一种隐式证书分发方法及系统转让专利
申请号 : CN201910238497.3
文献号 : CN109978518B
文献日 : 2021-07-02
发明人 : 林齐平 , 郑丽娟
申请人 : 数据通信科学技术研究所 , 兴唐通信科技有限公司
摘要 :
本发明涉及一种隐式证书分发方法及系统,属于智能车联网、数字货币技术领域,实现可适应不同椭圆曲线的、应用更广泛的隐式证书分发,方法包括认证中心生成系统参数;根据用户和认证中心产生的临时公、私钥产生随机数r;根据随机数r、用户的临时公钥和生成元G计算用户在椭圆曲线上坐标Y;并根据包括用户在椭圆曲线上的坐标、认证中心的公钥、私钥、用户的身份在内的信息生成用户的认证结果s;将认证结果s和用户坐标Y发送给用户,用于用户产生新的用户公钥和私钥。本发明适用于普通的Weierstrass椭圆曲线方程,也可用于当前认可度多、使用广的Edwards曲线,随机性不只依赖于认证中心,还可抵抗小子群攻击。
权利要求 :
1.一种隐式证书分发方法,应用于认证中心,其特征在于,包括,生成椭圆曲线的生成元G以及认证中心的私钥kca、公钥QCA;
根据用户产生的临时公钥和认证中心产生的临时私钥产生随机数r;
根据随机数r、用户的临时公钥和生成元G计算用户在椭圆曲线上的坐标Y;
根据用户在椭圆曲线上的坐标、认证中心的公钥、私钥、以及用户的身份生成用户的认证结果s;
将认证结果s和用户坐标Y发送给用户,用于产生用户的新公钥和新私钥;
所述s=er+dkca(mod n),式中d=Yx,Yx表示取点Y的x坐标,或者d=H(Y),e=H(Y||QCA||IDA),IDA为用户的身份,n为椭圆曲线生成元G的阶;
c c
用户的新私钥为a′=2 (ea+s)(mod n),新公钥是Q′A=2 (eY+d·QCA),式中,a是用户临时私钥,为随机数,a∈[1,n‑1],c为椭圆曲线阶的2因子的幂次,c∈{1,2,3},对应于Twisted Edwards曲线;
其中,H(·)为hash函数,||为联接符号。
2.根据权利要求1所述的隐式证书分发方法,其特征在于,所述随机数r的生成方法为:接收用户根据用户临时私钥a生成的用户临时公钥aG;
选择随机数k∈[1,n‑1],作为认证中心临时私钥,计算认证中心临时公钥kG;
计算hk=H(aG||k)和r=H(hk)得到随机数r;式中H(·)为hash函数,||为联接符号。
3.根据权利要求2所述的隐式证书分发方法,其特征在于,根据公式Y=aG+rG计算用户在椭圆曲线上的坐标Y。
4.根据权利要求3所述的隐式证书分发方法,其特征在于,还包括参数c=0时对应于Weierstrass曲线。
5.一种使用权利要求1所述隐式证书分发方法的隐式证书分发系统,其特征在于,包括,
系统参数生成模块,用于生成椭圆曲线的生成元G以及认证中心的私钥kca、公钥QCA;
随机数生成模块,用于根据用户产生的临时公钥和认证中心产生的临时私钥产生随机数r;
用户坐标计算模块,用于根据随机数r、用户的临时公钥和生成元G计算用户在椭圆曲线上的坐标Y;
认证结果生成模块,用于根据用户在椭圆曲线上的坐标、认证中心的公钥、私钥、以及用户的身份生成用户的认证结果s;
发送模块,用于将认证结果s和用户坐标Y发送给用户,使用户产生的新公钥和新私钥。
说明书 :
一种隐式证书分发方法及系统
技术领域
[0001] 本发明涉及数字货币技术领域,尤其是一种隐式证书分发方法及系统。
背景技术
[0002] 可信中心(certification authority,CA)在安全公钥基础设施中作为中心角色扮演最顶层的可信根节点。可信中心通过颁发证书把用户的公钥和身份绑定在一起作为数
字证书。数字证书类似于现实生活中的身份证,是一段含有证书持有人身份信息并经过认
证中心签发的电子数据,能够为网络应用提供加密和数字签名等密码服务所必需的密钥和
证书管理体系。这些证书通常由用户的身份信息,用户的公钥再加上由可信中心产生的签
名组成。
字证书。数字证书类似于现实生活中的身份证,是一段含有证书持有人身份信息并经过认
证中心签发的电子数据,能够为网络应用提供加密和数字签名等密码服务所必需的密钥和
证书管理体系。这些证书通常由用户的身份信息,用户的公钥再加上由可信中心产生的签
名组成。
[0003] 在传统证书中,公钥和数字签名是不同的数据,而在隐式证书中,公钥和数字签名合二为一,在需要的时候可以从该数据生成公钥并且验证公钥。比较典型的隐式认证方案
