CN102025491A - 双矩阵组合公钥的生成方法 - Google Patents

Abstract

本发明属于信息安全技术领域，在基于标识的组合公钥CPK体制基础上，公开了一种抗共谋攻击的双矩阵组合公钥的生成方法，可提高公钥体制的安全性：密钥管理中心定义生成公钥组合矩阵I和公钥组合矩阵II，公钥组合矩阵I产生标识密钥，公钥组合矩阵II产生分割密钥，标识密钥和分割密钥复合产生组合密钥，标识密钥和分割密钥互为加密，隐蔽了私钥之间存在的线性组合关系，消除了共谋可能性，安全性得到了证明。双矩阵构建的组合公钥的主密钥是两个矩阵，比靠一个主密钥保护系统安全的其他系统，更具有抗量子计算攻击的能力。

Description

双矩阵组合公钥的生成方法

技术领域

本发明涉及公钥体制，更具体而言涉及一种公钥的生成方法，属于信息安全技术领域。

背景技术

信息安全主要涉及鉴别技术和数据保密。鉴别技术主要靠鉴别协议和数字签名。数据保密依赖密钥交换协议。在以信任逻辑为基本理论的PKI认证系统中要求签名密钥由个人定义，以保证签名密钥的私密性与专有性，其他人均不得有同样的签名密钥，包括密钥管理中心。而以可信逻辑为基本理论的CPK鉴别系统中则要求所有密钥统一由密钥管理中心定义。同时，在个人定义密钥的情况下，不能实现标识鉴别和密钥交换，因此，标识鉴别和密钥交换一定要换采用由密钥管理中心集中定义的方式。

数字签名协议提供负责性服务，而密钥交换提供隐私性服务。数字签名协议和密钥交换协议要同时满足规模性和直接性。标识鉴别和密钥交换的规模必须是海量的，而且鉴别和交换必须是直接的，不能依赖任何外部设备的支持。因此，怎样获得对方公钥的问题成为现代密码研究的主要课题。为了寻求满足规模性(scalability)和直接性(immediacy)的协议，密码界大致经历了以下发展过程：

1976年Diffie和Hellman提出了基于随机数的D-H密钥交换协议，成为当代所有密钥交换协议的基础。D-H协议由集中定义的系统参数T＝(g，p)实现，只做到双向握手式交换，没能做到单向直接交换。

1984年，Shamir提出了IBC算法，属于集中定义的单因子机制，由密钥管理中心负责生成，实现了基于标识的数字签名密钥，使公钥的发展推进到了第二个发展阶段，但没能实现基于标识的密钥交换。

2001年，美国Dan Boneh和Matthew Franklin利用Weil的组对理论，构建了基于标识的IBE加密，但不能实现数字签名。只是密钥交换用在线运行的密钥管理中心取代了PKI的CA。

基于标识的密码体制是解决网络空间鉴别难题的最有前景的技术手段，近年来受到人们极大的关注。基于标识的组合公钥体制是基于标识的密码体制家族中的一个极富生命力的成员。组合公钥(简称CPK：Combined Public key)体制2003年提出，2005年在中国专利200510002156.4《基于标识的密钥产生方法》中正式公布。CPK基于标识的数字签名协议和密钥交换协议，满足证明的规模性和验证的直接性，真正实现了Shamir的设想，开辟了以组合化解决规模化的新路，将以往PKI等无界标识空间到无界公钥空间的复杂映射问题，转换为足够大的有界标识空间到有界公钥空间的简捷问题。如果一个公钥体制能够进行标识鉴别就有望实现“事先”证明的可信逻辑，能证明实体的真实性。

以往的组合公钥体制存在公开问题，即：组合私钥是组合矩阵变量的线性和，有可能被共谋攻击的可能性；对此没有给出安全性证明，因为起证明很难。这一直是一个难点，并成为一个亟待解决的问题。

