[发明专利]一种基于SM2算法的密钥分量托管方法和系统

摘要

一种基于SM2公钥密码算法的密钥分量托管方法和系统，属于信息安全领域。由N(N≥1)个不同的密钥分量托管系统构成一个密钥托管网络，采用密钥分割存储和多方联合计算的方式，将用户的SM2私钥分割为N+1个分量，由用户和N个不同的密钥分量托管系统分散保存，在需要使用私钥时，由用户和N个密钥分量托管系统联合完成相关计算。在用户密钥生成和使用阶段，密钥分量托管系统通过标识映射算法产生用户私钥分量，但不实际保存，可以大大减小系统建设规模，节约系统投资成本，提高系统运行效率和服务水平。

主权项

1.一种基于SM2公钥密码算法的密钥分量托管方法，其特征在于：应用于由N(N≥1)个不同的密钥分量托管系统所构成的一个密钥托管网络；所述方法包括：/n采用密钥分割存储和多方联合计算的方式，将用户端的SM2私钥分割为N+1个分量；/n由用户端和N个不同的密钥分量托管系统分散保存；/n在需要使用私钥对一个消息作数字签名时，由用户端和N个密钥分量托管系统联合完成签名计算，其中，计算形成的签名可使用用户端的公钥进行验证；/n在需要对用户端公钥加密后的密文进行解密时，由用户端和N个密钥分量托管系统联合完成对所述密文的解密计算，实现对所述密文的完整解密；/n所述方法还包括：/n在每个密钥分量托管系统中生成一个主密钥；/n通过一种标识映射算法，在用户密钥生成阶段，密钥分量托管系统采用所生成的主密钥对用户提供的识别信息进行分散映射，生成对应的私钥分量；其中，所述识别信息为：用户标识、用户设置的PIN码和用户端设备信息的一种组合或叠加；/n在用户端需使用自已的私钥分量时，按所述标识映射算法恢复用户端的私钥分量后，再进行相关密码运算；/n其中，本发明所依托的密码算法为国密SM2公钥密码算法，与SM2相关的椭圆曲线参数按国密SM2算法标准设置,有限域上的椭圆曲线记为E(Fq)，其基点记为G，G的阶记为n；本发明涉及到的实体包括用户端和N(N≥1)个密钥分量托管系统，N个密钥分量托管系统分别记为PKE[1]，PKE[2]，…，PKE[N]；每个用户端针对N个密钥分量托管系统，分别设置N个识别信息UID[1]，UID[2]，…，UID[N]，而用户端数量不限；在系统运行初期，密钥分量托管系统PKE[i]随机生成1个系统主密钥MK[i]和1对SM2非对称密钥，系统主密钥MK[i]也可以用非对称密钥的私钥充当；密钥分量托管系统PKE[i]选取一个密钥分量映射生成函数g(x,y)，对任意用户端，通过对系统主密钥MK[i]和用户识别信息UID[i]的映射可生成一个私钥分量d_i＝g(MK[i],UID[i])，且d_i∈[1,n-1]；通过以下步骤可完成用户签名密钥的生成与分割存储：/n第1步：所述用户端以自已的标识、输入的PIN码和硬件设备信息构造N个用户识别信息UID[1]，UID[2]，…，UID[N]，再设置初始公钥参数Q_N+1＝G；/n第2步：对于i＝N,N-1,…,1，所述用户端依次与PKE[i]交互执行：/n(2a)所述用户端以PKE[i]的公钥对UID[i]加密生成一个密文C[i]，发送C[i]和Q_i+1到PKE[i]；/n(2b)所述PKE[i]使用私钥对C[i]解密获取所述用户识别信息UID[i]，计算d_i＝g(MK[i]，UID[i])，Q_i＝(d_i)^-1Q_i+1，回送Q_i到用户端，将d_i作为用户的第i个签名私钥分量，但不需保存；/n(2c)所述用户保存Q_i；/n第3步：所述用户端随机选取d₀∈[1,n-1]，计算Q₀＝(d₀)^-1Q₁，Q＝Q₀-G，将d₀作为用户端的签名私钥分量保存，将Q作为用户端的实际签名公钥保存，同时保存Q₀；/n通过上述步骤生成的用户实际签名私钥d＝(d₀d₁d₂…d_N)^-1-1，实际签名公钥Q＝dG，实际签名私钥在生成过程中并未出现，且对用户和N个密钥分量托管系统都不可知；/n通过以下步骤可完成用户加密密钥的生成与分割存储：/n第1步：所述用户以自已的标识、输入的PIN码和硬件设备信息构造一个用