CFL集中管理模式实现方法

摘要

本发明《CFL集中管理模式实现方法》，属于信息安全技术领域，涉及密钥认证体制。本发明CFL集中管理模式实现方法由CFL证书生成中心的标识公私钥生成元集生成算法、CFL证书生成中心为用户证书标识签名中的标识随机数k生成算法、CFL证书生成中心为用户生成工作公私钥标识算法、CFL证书生成算法、CFL证书验证算法5个算法构成，并给出了这5个算法的具体实施方式。证明了CFL集中管理模式实现方法具有良好的信息安全性质。

说明书

技术领域

本发明属于信息安全技术领域，涉及密钥认证体制。

背景技术

在基于国家商用密码算法SM₂、SM₃以及SM₄的CFL认证算法中，对用户的CFL证书进行CFL签名验证，其过程如下：

设CFL签名验证所需要的标识私钥生成元集和标识公钥生成元集如下：

标识私钥生成元集IDSKG(Identity Secret Key Generation)：CFL证书生成中心为用户证书签名的主系统密钥为

IDSKG＝{sk₀，sk₁，…，sk_L-1}，

其中各元素独立生成，且两两不同，通过随机性检测，并为CFL证书生成中心所独有，L是IDSKG中元素的总个数。

标识公钥生成元集IDPKG(Identity Public Key Generation)：CFL证书生成中心主系统密钥对应的公钥序列为

IDPKG＝{pk₀，pk₁，…，pk_L-1}，

其中pk_i是公钥密码算法中私钥sk_i对应的公钥，i＝0，…，L-1。

CFL的标识私钥生成函数为：

IDSK＝F(IDSKG，S)＝sk_s(0)⊙sk_s(1)⊙…⊙sk_s(t-1)，

其中“⊙”为中的加法，n为SM₂中椭圆曲线基点的周期，IDSK是CFL证书生成中心为用户的CFL证书签名生成的签名私钥，

S＝(S(0)，S(1)，…，S(t-1))，

S＝θ(h)，θ为CFL控选方式，h＝H(ID)＝(h₀，h₁，…，h_t-1)，ID为用户的标识，H为CFL证书生成签名过程中的hash函数，S(i)，(i＝0，1，…，t-1)为第i拍时选取标识私钥生成元集中元素的位置，又称S(i)，i＝0，1，…，t-1为CFL控选方式θ的控选序列，因此CFL标识私钥生成函数又可写为：

IDSK＝F(IDSKG，S)＝F(IDSKG，θ(h))＝F(IDSKG，θ(H(ID)))。

CFL的标识公钥生成函数为：

IDPK＝F′(IDPKG，S)＝pk_s(0)⊙′pk_s(1)⊙′…⊙′pk_s(t-1)，

其中“⊙′”为SM₂中点群的加法，IDPK是CFL证书验证的签名验证公钥。

CFL的标识公钥生成函数又可写为：

IDPK＝F′(IDPKG，S)＝F′(IDPKG，θ(h))＝F′(IDPKG，θ(H(ID)))。

CFL证书生成和CFL证书验证算法为：

(1)CFL证书生成中心的CFL证书生成算法

1)用户自主生成工作公私钥。

2)用户将自身信息及工作公钥发送给CFL证书生成中心。

3)CFL证书生成中心根据用户标识ID，计算h＝H(ID)。

4)CFL证书生成中心计算CFL控选方式θ(h)＝S。

5)CFL证书生成中心利用标识私钥生成元集IDSKG计算CFL标识私钥生成函数

IDSK＝F(IDSKG，S)＝F(IDSKG，θ(h))＝F(IDSKG，θ(H(ID)))

＝sk_S(0)⊙sk_S(1)⊙…⊙sk_S(t-1).

生成用户的标识私钥IDSK。

6)CFL证书生成中心利用用户的标识私钥对用户标识进行签名，用户标识以及签名构成用户的CFL证书。

(2)验证方对用户CFL证书的验证算法

1)用户将CFL证书发送给验证方。

2)验证方根据该用户标识ID，计算h＝H(ID)。

3)验证方计算CFL控选方式θ(h)＝S。

4)验证方计算CFL标识公钥生成函数

IDPK＝F′(IDPKG，S)＝F′(IDPKG，θ(h))＝F′(IDPKG，θ(H(ID)))

＝pk_S(0)⊙′pk_S(1)⊙′…⊙′pk_S(t-1).