发明内容

有鉴于此，为了解决上述问题，本发明公开了一种抗共谋攻击的公钥生成方法，提高公钥体制的安全性。

本发明的目的是这样实现的：双矩阵组合公钥的生成方法，包括如下步骤：

1)密钥管理中心定义生成公钥组合矩阵I和公钥组合矩阵II；

2)密钥管理中心通过实体标识，由公钥组合矩阵I产生标识密钥对，由公钥组合矩阵II产生分割密钥对；

3)密钥管理中心将标识私钥和分割私钥复合组成组合私钥；

4)密钥管理中心将组合私钥分发给用户；

5)电子签名依赖方用标识公钥和分割公钥复合生成组合公钥，进行签名验证。

进一步，步骤1)中，密钥管理中心定义生成组合矩阵I和组合矩阵II的变量，组成组合矩阵I和组合矩阵II。

进一步，步骤2)中，密钥管理中心根据实体标识产生组合矩阵的行坐标序列，根据行坐标，由组合矩阵I产生标识密钥对，由组合矩阵II产生分割密钥对。

进一步，步骤4)中，密钥管理中心将组合私钥记入ID-CARD中分发给用户。

进一步，步骤4)中，密钥管理中心将组合私钥记入ID-CARD中之后，删除分割私钥。

进一步，所述步骤5)具体包括如下步骤：

51)对于实体Alice，签名方利用组合私钥进行数字签名，签名码为：

SIG_alice(AliceID)＝sign，

其中SIG为签名协议，alice为组合私钥，AliceID为实体Alice的标识域、时间域和特定字符串，sign为签名码；

52)电子签名依赖方用标识公钥和分割公钥复合生成组合公钥；

53)电子签名依赖方对数字签名进行验证，验证码为：

SIG^-1 _AKICE(AliceID)＝sign’，

其中SIG^-1为验证协议，ALICE组合公钥，AliceID为实体Alice的标识域、时间域和特定字符串，sign’为验证码；

54)判断sign’是否等于sign，若是，则通过验证。

进一步，所述组合公钥基于CPK体制生成。

进一步，所述密钥管理中心将公钥组合矩阵I和公钥组合矩阵II作为信

任根公布。

进一步，所述公钥组合矩阵I与公钥组合矩阵II大小不同。

进一步，所述公钥组合矩阵I的大小为(2^k，32)(k＝5，6，...)，公钥组合矩阵II的大小为(2^kx32，u)(k＝5，6，...；u＝1，2，...)。

本发明在原有组合公钥CPK体制基础上构建了由两个公钥组合矩阵的组合公钥体制。公钥组合矩阵I用于产生标识密钥，公钥组合矩阵II用于产生分割密钥。标识密钥和分割密钥互为加密，互为保护，互相掩盖了存在的线性规律，消除了共谋的可能性的同时为安全性证明提供了条件，形成了对付未来量子计算攻击的架构，获得可靠的安全保障。公钥组合矩阵是系统“信任根”；基于标识的公钥体制，自行提供实体标识和密钥变量一体性证明，不再需要第三方CA的证明，也不需要庞大目录库LDAP的在线支持，进而不需要系统动态维护。双矩阵组合公钥体制中，标识私钥和分割私钥都是有限量的，可以计算安全界限，使安全性证明变得容易。标识密钥和分割密钥都是组合生成，有限因素可以扩展为几乎“无限”因素，大大减少存储量，却大大增加变化量。

附图说明

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步的详细描述：

图1示出了双矩阵组合公钥生成方法的流程示意图。

具体实施方式

公钥体制是实现数字签名和密钥交换的技术手段。在鉴别系统中标识鉴别又是鉴别的核心。下面从体制、协议等方面，对根据本发明的标识鉴别系统的具体实施方式作进一步的详细描述。需要注意的是，根据本发明的双矩阵组合公钥技术与标识鉴别系统的具体实施方式仅仅作为例子，但本发明不限于该具体实施方式。

以下对双矩阵组合公钥体制进行详细说明：

双矩阵组合公钥在组合公钥(CPK)基础上实现的。具体可参见申请人的在先申请200510002156.4《基于标识的密钥产生方法》。

组合公钥CPK是Combined Public Key的简写，双矩阵组合公钥体制是建立在组合公钥基础上的，保留了组合公钥的一切优点，却克服了共谋威胁，以及理论安全性不好证明的缺点。

