基于在线/离线技术的SM9-IBE加密方案研究

孙阳，陆仲达，赵加明，范明清

基于在线/离线技术的SM9-IBE加密方案研究

孙阳1，陆仲达２，赵加明1，范明清2＊

（1.齐齐哈尔大学 计算机与控制工程学院，黑龙江 齐齐哈尔 161006；
2.齐齐哈尔大学 机电工程学院，黑龙江 齐齐哈尔 161006）

基于SM9-IBE密码算法，提出了一种适用于轻量级设备的高效在线/离线加密方案，以解决轻量级设备加密重要数据的时效性问题。通过将复杂计算进行预处理实现加密轻量化，对方案进行安全性证明和时间性能分析，与传统的SM9-IBE算法相比，改进的SM9-IBE算法在保证安全性的同时提高了加密速度和轻量级设备的资源利用率，具有较好的安全性和时间性能。

SM9-IBE加密；
在线/离线；
轻量级设备

SM9密码算法在使用中存在加密速度慢的问题，研究人员从两个方面提出改进方案：提出对加密算法的优化方法，降低加密算法的计算复杂度；
通过辅助计算的方式，将大量复杂的计算交给第三方，以减轻在线加解密的计算量。文献[1]描述了SM9-IBE的技术规范并对其安全性进行分析，然而其中的双线性映射和指数运算消耗大量时间和资源；
文献[2]提出了双线性对处理方法以及BN曲线上点加法、点倍增等计算的优化方法，虽然提高了SM9算法的效率，仍然不适用于轻量级设备对数据加密；
文献[3]提出了基于身份基的在线/离线方案，为实现轻量级SM9-IBE加密算法提供了思路；
文献[4]实现了对SM9-IBE外包用户撤销的功能，具有有效性和实用性，提高解密效率，但是没有考虑到加密过程花费大量的时间代价；
文献[5-6]中将外包技术引入CP-ABE加密方案中，将加解密过程中的复杂计算外包给云服务器，降低了用户的解密计算量，然而加密过程仍然具有较大的时间和资源。为了提出更高安全性的轻量级的SM9-IBE加密算法，适用于轻量级设备对数据加密，提出基于SM9-IBE的改进加密算法。

根据文献[7]，传统的SM9-IBE加密算法中的指数运算的运行时间为10ms左右，双线性映射的运行时间为55ms左右，哈希运算的运行时间为13ms左右，消耗大量的时间和计算资源，难以应用在轻量级设备上，因此，本文提出了基于在线/离线技术的SM9-IBE加密方案，并对方案进行安全性证明和性能分析。

1.1 双线性映射

设1,2和G是阶为素数的循环群，其生成元分别是1,2。则双线性映射为12G，满足如下3个性质：

(1)双线性：",∈，∈Z，则(u,v)(,)=(,)；

(2)非退化性：(,)≠1；

(3)可计算性：对,∈，存在一个有效的算法在概率多项式时间（PPT）内计算(,)。

1.2 困难性假设

假设1 (DBIDH[1])：对于,,∈Z，给定元组（1,2,aP,bP,(1,2)）和（1,2,aP,bP,(1,2)），其中,∈{1,2}，DBIDH意味着区分两个元组是困难的。

假设2(Gap-k-BCAA1[1])：设,∈Z，1,2∈，给定元组(1,2,xP,0,(1,/1)P,…,(h,/h+x)P)，其中，h∈Z，∈[0,]，Gap-k-BCAA1判断是否存在一个有效的DBIDH算法计算出。

2.1 方案模型

本文方案的模型图如图1所示，包括3个实体：私钥生成中心（KGC）、外部设备（OEE）、加密实体（EE）和解密实体（DE）。KGC顺序执行本文方案的初始化算法（Setup）和私钥生成算法（KeyGen），OEE执行离线加密算法（Encoff），EE执行在线加密算法（Encon），DE执行解密算法（Dec）。

图1 在线离线SM9-IBE加密方案模型

如图1所示，KGC首先执行Setup算法，生成主密钥对（）和系统参数发送给加密阶段的OEE和EE。然后接收DE的标识（），通过执行KeyGen算法计算和得到解密私钥（）发送给DE。OEE执行Encoff算法，将复杂的加密运算在离线阶段进行预处理，得到的中间密文（C）发送给EE；
在线阶段EE执行Encon算法，经过轻量级的运算得到最终密文（）发送给DE。DE通过对进行解密。

2.2 方案实现

在传统的SM9-IBE加密算法中，EE执行双线性映射、哈希等加密运算，影响在线加密速度。通过将复杂运算交给OEE进行预处理，在线阶段EE执行轻量级的运算即可得到。通过KGC为DE生成私钥，最后，DEC执行解密算法。通过EE发送长度为mlen的明文给DE。1，2和G是阶为素数的循环群，:1×2→G为双线性映射，1是1的生成元，2是2的生成元，下面给出3个阶段的具体实现细节。

Setup：KGC执行Setup算法，为离线在线加密生成加密参数和，如算法1所示。

KeyGen：KGC执行KeyGen，为DE的生成解密私钥，如算法2所示。

算法2 KeyGen 1：计算2：当时，重新执行Setup算法 3：计算 4：计算

Encoff：OEE执行Encoff，对加密进行预处理得到中间密文，如算法3所示。

算法3 Encoff 1：随机选择 2：计算 3：计算， 4：输出离线密文

Encon：EE执行Encon，执行轻量级的加密运算，如算法4所示。

算法4 Encon 1：计算2：计算 3：计算, 4：计算和 5：输出在线密文C=()

