CN103490901A - 基于组合密钥体系的密钥生成和发放方法 - Google Patents

Abstract

基于组合密钥体系的密钥生成和发放方法，其包括：用户终端实体生成随机数rkey_id，计算公钥rPK_id；密钥管理子系统生成随机数rkey_KMC,计算公钥rPK_KMC，并记γ_id=rPK_id+rPK_KMC；利用用户标识UID计算标识私钥key_id和标识公钥R_i；利用标识私钥key_id对γ_id进行签名，并发布γ_id和公钥矩阵；计算用户私钥生成因子s，利用公钥rPK_id加密用户私钥生成因子s得到密文数据，并将所述密文数据发送给用户终端实体；用户终端实体利用随机数rkey_id对密文数据进行解密，得到用户私钥生成因子s，并计算用户私钥sk_id。本发明能够防止密钥管理子系统恶意仿冒用户私钥进行非法操作，防止被复制和被篡改，抗共谋，保护用户隐私。

Description

基于组合密钥体系的密钥生成和发放方法

技术领域

本发明涉及密钥生成和发放方法。

背景技术

随着网络及信息化应用不断发展，安全问题成为网络及信息化工作中的重点，保证交易安全的认证技术是信息技术的主要领域之一，业界急需实现安全认证和建立信任的网络体系，以便为网络交易提供鉴别性证明、负责性证明、数字签名等服务，另一方面，经过多年的发展，目前已公开基于标志认证系统及用户标识证书发放方法（专利号：ZL200710027076.3）。该方法提供一种认证系统及用户标识证书发放方法，以实现无需第三方认证，成本较低，且可实现规模化密钥生产，对系统资源和规模要求较小。在标识认证系统中，用户终端实体包含了用户标识、公钥和私钥。其中，公钥和私钥是由密钥管理中心利用用户标识分别在公、私钥矩阵生成的。私钥生成后通过秘密途径发给用户终端实体，并且严格保密。密钥管理中心由于掌控系统主密钥，能生成对应于系统所有用户标识的私钥，因此用户不拥有对自身私钥独享的专有权。因而，标识认证系统只适用于系统内所有用户对密钥管理子系统都完全信任的封闭系统；在不安全的环境下，密钥认证系统无法提供用户私钥保护。

发明内容

本发明的目的在于提出一种基于组合密钥体系的密钥生成和发放方法，其能解决在不安全的环境下，密钥认证系统无法提供用户私钥保护的问题。

为了达到上述目的，本发明所采用的技术方案如下：

一种基于组合密钥体系的密钥生成和发放方法，其包括以下步骤：

步骤1、用户终端实体生成随机数rkey_id，利用椭圆曲线密码算法计算其相应的公钥rPK_id，其中rPK_id=rkey_id·G，G为椭圆曲线的基点，将公钥rPK_id和用户标识UID对外发送；

步骤2、密钥管理子系统接收公钥rPK_id和用户标识UID，生成随机数rkey_KMC,利用椭圆曲线密码算法计算其相应的公钥rPK_KMC，其中rPK_KMC=rkey_KMC·G，并记γ_id=rPK_id+rPK_KMC；

利用用户标识UID计算标识私钥key_id和标识公钥R_id，具体为：

生成私钥矩阵和公钥矩阵，私钥矩阵和公钥矩阵的大小均为m×h，m和h均为正整数；

利用用户标识UID使用散列算法计算用户标识UID的散列值，将所述散列值分为m段，作为私钥矩阵和公钥矩阵的列映射值map[i]，i=0,1,2......m-1；

计算 ${\mathrm{key}}_{\mathrm{id}}=\left(\underset{i=0}{\overset{m-1}{\mathrm{\Σ}}}{r}_{i,\mathrm{map}\left[i\right]}\right)\mathrm{mod}n,R_{\mathrm{id}}=\left(\underset{i=0}{\overset{m-1}{\mathrm{\Σ}}}{X}_{i,\mathrm{map}\left[i\right]}\right)\mathrm{mod}n;$