双矩阵组合公钥的生成原理

组合公钥体制(Combined Public Key Cryptosystem，简称CPK)，是在椭圆曲线密码(ECC)上，实现基于标识的公钥体制。ECC遵从IEEE标准。

CPK组合公钥(Combining-matrix)由两个大小不等的矩阵构成：组合矩阵I和组合矩阵II。组合矩阵分为私钥矩阵和公钥矩阵，组合矩阵I的大小为(2^K，32)(k＝5，6，...)，组合矩阵II的大小为(2^kx32，u)(k＝5，6，...；u＝1，2，...)。组合矩阵I产生标识密钥(Identity-key)，而组合矩阵II产生分割密钥(Separating-key)。CPK的组合密钥(Combined-key)由标识密钥(Identity-key)和分割密钥(Separating-key)复合而成。标识密钥用(isk，IPK)标记，分割密钥用(ssk，SPK)标记，组合密钥用(csk，CPK)标记。

1ECC复合特性

组合公钥体制采用有限域Fp上的椭圆曲线E：y²≡(x³+ax+b)mod p，以参数(a，b，G，n，p)定义。其中a，b是系数，a，b，x，y∈p，G为加法群的基点，n是以G为基点的群的阶。令任意小于n的整数为私钥，则r G＝R为对应公钥。

ECC复合特性如下：

在椭圆曲线密码ECC中，任意多对公、私钥，其私钥之和与公钥之和构成新的公、私钥对。

如果，私钥之和为：(r₁+r₂+...+r_m)mod n＝r。

则对应公钥之和为：R₁+R₂+...+R_m＝R(点加)。

那么，r和R刚好形成新的公、私钥对。

因为，R＝R₁+R₂+...+R_m＝r₁G+r₂G+...+r_mG＝(r₁+r₂+...+r_m)G＝r G。

2标识到矩阵坐标的映射

标识到组合矩阵坐标的映射通过将标识ID经Hash变换变成YS序列实现：

YS＝Hash(ID)＝w₁，w₂，...，w₃₅，w₃₆；，...。

w的字长为k比特，k为矩阵行数的二进制比特数。

3标识密钥

3.1组合矩阵I

组合矩阵I大小为2^kx32(k＝5，6，...)，用(r_i，j)或(R_i，j)表示，i，＝1..2^k，j＝1..32。r是小于n的随机数，n是椭圆曲线ECC的阶。私钥矩阵(r_i，j)用于私钥的生成，是秘密变量。公钥矩阵由私钥矩阵派生，即r_i，j G＝(x_i，j，y_i，j)＝R_i，j，是公开变量。组合矩阵I的行坐标由w₁-w₃₂依次指示，列坐标是自然序。

3.2标识密钥的计算

标识私钥(isk)的计算在KMC进行。设第i列所用行坐标用w_i表示，令标识私钥为isk，那么私钥以有限域域Fp上的倍数加法实现，实体Alice的标识私钥为：

${\mathrm{isk}}_{\mathrm{Alice}}=\underset{i=1}{\overset{32}{\mathrm{\Σ}}}{r}_{w_i,i}\mathrm{mod}n.$

公钥计算以椭圆曲线E上的倍点加法实现，对应公钥为：

${\mathrm{IPK}}_{\mathrm{Alice}}=\underset{i=1}{\overset{32}{\mathrm{\Σ}}}{R}_{w_i,i}$ (点加)。

4分割密钥

4.1组合矩阵II

组合矩阵II的大小为(2^kx32，u)(k＝5，6，...；u＝1，2，...)，用(q_i，j)或(Q_i，j)表示，其中i，＝1..(2^kx32)，j＝1..u。q是小于n的随机数，n是椭圆曲线ECC的阶。私钥矩阵(q_i，j)用于私钥的生成，是秘密变量。公钥矩阵由私钥矩阵派生，即q_i，j G＝(x_i,j，y_i，j)＝Q_i，j，是公开变量。组合矩阵II的第一列行坐标由YS序列中的(w₃₃，w₃₄)＝v₁指示，第二列行坐标由YS序列的(w₃₅，w₃₆)＝v₂指示，类推。

