CN111030801A - 一种多方分布式的sm9密钥生成、密文解密方法与介质 - Google Patents

Abstract

本发明涉及一种多方分布式的SM9密钥生成、密文解密方法与介质，通过以下技术方案实现：KGC为参与SM9解密系统的通信方生成对应的部分私钥。收到私钥后，第i(1＜i≤n)个通信方U_i计算临时变量E_i＝[r_i]C₁并发送给U₁。U₁收到n‑1个变量后，计算

并按SM9解密算法解密计算，最终输出明文M′。本发明具有安全性高、通信代价小等优点，通信方在不泄漏各自部分私钥的前提下，必须共同参与才能完成对消息的完整解密。在基本操作运算中，双线性映射计算代价比较大，本方案中，双线性操作是由一个通信方来完成的，从而降低其他通信方的计算代价并减少了交互次数。

Description

一种多方分布式的SM9密钥生成、密文解密方法与介质

技术领域

本发明涉及一种SM9密钥生成、密文解密方法与介质，尤其是涉及一种多方分布式的SM9密钥生成、密文解密方法与介质。

背景技术

随着科学技术的飞速发展，云计算、雾计算等平台为数据的存储和传输提供了强大的支撑平台。新的体系结构给数据的完整性、机密性、可用性带来了新的挑战，数据的安全和隐私已经成为热点话题。

公钥密码算法是实现消息机密性、完整性和不可否认性的关键技术，已经广泛应用于电子商务、电子政务等多个领域。这些算法的安全性取决于对密钥的安全存储和使用，一旦密钥泄露则无安全可言。(t，n)门限秘密共享将用户的私钥分割成n份，只有将t份放在一起，私钥才可以通过一定的算法重构出来，而少于这个数量的份额无法重构私钥，t被称作门限。在(t，n)门限秘密共享方案中，私钥会被其中一个参与方恢复，拥有原始私钥的参与方可以在其他参与方不知晓的情况下对密文进行解密。

针对这种情况，本专利设计了一种多方协同解密SM9密文的方案，此方案在多方协同解密的情况下，既能保证解密的正确执行，又能保证私钥不被泄露，且产生解密的过程中必须由多方同时参与。

SM9标识密码算法是一种基于双线性对的标识密码算法，在该算法中用户的身份标识是用户的公钥，用户的私钥由私钥生成中心KGC根据用户的身份产生。SM9算法该算法于2015年发布为国家密码行业标准(GM/T 0044-2016)，主要包括数字签名、加密、密钥交换等内容。

发明内容

本发明的上述技术问题主要是通过下述技术方案得以解决的：

一种多方分布式SM9密钥的生成方法，其特征在于，包括：

步骤1、生成主私钥，具体是密钥生成中心在系统初始化时，选择随机数ke∈{1，...，q-1}作为主私钥，计算P_pub-e＝[ke]P₁作为加密主公钥；密钥生成中心秘密保存ke，公开P_pub-e；密钥生成中心选择并公开用一个字节表示的解密私钥生成函数识别符hid；

步骤2、：生成私钥，具体是给定用户的身份ID，为产生用户的解密私钥，具体包括：

步骤1.1、密钥生成中心计算一个临时变量t₁＝H₁(ID||hid，q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的私钥；否则，计算第二个临时变量

其中

表示t₁模q的逆元，即

步骤1.2、密钥生成中心随机选择r₂，r₃，...，r_n∈{1，...，q-1}，计算r₁＝(r₂+r₃+…+r_n)^-1t₂mod q；

步骤1.3、密钥生成中心设置第1部分私钥

第2部分私钥

第n-1部分私钥

第n部分私钥

步骤1.4、密钥生成中心将部分私钥分别发给对应的每个通信方U_i。

一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

步骤1、生成主私钥，具体是密钥生成中心在系统初始化时，选择随机数ke∈{1，...，q-1}作为主私钥，计算P_pub-e＝[ke]P₁作为加密主公钥；密钥生成中心秘密保存ke，公开P_pub-e；密钥生成中心选择并公开用一个字节表示的解密私钥生成函数识别符hid；

步骤2、：生成私钥，具体是给定用户的身份ID，为产生用户的解密私钥，具体包括：

步骤1.1、密钥生成中心计算一个临时变量t₁＝H₁(ID||hid，q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的私钥；否则，计算第二个临时变量

其中

表示t₁模q的逆元，即

步骤1.2、密钥生成中心随机选择r₂，r₃，...，r_n∈{1，...，q-1}，计算r₁＝(r₂+r₃+…+r_n)^-1t₂mod q；

步骤1.3、密钥生成中心设置第1部分私钥

第2部分私钥

第n-1部分私钥

第n部分私钥

步骤1.4、密钥生成中心将部分私钥分别发给对应的每个通信方U_i。

一种多方分布式SM9密文的解密方法，其特征在于，包括：定义密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K_{1_}len，函数MAC(K₂，Z)中密钥K₂的比特长度为K_{2_}len；对密文C解密时，n个通信方进行如下步骤的交互：

