[发明专利]基于SM9的多接收者签密方法

权利要求书

1.基于SM9的多接收者签密方法，其特征在于，包括：

步骤1：系统建立，具体包括：密钥生成中心选择系统参数，生成系统的主公私钥对，并将系统的主公钥发送至系统用户，秘密保存系统的主私钥；

步骤2：密钥提取，具体包括：密钥生成中心利用系统的主公私钥对和用户标识，为系统用户生成用户私钥，并通过安全信道将所述用户私钥发送给对应的系统用户；

步骤3：多接收者签密，具体包括：发送者利用系统的主公钥和自身的私钥对待签密明文进行签密生成签密文，并按照给定的接收者列表发送至各接收者；

步骤4：解签密，具体包括：合法接收者采用自身的私钥对接收到的签密文进行解密和验证，若验证通过，则得到明文及发送者对所述明文的签名；若验证失败，则拒绝接收签密文；

步骤1具体包括：

密钥生成中心选择一个双线性群其中均为加法循环群，为乘法循环群，N表示的阶，e表示从到的双线性映射，N2^λ且N为素数，λ为给定的安全参数；

密钥生成中心随机选择α∈[1,N-1]，选择三个Hash函数H₁:H₂:H₃:{0,1}^*→{0,1}ⁿ，其中n为待签密明文的长度；[1,N-1]，均表示不小于1且不大于N-1的整数组成的集合；

密钥生成中心计算群的元素P_pub＝αP₂，计算群的元素g＝e(P₁,P_pub)，其中P₁和P₂分别是群和的生成元，且有ψ(P₂)＝P₁；

密钥生成中心选择用一个字节表示的签密私钥生成函数识别符hid，则系统的主公钥mpk为：mpk＝(BP,g,P₁,P₂,P_pub,H₁,H₂,H₃,hid)，系统的主私钥msk为msk＝α；

步骤2具体包括：

给定用户标识ID∈{0,1}^*，密钥生成中心在有限域F_N上计算t₁＝H₁(ID||hid,N)+α，若t₁＝0，则需重新产生系统的主公钥，计算和公开主公钥，并更新已有用户的私钥；否则计算t₂＝α·t₁^-1和SK_ID＝t₂·P₂，把SK_ID作为系统用户的私钥；其中，“ID||hid”表示ID和hid的级联，t₁和t₂均为临时变量；

步骤3具体包括：

步骤3.1：发送者计算群的元素Q_i＝H₁(ID_i||hid,N)P₁+ψ(P_pub),i＝1,2，…,R；R表示接收者的个数；“ID_i||hid”表示ID_i和hid的级联；ID_i表示第i个接收者的标识；Q_i为中间变量；

步骤3.2：发送者随机选取随机数r∈[1,N-1]，计算群的元素ω＝g^r，并将ω数据类型转换为比特串；ω为中间变量；

步骤3.3：发送者计算整数h＝H₂(M||ω,N)和整数l＝(r-h)modN，若l＝0则返回步骤3.2，重新选择随机数r；M表示待签密明文，M∈{0,1}ⁿ；h和l均为中间变量；

步骤3.4：发送者计算群的元素ID_S为发送者的标识；S表示明文M的签名；表示发送者的私钥；

步骤3.5：发送者计算群的元素T_i＝rQ_i，i＝1,2,…,R，记T＝(T₁,T₂,…,T_R)，并将T_i数据类型转换为比特串；T_i为中间变量；

步骤3.6：发送者计算记c＝(c₁,c₂,…,c_R)；c_i表示对明文M加密后的密文；

步骤3.7：发送者输出签密文CT＝(c,S,T)；

步骤4具体包括：

步骤4.1：接收者ID_i计算群的元素并将ω′数据类型转换为比特串；ω′为中间变量；表示接收者ID_i的私钥；

步骤4.2：接收者ID_i计算M′为接收者ID_i计算出的明文；

步骤4.3：接收者ID_i计算h′＝H₂(M′||ω′,N)和t＝g^h′；h′和t均为中间变量；

步骤4.4：接收者ID_i计算P＝H₁(ID_S||hid,N)P₂+P_pub；P为中间变量；

步骤4.5：接收者ID_i验证e(S,P)·t＝ω′是否成立，若成立则验证通过，获得明文数据M及其签名σ＝(ω′,S)；否则验证失败，返回⊥。

2.根据权利要求1所述的基于SM9的多接收者签密方法，其特征在于，所述接收者ID_i验证e(S,P)·t＝ω′的验证过程包括：解密正确性验证过程和签名正确性验证过程；

其中，所述解密正确性验证过程具体包括：

所述签名正确性验证过程具体包括：