4.2分割密钥的计算

分割私钥(ssk)的计算在KMC进行。设第i列所用行坐标用v_i表示，令分割私钥为ssk，那么私钥以有限域域Fp上的倍数加法实现，实体Alice的分割私钥为：

${\mathrm{ssk}}_{\mathrm{Alice}}=\underset{i=1}{\overset{u}{\mathrm{\Σ}}}{q}_{v_i,i}\mathrm{mod}n.$

公钥计算以椭圆曲线E上的倍点加法实现，对应公钥为：

${\mathrm{SPK}}_{\mathrm{Alice}}=\underset{i=1}{\overset{32}{\mathrm{\Σ}}}{Q}_{v_i,i}$ (点加)。

5组合密钥

标识密钥和分割密钥复合形成组合密钥。设标识私钥为isk，分割私钥为ssk，实体Alice的组合私钥csk_Alice由KMC计算：

csk_Alice＝(isk_Alice+ssk_Alice)mod n。

将组合私钥csk_Alice记入Alice的CPK-card并删除分割私钥ssk_Alice。

组合公钥由各依赖方计算：

CPK_Alice＝IPK_Alice+SPK_Alice。

6数字签名

签名函数用SIG标记，验证函数用SIG^-1标记。

签名：Alice的ID卡提供复合私钥csk_Alice，

Alice的签名： ${\mathrm{SIG}}_{{\mathrm{csk}}_{\mathrm{Alice}}}\left(\mathrm{AliceID}\right)={\mathrm{sign}}_1$ 或

${\mathrm{SIG}}_{{\mathrm{csk}}_{\mathrm{Alice}}}\left(\mathrm{MAC}\right)={\mathrm{sign}}_2.$

验证：验证方计算Alice的公钥：CPK_Alice＝IPK_Alice+SPK_Alice。

其中，σ(Hash(AliceID))→IPK_Alice，SPK_Alice则由YS的(w₃₃，w₃₄)＝v₁，(w₃₅，w₃₆)，＝v₂，...，指示。

验证Alice签名： ${\mathrm{SIG}}_{{\mathrm{CPK}}_{\mathrm{Alice}}}^{-1}\left(\mathrm{AliceID}\right)={{\mathrm{sign}}_1}^{,}$ 或

${\mathrm{SIG}}_{{\mathrm{CPK}}_{\mathrm{Alice}}}^{-1}\left(\mathrm{MAC}\right)={{\mathrm{sign}}_2}^{,}.$

如果sign₁＝sign₁’，则证明AliceID为真，如果sign₂＝sign₂’，则证明MAC为真。

7密钥交换

CPK密钥交换遵从Diffie-Helman协议。

加密：Alice通过Bob的标识在YS序列确定分割密钥的行坐标w₃₃，w₃₄，w₃₅，w₃₆，...，并计算Bob的分割公钥SPK_Bob

Alice根据Bob的标识和公钥矩阵计算Bob的标识公钥IPK_Bob；

Alice计算Bob的组合公钥：CPK_Bob＝IPK_Bob+SPK_Bob；

Alice选择随机数r，计算：r·CPK_Bob＝β和r G＝key；

(密钥加密协议可简单表示成ENC_BoB(key)＝β)；

Alice加密：E_key(data)＝code；

Alice将code和β发送给Bob。

脱密：Bob用自己的组合私钥计算出key：

csk_Bob ^-1β＝csk_Bob ^-1(r CPK_Bob)＝csk_Bob ^-1(r csk_Bob G)＝r G＝key；

(密钥脱密协议可简单表示成DEC_bob(β)＝key)；

Bob用对称密钥key脱密：D_key(code)＝data。

8安全性

CPK组合私钥csk是标识私钥isk和分割私钥ssk相加而成，分割私钥和标识私钥互起加密的作用。因此只有消除一个矩阵的作用时才能暴露另一矩阵的线性组合关系。消除分割私钥的办法是寻找分割私钥的重复。

