CN114598460B - 基于sm9的多接收者签密方法 - Google Patents

Abstract

本发明提供一种基于SM9的多接收者签密方法。该方法包括：步骤1：系统建立，具体包括：密钥生成中心选择系统参数，生成系统的主公私钥对，并将系统的主公钥发送至系统用户，秘密保存系统的主私钥；步骤2：密钥提取，具体包括：密钥生成中心利用系统的主公私钥对和用户标识，为系统用户生成用户私钥，并通过安全信道将所述用户私钥发送给对应的系统用户；步骤3：多接收者签密，具体包括：发送者利用系统的主公钥和自身的私钥对待签密明文进行签密生成签密文，并按照给定的接收者列表发送至各接收者；步骤4：解签密，具体包括：合法接收者采用自身的私钥对接收到的签密文进行解密和验证，若验证通过，则得到明文及发送者对所述明文的签名；若验证失败，则拒绝接收签密文。

Description

基于SM9的多接收者签密方法

技术领域

本发明涉及通信安全技术领域，尤其涉及一种基于SM9的多接收者签密方法。

背景技术

签密是在一个逻辑步骤内对消息实现认证和加密两项功能，其效率远高于“加密”+“认证”两项操作，有效减少了计算和通信开销。多接收者签密能够让发送者仅通过一次签密操作就可以将消息发送给多个不同的接收者，适用于有机密性和认证性需求的广播场景，如网络付费服务、云计算服务、电子贸易、智能家居等网络服务。标识密码系统用可识别的唯一的字符串，如邮箱地址、手机号等作为用户公钥，实现了用户身份和公钥的自然绑定，解决了证书的管理问题。

已有的标识多接收者签密方案都是基于国外算法设计的。为实现密码自主可控，我国自主设计了SM9标识密码算法，并成为我国标识密码算法标准。而现有文献“基于商密SM9的高效标识签密”给出的基于SM9的标识签密方案，可以实现点对点通信，无法实现一对多的保密通信。

发明内容

为了能够基于SM9国密算法实现一对多的保密通信，本发明提供一种基于SM9的多接收者签密方法，发送者只需一次签密操作，合法的多个接收者利用自己私钥，即可解签密获得消息，从而可以实现广播签密，即一对多的“机密+认证”的通信功能。本发明方法适用于需要“机密+认证”功能的广播服务，如付费服务，电子贸易等场合。

本发明提供一种基于SM9的多接收者签密方法，包括：

步骤1：系统建立，具体包括：密钥生成中心选择系统参数，生成系统的主公私钥对，并将系统的主公钥发送至系统用户，秘密保存系统的主私钥；

步骤2：密钥提取，具体包括：密钥生成中心利用系统的主公私钥对和用户标识，为系统用户生成用户私钥，并通过安全信道将所述用户私钥发送给对应的系统用户；

步骤3：多接收者签密，具体包括：发送者利用系统的主公钥和自身的私钥对待签密明文进行签密生成签密文，并按照给定的接收者列表发送至各接收者；

步骤4：解签密，具体包括：合法接收者采用自身的私钥对接收到的签密文进行解密和验证，若验证通过，则得到明文及发送者对所述明文的签名；若验证失败，则拒绝接收签密文。

进一步地，步骤1具体包括：

密钥生成中心选择一个双线性群

其中

均为加法循环群，

为乘法循环群，N表示

的阶，e表示从

到

的双线性映射，N>2^λ且N为素数，λ为给定的安全参数；

密钥生成中心随机选择α∈[1,N-1]，选择三个Hash函数H₁:

H₂:

H₃:{0,1}^*→{0,1}ⁿ，其中n为待签密明文的长度；[1,N-1]，

均表示不小于1且不大于N-1的整数组成的集合；

密钥生成中心计算群

的元素P_pub＝αP₂，计算群

的元素g＝e(P₁,P_pub)，其中P₁和P₂分别是群

和

的生成元，且有ψ(P₂)＝P₁；

密钥生成中心选择用一个字节表示的签密私钥生成函数识别符hid，则系统的主公钥mpk为：mpk＝(BP,g,P₁,P₂,P_pub,H₁,H₂,H₃,hid)，系统的主私钥msk为msk＝α。

