基于标识的证书认证体制CFL

摘要

本发明基于标识的证书认证体制CFL，属于信息安全领域，涉及密钥的证书认证。本体制混合使用证书认证和标识认证机制，其基础密钥对由标识密钥对和随机密钥对组成，以用户的标识密钥对为签名和验证密钥对，为用户自主生成的随机密钥对提供证书的签名与验证，具有自认证功能，整个验证过程无需可信第三方的介入。密钥管理中心和用户可以选择相同或不同的公钥密码算法，分别作为标识密钥对和随机密钥对对应的基础密码算法。本发明还给出了一种指数乘积型公钥密码算法，突破了RSA密钥的单指数结构，并将指数型公钥密码转换成一种基于标识的公钥密码算法。CFL认证快捷、资源消耗低，能满足大规模网络认证的需求，且能符合用户保护隐私的要求。

说明书

技术领域

本发明属于信息安全技术领域，涉及密钥认证体制。

背景技术

公钥密码中，一个关键课题是解决用户与公钥的绑定，所谓用户与公钥的绑定就是证明 用户确实拥有该公钥对应的私钥。公钥密码诞生以来，为解决公钥与用户的绑定课题，形成 了两种基本的认证体制，即证书认证和标识认证。

证书认证中，公钥PK与私钥SK的关系为PK＝F(SK)，其中公钥PK与用户标识ID无 关。要把用户标识ID与公钥PK绑定，需由可信第三方(如认证中心CA)签名的证书给予 证明。可信第三方签名的证书的申请、签发、验证、废止、更新等环节需要多层次的认证中 心和巨大的计算资源的支持。随着网络规模的急剧扩张，证书认证越来越难以满足高速度、 低消耗的需求。

标识认证中，标识ID和公钥PK是一体化的。标识ID自身或它的函数就是公钥PK。公 钥与私钥的关系为SK＝F(ID，MSK)，其中ID是公钥PK的等价物，MSK是密钥管理中心 KMC掌控的系统主密钥。该关系式中，KMC以标识ID和主密钥MSK为函数的自变量，计 算出用户的私钥SK。因此，用户对私钥没有完全的私有权。而在开放的网络中，用户对私钥 的私有权有强烈的需求，这是现有标识认证难以满足的。

发明内容

本发明的目的是提供一种安全度高、认证速度快、计算资源消耗低、能保护用户私密的 认证体制。

本发明的名称为基于标识的自认证证书认证体制，简称CFL。本体制混合使用证书认证 和标识认证体制，其基础密钥对由标识密钥对和随机密钥对组成，以用户的标识密钥对为签 名和验证密钥对，为用户自主生成的随机密钥对提供证书的签名与验证，形成了一种具有自认 证功能的证书认证体制，整个验证过程无需可信第三方的介入。密钥管理中心和用户可以选 择相同或不同的公钥密码算法，分别作为标识密钥对和随机密钥对对应的基础密码算法。本 发明还给出了一种指数乘积型公钥密码算法，突破了RSA密钥的单指数结构，并将指数型公 钥密码转换成一种基于标识的公钥密码算法。CFL认证快捷、资源消耗低，能满足大规模网 络认证的需求，且能符合用户对隐私保护的要求。

本发明的基于标识的证书认证体制CFL包括步骤：

用户方的运作

①用户生成自己真实的标识ID；

②用户依照自主选定的工作密码算法，生成一组随机的公钥私钥密钥对 (RAPK，RASK)；

③用户将ID和RAPK提交给密钥管理中心KMC；

密钥管理中心KMC的运作

④KMC审查用户提交的ID，确保其真实性和唯一性；

⑤将ID输入H，得到多线性函数输入的控制信息h；

⑥根据h和私钥基，经多线性函数f_h(SKB)的变换，生成标识私钥IDSK；

⑦用签名算法SIGN，以IDSK为密钥，对以RAPK为核心内容的证书进行签名，得： sign＝SIGN_IDSK(RAPK)；

⑧将经签名的证书颁发给用户；

公众方对用户证书的运作

⑨公众方将ID输入H，得到多线性函数输入的控制信息h；

⑩根据h，得到多线性函数f_h(PKB)，生成标识公钥IDPK；

以IDPK作为验证算法的公钥，对经签名的证书进行验证。如验证正确，则证书通过， 否则证书不予通过。

由于本发明采用了以上技术方案，故具有以下优点：

①本体制是证书认证与标识认证混合的自认证证书体制。标识密钥对采用标识认证体 制，其公钥与用户标识达到一体化且不需另外的证明；随机密钥对的公钥与用户的绑 定则由标识密钥对完成。标识密钥对的私钥对随机公钥签名；标识密钥对的公钥对经 签名的证书进行验证。两种认证体制的混合使用，使得本体制成为具有自认证特征的 证书体制。

