CN111106936B - 一种基于sm9的属性加密方法与系统 - Google Patents

Abstract

本发明公开了信息安全技术领域，具体涉及一种基于SM9的属性加密方法与系统，旨在解决现有技术中基于身份标识的加密算法存在用户信息管理开销大、维护困难、用户隐私易泄露的技术问题。密钥生成中心生成系统主私钥和系统主公钥；密钥生成中心KGC基于用户B的请求，结合用户B的属性集、用户B所在组的身份标识，生成用户私钥；用户A结合系统主公钥、用户B所在组的身份标识对消息进行加密；用户B通过用户私钥对密文解密得到解密结果。本发明基于属性加密机制将用户的私钥和密文用一组属性集关联起来，只有密钥属性与密文属性相匹配才能对密文执行解密操作，不会因为系统中成员的数量而影响加密开销，具有更灵活的访问控制结构。

Description

一种基于SM9的属性加密方法与系统

技术领域

本发明属于信息安全技术领域，具体涉及一种基于SM9的属性加密方法与系统。

背景技术

加密算法作为保护数据隐私的重要工具之一，得到了工业界和学术界的广泛关注。当前加密算法根据其所基于的密钥体制可分为：对称加密算法和公钥加密算法。其中，公钥加密算法因有效解决密钥分发与管理问题而被用于多用户场景应用中，如物联网、云计算等。

SM9椭圆曲线公钥密码算法是由国家密码管理局发布的标识密码算法(参见“GM/T0044-2016SM9标识密码算法”标准，国家密码管理局，2016年3月)，算法包括数据加密、数字签名、密钥交换等算法和协议。其中，SM9公钥加密算法作为基于身份标识的加密算法，在避免传统公钥加密中证书管理流程的同时，兼具高效性、高安全性等特点，可被广泛用于邮件传输、数据传输等领域。SM9公钥加密算法包括系统初始化算法(SM9_Setup)、用户密钥生成算法(SM9_KeyGen)、密钥封装算法(SM9_KeyEnc)、密钥解封算法(SM9_KeyDec)、加密算法(SM9_Enc)和解密算法(SM9_Dec)。然而，基于身份标识的加密算法在云计算、大数据等多用户环境下存在用户信息维护成本高、用户信息易泄露、系统访问策略不灵活等缺陷。

发明内容

本发明的目的在于提供一种基于SM9的属性加密方法与系统，以解决现有技术中基于身份标识的加密算法存在用户信息管理开销大、维护困难、用户隐私易泄露的技术问题。

为达到上述目的，本发明所采用的技术方案是：一种基于SM9的属性加密方法，包括：a、获取基于SM9的属性加密方法所需的系统参数；b、由密钥生成中心KGC生成系统主私钥MSK，并结合系统参数生成系统主公钥MPK；c、密钥生成中心KGC基于用户B的请求，结合系统主私钥MSK、用户B的属性集At_B、用户B所在组的身份标识GID和系统参数，生成用户私钥USK并发送给用户B；d、用户A结合系统主公钥MPK、用户B所在组的身份标识GID和系统参数对消息M进行加密并将产生的密文CT发送给用户B；e、用户B通过用户私钥USK结合系统参数对密文CT解密得到解密结果M′。

所述系统参数包括：椭圆曲线参数、辅助函数和双线性对参数。

所述步骤b包括：

b1.密钥生成中心KGC随机产生s,t∈{1,2,…,n-1}，并令MSK＝s||t作为系统主私钥，其中，s为系统主私钥的组成部分之一，t为系统主私钥组成部分之二，n表示群G₁、G₂、G_T的阶，G₁表示加法循环群之一，G₂表示加法循环群之二，G_T表示乘法循环群，群G₁,G₂和群G_T有相同的阶；

b2.密钥生成中心KGC根据所选主私钥的组成部分s,t，通过以下公式计算并公布系统主公钥MPK：

MPK＝{s·P₁,t·P₁}                       (1)

其中，令PK₁＝s·P₁表示系统主公钥组成部分之一，令PK₂＝t·P₁表示系统主公钥组成部分之二，P₁表示群G₁的生成元。

所述步骤c包括：

c1.用户B将自己所在群组的身份标识GID发送给密钥生成中心KGC，请求用户私钥；

c2.密钥生成中心KGC收到用户B的请求后，确认GID是否合法并验证用户B是否在GID对应的群组中；如果验证通过，密钥生成中心KGC为用户B选择随机数r₂∈{1,2,3,…,n-1}，并结合生成的系统主私钥MSK＝s||t、用户B的属性集At_B、用户B所在组的身份标识GID和计算公式(2)作为用户B私钥的一部分：

