CN114039725B - 一种基于sm9的模糊身份基加密方法 - Google Patents

Abstract

本发明公开一种基于SM9的模糊身份基加密方法，方法为：S1、密钥生成中心根据SM9算法生成系统参数并设置门限值，将生成的系统参数公开给系统中的用户；S2、密钥生成中心根据用户的属性空间产生系统主公私钥，将主公钥公开给系统中的用户，保存主私钥；S3、密钥生成中心根据用户身份所对应的属性集、系统的主公私钥，输出对应于该属性集的用户的私钥；S4、发送者根据接收者身份所对应的属性集、待加密的消息以及系统公钥，获得消息在属性集下加密的密文；S5、接收者获得密文后，将自己身份所表示的属性集与密文所使用的属性集进行比较；当两个属性集中的共有属性个数达到预先设定的门限值时，才能正确解密；否则，解密失败。本发明支持基于SM9的模糊身份基的加密方案，在需要具有纠错能力的加密场景中具有广泛的应用。

Description

一种基于SM9的模糊身份基加密方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于SM9的模糊身份基加密方法。

背景技术

近年来，随着物联网的快速发展，物联网中的安全问题也越来越受到人们的专注，特别是如何安全的传送数据以及如何处理数据传输过程中经常出现的错误问题，密码是处理数据加密常用的手段，传统的加密技术是公钥加密，但是公钥加密需要第三方颁发证书，而且加密时需要加密者首先获得接收者的证书，这就带来了证书的管理与维护问题，为了有效解决证书问题。

Shamir于1984年首次提出了标识加密的概念，标识加密是一种在不需要访问接收方公钥证书的情况下，将数据进行加密的一种密码技术，在标识加密方案中，用户的公钥可以是用户的标识(比如手机号码、邮箱地址、身份证号码、设备标识、生物特征信息等)，也可以通过一种密码算法从标识中计算得到，所以标识加密具有巨大的灵活性、扩展性和便捷性。但是标识加密并不能处理数据在传输过程中发生错误的情形，因此我们需要构建的加密方案必须提供纠正错误的可行性，即容错能力。

Sahai和Waters于2005年首次提出了基于模糊身份基的加密概念，即将用户身份视为一组描述性属性，当两个身份ID和ID′所表示的属性集通过某些度量在一定的范围内时，身份为ID的用户就可以用它的私钥解密出用身份ID′加密的密文，模糊身份基加密的另一个作用是属性基加密，即允许对具有特定属性集的所有用户加密文档，任何具有包含所有这些属性的用户都可以解密该文档。

面向密码技术自主先进安全可控的战略需求，保障网络与信息安全，我国自主设计了SM9标识加密算法并成为了国际标准。然而，由于SM9加密结构的特殊性，该算法并不支持模糊身份基加密，严重阻碍了SM9加密算法的应用。

发明内容

本发明的目的在于提供一种基于SM9的模糊身份基加密方法，解决SM9标识加密算法无法实现的数据传输过程中发生错误的问题。

本发明采用的技术方案是：

一种基于SM9的模糊身份基加密方法，其包括步骤：

S1、密钥生成中心根据SM9算法生成系统参数并设置门限值d，将生成的系统参数公开给系统中的用户；

S2、密钥生成中心根据用户的属性空间U产生系统主公私钥，将主公钥公开给系统中的用户，保存主私钥；

S3、密钥生成中心根据用户身份所对应的属性集、系统的主公私钥，输出对应于该属性集的用户的私钥；

S4、发送者根据接收者身份所对应的属性集γ、待加密的消息M以及系统公钥，获得消息M在属性集γ下加密的密文；

S5、接收者获得密文后，将自己身份所表示的属性集与密文所使用的属性集进行比较；当两个属性集中的共有属性个数达到预先设定的门限值时，才能正确解密；否则，解密失败。

进一步地，步骤S1中密钥生成中心根据SM9标识加密算法产生系统的参数，具体包括以下步骤：

S1-1，选择阶为素数p的加法群G₁、G₂，乘法群G_T,双线性映射e:G₁×G₂→G_T以及哈希函数

随机数d∈Z_p.

