦KGC被恶意敌手攻陷或无法正常运行，系统将处于瘫痪状态。

为了克服权力过度集中的弊端，越来越多的应用开始在分布式背景下实现。例如安全多方计算，分布式数字签名等。通过分割秘密或协同操作等方法，实现了分散风险和容忍入侵的目的，极大地提高系统的安全性和稳定性

SM9是国家密码管理局于2016年3月发布的一种基于双线性对的标识密码标准，相关标准为《GM/T 0044-2016SM9标识密码算法》。SM9基于用户的身份标识为用户生成公、私钥对，其应用与管理不需要数字证书、证书库或密钥库，主要用于数字签名、密钥交换、数据加密以及身份认证等。

需要设计一种安全高效的SM9多方密钥分发方案，使得用户私钥不再由单个KGC生成，而是由多个密钥生成代理联合生成，可有效地规避了单个KGC体制的单点失效问题，提高密钥分发的安全性和密码系统的稳定性。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种安全高效的SM9多方密钥分发方法与装置。

本发明解决其技术问题所采用的技术方案是：一种安全高效的SM9多方密钥分发方法，密钥分发参与方为τ(τ≥2)个密钥生成代理，表示为KA₁,KA₂,…,KA_τ，包括以下步骤：

1)密钥分发参数生成；

τ个参与方联合生成密钥分发所需参数，包括主公钥P_pub-s和其他参数，过程如下：

1.1)每个参与方KA_i，i∈{1,…,τ}，在

中选择随机数s_i作为私钥，计算：U_i＝s_i·P₂，V_i＝s_i·P₁，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

其中，P₁，P₂分别为SM9标识密码算法中加法循环群G₁，G₂的生成元，

用于生成“s_i是U_i，V_i共同的椭圆曲线离散对数”这个叙述的零知识证明

1.2)每个参与方KA_i验证所有收到的零知识证明

j∈{1,…,τ}\{i}，验证通过则计算：主公钥

用于密钥生成的中间参数

2)多方密钥分发生成用户私钥；

给定用户身份ID，KA₁,KA₂,…,KA_τ联合生成用户私钥d_ID的过程，具体如下：

2.1)每个参与方KA_i，i∈{1,…,τ}，在

中选择一个随机数a_i，计算第一个中间变量A_i＝a_i·V，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

其中，

用于生成关于椭圆曲线离散对数关系A_i＝a_i·V的零知识证明

2.2)每个参与方KA_i验证所有收到的零知识证明

j∈{1,…,τ}\{i}，验证通过则计算第二个和第三个中间变量：

其中，q为加法循环群G₁，G₂的阶，且q为大于2¹⁹¹的大素数；

2.3)每个参与方KA_i与其他所有参与方KA_j分别以(a_i，b_i)，(a_j，b_j)为输入运行乘法器

乘法器

返回第一个加法分量c_ij给参与方KA_i，返回第二个加法分量c_ji给参与方KA_j；

其中，a_i，b_i，a_j，b_j，c_ij，c_ji满足等值关系：a_ib_j+a_jb_i＝c_ij+c_ji；

2.4)当收到所有的c_ij后，每个参与方KA_i计算用户密钥加法分量：c_i＝a_ib_i+∑_{i≠ j}c_ij mod q，并将c_i发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

2.5)当收到所有的c_j后，每个参与方KA_i计算并保存用户私钥：

然后将d_ID发送给用户。

一种安全高效的SM9多方密钥分发装置，密钥分发参与方为τ(τ≥2)个密钥生成代理，表示为KA₁,KA₂,…,KA_τ，包括：

密钥分发参数生成模块，用于τ个密钥生成代理联合生成密钥分发所需参数，包括主公钥P_pub-s和其他参数；参数生成具体步骤如下：

1)每个参与方KA_i，i∈{1,…,τ}，在

中选择随机数s_i作为私钥，计算：U_i＝s_i·P₂，V_i＝s_i·P₁，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