其中，sk₁表示用户B私钥的组成部分之一，h₁表示由安全的密码杂凑函数派生的密码函数，P₂表示群G2的生成元；

c3.对于属性集At_B中的每个属性j，KGC选择随机数m_j∈{1,2,3,…,n-1}并代入公式(3)、(4)进行计算，计算结果作为用户B私钥的属性私钥：

其中，t^-1表示t在模n下的逆，

表示用户B私钥的属性私钥之一，

表示用户B私钥的属性私钥之二，H₁()表示安全的密码杂凑函数；

c4.密钥生成中心KGC生成用户B私钥

并通过安全信道发送给用户B；

c5.用户B接收并秘密保存密钥生成中心KGC发送的用户私钥USK。

所述步骤d包括：

d1.用户A查询用户B所在群组的身份标识GID，如果对应GID存在，则计算公式(5)作为加密中间值：

Q_B＝h₁(GID,n)·P₁+PK₁                 (5)

其中，Q_B表示加密中间值；

d2.用户A随机选择r₁∈{1,2,3,…,n-1}，计算公式(6)、(7)、(8)：

C₁＝r₁·Q_B                         (6)

g＝e(PK₁,P₂)                    (7)

其中，C₁表示密文的组成部分之一，g表示加密中间结果，e表示从G1×G2到G_T的双线性对，ω表示密文的组成部分之四；

d3.将用户A选择的随机数r₁作为根节点的秘密，构建访问控制树T；访问控制树T中的所有非叶节点x都有一个随机多项式q_x，多项式的次数d_x与该节点门限k_x满足公式(9)：

d_x＝k_x-1                             (9)

从根节点开始，令q_r(0)＝r₁，其中，q_r(0)表示根节点r所对应的多项式在变量取0时的值，然后随机选取其他节点x，对应多项式变量取0时应满足公式(10)：

q_x(0)＝q_parent(x)(index(x))                (10)

其中，q_x(0)表示非叶子节点x所对应的多项式在变量取0时的值；q_parent(x)(index(x))表示节点parent(x)所对应的多项式在变量取index(x)时的值，parent(x)表示节点x的父节点，index(x)表示节点x所对应的索引值，x表示访问控制树T中的非叶子节点，T表示访问控制树；

d4.利用公式(11)和(12)计算对属性加密的密文部分C_y和

C_y＝q_y(0)·PK₂                          (11)

其中，C_y表示密文的组成部分之五，

表示密文的组成部分之六，q_y(0)表示叶子节点y所对应的多项式在变量取0时的值，q_y(0)·PK₂表示两者在椭圆曲线上进行标量乘，PK₂表示系统主公钥的组成部分之二；att(y)表示叶子节点y对应的属性值，y表示访问控制树T上的叶子节点；

d5.用户A计算：

K＝KDF(C₁||ω||GID,mlen+K₂_len)        (13)

其中，K表示派生密钥，KDF()表示密钥派生函数，用于生成消息加密密钥和消息认证密钥，GID表示用户B所在群组的身份标识，mlen表示待加密消息M的比特长，M表示待加密消息，K₂_len表示比特串K₂的比特长，K₂表示用于生成消息认证码的密钥；

令K₁为派生密钥K的前mlen比特，K₁表示加密密钥，K₂为后面K₂_len比特，如果K₁为全0比特，跳至步骤d2，否则进入步骤d6；

d6.用户A通过等式(14)、(15)计算加密中间值C₂和消息认证码C₃，输出密文

C₃＝H₁(K₂||C₂)                    (15)

其中，C₂表示密文的组成部分之二、C₃表示密文的组成部分之三，

表示长度相等的两个比特串按比特的模2加异或运算，其中，Y表示访问控制树T的所有叶子节点集合；

d7.用户A将输出的密文

发送给用户B。

所述步骤e包括：

e1.用户B接收到密文CT后，首先用等式(16)对叶子结点y∈Y进行解密，得到对叶子节点y的解密结果DecrypteNode(CT,USK,y)：

其中，m_y为在用户私钥生成阶段，由KGC(密钥生成中心)生成的随机数；

e2.访问控制树的非叶子节点中的秘密值由拉格朗日插值定理求得，即当且仅当门限值为k_x,多项式次数为d_x＝k_x-1的非叶子节点X的子节点Y中，有k_x个秘密值被用户B所知时，意味着用户B有满足此节点门限的k_x个属性，用户B可以解出该非叶子节点X的秘密值，非叶子节点X的秘密值解法如下：

