(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210695891.1 (22)申请日 2022.06.20 (71)申请人 扬州大学 地址 225009 江苏省扬州市大 学南路88号 (72)发明人 潘璇　严芬　 (74)专利代理 机构 南京禹为知识产权代理事务 所(特殊普通 合伙) 32272 专利代理师 王晓东 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/30(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于国密SM9的匿名标识广播加密方法 (57)摘要 本发明公开了一种基于国密SM9的匿名标识 广播加密方法， 包括： 利用系统安全参数λ， 生成 主公钥mpk和主私钥msk； 基于主公钥mpk、 主私钥 msk和接收者标识ID， 生成接收者标识ID所对应 的接收者私钥skID， 并将私钥skID发送给对应的 接收者； 根据主公钥mpk、 明文消息M和集合S， 生 成会话密钥K和密文CT； 利用主公钥mpk、 密文CT、 接收者私钥skID， 生成解密得到的会话密钥K ′和 明文数据M ′。 本发明基于国密SM9， 更易与现有的 基于国密SM9的系统相融合， 为我国密码技术的 自主可控做出了一定的贡献； 本发 明为标识广播 加密， 适用于多个接收者的场景， 且更易管理； 本 发明具备随机谕言模型下的IND ‑nID‑CCA2安全， AND‑ID‑CCA2安全； 本发明具备一定的理想特性， 主公钥、 主私钥和接收者私钥的长度与计算成本 恒定， 解密计算成本恒定 。 权利要求书3页 说明书13页 附图4页 CN 115150070 A 2022.10.04 CN 115150070 A 1.一种基于国密SM9的匿名标识广播加密方法， 其特 征在于， 包括： 利用系统安全参数 λ， 生成主公钥mpk和主私钥m sk； 基于主公钥mpk、 主私钥msk和接收者标识ID， 生成接收者标识ID所对应的接收者私钥 skID， 并将所述私钥skID发送给对应的接收者； 根据主公钥mpk、 明文消息 M和接收者标识ID的集 合S， 生成会话密钥K和密文CT； 利用主公钥mpk、 密文CT、 接收者私钥skID， 生成解密得到的会话密钥K ′和明文数据M ′。 2.如权利要求1所述的基于国密SM9的匿名标识广播加密方法， 其特征在于： 所述主公 钥mpk和主私钥m sk的生成包括， 设置安全参数 λ， 生成一个双线性群BP＝(N,G1,G2,GT,e)； 其中， BP表示双线性群， N表示循环群G1， G2， GT的阶， 且是大于2191的素数， G1表示阶为素 数N的加法循环群， G2表示阶为素数N的加法循环群， GT表示阶为素数N的乘法循环群， e表示 从G1×G2到GT的双线性映射。 3.如权利要求2所述的基于国密SM9的匿名标识广播加密方法， 其特征在于： 所述主公 钥mpk和主私钥m sk的生成还 包括， 任选两个生成元g、 g ′， 随机数α、 β， 三个密码函数H1:{0,1}*→G2、 H2:GT→{0,1}n、 和用一个字节 表示的加密私钥生成函数 标识符hid； 设封装会话密钥的长度为 klen， 选择密钥派生 函数KDF:{0,1}*→klen； 基于生成元g、 g ′， 随机数α 、 β， 从G1×G2到GT的双线性映射e， 计算得到g1、 g2和g3， g1＝α g g2＝β g g3＝e(g2,g') 其中， g1表示群G1中的一个元素， g2表示群G1中的一个元素， g3表示群GT中的一个元素， α 表示[1,N ‑1]中的一个随机数， β 表示[1,N ‑1]中的一个随机数， g表示群G1的生成元， g ′表示 群G2的生成元， e表示从G1×G2到GT的双线性映射； 主私钥msk包括， msk＝( α, β ) 其中， msk表示主私钥， α 表示[1,N ‑1]中的一个随机数， β 表示[1,N ‑1]中的一个随机数； 