WO2009143713A1

WO2009143713A1 - 双因子组合公钥生成和认证方法

Info

Publication number: WO2009143713A1
Application number: PCT/CN2009/000600
Authority: WO
Inventors: 陈华平; 南相浩
Original assignee: 北京易恒信认证科技有限公司
Priority date: 2008-05-28
Filing date: 2009-05-27
Publication date: 2009-12-03
Also published as: CN101420300A; EP2285040A1; CN101420300B

Description

双因子组合公钥生成和认证方法技术领域

本发明涉及公钥密码与认证领域，是标识密钥和随机密钥复合的、以标识和随机公钥组成的双公钥为外部公钥的，具有多重公私密钥对和多种复合结构的公钥体制和认证系统。背景技术

自公钥密码诞生以来，已形成了两类认证系统：一是基于证书的认证系统，二是基于标识的认证系统。

1 ) 基于证书的认证系统

传统的公钥密码中，公钥与私钥之间的关系为：

公钥 =F (私钥）

F是一个单向函数，由用户钥计算公钥是容易的；由公钥逆求私钥则是数学难题。公钥与用户标识的绑定需依靠权威的密钥管理部门颁发的证书给予证明。证书认证机制需要证书发放、验证、废除、更新等众多环节的计算与通信资源的支持与消耗，难以适应大规模网络（例如实体数以 10⁹计的网络）应用需求。

2) 基于标识的认证系统

基于标识的认证系统以用户标识作为公钥或以用户标识生成公钥，使标识与公钥一体化，而私钥则由权威的密钥管理部门用其掌控的主密钥以用户标识为自变量生成。基于标识的公钥密码中，公钥与私钥的关系为：

私钥 =F (主密钥，用户标识）

在基于标识的公钥密码中，与公钥一体化的用户标识是函数关系中的自变量。在密钥管理中心的主密钥控制下，用户标识给定后，私钥就唯一确定。不掌握主密钥的攻击者企图由用户标识（公钥）求取私钥是数学难题。 1999 年中国学者南相浩提出基于标识的组合公钥体制（Identity Based Combined Public Key, 简称 CPK)，采用对种子密钥矩阵的元素选取与组合方法生成基于标识的密钥，是基于标识的公钥密码家族的一个新成员。

在一般的基于标识的公钥密码中，实体私钥皆由密钥管理中心基于标识和主密钥生成，实体对私钥没有完全的私有权或私密性；而在基于标识的组合公钥体制中，私钥不是种子私钥的线性和，理论上具有被共谋攻击的可能性，从而影响到体制的安全性及规模化的应用。发明内容

本发明提供了一种标识密钥和随机密钥复合的双因子组合公钥（Two-Factor Combined Public Key)体制和认证系统。标识密钥以用户标识生成的数列对种子密钥集进行选取与组合产生；随机密钥基于一般公钥密码依据的单向函数原理生成。其外部公钥采用标识附加随机公钥的双公钥形式，其内部密钥具有多重密钥对的多种不同的复合结构，分别属于随机密钥与标识密钥的多重密钥对的多种复合模式，既可以满足集中管理的需求，又可赋予用户对私钥完全的私有权。基于此种密钥生成方法的认证系统，兼具标识认证不需要第三方证书证明和一般公钥密码随机私钥高度随机化和私密化的优点。可以广泛应用于各种规模尤其是超大规模公开系统的认证，满足包括可信接入、可信加载、电子银行、可信交易、可信物流等领域的认证需求。

根据本发明，标识密钥中公钥与私钥的函数关系是基于标识的公钥密码的公私钥关系：

私钥 =F (种子私钥集，用户标识）

而自定义随机密钥中的公钥与私钥关系沿用了传统公钥密码的函数关系：公钥 =F (私钥）

因此，双公钥密码体制的密钥是基于标识的公钥密码体制和传统公钥密码体制两种公私密钥关系的复合，是继基于证书的认证系统和基于标识的认证系统之后的一种新的以外部公钥二元化内部密钥对及其复合模式多重化为特征的公钥密码体制。它保留了两种公钥密码各自的优越特性，而克服了各自存在的不足。

根据本发明，由密钥管理中心登记审定标识和生成种子密钥集，并将种子公钥集公布，供各实体计算标识公钥之用。标识公钥计算过程为标识和标识公钥提供了一体性证明，因此，不需要第三方证书的证明。

根据本发明，密钥管理中心可将实体标识与中心定义随机公钥（即一阶随机公钥）绑定发布,供加密或验证方使用。根据本发明，允许各实体自行定义随机密钥并将随机公钥 (RaPK(_USER)) 与密钥管理中心定义的随机公钥相加，生成二阶随机公钥，公开发布供加密或验证方使用；

根据本发明，允许各实体为更新随机密钥而实时自行定义新的随机密钥并将新的随机公钥 (RaPK' _(1¾1¾))与 n-1阶 (n 3)随机公钥相加生成 n阶随机公钥，公开发布供加密或验证方使用。

