CN113824559B - 基于sm9的高效分层加密方法 - Google Patents

Abstract

本发明公开基于SM9的高效分层加密方法，在SM9标识加密算法整体架构的基础上，优化用户密钥生成算法和加密算法，实现SM9高效分层加密功能。密文是定长的，由三个元素组成，与层数无关。用户的解密密钥可由其上一层用户生成，无需由密钥生成中心生成。该密钥与通过密钥中心生成的密钥是等效的。同一层用户合谋也无法获取上一层用户的密钥。保证高安全和高效率的同时，有效的降低了密钥生成中心的负荷，系统效率显著提高，对完善SM9标识密码具有一定的促进作用。

Description

基于SM9的高效分层加密方法

技术领域

本发明涉及信息安全技术领域，尤其涉及基于SM9的高效分层加密方法。

背景技术

标识密码系统能有效消除传统公钥体制中的证书管理和证书验证问题。在该系统中每个用户的公钥可以是能唯一标识该用户的任意字符串，比如电话号码、邮箱地址等。用户的密钥通过可信的第三方密钥生成中心生成。由于密钥生成中心需为每个用户生成密钥，当系统中用户数量较大时，密钥生成中心负荷较大，导致系统效率较低。为减轻密钥生成中心的负荷，且在不影响用户密钥安全性的前提下，Horwitz和Lynn于2002年提出了分层标识加密的概念。

在分层标识加密系统中，最顶层的密钥生成中心称为根密钥生成中心，根密钥生成中心只需为其下一层的子密钥生成中心(可以看成是用户)分发密钥。该层子密钥生成中心又可为其下一层的子密钥生成中心分发密钥，即上一层用户可以为下一层用户生成密钥。分层标识加密系统要求通过上一层用户生成的下一层用户的密钥，与直接通过根密钥生成中心生成的密钥是等价有效的，且同一层用户合谋也无法获取上一层用户的密钥。分层标识加密技术极大的减轻了根密钥生成中心的负荷，有效提高了系统效率。

为满足信息安全自主可控的要求，我国自主设计了包括数字签名算法、密钥交换协议、密钥封装机制和公钥加密算法的SM9标识系列密码，具有较高的安全性和高效率性。SM9密码算法已成为我国商用密码标准，用于保护网络和信息安全。SM9密码算法属于标识密码，当系统用户数量较大时，同样存在上述标识加密系统的问题。虽然SM9密码算法得到国内学者的积极研究，但是尚未实现高效的SM9密码算法的分层加密，阻碍了SM9密码算法的进一步应用。

发明内容

本发明的目的在于提供基于SM9的高效分层加密方法，解决SM9加密算法无法实现分层加密的问题。

本发明采用的技术方案是：

基于SM9的高效分层加密方法，其包括以下步骤：

S1、密钥生成中心生成系统主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥，主公钥中包含对最大层数n的描述；

S2、第k-1层用户利用系统主公钥、第k-1层用户的密钥和第k层用户的标识，生成第k层用户的密钥，并通过安全信道发送给第k层用户，其中k不小于2且不大于n；

S3、为加密数据给第k层用户，加密者利用系统主公钥和第k层用户的标识生成密文，并将密文通过公开信道发送给第k层用户，其中k不大于n；

S4、为解密发送给第k层用户的密文，第k层用户利用系统主公钥和第k层用户的密钥对密文进行解密获取明文数据。

进一步地，步骤S1具体包括以下步骤：

S1-1，选取双线性群BP＝(G₁，G₂，G_T，e，p)，选取群G₁的生成元P，群G₂的生成元Q，Q₁，Q₂，…，Q_n；

S1-2，产生随机数

作为主私钥，选取密码函数H：

密钥派生函数KDF：{0，1}^*→{0，1}^l，其中n为最大层数，l为封装密钥的长度；

S1-3，计算群G₁中的元素P_pub＝αP，群

中的元素v＝(P_pub，Q)，输出系统主公钥为mpk＝(BP，P，P_pub，Q，Q₁，…，Q_n，v，H，KDF，n，l)；

其中，mpk：系统主公钥；BP：双线性群；p：循环群G₁，G₂，G_T的阶，且p＞2¹⁹¹的素数；G₁：阶为素数p的加法循环群；G₂：阶为素数p的加法循环群；G_T：阶为素数p的乘法循环群；e：从G₁×G₂到G_T的双线性映射；

