国密SM9中R-ate双线性对快速计算

第45卷第6期Vob45No.62019年6月June2019计算机工程Computer Engineering-安全技术-文章编号：1000-3428(2019)06-0171-04文献标志码：A中图分类号：TP399国密SM9中R-atr双线性对快速计算甘植旺1，廖方圆2(1.中国电子科技集团公司信息科学研究院，北京100086；2.中国电子科技集团有限公司，北京100846)摘要：R-ate是国密SM9标识密码算法中一种重要的双线性映射,其计算性能对SM9密码体制的应用至关重要%为提升R-ate双线性对的计算效率，提岀一种快速计算算法％通过对BN曲线上R-ate双线性对的计算过程和其中涉及的逆运算原理进行分析，改变计算中同构映射的作用顺序，将大部分逆运算从大特征域转到小特征域，以降低逆元求解的计算损耗％以SM9的系统参数为计算实例进行实验，结果表明，该算法的运行时间低至1.8.105mt%关键词：国密SM9;双线性对;R-ate计算；标识密码算法；椭圆曲线对开放科学(资源服务)标志码(OSID):UHj中文引用格式：甘植旺，廖方圆•国密SM9中R-ate双线性对快速计算:J).计算机工程，2019，45(6)：171-174.英文弓丨用格式:GAN Zhiwang，LIAO Fangyuan.Rapid calculation of R-ate bilinear pairing in China state cryptography standard SM9(J).Computer Engineering，2019，45(6):171-174.Rapin Calculation of R-ate Bilinear Pairing inChina State Cryptography Standard SM9GAN Zhiwang1，LIAO Fangyuan2(1$Information ScienceAcademy ofChinaElectronicsTechnology Group Corporation，Beieing100086，China；2$China Electronics Technology Group Corporation，Beieing100846，China)+Abstract]R-ate is an impoSant bilinear mapping in the Identity-Based Cryptography(IEC)algorithm of China state cryptography standard SM9.Ct computational performance is very impoSant to the application of SM9cryptosystem.To improve the computational efficiency of R-ate bilinear pairing，a fast computational algorithm is proposed.By analyzingthe computation proces s of R-ate bilinear pairing on BN curvet and the involved principle of inverse operations，the orderin which isomorphic mapping takes effect in computation is changed，and most of the inverse operations are transferredfrom th+larg+f+atur+domain to sma l f+atur+domain to r+duc+th+computation loss of inv+rs++l m+n tsolu tion.Th+ systm param+trs of SM9ar+tak+n asan+xampl to ca r y ou t+xp+rim+n ts.R+sul ts show tha t th+running tim+ofth+ proposed algorithm is only1.8x105mt.+Key words]China state cryptography standard SM9；bilinear pairing；R-ate computing；Identity-Based Cryptography (IEC)algorithm；aiiptic curve pairingDOn：10.19678/j.issn.1000-3428.00541230概述根据加密过程与解密过程的密钥是否相同，密码体制可以分为对称加密体制和非对称加密体制。

非对称加密体制⑴于'976年被提出，其拥有完全不同的加密密钥和解密密钥，具有算法性能强、安全性高的特点，通常应用于对称加密过程的密钥加密％典型的非对称密码体制包括RSA、Elgamal、ECC等［2'3］%为保证公钥信息的真实性，非对称加密一般需要引入可信第三方认证中心(CeSificate AuthoSty，/A)o在每次加解密的过程中，用户都需要向CA中心申请认证,通过CA中心发放CA证书以确认通信双方的可信性。

CA证书包含公钥信息、用户注册信息、CA签名等认证信息。

因此，在传统的非对称加解密过程中，CA认证中心充当加解密双方的信任媒介，认证过程的通信量大小也直接影响加解密的效率%为解决由非对称加密体制高频认证引发的通信堵塞问题，文献［5］提出标识密码(Identity-Based基金项目：中国电科网络安全和信息化行动计划项目％作者简介：甘植旺(1988―)，男，工程师、博士，主研方向为网络与信息安全；廖方圆，高级工程师收稿日期：2019-03-06修回日期：2019-04-17E-mail:ganzhiwang@172计算机工程2019年6月15日Cryptography,ITC)的概念，并设计一种基于标识的签名算法％文献(6］使用椭圆曲线对构造一种标识密钥共享方案，文献(7-8］先后提出基于椭圆曲线对的ITC算法。

在ITC算法中，密钥生成中心(Key Generation Centr,KGC)通过随机数生成主密钥，在主密钥与用户公开标识的基础上生成私钥，而用户公钥由其公开标识唯一确定。

