CN1655498A - 一种多中心的基于身份的密钥管理方法 - Google Patents

Abstract

本发明提供一种由多个密钥分配中心联合控制的、基于身份的密钥管理方法，以解决现有技术中抗合谋攻击能力差、权力过分集中，保密性不够等问题。其通过若干个信息处理设备进行私钥和公钥的分配，该方法包括初始化步骤、私钥分配步骤和公钥分配步骤。其有益效果为：a、抗合谋攻击能力明显提高；b、容纳的用户身份标志的数量更加巨大；c、与现实世界的授权过程相匹配，能方便地实现多中心的、多维的、分布式的、权力互相制约的安全控制，各个密钥分配中心、各个用户各自管理各自的秘密，谁也不能获得全部的秘密；d、可以实现互相制约的密钥托管。

Description

一种多中心的基于身份的密钥管理方法

技术领域

本发明属于密码技术和信息安全技术领域，具体地说涉及一种由多个密钥分配中心联合控制的、基于身份的密钥管理方法。

背景技术

密码技术是研究加密和解密变换的一门科学技术。通常情况下，人们将可懂的文本称为明文；将明文变换成的不可懂的文本称为密文。把明文变换成密文的过程叫加密；其逆过程，即把密文变换成明文的过程叫解密。明文与密文的相互变换是可逆的变换，并且只存在唯一的、无误差的可逆变换。在信息处理设备(如计算机)上实现的数据加密算法，其加密或解密变换是由一个密钥来控制的。密钥成为唯一能控制明文与密文之间变换的关键，它通常是一随机字符串。

公钥密码是一种极其重要的密码技术，其正式诞生的标志是1976年W.Diffie和M.Hellman发表的《密码学的新方向》(Diffe，W.，Hellman，M.E.，New Direction in Cryptography，IEEE Trans.，1976，22，644-654)。公钥密码使用两个密钥——一个公开密钥(简称：公钥)和一个私人密钥(简称：私钥)，这两个密钥在数学上是相关的。在公钥加密中，公钥可在通信双方之间公开传递，或在公用储备库中发布，但相关的私钥是保密的，而且只有使用私钥才能解密用公钥加密的数据。公钥密码由于有效地解决了密钥分配和信息识别验证问题而受到重视，是解决信息的保密性、真实性、完整性、抗抵赖性、可控性、有效性的关键技术，已成为开放系统环境下的基础加密机制和数字签名机制。二十多年来，它已由一种新颖的概念发展成为现代密码技术的一个重要方面，引起了信息安全领域的一场革命，是密码技术由封闭走向开放的主要标志。

公钥密码技术研究的一个重要课题是实现基于身份的密钥管理，即做到：让用户的公钥仅仅是用户的公开的身份标志(以下简称为ID)本身。其优点是：用户身份标志与用户公钥的内容高度一致，其逻辑特征与生物特征相匹配，使公钥信息本身就具有清晰性、可判定性、可信任性、公证性和权威性，便于实现身份认证、信息认证、权力认证和信息加密等。

1984年，Shamir首次提出基于身份的概念，并给出了一种基于身份的签名方案(A.Shamir，Identity-Based Cryptosystems and SignatureSchemes，Advances in Cryptology-CRYPTO′84，Springer-Verlag，1985，47～53，ISBN 85014793 74)。自1984年以来，基于身份的公钥密码的发展，沿着三条不同的技术路线，从而形成三种不同的技术方案，下面分别进行描述：

第一种技术方案是采用硬件保护的方法。1986年，Desmedt等人提出了一种基于硬件保护、而不是基于数学难题的密码体制，虽然作者宣称这是第一个基于身份的公钥密码体制，但作者修改了Shamir提出的″基于身份″的概念(Yvo Desmedt，Jean-Jacgues Quisguater，Public Key Systems Based on the Difficulty of tempering(Is There aDifference between DES and RSA？)，Advances inCryptology-CRYPTO′86，Springer-Verlag，1987，111～117，ISBN03871804 78)。

第二种技术方案是采用与对称密码相结合的方法。1987年，Tanaka提出一种基于身份的密码体制(Hatsukazu Tanaka，A RealizationScheme for the Identity-Based Cryptosystem，Advances inCryptology-CRYPTO′87，Springer-Verlag，1988，340～349，ISBN87037642 74)，作者也修改了Shamir提出的“基于身份”的概念，作者认为Shamir原来的基于身份的密码体制的实现十分困难，所以所做的修改是合理的；但该体制本质上已不再是通常意义上的公钥密码，其加密密钥的计算需要使用发送方的秘密密钥。

第三种技术方案是继续采用Shamir的基于身份的概念，其再分为三种流派：

首先是在1992年，陶仁骥，陈世华发表《基于身份的密码体制和数字签名的有限自动机公开钥密码实现》(密码学进展--ChinaCrypt′92：第二届中国密码学学术会议论文集，科学出版社，1992，第87～103页，ISBN 7-03-003069-9)，该方案满足其抗合谋攻击的安全性归结为解大变元数非线性方程组，并第一次证明了Shamir猜想是存在的。但是其工程实现比较困难。

