CN1921384A - 一种公钥基础设施系统、局部安全设备及运行方法 - Google Patents

Abstract

本发明提供了一种公钥基础设施系统、局部安全设备及运行方法，涉及安全基础设施领域，为了解决现有技术中证书管理复杂的问题，本发明涉及的方法用户通过局部安全设备获取生物特征信息；身份绑定权威服务器产生用户不可获得的系统私钥，并产生身份绑定系统参数作为系统公钥公布；局部安全设备通过系统私钥对用户生物特征信息ID_U和真实身份信息进行签名，得到系统签名；以生物特征信息作为公钥，私钥生成中心通过对生物特征信息进行签名生成用户私钥，并存储于局部安全设备，本发明还提供了一种公钥基础设施认证系统和装置，由本发明系统、装置构建的电子商务平台适用于移动通讯，网络银行，网格计费等应用。

Description

一种公钥基础设施系统、局部安全设备及运行方法

技术领域

本发明涉及安全基础设施领域，特别涉及一种公钥基础设施系统装置、及运行方法。

背景技术

网络认证是确认网络节点主体身份的手段。目前网络认证的方式通常有两种，利用对称密码的手段和利用公钥密码的手段。对于移动设备之间的认证，采用对称密码和共享秘密的认证是行不通的，这是因为与移动设备进行通信的节点的数目是不可预知的，因而无法在通信之前进行有效的共享秘密的部署。采用公钥密码算法或数字签名是一个比较合理的做法。

为了解决上述移动通信签名、认证的问题，采用以下解决方案：

基于数字证书的公钥基础设施(PKI)是通过对用户发放数字证书，来实现公钥和身份的绑定。在传统的PKI机制下，用户的公钥是无意义的比特串，并不具有任何用户身份信息。为了使得其它用户可以确认该公钥属于某用户，则需要一张数字证书来实现用户公钥与身份的绑定。该数字证书含有主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、公钥信息和其它信息等，也包含证书机构的签名，该签名用于验证证书的有效性。

该技术解决方案有以下缺点：

1、证书管理复杂。需要处理证书的发放，撤销等问题。

2、计算量大，硬件要求复杂。因为在利用公钥的时候，要首先检验证书机构签名的有效性，以确保该证书的有效性，这就带来了额外的计算。

3、当用户拥有多个公钥时，身份的管理会比较复杂。

发明内容

本发明的目的在于克服现有技术中存在的证书管理复杂、计算量大和当用户拥有多个公钥时，身份的管理会比较复杂的问题，提供了一种公钥基础设施系统、局部安全设备及运行方法，其中方法的技术方案如下：

步骤A：用户通过局部安全设备获取生物特征信息ID_U；

步骤B：身份绑定权威服务器产生用户不可获得的系统私钥，并产生身份绑定系统参数作为系统公钥公布；

步骤C：局部安全设备通过系统私钥对用户生物特征信息ID_U和用户真实身份信息进行签名，得到系统签名A；

步骤D：私钥生成中心通过对生物特征信息ID_U进行签名生成用户私钥，并存储于局部安全设备的用户私钥存储区。

步骤C中的系统私钥对用户生物特征信息ID_U和用户真实身份信息进行签名通过局部安全设备完成，步骤D还包括：将用户私钥存储于局部安全设备的用户私钥存储区的步骤。

所述步骤D包括：

步骤D1：产生系统参数param＝<q，G₁，G₂，ê，n，P，P_pub，H₁，H₂>；

步骤D2：局部安全设备随机选择 $t\&Element;Z_q^{*},$ 计算tg＝tP，将用户的生物特征信息ID_U连同tg一同发送给私钥生成中心，该私钥生成中心为无需可信私钥生成中心，其中t是只有局部安全设备掌握的一个承诺值，

无需可信私钥生成中心计算h＝H₁(ID_U‖tg)和α＝s·h，然后将α发送给局部安全设备，其中s是无需可信私钥生成中心的私钥，

签名用户通过验证关系式ê(α，P)＝ê(h，P_pub)成立，用户获得用户私钥sk＝(t，α)。

步骤D之后还包括：

通过用户私钥对消息M进行签名得到用户签名的步骤；

将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名发送给验证端的步骤；

验证系统签名A为指纹信息ID_U和真实身份信息合法签名的步骤；

再以生物特征信息ID_U为公钥，验证用户签名为消息M的合法签名的步骤。

步骤D之后还包括：

通过用户私钥sk对消息M进行签名计算U＝α+tH₂(M)，得到对消息M用户签名σ＝(U，tg)的步骤；

将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名σ发送给验证端的步骤；

验证系统签名A为指纹信息ID_U和真实身份信息合法签名的步骤；

以用户签名σ和消息M为输入，以生物特征信息ID_U为公钥，通过计算ê(U，P)＝ê(H₁(ID_U‖tg)，P_pub)·ê(H₂(M)，tg)关系式成立，接受用户签名σ为消息M的合法签名的步骤。

