WO2006074611A1 - Procede et dispositif pour generer une cle privee sur la base d'un identifiant - Google Patents

Description

基于标识的密钥产生方法及装置 技术领域

本发明涉及网络安全技术领域，更具体说涉及在非对称密钥系统中产生公 私钥对的方法和装置。 背景技术

随着互联网的发展，对计算机和网络安全的要求也越来越高,相应的加密 算法和技术也在蓬勃发展。 目前的加密技术可分为两类，即对称密钥技术和非对 称密钥技术。 其中非对称密钥技术由于可以避免通过网络传递解密密钥即私钥 的需要而受到了广泛的应用。

非对称密钥目前最为本领域内的技术人员所公知的技术是 ΡΠ (Public Key Infrastructure)。 ΡΠ的运行靠两大部件：层次化的 CA机构（Certification Authority)和庞大的证书库 LDAP。 PKI靠第三方公证来解决标识和密钥的捆绑。 此需要建立庞大的层次化的 CA认证机构。 PKI还要靠在线运行的证书库的支持, 证书库的在线运行引发了大量的网络信 >流量,例如一方为了获得通信对方的证 书，就需要向 CA层层认证。于是各国学者,包括部分 PKI公司在内，正在积极寻找一 种新的出路。

另一种非常具有前景的加密技术是 IBE (Identity Based Encryption)。 1984年， Shamir提出了基于标识的签名设想,并推测基于标识的密码体制（简称 IBE: Identity Based Encryption) 的存在性,但是一直没有找到具体的实现方 法。

2001 年 Don Boneh和 Matthew Franklin根据 Shamir的想法，提出了从 Weil配对 来实现基于标识的密码体制。 与 PKI技术相比较 , ΙΒΕ算法虽然取消了庞大的层 次化 CA机构，但需要保留用户相关的参数。 因为参数是与各用户相关,所以参数 量与用户量形成正比。 只要需要公布用户相关信息，就需要目录库（LDAP)等数 据库的支持，进而也没法减少动态的在线维护量。 发明内容 本发明的目的就是找出简便的基于标识的不受用户数量限制的密钥产生方 法， 以解决现有技术中存在的上述问题。

为此，本发明提出了一种密钥产生及管理的方法以及相应的装置和系统，从 对方的标识产生公钥，从而不需要第三方 CA的证明，也没有系统在线维护量。

根据本发明，基于标识的密钥产生及管理方法以有限的公、 私钥对，分别建 立公钥计算参数和私钥计算参数,并创设映射计算方法和运算规则，使各依赖方 能够通过对方的标识直接计算对方公钥，从而实现基于标识的密钥方法。

本发明公开了一种用于根据用户标 i只产生非对称密钥对的方法，包括下述 步骤： 生成彼此对应的私钥计算参数和公钥计算参数； 根据第一用户提供的标 识，利用所述私钥计算参数计算第一用户的私钥； 将所产生的私钥提供给第一用 户； 以及公布所述公钥计算参数，以使得第二用户在获得第一用户的标识后,可 根据第一用户的标识，利用所述公钥计算参数,计算第一用户的公钥。

另外，本发明公开了一种用于根据用户标识产生非对称密钥对的装置，包 括： 一个或多个处理器以及存储器,所述处理器生成彼此对应的私钥计算参数 和公钥计算参数,将私钥计算参数存储在所述存储器中，根据第一用户提供的标 识为其计算私钥，将所计算的私钥提供给该第一用户，并公布公钥计算参数， 以 使得第二用户可根据公布的公钥计算参！ [和第一用户的标识，计算出第一用户 的公钥。

第二用户可根据公布的公钥参数和第一用户的标识，计算出第一用户的公 钥。

本发明可以椭圆曲线密码实现,也可以模拟为离散对数密码。

本发明中的标识的定义是广义的，用户名、用户名身份证号、 电话号码、 邮 件地址、 个人帐号、 设备序列号、 软件进程名等都可以做标识。

在本发明的实施方式中，私钥计算参数是秘密变量,专用于私钥的生产, '存 放于密钥管理中心 （KMC)。公钥计算参数是公开变量，直接公布于最容易访问的 任何媒体中。因为需要公布的参数量非常有限,一般直接记录在个人 ID认证卡中, 与私钥一起发 ^用户使用。 因此，各依赖方只要知道对方的标识，都可以通过公 钥计算参数计算出任何用户的公钥。

