CN100505620C - 一种减少rsa密钥变量存储空间的方法 - Google Patents

Abstract

一种减少RSA密钥变量存储空间的方法，属信息安全和网络安全的技术领域。本发明的技术方案利用模数N、公钥PK和私钥SK，两个大素数P和Q，以及9个变量三者之间的关系，生成长度总和为106比特的9个变量，把RSA密码系统密钥变量的存储空间减少到使其能用在以存储容量为106比特的磁条卡作为用户身份认证的EFT和POS机等系统中的程度。该方法有以下优点：将生成的9个变量存储在磁条卡上的长度为106比特的磁条卡上，可制得适于与EFT和POS机等系统联用的、既安全又能抵抗小指数攻击的用户身份认证卡或信息认证卡。

Description

一种减少RSA密钥变量存储空间的方法

技术领域

本发明涉及一种减少RSA密钥变量存储空间的方法，属信息安全和网络安全的技术领域。

背景技术

随着全球性信息化浪潮的出现，信息安全和网络安全日益受到人们的关注。信息安全和网络安全技术的应用已深入到大型、关键性业务系统如EFT和POS机系统(electronic fund transfer and point of salessystems)等。然而对于用小容量存储设备的系统而言，由于计算能力的限制和存贮设备介质不能存储大数据的物理特性，这些技术的应用受到了限制。

公钥密码算法是Difte和Hellman在1976年提出的。他们利用一种特别的数学变换，幂运算，提出基于离散对数难题的密钥分配协议。用户进行两次模幂运算，就可以得到与其相关的一方的相同的密钥。由于这个变换是单向的，所以无法用于加密和解密。

在美国专利US 4,218,582的中，Hellman和Merkle利用Difte和Hellman的结果提出一种消除安全信息通道的方法。1978年，Rivest，Shanir和Adleman提出公钥加密算法RSA，同时还提出数字签名，即电子签名的概念。他们为该算法申请了美国专利，并获得授权，专利号为US 4,405,829。该算法是利用两个大素数相乘，得出一个模数N，取一个公钥e，然后通过这两个大素数计算出私钥d，公开公钥e和模数N。这样，如果用户A要给公钥为e和模数为N的用户B发送消息M的话，则只需用模数N和公钥e对消息M进行模幂运算，得到密文C。用户B接到密文C后，用私钥d进行解密。上述过程的逆向运算正好可以用来做电子签名，以证实消息M的完整性、可认证性和不可否认性，因为私钥d只有用户B一人知道。

由于公钥密码的密钥量巨大，在卡上认证系统里公钥密码一直未被看好。在美国专利US 4,438,824中，Mueller—Schloer用附加数据卡的办法提出了一个身份验证系统。在该系统里，多个终端与安全服务站相连，每个终端都有一个CPU、内存、读卡器和合数模。CPU通过合数模控制数据的加密和解密。而安全服务站的工作也类似，以此来进行验证，这个系统同时兼容了美国数据加密标准算法DES和公钥加密算法RSA。

但在商业上，这个系统至今仍未被EFT和POS机系统所接受。因为这些系统采用容量很小的磁条卡作存储介质，来存储私人鉴别号码(PIN)，以认证用户身份的合法性。在80年代末和90年代初，人们开始寻求解决将密钥变量存储在小容量存储介质上的办法。

在美国专利US 4,408,203中，Canpbell用对称密码(私钥密码)的算法，提出了一个解决法方案。此外，在美国专利US 4,423,287中，Zeidler用一次密钥的方法解决EFT和POS机系统的用户身份认证问题。由于受到磁条卡的容量限制，人们(包括Canpbell和Zeidler)始终没能将更安全的RSA应用到EFT和POS机系统上去。

目前安全的RSA合数模是1024比特的整数，而银行等机构的磁条卡上的3个磁道只能存放316，160和432比特的信息，这对于长度为1024比特的合数模、公钥、私钥都是远远不够的。美国专利US4,736,423虽公开了一个400比特的算法，但由于该算法本身的局限性，该算法无法推广到长度为1024比特的RSA上，而且当时小指数攻击方面的技术没有出现，在今天看来，这个方法可能是完全不安全的。