②本体制便于实现集中管理和推进实名制的实施，并保障了用户对随机私钥的私有权。 密钥管理中心实行的集中管理表现在：对用户标识的审定；主导标识私钥的生成与控 制；证书的签发等。用户的自主权表现在：自主选择公钥密码算法；以自己标识参与 标识密钥对的生成；自主生成随机密钥对，并对随机私钥拥有完全的私有权。

③本体制生成的证书由标识私钥进行签名。不同用户的证书由不同的标识私钥进行签 名，实现了一个证书一个签名私钥。显然一个证书一个签名私钥的证书构成，与一个 系统中所有证书同一个签名私钥的证书构成相比，前者安全性更强。一个用户私钥的 信息泄露，不影响该系统中其他用户私钥的信息安全。

④本体制所具有的自认证特点，使证书验证的效率更高，计算资源的消耗更少。

⑤标识密钥对的基础密码算法可分别选择指数乘积型的公钥密码、ECC、DH，随机密钥 对的基础密码算法可分别选择指数乘积型的公钥密码、ECC、DH和RSA。本体制在数 学结构选择上极具灵活性。

本发明中的指数乘积型公钥密码算法是：

选择规模相当的两个大素数p和q，令n＝pq。在模n的剩余类环上，构建指数乘积型公 钥密码算法，其中n是两个尺寸相当的大素数p和q的乘积，令且要 求p₁，q₁，皆为素数。

我们可以借鉴有关对称密码的设计技术，把SKB的数据放在数组中或ROM中，由H得 输出序列构成的停走序列来控选。

设H的输出为N比特，满足s|N，并设N＝st；设且 e_i，i＝0，1，...，t×(2^s-1)为从模的剩余类环上的乘法群中选出的两两不同的 比特数小于等于的素数。

记H(ID)＝h＝{h₀，h₁，...，h_t-1}，其中h_i，i＝0，1，...，t-1为s比特的数。

多线性函数不妨设定为：

$f_{H\left(\mathrm{ID}\right)}\left(\mathrm{PKB}\right)=f_h(e_0,e_1,...,e_{t\times (2^s-1)})=\underset{i=0}{\overset{t-1}{\Pi }}{e}_{\underset{j=0}{\overset{i}{\Sigma }}{h}_j}=\mathrm{IDPK},$

对偶的：

其中，

上述两式中，我们记其即为停走序列，用于控选公钥或私钥 基；显然其是单调增序列，且与H(ID)＝h＝{h₀，h₁，...，h_t-1}一一对应；又因为公钥基的设计约 束，可知该控选方式保证了控选序列的保熵性。

我们称类似于上述经过指数乘积给出的公钥密码算法为指数乘积型公钥密码算法。指数 乘积型公钥密码算法和RSA皆基于大数分解难题。两种体制的区别在于指数乘积型公钥密码 算法其密钥构成为多指数的乘积，而RSA的密钥构成是单一的指数；指数乘积型公钥密码属 于基于标识的公钥密码，而RSA为传统的公钥密码，它不是基于标识的。

由于交换群加法与乘法形式上是统一的，在上述描述中，我们把：

$f_{H\left(\mathrm{ID}\right)}\left(\mathrm{PKB}\right)=f_h(e_0,e_1,...,e_{t\times (2^s-1)})=\underset{i=0}{\overset{t-1}{\Pi }}{e}_{\underset{j=0}{\overset{i}{\Sigma }}{h}_j}=\mathrm{IDPK}$

统一称为多线性函数变换。多线性函数变换可以有多种具体的方式，但要注意控选序列的保 熵性或近似保熵性。

具体实施方式

1、基于指数乘积型公钥密码算法的CFL工作流程

用户方的运作

1)用户生成自己真实的标识ID

2)用户依照自主选定的工作密码算法，生成一组随机的公钥私钥密钥对(RAPK，RASK)