根据本发明的优选实施例，进行数字签名时，应将随机公钥作为签名码的一部分一并发送给验证方；

根据本发明的优选实施例，验证和加密方首先用对方标识和公布的种子公钥集计算标识公钥 (IdPK)，将其与公布的或由签名方提供的随机公钥 (RaPK)相加，计算出公钥 (PK)。

根据本发明，提供一种双因子组合公钥生成和认证方法，其特征在于包括以下步骤：

步骤一：生成标识密钥，包括标识公钥与标识私钥；

步骤二：生成随机密钥，包括随机公钥与随机私钥；

步骤三：密钥管理中心（KMC) 将标识密钥与自定义的随机密钥复合生成一阶双因子密钥；

步骤四：用户将一阶双因子密钥与自定义随机密钥复合生成二阶双因子密钥；

步骤五：用户将 n-1阶双因子密钥（其中 n 3) 与自行定义的更新随机密钥复合生成 n阶双因子密钥；

步骤六：验证或加密方，通过对方标识计算出的标识公钥与对方签名中提供的或管理中心发布的随机公钥复合，获得该用户公钥。

根据本发明的优选实施例，步骤一具体包括：

a) 密钥管理中心对用户提交的标识进行审核确认，保证其真实性和唯一性；

b) 密钥管理中心定义并生成彼此对应的种子私钥集（seedSK)和种子公钥集（seedPK) ；

c) 以用户标识为 hash函数的输入，计算出该标识的 hash值 H ( ID) ； d) 密钥管理中心以 H ( ID)构建选取数列，从种子私钥集选取并经组合运算生成用户标识私钥 (IdS K)；

e) 加密或验证方以 H ( ID)构建选取数列，从种子公钥集选取并经组合运算生成用户标识公钥 (IdPK)。

根据本发明的优选实施例，步骤 b ) 中所述种子密钥集（seedSK 和 seedPK) 可采用矩阵、序列等不同形式构建。

根据本发明的优选实施例，所述种子密钥集的构建形式和规模根据系统的实际需要确定。

根据本发明的优选实施例，所述种子公钥集对外公开，种子私钥集由中心秘密保管。

根据本发明的优选实施例，所述步骤二具体包括：

f) 密钥管理中心用随机数发生器随机生成模 n的正整数作为中心定义的随机私钥 (R_aSK(_KMe))，并通过椭圆曲线群的标量乘法运算生成中心定义随机公钥 (RaPK(KMC)) ;

g) 用户利用随机数发生器生成模 n 的正整数作为用户自定义随机私钥 (R_aSK_(USER)) 并通过椭圆曲线群的标量乘法运算生成用户自定义随机公钥

(RaPK_(USER))。

根据本发明的优选实施例，步骤三具体包括：

h) 密钥管理中心将用户标识私钥 (IdSK)和中心随机生成的随机私钥 (R_aSK_(KMC))相加，生成一阶私钥 (SI ) ;

i) 密钥管理中心将 3 和1 ^ _]^0写入芯片提供给拥有该标识的用户； j) 标识与随机公钥 R_aPK(_KMC)由用户对外发送或通过密钥管理中心公布；

k) 加密或验证方用用户标识生成标识公钥 (IdPK), 将其与公开发布或发送的 R_aPK(_KMC)相加生成一阶公钥 (PIQ o

根据本发明的优选实施例，步骤四具体包括：

1) 用户利用随机数发生器生成 R_aSK(_USER)，并通过椭圆曲线群标量乘法运算生成！^1^ (USER) ；

m) 用户将 31^与 R_aSK(_USER)相加生成二阶私钥 (SK₂); n) 用户将 ^！^^！^与 R_aPK(_KMC)相加生成二阶随机公钥 (R_aPK₂);

0) 用户将 SK₂和 R_aPK₂写入芯片，并将 31^与 RaPK_(KMC)删除；

P) 标识和 R_aPK₂由用户对外发送或密钥管理中心公布；

q) 加密和验证方利用用户标识生成 IdPK，将其与公开发布与发送的 R_aPK₂相加，得到二阶公钥 (PK₂)。

根据本发明的优选实施例，步骤五具体包括：

r) 用户以 n- 1阶的复合密钥为初始态，可生成 n阶复合密钥，其中 n 3 ; s) 在更新密钥对时，用户利用随机数发生器生成 R_aSK(_USER)，并通过椭圆曲线群的标量乘法生成 R_aPK (USER) ；

t) 将原芯片中存储的 n-l阶私钥 (SK _n— 与新定义的 R_aSK(_USER)相加，生成 n阶私钥 (SK_n);

u) 将原芯片中存储的 n- l阶随机公钥 (RaPK ^), 与新定义的 R_aPK(_USER) 累加得到 n阶随机公钥（ R_aPK_n);

V) 用户将 SK _n和 RaPK _n写入芯片，并将 SK w和 RaPK w删除； w) 标识与随机公钥（ R_aPKJ由用户对外发送或通过密钥管理中心公布，包括用户将标识和随机密钥通过数字签名一并提供给验证方，以及用户将其提交密钥管理中心，由后者公布。