进一步地，步骤2具体包括：

给定用户标识ID∈{0,1}^*，密钥生成中心在有限域F_N上计算t₁＝H₁(ID||hid,N)+α，若t₁＝0，则需重新产生系统的主公钥，计算和公开主公钥，并更新已有用户的私钥；否则计算t₂＝α·t₁ ^-1和SK_ID＝t₂·P₂，把SK_ID作为系统用户的私钥；其中，“ID||hid”表示ID和hid的级联，t₁和t₂均为临时变量。

进一步地，步骤3具体包括：

步骤3.1：发送者计算群

的元素Q_i＝H₁(ID_i||hid,N)P₁+ψ(P_pub),i＝1,2,…,R；R表示接收者的个数；“ID_i||hid”表示ID_i和hid的级联；ID_i表示第i个接收者的标识；Q_i为中间变量；

步骤3.2：发送者随机选取随机数r∈[1,N-1]，计算群

的元素ω＝g^r，并将ω数据类型转换为比特串；ω为中间变量；

步骤3.3：发送者计算整数h＝H₂(M||ω,N)和整数l＝(r-h)modN，若l＝0则返回步骤3.2，重新选择随机数r；M表示待签密明文，M∈{0,1}ⁿ；h和l均为中间变量；

步骤3.4：发送者计算群

的元素

ID_S为发送者的标识；S表示明文M的签名；

表示发送者的私钥；

步骤3.5：发送者计算群

的元素T_i＝rQ_i，i＝1,2,…,R，记T＝(T₁,T₂,…,T_R)，并将T_i数据类型转换为比特串；T_i为中间变量；

步骤3.6：发送者计算

记c＝(c₁,c₂,…,c_R)；c_i表示对明文M加密后的密文；

步骤3.7：发送者输出签密文CT＝(c,S,T)。

进一步地，步骤4具体包括：

步骤4.1：接收者ID_i计算群

的元素

并将ω′数据类型转换为比特串；ω′为中间变量；

表示接收者ID_i的私钥；

步骤4.2：接收者ID_i计算

M′为接收者ID_i计算出的明文；

步骤4.3：接收者ID_i计算h′＝H₂(M′||ω′,N)和t＝g^h′；h′和t均为中间变量；

步骤4.4：接收者ID_i计算P＝H₁(ID_S||hid,N)P₂+P_pub；P为中间变量；

步骤4.5：接收者ID_i验证e(S,P)·t＝ω′是否成立，若成立则验证通过，获得明文数据M及其签名σ＝(ω′,S)；否则验证失败，返回⊥。

进一步地，所述接收者ID_i验证e(S,P)·t＝ω′的验证过程包括：解密正确性验证过程和签名正确性验证过程；

其中，所述解密正确性验证过程具体包括：

所述签名正确性验证过程具体包括：

本发明的有益效果：

与已有的标识多接收者签密方法相比，本发明基于商密SM9标识密码算法实现了标识多接收者签密方法的国产化，发送者进行一次签密操作即可将消息发送给多个接收者；与已有基于商密SM9标识签密方法相比，本发明可以实现一对多的保密通信，本发明的适用范围更广泛。

附图说明

图1为本发明实施例提供的基于SM9的多接收者签密方法的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供一种基于SM9的多接收者签密方法，包括以下步骤：

S101：系统建立，具体包括：密钥生成中心选择系统参数，生成系统的主公私钥对，并将系统的主公钥发送至系统用户，秘密保存系统的主私钥；

具体地，密钥生成中心选择一个双线性群

其中

均为加法循环群，

为乘法循环群，e表示从

到

的双线性映射，N表示

的阶，N>2^λ且N为素数，λ为给定的安全参数；

密钥生成中心随机选择α∈[1,N-1]，选择三个Hash函数H₁:

H₂:

H₃:{0,1}^*→{0,1}ⁿ，其中n为待签密明文的长度；[1,N-1]和

均表示不小于1且不大于N-1的整数组成的集合；

具体地，H₁：{0,1}^*到

的密码杂凑函数；H₂：

到

的密码杂凑函数；H₃：{0,1}^*到{0,1}ⁿ的密码杂凑函数。

密钥生成中心计算群

的元素P_pub＝αP₂，计算群

的元素g＝e(P₁,P_pub)，其中P₁和P₂分别是群

和

的生成元，且有ψ(P₂)＝P₁；

密钥生成中心选择用一个字节表示的签密私钥生成函数识别符hid，则系统的主公钥mpk为：mpk＝(BP,g,P₁,P₂,P_pub,H₁,H₂,H₃,hid)，系统的主私钥msk为msk＝α。

