CN111010276A - 一种多方联合sm9密钥生成、密文解密方法与介质 - Google Patents

Abstract

本发明涉及一种多方联合SM9密文生成方法与介质及密钥解密方法，通过以下技术方案实现：KGC为参与SM9解密系统的通信方生成对应的部分私钥。需要进行解密计算时，第i(2≤i≤n)个通信方U_i计算临时变量

U₁收到其他t‑1个用户的临时变量后，计算

并按SM9解密算法解密计算，最终输出明文M′。本发明具有安全性高、通信代价小等优点，通信方在不泄漏各自部分私钥的前提下，必须共同参与才能完成对消息的完整解密。在基本操作运算中，双线性映射计算代价比较大，本方案中，双线性操作是由一个通信方来完成的，从而降低其他通信方的计算代价并减少了交互次数。

Description

一种多方联合SM9密钥生成、密文解密方法与介质

技术领域

本发明涉及一种密钥生成、密文解密方法与介质，尤其是涉及一种多方联合SM9密钥生成、密文解密方法与介质。

背景技术

随着科学技术的飞速发展，云计算、雾计算等平台为数据的存储和传输提供了强大的支撑平台。新的体系结构给数据的完整性、机密性、可用性带来了新的挑战，数据的安全和隐私问题已经成为热点话题。

公钥密码算法是实现消息机密性、完整性和不可否认性的关键技术，已经广泛应用于电子商务、电子政务等多个领域。这些算法的安全性取决于对密钥的安全存储和使用，一旦密钥泄露则无安全可言。(t，n)门限秘密共享将用户的私钥分割成n份，只有将t份放在一起，私钥才可以通过一定的算法重构出来，而少于这个数量的份额无法重构私钥， t被称作门限。在(t，n)门限秘密共享方案中，私钥会被其中一个参与方恢复，拥有原始私钥的参与方可以在其他参与方不知晓的情况下对密文进行解密。

针对这种情况，本专利设计了一种多方联合解密SM9密文的方案，此方案在多方联合解密的情况下，既能保证解密的正确执行，又能保证私钥不被泄露，且产生解密的过程中必须由多方同时参与。

SM9标识密码算法是一种基于双线性对的标识密码算法，在该算法中用户的身份标识是用户的公钥，用户的私钥由私钥生成中心KGC根据用户的身份产生。SM9算法该算法于2015年发布为国家密码行业标准(GM/T 0044-2016)，主要包括数字签名、加密、密钥交换等内容。

发明内容

本发明的上述技术问题主要是通过下述技术方案得以解决的：

一种多方联合SM9密文生成方法，其特征在于，包括：

步骤1、生成主私钥，具体是密钥生成中心选择随机数ke∈{1，...，q-1}作为主私钥，计算P_pub-e＝[ke]P₁作为系统公钥；密钥生成中心秘密保存ke，公开P_pub-e；密钥生成中心选择并公开用一个字节表示的私钥生成函数识别符hid；

步骤2、：生成私钥，具体是给定用户的身份ID，为产生用户的部分私钥，具体包括：

步骤2.1、密钥生成中心计算一个临时变量t₁＝H₁(ID||hid，q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的私钥；否则，计算第二个临时变量t₂＝ke·t₁ ^-1(mod q)，其中t₁ ^-1表示t₁模q的逆元，即t₁ ^-1·t₁＝1(mod q)；

步骤2.2、密钥生成中心随机选择r₂，r₃，...，r_n∈{1，...，q-1}，计算 r₁＝t₂-(r₂+r₃+…+r_n)mod q；

步骤2.3、密钥生成中心设置第1部分私钥

第2部分私钥

...，第n-1部分私钥

第n部分私钥

步骤2.4、密钥生成中心将部分私钥分别发给对应的每个通信方U_i。

一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

步骤1、生成主私钥，具体是密钥生成中心选择随机数ke∈{1，...，q-1}作为主私钥，计算P_pub-e＝[ke]P₁作为系统公钥；密钥生成中心秘密保存ke，公开P_pub-e；密钥生成中心选择并公开用一个字节表示的私钥生成函数识别符hid；

