CN105450396B - 一种无证书的组合密钥产生及应用方法 - Google Patents

Abstract

本发明公开了一种无证书的组合密钥产生及应用方法，包括如下步骤：S1.服务器端生成椭圆曲线和skm、pkm，并公布椭圆曲线的参数和pkm；S2.客户端生成ID、xID和PK_uk，并把ID、PK_uk上传至服务器端；S3.服务器端生成SK_ID和PK_ID，rID和PK_rID；S4.服务器端生成PKE和SKE，PKS；S5.服务端将SKE下发至客户端，并广播ID、PKE和PKS；S6.客户端通过xID和SKE生成SKS，通过SKE解密加密信息，通过SKS签名验证信息；S7.一般客户端通过PKE加密解密信息，通过PKS验证签名信息。本发明解决了组合公钥技术的求和碰撞、线性共谋和个体签名的不可抵赖性等问题。

Description

一种无证书的组合密钥产生及应用方法

技术领域

本发明涉及信息安全组合密钥领域，尤其涉及一种无证书的组合密钥产生及应用方法。

背景技术

PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。1984年密码学家Shamir提出标识密码系统。标识密码系统中,用户标识就是该用户的公钥。由于技术的局限,一直没有计算效率比较好的标识密码系统实现方案。

我国学者唐文、南相浩、陈钟2003年提出“基于椭圆曲线密钥系统的组合公钥技术”，其核心思想是：构造随机整数矩阵作为私钥种子矩阵；对应地计算出公钥种子矩阵；用映射算法完成用户标识与矩阵列指标的对应；分别用大整数加法和ECC点加计算出私钥和公钥。组合公钥技术给出了解决基于标识的公钥密码生成的一种优化方法，但是没有能解决线性共谋与求和碰撞问题，导致组合公钥技术不能大范围使用。

S.S.Al-Riyami,K.G.Paterson在2003年提出无证书公钥密码系统，该体系是在基于身份的公钥密码体制的基础上提出来的一种新型公钥密码体制，不需要使用公钥证书。

在无证书的公钥密码系统中，有一个可信的第三方密钥生成中心KGC(KeyGeneration Center)，它拥有系统的主密钥(Master Key).KGC的作用是根据用户的身份和系统主密钥计算用户的部分私钥，并安全地传送给用户。在安全地收到自己的部分私钥后，用户再使用自己的部分私钥和自己随机选择的一个秘密值生成自己完整的私钥，公钥由自己的秘密值、身份和系统参数计算得出，并以可靠的方式公布。之后，就可以用自己的私钥进行解密和签名。在这样的系统中，KGC无法得知任何用户的私钥。从而，无证书密码体制有效克服了基于身份系统中的私钥托管问题。但是这样方案在加解密的司法取证方面遇到了困难。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种解决了组合公钥技术的碰撞和线性共谋问题，克服了标识密码体制的缺点的无证书的组合密钥产生及应用方法。

为解决上述技术问题，本发明提出的技术方案为：一种无证书的组合密钥产生及应用方法，包括如下步骤：

S1.服务器端生成椭圆曲线和2^h×2^k的私钥种子矩阵skm、2^h×2^k的公钥种子矩阵pkm，并公布所述椭圆曲线的参数和所述公钥种子矩阵pkm，所述椭圆曲线的参数包括椭圆曲线基点G；

S2.客户端生成个体标识ID、部分签名私钥xID和部分签名公钥PK_uk，并把个体标识ID、部分签名公钥PK_uk上传至服务器端；

S3.服务器端生成个体标识私钥SK_ID和个体标识公钥PK_ID，并生成服务器端随机私钥rID和服务器端随机公钥PK_rID；

S4.服务器端根据所述个体标识私钥SK_ID、个体标识公钥PK_ID、服务器端随机私钥rID和服务器端随机公钥PK_rID生成个体加密公钥PKE和个体解密私钥SKE，并生成个体验签名公钥PKS；

