GM-T0130-2023 基于SM2算法的无证书及隐式证书公钥机制.docx

《GM-T0130-2023 基于SM2算法的无证书及隐式证书公钥机制.docx》由会员分享，可在线阅读，更多相关《GM-T0130-2023 基于SM2算法的无证书及隐式证书公钥机制.docx（16页珍藏版）》请在课桌文档上搜索。

1、IeS35.030CCS1.0华人民共和国1行业标准GMZT01302023基于SM2算法的无证书及隐式证书公钥机制Ccrtificatc1.cssandimp1.icit-ccrtificatc-bascdpub1.ickeymechanismsbasedontheSM2a1.gorithms2024-06-01魅2023-12-04发布国家密码管理局发布目次nttatttttatattatatattattatkatttattatattattIIT引言IV1范用12规范性引用文件13ttkttktatttkttktatttkttktatttkttktatttktB14符号和缩略谱24.1 符

2、号24.2 缩略语35机制参数和辅助函数35.1 概述35.2 橘网曲线系统参数453辅助函数45.4 用户标识信息46密钥生成机制及流程56.1 主密钥生成机制56.2 用户密钥时生成机制56.3 用户诙钥对生成流程56.4 刖户密钥对校验机制665用户密钥对校验流程77数字签名机制77.1 数字签名的生成机制77.2 数字签名的验证机制88公钥加密机制88.1 加密机制88.2 解密机制8附录A（资料性）机制数据示例9附录B（资料性）机制在附式证书应用中的应用示例15附录C（资料性）机制在工业互联网标识解析系统中的应用示例18附录D（资料性）密钥生成中心用户密钥的确定性生成方法21参考文械

3、22本文件按照GBjT1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草.本文件山密码行业标准化技术委员会提出并归1.1.本文件起草单位：深圳奥联信息安全技术有限公司、兴唐通信科技有限公司、国汽（北京）智能网联汽车研究院有限公司、国家工业信息安全发展研究中心、中汽数据（天部）有限公司、中国电力科学研究院有限公司、北京信安世纪科技股份右限公司、中国石油勘探开发研究院、北京汽车研究总院有限公司、北京数字认证IR份有限公司、北京国财信安科技有限公司、国家电网能源互联网技术研究院、中国测绘科学研咒院、中国科学院信息工程研究所、北京加电大学、中国大欣莫用科学技术研究总院仲限公司、

4、人利战电子技术有限公司、大唐移动通信设备有限公司、大唐高鸿数据网络技术股份有限公司、格尔软件股份有限公司、大唐电信科技股份有限公司、中国信息通信研究院、中国移动研究院、中安网脓北京技术股份不限公司、广州汽车集团股份行限公司汽车工程研究院、中汽研软件测评（天津）有限公司、联通智网科技股份有限公司、上汽通用五笠汽车股份仃限公司、握奇数擀股份方限公司、三未信安科技股份有限公司、中国联划中讯邮电咨询设计院有限公司、青岛国创智能家电研究院忏限公司、国家伯息安全技术研究中心、北京江南天安科技有限公司、博雅中科（北京）信息技术有限公司、安徽同天量子科技股份有限公司.本文件主要起猿人r程朝辉、万兆洋、刘建行、

5、除雪池、出万里、根珞、汪宗斌、冯梅，王冲华、袁岬.李志虎、马照亭、刘奇旭、诩儒、徐国爱、张永强、郑强、李迎、郑丽娟、王能娜、张金池、陈中林、周光涛、巩军、邵学彬、邓宇、徐晖、沈天君、于润东、田野、李增欣、何波、熊开新、张渊.车业蒙、王白媛、王亮、李冰、金添、忠泉、浦雨三、李雪雁、刘会议，A1.-Riyami和Paterson在2003年提出无证书公钥密5(Cenificate1.e除PUhIiCKeyCrjptography).无证书公税系统不依就数字证书验证用户的标识和公物梆定关系的真实性并且密件生成中心不具彳烹期委托功能.旷展后的无证书公钥密码模型和安全定义允许基于标准公的密码算法构造无证

