《信息安全技术 SM9标识密码算法 第2部分：算法-编制说明》

一、工作简况

1、任务来源

根据国家标准化管理委员会下达的国家标准制修订计划，由国家信息安全工

程技术研究中心牵头编制《信息安全技术SM9标识密码算法第2部分：数字签名

算法》（国标计划号：2017xxxx-T-xxx）。

2、标准编制的主要成员单位

项目成员单位主要有：深圳奥联科技有限公司、北京国脉信安科技有限公司、

武汉大学、上海交大、中科院信息工程研究所、北方信息技术研究所等单位。

3、参与人员

主要起草人包括陈晓、程朝辉、叶顶峰、胡磊、陈建华、路贝可、季庆光、

曹珍富、袁文恭、刘平、马宁、袁峰、李增欣、王学进、杨恒亮、张青坡、马艳

丽、浦雨三、唐英、孙移盛、安萱。

其中陈晓、程朝辉、叶顶峰、胡磊、陈建华、路贝可、季庆光、曹珍富作为

国内早期IBC标识密码算法技术的研究者，陈晓、程朝辉、马宁、马艳丽等作用

SM9密码算法的主要研制者，陈晓、马宁、袁峰、李增欣、王学进、杨恒亮、张

青坡、浦雨三、唐英、孙移盛、安萱是标准的主要编制者。袁文恭、刘平是责任

专家。

4、主要工作过程

1)2013年初国家密码管理局给国家信息安全工程技术研究中心下达了研制

《SM9标识密码算法》GM标准的任务。2013年9月到2014年5月，包括以

下四个方面工作。

——IBC调研：调研2007年以来，IBC的相关研究新进展。

——曲线选择：根据最新的研究进展，确定适于双线性对高效实现的、安全

的椭圆曲线。

——示例实现：完成新的曲线选择，采用SM3为密码杂凑函数、SM4为对称加

密算法的条件下，双线性对的标识密码算法的软件实现。

——文本修订：形成GM格式；并吸纳新的研究结果。

经过上述四方面工作，完成了SM9标准文本的GM格式征求意见稿。

1

2)2014年5月到2015年11月，主要任务是意见征集和文本修改。经过项目组

多次会议讨论；同时通过信函审查方式征求专家委员意见；跟踪应用单位，征集

工程实现过程中的意见。结合上述意见，再次研究讨论，修改文本，形成GM格式

标准文本送审稿。

2015年11月11日，国家密码管理局组织召开密标委主任办公会，对《SM9标

识密码算法》GM标准文本进行审核。

2016年4月作为密码行业标准GM/T0044-2016正式发布。

3)2017年1月至2017年4月。随着我国商用密码的发展和国际化战略，SM系

列密码算法标准相继申报国家标准，SM9标识密码算法标准完成国标申报工作。

4)2017年5月通过国标立项，8月完成草案稿。

5)2017年10月，在信安标委2017年第二全体会议工作组会议中，与会专家

和工作组对SM9密码算法系列标准的内容进行了调整：

——将本标准名称《信息安全技术SM9标识密码算法第2部分：数字签名算

法》改为《信息安全技术SM9标识密码算法第2部分：算法》，将SM9数字签名、

密钥交换、密钥封装、公钥加密算法合并到《第2部分：算法》中，第1部分、第

2部分标准发布后，为使用者提供完整的算法实现支撑。

——将《信息安全技术SM9标识密码算法第1部分：总则》标准附录E算法

示例部分去掉，作为附录移动到《信息安全技术SM9标识密码算法第2部分：算

法》中，为使用者给出完整的示例。

6)2017年10月经修改后，形成征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、标准技术研制依据和论证过程

