认证系统及用户标识证书发放方法

技术领域

本发明涉及安全认证技术领域，更具体的说，本发明涉及一种认证系统 及用户标识证书发放方法。

背景技术

随着网络及信息化应用不断发展，安全问题成为网络及信息化工作中的 重点，保证交易安全的认证技术是信息技术的主要领域之一，业界急需实现 安全认证和建立信任的网络体系，以便为网络交易提供鉴别性证明、负责性 证明、数字签名等服务，另一方面，经过十多年的发展，目前世界上流行有 两种认证系统：一是基于公共密钥基础设施(PKI)技术实现的认证系统；二 是基于标识(IBE)算法实现的认证系统。

其中PKI体制的认证系统利用公钥密码理论和技术建立起来，并提供网络 信息安全服务的普适型基础设施，它提出了一个新概念——用完全公开的技 术在开放的环境下达到安全的目的，实现了不依赖秘密通道的密钥分发。

参考图1，一个完整的PKI认证系统可包括认证中心(CA，Certification Authority)，数据证书库、密钥备份及恢复系统、证书作废处理系统和客户端 证书处理系统等部分。一般来说，PKI体制的认证系统分为树状结构和网状结 构：

1.树状结构

该种认证模型又称为分层结构是一个倒状的树型结构，如图2所示，树根 是信任的起点，即大家都信任的根CA，由上向下各树枝部位有一个CA，叶子 节点是各用户，如图所示，根CA为它的直接后代节点发放证书；中间节点CA 为它的直接后代节点CA发放证书；中间节点CA都可以为最终用户发放证 书，但为最终用户发放证书的CA不能有下一级CA。

模型的所有节点(下级CA和用户)都信任根CA，且保存一份根CA地 公钥证书。任何两个用户之间进行通信时，为验证对方的公钥证书，都必须通 过根CA才能实现。

2.网状结构

网状认证模型又称作信任列表的认证模型，如图3所示。网状认证模型是 从互联网的概念发展而来的。在该模型中，预先为用户装入许多CA中心的 公钥(将这些公钥存储在本地统一管理)，用户在开始时都信任这些公钥。 每一个预装入的公钥都代表一个根CA，相当于一个用户处于多个认证域中。

但上述无论是采用树状结构或网状结构，PKI的安全性都是依赖于CA的 可信任性与安全性。例如，在树状结构的认证模型中，根CA是所有用户的 信任中心，一旦根CA出现信任危机，则整个PKI体系出现信任危机，因 而在无序的互联网环境中很不实用；而且过分地依赖动态在线式访问，最终 只能归结为对信任链的在线访问的真实性，如果网络不安全，PKI也难以提供 安全服务，尤其是它的密钥集中存放、动态管理机制，使CA中心容易成为攻 击目标，对系统安全极为不利，实际上增加了安全隐患，另外，在PKI认证系 统中，用户的身份和用户公钥是与用户的公钥证书绑定的，而用户的公钥证 书的合法性必须由CA中心的公钥证明，所以PKI认证系统必须在线提供所有 用户的公钥证书和CA认证中心的公钥证书，这样，每个CA中心能维护的用户 数量受到很大限制。

而IBE算法直接以用户的身份信息作为公钥，用于加解密和签名验证，而 避免复杂的身份认证和庞大的公钥管理问题，IBE也有类似的一个可信第三 方，称为PKG(Private Key Generator)，负责生成全局系统参数 {G1，G2，e，n，P，Ppub，H1，H2，H3}。这里，G1、G2是两个素数阶且阶同为q， e：G1XG1→G2是双线性映射，P∈G1是生成元，s∈zp *，pkPKG＝sP，H1、H2、H3 都是Hash函数，H1：{0，1}*→G1 *，H2：{0，1}n，H3：{0，1}*XG1 *→zq *，s为系统主密钥， 公钥为pkPKG，对任意用户ID∈{0，1}*，设QID＝H1(ID)，则该ID信息所对应私钥 skID＝sQID，例如，一种具体的IBE算法如下：IBE的加密算法IBE如下：

假设Alice要给Bob发送加密消息M，Alice先计算QID如上，然后任选r∈zq *， 按照C＝＝完成加密，然后发送C给Bob，解密只 需简单计算VH2(e(skID，U))＝M。