其中，素数p表示循环群G₁、G₂、G_T的阶，且p＞2¹⁹¹；G₁表示阶为素数p的加法循环群；G₂表示阶为素数p的加法循环群；G_T表示阶为素数p的乘法循环群；Z_p表示大于等于0且小于等于p-1的整数集合；

表示大于0且小于等于p-1的整数集合；/>

表示由密码杂凑函数派生的密码函数；d表示门限值；

S1-2，选择用一个字节表示的加密密钥生成函数标识符hid,定义属性空间

且

令/>

中前k个元素作为属性全集，即U＝{1，2，…，k}；对于集合S和i∈Z_p，定义拉格朗日系数为/>

其中，hid表示用一个字节表示的加密密钥生成函数识别符，由密钥生成中心选择并公开；

表示属性空间，即全体属性的集合，将属性空间中的属性与/>

中的前k个元素相对应；k表示属性空间中的属性的个数；S表示元素取自/>

的集合；Δ_i,S(x)表示拉格朗日系数。

进一步地，步骤S2中密钥生成中心根据属性空间产生系统的主公私钥，具体包括：

S2-1，随机选择生成元P₁∈G₁,P₂∈G₂,使得ψ(P₂)＝P₁，选择随机数

计算群G₂中的元素P_pub＝aP₂，群G_T中的元素g＝e(P₁,P_pub)，

S2-2，从

中随机选择互不相同的k个数t₁，t₂，...，t_k，计算T_i＝t_i(H₁("i"||hid,N)P₁+ψ(P_pub))，定义系统的主公钥为：mpk＝{P₁,P₂,P_pub,g,T₁,T₂,…T_k}，主私钥为msk＝{t₁,t₂,…t_k,a}；

其中，P₁表示群G₁的生成元；P₂表示群G₂的生成元；ψ表示从群G₂到G₁的映射；

表示主密钥；P_pub表示群G₂中的元素；g表示群G_T中的元素；T_i表示属性i的公钥；“i”||hid表示i与hid的拼接，其中i和hid是比特串或字节串；t_i表示临时变量，属于有限域/>

中的元素；

进一步地，步骤S3中密钥生成中心根据用户身份所对应的属性集以及系统的主公私钥生成对应于该属性集的用户的私钥，具体方法为：

随机选定一个d-1次多项式q，满足q(0)＝α，计算

输出私钥sk＝(D_i)_i∈ω；/>

其中，d表示加密属性集与解密属性集中共同属性的个数，即门限值；q表示系数在

中的d-1次多项式；q(i)表示多项式在第i点的值；q(0)表示多项式的常数项；ω表示属性集；sk表示属性集ω的私钥；D_i表示属性集中属性i所对应的私钥。

进一步地，步骤S4中发送者根据接收者身份所对应的属性集γ以及系统公钥获得消息M在属性集γ下加密的密文，具体方法为：

设待加密的消息

接收者的属性集为ω′，选择一个随机值/>

输出密文E：E＝(ω',E'＝Mg^s,{E_i＝sT_i}_i∈ω')；

其中，M表示待加密的消息；ω′表示接收者的属性集；s表示临时变量，属于

中的元素；E_i表示用属性i的公钥加密的部分密文；E表示加密的密文。

进一步地，步骤S5中接收者利用自己的私钥解密密文获得明文，具体包括：

输入对应于属性集ω'的密文E和对应于属性集ω的解密密钥sk(其中|ω∩ω'|≥d)，在ω∩ω'中选取任意一个包含d个元素的子集S，解密过程如下：

其中：|ω∩ω'|表示属性集ω和属性集ω'中共同属性的个数；S表示ω∩ω'中任意一个包含d个元素的子集；Δ_i,S(0)表示拉格朗日系数中x＝0的值。

进一步地，SM9模糊身份基加密方案的解密过程具体如下：

其中，设一个双线性群BP由以下五个元素(G₁,G₂,G_T,e,N)组成。其中λ是安全参数，N是与λ相关的一个大素数,G₁,G₂为N阶加法循环群,G_T为N阶乘法循环群,双线性对是一个映射e:G₁×G₂→G_T,具有如下性质:

(1)双线性(Bilinearity):对任意的P₁∈G₁，P₂∈G₂和

都有e(aP₁,bP₂)＝e(P₁,P₂)^ab；

(2)非退化性(Non-degeneracy):存在P∈G₁,Q∈G₂，使得e(P,Q)≠1；

(3)可计算性(Computability):对所有的P∈G₁,Q∈G₂，存在计算e(P,Q)的有效算法。

此外，若P,Q分别是G₁,G₂的生成元，则存在有效的公开可计算的同构映射ψ：G₂→G₁，使得ψ(Q)＝P.

