CN110519041B

CN110519041B - 一种基于sm9标识加密的属性基加密方法

Info

Publication number: CN110519041B
Application number: CN201910689331.3A
Authority: CN
Inventors: 史扬; 马致远; 韩秋月
Original assignee: Tongji University
Current assignee: Tongji University
Priority date: 2019-07-29
Filing date: 2019-07-29
Publication date: 2021-09-03
Anticipated expiration: 2039-07-29
Also published as: CN110519041A

Abstract

本发明涉及一种基于SM9标识加密的属性基加密方法，包括以下步骤：1)密钥生成中心获取安全级别，基于SM9算法获得主公钥M_pk和主密钥M_sk；2)密钥生成中心获取用户的属性集U，基于SM9算法以及所述主公钥M_pk和主密钥M_sk生成对应该用户属性的私钥SK_U，发送给用户；3)云存储服务器获取所述主公钥M_pk，根据一定的通用访问结构A对消息M进行加密，生成密文，发送给用户；4)用户基于SM9算法、属性集U、主公钥M_pk和私钥SK_U对密文进行解密，获得明文。与现有技术相比，本发明具有能与现行国家密码标准标识加密算法SM9完全兼容，可靠有效，在云计算等领域具有广泛的应用前景。

Description

一种基于SM9标识加密的属性基加密方法

技术领域

本发明涉及密码学领域，尤其是涉及一种基于SM9标识加密的属性基加密方法。

背景技术

云计算作为移动互联网、物联网、大数据等新兴方向的底层支撑，近年来发展迅速。与此同时，鉴于云平台的不安全性，当用户将敏感数据分享在云服务器上时，就带来数据安全和访问控制方面的挑战。尤其在需要细粒度数据访问控制的环境下，对数据共享和处理的要求越来越高，所以采用密码方式对数据进行保护非常有必要。公钥加密是保护敏感数据机密性的强大方法，但其存在两方面的限制。首先，公钥加密系统依赖于强大的公钥基础设施(PKI)，这不可避免地给证书管理与验证过程带来了沉重的计算开销；其次，资源提供者需要使用接受组中每个用户的公钥加密数据，并将密文分别发送给对应的用户，造成较大的计算开销和带宽消耗。

为解决第一方面的限制，Shamir在1984年提出了第一个基于身份标识的密码系统。基于标识的密码系统的主要特征是它们不需要公钥证书，用户的标识字符串(例如电子邮件地址或电话号码)可用作用户的公钥。随后，Boneh和Frankli提出了最著名的基于双线性配对的基于标识的加密(IBE)方案，使得基于标识的密码学有了新发展。

为解决第二方面的限制，Sahai和Waters提出了一种基于属性的加密(ABE)方案，数据提供者可以决定密文的访问策略，这意味着只有满足指定属性的用户才能解密密文。资源提供者只需要根据解密者的属性加密消息，而不需要考虑他们的身份标识和合格的解密者数量。该功能很大程度上降低了数据加密的开销，并使资源提供者能够制定灵活且可扩展的访问控制策略，以管理数据的共享范围。

第一个ABE方案仅支持门限访问控制策略。为支持更灵活的访问控制策略，Sahai和Waters等人进一步提出了密钥策略属性基加密(KP-ABE)和密文策略属性基加密(CP-ABE)。近年来，已经出现了许多具有不同安全特征的新型ABE方案。此外，针对各种应用场景，如云计算、社交网络、物联网、区块链和移动计算的ABE方案也应运而生。

SM9是中华人民共和国政府采用的一种标识密码标准，其相关标准为“GM/T0044-2016SM9标识密码算法”。SM9定义了一组基于身份标识的密码方案，包括签名、加密和密钥协议。其算法主要包括三部分：签名算法、密钥交换算法、加密算法。其中SM9签名算法收录于ISO/IEC 14888-3:2018《信息安全技术带附录的数字签名第3部分：基于离散对数的机制》。随着相关标准规范的研究与制定，标识密码技术必将为用户信息的安全性、完整性、私密性和可追踪性起到更大的保护作用，SM9应用前景无比广阔。

相似技术(产品)简述：近年来，已经提出了许多具有不同安全特征的新型ABE方案：

Zhang,J.,et al.,Leakage-resilient attribute based encryption inprime-order groups via predicate encodings.2018.86(6):p.1339-1366.

Nguyen,K.T.,N.Oualha,and M.J.W.W.W.Laurent,Securely outsourcing theciphertext-policy attribute-based encryption.2018.21(1):p.169-183.