所以对公钥密码系统在银行或金融系统的应用，主要取决于两个因素的发展，即要么大容量的存储技术出现，要么找到一种减少密钥存储空间的技术。由于存储技术的局限性，主要的出路便是发展减少密钥存储空间的技术。从实用和安全的角度来看，这又是一对矛盾。因此既安全又密钥存储空间小的密钥生成技术更是重中之重了。

发明内容

本发明要解决的技术问题是提出一种减少RSA密钥变量存储空间的方法，即减少RSA密钥变量存储空间的算法。该方法是一项生成既安全、密钥存储空间又小的密钥的技术，有以下优点：能为用小容量存储器，磁条卡的金融电子系统，如EFT和POS机系统等生成用于身份认证、鉴别和消息认证所需的高强度密码。

本发明采用以下技术方案使上述的技术问题得到解决。根据目前EFT和POS机系统用磁条卡进行身份认证的特点，为满足RSA安全性的要求：RSA密钥变量的长度应为3072比特，其中，公钥PK、私钥SK和模数N各占1024比特；密钥：公钥PK和私钥SK应能抵抗小指数攻击。本发明的技术方案先将存储在磁条卡上的106比特的身份认证信息分成9个变量，其中两个变量的长度分别为16和20比特，其余变量的长度均为10比特；接着利用本发明的技术方案提供的算法生成所述的9个变量和求出两个大素数P和Q；用两个大素数P和Q的乘积可得到模数N＝P*Q和两个能抵抗小指数攻击的密钥KP：公钥PK和私钥SK。综上，本发明的技术方案利用模数N、公钥PK和私钥SK，两个大素数P和Q，以及9个变量三者之间的关系，生成长度总和为106比特的9个变量。本发明的技术方案把RSA密码系统密钥变量的存储空间减少到使其能用在以存储容量为106比特的磁条卡作为用户身份认证的EFT和POS机等系统中的程度。

关于EFT和POS机系统的认证，用公钥密码算法RSA来实现，需要用到减少密钥变量的存储空间的技术，而这个技术的三个主体分别是用户卡(CARD)，终端(EFT)和主机处理中心(HPC)。

假定用户在银行或其它金融机构已经注册，则他拥有一个基本账号(PAN)。而用户插入终端的卡上信息被读入时，用户只需输入个人的身份证号(PIN)来证实自己的基本账号(PAN)。如果PIN和PAN核对正确，则系统将启动业务服务。

但是用户的身份认证实际上是利用卡上的用户个人身份信息：个人密钥KP，通过密码算法如RSA等来保护的。

图1解释了RSA系统在EFT和POS机系统中的应用。磁条卡的容量不能存储足够安全的RSA密钥变量，成为了一个急需解决的问题。在详细解释减少RSA密钥变量存储空间的方法之前，先来看看整个系统的结构。

首先，设用户的身份ID_i，个人密钥KP_i和模数N_i都被读入终端EFT，且个人的身份证号PIN_i也已读入终端EFT，这时用户的身份信息ID_i和终端的身份信息TID_j被送到主机处理中心HPC。

然后，主机处理中心HPC通过随机数发生器(GEN RN)产生随机数T₁，并发送至终端EFT，接着终端EFT将随机数T₁和业务要求消息TRM做连接运算，同时也把个人的身份证号PIN_i和个人密钥KP_i做模2加运算，产生私钥SK_i。用私钥SK_i和模数N_i对业务要求消息TRM‖随机数T₁做解密运算，得到dSK_i(TRM，T₁)。终端EFT通过自己的随机数发生器产生随机数T₂，将它与dSK_i(TRM，T₁)一起发送给主机处理中心HPC。

在主机处理中心HPC中，通过终端EFT发送的用户身份信息ID_i，终端身份信息TID_j，找到用户的个人的身份证号PAN_i，模数N_i和公钥PK_i，用公钥PK_i和模数N_i对dSK_i(TRM，T₁)进行加密处理，恢复出业务要求消息TRM和随机数T₁′。若随机数T₁′＝随机数T₁，则通过验证，继续，否则拒绝业务要求。假设上面的验证通过，则主机处理中心HPC用银行的模数N_b和私钥SK_b对随机数T₂进行解密处理，将dSK_b(T₂)发回至终端EFT。图2和图3分别是解密和加密过程。