其次是在2001年，南湘浩等提出《公钥因子构造与公钥计算》(中国发明专利，01110599.2，2002年12月20日公布，18卷47期，发明人：南湘浩，陈钟)。该方案有效地解决了超大规模网络的密钥管理问题；其种子密钥的抗合谋攻击能力，在一个预先设定的攻击规模的范围内，能做到理论上不可破译。但是其仍然存在若干不足，主要包括：

a、不能对抗大规模合谋攻击；由于该密钥管理系统在计算合成用户私钥和公钥时使用线性式，当合谋攻击的规模超过了预先设定的范围时，无法抵抗由足够多的私钥构成的线性无关组的攻击。

b、权力过分集中；由于该密钥管理系统采用的是一级密钥分配中心，攻击者可以仅仅通过该级密钥分配中心就可获得全部的秘密。

再其次是在2001年，Boneh和Franklin提出用椭圆曲线上的双线性映射实现的基于身份的公钥密码方案(D.Boneh and M.Franklin.“Identity-based encryption from the Weil pairing”.Advances inCryptology-CRYPTO 2001，21st Annual International CryptologyConference，Vol.2139 of Lecture Notes in Computer Science，SpringerVerlag，2001，pp.213-229)。其种子密钥的抗合谋攻击能力基于双线性离散对数问题(Bi-linear Diffie-Hellman Problem)，但不能做到理论上不可破译。

发明内容

针对上述情形，本发明的目的是提供一种由多个密钥分配中心联合控制的、基于身份的、具有很强抗合谋攻击能力的、具有巨大用户容量的、权力分散控制的、可实现互相制约的密钥托管的密钥管理方法，以解决现有技术中抗合谋攻击能力差、权力过分集中、保密性不够等问题。

为实现上述目的，本发明的技术解决方案是：一种密钥管理方法，其通过若干个信息处理设备进行私钥和公钥的分配，该方法包括初始化步骤、私钥分配步骤和公钥分配步骤，其中：

该初始化步骤包括：

a、由第一信息处理设备构造一级种子私钥表D()和相应的一级种子公钥表G()，构造独立的一级种子公钥表C()，将该一级种子私钥表D()分发给下述的所有第二信息处理设备秘密保存，而将该一级种子公钥表G()、C()公开；

b、由与特定用户ID相关的第二信息处理设备独立构造二级种子私钥表E()和相应的二级种子公钥表H()，将该二级种子私钥表E()由每个第二信息处理设备自己秘密保存，而将该二级种子公钥表H()公开；

该私钥分配步骤包括：

c、第二信息处理设备从一级种子私钥表D()和各自的二级种子私钥表E()中取出特定数量u、v、w的元素组，利用下式计算出私钥分量K_i，

${\mathrm{\β}}_i=\frac{e_i\left(s_1\right)+e_i\left(s_2\right)+\·\·\·+e_i\left(s_v\right)}{d\left(r_1\right)+d\left(r_2\right)+\·\·\·+d\left(r_u\right)}\mathrm{mod}L$

K_i＝β_i(c(t₁)c(t₂)...c(t_w))∈S₁

其中，K_i为私钥K中的第i个私钥分量，β_i为K_i的控制参数，e_i(s_v)是从二级种子私钥表E()中取出的第s_v个元素，d(r_u)是从一级种子私钥表D()中取出的第r_u个元素，c(t_w)是从一级种子公钥表C()中取出的第t_w个元素，v、u、w、s₁、...、s_v、r₁、...、r_u、t₁、...、t_w是特定用户ID所对应的预定值，L、S₁也为预定值，“”表示有限群S₁中规定的运算；

d、第二信息处理设备将相关的私钥分量K_i秘密分发给该特定用户ID的授权用户，该授权用户将该私钥分量K_i进行合并，得到其私钥K：

K＝T₁K₁T₂K₂...T_qK_q∈S₁

该公钥分配步骤包括：

e、第三信息处理设备从一级种子公钥表G()、C()和有关的若干个二级种子公钥表H()中取出特定数量u、v、w的元素组，利用下式计算出公钥{P、Q、R}，

P＝g(r₁)g(r₂)...g(r_u)∈S₁

Q＝h_b1(s₁)...h_b1(s_v)...h_bj(s₁)...h_bj(s_v)∈S₁

R＝c(t₁)c(t₂)...c(t_w)∈S₁

其中，g(r_u)是从一级种子公钥表G()中取出的第r_u个元素，h_bj(s_v)是从第b_j个二级种子公钥表H()中取出的第s_v个元素，c(t_w)是从一级种子公钥表C()中取出的第t_w个元素，u、v、w、r₁、...、r_u、s₁、...、s_v、t₁、...、t_w、b₁、...、b_j是特定用户ID所对应的预定值，S₁也是预定值，“”表示有限群S₁中规定的运算；

f、第三信息处理设备将实际公钥{P、Q、R}分配给该授权用户。

上述步骤中的特定数量u、v、w的元素组的指针：{r₁，r₂，...，r_u；s₁，s₂，...，s_v；t₁，t₂，...，t_w}，是通过一个以特定用户的ID为自变量的预定的单向函数F(ID)获得的，即：

{r₁，r₂，...，r_u；s₁，s₂，...，s_v；t₁，t₂，...，t_w}＝F(ID)。

而所述步骤a中由第一信息处理设备构造一级种子私钥表D()和相应的一级种子公钥表G()是指：

由第一信息处理设备用随机数构造一级种子私钥表D()，然后使用预先设定的参数a、n通过下式计算出相应的一级种子公钥表G()：

i＝1，2，...，n

其中，g(i)为一级种子公钥表G()中的第i个元素，d(i)为随机数，其为一级种子私钥表D()中的第i个元素；“”表示有限群中规定的运算。

所述步骤a中由第一信息处理设备构造的独立的一级种子公钥表C()是指：

由第一信息处理设备用随机数c′₁、...、c′_n以及预先设定的参数a、n通过下式计算出相应的一级种子公钥表C()：

i＝1，2，...，n

其中，c(i)为一级种子公钥表C()中的第i个元素，c′_i为随机数，“”表示有限群中规定的运算。

所述步骤b中由与特定用户ID相关的第二信息处理设备独立构造二级种子私钥表E()，和相应的二级种子公钥表H()是指：

由第二信息处理设备用随机数构造二级种子私钥表E()，然后使用预先设定的参数a、m通过下式计算出相应的二级种子公钥表H()：

j＝1，2，...，m

其中，h_i(j)为第i个相关的第二信息处理设备上的二级种子公钥表H()中的第j个元素，e_i(j)为随机数，其为二级种子私钥表E()中的第j个元素；“”表示有限群中规定的运算。