6、书公到机制.陶证书(1mp1.iciCEifkate)不包括证书签发机构的答名且证书处理者需耍根据证书中的数据计算得出证出拥有者的公钥.本文件描述基子SM2算法构造的无证书公钥机制和整式证书公钥机制.本文件的发布机构提请注意.声明符合本文件时,可能涉及与第6章、第7章相关的Z1.201710792638.7专利的使用。术文件的发布机构对于该专利的其实性、有效性和范围无任何立场，该专利捋育人已向本文件的发布机构承诺,他愿乾向任何申请人在合理J1.无歧视的条款和条件下，就专利授权许可进行谈判.该专利持有人的声明已在本文件的发布机构倚案,相关怡总可以通过以下联系方式获得，专利持有人姓名I深圳奥联信息

7、安全技术忏限公司地址：深圳市宝安区宝兴路海纳百川B座16楼请注意除上述专利外，本文件的某些内容仍可能涉及专利本文件的发布机构不承担识别专利的责任.IN基于SM2算法的无证书及隐式证书公钥机制1a本文件规定期于SM2尊法的无证书及隐式证书公钥机制，包括密钥生成与校监机制、数字签名机制、公阴加密机制.本文件规定的数字签幺机制适用于商用率均应用中的数字签名和验证,加密机制适用于商用密码应用中的消息加解密.本文件规定的机制特别适合带宽和计算资诲受限的应用环境.2IK范性引用文件下列文件中的内容翊过文中的姬筱性引用而构成本文件必不可少的条款.其中，注日期的引用文件，仅该口期对应的版本适用于本文件:不注口

8、期的引用文件,其最新版本（包括所有的修收取）适用于木文件.GBT32918.12016信息安全技术SM2椭冏曲线公的密码算法第1部分：总则GBT32918.22016信息安全技术SM2描阈曲线公钢密码竟法第2部分，数字签名尊法GBT32918.42016信息安全技术SM2椭圆曲践公钥密码算法第4部分：公用加密灯法GBT32918.52017信息安全技术SM2椭阳曲坡公的密码匏法第5怖分r参数定义GBrI32905侑纪安全技术SM3率码朵淡尊法GBT32915信息安全技术：元序列Ri机性检测方法3和R和定义GBT32918.1、GBT329IG2、GBT32918.4界定的以及下列术语和定义适用

9、于木文件。3.1击期生成中心keygenerationcenter:KGC例於选择椭掰曲畿系统参数、生成主密钢并产生用户部分私包和声明公钥的可信机构.3.2标Hidentity由实体无法否认的信息加成，如实体的可识别名次、电子郎箱、身份证号、电话号码、街道地址等，可唯确定一个实体身份的信息.标识可进步包括其他辅助信息，如标识用途、标识有效期等.注：跳源：GRT38635.120203.1）3.3主由的masterkey处于无证书密码系统密件分层结构量顶层的密包.包括系统主私用和泰统主公的,其中系统主公的公开，系统主私钥由KGC秘密保存.3.4用户的声明公钥usersc1.aiadpub1.ic

10、key用于与椭回曲注系统参数、系统主公钥、用户的标识起计鸵用户实际公钥的公开但.注I用户的声明公的雌式证书中也称为公的还原数据.用iW0S4Mf1.U9r,Srea1.pub1.ickey由-H1.曲线系统、系统主公钥、用户的标识和用户的声明公的一起计算将出的公蜴值.注：用户实际公钥则IJ户私钥在指定制搬曲线系统参数下是对应血3.6证书认证机构certificateauthority;CA电子认证服务机构对数字证书进行全生命周期管叫!的实体。来源：GM1Z4()01-2()13.2.1453.7式证书imp1.icitcertificate包含用户标识、公钥还原数据和签发者标识等信息但不包含证

11、书认证机构数字签名的一种数据结构。3.8公审还JKjft1.Kpub1.ickeyreconstructiondata包含在隐式证书中用丁计匏还保用户实际公钥的数据.4符号和语4.1 m下列符号适用于本文件。A.B:使用无证书公馆密码系统的两个用户C:公钥加密的梏文d:用户A的部分私钥dA:用户A的私的E(F4):F,上柿I如曲线E的所有有理点(包括无穷远点0)组成的集合c:密码杂演算法作用于消息M以及相关前缀数据的输出值Fa:包含q个元素的有限域G：椭圆曲莲的一个基点，其阶为素数H.0：消息病要长度为V比特的密码杂凑算法HA:关于用户A的标识、部分椭圆曲线系统参数和系统主公钥的杂凑值ICA:

12、用户A的融式证书，其至少包括用户A的标识、公钥还睡数据和隐式证书彩发者标识IDA:用户A的标识KDF:密钥派生函数ks：KGC秘密,用于派生伪1.机数ms:系统主私用M:待签名消息或待加密消息M:侍脸证消息nux1.n:模n运算.例如,23mod7=2n：基点G的阶nJiUE(F.)的然因子0：椭圆曲线上的一个特殊点,称为无穷远点或零点,是椭冽曲线加法群的单位儿PPUb:系统主公初param:联)周曲线系统参数PA:用户A的实际公钥1A:用户A的声明公的q：有限域展中元素的数目tA:KGC为用户A生成的部分私钥UA:用户A生成的部分公钥a.b:F,中的元素，它们定义F,上的一条桶阴曲践EX1.

13、1.y:X与y的拼接，其中x、y可以是比特率或字节中XK,yg：点G的X轴值和y轴值x:顶函数，不小于X的一小整数.例如，。=7,8.3=9(rts):发送的签名(rs):收到的锭名kP:蜿圆曲戏上点P的k倍点即.A是正整数ENGparam1.M1PA):公钥加密豫法，其使用椭K1.曲线系统参数Param、公钥PA时消息M进行加密DEC(Pamm.C.dA):公钥解密算法，其使用肺隙曲战系统参数Param、私钊dA解密密文CSIGNparamA.M.dA):数字签名生成尊法，其使用躺圈曲线系统参数Pamm,杂出值ZA,私WdA对消息M进行签名并输出(r,s)VERIFY(param2A.P,M

14、.(s):数字卷名蛤证算法，其使用桶阳ItI践系统缶数Param、杂iffiZA,公钥PA对消息M的签名(As)进行验证并输出签名正确性4.2 缩略语下列缩略语适用于本文件.CA:证书认证机构(CCrtifiCQtCAuthority)COER:正则八位字A编码规则(CanoniCa1.OCtCt臼HrOdingRu1.es)GHR:球Hand1.C注册机构(Gbba1.Hand1.eRegistrj)KGC:密91生成中心(KeyGCnCnUiOnCenter)1.1.IS:本地HandIC务(1.oCaII1.und1.eService)5机制参数和睇助函的5.1概述本文件规定的公钥机制包

15、括密例生成与校验机制、数字签名机制和公钥加密机制.其中密钥生成与校脸机制包括主密钠的生成机制以及用户第钥对的生成与校险机制和流程，主密钥由KGC生成,包括系统主私钥和系统主公钥。用户的私钥和声明公钥由KGe和用户协同生成。用户公开其用户标识和向明公的，其实际公钥由椭圆曲线系统参数、系统主公钥、用户标识和用户的声明公钥根据本文件规定的方法计算生成.本文件规定的密钥生成机制是一种可用于生成除式证书应用中所需密钥数据的机制。密钥数据包括CA的容的对、用户公的还原数据和私物.校验机制可用于校验障式证书中用户公钥还原数据和私钥的正确性.总式证书用于分发用户标识、公钥还原数据等.无证书以及法隐式证|5的数

16、字签名机制和公钥加格机制分别基于标准的旗础数字蛤名算法(SIGN和VERIFY)和基础公初加率算法(ENC和DEe)构造，本文件规定军础数字签名舞法和基础MB(三M)机在式证书应用中的应用示例B.1胆本附录描述使用本文件中规范的密钥机制生成密成对和隐式证书以及使用使用签字机制保护消息的一个示例,本附录中的内容仅为参考，具体的国日规范由相关标准另行规定.一种可能的除式证书格式如参考文献中的定义:CertificateBase:=SEQUENCEversion)PcissuertoBeSignedsignatureJ核数据结构包含以下内容,Uint8(3),CcrtificatcTypc,Issu