Ma,H.,et al.Concessive Online/Offline Attribute Based Encryption withCryptographic Reverse Firewalls—Secure and Efficient Fine-Grained AccessControl on Corrupted Machines.2018.Cham:Springer International Publishing.

但是目前没有ABE方案可与任何SM9兼容。因此，需要研发一种新的基于属性的加密方案。

发明内容

本发明的目的在于克服上述现有技术存在的缺陷而提供一种基于SM9标识加密的属性基加密方法。

本发明的目的可以通过以下技术方案来实现：

一种基于SM9标识加密的属性基加密方法，包括以下步骤：

1)密钥生成中心获取安全级别，基于SM9算法获得主公钥M_pk和主密钥M_sk；

2)密钥生成中心获取用户的属性集U，基于SM9算法以及所述主公钥M_pk和主密钥M_sk生成对应该用户属性的私钥SK_U，发送给用户；

3)云存储服务器获取所述主公钥M_pk，根据一定的通用访问结构A对消息M进行加密，生成密文，发送给用户；

4)用户基于SM9算法、属性集U、主公钥M_pk和私钥SK_U对密文进行解密，获得明文。

进一步地，步骤1)中，调用SM9算法的Setup算法，根据安全级别对应的安全参数k生成主公钥M_pk和主密钥M_sk。

进一步地，步骤2)中，所述私钥SK_U的生成过程包括：

201)将属性集U转换为标识ID_U∈{0,1}^|u|，|u|为属性范围u的大小；

202)调用SM9算法的私钥提取算法生成私钥SK_U。

进一步地，步骤3)中，所述密文的生成过程包括：

301)获取属性范围u，X_i是属性范围u的第i个属性；

302)创建空集S和C，S的大小为m，C的大小为n；

303)对于j从1到|u|，执行：如果X_j∈A_i，则ID_i[j]＝1，否则ID_i[j]＝0，A_i是通用访问结构A中第i个属性集；

获得集合S，ID_i[j]是ID_i的第j个比特位，ID_i是S中的第i个ID；

304)对于i从1到m，调用SM9算法的加密算法，基于主公钥M_pk和ID_i对消息M进行加密，生成密文C。

进一步地，步骤4)中，所述明文的生成过程包括：

401)将属性集U转换为标识ID_U∈{0,1}^|u|，|u|为属性范围u的大小；

402)调用SM9算法的解密算法，基于主公钥M_pk、标识ID_U和私钥SK_U对密文C进行解密，在获得的集合不为空时，输出生成明文M′。

进一步地，步骤3)中，所述密文的生成过程包括：

311)调用SM4算法的CBC模式加密算法，基于密钥key和初始向量对消息M进行加密，生成密文C₁；

312)获取属性范围u，X_i是属性范围u的第i个属性；

313)创建空集S和C₂，S的大小为m，C₂的大小为n；

314)对于j从1到|u|，执行：如果X_j∈A_i，则ID_i[j]＝1，否则ID_i[j]＝0，A_i是通用访问结构A中第i个属性集；

获得集合S，ID_i[j]是ID_i的第j个比特位，ID_i是S中的第i个ID；

315)对于i从1到m，调用SM9算法的加密算法，基于主公钥M_pk和ID_i对SM4算法的密钥key和初始向量IV进行加密，生成密文C₂；

316)将(C₁,C₂)作为最终密文C。

进一步地，步骤4)中，所述明文的生成过程包括：

411)将属性集U转换为标识ID_U∈{0,1}^|u|，|u|为属性范围u的大小；

412)调用SM9算法的解密算法，基于主公钥M_pk、标识ID_U和私钥SK_U对密文C₂进行解密，获得SM4算法的密钥key和初始向量IV；

413)调用SM4算法的CBC模式解密算法，基于密钥key和初始向量IV对密文C₁进行解密，生成明文M′。

进一步地，所述将属性集U转换为标识ID_U∈{0,1}^|u|具体为：

获取属性范围u，X_i是属性范围u的第i个属性；

对于i从1到|u|，执行：如果X_i∈U，则ID_U[i]＝1，否则ID_U[i]＝0，ID_U[i]是ID_U的第i比特位。

与现有技术相比，本发明具有如下有益效果：

1)本发明基于SM9标识加密算法实现属性基加密，是兼容国密算法的首创，在云计算等领域具有广泛的应用前景。

2)本发明通过SM4分组密码的结合，提高了整体方法的效率。

3)本发明的软件实现在工作站、笔记本电脑、树莓派嵌入式开发板以及智能手机上进行了测试，具有良好的实用性。

附图说明

图1为本发明的工作原理图；

图2为本发明的流程图；

图3为实施例3中Java语言实现的类图；

图4为实施例3中加密性能测试数据示意图；

图5为实施例3中解密性能测试数据示意图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

实施例1

如图1-图2所示，本实施例提供一种基于SM9标识加密的属性基加密方法，称为ABE方案，该方案中主要的节点包括密钥生成中心(KGC)、客户端以及云存储服务器。

包括以下步骤：

步骤1.密钥生成中心(KGC)在规定好的安全级别下，即输入需要的安全参数k，运行算法1，然后公开主公钥M_pk，秘密保存主私钥M_sk。

算法1.系统初始化算法Setup(1^k)