从此，拥有该ID的授权用户，运用私钥K，能够以该ID的名义，完成产生数字签名的计算，以及解密的计算。

同时，在网络中的任何用户运用实际公钥{P、Q、R}，能够按照该ID的规定，完成验证数字签名的正确性的计算，以及加密的计算。

由上所述，本发明的设计思路(如图5所示)非常巧妙：

一方面，它通过单向函数F(ID)、对种子私钥表D()的n中取u的组合、对种子私钥表E()的m中取v的组合、对种子公钥表C()的n中取w的组合、私钥的合成等环节，建立了一个从ID到私钥K的复杂的、单向的、伪随机的映射；

另一方面，它还通过单向函数F(ID)、对种子公钥表G()的n中取u的组合、对种子公钥表H()的m中取v的组合、对种子公钥表C()的n中取w的组合、公钥的合成等环节，建立了一个从ID到用户的实际公钥{P、Q、R}的复杂的、单向的、伪随机的映射。

而上述两个映射之间的同构，严格地保证了任何用户的身份标志ID、私钥K、实际公钥{P、Q、R}三者之间，在产生数字签名和验证数字签名过程、在加密和解密过程等实际应用中的正确性。

本发明的一个基本原则是“秘密分散管理”：第一信息处理设备(即一级密钥分配中心)、第二信息处理设备(即各个二级密钥分配中心)、以及各个用户，他们各自管理各自的秘密，谁也不能获得全部的秘密，其理由是：攻击者对密钥机密的窃取，不仅可以通过密码破译，还可以通过收买掌握核心秘密的人，尤其是在关键岗位上工作的、精通技术的内部人员。

总之，本发明同现有技术相比，主要有如下优点：

a、抗合谋攻击能力明显提高，在设定的合谋攻击规模的范围之内，种子私钥的安全性达到理论上不可破译；当合谋攻击的规模超过了该范围以后，种子私钥的安全性基于解离散对数方程组；

b、容纳的用户身份标志的数量更加巨大；

c、与现实世界的授权过程相匹配，能方便地实现多中心的、多维的、分布式的、权力互相制约的安全控制，各个密钥分配中心、各个用户各自管理各自的秘密，谁也不能获得全部的秘密；

d、可以实现互相制约的密钥托管。

本发明为解决网络世界的信任问题提供了一种全新的、开拓性的技术解决方案，是公钥基础设施(PKI)建设中起关键作用的技术体制的突破，是公钥密码技术领域里的原始创新。

附图说明

图1是本发明的系统基本结构框图；

图2是构造种子私钥表和种子公钥表的原理框图；

图3是私钥分配步骤的原理框图；

图4是公钥分配步骤的原理框图；

图5是本发明的设计思路示意图。

具体实施方式

为能使贵审查员能够清楚本发明的整体实现方式和内部工作原理，下面以世界上拥有人口数量最多的中国，其在数字网络上进行公民的身份管理为例，并配合附图说明如下：

假设中国目前有14亿个身份证号码，对应14亿个ID，这些号码都由18位十进制数组成。这些ID不能简单地理解为用户名，它是一种权力和利益的授予，因此可以建立一个专门机构—如“用户身份标志管理中心”负责ID的日常管理。ID可以使用文字、数字或图形(如印鉴、商标、人像、指纹等)，一个用户还可以同时拥有若干个不同用途的ID。对ID的具体规定，不属于本发明的内容，但做好这些工作，本发明的任务会完成得更好。

本发明把用户身份标志ID看作为一段二进制序列。由于ID具有公钥的功能，以下我们把它理解为形式上的公钥，而把与私钥相对应的计算意义上的公钥叫做实际公钥。

本发明实施例所述的一种多中心的基于身份的密钥管理方法，其应用的基本系统结构如图1所示，其组成如下：

一个第一信息处理设备111：其位于金字塔塔顶，是系统中唯一一个一级密钥分配中心，用于产生一级种子私钥表D()和对应的一级种子公钥表G()，以及一个独立的种子公钥表C()；

q个第二信息处理设备121、122、...、12q，是系统中的q个二级密钥分配中心，其位于第一信息处理设备111的下层，用于产生它们各自的一个二级种子私钥表E()，以及它们各自的一个对应的二级种子公钥表H()；

多个授权用户131、132、133、...，其对应于各自的ID，位于最底层，用于将该私钥分量K_i进行合并，得到其私钥K。

本实施例具体包括有：初始化步骤、私钥分配步骤和公钥分配步骤。

该初始化步骤是指将系统的参数进行初始化，具体包括：

1、设置彼此相互独立的二级密钥分配中心

设置q个相关的第二信息处理设备121、122、...、12q，分别表示隶属于不同的管理部门；由若干个二级密钥分配中心联合控制着每个ID的私钥，该q个相关的第二信息处理设备可通过设定可信度特征向量T来描述当前ID的安全性，该T描述为：

