(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210391459.3 (22)申请日 2022.04.14 (71)申请人 扬州大学 地址 225009 江苏省扬州市大 学南路88号 (72)发明人 潘璇　严芬　 (74)专利代理 机构 南京禹为知识产权代理事务 所(特殊普通 合伙) 32272 专利代理师 王晓东 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于国密SM9的IND-sID-CCA2安全标识 广播加密方法 (57)摘要 本发明公开了一种基于国密SM9的IND ‑sID‑ CCA2安全标识广播加密方法， 包括： 利用系统安 全参数λ和最大广播接收者数目m， 生成主公钥 mpk和主私钥msk； 基于主私钥msk和接收者标识 ID， 生成接收者标识ID所对应的接收者私钥 skID， 并将所述私钥skID发送给对应的接收者； 根 据主公钥mpk、 明文消息M和接收者标识ID的集合 S， 生成会话密钥K和密文CT； 利用接收者标识集 合S、 主公钥mpk、 密文CT、 标识ID以及对应的接收 者私钥skID， 生成会话密钥 K和明文数据M'。 本发 明基于国密SM9， 更易与现有的基于国密SM9的系 统相融合， 为我国密码技术的自主可控做出了一 定的贡献； 本发明为标识广播加密， 适用于多个 接收者的场景， 且更易管理； 利用内部验证方法 实现了IND ‑sID‑CCA2安全， 安全性更高、 效率更 高。 权利要求书3页 说明书12页 附图4页 CN 114826611 A 2022.07.29 CN 114826611 A 1.一种基于国密SM9的I ND‑sID‑CCA2安全标识广播加密方法， 其特 征在于， 包括： 利用系统安全参数 λ和最大广播接收者数目m， 生成主公钥mpk和主私钥m sk； 基于主私钥msk和接收者标识ID， 生成接 收者标识ID所对应的接收者私钥 skID， 并将所 述私钥skID发送给对应的接收者； 根据主公钥mpk、 明文消息 M和接收者标识ID的集 合S， 生成会话密钥K和密文CT； 利用接收者标识集合S、 主公钥mpk、 密文CT、 标识ID以及对应的接收者私钥skID， 生成会 话密钥K和明文数据M'。 2.如权利要求1所述的基于国密SM9的IND ‑sID‑CCA2安全标识广 播加密方法， 其特征在 于： 所述主公钥mpk和主私钥m sk的生成包括， 设置安全参数 λ和最大广播接收者数目m， 生成一个双线性群BP＝(N,G1,G2,GT,e)； 其中， BP表示双线性群， N表示循环群G1， G2， GT的阶， 且是大于2191的素数， G1表示阶为素 数N的加法循环群， G2表示阶为素数N的加法循环群， GT表示阶为素数N的乘法循环群， e表示 从G1×G2到GT的双线性映射。 3.如权利要求2所述的基于国密SM9的IND ‑sID‑CCA2安全标识广 播加密方法， 其特征在 于： 所述主公钥mpk和主私钥m sk的生成还 包括， 任选两个生成元P1、 P2， 随机数α， 两个密码函数 和用一个 字节表示的加密私钥生成函数 标识符hid； 设封装会话密钥的长度为 klen， 选择密钥派生 函数KDF:{0,1}*→klen； 基于生成元P1、 P2， 随机数α， 从G1×G2到GT的双线性映射e以及最大广播接收者数目m， 计 算得到u、 Ppub和g， u＝α2P2 Ppub＝{α P1, α2P1, α3P1,…, αm+1P1} g＝e(P1,P2)α 其中， u表示群G2中的一个 元素， α 表示[1,N ‑1]中的一个随机数， P1表示群G1的生成元， P1 ∈G1， P2表示群G2的生成元， P2∈G2， Ppub表示群G1中一些元素的集合， g表示群GT中的一个元 素， e表示从G1×G2到GT的双线性映射； 主私钥msk包括， msk＝( α,P2) 其中， msk表示主私钥， α 表示[1,N ‑1]中的一个随机数， P2表示群G2的生成元， P2∈G2； 主公钥mpk包括， mpk＝(u,g,P1,Ppub,H1,H2,hid,KDF) 其中， mpk表示主公钥， u表示群G2中的一个 元素， g表示群GT中的一个 元素， P1表示群G1的 生成元， P1∈G1， Ppub表示群G1中一些元素的集合， 表示由密码杂凑 函数派生的 密码函数， 输入一个比特串， 输出一个[ 1,N‑1]中的整数， 表示由密码杂凑函 数派生的密码函数， 输入一个比特串， 输出一个[1,N ‑1]中的整 数， hid表 示用一个字节表 示 的加密私钥生成函数识别 符， klen表示会话密钥的长度， KDF:{0,1}*→klen表示密钥 派生 函数， 输入一个比特串， 输出一个k len长的会话密钥。 4.如权利要求3所述的基于国密SM9的IND ‑sID‑CCA2安全标识广 播加密方法， 其特征在权　利　要　求　书 1/3 页 2 CN 114826611 A 2于： 所述接收者私钥skID的生成包括， 利用msk和接收者的标识ID， 密钥生成中心KGC在有限域FN上计算临时变量t1包括， t1＝H1(ID||hid,N)+α 其中， t1表示临时变量， H1表示由密码杂凑函数派生的密码函数， 输入一个比特串， 输出 一个[1,N ‑1]中的整数， ID表示接收者的标识， hid表示用一个字节表示的加密私钥生成函 数识别符， N表示循环群G1， G2， GT的阶， α 表示[1,N ‑1]中的一个随机数。 5.如权利要求4所述的基于国密SM9的IND ‑sID‑CCA2安全标识广 播加密方法， 其特征在 于： 所述接收者私钥skID的生成还 包括， 判断t1是否为0， 若t1＝0， 则重新产生主私钥， 计算和公开主公钥， 并更新已有接收者的 解密私钥； 若t1≠0， 计算临时变量t2， 其中， t2表示临时变量， α 表示[1,N ‑1]中的一个随机数， t1表示临时变量； 基于临时变量t2和P2， 计算接收者的私钥skID， skID＝t2·P2 其中， skID表示接收者的私钥， t2表示临时变量， P2表示群G2的生成元， P2∈G2。 6.如权利要求1～5任一所述的基于国密SM9的IND ‑sID‑CCA2安全标识广播加密方法， 其特征在于： 所述封装密文C的获取包括， 选取随机数r∈[1,N ‑1]， 利用mpk和接收者标识ID的集合S， 计算获取临时变量C1、 C2， 基 于临时变量C1、 C2得到封装密文C， w＝gr C1＝‑r·u C＝(C1,C2) 其中， r表示[1,N ‑1]中的一个随机数， S表示一个接收者标识集合， w表示临时变量， 为 群GT中的一个元素， C1表示临时变量， 为群G2中的一个元素， C2表示临时变量， 为群G1中的一 个元素， C表 示封装密 文， H1、 H2表示两个由密码杂凑函数派生的密码函数， IDj表示一个接收 者标识集合S中的第j 个接收者标识， hid表示用一个字节表 示的加密私钥生成函数识别符， N表示循环群G1， G2， GT的阶， α 表示[1,N ‑1]中的一个随机数， P1表示群G1的生成元， P1∈G1。 7.如权利要求6所述的基于国密SM9的IND ‑sID‑CCA2安全标识广 播加密方法， 其特征在 于： 所述会话密钥K的生成包括， 利用密钥派生 函数KDF生成所述会话密钥K， K＝KDF(C1||C2|lw||S,klen) 其中， KDF表示密钥派生函数， C1表示临时变量， 为群G2中的一个元素， C2表示临时变量， 为群G1中的一个元 素， w表示临时变量， 为群GT中的一个元 素， S表示 一个接收者标识集 合。 8.如权利要求7所述的基于国密SM9的IND ‑sID‑CCA2安全标识广 播加密方法， 其特征在 于： 所述明文消息密文CM的生成包括， 若会话密钥K为全零比特串， 则重新选择随机数r， 生成封装密文C和会话密钥K； 若会话权　利　要　求　书 2/3 页 3 CN 114826611 A 3