步骤D之后还包括：

以加密用户生物特征信息ID_U1为公钥对消息M进行加密得到密文C的步骤；

局部安全设备通过调用存储的用户私钥，对密文C进行解密。

本发明另一方面还涉及一种公钥基础设施系统，该系统包括局部安全设备、私钥生成中心和身份绑定权威服务器，

局部安全设备包括获取模块、双线性对运算模块、系统级存储和用户私钥存储区，获取模块用于获取生物特征信息ID_U，双线性对运算模块用于通过系统私钥对生物特征信息ID_U和用户真实身份信息进行签名，得到系统签名A，

系统级存储用于存储系统私钥，该系统级存储区用户访问不到；

私钥生成中心包括用户私钥生成模块，用户私钥生成模块用于以生物特征信息ID_U作为公钥，对生物特征信息进行签名生成用户私钥；

身份绑定权威服务器包括系统参数产生模块和系统密钥生成模块，

系统参数产生模块用于产生身份绑定系统参数，

系统密钥生成模块用于产生用户不可获得的系统私钥，并产生身份绑定系统参数作为系统公钥公布。

局部安全设备还包括用户私钥存储区，用户私钥存储区用于存储用户私钥。

局部安全设备还包括用户私钥生成模块和用户私钥验证模块，

用户私钥生成模块用于随机选择 $t\&Element;Z_q^{*},$ 计算tg＝tP，将用户的生物特征信息ID_U连同tg一同发送给私钥生成中心，该私钥生成中心为无需可信私钥生成中心，其中t是只有局部安全设备掌握的一个承诺值，

用户私钥验证模块用于通过验证关系式ê(α，P)＝ê(h，P_pub)成立，用户获得用户私钥sk＝(t，α)，

私钥生成中心还包括系统参数产生模块、运算模块和发送模块，

系统参数产生模块用于产生用户私钥生成系统参数param＝<q，G₁，G₂，ê，n，P，P_pub，H₁，H₂>，

运算模块用于计算h＝H₁(ID_U‖tg)和α＝s·h，

发送模块用于将α发送给局部安全设备，其中s是无需可信私钥生成中心的私钥。

还包括验证服务器，

局部安全设备还包括用户签名生成模块和发送模块，

用户签名生成模块通过用户私钥对消息M进行签名得到用户签名，

发送模块用于将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名发送给验证服务器，

验证服务器包括绑定合法签名验证模块和合法签名验证模块，

绑定合法签名验证模块用于验证系统签名A为指纹信息ID_U和真实身份信息合法签名，

合法签名验证模块用于以生物特征信息ID_U为公钥，验证用户签名为消息M的合法签名。

还包括验证服务器，

局部安全设备还包括用户签名生成模块和发送模块，

用户签名生成模块用于通过用户签名私钥sk对消息M进行签名计算U＝α+tH₂(M)，得到对消息M用户签名σ＝(U，tg)，

发送模块用于将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名σ发送给验证服务器，

验证服务器包括绑定合法签名验证模块和合法签名验证模块，

绑定合法签名验证模块用于验证系统签名A为指纹信息ID_U和真实身份信息合法签名，

合法签名验证模块用于以用户签名σ和消息M为输入，以生物特征信息ID_U为公钥，通过计算ê(U，P )＝ê(H₁(ID_U‖tg)，P_pub)·ê(H₂(M)，tg)关系式成立，接受用户签名σ为消息M的合法签名。

系统还包括：

用于以加密用户生物特征信息ID_U1为公钥对消息M进行加密得到密文C的加密装置，

局部安全设备还包括解密模块，解密模块用于通过调用存储于用户私钥存储区的用户私钥，对密文C进行解密。

本发明还涉及一种公钥基础设施局部安全设备，该局部安全设备包括获取模块、双线性对运算模块、系统级存储区和用户私钥存储区，

获取模块用于用户获取生物特征信息ID_U，

双线性对运算模块用于通过系统私钥对用户生物特征信息ID_U和用户真实身份信息进行签名，得到系统签名A，

系统级存储区用于存储系统私钥，该系统级存储区用户访问不到。

局部安全设备还包括用户私钥存储区，用户私钥存储区用于存储用户私钥。

局部安全设备还包括用户私钥生成模块和用户私钥验证模块，

用户私钥生成模块用于随机选择 $t\&Element;Z_q^{*},$ 计算tg＝tP，将用户的生物特征信息ID_U连同tg一同发送给私钥生成中心，该私钥生成中心为无需可信私钥生成中心，其中t是只有局部安全设备掌握的一个承诺值，

用户私钥验证模块用于通过验证关系式ê(α，P)＝ê(h，P_pub)成立，用户获得用户私钥sk＝(t，α)。

局部安全设备还包括用户签名生成模块和发送模块，

用户签名生成模块通过用户私钥对消息M进行签名得到用户签名，

发送模块用于将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名发送给验证服务器。

局部安全设备还包括用户签名生成模块和发送模块，

用户签名生成模块用于通过用户签名私钥sk对消息M进行签名计算U＝α+tH₂(M)，得到对消息M用户签名σ＝(U，tg)，

发送模块用于将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名σ发送给验证服务器。

局部安全设备还包括解密模块，解密模块用于通过调用存储于用户私钥存储区的用户私钥，对密文C进行解密。

有益效果：

1)因为用户通过局部安全设备获取生物特征信息，因此无需证书权威(CA)发放证书，这样就可解决为了管理众多证书而带来的证书管理复杂问题，这样很多以前证书权威做的工作都可由局部安全设备来做，可以节省大量的CA端的安全设备的投资，经济效果明显。