T＝[T₁，T₂，...，T_q]，T_i∈{0，1}

T是ID中的一个特殊的数据段，其表示该当前ID是由哪些第二信息处理设备，即二级密钥分配中心授权的：当T_i＝0时，表示该ID的授权用户不拥有第i个第二信息处理设备12i下发的私钥分量K_i；当T_i＝1时，表示该ID的授权用户拥有第i个第二信息处理设备12i下发的私钥分量K_i。显然，当一个ID的T中的“1”越多，表示该ID的授权来自于较多的管理部门，其安全等级越高。

2、设置双线性映射公钥密码算法及参数

双线性映射公钥密码算法(通常也叫做“pairing”)属于现有技术。以下的设置pairing参数的具体方法不属于本发明的内容：

由一级密钥分配中心选择一种双线性映射公钥密码算法，并设置其参数{S₁，S₂，ê，a，L}。然后，把S₁、S₂、ê公开，把a、L分发给所有的二级密钥分配中心秘密保存，其中：

S₁、S₂是有限循环群，a是S₁的一个生成元，a的阶(即a的周期)为L；

ê是从S₁到S₂的映射，ê：S₁×S₁→S₂，它具有双线性映射的特殊性质，满足：

双线性：对任意的P，Q，R∈S₁，b、c是整数，“”是S₁规定的运算，“·”是S₂规定的运算，

ê(P，QR)＝ê(P，Q)·ê(P，R)∈S₂

ê(PQ，R)＝ê(P，R)·ê(Q，R)∈S₂

ê(bP，cQ)＝ê(P，Q)^bc∈S₂

非退化性：如果P是S₁中的生成元，那么ê(P，P)则是S₂中的生成元；

可计算性：计算ê(P，Q)是一个高效的算法。

本发明可采用现有技术中的各种类型的双线性映射算法，如Weilpairing，Tate pairing，以及非对称的pairing(其ê：S₀×S₁→S₂，是三个群之间的映射)等，具体细节可参考有关文献。

我们把L作为对用户保密的因素来处理，原因是：用户进行密码运算时不需要知道L；虽然对于椭圆曲线这种特定的群来说，从S₁求L是容易的，但对于某些群来说，从S₁求L可能是困难的。

3、设置参数n、u、m、v、w

设置正整数n、u、m、v、w，n≥2u，m≥2v，n≥2w，作为控制计算规模和抗合谋攻击能力的参数。

其中，n是一级密钥分配中心111产生的一级种子密钥表的长度，u、w是访问该一级种子密钥表的计算参数；m是二级密钥分配中心12i产生的二级种子密钥表的长度，v是访问该二级种子密钥表的计算参数。

一方面，这些参数决定了对应于存放在每一个用户的种子公钥表所占用的存储空间，共有(2n+qm)个S₁的元素；另一方面，这些参数也决定了由ID计算实际公钥{P，Q，R}的运算量，共需要进行(u+jv+w)次S₁规定的运算，这里的j是可信度特征向量T中的“1”的数量；再一方面，这些参数还决定了系统能够容纳的ID数量的最大值M：

$M=C_n^u{C}_m^v{C}_n^w=\frac{n!}{u!(n-u)!}\·\frac{m!}{v!(m-v)!}\·\frac{n!}{w!(n-w)!}$

M应远大于网络中ID的实际数量。

种子密钥的抗合谋攻击能力由n、m确定，即：在一个由n、m设定的攻击规模的范围内，种子私钥能否被破译，与攻击者的计算能力无关，可达到理论上不可破译；当合谋攻击的规模超过了这个范围，其种子私钥的安全性基于解大规模离散对数方程组问题。

4、设置单向函数F(ID)

预先规定单向函数F()的输入是用户身份标志ID，输出是(u+v+w)个正整数：

{r₁，r₂，...，r_u；s₁，s₂，...，s_v；t₁，t₂，...，t_w}＝F(ID)

1≤r_i≤n，1≤s_i≤m，1≤t_i≤n

其中，r₁、r₂、...、r_u是u个指向一级密钥分配中心产生的种子密钥表的指针；s₁、s₂、...、s_v是v个指向各个二级密钥分配中心产生的种子密钥表的指针；t₁、t₂、...、t_w是w个指向一级密钥分配中心产生的独立的种子密钥表的指针。

本实施例只要求单向函数F()满足：已知输入ID，计算输出{r₁，r₂，...，r_u；s₁，s₂，...，s_v；t₁，t₂，...，t_w}是容易的；反之则是困难的。这样的函数在现有技术中很容易实现，其具体实现方法不属于本发明的内容，在此不再赘述。

5、构造种子私钥表和种子公钥表

如图2所示，由一级密钥分配中心111用n个随机数d(1)、...、d(n)构造一个一级种子私钥表D()，并利用秘密保存的S₁的生成元a计算出对应的一个一级种子公钥表G()。G()由g(1)、...、g(n)组成，其计算方法是：

1＜d(i)＜L，i＝1，2，...，n

由一级密钥分配中心111用n个随机数c′₁、...、c′_n，以及秘密保存的S₁的生成元a计算出一个独立的一级种子公钥表C()。C()由c(1)、...、c(n)组成，其计算方法是：

