CN116132047A - 基于sm9密码算法的解密方法和密钥解封装方法 - Google Patents

Abstract

本发明公开了一种基于SM9密码算法的解密方法和密钥解封装方法。该密钥解封装方法包括以下步骤：M1：验证密文C∈G₁是否成立，若不成立则报错并退出，若成立则进入下一步，其中，群G₁表示一个阶为素数N的加法循环群；M2：计算群G_T中的元素双线性对w₁＇＝e(C＇，D＇)，将w＇的数据类型转换为比特串，其中群G_T表示阶为素数N的乘法循环群，C＇是基于解密设备收到的封装密文每次加密的临时公钥C₁得到的；D＇是基于解密设备的加密私钥de_B得到的；M3：将密文C的数据类型转换为比特串，计算封装的密钥K'＝KDF(C||w'||ID_B，klen)，若K＇为全0比特串，则报错并退出，否则进入下一步；M4：输出密钥K＇。利用本发明，可以有效克服传统密码算法中密钥分发安全性弱等问题。

Description

基于SM9密码算法的解密方法和密钥解封装方法

技术领域

本发明涉及一种基于SM9密码算法的密钥解封装方法，同时也涉及一种基于SM9密码算法的解密方法，属于信息安全技术领域。

背景技术

目前，基于公钥密码学的数字签名和加解密技术已经广泛应用在电子商务、身份认证等应用中，为网上交易、通信提供一套成熟、安全的技术和规范。私钥的安全性是保证这些应用安全的基础条件之一。

SM9标识密码算法是我国独立设计的一种基于标识密码体系的商用密码算法，它是在有限域中利用椭圆曲线上的双线性对构造的基于标识的密码算法。在SM9算法中，用户私钥由密钥生成中心根据主密钥和用户标识计算得出，用户的公钥由用户标识唯一确定并由用户设备管理者保证标识的真实性。SM9算法包括签名/验签算法，加/解密算法，封装/解封装算法和密钥交换算法。

根据中国国家标准GB/T 38635.2-2020《信息安全技术SM9标识密码算法第2部分：算法》第8.5和9.5节中公开的解封装算法流程和解密算法流程可以看出，用户私钥主要参与了双线性对的运算，若用户私钥发生了泄露会直接影响SM9解封装算法和解密算法的安全性。而在双线性对计算中会频繁使用用户私钥参与一些底层的运算，频繁使用用户私钥参与运算会增加用户私钥泄露的风险。因此，需要研究出一种在解密算法和解封装算法运算过程中有效保护用户私钥的方法。

发明内容

本发明所要解决的首要技术问题在于提供一种基于SM9密码算法的密钥解封装方法。

本发明所要解决的另一技术问题在于提供一种基于SM9密码算法的解密方法。

为实现上述技术目的，本发明采用以下的技术方案：

根据本发明实施例的第一方面，提供一种基于SM9密码算法的密钥解封装方法，包括以下步骤：

M1：验证密文C∈G₁是否成立，若不成立则退出，若成立则进入下一步，其中，群G₁表示一个阶为素数N的加法循环群；

M2：计算群G_T中的元素双线性对w₁＇＝e(C＇，D＇)，将w＇的数据类型转换为比特串，其中群G_T表示阶为素数N的乘法循环群，C＇是基于解密设备收到的封装密文每次加密的临时公钥C₁得到的；