S5.服务端将所述个体解密私钥SKE通过安全渠道下发至客户端，并广播个体标识ID、个体加密公钥PKE和个体验签名公钥PKS；

S6.客户端通过所述部分签名私钥xID和个体解密私钥SKE生成个体签名私钥SKS，通过个体解密私钥SKE解密加密信息，通过个体签名私钥SKS签名验证信息；

S7.一般客户端通过个体加密公钥PKE加密解密信息，通过个体验签名公钥PKS验证签名信息。

作为本发明的进一步改进，所述私钥种子矩阵skm中任意两元素的值均不相同，所述公钥种子矩阵pkm中任意两元素的值均不相同。

作为本发明的进一步改进，所述步骤S1中服务器端生成私钥种子矩阵skm的方法包括：以m个比特位的二进制整数表示所述私钥种子矩阵中的每一个元素，并将每个元素按比特位从低至高依次划分为占Lr个比特位的低位随机区、占h个比特位的低位常值区、占2^h×k个比特位的中位构造区和占h+2个比特位的高位常值区，其中Lr>2^h×k+2h；所述低位随机区中各比特位随机填充，所述低位常值区中各比特位均为0；所述高位常值区中各比特位均为0；构造所述中位构造区使得所述私钥种子矩阵skm中任意两个元素的中位构造区的二进制值均不相同；

所述步骤S1中服务器端生成公钥种子矩阵的方法包括：将所述椭圆曲线基点G与所述私钥种子矩阵skm中的每个元素相乘，得到所述公钥种子矩阵pkm。

作为本发明的进一步改进，构造所述中位构造区使得所述私钥种子矩阵skm中任意两个元素的中位构造区的二进制值均不相同的步骤包括：

S1.1.对于所述私钥种子矩阵skm中的第i(i＝1,2,...,2^h)行，该行每个元素的中位构造区从低位至高位的第k×(i-1)+1位至第k×i位随机填充占k个比特位的不重复的二进制数；所述每个元素的中位构造区的其它比特位均填充0；

S1.2.对所述私钥种子矩阵skm中的第i(i＝1,2,...,2^h)行，生成一个占2^h×k个比特位随机二进制数，所述私钥种子矩阵skm的第i(i＝1,2,...,2^h)行中的每个元素中位构造区的二进制数与所述随机二进制数相加，得到增加随机数后的私钥种子矩阵skm的第i(i＝1,2,...,2^h)行。

作为本发明的进一步改进，所述步骤S2中，所述个体标识ID包括：根据个体标识的管理规则，用于唯一确定客户端身份的标识；

所述生成部分签名私钥xID的具体步骤包括：所述客户端生成具有m个比特位的部分签名私钥xID，所述部分签名私钥xID包括Lr个比特位的签名私钥随机区，m-Lr-2个比特位的签名私钥常值区和2个比特位的签名私钥高位区；所述签名私钥随机区中各比特位随机取值，所述签名私钥常值区各比特位均取0，所述签名私钥高位区取值为11或10或01；

所述生成部分签名公钥PK_uk的具体步骤包括：将所述部分签名私钥xID乘以所述椭圆曲线基点G得到部分签名公钥PK_uk。

作为本发明的进一步改进，所述步骤S3中，所述服务器端生成个体标识私钥SK_ID和个体标识公钥PK_ID的具体步骤S3.1包括：

S3.1.1.服务器端通过Hash函数计算得到占2^h×k个比特位的个体标识ID的Hash值；

S3.1.2.将所述个体标识ID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；

S3.1.3.以所述区间号为行号，以所述区间所代表的二进制整数为列号，依次从所述私钥种子矩阵skm中选择具有所述行号和列号的元素相加做和得到所述个体标识私钥SK_ID；

S3.1.4.依次从所述公钥种子矩阵pkm中选择具有所述行号和列号的元素相加做和得到所述个体标识公钥PK_ID；

所述生成服务器端随机私钥rID和服务器端随机公钥PK_rID的具体步骤S3.2包括：

S3.2.1.服务器端根据所述个体标识ID构造新个体标识eID，所述新个体标识eID的构造方法如式(1)所示：

eID＝ID||申请日期||有效日期 (1)

其中运算“||”是指比特串的拼接；

S3.2.2.服务器端通过Hash函数计算得到占2^h×k个比特位的新个体标识eID的Hash值；

S3.2.3.将所述个体标识eID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；

S3.2.4.以所述区间号为行号，以所述区间所代表的二进制整数为列号，依次从所述私钥种子矩阵skm中选择具有所述行号和列号的元素相加做和得到新个体标识SK_eID；