1＜c′_i＜L，i＝1，2，...，n

然后，一级密钥分配中心把G()、C()公开，把D()分发给所有的二级密钥分配中心秘密保存，并把c′₁、...、c′_n永久性删除。

由q个二级密钥分配中心12i(i＝1，...，q)独立地构造出各自的二级种子私钥表E₁()、E₂()、...、E_q()，它们均由m个随机数e_i(1)、...、e_i(m)(i＝1，...，q)组成，并分别利用秘密保存的S₁的生成元a计算出对应的二级种子公钥表H₁()、H₂()、...、H_q()。H_i()由h_i(1)、...、h_i(m)组成，其计算方法是：

1＜e_i(j)＜L，i＝1，2，...，q，j＝1，2，...，m

然后，把H₁()、H₂()、...、H_q()公开，把E₁()、E₂()、...、E_q()由各个二级密钥分配中心自己秘密保存。

在本发明的体制中，种子公钥表G()、C()、H₁()、H₂()、...、H_q()的概念，不应理解为是传统意义上的密钥或公钥的一部分，而应把它们理解为是密码算法的一部分。因为：它向全网所有用户公开，由全网所有用户共享；通常固化在安全装置内部，是安全装置的一部分，不需要经常更换；其真实性、完整性容易被验证，难以被篡改；所有用户都统一使用同一组种子公钥表，而不是各个用户使用各自的不同的种子公钥表；增加新用户，其内容不变；它由权威机关发放，其内容具有权威性。

所述的私钥分配步骤具体包括：

6、计算用户私钥K

如图3所示，按照T的规定，各个有关的二级密钥分配中心12i运用用户的ID，分别计算：

{r₁，r₂，...，r_u；s₁，s₂，...，s_v；t₁，t₂，...，t_w}＝F(ID)1≤r_i≤n，1≤s_i≤m，1≤t_i≤n

对种子私钥表D()、E_i()查表，取出2组元素：{d(r₁)，d(r₂)，...，d(r_u)}，{e_i(s₁)，e_i(s₂)，...，e_i(s_v)}，计算出用户的第i个私钥分量的控制参数β_i

${\mathrm{\β}}_i=\frac{e_i\left(s_1\right)+e_i\left(s_2\right)+\·\·\·+e_i\left(s_v\right)}{d\left(r_1\right)+d\left(r_2\right)+\·\·\·+d\left(r_u\right)}\mathrm{mod}L$

同时，对独立的一级种子公钥表C()查表，取出1组元素{c(t₁)，c(t₂)，...，c(t_w)}，用这些元素，以及β_i，计算用户的私钥分量K_i

K_i＝β_i(c(t₁)c(t₂)...c(t_w))∈S₁

再把第i个私钥分量K_i秘密地分发给拥有该ID的授权用户。

拥有该ID的授权用户从该ID中提取出可信度特征向量T的信息，再根据T的规定，从有关的若干个二级密钥分配中心秘密地领取到规定的若干个私钥分量K_i之后，用S₁规定的运算“”计算出与该ID相对应的私钥K

K＝T₁K₁T₂K₂...T_qK_q∈S₁

从此，拥有该ID的授权用户，运用私钥K，能够以该ID的名义，运用双线性映射公钥密码算法，完成产生数字签名的计算，以及解密的计算。

所述的公钥分配步骤具体包括：

7、计算用户的实际公钥{P，Q，R}

如图4所示，当网络中任何用户需要从某个ID计算与该ID相对应的实际公钥{P，Q，R}时，首先把ID代入单向函数F()，计算：{r₁，r₂，...，r_u；s₁，s₂，...，s_v；t₁，t₂，...，t_w}＝F(ID)

1≤r_i≤n，1≤s_i≤m，1≤t_i≤n然后，从一级种子公钥表G()中取出u个元素{g(r₁)，g(r₂)，...，g(r_u)}，计算实际公钥K_p中的P：

P＝g(r₁)g(r₂)...g(r_u)∈S₁

从该ID中取出可信度特征向量T的信息。设T中共有j个为“1”的元素T_b1、T_b2、...、T_bj，从二级种子公钥表H_b1、H_b2、...、H_bj中取出j×v个有关的元素{h_b1(s₁)，...，h_b1(s_v)，...，h_bj(s₁)，...，h_bj(s_v)}，计算实际公钥中的Q：

Q＝h_b1(s₁)...h_b1(s_v)...h_bj(s₁)...h_bj(s_v)∈S₁

再从一级种子公钥表C()中取出w个元素{c(t₁)，c(t₂)，...，c(t_w)}，计算实际公钥中的R：

R＝c(t₁)c(t₂)...c(t_w)∈S₁综合以上计算结果，该ID的实际公钥为{P，Q，R}。私钥K与实际公钥{P，Q，R}之间，具有以下的换算关系：

Q＝(T₁β₁+T₂β2₊...+T_qβ_q)P∈S₁

K＝(T₁β₁+T₂β₂+...+T_qβ_q)R∈S₁

然后，网络中的任何用户运用实际公钥{P，Q，R}，能够按照该ID的规定，运用双线性映射公钥密码算法，完成验证数字签名的正确性的计算，以及加密的计算。

本实施例在保持用户私钥、种子私钥表不变的条件下，可以更换种子公钥表，其方法是：一级密钥分配中心重新设置a、L，重新计算并公开G()、C()；各个二级密钥分配中心运用新领取的a、L，重新计算并公开H₁()、H₂()、...、H_q()。

