《信息安全技術(shù) SM9標(biāo)識(shí)密碼算法 第1部分：總則-編制說(shuō)明》

一、工作簡(jiǎn)況

1、任務(wù)來(lái)源

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，由國(guó)家信息安全工

程技術(shù)研究中心牽頭編制《信息安全技術(shù)SM9標(biāo)識(shí)密碼算法第1部分：總則》（國(guó)

標(biāo)計(jì)劃號(hào)：2017xxxx-T-xxx）。

2、標(biāo)準(zhǔn)編制的主要成員單位

項(xiàng)目成員單位主要有：深圳奧聯(lián)信息安全技術(shù)有限公司、北京國(guó)脈信安科技

有限公司、武漢大學(xué)、上海交大、中科院信息工程研究所、北方信息技術(shù)研究所

等單位。

3、參與人員

主要起草人包括陳曉、程朝輝、葉頂峰、胡磊、陳建華、路貝可、季慶光、

曹珍富、袁文恭、劉平、馬寧、袁峰、李增欣、王學(xué)進(jìn)、楊恒亮、張青坡、馬艷

麗、浦雨三、唐英、孫移盛、安萱。

其中陳曉、程朝輝、葉頂峰、胡磊、陳建華、路貝可、季慶光、曹珍富作為

國(guó)內(nèi)早期IBC標(biāo)識(shí)密碼算法技術(shù)的研究者，陳曉、程朝輝、馬寧、馬艷麗等作用

SM9密碼算法的主要研制者，陳曉、馬寧、袁峰、李增欣、王學(xué)進(jìn)、楊恒亮、張

青坡、浦雨三、唐英、孫移盛、安萱是標(biāo)準(zhǔn)的主要編制者。袁文恭、劉平是責(zé)任

專家。

4、主要工作過(guò)程

1)2013年初國(guó)家密碼管理局給國(guó)家信息安全工程技術(shù)研究中心下達(dá)了研制

《SM9標(biāo)識(shí)密碼算法》GM標(biāo)準(zhǔn)的任務(wù)。2013年9月到2014年5月，包括以

下四個(gè)方面工作。

——IBC調(diào)研：調(diào)研2007年以來(lái)，IBC的相關(guān)研究新進(jìn)展。

——曲線選擇：根據(jù)最新的研究進(jìn)展，確定適于雙線性對(duì)高效實(shí)現(xiàn)的、安全

的橢圓曲線。

——示例實(shí)現(xiàn)：完成新的曲線選擇，采用SM3為密碼雜湊函數(shù)、SM4為對(duì)稱加

密算法的條件下，雙線性對(duì)的標(biāo)識(shí)密碼算法的軟件實(shí)現(xiàn)。

——文本修訂：格式轉(zhuǎn)成GM格式；并吸納新的研究結(jié)果。

經(jīng)過(guò)上述四方面工作，完成了SM9標(biāo)準(zhǔn)文本的GM格式征求意見稿。

1

2)2014年5月到2015年11月，主要任務(wù)是意見征集和文本修改。經(jīng)過(guò)項(xiàng)目組

多次會(huì)議討論；同時(shí)通過(guò)信函審查方式征求專家委員意見；跟蹤應(yīng)用單位，征集

工程實(shí)現(xiàn)過(guò)程中的意見。結(jié)合上述意見，再次研究討論，修改文本，形成GM格式

標(biāo)準(zhǔn)文本送審稿。

2015年11月11日，國(guó)家密碼管理局組織召開密標(biāo)委主任辦公會(huì)，對(duì)《SM9標(biāo)

識(shí)密碼算法》GM標(biāo)準(zhǔn)文本進(jìn)行審核。

2016年4月作為密碼行業(yè)標(biāo)準(zhǔn)GM/T0044-2016正式發(fā)布。

3)2017年1月至4月，隨著我國(guó)商用密碼的發(fā)展和國(guó)際化戰(zhàn)略，SM系列密碼

算法標(biāo)準(zhǔn)相繼申報(bào)國(guó)家標(biāo)準(zhǔn)，SM9標(biāo)識(shí)密碼算法標(biāo)準(zhǔn)開始申報(bào)國(guó)標(biāo)，