S3.2.5.把新个体标识SK_eID当做标识，服务器端通过Hash函数计算得到占2^h×k个比特位的新个体标识SK_eID的Hash值；

S3.2.6.将所述个体标识SK_eID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；

S3.2.7.以所述区间号为行号，以所述区间所代表的二进制整数为列号，依次从所述私钥种子矩阵skm中选择具有所述行号和列号的元素相加做和得到整数SK；

S3.2.8.在所述整数SK中选取中位区、往左依次连续选取高位区h个比特、往右依次连续选取低位上Lr-2^h×k-h个比特位，得到占Lr个比特位的整数，作为服务器端随机私钥rID；

S3.2.9.将所述服务器端随机私钥rID乘以所述椭圆曲线基点G得到所述服务器端随机公钥PK_rID。

作为本发明的进一步改进，所述步骤S4中生成个体加密公钥PKE的步骤如式(2)所示：

PKE＝PK_ID+PK_rID (2)

生成个体解密私钥SKE的步骤如式(3)所示：

SKE＝SK_ID+rID (3)

所述生成个体验签名公钥PKS的步骤如式(4)所示：

PKS＝PK_uk+PKE＝PK_uk+PK_ID+PK_rID (4)。

作为本发明的进一步改进，所述步骤S5的具体步骤包括：

S5.1.所述服务端根据所述部分签名公钥PK_uk对所述个体解密私钥SKE进行加密，得到PK_uk[SKE]；并根据所述个体标识私钥SK_ID对所述个体加密公钥PKE和所述个体验签名公钥PKS进行签名，得到SK_ID[PKE]和SK_ID[PKS]；

S5.2.服务器端将PK_uk[SKE]，ID||PKE||SK_ID[PKE]和ID||PKS||SK_ID[PKS]通过安全渠道下发至客户端；

S5.3.服务端将ID||PKE||SK_ID[PKE]和ID||PKS||SK_ID[PKS]通过广播渠道进行广播。

作为本发明的进一步改进，所述步骤S6的具体步骤包括：客户端获取服务器端通过安全渠道下发的PK_uk[SKE]，ID||PKE||SK_ID[PKE]||和ID||PKS||SK_ID[PKS]，通过所述部分签名私钥xID解密PK_uk[SKE]，得到个体解密私钥SKE；

所述生成个体签名私钥SKS的步骤如式(5)所示：

SKS＝xID+SKE＝xID+SK_ID+rID (5)。

作为本发明的进一步改进，所述步骤S7的具体步骤包括：

S7.1.所述一般客户端获取服务器端广播的ID||PKE||SK_ID[PKE]和ID||PKS||SK_ID[PKS]，建立自己的通讯录，并获取服务器端广播的公钥种子矩阵pkm；

S7.2.所述一般客户端通过Hash函数计算得到占2^h×k个比特位的个体标识ID的Hash值；

S7.3.所述一般客户端将所述个体标识ID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；

S7.4.所述一般客户端以所述区间号为行号，以所述区间所代表的二进制整数为列号，依次从所述公钥种子矩阵pkm中选择具有所述行号和列号的元素相加做和得到所述个体标识公钥PK_ID；

S7.5.所述一般客户端用所述个体标识公钥PK_ID验证SK_ID[PKE]和SK_ID[PKS]，得到个体加密公钥PKE和个体验签名公钥PKS，一般客户端通过个体加密公钥PKE进行加密，通过个体验签名公钥PKS验证签名。

