CN113852465A - 一种基于sm9的分层加密方法 - Google Patents

Abstract

本发明公开一种基于SM9的分层加密方法，在不改变SM9公钥加密算法整体架构的基础上，对用户私钥生成算法进行改进，使其支持分层加密功能。用户的解密私钥可由其上一层的用户生成。该私钥的有效性等同于通过密钥中心生成的私钥。同一层用户之间合谋也无法获取上一层用户的私钥。在不影响安全性的前提下，有效的降低了密钥生成中心的负担，提高了系统效率，有助于进一步完善SM9系列密码。

Description

一种基于SM9的分层加密方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于SM9的分层加密方法。

背景技术

SM9系列密码算法是我自主设计的密码算法，包括数字签名算法、密钥交换协议、密钥封装机制和公钥加密算法，具有较高的安全性和高效率性。其中，密钥封装机制和公钥加密算法可以看成是同一个算法，首先通过密钥封装机制生成数据加密密钥，然后利用该加密密钥作用于对称加密技术进而完成数据加密，有效保护存储和传输数据的隐私性。SM9系列密码算法已成为我国密码行业标准，广泛应用于我国政府、金融等领域。

SM9密码算法属于标识密码，用户的公钥是能唯一标识该用户的任意字符串，比如邮箱地址、电话号码等。但是，用户的私钥是由可信第三方密钥生成中心生成，并通过安全信道传送给用户，密钥生成中心负责系统里所有用户的私钥生成。当系统用户数量较大时，密钥生成中心的负担较大，导致系统效率较低，影响了SM9密码算法的应用。

发明内容

本发明的目的在于提供一种基于SM9的分层加密方法，解决SM9加密算法中密钥生成中心负担过大的问题。

本发明采用的技术方案是：

一种基于SM9的分层加密方法，包括步骤：

S1、密钥生成中心生成系统主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥，主公钥中包含对最大层数L的描述；

S2、第t-1层用户利用主公钥、第t-1层用户私钥和第t层用户标识，生成第t层用户的私钥，并通过安全信道发送给第t层用户，其中t不大于L；

S3、为加密数据给第t层用户，加密者利用主公钥和第t层用户标识生成密文，并将密文通过公开信道发送给该用户，其中t不大于L；

S4、为解密发送给第t层用户的密文，第t层用户利用主公钥和私钥对密文进行解密获取明文数据。

进一步地，步骤S1具体包括以下步骤：

S1-1，选取双线性群BP＝(G₁,G₂,G_T,e,p)，群G₁和群G₂的生成元P₁和P₂；

S1-2，产生随机数α,

作为主私钥，计算G₁中的元素P_pub＝aP₁，对任意的i∈[0,L]，计算{P_i,1,aP_i,1,a²P_i,1,…,aⁿP_1,n}，

P_i,2＝x_iP₂，则有

S1-3，选取密码函数H和密钥派生函数KDF，系统主公钥为

其中，mpk：系统主公钥；BP：双线性群；p：循环群G₁,G₂,G_T的阶，且p＞2¹⁹¹的素数；G₁：阶为素数p的加法循环群；G₂：阶为素数p的加法循环群；G_T：阶为素数p的乘法循环群；e：从G₁×G₂到G_T的双线性映射；

不小于1且不大于p-1的整数集合；a,x_i：系统主私钥，属于

中的元素；P₁：群G₁的生成元；P₂：群G₂的生成元；P_pub：群G₁中的元素；P_i,1：群G₁中的元素；P_i,2：群G₂中的元素；L：层数的最大值；n：每一层标识的比特长度；klen：封装密钥的长度；H：{0,1}^*到

由密码杂凑函数派生的密码函数；KDF：{0,1}^*到{0,1}^klen的密钥派生函数。

进一步地，步骤S2中第t层用户私钥生成具体包括以下步骤：

S2-1，设第t层标识为ID_t＝b_t,1b_t,2…b_t,n，其中t≤L，则该用户的标识为ID|ID₁|…|ID_t，记为ID|t|b_t,1b_t,2…b_t,n；设第t-1层用户的私钥为：

S2-2，第t-1层用户选取随机数x_t,1,

满足x_t,1+x_t,2＝1，计算第t层用户ID|t|b_t,1b_t,2…b_t,n的私钥，

其中

可从

中计算得到；

S2-3，对任意i＝t+1,…,L，j＝1,…,n，k＝0,1，计算

并输出第t层用户ID|t|b_t,1b_t,2…b_t,n的私钥为:

其中，x_t,1,x_t,2：

中的随机数；b_t,i：第t层标识的比特值；ID_t：第t层标识；

私钥变量，属于群G₂中的元素；

私钥变量，属于群G₂中的元素；

私钥变量，属于群G₂中的元素；

第t层用户私钥。

进一步地，步骤S3中密文生成具体包括以下步骤：

S3-1，加密者首先选取随机数

计算

C₀＝r·(H(ID)+a)P_0,1；

C₁＝r·(H(ID|1|1b_1,1)+a)(H(ID|1|2b_1,2)+a)…(H(ID|1|nb_1,n)+a)P_1,1；

C₂＝r·(H(ID|2|1b_2,1)+a)(H(ID|2|2b_2,2)+a)…(H(ID|2|nb_2,n)+a)P_2,1；

C_t＝r·(H(ID|t|1b_t,1)+a)(H(ID|t|2b_t,2)+a)…(H(ID|t|nb_t,n)+a)P_t,1；

S3-2，计算w＝e(aP₁,P₂)^r，计算会话密钥K＝KDF(C₀||C₁||…C_t||w||ID₁|…|ID_t,klen)，并输出封装密文CT＝(C₀,C₁,…,C_t)；

其中，r：

中的随机数；C_i：密文组成部分，属于群G₁中的元素；w：临时变量，属于群G_T中的元素；CT：封装密文；K：封装密钥，用于加密数据。

进一步地，步骤S4中封装密文解密具体包括以下步骤：

S4-1，设待解密的密文为CT＝(C₀,C₁,…,C_t)，接收者为第t层用户ID|ID₁|…|ID_t，

S4-2，接收者利用私钥计算:

w'＝w₀·w₀·…·w_t＝e(P₁,P₂)^ar＝w.

S4-3，计算K'＝KDF(C₀||C₁||…C_t||w'||ID₁|…|ID_t,klen)；

其中，w_i,w'：临时变量，属于群G_T中的元素；K'：解密恢复出的封装密钥。

本发明在不改变SM9公钥加密算法整体架构的基础上，改进用户私钥生成算法，提出了一种实现SM9分层加密功能的方法。即，系统用户根据标识进行分层，上一层的用户可为下一层用户生成私钥。该私钥的有效性和通过密钥生成中心生成的私钥的有效性是等价的，且同一层用户之间的私钥相互独立。此外，即使同一层用户之间合谋也无法计算出上一层用户的私钥。该方法在不影响用户私钥安全的前提下，极大的降低了密钥生成中心的负担，同时有效提高了系统的整体效率，有助于进一步完善SM9系列算法。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1一种基于SM9的分层加密方法流程图；

图2用户私钥生成算法流程图；

图3分层加密算法流程图；

图4解密算法流程图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。

SM9公钥加密算法作为我国的商用密码算法，具有较强的安全性和高效率性，在我国得到了广泛的应用。SM9公钥加密算法属于标识加密，所有用户的私钥都是由可信的密钥生成中心生成并通过安全信道传输。当系统中用户数量较大时，导致密钥生成中心负担较大，系统效率低下，无法满足物联网等应用的新需求，限制了SM9公钥加密算法的应用。

本发明最关键的构思在于：实现SM9公钥加密算法的分层加密，用户的私钥可由上一层用户生成，降低密钥生成中心的负担。

如图1至图4之一所示，本发明公开了一种基于SM9的分层加密方法，包括步骤：

S1、密钥生成中心生成系统主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥，主公钥中包含对最大层数L的描述；

S2、第t-1层用户利用主公钥、第t-1层用户私钥和第t层用户标识，生成第t层用户的私钥，并通过安全信道发送给第t层用户，其中t不大于L；

S3、为加密数据给第t层用户，加密者利用主公钥和第t层用户标识生成密文，并将密文通过公开信道发送给第t层用户，其中t不大于L；

S4、为解密发送给第t层用户的密文，第t层用户利用主公钥和私钥对密文进行解密获取明文数据。

进一步的，所述步骤S1具体包括：

首先选取双线性群BP＝(G₁,G₂,G_T,e,p)，群G₁和群G₂的生成元P₁和P₂。产生随机数α,

作为主私钥，计算G₁中的元素P_pub＝aP₁，对任意的i∈[0,L]，计算{P_i,1,aP_i,1,a²P_i,1,…,aⁿP_1,n}，

P_i,2＝x_iP₂，则有

选取密码函数H和密钥派生函数KDF，系统主公钥为

其中，mpk：系统主公钥；BP：双线性群；p：循环群G₁,G₂,G_T的阶，且p＞2¹⁹¹的素数；G₁：阶为素数p的加法循环群；G₂：阶为素数p的加法循环群；G_T：阶为素数p的乘法循环群；e：从G₁×G₂到G_T的双线性映射；

不小于1且不大于p-1的整数集合；a,x_i：系统主私钥，属于

中的元素；P₁：群G₁的生成元；P₂：群G₂的生成元；P_pub：群G₁中的元素；P_i,1：群G₁中的元素；P_i,2：群G₂中的元素；L：层数的最大值；n：每一层标识的比特长度；klen：封装密钥的长度；H：{0,1}^*到