4)2017年5月通過(guò)國(guó)標(biāo)立項(xiàng)，8月完成草案稿。

5)2017年8月，在對(duì)附錄E算法示例進(jìn)行詳細(xì)驗(yàn)證過(guò)程中，發(fā)現(xiàn)了以下問(wèn)題：

——13頁(yè)A.2，原文為3次根號(hào)下根號(hào)-2，改為sqrt(sqrt(-2))

——30頁(yè)D.1.4.2，原文為假設(shè)約化多項(xiàng)式為f(x)=x^2+n,改為f(x)=x^2

-n

——34頁(yè)E.1原文為其輸入是長(zhǎng)度小于264的消息比特串，改為2^64

更新附錄E.3密鑰交換數(shù)據(jù)。

其中，附錄E.3密鑰交換數(shù)據(jù)中的將hid的值從0x02改為0x03，避免了隱含增

加一種密鑰類型的問(wèn)題，同時(shí)修改了算法示例數(shù)據(jù)。編制組將問(wèn)題以書面形式報(bào)

送給了陳曉博士和國(guó)密局標(biāo)準(zhǔn)處，得到認(rèn)可。

6)2017年10月，在信安標(biāo)委2017年第二全體會(huì)議工作組會(huì)議中，與會(huì)專家

和工作組對(duì)SM9密碼算法系列標(biāo)準(zhǔn)的內(nèi)容進(jìn)行了調(diào)整，將本標(biāo)準(zhǔn)附錄E算法示例部

分去掉，調(diào)整到《信息安全技術(shù)SM9標(biāo)識(shí)密碼算法第2部分：算法》中。

7)2017年10月經(jīng)修改后，形成征求意見稿。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題

1、標(biāo)準(zhǔn)技術(shù)研制依據(jù)和論證過(guò)程

A.Shamir在1984年提出了標(biāo)識(shí)密碼(Identity-BasedCryptography)的概

念，在標(biāo)識(shí)密碼系統(tǒng)中，用戶的私鑰由密鑰生成中心(KGC)根據(jù)主密鑰和用戶標(biāo)

識(shí)計(jì)算得出，用戶的公鑰由用戶標(biāo)識(shí)唯一確定，從而用戶不需要通過(guò)第三方保證

2

其公鑰的真實(shí)性。與基于證書的公鑰密碼系統(tǒng)相比，標(biāo)識(shí)密碼系統(tǒng)中的密鑰管理

環(huán)節(jié)可以得到適當(dāng)簡(jiǎn)化。

1999年，K.Ohgishi、R.Sakai和M.Kasahara在日本提出了用橢圓曲線對(duì)

(pairing)構(gòu)造基于標(biāo)識(shí)的密鑰共享方案；2001年，D.Boneh和M.Franklin，以及

R.Sakai、K.Ohgishi和M.Kasahara等人獨(dú)立提出了用橢圓曲線對(duì)構(gòu)造標(biāo)識(shí)公鑰

加密算法。這些工作引發(fā)了標(biāo)識(shí)密碼的新發(fā)展，出現(xiàn)了一批用橢圓曲線對(duì)實(shí)現(xiàn)的

標(biāo)識(shí)密碼算法，其中包括數(shù)字簽名算法、密鑰交換協(xié)議、密鑰封裝機(jī)制和公鑰加

密算法等。

橢圓曲線對(duì)具有雙線性的性質(zhì)，它在橢圓曲線的循環(huán)子群與擴(kuò)域的乘法循環(huán)

子群之間建立聯(lián)系，構(gòu)成了雙線性DH、雙線性逆DH、判定性雙線性逆DH、-雙線

性逆DH和-Gap-雙線性逆DH等難題，當(dāng)橢圓曲線離散對(duì)數(shù)問(wèn)題和擴(kuò)域離散對(duì)數(shù)問(wèn)

