[发明专利]一种多中心的基于身份的密钥管理方法

摘要

本发明提供一种由多个密钥分配中心联合控制的、基于身份的密钥管理方法，以解决现有技术中抗合谋攻击能力差、权力过分集中，保密性不够等问题。其通过若干个信息处理设备进行私钥和公钥的分配，该方法包括初始化步骤、私钥分配步骤和公钥分配步骤。其有益效果为：a、抗合谋攻击能力明显提高；b、容纳的用户身份标志的数量更加巨大；c、与现实世界的授权过程相匹配，能方便地实现多中心的、多维的、分布式的、权力互相制约的安全控制，各个密钥分配中心、各个用户各自管理各自的秘密，谁也不能获得全部的秘密；d、可以实现互相制约的密钥托管。

主权项

1.一种多中心的基于身份的密钥管理方法，其通过若干个信息处理设备进行私钥和公钥的分配，该方法包括初始化步骤、私钥分配步骤和公钥分配步骤，其特征在于：该初始化步骤包括：a、由第一信息处理设备构造一级种子私钥表D()和相应的一级种子公钥表G()，构造独立的一级种子公钥表C()，将该一级种子私钥表D()分发给下述的所有第二信息处理设备秘密保存，而将该一级种子公钥表G()、C()公开；b、由与特定用户ID相关的第二信息处理设备独立构造二级种子私钥表E()和相应的二级种子公钥表H()，将该二级种子私钥表E()由每个第二信息处理设备自己秘密保存，而将该二级种子公钥表H()公开；该私钥分配步骤包括：c、第二信息处理设备从一级种子私钥表D()、各自的二级种子私钥表E()和一级种子公钥表C()中取出特定数量u、v、w的元素组，利用下式计算出私钥分量Ki，${\beta }_i=\frac{e_i\left(s_1\right)+e_i\left(s_2\right)+···+e_i\left(s_v\right)}{d\left(r_1\right)+d\left(r_2\right)+···+d\left(r_u\right)}\mathrm{mod}L$ Ki＝βi(c(t1)c(t2)...c(tw))∈S1 其中，Ki为私钥K中的第i个私钥分量，βi为Ki的控制参数，ei(sv)是从二级种子私钥表E()中取出的第sv个元素，d(ru)是从一级种子私钥表D()中取出的第ru个元素，c(tw)是从一级种子公钥表C()中取出的第tw个元素，v、u、w、s1、...、sv、r1、...、ru、t1、...、tw是特定用户ID所对应的预定值，L、S1也为预定值，“”表示有限群S1中规定的运算；d、第二信息处理设备将相关的私钥分量Ki秘密分发给该特定用户ID的授权用户，该授权用户将该私钥分量Ki进行合并，得到其私钥K；该公钥分配步骤包括：e、第三信息处理设备从一级种子公钥表G()、C()和有关的若干个二级种子公钥表H()中取出特定数量u、v、w的元素组，利用下式计算出公钥{P、Q、R}， P＝g(r1)g(r2)...g(ru)∈S1 Q＝hb1(s1)...hb1(sv)...hbj(s1)...hbj(sv)∈S1 R＝c(t1)c(t2)...c(tw)∈S1 其中，g(ru)是从一级种子公钥表G()中取出的第ru个元素，hbj(sv)是从第bj个二级种子公钥表H()中取出的第sv个元素，c(tw)是从一级种子公钥表C()中取出的第tw个元素，v、u、w、r1、...、ru、s1、...、sv、t1、...、tw、b1、...、bj是特定用户ID所对应的预定值，S1也是预定值，“”表示有限群S1中规定的运算；f、第三信息处理设备将实际公钥{P、Q、R}分配给该授权用户。