根据本发明的优选实施例，步骤六具体包括：

X) 加密或验证方利用对方的用户标识和公布的种子公钥集计算出该用户的标识公钥 (IdPK);

y) 将该用户的标识公钥 (IdPK)与发送或公布的随机公钥 (R_aPK)相加，得出该用户的公钥 (PK)。

根据本发明的优选实施例，所述双因子组合密钥由分别属于标识密钥和随机密钥的多重公私密钥对复合构成。

根据本发明的优选实施例，由密钥管理中心定义的为一阶双因子密钥；在一阶或 n-l阶双因子密钥基础上增加用户定义随机密钥的为二阶或 n阶（n ^3) 双因子密钥。

根据本发明的优选实施例，一阶公钥（PK = IdPK十 R_aPK(_KMC) = IdPK+

RaPKl, 其中 RaPKi表示该随机公钥仅由一项随机公钥构成；二阶公钥 (PK₂) = IdPK十 R_aPK(_KMC)十 R_aPK(_USER) = IdPK十 R_aPK₂，其中 R_aPK₂表示该随机公钥由 2项随机公钥相加构成；

n阶公钥 (PK_n) = IdPK+ R_aPK_n，其中 n≥3， R_aPK_n表示该随机公钥由 n 项随机公钥相加构成。

根据本发明的优选实施例，允许用户根据需要随时变更自定义随机公私钥对，并生成新的公、私钥对。

根据本发明的优选实施例，用户将自定义随机私钥和芯片内的存放的复合私钥相加，得到该阶复合私钥；将自定义随机公钥与芯片内存放的随机公钥相加，得到该阶的随机公钥；芯片内应包含用户标识（ID ) 、该阶私钥和随机公钥。

根据本发明的优选实施例，当用私钥(3^ ,3 或3^)签名时，同时将随机公钥 (R_aPK(_KMC)， R_aPK₂ 或 R_aPK_n)作为签名码的一部分一并发送给依赖方。

根据本发明的优选实施例，当验证签名时，验证方首先用公开发布的用户标识和种子公钥集计算出标识公钥 (IdPK), 将其与用公布的或签名方发送的随机公钥 R_aPK相加，计算出对方的公钥 (PK)，用于验证其签名的真实性。

综上所述，本发明具有如下优点：

1 ) 本发明以标识和随机公钥为外部公钥，内部密钥采用分别属于标识密钥和随机密钥的多重公私密钥对，多种复合模式的多层叠加结构，适用于不同规模网络系统不同认证需求。

2) 采用本发明构建的认证系统，以标识密钥作为得利合密钥的组成部分，因而用户标识与公私密钥对的绑定不需要第三方证书证明，能够支持超大规模的公共网络认证，具有结构简洁，管理维护运行简便经济的特点。

3) 自定义随机私钥对标识私钥的加密，不仅在确有安全保障的条件下，可使以少量种子密钥组合生成极大数量实用密钥的可能性，转化为现实，更可独立于种子密钥集规模达到密钥空间的最大化，从而使本体制成为解决大规模网络环境下认证难题的现实手段。

4) 本发明中，用户自定义随机密钥使用户拥有对私钥的完全私有权，除用户之外，任何人包括密钥管理中心都不能侵犯用户的私密权。

5 ) 自定义随机密钥赋予密钥结构极大灵活性，可供 KMC 生成 RaSK_(KMC)> 构建一阶私钥和随机公钥；可供用户生成 RaSK(_USER)，构建二阶私钥和随机公钥；可供用户反复生成 RaSK _USER)，构建高阶私钥和随机公钥。不同的应用环境可选择自定义随机密钥不同应用方式。

6) 自定义随机密钥的加入，使密钥完全随机化，并使实用的密钥空间最大化，为密钥碰撞概率提供了科学计算的可能，从而为用户规模的确定提供可靠依据。

本发明的目标和其他优点可以通过下面的说明书，权利要求书，以及附图中所特别指出的结构来实现和获得。附图说明

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步的详细描述，附图中

∑++ ++表示椭圆曲线点运算

表示秘密部分

∑+ + 表示模 n整数运算 I _ I ^ ^ _{/ π}^_/

表不公开部分

.G表示椭圆曲线群标量乘法

图 1示出了根据本发明的一阶双因子私钥生成及随机公钥模式

图 2示出了根据本发明的二阶双因子私钥和随机公钥生成模式

图 3示出了根据本发明的高阶双因子私钥和随机公钥生成模式

图 4为根据本发明的基于标识和随机公钥生成公钥的示意图；图 5为根据本发明的密钥管理中心功能框图；

图 6为根据本发明的认证芯片功能图；

图 7示出了根据本发明的防伪电子标签生成流程；以及

图 8示出了根据本发明的防伪电子标签验证流程。具体实施方式

本发明提出的双因子组合公钥体制（Two Factor Combined Public Key System, 简称为 TF-CPK ) 采用标识附加随机公钥为外部公钥，而内部则采用标识密钥和随机密钥两类标钥下的公私密钥对及基组合模式多重化的多层叠加密钥结构。该体制涉及：密码基础，密钥组合律，随机数，标识，杂凑函数，种子密钥等。本发明以椭圆曲线密码（ECC)作为体制构建的基础。下面对根据本发明的密钥生成方法的原理与实施方式作进一步的详细描述。需要注意的是，根据本发明的双因子组合公钥技术与标识认证系统的具体实施方式仅仅作为例子，但本发明不限于该具体实施方式。