首先在计算机上，在规定好的安全级别下，即输入需要的安全参数k，该算法调用SM9算法的Setup算法，得到主公钥M_pk和主密钥M_sk：

(M_pk,M_sk)←SM9.Setup(1^k)。

SM9算法规定的参数如表1所示。

表1详细参数

步骤2.用户将自己的属性U发送给KGC，KGC调用如下的算法2生成对应该用户属性的私钥，然后通过安全的信道将私钥发送给用户。

算法2.密钥生成算法KeyGen(M_pk,M_sk,U)

给定主公钥M_pk，主密钥M_sk和一组属性U，该算法先将属性集转换为标识ID_U∈{0,1}^|u|，然后调用SM9算法的私钥提取算法，输出本方案的私钥SK_U，具体包括：

(1)设ID_U[i]是ID_U的第i比特位，X_i是属性范围u的第i个属性；

(2)对于i从1到|u|，执行：

如果X_i∈U，则ID_U[i]＝1，否则ID_U[i]＝0；

(3)SK_U←SM9.Private-Key-Extract(M_pk,M_sk,ID_U)。

步骤3.云存储服务器调用算法3，根据一定的通用访问结构A对消息M进行加密。通用访问结构定义为：设P＝{P₁,P₂,...,P_n}一组属性。通用访问结构A是{P₁,P₂,...,P_n}的非空子集的集合，即

包含在A中的集合称为授权集合，而不在集合A中的集合称为未授权集合。

算法3.加密算法Encrypt(M_pk,A,M)

给定主公钥M_pk，通用访问结构A和消息M，该算法先将通用访问结构A转换为一组身份标识，然后调用SM9算法的公钥加密算法，获得一组密文C＝{CT₁,CT₂,...,CT_n}，算法步骤如下：

(1)设S是一个空集，n是通用访问结构A的大小，A_i是其中第i个属性集；

(2)对于i从1到n，执行：

(i)设ID_i[j]是ID_i的第j比特位，X_j是属性范围u的第j个属性；

(ii)对于j从1到|u|，执行：

如果X_j∈A_i，则ID_i[j]＝1，否则ID_i[j]＝0

(iii)S＝S∪{ID_i}；

(3)设ID_i是S中的第i个ID，m是S的大小，C是一个空集；

(4)对于i从1到m，执行：

(i)CT_i←SM9.KEM-DEM-Encrypt(M_pk,ID_i,M)

(ii)C←C∪{CT_i}；

(5)输出C。

步骤4.用户调用算法4对云服务器中的加密数据进行解密，如果用户的属性U满足加密该数据时所使用的通用访问结构A，则可得到该数据，否则无法解密。

算法4.解密算法Decrypt(M_pk,U,SK_U,C)

给定主公钥M_pk，一组属性U，私钥SK_U和密文集C，该算法先将属性集转换为标识ID_U∈{0,1}^|u|，然后调用SM9算法的解密算法，获取明文M，算法步骤如下：

(1)设ID_U[i]是ID_U的第i比特位，X_i是属性范围u的第i个属性；

(2)对于i从1到|u|，执行：

如果X_i∈U，则ID_U[i]＝1，否则ID_U[i]＝0；

(3)设CT_i是C的第i个密文，n是密文集C的大小；

(4)对于i从1到n执行：

(i)M′←SM9.KEM-DEM-Decrypt(M_pk,ID_U,SK_U,CT_i)

(ii)如果M′≠⊥，则输出M′并终止，否则继续执行，M′表示明文，⊥表示空集；

(5)输出⊥。

实施例2

实施例1提供的属性基加密方法中，明文必须加密n次，n是通用访问结构的大小。因此，当明文的长度或通用访问结构的尺寸较大时，效率可能较低。参考图1-图2所示，本实施例提供一种基于SM9标识加密的属性基加密方法，与实施例1不同的是，本实施例为优化方案，采用ABE方案进行密钥封装，并使用SM4分组密码进行数据加密。

本实施例的基于SM9标识加密的属性基加密方法包括以下步骤：

算法1.系统初始化算法Setup(1^k)

