专利名称:基于标识的证书认证体制cfl的制作方法
技术领域:
本发明 属于信息安全技术领域,涉及密钥认证体制。
背景技术:
公钥密码中,一个关键课题是解决用户与公钥的绑定,所谓用户与公钥的绑定就是证明用户确实拥有该公钥对应的私钥。公钥密码诞生以来,为解决公钥与用户的绑定课题,形成了两种基本的认证体制,即证书认证和标识认证。证书认证中,公钥PK与私钥SK的关系为PK = F (SK),其中公钥PK与用户标识ID无关。要把用户标识ID与公钥PK绑定,需由可信第三方(如认证中心CA)签名的证书给予证明。可信第三方签名的证书的申请、签发、验证、废止、更新等环节需要多层次的认证中心和巨大的计算资源的支持。随着网络规模的急剧扩张,证书认证越来越难以满足高速度、低消耗的需求。标识认证中,标识ID和公钥PK是一体化的。标识ID自身或它的函数就是公钥PK0公钥与私钥的关系为SK = F(ID,MSK),其中ID是公钥PK的等价物,MSK是密钥管理中心KMC掌控的系统主密钥。该关系式中,KMC以标识ID和主密钥MSK为函数的自变量,计算出用户的私钥SK。因此,用户对私钥没有完全的私有权。而在开放的网络中,用户对私钥的私有权有强烈的需求,这是现有标识认证难以满足的。
发明内容
本发明的目的是提供一种安全度高、认证速度快、计算资源消耗低、能保护用户私密的认证体制。本发明的名称为基于标识的自认证证书认证体制,简称CFL。本体制混合使用证书认证和标识认证体制,其基础密钥对由标识密钥对和随机密钥对组成,以用户的标识密钥对为签名和验证密钥对,为用户自主生成的随机密钥对提供证书的签名与验证,形成了一种具有自认证功能的证书认证体制,整个验证过程无需可信第三方的介入。密钥管理中心和用户可以选择相同或不同的公钥密码算法,分别作为标识密钥对和随机密钥对对应的基础密码算法。本发明还给出了一种指数乘积型公钥密码算法,突破了 RSA密钥的单指数结构,并将指数型公钥密码转换成一种基于标识的公钥密码算法。CFL认证快捷、资源消耗低,能满足大规模网络认证的需求,且能符合用户对隐私保护的要求。本发明的基于标识的证书认证体制CFL包括步骤用户方的运作①用户生成自己真实的标识ID ;②用户依照自主选定的工作密码算法,生成一组随机的公钥私钥密钥对(RAPK,RASK);③用户将ID和RAPK提交给密钥管理中心KMC ;密钥管理中心KMC的运作
④KMC审查用户提交的ID,确保其真实性和唯一性;⑤将ID输入H,得到多线性函数输入的控制信息h ;⑥根据h和私钥基,经多线性函数fh(SKB)的变换,生成标识私钥IDSK ;⑦用签名算法SIGN,以IDSK为密钥,对以RAPK为核心内容的证书进行签名,得sign = SIGNidsk(RAPK);⑧将经签名的证书颁发给用户; 公众方对用户证书的运作⑨公众方将ID输入H,得到多线性函数输入的控制信息h ;⑩根据h,得到多线性函数fh (PKB),生成标识公钥IDPK ; 以IDPK作为验证算法的公钥,对经签名的证书进行验证。如验证正确,则证书通过,否则证书不予通过。由于本发明采用了以上技术方案,故具有以下优点①本体制是证书认证与标识认证混合的自认证证书体制。标识密钥对采用标识认证体制,其公钥与用户标识达到一体化且不需另外的证明;随机密钥对的公钥与用户的绑定则由标识密钥对完成。标识密钥对的私钥对随机公钥签名;标识密钥对的公钥对经签名的证书进行验证。两种认证体制的混合使用,使得本体制成为具有自认证特征的证书体制。②本体制便于实现集中管理和推进实名制的实施,并保障了用户对随机私钥的私有权。密钥管理中心实行的集中管理表现在对用户标识的审定;主导标识私钥的生成与控制;证书的签发等。用户的自主权表现在自主选择公钥密码算法;以自己标识参与标识密钥对的生成;自主生成随机密钥对,并对随机私钥拥有完全的私有权。③本体制生成的证书由标识私钥进行签名。不同用户的证书由不同的标识私钥进行签名,实现了一个证书一个签名私钥。显然一个证书一个签名私钥的证书构成,与一个系统中所有证书同一个签名私钥的证书构成相比,前者安全性更强。