生成用户的标识公钥IDPK。

5)验证方利用标识公钥IDPK对用户CFL证书签名进行验证。

由上述CFL证书生成中心的CFL证书生成算法可知，CFL用户的工作公私钥由自己自主生成，不利于集中管理。为此，本发明给出了基于国家商用密码算法SM2，SM3，SM4的CFL集中管理模式实现方法，并给出了CFL集中管理模式实现方法的安全性分析。

本发明中Ukey代表用户的安全硬件，包括U盾、密码卡、安全芯片卡、手机安全芯片、蓝牙用户端安全硬件产品。

发明内容

本发明CFL集中管理模式实现方法由下述五个算法构成：

算法1：CFL集中管理模式CFL证书生成中心的标识公私钥生成元集生成算法；

算法2：CFL集中管理模式CFL证书生成中心为用户证书标识签名中的标识随机数k生成算法；

算法3：CFL集中管理模式CFL证书生成中心为用户生成工作公私钥标识算法；

算法4：CFL集中管理模式CFL证书生成算法；

算法5：CFL集中管理模式CFL证书验证算法。

具体实施方式

本发明CFL集中管理模式实现方法由下述五个算法构成：

算法1：CFL集中管理模式CFL证书生成中心的标识公私钥生成元集生成算法

1)CFL证书生成中心利用随机数发生器随机生成标识私钥生成元集：

IDSKG＝{sk₀，sk₁，…，sk_L-1}

其中元素要独立产生，通过随机性检测，且两两不同，并为CFL证书生成中心所独有。

2)CFL证书生成中心基于标识私钥生成元集生成对应的标识公钥生成元集：

IDPKG＝{pk₀，pk₁，…，pk_L-1}，

其中pk_i是公钥密码算法中私钥sk_i对应的公钥，i＝0，…，L-1。

3)CFL证书生成中心公开发布标识公钥生成元集。

算法2：CFL集中管理模式CFL证书生成中心为用户证书标识签名中的标识随机数k生成算法

1)CFL证书生成中心利用随机数发生器生成签名算法中的标识随机数生成元集为IDRG＝{r₀，r₁，…，r_L-1}，其中元素独立产生，且两两不等，通过随机性检测，并为CFL证书生成中心所独有。

2)CFL证书生成中心根据用户的标识，产生签名算法中的标识随机数k的生成函数为：

k＝IDR＝F(IDRG，S)＝F(IDRG，θ(h))＝F(IDRG，θ(H(ID)))＝r_S(0)⊙r_S(1)⊙…⊙r_S(t-1).

算法3：CFL集中管理模式CFL证书生成中心为用户生成工作公私钥标识算法

1)CFL证书生成中心基于用户标识，计算SM₃(ID)＝h。

2)CFL证书生成中心将256比特h分成前后128比特，即h＝h⁰||h¹。

3)CFL证书生成中心计算其中BK⁰，BK¹为CFL证书生成中心关于SM₄加解密的两组密钥。BK⁰，BK¹由CFL证书生成中心的随机数发生器独立生成，且不相等，通过随机性检测，并为CFL证书生成中心所独有。

4)CFL证书生成中心将作为用户U的工作私钥。将RAPK＝RASK·P mod E作为用户U的工作公钥，其中E为SM₂中的椭圆曲线，P为SM₂的基点。

算法4：CFL集中管理模式CFL证书生成算法

1)CFL证书生成中心先为各代理窗口和自己配发工作公私钥以及CFL证书。

2)CFL证书生成中心根据每个Ukey的标识码ID_Ukey，根据算法3，计算

${\mathrm{SM}}_3\left({\mathrm{ID}}_{Ukey}\right)=h=h^0\left|\right|h^1,{\mathrm{SM}}_4({\mathrm{BK}}^0,h^0)=K_U^0,{\mathrm{SM}}_4({\mathrm{BK}}^1,h^1)=K_U^1,$

称RAPK₁，RASK₁为每个Ukey的临时工作公私钥对。

3)CFL证书生成中心利用SM₂，以自己的工作私钥对ID_Ukey||RAPK₁进行签名，得签名值为SIGN，其中签名中的随机数IDR由ID_Ukey||RAPK₁经算法2生成，即

k＝IDR＝F(IDRG，θ(H(ID_Ukey||RAPK₁))).