步骤1、第n个通信方U_n从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈C₁是否成立，如果不成立则报错并退出；否则，U_n计算第一个临时变量E_n＝[r_n]C₁，并将E_n发送给U₁；

步骤2、U_n-1计算第二个临时变量E_n-1＝[r_n-1]C₁，并将E_n-1发送给U₁；...；U₂计算第n-1个临时变量E₂＝[r₂]C₁，并将E₂发送给U₁；

步骤3、U₁收到来自U₂到U_n发送的n-1个临时变量后，计算第n个临时变量

并将w_n的数据类型转换为比特串；U₁使用SM9解密算法进行解密计算，具体包括：

步骤3.1、若加密明文的方法是基于密钥派生函数的序列密码算法，则

步骤3.11、计算klen＝mlen+K_{2_}len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前mlen比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.12、否则，计算

步骤3.2、若加密明文的方法是基于密钥派生函数的分组密码算法，则

步骤3.21、计算klen＝K_{1_}len+K_{2_}len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前K_{1_}len比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.21、否则，计算M′＝Dec(K₁′，C₂)，其中Dec(·)为分组解密算法；

步骤3.3、计算u＝MAC(K₂′，C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

步骤3.4、否则，输出明文M′。

在上述的一种多方分布式SM9密文的解密方法，步骤2中，在每个通信方U_i发送E_i至U₁的同时，为了达到更安全的级别，U_i可以产生并发送一个E_i的零知识证明，即证明E_i是关于r_i的一个离散对数，同时验证E_i是G₁中的元素。

一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

定义密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K_{1_}len，函数MAC(K₂，Z)中密钥K₂的比特长度为K_{2_}len；对密文C解密时，n个通信方进行如下步骤的交互：

步骤1、第n个通信方U_n从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，U_n计算第一个临时变量E_n＝[r_n]C₁，并将E_n发送给U₁；

步骤2、U_n-1计算第二个临时变量E_n-1＝[r_n-1]C₁，并将E_n-1发送给U₁；...；U₂计算第n-1个临时变量E₂＝[r₂]C₁，并将E₂发送给U₁；

步骤3、U₁收到来自U₂到U_n发送的n-1个临时变量后，计算第n个临时变量

并将w_n的数据类型转换为比特串；U₁使用SM9解密算法进行解密计算，具体包括：

步骤3.1、若加密明文的方法是基于密钥派生函数的序列密码算法，则

步骤3.11、计算klen＝mlen+K_{2_}len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前mlen比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.12、否则，计算

步骤3.2、若加密明文的方法是基于密钥派生函数的分组密码算法，则

步骤3.21、计算klen＝K_{1_}len+K_{2_}len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前K_{1_}len比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.21、否则，计算M′＝Dec(K₁′，C₂)，其中Dec(·)为分组解密算法；

步骤3.3、计算u＝MAC(K₂′，C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

步骤3.4、否则，输出明文M′。

在上述的一种计算机存储介质，运行计算机程序步骤2时，在每个通信方U_i发送E_i至U₁的同时，为了达到更安全的级别，U_i可以产生并发送一个E_i的零知识证明，即证明E_i是关于r_i的一个离散对数，同时验证E_i是G₁中的元素。

因此，本发明具有如下优点：本发明具有安全性高、通信代价小等优点，通信方在不泄漏各自部分私钥的前提下，必须共同参与才能完成对消息的完整解密。在基本操作运算中，双线性映射计算代价比较大，本方案中，双线性操作是由一个通信方来完成的，从而降低其他通信方的计算代价并减少了交互次数。