本发明采用以上技术方案，在不改变SM9标识加密的基本架构上，将其扩展为支持模糊身份基的加密方案，在需要具有纠错能力的加密场景中具有广泛的应用。

本发明的有益效果在于：SM9标识加密算法作为我国的商用密码算法，用于保护不属于国家秘密的公民信息，但是SM9只能满足网络和信息系统的共性基础安全需求，当数据在传输过程中发生错误，即密文所使用的属性集与接收者的属性集不能达到完全匹配的时候，标识加密就不起作用了，我们需要构造一种具有容错能力的加密方案。基于SM9的模糊身份基加密方案正好可以解决这一类问题。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1为一种基于SM9的模糊身份基加密方法的流程图；

图2为密钥生成算法流程示意图；

图3为加密解密算法流程示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。

如图1至图3之一所示，本发明最关键的构思在于：基于SM9标识加密方案，将标识加密方案中用户的标识表示成一组描述性的属性，结合门限密码技术，当密钥所对应的属性集与密文所对应的属性集之间的共同属性个数达到门限值时，方可解密，从而提出一种对身份信息具有容错能力的基于SM9的模糊身份基加密方案。

请参照图1，本发明公开了一种基于SM9的模糊身份基加密方法，包括步骤：

S1、密钥生成中心根据SM9算法生成系统参数并设置门限值d，将生成的系统参数公开给系统中的用户；

S2、密钥生成中心根据用户的属性空间U产生系统主公私钥，将主公钥公开给系统中的用户，保存主私钥；

S3、密钥生成中心根据用户身份所对应的属性集、系统的主公私钥，输出对应于该属性集的用户的私钥；

S4、发送者根据接收者身份所对应的属性集γ、待加密的消息M以及系统公钥，获得消息M在属性集γ下加密的密文；

S5、接收者获得密文后，将自己身份所表示的属性集与密文所使用的属性集进行比较；当两个属性集中的共有属性个数达到预先设定的门限值时，才能正确解密；否则，解密失败。

进一步地，步骤S1中密钥生成中心根据SM9标识加密算法产生系统的参数，具体包括以下步骤：

S1-1，选择阶为素数p的加法群G₁、G₂，乘法群G_T,双线性映射e:G₁×G₂→G_T以及哈希函数

随机数d∈Z_p.

其中，素数p表示循环群G₁、G₂、G_T的阶，且p＞2¹⁹¹；G₁表示阶为素数p的加法循环群；G₂表示阶为素数p的加法循环群；G_T表示阶为素数p的乘法循环群；Z_p表示大于等于0且小于等于p-1的整数集合；

表示大于0且小于等于p-1的整数集合；/>

表示由密码杂凑函数派生的密码函数；d表示门限值；

S1-2，选择用一个字节表示的加密密钥生成函数标识符hid，定义属性空间

且

令/>

中前k个元素作为属性全集，即U＝{1，2，…，k}；对于集合S和i∈Z_p，定义拉格朗日系数为/>

其中，hid表示用一个字节表示的加密密钥生成函数识别符，由密钥生成中心选择并公开；

表示属性空间，即全体属性的集合，将属性空间中的属性与/>

中的前k个元素相对应；k表示属性空间中的属性的个数；S表示元素取自/>

的集合；Δ_i，S(x)表示拉格朗日系数。

进一步地，步骤S2中密钥生成中心根据属性空间产生系统的主公私钥，具体包括：

S2-1，随机选择生成元P₁∈G₁,P₂∈G₂,使得ψ(P₂)＝P₁，选择随机数

计算群G₂中的元素P_pub＝aP₂，群G_T中的元素g＝e(P₁,P_pub)，

S2-2，从

中随机选择互不相同的k个数t₁，t₂，...，t_k，计算T_i＝t_i(H₁("i"||hid,N)P₁+ψ(P_pub))，定义系统的主公钥为：mpk＝{P₁,P₂,P_pub,g,T₁,T₂,…T_k}，主私钥为msk＝{t₁,t₂,…t_k,a}；