其中，S_x为非叶节点x的子节点的集合，k_x为节点x的门限值，z为S_x集合中的一个点，F_z＝DecrypteNode(CT,USK,z)表示z节点的解密值,F_x＝DecrypteNode(CT,USK,x)表示x节点的解密值，

表示拉格朗日系数；

e3.当且仅当用户B的属性满足访问控制树T的门限要求时，用户B可以通过步骤e2解密到根节点，其结果有：

其中，R表示解密阶段中求得的中间结果之一；

此时随机数r₁、r₂均嵌入到双线性对的结果中，接着，计算

其中，ω^*表示解密阶段中求得的中间结果之二；

e4.用户B计算K′＝KDF(C₁||ω^*||GID,mlen+K₂_len)，其中，K′表示解密阶段中求得中间结果之三，取K′的前mlen比特K′₁和后K₂_len比特K′₂，K′₁表示解密阶段中求得的解密密钥，K′₂表示解密阶段中求得的认证密钥。如果K′₁为全0，则解密系统报错并退出，否则进入步骤e5；

e5.用户B计算

和C′₃＝H₁(K′₂||C₂)，其中，M′为解密结果，C′₃表示解密过程中得到的消息认证码，将其与C₃进行比较，如果C′₃与C₃不相等，则解密系统报错退出，否则输出解密结果M′。

一种基于SM9的属性加密系统，包括：系统初始化模块、系统密钥生成模块、用户密钥生成模块、消息加密模块和用户解密模块，所述系统初始化模块，用于产生整个加密系统所需的系统参数；所述系统密钥生成模块，用于生成系统主私钥和系统主公钥；所述用户密钥生成模块，用于基于系统主私钥和用户B的属性信息生成用户B的用户私钥；所述消息加密模块，用于用户A基于系统主公钥和用户B的属性信息对消息M进行加密，并将密文CT发送给用户B；所述用户解密模块，用于用户B基于用户私钥对密文CT解密得到解密结果M′。

一种基于SM9的属性加密系统，包括：存储器和处理器，所述存储器用于存储指令，所述处理器用于根据所述指令进行操作以执行上述任一项所述方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述任一项所述方法的步骤。

与现有技术相比，本发明所达到的有益效果：本发明基于属性加密机制将用户的私钥和密文用一组属性集(如年龄、籍贯)关联起来，只有密钥属性与密文属性相匹配才能对密文执行解密操作，基于属性的加密系统不仅不会因为系统中成员的数量而影响加密开销，还具有更灵活的访问控制结构，与传统加密机制相比，基于属性的加密机制具有灵活性、隐私性、动态性、高效性等特点，更适用于大数据、云服务等多用户场景下的多对多通信方式。

附图说明

图1是本发明实施例提供的一种基于SM9的属性加密方法的流程示意图；

图2是本发明实施例提供的一种基于SM9的属性加密方法的系统主密钥生成实例流程示意图；

图3是本发明实施例提供的一种基于SM9的属性加密方法的用户密钥生成实例交互示意图；

图4是本发明实施例提供的一种基于SM9的属性加密方法的数据加密实例流程示意图；

图5是本发明实施例提供的一种基于SM9的属性加密方法的数据解密实例流程示意图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

如图1所示，一种基于SM9的属性加密方法，包括如下步骤：

步骤1、系统初始化，获取基于SM9的属性加密方法所需的系统参数；

步骤2、系统主密钥生成，由密钥生成中心KGC生成系统主私钥MSK，并结合系统参数生成系统主公钥MPK；

步骤3、用户私钥生成，密钥生成中心KGC基于用户B的请求，结合系统主私钥MSK、用户B的属性集At_B、用户B所在组的身份标识GID和系统参数，生成用户私钥USK并发送给用户B；

步骤4、消息加密，用户A结合系统主公钥MPK、用户B所在组的身份标识GID和系统参数对消息M进行加密并将产生的密文CT发送给用户B；

步骤5、密文解密，用户B通过用户私钥USK结合系统参数对密文CT解密得到解密结果M′。

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。

步骤1、初始化(Setup)：该步骤主要用于产生整个加密系统所需参数。参数包括：椭圆曲线相关参数：(cid、q、F_q、a、b、n、k、cf、G₁、G₂、P₁、P₂)；辅助函数：(H₁、h₁、KDF)等；双线性对相关参数：e、eid、G_T。本发明是基于SM9加密算法的改进和优化，因此，与SM9使用相同的系统参数，