Dec：DE执行Dec，对密文进行解密，如算法5所示。

算法5 Dec 1：从C中取出，验证是否成立 2：计算，3：计算4：令为最左边的mlen比特，为剩下的比特，若，则报错退出5：计算， 6：若，输出明文

引理：假设文献[1]的加密方案是ID-IND-CCA2安全的，则在线/离线SM9-IBE加密方案是ID-IND-CCA2安全的。

图2 安全证明模型图

Setup：攻击者A发送给挑战者B，B运行Setup，公开系统参数和，主私钥自己保留。

Phase 1：攻击者A可以向B进行如下查询：

(1)私钥查询：攻击者A发送标识给挑战者B，B执行KeyGen得到返回给A；

(2)加密查询：攻击者A发送明文给挑战者B，B首先执行Encoff得到C，然后执行Encon，得到返回给攻击者A；

(3)解密查询：攻击者A发送一个使用标识ID加密得到的密文C，挑战者B首先运行KeyGen得到对应的私钥d，然后运行Dec，得到明文M，返回给A。

Phase 2：与Phase 1阶段进行相同类型的查询。

如果攻击者A以不可忽略的优势赢得了游戏，则说明存在不是由挑战者A产生的密文，攻击者A产生的密文为A，挑战者B使用A攻击文献[1]的SM9-IBE加密方案，根据文献[1]满足ID-IND-CCA2安全，因此本文的加密方案满足ID-IND-CCA2安全，引理1证明完毕。

4.1 安全性能分析

表1 安全性能比较

4.2 时间性能分析

SM9-IBE加密方案中的复杂运算主要是群1，2和G上的模指数、双线性配对和哈希运算1，表2为本文方案与其他方案在计算性能上的比较，即每个加密方案中复杂运算的次数的比较，其中表示椭圆曲线上的双线性配对运算，表示域上的模指数运算，表示哈希运算。

表2 计算性能比较

由表2可知，与文献[5],[7]相比，本文的方案有明显的优势，将复杂的消耗大量时间和资源的双线性配对运算、模指数运算以及哈希计算进行预处理，轻量级设备在线阶段仅需执行少量的轻量级运算，即可完成加密操作，节省了大量的时间和计算资源，提高加密的速度和效率，因此，本文的方案在轻量级设备上是高效且实用的。

本文提出的基于在线/离线技术的SM9-IBE加密方案，将加密过程分为在线和离线两个阶段，在离线阶段，外部设备将复杂的、消耗大量资源的指数计算和双线性运算进行预处理得到中间密文，在线阶段仅执行轻量级加密操作即可得到完整的密文。最后对本文方案进行安全性分析和性能分析，本文方案在保证ID-IND-CCA2安全的同时，与其他方案相比，减少了轻量级设备的加密计算负担，提高了在线加密速度，适用于计算能力受限的轻量级设备。

[1] CHENG Z H. Security analysis of SM9 key agreement and encryption[C]//Information Security and Cryptology. Inscrypt 2018, Springer, 2019: 3-25.

[2] 王明东，何卫国，李军，等. 国密SM9算法R-ate对计算的优化设计[J]. 通信技术，2020, 53(09): 2241-2244.

[3] LAI J C, MU Y, GUO F C. Efficient identity-based online/offline encryption and signcryption with short ciphertext[J]. International Journal of Information Security, 2017, 16(3): 299-311.

[4] 王占君，马海英，王金华. 高效可撤销的身份基在线离线加密方案[J]. 计算机工程与应用，2020, 56(13): 114-119.

[5] SUN S Z, MA H, ZHANG R, et al. Server-aided immediate and robust user revocation mechanism for SM9[J]. Cybersecurity, 2020, 3(2): 178-199.

[6] 刘鹏，何倩，刘汪洋，等. 支持撤销属性和外包解密的CP-ABE方案[J]. 信息网络安全，2020, 20(03): 90-97.

[7] JI H H, ZHANG H J, SHAO L S, et al. An efficient attribute-based encryption scheme based on SM9 encryption algorithm for dispatching and control cloud[J]. Connection Science, 2021, 33(4): 1094-1115.

Research on SM9-IBE encryption scheme based on online/offline technology

SUN Yang1，LU Zhong-da2，ZHAO Jia-ming1，FAN Ming-qing2＊

(1.College of Computer and Control Engineering, Qiqihar University, Heilongjiang Qiqihar 161006, China；
2.College of Mechanical and Electrical Engineering, Qiqihar University, Heilongjiang Qiqihar 161006, China)

Based on the SM9-IBE cryptographic algorithm, an efficient online/offline encryption scheme for lightweight devices is proposed to solve the timeliness problem of encrypting important data by lightweight devices. By preprocessing the complex computation, the lightweight encryption is realized. Then, the security proof and time performance analysis of the scheme are carried out. Compared with the traditional SM9-IBE algorithm, the improved SM9-IBE algorithm improves the encryption speed and the resource utilization rate of lightweight devices while ensuring the security, and has better performance and practicability.

SM9-IBE encryption algorithm；
online/offline encryption；
lightweight equipment

2022-09-12

黑龙江省自然科学基金资助项目（LH2021F057）；
黑龙江省省属高等学校基本科研业务费科研项目（135509309）

孙阳（1999-），女，辽宁人，硕士在读，主要从事加密算法、信息安全研究，1052060225@qq.com。

范明清（1964-），男，硕士，副教授，主要从事智能控制应用研究，794701227@qq.com。

TP301

A

1007-984X(2023)01-0026-05