3)用户将ID和RAPK提交给密钥管理中心KMC

密钥管理中心KMC的运作

4)KMC审查用户提交的ID，确保其真实性和唯一性

5)将ID输入H，得到多线性函数输入的控制信息h

6)根据h和私钥基，经如下多线性函数的变换：

生成标识私钥IDSK

7)用签名算法SIGN，以IDSK为密钥，对以RAPK为核心内容的证书进行签名，得： sign＝SIGN_IDSK(RAPK)

8)将经签名的证书颁发给用户

公众方对用户证书的运作

9)公众方将ID输入H，得到多线性函数输入的控制信息h

10)根据h，经如下多线性函数变换：

$f_{H\left(\mathrm{ID}\right)}\left(\mathrm{PKB}\right)=f_h(e_0,e_1,...,e_{t\times (2^s-1)})=\underset{i=0}{\overset{t-1}{\Pi }}{e}_{S\left(i\right)}=\mathrm{IDPK}$

生成标识公钥IDPK

11)以IDPK作为验证算法的公钥，对经签名的证书进行验证.如验证正确，则证书通过， 否则证书不予通过

2、基于ECC的CFL工作流程

用户方的运作

1)用户生成自己真实的标识ID

2)用户依照自主选定的工作密码算法，生成一组随机的公钥私钥密钥对(RAPK，RASK)

3)用户将ID和RAPK提交给密钥管理中心KMC

密钥管理中心KMC的运作

4)KMC审查用户提交的ID，确保其真实性和唯一性

5)将ID输入H，得到多线性函数输入的控制信息h

6)根据h和私钥基，经如下多线性函数的变换：

$f_{H\left(\mathrm{ID}\right)}\left(\mathrm{SKB}\right)=f_h(d_0,d_1,...,d_{t\times (2^s-1)})=\underset{i=0}{\overset{t-1}{\Sigma }}{d}_{S\left(i\right)}\mathrm{mod}m=\mathrm{IDSK},$

生成标识私钥IDSK

7)用签名算法SIGN，以IDSK为密钥，对以RAPK为核心内容的证书进行签名，得： sign＝SIGN_IDSK(RAPK)

8)将经签名的证书颁发给用户

公众方对用户证书的运作

9)公众方将ID输入H，得到多线性函数输入的控制信息h

10)根据h，经如下多线性函数变换：

$f_{H\left(\mathrm{ID}\right)}\left(\mathrm{PKB}\right)=f_h(e_0,e_1,...,e_{t\times (2^s-1)})=\underset{i=0}{\overset{t-1}{\Sigma }}{e}_{S\left(i\right)}\mathrm{mod}E=\mathrm{IDPK}$

生成标识公钥IDPK

11)以IDPK作为验证算法的公钥，对经签名的证书进行验证.如验证正确，则证书通过， 否则证书不予通过

3、基于DH的CFL工作流程

用户方的运作

1)用户生成自己真实的标识ID

2)用户依照自主选定的工作密码算法，生成一组随机的公钥私钥密钥对(RAPK，RASK)

3)用户将ID和RAPK提交给密钥管理中心KMC

密钥管理中心KMC的运作

4)KMC审查用户提交的ID，确保其真实性和唯一性

5)将ID输入H，得到多线性函数输入的控制信息h

6)根据h和私钥基，经如下多线性函数的变换：

$f_{H\left(\mathrm{ID}\right)}\left(\mathrm{SKB}\right)=f_h(d_0,d_1,...,d_{t\times (2^s-1)})=\underset{i=0}{\overset{t-1}{\Pi }}{d}_{S\left(i\right)}\mathrm{mod}(p-1)=\mathrm{IDSK},$

生成标识私钥IDSK

7)用签名算法SIGN，以IDSK为密钥，对以RAPK为核心内容的证书进行签名，得： sign＝SIGN_IDSK(RAPK)

8)将经签名的证书颁发给用户

公众方对用户证书的运作

9)公众方将ID输入H，得到多线性函数输入的控制信息h

10)根据h，经如下多线性函数变换：

$f_{H\left(\mathrm{ID}\right)}\left(\mathrm{PKB}\right)=f_h(e_0,e_1,...,e_{t\times (2^s-1)})=\underset{i=0}{\overset{t-1}{\Pi }}{e}_{S\left(i\right)}\mathrm{mod}p=\mathrm{IDPK}$

生成标识公钥IDPK

11)以IDPK作为验证算法的公钥，对经签名的证书进行验证.如验证正确，则证书通过， 否则证书不予通过。