17、eridentifier.ToBcSigncdCcrtificatc,SignatureOIyTIONA1.的签名。ToBeSignedCertificateidcraca1.dcriScricsVaIidityPericxIregionassurance1.eve1.appPcrmissionsCert1.ssuePermissionsCcnRcqucstPcrmissionsCanRequestRoIIoverencrJir:=SEQUENCE(足证1缁式的版本号，此字段设置为“3”.WPe:指示证书是显式的崛式的还是其他的.对于IS式证书，使用木文件规定的机制时此字段设置为I。迎灯证书的

18、签发方，IoBeSigned:证行的内容.signature:包含在显式证竹中，它由ISSUCr字段中标识的签名者在IOBCSigned的散列上计比Certificatc1.d.HashedkB.CrIScrics,Va1.idityPeriodtGcographicRcgionOPTIONA1.,Subjec(AssuranceOIyTIONA1.SequerweOfAidSspOPTIONA1.S0uenceOfidGroupPe11nissionsOPTION1.ScqucnccofAidGmuppcrmissionsOPTIONA1.,NU1.1.OPTIONA1.Pub1.icEnc

19、ryp1.knKeyOPTION1.VerificationKeyIndicator.(WITHCoMPoNENTS,叩PPCnniSSionSPRHSENT)1证书.e）如果实体在证拈申请过程中生成了加密公私宓包对（Q,c）,并在证出申请中提供加密公司Q.则使用公钥Q加密IA和陷式证书形成密文C后返回给实体.如果实体未提供加密公钥Q.则使用UA作为加密公的执行加密运算，将加密结果返回实体。0实体使用解密私物C（如JI1.Q=UA.0c=dA）解密C）中返回的密文C获得IA和1.式证书，8）实体执行6.2中的步骤A3fIA4计算完悠签名私钥dA并从式证的的数据域verifyKey-Indica

20、tor获得声明公钥WA;h）实体按照6.4现定的步骤验证用户密钥时的合法性，进而蛤证除式证书的合法性.8.4 使用式证书1*1R签名消息敷的过程在儒要时消且数据进行签名时，实体遵循71规定在降式证书系统中的数字签名过程执行数据签名计算.8.5 使用式证书Im1.筌名的过程实体会签消息签名的基本过程如F：3）按照B.3.2的方法根据隐0证书内容形成IDA.从VcrifyKcyIndicator提取公司还IS数据作为WA.从CA的根证书中提取公制msG作为PPUb;b）根据7.2规定在RS式证书应用中的验证拄名过程验证数字蓄名的有效性。用量CGMft)机在工业互附幅R制用跋中的应示例G1.秘本附录

21、描述无证书公钥机制的种应用示例，示例描述在工业互联网标识解析系统中使用本文件中规范的密钊机制生成密物对以及使用数字签名机制进行实体认证、保护标识解析数据安全的一种可能的方式本附录中的内容仅为参考，具体的应用规范由相关标准另行规定。C2口ESWWSiWWi系统及相关密蝌工业互联网HWd1.C标识解析系统7管理Hand1.e命名空间中的Hand1.c.可用于工业互联网的标识解析，Hand1.e系统提供两类服务：HandIe解析服务和HandIe管理服务。HandIe解析过程包括两个主要过程：1)宜询全后jHand1.e注册机构(GHR).解析HandIe中的命名权威机构的服务信息。2)根据过程D的

22、结果查询本地Handk服务(1.HS).解析Handh值.Handie管理服务用于创建、更新、删除HandIe的值记录。Hand1.e系统至少包括3种组件：a)全局Hand1.e注册机构(GHR):以命名权威机构的Hand1.C方式管理和解析本地HandIC服务的服务信息；b)本地Hand1.e服务(1.HS):以HandIe方式管理和解析其负贵命名空间下的Hand1.e;c)客户端：查询或管理Hand1.C以及Hand1.C的值记录.按照访问权限的不同，Hand1.e系统中HaIKI1.C值记录可分为两大类：公开访问Hand1.e值记录与受控访问Hand1.e值记录。公开访问Hand1.e假