户识别信息，并将所述用户识别信息记为UID’[1]，UID’[2]，…，UID’[N]，再设置初始值Q’_N+1＝G；/n第2步：对于i＝N,N-1,…,1，所述用户依次与PKE[i]交互执行：/n(2a)所述用户以PKE[i]的公钥对UID’[i]加密生成一个密文C[i]，发送C[i]和Q’_i+1到PKE[i]；/n(2b)所述PKE[i]使用私钥对C[i]解密获取所述用户UID’[i]，计算d_i’＝g(MK[i]，UID’[i])，Q’_i＝d_i’Q’_i+1，回送Q’_i到用户端，将d’_i作为用户的第i个加密私钥分量，但不需保存；/n第3步：所述用户随机选取d’₀∈[1,n-1]，计算Q’₀＝d’₀Q₁，Q’＝Q’₀，将d’₀作为用户端的加密私钥分量保存，将Q’作为用户的实际加密公钥保存；/n通过上述步骤生成的用户实际加密私钥d’＝d’₀d’₁d’₂…d’_N，实际加密公钥Q’＝d’G，实际加密私钥在生成过程中并未出现，且对用户和N个密钥分量托管系统都不可知；/n用户端和N个密钥分量托管系统可联合完成对一个消息的SM2签名，设待签名的消息为M，e＝h(Z||M)是对消息M的摘要值，其中，Z是与用户公钥和用户标识有关的信息，多方联合签名步骤如下：/n第1步：所述用户端以自已的标识、输入的PIN码和硬件设备信息等重新构造用户的识别信息UID[1]，UID[2]，…，UID[N]，再随机选取k₀∈[1,n-1]，计算R₀＝k₀Q₀；/n第2步：对于i＝1,2,…,N，所述用户依次与PKE[i]交互执行：/n(2a)用户端发送R_i-1和Q_i到PKE[i]；/n(2b)PKE[i]随机选取k_i∈[1,n-1]，计算R_i＝R_i-1+k_iQ_i，回送R_i到用户；/n第3步：设R_N＝(x1,y1)，所述用户计算r＝(e+x₁)(mod n)，并记s_N+1＝r；/n第4步：对于i＝N,N-1,…,1，所述用户依次与PKE[i]交互执行：/n(4a)所述用户端以所述PKE[i]的公钥对UID[i]||R_i加密生成一个密文C[i]，发送C[i]和s_i+1到PKE[i]；/n(4b)所述PKE[i]对C[i]作私钥解密获取UID[i]和R_i’，验证R_i’＝R_i是否成立，若成立，再计算签名私钥分量d_i＝g(MK[i]，UID[i])和部分签名s_i＝k_i+s_i+1d_i(mod n)，回送所述部分签名s_i到用户端；/n(4c)所述用户端在收到所述PKE[i]的部分签名s_i后，计算R’＝R_i-1+s_iQ_i–rG，检验R’＝R_N是否成立，若成立，则接受PKE[i]的部分签名s_i；/n第5步：所述用户端计算s＝k₀+s₁d₀–r(mod n)，生成最终签名(r,s)；/n按此步骤生成的签名(r,s)可以使用签名公钥Q按SM2签名的验证算法进行验证；/n用户端和N个密钥分量托管系统可联合完成对一个公钥加密的密文进行解密，设待解密的密文为C1||C2||C3，其中C1是一个椭圆曲线点，多方联合解密步骤如下：/n第1步：所述用户端以自已的标识、输入的PIN码和硬件设备信息重新构造用户的识别信息UID’[1]，UID’[2]，…，UID’[N]，再随机选取k₀∈[1,n-1]，且k₀≠(d’₀)^-1，计算D_N+1＝k₀C₁；/n第2步：对于i＝N,N-1,…,1，所述用户依次与所述PKE[i]交互执行：/n(2a)所述用户端从所述PKE[i]获取一个随机数r[i]；/n(2b)所述用户端以所述PKE[i]的公钥对UID’[i]||r[i]加密生成一个密文C[i]，发送D_i+1和C[i]到PKE[i]；/n(2c)所述PKE[i]对C[i]作私钥解密获取UID’[i]和r’[i]，验证r’[i]＝r[i]是否成立，若成立，计算d’_i＝g(MK[i]，UID’[i])和D_i＝d’_iD_i+1，回送D_i到用户端；/n第3步：所述用户端计算D＝(k₀)^-1d’₀D₁；/n第4步：所述用户端令D＝(x2,y2)，再按SM2解密算法的后续步骤解出明文。/n