2)因为生物特征本身是每个人固有的东西，任何两个人的生物特征是不会相同的，而且其他任何实体在非暴力的状态下无法有效的违背他人意愿的得到那个人的生物特征，所以基于生物特征的公钥基础设施系统中，不需再为验证证书的有效性而进行额外的计算，硬件要求相对简单。

3)因为以生物特征为公钥，用户无需拥有多个公钥，身份的管理会相对简单。

附图说明

图1是本发明实施例1对应的方法流程图；

图2是本发明实施例2对应的方法流程图；

图3是本发明实施例3对应的方法流程图；

图4是本发明实施例4对应的方法流程图；

图5是本发明实施例5对应的方法流程图；

图6是本发明实施例6对应的系统示意图；

图7是本发明实施例7对应的系统示意图；

图8是本发明实施例8对应的系统示意图；

图9是本发明实施例9对应的系统示意图；

图10是本发明实施例10对应的系统示意图。

具体实施方式

下面将结合附图和实施例对本发明进行进一步说明，但并不表示对本发明的限定。

本发明通过将一对密钥与人的生物特征在本地实现绑定，以生物特征作为公钥，实现基于生物特征的公钥基础设施的方法。

实施例1

为了解决现有基于数字证书的公钥基础设施中证书管理复杂、计算量大和当用户拥有多个公钥时，身份的管理会比较复杂的问题，本方法是通过将一对密钥与人的生物特征在本地实现绑定，以生物特征作为公钥，如图1所示，具体步骤如下：

步骤101：在智能卡装置中存储模板指纹信息：

用户在可靠第三方监督下，使用智能卡装置对用户生物特征如指纹进行采样，获取唯一的指纹进行数字化处理，转换成数字代码，并进一步将这些数字代码作为模板指纹信息，数字化后的指纹信息是个较庞大的文件，在本实施例中用ID_U表示，将ID_U存于智能卡装置的用户生物特征存储器中，上述生物特征也可以是视网膜信息或声音信息。

步骤102：将获取的指纹信息与模板指纹信息进行比对认证：

应用中，智能卡装置先获取用户指纹，同样进行数字化处理，转换成数字代码即指纹信息ID_U’，通过智能卡装置的生物特征比对模块将获取的指纹信息ID_U’与模板指纹信息ID_U进行比对并确认相同，从而实现智能卡装置对用户的本地认证，这是用户启动智能卡实施操作的唯一办法。

步骤103：智能卡装置对指纹信息和真实身份信息进行签名，实现公钥即指纹信息和真实身份信息的绑定，以BLS短签名算法为例具体的签名步骤是：

(一)身份绑定权威IBA产生身份绑定系统参数即系统公钥和用户不可获得的系统私钥s_bls：

接受正整数安全参数k作为输入，算法如下：

1、生成大素数p和q，其中p＝12q-1。在集合{0，1，…，p}上实施模p加法和模p乘法就构成了域，记为F_p。记椭圆曲线y²＝x³+1在域F_p上的点组成的集合为E(F_p)，显然，E(F_p)构成p+1阶循环群。E(F_p)的q阶子群记为G₁。记域F_p的二次扩域记为F_p2。F_p2上的乘法群记为F_p2 ^*。F_p2 ^*的q阶子群记为G₂。并且构造Weil配对e：G₁×G₁→G₂。

2、从G₁选择一个生成元P。并随机选择 $s_{\mathrm{bls}}\&Element;Z_q^{*},$ Z_q ^*表示集合{{1，2，…，q-1}，令P_bls＝s_blsP。

3、Hash函数，H₂：{0，1}^*→G₁ ^*。H₂的构造方法是：对于任意ID，(1)利用SHA1算法(记为H_s)计算y₀＝H_s(ID)(mod p)；(2)计算 $x_0={(y_0^2-1)}^{1/3}={(y_0^2-1)}^{(2p-1)/3};$ (3)令Q＝(x₀，y₀)，计算Q_ID＝Q，其实，H₂(ID)＝Q_ID。

综合以上信息，系统私钥是s_bls，对指纹信息和用户身份证信息签名验证时使用的身份绑定系统参数是：pk_bls＝<q，G₁，G₂，ê，n，P，P_bls，H₂>，并将该参数在系统公布。

将该参数作为身份绑定签名的验证公钥存放在智能卡系统公共参数存储区，当然也不一定必须是智能卡系统公共参数存储区，只要方便智能卡本地调用这些参数的存储区均可，如专用USB key。