与现有技术相比，本发明的优点在于：

1、本发明私钥种子矩阵skm和公钥种子矩阵pkm中每一行任取一个元素，只要对应的列指标不完全相同，其和一定不相同，从而解决了组合公钥的求和碰撞问题。

2、本发明所生成的个体签名私钥SKS采用如式(5)所示的三部分合成，解决了个体签名的不可抵赖性，保证了该个体签名私钥SKS具有标识性。

3、本发明采用个体私钥加入随机数的办法，解决了组合公钥的线性共谋问题和基于标识的公钥体系的公私钥对的更新问题。

4、本发明给出了个体加密公钥PKE和个体验签公钥PKS的数据格式，解决了用户的离线应用问题。

附图说明

图1为本发明的流程图。

图2为本发明私钥种子矩阵skm的产生流程图。

图3为本发明私钥种子矩阵skm中各元素二进制整数区块划分示意图。

图4为本发明部分签名私钥二进制整数区块划分示意图。

具体实施方式

以下结合说明书附图和具体优选的实施例对本发明作进一步描述，但并不因此而限制本发明的保护范围。

如图1所示，本实施例一种无证书的组合密钥产生及应用方法，包括如下步骤：S1.服务器端生成椭圆曲线和2^h×2^k的私钥种子矩阵skm、2^h×2^k的公钥种子矩阵pkm，并公布椭圆曲线的参数和公钥种子矩阵pkm，椭圆曲线的参数包括椭圆曲线基点G；S2.客户端生成个体标识ID、部分签名私钥xID和部分签名公钥PK_uk，并把个体标识ID、部分签名公钥PK_uk上传至服务器端；S3.服务器端生成个体标识私钥SK_ID和个体标识公钥PK_ID，并生成服务器端随机私钥rID和服务器端随机公钥PK_rID；S4.服务器端根据个体标识私钥SK_ID、个体标识公钥PK_ID、服务器端随机私钥rID和服务器端随机公钥PK_rID生成个体加密公钥PKE和个体解密私钥SKE，并生成个体验签名公钥PKS；S5.服务端将个体解密私钥SKE通过安全渠道下发至客户端，并广播个体标识ID、个体加密公钥PKE和个体验签名公钥PKS；S6.客户端通过部分签名私钥xID和个体解密私钥SKE生成个体签名私钥SKS，通过个体解密私钥SKE解密加密信息，通过个体签名私钥SKS签名验证信息；S7.一般客户端通过个体加密公钥PKE加密解密信息，通过个体验签名公钥PKS验证签名信息。私钥种子矩阵skm中任意两元素的值均不相同，公钥种子矩阵pkm中任意两元素的值均不相同。

如图2所示，在本实施例中，步骤S1中服务器端生成私钥种子矩阵skm的方法为：以m个比特位的二进制整数表示私钥种子矩阵中的每一个元素，并将每个元素按比特位从低至高依次划分为占Lr个比特位的低位随机区、占h个比特位的低位常值区、占2^h×k个比特位的中位构造区和占h+2个比特位的高位常值区，其中Lr>2^h×k+2h；低位随机区中各比特位随机填充，低位常值区中各比特位均为0；高位常值区中各比特位均为0；构造中位构造区使得私钥种子矩阵skm中任意两个元素的中位构造区的二进制值均不相同；步骤S1中服务器端生成公钥种子矩阵的方法包括：将椭圆曲线基点G与私钥种子矩阵skm中的每个元素相乘，得到公钥种子矩阵pkm。如图3所示，在本实施例中，为了保证算法具有较高的安全系数，低位随机区的比特位数Lr>max{160，2^h×k+2h}，低位常值区的比特位数为h，高位常值区的比特位数h+2，因此，私钥种子矩阵skm和公钥种子矩阵pkm中的每个元素的比特位数m>162+2×h+2^h×k，根据m的取值，确定私钥种子矩阵skm和公钥种子矩阵pkm的阶数，即确定h和k的取值。

在本实施例中，构造中位构造区使得私钥种子矩阵skm中任意两个元素的中位构造区的二进制值均不相同的步骤为：S1.1.对于私钥种子矩阵skm中的第i(i＝1,2,...,2^h)行，该行每个元素的中位构造区从低位至高位的第k×(i-1)+1位至第k×i位随机填充占k个比特位的不重复的二进制数；每个元素的中位构造区的其它比特位均填充0。该实施例中占k个比特位的不重复的二进制数为整数0至2^k-1中的一个，且该整数在该行中只使用一次。如k为8，整数3的8位二进制数表示为00000011。S1.2.对私钥种子矩阵skm中的第i(i＝1,2,...,2^h)行，生成一个占2^h×k个比特位随机二进制数，私钥种子矩阵skm的第i(i＝1,2,...,2^h)行中的每个元素中位构造区的二进制数与随机二进制数相加，得到增加随机数后的私钥种子矩阵skm的第i(i＝1,2,...,2^h)行。通过本实施例的私钥种子矩阵skm和公钥种子矩阵pkm的构造方法，能够保证在私钥种子矩阵skm和公钥种子矩阵pkm中每一行任取一个元素，只要对应的列指标不完全相同，其和一定不相同，从而解决了组合公钥的求和碰撞问题。