其中，P₁表示群G₁的生成元；P₂表示群G₂的生成元；ψ表示从群G₂到G₁的映射；

表示主密钥；P_pub表示群G₂中的元素；g表示群G_T中的元素；T_i表示属性i的公钥；“i”||hid表示i与hid的拼接，其中i和hid是比特串或字节串；t_i表示临时变量，属于有限域/>

中的元素；

进一步地，步骤S3中密钥生成中心根据用户身份所对应的属性集以及系统的主公私钥生成对应于该属性集的用户的私钥，具体方法为：

随机选定一个d-1次多项式q，满足q(0)＝α，计算

输出私钥sk＝(D_i)_i∈ω；

其中，d表示加密属性集与解密属性集中共同属性的个数，即门限值；q表示系数在

中的d-1次多项式；q(i)表示多项式在第i点的值；q(0)表示多项式的常数项；ω表示属性集；sk表示属性集ω的私钥；D_i表示属性集中属性i所对应的私钥。

进一步地，步骤S4中发送者根据接收者身份所对应的属性集γ以及系统公钥获得消息M在属性集γ下加密的密文，具体方法为：

设待加密的消息

接收者的属性集为ω′，选择一个随机值/>

输出密文E：E＝(ω',E'＝Mg^s,{E_i＝sT_i}_i∈ω')；

其中，M表示待加密的消息；ω′表示接收者的属性集；s表示临时变量，属于

中的元素；E_i表示用属性i的公钥加密的部分密文；E表示加密的密文。

进一步地，步骤S5中接收者利用自己的私钥解密密文获得明文，具体包括：

输入对应于属性集ω'的密文E和对应于属性集ω的解密密钥sk(其中|ω∩ω'|≥d)，在ω∩ω'中选取任意一个包含d个元素的子集S，解密过程如下：

其中：|ω∩ω'|表示属性集ω和属性集ω'中共同属性的个数；S表示ω∩ω'中任意一个包含d个元素的子集；Δ_i,S(0)表示拉格朗日系数中x＝0的值。

进一步地，SM9模糊身份基加密方案的解密过程具体如下：

此处对公式计算中需要说明的是：

设一个双线性群BP由以下五个元素(G₁,G₂,G_T,e,N)组成。其中λ是安全参数，N是与λ相关的一个大素数,G₁,G₂为N阶加法循环群,G_T为N阶乘法循环群,双线性对是一个映射e:G₁×G₂→G_T,具有如下性质:

(1)双线性(Bilinearity):对任意的P₁∈G₁，P₂∈G₂和

都有e(aP₁,bP₂)＝e(P₁,P₂)^ab；

(2)非退化性(Non-degeneracy):存在P∈G₁,Q∈G₂,使得e(P,Q)≠1；

(3)可计算性(Computability):对所有的P∈G₁,Q∈G₂,存在计算e(P,Q)的有效算法。

此外，若P,Q分别是G₁,G₂的生成元，则存在有效的公开可计算的同构映射ψ：G₂→G₁,使得ψ(Q)＝P.

本发明采用以上技术方案，在不改变SM9标识加密的基本架构上，将其扩展为支持模糊身份基的加密方案，在需要具有纠错能力的加密场景中具有广泛的应用。

本发明的有益效果在于：SM9标识加密算法作为我国的商用密码算法，用于保护不属于国家秘密的公民信息，但是SM9只能满足网络和信息系统的共性基础安全需求，当数据在传输过程中发生错误，即密文所使用的属性集与接收者的属性集不能达到完全匹配的时候，标识加密就不起作用了，我们需要构造一种具有容错能力的加密方案。基于SM9的模糊身份基加密方案正好可以解决这一类问题。

显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

Claims (3)

1.一种基于SM9的模糊身份基加密方法，其特征在于，其包括步骤：

S1、密钥生成中心根据SM9算法生成系统参数并设置门限值d，将生成的系统参数公开给系统中的用户；步骤S1中密钥生成中心根据SM9标识加密算法产生系统的参数，具体包括以下步骤：

S1-1，选择阶为素数p的加法群G₁、G₂，乘法群G_T,双线性映射e:G₁×G₂→G_T以及哈希函数H₁:

随机数d∈Z_p.