不小于1且不大于p-1的整数集合；α：系统主私钥，属于

中的元素；P：群G₁的生成元；Q，Q_i：群G₂的生成元；P_pub：群G₁中的元素；n：层数的最大值；l：封装密钥的长度；H：{0，1}^*到

由密码杂凑函数派生的密码函数；KDF：{0，1}^*到{0，1}^l的密钥派生函数。

进一步地，步骤S2中第k层用户密钥生成具体包括以下步骤：

S2-1，设第k层用户的标识为

其中k≤n，第k-1层用户

的密钥为：

S2-2，选择随机数

以生成d_ID，d_ID的具体计算公式如下：

S2-3，输出第k层用户的密钥d_ID＝(d₁，d₂，u_k+1，u_k+2，…，u_n)。d_ID为第k层用户

的正确密钥，且生成密钥用的随机数为

其中，ID：用户的标识，以唯一确定用户的公钥；d_ID：用户ID的密钥；k：层数，属于整数；t、r、r′：

中的随机数；d₁：密钥组成部分，属于群G₂的元素；d₂：密钥组成部分，属于群G₁的元素；u_i：密钥组成部分，属于群G₂的元素。

进一步地，步骤S3中密文生成具体包括以下步骤：

S3-1，为封装比特长度为l的加密密钥给第k层用户

加密者首先选取随机数

S3-2，计算群G₁的元素C₁＝s·(P_pub+H(ID₁)P)；

S3-3，计算群G₂的元素C₂＝s·(Q₁+H(ID₂)Q₂+…+H(ID_k)Q_k)；

S3-4，计算群G_T的元素w＝v^s；

S3-5，计算会话密钥K＝KDF(C₁||G₂||w||ID，l)，并输出封装密文CT＝(C₁，C₂)；

其中，s：

中的随机数；C₁：密文组成部分，属于群G₁中的元素；C₂：密文组成部分，属于群G₂中的元素；w：临时变量，属于群G_T中的元素；CT：封装密文；K：封装密钥，用于加密数据。

进一步地，步骤S4中封装密文解密具体包括以下步骤：

S4-1，设待解密的封装密文为CT＝(G₁，G₂)，接收者为第k层用户

其对应的密钥为d_ID＝(d₁，d₂，u_k+1，u_k+2，…，u_n)；

S4-2，收到封装密文后，接收者利用密钥计算群G_T的元素A＝e(C₁，d₁)，计算群G_T的元素B＝e(d₂，G₂)，计算群G_T的元素

S4-3，计算K′＝KDF(C₁||G₂||w′||ID，l)；

其中，A，B，w′：临时变量，属于群G_T中的元素；K′：解密恢复出的封装密钥。

本发明采用以上技术方案，基于SM9标识加密算法的整体架构上，优化用户密钥生成算法和加密算法，首次实现了高效SM9分层加密功能，密文由三个元素组成，与接收者标识的层数无关，具有较高的效率。低层用户的密钥可以通过上一层用户生成，该密钥与通过密钥生成中心生成的密钥具有相同的有效性。同一层用户即使合谋也无法生成上一层用户的密钥。该技术在保证算法安全的提前下，有效实现了分层加密，降低了密钥生成中心的负荷，系统的整体效率得到显著的提升，有助于进一步完善SM9密码算法，促进SM9密码算法的实施。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1基于SM9的高效分层加密技术流程图；

图2第k-1层用户为第k层用户生成密钥流程图；

图3分层加密算法流程图；

图4解密算法流程图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。

SM9标识密码算法是我国自主设计的商用密码，已成为国家标准，具有较强的安全性和高效率性，在我国得到了广泛的应用。SM9公钥加密算法属于标识加密，系统中用户的解密密钥都通过可信的密钥生成中心生成。当系统中用户数量较大时，密钥生成中心需要为每个用户生成密钥，负荷较大，导致系统效率较低，无法较好的满足物联网等新应用的新需求，阻碍了SM9密码算法的实施。

如图1至图4之一所示，本发明公开了基于SM9的高效分层加密方法。本发明最关键的构思在于：实现SM9标识加密算法的高效分层加密，用户密钥除了可以由密钥生成中心生成外，还可以由上一层用户生成，有效降低密钥生成中心的负荷。

如图1所示，基于SM9的高效分层加密方法，其包括以下步骤：

S1、密钥生成中心生成系统主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥，主公钥中包含对最大层数n的描述；