在本实施例步骤S2中，步骤S2中，个体标识ID为根据个体标识的管理规则，用于唯一确定客户端身份的标识。可以是诸如“单位”、“姓名”、“身份证号码”、“手机号码”、“邮箱号”等信息，并确定一定的信息组合模式，通过该信息以组合模式即可以生成可以唯一确定客户端身份的标识，即个体标识ID。如图4所示，生成部分签名私钥xID的具体步骤为：客户端生成具有m个比特位的部分签名私钥xID，部分签名私钥xID包括Lr个比特位的签名私钥随机区，m-Lr-2个比特位的签名私钥常值区和2个比特位的签名私钥高位区；签名私钥随机区中各比特位随机取值，签名私钥常值区各比特位均取0，签名私钥高位区取值为11或10或01。部分签名私钥xID的长度与私钥种子矩阵skm中元素的长度相同，签名私钥随机区的长度与私钥种子矩阵skm中元素的你们随机区的长度相同。生成部分签名公钥PK_uk的具体步骤为：将部分签名私钥xID乘以椭圆曲线基点G得到部分签名公钥PK_uk。客户端将生成的部分签名私钥xID保密存储在客户端中，并将部分签名公钥PK_uk、个体标识ID等信息通过安全渠道上传到服务器端。

在本实施例中，步骤S3中，服务器端生成个体标识私钥SK_ID和个体标识公钥PK_ID的具体步骤为：S3.1.1.服务器端通过Hash函数计算得到占2^h×k个比特位的个体标识ID的Hash值；S3.1.2.将个体标识ID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；S3.1.3.以区间号为行号，以区间所代表的二进制整数为列号，依次从私钥种子矩阵skm中选择具有行号和列号的元素相加做和得到个体标识私钥SK_ID；S3.1.4.依次从公钥种子矩阵pkm中选择具有行号和列号的元素相加做和得到个体标识公钥PK_ID。生成服务器端随机私钥rID和服务器端随机公钥PK_rID的具体步骤为：S3.2.1.服务器端根据个体标识ID构造新个体标识eID，新个体标识eID的构造方法如式(1)所示：

eID＝ID||申请日期||有效日期 (1)

其中运算“||”是指比特串的拼接；在本实施例中，采用申请日期和有效日期作为随机数生成新个体标识，当然也可以采用其它类型的与ID相关的新个体标识；S3.2.2.服务器端通过Hash函数计算得到占2^h×k个比特位的新个体标识eID的Hash值；S3.2.3.将个体标识eID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；S3.2.4.以区间号为行号，以区间所代表的二进制整数为列号，依次从私钥种子矩阵skm中选择具有行号和列号的元素相加做和得到新个体标识SK_eID；S3.2.5.把新个体标识SK_eID当做标识，服务器端通过Hash函数计算得到占2^h×k个比特位的新个体标识SK_eID的Hash值；S3.2.6.将个体标识SK_eID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；S3.2.7.以区间号为行号，以区间所代表的二进制整数为列号，依次从私钥种子矩阵skm中选择具有行号和列号的元素相加做和得到整数SK；S3.2.8.在整数SK中选取中位区、往左依次连续选取高位区h个比特、往右依次连续选取低位上Lr-2^h×k-h个比特位，得到占Lr个比特位的整数，作为服务器端随机私钥rID；S3.2.9.将服务器端随机私钥rID乘以椭圆曲线基点G得到服务器端随机公钥PK_rID。

步骤S4中生成个体加密公钥PKE的步骤如式(2)所示：

PKE＝PK_ID+PK_rID (2)

生成个体解密私钥SKE的步骤如式(3)所示：

SKE＝SK_ID+rID (3)