是ECQV(Elliptic Curve Qu‑Vanstone),它的数学基础是椭圆曲线理论,适用于
Weierstrass椭圆曲线。ECQV的提出已经过去了二十年以上,到目前为止几乎没有什么变
动,它所基于的签名算法已经是二三十年前的标准了,不能适用于当前认可度多、使用广的
Twisted Edwards曲线。
是ECQV(Elliptic Curve Qu‑Vanstone),它的数学基础是椭圆曲线理论,适用于
Weierstrass椭圆曲线。ECQV的提出已经过去了二十年以上,到目前为止几乎没有什么变
动,它所基于的签名算法已经是二三十年前的标准了,不能适用于当前认可度多、使用广的
Twisted Edwards曲线。
发明内容
[0004] 鉴于上述的分析,本发明旨在提供一种隐式证书分发方法及系统,实现可适应不同椭圆曲线的、应用更广泛的隐式证书分发。
[0005] 本发明的目的主要是通过以下技术方案实现的:
[0006] 一方面,提供了一种隐式证书分发方法,应用于认证中心,包括,
[0007] 生成椭圆曲线的生成元G以及认证中心的私钥kca、公钥QCA;
[0008] 根据用户产生的临时公钥和认证中心产生的临时私钥产生随机数r;
[0009] 根据随机数r、用户的临时公钥和生成元G计算用户在椭圆曲线上的坐标Y;
[0010] 根据用户在椭圆曲线上的坐标、认证中心的公钥、私钥、用户的身份生成用户的认证结果s;
[0011] 将认证结果s和用户坐标Y发送给用户,用于产生用户的新公钥和新私钥。
[0012] 进一步地,所述随机数r的生成方法为:
[0013] 接收用户根据用户临时私钥a生成的用户临时公钥aG,a为随机数,a∈[1,n‑1],n为椭圆曲线生成元G的阶;
[0014] 选择随机数k∈[1,n‑1],作为认证中心临时私钥,计算认证中心临时公钥kG;
[0015] 计算hk=H(aG||k)和r=H(hk)得到随机数r;式中H(·)为hash函数,||为联接符号。
[0016] 进一步地,根据公式Y=aG+rG计算用户在椭圆曲线上的坐标Y。
[0017] 进一步地,所述认证结果s=er+dkca(mod n),式中,
[0018] d=Yx,Yx表示取点Y的x坐标;
[0019] e=H(Y||QCA||IDA),IDA为用户的身份。
[0020] 进一步地,所述认证结果s=er+dkca(mod n),式中,
[0021] d=H(Y);
[0022] e=H(Y||QCA||IDA),IDA为用户的身份。
[0023] 进一步地,用户的新私钥为a′=2c(ea+s)(mod n),新公钥是Q′A=2c(eY+d·QCA),c为椭圆曲线阶的2因子的幂次。
[0024] 进一步地,c∈{0,1,2,3}。
[0025] 进一步地,参数c=0时对应于Weierstrass曲线。
[0026] 进一步地,参数c={1,2,3}时对应于Twisted Edwards曲线。
[0027] 另一方面,提供了一种隐式证书分发系统,包括,
[0028] 系统参数生成模块,用于生成椭圆曲线的生成元G以及认证中心的私钥kca、公钥QCA;
[0029] 随机数生成模块,用于根据用户产生的临时公钥和认证中心产生的临时私钥产生随机数r;
[0030] 用户坐标计算模块,用于根据随机数r、用户的临时公钥和生成元G计算用户在椭圆曲线上的坐标Y;
[0031] 认证结果生成模块,用于根据用户在椭圆曲线上的坐标、认证中心的公钥、私钥、用户的身份生成用户的认证结果s;
[0032] 发送模块,用于将认证结果s和用户坐标Y发送给用户,使用户产生的新公钥和新私钥。
[0033] 本发明有益效果如下:
[0034] 1)适用于普通的Weierstrass椭圆曲线方程,也可用于当前认可度多、使用广的Edwards曲线;
[0035] 2)随机性不只依赖于认证中心,还可抵抗小子群攻击;
[0036] 3)在随机性方面,比ECQV随机性更灵活,可以避免因认证中心随机数产生出现故障或者有人为的陷门而导致整个方案的随机数有缺陷的问题;
[0037] 4)在随机预言模型和一般群模型假设下可以证明对被动敌手是安全的。
附图说明
[0038] 附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
[0039] 图1为本实施例中的隐式证书分发方法流程图。
