[发明专利]一种支持匿名认证的密钥装置及其生成方法和解锁方法

说明书

技术领域

本发明提供涉及基于标识认证技术，具体涉及一种基于组合公钥体制，支持匿名认证的密钥装置及其生成方法和解锁方法，属于信息安全技术领域。

背景技术

当前，网络和信息技术已经渗透人们生产生活的各个方面，如何保护信息的真实性、安全性、负责性(不可抵赖性)已经成为政府和社会共同关心的问题。为了适应社会发展的要求，技术厂商开发出了认证系统，如基于公钥数字证书的公钥基础设施(PKI)和基于组合公钥(CPK)技术的标识的认证系统，以及基于上述系统的认证登录、数字签名、文件加密等系列应用产品，同时也出现了一批提供第三方认证服务的认证中心(CA)。虽然上述系统、产品及服务在一定程度上缓解了社会的需求，但存在很大局限性，主要体现在以下几个方面：

1、目前的认证系统和相关服务都是建立在实名制基础之上的。实名制对于建立信任体系，实现有效管理无疑是十分必要的。但就社会和公众而言，除了实名体系以外，客观上还需要一个匿名化的信任体系，而在现实世界中，该体系也是无所不在的：如到商场买东西，只要客户付款(现金和银行在交易过程中扮演信任凭据的作用)，商场提供商品，即完成交易。在整个交易过程中，客户并不需要向商场出示自己的真实身份。此外，公众在许多场合也有保护个人私隐的要求，这是基于实名制的认证系统难以做到的。

2、要实现对信息的全面保护(保证信息的真实性、安全性、负责性)，实现信息的安全共享，目前最有效的手段是自建认证系统，或向商业认证中心(CA)购买数字证书和认证服务。然而，自建和管理认证中心，对于中小企业是沉重的负担，对个人用户更是可望不可及，而利用第三方提供的服务，则需要遵循一系列复杂规则，并且需要负担相应的费用，许多中小企业和个人用户很难承受。

3、虽然许多国家都建立起了商业认证中心，并面向企业和大众提供服务，但这些中心之间很难提供相互认证，给购买服务的企业和个人用户造成诸多不便。此外，由于认证中心掌握着所有用户的私钥(出于密钥恢复的需要)和用户的个人注册信息，一旦中心出问题，会直接影响到对用户的服务，甚至危及用户的私隐和安全。

因此，如何利用认证技术建立一个匿名认证体系，满足社会的客观需求，解决中小企业和个人对保护企业信息和个人私隐的安全，就成为一个很现实的问题。

发明内容

有鉴于此，为了解决上述问题，本发明公开了一种基于认证技术、支持匿名认证的系统和装置。

本发明的目的是这样实现的：一种支持匿名认证的密钥装置，其中存储有通过匿名标识产生的标识私钥。

进一步，所述匿名标识由数字、字母、汉字或它们的组合组成；

进一步，所述标识私钥为单一标识私钥或为由单一私钥和分割私钥组成的组合标识私钥；

进一步，其不能被外部读取的安全区内中还存储有加密数据，所述加密数据由用会话密钥加密的标识私钥，以及该标识私钥对应的标识公钥加密的会话密钥组成，所述会话密钥利用随机数发生器生成。

本发明还提供一种生成上述支持匿名认证的密钥装置的方法，包括如下步骤：

1)定义并生成至少一个匿名标识；

2)定义种子密钥对，所述种子密钥对由种子公钥和种子私钥组成；

3)将匿名标识分别通过种子私钥生成与该匿名标识对应的标识私钥；

4)将生成的标识私钥逐一写入各密钥装置。

进一步，步骤1)中，匿名标识由数字、字母、汉字或它们的组合组成，所生成的每一个匿名标识具有唯一性；

进一步，步骤1)中，一次性生成足够量的匿名标识；

进一步，步骤2)中，种子密钥对为单一种子密钥模式或组合种子密钥模式，当种子密钥对为单一种子密钥模式时，步骤3)中生成单一标识私钥，当种子密钥对组合种子密钥模式时，步骤3)中生成组合标识私钥，所述组合标识私钥由单一标识私钥和分割密钥组成；

进一步，步骤4)中，对每一个标识私钥生产两个密钥装置；

进一步，步骤4)中，还包括如下步骤：利用随机数发生器生成会话密钥，用会话密钥加密标识私钥，生成加密数据，并用该标识私钥对应的标识公钥对会话密钥进行加密，生成加密数据，将上述加密数据存放在密钥装置的不能被外部读取安全区内；

进一步，步骤3)中，标识私钥全部生成后，销毁种子私钥；

进一步，步骤4)中，标识私钥写入两个密钥装置后，销毁该标识私钥；