生成个体验签名公钥PKS的步骤如式(4)所示：

PKS＝PK_uk+PKE＝PK_uk+PK_ID+PK_rID (4)。

在本实施例中，步骤S5的具体步骤为：S5.1.服务端根据部分签名公钥PK_uk对个体解密私钥SKE进行加密，得到PK_uk[SKE]；并根据个体标识私钥SK_ID对个体加密公钥PKE和个体验签名公钥PKS进行签名，得到SK_ID[PKE]和SK_ID[PKS]；S5.2.服务器端将PK_uk[SKE]，ID||PKE||SK_ID[PKE]和ID||PKS||SK_ID[PKS]通过安全渠道下发至客户端；S5.3.服务端将ID||PKE||SK_ID[PKE]和ID||PKS||SK_ID[PKS]通过广播渠道进行广播。

在本实施例中，步骤S6的具体步骤包括：客户端获取服务器端通过安全渠道下发的PK_uk[SKE]，ID||PKE||SK_ID[PKE]||和ID||PKS||SK_ID[PKS]，通过部分签名私钥xID解密PK_uk[SKE]，得到个体解密私钥SKE；生成个体签名私钥SKS的步骤如式(5)所示：

SKS＝xID+SKE＝xID+SK_ID+rID (5)。

在本实施例中，步骤S7的具体步骤为：S7.1.一般客户端获取服务器端广播的ID||PKE||SK_ID[PKE]和ID||PKS||SK_ID[PKS]，建立自己的通讯录，并获取服务器端广播的公钥种子矩阵pkm；S7.2.一般客户端通过Hash函数计算得到占2^h×k个比特位的个体标识ID的Hash值；S7.3.一般客户端将个体标识ID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；S7.4.一般客户端以区间号为行号，以区间所代表的二进制整数为列号，依次从公钥种子矩阵pkm中选择具有行号和列号的元素相加做和得到个体标识公钥PK_ID；S7.5.一般客户端用个体标识公钥PK_ID验证SK_ID[PKE]和SK_ID[PKS]，得到个体加密公钥PKE和个体验签名公钥PKS，一般客户端通过个体加密公钥PKE进行加密，通过个体验签名公钥PKS验证签名。

本实施例对给定的个体标识ID，可以生成个体加密公钥PKE和个体解密私钥SKE，个体验签名公钥PKS和个体签名私钥SKS；对于不同的个体标识ID，对应的解密私钥对和签名私钥对均不相同；对于同一个个体标识ID，其加解密私钥对与签名私钥也不相同。解决了组合公钥的碰撞问题。

本实施例所生成的个体签名私钥SKS采用如式(5)所示的三部分合成，解决了个体签名的不可抵赖性，同时保证了个体签名私钥SKS具有标识性。

在本实施例中，通过如式(1)所示的方法构造新个体标识eID，构造了一个随机数，解决了基于标识的公钥体系的公私钥对的更新问题；解决了组合公钥的线性共谋问题；该随机数是通过计算得出的，不需要保存，同时解决了加解密的司法取证问题。

在本实施例中，服务端将数据格式“ID||PKE||SK_ID[PKE]”和“ID||PKS||SK_ID[PKS]”下发到客户端，同时通过广播渠道进行广播；一般客户端可以从客户端处获得含标识的数据格式，也可以从广播渠道获得包括客户端个体标识ID的数据格式，建立自己的通讯录；一般客户端可以利用自己的通讯录做离线应用。

上述只是本发明的较佳实施例，并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明。因此，凡是未脱离本发明技术方案的内容，依据本发明技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均应落在本发明技术方案保护的范围内。

Claims (7)

1.一种无证书的组合密钥产生及应用方法，其特征在于，包括如下步骤：

S1.服务器端生成椭圆曲线和2^h×2^k的私钥种子矩阵skm、2^h×2^k的公钥种子矩阵pkm，并公布所述椭圆曲线的参数和所述公钥种子矩阵pkm，所述椭圆曲线的参数包括椭圆曲线基点G；

S2.客户端生成个体标识ID、部分签名私钥xID和部分签名公钥PK_uk，并把个体标识ID、部分签名公钥PK_uk上传至服务器端；

S3.服务器端生成个体标识私钥SK_ID和个体标识公钥PK_ID，并生成服务器端随机私钥rID和服务器端随机公钥PK_rID；

S4.服务器端根据所述个体标识私钥SK_ID、个体标识公钥PK_ID、服务器端随机私钥rID和服务器端随机公钥PK_rID生成个体加密公钥PKE和个体解密私钥SKE，并生成个体验签名公钥PKS；