23、记录没有数据机密性要求，但可具有数据完整性和数据源更实性的安全要求。例如，命名权威机构HandIe值记录包括服务站点列表信息，该信息数据的完整性和数据源真实性时HarK1.Ie系统的安全至关重要，对于查询或者管理需要额外授权的受控访问Hand1.e值记录时需要认证客户端的身份并根据访问控制权限要求遂行授权.这类受控访问Hand1.e值记录可陇具有敏感性，操作过程可能还需要保护数据的机密性和完整性。Hand1.C系统至少有以下三类密例：a)GHR的公私密钥对：用于为命名权成机构Hand1.e解析提供数据完整件和数据源真实性：b)1.HS的公私密物时：用于为本地HandIe解析提供数据完整性和数据

24、源正实性；C)HandIC的管理密钥：用于访问受控访问Hand1.C时的身份认证,安全会话建立过程的身份认证、会话密钥传递等，GHR的公私密钥对由GHR的管理机构生成.通过Hand1.CPNADNA”的VHS_SrnZ类型HandIC值方式对外发布.1.HS的公私密钥对由1.HS的管理机构生成.1.HS的公钥通过Hand1.C*0.N,1.HSN.A.(如“O.NA/IO)的类型IkmdIe值方式对外发布，其格式与GHRf1.J中公钥相同.HandIC客户端查询”0.NA/I(F的VHS_S1.TEHand1.c值时可要求GHR对杳询响应进行数字签名。客户端收到查询结果后，IffcJIjGHR

25、的公钥验证GHR的签名：若签名有效，则接受1.HS的公钥访问受控的HandIe时席要进行身份认证,Hand1.e系统使用类型Hand1.e值定义某个HaMe的管理权限以及进行身份认证使用的密钥Hand1.e引用.类型Hand1.e值中的数据域AdmmRcf指向进行客户端认证的Hand1.C管理密钥的HandIC和索，孔ISC3全局HandkaJB机制tff1.三4海序签法GHR的公私密钥对可采用第6章规定的密的生成机制及流程生成，生成过程采用GHR的HandIe“0.NAaNA”作为IDA.按照参考文献8的规定，生成的声明公钥WA可通过“0.NA，QNA”Hand1.e的HS_S1TE记录中V

26、pUb1.iCKeyReCOard数据域发布。参考文献7：中规定VPubIicK-cjRxord域的格式为：VPubIiCKCyRcCoE=4字节整数UTRf编码的密钥类如2字节保馅公钥数据字节数组。采用本文件生成的密钥时.UTFS编码的密钥类型位为Ug编码的算法标识“ECSSM2”,公用数据字节数组为WA按GBT35276规定的椭圆曲践点编码方式编码的结果值，GHR需要时HandIe系统中的数据执行数字签名操作时按照第7章规定的机制生成数字签名。验筌方通过查彻“0.NA/0.NA的HS_SITE记录中的VPUb1.iCKCyRCeOrd数据域获得WA,使用“ONAQN3”作为IDA.按照第7

27、章规定的机制险证GHR生成的数字究名的有效性。C.4本地HHndkjM依用无证书EE名机制的方法1.HS的公私密钥对可采用第6章规定的密钥生成机制及流程生成，采用1.HS的HaMe如“O.NA，Kr作为IDA.按照参考文蛾的规定，生成的声明公钥WA可通过O.NAJ（HandIC的HS-SITE记录中的Pub1.icKcyRccoaE数据域发布，发布方式见C.3.1.HS需要对Hand1.e系统中的数据执行数字签名操作时按照第7章规定的机制生成数字给名.验签方通过查询1.HS的Hand1.e如-0.NA/10的HS_SITE记录中的PUb1.iCKeyReCord数据域获得WA,使用“0.NA/

28、10”作为IDA,按照第7章规定的机制验证1.HS生成的数字篮名的有效性，CS客户用无证书敷字签名机的方法按照参考文献19）的规定Hand1.e客户端在查询受控访问Hand1.e（记录或者管理Hand1.e及Ha1X1.1.e值记录时需要进行身份认证。HandIe客户端可采用第6*规定的密钥生成机制及流程牛.成其玄钊对。HandIe客户端使用的标识可根如;Handie系统的能要进行单独规定，例如，在GHR系统中管理某1.HS的Handk时,客户为该1.HS的管理者,此时客户端可采用1.HS的Hand1.C如-0.NA/10”作为IDA:在某1.HS中，1.HS的客户可采用如眦箱地址、HaIUn