附图说明

附图1是本发明的方法流程示意图。

具体实施方式

下面通过实施例，对本发明的技术方案作进一步具体的说明。

实施例：

在以下对本发明的描述中，密钥生成中心(KGC)是一个可信机构，它主要负责生成系统参数、主私钥以及解密私钥。

一、符号及定义

KDF(·)：密钥派生函数。

MAC(·)：消息认证码函数。

G₁，G₂：阶为素数q的加法循环群。

G_T：阶为素数q的乘法循环群。

e：从G₁×G₂到G_T的双线性对。

g^u：乘法群G_T中g的u次幂，即

其中u是正整数。

H₁(·)，H₂(·)：由{0，1}^*到

的密码杂凑函数。

ID_C：通信方C的标识，可以唯一确定通信方C的公钥。

通信方C的解密私钥。

mod q：模q运算。例如，27(mod 5)≡2。

q：循环群G₁，G₂和G_T的阶，且q＞2¹⁹¹为素数。

P₁，P₂：分别是群G₁和G₂的生成元。

[u]P：加法群C₁，G₂中元素P的u倍。

x||y：x与y的拼接，其中x和y是比特串或字节串。

{x，y}：不小于x且不大于y的整数的集合。

U_i：用户的第i个通信方。

在系统初始化阶段，KGC选择随机数ke∈{1，...，q-1}作为主私钥，计算P_pub-e＝[ke]P₁作为加密主公钥。KGC秘密保存ke，公开P_pub-e。KGC选择并公开用一个字节表示的解密私钥生成函数识别符hid。对于双线性对及Hash相关的内容，对应《SM9标识密码算法》文档规范。

二、私钥生成算法

给定用户的身份ID，为产生用户的解密私钥，KGC执行下列操作：

1)KGC计算一个临时变量t₁＝H₁(ID||hid，q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的私钥；否则，计算第二个临时变量

其中

表示t₁模q的逆元，即

2)KGC随机选择r₂，r₃，...，r_n∈{1，...，q-1}，计算r₁＝(r₂+r₃+…+r_n)^-1t₂mod q。

3)KGC设置第1部分私钥

第2部分私钥

第n-1部分私钥

第n部分私钥

4)KGC将部分私钥分别发给对应的每个通信方U_i。

三、解密算法

设密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K_{1_}len，函数MAC(K₂，Z)中密钥K₂的比特长度为K_{2_}len。为了对密文C解密，n个通信方进行如下交互：

1)第n个通信方U_n从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，U_n计算第一个临时变量E_n＝[r_n]C₁，并将E_n发送给U₁；

2)U_n-1计算第二个临时变量E_n-1＝[r_n-1]C₁，并将E_n-1发送给U₁；

3)...

4)U₂计算第n-1个临时变量E₂＝[r₂]C₁，并将E₂发送给U₁；

5)U₁收到来自U₂到U_n发送的n-1个临时变量后，计算第n个临时变量

并将w_n的数据类型转换为比特串。U₁使用SM9解密算法进行解密计算：

a)若加密明文的方法是基于密钥派生函数的序列密码算法，则

1.计算klen＝mlen+K_{2_}len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)。设K₁′为K′前mlen比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

2.否则，计算

b)若加密明文的方法是基于密钥派生函数的分组密码算法，则

3.计算klen＝K_{1_}len+K_{2_}len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)。设K₁′为K′前K_{1_}len比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

4.否则，计算M′＝Dec(K₁′，C₂)，其中Dec(·)为分组解密算法。

a)计算u＝MAC(K₂′，C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

b)否则，输出明文M′。

在每个通信方U_i发送E_i至U₁的同时，为了达到更安全的级别，U_i可以产生并发送一个E_i的零知识证明，即证明E_i是关于r_i的一个离散对数，同时验证E_i是G₁中的元素。解密算法流程如图1所示。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (6)

1.一种多方分布式SM9密钥的生成方法，其特征在于，包括：

步骤1、生成主私钥，具体是密钥生成中心在系统初始化时，选择随机数ke∈{1，...，q-1}作为主私钥，计算P_pub-e＝[ke]P₁作为加密主公钥；密钥生成中心秘密保存ke，公开P_pub-e；密钥生成中心选择并公开用一个字节表示的解密私钥生成函数识别符hid；

步骤2、：生成私钥，具体是给定用户的身份ID，为产生用户的解密私钥，具体包括：

步骤1.1、密钥生成中心计算一个临时变量t₁＝H₁(ID||hid，q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的私钥；否则，计算第二个临时变量

其中

表示t₁模q的逆元，即

步骤1.2、密钥生成中心随机选择r₂，r₃，...，r_n∈{1，...，q-1}，计算r₁＝(r₂+r₃+…+r_n)^{- 1}t₂mod q；

步骤1.3、密钥生成中心设置第1部分私钥

第2部分私钥

第n-1部分私钥

第n部分私钥

步骤1.4、密钥生成中心将部分私钥分别发给对应的每个通信方U_i。

2.一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

步骤1、生成主私钥，具体是密钥生成中心在系统初始化时，选择随机数ke∈{1，...，q-1}作为主私钥，计算P_pub-e＝[ke]P₁作为加密主公钥；密钥生成中心秘密保存ke，公开P_pub-e；密钥生成中心选择并公开用一个字节表示的解密私钥生成函数识别符hid；