但基于标识(IBE)算法的认证系统的算法规模是百万级的。需要较大的 存储资源的支持，不能放在手机等设备芯片上。其在线数据库影响了认证体 制，需要建立一个安全、宽带、高速的网络。尤其难于在多代理、标签等体 系中支持识别任务，认证体系的管理和监管较复杂，成本较高。

发明内容

本发明解决的技术问题是提供一种认证系统及用户标识证书发放方法， 以实现无需第三方认证，成本较低，且可实现规模化密钥生产，对系统资源 和规模要求较小。

为解决上述问题，本发明的认证系统，包括：

用户终端实体，用于以用户标识信息发起申请用户标识证书；

密钥生成基生成子系统，生成用于用户密钥计算的包括公钥生成基和私 钥生成基的用户密钥生成基；

证书管理子系统，用于响应所述用户终端实体的申请，以用户标识、所 述用户密钥生成基及用户标识组合算法生成用户公开密钥以及用户私有密 钥，签发包含所述用户公开密钥和用户私有密钥信息的用户标识证书并将所 述用户标识证书发放给申请的用户终端实体。

其中，所述密钥生成基子系统可包括：

根密钥生成基子系统，用于按照椭圆曲线密码算法生成m×h对椭圆曲线 密钥以形成包括根公钥生成基和根私钥生成基的一对根密钥生成基，其中m， h是正整数；

作用域密钥生成基子系统，用于根据所述根密钥生成基对生成作用域密 钥生成基对，其中作用域公钥生成基为根公钥生成基和一个按照椭圆曲线算 法生成的作用域派生公钥组成；作用域私钥生成基由根私钥生成基和一个按 照椭圆曲线密码算法生成的作用域派生私钥组成。

其中，所述证书管理子系统可包括：

密钥管理子系统，用于以所述用户标识、所述用户密钥生成基及用户标 识组合算法生成用户公开密钥以及用户私有密钥，签发包含所述用户公开密 钥和用户私有密钥信息的用户标识证书；

注册管理子系统，用于审核发起申请的用户终端实体的真实性和合法性， 并在审核通过后代理用户终端实体向密钥管理子系统申请用户标识证书及将 密钥管理子系统签发的用户标识证书发送给申请的用户终端实体。

其中，所述密钥管理子系统可包括：

获取单元，用于获取用户标识及用户密钥生成基；

映射单元，用于将所述用户标识按照下述组合算法映射成一组映射值：

Map(UID)＝{M1，M2，M3……Mm}

其中UID为用户标识值，Map为由不同UID得到的映射值不同，而对同 一UID得到的映射值总相同的组合算法，{M1，M2，M3……Mm}为映射值， Mi为0～h之间的整数；

密钥生成单元，用于以所述用户标识映射的该组映射值{M1，M2， M3……Mm}为依据，从公钥生成基/私钥生成基中的密钥矩阵里选择对应部 分元素再加上作用域派生公钥/私钥，组合得到该用户标识对应的密钥对。

其中，所述的密钥管理子系统中所述用户密钥生成基以ASN.1规范格式 存储。

相应地，本发明的一种证书发放方法，该方法包括：

A、密钥生成基生成子系统生成用于用户密钥计算的包括公钥生成基和私 钥生成基的用户密钥生成基并发送给证书管理子系统；

B、用户终端实体以用户标识信息发起申请用户标识证书；

C、证书管理子系统响应所述用户终端实体申请，以用户标识、所述用户 密钥生成基及用户标识组合算法生成用户公开密钥以及用户私有密钥，签发 包含所述用户公开密钥和用户私有密钥信息的用户标识证书并将所述用户标 识证书发放给申请的用户终端实体。

其中，步骤A具体包括：

A1、按照椭圆曲线密码算法生成m×h对椭圆曲线密钥以形成包括根公 钥生成基和根私钥生成基的一对根密钥生成基，其中m，h是正整数；

A2、作用域密钥生成基子系统，用于根据所述根密钥生成基对生成作用 域密钥生成基对，其中作用域公钥生成基为根公钥生成基和一个按照椭圆曲 线算法生成的作用域派生公钥组成；作用域私钥生成基由根私钥生成基和一 个按照椭圆曲线密码算法生成的作用域派生私钥组成。