以上描述的是本发明的典型实施方式，根据需要还可以只使用本发明的某个子集，或者修改某些具体的控制参数。例如：增强F(ID)的功能，让每个E_i()、H_i()所使用的指针s₁、s₂、...、s_v都不相同；简化F(ID)的功能，让n＝m，u＝v＝w，r_i＝s_i＝t_i。本发明的最小子集是令q＝1，n＝m，u＝v＝w，r_i＝s_i＝t_i，让一级密钥分配中心与唯一的一个二级密钥分配中心合并，并把D()、E₁()合并成同一个表。本发明同现有技术中南湘浩等提出的《公钥因子构造与公钥计算》相比，主要有三个区别：

a、南湘浩方案的私钥是一个作为离散对数来使用的正整数，本发明的私钥则是有限群S₁中的一个元素。

在设定的合谋攻击规模的范围之内，这两个方案都能达到理论上不可破译。

但是，当合谋攻击的规模超过了该范围以后，南湘浩的方案无法抵抗由足够多的私钥构成的线性无关组的攻击，即：已知足够多的私钥K(1)、K(2)、...、K(λ)，将s行、k列的秘密种子矩阵中的所有元素d_ij作为未知元，λ≥sk，解一个模L同余的线性方程组：

K(1)＝d_i1(1)+d_i2(1)+...+d_ik(1)mod L

K(2)＝d_i1(2)+d_i2(2)+...+d_ik(2)mod L

            …………

K(λ)＝d_i1(λ)+d_i2(λ)+...+d_ik(λ)mod L其计算是容易的。

而本发明的种子私钥在大规模合谋攻击条件下的安全性，等价为解大规模的离散对数方程组的困难性，即：当λ个用户，λ≥n+qm，运用他们掌握的私钥和其它信息K⁽ⁱ⁾、P⁽ⁱ⁾、Q⁽ⁱ⁾、R⁽ⁱ⁾、T⁽ⁱ⁾，i＝1，...，λ，将种子私钥表D()、E_j()的记录d(1)、...、d(n)、e_j(1)、...、e_j(m)，j＝1，...，q，作为n+qm个未知元，解一个复杂的大规模的离散对数方程组：

按照目前的科学进展，这是非常困难的。

b、南湘浩的方案从一个二维的s行、k列的种子公钥矩阵中，按照从每一列取出一个元素的方法提取公钥，可容纳的ID数量是s^k；本发明则分别从n阶、m阶的一维的种子公钥表中，按照n中取u、m中取v、n中取w的组合方法提取公钥，可容纳的ID数量明显增加：

$C_n^u{C}_m^v{C}_n^w=\frac{n!}{u!(n-u)!}\·\frac{m!}{v!(m-v)!}\·\frac{n!}{w!(n-w)!}>>s^k$

例如当种子公钥表的空间只有120个存储单元时，采用南湘浩的方案，设k＝12，s＝10，

s^k＝10¹²＝1,000,000,000,000

采用本发明，设q＝2，n＝30，u＝15，m＝30，v＝15，w＝15，

$C_n^u{C}_m^v{C}_n^w=C_{30}^{15}{C}_{30}^{15}{C}_{30}^{15}={\left(\frac{30!}{15!(30-15)!}\right)}^3={\left(\frac{30\·29\·...\·16}{15!}\right)}^3$

$={155117520}^3=\mathrm{3,732,351,677,714,998,891,008,000}$

可容纳的ID数量增加了3,732,351,677,714倍。

c、南湘浩的方案采用集中式密钥管理的方法。本发明则采用分散式密钥管理的方法，由若干个密钥分配中心联合控制每个ID的私钥，一个ID的生效需要到若干个二级密钥分配中心领取若干个相互独立的私钥分量，这与现实世界中需要经过若干个管理部门批准的实际授权过程相匹配，便于实现相互制约的权力控制。

本发明同现有技术中Boneh和Franklin提出的“Identity-basedencryption from the Weil pairing”(用Weil pairing实现的基于身份的加密)相比，主要有两个区别：

a、Boneh和Franklin的方案的种子私钥是一个不变的正整数，所有的授权用户都把这个正整数作为相同的离散对数；本发明的种子私钥则是若干个种子私钥表，它们由n+qm个正整数组成，各个授权用户使用不同的离散对数。

b、Boneh和Franklin的方案的种子私钥的安全性，与合谋攻击的规模无关，基于解一个只有一个未知元的离散对数方程式的困难性。而本发明的种子私钥的安全性，在设定的合谋攻击规模的范围之内，能达到理论上不可破译，其安全性显然远远高于Boneh和Franklin的方案；当合谋攻击的规模超过了该范围以后，基于解一个有n+qm个未知元的大规模离散对数方程组的困难性，其安全性仍然远远高于Boneh和Franklin的方案。

总之，本发明同现有技术相比，主要技术进步点是：

抗合谋攻击能力明显提高，表现在：(1)在设定的合谋攻击规模的范围之内，种子私钥的安全性用信息论来描述，能达到理论上不可破译，也就是说：攻击者无法破译种子私钥，是由于缺少信息、而不是由于缺少计算能力，与计算数学的发展水平无关；(2)当合谋攻击的规模超过了该范围以后，种子私钥的安全性用计算复杂性理论来描述，基于解一个复杂的大规模的离散对数方程组的困难性，按照当今世界的科学进展，这是计算上不可行的；(3)破译种子私钥的难度远远大于破译普通用户私钥的难度，克服了在X.509体制中破译CA私钥与破译普通用户私钥一样难的缺点。

容纳的用户身份标志的数量更加巨大，将随着参数n、m、u、v、w的增加而迅速出现组合爆炸，使得不同ID使用相同私钥的概率可以忽略不计；

与现实世界的授权过程相匹配，能方便地实现多中心的、多维的、分布式的、权力互相制约的安全控制；从公钥信息本身就能清晰地判断出该ID来自于哪几个管理部门的授权；各个密钥分配中心、各个用户各自管理各自的秘密，谁也不能获得全部的秘密；不仅用户不具备密钥分配中心的秘密信息，而且密钥分配中心也不具备用户私钥的完整信息；尤其是，密钥分配中心并不是由于管理制度的制约、而是由于缺少信息，而无法假冒用户的ID；