最后，终端EFT将接收到的dSK_b(T₂)用银行公开的模数N_b和公钥PK_b进行加密处理。如果加密结果是T₂′，正好与原来的T₂一致，则认证用户为合法用户，并按业务要求消息TRM办理业务。

上述系统的运行是以卡(CARD)的容量足够能存储N_i和KP_i为前提的。由于磁条卡的的容量小，没有办法将他们直接存储到磁条卡上，因此本发明利用一定的预计算将N_i和KP_i压缩存储在容量为106比特的磁条卡上，使磁条卡能与上述的系统联用。

以下是利用存储在磁条卡上的106比特的信息产生足够安全的RSA密钥变量：模数N_i和个人密钥KP_i。

图4所示的106比特被分为9组变量：D₁，…，D₉，所有变量都是以二进制形式存储的。其中，D₂和D₉的长度分别为20和16比特，其余变量的长度均为10比特。

现结合图5a和图5b具体说明本发明的技术方案。

一种减少RSA密钥变量存储空间的方法，其特征在于，具体操作步骤：

第一步选取变量D₁，使Z＝2⁴⁸⁸-2D₁+1是一个长度为488比特的素数，下面将利用Z产生其它的参数，所用的运算及其符号罗列如下：

OR：二进制数的‘或’运算，

mod：数的模运算，

[K]：不超过K的最大整数，

a*b：表示a和b的相乘，

L(Q)：取Q的二进制表示的左边373比特，即前373比特构成一个新数，

以上未罗列的其它运算均为普通整数运算；

(注：变量D₁生成，其长度为10比特。)

第二步选取D₂，D₃，得 $X_1={D_2}^{(D_3+1)}$ mod Z，使P"＝(X₁)OR(2⁴⁸⁷+1)是一个长度为488比特的素数；

(注：变量D₂和D₃生成，变量D₂和D₃的长度分别为20和10比特。)

第三步选取D₄，使P′＝2(D₄+2¹⁰)P"+1是一个长度为500比特的素数；

(注：变量D₄生成，其长度为10比特。)

第四步选取D₅，使P＝2(D₅+2¹⁰)P′+1是一个长度为512比特的素数；

(注：变量D₅生成，其长度为10比特。)

第五步计算X₂＝[2¹⁰²⁴/p]，将X₂的二进制表示的最后一位强制改为1，得X₃；

第六步选取D₆，使Q"＝2(D₆+2¹⁰)X₃+1是一个长度为488比特的素数；

(注：变量D₆生成，其长度为10比特。)

第七步选取D₇，使Q′＝2(D₇+2¹⁰)Q"+1是一个长度为500比特的素数；

(注：变量D₇生成，其长度为10比特。)

第八步选取D₈，使Q＝2(D₈+2¹⁰)Q′+1是一个长度为512比特的素数；

(注：变量D₈生成，其长度为10比特。)

第九步计算模数N＝P*Q，此时N的长度为1024比特；

第十步选取D₉，计算d＝2³⁷⁴+2(D₉+L(Q))+1，使e*d≡1mod(P-1)(Q-1)中的e≥2¹⁷+1；

(注：变量D₉生成，其长度为16比特。e和d分别称为加密指数和解密指数。在现今攻击RSA密码系统的方法中，若解密指数d<N^0.365，RSA密码系统是容易被攻破的。N^0.365<2³⁷⁴，所以这里选取的d大于2³⁷⁴是安全的。与此同时，关于较小的加密指数e也是不安全的，所以选取的e必须≥2¹⁷+1。)

