[发明专利]一种基于标识的椭圆曲线密码系统

摘要

本发明涉及一种基于标识的椭圆曲线密码系统，所述系统包括伪公钥、伪数字证书、ECC密钥生成系统、伪数字证书签发系统、伪数字证书签发客户端、密码模块、密码应用程序。所述密码系统通过将对应一个身份标识的伪公钥与密码模块中对应同一身份标识的ECC公钥组和ECC私钥组相对应，从而将使用伪公钥的密码运算自动转化成使用对应ECC公钥组中相应公钥的运算；将使用伪公钥对应私钥的密码运算自动转化成使用对应ECC私钥组中对应私钥的运算；且在没有对应ECC公钥或私钥时，由密码模块自动获取对应的ECC公钥或私钥。本发明的系统具有IBC的部分特点，但密码算法比IBC简单，且易于得到客户端密码硬件的支持，并能减少密钥更新过程中用户的干预。

主权项

一种基于标识的椭圆曲线密码系统，所述密码系统包括如下组件或数据：伪公钥：一种公钥数据结构，存放的不是数据结构标识的或约定的公开密钥密码算法的公钥数据，而是身份标识信息及ECC系统参数信息；所述身份标识信息指身份标识字串本身或其散列值，所述ECC系统参数信息包括ECC密码运算所采用的椭圆曲线格式、域、系数以及基点的指示信息，即ECC系统参数的指示信息；一个所述伪公钥对应一个身份标识及其所有扩展身份标识；伪数字证书：一种X509格式的数字证书，数字证书上的证书持有者的公钥不是数字证书上所指示的公开密钥密码算法的公钥，而是证书持有者的身份标识所对应的伪公钥；一张伪数字证书及其伪公钥与证书持有者的身份标识及其所有扩展的身份标识相对应；所述伪数字证书的有效期长度及起始、终止时间的设定没有限定要求，只要超过伪数字证书所对应的身份标识的所有扩展身份标识所对应的ECC私钥或密钥对的使用期限即可；ECC密钥生成系统：通过计算得到一个扩展身份标识对应的ECC公钥、ECC私钥或ECC密钥对的系统；所述ECC密钥生成系统设置有随机生成的用于ECC私钥生成计算的种子数据；伪数字证书签发系统：生成并签发一个身份标识所对应的伪数字证书的系统；伪数字证书签发客户端：供用户使用，用于从伪数字证书签发系统获取用户身份标识所对应的伪数字证书的用户端软件程序；密码模块：提供密钥操作与密码运算功能的软件组件或软硬件组 合，所述密钥操作包括密钥生成、导入、导出和删除，所述密码运算包括加密和解密，签名和签名验证；所述密码模块通过密码接口对外提供密钥操作与密码运算功能的调用；密码应用程序：调用密码模块进行密钥操作，包括生成、导出、导入和删除，以及调用密码模块使用公钥或私钥进行加密或解密，签名验证或数字签名密码运算的软件程序；所述密码模块在存储介质中为用户或密码应用程序使用的每一个身份标识维护一个存放ECC公钥组的密钥对象，称为ECC公钥组密钥对象；所述ECC公钥组密钥对象的ECC公钥组中存放有一系列由同一个身份标识的扩展身份标识所生成的ECC公钥；一个所述ECC公钥组及其密钥对象与一个对应相同身份标识的伪公钥和伪数字证书相对应；所述ECC公钥组密钥对象作为一个密钥对象用一个密钥对象标识符标识；当所述密码模块在存储介质中创建一个伪公钥的密钥对象时，将所创建的伪公钥密钥对象关联到对应的具有相同身份标识的ECC公钥组的密钥对象；密码应用程序通过使用伪公钥的密钥对象使用伪公钥对应的ECC公钥组密钥对象的ECC公钥组中的ECC公钥进行密码运算，包括数据加密和签名验证；所述密码模块所创建的伪公钥的密钥对象称为伪公钥密钥对象；所述密码模块在存储介质中为用户或密码应用程序使用的每一个身份标识维护一个存放ECC私钥组或密钥对组的密钥对象，称为ECC私钥组或密钥对组密钥对象；所述ECC私钥组或密钥对组密钥对象的ECC私钥组或密钥对组中存放有一系列由同一个身份标识的一个扩展身份标识所生成的ECC私钥或公钥对；一个所述ECC私钥组或 密钥对组及其密钥对象与一个对应相同身份标识的伪公钥和伪数字证书相对应；一个所述ECC私钥组或密钥对组密钥对象作为一个密钥对象用一个密钥对象标识符标识，并通过密钥对象标识符被当作对应的伪公钥和伪数字证书的对应私钥或密钥对使用；所述ECC公钥组或ECC私钥组或密钥对组的密钥对象数据中，除了保存有每个扩展身份标识对应的ECC公钥或ECC私钥或密钥对外，还保存有对应的身份标识信息以及每个ECC公钥或ECC私钥或密钥对所对应的扩展身份标识信息；所述密钥对象指各种密钥包括公钥、私钥、密钥对以及对称密钥在密码模块中的数据存在形式；所述密钥对象包括存储在永久存储介质上的永久密钥对象和存储在临时存储介质上的临时密钥对象，并分别对应有永久密钥对象标识符和临时密钥对象标识符；所述密码模块和ECC密钥生成系统预定或配置有身份标识限定策略；密码模块处的身份标识限定策略规定或限定了在数据加密或数字签名时一个身份标识所对应的扩展身份标识，即规定或限定了在数据加密时所采用的ECC公钥所对应的扩展身份标识或在数字签名时所采用的ECC私钥所对应的扩展身份标识，也即在数据加密或数字签名时哪一个扩展身份标识所对应的ECC公钥或ECC私钥被采用；ECC密钥生成系统处的身份标识限定策略规定或限定了在生成一个扩展身份标识对应的ECC私钥时需要满足的必要条件；所述预定的身份标识限定策略指已编码在程序中的不能更改的身份标识限定策略；所述配置的身份标识限定策略指可修改、设定的身份标识限定策略；所述密码应用程序按使用公钥及其对应私钥或密钥对的方式使用伪公钥及其对应的私钥或密钥对，包括使用伪公钥及其对应私钥或 密钥对的密钥对象；所述密码应用程序按使用数字证书及其对应私钥或密钥对的方式使用伪数字证书及其对应私钥或密钥对，包括使用伪数字证书对应私钥或密钥对的密钥对象；若密码应用程序不使用数字证书而是直接使用公钥或私钥或密钥对进行数据加密和解密，签名和签名验证，则所述伪数字证书、伪数字证书签发系统以及伪数字证书签发客户端不再存在；若仅密码应用程序从所述伪数字证书签发系统获取伪数字证书，则所述伪数字证书签发客户端不再存在。