其中，

r_i,map[i]为私钥矩阵中的一个元素；

X_i,map[i]为公钥矩阵中的一个元素；

n为椭圆曲线的阶；

步骤3、密钥管理子系统利用标识私钥key_id对γ_id进行签名，并发布γ_id和公钥矩阵，以使验证方利用用户标识UID、公钥矩阵和γ_id得到用户公钥pk，其中，pk=γ_id+R_id；

步骤4、密钥管理子系统计算用户私钥生成因子s，其中，s=rkey_KMC+key_id，利用公钥rPK_id加密用户私钥生成因子s得到密文数据，并将所述密文数据发送给用户终端实体；

步骤5、用户终端实体利用随机数rkey_id对密文数据进行解密，得到用户私钥生成因子s，并计算用户私钥sk_id；

其中，sk_id=s+rkey_id。

优选的，步骤1和步骤2之间还有以下步骤：

注册管理子系统接收公钥rPK_id和用户标识UID，并进行审核，审核通过后，向密钥管理子系统转发所述公钥rPK_id和用户标识UID。

优选的，在步骤2中，所述散列算法为SHA-1散列算法。

优选的，在步骤4中，利用公钥rPK_id加密用户私钥生成因子s得到密文数据的过程所采用的算法为非对称加密算法；在步骤5中，利用公钥rPK_id对密文数据进行解密的过程所采用的算法也为非对称加密算法。

本发明具有如下有益效果：

实现在不安全的环境下密钥的生成和发放，能够防止密钥管理子系统恶意仿冒用户私钥进行非法操作，防止密钥管理子系统被复制和被篡改，抗共谋，保护用户隐私。

附图说明

图1为本发明较佳实施例的基于组合密钥体系的密钥生成和发放方法的流程图。

具体实施方式

下面，结合附图以及具体实施方式，对本发明做进一步描述。

如图1所示，一种基于组合密钥体系的密钥生成和发放方法，其应用于密钥认证系统中。所述密钥认证系统包括用户终端实体、密钥管理子系统和注册管理子系统。

本实施例基于椭圆曲线密码算法（ECC）构建。椭圆曲线离散对数难题是本方法安全性的数学基础。所选用的椭圆曲线群与五元组（a，b，G，n，p）定义：

p：是一个大素数，椭圆曲线建于模p的有限域上。

a，b：是小于p的非负整数，定于三次方程y³=x³+ax+b（modp），所有满足方程的小于p的非负整数对（x，y）加上一个无穷远点O，构成椭圆曲线群Ep（a，b）。

G：是基点，有它的所有倍点构成椭圆曲线群Ep（a，b）的子群<G>。

n：是一个大素数，是基点G生成椭圆曲线群的子群<G>的阶。

本实施例的密钥生成和发放方法过程如下：

步骤1、用户终端实体生成随机数rkey_id，利用椭圆曲线密码算法计算其相应的公钥rPK_id，其中rPK_id=rkey_id·G，G为椭圆曲线的基点；

步骤2、用户终端实体将公钥rPK_id和用户标识UID发送给注册管理子系统，发起注册申请；

步骤3、注册管理子系统接收公钥rPK_id和用户标识UID，并对用户身份真实性进行审核，审核通过后，向密钥管理子系统转发所述公钥rPK_id和用户标识UID；

步骤4、密钥管理子系统接收公钥rPK_id和用户标识UID，生成随机数rkey_KMC,利用椭圆曲线密码算法计算其相应的公钥rPK_KMC，其中rPK_KMC=rkey_KMC·G，并记γ_id=rPK_id+rPK_KMC=rkey_kmc·G+rkey_id·G；

利用用户标识UID计算标识私钥key_id和标识公钥R_id，从而形成一个用户标识UID的公私钥对，具体为：

生成私钥矩阵和公钥矩阵，私钥矩阵和公钥矩阵的大小均为m×h，m和h均为正整数；

利用用户标识UID使用SHA-1散列算法计算用户标识UID的散列值，将所述散列值分为m段，作为私钥矩阵和公钥矩阵的列映射值map[i]，i=0,1,2......m-1；