与现有技术相比,本发明把对方的标识当作对方的公钥，从而不需要第三方 机构的证明。 与 IBE算法相对比的 本发明只需保留少量共用参数，而无需保留 大量用户相关的参数，因而不需要目录库（ LDAP)等数据库的支持，也没有系统 在线维护量。

本发明对现有技术的对比以及对现有技术的改进用下表可更清楚地表现出 来：

具体实施方式

下面的实施例中，以椭圆曲线密码为例说明本发明的公私钥产生方法。 根据椭圆曲线密码 （ECC)标准的定义，设椭圆曲线 （密码） E: y²=x³+ax+b (m) , 参数 T : (a，b, G, n，m)， 其中 m是模数， n是界, G是基点，即 G= (X。， Y₀) Μ 设将私钥 s选择为任一整数，那么可得到对应的公钥 P为椭圆曲线 E上的一个点 sG，用 (x_s, y_s) 标记。 p

(1)公钥计算基和私钥计算基公、私钥的计算基是实现基于标识的密钥算法 的基础。私钥计算基 SCB由任意选择的整数变量 _Sij组成，而公钥计算基 PCB则根据 上述椭圆曲线密码的原理，从私钥计算基派生，即

在私钥计算 基和公钥计算基之间形成一一对应的公、 私钥关系。 将计算基的大小定义为 fx h,可定义如下的私钥计算基 (SCB)和公钥计算基 (PCB)：

SCB=S₃₁ PCB=P₃, P₃₂ P₃₃ 公、 私钥计算基有以下性质。'

性质 1:在私钥计算基 SCB和公钥计算基 PCB之间存在一种一一对应关系。设 SCB 的 是私钥，

(X。，Yo)； 同理，假设 S₂₁是私钥,那么 P₂₁是 S₂₁的公钥。 类推,设 Sij是私钥，那么 是公钥 (i=l. . f, j=l. . h)。

性质 2 :在椭圆曲线密码中，如果 S„和 是私钥，对应的公钥为 P_u和 P₂₁，那么， 当 S„+S₂₁= α做私钥时 , Ρ„+Ρ₂₁= β为 α的公钥。 这是因为 β =P_U+P₂₁= (xn, yn) + (Χ₂₁, Υ₂₁) =S_UG+S₂₁G= (Sn+S₂₁) G- α G 。 正好符合椭圆曲线密码公、 私钥的定义。

从性质 1中可以看到，私钥计算基和公钥计算基的建立是非常简便的，从性 质 2 中可以看到,用一种算法实现密钥的规模化提供了依据。

如果能把计算基的这种性质和用户标识有机联系起来，就不难构造出基于 标识的密钥系统。

在另一个实施例中，利用了离散对数密码，定义的参数为 T= (g， m) , g是小 于 m的整数基， m是模数。 假设整数 s是私钥,那么，公钥是 g^s=p mod m, p是整数。 与椭圆曲线密码一样模拟出私钥计算基 SCB和公钥计算基 PCB，结果与上述椭 曲 线密码的情形下类似。

(2 ) 行映 '射和列置换为了实现基手标识的密钥分发,必须找到一种方法， 把公私钥计算基和用户标识结合起来。 公钥和标识绑定的方法不是唯一的,但 最简便的方法是随机映射。

为了说明问题方便，在下面的例子中用加密的简单方式（随机），将标识和 公钥变量绑定在一起。 为此需设置两种算法：行值计算方法和列值计算方法。 行值计算方法：

给定行值密钥 R0WKEY,这是一个公开变量，以常数形式固定。

首先在一种 HASH算法 （如 MD5)下,将不定长度的名称标识（IDENTIIY)变 换成固定长度的变量 datal。

HASH ( IDENTITY) =datal : 在加密 '算法（如 AES)下，将中间变量 iiatal作数据，用行值密钥 R0WKEY加密， 得到中间变量 MAPo:将中间交量 MAPo做数据，再用密钥 R0WKEY加密，再得中间变量 MAP_1}类推,直到得出所需数量的 MP值为止。 为了说明方便,在本例中设定计算基 大小为 （32X32) 。 所用密钥 R0WKEY由 ID认证卡中提供。