得到系统私钥s_bls后，身份绑定权威IBA通过智能卡装置私钥导入模块将私钥s_bls存储于在智能卡装置的系统级存储区中，每个装置中的s_bls都是相同的，当然也不一定必须是智能卡装置的系统级存储区，其它如专用USB key内设的专用存储区也可以，这个存储区只有智能卡装置的私钥导入模块和一般数字签名协处理的双线性对运算模块才能访问，用户是不能获得的。

(二)智能卡装置通过系统私钥s_bls对指纹信息ID_U和真实身份信息(比如身份证号码123456789123456789)进行签名实现绑定：以身份证号码123456789123456789和指纹信息ID_U为输入，智能卡装置的密码协处理器双线性对运算模块计算A＝s_blsH₂(123456789123456789，ID_U)，对身份证号码123456789123456789和ID_U的签名就是系统签名A，通过以上的计算就可以实现身份证号码123456789123456789和指纹信息ID_U的绑定。

当然本步骤中只是以BLS短签名算法为例实现将身份证号码和指纹信息进行绑定，使用RSA签名、ElGamal签名和DSA签名算法等等也同样可以达到BLS短签名算法同样的作用。

步骤104：以指纹信息ID_U为公钥，通过可信任私钥生成装置PKG生成用户私钥并存储在智能卡的用户私钥存储区，当然也不一定必须是智能卡系统的用户私钥存储区，只要该存储区只有智能卡进行双线性运算时才能访问，如专用USB key。

上面是以智能卡装置作为局部安全设备为例进行说明，当然采用其它的如可信平台模块装置也可实现。这些局部安全设备分为不同的区域，且不同的区域只能由特定的模块访问，其它模块无法访问。

通过以上步骤基于生物特征的公钥基础设施系统就建立成功了，与基于证书的公钥基础设施(CA-PKI)比，1)因为是用户实体端通过本地指纹认证，因此无需证书权威(CA)发放证书，这样就可解决为了管理众多证书而带来的证书管理复杂问题。2)因为生物特征本身是每个人固有的东西，任何两个人的生物特征是不会相同的，而且其他任何实体在非暴力的状态下无法有效的违背他人意愿的得到那个人的生物特征，所以基于生物特征的公钥基础设施系统中，不需再为验证证书的有效性而进行额外的计算，硬件要求相对简单。3)因为以生物特征为公钥，用户无需拥有多个公钥，身份的管理会相对简单。

实施例2：在实施例1中用户私钥是由可信任私钥生成装置PKG单独生成的，这样就存在私钥托管问题，为解决该问题，如图2，本实施例的方法中采用智能卡装置和无需可信私钥生成装置PKG共同生成用户私钥，具体步骤如下：

在采用和步骤101-103相同的步骤，之后，

步骤201：采用和步骤103中相似的方法，最终公布用户私钥生成系统参数param＝<q，G₁，G₂，ê，n，P，P_pub，H₁，H₂>，

将产生的用户私钥生成系统参数param＝<q，G₁，G₂，ê，n，P，P_pub，H₁，H₂>存储在智能卡的系统公共参数存储区以便后续步骤调用。

步骤202：智能卡装置和PKG以公钥指纹信息ID_U为基础，共同确定用户私钥sk：

1、智能卡装置随机选择 $t\&Element;Z_q^{*},$ 智能卡装置通过密码协处理器双线性对运算模块计算tg＝tP，将用户的指纹信息ID_U连同计算得到的tg一同发送给无需可信私钥生成中心PKG；

2、无需可信私钥生成中心PKG计算h＝H₁(ID_U‖tg)和α＝s·h，然后将α发送智能卡装置，其中s是PKG的私钥；

3、智能卡装置通过密码协处理器双线性对运算模块验证关系式ê(α，P)＝ê(h，P_pub)是否成立，如果不成立，那么此次私钥提取协议失败，否则，用户就获得了用户私钥sk＝(t，α)，将用户私钥sk存储在卡的用户私钥存储区，此时只能由密码协处理器双线性对运算模块来访问，智能卡装置的其它任何密码协处理器外的运算模块或操作主体无法访问。

当然为了提供不同的应用，用户私钥存储区还可以包含不同的私钥存储区，如用户签名私钥存储区、用户解密私钥存储区，智能卡装置把不同的私钥存储在不同的存储区。

用户私钥sk＝(t，α)中只有智能卡装置掌握的秘密t的一个承诺值(证据，标记)，这样无论是PKG作假还是传输时α被黑客篡改，均不能通过后续验证算法的验证。

实施例3：

下面将依照本发明的方法应用于证券交易中时，做进一步具体说明，在用户和证券交易所通过网络进行股票买入卖出交易时，可在实施例1基于生物特征的公钥基础设施的基础上，实现用户最后对交易的签名确认，也就是说以指纹信息为用户的签名公钥的基础上，实施签名，在用户证券交易签名时，整个交易系统需要包括一个私钥生成装置PKG和用户利用生物特征签名的签名装置如智能卡装置，还包括证券交易所的验证服务器，如图3所示，本实施例的方法具体步骤如下：