计算 ${\mathrm{key}}_{\mathrm{id}}=\left(\underset{i=0}{\overset{m-1}{\mathrm{\&Sigma;}}}{r}_{i,\mathrm{map}\left[i\right]}\right)\mathrm{mod}n,R_{\mathrm{id}}=\left(\underset{i=0}{\overset{m-1}{\mathrm{\&Sigma;}}}{X}_{i,\mathrm{map}\left[i\right]}\right)\mathrm{mod}n;$

其中，

r_i,map[i]为私钥矩阵中的一个元素；

X_i,map[i]为公钥矩阵中的一个元素；

n为椭圆曲线的阶；

步骤5、密钥管理子系统利用标识私钥key_id对γ_id进行签名，并发布γ_id和公钥矩阵，以使验证方利用用户标识UID、公钥矩阵和γ_id得到用户公钥pk，其中，pk=γ_id+R_id；

步骤6、密钥管理子系统计算用户私钥生成因子s，其中，s=rkey_KMC+key_id，利用公钥rPK_id加密用户私钥生成因子s得到密文数据，并将所述密文数据发送给用户终端实体；利用公钥rPK_id加密用户私钥生成因子s得到密文数据的过程所采用的算法为非对称加密算法；

步骤7、用户终端实体利用随机数rkey_id对密文数据进行解密，得到用户私钥生成因子s，并计算用户私钥sk_id；其中，sk_id=s+rkey_id=rkey_KMC+key_id+rkey_id。利用公钥rPK_id对密文数据进行解密的过程所采用的算法也为非对称加密算法。

本实施例具有如下优势：

1.抗共谋：

用户终端实体从密钥管理子系统获得用户私钥生成因子s=rkey_KMC+key_id，因为rkey_KMC为密钥管理子系统随机生成的，因此用户无法获得key_id值，从而无法通过获得足够多的用户key_id的值，列出多项式，计算密钥管理子系统公私钥矩阵各个元素的值。因此，本实施例能够有效地解决共谋的问题。

2.解决用户私钥私隐性问题：

用户私钥由密钥管理子系统掌控的标识私钥key_id、密钥管理子系统生成随机数rkey_KMC和用户终端实体生成随机数rkey_id共同作用生成的，最终在用户终端实体生成获取，并且严格保密的。无论是密钥管理子系统抑或是不掌握系统主密钥的任何攻击者皆不可能生成对应该用户标识的私钥。

3.解决了用户私钥发放的安全性问题：

在现有技术的密钥认证系统中，用户标识与公钥是一体的，与用户标识对应的私钥必须严格保密，需由密钥管理子系统在其掌控的主密钥和用户标识共同作用下生成。然而，由于密钥管理子系统掌控了系统主密钥，能生成对应与系统所有用户标识的私钥，因此用户不拥有对自身私钥独享的专有权，只适用于系统内所有用户对密钥管理系统中心都完全信任的封闭系统。然而，在不安全的环境中，不能确认密钥管理子系统是否可信的情况下，这种用户私钥的发放方法可能并不适用。

而在本实施例中，因为用户私钥计算所需的用户随机数rkey_id不与密钥管理子系统共享，并且用户的私钥最终是在用户实体终端产生的，因此密钥管理子系统无法计算用户私钥。因此，密钥管理子系统也就不具备恶意仿冒用户私钥进行非法操作的条件。

4.密钥管理子系统防篡改：

本实施例密钥生成的过程是由用户终端实体生成随机数rkey_id发起的，密钥管理子系统在密钥生成和分发的过程中，负责生成随机数rkey_KMC并利用用户标识UID计算标识私钥key_id，其公布的γ_id=rPK_id+rPK_KMC=rkey_kmc·G+rkey_id·G是经过密钥管理子系统使用标识私钥key_id进行签名，验证方可以利用对应的公钥对γ_id进行验证。

5.可事后溯源：

在本实施例中，假设存在用户终端实体A、密钥管理子系统KMC，和验证方C，A与C需要进行安全可信的通信，其流程如下所述：

第一步：密钥管理子系统生成随机数rkey_KMC，并且利用用户标识UID生成用户标识私钥key_id和标识公钥R_id，记γ_id=rPK_id+rPK_KMC=rkey_kmc·G+rkey_id·G，记用户公钥pk=skG=（s+rkey_id）G=(rkey_KMC+key_id+rkey_id)G=γ_id+R_id；