AES瞧 _By(datal)=MAPo:

MAPo的 16个字节分别用 m (在本例中 m=32)模，得到 16个小于 m的行值，以 map[0]-map[15] 标记； MAP 的 16个字节分别模 m也得到 16个小于 m的行值,以 map [ 16] -map [31 ]标记。

MAPo [I] mod m=map[i] (i=0, 1, .. , 15) ;

MAPi[I] mod m=raap[i] (i=16， 17, -31)；

至此得到 32个 map值，用于行的 32次选取。 如 map[l] =5，则在私钥计算基或 公钥计算基中选择第 5行,又如 map [2]=21, 则选择第 21行,类推。 列值计算方法：

为了避免列变量的顺序取用,设置了列变量的置换算法 PMT，列置换的结果 是（0， 1,2, 3，...，31) 的全排列的一种。 计算方法如下。

首先计算 PMT算法所用密钥 PMT—KEY：

AESCOLKEY (IDENTITY) =PMT— KEY:C0LKEY在 ID证书中给出。

然后用 PMi一 KEY作密钥，用 PMT算法对原序加密，求出列置换值 PERMUT:

PMTP„T_KEV(原序）=PERMUT:原序是 0,1, 31的自然序。 PERMUT 是新的经置换的序： σ ( 0, 1， ...， 31) =t₀, t_b t₂， · · .， ΐ

假设 t。, t„ t₂, ... , t₃₁= (3, 6, 12,..., 5) , 则按 3, 6, 12， ...， 5 的新序取 用列变量。

比如，经过上述的行值计算和列值计算后，得到 32个行的行值为 ( 7， 13， 29,...，11) ， 列置换值为 （3,6, 12，...，5)，那么，在私钥计算基中取 用的变量为 s[7，3] ,s[13,6] ,s [29，12]，...，s [11， 5] _; 在公钥计算基中 用 的变量为 P[7, 3] , P[13， 6]， P[29, 12], ···, P[ll， 5]； 由于公钥计算和私钥计算时 的映射值相同，其取用位置完全相同，这就保证了公、 私钥的配对关系。 (3)作用域参数

作用域的划定是为了在认证网络中解决开放和封闭这一对矛盾，是实现逻 辑隔离的关键技术。设将认证网络分为 n层,为了说明方便，分三层，即作用域参 数分为省域、 市域、 县域。

省域是只在该省范围内起作用的参数； 如果不同省域间没有互联要求而完 全独立，那么就使用独立的计算基就行，可以不设省域参数。

市域是只在该市范围内起作用的参数； 在不同市域之间参数均不同。 县域作用域是只在该县范围内起作用的参数； 在不同县域之间参数均不 同。 这就满足分割的需求。

省城公钥参数保证省域范围内的交信,市域公钥参数保证该市域范围内的 交信，县城公钥参数保证该县域范围内的交信。 这就满足互通需求。

(4)密钥对的计算

设在互联网上的用户 A的地址为 abcde@yahoo. com,计算基大小为（32 X 32)； 假设，行值为-

MAPoCUmod 32=map [i] Οθ, 1， . .， 15)

MAP, [I] mod 32=map [i] (i=16， 17， '··， 31) ；

列值为：

ΡΜΤΡΜΤ.ΚΕΪ (原序） = t。， t【， t₂， · · ·， t₃₁；

那么，密钥管理中心为用户 A生产私钥时所用计算公式为：

S_A- ( ¾ (s_{[[a t[i]]}) +作用域参数） mod n; 各依赖方计算用户 A的公钥时所用计算公式为：

mod m; 将椭圆曲线密码的公、 私钥计算过程用离散对数密码模拟如下:

密钥管理中心为用户 A生产私钥时所用计算公式为：

s^ ( (5 ）+作用域参数） mod m; 各依赖方计算用户 A的公钥时所用计算公式为：

Π (P_[W, _TRA X作用域参数） mod m; 到此，形成'了一个将邮件地址作标识的公钥和私钥对应关系。只有密钥管理 中心才保存有私钥计算基，因此私钥的生成只能在密钥管理中心进行；又因为公 钥计算基是公开的，所以任何依赖方只要知道对方的邮件地址都可以计算对方 的公钥。 因为公钥的计算是自动的，所以对用户来说，等于把对方的用户名 (标识) 直接当作公钥。

(5)公钥的存储

各用户只保留自己的私钥和公钥计算基，用于数字签名和密钥交换。设： 公 钥计算基的大小为（fX h)，那么存储量为（fXh)个，而公钥量则为 （f)^h。 下表列 出了计算基大小和公钥量的比较。 如当矩阵大小为（16X 64) =lk 时,存储量为 lk,而公钥量则为（16)⁶⁴=2²⁵⁶-10⁷⁷。

由于需要存储的共用参数量非常有限，而且是公开变量，可存放在各种最方 便的媒介或地点。如直接写在个人 ID证书中发给每一个人，或公布在各网站上共 用。

(6) ID证书

ID证书由证书体和变量体构成。

根据本发明的证书体与一般证书差不多，主要定义用户基本属性,如姓名、 职务、 等级、 有效期、签发单位与签名等固定部分,因此不再论述。证书体 满足划分等级的分配式义务型 security (保密)安全策略。

变量体是认证卡的核心,具体配置有关密钥、参数变量,包含 n个不同标识和 n个作用域。 变 体包括以下 16段内容。 变量体满足划分角色的申请式自愿型 assurance (自保）安全策略。 验证参数项

1验证参数项 Z1 : 验证参数， Z2验证参数 角色标识定义项

2用户角色项 等级： 雇员，中层，高层，顾客

3标识定义项 姓名，单位,地址，电话，职务 '

4帐号定义项 帐号 1,帐号 2，··· 作用域项

5省域密钥 省域网共用密钥， 省域网行值密钥， 省域网列值密钥

6市域密钥 市域网共用密钥， 市域网行值密钥， 市域网列值密钥

7县域密钥 县域网共用密钥， 县域网行值密钥， 县域网列值密钥 私钥变量项

8省域网私钥变量 姓名， 单位， 地址， 电话， 职务， 帐号 1， 帐号 2···

9市域网私钥变量 姓名， 单位， 地址， 电话， 职务， 帐号 1， 帐号 2·'··

10县域网私钥变量 姓名， 单位， 地址， 电话， 职务， 帐号 1， 帐号 2··· 公钥变量项

11省域网私钥变量 姓名， 单位， 地址， 电话， 职务， 帐号 1， 帐号 2···

12市域网私钥变量 姓名， 单位， 地址， 电话， 职务， 帐号 1， 帐号 2···

13县域网私钥变量 姓名， 单位， 地址， 电话， 职务， 帐号 1， 帐号 2··· 证书签发项

14证书签发项 发放单位名， 发放单位签名 以上是变量体的主要组成部分，但可以将公钥计算基和备用密钥加进变量 体中。 公钥计算基项

15公钥计算基项 公钥计算基 备用密钥项

16备用密钥项 备用公钥 1， 备用公钥 2， 对通密钥 因此证书的组成形式有以下三种：

第一种形式： ID证书 =证书体 +变量体；

第二种形式： ID证书 =证书体 +变量体 +公钥计算基；

第三种形式： ID证书 =证书体 +变量体 +备用密钥；

(7 )实施系统示例

可以基于本发明构建一种可信认证系统，包括办公认证系统、 电话和邮件认证系 统、票据认证系'统、代理 (进程)认证系统等等。 系统大致分三大部分：后台程序， 客户端程序,标准化部分。

后台程序是密钥中心的程序， 密钥中心是管理的最高机构。在相应的安全策 略下，主要承担私钥的脱线生产任务。私钥生产需要配置私钥计算基，根据用户提 供的用户标识 （电话号码，邮件地址,个人帐号等） 生产相应私钥，并在用户口令 保护下记录在媒体中，以 ID证书方式发给用户使用，所述媒体例如是智能 IC卡。