D＇是基于解密设备的加密私钥de_B得到的；

M3：将密文C的数据类型转换为比特串，计算封装的密钥K'＝KDF(C||w'||ID_B，klen)，若K＇为全0比特串，则报错并退出，否则进入下一步；

M4：输出密钥K＇。

其中较优地，所述步骤M1中，解密设备接收到的密文C＝C1||C2||C3，其中，C1是对对称密钥的封装，C2是对消息的封装，C3用作消息认证。

其中较优地，所述步骤M2包括如下子步骤：

第一步：通过安全的随机数发生器获取随机数R；

第二步：利用基域点乘运算单元计算C＇＝[R]C₁；

第三步：由模逆运算单元计算R＇＝R^-1mod N；

第四步：通过扩域点乘运算单元计算D＇＝[R＇]de_B；

第五步：计算双线性对w₁＇＝e(C＇，D＇)。

其中较优地，所述随机数R位于[1，N-1]之间，并且R小于N。

其中较优地，e为双线性映射，表示从G₁×G₂到G_T的双线性对，w₁＇为临时变量，属于乘法群G_T中的元素。

根据本发明实施例的第二方面，提供一种基于SM9密码算法的解密方法，包括以下步骤：

N1：从密文C中取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，若不成立则报错并退出，否则进入下一步，其中，群G₁表示一个阶为素数N的加法循环群；

N2：计算群G_T中的元素w＇＝e(C₁，de_B)，将w＇的数据类型转换为比特串；其中de_B表示解密设备的加密私钥，

N3：基于密钥K＇，按加密明文的方法分类进行计算，得到明文M＇；

N4：计算u＝MAC(K₂＇，C₂)，从C中取出比特串C₃：若u≠C₃，则报错并退出，否则进入下一步；

N5：输出明文M＇。

其中较优地，所述密钥K＇是根据前述基于SM9密码算法的密钥解封装方法得到的。

其中较优地，按加密明文的方法分类是指基于密钥派生函数的序列密码或结合密钥派生函数的分组密码进行分类。

与现有技术相比较，本发明所提供的基于SM9密码算法的解密方法和密钥解封装方法不仅能够依赖SM9算法的优势，有效克服传统密码算法中密钥分发安全性弱等问题，而且从算法实现层面极大地增加了计时攻击和功耗分析等侧信道攻击方法获取密钥信息的难度。在物联网安全平台中应用本发明，不仅可以解决当前物联网设备与服务器之间、物联网设备与物联网设备之间相互信任的问题，而且可以有效打乱SM9算法中重要的中间数据与能量功耗的相关性，实现对算法过程中重要数据的保护。

附图说明

图1为现有技术中，SM9解密算法的流程示意图；

图2为本发明实施例中，SM9解密和解封装算法的私钥防护方法流程图。

具体实施方式

下面结合附图和具体实施例对本发明的技术内容进行详细具体的说明。

为了使本领域的技术人员更好地了解本发明，下面先对本发明的相关背景进行进一步说明。首先需要说明的是，本发明是基于中国国家标准GB/T 38635.2-2020《信息安全技术SM9标识密码算法第2部分：算法》(以下简称为：该标准)中的SM9解封装和解密方法进行的改进，重点介绍本发明所提供的技术方案与该标准的不同之处。因此，该标准中与本发明所提供的技术方案相同的部分内容可以引用于此，在此不再赘述。

在该标准的第8.4节中描述了解封装算法。用户B(解密设备)收到封装密文C后，为了对比特长度为klen的密钥解封装，需要执行以下密钥解封装步骤：

A1：验证封装密文C∈G₁是否成立，若不成立则报错并退出，否则进入下一步，其中，群G₁为阶为素数N的加法循环群。

A2：计算群G_T中的元素w＇＝e(C，de_B)，将w＇的数据类型转换为比特串，其中，de_B为SM9私钥，w’为私钥de_B的双线性对值，e表示双线性对映射：G1(C所在的群)*G2(de_B所在的群)→GT，GT是阶为素数N的乘法循环群。

A3：将封装密文C的数据类型转换为比特串，计算封装的密钥K'＝KDF(C||w'||ID_B，klen)，若K＇为全0比特串，则报错并退出。其中，KDF是密钥派生函数，ID_B表示用户标识。

A4：输出密钥K＇。

在该标准的第9.4节中描述了解密算法，设密文C＝C₁||C₃||C₂，其中mlen为C₂的比特长度，K_1—len为分组密码算法中密钥K₁的比特长度，K₂_len为认证消息码函数MAC(K₂，Z)中密钥K₂的比特长度。

