CN113852466B - 基于国密sm9的用户撤销方法 - Google Patents

Abstract

本发明公开了基于国密SM9的用户撤销方法，基于SM9标识加密算法的整体架构，对密钥生成算法和密文生成算法进行优化改进，使其支持多个用户解密权限的撤销。只有非撤销的用户才能正确解密密文，撤销用户即使合谋也无法获取数据。该方法中用户密钥和密文长度都是定值，与撤销用户的数量无关，具有较高的计算效率和通信效率，有助于进一步完善SM9标识密码算法体制。此外，该方法也提供了一种高效的广播加密方法，适用于接收者是系统中绝大多数用户的场景，与传统广播加密相比，具有较高的计算效率。

Description

基于国密SM9的用户撤销方法

技术领域

本发明涉及信息安全技术领域，尤其涉及基于国密SM9的用户撤销方法。

背景技术

数据加密是保护数据机密性的一种有效方法，通过加密技术对存储或者传输的明文数据进行变换，生成一种无法识别的乱码，也称为密文。该密文只有授权的用户使用解密密钥才能正确解密并恢复出明文数据。没有解密密钥的用户，即使已知密文，也无法恢复出正确明文。加密确保数据在网络传输过程中不会泄露数据内容，保护了传输数据的机密性。数据加密是公钥密码体系中非常重要的一部分，广泛应用于军事、商业等领域用于保护数据隐私。

在传统的数据加密系统中，通常假设用户能安全且秘密的保存解密密钥。然而，随着科学技术的发展，攻击者的能力越来越强，该假设很难在实际应用中完全实现，用户存在解密密钥泄露和丢失的可能。因此，为保证数据的安全性，需要撤销泄露或者丢失的密钥的解密权限，使得撤销后用户的密钥无法正常解密密文。

发明内容

本发明的目的在于提供基于国密SM9的用户撤销方法。

本发明采用的技术方案是：

基于国密SM9的用户撤销方法，其包括以下步骤：

S1、密钥生成中心生成密钥生成中心的主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥；

S2、密钥生成中心利用主公私钥对生成用户的解密密钥，将解密密钥通过安全信道发送给用户；

S3、加密者利用密钥生成中心生成的主公钥和撤销用户列表生成会话密钥和封装密文；

S4、解密者基于封装密文、撤销用户列表、密钥生成中心的主公钥和解密者的解密密钥，恢复出封装的会话密钥。

进一步地，作为一种较优实施方式，步骤S1具体包括以下步骤：

S1-1，选取双线性群BP＝(G₁,G₂,G_T,e,N)，群G₁和群G₂的生成元分别为P₁和P₂；

S1-2，产生随机数α,β,γ∈[1,N-1]作为主私钥，计算群G₁中的元素αP₁，计算群G_T中的元素v＝e(P₁,P₂)^αβ；

S1-3，对i＝1,2,…,m，计算群G₁中的元素γαⁱP₁，计算群G₂中的元素γαⁱP₂；

S1-4，选择并公开用一个字节表示的签名密钥生成函数识别符hid，密码杂凑函数H，密钥派生函数KDF；

其中，BP：双线性群；N：循环群G₁,G₂,G_T的阶，且N＞2¹⁹¹的素数；G₁：阶为素数N的加法循环群；G₂：阶为素数N的加法循环群；G_T：阶为素数N的乘法循环群；e：从G₁×G₂到G_T的双线性映射；α,β,γ：系统主私钥；m：一次加密允许撤销用户的最大数量，属于正整数；[1,N-1]，

不小于1且不大于N-1的整数集合；P₁：群G₁的生成元；P₂：群G₂的生成元；v：群G_T中的元素；hid：用一个字节表示的签名密钥生成函数识别符，由密钥生成中心选择并公开；H：密码杂凑函数；KDF：密钥派生函数。

进一步地，作为一种较优实施方式，步骤S2中密钥生成中心为用户生成解密密钥具体包括以下步骤：

S2-1，产生用户ID的解密密钥sk_ID，计算

S2-2，将sk_ID＝(d₁,d₂)作为用户的解密密钥并发送给用户；

其中，ID：用户的标识，可以唯一确定用户身份的公钥；sk_ID：用户ID的解密密钥；d₁,d₂：临时变量，属于群G₂中的元素；ID||hid：ID与hid的拼接，其中ID和hid是比特串或字节串；H(ID||hid,N)：