采用和步骤101-104相同的步骤，之后，

步骤301：用户从智能卡装置的用户私钥存储区中的用户签名私钥存储区调用用户私钥，对将10元/股的价钱买入1000股某股票的消息M进行签名得到用户签名，将10元/股的价钱买入1000股某股票的消息M、公钥指纹信息ID_U、身份证号码123456789123456789、系统签名A和用户签名发送给证券交易所验证服务器。

步骤302：证券交易所验证服务器收到消息M、指纹信息ID_U、身份证号码123456789123456789、系统签名A和用户签名后，首先，利用系统公开的参数pk_bls＝<q，G₁，G₂，ê，n，P，P_bls，H₂>作为公钥，以系统签名A和指纹信息ID_U、身份证号码123456789123456789为输入，计算下面的关系式是否成立，如果成立，接受A为指纹信息ID_U、身份证号码123456789123456789的合法签名，否则拒绝之。

ê(A，P)＝ê(H₂(ID_U，123456789123456789)，P_bls)如果该签名合法则证明该指纹信息就是身份证号码是123456789123456789用户本人的指纹信息。

步骤303：再以指纹信息ID_U为公钥，利用现有技术中签名方案的验证算法验证用户签名为消息M的合法签名。

通过以上步骤，就可以实现基于生物特征的公钥基础设施进行签名和认证了。

实施例4

当然我们也可以在基于实施例2的生物特征的公钥基础设施的基础上，实现用户最后对交易的签名确认，如图4所示，具体步骤如下：

前序步骤和实施例2相同，在智能卡装置和PKG以公钥指纹信息ID_U为基础，共同确定用户私钥sk后，

步骤401：用户调用用户私钥sk，对将10元/股的价钱买入1000股某股票的消息M进行签名，计算U＝α+tH₂(M)，得到对消息M用户签名σ＝(U，tg)，将10元/股的价钱买入1000股某股票的消息M、公钥指纹信息ID_U、身份证号码123456789123456789、系统签名A和用户签名σ＝(U，tg)发送给证券交易所验证服务器。

步骤402：同步骤302，验证A为指纹信息ID_U、身份证号码123456789123456789的合法签名，确定指纹信息ID_U就是身份证号码123456789123456789用户本人的指纹信息。

步骤403：以σ＝(U，tg)和消息M为输入，计算下面关系式是否成立，如果成立，接受σ为M的合法签名，否则拒绝之。

                   ê(U，P)＝ê(H₁(ID_U‖tg)，P_pub)·ê(H₂(M)，tg)

这是因为ê(U，P)＝ê(α+tH₂(M)，P)＝ê(H₁(ID_U‖tg)，P_pub)·ê(H₂(M)，tg)。

通过以上步骤，在无需可信私钥生成中心的情况下，就可以实现基于生物特征的公钥基础设施进行签名和认证了。

实施例5

在本实施例是在生物特征的公钥基础设施的基础上对加密的消息M进行解密的方法，解密用户在生物特征的公钥基础设施的基础上，对加密用户通过解密用户公钥(指纹信息)加密的消息M进行解密，本实施例是以基于身份的IBE算法为例，当然还可以采用其它现有技术中的算法如：IB-KEM加密算法也同样可实现敏感信息的安全传输，如图5所示，具体采用如下步骤：

在采用和步骤101-103相同的步骤，之后，

步骤501：同实施例1中的步骤103中相似产生参数。

从G₁选择一个生成元P，并随机选择 $s_{\mathrm{ibe}}\&Element;Z_q^{*},$ 令 $P_{\mathrm{pub}}^{\mathrm{ibe}}=s_{\mathrm{ibe}}P.$

Hash函数H₁同实施例1中的H₁；H₃：G₂→{0，1}ⁿ，H₃的构造方法直接采用SHA1函数H_s。

最终加解密系统参数为<q，G₁，G₂，ê，n，P，P_pub ^ibe，H₁，H₃>并存放在系统公共参数存储区。

步骤502：解密用户通过PKG提取解密私钥：

给定解密用户指纹信息ID_U1∈{0，1)^*作为输入，首先PKG计算 $Q_{\mathrm{ID}}=H_1\left({\mathrm{ID}}_{U1}\right)\&Element;G_1^{*}$ ，然后计算解密私钥d_ID＝s_ibeQ_ID，Q_ID也是群的生成元，根据s_ibe的取值，解密私钥也是在G₁ ^*上随机分布的。将该解私钥存放在智能卡装置的用户私钥存储区的用户解密私钥存储区，只能由双线性对运算模块和卡外的可信的私钥生成中心(PKG)来访问，其它任何密码协处理器外的运算模块或操作主体无法访问。

步骤503：对消息M加密：

加密用户获取解密用户的指纹信息ID_U1后，以解密用户的指纹信息ID_U1为公钥对消息M加密，

首先，计算 $Q_{\mathrm{ID}}=H_1\left({\mathrm{ID}}_{U1}\right)\&Element;G_1^{*},$ 然后随机选择 $r\&Element;Z_q^{*},$ 计算 $g_{\mathrm{ID}}=\hat{e}(Q_{\mathrm{ID}},P_{\mathrm{pub}})\&Element;G_2^{*},$ 密文C＝<rP,MH₃(g_ID ^r)>。