其中，cid为曲线识别符，q为大素数，F_q为椭圆曲线基域，a、b为椭圆曲线方程的参数，系F_q中的元素，n表示群G₁、G₂、G_T的阶，G₁表示加法循环群之一，G₂表示加法循环群之二，G_T表示乘法循环群，群G₁,G₂和群G_T有相同的阶，cf为相对于n的余因子；k为椭圆曲线E(F_q)相对于n的嵌入次数，P₁为加法循环群之一G₁的生成元，P₂为加法循环群之二G₂的生成元；辅助函数H₁()表示安全的密码杂凑函数，h₁为由H₁()生成的密码函数，KDF()表示密钥派生函数，用于派生出K₁和K₂，K₁表示加密密钥，K₂表示用于生成消息认证码的密钥；eid为双线性对e的标识符，G_T为n阶乘法循环群。

上述密码函数h₁(Z,N)算法如下：

步骤1.1)密码函数h₁(Z,N)：

输入：比特串Z，整数N；

输出：整数h∈[1,N-1]。

步骤1.1.1)初始化一个32比特构成的计数器ct＝0x00000001；

步骤1.1.2)计算

其中，hlen表示输出整数h的比特长；

步骤1.1.3)对i从1到

执行：

计算Ha_i＝H₁(0x01||Z||ct)；

ct++；

其中，v表示安全杂凑函数H₁()的杂凑输出的比特长，H₁()表示前文所提及的安全杂凑函数，i表示该步骤循环次数的计数器，hlen/v表示循环总次数，Ha_i表示计算中间结果，0x01表示Tate对，即双线性对；

步骤1.1.4)若hlen/v是整数，令

否则令

为

最左边的

比特；

其中，

为算法的中间结果，

为步骤1.1.3)最后一次循环得到的值，v表示安全杂凑函数H₁()的杂凑输出的比特长，H₁()表示前文所提及的安全杂凑函数；

步骤1.1.5)令

将Ha的数据类型转换为整数；

其中，

均为步骤1.1.3)计算得到的值，

为步骤1.1.4)计算得到的算法中间结果，

表示将这些值按比特链接；

步骤1.1.6)计算h＝(Ha mod(N-1))+1。

其中，h表示该算法的输出，Ha表示步骤1.1.5)的计算结果，Ha mod(N-1)表示Ha对N-1进行取模运算。

上述密钥派生函数KDF()算法构造如下：

步骤1.2)密钥派生函数KDF(Z,klen)：

输入：比特串Z(双方共享的数据)，整数klen(表示要获得的密钥数据的比特长度)。

输出：长度为klen的密钥数据比特串K。

步骤1.2.1)初始化一个32比特构成的计数器ct＝0x00000001；

步骤1.2.2)对i从1到

执行：

计算Ha_i＝H₁(Z||ct)；

ct++；

其中，hlen/v表示循环总次数，Ha_i表示计算中间结果。

步骤1.2.3)若hlen/v是整数，令

否则令

为

最左边的

比特；

其中，

为算法的中间结果，

为步骤1.2.2)最后一次循环得到的值，v表示安全杂凑函数H₁()的杂凑输出的比特长，H₁()表示前文所提及的安全杂凑函数；

步骤1.2.4)令

均为步骤1.2.2)计算得到的值，

为步骤1.2.3)计算得到的算法中间结果，

表示将这些值按比特链接；

步骤2)系统主密钥生成：由密钥生成中心KGC生成系统主公钥MPK和系统主私钥MSK，其中系统主公钥MPK，由KGC公开；系统主私钥MSK，由KGC保密。

如图2所示，具体过程如下：

步骤2.1：KGC随机产生s,t∈{1,2,…,n-1}，并令MSK＝s||t作为系统主私钥。

步骤2.2：KGC根据所选主私钥的组成部分s,t，根据所选主私钥s，通过公式(1)计算并公布系统主公钥MPK，

MPK＝{s·P₁,t·P₁}                               (1)

其中，s为系统主私钥的组成部分之一，t为系统主私钥组成部分之二；令PK₁＝s·P₁表示系统主公钥组成部分之一，令PK₂＝t·P₁表示系统主公钥组成部分之二；

步骤3.用户私钥生成(UserKeyGen)：如图3，该步骤主要用于产生用户B的加密私钥。在该步骤中，用户私钥里面基于属性集的属性私钥为本发明主要创新点之一。具体过程如下：