第十一步令公钥PK＝e，私钥SK＝d，此时公钥PK和私钥SK的长度均为1024比特；

第十二步至此，变量D₁，D₂，D₃，D₄，D₅，D₆，D₇，D₈和D₉均已生成，其中，变量D₂和D₉的长度分别为20和16比特，其余的长度均为10比特。

将9个变量D₁，D₂，D₃，D₄，D₅，D₆，D₇，D₈和D₉存储在磁条卡上的长度为106比特的存储空间上。

用本发明的方法录制的磁条卡特别适于与EFT和POS机系统联用，为EFT和POS机系统提供既安全又能抵抗小指数攻击的用户身份认证或信息认证。

本发明的方法的优点：

1、由于本发明的方法生成的用于身份认证或数据认证的数据长度为106比特，所以该方法适合于用在目前用磁条卡进行身份认证的EFT和POS机系统中。

2、本发明的方法生成的长度为106比特的身份认证或数据认证的数据读入EFT和POS机系统后，EFT和POS机系统能产生长度均为1024比特的模数N、公钥PK和私钥SK，并且公钥PK和私钥SK能抵抗小指数攻击，换句话说，该方法能产生既能抵抗小指数攻击，又能不被分解的模数N、公钥PK和私钥SK。

上述性能大幅度提高了目前EFT和POS机系统的身份认证安全性和应用的广泛性。

附图说明

本发明的主要结构，算法和技术步骤主要由附图1，图2，图3，图4和图5组成。

图1是RSA密码算法在EFT和POS机系统上的应用结构和算法，及认证用户合法性和银行合法性的示意图。

图2，图3分别为图1中的解密算法和加密算法。

图4为存储在磁条卡上106比特的RSA压缩密钥。

图5(a)和图5(b)为将106比特的9个变量生成安全有效的RSA密钥变量的预计算过程。该算法是本发明的方法的技术核心，既能满足RSA最新防止攻击的技术要求，又能产生安全性很高的密钥。

具体实施方式

在上面的发明内容中详加说明的减少RSA密钥变量存储空间的方法就是实施例。

工作原理。

上述过程中都可以通过预计算来实现。目前，已有很多检测整数素性的算法，所以上述的操作步骤都是可实现的。

通过事先预计算的106比特的数据和第一步到第十二步上述操作步骤的逆过程可以恢复出模数N，密钥KP：公钥PK和私钥SK。已知：用户身份认证数据，其长度为106比特，及其9个变量：D₁，D₂，D₃，D₄，D₅，D₆，D₇，D₈和D₉。以下是恢复出模数N，密钥KP：公钥PK和私钥SK的过程：

1、Z＝2⁴⁸⁸-2D₁+1

将D₁代入上式，得Z。

2、 $X_1={D_2}^{(D_3+1)}\mathrm{mod}Z$

将D₂，D₃和Z代入上式，得X₁。

3、P"＝(X₁)OR(2⁴⁸⁷+1)

将X₁代入上式，得P"。

4、P′＝2(D₄+2¹⁰)P"+1

将D₄和P"代入上式，得P′。

5、P＝2(D₅+2¹⁰)P′+1

将D₅和P′代入上式，得P。

6、X₂＝[2¹⁰²⁴/p]

8、Q"＝2(D₆+2¹⁰)X₃+1

将D₆和X₃代入上式，得Q"。

9、Q′＝2(D₇+2¹⁰)Q"+1

将D₇和Q"代入上式，得Q′。

10、Q＝2(D₈+2¹⁰)Q′+1

将D₈和Q′代入上式，得Q。

11、N＝P*Q

将P和Q代入上式，得N。

12、d＝2³⁷⁴+2(D₉+L(Q))+1

将D₉和L(Q)代入上式，得d。

13、e*d≡1mod(P-1)(Q-1)

将d，P和Q代入上式，得e。

14、PK＝e，SK＝d

至此，恢复出的模数，公钥和私钥分别为N，PK和SK，模数N，公钥PK和私钥SK的长度均为1024比特。

Claims (3)