步骤2、：生成私钥，具体是给定用户的身份ID，为产生用户的解密私钥，具体包括：

步骤1.1、密钥生成中心计算一个临时变量t₁＝H₁(ID||hid，q)+ke，若t₁＝0，则重新产生主密钥，计算和公开加密主公钥，并更新已有用户的私钥；否则，计算第二个临时变量

其中

表示t₁模q的逆元，即

步骤1.2、密钥生成中心随机选择r₂，r₃，...，r_n∈{1，...，q-1}，计算r₁＝(r₂+r₃+…+r_n)^{- 1}t₂mod q；

步骤1.3、密钥生成中心设置第1部分私钥

第2部分私钥

第n-1部分私钥

第n部分私钥

步骤1.4、密钥生成中心将部分私钥分别发给对应的每个通信方U_i。

3.一种多方分布式SM9密文的解密方法，其特征在于，包括：定义密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K_{1_}len，函数MAC(K₂，Z)中密钥K₂的比特长度为K_{2_}len；对密文C解密时，n个通信方进行如下步骤的交互：

步骤1、第n个通信方U_n从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，U_n计算第一个临时变量E_n＝[r_n]C₁，并将E_n发送给U₁；

步骤2、U_n-1计算第二个临时变量E_n-1＝[r_n-1]C₁，并将E_n-1发送给U₁；...；U₂计算第n-1个临时变量E₂＝[r₂]C₁，并将E₂发送给U₁；

步骤3、U₁收到来自U₂到U_n发送的n-1个临时变量后，计算第n个临时变量

并将w_n的数据类型转换为比特串；U₁使用SM9解密算法进行解密计算，具体包括：

步骤3.1、若加密明文的方法是基于密钥派生函数的序列密码算法，则

步骤3.11、计算klen＝mlen+K_{2_}len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前mlen比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.12、否则，计算

步骤3.2、若加密明文的方法是基于密钥派生函数的分组密码算法，则

步骤3.21、计算klen＝K_{1_}len+K_{2_}len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前K_{1_}len比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.21、否则，计算M′＝Dec(K₁′，C₂)，其中Dec(·)为分组解密算法；

步骤3.3、计算u＝MAC(K₂′，C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

步骤3.4、否则，输出明文M′。

4.根据权利要求3所述的一种多方分布式SM9密文的解密方法，其特征在于，步骤2中，在每个通信方U_i发送E_i至U₁的同时，为了达到更安全的级别，U_i可以产生并发送一个E_i的零知识证明，即证明E_i是关于r_i的一个离散对数，同时验证E_i是G₁中的元素。

5.一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

定义密文C＝C₁||C₃||C₂的比特长度为mlen，分组密码算法中密钥K₁的比特长度为K_{1_}len，函数MAC(K₂，Z)中密钥K₂的比特长度为K_{2_}len；对密文C解密时，n个通信方进行如下步骤的交互：

步骤1、第n个通信方U_n从密文C中提取出比特串C₁，将C₁的数据类型转换为椭圆曲线上的点，验证C₁∈G₁是否成立，如果不成立则报错并退出；否则，U_n计算第一个临时变量E_n＝[r_n]C₁，并将E_n发送给U₁；

步骤2、U_n-1计算第二个临时变量E_n-1＝[r_n-1]C₁，并将E_n-1发送给U₁；...；U₂计算第n-1个临时变量E₂＝[r₂]C₁，并将E₂发送给U₁；

步骤3、U₁收到来自U₂到U_n发送的n-1个临时变量后，计算第n个临时变量

并将w_n的数据类型转换为比特串；U₁使用SM9解密算法进行解密计算，具体包括：

步骤3.1、若加密明文的方法是基于密钥派生函数的序列密码算法，则

步骤3.11、计算klen＝mlen+K_{2_}len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前mlen比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.12、否则，计算

步骤3.2、若加密明文的方法是基于密钥派生函数的分组密码算法，则

步骤3.21、计算klen＝K_{1_}len+K_{2_}len，然后计算K′＝KDF(C₁||w_n||ID_B，klen)；设K₁′为K′前K_{1_}len比特，K₂′为K′的后K_{2_}len比特，如果K₁′为全0比特串，则报错并退出；

步骤3.21、否则，计算M′＝Dec(K₁′，C₂)，其中Dec(·)为分组解密算法；

步骤3.3、计算u＝MAC(K₂′，C₂)，从C中取出比特串C₃，如果u≠C₃，则报错并退出；

步骤3.4、否则，输出明文M′。

6.根据权利要求5所述的一种计算机存储介质，其特征在于，运行计算机程序步骤2时，在每个通信方U_i发送E_i至U₁的同时，为了达到更安全的级别，U_i可以产生并发送一个E_i的零知识证明，即证明E_i是关于r_i的一个离散对数，同时验证E_i是G₁中的元素。

Images