專利名稱：：一種獲取密鑰的方法、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通信領(lǐng)域，特別涉及一種獲取密鑰的方法、系統(tǒng)和設(shè)備。
背景技術(shù)：
：隨著Internet的迅速普及，基于Web的各種應(yīng)用得到極大的發(fā)展，遠(yuǎn)程接入增多，隨之而來的是各種安全問題的凸顯。Nescape公司為了解決瀏覽器訪問互聯(lián)網(wǎng)資源過程中出現(xiàn)的安全問題，提出了SSL(SecureSocketLayer,安全套接層)協(xié)議?；赟SL技術(shù)的VPN(VirtualPrivateNetwork,虛擬專用網(wǎng))是通過SSL來保證用戶遠(yuǎn)程接入網(wǎng)絡(luò)的安全性和可靠性，以達(dá)到像專用網(wǎng)絡(luò)一樣的數(shù)據(jù)的安全傳輸。目前，SSLVPN設(shè)備從過去單一的支持Web訪問安全保證，到現(xiàn)在針對(duì)各種應(yīng)用的安全支持，已經(jīng)發(fā)展成為不可或缺的安全產(chǎn)品之一。其中，SSL通信雙方使用相同的密鑰導(dǎo)出函數(shù)，以相同的預(yù)主密鑰(PreMasterSecret)和隨機(jī)數(shù)為參數(shù)，計(jì)算出通信過程中所有的密鑰。由于隨機(jī)數(shù)以明文傳輸，因此，預(yù)主密鑰的安全是SSL通信過程中最關(guān)鍵的因素。發(fā)明人在實(shí)現(xiàn)本發(fā)明時(shí)發(fā)現(xiàn)，現(xiàn)有的SSL的握手協(xié)議中的預(yù)主密鑰是由SSL通信雙方中的客戶端根據(jù)服務(wù)器的私鑰生成并發(fā)送的，生成的形式單一，限制了SSL協(xié)議使用范圍，不利于SSL協(xié)議的擴(kuò)展。
發(fā)明內(nèi)容為了實(shí)現(xiàn)通信雙方的安全通信握手，減少證書管理和維護(hù)的開銷，本發(fā)明實(shí)施例提供了獲取密鑰的方法、系統(tǒng)和設(shè)備。所述技術(shù)方案如下一方面，提供了一種獲取密鑰的方法，所述方法包括服務(wù)器確認(rèn)支持基于標(biāo)識(shí)加密的安全認(rèn)證IBE;獲取用于所述IBE的公開參數(shù)和私鑰；所述服務(wù)器接收IBE加密后的預(yù)主密鑰，根據(jù)所述公開參數(shù)和私鑰獲取所述預(yù)主密鑰的明文。一方面，提供了一種獲取密鑰的系統(tǒng)，所述系統(tǒng)包括客戶端和服務(wù)器；所述客戶端，用于和所述服務(wù)器進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商后，和所述服務(wù)器協(xié)商用于所述IBE的公開參數(shù)；并利用獲取的所述服務(wù)器標(biāo)識(shí)和所述協(xié)商獲取的公開參數(shù)，生成并發(fā)送所述IBE加密后的預(yù)主密鑰；所述服務(wù)器，用于和所述客戶端進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商后，和所述客戶端協(xié)商用于所述IBE的公開參數(shù)；并用于接收所述客戶端發(fā)送的所述IBE加密后的預(yù)主密鑰，利用獲取的私鑰進(jìn)行解密后獲取所述預(yù)主密鑰的明文。一方面，提供了一種客戶端，所述客戶端包括-IBE協(xié)商模塊，用于和服務(wù)器進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商；公開參數(shù)協(xié)商模塊，用于和所述服務(wù)器協(xié)商用于所述IBE的公開參數(shù)；服務(wù)器標(biāo)識(shí)獲取模塊，用于獲取所述服務(wù)器標(biāo)識(shí)；處理模塊，用于根據(jù)所述服務(wù)器標(biāo)識(shí)獲取模塊獲取的服務(wù)器標(biāo)識(shí)和所述公開參數(shù)協(xié)商模塊協(xié)商獲取的公開參數(shù)，生成并發(fā)送所述IBE加密后的預(yù)主密鑰。另一方面，提供了一種服務(wù)器，所述服務(wù)器包括IBE協(xié)商模塊，用于和客戶端進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商；公開參數(shù)協(xié)商模塊，用于和所述客戶端協(xié)商用于進(jìn)行IBE認(rèn)證的公開參數(shù)；私鑰獲取模塊，用于獲取私鑰，所述私鑰用于解密IBE加密的預(yù)主密鑰；處理模塊，用于接收所述客戶端發(fā)送的IBE加密后的預(yù)主密鑰，利用所述私鑰獲取模塊獲取的私鑰進(jìn)行解密后，獲取所述預(yù)主密鑰的明文。再一方面，提供了一種提供設(shè)備，所述提供設(shè)備用于提供公開參數(shù)，所述提供設(shè)備用于在服務(wù)器和客戶端在基于IBE的安全套接層SSL協(xié)議的協(xié)商認(rèn)證過程中，根據(jù)所述服務(wù)器和客戶端的協(xié)商結(jié)果提供用于IBE的公開參數(shù)，其中，所述公開參數(shù)用于所述客戶端根據(jù)所述公開參數(shù)和服務(wù)器標(biāo)識(shí)生成并發(fā)送IBE加密的預(yù)主密鑰；相應(yīng)地，所述服務(wù)器根據(jù)所述公開參數(shù)和獲取的私鑰，獲取所述IBE加密的預(yù)主密鑰的明文。