步骤2、生成私钥，具体是给定用户的身份ID，为产生用户的部分私钥，具体包括：

步骤2.1、密钥生成中心计算一个临时变量t₁＝H₁(ID||hid，q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的私钥；否则，计算第二个临时变量t₂＝ke·t₁ ^-1(mod q)，其中t₁ ^-1表示t₁模q的逆元，即t₁ ^-1·t₁＝1(mod q)；

步骤2.2、密钥生成中心随机选择r₂，r₃，...，r_n∈{1，...，q-1}，计算 r₁＝t₂-(r₂+r₃+…+r_n)mod q；

步骤2.3、密钥生成中心设置第1部分私钥

第2部分私钥

...，第n-1部分私钥

第n部分私钥

步骤2.4、密钥生成中心将部分私钥分别发给对应的每个通信方U_i。

一种多方联合SM9密文解密方法，，其特征在于，包括：定义密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K₁_len，函数MAC(K₂，Z)中密钥K₂的比特长度为K₂_len；为了对密文C解密，n个通信方进行如下步骤的交互：

步骤1、每个通信方U_i(1≤i≤n)从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，U_i计算临时变量

步骤2、通信方U_i(2≤i≤n)将E_i发送给U₁；

步骤3、U₁计算

将w_n的数据类型转换为比特串，并按照SM9的解密算法进行解密计算：

步骤3.1、若加密明文的方法是基于密钥派生函数的序列密码算法，则

步骤3.11、计算klen＝mlen+K₂_len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前mlen比特，K₂′为K′的后K₂_len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.12、否则，计算

步骤3.2、若加密明文的方法是基于密钥派生函数的分组密码算法，则

步骤3.21、计算klen＝K₁_len+K₂_len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前K₁_len比特，K₂′为K′的后K₂_len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.22、否则，计算M′＝Dec(K₁′，C₂)，其中Dec(·)为分组解密算法；、

步骤3.3、计算u＝MAC(K₂′，C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

步骤3.4、否则，输出明文M′。

一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

定义密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K₁_len，函数MAC(K₂，Z)中密钥K₂的比特长度为K₂_len；为了对密文C解密，n个通信方进行如下步骤的交互：

步骤1、每个通信方U_i(1≤i≤n)从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，U_i计算临时变量

步骤2、通信方U_i(2≤i≤n)将E_i发送给U₁；

步骤3、U₁计算

将w_n的数据类型转换为比特串，并按照SM9的解密算法进行解密计算：

步骤3.1、若加密明文的方法是基于密钥派生函数的序列密码算法，则

步骤3.11、计算klen＝mlen+K₂_len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前mlen比特，K₂′为K′的后K₂_len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.12、否则，计算

步骤3.2、若加密明文的方法是基于密钥派生函数的分组密码算法，则

步骤3.21、计算klen＝K₁_len+K₂_len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前K₁_len比特，K₂′为K′的后K₂_len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.22、否则，计算M′＝Dec(K₁′，C₂)，其中Dec(·)为分组解密算法；

步骤3.3、计算u＝MAC(K₂′，C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

步骤3.4、否则，输出明文M′。

因此，本发明具有如下优点：本发明具有安全性高、通信代价小等优点，通信方在不泄漏各自部分私钥的前提下，必须共同参与才能完成对消息的完整解密。在基本操作运算中，双线性映射计算代价比较大，本方案中，双线性操作是由一个通信方来完成的，从而降低其他通信方的计算代价并减少了交互次数。