A.Shamir在1984年提出了标识密码(Identity-BasedCryptography)的概

念，在标识密码系统中，用户的私钥由密钥生成中心(KGC)根据主密钥和用户标

识计算得出，用户的公钥由用户标识唯一确定，从而用户不需要通过第三方保证

其公钥的真实性。与基于证书的公钥密码系统相比，标识密码系统中的密钥管理

环节可以得到适当简化。

1999年，K.Ohgishi、R.Sakai和M.Kasahara在日本提出了用椭圆曲线对

(pairing)构造基于标识的密钥共享方案；2001年，D.Boneh和M.Franklin，以及

2

R.Sakai、K.Ohgishi和M.Kasahara等人独立提出了用椭圆曲线对构造标识公钥

加密算法。这些工作引发了标识密码的新发展，出现了一批用椭圆曲线对实现的

标识密码算法，其中包括数字签名算法、密钥交换协议、密钥封装机制和公钥加

密算法等。

椭圆曲线对具有双线性的性质，它在椭圆曲线的循环子群与扩域的乘法循环

子群之间建立联系，构成了双线性DH、双线性逆DH、判定性双线性逆DH、-双线

性逆DH和-Gap-双线性逆DH等难题，当椭圆曲线离散对数问题和扩域离散对数问

题的求解难度相当时，可用椭圆曲线对构造出安全性和实现效率兼顾的标识密

码。

在引入椭圆曲线双线性对(Pairing)之后，基于身份的公钥密码（IBC）成为

密码学的热点研究领域，国际上出现了多种基于Pairing的IBC算法，国际标准组

织在IEEEP1363.3和ISO14888-3中分别征集和采纳相关算法。2006年11月1日，

国家密码管理局商密办组织成立我国的IBC标准研究组。主要任务是设计出有中

国特色的、规避了知识产权的、安全的、高效率的IBC算法。

标准研究组综合考虑IBC算法知识产权自主性、安全性和实现效率，设计出

了特有的“指数逆”类用户私钥提取算法。在此基础上，设计了三类(五个)基于

Pairing的IBC算法，其中包括签名算法SC-IBS、密钥交换算法SC-IBKE、密钥封

装机制SC-IBKEM、加密算法SC-IBE1和SC-IBE2。并对所设计的IBC算法完成了安

全性证明及效率分析。

2007年6月19日，国密局组织了算法评估组，针对IBC标准研究组提出的

SC-IBS、SC-IBKE、SC-IBKEM、SC-IBE1和SC-IBE2等提案进行分析评估工作。2007

年7月11日，IBC标准研究组听取了评估意见，进行修改和论证。2007年8月12日，

算法提交给文本撰写组，按照国家标准文本格式（GB格式）形成标准文本草案稿，

于2007年10月12日上交商密办。11月初，撰写组征集得到国内相关专家对文本的

修改意见，逐条进行了讨论，并拟定了处理意见，同时对文本再次修改，形成了

GB格式的标准文本。

2007年12月16日，国家密码管理局在北京组织召开会议，《基于双线性对的

标识密码算法》及其GB格式标准文本进行评审。专家们认为：该算法内容体现了

国际最先进的标识密码算法设计思想，尽力规避了可能出现的知识产权纠纷。三

3

类算法均能得到高效实现。其安全性经证明分别归约到双线性对困难问题。评审

组一致认为：基于双线性对的标识密码算法的设计达到了国家对商用密码算法的

设计要求。

在2008年-2013年期间，基于双线性对的标识密码算法作为内部试用算法存

在，并在国家密码管理局取得SM9编号。

2、编制原则

1)知识产权独立性

基于椭圆曲线双线性对的标识密码算法是国际密码学的热点研究领域，全球

有不少学者和企业对该类算法的设计和应用感兴趣，为了建立我国的标识密码算

法，必须充分调研国际上已有的专利和标准算法，设计出来的SM9算法必须具备

独立的知识产权，为进一步推广应用争取优势。

2)算法安全性

密码算法的核心任务是维护信息系统的安全性，在SM9标识密码算法的设计

中，须保证算法本身的安全性可以得到严格证明，其系统参数的选择须达到我国

商用密码现阶段和不远的将来的安全性需求。

3)实现高效性

密码算法的实现效率是衡量算法有效性的一个重要指标，由于SM9算法所立

足的椭圆曲线双线性对是比较复杂的数学概念，其计算原理和算法与曲线参数的

选择紧密关联，SM9算法的设计、椭圆曲线参数和双线性对的选择都必须保证该

算法可以得到高效实现，以确保在具体应用中满足用户签名、验签、密钥交换、

密钥封装、加密、解密等算法高效实现的需求。

3、主要内容

《信息安全技术SM9标识密码算法》系列标准分为两个部分：

——第1部分：总则；

——第2部分：算法。

本标准为第2部分：算法，主要规范了以下内容：

数字签名，规定了一个用椭圆曲线双线性对实现的基于标识的数字签名和验