步骤3.1：用户B将自己所在群组的身份标识GID发送给KGC，请求用户私钥。

步骤3.2：KGC收到用户B的请求后，确认GID是否合法并验证用户B是否在GID对应的群组中。如果验证通过，KGC为用户B选择随机数r₂∈{1,2,3,…,n-1},并结合生成的系统主私钥MSK＝s||t、用户B的属性集At_B、用户B所在组的身份标识GID，计算公式(2)作为用户B私钥的一部分。

其中，sk₁表示用户B私钥的组成部分之一，h₁表示由安全的密码杂凑函数派生的密码函数，P₂表示群G2的生成元，G₂表示本专利中使用的加法循环群，n表示群G₂的阶。

步骤3.3：对于属性集At_B中的每个属性j，KGC选择随机数m_j∈{1,2,3,…,n-1}并代入公式(3)、(4)进行计算，计算结果作为用户B私钥的属性私钥。

其中，t^-1表示t在模n下的逆，n表示群G₁、G₂、G_T的阶，

表示用户B私钥的属性私钥之一，

表示用户B私钥的属性私钥之二，H₁()表示安全的密码杂凑函数。

步骤3.4：KGC生成用户B私钥

并通过安全信道发送给用户B。

步骤3.5：用户B接收并秘密保存KGC发送的用户私钥USK。

步骤4.数据加密(Encrypt)：如图4，该步骤主要用于用户A对消息M进行加密产生密文CT。该步骤与SM9加密算法中加密过程基本相同，但是在密文中加入了基于属性加密的密文部分。具体过程如下：

步骤4.1：加密用户A查询用户B所在群组的标识GID，如果对应GID存在，则计算公式(5)作为加密中间值。

Q_B＝h₁(GID,n)·P₁+PK₁                  (5)

其中，Q_B表示加密中间值；

步骤4.2：用户A随机选择r₁∈{1,2,3,…,n-1}，计算公式(6)、(7)、(8)得到加密中间结果C₁、g、ω。

C₁＝r₁·Q_B                                    (6)

g＝e(PK₁,P₂)                                (7)

其中，C₁表示密文的组成部分之一，g表示加密中间结果，e表示从G1×G2到G_T的双线性对，ω表示密文的组成部分之四；

步骤4.3：系统将用户A选择的随机数r₁作为根节点的秘密，构建访问控制树T。访问控制树T中的所有非叶节点x都有一个随机多项式q_x，多项式的次数d_x与该节点门限k_x满足公式(9)：

d_x＝k_x-1                             (9)

从根节点开始，令q_r(0)＝r₁，其中q_r(0)表示根节点r所对应的多项式在变量取0时的值，然后随机选取其他节点x，对应多项式变量取0时应满足公式(10)。

q_x(0)＝q_parent(x)(index(x))                (10)

其中，q_x(0)表示非叶子节点x所对应的多项式在变量取0时的值；q_parent(x)(index(x))表示节点parent(x)所对应的多项式在变量取index(x)时的值，parent(x)表示节点x的父节点，index(x)表示节点x所对应的索引值，x表示访问控制树T中的非叶子节点，T表示访问控制树；

步骤4.4：利用公式(11)和(12)计算对属性加密的密文部分C_y和

C_y＝q_y(0)·PK₂                         (11)

其中，C_y表示密文的组成部分之五，

表示密文的组成部分之六，q_y(0)表示叶子节点y所对应的多项式在变量取0时的值，P₁表示群G₁的生成元，G₁表示本专利中使用的加法循环群，q_y(0)·PK₂表示两者在椭圆曲线上进行标量乘，PK₂表示系统主公钥的组成部分之二；att(y)表示叶子节点y对应的属性值，H₁()表示安全的密码杂凑函数，y表示访问控制树T上的叶子节点，T表示访问控制树；

步骤4.5：用户A计算

K＝KDF(C₁||ω||GID,mlen+K₂_len)            (13)

其中，K表示派生密钥，KDF()表示密钥派生函数，用于生成消息加密密钥和消息认证密钥，C₁和ω均为密文的一部分，GID表示用户B所在群组的身份标识，mlen表示消息M的比特长，M表示待加密消息，K₂_len表示比特串K₂的比特长，K₂表示用于生成消息认证码的密钥；

令K₁为派生密钥K的前mlen比特，K₂为后面K₂_len比特，如果K₁为全0比特，跳至步骤4.2，否则进入步骤4.6。

步骤4.6：用户A通过等式(14)、(15)计算加密中间值C₂和消息认证码C₃，输出密文

C₃＝H₁(K₂||C₂)                           (15)

