[发明专利]基于CPK的可多态配置的密钥生成方法及装置

说明书

本发明实施例提供一种基于CPK的可多态配置的密钥生成方法及装置，属于信息安全技术领域。所述方法包括：生成用户标识对应的自选私钥因子，并向密钥生成中心发送密钥申请消息，所述密钥申请消息中包括所述用户标识；接收所述密钥生成中心返回的密钥信息，所述密钥信息中包括所述用户标识对应的分发私钥因子；利用所述自选私钥因子与所述分发私钥因子生成所述用户标识对应的复合私钥。本发明实施例适用于加解密与数字签名过程。

技术领域

本发明涉及信息安全技术领域，具体地涉及一种基于CPK的可多态配置的密钥生成方法及装置。

背景技术

随着信息化技术的发展，通过网络进行信息交流和办公已成为主要的工作方式，如何保障通信双方的真实性鉴别及通信内容的安全已成为基本的安全需求。尤其是随着物联网的兴起，物与物之间如何有效的进行真假鉴别，如何保障数据传输的机密性、真实性与完整性，以及数据源的真实性已成为制约物联网发展的关键。而采用公钥密码技术，以数字签名实现通信双方的真假鉴别和数字信封技术实现密钥的安全传递以建立安全通道是目前的主流安全方案，如何有效的管理物联网中的海量公钥是物联网安全方案的重点。

传统公钥密码体制中，例如采用RSA、DSA、ECC等算法的系统，公钥的产生和用户的标识没有关系，需要由第三方CA(Certificate Authority，认证中心)发放证书，即对用户的公钥和标识进行签名，将二者绑定，这个基于传统公钥密码系统的以CA为中心的体系叫做公钥基础架构，即PKI(Public Key Infrastructure)。这种PKI-CA的密码生产与管理体制，在进行安全业务过程时，需要CA中心提供证书查询与认证支持，这种高度依赖中心的方案时延高，安全通信时的附加数据量大，在物联网方面应用难以满足需求。

标识密码体制是一种新型的公钥管理体制，密钥通过标识计算生成，简化了公钥管理的复杂性，且可实现端对端的直接鉴别，无中心依赖，是物联网理想的公钥管理方案。组合公钥(Combined Public Key，缩写为CPK)体制是标识密码体制的典型代表，将标识通过密码算法实现了与密钥的绑定，实现标识等效公钥，所以可以通过标识的管理实现公钥的管理，以公钥的计算过程替代了公钥的证明，使整个体系得以简化和高效。

然而现有技术中的组合公钥密钥生成方法存在一些不足之处，例如：用户不能参与私钥生成问题，即CPK的私钥都是由密钥生成中心完全分发的，中心掌握所有用户的私钥，而按照数字签名法的要求，签名私钥应由用户生成或参与生成，确保用户私钥只有用户自己知晓。

本发明实施例可以完全解决上述问题。

发明内容

本发明实施例的目的是提供一种基于CPK的可多态配置的密钥生成方法及装置，采用客户端与密钥生成中心协同方式完成密钥的生成，提高了用户密钥的安全性、用户对于私钥的自主可控性。

为了实现上述目的，本发明实施例提供一种基于CPK的可多态配置的密钥生成方法，所述方法应用于客户端，包括：生成用户标识对应的自选私钥因子，并向密钥生成中心发送密钥申请消息，所述密钥申请消息中包括所述用户标识；接收所述密钥生成中心返回的密钥信息，所述密钥信息中包括所述用户标识对应的分发私钥因子；利用所述自选私钥因子与所述分发私钥因子生成所述用户标识对应的复合私钥。

进一步地，所述方法还包括：利用所述密钥生成中心公布的椭圆曲线基点与所述自选私钥因子，得到所述用户标识对应的自选公钥因子，其中，所述密钥申请消息中还包括所述自选公钥因子。

进一步地，所述利用所述自选私钥因子与所述分发私钥因子生成所述用户标识对应的复合私钥包括：根据csk_Alice＝(usk_Alice+dsk_Alice)mod n，得到所述用户Alice的标识对应的复合私钥csk_Alice，其中，usk_Alice为所述用户标识对应的所述自选私钥因子，dsk_Alice为所述用户标识对应的所述分发私钥因子。