第二步，密钥管理子系统使用用户的标识私钥对γ_id签名，发布γ_id和公钥矩阵，其中公钥矩阵可以计算标识公钥，用于对相应γ_id进行签名验证；

第三步，验证方C利用用户终端实体A的标识UID及公布的公钥矩阵计算用户的标识公钥R_id；另外，用户根据密钥管理子系统公布的γ_id，通过以下公式计算出用户公钥：

用户公钥pk=skG=（s+rkey_id）G=(rkey_KMC+key_id+rkey_id)G=γ_id+R_id。

第四步，验证方C与用户终端实体A的通信时，验证方C可利用用户终端实体A的用户公钥pk对通信的内容进行加密发给用户终端实体A，用户终端实体A使用自己的用户私钥sk_id解密可以获得通信内容；用户终端实体A将通信内容利用用户私钥sk_id进行签名并发送给验证方C，验证方C收到后使用其用户公钥pk进行验证，可鉴别内容为用户终端实体A发出。

在上述举例中，假设用户终端实体A和验证方C发生通信，需要通过密钥管理子系统KMC转发数据，其过程如下所述：

第一步，密钥管理子系统KMC自行生成私钥sk’和公钥pk’，并且公布相关的公钥矩阵和γ'_id；

第二步，使用sk’对通信内容进行签名后，冒认为用户终端实体A与验证方C进行通信；

第三步，验证方C收到通信内容后，使用pk’对签名进行验证。pk’=R’_id+γ'_id，其中R’_id为利用密钥管理子系统公布的公钥矩阵生成的。

第四步，验证方C利用pk’将通信内容加密后，发给冒认为用户终端实体A的密钥管理子系统KMC。

第五步，密钥管理子系统收到验证方C的通信内容后，可以利用sk’解密获得通信内容。同理，密钥管理子系统KMC可以冒认验证方C将该通信内容转发给用户A。

在上述情况下，密钥管理子系统KMC非法获取了用户终端实体A和验证方之间的通信内容。但是在本实施例提供的方法中，参与密钥交换的只有用户终端实体A、验证方C和密钥管理子系统KMC；因此，在用户终端实体A和验证方C通信过程中出现问题，密钥管理子系统的责任则是不可抵赖的，是可追溯的。

本实施例的整体构思是基于椭圆曲线密码算法，构造统一的密钥生成参数，再以用户标识为输入参数，通过组合算法从密钥生成参数得到大规模的用户私钥生成因子，发给用户后，用户自行生成自己的用户私钥。

密钥生成参数由具有对应关系的公钥矩阵和私钥矩阵组成。

用户公钥的生成参数可为用户标识、密钥管理子系统生成随机数、用户终端实体生成随机数、公钥矩阵和组合算法；

用户私钥的生成参数可为用户标识、密钥管理子系统生成随机数、用户终端生成随机数、私钥矩阵和组合算法，其中私钥矩阵为保密数据，公钥矩阵和组合算法为公开参数。

系统可通过随机密钥生成方法达到保护用户私钥的安全效果，另外，本实施例使用椭圆曲线算法机制构造统一的密钥生成参数，具有较高的安全性，下面详细说明。

本实施例中密钥认证系统包括：用户终端实体、密钥管理子系统和注册管理子系统，其中：

用户终端实体，主要用于：

（1）生成用户随机数rkey_id。

（2）以用户标识信息发起申请用户标识证书

（3）并且最终生成用户私钥。用户终端实体生成用户私钥是通过接收到密钥管理子系统生成的密文数据，用户私钥rkey_id解密密文数据，得到用户私钥生成因子s。记s=rkey_KMC+key_id。通过公式计算用户私钥，并且保密存储。

sk_id=rkey_KMC+key_id+rkey_id。

具体实现时，主要是指使用密钥认证系统安全认证功能的用户、应用程序或设备。

密钥管理子系统，主要用于生成KMC随机数，以所述用户标识、所述用户标识密钥及用户标识组合算法生成用户公开密钥，签发包含所述用户公开密钥和生成用户私有密钥所需的文件，具体实现时，密钥管理子系统负责初始化系统的公/私钥矩阵，发布公钥矩阵，接受注册管理子系统的申请，产生指定用户终端实体（名）的密钥对，签发用户标识证书，并将其返回给注册管理子系统；