1.双因子组合公钥密码体制的若干要素

本密码体制的要素包括：椭圆曲线群，倍点与离散对数，密钥组合律，随机数发生器，用户标识，杂凑函数，种子密钥等。

1.1椭圆曲线群

椭圆曲线离散对数难题是本密码体制安全性的数学基础。所选用的椭圆曲线群以五元组（a,b,G,n,p) 定义：

p: 是一个大素数，椭圆曲线建于模 P的有限域上

a,b: 定义三次方程 y²=x³+ax+b (mod P)

G: 是基点，由它的所有倍点构成椭圆曲线群

n: 是一个大素数，是基点 G生成的椭圆曲线群的阶

1.2 倍点与离散对数

( a,b,G,n,p) 是 a,b定义的三次方程的解和一个无穷远点组成的加法群。群中的元素是满足方程 y²=x³+ax+b (mod P)的整数对（x,y) 和一个无穷远点（记为 0)。

加法群的元素 P和 Q的加法运算规则为：

1 ) P + 0= P

2) 若点 P=(_x,y)， Q=(x,-y), 则 P+Q=0。

3 ) 若 P=(_Xl,_yi)， Q=(x₂,y₂), 且 P≠-Q，则 P+Q=(x₃,y₃)的取值计算规则为： x₃^²-x_rx₂ mod p

ys^Xi-x^-yi mod p

其中，如果 P≠Q

2_Yl 如果 P=Q

P≠Q的加法称为点加运算， P=Q的运算称为倍点运算。 G的倍数为的点记为 n_a.G， G通过倍点运算和点加运算生成加法群中的元素 n_a.G (n_a=l,2,...,n)。 n_a称为 n_a.G的离散对数。给定 ¾和 G求 n_a.G称标量乘法，它的计算是容易的；而给定 0和 0 ，逆求 n_a是椭圆曲线离散对数难题。在椭圆曲线密码中，（n_a.G， n_a) 构成公钥和私钥对，倍点 n_a.G为公钥，离散对数是私钥。

1.3 密钥组合律

椭圆曲线密码的密钥组合律是椭圆曲线群的一个重要的密码学性质。

密钥组合律：若（ni.G, !^ )和（n₂.G n₂)是两组公私钥对，则它们的公钥之和

n₃.G=_ni.G+n₂.G (椭圆曲线群运算）

和它们的私钥之和

η₃=ηι+η₂ (模 n整数加）

构成组合公私钥对（n₃.G, n₃)。

密钥组合律更一般的表述：若（m.G, _ni )， ( n₂.G, n₂), ...， (n_t.G, n_t) 是椭圆曲线的公私钥对，则它们的公钥之和

P=_ni.G+n₂.G+...+ n_t.G (椭圆曲线群运算）

和它们的私钥之和

S=_ni+n₂ +...+n_t (模 n整数加）

构成组合公私钥对（P, S)。

1.4 随机数发生器

自定义随机密钥对中的私钥是一个随机数 RN。 RN由随机数发生器 RNG生产，以避免人为的习惯与惰性的负面影响。对随机数发生器生产的随机数需给予适当的筛选（如不得为很小的数值），以适用于密钥。密钥管理中心通过 RNG 生成不同的随机数作为加密标识私钥的随机密钥；用户通过 RNG生成自定义随机密钥以达到私钥的独享及私钥的随时更新。

1.5 用户标识

用户标识简称标识（记为 ID), 由一个实体的名称、地址等专有属性构成。用户标识需向密钥管理中心（记为 KMC)注册核准，使其具有真实性和唯一性。

1.6 杂凑函数采用国际标准推荐的杂凑函数。它以不同长度的用户标识为输入，输出等长的比特串，用于生成选取数列。

设选取数列由 V个 u位的二进制数构成，则杂凑函数输出长度定义为 vxu，即

输出数列记为： w^w^.^w^

w_i=a_iux2^u"¹+ a_iu+1x2^u"²+ a_iu+2x2^u- ³+...+ a_iu+u— 2⁰， i=0,l,...,v-l

上述公式的简化形式是

^_i =∑a_iu+jx2^<u-¹'-ⁱ (二进制转换为十进制数， i=0,l_,v-l) 1.7 种子密钥序列

从密钥空间中，选出 2^uxv个密钥对（Po,So)， (Pi,Si), ...， P^^S^^ 构成种子密钥集，包括种子公钥集（Po， Pi, ·..， P_Txv^ 和种子私钥集（S₀， _Sl， …， _χν 。

2.双因子组合公钥密码体制的密钥构成

密钥包括：

自定义随机密钥对（ R_aPK,RaSK)

标识密钥对（IdPK，IdSK)

种子密钥对（P,S)

复合的密钥对（PK，SK)

