一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法
文献发布时间:2023-06-19 16:12:48
技术领域
本发明涉及密码学技术领域,尤其涉及一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法。
背景技术
在信息产业中,数据的安全与隐私的保护问题一直是人们关注的重点,而密码技术的运用是解决这一问题的重要手段之一,以保证数据只能由合法的接收者获取。标识密码(Identity-based Cryptosystem),是密码学中的一个重要研究领域,此概念在1984年由Shamir首次提出。标识密码以接收者的唯一信息作为公钥,取代传统公钥密码中证书的功能。
考虑到信息安全问题,为实现密码技术的自主可控,我国在2008年自主设计了标识密码SM9,2016年其成为我国密码行业标准,并在2020年正式成为我国的国家标准。之后,随着时间的推移,SM9各部分也陆续成为国际标准。在2021年,SM9全体系纳入ISO/IEC标准。因此基于国密SM9进行各种密码方案的设计是非常有必要的。
广播加密(Broadcast Encryption,BE)的概念在1993年由Fait和Naor提出,并给出了具体方案。广播加密可以针对某一组确定的接收者对数据进行加密并广播到公共信道,只有在加密阶段指定授权的接收者可以正确解密。广播加密基本满足保密性、正确性、抗合谋攻击的特性。由于广播加密具有一对多通信的特点,现实世界中诸多领域都有着对其的应用,如多媒体、物联网、区块链等。
标识广播加密(Identity-Based Broadcast Encryption,IBBE)的概念在2007年由Delerablée提出,将广播加密与标识加密技术相结合。
对于标识广播加密的安全性研究,主要是针对加密方法所使用的模型、可能受到的攻击类型以及遭受攻击后的不可区分性(Indistinguishability,IND)进行分析。使用的模型包括使用了随机谕言机的随机谕言模型(Random Oracle Model,ROM)和未使用随机谕言机的标准模型(Standard Model,SM),本发明是随机谕言模型下安全的。可能受到的攻击包括选择明文攻击(Chosen Plaintext Attack,CPA)、非适应性选择密文攻击(ChosenCiphertext Attack,CCA1)、适应性选择密文攻击(adaptive Chosen Ciphertext Attack,CCA2)。参考标识加密的选择身份安全(selective identity security)和完全安全(fullsecurity),根据攻击者在何时确定需要攻击的接收者标识集合,攻击还包括:在安全模型建立前确定的静态攻击(sID)、在挑战阶段确定的适应性攻击(ID)。
从上述内容可以看出,相比于CPA安全,CCA2安全可以有效地应对攻击者的主动攻击,防止攻击者通过伪造、篡改密文,获得更多有助于破解密文的信息。因此,使用IND-sID-CCA2安全的IBBE是非常有必要的。
利用一次性签名系统实现CCA2安全是一种通用方法。然而,在一次性签名系统中,基于杂凑函数的一般具有较长的公钥和签名长度,基于数论假设的往往需要较大的计算量。因此,一次性签名系统的引入会较大的提高计算和存储开销。所以,希望避免一次性签名系统的使用而实现CCA2安全。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明解决的技术问题是:传统公钥体制需耗费大量资源的证书管理工作,安全性弱,效率低。
为解决上述技术问题,本发明提供如下技术方案:利用系统安全参数λ和最大广播接收者数目m,生成主公钥mpk和主私钥msk;基于主私钥msk和接收者标识ID,生成接收者标识ID所对应的接收者私钥sk
作为本发明所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法的一种优选方案,其中:所述主公钥mpk和主私钥msk的生成包括,
设置安全参数λ和最大广播接收者数目m,生成一个双线性群BP=(N,G
其中,BP表示双线性群,N表示循环群G
作为本发明所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法的一种优选方案,其中:所述主公钥mpk和主私钥msk的生成还包括,
任选两个生成元P
设封装会话密钥的长度为klen,选择密钥派生函数KDF:{0,1}
基于生成元P
u=α
P
g=e(P
其中,u表示群G
主私钥msk包括,
msk=(α,P
其中,msk表示主私钥,α表示[1,N-1]中的一个随机数,P
主公钥mpk包括,
mpk=(u,g,P
其中,mpk表示主公钥,u表示群G
作为本发明所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法的一种优选方案,其中:所述接收者私钥sk