其中，步骤C具体包括：

C1、注册管理子系统审核发起申请的用户终端实体的真实性和合法性， 并在审核通过后代理用户终端实体的用户标识证书申请；

C2、密钥管理子系统以用户标识、用户密钥生成基及用户标识组合算法 生成用户公开密钥以及用户私有密钥，签发包含所述用户公开密钥和用户私 有密钥信息的用户标识证书；

C3、注册管理子系统将密钥管理子系统签发的用户标识证书发送给申请 的用户终端实体。

其中，步骤C2具体包括：

获取用户标识及用户密钥生成基；

将所述用户标识按照下述组合算法映射成一组映射值：

Map(UID)＝{M1，M2，M3……Mm}

其中UID为用户标识值，Map为由不同UID得到的映射值不同，而对同 一UID得到的映射值总相同的组合算法，{M1，M2，M3……Mm}为映射值， Mi为0～h之间的整数；

以所述用户标识映射的该组映射值{M1，M2，M3……Mm}为依据， 从公钥生成基/私钥生成基中的密钥矩阵里选择对应的部分元素再加上作用域 派生公钥/私钥，组合得到该用户标识对应的用户密钥对；

签发包含用户公钥和用户私钥的用户密钥对的用户标识证书。

其中，所述的密钥管理子系统中所述用户密钥生成基以ASN.1规范格式 存储。

与现有技术相比，本发明具有以下有益效果：

首先，与传统的公钥认证技术(如PKI)相比，本发明中由于公钥生成基 可以分布在互联网的任何地方，且签发新证书时不需要更新证书库，任何人 都可以根据公钥生成基来验证证书的有效性；而且由于不需要第三方的支持， 本发明无需建立安全、高速的专用网就可以在不安全的网络环境中实现安全 的认证，也免除了维护在线密钥生成基带来的各种安全威胁；同时由于认证 是在本地进行的，用户之间可以直接进行验证交易，也不用支付高额的在线 认证费用，大大减低了安全认证的成本；

其次，本发明通过组合算法可以将用户标识映射成一组映射值，即通过 组合映射算法，少量的作用域生成基就可以通过组合得到几乎无限数量的用 户密钥对，从而可以少量用户密钥生成基生产大规模的实体密钥，实现规模 化的密钥生产。

再次，本发明的优选实施例中系统可使用椭圆曲线算法机制产生密钥生 成基，从而具有较高的安全性，并且在生成密钥生成基时，还可派生使用不 同的作用域密钥生成基，而所有的作用域密钥生成基由统一的根密钥生成基 派生而来，系统可以为同一用户标识生成不同派生的密钥，从而实现多作用 域应用。

附图说明

图1是现有技术基于PKI的认证系统结构示意图；

图2是现有技术基于PKI认证的树状结构示意图；

图3是现有技术基于PKI认证的网状结构示意图；

图4是本发明认证系统的具体实施例结构示意图。

具体实施方式

首先对本发明中涉及名词定义及说明：

密钥生成基：主要包括公钥生成基和私钥生成基。

公钥生成基：主要包括根公钥生成基和作用域公钥生成基。

私钥生成基：主要包括根私钥生成基和作用域私钥生成基。

根密钥生成基：主要包括根公钥生成基和根私钥生成基。

作用域密钥生成基：主要包括作用域公钥生成基和作用域私钥生成基。

本发明中可基于椭圆曲线算法，构造统一的密钥生成参数，再以用户标 识为输入参数，通过组合算法从密钥生成参数得到大规模的用户密钥。密钥 生成参数由具有对应关系的公钥生成基和私钥生成基组成。用户公钥的生成 参数可为用户标识、公钥生成基和组合算法；用户私钥的生成参数可为用户 标识、私钥生成基和组合算法，其中私钥生成基为保密数据，公钥生成基和 组合算法为公开参数。系统可通过组合算法映射结合少量密钥生成基生产大 规模的用户密钥，实现规模化的密钥生产，通过公开用户公钥生成参数以及 将用户标识与密钥生成过程结合，实现了基于标识的直接认证机制，另外， 本发明中可使用椭圆曲线算法机制构造统一的密钥生成参数，具有较高的安 全性，下面详细说明。