用户的公开标识可以是用户昵称、邮件地址、电话号码等公开信息，无需经过第三方交换与复杂运算。

与基于证书的非对称密码体制相比,IBC体制能够简化公钥密码系统的密钥管理环节，减少公钥认证的通信量，降低真实性认证成本,具有易部署、易管理的优点，因此，在互联网、物联网等密码服务领域具有广阔的应用前景［9'10］%我国国家密码管理局于2008年正式颁布商用标识密码算法型号:SM9(商密九号算法)，并于2016年3月28日发布并实施SM9标识密码算法标准［11L2］%国密SM9标识密码算法是一种基于椭圆曲线双线性对的商用标识密码标准％双线性对是一类具有非退化性的二元映射，常见的双线性对有Weil对、Tate对、R e te对［13L5］等％双线性对计算是SM9标识密码算法的关键步骤，其计算效率决定着整个密码体制的效率％双线性对的计算量巨大,Miller算法［16］是计算双线性对的有效算法％文献［17-19］通过构造具有特殊结构的椭圆曲线、减少Miller算法中的循环次数与扩域中的运算次数、优化幂乘运算等来优化双线性对计算％文献［20］提出一种新的R—te对参数选择方式,其通过降低Atel方程的域特征来减少Miller算法的循环次数,从而提升计算效率％本文对SM9中 BN(Ba r eto and Naehr0g)曲线上的R—S双线对计算进行研究,利用同构映射的性质，将双线性对计算中涉及的逆运算从大特征域转到小特征域,以减少扩域中的逆运算次数,提升R—o双线对的计算效率％1有限域与椭圆曲线1-1素域设7表示素数,记集合J p=10,1，…,p-12%对于55,6"J p,分别定义J p上的加法运算和乘法运算,如下:5+6=(5+6)mod p5-6=(5-6)mod p根据上述运算定义，且0和1分别为J p的加法单位元和乘法单位元，可以得出J p在上述加法和乘法定义下封闭％定义1集合J p是特征为p的素域％1-2有限域记J p［—是定义在素域J p上的关于-的多项式集合，设<—"J p［—为素域J p上的8次不可约多项式。

记J p”为J p［—模<—的剩余类，J p”是由8-1次多项式组成的集合％对于5"J””，5= 58一;—-1+58_2—「23…35］—350,5可以简记为(58-1，58-2，…,51,50)%对于55=( 5...-1,58一2，...，51,50),6=(6 (1)6『2,-,6］,60)"J””,定义J””上的二元运算如下：536=(5...-136...-1,5”一236”一2， (51361)50+60)2(”-1)5-!(八M+0=5«-6N) mod<—)J p”根据加法和乘法构成域，称J p”为含有卩”个元素的有限域％根据上述运算定义,则0和］分别为有限域J p”的加法单位元和乘法单位元。

