一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法技术

本发明专利技术公开了一种基于国密SM9的IND

An ind-sid-cca2 secure identity broadcast encryption method based on state secret SM9

【技术实现步骤摘要】
一种基于国密SM9的IND
‑
sID
‑
CCA2安全标识广播加密方法


[0001]本专利技术涉及密码学
，尤其涉及一种基于国密SM9的IND
‑
sID
‑
CCA2安全标识广播加密方法。

技术介绍

[0002]在信息产业中，数据的安全与隐私的保护问题一直是人们关注的重点，而密码技术的运用是解决这一问题的重要手段之一，以保证数据只能由合法的接收者获取。标识密码(Identity
‑
based Cryptosystem)，是密码学中的一个重要研究领域，此概念在1984年由Shamir首次提出。标识密码以接收者的唯一信息作为公钥，取代传统公钥密码中证书的功能。
[0003]考虑到信息安全问题，为实现密码技术的自主可控，我国在2008年自主设计了标识密码SM9，2016年其成为我国密码行业标准，并在2020年正式成为我国的国家标准。之后，随着时间的推移，SM9各部分也陆续成为国际标准。在2021年，SM9全体系纳入ISO/IEC标准。因此基于国密SM9进行各种密码方案的设计是非常有必要的。
[0004]广播加密(Broadcast Encryption，BE)的概念在1993年由Fait和Naor提出，并给出了具体方案。广播加密可以针对某一组确定的接收者对数据进行加密并广播到公共信道，只有在加密阶段指定授权的接收者可以正确解密。广播加密基本满足保密性、正确性、抗合谋攻击的特性。由于广播加密具有一对多通信的特点，现实世界中诸多领域都有着对其的应用，如多媒体、物联网、区块链等。
[0005]标识广播加密(Identity
‑
Based Broadcast Encryption，IBBE)的概念在2007年由Delerabl
é
e提出，将广播加密与标识加密技术相结合。
[0006]对于标识广播加密的安全性研究，主要是针对加密方法所使用的模型、可能受到的攻击类型以及遭受攻击后的不可区分性(Indistinguishability，IND)进行分析。使用的模型包括使用了随机谕言机的随机谕言模型(Random Oracle Model，ROM)和未使用随机谕言机的标准模型(Standard Model，SM)，本专利技术是随机谕言模型下安全的。可能受到的攻击包括选择明文攻击(Chosen Plaintext Attack，CPA)、非适应性选择密文攻击(Chosen Ciphertext Attack，CCA1)、适应性选择密文攻击(adaptive Chosen Ciphertext Attack，CCA2)。参考标识加密的选择身份安全(selective identity security)和完全安全(full security)，根据攻击者在何时确定需要攻击的接收者标识集合，攻击还包括：在安全模型建立前确定的静态攻击(sID)、在挑战阶段确定的适应性攻击(ID)。
[0007]从上述内容可以看出，相比于CPA安全，CCA2安全可以有效地应对攻击者的主动攻击，防止攻击者通过伪造、篡改密文，获得更多有助于破解密文的信息。因此，使用IND
‑
sID
‑
CCA2安全的IBBE是非常有必要的。
[0008]利用一次性签名系统实现CCA2安全是一种通用方法。然而，在一次性签名系统中，基于杂凑函数的一般具有较长的公钥和签名长度，基于数论假设的往往需要较大的计算量。因此，一次性签名系统的引入会较大的提高计算和存储开销。所以，希望避免一次性签
名系统的使用而实现CCA2安全。