另外，密钥管理子系统根据用户标识信息以及公钥矩阵/私钥矩阵自动生成用户公钥及签发用于用户生成私钥所需的信息，形成能为系统识别的用户标识证书，下面详细介绍密钥管理子系统中用户密钥的生成原理。

密钥管理子系统接收到用户申请后，对用户的标识UID计算出标识密钥key_id。

此外，密钥管理子系统将生成随机数rkey_KMC，并且将rkey_KMC与key_id相加得到用户私钥生成因子s，并且通过秘密途径发给用户终端实体。同时，定义γ_id=rPK_id+rPK_KMC=rkey_kmc·G+rkey_id·G。

密钥管理子系统使用标识私钥key_id对其公布的γ_id=rPK_id+rPK_KMC=rkey_kmc·G+rkey_id·G进行签名，验证方可以利用对应的用户公钥对γ_id进行验证。

通过公式,密钥管理子系统可以计算出用户的公钥。

pk_id=sk_idG

=(s+rkey_id)G

=(rkey_kmc+key_id+rkey_id)G

=γ_id+key_idG=γ_id+R_id。

注册管理子系统，主要用于审核发起申请的用户终端实体的真实性和合法性，并在审核通过后代理用户终端实体向密钥管理子系统申请用户标识证书及将密钥管理子系统签发的用户标识证书发送给申请的用户终端实体，具体实现时，其主要实现管理、维护并发布统一的用户标识空间，存储和发布作废的用户终端实体名称，以及包含用户注册功能、标识注销、用户信息管理功能，其中：

用户信息注册：注册和登记人名、身份证号、办理的签名类；并进行查询，判断是否有重复。如有重复，则重新定义。注册机保留用户的曾用名(挂失)和现用名；检查该用户是否第一次申请，如果是，则将各要素记录在案。

标识注销：对失效或不能再使用的用户标识进行注销，系统应维护已注销的用户标识，注销后的用户标识不能重新注册使用。

用户信息管理：对用户的信息进行维护操作。

下面以一个具体例子说明本实施例的密钥生成和发放方法：

假设：密钥认证系统使用的密钥矩阵大小为32×32（即假设m=h=32），所述密钥矩阵包括私钥矩阵和公钥矩阵。

第一步，用户终端实体生成随机数rkey_id，计算相应公钥rPK_id，连同用户的标识UID发给注册管理子系统。

第二步，注册管理子系统审核发起申请的用户终端实体的真实性和合法性，并在审核通过后代理用户终端实体向密钥管理子系统申请用户标识证书。

第三步，密钥管理子系统收到申请用户的标识证书后，利用用户标识UID使用SHA-1散列算法计算用户标识UID的散列值，长度为160位。将散列值分为32段，每段为5位，作为列映射值map[i]，（i=0...31）。

第四步，计算标识密钥：

标识私钥计算公式为：

其中，r_i,map[i]为私钥矩阵中的一个元素，n为椭圆曲线的阶，map[i]相当于j。

标识公钥计算公式为：

其中X_i,map[i]为公钥矩阵中的一个元素。

至此，形成了一个基于用户标识UID的标识公钥和标识私钥对应关系。

此外，密钥管理子系统生成随机数rkey_KMC,记用户私钥生成因子为s=key_id+rkey_KMC，是保密的；而公钥是公开的，因此只要知道对方的用户标识都可以计算对方的公钥。

