[发明专利]一种基于国密SM9的匿名标识广播加密方法

权利要求书

1.一种基于国密SM9的匿名标识广播加密方法，其特征在于，包括：

利用系统安全参数λ，生成主公钥mpk和主私钥msk；

基于主公钥mpk、主私钥msk和接收者标识ID，生成接收者标识ID所对应的接收者私钥sk_ID，并将所述私钥sk_ID发送给对应的接收者；

根据主公钥mpk、明文消息M和接收者标识ID的集合S，生成会话密钥K和密文CT；

利用主公钥mpk、密文CT、接收者私钥sk_ID，生成解密得到的会话密钥K′和明文数据M′。

2.如权利要求1所述的基于国密SM9的匿名标识广播加密方法，其特征在于：所述主公钥mpk和主私钥msk的生成包括，

设置安全参数λ，生成一个双线性群BP＝(N,G₁,G₂,G_T,e)；

其中，BP表示双线性群，N表示循环群G₁，G₂，G_T的阶，且是大于2¹⁹¹的素数，G₁表示阶为素数N的加法循环群，G₂表示阶为素数N的加法循环群，G_T表示阶为素数N的乘法循环群，e表示从G₁×G₂到G_T的双线性映射。

3.如权利要求2所述的基于国密SM9的匿名标识广播加密方法，其特征在于：所述主公钥mpk和主私钥msk的生成还包括，

任选两个生成元g、g′，随机数α、β，三个密码函数H₁:{0,1}^*→G₂、H₂:G_T→{0,1}ⁿ、和用一个字节表示的加密私钥生成函数标识符hid；

设封装会话密钥的长度为klen，选择密钥派生函数KDF:{0,1}^*→klen；

基于生成元g、g′，随机数α、β，从G₁×G₂到G_T的双线性映射e，计算得到g₁、g₂和g₃，

g₁＝αg

g₂＝βg

g₃＝e(g₂,g')

其中，g₁表示群G₁中的一个元素，g₂表示群G₁中的一个元素，g₃表示群G_T中的一个元素，α表示[1,N-1]中的一个随机数，β表示[1,N-1]中的一个随机数，g表示群G₁的生成元，g′表示群G₂的生成元，e表示从G₁×G₂到G_T的双线性映射；

主私钥msk包括，

msk＝(α,β)

其中，msk表示主私钥，α表示[1,N-1]中的一个随机数，β表示[1,N-1]中的一个随机数；

主公钥mpk包括，

mpk＝(G₁,G₂,G_T,e,g,g₁,g₂,g₃,g′,H₁,H₂,H₃,hid,KDF)

其中，mpk表示主公钥，g表示群G₁的生成元，g₁表示群G₁中的一个元素，g₂表示群G₁中的一个元素，g₃表示群G_T中的一个元素，g′表示群G₂的生成元，H₁:{0,1}^*→G₂表示由密码杂凑函数派生的密码函数，输入一个比特串，输出一个群G_T中的元素，H₂:G_T→{0,1}ⁿ表示由密码杂凑函数派生的密码函数，输入一个群G_T中的元素，输出一个长度为n的比特串，H₃:表示由密码杂凑函数派生的密码函数，输入一个比特串，输出一个[1,N-1]中的整数，hid表示用一个字节表示的加密私钥生成函数识别符，klen表示会话密钥的长度，KDF:{0,1}^*→klen表示密钥派生函数，输入一个比特串，输出一个klen长的会话密钥。