客户端程序的关键部分存放在智能 IC卡中，它包括含有签名、 认证等功能的 智能 IC卡操作系统、公钥计算程序以及 ID证书。这样在智能 IC卡中就同时记录了 作为共用参数的公钥计算基和公钥计算程序。密钥中心统一生产、 自己发含有签 名、认证等功能'的智能 IC卡操作系统、公钥计算程序以及不同内容的 ID证书的智 能 IC卡。

因为密钥管理是相当复杂的系统工程,所以程序的系统适应性和证书的灵活 性是至关重要的。 认证网络有多种，如单层认证网络，多层认证网络,星状认证网 络， 格状认证网络等,应适应各种不同认证网络， ID证书格式要相同,但证书的内 容可不同。 代理（进程） 鉴别技术，只能用全软件实现，重点解决私钥的保护。

本发明的技术可以软件、 硬件或软件和硬件的结合来实现。 本发明的方法 可体现在若干程序指令中，这些指令被一个或多个处理器执行时可执行在此所描 述的方法,从而实现本发明的目的。

虽然在前述实施例中是以椭圆曲线密码以及离散对数密码为例，并结合了 一些具体的密钥生成过程来从标识和少量公用参数产生的公钥，但是本领域内 的技术人员将会认识到,基于本申请所公开的内容,可采用现在可获得以及将来 可能开发出的其他密码机制来从标识和少量公用参数产生公钥，因为本发明的 范围不局限于在此所公开的具体密码形式和产生机制,而包括其他可能的密码 形式和产生机制。

Claims

权利要求书

1. 一种用于根据用户标识产生非对称密钥对的方法，包括下述步骤：

生成彼此对应的私钥计算参数和公钥计算参数；

根据第一用户提供的标识,利用所述私钥计算参数计算第一用户的私钥；

将所产生的私钥提供给第一用户； 以及

公布所述公钥计算参数，以使得第二用户在获得第一用户的标识后，可根据第一用户 的标识,利用所述公钥计算参数,计算第一用户的公钥。

2. 如权利要求 1 所述的方法,其中：

产生所述公私钥计算参数时利用了椭圆曲线密码或离散对数密码； 并且

所述公私钥计算参数具有矩阵的形式；

3. 如权利要求 2所述的方法，其中： '

在计算所述公钥 /私钥时,对所述标识进行变换，定位所述公 /私钥计算参数矩阵中的 一个或多个元素,组合得到所述公 /私钥。

4. 如权利要求 1所¾1的方法，其中第一用户和第二用户是同一用户或不同用户。

5. 如权利要求 1所述的方法，其中，计算所述公钥和私钥时,在所述公钥计算参数和私钥计 算参数之外,还利用了具有分层结构的作用域参数。

6. 一种用于根据用户标识产生非对称密钥对的装置,包括：

一个或多个处理器以及存储器 ， 所述处理器生成彼此对应的私钥计算参数和公钥计 算参数,将私钥计算参数存储在所述存储器中，根据第一用 户提供的标识为其计算私钥， 将所计算的私钥提供给该第一用户，并公布公钥计算参数，以使得第二用户可根据公布的公 钥计算参数和第一用户的标识,计算出第一用户的公钥。

7. 如权利要求 6所 的装置，其中：

产生所述公私钥计算参数时利用了'椭圆曲线密码或离散对数密码：并且

所述公钥计算参数和私钥计算参数具有矩阵的形式；

8. 如权利要求 7所述的装置,其中：

在计算所述公 /私钥时，对所述标识进行变换，定位所述公 /私钥计算参数矩阵中的一 个或多个元素，组合得到所述公 /私钥。

9. 如权利要求 6所述的装置,其中第一用户和第二用户是同一用户或不同用户。

10. 如权利要求 9所述的装置，其中，计算所述公钥和私钥时，在所述公钥计算参数和私钥计 算参数之外,还利用； Γ具有分层结构的作用域参数。