S5.服务端将所述个体解密私钥SKE通过安全渠道下发至客户端，并广播个体标识ID、个体加密公钥PKE和个体验签名公钥PKS；

S6.客户端通过所述部分签名私钥xID和个体解密私钥SKE生成个体签名私钥SKS，通过个体解密私钥SKE解密加密信息，通过个体签名私钥SKS签名验证信息；

S7.一般客户端通过个体加密公钥PKE加密解密信息，通过个体验签名公钥PKS验证签名信息；所述一般客户端为相对于具有所述个体标识ID的客户端外的其它客户端；

所述步骤S1中服务器端生成私钥种子矩阵skm的方法包括：以m个比特位的二进制整数表示所述私钥种子矩阵中的每一个元素，并将每个元素按比特位从低至高依次划分为占Lr个比特位的低位随机区、占h个比特位的低位常值区、占2^h×k个比特位的中位构造区和占h+2个比特位的高位常值区，其中Lr>2^h×k+2h；所述低位随机区中各比特位随机填充，所述低位常值区中各比特位均为0；所述高位常值区中各比特位均为0；构造所述中位构造区的步骤包括：

S1.1.对于所述私钥种子矩阵skm中的第i(i＝1,2,...,2^h)行，该行每个元素的中位构造区从低位至高位的第k×(i-1)+1位至第k×i位随机填充占k个比特位的不重复的二进制数；所述每个元素的中位构造区的其它比特位均填充0；

S1.2.对所述私钥种子矩阵skm中的第i(i＝1,2,...,2^h)行，生成一个占2^h×k个比特位随机二进制数，所述私钥种子矩阵skm的第i(i＝1,2,...,2^h)行中的每个元素中位构造区的二进制数与所述随机二进制数相加，得到增加随机数后的私钥种子矩阵skm的第i(i＝1,2,...,2^h)行；

所述步骤S1中服务器端生成公钥种子矩阵的方法包括：将所述椭圆曲线基点G与所述私钥种子矩阵skm中的每个元素相乘，得到所述公钥种子矩阵pkm。

2.根据权利要求1所述的无证书的组合密钥产生及应用方法，其特征在于，所述步骤S2中，所述个体标识ID包括：根据个体标识的管理规则，用于唯一确定客户端身份的标识；

所述生成部分签名私钥xID的具体步骤包括：所述客户端生成具有m个比特位的部分签名私钥xID，所述部分签名私钥xID包括Lr个比特位的签名私钥随机区，m-Lr-2个比特位的签名私钥常值区和2个比特位的签名私钥高位区；所述签名私钥随机区中各比特位随机取值，所述签名私钥常值区各比特位均取0，所述签名私钥高位区取值为11或10或01；

所述生成部分签名公钥PK_uk的具体步骤包括：将所述部分签名私钥xID乘以所述椭圆曲线基点G得到部分签名公钥PK_uk。

3.根据权利要求2所述的无证书的组合密钥产生及应用方法，其特征在于，所述步骤S3中，所述服务器端生成个体标识私钥SK_ID和个体标识公钥PK_ID的具体步骤S3.1包括：

S3.1.1.服务器端通过Hash函数计算得到占2^h×k个比特位的个体标识ID的Hash值；

S3.1.2.将所述个体标识ID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；

S3.1.3.以所述区间号为行号，以所述区间所代表的二进制整数为列号，依次从所述私钥种子矩阵skm中选择具有所述行号和列号的元素相加做和得到所述个体标识私钥SK_ID；

S3.1.4.依次从所述公钥种子矩阵pkm中选择具有所述行号和列号的元素相加做和得到所述个体标识公钥PK_ID；

所述生成服务器端随机私钥rID和服务器端随机公钥PK_rID的具体步骤S3.2包括：

S3.2.1.服务器端根据所述个体标识ID构造新个体标识eID，所述新个体标识eID的构造方法如式(1)所示：

eID＝ID||申请日期||有效日期 (1)