由密码杂凑函数派生的密码函数；KDF：{0,1}^*到{0,1}^klen的密钥派生函数。

所述步骤S2中第t层用户私钥生成具体包括：

设第t层标识为ID_t＝b_t,1b_t,2…b_t,n，其中t≤L，则该用户的标识为ID|ID₁|…|ID_t，记为ID|t|b_t,1b_t,2…b_t,n。设第t-1层用户的私钥为

为计算第t层用户ID|t|b_t,1b_t,2…b_t,n的私钥，第t-1层用户首先选取随机数x_t,1,

满足x_t,1+x_t,2＝1，计算

其中

可从

中计算得到。

对任意i＝t+1,…,L，j＝1,…,n，k＝0,1，计算

并输出第t层用户ID|t|b_t,1b_t,2…b_t,n的私钥为:

其中，x_t,1,x_t,2：

中的随机数；b_t,i：第t层标识的比特值；ID_t：第t层标识；

私钥变量，属于群G₂中的元素；

私钥变量，属于群G₂中的元素；

私钥变量，属于群G₂中的元素；

第t层用户私钥。

所述步骤S3中密文生成具体包括：

为给第t层用户ID|ID₁|…|ID_t生成数据加密密钥，加密者首先选取随机数

计算

C₀＝r·(H(ID)+a)P_0,1；

C₁＝r·(H(ID|1|1b_1,1)+a)(H(ID|1|2b_1,2)+a)…(H(ID|1|nb_1,n)+a)P_1,1；

C₂＝r·(H(ID|2|1b_2,1)+a)(H(ID|2|2b_2,2)+a)…(H(ID|2|nb_2,n)+a)P_2,1；

C_t＝r·(H(ID|t|1b_t,1)+a)(H(ID|t|2b_t,2)+a)…(H(ID|t|nb_t,n)+a)P_t,1；

计算w＝e(aP₁,P₂)^r，计算会话密钥K＝KDF(C₀||C₁||…C_t||w||ID₁|…|ID_t,klen)，并输出封装密文CT＝(C₀,C₁,…,C_t)。

其中，r：

中的随机数；C_i：密文组成部分，属于群G₁中的元素；w：临时变量，属于群G_T中的元素；CT：封装密文；K：封装密钥，用于加密数据。

所述步骤S4中封装密文解密具体包括：

设待解密的密文为CT＝(C₀,C₁,…,C_t)，接收者为第t层用户ID|ID₁|…|ID_t，接收者利用私钥计算:

w'＝w₀·w₀·…·w_t＝e(P₁,P₂)^ar＝w.

最后计算K'＝KDF(C₀||C₁||…C_t||w'||ID₁|…|ID_t,klen)。

其中，w_i,w'：临时变量，属于群G_T中的元素；K'：解密恢复出的封装密钥。

此处对公式计算中需要说明的是：令G₁，G₂，G_T均是阶为大素数p的循环群，P₁，P₂分别是群G₁，G₂的生成元，

为包含p个元素的整数域，双线性群BP由五元组(G₁,G₂,G_T,e,p)组成。其中映射e:G₁×G₂→G_T为双线性映射，满足以下3个条件：

(1)双线性性：对任意的生成元P₁∈G₁，P₂∈G₂和a,

都有e(aP₁,bP₂)＝e(P₁,P₂)^ab；

(2)非退化性：至少存在元素P∈G₁,Q∈G₂满足e(P,Q)≠1；

(3)可计算性：对于任意的P∈G₁,Q∈G₂，存在多项式时间算法高效计算e(P,Q)。

本发明在不改变SM9公钥加密算法整体架构的基础上，改进用户私钥生成算法，提出了一种实现SM9分层加密功能的方法。即，系统用户根据标识进行分层，上一层的用户可为下一层用户生成私钥。该私钥的有效性和通过密钥生成中心生成的私钥的有效性是等价的，且同一层用户之间的私钥相互独立。此外，即使同一层用户之间合谋也无法计算出上一层用户的私钥。该方法在不影响用户私钥安全性的前提下，降低了密钥生成中心的负担，同时有效提高了系统的整体效率，有助于进一步完善SM9系列算法。

显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

Claims (5)

1.一种基于SM9的分层加密方法，其特征在于：其包括以下步骤：

S1、密钥生成中心生成系统主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥，主公钥中包含对最大层数L的描述；