参考图4，该图是本发明认证系统的具体实施例结构示意图。

如图示，本实施例中认证系统包括：用户终端实体1、密钥生成基生成子 系统2和证书管理子系统3，其中

用户终端实体1，本实施例中所述用户终端实体主要是用于以用户标识信 息发起申请用户标识证书，具体实现时，主要是指使用认证系统安全认证功 能的用户、应用程序或设备；

密钥生成基子系统2，本实施例中所述密钥生成基子系统2主要用于生成 用于用户密钥计算的包括公钥生成基和私钥生成基的用户密钥生成基，本发 明中密钥生成基可分为根密钥生成基和作用域密钥生成基。每个作用域密钥 生成基不同，但所有作用域密钥生成基都可由同一个根密钥生成基派生得到。 密钥生成基生成子系统负责各密钥生成基的生成、备份、恢复和发放，具体 根据本发明的一个实施例，所述密钥生成基子系统2可包括：

根密钥生成基子系统21，所述根密钥生成基子系统21主要用于按照椭圆 曲线密码算法生成m×h对椭圆曲线密钥以形成包括根公钥生成基和根私钥 生成基的一对根密钥生成基，其中m，h是正整数；

上述本发明中的根密钥生成基是一对具有对应关系的椭圆曲线密钥矩 阵，下面以m×h的矩阵为例，介绍其生成过程：

1.1定义椭圆曲线参数。

1.2随机生成一个椭圆曲线私钥(即大整数)，并计算其应的公钥。

1.3对上一步生成的密钥对检查，合格则保留，不合格则不保留。

1.4重复1.2、1.3直到保留的密钥对达到m×h对。

1.5保留的所有密钥对中，m×h对私钥组成一个私钥矩阵，m×h个公钥 组成公钥矩阵，如下所示：

$\begin{array}{cc}\left(\begin{array}{cccc}{r}_{11}& r_{12}& ···& r_{1h}\\ r_{21}& r_{22}& ···& r_{2h}\\ ···& ···& ···& ···\\ r_{m1}& r_{m2}& ···& r_{\mathrm{mh}}\end{array}\right)& \end{array}\left(\begin{array}{cccc}{P}_{11}& P_{12}& ···& P_{1h}\\ P_{21}& P_{22}& ···& P_{2h}\\ ···& ···& ···& ···\\ P_{m1}& P_{m2}& ···& P_{\mathrm{mh}}\end{array}\right)$

        根私钥生成基        根公钥生成基

同一密钥对中的私钥和公钥放在两个矩阵中的同一位置，r11和P11为一对 密钥对，r12和P12为一对密钥对。

需要说明的，在上述过程中，要对生成的密钥对进行一定的检测，只有 符合规格的密钥对才会被采用。

作用域密钥生成基子系统22，所述作用域密钥生成基子系统22主要用于 根据所述根密钥生成基对生成作用域密钥生成基对，其中作用域公钥生成基 为根公钥生成基和一个按照椭圆曲线算法生成的作用域派生公钥组成；作用 域私钥生成基由根私钥生成基和一个按照椭圆曲线密码算法生成的作用域派 生私钥组成。

下面说明为某一作用域生成作用域密钥生成基的过程：

2.1已有一对根密钥生成基。

2.2获取根密钥生成基的椭圆曲线参数。

2.3在此参数下生成一对椭圆曲线派生密钥对(生成方法同1.2～1.3)， 这里称这对密钥对为作用域派生密钥对。

2.4生成的作用域派生私钥r’同根密钥生成基中的私钥矩阵组成作用 域私钥生成基；作用域派生公钥P’和根密钥生成基中的公钥矩阵组成作用域 公钥生成基，如下所示：

$\begin{array}{cc}\left(\begin{array}{cccc}{r}_{11}& r_{12}& ···& r_{1h}\\ r_{21}& r_{22}& ···& r_{2h}\\ ···& ···& ···& ···\\ r_{m1}& r_{m2}& ···& r_{\mathrm{mh}}\end{array}\right)+r^{\prime }& \end{array}\left(\begin{array}{cccc}{P}_{11}& P_{12}& ···& P_{1h}\\ P_{21}& P_{22}& ···& P_{2h}\\ ···& ···& ···& ···\\ P_{m1}& P_{m2}& ···& P_{\mathrm{mh}}\end{array}\right)+P^{\prime }$

