CN111865578A - 一种基于sm2的多接收方公钥加密方法 - Google Patents

Abstract

本发明公开了一种基于SM2的多接收方公钥加密方法。传统的多接收方公钥加密方法，依赖传统公钥加密方法，并且存在加密效率低、通信带宽要求高的缺点。针对这些缺点，本发明提出随机数重用的基于SM2的多接收方公钥加密方法，使得该方法具有加密效率高、通信带宽要求低的优点。发送方可利用该方法将消息加密成密文，然后在网络中广播密文给多个接收方。接收方收到密文后可通过私钥解密，获取发送方的消息。本发明已通过形式化证明能达到抗随机数重用不可区分选择密文攻击(RR‑IND‑CCA)安全性，并且能有效减少发送方的计算量，在安全性和效率方面都满足实际工作应用需求。

Description

一种基于SM2的多接收方公钥加密方法

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于SM2的多接收方公钥加密方法。

背景技术

多接受方公钥加密方法最早由Bellare和Boldyreva等人在文献《Public-keyencryption in a multi-user setting:Security proofs and improvements》提出，作者在论文中提出公钥加密方法的安全性可以由单接收方推广到多接收方，即：用n个不同的公钥分别对同一消息加密n次，得到广播密文，接收者再通过自己的私钥解密得到消息。但是在多个接收方的情况下，发送方每次加密都需要重新选择随机数，需要的计算量十分庞大，降低了整体效率。

随后，Bellare和Boldyreva等人在文献《Multirecipient encryption schemes:How to save on bandwidth and computation without sacrificing security》提出“可复现的公钥加密(reproducible PKE)”这一概念，并指出如果一个可复现的公钥加密方法满足抗不可区分选择密文攻击(IND-CCA)安全性，那么以该方法作为底层方法构造而得的随机数重用的公钥加密方法可达到随机数重用不可区分选择密文攻击(RR-IND-CCA)安全性。上述方法在安全性上能满足实际的应用需要，但是都是基于传统的公钥加密的方法，且存在加密效率低和通信带宽要求高的缺点，不适合在实际应用中推广使用。

发明内容

本发明的目的是为了解决现有技术中的上述缺陷，提供一种基于SM2的多接收方公钥加密方法，并扩展为随机数重用的基于SM2的多接收方公钥加密方法。该方法首先基于SM2构造底层多接收方公钥加密方法，随后提出复现算法Rep对底层方案进行扩展提高加密效率，最终提出基于SM2的多接收方公钥加密方法。该方法能有效减少发送方的计算量，提高加密效率，更有效适用于实际应用场景中。

本发明的目的可以通过采取如下技术方案达到：

一种基于SM2的多接收方公钥加密方法，所述的多接收方公钥加密方法包括下列步骤：

S1、公共参数生成步骤，通过公共参数生成算法PGen(1^κ)，输入安全参数1^κ，输出一个素数q、q阶循环群

和

的任意生成元g，其中q的二进制表示是n比特长的字符串；另外输出哈希函数

和哈希函数

其中

均表示输出哈希值的字符串长度并且

其中

表示自然数集。最终输出公开参数par，具体的，par包含参数有

S2、接收方公私钥生成步骤，接收方U_i通过密钥生成算法KGen(par)，输入公共参数par，在群

中随机选取正整数x[i]，计算h[i]＝g^x[i]，输出接收方U_i的公钥pk[i]＝h[i]和私钥sk[i]＝x[i]。其中，接收方U_i的公钥pk[i]可公开，接收方U_i的私钥sk[i]保密存储，i＝1，2，3，...，n；

S3、发送方加密消息步骤，加密算法

为

加密算法

规定发送方以公共参数par、接收方U_i的公钥pk[i]和消息m[i]作为输入，随机选取正整数r，计算密文c[i]₁＝g^r和通过哈希函数H₁计算哈希值对(k[i]1，k[i]₂)＝H₁(h[i]^r)，其中k[i]₁、k[i]₂均表示哈希函数H₁生成的哈希值；计算密文

其中

表示异或运算；通过哈希函数H₂计算计算密文c[i]₃＝H₂(c[i]₁，k[i]₂，c[i]₂)，最终输出密文c[i]＝(c[i]₁，c[i]₂，c[i]₃)。

S4、接收方解密消息步骤，解密算法Dec(par，sk[i]，c[i])为

解密算法Dec规定接收方U_i以公共参数par、接收方U_i的私钥sk[i]和密文c[i]作为输入，通过哈希函数H1计算哈希值对(k[i]₁，k[i]₂)＝H₁(c[i]₁ ^x[i])，通过哈希函数H₂计算哈希值H₂(c[i]₁，k[i]₂，c[i]₂)，如果c[i]₃≠H₂(c[i]₁，k[i]₂，c[i]₂)，表示c[i]不是合法密文，输出错误信息⊥；否则输出消息