加密用户为了获得可靠的解密用户的指纹信息ID_U1，解密用户可以对指纹信息ID_U1和真实身份信息如身份证号进行签名，然后发送给加密用户，加密用户收到后验证该签名，验证通过说明指纹信息ID_U1确实是解密用户的。

步骤504：对密文解密：

解密用户通过智能卡装置调用用户解密私钥存储区的私钥d_ID，对密文C进行解密，

根据密文C＝<U，V>计算M＝H₃(ê(d_ID，U))V其中，一致性是成立的，因为

$\hat{e}(d_{\mathrm{ID}},U)=\hat{e}(s{Q}_{\mathrm{ID}},\mathrm{rP})=\hat{e}{(Q_{\mathrm{ID}},P)}^{s_{\mathrm{ibe}}r}=\hat{e}{(Q_{\mathrm{ID}},\mathrm{sP})}^r=\hat{e}{(Q_{\mathrm{ID}},P_{\mathrm{pub}}^{\mathrm{ibe}})}^r={g_{\mathrm{ID}}}^r$

结果是一致的。

这样通过对比两者相等，说明数据没有被篡改，是保密传输的，因此采用IBE加解密法实现了安全传输，采用其它加解密算法如IB-KEM加密算法也同样可实现敏感信息的安全传输。

实施例6

一种公钥基础设施系统，该系统包括签名用户的智能卡装置、私钥生成中心的私钥生成中心服务器和身份绑定权威服务器，智能卡装置通过IP网或GPRS网连接私钥生成服务器和身份绑定权威服务器，如图6所示：

智能卡装置的获取模块负责用户获取生物特征信息ID_U，

智能卡装置通过网络将生物特征信息ID_U发送给私钥生成服务器，

身份绑定权威服务器的系统参数产生模块负责产生身份绑定系统参数，系统密钥生成模块产生用户不可获得的系统私钥，并产生身份绑定系统参数作为系统公钥公布，

身份绑定权威服务器通过智能卡装置私钥导入模块将系统私钥存储于在智能卡装置的系统级存储区中，该系统级存储区用户访问不到，

智能卡装置的双线性对运算模块负责通过调用系统私钥对用户生物特征信息ID_U和用户真实身份信息进行签名，得到系统签名A，

私钥生成服务器的用户私钥生成模块负责以生物特征信息ID_U作为公钥，对生物特征信息进行签名生成用户私钥。

智能卡装置的用户私钥存储区用于存储用户私钥，该存储区只有智能卡进行双线性运算时才能访问。

实施例7

为了解决私钥托管问题本发明另外涉及的的一种公钥基础设施系统，如图7和实施例6中的系统不同之处在于还包括：

私钥生成中心服务器包括用于产生用户私钥生成系统参数param＝<q，G₁，G₂，ê，n，P，P_pub，H₁，H₂>的系统参数产生模块，

智能卡装置还包括用户私钥生成模块和用户私钥验证模块，

用户私钥生成模块用于随机选择 $t\&Element;Z_q^{*},$ 计算tg＝tP，将用户的生物特征信息ID_U连同tg一同发送给私钥生成中心，该私钥生成中心为无需可信私钥生成中心，其中t是只有智能卡装置掌握的一个承诺值，

用户私钥验证模块用于通过验证关系式ê(α，P)＝ê(h，P_pub)成立，用户获得用户私钥sk＝(t，α)，

私钥生成中心还包括用于计算h＝H₁(ID_U‖tg)和α＝s·h运算模块，以及将α发送给智能卡装置的发送模块，其中s是无需可信私钥生成中心的私钥。

实施例8

为了解决签名问题本发明另外涉及的的一种公钥基础设施系统，如图8和实施例6中的系统不同之处在于还包括：验证服务器，

智能卡装置还包括通过用户私钥对消息M进行签名得到用户签名的用户签名生成模块，以及用于将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名发送给验证服务器的发送模块，

验证服务器包括用于验证系统签名A为指纹信息ID_U和真实身份信息合法签名的绑定合法签名验证模块，以及用于以生物特征信息ID_U为公钥，验证用户签名为消息M的合法签名的合法签名验证模块。

实施例9

为了解决签名问题本发明另外涉及的的一种公钥基础设施系统，如图9和实施例7中的系统不同之处在于还包括：验证服务器，

智能卡装置还包括通过用户签名私钥sk对消息M进行签名计算U＝α+tH₂(M)，得到对消息M用户签名σ＝(U，tg)的用户签名生成模块，以及将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名σ发送给验证服务器的发送模块；