其中，P₁，P₂分别为SM9标识密码算法中加法循环群G₁，G₂的生成元，

用于生成“s_i是U_i，V_i共同的椭圆曲线离散对数”这个叙述的零知识证明

2)每个参与方KA_i验证所有收到的零知识证明

j∈{1,…,τ}\{i}，验证通过则计算：主公钥

中间参数

用户私钥生成模块，用于根据给定用户身份ID，参与方KA₁,KA₂,…,KA_τ联合生成用户私钥d_ID；用户私钥生成具体步骤如下：

1)每个参与方KA_i，i∈{1,…,τ}，在

中选择一个随机数a_i，计算第一个中间变量A_i＝a_i·V，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

其中，

用于生成关于椭圆曲线离散对数关系A_i＝a_i·V的零知识证明

2)每个参与方KA_i验证所有收到的零知识证明

j∈{1,…,τ}\{i}，验证通过则计算第二个和第三个中间变量

其中，q为加法循环群G₁，G₂的阶，且q为大于2¹⁹¹的大素数；

3)每个参与方KA_i与其他所有参与方KA_j分别以(a_i，b_i)，(a_j，b_j)为输入运行乘法器

乘法器

返回第一个加法分量c_ij给参与方KA_i，返回第二个加法分量c_ji给参与方KA_j；

其中，a_i，b_i，a_j，b_j，c_ij，c_ji满足等值关系：a_ib_j+a_jb_i＝c_ij+c_ji；

4)当收到所有的c_ij后，每个参与方KA_i计算用户密钥的加法分量：c_i＝a_ib_i+∑_{i≠ j}c_ij mod q，并将c_i发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

5)当收到所有的c_j后，每个参与方KA_i计算并保存用户私钥：

然后将d_ID发送给用户。

本发明产生的有益效果是：

1.本发明实现了SM9多方密钥分发功能，系统公钥和用户私钥由多个密钥生成代理联合生成，有效地规避了单个KGC体制下的单点失效问题，提高了密钥分发的安全性和系统的稳定性。

2.本发明使用了零知识证明来保证通讯过程中发送的数据确是来自于发送方，降低了数据被篡改和窃取的风险，进一步增强了密钥分发的安全性。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的交互过程示意图；

图2是本发明实施例的交互过程示意图；

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明提出了一种安全高效的SM9多方密钥分发方法，下面给出具体描述。

一、符号及定义

KA_i，KA_j：多方密钥分发参与方；

q：大于2¹⁹¹的大素数；

G₁，G₂：阶为q的加法循环群；

P₁，P₂：加法循环群G₁，G₂的生成元；

[k]P：G₁，G₂中元素P的k倍；

H₁：由{0,1}^*到

的安全密码哈希函数；

ID：用户身份标识；

P_pub-s：系统主公钥；

s_i：参与方部分私钥；

d_ID：用户私钥；

关于等值关系的零知识证明；

关于椭圆曲线离散对数的零知识证明；

U_i，V_i,V，A_i，A，b_i，b_j，c_ij，c_ji，c_i，c_j：中间参数；

mod q：模q运算；例如，15mod 7＝1。

二、SM9多方密钥分发

一种安全高效的SM9多方密钥分发方法，包括系统公钥生成，多方密钥分发两个部分，具体阐述如下：

1、系统公钥生成

KA₁,KA₂,…,KA_τ联合生成系统主公钥P_pub-s的过程，如图1，具体阐述如下：

1.1)每个参与方KA_i，i∈{1,…,τ}，在

中选择随机数s_i作为私钥，计算：U_i＝s_i·P₂，V_i＝s_i·P₁，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