附图说明

附图1是本发明的一种方法流程示意图。

具体实施方式

下面通过实施例，并结合附图，对本发明的技术方案作进一步具体的说明。

实施例：

在以下对本发明的描述中，密钥生成中心(KGC)是一个可信机构，它主要负责生成系统参数、主私钥以及用户的私钥。

一、符号及定义

KDF(·)：密钥派生函数。

MAC(·)：消息认证码函数。

G₁，G₂：阶为素数q的加法循环群。

G_T：阶为素数q的乘法循环群。

e：从G₁×G₂到G_T的双线性对。

g^u：乘法群G_T中g的u次幂，即

其中u是正整数。

H₁(·)，H₂(·)：由{0，1}^*到

的密码杂凑函数。

ID_C：通信方C的标识，可以唯一确定通信方C的公钥。

通信方C的解密私钥。

mod q：模q运算。例如，27(mod5)≡2。

q：循环群G₁，G₂和G_T的阶，且q＞2¹⁹¹为素数。

P₁，P₂：分别是群G₁和G₂的生成元。

u[P]：加法群G₁，G₂中元素P的u倍。

x||y：x与y的拼接，其中x和y是比特串或字节串。

{x，y}：不小于x且不大于y的整数的集合。

U_i：用户的第_i个通信方。

在系统初始化阶段，KGC选择随机数ke∈{1，...，q-1}作为主私钥，计算P_pub-e＝[ke]P₁作为系统公钥。KGC秘密保存ke，公开P_pub-e。KGC选择并公开用一个字节表示的私钥生成函数识别符hid。对于双线性对及Hash相关的内容，对应《SM9标识密码算法》文档规范。

二、私钥生成算法

给定用户的身份ID，为产生用户的部分私钥，KGC执行下列操作：

1)KGC计算一个临时变量t₁＝H₁(ID||hid，q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的私钥；否则，计算第二个临时变量

其中

表示t₁模q的逆元，即

2)KGC随机选择r₂，r₃，...，r_n∈{1，...，q-1}，计算r₁＝t₂-(r₂+r₃+…+r_n)mod q。

3)KGC设置第1部分私钥

第2部分私钥

第n-1部分私钥

第n部分私钥

4)KGC将部分私钥分别发给对应的每个通信方U_i。

三、解密算法

设密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K₁_len，函数MAC(K₂，Z)中密钥K₂的比特长度为K₂_len。为了对密文C解密，n个通信方进行如下交互：

1)每个通信方U_i(1≤i≤n)从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，U_i计算临时变量

2)通信方U_i(2≤i≤n)将E_i发送给U₁；

3)U₁计算

将w_n的数据类型转换为比特串，并按照SM9的解密算法进行解密计算：

a)若加密明文的方法是基于密钥派生函数的序列密码算法，则

1、计算klen＝mlen+K₂_len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)。设K₁′为K′前mlen比特，K₂′为K′的后K₂_len比特，如果K₁′为全0比特串，则报错并退出；

2、否则，计算

b)若加密明文的方法是基于密钥派生函数的分组密码算法，则

3、计算klen＝K₁_len+K₂_len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)。设K₁′为K′前K₁_len比特，K₂′为K′的后K₂_len比特，如果K₁′为全0比特串，则报错并退出；

4、否则，计算M′＝Dec(K₁′，C₂)，其中Dec(·)为分组解密算法。

c)计算u＝MAC(K₂′，C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

d)否则，输出明文M′。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (4)

1.一种多方联合SM9密钥生成方法，其特征在于，包括：

步骤1、生成主私钥，具体是密钥生成中心选择随机数ke∈{1，...，q-1}作为主私钥，计算P_pub-e＝[ke]P₁作为系统公钥；密钥生成中心秘密保存ke，公开P_pub-e；密钥生成中心选择并公开用一个字节表示的私钥生成函数识别符hid；

步骤2、：生成私钥，具体是给定用户的身份ID，为产生用户的部分私钥，具体包括：

步骤2.1、密钥生成中心计算一个临时变量t₁＝H₁(ID||hid，q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的私钥；否则，计算第二个临时变量t₂＝ke·t₁ ^-1(mod q)，其中t₁ ^-1表示t₁模q的逆元，即t₁ ^-1·t₁＝1(mod q)；