其中，C₂表示密文的组成部分之二、C₃表示密文的组成部分之三，

表示长度相等的两个比特串按比特的模2加异或运算，其中，Y表示访问控制树T的所有叶子节点集合；

步骤4.7：用户A将输出的密文

发送给用户B。

步骤5.数据解密(Decrypt)：如图5，该步骤主要用于用户B解密用户A发送来的密文信息CT，生成解密结果M′。具体解密过程如下：

步骤5.1：用户B接收到密文CT后，首先用等式(16)对叶子结点y∈Y进行解密，得到对叶子节点y的解密结果DecrypteNode(CT,USK,y)。

其中，m_y为在用户私钥生成阶段，由KGC(密钥生成中心)生成的随机数；

步骤5.2：访问控制树的非叶子节点中的秘密值由拉格朗日插值定理求得，即当且仅当非叶子节点X(门限值为k_x,多项式次数为d_x＝k_x-1)的子节点Y中，有k_x个秘密值被用户B所知时，意味着用户B有满足此节点门限的k_x个属性，用户B可以解出该非叶子节点X的秘密值。非叶子节点X的秘密值解法如下：

其中，S_x为非叶节点x的子节点的集合，k_x为节点x的门限值，z为S_x集合中的一个点，F_z＝DecrypteNode(CT,USK,z)表示z节点的解密值(参见步骤5.1),F_x＝DecrypteNode(CT,USK,x)表示x节点的解密值。

表示拉格朗日系数。

步骤5.3：当且仅当用户B的属性满足访问控制树T的门限要求时，用户B可以通过步骤5.2)解密到根节点，其结果有：

其中，R表示解密阶段中求得的中间结果之一；

此时随机数r₁、r₂均嵌入到双线性对的结果中，接着，计算

其中，ω^*表示解密阶段中求得的中间结果之二；

可以证明ω^*与ω相等，证明过程见(20)：

步骤5.4：用户B计算K′＝KDF(C₁||ω^*||GID,mlen+K₂_len)，其中，K′表示解密阶段中求得中间结果之三，取K′的前mlen比特K′₁和后K₂_len比特K′₂，K′₁表示解密阶段中求得的解密密钥，K′₂表示解密阶段中求得的认证密钥。如果K′₁为全0，则解密系统报错并退出，否则进入步骤5.5。

步骤5.5：用户B计算

和C′₃＝H₁(K′₂||C₂)，M′为解密结果，C′₃表示解密过程中得到的消息认证码，将其与C₃进行比较，如果C′₃与C₃不相等，则解密系统报错退出，否则输出解密结果M′。

本发明基于属性加密机制将用户的私钥和密文用一组属性集(如年龄、籍贯)关联起来，只有密钥属性与密文属性相匹配才能对密文执行解密操作，基于属性的加密系统不仅不会因为系统中成员的数量而影响加密开销，还具有更灵活的访问控制结构，与传统加密机制相比，基于属性的加密机制具有灵活性、隐私性、动态性、高效性等特点，更适用于大数据、云服务等多用户场景下的多对多通信方式。

根据上述方法，本发明还提供一种基于SM9的属性加密系统，包括：

系统初始化模块，用于产生整个加密系统所需的系统参数，参数包括：椭圆曲线相关参数；辅助函数；双线性对相关参数等。

系统密钥生成模块，用于有密钥生成中心KGC生成系统主公私钥(MPK,MSK)，其中，MPK为系统主公钥，MSK为系统主私钥。

用户密钥生成模块，用于产生用户B的用户私钥，密钥生成中心KGC基于用户B的请求，结合系统主私钥MSK、用户B的属性集At_B、用户B所在组的身份标识GID和系统参数，生成用户私钥USK并发送给用户B。

消息加密模块，用于用户A产生消息M的加密密文CT，用户A结合系统主公钥MPK、用户B所在组的身份标识GID和系统参数对消息M进行加密并将产生的密文CT发送给用户B。

用户解密模块，用于由密文接收者用户B对密文CT进行解密得到解密后的消息M′，用户B通过用户私钥USK结合系统参数对密文CT解密得到解密结果M′。

根据上述方法，本发明还提供一种基于SM9的属性加密系统，包括：存储器和处理器，存储器用于存储指令，处理器用于根据所述指令进行操作以执行前述方法的步骤。

根据上述方法，本发明还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述方法的步骤。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (6)