为了对密文C进行解密，作为解密者的用户B需要执行以下运算步骤：

B1：从密文C中取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，若不成立则报错并退出，否则进入下一步。

B2：计算群G_T中的元素w＇＝e(C₁，de_B)，将w＇的数据类型转换为比特串。

B3：基于密钥K’，按加密明文的方法(基于密钥派生函数的序列密码或结合密钥派生函数的分组密码)分类进行计算得到明文M＇。

若加密明文的方法是密钥派生函数的流密码，则K1’为密钥K’最左边的mlen比特，K2’为密钥K’剩下的K₂_len的比特。若K1’为全0比特串，则报错并退出。若不是，则计算明文M＇

若加密明文的方法是结合密钥派生函数的分组密码算法，则K1’为密钥K’的最左边的K1_len的比特，K2’为剩下的K₂_len的比特。若K1’为全0比特串，则报错并退出。若不是，则计算明文M’＝Dec(K1’，C2)。其中，Dec为分组密码解密算法。

B4：计算u＝MAC(K₂＇，C₂)，从C中取出比特串C₃：若u≠C₃，则报错并退出，否则进入下一步。认证消息码函数MAC(K₂＇，C₂)输入比特串K₂＇和比特串C₂，输出长度为υ的消息认证码数据比特串。K₂＇是由B3步骤中得到的密钥K’中右边的K2_len比特。

B5：输出明文M＇。

如图1所示，本发明实施例首先公开了一种基于SM9解密和解封装算法的私钥防护方法，将用户私钥de_B参与的双线性对运算进行替换，即将解封装算法步骤A2和解密算法步骤B2中运算w＇＝e(C₁，de_B)的步骤进行替换。

因此，本发明实施例提供的密钥解封装方法包括以下步骤：

M1：验证密文C∈G₁是否成立，若不成立则报错并退出，若成立则进入下一步。

其中，用户B(解密设备)接收到密文C＝C1||C2||C3，其中，C1是对对称密钥的封装(该对称密钥与私钥de_B无关)，C2是对消息的封装，C3用作消息认证。群G₁表示一个阶为素数N的加法循环群。

M2：计算群G_T中的元素双线性对w₁＇＝e(C＇，D＇)，将w＇的数据类型转换为比特串。

步骤M2中计算双线性对的步骤包括以下子步骤：

第一步：通过安全的随机数发生器获取随机数R。

具体地，该随机数R需位于[1，N-1]之间，如果产生的随机数R大于或等于N，则重新产生一个随机数R，直到R小于N。其中，N为SM9椭圆曲线的阶，具体地，N表示循环群G₁，G₂，G_T的阶，N是大于2¹⁹¹的素数，群G₁表示一个阶为素数N的加法循环群，G₂表示另一个(不同于G₁)并且阶为素数N的加法循环群，群G_T表示阶为素数N的乘法循环群。G1是基域加法群，G2是二次扩域的加法群。

第二步：利用基域点乘运算单元计算C＇＝[R]C₁。

其中，C₁为用户B(解密设备)收到的封装密文每次加密的临时公钥，[R]C₁表示元素C₁的R倍，得到的C＇用于替换该标准中的双线性对运算w＇＝e(C₁，de_B)中的C₁。

第三步：由模逆运算单元计算R＇＝R^-1mod N。

其中，mod表示求模运算，通过该式可知R*R＇＝1。

第四步：通过扩域点乘运算单元计算D＇＝[R＇]de_B。

其中，de_B为用户B的加密私钥，[R＇]de_B表示元素de_B的R＇倍。因为R为随机数，由步骤S3知R＇也为随机数，所以D＇也为随机数，得到的D＇用于替换原双线性对运算w＇＝e(C₁，de_B)中的de_B。

