本發明實施例提供一種基于CPK的可多態配置的密鑰生成方法及裝置，屬于信息安全技術領域。所述方法包括：生成用戶標識對應的自選私鑰因子，并向密鑰生成中心發送密鑰申請消息，所述密鑰申請消息中包括所述用戶標識；接收所述密鑰生成中心返回的密鑰信息，所述密鑰信息中包括所述用戶標識對應的分發私鑰因子；利用所述自選私鑰因子與所述分發私鑰因子生成所述用戶標識對應的復合私鑰。本發明實施例適用于加解密與數字簽名過程。

技術領域

本發明涉及信息安全技術領域，具體地涉及一種基于CPK的可多態配置的密鑰生成方法及裝置。

背景技術

隨著信息化技術的發展，通過網絡進行信息交流和辦公已成為主要的工作方式，如何保障通信雙方的真實性鑒別及通信內容的安全已成為基本的安全需求。尤其是隨著物聯網的興起，物與物之間如何有效的進行真假鑒別，如何保障數據傳輸的機密性、真實性與完整性，以及數據源的真實性已成為制約物聯網發展的關鍵。而采用公鑰密碼技術，以數字簽名實現通信雙方的真假鑒別和數字信封技術實現密鑰的安全傳遞以建立安全通道是目前的主流安全方案，如何有效的管理物聯網中的海量公鑰是物聯網安全方案的重點。

傳統公鑰密碼體制中，例如采用RSA、DSA、ECC等算法的系統，公鑰的產生和用戶的標識沒有關系，需要由第三方CA(Certificate Authority，認證中心)發放證書，即對用戶的公鑰和標識進行簽名，將二者綁定，這個基于傳統公鑰密碼系統的以CA為中心的體系叫做公鑰基礎架構，即PKI(Public Key Infrastructure)。這種PKI-CA的密碼生產與管理體制，在進行安全業務過程時，需要CA中心提供證書查詢與認證支持，這種高度依賴中心的方案時延高，安全通信時的附加數據量大，在物聯網方面應用難以滿足需求。

標識密碼體制是一種新型的公鑰管理體制，密鑰通過標識計算生成，簡化了公鑰管理的復雜性，且可實現端對端的直接鑒別，無中心依賴，是物聯網理想的公鑰管理方案。組合公鑰(Combined Public Key，縮寫為CPK)體制是標識密碼體制的典型代表，將標識通過密碼算法實現了與密鑰的綁定，實現標識等效公鑰，所以可以通過標識的管理實現公鑰的管理，以公鑰的計算過程替代了公鑰的證明，使整個體系得以簡化和高效。

然而現有技術中的組合公鑰密鑰生成方法存在一些不足之處，例如：用戶不能參與私鑰生成問題，即CPK的私鑰都是由密鑰生成中心完全分發的，中心掌握所有用戶的私鑰，而按照數字簽名法的要求，簽名私鑰應由用戶生成或參與生成，確保用戶私鑰只有用戶自己知曉。

本發明實施例可以完全解決上述問題。

發明內容

本發明實施例的目的是提供一種基于CPK的可多態配置的密鑰生成方法及裝置，采用客戶端與密鑰生成中心協同方式完成密鑰的生成，提高了用戶密鑰的安全性、用戶對于私鑰的自主可控性。

為了實現上述目的，本發明實施例提供一種基于CPK的可多態配置的密鑰生成方法，所述方法應用于客戶端，包括：生成用戶標識對應的自選私鑰因子，并向密鑰生成中心發送密鑰申請消息，所述密鑰申請消息中包括所述用戶標識；接收所述密鑰生成中心返回的密鑰信息，所述密鑰信息中包括所述用戶標識對應的分發私鑰因子；利用所述自選私鑰因子與所述分發私鑰因子生成所述用戶標識對應的復合私鑰。

進一步地，所述方法還包括：利用所述密鑰生成中心公布的橢圓曲線基點與所述自選私鑰因子，得到所述用戶標識對應的自選公鑰因子，其中，所述密鑰申請消息中還包括所述自選公鑰因子。

進一步地，所述利用所述自選私鑰因子與所述分發私鑰因子生成所述用戶標識對應的復合私鑰包括：根據csk_Alice＝(usk_Alice+dsk_Alice)mod n，得到所述用戶Alice的標識對應的復合私鑰csk_Alice，其中，usk_Alice為所述用戶標識對應的所述自選私鑰因子，dsk_Alice為所述用戶標識對應的所述分發私鑰因子。