4)CFL证书生成中心将临时工作公私钥对RASK₁，RAPK₁、签名值SIGN写入Ukey，并配发给各代理窗口。

5)用户到代理窗口通过身份证、身份检查领取写入临时工作公私钥对以及签名值SIGN的Ukey。

6)用户利用自己的计算机，登录CFL证书生成中心，下载相关应用软件，对Ukey中的签名值，利用CFL证书生成中心的工作公钥进行验证，验证通过后，用户利用SM₂，以自己的临时工作私钥，将ID_Ukey||RAPK₁进行签名，得签名值SIGN′，用户利用CFL证书生成中心的公钥将ID_Ukey||RAPK₁加密生成密文用户将发给CFL证书生成中心。

7)CFL证书生成中心利用自己的工作私钥，解密得用户的ID_Ukey||RAPK₁，验证RAPK₁由ID_Ukey生成的正确性，以及验证SIGN′。

8)上述验证通过后，用户填写自己的标识信息ID₁。用户填写或采集自己的专有信息ID₂，例如指纹信息、虹膜、口令，我们称HUFU₁＝ID₂为用户CFL证书虎符1。用户利用SM₂，以自己的临时工作私钥RASK₁，对ID₁||ID₂进行签名，得签名SIGN″，并利用CFL证书生成中心的工作公钥对ID₁||ID₂进行加密生成密文并将发送给CFL证书生成中心。

9)CFL证书生成中心解密得用户的ID₁，ID₂，并对签名SIGN″进行验证。验证通过后，计算θ(SM₃(ID₁||ID₂))，利用算法2，生成为用户证书签名的随机数IDR₁。CFL证书生成中心为用户添加发证时间、发证单位、证书序列号、证书有限期信息ID₃，计算θ(SM₃(ID₁||ID₂||ID₃))，利用算法2，生成为用户证书签名的随机数IDR₂。利用算法3，为用户生成工作公私钥RAPK₂，RASK₂，再计算

IDSK＝F(IDSKG，θ(SM₃(ID₁||ID₂||ID₃)))，

IDPK＝F′(IDPKG，θ(SM₃(ID₁||ID₂||ID₃)))，

即生成为用户证书签名的标识公私钥对IDPK，IDSK。

10)CFL证书生成中心利用SM₂，随机数IDR₁，以RASK₂对ID₁||ID₂生成签名SIGN₁。

11)CFL证书生成中心利用SM₂，随机数IDR₂、以IDSK对ID₁||ID₂||ID₃||RAPK₂生成签名SIGN₂。

12)CFL证书生成中心将ID₁，SIGN₁，ID₃，RASK₂，RAPK₂，SIGN₂用RAPK₁进行加密发给用户。用户方将ID₁，SIGN₁，ID₃，RASK₂，RAPK₂，SIGN₂的密文写入Ukey后以RASK₁在Ukey中解密。用户用RAPK₂验证SIGN₁，用IDPK验证SIGN₂。

13)用户将C_U＝ID₁||ID₂||SIGN₁||ID₃||RAPK₂||SIGN₂作为CFL证书，将HUFU₂＝ID₁||SIGN₁||ID₃||RAPK₂||SIGN₂作为CFL证书虎符2。

14)用户删除Ukey中的临时工作公私钥对RASK₁，RAPK₁。

算法5：CFL集中管理模式CFL证书认证算法

1)用户将自己的CFL证书虎符2以及虎符1合成自己的CFL证书C_U。

2)用户将自己的证书添加应用时的时间戳信息ID₄，并计算SM₃(ID₁||ID₂||ID₃||RAPK₂||ID₄)，用户利用SM₂，以自己的工作私钥对其生成签名SIGN₃，称为用户的动态CFL证书。并用应用服务器的工作公钥将ID₁||ID₂||ID₃||RAPK₂||ID₄加密发给应用服务器。同时将SIGN₁，SIGN₂，SIGN₃发给应用服务器。

3)应用服务器利用自己的工作私钥解密得用户的ID₁||ID₂||ID₃||RAPK₂||ID₄。

4)应用服务中对用户动态CFL证书进行三次签名验证。

5)应用服务器将自己的证书添加应用时的时间戳信息ID₄，并计算SM₃(ID₁||ID₂||ID₃||RAPK₂||ID₄)，ID₂可以是应用服务器的相关专有信息，应用服务器利用SM₂，以自己的工作私钥对其生成签名SIGN₃，生成应用服务器的动态CFL证书并利用用户的工作公钥RAPK₂加密发给用户。