到

由密码杂凑函数派生的密码函数。

进一步地，作为一种较优实施方式，步骤S3中加密者生成会话密钥和封装密文具体包括以下步骤：

S3-1，已知用户撤销列表R＝(ID₁,ID₂,…,ID_n)(n≤m)；

S3-2，产生随机数k∈[1,N-1]；

S3-3，计算C₁＝k·(αP₁)，w＝v^k，

K＝KDF(C₁,C₂,w,τ,N,θ)；

S3-4，输出封装密文CT＝(C₁,C₂)；

其中，k：[1,N-1]中的随机数；R：用户撤销列表；n：撤销用户的个数；w：临时变量，属于群G_T中的元素；τ：临时变量，属于有限域F_N中的元素；C₁,C₂：临时变量，属于群G₁中的元素；K：封装的会话密钥，长度为l的比特串；CT：封装密文；KDF(C₁,C₂,w,τ,N,l)：

到l的密钥派生函数。

进一步地，作为一种较优实施方式，步骤S4中密文解密的具体包括以下步骤：

S4-1，设待解密的封装密文为(C₁,C₂)，其中封装密文对应的用户撤销列表为R＝(ID₁,ID₂,…,ID_n)，解密者ID的密钥为sk_ID＝(d₁,d₂)；

S4-2，解密者根据撤销列表R定义多项式

若

则

其中

是模N的系数，且z＝f(-H(ID||hid,N))≠0；

S4-3，计算:

S4-4，计算

K'＝KDF(C₁,C₂,w',τ',N,l)。若K'为全0的比特串，则报错并退出，表示解密失败；

其中，z：临时变量，属于有限域F_N中的元素；t_i：多项式系数，属于有限域F_N中的元素；τ'：临时变量，属于有限域F_N中的元素；w'：临时变量，属于群G_T中的元素；K'：临时变量，长度为l的比特串。

进一步地，解密过程的正确性分析如下：为描述方便用H(ID)代替H(ID||hid,N)，若

则：

进一步地，

最后计算得到：

本发明在SM9标识加密算法整体架构的基础上，对算法进行改进，使其支持多个用户的撤销。只有不在撤销列表中的用户才能正确解密密文恢复出加密数据，撤销用户即使合谋也无法解密密文。用户密钥和密文的长度都是固定值，与撤销列表中用户的个数无关，具有较高的计算效率和通信效率。该方法有利于进一步完善SM9标识密码。此外，该方法提供了一种高效广播加密技术。当广播消息的接收者为系统中大多数用户时，即只有少量用户不是接收者，则可设非接收者为撤销列表中用户并加密数据。该方法能有效降低传统广播加密的计算开销。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1为本发明基于国密SM9的用户撤销方法的流程示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。

SM9标识加密算法作为我国商用密码算法，具有强安全性和高效率性，在我国得到了广泛的应用。当用户的解密密钥泄露后，需要将其解密权限撤销，防止加密数据泄露，使得只有非撤销的用户才能正确解密密文。SM9标识密码的设计初衷是满足基础性安全需求，不支持用户撤销，限制了SM9标识加密算法的应用。

本发明最关键的构思在于：支持同时撤销多个用户，使得在撤销列表中的用户都无法正确解密。如图1所示，本发明公开了基于国密SM9的用户撤销方法，包括步骤：

S1、密钥生成中心生成密钥生成中心的主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥；

S2、密钥生成中心利用主公私钥对生成用户的解密密钥，将解密密钥通过安全信道发送给用户；

S3、加密者利用密钥生成中心生成的主公钥和撤销用户列表生成会话密钥和封装密文；

S4、解密者基于封装密文、撤销用户列表、密钥生成中心的主公钥和解密者的解密密钥，恢复出封装的会话密钥。

进一步地，所述步骤S1具体包括：

首先选取双线性群BP＝(G₁,G₂,G_T,e,N)，群G₁和群G₂的生成元分别为P₁和P₂。产生随机数α,β,γ∈[1,N-1]作为主私钥，计算群G₁中的元素αP₁，计算群G_T中的元素v＝e(P₁,P₂)^αβ。对i＝1,2,…,m，计算群G₁中的元素γαⁱP₁，计算群G₂中的元素γαⁱP₂。选择并公开用一个字节表示的签名密钥生成函数识别符hid，密码杂凑函数H，密钥派生函数KDF；