利用msk和接收者的标识ID,密钥生成中心KGC在有限域F
t
其中,t
作为本发明所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法的一种优选方案,其中:所述接收者私钥sk
判断t
若t
其中,t
基于临时变量t
sk
其中,sk
作为本发明所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法的一种优选方案,其中:所述封装密文C的获取包括,
选取随机数r∈[1,N-1],利用mpk和接收者标识ID的集合S,计算获取临时变量C
w=g
C
C=(C
其中,r表示[1,N-1]中的一个随机数,S表示一个接收者标识集合,w表示临时变量,为群G
作为本发明所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法的一种优选方案,其中:所述会话密钥K的生成包括,
利用密钥派生函数KDF生成所述会话密钥K,
K=KDE(C
其中,KDF表示密钥派生函数,C
作为本发明所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法的一种优选方案,其中:所述明文消息密文C
若会话密钥K为全零比特串,则重新选择随机数r,生成封装密文C和会话密钥K;若会话密钥K不为全零比特串,则选用安全的数据封装机制DEM为加密方,并以所述会话密钥K作为其加密算法的密钥加密明文消息M∈{0,1}
作为本发明所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法的一种优选方案,其中:所述密文CT的生成包括,
基于封装密文C和明文消息密文C
CT=(C,C
作为本发明所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法的一种优选方案,其中:对密文CT的解密包括,
利用C进行数据关于接收者标识ID的集合S的合法性验证;
若数据合法且ID
其中,w'表示临时变量,群G
本发明的有益效果:
(1)本发明基于国密SM9,更易与现有的基于国密SM9的系统相融合,为我国密码技术的自主可控做出了一定的贡献;
(2)本发明为标识广播加密,适用于多个接收者的场景,且更易管理;
(3)本发明利用内部验证方法实现了IND-sID-CCA2安全,安全性更高、效率更高。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明一个实施例提供的一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法的整体流程示意图;
图2为本发明一个实施例提供的一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法的系统建立流程图;
图3为本发明一个实施例提供的一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法的密钥生成流程图;
图4为本发明一个实施例提供的一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法的加密流程图;
图5为本发明一个实施例提供的一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法的解密流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1至图5,为本发明的一个实施例,提供了一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法,包括:
S1:利用系统安全参数λ和最大广播接收者数目m,生成主公钥mpk和主私钥msk。需要说明的是:
所述主公钥mpk和主私钥msk的生成包括,
设置安全参数λ和最大广播接收者数目m,生成一个双线性群BP=(N,G
其中,BP表示双线性群,N表示循环群G
所述主公钥mpk和主私钥msk的生成还包括,
任选两个生成元P
设封装会话密钥的长度为klen,选择密钥派生函数KDF:{0,1}
基于生成元P
u=α
P
g=e(P
其中,u表示群G
主私钥msk包括,
msk=(α,P
其中,msk表示主私钥,α表示[1,N-1]中的一个随机数,P
主公钥mpk包括,
mpk=(u,g,P
其中,mpk表示主公钥,u表示群G
S2:基于主私钥msk和接收者标识ID,生成接收者标识ID所对应的接收者私钥sk
所述接收者私钥sk
利用msk和接收者的标识ID,密钥生成中心KGC在有限域F
t
其中,t
所述接收者私钥sk
判断t
若t
其中,t
基于临时变量t
sk
其中,sk
S3:根据主公钥mpk、明文消息M和接收者标识ID的集合S,生成会话密钥K和密文CT。需要说明的是:
封装密文C的获取包括,
选取随机数r∈[1,N-1],利用mpk和接收者标识ID的集合S,计算获取临时变量C
w=g
C
其中,
其中,r表示[1,N-1]中的一个随机数,S表示一个接收者标识集合,w表示临时变量,为群G
会话密钥K的生成包括,
利用密钥派生函数KDF生成会话密钥K,
K=KDF(C
其中,KDF表示密钥派生函数,C
明文消息密文C
若会话密钥K为全零比特串,则重新选择随机数r,生成封装密文C和会话密钥K;若会话密钥K不为全零比特串,则选用安全的数据封装机制DEM为加密方,并以所述会话密钥K作为其加密算法的密钥加密明文消息M∈{0,1}
密文CT的生成包括,
基于封装密文C和明文消息密文C
CT=(C,C
S4:利用接收者标识集合S、主公钥mpk、密文CT、标识ID以及对应的接收者私钥sk
对密文CT的解密包括,
利用C进行数据关于接收者标识ID的集合S的合法性验证;
若数据合法且ID
其中,w'表示临时变量,群G
主公钥mpk、主私钥msk和接收者标识ID所对应的接收者私钥sk
优选的,在步骤S1和S2中所述的主私钥msk、主公钥mpk和接收者私钥sk
密钥生成中心KGC,双线性群BP,两个密码函数H
进一步的,在步骤S3和S4中所述的生成会话密钥和密文、对密文CT的解密的方法中,还包括:
选用的数据封装机制DEM应是CCA2安全的,以保证整体方法的安全性。可以采用国密SM9的数据封装机制、ISO/IEC18033-2中标准化的DEM2或DEM3等方案。
本发明的基于国密SM9的IND-sID-CCA2安全标识广播加密方法,包括以下内容:
首先介绍本发明的相关技术:
1、双线性群
双线性群BP可以由五元组(N,G
令P
(1)双线性(Bilinearity):对于任意的P∈G
(2)非退化性(Non-degeneracy):满足e(P
(3)可计算性(Efficiency):对于任意的P∈G
对于SM9标识密码,使用非对称双线性群,且存在同态映射ψ:G
2、困难性假设
本发明加密方法的安全性基于归约至如下(f,g)-GDDHE问题与假设。
(f,g)-GDDHE困难问题:假设BP=(N,G
令H
设T=e(H
(f,g)-GDDHE困难假设:不存在多项式时间算法B,能够以一个不可忽略的优势解决(f,g)-GDDHE困难问题。
3、内部验证方法
在数据加密时将广播数据中的部分内容作为一个虚拟接收者的标识,与选定的合法的接收者标识一同进行后续加密操作;所不同的是,在后续加密操作中,虚拟接收者与合法的接收者使用不同的密码函数,虚拟接收者只用于解密时的数据合法性验证,私钥对所有人隐藏,使加密方法在实现CCA2安全的同时,避免使用一次性签名。
本发明基于国密SM9,更易与现有的基于国密SM9的系统相融合,为我国密码技术的自主可控做出了一定的贡献;本发明为标识广播加密,适用于多个接收者的场景,且更易管理;利用内部验证方法实现了IND-sID-CCA2安全,安全性更高、效率更高。
实施例2
参照表1至表4为本发明的第二个实施例,该实施例不同于第一个实施例的是,提供了一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法的验证测试,为对本方法中采用的技术效果加以验证说明,本实施例采用传统技术方案与本发明方法进行对比测试,以科学论证的手段对比试验结果,以验证本方法所具有的真实效果。
设文献[
对比中涉及的符号与数值参考自文献[Tseng Y F,Fan C I.AnonymousMultireceiver Identity-Based Encryption against Chosen-Ciphertext Attackswith Tight Reduction in the Standard Model[J].Security and CommunicationNetworks,2021,2021.],见表1。为了方便计算,将系统最大接收者的数量m和合法接收者的数量(即前文接收者标识集合的大小)s均设置为100。
表1:符号。
表2:通信复杂度对比。
表3:计算复杂度对比。
表4:安全性对比。
其中,|G
结合表2、表3和表4,本发明所设计的加密方法的主公钥长度为O(m),主私钥、私钥与密文长度为O(1),主公钥的计算复杂度为O(m),主私钥在主公钥的生成的过程中产生,加密与解密的计算复杂度为O(s)。本发明方法与文献方法1、2相比加密与解密计算复杂度有所提升,但实现了IND-sID-CCA2安全;与方法3相比,本发明是基于我国国密SM9标识加密设计而来,其中接收者的私钥生成方法与国密SM9标识加密相同,自主可控,且更容易与现有的基于国密SM9的系统相融合,然而方法1是不可控的,又因为方法3是对方法1的改进,故方法3也是不可控的。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。