S2、第t-1层用户利用主公钥、第t-1层用户私钥和第t层用户标识，生成第t层用户的私钥，并通过安全信道发送给第t层用户，其中t不大于L；

S3、为加密数据给第t层用户，加密者利用主公钥和第t层用户标识生成密文，并将密文通过公开信道发送给该用户，其中t不大于L；

S4、为解密发送给第t层用户的密文，第t层用户利用主公钥和私钥对密文进行解密获取明文数据。

2.根据权利要求1所述的一种基于SM9的分层加密方法，其特征在于：步骤S1具体包括以下步骤：

S1-1，选取双线性群BP＝(G₁,G₂,G_T,e,p)，群G₁和群G₂的生成元P₁和P₂；

S1-2，产生随机数α,

作为主私钥，计算G₁中的元素P_pub＝aP₁，对任意的i∈[0,L]，计算{P_i,1,aP_i,1,a²P_i,1,…,aⁿP_1,n}，

P_i,2＝x_iP₂，则有

S1-3，选取密码函数H和密钥派生函数KDF，系统主公钥为mpk＝(BP,L,n,H,KDF,klen,P₁,P₂,P_pub,{P_i,1,aP_i,1,a²P_i,1,…,aⁿP_1,n}_{i＝0,1,…,L})；

其中，mpk：系统主公钥；BP：双线性群；p：循环群G₁,G₂,G_T的阶，且p＞2¹⁹¹的素数；G₁：阶为素数p的加法循环群；G₂：阶为素数p的加法循环群；G_T：阶为素数p的乘法循环群；e：从G₁×G₂到G_T的双线性映射；

不小于1且不大于p-1的整数集合；a,x_i：系统主私钥，属于

中的元素；P₁：群G₁的生成元；P₂：群G₂的生成元；P_pub：群G₁中的元素；P_i,1：群G₁中的元素；P_i,2：群G₂中的元素；L：层数的最大值；n：每一层标识的比特长度；klen：封装密钥的长度；H：{0,1}^*到

由密码杂凑函数派生的密码函数；KDF：{0,1}^*到{0,1}^klen的密钥派生函数。

3.根据权利要求1所述的一种基于SM9的分层加密方法，其特征在于：步骤S2中第t层用户私钥生成具体包括以下步骤：

S2-1，设第t层标识为ID_t＝b_t,1b_t,2…b_t,n，其中t≤L，则该用户的标识为ID|ID₁|…|ID_t，记为ID|t|b_t,1b_t,2…b_t,n；设第t-1层用户的私钥为：

S2-2，第t-1层用户选取随机数

满足x_t,1+x_t,2＝1，计算第t层用户ID|t|b_{t, 1}b_t,2…b_t,n的私钥，

其中

可从

中计算得到；

S2-3，对任意i＝t+1,…,L，j＝1,…,n，k＝0,1，计算

并输出第t层用户ID|t|b_t,1b_t,2…b_t,n的私钥为:

其中，x_t,1,x_t,2：

中的随机数；b_t,i：第t层标识的比特值；ID_t：第t层标识；

私钥变量，属于群G₂中的元素；

私钥变量，属于群G₂中的元素；

私钥变量，属于群G₂中的元素；

第t层用户私钥。

4.根据权利要求1所述的一种基于SM9的分层加密方法，其特征在于：步骤S3中密文生成具体包括以下步骤：

S3-1，为给第t层用户ID|ID₁|…|ID_t生成数据加密密钥，选取随机数

计算

C₀＝r·(H(ID)+a)P_0,1；

C₁＝r·(H(ID|1|1b_1,1)+a)(H(ID|1|2b_1,2)+a)…(H(ID|1|nb_1,n)+a)P_1,1；

C₂＝r·(H(ID|2|1b_2,1)+a)(H(ID|2|2b_2,2)+a)…(H(ID|2|nb_2,n)+a)P_2,1；

C_t＝r·(H(ID|t|1b_t,1)+a)(H(ID|t|2b_t,2)+a)…(H(ID|t|nb_t,n)+a)P_t,1；

S3-2，计算w＝e(aP₁,P₂)^r，计算会话密钥K＝KDF(C₀||C₁||…C_t||w||ID₁|…|ID_t,klen)，并输出封装密文CT＝(C₀,C₁,…,C_t)；

其中，r：

中的随机数；C_i：密文组成部分，属于群G₁中的元素；w：临时变量，属于群G_T中的元素；CT：封装密文；K：封装密钥，用于加密数据。

5.根据权利要求1所述的一种基于SM9的分层加密方法，其特征在于：步骤S4中封装密文的解密具体包括以下步骤：

S4-1，设待解密的密文为CT＝(C₀,C₁,…,C_t)，接收者为第t层用户ID|ID₁|…|ID_t；

S4-2，接收者利用私钥计算:

w'＝w₀·w₀…··w_t＝e(P₁,P₂)^ar＝w.

S4-3，计算K'＝KDF(C₀||C₁||…C_t||w'||ID₁|…|ID_t,klen)；

其中，w_i,w'：临时变量，属于群G_T中的元素；K'：解密恢复出的封装密钥。

Images