其中，BP：双线性群；N：循环群G₁,G₂,G_T的阶，且N＞2¹⁹¹的素数；G₁：阶为素数N的加法循环群；G₂：阶为素数N的加法循环群；G_T：阶为素数N的乘法循环群；e：从G₁×G₂到G_T的双线性映射；α,β,γ：系统主私钥；m：一次加密允许撤销用户的最大数量，属于正整数；[1,N-1]，

不小于1且不大于N-1的整数集合；P₁：群G₁的生成元；P₂：群G₂的生成元；v：群G_T中的元素；hid：用一个字节表示的签名密钥生成函数识别符，由密钥生成中心选择并公开；H：密码杂凑函数；KDF：密钥派生函数。

所述步骤S2中密钥生成中心为用户生成解密密钥具体包括：

为产生用户ID的解密密钥sk_ID，计算

然后将sk_ID＝(d₁,d₂)作为用户的解密密钥并发送给用户；

其中，ID：用户的标识，可以唯一确定用户身份的公钥；sk_ID：用户ID的解密密钥；d₁,d₂：临时变量，属于群G₂中的元素；ID||hid：ID与hid的拼接，其中ID和hid是比特串或字节串；H(ID||hid,N)：

到

由密码杂凑函数派生的密码函数。

所述步骤S3中加密者生成会话密钥和封装密文具体包括：

已知用户撤销列表R＝(ID₁,ID₂,…,ID_n)(n≤m)，加密算法产生随机数k∈[1,N-1]，计算C₁＝k·(αP₁)，w＝v^k，

K＝KDF(C₁,C₂,w,τ,N,l)，并输出封装密文CT＝(C₁,C₂)；

其中，k：[1,N-1]中的随机数；R：用户撤销列表；n：撤销用户的个数；w：临时变量，属于群G_T中的元素；τ：临时变量，属于有限域F_N中的元素；C₁,C₂：临时变量，属于群G₁中的元素；K：封装的会话密钥，长度为l的比特串；CT：封装密文；KDF(C₁,C₂,w,τ,N,l)：

到l的密钥派生函数。

所述步骤S4中密文解密的具体包括：

假设待解密的封装密文为(C₁,C₂)，其中封装密文对应的用户撤销列表为R＝(ID₁,ID₂,…,ID_n)，解密者ID的密钥为sk_ID＝(d₁,d₂)。解密者首先根据撤销列表R定义多项式

若

则

其中

是模N的系数，且z＝f(-H(ID||hid,N))≠0。

接着计算:

最后，计算

K'＝KDF(C₁,C₂,w',τ',N,l)。若K'为全0的比特串，则报错并退出，表示解密失败；

其中，z：临时变量，属于有限域F_N中的元素；t_i：多项式系数，属于有限域F_N中的元素；τ'：临时变量，属于有限域F_N中的元素；w'：临时变量，属于群G_T中的元素；K'：临时变量，长度为l的比特串。

进一步地，解密过程的正确性分析如下：为描述方便用H(ID)代替H(ID||hid,N)，若

则：

此处对公式计算中需要说明的是：令G₁，G₂，G_T均是阶为大素数N的循环群，P₁，P₂分别是群G₁，G₂的生成元，Z_N为包含N个元素的整数域，双线性群BP由五元组(G₁,G₂,G_T,e,N)组成。其中映射e:G₁×G₂→G_T为双线性映射，满足以下3个条件：

(1)双线性性：对任意的生成元P₁∈G₁，P₂∈G₂和

都有e(aP₁,bP₂)＝e(P₁,P₂)^ab；

(2)非退化性：至少存在元素P∈G₁,Q∈G₂满足e(P,Q)≠1；

(3)可计算性：对于任意的P∈G₁,Q∈G₂，存在多项式时间算法高效计算e(P,Q)。

本发明在SM9标识加密算法整体架构的基础上，对算法进行改进，使其支持多个用户的撤销。只有不在撤销列表中的用户才能正确解密密文恢复出加密数据，撤销用户即使合谋也无法解密密文。用户密钥和密文的长度都是固定值，与撤销列表中用户的个数无关，具有较高的计算效率和通信效率。该方法有利于进一步完善SM9标识密码。此外，该方法提供了一种高效广播加密技术。当广播消息的接收者为系统中大多数用户时，即只有少量用户不是接收者，则可设非接收者为撤销列表中用户并加密数据。该方法能有效降低传统广播加密的计算开销。

显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

Claims (1)