验证服务器包括用于验证系统签名A为指纹信息ID_U和真实身份信息合法签名的绑定合法签名验证模块，以及用于以用户签名σ和消息M为输入，以生物特征信息ID_U为公钥，通过计算ê(U，P)＝ê(H₁(ID_U‖tg)，P_pub)·ê(H₂(M)，tg)关系式成立，接受用户签名σ为消息M的合法签名的合法签名的合法签名验证模块。

实施例10

为了解决加解密问题本发明另外涉及的的一种公钥基础设施系统，如图10和实施例6中的系统不同之处在于还包括：

用于以加密用户生物特征信息ID_U1为公钥对消息M进行加密得到密文C的加密装置，

智能卡装置还包括用于通过调用存储于用户私钥存储区的用户私钥，对密文C进行解密的解密模块。

以上只是本发明的优选实施方式进行了描述，本领域的技术人员在本发明技术的方案范围内，进行的通常变化和替换，都应包含在本发明的保护范围内。

Claims (18)

1、一种公钥基础设施运行方法，其特征在于，所述方法包括如下步骤：

步骤A：用户通过局部安全设备获取生物特征信息ID_U；

步骤B：身份绑定权威服务器产生用户不可获得的系统私钥，并产生身份绑定系统参数作为系统公钥公布；

步骤C：通过系统私钥对用户生物特征信息ID_U和用户真实身份信息进行签名，得到系统签名A；

步骤D：私钥生成中心通过对生物特征信息ID_U进行签名生成用户私钥。

2、如权利要求1所述的方法，其特征在于，步骤C中的系统私钥对用户生物特征信息ID_U和用户真实身份信息进行签名通过局部安全设备完成，步骤D还包括：将用户私钥存储于局部安全设备的用户私钥存储区的步骤。

3、如权利要求1或2所述的方法，其特征在于，所述步骤D包括：

步骤D1：产生系统参数 $\mathrm{param}=<q,G_1,G_2,\hat{e},n,P,P_{\mathrm{pub}},H_1,H_2>;$

步骤D2：局部安全设备随机选择 $t\&Element;Z_q^{*},$ 计算tg＝tP，将用户的生物特征信息ID_U连同tg一同发送给私钥生成中心，该私钥生成中心为无需可信私钥生成中心，其中t是只有局部安全设备掌握的一个承诺值，

无需可信私钥生成中心计算h＝H₁(ID_U‖tg)和α＝s·h，然后将α发送给局部安全设备，其中s是无需可信私钥生成中心的私钥，

签名用户通过验证关系式 $\hat{e}(\mathrm{\&alpha;},P)=\hat{e}(h,P_{\mathrm{pub}})$ 成立，用户获得用户私钥sk＝(t，α)。

4、如权利要求1或2所述的方法，其特征在于，步骤D之后还包括：

通过用户私钥对消息M进行签名得到用户签名的步骤；

将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名发送给验证端的步骤；

验证系统签名A为指纹信息ID_U和真实身份信息合法签名的步骤；

再以生物特征信息ID_U为公钥，验证用户签名为消息M的合法签名的步骤。

5、如权利要求3所述的方法，其特征在于，步骤D之后还包括：

通过用户私钥sk对消息M进行签名计算U＝α+tH₂(M)，得到对消息M用户签名σ＝(U，tg)的步骤；

将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名σ发送给验证端的步骤；

验证系统签名A为指纹信息ID_U和真实身份信息合法签名的步骤；

以用户签名σ和消息M为输入，以生物特征信息ID_U为公钥，通过计算 $\hat{e}(U,P)=\hat{e}(H_1\left({\mathrm{ID}}_U\right|\left|\mathrm{tg}\right),P_{\mathrm{pub}})\&CenterDot;\hat{e}(H_2\left(M\right),\mathrm{tg})$ 关系式成立，接受用户签名σ为消息M的合法签名的步骤。

6、如权利要求1或2所述的方法，其特征在于，步骤D之后还包括：

以加密用户生物特征信息ID_U1为公钥对消息M进行加密得到密文C的步骤；

局部安全设备通过调用存储的用户私钥，对密文C进行解密。

7、一种公钥基础设施系统，其特征在于，所述系统包括局部安全设备、私钥生成中心和身份绑定权威服务器，

局部安全设备包括获取模块、双线性对运算模块、系统级存储和用户私钥存储区，获取模块用于获取生物特征信息ID_U，双线性对运算模块用于通过系统私钥对生物特征信息ID_U和用户真实身份信息进行签名，得到系统签名A，

系统级存储用于存储系统私钥，该系统级存储区用户访问不到；

私钥生成中心包括用户私钥生成模块，用户私钥生成模块用于以生物特征信息ID_U作为公钥，对生物特征信息进行签名生成用户私钥；

身份绑定权威服务器包括系统参数产生模块和系统密钥生成模块，

系统参数产生模块用于产生身份绑定系统参数，

系统密钥生成模块用于产生用户不可获得的系统私钥，并产生身份绑定系统参数作为系统公钥公布。

8、如权利要求7所述的系统，其特征在于，局部安全设备还包括用户私钥存储区，用户私钥存储区用于存储用户私钥。

9、如权利要求7或8所述的系统，其特征在于，局部安全设备还包括用户私钥生成模块和用户私钥验证模块，

用户私钥生成模块用于随机选择 $t\&Element;Z_q^{*},$ 计算tg＝tP，将用户的生物特征信息ID_U连同tg一同发送给私钥生成中心，该私钥生成中心为无需可信私钥生成中心，其中t是只有局部安全设备掌握的一个承诺值，