       作用域私钥生成基        作用域公钥生成基

2.5作用域私钥生成基和公钥生成基就是本发明所说的作用域密钥生 成基。

需要说明的，因为2.2步中密钥对的生成具有随机性，为不同作用域生成 的作用域密钥对不同，所以不同的作用域具有不同的密钥生成基，故而可以 相互区别。

上述即假定私钥SK为任一整数r，那么对应的公钥PK为椭圆曲线E上 的一个点rG，用(xr，yr)标记。设密钥生成基规模为m×h，系统首先以给定的 椭圆曲密钥参数随机生成m×h个密钥对(rij，Pij)，由其中的所有公钥矢量Pij ＝(xij，yij)构成根公钥生成基，所有私钥矢量(rij)构成根私钥生成基。

作用域密钥生成基由根密钥生成基派生：采用同样的椭圆曲线密钥参数 随机生成派生密钥对(r′，P′)，私钥派生参数r′与根私钥矩阵组合得到作用域 私钥生成基，公钥派生参数P′与根公钥生成基组合得到作用域公钥生成基。

具体如下所示：

$\begin{array}{cc}\left(\begin{array}{cccc}{r}_{11}& r_{12}& ···& r_{1h}\\ r_{21}& r_{22}& ···& r_{2h}\\ ···& ···& ···& ···\\ r_{m1}& r_{m2}& ···& r_{\mathrm{mh}}\end{array}\right)& \end{array}\left(\begin{array}{cccc}{P}_{11}& P_{12}& ···& P_{1h}\\ P_{21}& P_{22}& ···& P_{2h}\\ ···& ···& ···& ···\\ P_{m1}& P_{m2}& ···& P_{\mathrm{mh}}\end{array}\right)$

根私钥生成基                    根公钥生成基

$\begin{array}{cc}\left(\begin{array}{cccc}{r}_{11}& r_{12}& ···& r_{1h}\\ r_{21}& r_{22}& ···& r_{2h}\\ ···& ···& ···& ···\\ r_{m1}& r_{m2}& ···& r_{\mathrm{mh}}\end{array}\right)+r^{\prime }& \end{array}\left(\begin{array}{cccc}{P}_{11}& P_{12}& ···& P_{1h}\\ P_{21}& P_{22}& ···& P_{2h}\\ ···& ···& ···& ···\\ P_{m1}& P_{m2}& ···& P_{\mathrm{mh}}\end{array}\right)+P^{\prime }$

作用域私钥生成基                作用域公钥生成基

另外，需要说明的，本发明中私钥生成基可采用ASN.1相关规范加密存 储，存储内容主要由私钥生成基参数和签名两部分组成。签名部分有两个签 名值，分别是管理中心和总体密钥的签名，签名对象主要是私钥生成基参数。 整个私钥生成基文件在口令保护下存储。签名部分可用来作为私钥生成基的 完整性证明根据，而口令保证了私钥生成基的机密性。

而公钥生成基与私钥生成基可采用相同的存储格式，同样用签名来保证 公钥生成基的完整性。但公钥生成基文件不需用口令加密，以便所有用户终 端实体可以直接读取公钥生成基，详细规范如下：