題的求解難度相當(dāng)時(shí)，可用橢圓曲線對(duì)構(gòu)造出安全性和實(shí)現(xiàn)效率兼顧的標(biāo)識(shí)密

碼。

在引入橢圓曲線雙線性對(duì)(Pairing)之后，基于身份的公鑰密碼（IBC）成為

密碼學(xué)的熱點(diǎn)研究領(lǐng)域，國(guó)際上出現(xiàn)了多種基于Pairing的IBC算法，國(guó)際標(biāo)準(zhǔn)組

織在IEEEP1363.3和ISO14888-3中分別征集和采納相關(guān)算法。2006年11月1日，

國(guó)家密碼管理局商密辦組織成立我國(guó)的IBC標(biāo)準(zhǔn)研究組。主要任務(wù)是設(shè)計(jì)出有中

國(guó)特色的、規(guī)避了知識(shí)產(chǎn)權(quán)的、安全的、高效率的IBC算法。

標(biāo)準(zhǔn)研究組綜合考慮IBC算法知識(shí)產(chǎn)權(quán)自主性、安全性和實(shí)現(xiàn)效率，設(shè)計(jì)出

了特有的“指數(shù)逆”類用戶私鑰提取算法。在此基礎(chǔ)上，設(shè)計(jì)了三類(五個(gè))基于

Pairing的IBC算法，其中包括簽名算法SC-IBS、密鑰交換算法SC-IBKE、密鑰封

裝機(jī)制SC-IBKEM、加密算法SC-IBE1和SC-IBE2。并對(duì)所設(shè)計(jì)的IBC算法完成了安

全性證明及效率分析。

2007年6月19日，國(guó)密局組織了算法評(píng)估組，針對(duì)IBC標(biāo)準(zhǔn)研究組提出的

SC-IBS、SC-IBKE、SC-IBKEM、SC-IBE1和SC-IBE2等提案進(jìn)行分析評(píng)估工作。2007

年7月11日，IBC標(biāo)準(zhǔn)研究組聽取了評(píng)估意見，進(jìn)行修改和論證。2007年8月12日，

算法提交給文本撰寫組，按照國(guó)家標(biāo)準(zhǔn)文本格式（GB格式）形成標(biāo)準(zhǔn)文本草案稿，

于2007年10月12日上交商密辦。11月初，撰寫組征集得到國(guó)內(nèi)相關(guān)專家對(duì)文本的

3

修改意見，逐條進(jìn)行了討論，并擬定了處理意見，同時(shí)對(duì)文本再次修改，形成了

GB格式的標(biāo)準(zhǔn)文本。

2007年12月16日，國(guó)家密碼管理局在北京組織召開會(huì)議，《基于雙線性對(duì)的

標(biāo)識(shí)密碼算法》及其GB格式標(biāo)準(zhǔn)文本進(jìn)行評(píng)審。專家們認(rèn)為：該算法內(nèi)容體現(xiàn)了

國(guó)際最先進(jìn)的標(biāo)識(shí)密碼算法設(shè)計(jì)思想，盡力規(guī)避了可能出現(xiàn)的知識(shí)產(chǎn)權(quán)糾紛。三

類算法均能得到高效實(shí)現(xiàn)。其安全性經(jīng)證明分別歸約到雙線性對(duì)困難問(wèn)題。評(píng)審

組一致認(rèn)為：基于雙線性對(duì)的標(biāo)識(shí)密碼算法的設(shè)計(jì)達(dá)到了國(guó)家對(duì)商用密碼算法的

設(shè)計(jì)要求。

在2008年-2013年期間，基于雙線性對(duì)的標(biāo)識(shí)密碼算法作為內(nèi)部試用算法存

在，并在國(guó)家密碼管理局取得SM9編號(hào)。

2、編制原則

1)知識(shí)產(chǎn)權(quán)獨(dú)立性

基于橢圓曲線雙線性對(duì)的標(biāo)識(shí)密碼算法是國(guó)際密碼學(xué)的熱點(diǎn)研究領(lǐng)域，全球

有不少學(xué)者和企業(yè)對(duì)該類算法的設(shè)計(jì)和應(yīng)用感興趣，為了建立我國(guó)的標(biāo)識(shí)密碼算

法，必須充分調(diào)研國(guó)際上已有的專利和標(biāo)準(zhǔn)算法，設(shè)計(jì)出來(lái)的SM9算法必須具備

獨(dú)立的知識(shí)產(chǎn)權(quán)，為進(jìn)一步推廣應(yīng)用爭(zhēng)取優(yōu)勢(shì)。

2)算法安全性

密碼算法的核心任務(wù)是維護(hù)信息系統(tǒng)的安全性，在SM9標(biāo)識(shí)密碼算法的設(shè)計(jì)