S2、第k-1层用户利用系统主公钥、第k-1层用户的密钥和第k层用户的标识，生成第k层用户的密钥，并通过安全信道发送给第k层用户，其中k不小于2且不大于n；

S3、为加密数据给第k层用户，加密者利用系统主公钥和第k层用户的标识生成密文，并将密文通过公开信道发送给第k层用户，其中k不大于n；

S4、为解密发送给第k层用户的密文，第k层用户利用系统主公钥和第k层用户的密钥对密文进行解密获取明文数据。

进一步的，所述步骤S1具体包括：

首先选取双线性群BP＝(G₁，G₂，G_T，e，p)，选取群G₁的生成元P，群G₂的生成元Q，Q₁，Q₂，…，Q_n，产生随机数

作为主私钥，选取密码函数H：

密钥派生函数KDF：{0，1}^*→{0，1}^l，其中n为最大层数，l为封装密钥的长度。计算群G₁中的元素P_pub＝αP，群

中的元素v＝(P_pub，Q)。输出系统主公钥为mpk＝(BP，P，P_pub，Q，Q₁，…，Q_n，v，H，KDF，n，l)；

其中，mpk：系统主公钥；BP：双线性群；p：循环群G₁，G₂，G_T的阶，且p＞2¹⁹¹的素数；G₁：阶为素数p的加法循环群；G₂：阶为素数p的加法循环群；G_T：阶为素数p的乘法循环群；e：从G₁×G₂到G_T的双线性映射；

不小于1且不大于p-1的整数集合；α：系统主私钥，属于

中的元素；P：群G₁的生成元；Q，Q_i：群G₂的生成元；P_pub：群G₁中的元素；n：层数的最大值；l：封装密钥的长度；H：{0，1}^*到

由密码杂凑函数派生的密码函数；KDF：{0，1}^*到{0，1}^l的密钥派生函数。

所述步骤S2中第k-1层用户为第k层用户产生密钥具体包括：

设第k层用户的标识为

其中k≤n，第k-1层用户

的密钥为：

为了生成d_ID，选择随机数

计算

d₁＝(d′₁+H(ID_k)·u′_k+t·(Q₁+H(ID₂)Q₂+…+H(ID_k)Q_k))；

最后输出第k层用户的密钥d_ID＝(d₁，d₂，u_k+1，u_k+2，…，u_n)。不难看出d_ID是第k层用户

的正确密钥，且生成密钥用的随机数为

其中，ID：用户的标识，可以唯一确定用户的公钥；d_ID：用户ID的密钥；k：层数，属于整数；t，r，r′：

中的随机数；d₁：密钥组成部分，属于群G₂的元素；d₂：密钥组成部分，属于群G₁的元素；u_i：密钥组成部分，属于群G₂的元素。

所述步骤S3中密文生成具体包括：

为封装比特长度为l的加密密钥给第k层用户

加密者首先选取随机数

计算群G₁的元素C₁＝s·(P_pub+H(ID₁)P)，计算群G₂的元素C₂＝s·(Q₁+H(ID₂)Q₂+…+H(ID_k)Q_k)，计算群G_T的元素w＝v^s，计算会话密钥K＝KDF(G₁||G₂||w||ID，l)，并输出封装密文CT＝(C₁，G₂)；

其中，s：

中的随机数；G₁：密文组成部分，属于群G₁中的元素；C₂：密文组成部分，属于群G₂中的元素；w：临时变量，属于群G_T中的元素；CT：封装密文；K：封装密钥，用于加密数据。

所述步骤S4中封装密文解密具体包括：

设待解密的封装密文为CT＝(G₁，C₂)，接收者为第k层用户

其对应的密钥为d_ID＝(d₁，d₂，u_k+1，u_k+2，…，u_n)。收到封装密文后，接收者利用密钥计算群G_T的元素A＝e(C₁，d₁)，计算群G_T的元素B＝e(d₂，C₂)，计算群G_T的元素

最后计算K′＝KDF(C₁||C₂||w′||ID，l)；

其中，A，B，w′：临时变量，属于群G_T中的元素；K′：解密恢复出的封装密钥。

此处对公式计算中需要说明的是：令G₁，G₂，G_T均是阶为大素数p的循环群，P，Q分别是群G₁，G₂的生成元，

为包含p个元素的整数域，双线性群BP由五元组(G₁，G₂，G_T，e，p)组成。其中映射e：G₁×G₂→G_T为双线性映射，满足以下3个条件：

(1)双线性性：对任意的生成元P∈G₁，Q∈G₂和a，

都有e(aP，bQ)＝e(P，Q)^ab；

(2)非退化性：至少存在元素P∈G₁，Q∈G₂满足e(P，Q)≠1；

(3)可计算性：对于任意的P∈G₁，Q∈G₂，存在多项式时间算法高效计算e(P，Q)。

本发明采用以上技术方案，基于SM9标识加密算法的整体架构上，优化用户密钥生成算法和加密算法，首次实现了高效SM9分层加密功能，密文由三个元素组成，与接收者标识的层数无关，具有较高的效率。低层用户的密钥可以通过上一层用户生成，该密钥与通过密钥生成中心生成的密钥具有相同的有效性。同一层用户即使合谋也无法生成上一层用户的密钥。该技术在保证算法安全的提前下，有效实现了分层加密，降低了密钥生成中心的负荷，系统的整体效率得到显著的提升，有助于进一步完善SM9密码算法，促进SM9密码算法的实施。