[0040] 图2为本实施例中的隐式证书分发系统组成连接示意图。
具体实施方式
[0041] 下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理。
[0042] 原有的隐式证书ECQV颁发的过程如下:
[0043] 首先认证中心CA生成系统参数,包括安全椭圆曲线,椭圆曲线的生成元G。假设认证中心的私钥为kca,对应的公钥为QCA=kcaG。
[0044] 给用户A的隐式证书过程如下:
[0045] 1)用户A产生一个随机数a∈[1,n‑1],再计算aG,然后把aG传送给认证中心;
[0046] 2)认证中心选择随机数k∈[1,n‑1],并计算kG,其中n为椭圆曲线的阶;
[0047] 3)认证中心计算Y=aG+kG;
[0048] 4)认证中心计算e=H(Y||IDA),其中H(·)是一个hash函数,||为联接符号,IDA为用户A的身份;
[0049] 5)认证中心再计算s=ek+kca(mod n),最后把(s,Y)发给用户A。
[0050] 则用户A的新的私钥为a′=ea+s(modn),新的公钥是Q′A=eY+QCA。
[0051] 隐式认证有以下优势:
[0052] 1)隐式证书比传统公钥证书小,隐式证书在传输过程中就可以减少带宽,更适合非接触式智能卡等资源受限环境。
[0053] 2)隐式认证比传统认证计算量少。在隐式认证中没有对签名的认证过程,而且一些计算可以融入到随后的协议交互中,从而减少了计算,提高了效率。
[0054] 但由于,隐式证书ECQV提出已经过去了二十年以上,只适用于Weierstrass椭圆曲线,不能适用于当前认可度多、使用广的Twisted Edwards曲线。
[0055] 本发明实施例公开了一种隐式证书分发方法,实现可适应包括Weierstrass椭圆曲线以及Twisted Edwards曲线等不同椭圆曲线的、应用更广泛的隐式证书分发。
[0056] 具体的隐式证书分发方法,如图1所示,包括以下步骤:
[0057] 步骤S1、认证中心生成包括椭圆曲线、椭圆曲线的生成元G以及认证中心的私钥kca、公钥QCA=kcaG在内系统参数;
[0058] 步骤S2、认证中心根据用户产生的临时公钥和认证中心产生的临时私钥产生随机数r;
[0059] 具体的,随机数r的生成方法为:
[0060] 用户临时公钥、私钥:用户A产生一个随机数a∈[1,n‑1],作为用户临时私钥,生成用户临时公钥aG传送给认证中心;
[0061] n为椭圆曲线生成元G的阶;
[0062] 认证中心临时公钥、私钥:认证中心选择随机数k∈[1,n‑1],作为认证中心临时私钥,计算认证中心临时公钥kG;
[0063] 随机数r:认证中心计算hk=H(aG||k)和r=H(hk)得到随机数r;
[0064] 式中杂凑函数H(·)为hash函数,||为联接符号。
[0065] 本实施例生成的随机数r,不需要依赖单个机器的随机数发生器,随机数r由用户(拥有临时私钥a)和认证中心(拥有临时私钥k)共同产生,若有一方不诚实(也就是即使a和
k有一个不是随机选取的),产生不随机的整数也不影响r的随机性。
k有一个不是随机选取的),产生不随机的整数也不影响r的随机性。
[0066] 步骤S3、认证中心根据随机数r、用户的临时公钥和生成元G计算用户在椭圆曲线上的坐标点Y;
[0067] 具体的,认证中心根据公式Y=aG+rG计算用户在椭圆曲线上的坐标Y。
[0068] 步骤S4、认证中心根据包括用户在椭圆曲线上的坐标、认证中心的公钥、私钥、用户的身份在内的信息生成用户的认证结果s;
[0069] 具体的,认证结果s=er+dkca(mod n),式中,
[0070] d=Yx,Yx表示取点Y的x坐标;
[0071] e=H(Y||QCA||IDA),其中IDA为用户A的身份。
[0072] 在本实施例中,通过增加参数d,进一步增强了方案的可证明安全性;
[0073] 而且,当d=H(Y),即对坐标点Y取hash函数,同样可以取得与d=Yx同样的可证明安全性。
[0074] 步骤S5、认证中心将认证结果s和用户坐标Y发送给用户,用于用户产生新的用户公钥和私钥。
[0075] 具体的,用户的新私钥:a′=2c(ea+s)(modn);
[0076] 用户的新公钥是Q′A=2c(eY+d·QCA)。
[0077] 其中c为椭圆曲线阶的2因子的幂次,在工程应用中,一般c∈{0,1,2,3}。