中，須保證算法本身的安全性可以得到嚴(yán)格證明，其系統(tǒng)參數(shù)的選擇須達(dá)到我國(guó)

商用密碼現(xiàn)階段和不遠(yuǎn)的將來(lái)的安全性需求。

3)實(shí)現(xiàn)高效性

密碼算法的實(shí)現(xiàn)效率是衡量算法有效性的一個(gè)重要指標(biāo)，由于SM9算法所立

足的橢圓曲線雙線性對(duì)是比較復(fù)雜的數(shù)學(xué)概念，其計(jì)算原理和算法與曲線參數(shù)的

選擇緊密關(guān)聯(lián)，SM9算法的設(shè)計(jì)、橢圓曲線參數(shù)和雙線性對(duì)的選擇都必須保證該

算法可以得到高效實(shí)現(xiàn)，以確保在具體應(yīng)用中滿足用戶簽名、驗(yàn)簽、密鑰交換、

密鑰封裝、加密、解密等算法高效實(shí)現(xiàn)的需求。

3、主要內(nèi)容

《信息安全技術(shù)SM9標(biāo)識(shí)密碼算法》系列標(biāo)準(zhǔn)分為兩個(gè)部分：

——第1部分：總則；

4

——第2部分：數(shù)字簽名算法；

本標(biāo)準(zhǔn)為第1部分：總則，描述必要的數(shù)學(xué)基礎(chǔ)知識(shí)與相關(guān)密碼技術(shù)原理和

依據(jù)，以幫助實(shí)現(xiàn)本標(biāo)準(zhǔn)其它各部分所規(guī)定的密碼機(jī)制，在附錄A中給出了本標(biāo)

準(zhǔn)定義的公開參數(shù)。

主要內(nèi)容包括：范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義、符號(hào)和縮略語(yǔ)、有限

域和橢圓曲線、雙線性對(duì)及安全曲線、數(shù)據(jù)類型及其轉(zhuǎn)換、系統(tǒng)參數(shù)及其驗(yàn)證、

附錄A（規(guī)范性附錄）參數(shù)定義、附錄B（資料性附錄）關(guān)于橢圓曲線的背景知識(shí)、

附錄C（資料性附錄）橢圓曲線上雙線性對(duì)的計(jì)算、附錄D（資料性附錄）數(shù)論算

法和參考文獻(xiàn)。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

標(biāo)準(zhǔn)研究組在曲線選擇過(guò)程中，對(duì)雙線性對(duì)的實(shí)現(xiàn)做了相應(yīng)的研究。本標(biāo)準(zhǔn)

