本发明专利技术《CFL集中管理模式实现方法》,属于信息安全技术领域,涉及密钥认证体制。本发明专利技术CFL集中管理模式实现方法由CFL证书生成中心的标识公私钥生成元集生成算法、CFL证书生成中心为用户证书标识签名中的标识随机数k生成算法、CFL证书生成中心为用户生成工作公私钥标识算法、CFL证书生成算法、CFL证书验证算法5个算法构成,并给出了这5个算法的具体实施方式。证明了CFL集中管理模式实现方法具有良好的信息安全性质。
【技术实现步骤摘要】
本专利技术属于信息安全
,涉及密钥认证体制。
技术介绍
在基于国家商用密码算法SM2、SM3以及SM4的CFL认证算法中,对用户的CFL证书进行CFL签名验证,其过程如下:设CFL签名验证所需要的标识私钥生成元集和标识公钥生成元集如下:标识私钥生成元集IDSKG(Identity Secret Key Generation):CFL证书生成中心为用户证书签名的主系统密钥为IDSKG={sk0,sk1,…,skL-1
【技术保护点】
一种CFL集中管理模式实现方法,其特征在于包括:CFL集中管理模式实现方法由下述五个算法构成:①CFL集中管理模式CFL证书生成中心的标识公私钥生成元集生成算法1)CFL证书生成中心利用随机数发生器随机生成标识私钥生成元集:IDSKG={sk0,sk1,…,skL‑1}其中元素要独立产生,通过随机性检测,且两两不同,并为CFL证书生成中心所独有。2)CFL证书生成中心基于标识私钥生成元集生成对应的标识公钥生成元集:IDPKG={pk0,pk1,…,pkL‑1},其中pki是公钥密码算法中私钥ski对应的公钥,i=0,…,L‑1;3)CFL证书生成中心公开发布标识公钥生成元集;②CFL集中管理模式CFL证书生成中心为用户证书标识签名中的标识随机数k生成算法1)CFL证书生成中心利用随机数发生器生成签名算法中的标识随机数生成元集为IDRG={r0,r1,…,rL‑1},其中元素独立产生,且两两不等,并通过随机性检测,并为CFL证书生成中心所独有;2)CFL证书生成中心根据用户的标识,产生签名算法中的标识随机数k的生成函数为:k=IDR=F(IDRG,S)=F(IDRG,θ(h))=F(IDRG,θ(H(ID)))=rS(0)⊙rS(1)⊙…⊙rS(t‑1);③CFL集中管理模式CFL证书生成中心为用户生成工作公私钥标识算法1)CFL证书生成中心基于用户标识,计算SM3(ID)=h;2)CFL证书生成中心将256比特h分成前后128比特,即h=h0||h1;3)CFL证书生成中心计算其中BK0,BK1为CFL证书生成中心关于SM4加解密的两组密钥;BK0,BK1由CFL证书生成中心的随机数发生器独立生成,且不相等,通过随机性检测,并为CFL证书生成中心所独有;4)CFL证书生成中心将作为用户U的工作私钥;将RAPK=RASK·P mod E作为用户U的工作公钥,其中E为SM2中的椭圆曲线,P为SM2的基点;④CFL集中管理模式CFL证书生成算法1)CFL证书生成中心先为各代理窗口和自己配发工作公私钥以及CFL证书;2)CFL证书生成中心根据每个Ukey的标识码IDUkey,根据算法3,计算RAPK1=RASK1·P mod E,称RAPK1,RASK1为每个Ukey的临时工作公私钥对;3)CFL证书生成中心利用SM2,以自己的工作私钥对IDUkey||RAPK1进行签名,得签名值为SIGN,其中签名中的随机数IDR由IDUkey||RAPK1经算法2生成,即k=IDR=F(IDRG,θ(H(IDUkey||RAPK1)));4)CFL证书生成中心将临时工作公私钥对RASK1,RAPK1、签名值SIGN写入Ukey,并配发给各代理窗口;5)用户到代理窗口通过身份证、身份检查领取写入临时工作公私钥对以及签名值SIGN的Ukey;6)用户利用自己的计算机,登录CFL证书生成中心,下载相关应用软件,对Ukey中的签名值,利用CFL证书生成中心的工作公钥进行验证,验证通过后,用户利用SM2,以自己 的临时工作私钥,将IDUkey||RAPK1进行签名,得签名值SIGN′,用户利用CFL证书生成中心的公钥将IDUkey||RAPK1加密生成密文用户将发给CFL证书生成中心;7)CFL证书生成中心利用自己的工作私钥,解密得用户的IDUkey||RAPK1,验证RAPK1由生成的正确性,以及验证SIGN′;8)上述验证通过后,用户填写自己的标识信息ID1;用户填写或采集自己的专有信息ID2,例如指纹信息、虹膜、口令,我们称HUFU1=ID2为用户CFL证书虎符1;用户利用SM2,以自己的临时工作私钥RASK1,对ID1||ID2进行签名,得签名SIGN″,并利用CFL证书生成中心的工作公钥对ID1||ID2进行加密生成密文并将发送给CFL证书生成中心;9)CFL证书生成中心解密得用户的ID1,ID2,并对签名SIGN″进行验证;验证通过后,计算θ(SM3(ID1||ID2)),利用算法2,生成为用户证书签名的随机数IDR1;CFL证书生成中心为用户添加发证时间、发证单位、证书序列号、证书有限期信息ID3,计算θ(SM3(ID1||ID2||ID3)),利用算法2,生成为用户证书签名的随机数IDR2;利用算法3,为用户生成工作公私钥RAPK2,RASK2,再计算IDSK=F(IDSKG,θ(SM3(ID1||ID2||ID3))),IDPK=F′(IDPKG,θ(SM3(ID1||ID2||ID3))),即生成为用户证书签名的标识公私钥对IDPK,IDSK;10)CFL证书生成中心利用SM2,随机数IDR1,以RASK2对ID1||ID2生成签名SIGN1;11)CFL证书生成中心利用SM2,随机数IDR2、以IDSK对ID1||ID2||ID3||...
【技术特征摘要】
1.一种CFL集中管理模式实现方法,其特征在于包括:CFL集中管理模式实现方法由下述五个算法构成:①CFL集中管理模式CFL证书生成中心...
【专利技术属性】
技术研发人员:范修斌,
申请(专利权)人:北京博文广成信息安全技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。