1.公钥生成基存储格式规范

公钥生成基采用ASN.1相关规范，定义如下(前面是存储的字段，后面 指存储的ASN.1类型)：

密钥管理机构标识名：OctetString

生成日期：UTCTime

有效期：UTCTime

密钥矩阵行数KeyMatrixRow：BigInteger

密钥矩阵列数KeyMatrixColumn：BigInteger

Q(椭圆曲线中的大素数)：BigInteger

A(椭圆曲线中的参数a)：BigInteger

B(椭圆曲线中的参数b)：BigInteger

N(椭圆曲线中的参数N)：BigInteger

H(椭圆曲线中的参数H)：BigInteger

G点，G_x：BigInteger

G点，G_y：BigInteger

公钥(0，0)_x：BigInteger

公钥(0，0)_y：BigInteger

公钥(0，1)_x：BigInteger

公钥(0，1)_y：BigInteger

……

公钥(i，j)_x：BigInteger

公钥(i，j)_y：BigInteger

公钥(i，j+1)_x：BigInteger

公钥(i，j+1)_y：BigInteger

……

公钥(KeyMatrixRow，KeyMatrixColumn)_x：BigInteger

公钥(KeyMatrixRow，KeyMatrixColumn)_y：BigInteger

公钥派生参数_α：BigInteger

公钥派生参数_β：BigInteger

基本文件长度：BigInteger

密钥管理机构的签名：OctetString

所有密钥相加后对上述数据的签名：OctetString

2.私钥生成基存储格式

私钥生成基采用ASN.1相关规范，定义如下(前面是存储的字段，后面 指存储的ASN.1类型)：

密钥管理机构标识名：OctetString

生成日期：UTCTime

有效期：UTCTime

密钥矩阵行数KeyMatrixRow：BigInteger

密钥矩阵列数KeyMatrixColumn：BigInteger

Q(椭圆曲线中的大素数)：BigInteger

A(椭圆曲线中的参数a)：BigInteger

B(椭圆曲线中的参数b)：BigInteger

N(椭圆曲线中的参数N)：BigInteger

H(椭圆曲线中的参数H)：BigInteger

G点，G_x：BigInteger

G点，G_y：BigInteger

私钥(0，0)：BigInteger

私钥(0，1)：BigInteger

……

私钥(i，j)：BigInteger

私钥(i，j+1)：BigInteger

……

私钥(KeyMatrixRow，KeyMatrixColumn)：BigInteger

私钥派生参数_γ：BigInteger

基本文件长度：BigInteger

密钥管理机构的签名：OctetString

所有密钥相加后对上述数据的签名：OctetString

证书管理子系统3，本实施例中证书管理子系统3主要用于响应用户终端 实体1的申请，以所述用户标识、所述用户密钥生成基及用户标识组合算法 生成用户公开密钥以及用户私有密钥，签发包含所述用户公开密钥和用户私 有密钥信息的用户标识证书并将所述用户标识证书发放给申请的用户终端实 体，具体实现时，根据本发明的一个具体实施例，所述证书管理子系统31可 包括：密钥管理子系统31和注册管理子系统32，其中

密钥管理子系统31，所述密钥管理子系统31主要用于以所述用户标识、 所述用户密钥生成基及用户标识组合算法生成用户公开密钥以及用户私有密 钥，签发包含所述用户公开密钥和用户私有密钥信息的用户标识证书，具体 实现时，密钥管理子系统负责初始化系统的公/私钥生成基，发布公钥生成基， 接受注册管理子系统的申请，产生指定用户终端实体(名)的密钥对，签发 用户标识证书，并将其返回给注册管理子系统32；

另外，密钥管理子系统根据用户标识信息以及密钥生成基文件自动生成 用户公钥及用户私钥，形成能为系统识别的用户标识证书，下面详细介绍密 钥管理子系统中用户密钥的生成原理。

设作用域密钥生成基为：

$\begin{array}{cc}\left(\begin{array}{cccc}{r}_{11}& r_{12}& ···& r_{1h}\\ r_{21}& r_{22}& ···& r_{2h}\\ ···& ···& ···& ···\\ r_{m1}& r_{m2}& ···& r_{\mathrm{mh}}\end{array}\right)+{r_1}^{\prime }& \end{array}\left(\begin{array}{cccc}{P}_{11}& P_{12}& ···& P_{1h}\\ P_{21}& P_{22}& ···& P_{2h}\\ ···& ···& ···& ···\\ P_{m1}& P_{m2}& ···& P_{\mathrm{mh}}\end{array}\right)+{P_1}^{\prime }$

密钥管理子系统保存有作用域密钥生成基。子系统接收到用户申请后， 对用户的标识UID进行映射处理得到一组映射值。

Map(UID)＝{M1，M2，M3……Mm}

Map为组合算法，{M1，M2，M3……Mm}为UID经组合算法得到的 映射值，Mi为0～h之间的整数，其中所述组合算法保证由不同UID得到的 映射值不同，而且对同一UID得到的映射值总相同。

以UID特有的映射值{M1，M2，M3……Mm}为依据，从密钥生成基 中的密钥矩阵里选择部分元素再加上作用域派生公钥/私钥，组合得到用户标 识UID对应的密钥对。例如，设uid1的映射值为{20，2，15，……6}，则 该标识的密钥对为：