選擇基域規(guī)模為256比特的、嵌入次數(shù)k=12的BN曲線，此時(shí)雙線性對(duì)值域的

規(guī)模為25612=3072比特。鑒于BN曲線上R-ate對(duì)的Miller循環(huán)最短，實(shí)現(xiàn)效

率較高。對(duì)我們推薦選用R-ate對(duì)。

使用C語(yǔ)言實(shí)現(xiàn)了推薦曲線上的多倍點(diǎn)運(yùn)算和R-ate對(duì)運(yùn)算。

操作系統(tǒng)環(huán)境：WindowsXPProfessionalSP3

編譯軟件：VC++6.0SP6和IntelC++9.0

硬件環(huán)境：IntelCorei5-3470CPU@3.20GHz3.19GHz

可執(zhí)行程序大?。?0KB。

注：擴(kuò)域方冪在12次擴(kuò)域計(jì)算，擴(kuò)域多倍點(diǎn)在2次擴(kuò)域計(jì)算

在此基礎(chǔ)上，在第1部分的附錄中給出了數(shù)字簽名算法、密鑰交換協(xié)議、密

鑰封裝機(jī)制、公鑰加密算法示例，這些示例驗(yàn)證了SM9標(biāo)準(zhǔn)算法可以正確實(shí)現(xiàn)。

在標(biāo)準(zhǔn)文本編制的同時(shí)，國(guó)家信息安全工程技術(shù)研究中心、深圳奧聯(lián)科技有

限公司、華大信息安全技術(shù)有限公司等單位均有工程實(shí)現(xiàn)小組進(jìn)行產(chǎn)品研發(fā)工

作，已經(jīng)從軟硬件實(shí)現(xiàn)多種角度驗(yàn)證了SM9算法的正確性和實(shí)現(xiàn)效率，為該標(biāo)

準(zhǔn)的推廣應(yīng)用打下了良好的基礎(chǔ)。

四、知識(shí)產(chǎn)權(quán)情況說(shuō)明

經(jīng)過(guò)專利查詢和已有標(biāo)準(zhǔn)查詢，確認(rèn)我們?cè)O(shè)計(jì)的SM9標(biāo)識(shí)密碼算法具有獨(dú)立

的知識(shí)產(chǎn)權(quán)，與現(xiàn)有專利和標(biāo)準(zhǔn)沒有沖突。

5

專利查詢途徑：網(wǎng)上的公共資源，如美國(guó)的專利與商標(biāo)局的政府網(wǎng)；中國(guó)國(guó)

家知識(shí)產(chǎn)權(quán)與專利局等。

查詢結(jié)果：獲得了全球范圍內(nèi)共計(jì)174個(gè)與標(biāo)識(shí)密碼和雙線性對(duì)相關(guān)的專利，

涉及美、日、德、法、意等國(guó)。

年代2005200620072008200920102011201220132014

專利個(gè)數(shù)14615152522272930

標(biāo)準(zhǔn)查詢途徑：我國(guó)標(biāo)準(zhǔn)館的收藏以及國(guó)際互聯(lián)網(wǎng)資源。

查詢結(jié)果：與標(biāo)識(shí)密碼相關(guān)的國(guó)際標(biāo)準(zhǔn)為ISO/IEC14888-3，大部分國(guó)家套

用ISO/IEC標(biāo)準(zhǔn)；還有IEEEP1363.3、RFC5091、5408、5409等。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

標(biāo)識(shí)密碼技術(shù)是PKI密碼體系中一個(gè)重要組成部分，其特有的直接基于標(biāo)

識(shí)生成密鑰，以及加解密、簽名驗(yàn)證的方法，為多種應(yīng)用提供了良好的快速、簡(jiǎn)

便的服務(wù)，能夠帶動(dòng)一系列新技術(shù)、新應(yīng)用和新產(chǎn)業(yè)的發(fā)展。

六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況

在算法研制過(guò)程中研究和分析了國(guó)際上大量相關(guān)密碼技術(shù)，以及IBE相關(guān)文

檔，提出了自己曲線和參數(shù)。本標(biāo)準(zhǔn)選擇BN曲線上R-ate對(duì)，基域規(guī)模為256比特

的、嵌入次數(shù)k=12的BN曲線，雙線性對(duì)值域的規(guī)模為25612=3072比特。

計(jì)算效率表如下（單位：毫秒）

編譯環(huán)境對(duì)運(yùn)算擴(kuò)域方冪基域多倍點(diǎn)擴(kuò)域多倍點(diǎn)

VC++6.010.375.621.483.59

IntelC++9.04.532.650.631.56

該指標(biāo)經(jīng)過(guò)專家多次論證，考慮到技術(shù)實(shí)現(xiàn)難度和計(jì)算成本，認(rèn)為目前定義

的各項(xiàng)指標(biāo)在5～8年內(nèi)能夠滿足我國(guó)實(shí)際需求，如果有進(jìn)一步發(fā)展需求