以组合矩阵II为2列矩阵为例，行数为2^kx32，与组合矩阵I的变量数相等，要列2^kx32个联立方程，至少要获得2^kx32个分割密钥的重复。在两列的情况下，两列同时重复的概率为1/(2^kx32)²，因此至少需要有(2^kx32)³个私钥量才能获得2^kx32个方程。但是，在2^kx32个方程中只有线性无关的方程才有意义，而这2^kx32个方程均为线性无关的可能性几乎等于零。因此，用户量可以是无限的，私钥的组合矩阵是安全的。

CPK是基于组合的公钥体制，标识密钥变化量为(2^k)³²，当k＝5时，2¹⁶⁰＝10⁴⁸，当u＝2时，分割密钥变化量为(2^k x32)²，抗共谋的下线为(1024)³＝10⁹。这样将共谋的可能性彻底消除了，剩下的问题就是怎样抗量子攻击。CPK具有抗量子计算攻击的架构。一是不提供破译条件(不提供满秩的方程)，二是依据量子计算的破译速度调整种子密钥数量，很容易构造出量十几年也破不开的密码。假设现用PKI，IBE等都是单靠一个主密钥保护全系统安全的体制，抗不住量子攻击，而CPK的主密钥则是3000个(当k＝5时)，如果PKI、IBE一天可以被攻破，那么CPK的破译则需要3000天，而主密钥的数量是可以调整的。

小结

CPK将密钥生产和密钥管理结合起来，能够实现数字签名和密钥交换，可以满足超大规模信息网络与非信息网络(包括物联)中的标识鉴别、实体鉴别、数据鉴别与保密的需求。

申请号为200610076019.X的中国发明专利公布说明书《CPK可信鉴别系统》中描述了CPK系统的基础架构，CPK可信鉴别系统是以芯片实现的鉴别系统，芯片中包括专用COS、CPK体制、ID-CARD、签名协议和密钥交换协议、加密算法和HASH函数等，芯片根据封装和接口的不同，分为智能卡、USB Key、Flash存储卡、手机SIM卡等不同形态。根据需要将公钥矩阵写入芯片中，可就地计算对方公钥，由一个芯片承担密码机功能、签名验证功能、数据库密钥存储功能，而且在不同标识域、安全域具有一卡通的功能，可简便地构建可信认证系统。

ID-CARD中最重要的元素是用户的标识和用户的私钥，用户标识，是实体身份的全局唯一的逻辑表示，在CPK系统中每个标识都可以映射到唯一的一个公钥，ID-CARD向用户提供用户私钥，并以文件形式公布包含所有依赖方公钥的公钥矩阵。

1)ID-card申请

终端实体在加入CPK系统之前必须首先进行注册。终端实体向本地的注册管理中心RMC递交注册申请，管理中心生成一张ID-CARD，发放给终端实体。CPK系统中采用实名制。以民生银行票据印章系统为例，其申请格式如下：

2)ID-card定义

本ID-CARD的内容分为两个部分：卡体、变量体。

卡体为ID-card中固定部分：姓名，性别，证件名称，身份证证件号码，联系地址，邮编，联系电话，角色，申请人签名，管理员签名，日期，用户属性。

变量体中定义ID-card实际内容，如实体标识、标识的私钥，角色私钥等。

参见图1，基于上述双矩阵组合公钥体制，本实施例的双矩阵组合公钥的生成方法，包括如下步骤：

1)密钥管理中心KMC定义生成公钥组合矩阵I和公钥组合矩阵II的变量，组成公钥组合矩阵I和公钥组合矩阵II，并将将公钥组合矩阵I和公钥组合矩阵II作为信任根公布；所述公钥组合矩阵I与公钥组合矩阵II大小不同；

2)密钥管理中心KMC根据实体标识产生组合矩阵的行坐标序列，根据行坐标，由组合矩阵I产生该实体的标识密钥对(isk，IPK)，由组合矩阵II产生该实体的分割密钥对(ssk，SPK)；

3)密钥管理中心KMC将标识私钥isk和分割私钥ssk复合组成组合私钥csk，所述csk＝isk+ssk；

4)密钥管理中心KMC将组合私钥csk记入ID-CARD中分发给用户，并删除分割私钥ssk；

5)由于实体标识自动映射为公钥或私钥，因此将Alice的标识AliceID直接映射为公、私钥，其公钥用ALICE标记(大写)，即CPK＝ALICE，私钥用alice标记(小写)即csk＝alice；步骤5)具体包括如下步骤：