其中运算“||”是指比特串的拼接；

S3.2.2.服务器端通过Hash函数计算得到占2^h×k个比特位的新个体标识eID的Hash值；

S3.2.3.将所述个体标识eID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；

S3.2.4.以所述区间号为行号，以所述区间所代表的二进制整数为列号，依次从所述私钥种子矩阵skm中选择具有所述行号和列号的元素相加做和得到新个体标识SK_eID；

S3.2.5.把新个体标识SK_eID当做标识，服务器端通过Hash函数计算得到占2^h×k个比特位的新个体标识SK_eID的Hash值；

S3.2.6.将所述个体标识SK_eID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；

S3.2.7.以所述区间号为行号，以所述区间所代表的二进制整数为列号，依次从所述私钥种子矩阵skm中选择具有所述行号和列号的元素相加做和得到整数SK；

S3.2.8.在所述整数SK中选取中位区、往左依次连续选取高位区h个比特，往右依次连续选取低位上Lr-2^h×k-h个比特位，得到占Lr个比特位的整数，作为服务器端随机私钥rID；

S3.2.9.将所述服务器端随机私钥rID乘以所述椭圆曲线基点G得到所述服务器端随机公钥PK_rID。

4.根据权利要求3所述的无证书的组合密钥产生及应用方法，其特征在于，所述步骤S4中生成个体加密公钥PKE的步骤如式(2)所示：

PKE＝PK_ID+PK_rID (2)

生成个体解密私钥SKE的步骤如式(3)所示：

SKE＝SK_ID+rID (3)

所述生成个体验签名公钥PKS的步骤如式(4)所示：

PKS＝PK_uk+PKE＝PK_uk+PK_ID+PK_rID (4)。

5.根据权利要求4所述的无证书的组合密钥产生及应用方法，其特征在于，所述步骤S5的具体步骤包括：

S5.1.所述服务端根据所述部分签名公钥PK_uk对所述个体解密私钥SKE进行加密，得到PK_uk[SKE]；并根据所述个体标识私钥SK_ID对所述个体加密公钥PKE和所述个体验签名公钥PKS进行签名，得到SK_ID[PKE]和SK_ID[PKS]；

S5.2.服务器端将PK_uk[SKE]，ID||PKE||SK_ID[PKE]和ID||PKS||SK_ID[PKS]通过安全渠道下发至客户端，其中运算“||”是指比特串的拼接；

S5.3.服务端将ID||PKE||SK_ID[PKE]和ID||PKS||SK_ID[PKS]通过广播渠道进行广播，其中运算“||”是指比特串的拼接。

6.根据权利要求5所述的无证书的组合密钥产生及应用方法，其特征在于，所述步骤S6的具体步骤包括：客户端获取服务器端通过安全渠道下发的PK_uk[SKE]，ID||PKE||SK_ID[PKE]||和ID||PKS||SK_ID[PKS]，通过所述部分签名私钥xID解密PK_uk[SKE]，得到个体解密私钥SKE，其中运算“||”是指比特串的拼接；

所述生成个体签名私钥SKS的步骤如式(5)所示：

SKS＝xID+SKE＝xID+SK_ID+rID (5)。

7.根据权利要求6所述的无证书的组合密钥产生及应用方法，其特征在于，所述步骤S7的具体步骤包括：

S7.1.所述一般客户端获取服务器端广播的ID||PKE||SK_ID[PKE]和ID||PKS||SK_ID[PKS]，建立自己的通讯录，并获取服务器端广播的公钥种子矩阵pkm，其中运算“||”是指比特串的拼接；

S7.2.所述一般客户端通过Hash函数计算得到占2^h×k个比特位的个体标识ID的Hash值；

S7.3.所述一般客户端将所述个体标识ID的Hash值按比特位从低位至高位划分为区间号为1至2^h的2^h个占k个比特位的区间，每个区间代表一个二进制整数；

S7.4.所述一般客户端以所述区间号为行号，以所述区间所代表的二进制整数为列号，依次从所述公钥种子矩阵pkm中选择具有所述行号和列号的元素相加做和得到所述个体标识公钥PK_ID；

S7.5.所述一般客户端用所述个体标识公钥PK_ID验证SK_ID[PKE]和SK_ID[PKS]，得到个体加密公钥PKE和个体验签名公钥PKS，一般客户端通过个体加密公钥PKE进行加密，通过个体验签名公钥PKS验证签名。