6)用户用自己的工作私钥解密得应用服务器的动态CFL证书

7)用户对应用服务器动态CFL证书进行三次签名验证。

若用户需要的签名验证公私钥与加解密公私钥是两对的，则添加另外两组SM₄加解密密钥，并生成两张CFL证书即可，其中一张用于加解密，另一张用于签名验证。

CFL集中管理模式安全性分析

命题1 CFL集中管理模式CFL证书生成中心为用户证书标识签名中的标识随机数k生成算法具有可恢复性。

证明由算法2的流程可知，标识随机数k是标识的函数，只要知道用户标识，CFL证书生成中心就可以计算标识随机数k＝IDR。因此命题成立。

命题2 CFL集中管理模式CFL证书生成中心为用户生成的临时工作公私钥标识算法具有可恢复性。

证明由算法3的流程可知，CFL证书生成中心为用户生成的临时工作公私钥对是用户Ukey标识码ID_Ukey的函数，因此只要知道ID_Ukey，CFL证书生成中心就可以计算用户的临时工作公私钥对。因此命题成立。

命题3 CFL集中管理模式CFL证书生成中心为用户生成的临时工作公私钥的签名算法具有可恢复性。

证明由命题2以及签名中的随机数由ID_Ukey以及临时工作公钥决定，因此命题成立。

命题4 CFL集中管理模式实现方法CFL证书生成中心为用户生成工作公私钥标识算法具有可恢复性。

证明同样由算法3的流程可知，CFL证书生成中心为用户生成工作公私钥对也是用户标识的函数，因此只要知道用户标识，CFL证书生成中心就可以计算用户的工作公私钥对。因此命题成立。

命题5 CFL集中管理模式实现方法CFL证书生成中心为用户生成CFL证书具有可恢复性。

证明由算法4的流程可知，CFL证书生成中心为用户生成CFL证书的过程中产生的参数都是用户Ukey的标识码ID_Ukey或者是用户标识的函数。因此可知命题成立。

由命题1至命题5，可知CFL集中管理模式确实支持集中管理。

命题6 CFL集中管理模式实现方法是密钥不可恢复可证明安全的。

证明由于CFL用户证书中的所有参数以及临时工作公私钥都是基于CFL证书生成中心的密码参数经过公钥密码变换或者是分组密码算法给出的，没有直接透漏任何私钥信息，因此在理论上，攻击者的攻击方式都转化成为了相应的数学难题，即极微本原问题的攻击。故命题成立。

命题7在假设SM₃为随机预言机的情况下，CFL集中管理模式实现方法是EUF-CMA(适应性选择消息攻击下具有存在性不可伪造性)安全的。

证明假设S′是攻击者的伪签名，则：

$P_r(M=m,S^{\prime }=\sigma )=P_r(M=m)\times P_i(S^{\prime }=\sigma )=\frac{1}{2^{2n}}.$

对于合法的签名，因此：

$|P_r(M=m,{\Sigma }^{\prime }=\sigma )-P_r(M=m,\Sigma =\sigma )|=\left(\begin{array}{c}\left|\frac{1}{2^n}-\frac{1}{2^{2n}}\right|\\ \frac{1}{2^n}\end{array}\right)<\frac{1}{2^n}.$

$|P_r(M=m,{\Sigma }^{\prime }=\sigma )-P_r(M=m,\Sigma =\sigma )|\times n^C<\frac{n^C}{2^n}.$

故命题成立。

命题8 CFL集中管理模式实现方法的CFL证书的签名标识私钥是一人一密的、用户的工作公钥对攻击者来说是一人一密的。

证明因为CFL证书的签名标识私钥、用户的工作公钥对都是用户标识的函数，因此易知命题成立。

命题9 CFL集中管理模式实现方法的CFL证书生成中心的签名私钥生成元集相比PKI、IBC具有高安全性。

证明由于CFL证书生成中心的签名私钥生成元集有L个，也就是说其可信根个数是PKI、IBC的L倍，故当L较大时，命题成立。

命题10 CFL集中管理模式实现方法含有动态认证、虎符认证属性。

证明由算法4、5的流程可知该命题成立。