一个用户私钥的信息泄露,不影响该系统中其他用户私钥的信息安全。④本体制所具有的自认证特点,使证书验证的效率更高,计算资源的消耗更少。⑤标识密钥对的基础密码算法可分别选择指数乘积型的公钥密码、ECC、DH,随机密钥对的基础密码算法可分别选择指数乘积型的公钥密码、ECC、DH和RSA。本体制在数学结构选择上极具灵活性。本发明中的指数乘积型公钥密码算法是选择规模相当的两个大素数P和q,令n = pq。在模η的剩余类环上,构建指数乘积型公钥密码算法,其中η是两个尺寸相当的大素数P和q的乘积,令灼=2Y-^
且要求Pphf,¥皆为素数。我们可以借鉴有关对称密码的设计技术,把SKB的数据放在数组中或ROM中,由H得输出序列构成的停走序列来控选。设H的输出为N比特,满足s I N,并设N= st=e,且 i=0,1,...,tx(2s-l)为从模供(《) = (/ -1)( -1)的剩余类环上的乘法群中选出的两两不同的比特数小于等于
权利要求
1.本发明给出了一种证书认证与标识认证混合的基于标识的证书认证体制,它的基础密钥对由标识密钥对和随机密钥对组成,随机密钥对由用户自主生成,随机密钥的公钥与用户的绑定由标识密钥对对证书的签名和验证完成;证书的验证是由公众方依据用户的标识和公开的密码资源生成标识公钥,对证书进行验证的一个自认证的过程,整个验证过程可以无需第二方介入。
2.本发明中密钥管理中心通过对用户标识的真实性和唯一性的审查,对标识密钥对的私钥生成和使用等环节实施对网络的集中管理,并支持网络实名制的实施。
3.本发明中随机密钥对由用户自主生成,随机密钥对中的私钥由用户管理和使用,保证了用户的私密权,能适应公开网络中用户对保护个人隐私的安全需求。
4.本发明中标识密钥对所对应的基础密码算法可以选择指数乘积型公钥密码算法、ECC、DH等密码算法;随机密钥对所对应的基础密码算法可以选择指数乘积型公钥密码算法、RSA、ECC、DH等密码算法。
5.本发明中标识密钥对和随机密钥对所选择的基础密码算法可以相同也可以不同。
6.本发明给出了一种指数乘积型公钥密码算法,作为标识密钥对所对应的基础公钥密码算法之一,该算法的公钥和私钥由多个指数的乘积构成,突破了 RSA指数型密码算法的公钥和私钥的单指数结构;指数乘积的因子由用户标识控选,使本体制成为基于标识的一种公钥密码算法,其密钥认证类型不同于非基于标识的RSA指数型公钥密码算法。
7.本发明给出了基于标识的证书认证体制的三类实现方式,包括基于指数乘积型公钥密码算法、基于ECC公钥密码算法和基于DH公钥密码算法的CFL体制。
8.本发明的应用领域互联网通信系统、广域网通信系统、局域网通信系统、银行交易系统、证券交易系统、电子政府系统、电子交易系统、电子邮件系统、手机通信系统、卫星通信系统、物流网运输系统、物联网系统、云计算系统、云存储系统、企事业内部网系统,以及国家安全机关、党政机关、军事系统、外交系统、政法系统、企事业单位、金融机构、社区管理坐寸ο
全文摘要
本发明基于标识的证书认证体制CFL,属于信息安全领域,涉及密钥的证书认证。本体制混合使用证书认证和标识认证机制,其基础密钥对由标识密钥对和随机密钥对组成,以用户的标识密钥对为签名和验证密钥对,为用户自主生成的随机密钥对提供证书的签名与验证,具有自认证功能,整个验证过程无需可信第三方的介入。密钥管理中心和用户可以选择相同或不同的公钥密码算法,分别作为标识密钥对和随机密钥对对应的基础密码算法。本发明还给出了一种指数乘积型公钥密码算法,突破了RSA密钥的单指数结构,并将指数型公钥密码转换成一种基于标识的公钥密码算法。CFL认证快捷、资源消耗低,能满足大规模网络认证的需求,且能符合用户保护隐私的要求。
文档编号H04L9/32GK102957536SQ201110250009
公开日2013年3月6日 申请日期2011年8月29日 优先权日2011年8月29日
发明者陈华平, 范修斌, 吕述望 申请人:陈华平, 北京博文广成信息安全技术有限公司