1.一种基于SM9的属性加密方法，其特征是，包括：

a、获取基于SM9的属性加密方法所需的系统参数；

b、由密钥生成中心KGC生成系统主私钥MSK，并结合系统参数生成系统主公钥MPK；

c、密钥生成中心KGC基于用户B的请求，结合系统主私钥MSK、用户B的属性集At_B、用户B所在组的身份标识GID和系统参数，生成用户私钥USK并发送给用户B；

d、用户A结合系统主公钥MPK、用户B所在组的身份标识GID和系统参数对消息M进行加密并将产生的密文CT发送给用户B；

e、用户B通过用户私钥USK结合系统参数对密文CT解密得到解密结果M′；

所述步骤b包括：

b1.密钥生成中心KGC随机产生s,t∈{1,2,…,n-1}，并令MSK＝s||t作为系统主私钥，其中，s为系统主私钥的组成部分之一，t为系统主私钥组成部分之二；n表示群G₁、G₂、G_T的阶，G₁表示加法循环群之一，G₂表示加法循环群之二，G_T表示乘法循环群，群G₁,G₂和群G_T有相同的阶；

b2.密钥生成中心KGC根据所选主私钥的组成部分s,t，通过以下公式计算并公布系统主公钥MPK：

MPK＝{s·P₁,t·P₁}                       (1)

其中，令PK₁＝s·P₁表示系统主公钥组成部分之一，令PK₂＝t·P₁表示系统主公钥组成部分之二，P₁表示群G₁的生成元；

所述步骤c包括：

c1.用户B将自己所在群组的身份标识GID发送给密钥生成中心KGC，请求用户私钥；

c2.密钥生成中心KGC收到用户B的请求后，确认GID是否合法并验证用户B是否在GID对应的群组中；如果验证通过，密钥生成中心KGC为用户B选择随机数r₂∈{1,2,3,…,n-1}，并结合生成的系统主私钥MSK＝s||t、用户B的属性集At_B、用户B所在组的身份标识GID和计算公式(2)作为用户B私钥的一部分：

其中，sk₁表示用户B私钥的组成部分之一，h₁表示由安全的密码杂凑函数派生的密码函数，P₂表示群G2的生成元；

c3.对于属性集At_B中的每个属性j，KGC选择随机数m_j∈{1,2,3,…,n-1}并代入公式(3)、(4)进行计算，计算结果作为用户B私钥的属性私钥：

其中，t^-1表示t在模n下的逆，

表示用户B私钥的属性私钥之一，

表示用户B私钥的属性私钥之二，H₁()表示安全的密码杂凑函数；

c4.密钥生成中心KGC生成用户B私钥

并通过安全信道发送给用户B；

c5.用户B接收并秘密保存密钥生成中心KGC发送的用户私钥USK；

所述步骤d包括：

d1.用户A查询用户B所在群组的身份标识GID，如果对应GID存在，则计算公式(5)作为加密中间值：

Q_B＝h₁(GID,n)·P₁+PK₁                 (5)

其中，Q_B表示加密中间值；

d2.用户A随机选择r₁∈{1,2,3,…,n-1}，计算公式(6)、(7)、(8)：

C₁＝r₁·Q_B                         (6)

g＝e(PK₁,P₂)                      (7)

其中，C₁表示密文的组成部分之一，g表示加密中间结果，e表示从G1×G2到G_T的双线性对，ω表示密文的组成部分之四；

d3.将用户A选择的随机数r₁作为根节点的秘密，构建访问控制树T；访问控制树T中的所有非叶节点x都有一个随机多项式q_x，多项式的次数d_x与该节点门限k_x满足公式(9)：

d_x＝k_x-1                             (9)

从根节点开始，令q_r(0)＝r₁，其中，q_r(0)表示根节点r所对应的多项式在变量取0时的值，然后随机选取其他节点x，对应多项式变量取0时应满足公式(10)：

q_x(0)＝q_parent(x)(index(x))                (10)

其中，q_x(0)表示非叶子节点x所对应的多项式在变量取0时的值；q_parent(x)(index(x))表示节点parent(x)所对应的多项式在变量取index(x)时的值，parent(x)表示节点x的父节点，index(x)表示节点x所对应的索引值，x表示访问控制树T中的非叶子节点，T表示访问控制树；

d4.利用公式(11)和(12)计算对属性加密的密文部分C_y和

C_y＝q_y(0)·PK₂                          (11)

其中，C_y表示密文的组成部分之五，

表示密文的组成部分之六，q_y(0)表示叶子节点y所对应的多项式在变量取0时的值，q_y(0)·PK₂表示两者在椭圆曲线上进行标量乘，PK₂表示系统主公钥的组成部分之二；att(y)表示叶子节点y对应的属性值，y表示访问控制树T上的叶子节点；

d5.用户A计算：

K＝KDF(C₁||ω||GID,mlen+K₂_len)        (13)