2.1 自定义随机密钥

自定义随机密钥是由随机公钥 RaPK 和随机私钥 RaSK 组成的公私钥对

(R_aPK，R_aSK)。

随机私钥是随机数发生器生成的随机数 RN，即

R_aSK=RN

随机公钥则以 RN为基点的倍数作标量乘法运算获得，即

R_aPK=RN.G (椭圆曲线群的标量乘法）

自定义随机密钥包括密钥管理中心（KMC) 生成的（R_aPK(KM_C),R_aSK(KM_C)) 和用户（USER) 生成的（RaPK sEi^RaSK^ER))

G (椭圆曲线群的标量乘法）

RaSK₍KMcpRN(KMC) RN_(KMC)是 KMC借助 RNG生成的随机数

R_aPK(u_SER尸 RN_(USER) .G (椭圆曲线群的标量乘法）

RaSK(USER) = RN(USER) RN(USER) 是 USER借助 RNG生成的随机数

2.2 标识密钥

标识密钥是由标识公钥（HPK ) 和标识私钥（HSK ) 组成的公私钥对 (IdPKJdSK) o

以标识为输入的杂凑函数的输出

H(ID)= ( wo，w l，…， w_v— 1 )

取 c为一个正整数（0<c<2^u)，则选取位（记为 s_Wi) 按以下公式计算： sw₀=c+w₀

SWl=C+Wl+SW〇

sw_t - c + w_t +∑ sWj (mod 2" x v)， i = 1, 2, ..., v -l

7=0

标识公私钥对的计算公式为： (椭圆曲线群的点运算）数加法运算）

3. 双因子组合公钥密码体制的多种密钥复合模式

3.1 一阶双因子密钥模式

参见图 1，示出了根据本发明的一阶双因子密钥模式。

在一阶双因子密钥模式中，用户钥完全由密钥管理中心（KMC) 生成。该模式适用于任意规模的封闭系统，系统内用户对密钥管理中心完全信任的环境。此外，一阶双因子密钥也是生成二阶或 n阶双因子密钥的基础。其生产流程包括：

①定义并生成彼此对应的种子私钥集（ seedPK )和种子公钥集（ seedPK )；

②对用户提交的标识进行审核确认，保证其真实性和唯一性； ③以用户标识为 hash函数的输入，计算出该标识的 hash值 H (ID ) ；

④以 H ( ID ) 构建选取数列，从种子私钥集选取并经组合运算生成用户标识私钥 (IdSK);

⑤利用随机数发生器生成中心定义的随机密钥 R_aSK(KMC)和 RaPK(KMC) ;

⑥将 HSK和 R_aSK(KMc)相加得到一阶双因子私钥 SK_{1 ;}

⑦将（SIQIIRaPK^KMc)) 注入芯片提供给用户。

3.2二阶双因子密钥模式

参见图 2，示出了根据本发明的二阶双因子密钥模式。

二阶双因子密钥模式，在一阶双因子密钥模式的基础上，增加了用户自定义随机密钥，主要适用于任意规模，包括大规模和超大规模的开放系统，系统内用户要求对私钥享有不受控于密钥管理中心的私有权的环境。其生成过程包括：

①用户利用随机数发生器生成用户自定义随机私钥 R_aSK(_USER)，并通过椭圆曲线群标量乘法运算生成用户自定义随机公钥 R_aPK (_USER) ；

②用户将 RaSKoJSER)与 Sid相加生成二阶双因子私钥 (SK₂)；

③用户将 R_aPK_(USER)与 R_aPK_(KMC)相加生成二阶随机公钥 (R_aPK₂) _;

④用户将 SK₂和 R_aPK₂写入芯片，并将 SI 与 RaPK(KM_C)删除；

3.3 n阶双因子密钥模式

参见图 3，示出了根据本发明的 n阶双因子密钥模式。

n 阶双因子密钥模式主要用于系统内用户要求对私钥具有自行随时更新权利的环境。其生成过程如下：

②用户将 SK₂与新产生的 R_aSK(_USER)相加生成 n阶双因子私钥 (SK_n);

③用户将新产生的 R_aPK(_USER)与 R_aPK₂相加生成 n阶随机公钥 (RaPK₂);

④用户将 3 和 R_aPK_n写入芯片，并将 3 与 RaPK₂删除；

上述过程可以反复进行。此外，用户更新密钥也可以通过重复使用二阶双因子密钥模式实现。以二阶双因子密钥模式实现密钥的更新时，流程的初始状态应始终为一阶双因子私钥和中心定义随机公钥（SKillRaPK^Mc) ) 。

3.4双公钥到公钥的转换验证方或加密方需要知道对方实际使用的公钥，为此需要实行从标识和随机公钥到公钥的转换。其转过程如下：

①验证方或加密方首先需要通过签名方发送或从密钥管理中心发布获得用户标识 ID和与其对应的随机公钥（R_aPK);

②以用户标识 ID为 hash函数的输入，计算出该标识的 hash值 H ( ID )；

③以 H ( ID ) 构建选取数列，从种子私钥集选取并经组合运算生成用户标识公钥 (IdPK);

④将 1(1? 与1 相加，得到用户使用的公钥（PK)。

参见图 4，示出了根据本发明的基于标识和随机公钥生成公钥的流程。

4. 数字签名算法

数字签名算法采用国际标准推荐的 ECDS Α算法。

4.1公开的参数与算法

① 椭圆曲线群的五元参数组（a,b,G,n,p)