1.2)每个参与方KA_i验证所有收到的零知识证明

j∈{1,…,τ}\{i}，验证通过则计算：系统主公钥

2、多方密钥分发

给定用户身份ID，KA₁,KA₂,…,KA_τ联合生成用户私钥d_ID的过程，如图2，具体阐述如下：

2.1)每个参与方KA_i，i∈{1,…,τ}，在

中选择一个随机数a_i，计算：A_i＝a_i·V，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

2.2)每个参与方KA_i验证所有收到的零知识证明

j∈{1,…,τ}\{i}，验证通过则计算：

2.3)每个参与方KA_i与其他所有参与方KA_j分别以(a_i，b_i)，(a_j，b_j)为输入运行乘法器

乘法器

返回第一块加法分量c_ij给参与方KA_i，返回第二块加法分量c_ji给参与方KA_j；

其中，a_i，b_i，a_j，b_j，c_ij，c_ji满足等值关系：a_ib_j+a_jb_i＝c_ij+c_ji；

2.4)当收到所有的c_ij后，每个参与方KA_i计算用户密钥加法分量c_i＝a_ib_i+∑_i≠jc_ijmod q，并将c_i发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

2.5)当收到所有的c_j后，每个参与方KA_i计算并保存用户私钥：

然后将d_ID发送给用户。

一种安全高效的SM9多方密钥分发装置，密钥分发参与方为τ(τ≥2)个密钥生成代理，表示为KA₁,KA₂,…,KA_τ，包括：

密钥分发参数生成模块，用于τ个密钥生成代理联合生成密钥分发所需参数，包括主公钥P_pub-s和其他参数；参数生成具体步骤如下：

1)每个参与方KA_i，i∈{1,…,τ}，在

中选择随机数s_i作为私钥，计算：U_i＝s_i·P₂，V_i＝s_i·P₁，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

其中，P₁，P₂分别为SM9标识密码算法中加法循环群G₁，G₂的生成元，

用于生成“s_i是U_i，V_i共同的椭圆曲线离散对数”这个叙述的零知识证明

2)每个参与方KA_i验证所有收到的零知识证明

j∈{1,…,τ}\{i}，验证通过则计算：主公钥

用于密钥生成的中间参数

用户私钥生成模块，用于根据给定用户身份ID，参与方KA₁,KA₂,…,KA_τ联合生成用户私钥d_ID；用户私钥生成具体步骤如下：

1)每个参与方KA_i，i∈{1,…,τ}，在

中选择一个随机数a_i，计算：A_i＝a_i·V，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

其中，

用于生成关于椭圆曲线离散对数关系A_i＝a_i·V的零知识证明

2)每个参与方KA_i验证所有收到的零知识证明

j∈{1,…,τ}\{i}，验证通过则计算第二个和第三个中间变量

其中，q为加法循环群G₁，G₂的阶，且q为大于2¹⁹¹的大素数；

3)每个参与方KA_i与其他所有参与方KA_j分别以(a_i，b_i)，(a_j，b_j)为输入运行乘法器

乘法器

返回第一个加法分量c_ij给参与方KA_i，返回第二个加法分量c_ji给参与方KA_j；

其中，a_i，b_i，a_j，b_j，c_ij，c_ji满足等值关系：a_ib_j+a_jb_i＝c_ij+c_ji；

4)当收到所有的c_ij后，每个参与方KA_i计算用户密钥的加法分量c_i＝a_ib_i+∑_i≠jc_ijmod q，并将c_i发送给其他所有参与方KA_j，j∈{1,…,τ}\{i}；

5)当收到所有的c_j后，每个参与方KA_i计算并保存用户私钥：

然后将d_ID发送给用户。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (2)

1.一种安全高效的SM9多方密钥分发方法，密钥分发参与方为τ个密钥生成代理，表示为KA₁，KA₂，...，和KA_τ，其特征在于，包括以下步骤：

1)密钥分发参数生成；

τ个参与方联合生成密钥分发所需参数，包括主公钥P_pub-s和其他参数，过程如下：

1.1)每个参与方KA_i，i∈{1，...，τ}，在

中选择随机数s_i作为私钥，计算：U_i＝s_i·P₂，V_i＝s_i·P₁，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1，...，τ}\{i}；

其中，P₁和P₂分别为SM9标识密码算法中加法循环群G₁和G₂的生成元，

用于生成关于s_i是U_i，V_i共同的椭圆曲线离散对数的零知识证明

1.2)每个参与方KA_i验证所有收到的零知识证明

验证通过则计算：主公钥

用于密钥生成的中间参数

2)多方密钥分发生成用户私钥；

给定用户身份ID，KA₁，KA₂，...，和KA_τ联合生成用户私钥d_ID的过程，具体如下：

2.1)每个参与方KA_i，i∈{1，...，τ}，在

中选择一个随机数a_i，计算第一个中间变量A_i＝a_i·V，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1，...，τ}\{i}；