技术实现思路

[0009]本部分的目的在于概述本专利技术的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和专利技术名称中可能会做些简化或省略以避免使本部分、说明书摘要和专利技术名称的目的模糊，而这种简化或省略不能用于限制本专利技术的范围。
[0010]鉴于上述现有存在的问题，提出了本专利技术。
[0011]因此，本专利技术解决的技术问题是：传统公钥体制需耗费大量资源的证书管理工作，安全性弱，效率低。
[0012]为解决上述技术问题，本专利技术提供如下技术方案：利用系统安全参数λ和最大广播接收者数目m，生成主公钥mpk和主私钥msk；基于主私钥msk和接收者标识ID，生成接收者标识ID所对应的接收者私钥sk
ID
，并将所述私钥sk
ID
发送给对应的接收者；根据主公钥mpk、明文消息M和接收者标识ID的集合S，生成会话密钥K和密文CT；利用接收者标识集合S、主公钥mpk、密文CT、标识ID以及对应的接收者私钥sk
ID
，生成会话密钥K和明文数据M'。
[0013]作为本专利技术所述的基于国密SM9的IND
‑
sID
‑
CCA2安全标识广播加密方法的一种优选方案，其中：所述主公钥mpk和主私钥msk的生成包括，
[0014]设置安全参数λ和最大广播接收者数目m，生成一个双线性群BP＝(N,G1,G2,G
T
,e)；
[0015]其中，BP表示双线性群，N表示循环群G1，G2，G
T
的阶，且是大于2
191
的素数，G1表示阶为素数N的加法循环群，G2表示阶为素数N的加法循环群，G
T
表示阶为素数N的乘法循环群，e表示从G1×
G2到G
T
的双线性映射。
[0016]作为本专利技术所述的基于国密SM9的IND
‑
sID
‑
CCA2安全标识广播加密方法的一种优选方案，其中：所述主公钥mpk和主私钥msk的生成还包括，
[0017]任选两个生成元P1、P2，随机数α，两个密码函数和用一个字节表示的加密私钥生成函数标识符hid；
[0018]设封装会话密钥的长度为klen，选择密钥派生函数KDF:{0,1}
*
→
klen；
[0019]基于生成元P1、P2，随机数α，从G1×
G2到G
T
的双线性映射e以及最大广播接收者数目m，计算得到u、P
pub
和g，
[0020]u＝α2P2[0021]P
pub
＝{αP1,α2P1,α3P1,
…
,α
m+1
P1}
[0022]g＝e(P1,P2)
α
[0023]其中，u表示群G2中的一个元素，α表示[1,N
‑
1]中的一个随机数，P1表示群G1的生成元，P1∈G1，P2表示群G2的生成元，P2∈G2，P
pub
表示群G1中一些元素的集合，g表示群G
T
中的一个元素，e表示从G1×
G2到G
T
的双线性映射；
[0024]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于国密SM9的IND
‑
sID
‑
CCA2安全标识广播加密方法，其特征在于，包括：利用系统安全参数λ和最大广播接收者数目m，生成主公钥mpk和主私钥msk；基于主私钥msk和接收者标识ID，生成接收者标识ID所对应的接收者私钥sk
ID
，并将所述私钥sk
ID
发送给对应的接收者；根据主公钥mpk、明文消息M和接收者标识ID的集合S，生成会话密钥K和密文CT；利用接收者标识集合S、主公钥mpk、密文CT、标识ID以及对应的接收者私钥sk
ID
，生成会话密钥K和明文数据M'。2.如权利要求1所述的基于国密SM9的IND
‑
sID
‑
CCA2安全标识广播加密方法，其特征在于：所述主公钥mpk和主私钥msk的生成包括，设置安全参数λ和最大广播接收者数目m，生成一个双线性群BP＝(N,G1,G2,G
T
,e)；其中，BP表示双线性群，N表示循环群G1，G2，G
T
的阶，且是大于2
191
的素数，G1表示阶为素数N的加法循环群，G2表示阶为素数N的加法循环群，G
T
表示阶为素数N的乘法循环群，e表示从G1×
G2到G
T
的双线性映射。3.如权利要求2所述的基于国密SM9的IND
‑
sID
‑
CCA2安全标识广播加密方法，其特征在于：所述主公钥mpk和主私钥msk的生成还包括，任选两个生成元P1、P2，随机数α，两个密码函数和用一个字节表示的加密私钥生成函数标识符hid；设封装会话密钥的长度为klen，选择密钥派生函数KDF:{0,1}
*
→
klen；基于生成元P1、P2，随机数α，从G1×
G2到G
T
的双线性映射e以及最大广播接收者数目m，计算得到u、P
pub
和g，u＝α2P2P
pub
＝{αP1,α2P1,α3P1,
…
,α
m+1
P1}g＝e(P1,P2)
α
其中，u表示群G2中的一个元素，α表示[1,N
‑
1]中的一个随机数，P1表示群G1的生成元，P1∈G1，P2表示群G2的生成元，P2∈G2，P
pub
表示群G1中一些元素的集合，g表示群G
T
中的一个元素，e表示从G1×
G2到G
T
的双线性映射；主私钥msk包括，msk＝(α,P2)其中，msk表示主私钥，α表示[1,N
‑
1]中的一个随机数，P2表示群G2的生成元，P2∈G2；主公钥mpk包括，mpk＝(u,g,P1,P
pub
,H1,H2,hid,KDF)其中，mpk表示主公钥，u表示群G2中的一个元素，g表示群G
T
中的一个元素，P1表示群G1的生成元，P1∈G1，P
pub
表示群G1中一些元素的集合，表示由密码杂凑函数派生的密码函数，输入一个比特串，输出一个[1,N
‑
1]中的整数，表示由密码杂凑函数派生的密码函数，输入一个比特串，输出一个[1,N
‑
1]中的整数，hid表示用一个字节表示的加密私钥生成函数识别符，klen表示会话密钥的长度，KDF:{0,1}
*
→
klen表示密钥派生函数，输入一个比特串，输出一个klen长的会话密钥。4.如权利要求3所述的基于国密SM9的IND
‑
sID
‑
CCA2安全标识广播加密方法，其特征在
于：所述接收者私钥sk
ID
的生成包括，利用msk和接收者的标识ID，密钥生成中心KGC在有限域F
N
上计算临时变量t1包括，t1＝H1(ID||hid,N)+α其中，t1表示临时变量，H1表示由密码杂凑函数派生的密码函数，输入一个比特串，输出一个[1,N<...

【专利技术属性】
技术研发人员：潘璇，严芬，
申请(专利权)人：扬州大学，
类型：发明
国别省市：