给定安全参数k，该算法调用ABE方案的Setup算法，并设置主公钥M_pk和主密钥M_sk：

(M_pk,M_sk)←ABE.Setup(1^k)。

算法2.密钥生成算法KeyGen(M_pk,M_sk,U)

给定主公钥M_pk，主密钥M_sk和一组属性U，该算法调用ABE方案的密钥生成算法，输出本方案的私钥SK_U：

SK_U←ABE.KeyGen(M_pk,M_sk,ID_U)。

步骤3.云存储服务器调用算法3，根据一定的通用访问结构A对消息M进行加密。

算法3.加密算法Encrypt(M_pk,A,M)

给定主公钥M_pk，通用访问结构A和消息M，算法步骤如下：

(1)随机生成一个SM4算法的密钥key和初始向量IV；

(2)调用SM4算法的CBC模式加密算法，C₁←SM4.Encrypt(M,key,IV)；

(3)调用方案一ABE中的加密算法，C₂←ABE.Encrypt(M_pk,A,key||IV)，实现对密钥key和初始向量IV的加密；

(4)输出(C₁,C₂)。

算法4.解密算法Decrypt(M_pk,U,SK_U,C)

给定主公钥M_pk，一组属性U，私钥SK_U和密文C，算法步骤如下：

(1)解析C，(C₁,C₂)←C；

(2)调用ABE方案的解密算法，key||IV＝ABE.Decrypt(M_pk,U,SK_U,C₂)；

(3)调用SM4算法的CBC模式解密算法，M′＝SM4.Decrypt(C₁,key,IV)；

(4)输出M′。

实施例3

本实施例中，使用Java语言实现如实施例1或实施例2所述的方法，类图如图3所示，性能测试数据如图4-图5所示。测试所使用的设备参数分别为：Raspberry Pi 3操作系统为Raspbian 8，处理器为ARM Cortex-A53@1.2GHz；OnePlus A6000操作系统为Android8.1，处理器为Qualcomm Snapdragon 845@2.8GHz；MacBook Pro操作系统为macOS HighSierra 10.13.4，处理器为Intel Core i5@2.9GHz；Workstation操作系统为Ubuntu16.04LTS，处理器为Intel Xeon E5-2640v3@2.6GHz*32。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

Claims

1.一种基于SM9标识加密的属性基加密方法，其特征在于，包括以下步骤：

2)密钥生成中心获取用户的属性集U，采用密钥生成算法KeyGen(M_pk,M_sk,U)生成对应该用户属性的私钥SK_U，发送给用户；

该密钥生成算法KeyGen(M_pk,M_sk,U)具体为：给定所述主公钥M_pk、主密钥M_sk和属性集U，先将属性集U转换为标识ID_U∈{0,1}^|u|，|u|为属性范围u的大小，然后调用SM9算法的私钥提取算法生成私钥SK_U；

基于SM9算法以及所述主公钥M_pk和主密钥M_sk生成对应该用户属性的私钥SK_U，发送给用户；

2.根据权利要求1所述的基于SM9标识加密的属性基加密方法，其特征在于，步骤1)中，调用SM9算法的Setup算法，根据安全级别对应的安全参数k生成主公钥M_pk和主密钥M_sk。

3.根据权利要求1所述的基于SM9标识加密的属性基加密方法，其特征在于，步骤3)中，所述密文的生成过程包括：

301)获取属性范围u，X_i是属性范围u的第i个属性；

302)创建空集S和C，S的大小为m，C的大小为n；

获得集合S，ID_i[j]是ID_i的第j个比特位，ID_i是S中的第i个ID；

4.根据权利要求3所述的基于SM9标识加密的属性基加密方法，其特征在于，步骤4)中，所述明文的生成过程包括：

5.根据权利要求1所述的基于SM9标识加密的属性基加密方法，其特征在于，步骤3)中，所述密文的生成过程包括：

312)获取属性范围u，X_i是属性范围u的第i个属性；

313)创建空集S和C₂，S的大小为m，C₂的大小为n；

获得集合S，ID_i[j]是ID_i的第j个比特位，ID_i是S中的第i个ID；

316)将(C₁,C₂)作为最终密文C。

6.根据权利要求5所述的基于SM9标识加密的属性基加密方法，其特征在于，步骤4)中，所述明文的生成过程包括：

7.根据权利要求1、4或6所述的基于SM9标识加密的属性基加密方法，其特征在于，所述将属性集U转换为标识ID_U∈{0,1}^|u|具体为：

获取属性范围u，X_i是属性范围u的第i个属性；