② 对消息的 hash函数 h

③ 种子公钥集 (Ρο, Ρ …， F„_{w i} )

④ 签名方 A发送的标识 ID和随机公钥 R_aPK

4.2 A对消息 m的签名流程

① 随机选取 k ΕΖη

② 计算 k .G = ( x,y ) (椭圆曲线群标量乘法）

③ 计算 r = x mod n

④ 计算 S = k— ¹ ( h(m) + SK.r ) mod n

⑤ A将 m和签名（r,s )发给 B

4.3 B对 A的签名验证流程

① 以 A的标识经种子公钥集生成标识公钥 HPK

② 计算 PK = IdPK + R_aPK (椭圆曲线点运算）

③ 计算 _Ul = h(m) .S— ¹ mod n

u₂ = r .S ¹ mod n

记 R = (x' , y' ) ⑤ 计算 _ν = _χ' mod n, 若 v = r则验证通过，签名有效，否则签名无效 5. 用于数据加密的密钥传送算法

用于数据加密的密钥称为会话密钥。会话密钥每次通话都要更新。

5.1公开的参数

① 椭圆曲线群的五元参数组（a,b,G,n,p)

② 种子公钥集 (Ρο, Ρ …， F„_{w l} )

③ 收方 B的标识 ID和随机公钥 R_aPK_B

5.2 发方 A的密钥发送

① 用收方 B的标识 ID通过种子公钥集生成 B方的标识公钥 IdPK_B

② 计算 B方的公钥

PK_B = IdPK_B + R_aPK_B (椭圆曲线点运算）

③ 随机选取 k Ε Ζη

④ 计算 k.G = ( x,y ) (标量乘法）

⑤ 取 r = X (mod n)作为会话密钥

⑥ 计算 k .PK_B

⑦ 将 k .PK_B发给 B

5.3 收方 B获取会话密钥的流程

① 收到 k .PK_B

② 计算

③ 取 r = x ( mod n )作为会话密钥

6.基于双因子组合公钥（TF-CPK )体制的认证系统

利用双因子组合公钥（TF-CPK) 技术，可构建任意规模，包括超大规模的认证系统，并实现端到端直接认证，认证过程不需要第三方在线数据库的支持。该系统主要由密钥管理中心和用户客户端组成。

如图 5所示，示出了根据本发明的 KMC功能框图。

6.1 密钥管理中心

密钥管理中心主要有以下部分构成：

① 用户注册，负责对用户标识进行审核确认，保证其真实性和唯一性，用户标识可以依据人员姓名、单位、机构名称、银行帐号、电话号码等定义；

② 种子密钥生产，负责生成种子密钥集（SeedSK,SeedPK) ；

③ 用户密钥生产及分发，利用用户标识、种子私钥集和随机数发生器生成一阶私钥（SK 和中心定义随机公钥（R_aPK(KM_C) )并将和 R_aPK(KM_C) 写入专用芯片（可以封装成 IC卡、 U-Key等形态）分发给用户，密钥生产过程参见 6.1 一阶双因子密钥模式；

④公共数据发布，发布内容包括：种子公钥集、作废标识列表，以及用户标识和与其对应的 R_aPK_(KMC) 和1^¾_(1¾1¾)等。如下表所示，示出了 KMC发布用户标识及与其对应的随机公钥的数据格式。户 + RaPK(KMC) 一阶后缀

标 + RaPK(KMC) + RaPK(USER) = R_aPK₂ 二阶后缀

识 + RaPKn- 1 + RaPK(USER) = R_aPK_n n阶后缀

ID

KMC发布数据的格式

6.2 用户客户端

客户端主要由认证芯片（可封装成 IC卡、 USB-key等方便使用的形式）和客户端软件构成。 TF-CPK认证系统的认证过程主要在客户端与服务端（功能与客户端相当），客户端与客户端之间完成。芯片内含计算和存储单元，算法协议以及用户私钥和公钥数据，相当于一个完整的认证系统（参见系统功能图）私钥经用户 pin码加密后保存在芯片的安全存储区内，所有涉及私钥的操作，如数字签名、密钥交换等均在芯片内进行，以确保私钥的安全。

参见图 6，示出了根据本发明的 TF-CPK认证芯片结构与功能图。

7.应用领域

TF-CPK认证系统理论上可以用于所有需要真实性证明的领域，如：电子签章、电子标签防伪等，并可借助中心发布带有随机公钥的用户标识，实现密钥交换，如对电子邮件进行加密等。

7.1 电子签章系统

参见图 7，示出了根据本发明的电子签章系统。电子签章系统通过数字签名证明交易信息的真实性，广泛适用于电子商务、电子政务等领域。其实现过程如下：

7.1.1签名者 A用认证芯片中的私钥对原数据 m进行签名，签名过程如下：

① 随机选取 k e Zn

② 计算 k .G = ( x,y ) (椭圆曲线群标量乘法）

③ 计算 r = X mod n

④ 计算 S = k— 1 ( h(m) + SK.r ) mod n

⑤ A将 m和签名（r,s )发给 B

7.1.2验证者 B对 A的签名数据进行验证，验证过程如下：

① 以 A的标识经种子公钥集生成标识公钥 IdPK

② 计算 PK = IdPK + R_aPK (椭圆曲线点运算）

③ 计算 ul = h(m) .S— 1 mod n

u2 = r .S— 1 mod n

④ 计算 R = ul.G + u2 .PK (椭圆曲线点运算）

记 R = (x ' , y ' )