主公钥mpk包括， mpk＝(G1,G2,GT,e,g,g1,g2,g3,g′,H1,H2,H3,hid,KDF) 其中， mpk表示主公钥， g表示群G1的生成元， g1表示群G1中的一个元素， g2表示群G1中的 一个元素， g3表示群GT中的一个元素， g ′表示群G2的生成元， H1:{0,1}*→G2表示由密码杂凑 函数派生的密码函数， 输入一个比特串， 输出一个群GT中的元素， H2:GT→{0,1}n表示由密码 杂凑函数派生的密码函数， 输入一个群GT中的元素， 输出一个长度为n的比特串， H3: 表示由密码杂凑函数派生的密码函数， 输入一个比特串， 输出一个[1,N ‑1]中的 整数， hid表示用一个字节表示的加密私钥生成函数识别符， klen表示会话密钥的长度， KDF:{0,1}*→klen表示密钥派生 函数， 输入一个比特串， 输出一个k len长的会话密钥。 4.如权利要求2或3所述的基于国密SM9的匿名标识广播加密方法， 其特征在于： 所述接 收者私钥skID的生成包括，权　利　要　求　书 1/3 页 2 CN 115150070 A 2利用mpk、 msk和接收者的标识ID， 密钥生成中心KGC首先在有限域FN上计算临时变量t1 包括， t1＝H3(ID||hid,N)+β 其中， t1表示临时变量， H3表示由密码杂凑函数派生的密码函数， 输入一个比特串， 输出 一个[1,N ‑1]中的整数， ID表示接收者的标识， hid表示用一个字节表示的加密私钥生成函 数识别符， N表示循环群G1， G2， GT的阶， β 表示[1,N ‑1]中的一个随机数。 5.如权利要求4所述的基于国密SM9的匿名标识广播加密方法， 其特征在于： 所述接收 者私钥skID的生成还 包括， 判断t1是否为0， 若t1＝0， 则重新产生主私钥， 计算和公开主公钥， 并更新已有接收者的 解密私钥； 若t1≠0， 计算临时变量t2， 其中， t2表示临时变量， β 表示[1,N ‑1]中的一个随机数， t1表示临时变量； 基于临时变量t2和P2， 计算接收者的私钥 其中， skID表示接收者的私钥， 表示接收者的私钥中用于验证身份的部分， 为群G2中 的一个元素， 表示接收者的私钥中用于解密的部分， 为群G2中的一个元素， H1:{0,1}*→ G2表示由密码杂凑函数派生的密码函数， 输入一个比特串， 输出一个群GT中的元素， t2表示 临时变量， g'表示群G2的生成元， g'∈G2。 6.如权利要求1、 2、 3、 5任一所述的基于国密SM9的匿名标识广播加密方法， 其特征在 于： 所述密钥封装密文C的获取包括， 使用一个强一次性签名方案∑＝(Gen,Sig,Ver)， 首先生成一个签名密钥对(svk,ssk) ←Gen(1λ)； 选取随机数r,r'∈[1,N ‑1]， 利用mpk和接收者标识ID的集合S＝{ID1,ID2,…, IDs}， 计算获取svk、 T、 C1、 σ， 基于svk、 T、 C1、 σ 得到密钥封装密文C； 计算T＝rg， 对于每个ID∈S， 计算 设定q＝H3(ID||hid,N)g+ g2， 计算 设定 计算 生成C＝(svk,T,C1, σ )， 其中 σ ＝Sig(s sk,T||C1)； 其中， ∑＝(Gen,Sig,Ver)表示一个强一次性签名方案， Gen表示签名密钥对生成算法， Sig表示签名算法， Ver表示验证算法， svk表示签名公钥， ssk表示签名私钥， r表示[1,N ‑1] 中的一个随机数， r'表 示[1,N‑1]中的一个随机数， S表 示一个接收者标识集合， s表 示S的大 小， T表示部分密钥封装密文， 为群G1中的一个元 素， 表示部分密文， q表示临时变量， 表 示部分密钥封装密文， w表示临时变量， C1表示部分密钥封装密文， C表示密钥封装密文， σ 表 示签名。 7.如权利要求6所述的基于国密SM9的匿名标识广播加密方法， 其特征在于： 所述会话 密钥K的生成包括，权　利　要　求　书 2/3 页 3 CN 115150070 A 3