[发明专利]一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法

说明书

本发明公开了一种基于国密SM9的IND‑sID‑CCA2安全标识广播加密方法，包括：利用系统安全参数λ和最大广播接收者数目m，生成主公钥mpk和主私钥msk；基于主私钥msk和接收者标识ID，生成接收者标识ID所对应的接收者私钥sk_ID，并将所述私钥sk_ID发送给对应的接收者；根据主公钥mpk、明文消息M和接收者标识ID的集合S，生成会话密钥K和密文CT；利用接收者标识集合S、主公钥mpk、密文CT、标识ID以及对应的接收者私钥sk_ID，生成会话密钥K和明文数据M'。本发明基于国密SM9，更易与现有的基于国密SM9的系统相融合，为我国密码技术的自主可控做出了一定的贡献；本发明为标识广播加密，适用于多个接收者的场景，且更易管理；利用内部验证方法实现了IND‑sID‑CCA2安全，安全性更高、效率更高。

技术领域

本发明涉及密码学技术领域，尤其涉及一种基于国密SM9的IND-sID-CCA2安全标识广播加密方法。

背景技术

在信息产业中，数据的安全与隐私的保护问题一直是人们关注的重点，而密码技术的运用是解决这一问题的重要手段之一，以保证数据只能由合法的接收者获取。标识密码(Identity-based Cryptosystem)，是密码学中的一个重要研究领域，此概念在1984年由Shamir首次提出。标识密码以接收者的唯一信息作为公钥，取代传统公钥密码中证书的功能。

考虑到信息安全问题，为实现密码技术的自主可控，我国在2008年自主设计了标识密码SM9，2016年其成为我国密码行业标准，并在2020年正式成为我国的国家标准。之后，随着时间的推移，SM9各部分也陆续成为国际标准。在2021年，SM9全体系纳入ISO/IEC标准。因此基于国密SM9进行各种密码方案的设计是非常有必要的。

广播加密(Broadcast Encryption，BE)的概念在1993年由Fait和Naor提出，并给出了具体方案。广播加密可以针对某一组确定的接收者对数据进行加密并广播到公共信道，只有在加密阶段指定授权的接收者可以正确解密。广播加密基本满足保密性、正确性、抗合谋攻击的特性。由于广播加密具有一对多通信的特点，现实世界中诸多领域都有着对其的应用，如多媒体、物联网、区块链等。

标识广播加密(Identity-Based Broadcast Encryption，IBBE)的概念在2007年由Delerablée提出，将广播加密与标识加密技术相结合。

对于标识广播加密的安全性研究，主要是针对加密方法所使用的模型、可能受到的攻击类型以及遭受攻击后的不可区分性(Indistinguishability，IND)进行分析。使用的模型包括使用了随机谕言机的随机谕言模型(Random Oracle Model，ROM)和未使用随机谕言机的标准模型(Standard Model，SM)，本发明是随机谕言模型下安全的。可能受到的攻击包括选择明文攻击(Chosen Plaintext Attack，CPA)、非适应性选择密文攻击(ChosenCiphertext Attack，CCA1)、适应性选择密文攻击(adaptive Chosen Ciphertext Attack，CCA2)。参考标识加密的选择身份安全(selective identity security)和完全安全(fullsecurity)，根据攻击者在何时确定需要攻击的接收者标识集合，攻击还包括：在安全模型建立前确定的静态攻击(sID)、在挑战阶段确定的适应性攻击(ID)。

从上述内容可以看出，相比于CPA安全，CCA2安全可以有效地应对攻击者的主动攻击，防止攻击者通过伪造、篡改密文，获得更多有助于破解密文的信息。因此，使用IND-sID-CCA2安全的IBBE是非常有必要的。

利用一次性签名系统实现CCA2安全是一种通用方法。然而，在一次性签名系统中，基于杂凑函数的一般具有较长的公钥和签名长度，基于数论假设的往往需要较大的计算量。因此，一次性签名系统的引入会较大的提高计算和存储开销。所以，希望避免一次性签名系统的使用而实现CCA2安全。