由此可见，利用随机化私钥运算过程，可以减少原始私钥参与运算次数和强度，降低私钥泄露风险，实现对私钥保护，从而提高保密性。

点乘运算即多倍点运算，满足GB/T38635.1-2020第一部分B.2章节的描述。

第五步：计算双线性对w₁＇＝e(C＇，D＇)。

其中，e为双线性映射，表示从G₁×G₂到G_T的双线性对，w₁＇为临时变量，属于乘法群G_T中的元素。由GB/T38635.1-2020《信息安全技术SM9标识密码算法第1部分：总则》第6.1节可知双线性对具有双线性性，即：对于任意的P∈G₁，Q∈G₂，a，b∈Z_N，可得e([a]P,[b]Q)＝e(P,Q)^ab。

通过上述流程可以，用户私钥de_B并没有参与最后的双线性对运算，而是用随机化后的D＇来参与运算。这样可以减少用户私钥de_B在底层运算中使用的次数，由此降低用户私钥de_B的泄露风险，同时增加了系统的保密性。

M3：将C的数据类型转换为比特串，计算封装的密钥K'＝KDF(C||w'||ID_B，klen)，若K＇为全0比特串，则报错并退出，否则进入下一步。

M4：输出密钥K＇。

在本发明的一个实施例中，相应的解密过程包括以下子步骤：

N1：从C中取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，若不成立则报错并退出，否则进入下一步。

N2：计算群G_T中的元素w＇＝e(C₁，de_B)，将w＇的数据类型转换为比特串。

按照步骤M2中的算法获得双线性对w＇，在此不予赘述。

N3：基于步骤M4中得到的密钥K＇，按加密明文的方法(基于密钥派生函数的序列密码或结合密钥派生函数的分组密码)分类进行计算，得到明文M＇。

N4：计算u＝MAC(K₂＇，C₂)，从C中取出比特串C₃：若u≠C₃，则报错并退出，否则进入下一步。

N5：输出明文M＇。

综上所述，本发明实施例提供的一种SM9解密和解封装算法的私钥防护方法，首先通过安全的随机数发生器获取一个位于[1，N-1]之间的随机数R，然后利用基域点乘运算单元计算C＇＝[R]C₁，再由模逆运算单元计算R＇＝R^-1mod N，然后通过扩域点乘运算单元计算D＇＝[R＇]de_B，最后计算双线性对w₁＇＝e(C＇，D＇)，通过上述步骤即利用了双线性对的特性，将原始流程中的运算w＇＝e(C₁，de_B)替换为w₁＇＝e(C＇，D＇)，用随机化后的D＇代替用户私钥de_B进行底层运算，这样就可以减少用户私钥de_B的使用，达到降低用户私钥泄露风险的目的。而且，由于256位数据的随机化，从算法实现层面增加了计时攻击和功耗分析等侧信道攻击方法获取密钥信息的难度。

为了说明本发明所提供的基于SM9密码算法的解密方法和密钥解封装方法的可行性，进一步论证如下：

将前述步骤S5的计算式w₁＇＝e(C＇，D＇)进行展开如下：

1)替换C＇，可以得到w₁＇＝e([R]C₁，D＇)

2)替换D＇，可以得到w₁＇＝e([R]C₁，[R＇]de_B)

3)根据双线性对的双线性，有：w₁＇＝e(C₁,de_B)^R*R＇

4)由R＇＝R^-1mod N，可知R*R＇＝1，所以w₁＇＝e(C₁，de_B)

由此可知，通过本发明所提供的基于SM9密码算法的解密方法和密钥解封装方法得到的w₁＇与原始流程中的w₁＇完全相同，由此可以说明将GB/T 38635.2-2020《信息安全技术SM9标识密码算法第2部分：算法》第8.4和9.4节中的解封装算法步骤A2和解密算法步骤B2用本发明所提供的解密方法和密钥解封装方法替换后不会影响最终的双线性对运算结果，即本发明所提供的解密方法和密钥解封装方法在原理上是可行的。

