[发明专利]一种基于ECDLP的无证书密钥管理方法和系统

说明书

本发明公开了一种基于ECDLP的无证书密钥管理方法和系统，属于信息安全领域。本发明采用基于椭圆曲线的、不使用双线性对运算的无证书公钥密码体制和无证书密钥管理机制，实现系统建立，用户密钥生成、用户密钥使用和密码算法应用。在本发明中，用户对私钥具有完全控制权，密钥可以撤销和重新生成，用户签名具有不可否认性。本发明构建了一种新的无证书密钥管理系统，实现对用户密钥的分配和管理，包括用户注册、密钥生成、密钥更新、密钥撤销、公钥标识发布和下载以及密钥状态发布和查询等。本发明所述无证书密钥管理方法和系统是一种轻量级的密钥管理体系，可满足互联网、移动互联网和物联网等大规模系统和低功耗设备的身份鉴别、通信保密和抗抵赖应用需求。

技术领域

本发明属于信息安全领域，涉及一种基于椭圆曲线离散对数问题(ECDLP)的无证书密钥管理方法和系统。

背景技术

在公钥密码技术的应用中，通常采用基于证书的公钥基础设施(Public KeyInfrastructure，PKI)，通过证书权威机构(Certification Authority，CA)颁发证书的形式来建立用户身份与其所拥有的公钥之间的联系，CA的数字签名可保证用户公钥的真实性。然而证书的管理过程需要消耗大量的系统资源和网络资源，在对用户进行认证和对签名进行验证时过分依赖CA中心的支持。2003年，Al-Riyami等人首次提出了一种无证书公钥密码体制(Certificateless Public key Cryptography，简称CLPKC)，在该体制中，用户的密钥由密钥生成中心和用户自己分别独立生成，用户对私钥具有完全控制权；用户公钥可通过用户标识和用户部分公钥计算得出，不需要使用公钥证书；减少了传统PKI中的证书管理问题，提高了系统的运行效率，减少了系统的复杂性；在用于身份认证、数字签名和密钥协商时，可以脱离密钥生成中心独立进行。由于无证书公钥密码体制不使用证书，占用资源少，计算效率高，适合于具有海量用户的超大规模系统应用，适合于低功耗设备使用。但是，由于无证书公钥密码体制是一种全新的公钥密码技术，需要一种可行的密钥生成算法、密钥管理方法和密钥管理系统来实现无证书公钥密码体制，发挥无证书公钥密码体制的优势。本发明基于椭圆曲线离散对数计算难题(ECDLP)创设了一种可实现无双线性对运算的无证书公钥密码体制和相应的无证书密钥管理系统。

发明内容

本发明公开了一种基于椭圆曲线离散对数难题的无证书公钥密码体制、无证书密钥管理方法和密钥管理系统，其作用是为用户生成无证书公私钥对，签发用户公钥的证明(称为用户公钥标识)。

本发明公开了一套规范化的密钥管理方法和系统，实现系统建立、用户密钥生成、用户密钥撤销、用户公钥标识下载、用户公钥状态查询等功能，对用户密钥进行有效管理，为无证书公钥密码应用提供强有力支持。

一、系统结构

本发明所述无证书密钥管理系统，包括密钥生成子系统(Key GenerationSystem，简称KGS)、密钥注册子系统(Key Registe System，简称KRS)、密钥目录服务子系统(Key Directory System，简称KDS)和用户实体。

1.密钥生成子系统(KGS)

本发明所述密钥生成子系统(KGS)负责生成和保存系统主密钥，发布系统参数，负责为用户实体生成部分私钥，签发用户公钥标识。负责面向密钥注册子系统(KRS)提供密钥生成、密钥挂失、密钥注销和密钥恢复等服务。并对生成的密钥进行归档管理，将用户公钥标识和用户公钥状态发布到密钥目录服务子系统(KDS)。一个KGS下可以有多个KRS和多个KDS。

2.密钥注册子系统(KRS)

本发明所述密钥注册子系统(KRS)负责为用户实体提供用户注册、密钥生成、密钥挂失、密钥注销等服务。