其中，

用于生成关于椭圆曲线离散对数关系A_i＝a_i·V的零知识证明

2.2)每个参与方KA_i验证所有收到的零知识证明

验证通过则计算第二个和第三个中间变量：

其中，q为加法循环群G₁和G₂的阶，且q为大于2¹⁹¹的大素数；H₁(ID)为用户身份ID的哈希函数值；H₁为由{0，1}^*到

的安全密码哈希函数；

2.3)每个参与方KA_i与其他所有参与方KA_j分别以(a_i，b_i)和(a_j，b_j)为输入运行乘法器

乘法器

返回第一个加法分量c_ij给参与方KA_i，返回第二个加法分量c_ji给参与方KA_j；

其中，a_i，b_i，a_j，b_j，c_ij和c_ji满足等值关系：a_ib_j+a_jb_i＝c_ij+c_ji；

2.4)当收到所有的c_ij后，每个参与方KA_i计算用户密钥加法分量：c_i＝a_ib_i+∑_i≠jc_ij modq，并将c_i发送给其他所有参与方KA_j，j∈{1，...，τ}\{i}；

2.5)当收到所有的c_j后，每个参与方KA_i计算并保存用户私钥：

然后将d_ID发送给用户。

2.一种安全高效的SM9多方密钥分发装置，密钥分发参与方为τ个密钥生成代理，表示为KA₁，KA₂，...，和KA_τ，其特征在于，包括：

密钥分发参数生成模块，用于τ个密钥生成代理联合生成密钥分发所需参数，包括主公钥P_pub-s和其他参数；参数生成具体步骤如下：

1)每个参与方KA_i，i∈{1，...，τ}，在

中选择随机数s_i作为私钥，计算：U_i＝s_i·P₂，V_i＝s_i·P₁，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1，...，τ}\{i}；

其中，P₁和P₂分别为SM9标识密码算法中加法循环群G₁和G₂的生成元，

用于生成关于s_i是U_i，V_i共同的椭圆曲线离散对数的零知识证明

2)每个参与方KA_i验证所有收到的零知识证明

验证通过则计算：主公钥

中间参数

用户私钥生成模块，用于根据给定用户身份ID，参与方KA₁，KA₂，...，和KA_τ联合生成用户私钥d_ID；用户私钥生成具体步骤如下：

1)每个参与方KA_i，i∈{1，...，τ}，在

中选择一个随机数a_i，计算第一个中间变量A_i＝a_i·V，零知识证明

并将

发送给其他所有参与方KA_j，j∈{1，...，τ}\{i}；

其中，

用于生成关于椭圆曲线离散对数关系A_i＝a_i·V的零知识证明

2)每个参与方KA_i验证所有收到的零知识证明

验证通过则计算第二个和第三个中间变量

其中，q为加法循环群G₁和G₂的阶，且q为大于2¹⁹¹的大素数；H₁(ID)为用户身份ID的哈希函数值；H₁为由{0，1}^*到

的安全密码哈希函数；

3)每个参与方KA_i与其他所有参与方KA_j分别以(a_i，b_i)和(a_j，b_j)为输入运行乘法器

乘法器

返回第一个加法分量C_ij给参与方KA_i，返回第二个加法分量c_ji给参与方KA_j；

其中，a_i，b_i，a_j，b_j，c_ij和c_ji满足等值关系：a_ib_j+a_jb_i＝c_ij+c_ji；

4)当收到所有的c_ij后，每个参与方KA_i计算用户密钥的加法分量：c_i＝a_ib_i+∑_i≠jc_ij modq，并将c_i发送给其他所有参与方KA_j，j∈{1，...，τ}\{i}；

5)当收到所有的c_j后，每个参与方KA_i计算并保存用户私钥：

然后将d_ID发送给用户。

Images