可以实现互相制约的密钥托管，单独的密钥分配中心，是由于缺少信息、而不是由于受到管理制度的制约，而不具备恢复用户私钥的能力。

本发明为解决网络世界的信任问题提供了一种全新的、开拓性的技术解决方案，是公钥基础设施(PKI)建设中起关键作用的技术体制的突破，是公钥密码技术领域里的原始创新。

本发明的原理建立在对高强度的基于身份的公钥密码技术，以及复杂环境下的权力控制技术，进行深入研究的基础之上，填补了国内外对该领域研究的空白。

本发明在网络环境下的密钥管理、信息鉴别和权力控制等领域中有广泛的应用背景，可用于一些超大规模的、有中心的大型用户系统，如银行、税务、海关、军队等系统。

本发明的实施例是基于身份的公民身份证系统的密钥管理。中国目前有14亿个身份证号码，这些号码都由18位十进制数组成，其最大的状态空间为10¹⁸。

设q＝99，n＝m＝100，u＝v＝w＝50，即全国一共设有99个二级密钥分配中心，可容纳的ID数量为：

$C_n^u{C}_m^v{C}_n^w=C_{100}^{50}{C}_{100}^{50}{C}_{100}^{50}={\left(C_{100}^{50}\right)}^3$

$={\left(\frac{100!}{50!(100-50)!}\right)}^3={\left(\frac{100\·99\·...\·52\·51}{50\·49\·...\·2\·1}\right)}^3$

$=\mathrm{100,891,344,545,564,193,334,812,497},{256}^3$

$\≈{10}^{87}>>{10}^{18}$

足够为每一个身份证配发10⁶⁹个ID。

采用分组长度1024比特(128字节)的椭圆曲线上的双线性映射密码体制，其种子公钥表的存储空间只需要：

2n+qm＝(2×100+99×100)×128＝1,292,800字节

对种子私钥表进行合谋攻击，理论上至少需要搜集

n+qm＝100+99×100＝10000个身份证的私钥的信息；即便如此，解一个有10000个未知元的复杂的离散对数方程组，按照当今世界的科学发展水平，仍然是计算上不可行的。

按照目前的信息存储技术的进展，种子公钥表的存储空间完全可以增加到128M字节，这将使种子私钥达到理论上不可破译的设定范围增加到100万个私钥，并使大规模合谋攻击条件下的破译难度等价为解一个有100万个未知元的巨大的离散对数方程组。

检查电子身份证真实性的方法是：用该身份证中唯一能够证明身份的有关信息作为公钥，检验用该身份证内的私钥实现的签名是否正确。

当然，采用现有技术中的X.509证书格式规范的技术体制，也能实现电子身份证的密钥管理，但是采用本发明提出的多中心的基于身份的密钥管理方法，有以下突出优点：

a、公钥的内容与身份证拥有者的ID的内容(如姓名、身份证号码、发证机关、有效期等)保持高度一致，逻辑特征(公钥)与生物特征(照片、指纹等)严格匹配，公钥信息本身就具有清晰性、可判定性、可信任性、公证性和权威性；而X.509证书的公钥是一段乱码，不具有这种一致性和匹配性；

b、破译种子私钥的难度远远大于破译普通用户私钥的难度；而在X.509的体制中，破译根CA私钥的难度与破译普通用户私钥的难度是一样的，一旦根CA私钥被破译，就可以假冒所有的用户的公钥证书。

c、能够把用户的职责、任务、管辖范围、从属性等内容，直接以文字、印鉴、人像、指纹、商标等形式的某种组合，体现为用户的公钥，能有效地解决对权力特征的判定问题；而X.509证书的公钥则不具备这种直观性；

d、使用方便灵活，在一般情况下，仅仅依据身份证号码，就能验证以该身份证的名义签署的数字签名的正确性，就能向拥有该身份证号码的人发送加密信息；在银行取款、签署文件等重要场合，可以用人像、指纹、印鉴作为公钥；而X.509证书则不具备这种使用的方便性；

e、没有CA证书中心对公钥的签名也能很容易的判断出这个公钥是否属于某人，在不联网的条件下也能判断证书的真实性，不仅避免了网络访问中的不安全因素，而且大大节约了频繁地访问CA证书中心的费用；而X.509证书本身的真实性，则依赖于对CA证书中心的在线访问；

f、不需要建立超大型的CA证书中心，即使实行密钥托管制度也不需要建立私钥库，工程建设费用小、系统的运行、维护费用小，经济效益明显；而采用X.509的体制则必须建立能够容纳14亿人口的CA证书中心和私钥库。

上述的电子身份证所使用的密钥管理方法，可以很自然地推广到银行的信用卡、连锁店的会员卡、通行证、工作证、驾驶执照等各种电子证件，是解决网络环境下的信任问题、权力控制问题的基本技术。

以上的实施说明及图式所示，是本发明较佳实施例之一，然而，并非以此局限本发明，因此，凡一切与本发明构造、装置、特征等近似、雷同的，均应属本发明的创设目的及申请专利的保护范围之内。

Claims (6)