1、一种减少RSA密钥变量存储空间的方法，其特征在于，具体操作步骤：

第一步选取变量D₁，使Z＝2⁴⁸⁸-2D₁+1是一个长度为488比特的素数，下面将利用Z产生其它的参数，所用的运算及其符号罗列如下：

OR：二进制数的‘或’运算，

mod：数的模运算，

[K]：不超过K的最大整数，

a*b：表示a和b的相乘，

L(Q)：取Q的二进制表示的左边373比特，即前373比特构成一个新数，

以上未罗列的其它运算均为普通整数运算；

第二步选取D₂，D₃，得 $X_1={D_2}^{(D_3+1)}\mathrm{mod}Z,$ 使P″＝(X₁)OR(2⁴⁸⁷+1)是一个长度为488比特的素数；

第三步选取D₄，使P′＝2(D₄+2¹⁰)P″+1是一个长度为500比特的素数；

第四步选取D₅，使P＝2(D₅+2¹⁰)P′+1是一个长度为512比特的素数；

第五步计算X₂＝[2¹⁰²⁴/P]，将X₂的二进制表示的最后一位强制改为1，得X₃；

第六步选取D₆，使Q″＝2(D₆+2¹⁰)X₃+1是一个长度为488比特的素数；

第七步选取D₇，使Q′＝2(D₇+2¹⁰)Q″+1是一个长度为500比特的素数；

第八步选取D₈，使Q＝2(D₈+2¹⁰)Q′+1是一个长度为512比特的素数；

第九步计算模数N＝P*Q，此时N的长度为1024比特；

第十步选取D₉，计算d＝2³⁷⁴+2(D₉+L(Q))+1，使e*d≡1mod(P-1)(Q-1)中的e≥2¹⁷+1；

第十一步令公钥PK＝e，私钥SK＝d，此时公钥PK和私钥SK的长度均为1024比特；

第十二步至此，变量D₁，D₂，D₃，D₄，D₅，D₆，D₇，D₈和D₉均已生成，其中，变量D₂和D₉的长度分别为20和16比特，其余的长度均为10比特。

2、根据权利要求1所述的方法，其特征在于，将该方法生成的9个变量D₁，D₂，D₃，D₄，D₅，D₆，D₇，D₈和D₉存储在磁条卡上的长度为106比特的存储空间上，制得适于与EFT和POS机系统联用的、既安全又能抵抗小指数攻击的用户身份认证卡或信息认证卡。

3、权利要求2所述的用户身份认证卡或信息认证卡用于EFT和POS机系统作用户身份认证的方法，其特征在于，通过事先预计算的106比特的数据和第一步到第十二步操作步骤的逆过程可以恢复出模数N，密钥KP：公钥PK和私钥SK，已知：用户身份认证数据，其长度为106比特，及其9个变量：D₁，D₂，D₃，D₄，D₅，D₆，D₇，D₈和D₉，以下是恢复出模数N，密钥KP：公钥PK和私钥SK的过程：

1、Z＝2⁴⁸⁸-2D₁+1

将D₁代入上式，得Z；

2、 $X_1={D_2}^{(D_3+1)}\mathrm{mod}Z$

将D₂，D₃和Z代入上式，得X₁；

3、P″＝(X₁)OR(2⁴⁸⁷+1)

将X₁代入上式，得P″；

4、P′＝2(D₄+2¹⁰)P″+1

将D₄和P″代入上式，得P′；

5、P＝2(D₅+2¹⁰)P′+1

将D₅和P′代入上式，得P；

6、X₂＝[2¹⁰²⁴/P]

8、Q″＝2(D₆+2¹⁰)X₃+1

将D₆和X₃代入上式，得Q″；

9、Q′＝2(D₇+2¹⁰)Q″+1

将D₇和Q″代入上式，得Q′；

10、Q＝2(D₈+2¹⁰)Q′+1

将D₈和Q′代入上式，得Q；

11、N＝P*Q

将P和Q代入上式，得N；

12、d＝2³⁷⁴+2(D₉+L(Q))+1

将D₉和L(Q)代入上式，得d；

13、e*d≡1mod(P-1)(Q-1)

将d，P和Q代入上式，得e；

14、PK＝e，SK＝d

至此，恢复出的模数，公钥和私钥分别为N，PK和SK，模数N，公钥PK和私钥SK的长度均为1024比特。

Images