进一步地，所述的步骤S3中加密算法

具体如下：

底层加密算法Enc以公共参数par、接收方U_i的公钥pk[i]和消息m[i]作为输入，以及在随机数空间

中为不同的接收方选取不同的随机数

作为输入，其中

表示从

中均匀随机地选取出一个元素r[i]，计算密文c[i]₁＝g^r[i]和通过哈希函数H₁计算哈希值对(k[i]₁，k[i]₂)＝H₁(h[i]^r[i])，其中k[i]₁、k[i]₂均表示哈希函数H₁生成的哈希值；计算密文

其中

表示异或运算；通过哈希函数H₂计算计算密文c[i]₃＝H₂(c[i]₁，k[i]₂，c[i]₂)，最终输出密文c[i]＝(c[i]₁，c[i]₂，c[i]₃)。但是，底层加密算法Enc的缺点是发送方对每一个新的接收方进行加密时，都需要重新随机选取一个正整数r[i]，增加了发送方的计算量。

为解决底层加密算法Enc的缺点，提高加密效率和降低通信带宽要求，提出随机数重用的复现算法Rep，复现算法Rep接收输入参数(par，pk，sk，c，m′，pk′，sk′)，其中，公共参数

私钥sk＝x，x为在群

中随机选取的正整数，公钥pk＝h＝g^x，密文

r为从随机数空间

中均匀随机地选取出的一个元素、k₁，k₂均表示哈希函数H1生成的哈希值，m′表示消息，私钥sk′＝x′，公钥pk′＝g^x′，x′为在群

中随机选取的正整数。复现算法Rep通过哈希函数H1计算哈希值对(k₁′，k₂′)＝H₁((g^r)^x′)，其中k₁′，k₂′均表示哈希函数H₁生成的哈希值，计算密文

其中

表示异或运算，再通过哈希函数H₂计算密文c₃′＝H₂(g^r，k₂′，c₂′)，最终输出密文c′＝(g^r，c₂′，c₃′)，由于(g^r)^x′＝(pk′)^r，所以复现算法Rep的输出结果确实是Enc(par，pk′，m′)，实现了随机数重用的效果，提高了加密效率；

加密算法

根据底层加密算法Enc和复现算法Rep演变而成，要求以公共参数par、接收方U_i的公钥pk[i]和消息m[i]，以及在随机数空间

中选取的一个随机数

作为输入，其中

表示从

中均匀随机地选取出一个元素r，计算密文c[i]₁＝g^r、哈希值对(k[i]₁，k[i]₂)＝H₁(h[i]^r)、密文

和密文c[i]₃＝H₂(c[i]₁，k[i]₂，c[i]₂)，得到密文c[i]＝(c[i]₁，c[i]₂，c[i]₃)，最终输出接收方U_i的密文c[i]。

加密算法

的正确性要求为：对任意公共参数par←PGen(1^κ)，密钥对((pk[i]，sk[i])←KGen(par))_i∈[n]，任意消息

密文c←Enc(par，pk，m)和任意i∈[n]，均有Dec(par，sk[i]，c[i])＝m[i]，其中符号←表示通过算法生成参数，[n]表示集合{1，2，...，n}，

表示由公共参数par生成的明文空间。

本发明相对于现有技术具有如下的优点及效果：

本发明使用随机数重用技术构造了一个基于SM2的多接收方公钥加密方案，和现有技术相比，具有加密效率更高和通信带宽要求更低的优点。另外，本发明有严格的形式化安全模型和安全证明，证明了可达到抗随机数重用不可区分选择密文攻击(RR-IND-CCA)安全性，保证了方案在实际应用的安全性。因此，本发明能在效率和安全性上满足实际应用需求。

附图说明

图1是本发明实施例公开的一种基于SM2的多接收方公钥加密方法的流程图；

图2是本发明实施例公开的一种基于SM2的多接收方公钥加密方法的用例示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

本发明公开的一种基于SM2的多接收方公钥加密方法可以应用在信息安全技术领域对数据进行数据加密保护。例如，在发送方需要一对多地向多个接收方发送秘密信息的时候，可以采用本发明对相关数据进行加密成密文后广播发送给多个接收方。各接收方获取对应密文，依靠自己的私钥进行解密操作获取对应的秘密信息，从而在保障用户数据安全性和高效的前提下进行安全的数据共享。

