本發明涉及一種基于標識的組合密鑰跨域認證方法，包括以下步驟：IKI系統生成矩陣標識MID；跨域用戶認證；橋IKI認證：在各個IKI系統之外建立一個IKI系統，稱為橋IKI，各個IKI系統與橋IKI分別相互簽發矩陣標識，各系統用戶擁有自己的用戶標識以及自己所屬系統與橋IKI相互簽發的矩陣標識，跨域用戶相互認證時，交換用戶標識、兩個矩陣標識；對等IKI認證：設有n個IKI系統，每個系統都給其余n?1個系統簽發矩陣標識,跨域用戶相互認證時，交換用戶標識。本發明的有益效果：解決了多個IKI系統的用戶認證問題，使得在不增加用戶經濟和時間負擔的情況下，拓展了認證范圍，實現了跨域可信認證。

技術領域

本發明涉及信息安全標識密鑰領域，具體來說，涉及一種基于標識的組合密鑰跨域認證方法。

背景技術

公鑰基礎設施PKI（Public Key Infrastructure）是提供公鑰加密和數字簽名服務的系統，它用CA簽名的證書來證明密鑰和用戶的對應關系，同時對密鑰和證書進行管理。PKI采用了層次CA和交叉CA來擴充密鑰管理和解決跨域認證。這是一種管理為主導的策略，導致了機構膨脹和信任關系的退化。

1984年密碼學家Shamir提出基于身份的公鑰密碼體制(Identity-Based PublicKey Cryptography,簡稱ID-PKC)。在基于身份的密碼系統中，用戶的公鑰可由實體身份和公開主密鑰計算得到；其對應的私鑰由可信第三方密鑰生成中心KGC(Key GenerationCenter)根據用戶的實體身份和保密主私鑰生成，并安全地傳送給用戶。這樣生成的私鑰由于托管性，原則上只能加密，不能抗抵賴簽名。

2003年密碼學家S.S.Al-Riyami和K.G.Paterson提出無證書公鑰密碼系統。在無證書的公鑰密碼系統中，KGC根據用戶的實體身份和保密主私鑰生成部分私鑰。用戶在安全地收到自己的部分私鑰后，自己生成一個隨機秘密值合成自己完整的私鑰，公鑰由自己的秘密值、身份和系統參數計算得出，并以可靠的方式公布。在無證書密碼體制，KGC無法得知任何用戶的私鑰，有效克服了基于身份系統中的私鑰托管問題。但是這種方案在加解密的司法取證方面遇到了困難；同時必須有效解決跨域認證問題。

我國學者唐文、南相浩、陳鐘2003年提出基于橢圓曲線密鑰系統的組合公鑰技術，其核心思想是：構造隨機整數矩陣作為私鑰種子矩陣；對應地計算出公鑰種子矩陣；用映射算法完成用戶標識與矩陣行列指標的對應；分別用大整數加法和ECC點加計算出私鑰和公鑰。組合公鑰技術試圖解決兩個問題：一則利用較小的種子密鑰矩陣獲得很大的個體公私鑰對的空間，二則建立身份標識符與公私鑰對之間的一一對應關系。這種方案必須從管理和技術上規避組合技術的碰撞、克服其線性泄露等天生缺陷，才能有效使用。