其中，K表示派生密钥，KDF()表示密钥派生函数，用于生成消息加密密钥和消息认证密钥，GID表示用户B所在群组的身份标识，mlen表示待加密消息M的比特长，M表示待加密消息，K₂_len表示比特串K₂的比特长，K₂表示用于生成消息认证码的密钥；

令K₁为派生密钥K的前mlen比特，K₁表示加密密钥，K₂为后面K₂_len比特，如果K₁为全0比特，跳至步骤d2，否则进入步骤d6；

d6.用户A通过等式(14)、(15)计算加密中间值C₂和消息认证码C₃，输出密文

C₃＝H₁(K₂||C₂)                    (15)

其中，C₂表示密文的组成部分之二、C₃表示密文的组成部分之三，

表示长度相等的两个比特串按比特的模2加异或运算，其中，Y表示访问控制树T的所有叶子节点集合；

d7.用户A将输出的密文

发送给用户B。

2.根据权利要求1所述的基于SM9的属性加密方法，其特征是，所述系统参数包括：椭圆曲线参数、辅助函数和双线性对参数。

3.根据权利要求1所述的基于SM9的属性加密方法，其特征是，所述步骤e包括：

e1.用户B接收到密文CT后，首先用等式(16)对叶子结点y∈Y进行解密，得到对叶子节点y的解密结果DecrypteNode(CT,USK,y)：

其中，m_y为在用户私钥生成阶段，由密钥生成中心KGC生成的随机数；

e2.访问控制树的非叶子节点中的秘密值由拉格朗日插值定理求得，即当且仅当门限值为k_x,多项式次数为d_x＝k_x-1的非叶子节点X的子节点Y中，有k_x个秘密值被用户B所知时，意味着用户B有满足此节点门限的k_x个属性，用户B可以解出该非叶子节点X的秘密值，非叶子节点X的秘密值解法如下：

其中，S_x为非叶节点x的子节点的集合，k_x为节点x的门限值，z为S_x集合中的一个点，F_z＝DecrypteNode(CT,USK,z)表示z节点的解密值,F_x＝DecrypteNode(CT,USK,x)表示x节点的解密值，

表示拉格朗日系数；

e3.当且仅当用户B的属性满足访问控制树T的门限要求时，用户B可以通过步骤e2解密到根节点，其结果有：

其中，R表示解密阶段中求得的中间结果之一；

此时随机数r₁、r₂均嵌入到双线性对的结果中，接着，计算

其中，ω^*表示解密阶段中求得的中间结果之二；

e4.用户B计算K′＝KDF(C₁||ω^*||GID,mlen+K₂_len)，其中，K′表示解密阶段中求得中间结果之三，取K′的前mlen比特K′₁和后K₂_len比特K′₂，K′₁表示解密阶段中求得的解密密钥，K′₂表示解密阶段中求得的认证密钥；如果K′₁为全0，则解密系统报错并退出，否则进入步骤e5；

e5.用户B计算

和C′₃＝H₁(K′₂||C₂)，其中，M′为解密结果，C′₃表示解密过程中得到的消息认证码，将其与C₃进行比较，如果C′₃与C₃不相等，则解密系统报错退出，否则输出解密结果M′。

4.一种基于权利要求1～3任一项所述的基于SM9的属性加密方法的属性加密系统，其特征是，包括：系统初始化模块、系统密钥生成模块、用户密钥生成模块、消息加密模块和用户解密模块，

所述系统初始化模块，用于产生整个加密系统所需的系统参数；

所述系统密钥生成模块，用于生成系统主私钥和系统主公钥；

所述用户密钥生成模块，用于基于系统主私钥和用户B的属性信息生成用户B的用户私钥；

所述消息加密模块，用于用户A基于系统主公钥和用户B的属性信息对消息M进行加密，并将密文CT发送给用户B；

所述用户解密模块，用于用户B基于用户私钥对密文CT解密得到解密结果M′。

5.一种基于SM9的属性加密系统，其特征是，包括：存储器和处理器，所述存储器用于存储指令，所述处理器用于根据所述指令进行操作以执行权利要求1～3任一项所述方法的步骤。

6.一种计算机可读存储介质，其上存储有计算机程序，其特征是，该程序被处理器执行时实现权利要求1～3任一项所述方法的步骤。

Images