下面结合图1对本实施例公开的一种基于SM2的多接收方公钥加密方法的具体过程进行详细说明。

一种基于SM2的多接收方公钥加密方法(用例示意如图2所示)，其主要包括两个角色：发送方、接收方U_i，其步骤主要包括：公共参数生成，接收方公私钥生成，发送方加密消息，接收方解密消息。该多接收方公钥方法实现过程如下：

S1、公共参数生成步骤，通过公共参数生成算法PGen(1^κ)，输入安全参数1^κ，输出一个素数q、q阶循环群

和

的任意生成元g，其中q的二进制表示是n比特长的字符串；另外输出哈希函数

和哈希函数

其中

均表示输出哈希值的字符串长度并且

其中

表示自然数集。最终输出公开参数par，具体的，par包含参数有

S2、接收方公私钥生成步骤，接收方U_i通过密钥生成算法KGen(par)，输入公共参数par，在群

中随机选取正整数x[i]，计算h[i]＝g^x[i]，输出接收方U_i的公钥pk[i]＝h[i]和私钥sk[i]＝x[i]。其中，接收方U_i的公钥pk[i]可公开，接收方U_i的私钥sk[i]保密存储，i＝1，2，3，...，n；

S3、发送方加密消息步骤，加密算法

为

pk[i]＝h[i]，m[i])。输入公共参数par、接收方U_i的公钥sk[i]和消息m[i]，随机选取正整数r，计算密文c[i]₁＝g^r和通过哈希函数H₁计算哈希值对(k[i]₁，k[i]₂)＝H₁(h[i]^r)，其中k[i]₁、k[i]₂均表示哈希函数H₁生成的哈希值；计算密文

其中

表示异或运算；通过哈希函数H₂计算计算密文c[i]₃＝H₂(c[i]₁，k[i]₂，c[i]₂)，最终输出密文c[i]＝(c[i]₁，c[i]₂，c[i]₃)后广播给接收方。

S4、接收方解密消息步骤，解密算法Dec(par，sk[i]，c[i])为

解密算法Dec规定接收方U_i以公共参数par、接收方U_i的私钥sk[i]和密文c[i]作为输入，通过哈希函数H1计算哈希值对(k[i]₁，k[i]₂)＝H₁(c[i]₁ ^x[i])，通过哈希函数H₂计算哈希值H₂(c[i]₁，k[i]₂，c[i]₂)，如果c[i]₃≠H₂(c[i]₁，k[i]₂，c[i]₂)，表示c[i]不是合法密文，输出错误信息⊥；否则输出消息

接收方U_i接收对应的密文c[i]，根据解密算法Dec解密密文，获取消息

实施例二

本发明公开的一种基于SM2的多接收方公钥加密方法可以应用在区块链上对数据进行数据加密保护。例如，在金融行业的区块链***中，用户只想把资产信息和资产交易信息给指定的一些合作商进行商业共享，可以采用本发明对相关数据进行加密后广播上传到区块链***。各合作商作为接收方在区块链上获取对应用户的密文，依靠自身的私钥进行解密操作获取用户的资产信息，从而在保障用户数据安全性的前提下进行安全的数据共享。

下面结合图1对本实施例公开的一种基于SM2的多接收方公钥加密方法的具体过程进行详细说明。

一种基于SM2的多接收方公钥加密方法(用例示意如图2所示)，其主要包括两个角色：发送方、接收方U_i，其步骤主要包括：公共参数生成，接收方公私钥生成，发送方加密消息，接收方解密消息。该多接收方公钥方法实现过程如下：

S1、公共参数生成步骤，通过公共参数生成算法PGen(1^κ)，输入安全参数1^κ，输出一个素数q、q阶循环群

和

的任意生成元g，其中q的二进制表示是n比特长的字符串；另外输出哈希函数

和哈希函数

其中

均表示输出哈希值的字符串长度并且

其中

表示自然数集。最终输出公开参数par，具体的，par包含参数有

S2、接收方公私钥生成步骤，接收方U_i通过密钥生成算法KGen(par)，输入公共参数par，在群

中随机选取正整数x[i]，计算h[i]＝g^x[i]，输出接收方U_i的公钥pk[i]＝h[i]和私钥sk[i]＝x[i]。其中，接收方U_i的公钥pk[i]可公开，接收方U_i的私钥sk[i]保密存储，i＝1，2，3，...，n；

S3、发送方加密消息步骤，加密算法

为

输入公共参数par、接收方U_i的公钥sk[i]和消息m[i]，随机选取正整数r，计算密文c[i]₁＝g^r和通过哈希函数H₁计算哈希值对(k[i]₁，k[i]₂)＝H₁(h[i]^r)，其中k[i]₁、k[i]₂均表示哈希函数H₁生成的哈希值；计算密文