S102：密钥提取，具体包括：密钥生成中心利用系统的主公私钥对和用户标识，为系统用户生成用户私钥，并通过安全信道将所述用户私钥发送给对应的系统用户；

具体地，给定用户标识ID∈{0,1}^*，密钥生成中心在有限域F_N上计算t₁＝H₁(ID||hid,N)+α，若t₁＝0，则需重新产生系统的主公钥，计算和公开主公钥，并更新已有用户的私钥；否则计算t₂＝α·t₁ ^-1和SK_ID＝t₂·P₂，把SK_ID作为系统用户的私钥；其中，“ID||hid”表示ID和hid的级联，t₁和t₂均为临时变量。用户标识ID作为可以唯一确定用户的公钥。SK_ID属于群

中的元素，ID和hid是比特串或字符串。t₁和t₂均属于有限域F_N中元素。H₁(ID||hid,N)为

到

由密码杂凑函数派生的密码函数。

S103：多接收者签密，具体包括：发送者利用系统的主公钥和自身的私钥对待签密明文进行签密生成签密文，并按照给定的接收者列表发送至各接收者；

具体地，本步骤主要包括以下子步骤：

S1031：发送者计算群

的元素Qi＝H₁(ID_i||hid,N)P₁+ψ(P_pub),i＝1,2,…,R；R表示接收者的个数；“ID_i||hid”表示ID_i和hid的级联；ID_i表示第i个接收者的标识；Q_i为中间变量；

具体地，(ID₁,ID₂,…,ID_R)组成接收者标识集合。

S1032：发送者随机选取随机数r∈[1,N-1]，计算群

的元素ω＝g^r，并将ω数据类型转换为比特串；ω为中间变量；

S1033：发送者计算整数h＝H₂(M||ω,N)和整数l＝(r-h)modN，若l＝0则返回步骤S1032，重新选择随机数r；M表示待签密明文，M∈{0,1}ⁿ；h和l均为中间变量；

具体地，H₂(M||w,N)为

到

由密码杂凑函数派生的密码函数。h和l均属于有限域F_N中元素。

S1034：发送者计算群

的元素

ID_S为发送者的标识；S表示明文M的签名；

表示发送者的私钥；

S1035：发送者计算群

的元素T_i＝rQ_i，i＝1,2,…,R，记T＝(T₁,T₂,…,T_R)，并将T_i数据类型转换为比特串；T_i为中间变量；

S1036：发送者计算

记c＝(c₁,c₂,…,c_R)；c_i表示对明文M加密后的密文；

具体地，H₃(T_i||ω||ID_i)为

到{0,1}ⁿ由密码杂凑函数派生的密码函数。

S1037：发送者输出签密文CT＝(c,S,T)。

S104：解签密，具体包括：合法接收者采用自身的私钥对接收到的签密文进行解密和验证，若验证通过，则得到明文及发送者对所述明文的签名；若验证失败，则拒绝接收签密文。

具体地，本步骤包括以下子步骤：

S1041：接收者ID_i计算群

的元素

并将ω′数据类型转换为比特串；ω′为中间变量；

表示接收者ID_i的私钥；

具体地，ω′属于接收者计算出的群

中的元素。

S1042：接收者ID_i计算

M′为接收者ID_i计算出的明文；

S1043：接收者ID_i计算h′＝H₂(M′||ω′,N)和t＝g^h′；h′和t均为中间变量；

具体地，h′属于接收者计算出的有限域F_N中元素。t属于接收者计算出的群

中的元素。

S1044：接收者ID_i计算P＝H₁(ID_S||hid,N)P₂+P_pub；P为中间变量；

具体地，P属于接收者计算出的群

中的元素。

S1045：接收者ID_i验证e(S,P)·t＝ω′是否成立，若成立则验证通过，获得明文数据M及其签名σ＝(ω′,S)；否则验证失败，返回⊥。

具体地，所述接收者ID_i验证e(S,P)·t＝ω′的验证过程包括：解密正确性验证过程和签名正确性验证过程；

其中，所述解密正确性验证过程具体包括：

所述签名正确性验证过程具体包括：

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (2)