公钥：PK＝P1，20+P2，2+P3，15+…+Pm，6+P1′

私钥：CK＝r1，20+r2，2+r3，15+…+rm，20+r1′

则(PK，CK)即为用户uid1的作用域密钥对。由此过程可以看到，通过组 合算法，少量的作用域生成基就可以得到几乎无限数量的用户密钥对。

下面具体说明，一个具体例子如下：

假设：在互联网上的用户地址为cisi@china-isi，认证系统使用的密 钥生成基的矩阵大小为(32×32)；

第一步，根据给定网类，确定所用密钥；比如邮件地址类、作用域为大 网，设：私钥派生参数为α；公钥派生参数为A；

第二步，使用SHA-1散列算法计算用户地址的散列值，长度为160位。将 散列值分为32段，每段为5位，作为列映射值map[i]，(i＝0…31)。

第三步，计算密钥：

私钥计算公式为：

$\mathrm{SK}=(\underset{i=0}{\overset{31}{\Sigma }}{r}_{i,\mathrm{map}\left[i\right]}+\alpha )\mathrm{mod}n$

公钥计算公式为：

$\mathrm{PK}=(\underset{i=0}{\overset{31}{\Sigma }}{X}_{i,\mathrm{map}\left[i\right]}+A)\mathrm{mod}n$

至此，形成了一个将邮件地址作用户标识的公钥和私钥对应关系。其中 私钥生成基是保密的；而公钥生成基是公开的，因此只要知道对方的邮件地 址都可以计算对方的公钥。

密钥管理子系统31还负责作用域公钥生成基的发放。密钥管理子系统可 通过任何快捷方便的途径将公钥生成基文件发布给系统的终端实体，公钥生 成基的完整性由公钥生成基文件内部结构保证。

具体实现时，根据本发明的一个实施例，所述密钥管理子系统31可包括：

获取单元，用于获取用户标识及用户密钥生成基；

映射单元，用于将所述用户标识按照下述组合算法映射成一组映射值：

Map(UID)＝{M1，M2，M3……Mm}

其中Map为由不同UID得到的映射值不同，而对同一UID得到的映射值 总相同的组合算法，{M1，M2，M3……Mm}为映射值，Mi为0～h之间的 整数；

密钥生成单元，用于将所述用户标识映射的该组映射值{M1，M2， M3……Mm}为依据，从公钥生成基/私钥生成基中的密钥矩阵里选择对应部 分元素再加上作用域派生公钥/私钥，组合得到该用户标识对应的密钥对。

注册管理子系统32，所述注册管理子系统32主要用于审核发起申请的用 户终端实体的真实性和合法性，并在审核通过后代理用户终端实体向密钥管 理子系统申请用户标识证书及将密钥管理子系统签发的用户标识证书发送给 申请的用户终端实体，具体实现时，其主要实现管理、维护并发布统一的用 户标识空间，存储和发布作废的用户终端实体名称，以及包含用户注册功能、 标识注销、用户信息管理功能，其中

用户信息注册：注册和登记人名、身份证号、办理的签名类；并进行查 询，判断是否有重复。如有重复，则重新定义。注册机保留用户的曾用名(挂 失)和现用名；检查该用户是否第一次申请，如果是，则将各要素记录在案。

标识注销：对失效或不能再使用的用户标识进行注销，系统应维护已注 销的用户标识，注销后的用户标识不能重新注册使用。

用户信息管理：对用户的信息进行维护操作。

上述本发明中密钥生成基生成子系统生成用于用户密钥计算的包括公钥 生成基和私钥生成基的密钥生成基(例如根据椭圆曲线算法生成密钥生成 基)；然后将所述密钥生成基发送给证书管理子系统；而用户终端实体以用户 标识信息发起申请用户标识证书；证书管理子系统响应所述申请，以所述用 户标识、所述用户密钥生成基及用户标识组合算法生成用户公开密钥以及用 户私有密钥，签发包含所述用户公开密钥和用户私有密钥信息的用户标识证 书并将所述用户标识证书发放给申请的用户终端实体，上述生成密钥生成基 以及用户密钥的生成可参考前述说明，这里不再赘述。

需要说明的，本发明中用户终端实体可通过用户标识证书载体提供自己 的私钥；通过和公布的公钥生成参数和对方终端实体的用户标识获得其公钥。 由于公钥生成基文件和组合算法的规模很小，可以存储到实体持有的芯片上。 而且只要知道用户终端实体标识，应用实体便可以在离线状态下获得对方终 端实体的公钥，以实现直接验证和签名等相关的应用，而密钥管理中心也不 需要在线维护大量的实体公钥信息或证书信息。

另外，为了应用程序访问认证系统的方便，本认证系统向应用程序提供 认证的接口，提供认证系统身份鉴别、签名、解签、加密、解密等功能的调 用。这些接口按照国际通用的标准和规范进行设计，以实现与现有应用系统 的最大互操作性。