可以理解，本发明所提供的解密方法和密钥解封装方法既可以用于移动通信技术领域，也可以用于计算机通信、物联网等多种技术领域。

与现有技术相比较，本发明所提供的基于SM9密码算法的解密方法和密钥解封装方法不仅能够依赖SM9算法的优势，有效克服传统密码算法中密钥分发安全性弱等问题，而且从算法实现层面极大的增加了计时攻击和功耗分析等侧信道攻击方法获取密钥信息的难度。在物联网安全平台中应用本发明，不仅可以解决当前物联网设备与服务器之间、物联网设备与物联网设备之间相互信任的问题，而且可以有效打乱SM9算法中重要的中间数据与能量功耗的相关性，实现对算法过程中重要数据的保护。

上面对本发明所提供的基于SM9密码算法的解密方法和密钥解封装方法进行了详细的说明。对本领域的一般技术人员而言，在不背离本发明实质内容的前提下对它所做的任何显而易见的改动，都将构成对本发明专利权的侵犯，将承担相应的法律责任。

Claims (7)

1.一种基于SM9密码算法的密钥解封装方法，其特征在于包括以下步骤：

M1：验证密文C∈G₁是否成立，若不成立则退出，若成立则进入下一步，其中，群G₁表示一个阶为素数N的加法循环群；

M2：计算群G_T中的元素双线性对w₁＇＝e(C＇，D＇)，将w＇的数据类型转换为比特串，其中群G_T表示阶为素数N的乘法循环群，C＇是基于解密设备收到的封装密文每次加密的临时公钥C₁得到的；

D＇是基于解密设备的加密私钥de_B得到的；

M3：将密文C的数据类型转换为比特串，计算封装的密钥K'＝KDF(C||w'||ID_B，klen)，若K＇为全0比特串，则报错并退出，否则进入下一步；

M4：输出密钥K＇。

2.如权利要求1所述的基于SM9密码算法的密钥解封装方法，其特征在于：

所述步骤M1中，解密设备接收到的密文C＝C1||C2||C3；其中，C1是对对称密钥的封装，C2是对消息的封装，C3用作消息认证。

3.如权利要求2所述的基于SM9密码算法的密钥解封装方法，其特征在于所述步骤M2包括如下子步骤：

第一步：通过安全的随机数发生器获取随机数R；

第二步：利用基域点乘运算单元计算C＇＝[R]C₁；

第三步：由模逆运算单元计算R＇＝R^-1mod N；

第四步：通过扩域点乘运算单元计算D＇＝[R＇]de_B；

第五步：计算双线性对w₁＇＝e(C＇，D＇)。

4.如权利要求3所述的基于SM9密码算法的密钥解封装方法，其特征在于：

所述随机数R位于[1，N-1]之间，并且R小于N。

5.如权利要求3所述的基于SM9密码算法的密钥解封装方法，其特征在于：

e为双线性映射，表示从G₁×G₂到G_T的双线性对，w₁＇为临时变量，属于乘法群G_T中的元素。

6.一种基于SM9密码算法的解密方法，其特征在于包括以下步骤：

N1：从密文C中取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，若不成立则报错并退出，否则进入下一步，其中，群G₁表示一个阶为素数N的加法循环群；

N2：计算群G_T中的元素w＇＝e(C₁，de_B)，将w＇的数据类型转换为比特串；其中de_B表示解密设备的加密私钥，

N3：基于权利要求1～5中任意一项得到的密钥K＇，按加密明文的方法分类进行计算，得到明文M＇；

N4：计算u＝MAC(K₂＇，C₂)，从C中取出比特串C₃：若u≠C₃，则报错并退出，否则进入下一步；

N5：输出明文M＇。

7.如权利要求6所述的基于SM9解密算法的解密方法，其特征在于：

按加密明文的方法分类是指基于密钥派生函数的序列密码或结合密钥派生函数的分组密码进行分类。

Images