51)对于实体Alice，签名方利用组合私钥进行数字签名，签名码为：

SIGalice(AliceID)＝sign，

其中SIG为签名协议，alice为组合私钥，AliceID为实体Alice的标识域、时间域和特定字符串，sign为签名码；

52)电子签名依赖方用标识公钥和分割公钥复合生成组合公钥；

53)电子签名依赖方对数字签名进行验证，验证码为：

SIG^-1 _AKICE(AliceID)＝sign’，

其中SIG^-1为验证协议，ALICE组合公钥，AliceID为实体Alice的标识域、时间域和特定字符串，sign’为验证码；

54)判断sign’是否等于sign，若是，则通过验证。

本实施例的双矩阵组合公钥的生成方法可在电子票据鉴别、软件标签鉴别、电子标签鉴别、通信标识鉴别、网络秩序与管理等领域进行应用。

以上所述仅为本发明的优选并不用于限制本发明，显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.双矩阵组合公钥的生成方法，其特征在于：包括如下步骤：

1)密钥管理中心定义生成公钥组合矩阵I和公钥组合矩阵II；

2)密钥管理中心通过实体标识，由公钥组合矩阵I产生标识密钥对，由公钥组合矩阵II产生分割密钥对；

3)密钥管理中心将标识私钥和分割私钥复合组成组合私钥；

4)密钥管理中心将组合私钥分发给用户；

5)电子签名依赖方用标识公钥和分割公钥复合生成组合公钥，进行签名验证。

2.如权利要求1所述的双矩阵组合公钥的生成方法，其特征在于：步骤1)中，密钥管理中心定义生成组合矩阵I和组合矩阵II的变量，组成组合矩阵I和组合矩阵II。

3.如权利要求1所述的双矩阵组合公钥的生成方法，其特征在于：步骤2)中，密钥管理中心根据实体标识产生组合矩阵的行坐标序列，根据行坐标，由组合矩阵I产生标识密钥对，由组合矩阵II产生分割密钥对。

4.如权利要求1所述的双矩阵组合公钥的生成方法，其特征在于：步骤4)中，密钥管理中心将组合私钥记入ID-CARD中分发给用户。

5.如权利要求4所述的双矩阵组合公钥的生成方法，其特征在于：步骤4)中，密钥管理中心将组合私钥记入ID-CARD中之后，删除分割私钥。

6.如权利要求1至5中任一项所述的双矩阵组合公钥的生成方法，其特征在于：所述步骤5)具体包括如下步骤：

51)对于实体Alice，签名方利用组合私钥进行数字签名，签名码为：

SIGalice(AliceID)＝sign，

其中SIG为签名协议，alice为组合私钥，AliceID为实体Alice的标识域、时间域和特定字符串，sign为签名码；

52)电子签名依赖方用标识公钥和分割公钥复合生成组合公钥；

53)电子签名依赖方对数字签名进行验证，验证码为：

SIG^-1 _AKICE(AliceID)＝sign’，

其中SIG^-1为验证协议，ALICE组合公钥，AliceID为实体Alice的标识域、时间域和特定字符串，sign’为验证码；

54)判断sign’是否等于sign，若是，则通过验证。

7.如权利要求6所述的双矩阵组合公钥的生成方法，其特征在于：所述组合公钥基于CPK体制生成。

8.如权利要求7所述的双矩阵组合公钥的生成方法，其特征在于：所述密钥管理中心将公钥组合矩阵I和公钥组合矩阵II作为信任根公布。

9.如权利要求8所述的双矩阵组合公钥的生成方法，其特征在于：所述公钥组合矩阵I与公钥组合矩阵II大小不同；

10.如权利要求9所述的双矩阵组合公钥的生成方法，其特征在于：所述公钥组合矩阵I的大小为(2^K，32)(k＝5，6，...)，公钥组合矩阵II的大小为(2^kx32，u)(k＝5，6，...；u＝1，2，...)。

Images