其中，素数p表示循环群G₁、G₂、G_T的阶，且p＞2¹⁹¹；G₁表示阶为素数p的加法循环群；G₂表示阶为素数p的加法循环群；G_T表示阶为素数p的乘法循环群；Z_p表示大于等于0且小于等于p-1的整数集合；

表示大于0且小于等于p-1的整数集合；H₁:/>

表示由密码杂凑函数派生的密码函数；d表示门限值；

S1-2，选择用一个字节表示的加密密钥生成函数标识符hid,定义属性空间

且

令/>

中前k个元素作为属性全集，即U＝{1，2，…，k}；对于集合S和i∈Z_p，定义拉格朗日系数为/>

其中，hid表示用一个字节表示的加密密钥生成函数识别符，由密钥生成中心选择并公开；

表示属性空间，即全体属性的集合，将属性空间中的属性与/>

中的前k个元素相对应；k表示属性空间中的属性的个数；S表示元素取自/>

的集合；Δ_i,S(x)表示拉格朗日系数；

S2、密钥生成中心根据用户的属性空间U产生系统主公私钥，将主公钥公开给系统中的用户，保存主私钥；步骤S2中密钥生成中心根据属性空间产生系统的主公私钥，具体包括：

S2-1，随机选择生成元P₁∈G₁,P₂∈G₂,使得ψ(P₂)＝P₁，选择随机数

计算群G₂中的元素P_pub＝aP₂，群G_T中的元素g＝e(P₁,P_pub)，

S2-2，从

中随机选择互不相同的k个数t₁，t₂，...，t_k，计算T_i＝t_i(H₁("i"||hid,N)P₁+ψ(P_pub))，定义系统的主公钥为：mpk＝{P₁,P₂,P_pub,g,T₁,T₂,…T_k}，主私钥为msk＝{t₁,t₂,…t_k,a}；

其中，P₁表示群G₁的生成元；P₂表示群G₂的生成元；ψ表示从群G₂到G₁的映射；

表示主密钥；P_pub表示群G₂中的元素；g表示群G_T中的元素；T_i表示属性i的公钥；“i”||hid表示i与hid的拼接，其中i和hid是比特串或字节串；t_i表示临时变量，属于有限域/>

中的元素；

S3、密钥生成中心根据用户身份所对应的属性集、系统的主公私钥，输出对应于该属性集的用户的私钥；密钥生成中心根据用户身份所对应的属性集以及系统的主公私钥生成对应于该属性集的用户的私钥；具体方法为：随机选定一个d-1次多项式q，满足q(0)＝α，计算

输出私钥sk＝(D_i)_i∈ω；

其中，d表示加密的属性集与解密的属性集中共同属性的个数，即门限值；q表示系数在

中的d-1次多项式；q(i)表示多项式在第i点的值；q(0)表示多项式的常数项；ω表示属性集；sk表示属性集ω的私钥；D_i表示属性集中属性i所对应的私钥；/>

S4、发送者根据接收者身份所对应的属性集γ、待加密的消息M以及系统公钥，获得消息M在属性集γ下加密的密文；

S5、接收者获得密文后，将自己身份所表示的属性集与密文所使用的属性集进行比较；当两个属性集中的共有属性个数达到预先设定的门限值时，才能正确解密；否则，解密失败。

2.根据权利要求1所述的一种基于SM9的模糊身份基加密方法，其特征在于：步骤S4中发送者根据接收者身份所对应的属性集γ以及系统公钥获得消息M在属性集γ下加密的密文；具体方法为：设待加密的消息

接收者的属性集为ω′，选择一个随机值/>

输出密文E：E＝(ω′,E′＝Mg^s,{E_i＝sT_i}_i∈ω′)；

其中，M表示待加密的消息；ω′表示接收者的属性集；s表示临时变量，属于

中的元素；E_i表示用属性i的公钥加密的部分密文；E表示加密的密文。

3.根据权利要求2所述的一种基于SM9的模糊身份基加密方法，其特征在于：步骤S5中接收者利用自己的私钥解密密文获得明文，具体包括：

输入对应于属性集ω'的密文E和对应于属性集ω的解密密钥sk(其中|ω∩ω'|≥d)，在ω∩ω'中选取任意一个包含d个元素的子集S，解密过程如下：

解密过程具体如下：

其中：|ω∩ω'|表示属性集ω和属性集ω'中共同属性的个数；S表示ω∩ω'中任意一个包含d个元素的子集；Δ_i,S(0)表示拉格朗日系数中x＝0的值。

Images