⑤ 计算 _ν = _χ ' mod n, 若 v = r则验证通过，签名有效，否则签名无效。

7.2 电子标签防伪

电子标签防伪是将 TF-CPK数字签名技术与 RFID技术相结合产生的一种兼具物理和逻辑防伪特性的新型防伪技术，能够有效地防止假冒复制，同时具有通用验证能力。其实现过程如下：

7.2.1防伪电子标签制作

图 8示出了根据本发明的防伪电子标签生成流程。

① 读取 RFID芯片上的唯一编号；

② 利用 TF-CPK算法及私钥对防伪信息，如证件持有人个人信息、证件发放单位或产品信息和生产单位等，连同 RFID唯一编号以及与私钥对应的随机公钥进行数字签名（签名算法参见 7.11 ) ，生成签名信息；

③ 将签名信息写入该 RFID芯片 7.2.2防伪电子标签验证

图 9示出了根据本发明的防伪电子标签验证流程。

① 用 TF-CPK算法计算出签名者的标识公钥，将其与发送的随机公钥相加得出签名者的实用公钥；

② 用该公钥解读防伪芯片上的数字签名信息（算法参见 7.11 ) ；

③ 能够正确显示信息为真，否则为假。

7.3 安全电子邮件系统

电子邮件是应用最为广泛的网络信息交流手段。利用 TF-CPK技术可以对邮件内容进行数字签名和加密，有效地保证信息内容的真实性、完整性和私密性。

7.3.1对邮件内容的数字签名和验证

签名方利用私钥进行数字签名，并在签名中提供用本方的户标识和随机公钥；

验证方用对方的标识通过公布的种子公钥集计算出对方的标识公钥，将其与对方发送的随机公钥相加得出对方的实用公钥，并用其对签名内容进行验证；

7.3.2对邮件内容进行加脱密

发送方 A通过中心公布的用户标识和随机公钥后缀计算出接收方 B的公钥；

随机选取 k ΕΖη;

计算 k.G = ( x,y ) (标量乘法）；

取 r = X (mod n)作为会话密钥；

计算 k .PK_B；

将 R .PK_B 随加密信息发给 B;

接收方 B收到附有 k .PK_B的加密信息；

计算 SK_B— ¹ · ( k · PK_B) = k .G = ( x,y )；

取 r = x ( mod n )作为会话密钥，对加密信息进行脱密。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求书

1. 一种双因子组合公钥生成和认证方法，其特征在于包括以下步骤：步骤一：生成标识密钥，包括标识公钥与标识私钥；

步骤二：生成随机密钥，包括随机公钥与随机私钥；

步骤三：密钥管理中心将标识密钥与自定义的随机密钥复合生成一阶双因子密钥；

步骤五：用户将 n-1阶双因子密钥与自定义更新随机密钥复合生成 n阶双因子密钥，其中 n≥3;

步骤六：验证或加密方，通过对方标识计算出的标识公钥与对方签名中提供的或密钥管理中心发布的随机公钥复合，获得该用户公钥。

2. 根据权利要求 1的方法，其中步骤一具体包括：

b) 密钥管理中心定义并生成彼此对应的种子私钥集 seedSK和种子公钥集 seedPK;

c) 以用户标识为 hash函数的输入，计算出该标识的 hash值 H ( ID) ； d) 密钥管理中心以 H ( ID)构建选取数列，从种子私钥集选取并经组合运算生成用户标识私钥 IdSK;

e) 加密或验证方以 H ( ID)构建选取数列，从种子公钥集选取并经组合运算生成用户标识公钥 IdPK。

3. 根据权利要求 2的方法，其中步骤 b ) 中所述种子私钥集和种子公钥集（seedSK和 seedPK) 可采用矩阵、序列的不同形式构建。

4. 根据权利要求 3 的方法，其中所述种子公钥集对外公开，种子私钥集由密钥管理中心秘密保管。

5. 根据权利要求 1的方法，其中所述步骤二具体包括： f) 密钥管理中心用随机数发生器随机生成模 n的正整数作为中心定义的随机私钥 R_aSK(KMc)，并通过椭圆曲线群的标量乘法运算生成中心定义随机公钢 R_aPK(_KMC);