认证系统可通过驱动程序访问认证系统的硬件接口和标识证书载体，以 访问必要的证书信息。通过驱动程序层的设计，认证系统在设计时可以屏蔽 硬件访问的细节，而主要关心认证系统本身功能和访问证书信息的逻辑功能， 实现证书访问的平台无关性，提高程序设计的效率和降低开发的工作量，并 且增加了认证系统对于硬件平台环境和操作系统的适应性和灵活性。

综上，基于标识的公钥密码认证系统具有以下特性：

1.基于标识的公钥密码认证和密钥计算

在本认证系统中，用户可以在不同的交易环境中，只要能够保证标识的 唯一性就可以使用对应属性作为认证标识，包括邮件地址、电话号码、身份 证号码等。根据交易双方的用户标识就可以进行密钥的计算以及认证，这是 其它的公开密钥认证技术(如PKI)所无法实现的。

2.组合化特性

除此之外，本认证系统还有组合化的特点：所有用户的密钥对都是根据 较小的密钥生成基组合构造生成的，并且任何人都可以根据密钥生成基计算 另一个人的公钥，而54KB的公钥库(理论值是48KB)就可以有1048的用户 空间，这已经完全可以满足现在的应用需求了。因此，密钥生成基可以预置 在任何软件里，甚至芯片里。组合化技术使得本认证系统实现了规模化密钥 管理。

3.第三方独立性

与传统的公钥认证技术(如PKI)相比，本认证系统由于公钥生成基可以 分布在互联网的任何地方，且签发新证书时不需要更新证书库，任何人都可 以根据公钥生成基来验证证书的有效性。

由于不需要第三方的支持，本认证系统无需建立安全、高速的专用网就 可以在不安全的网络环境中实现安全的认证，也免除了维护在线密钥生成基 带来的各种安全威胁。同时由于认证是在本地进行的，用户之间可以直接进 行验证交易，也不用支付高额的在线认证费用，大大减低了安全认证的成本， 这是其他的认证系统所无法比拟的。

4.快速的公开密钥认证技术

另外，本发明还可以采用椭圆曲线密码技术，基于椭圆曲线离散对数问 题的难解性，也就是说要破解椭圆曲线密码就相当于求解椭圆曲线离散对数 问题。众所周知，椭圆曲线离散对数问题是三大数学难题之首，也是唯一可 能不能在亚指数级时间内求解的数学难题，因此椭圆曲线密码技术被认为是 现有的最安全的密码技术，即在相同的安全程度下，椭圆曲线密码算法可使 用的密钥长度是最短的。

本认证系统可以椭圆曲线密码技术为基础，可以实现数字签名、数据加 密，双向认证等，并可以使效率提高数百倍的量级，使得签名、认证更加的 快捷便利，可以有效地提高网络交易的效率。

5.实现了多种形态密钥存储载体

本发明认证系统可以将密钥存储于密钥生成基文件或加密锁中，实现了 多种形态密钥存储载体，满足用户的不同需要。

6.实现了静态密钥分发和证书管理

本发明认证系统的密钥分发采用静态方式，并实现了对不同域的用户证 书的授权和回收等证书管理功能。

7.本认证系统还提供了软硬件接口和构件，实现跨平台的应用和服务。

本发明认证系统提供了统一的证书访问接口、签名接口、认证接口、加 密和解密接口，为跨平台的应用以及系统功能的扩展提供了基础：

证书访问的统一接口：应用系统不需要了解标识证书的实现细节，仅
通过系统提供的接口就可以方便地访问本系统生成的标识证书，使用
户可以关注到证书信息的逻辑结构。

签名的统一接口：该接口屏蔽了签名的具体实现，只需给定用户私钥
就可以对需签名内容进行统一签名。

认证的统一接口：使用数字签名原理，提供数据认证规范。

加密和解密的统一接口：为了保证敏感数据在不安全的网络中实现安全 的传输，会话的两端可以协议对数据进行加解密传输。发送方和接受方根据 密钥交换协议产生会话密钥，发送方使用会话协议对密钥加密，只有使用接 收方的私钥才能对信息进行解密，由于双方的私钥是保密的，网络中的窃听 者无法窃取双方加密传输的信息，这样就保证了数据传输的安全性。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普 通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润 饰，这些改进和润饰也应视为本发明的保护范围。