其中

表示异或运算；通过哈希函数H₂计算计算密文c[i]₃＝H₂(c[i]₁，k[i]₂，c[i]₂)，最终输出密文c[i]＝(c[i]₁，c[i]₂，c[i]₃)。发送方将接收方U_i的密文打包至区块链。

S4、接收方解密消息步骤，解密算法Dec(par，sk[i]，c[i])为

解密算法Dec规定接收方U_i以公共参数par、接收方U_i的私钥sk[i]和密文c[i]作为输入，通过哈希函数H₁计算哈希值对(k[i]₁，k[i]₂)＝H₁(c[i]₁ ^x[i])，通过哈希函数H₂计算哈希值H₂(c[i]₁，k[i]₂，c[i]₂)，如果c[i]₃≠H₂(c[i]₁，k[i]₂，c[i]₂)，表示c[i]不是合法密文，输出错误信息⊥；否则输出消息

接收方U_i接收区块链上对应的密文c[i]，根据解密算法Dec解密密文，获取消息

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (5)

1.一种基于SM2的多接收方公钥加密方法，其特征在于，所述的多接收方公钥加密方法包括下列步骤：

S1、公共参数生成步骤，通过参数生成算法PGen(1^κ)，输入安全参数1^κ，其中κ是正整数，输出一个公共参数par；

S2、接收方公私钥生成步骤，接收方U_i通过密钥生成算法KGen(par)，输入公共参数par，输出接收方U_i的公钥pk[i]和私钥sk[i]，其中，接收方U_i的公钥pk[i]可公开，接收方U_i的私钥sk[i]保密存储，i＝1,2,3,…,n；

S3、发送方加密消息步骤，通过加密算法

其中m[i]表示发送方给接收方U_i的消息，输入公共参数par、接收方U_i的公钥pk[i]和消息m[i]，输出接收方U_i的密文c[i]，并将c[i]广播发送；

S4、接收方解密消息步骤，接收方U_i获取密文c[i]，通过解密算法Dec(par,sk[i],c[i])，输入公共参数par、接收方U_i的私钥sk[i]和接收方U_i的密文c[i]，输出消息

2.根据权利要求1所述的一种基于SM2的多接收方公钥加密方法，其特征在于，所述的步骤S1中公共参数生成算法PGen(1^κ)，输入安全参数1^κ，输出一个素数q、q阶循环群

和

的任意生成元g，其中q的二进制表示是n比特长的字符串；另外还输出哈希函数H₁:

和哈希函数H₂:

其中l_msg、l_key、l_ctx均表示输出哈希值的字符串长度并且l_msg,l_key,

其中

表示自然数集，最终输出公开参数par，其中，公开参数par包含的参数有

3.根据权利要求2所述的一种基于SM2的多接收方公钥加密方法，其特征在于，所述的步骤S2中密钥生成算法KGen(par)为

密钥生成算法KGen规定接收方U_i以公共参数par作为输入，在群

中随机选取正整数x[i]，计算h[i]＝g^x[i]，输出接收方U_i的公钥pk[i]＝h[i]和私钥sk[i]＝x[i]。

4.根据权利要求3所述的一种基于SM2的多接收方公钥加密方法，其特征在于，所述的步骤S3中加密算法

为

加密算法

规定发送方以公共参数par、接收方U_i的公钥pk[i]和消息m[i]作为输入，随机选取正整数r，计算密文c[i]₁＝g^r和通过哈希函数H₁计算哈希值对(k[i]₁,k[i]₂)＝H₁(h[i]^r)，其中k[i]₁、k[i]₂均表示哈希函数H₁生成的哈希值；计算密文

其中

表示异或运算；通过哈希函数H₂计算密文c[i]₃＝H₂(c[i]₁,k[i]₂,c[i]₂)，最终输出密文c[i]＝(c[i]₁,c[i]₂,c[i]₃)并广播发送。

5.根据权利要求4所述的一种基于SM2的多接收方公钥解密方法，其特征在于，所述的步骤S4中解密算法Dec(par,sk[i],c[i])为

接收方U_i获取密文c[i]，利用解密算法Dec输入公共参数par、接收方U_i的私钥sk[i]和密文c[i]，通过哈希函数H₁计算哈希值对(k[i]₁,k[i]₂)＝H₁(c[i]₁ ^x[i])，通过哈希函数H₂计算哈希值H₂(c[i]₁,k[i]₂,c[i]₂)，如果c[i]₃≠H₂(c[i]₁,k[i]₂,c[i]₂)，表示c[i]不是合法密文，输出错误信息⊥；否则输出消息

Images