步骤2.2、密钥生成中心随机选择r₂，r₃，...，r_n∈{1，...，q-1}，计算r₁＝t₂-(r₂+r₃+…+r_n)mod q；

步骤2.3、密钥生成中心设置第1部分私钥

第2部分私钥

...，第n-1部分私钥

第n部分私钥

步骤2.4、密钥生成中心将部分私钥分别发给对应的每个通信方U_i。

2.一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

步骤1、生成主私钥，具体是密钥生成中心选择随机数kee{1，...，q-1}作为主私钥，计算P_pub-e＝[ke]P₁作为系统公钥；密钥生成中心秘密保存ke，公开P_pub-e；密钥生成中心选择并公开用一个字节表示的私钥生成函数识别符hid；

步骤2、生成私钥，具体是给定用户的身份ID，为产生用户的部分私钥，具体包括：

步骤2.1、密钥生成中心计算一个临时变量t₁＝H₁(ID||hid，q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的私钥；否则，计算第二个临时变量

其中

表示t₁模q的逆元，即

步骤2.2、密钥生成中心随机选择r₂，r₃，...，r_n∈{1，...，q-1}，计算r₁＝t₂-(r₂+r₃+…+r_n)mod q；

步骤2.3、密钥生成中心设置第1部分私钥

第2部分私钥

...，第n-1部分私钥

第n部分私钥

步骤2.4、密钥生成中心将部分私钥分别发给对应的每个通信方U_i。

3.一种多方联合SM9密文解密方法，，其特征在于，包括：定义密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K₁_len，函数MAC(K₂，Z)中密钥K₂的比特长度为K₂_len；为了对密文C解密，n个通信方进行如下步骤的交互：

步骤1、每个通信方U_i(1≤i≤n)从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，U_i计算临时变量

步骤2、通信方U_i(2≤i≤n)将E_i发送给U₁；

步骤3、U₁计算

将w_n的数据类型转换为比特串，并按照SM9的解密算法进行解密计算：

步骤3.1、若加密明文的方法是基于密钥派生函数的序列密码算法，则

步骤3.11、计算klen＝mlen+K₂_len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前mlen比特，K₂′为K′的后K₂_len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.12、否则，计算

步骤3.2、若加密明文的方法是基于密钥派生函数的分组密码算法，则

步骤3.21、计算klen＝K₁_len+K₂_len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前K₁_len比特，K₂′为K′的后K₂_len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.22、否则，计算M′＝Dec(K₁′，C₂)，其中Dec(·)为分组解密算法；、

步骤3.3、计算u＝MAC(K₂′，C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

步骤3.4、否则，输出明文M′。

4.一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

定义密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K₁_len，函数MAC(K₂，Z)中密钥K₂的比特长度为K₂_len；为了对密文C解密，n个通信方进行如下步骤的交互：

步骤1、每个通信方U_i(1≤i≤n)从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，U_i计算临时变量

步骤2、通信方U_i(2≤i≤n)将E_i发送给U₁；

步骤3、U₁计算

将w_n的数据类型转换为比特串，并按照SM9的解密算法进行解密计算：

步骤3.1、若加密明文的方法是基于密钥派生函数的序列密码算法，则

步骤3.11、计算klen＝mlen+K₂_len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前mlen比特，K₂′为K′的后K₂_len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.12、否则，计算

步骤3.2、若加密明文的方法是基于密钥派生函数的分组密码算法，则

步骤3.21、计算klen＝K₁_len+K₂_len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前K₁_len比特，K₂′为K′的后K₂_len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.22、否则，计算M′＝Dec(K₁′，C₂)，其中Dec(·)为分组解密算法；

步骤3.3、计算u＝MAC(K₂′，C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

步骤3.4、否则，输出明文M′。

Images