用户私钥验证模块用于通过验证关系式 $\hat{e}(\mathrm{\&alpha;},P)=\hat{e}(h,P_{\mathrm{pub}})$ 成立，用户获得用户私钥sk＝(t，α)；

私钥生成中心还包括系统参数产生模块、运算模块和发送模块，

系统参数产生模块用于产生用户私钥生成系统参数 $\mathrm{param}=<q,G_1,G_2,\hat{e},n,P,P_{\mathrm{pub}},H_1,H_2>,$

运算模块用于计算h＝H₁(ID_U‖tg)和α＝s·h，

发送模块用于将α发送给局部安全设备，其中s是无需可信私钥生成中心的私钥。

10、如权利要求7或8所述的系统，其特征在于，还包括验证服务器，

局部安全设备还包括用户签名生成模块和发送模块，

用户签名生成模块通过用户私钥对消息M进行签名得到用户签名，

发送模块用于将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名发送给验证服务器；

验证服务器包括绑定合法签名验证模块和合法签名验证模块，

绑定合法签名验证模块用于验证系统签名A为指纹信息ID_U和真实身份信息合法签名，

合法签名验证模块用于以生物特征信息ID_U为公钥，验证用户签名为消息M的合法签名。

11、如权利要求9所述的系统，其特征在于，还包括验证服务器，

局部安全设备还包括用户签名生成模块和发送模块，

用户签名生成模块用于通过用户签名私钥sk对消息M进行签名计算U＝α+tH₂(M)，得到对消息M用户签名σ＝(U，tg)，

发送模块用于将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名σ发送给验证服务器；

验证服务器包括绑定合法签名验证模块和合法签名验证模块，

绑定合法签名验证模块用于验证系统签名A为指纹信息ID_U和真实身份信息合法签名，

合法签名验证模块用于以用户签名σ和消息M为输入，以生物特征信息ID_U为公钥，通过计算 $\hat{e}(U,P)=\hat{e}(H_1\left({\mathrm{ID}}_U\right|\left|\mathrm{tg}\right),P_{\mathrm{pub}})\&CenterDot;\hat{e}(H_2\left(M\right),\mathrm{tg})$ 关系式成立，接受用户签名σ为消息M的合法签名。

12、如权利要求7或8所述的系统，其特征在于，系统还包括：

用于以加密用户生物特征信息ID_U1为公钥对消息M进行加密得到密文C的加密装置，

局部安全设备还包括解密模块，解密模块用于通过调用存储于用户私钥存储区的用户私钥，对密文C进行解密。

13、一种公钥基础设施局部安全设备，其特征在于，局部安全设备包括获取模块、双线性对运算模块、系统级存储区和用户私钥存储区，

获取模块用于用户获取生物特征信息ID_U，

双线性对运算模块用于通过系统私钥对用户生物特征信息ID_U和用户真实身份信息进行签名，得到系统签名A，

系统级存储区用于存储系统私钥，该系统级存储区用户访问不到。

14、如权利要求13所述的局部安全设备，其特征在于，局部安全设备还包括用户私钥存储区，用户私钥存储区用于存储用户私钥。

15、如权利要求13或14所述的局部安全设备，其特征在于，局部安全设备还包括用户私钥生成模块和用户私钥验证模块，

用户私钥生成模块用于随机选择 $t\&Element;Z_q^{*},$ 计算tg＝tP，将用户的生物特征信息ID_U连同tg一同发送给私钥生成中心，该私钥生成中心为无需可信私钥生成中心，其中t是只有局部安全设备掌握的一个承诺值，

用户私钥验证模块用于通过验证关系式 $\hat{e}(\mathrm{\&alpha;},P)=\hat{e}(h,P_{\mathrm{pub}})$ 成立，用户获得用户私钥sk＝(t，α)。

16、如权利要求13或14所述的局部安全设备，其特征在于，局部安全设备还包括用户签名生成模块和发送模块，

用户签名生成模块通过用户私钥对消息M进行签名得到用户签名，

发送模块用于将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名发送给验证服务器。

17、如权利要求15所述的局部安全设备，其特征在于，局部安全设备还包括用户签名生成模块和发送模块，

用户签名生成模块用于通过用户签名私钥sk对消息M进行签名计算U＝α+tH₂(M)，得到对消息M用户签名σ＝(U，tg)，

发送模块用于将消息M、生物特征信息ID_U、真实身份信息、系统签名A和用户签名σ发送给验证服务器。

18、如权利要求13或14所述的局部安全设备，其特征在于，局部安全设备还包括解密模块，解密模块用于通过调用存储于用户私钥存储区的用户私钥，对密文C进行解密。

Images