记J p*”= J p”\|02，有以下性质：性质1J#”关于乘法构成循环群％性质255"J；”，5P”-1=1%性质355"J#”，5-1=5p8-2%性质3给出在有限域上求解逆元的一种计算方法%由性质3可知,有限域上的逆元运算可以转化为指数运算，参数8的取值越大，逆元求解的运算量越大％算法1为一种逆元求解算法伪代码％算法145)输入5"J p#”输出5-11•分解p'-2=!F2t，其中，i=12.令x=a3•对于i从L-1到0，执行：1)x=x22)若i t=1,贝勺x=a*x4.输出x对于有限域J p”上的非零元素5,若使用算法1进行逆元求解运算，则其时间复杂度为Id(p”-2)%1-3椭圆曲线设p>3是素数，5、6"J””，满足453+2762( 0,有：*：.2=—35—+6为在J p”上定义椭圆曲线方程，将*上的无穷远点记为O%则有：*(J p”)=1(—.)72=—+5—+6,—."J p”2U10定义*(J p”)上的加法运算规则如下：1) 57"*(J p…),7+0=0+7=7%2) 57=(—.)"*(J p»),-7=(—,-.),7+ (-7)=O%3)57］=(-,.］)"*(J p”)\02,72=(—2,.)" *(J p”)\02%记：入=<21」,—1(—3—1+52.1,12,71+72(0则7]+72=(—3,.3),其中有:第45卷第6期甘植旺，廖方圆：国密SM9中R—te双线性对快速计算173-3='2--1--2].3='(-]--3)-.]性质4*(J”)关于上述加法运算规则构成交换群％*(J”)上的加法运算在求解因子'时需要进行除法运算，此处的除法运算相当于先求除数逆元，然后再做乘法％参数8的取值越大，除法运算与加法运算的运算量也越大％2BN曲线上的R-ate双线性对对于BN曲线(2])*：.2=-3+6，曲线*存在定义在J2上的扭曲线*'：.2=-3+06，其中,0"©，且满足%/28J2，%/38J2%BN曲线上的R-ate是SM9密码算法中的一类重要双线性对[11]，改进并降低R-ate的运算量是提升SM9算法应用效率的重要途径％$：(-,.)7(0-]/3-，0-]/2.)为*到*的同构映射%定义1(Q#:(-，.)7(-1，-1)，G nq(7#: *(J12)7J12%则BN曲线上的R-ate双线性对可以由算法2进行计算％&壮(7)的详细计算不影响本文算法的过程，故此处不再赘述，其具体计算可以参见文献[1']%算法2e(7，Q)输入7"*(J)，Q"*(J”,)，整数5，%输出/"J"1.分解a=i i a i2s，其中，-l=12.令Q=$(Q)，T=Q，f=13.对于i从L-l到0，执行：1)f=f2-g T，T(P)，T=T+T2)若-j=1，则f=f•g T，Q(P)，T=T+Q4.令Q i="p(Q)，Q2=-"2(Q)，计算：1)f=f•/t，Q](P)，T=T+Q'2)f=f•g；，q2(P)，T=T3Q25.输出3算法改进由于0/28J12，0①8J12，因此$运算需要在J12的6次扩域J12下进行，则对于点Q"*(J12)，有$(Q)"*(J12)%算法2的计算都在*(J]2)下进行，在步骤3中计算椭圆曲线上点的加法时，涉及有限域上点的逆运算％根据性质3，计算有限域上的逆元需要进行指数为1”-2的幂乘运算％因此，算法2中的椭圆曲线点运算涉及大量的51'2-2运算，计算效率极低％注意到映射$是*'(J12)到*(J12)的同构映射，对于5-,."*'(J12)，都有$(-)+$(.)= $(-+.)，因此，可以先在*'(J12)中进行点加法运算，在计算完成后再映射回*(J12)%通过改变同构映射的顺序，将算法2步骤3中涉及的点加运算所在的域特征从112改为12，将一次*(J]2)中的加法改为一次*'(J12)中的加法和一次乘法映射，从而大幅缩短算法的运算时间％改进算法伪代码如下：算法3e_8(7，Q)输入7"*(J)，Q"*'(J”,)，整数5，%输出/"J"1•分解-=!f2t，其中，1='2.令Q'=$(Q)，T=Q，f=]3.对于i从L-]到0，执行：1)；=$(T)，f=f•g i,T(P)，T=T+T2)若-j=1，则T=$(T)，f=f•g；P)，T=T+Q4.令Q1="p(Q')，Q2=-"2(Q')，T=$(T)，计算：])f=f•g；，Q'(P)，T=T+Q12)f=f•g；，q.(P)5.输出4性能分析由于算法3中步骤3、步骤4所涉及的椭圆曲线加法运算是在域J,上进行，其运算量主要来自椭圆曲线上的点加运算％根据1.3节的分析可知，椭圆点加运算涉及有限域上的匀速逆元求解％如使用算法1进行逆元运算，则算法2步骤3中单步循环涉及的点逆运算复杂度为0(lb(112-2))%算法3通过改变同构映射的作用顺序，将步骤3中涉及的点逆运算从大特征域转换到小特征域，使其中的点逆运算从51'2-2变为51%-2，单次点逆运算时间复杂度从0(lb(112-2))降低到0(lb(12-2))，且算法3未增加点逆运算次数其时间复杂度也从0('•lb(112-2))降为0('•lb(12-2))%以SM9给定的系统参数为例进行实验比较与分析，其中，椭圆曲线方程为=-3+5，扭曲线参数0为槡一%为方便结果展示，下文的参数如无特别说明，都是使用'6进制进行表示，左边为高位，右边为低位%1)基域特征1：B640000002A3A6F1D603AB4F F58EC74521F2934B1A7AEEDB E56F9B27E351457D2)整数5：00000002400000000215D93E3)整数%：B640000002A3A6F1D603AB4F F58EC74449F2934B18EA8BEE E56EE19C D69ECF254)点7：(-7，.)-7：93DE051D62BF718F F5ED0704487D01D6 E l E4086909DC3280E8C4E4817C66DDDD.7：21FE8DDA4F21E607631065125C395BBC 1C l C00CB FA6024350C464CD70A3EA6165)点Q：(-Q，.q)-Q：(9F64080B3084F733E48AFF4B41B56501 1CE0711C5E392CFB0AB1B6791B94C408，29DBA116152D1F786CE843ED24A3B573 414D2177386A92DD8F14D65696EA5E32) .Q：(69850938ABEA0112B57329F447E3A0CB174计算机工程2019年6月15日AD3E2FDB1A77F335E89E1408D0EF1C25,41E00A53 DDA532DA1A7CE027B7A46F741006E85F5CDFF073 0E75C05F B4E3216D)实验使用的计算机CPU为酷睿S—510U,操作系统为windows7旗舰版%分别使用算法2、算法3进行计算，所得到的结果e(7,Q)与e_8(7,Q)完全一致%算法2的计算时间为339956ms,而本文改进算法3的运行时间仅为184418ms,时间缩短了45.75%%5结束语本文提出一种R—o双线性对快速计算算法，通过改变R—w双线性对计算过程中所涉及的同构映射作用顺序，将其中的椭圆曲线加法运算从大特征域转到小特征域，从而缩短R—w双线性对的计算时间。