[0078] 这时如果另外一个用户B需要与用户A进行通信,则B获取Y,IDA和认证中心的公钥QCA后就可以计算出用户A的公钥;而A用相同的方法可以计算出用户B的公钥。接着他们就可
以按照通常做法一样,用密钥协商方案得到一个公共的密钥。
以按照通常做法一样,用密钥协商方案得到一个公共的密钥。
[0079] 参数c=0时,对应于Weierstrass曲线;参数c={1,2,3}时,对应于Twisted Edwards曲线。通过采用不同的c来满足不同的椭圆曲线,适应性更广;并且在新的公私钥计
c
算公式上增加了因子2,还能避免小子群攻击。
c
算公式上增加了因子2,还能避免小子群攻击。
[0080] 对新的用户公钥和私钥进行正确性验证:
[0081] a′G=2c(ea+s)·G=2c(ea+er+dkca)·G
[0082] =2c(e(a+r)·G+dkca·G)=2c(eY+dQCA)=Q′A
[0083] 从新的用户私钥a′可得到新的用户公钥Q′A,因此,隐式认证新生成的公私钥对是正确的。
[0084] 与原有的隐式证书ECQV方案的比较如表1
[0085] 表1
[0086]
[0087] 比较结果:
[0088] 在计算效率方面,本方案比ECQV方案多计算了两个杂凑函数、两个整数相乘dkca和c
2 (ea+s)还有一个标量乘d·QCA。因为杂凑函数和整数相乘的计算速度很快,几乎可以忽
略,因此忽略计算速度很快的杂凑函数和整数相乘,本实施例的计算量比ECQV多了一个标
量乘计算。
2 (ea+s)还有一个标量乘d·QCA。因为杂凑函数和整数相乘的计算速度很快,几乎可以忽
略,因此忽略计算速度很快的杂凑函数和整数相乘,本实施例的计算量比ECQV多了一个标
量乘计算。
[0089] 在安全性和适用性方面,本实施例比ECQV适应性更广,可用于当前应用广泛的Edwards曲线;随机性更好,本实施例的随机性不只依赖于认证中心,并且安全性可证。
[0090] 在随机性方面,本实施例比ECQV随机性更灵活,可以避免因认证中心随机数产生出现故障或者有人为的陷门而导致整个方案的随机数有缺陷的问题。
[0091] 本实施例还公开了一种隐式证书分发系统,应用于认证中心,如图2所示,包括,
[0092] 系统参数生成模块,用于生成椭圆曲线的生成元G以及认证中心的私钥kca、公钥QCA;
[0093] 随机数生成模块,用于根据用户产生的临时公钥和认证中心产生的临时私钥产生随机数r;
[0094] 具体的,用户A产生一个随机数a∈[1,n‑1],作为用户临时私钥,生成用户临时公钥aG传送给认证中心的随机数生成模块;
[0095] 认证中心选择随机数k∈[1,n‑1],作为认证中心临时私钥,计算认证中心临时公钥kG;
[0096] 随机数生成模块根据公式hk=H(aG||k)和r=H(hk)得到随机数r;
[0097] 用户坐标计算模块,用于根据随机数r、用户的临时公钥和生成元G计算用户在椭圆曲线上的坐标Y;
[0098] 具体的,用户坐标计算模块根据公式Y=aG+rG计算用户在椭圆曲线上的坐标Y。
[0099] 认证结果生成模块,用于根据用户在椭圆曲线上的坐标、认证中心的公钥、私钥、用户的身份生成用户的认证结果s;
[0100] 具体的,认证结果生成模块根据公式s=er+dkca(mod n)计算认证结果;其中d=Yx,Yx表示取点Y的x坐标,或者d=H(Y);e=H(Y||QCA||IDA),其中IDA为用户A的身份。
[0101] 发送模块,用于将认证结果s和用户坐标Y发送给用户,使用户产生的新公钥和新私钥。
[0102] 具体的,用户根据公式a′=2c(ea+s)(modn)生成新私钥;根据公式Q′A=2c(eY+d·QCA)生成新公钥。
[0103] 本实施例系统,可用于当前应用广泛的Edwards曲线;随机性更好,本实施例的随机性不只依赖于认证中心,并且安全性可证。
[0104] 采用本系统进行认证分发,可以避免因认证中心随机数产生出现故障或者有人为的陷门而导致整个方案的随机数有缺陷的问题。
[0105] 另,本实施例公开的隐式证书分发方法及系统也可以应用于智能车联网。
[0106] 以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,
都应涵盖在本发明的保护范围之内。
都应涵盖在本发明的保护范围之内。