[发明专利]一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法

权利要求书

1.一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法，其特征在于，包括：

利用系统安全参数λ和最大广播接收者数目m，生成主公钥mpk和主私钥msk；

基于主私钥msk和接收者标识ID，生成接收者标识ID所对应的接收者私钥sk_ID，并将所述私钥sk_ID发送给对应的接收者；

根据主公钥mpk、明文消息M和接收者标识ID的集合S，生成会话密钥K和密文CT；

利用接收者标识集合S、主公钥mpk、密文CT、标识ID以及对应的接收者私钥sk_ID，生成会话密钥K和明文数据M'。

2.如权利要求1所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法，其特征在于：所述主公钥mpk和主私钥msk的生成包括，

设置安全参数λ和最大广播接收者数目m，生成一个双线性群BP＝(N,G₁,G₂,G_T,e)；

其中，BP表示双线性群，N表示循环群G₁，G₂，G_T的阶，且是大于2¹⁹¹的素数，G₁表示阶为素数N的加法循环群，G₂表示阶为素数N的加法循环群，G_T表示阶为素数N的乘法循环群，e表示从G₁×G₂到G_T的双线性映射。

3.如权利要求2所述的基于国密SM9的IND-sID-CCA2安全标识广播加密方法，其特征在于：所述主公钥mpk和主私钥msk的生成还包括，

任选两个生成元P₁、P₂，随机数α，两个密码函数和用一个字节表示的加密私钥生成函数标识符hid；

设封装会话密钥的长度为klen，选择密钥派生函数KDF:{0,1}^*→klen；

基于生成元P₁、P₂，随机数α，从G₁×G₂到G_T的双线性映射e以及最大广播接收者数目m，计算得到u、P_pub和g，

u＝α²P₂

P_pub＝{αP₁,α²P₁,α³P₁,…,α^m+1P₁}

g＝e(P₁,P₂)^α

其中，u表示群G₂中的一个元素，α表示[1,N-1]中的一个随机数，P₁表示群G₁的生成元，P₁∈G₁，P₂表示群G₂的生成元，P₂∈G₂，P_pub表示群G₁中一些元素的集合，g表示群G_T中的一个元素，e表示从G₁×G₂到G_T的双线性映射；

主私钥msk包括，

msk＝(α,P₂)

其中，msk表示主私钥，α表示[1,N-1]中的一个随机数，P₂表示群G₂的生成元，P₂∈G₂；

主公钥mpk包括，

mpk＝(u,g,P₁,P_pub,H₁,H₂,hid,KDF)

其中，mpk表示主公钥，u表示群G₂中的一个元素，g表示群G_T中的一个元素，P₁表示群G₁的生成元，P₁∈G₁，P_pub表示群G₁中一些元素的集合，表示由密码杂凑函数派生的密码函数，输入一个比特串，输出一个[1,N-1]中的整数，表示由密码杂凑函数派生的密码函数，输入一个比特串，输出一个[1,N-1]中的整数，hid表示用一个字节表示的加密私钥生成函数识别符，klen表示会话密钥的长度，KDF:{0,1}^*→klen表示密钥派生函数，输入一个比特串，输出一个klen长的会话密钥。