显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

Claims (1)

1.基于SM9的高效分层加密方法，其特征在于：其包括以下步骤：

S1、密钥生成中心生成系统主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥，主公钥中包含对最大层数n的描述；步骤S1具体包括以下步骤：

S1-1，选取双线性群BP＝(G₁,G₂,G_T,e,p)，选取群G₁的生成元P，群G₂的生成元Q,Q₁,Q₂,…,Q_n，

S1-2，产生随机数

作为主私钥，选取密码函数H:

密钥派生函数KDF:{0,1}^*→{0,1}^l，其中n为最大层数，l为封装密钥的长度；

S1-3，计算群G₁中的元素P_pub＝αP，群

中的元素v＝(P_pub,Q)，输出系统主公钥为mpk＝(BP,P,P_pub,Q,Q₁,…,Q_n,v,H,KDF,n,l)；

其中，mpk：系统主公钥；BP：双线性群；p：循环群G₁,G₂,G_T的阶，且p＞2¹⁹¹的素数；G₁：阶为素数p的加法循环群；G₂：阶为素数p的加法循环群；G_T：阶为素数p的乘法循环群；e：从G₁×G₂到G_T的双线性映射；

不小于1且不大于p-1的整数集合；α：系统主私钥，属于

中的元素；P：群G₁的生成元；Q,Q_i：群G₂的生成元；P_pub：群G₁中的元素；n：层数的最大值；l：封装密钥的长度；H：{0,1}^*到

由密码杂凑函数派生的密码函数；KDF：{0,1}^*到{0,1}^l的密钥派生函数；

S2、第k-1层用户利用系统主公钥、第k-1层用户的密钥和第k层用户的标识，生成第k层用户的密钥，并通过安全信道发送给第k层用户，其中k不小于2且不大于n；步骤S2中第k-1层用户为第k层用户产生密钥具体包括：

S2-1，设第k层用户的标识为

其中k≤n，第k-1层用户

的密钥为：

S2-2，选择随机数

以生成d_ID，d_ID的具体计算公式如下：

d₁＝(d′₁+H(ID_k)·u′_k+t·(Q₁+H(ID₂)Q₂+…+H(ID_k)Q_k))；

d₂＝d′₂+t·(P_pub+H(ID₁)P)；

u_k+1＝u′_k+1+t·Q_k+1；

u_n＝u′_n+t·Q_n；

S2-3，输出第k层用户的密钥d_ID＝(d₁，d₂，u_k+1，u_k+2，…，u_n)；d_ID为第k层用户

的正确密钥，且生成密钥用的随机数为

其中，ID：用户的标识，可以唯一确定用户的公钥；d_ID：用户ID的密钥；k：层数，属于整数；f、r、r′：

中的随机数；d₁：密钥组成部分，属于群G₂的元素；d₂：密钥组成部分，属于群G₁的元素；u_i：密钥组成部分，属于群G₂的元素；

S3、为加密数据给第k层用户，加密者利用系统主公钥和第k层用户的标识生成密文，并将密文通过公开信道发送给第k层用户，其中k不大于n；步骤S3中密文生成具体包括如下步骤：

S3-1，为封装比特长度为l的加密密钥给第k层用户

加密者首先选取随机数

S3-2，计算群G₁的元素C₁＝s·(P_pub+H(ID₁)P)；

S3-3，计算群G₂的元素C₂＝s·(Q₁+H(ID₂)Q₂+…+H(ID_k)Q_k)；

S3-4，计算群G_T的元素w＝v^s；

S3-5，计算会话密钥K＝KDF(C₁||C₂||w||ID,l)，并输出封装密文CT＝(C₁，C₂)；

其中，s：

中的随机数；C₁：密文组成部分，属于群G₁中的元素；C₂：密文组成部分，属于群G₂中的元素；w：临时变量，属于群G_T中的元素；CT：封装密文；K：封装密钥，用于加密数据；

S4、为解密发送给第k层用户的密文，第k层用户利用系统主公钥和第k层用户的密钥对密文进行解密获取明文数据；步骤S4中封装密文解密具体包括以下步骤：

S4-1，设待解密的封装密文为CT＝(C₁，C₂)，接收者为第k层用户

其对应的密钥为d_ID＝(d₁，d₂，u_k+1，u_k+2，…，u_n)；

S4-2，收到封装密文后，接收者利用密钥计算群G_T的元素A＝e(C₁,d₁)，计算群G_T的元素B＝e(d₂,C₂)，计算群G_T的元素

S4-3，计算K'＝KDF(C₁||C₂||w'||ID,l)；

其中，A,B,w'：临时变量，属于群G_T中的元素；K'：解密恢复出的封装密钥。

Images