29、e管理员账号等其他类型标识作为作为IDA。HandIe系统使用VHS_ADMIN类型Hand1.e值定义一个Hand1.e的管理权限以及进行身份认证时使用的密钥HandIC引用。HS.ADM1N类型HandIC值中的VAdminRG数据域指向进行客户端认证的Hand1.e管理密钥的Hand1.e和索引.采用本文件的机制进行身份认证时，AdminRef指向的Hand1.e值记录为标识集合类型记录VHS_IDSET。HSJDSET类型Hand1.C值包括数据域：idset,b1.kse1.等，idset数据域指定了允许身份认证的标识集合。VidSeO域格式如K：k1.sc1.=4字节整数UTF-8

30、掰码的标识列表.4字节整数为标识列表中标识的个数.标识列表包括一个或多个UTF8编码的标识。标识支持通配符号*或?,其中*可匹配一个或多个字符，？再配一个字符.例如.*.adminnetwork可匹配a1.ice.admin由Ie1.Work或者bob.admi0ne1.wurk等字符:adrnin?new）rk则可匹配admin2nework或adminXne1.work等字符串。b1.kse1.指定了禁止身份认证的标识集合,b1.kseo数据域的格式与Vidse相同。客户端进行身份认证的具体过程遵循参考文献：91中的规定,身份认证时，1.HS首先检杳客户端标识是否在k9中，如果不在，则拒绝

31、其身份认证：进一步检查客户帮标识是否在WksQ中，如果作,则拒绝其身份认证,身份认证过程涉及数字签名与验证的计算遵循第7章的规定.采用本文件的生成的数字签名的编码可采用如下ASN.1的常码格式：ECS_SIGN：=sequencerINTEGER.sINTEGER.WOCTETSTWNOOPTIONA1.)是客尸嫡心明公物UA按其中r与S是第7章规定的数字签名机制的卷名输出结果.GBT35276规定的椭阳曲线点编码方式编码的结果值.射量D(Mtt)宙胡生Jt中心用户需的定性生成方深D.1富明牛.成中心根据用户提供的标识及部分公钥生成确定的部分私苗以及声明公期时,可采用本附录的方法，D.2宙IH

32、生成中心生成嵬性用户国物的方法在6.I煨定的主密钥生成机觎中，密钥生成中心还生成Ki机进取的长度至少为256的比特*ks.在6.2规定的用户密钥对的生成机制中,步骤KGC2中的随机数W可采用如卜方式生成，按GBT32918.12016中4.2.6和4.2.5给出的方法符UA的坐标XU、yu的数据类型转换为比特串,计算产生w=KDF(HA1.XuUyu1)ks.8(5(1.og2n*327)modn.其,KDF的输出按GB1132918.12016中4.2.4和4.2.3蛤出的方法转换为整数再进行模运算,若W=0,则运算终止.密物生成中心生成钝分私税以及声明公物的其他步躲遵照6.2的规定.加密密

33、的对生成过程可由KGC代件A生成UA并计算WA和dA后利WA和dA安全地分发给用户A,若用户每次生成加密密钥对时使用的标识信息均不相同，则KGe可进步设UA为O,采用确定性密钥生成方法生成W并计机WA和dA后格WA和dA安全地分发给用户A，考文Itt11GB.T1988信息技术信息交换用七位编码字符集2GB35276信息安全技术SM2宙码算法使用规范31GBT38635.12020信息安全技术SM9标识密码算法第1部分：总则(4JGM.T0090标识密码应用标识格式规范5GM,Z40012013密码术语6YD,T3957-2021基于1.TE的车联网无线通信技术安全证书管理系统技术要求7RFC

34、3650Hand1.eSystemOverview8RFC3651Hand1.eSystemNamcspaccandSCrViCCDctini(ion9RFC3652Hand1.eSySIemPtoco1.(ver2.1)Secifiation110ITU-TX.696Informationtechno1.ogyASN.Iencodingru1.es:SPCCifiCatiOnofOctetEn-COdingRuIcs(OER)IIS.AI-RiyamiandK-G-Paicrson-Ccrtificatc1.cssPub1.icKeyCryptographyJnProC.ofAsi-acryp2OO3.1.NCS2894.pp.452-473.2003.