签算法。该算法的签名者持有一个标识和一个相应的私钥，该私钥由密钥生成中

4

心通过签名主私钥和签名者的标识结合产生。签名者用自身私钥对数据产生数字

签名，验证者用签名者的标识验证签名的可靠性。

密钥交换协议，规定了用椭圆曲线对实现的基于标识的密钥交换协议，并提供了相应的

流程。该协议可以使通信双方通过对方的标识和自身的私钥经两次或可选三次信息传递过

程，计算获取一个由双方共同决定的共享秘密密钥。该秘密密钥可作为对称密码算法的会话

密钥。协议中选项可以实现密钥确认。

密钥封装机制和公钥加密，规定了用椭圆曲线对实现的基于标识的密钥封装机制和公钥

加密与解密算法，并提供相应的流程。利用密钥封装机制可以封装密钥给特定的实体。公钥

加密与解密算法即基于标识的非对称密码算法，该算法使消息发送者可以利用接收者的标识

对消息进行加密，唯有接收者可以用相应的私钥对该密文进行解密，从而获取消息。

主要内容包括5个部分：

（1）统一的参数和6个辅助函数

5算法参数与辅助函数

5.1总则

5.2系统参数组

5.3辅助函数

（2）数字签名算法

6系统签名主密钥和用户签名密钥的产生

7数字签名生成算法及流程

7.1数字签名生成算法

7.2数字签名生成算法流程

8数字签名验证算法及流程

8.1数字签名验证算法

8.2数字签名验证算法流程

（3）密钥交换协议

9密钥交换协议及流程

9.1密钥交换协议

9.2密钥交换协议流程

（4）密钥封装和加密算法

5

10系统加密主密钥和用户加密密钥的产生

11密钥封装机制及流程

11.1密钥封装算法及流程

11.2解封装算法及流程

12公钥加密算法及流程

12.1加密算法及流程

12.2解密算法及流程

（5）算法示例

附录A（资料性附录）算法示例

三、主要试验[或验证]情况分析

标准研究组在曲线选择过程中，对双线性对的实现做了相应的研究。本标准

选择基域规模为256比特的、嵌入次数k=12的BN曲线，此时双线性对值域的

规模为25612=3072比特。鉴于BN曲线上R-ate对的Miller循环最短，实现效

率较高。对我们推荐选用R-ate对。

使用C语言实现了推荐曲线上的多倍点运算和R-ate对运算。

操作系统环境：WindowsXPProfessionalSP3

编译软件：VC++6.0SP6和IntelC++9.0

硬件环境：IntelCorei5-3470CPU@3.20GHz3.19GHz

可执行程序大小：80KB。

注：①扩域方幂在12次扩域计算，扩域多倍点在2次扩域计算

在此基础上，在第1部分的附录中给出了数字签名算法、密钥交换协议、密

钥封装机制、公钥加密算法示例，这些示例验证了SM9标准算法可以正确实现。

在标准文本编制的同时，国家信息安全工程技术研究中心、深圳奥联科技有

限公司、华大信息安全技术有限公司等单位均有工程实现小组进行产品研发工

作，已经从软硬件实现多种角度验证了SM9算法的正确性和实现效率，为该标

准的推广应用打下了良好的基础。

6

四、知识产权情况说明

经过专利查询和已有标准查询，确认我们设计的SM9标识密码算法具有独立

的知识产权，与现有专利和标准没有冲突。

专利查询途径：网上的公共资源，如美国的专利与商标局的政府网；中国国

家知识产权与专利局等。

查询结果：获得了全球范围内共计174个与标识密码和双线性对相关的专利，

涉及美、日、德、法、意等国。

年代2005200620072008200920102011201220132014

专利个数14615152522272930

标准查询途径：我国标准馆的收藏以及国际互联网资源。

查询结果：与标识密码相关的国际标准为ISO/IEC14888-3，大部分国家套

用ISO/IEC标准；还有IEEEP1363.3、RFC5091、5408、5409等。

五、产业化情况、推广应用论证和预期达到的经济效果

标识密码技术是PKI密码体系中一个重要组成部分，其特有的直接基于标

识生成密钥，以及加解密、签名验证的方法，为多种应用提供了良好的快速、简

便的服务，能够带动一系列新技术、新应用和新产业的发展。

六、采用国际标准和国外先进标准情况

在算法研制过程中研究和分析了国际上大量相关密码技术，以及IBE相关文

档，提出了自己曲线和参数。本标准选择BN曲线上R-ate对，基域规模为256比特

的、嵌入次数k=12的BN曲线，双线性对值域的规模为25612=3072比特。

计算效率表如下（单位：毫秒）

编译环境对运算扩域方幂基域多倍点扩域多倍点

VC++6.010.375.621.483.59

IntelC++9.04.532.650.631.56

该指标经过专家多次论证，考虑到技术实现难度和计算成本，认为目前定义

的各项指标在5