1.基于国密SM9的用户撤销方法，其特征在于：其包括以下步骤：

S1、密钥生成中心生成密钥生成中心的主公私钥对，将生成的主公钥公开给系统中的用户，并秘密保存主私钥；步骤S1具体包括以下步骤：

S1-1，选取双线性群BP＝(G₁,G₂,G_T,e,N)，群G₁和群G₂的生成元分别为P₁和P₂；

S1-2，产生随机数α,β,γ∈[1,N-1]作为主私钥，计算群G₁中的元素αP₁，计算群G_T中的元素v＝e(P₁,P₂)^αβ；

S1-3，对i＝1,2,…,m，计算群G₁中的元素γαⁱP₁，计算群G₂中的元素γαⁱP₂；

S1-4，选择并公开用一个字节表示的签名密钥生成函数识别符hid，密码杂凑函数H，密钥派生函数KDF；

其中，BP：双线性群；N：循环群G₁,G₂,G_T的阶，且N＞2¹⁹¹的素数；G₁：阶为素数N的加法循环群；G₂：阶为素数N的加法循环群；G_T：阶为素数N的乘法循环群；e：从G₁×G₂到G_T的双线性映射；α,β,γ：系统主私钥；m：一次加密允许撤销用户的最大数量，属于正整数；[1,N-1]，

不小于1且不大于N-1的整数集合；P₁：群G₁的生成元；P₂：群G₂的生成元；v：群G_T中的元素；hid：用一个字节表示的签名密钥生成函数识别符，由密钥生成中心选择并公开；H：密码杂凑函数；KDF：密钥派生函数；

S2、密钥生成中心利用主公私钥对生成用户的解密密钥，将解密密钥通过安全信道发送给用户；步骤S2中密钥生成中心为用户生成解密密钥具体包括以下步骤：

S2-1，计算

S2-2，将sk_ID＝(d₁,d₂)作为用户的解密密钥并发送给用户；

其中，ID：用户的标识，可以唯一确定用户身份的公钥；sk_ID：用户ID的解密密钥；d₁,d₂：临时变量，属于群G₂中的元素；ID||hid：ID与hid的拼接，其中ID和hid是比特串或字节串；H(ID||hid,N)：

到

由密码杂凑函数派生的密码函数；

S3、加密者利用密钥生成中心生成的主公钥和撤销用户列表生成会话密钥和封装密文；步骤S3中加密者生成会话密钥和封装密文具体包括以下步骤：

S3-1，已知用户撤销列表R＝(ID₁,ID₂,…,ID_n)(n≤m)；

S3-2，产生随机数k∈[1,N-1]；

S3-3，计算C₁＝k·(αP₁)，w＝v^k，

K＝KDF(C₁,C₂,w,τ,N,l)；

S3-4，输出封装密文CT＝(C₁,C₂)；

其中，k：[1,N-1]中的随机数；R：用户撤销列表；n：撤销用户的个数；w：临时变量，属于群G_T中的元素；τ：临时变量，属于有限域F_N中的元素；C₁,C₂：临时变量，属于群G₁中的元素；K：封装的会话密钥，长度为l的比特串；CT：封装密文；KDF(C₁,C₂,w,τ,N,l)：

到l的密钥派生函数；

S4、解密者基于封装密文、撤销用户列表、密钥生成中心的主公钥和解密者的解密密钥，恢复出封装的会话密钥；步骤S4中密文解密的具体包括以下步骤：

S4-1，设待解密的封装密文为(C₁,C₂)，其中封装密文对应的用户撤销列表为R＝(ID₁,ID₂,…,ID_n)，解密者ID的密钥为sk_ID＝(d₁,d₂)；

S4-2，解密者根据撤销列表R定义多项式

若

则

其中

是模N的系数，且z＝f(-H(ID||hid,N))≠0；

S4-3，计算:

S4-3，计算

K'＝KDF(C₁,C₂,w',τ',N,l)；若K'为全0的比特串，则报错并退出，表示解密失败；

其中，z：临时变量，属于有限域F_N中的元素；t_i：多项式系数，属于有限域F_N中的元素；τ'：临时变量，属于有限域F_N中的元素；w'：临时变量，属于群G_T中的元素；K'：临时变量，长度为l的比特串；

解密过程的正确性分析如下：为描述方便用H(ID)代替H(ID||hid,N)，若

则：

进一步地，

最后计算得到：

Images