密钥管理子系统还负责公钥矩阵的发放。密钥管理子系统可通过任何快捷方便的途径将公钥生成基文件发布给系统的终端实体，公钥生成基的完整性由公钥生成基文件内部结构保证。

具体实现时，所述密钥管理子系统可包括：

获取单元，用于获取用户标识及用户公钥矩阵/私钥矩阵；

映射单元，用于将所述用户标识按照下述组合算法映射成一组映射值：

Map（UID）={M₁，M₂，M₃......M_m}

其中Map为由不同UID得到的映射值不同，而对同一UID得到的映射值总相同的组合算法，{M₁，M₂，M₃......M_m}为映射值，M_i为0-h之间的整数；

密钥生成单元，用于将所述用户标识映射的该组映射值{M₁，M₂，M₃......M_m}为依据，从公钥矩阵/私钥矩阵中的密钥矩阵里选择对应部分元素得到该用户标识对应的密钥对。

第五步，用户终端实体收到用户私钥生成因子s后，计算出用户私钥skid。

第六步：将用户公钥集合签名，防止被篡改，签名发布。将γ_id的集合按一定规则排列，使用用户标识私钥key_id进行签名后发布。

对于本领域的技术人员来说，可根据以上描述的技术方案以及构思，做出其它各种相应的改变以及变形，而所有的这些改变以及变形都应该属于本发明权利要求的保护范围之内。

Claims (4)

1.基于组合密钥体系的密钥生成和发放方法，其特征在于，包括以下步骤：

步骤1、用户终端实体生成随机数rkey_id，利用椭圆曲线密码算法计算其相应的公钥rPK_id，其中rPK_id=rkey_id·G，G为椭圆曲线的基点，将公钥rPK_id和用户标识UID对外发送；

步骤2、密钥管理子系统接收公钥rPK_id和用户标识UID，生成随机数rkey_KMC,利用椭圆曲线密码算法计算其相应的公钥rPK_KMC，其中rPK_KMC=rkey_KMC·G，并记γ_id=rPK_id+rPK_KMC；

利用用户标识UID计算标识私钥key_id和标识公钥R_id，具体为：

生成私钥矩阵和公钥矩阵，私钥矩阵和公钥矩阵的大小均为m×h，m和h均为正整数；

利用用户标识UID使用散列算法计算用户标识UID的散列值，将所述散列值分为m段，作为私钥矩阵和公钥矩阵的列映射值map[i]，i=0,1,2......m-1；

计算 ${\mathrm{key}}_{\mathrm{id}}=\left(\underset{i=0}{\overset{m-1}{\mathrm{\&Sigma;}}}{r}_{i,\mathrm{map}\left[i\right]}\right)\mathrm{mod}n,R_{\mathrm{id}}=\left(\underset{i=0}{\overset{m-1}{\mathrm{\&Sigma;}}}{X}_{i,\mathrm{map}\left[i\right]}\right)\mathrm{mod}n;$

其中，

r_i,map[i]为私钥矩阵中的一个元素；

X_i,map[i]为公钥矩阵中的一个元素；

n为椭圆曲线的阶；

步骤3、密钥管理子系统利用标识私钥key_id对γ_id进行签名，并发布γ_id和公钥矩阵，以使验证方利用用户标识UID、公钥矩阵和γ_id得到用户公钥pk，其中，pk=γ_id+R_id；

步骤4、密钥管理子系统计算用户私钥生成因子s，其中，s=rkey_KMC+key_id，利用公钥rPK_id加密用户私钥生成因子s得到密文数据，并将所述密文数据发送给用户终端实体；

步骤5、用户终端实体利用随机数rkey_id对密文数据进行解密，得到用户私钥生成因子s，并计算用户私钥sk_id；

其中，sk_id=s+rkey_id。

2.如权利要求1所述的基于组合密钥体系的密钥生成和发放方法，其特征在于，步骤1和步骤2之间还有以下步骤：

注册管理子系统接收公钥rPK_id和用户标识UID，并进行审核，审核通过后，向密钥管理子系统转发所述公钥rPK_id和用户标识UID。

3.如权利要求1所述的基于组合密钥体系的密钥生成和发放方法，其特征在于，在步骤2中，所述散列算法为SHA-1散列算法。

4.如权利要求1所述的基于组合密钥体系的密钥生成和发放方法，其特征在于，在步骤4中，利用公钥rPK_id加密用户私钥生成因子s得到密文数据的过程所采用的算法为非对称加密算法；在步骤5中，利用公钥rPK_id对密文数据进行解密的过程所采用的算法也为非对称加密算法。

Images