1.基于SM9的多接收者签密方法，其特征在于，包括：

步骤1：系统建立，具体包括：密钥生成中心选择系统参数，生成系统的主公私钥对，并将系统的主公钥发送至系统用户，秘密保存系统的主私钥；

步骤2：密钥提取，具体包括：密钥生成中心利用系统的主公私钥对和用户标识，为系统用户生成用户私钥，并通过安全信道将所述用户私钥发送给对应的系统用户；

步骤3：多接收者签密，具体包括：发送者利用系统的主公钥和自身的私钥对待签密明文进行签密生成签密文，并按照给定的接收者列表发送至各接收者；

步骤4：解签密，具体包括：合法接收者采用自身的私钥对接收到的签密文进行解密和验证，若验证通过，则得到明文及发送者对所述明文的签名；若验证失败，则拒绝接收签密文；

步骤1具体包括：

密钥生成中心选择一个双线性群

其中

均为加法循环群，

为乘法循环群，N表示

的阶，e表示从

到

的双线性映射，N>2^λ且N为素数，λ为给定的安全参数；

密钥生成中心随机选择α∈[1,N-1]，选择三个Hash函数H₁:

H₂:

H₃:{0,1}^*→{0,1}ⁿ，其中n为待签密明文的长度；[1,N-1]，

均表示不小于1且不大于N-1的整数组成的集合；

密钥生成中心计算群

的元素P_pub＝αP₂，计算群

的元素g＝e(P₁,P_pub)，其中P₁和P₂分别是群

和

的生成元，且有ψ(P₂)＝P₁；

密钥生成中心选择用一个字节表示的签密私钥生成函数识别符hid，则系统的主公钥mpk为：mpk＝(BP,g,P₁,P₂,P_pub,H₁,H₂,H₃,hid)，系统的主私钥msk为msk＝α；

步骤2具体包括：

给定用户标识ID∈{0,1}^*，密钥生成中心在有限域F_N上计算t₁＝H₁(ID||hid,N)+α，若t₁＝0，则需重新产生系统的主公钥，计算和公开主公钥，并更新已有用户的私钥；否则计算t₂＝α·t₁ ^-1和SK_ID＝t₂·P₂，把SK_ID作为系统用户的私钥；其中，“ID||hid”表示ID和hid的级联，t₁和t₂均为临时变量；

步骤3具体包括：

步骤3.1：发送者计算群

的元素Q_i＝H₁(ID_i||hid,N)P₁+ψ(P_pub),i＝1,2，…,R；R表示接收者的个数；“ID_i||hid”表示ID_i和hid的级联；ID_i表示第i个接收者的标识；Q_i为中间变量；

步骤3.2：发送者随机选取随机数r∈[1,N-1]，计算群

的元素ω＝g^r，并将ω数据类型转换为比特串；ω为中间变量；

步骤3.3：发送者计算整数h＝H₂(M||ω,N)和整数l＝(r-h)modN，若l＝0则返回步骤3.2，重新选择随机数r；M表示待签密明文，M∈{0,1}ⁿ；h和l均为中间变量；

步骤3.4：发送者计算群

的元素

ID_S为发送者的标识；S表示明文M的签名；

表示发送者的私钥；

步骤3.5：发送者计算群

的元素T_i＝rQ_i，i＝1,2,…,R，记T＝(T₁,T₂,…,T_R)，并将T_i数据类型转换为比特串；T_i为中间变量；

步骤3.6：发送者计算

记c＝(c₁,c₂,…,c_R)；c_i表示对明文M加密后的密文；

步骤3.7：发送者输出签密文CT＝(c,S,T)；

步骤4具体包括：

步骤4.1：接收者ID_i计算群

的元素

并将ω′数据类型转换为比特串；ω′为中间变量；

表示接收者ID_i的私钥；

步骤4.2：接收者ID_i计算

M′为接收者ID_i计算出的明文；

步骤4.3：接收者ID_i计算h′＝H₂(M′||ω′,N)和t＝g^h′；h′和t均为中间变量；

步骤4.4：接收者ID_i计算P＝H₁(ID_S||hid,N)P₂+P_pub；P为中间变量；

步骤4.5：接收者ID_i验证e(S,P)·t＝ω′是否成立，若成立则验证通过，获得明文数据M及其签名σ＝(ω′,S)；否则验证失败，返回⊥。

2.根据权利要求1所述的基于SM9的多接收者签密方法，其特征在于，所述接收者ID_i验证e(S,P)·t＝ω′的验证过程包括：解密正确性验证过程和签名正确性验证过程；

其中，所述解密正确性验证过程具体包括：

所述签名正确性验证过程具体包括：

Images