g) 用户利用随机数发生器生成模 n 的正整数作为用户自定义随机私钥

RaSK_(USER) 并通过椭圆曲线群的标量乘法运算生成用户自定义随机公钥

6. 根据权利要求 1的方法，其中步骤三具体包括：

h) 密钥管理中心将用户标识私钥 IdSK 和中心随机生成的随机私钥 R_aSK(_KMC)相加，生成一阶私钥 SK_{1 ;}

i) 密钥管理中心将一阶私钥 SKi和随机公钥 R_aPK(KMc)写入芯片提供给拥有该标识的用户；

j) 标识与随机公钥 RaPK(_KMC)由用户对外发送或通过密钥管理中心公布；

k) 加密或验证方用用户标识生成标识公钥 IdPK，将其与公开发布或发送的 R_aPK(_KMC)相加生成一阶公钥 PI 。

7. 根据权利要求 1的方法，其中步骤四具体包括：

1) 用户利用随机数发生器生成 R_aSK(_USER)，并通过椭圆曲线群标量乘法运算生成！^⁵!^ (USER) ；

m) 用户将与 RaSK^jsER)相加生成二阶私钥 SK_{2 ;}

n) 用户将 R_aPK(_USER)与 R_aPK_(KMC)相加生成二阶随机公钥 R_aPK_2;

0) 用户将 SK₂和 R_aPK₂写入芯片，并将 31^与 RaPK(KM_C)删除；

P) 标识和 R_aPK₂由用户对外发送或密钥管理中心公布；

q) 加密和验证方利用用户标识生成 IdPK，将其与公开发布与发送的

R_aPK₂相加，得到二阶公钥 PK₂。

8. 根据权利要求 1的方法，其中步骤五具体包括：

r) 用户以 η-1阶的复合密钥为初始态，生成 η阶复合密钥，其中 η≥3; s) 在更新密钥对时，用户利用随机数发生器生成 R_aSK(_USER)，并通过椭圆曲线群的标量乘法生成 R_aPK (USER) ； t) 将原芯片中存储的 n- 1阶私钥 SK _n— i与新定义的 R_aSK(_USER)累加，生成 n阶私钥 SK_n;

u) 将原芯片中存储的 n- 1阶随机公钥 R_aPK _n— 与新定义的 R_aPK(_USER) 累加得到 n阶随机公钥 R_aPK_{n ;}

V) 用户将 SK _I^B R_aPK _n写入芯片，并将 SK _n— i和 RaPK _n— i删除； w) 标识与随机公钥！^^由用户对外发送或通过密钥管理中心公布。

9. 根据权利要求 1的方法，其中步骤六具体包括：

X) 加密或验证方利用对方的用户标识和公布的种子公钥集计算出该用户的标识公钥 IdPK;

y) 将该用户的标识公钥 IdPK与发送或公布的随机公钥 R_aPK相加，得出该用户的公钥 PK。

10. 根据权利要求 1的方法，其中所述双因子组合密钥由标识密钥和随机密钥复合构成。

11. 根据权利要求 10 的方法，其中由密钥管理中心定义的为一阶双因子密钥；在一阶密钥基础上增加用户自定义随机密钥生成的密钥为二阶双因子密钥。在二阶或高于二阶的密钥基础上更新用户自定义随机密钥生成的密钥为高阶双因子密钥；

12. 根据权利要求 1或 11的方法，其中：

一阶公钥 (PKi)= IdPK+ R_aPK(_KMC) = IdPK+ R_aPKi，其中 R_aPKi表示该随机公钥仅由一项随机公钥构成；

二阶公钥（PK₂) = IdPK十 R_aPK_(KMC)十 R_aPK_(USER) = IdPK十 R_aPK₂，其中 R_aPK₂表示该随机公钥由 2项随机公钥相加构成；

n阶公钥（PK_n) = IdPK+ R_aPK_n，其中 n≥3， R_aPK_n表示该随机公钥由 n 项随机公钥相加构成。

13. 根据权利要求 8的方法，允许用户根据需要随时更新自定义随机公私钥对，并生成新的公、私钥对。

14. 根据权利要求 13 的方法，用户将自定义随机私钥和芯片内存放的复合私钥相加，得到该阶复合私钥；将自定义随机公钥与芯片内存放的随机公钥相加，得到该阶的随机公钥；芯片内应包含用户标识（ID ) 、该阶私钥和随机公钥。

15. 根据权利要求 9的方法，当用私钥31^或31^或31^签名时，同时将随机公钥！^ 或 R_aPK₂或 R_aPK 为签名码的一部分一并发送给依赖方。

16. 根据权利要求 14的方法，用户将随机公钥 R_aPK _n ( n≥2) 提交密钥管理中心，由密钥管理中心将其作为实体标识的后缀公布，其格式为：用户 ID II R_aPK

17. 根据权利要求 15或 16的方法，用户自定义随机因子公钥 R_aPK(_USER) 通过密钥管理中心发布或从用户的数字签名信息中获得。

18. 根据权利要求 17 的方法，当验证签名时，验证方首先用公开发布的用户标识和种子公钥集计算出标识公钥 IdPK，将其与用公布的或签名方发送的随机公钥 R_aPK相加，计算出对方的公钥 PK，用于验证其签名的真实性。

19. 当 Α方随向 B方传送数据加密算法的会话密钥时， A方需从公开资源中获取 B方的标识 ID和随机公钥 R_aPK，首先用 B方的标识和种子公钥集计算出 B方的标识公钥 IdPK，将其与 B方的随机公钥 R_aPK相加，计算出 B 方的公钥 PK。