1.一种多中心的基于身份的密钥管理方法，其通过若干个信息处理设备进行私钥和公钥的分配，该方法包括初始化步骤、私钥分配步骤和公钥分配步骤，其特征在于：

该初始化步骤包括：

a、由第一信息处理设备构造一级种子私钥表D()和相应的一级种子公钥表G()，构造独立的一级种子公钥表C()，将该一级种子私钥表D()分发给下述的所有第二信息处理设备秘密保存，而将该一级种子公钥表G()、C()公开；

b、由与特定用户ID相关的第二信息处理设备独立构造二级种子私钥表E()和相应的二级种子公钥表H()，将该二级种子私钥表E()由每个第二信息处理设备自己秘密保存，而将该二级种子公钥表H()公开；

该私钥分配步骤包括：

c、第二信息处理设备从一级种子私钥表D()、各自的二级种子私钥表E()和一级种子公钥表C()中取出特定数量u、v、w的元素组，利用下式计算出私钥分量K_i，

${\mathrm{\β}}_i=\frac{e_i\left(s_1\right)+e_i\left(s_2\right)+\·\·\·+e_i\left(s_v\right)}{d\left(r_1\right)+d\left(r_2\right)+\·\·\·+d\left(r_u\right)}\mathrm{mod}L$

      K_i＝β_i(c(t₁)c(t₂)...c(t_w))∈S₁

其中，K_i为私钥K中的第i个私钥分量，β_i为K_i的控制参数，e_i(s_v)是从二级种子私钥表E()中取出的第s_v个元素，d(r_u)是从一级种子私钥表D()中取出的第r_u个元素，c(t_w)是从一级种子公钥表C()中取出的第t_w个元素，v、u、w、s₁、...、s_v、r₁、...、r_u、t₁、...、t_w是特定用户ID所对应的预定值，L、S₁也为预定值，“”表示有限群S₁中规定的运算；

d、第二信息处理设备将相关的私钥分量K_i秘密分发给该特定用户ID的授权用户，该授权用户将该私钥分量K_i进行合并，得到其私钥K；

该公钥分配步骤包括：

e、第三信息处理设备从一级种子公钥表G()、C()和有关的若干个二级种子公钥表H()中取出特定数量u、v、w的元素组，利用下式计算出公钥{P、Q、R}，

         P＝g(r₁)g(r₂)...g(r_u)∈S₁

Q＝h_b1(s₁)...h_b1(s_v)...h_bj(s₁)...h_bj(s_v)∈S₁

         R＝c(t₁)c(t₂)...c(t_w)∈S₁

其中，g(r_u)是从一级种子公钥表G()中取出的第r_u个元素，h_bj(s_v)是从第b_j个二级种子公钥表H()中取出的第s_v个元素，c(t_w)是从一级种子公钥表C()中取出的第t_w个元素，v、u、w、r₁、...、r_u、s₁、...、s_v、t₁、...、t_w、b₁、...、b_j是特定用户ID所对应的预定值，S₁也是预定值，“”表示有限群S₁中规定的运算；

f、第三信息处理设备将实际公钥{P、Q、R}分配给该授权用户。

2.根据权利要求1所述的一种多中心的基于身份的密钥管理方法，其中，所述步骤a中由第一信息处理设备构造一级种子私钥表D()和相应的一级种子公钥表G()是指：

由第一信息处理设备用随机数构造一级种子私钥表D()，然后使用预先设定的参数a、n通过下式计算出相应的一级种子公钥表G()：

其中，g(i)为一级种子公钥表G()中的第i个元素，d(i)为随机数，其为一级种子私钥表D()中的第i个元素；“”表示有限群S₁中规定的运算。

3.根据权利要求1所述的一种多中心的基于身份的密钥管理方法，其中，所述步骤a中由第一信息处理设备构造独立的一级种子公钥表C()是指：

由第一信息处理设备用随机数c′₁、...、c′_n以及预先设定的参数a、n通过下式计算出相应的一级种子公钥表C()：

其中，c(i)为一级种子公钥表C()中的第i个元素，c′_i为随机数，“”表示有限群S₁中规定的运算。

4.根据权利要求1所述的一种多中心的基于身份的密钥管理方法，其中，所述步骤b中由与特定用户ID相关的第二信息处理设备独立构造二级种子私钥表E()，和相应的二级种子公钥表H()是指：

由第二信息处理设备用随机数构造二级种子私钥表E()，然后使用预先设定的参数a、m通过下式计算出相应的二级种子公钥表H()：

其中，h_i(j)为第i个相关的第二信息处理设备上的二级种子公钥表H()中的第j个元素，e_i(j)为随机数，其为二级种子私钥表E()中的第j个元素；“”表示有限群S₁中规定的运算。

5.根据权利要求1所述的一种多中心的基于身份的密钥管理方法，其中，所述步骤c中的特定数量u、v、w的元素组的指针{r₁，r₂，...，r_u；s₁，s₂，...，s_v；t₁，t₂，...，t_w}是指通过一个以特定用户ID为自变量的预定的单向函数F(ID)获得的，即：

{r₁，r₂，...，r_u；s₁，s₂，...，s_v；t₁，t₂，...，t_w}＝F(ID)。

6.根据权利要求1所述的一种多中心的基于身份的密钥管理方法，其中，所述步骤d中将私钥分量K_i进行合并更具体是指：

             K＝T₁K₁T₂K₂...T_qK_q∈S₁

其中，T₁、T₂、...、T_q为“1”或“0”元素，是特定用户ID所对应的预定值，K₁、K₂、...、K_q为由相关的第二信息处理设备分别产生的相应的私钥分量，“”表示有限群S₁中规定的运算。

Images