本發(fā)明實(shí)施例提供的技術(shù)方案的有益效果是通過SSL服務(wù)器支持基于IBE的SSL握手協(xié)商，利用獲取的用于所述IBE的公開參數(shù)和私鑰，解密IBE加密后的預(yù)主密鑰，獲取到預(yù)主密鑰的明文，將IBE技術(shù)和SSL技術(shù)結(jié)合，簡(jiǎn)化了證書管理，節(jié)省了網(wǎng)絡(luò)應(yīng)用層的建設(shè)、管理CA的成本和維護(hù)一系列數(shù)字證書的開銷，實(shí)現(xiàn)了通信雙方的安全通信握手，并且，充分?jǐn)U展了現(xiàn)有的SSL協(xié)議的使用范圍，豐富現(xiàn)有了的SSL協(xié)議中預(yù)主密鑰的生成形式。圖1是本發(fā)明實(shí)施例1提供的獲取密鑰的方法流程圖2是本發(fā)明實(shí)施例1提供的獲取密鑰的信息交互示意圖3是本發(fā)明實(shí)施例1提供的獲取密鑰的一種通信場(chǎng)景示意圖4是本發(fā)明實(shí)施例1提供的實(shí)現(xiàn)獲取密鑰的SSLVPN的設(shè)備示意圖5是本發(fā)明實(shí)施例2提供的獲取密鑰的系統(tǒng)示意圖6是本發(fā)明實(shí)施例3提供的客戶端示意圖7是本發(fā)明實(shí)施例4提供的服務(wù)器示意圖。具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。本領(lǐng)域技術(shù)人員可以獲知，IBE(Identity-BasedEncryption,基于標(biāo)識(shí)的加密)技術(shù)最早是由Shamir于1984年提出，其初衷是簡(jiǎn)化電子郵件系統(tǒng)中的證書管理，能夠滿足任何一對(duì)用戶之間安全通信以及在不需要交換私鑰和公鑰的情況下驗(yàn)證每個(gè)人的簽名。IBE認(rèn)證體系是一種將用戶的公開標(biāo)識(shí)作為公鑰的加密方式，不需要通過證書綁定用戶的身份及其公鑰。其中，上述公開標(biāo)識(shí)具體可以為能夠代表用戶身份的任意公開的字符串信息，例如用戶的郵箱地址，IP地址，身份證號(hào)或手機(jī)號(hào)碼等。而對(duì)端用于解密的私鑰則由IBE認(rèn)證體系中的預(yù)設(shè)的PKG(PrivateKeyGenerator,私鑰生成器)發(fā)放的。IBE與基于PKI的傳統(tǒng)方案相比，由于取消了第三方認(rèn)證機(jī)構(gòu)(CA，CertificationAuthority)。因此在應(yīng)用層面節(jié)省了建設(shè)、管理CA的成本，省去了產(chǎn)生，更新，撤銷等一系列對(duì)數(shù)字證書的維護(hù)工作；在技術(shù)層面避免了交叉認(rèn)證中信任的起點(diǎn)和信任如何傳遞，以及當(dāng)用戶數(shù)量增多時(shí)CA負(fù)擔(dān)過重等難題，節(jié)省帶寬資源，存儲(chǔ)空間需求小。本發(fā)明實(shí)施例提供的獲取密鑰的方法，利用上述IBE技術(shù)的優(yōu)點(diǎn)，以將IBE技術(shù)與SSL技術(shù)結(jié)合為例，方法內(nèi)容如下SSLVPN系統(tǒng)中的客戶端和服務(wù)器進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商，即服務(wù)器確認(rèn)支持基于標(biāo)識(shí)加密的安全認(rèn)證IBE;然后服務(wù)器獲取用于IBE的公開參數(shù)(通過和客戶端協(xié)商獲取)和私鑰；服務(wù)器接收IBE加密后的預(yù)主密鑰(即客戶端利用獲取的服務(wù)器標(biāo)識(shí)和協(xié)商獲取的公開參數(shù)，生成并發(fā)送的)，根據(jù)公開參數(shù)和私鑰獲取預(yù)主密鑰的明文。從而實(shí)現(xiàn)了通信雙方的安全通信握手，豐富現(xiàn)有的SSL協(xié)議中預(yù)主密鑰的生成形式，實(shí)現(xiàn)了充分?jǐn)U展了現(xiàn)有的SSL協(xié)議的使用范圍的目的。實(shí)施例1參見圖l，本發(fā)明實(shí)施例提供了一種獲取密鑰的方法，為了與標(biāo)準(zhǔn)的SSL協(xié)議保持一致，SSL使用IBE進(jìn)行握手的過程詳見下述內(nèi)容101:客戶端向服務(wù)器發(fā)送客戶端握手請(qǐng)求消息ClientHdlo，該ClientHello中攜帶使用IBE進(jìn)行認(rèn)證的密碼套件。其中，在客戶端向服務(wù)器發(fā)送客戶端握手請(qǐng)求消息ClientHdlo時(shí)，除了SSL標(biāo)準(zhǔn)中規(guī)定的各項(xiàng)內(nèi)容外，還需要提供包含了使用IBE進(jìn)行認(rèn)證的密碼套件列表，該密碼套件列表中包含了IBE算法、認(rèn)證算法、加密算法、摘要算法等內(nèi)容，其中，該密碼套件列表用于向服務(wù)器請(qǐng)求協(xié)商使用IBE進(jìn)行認(rèn)證。本發(fā)明實(shí)施例不限制在具體應(yīng)用時(shí)，客戶端向服務(wù)器發(fā)送客戶端握手請(qǐng)求消息ClientHello中是否還攜帶使用其它方法進(jìn)行認(rèn)證的密碼套件。102:服務(wù)器收到客戶端發(fā)送的客戶端握手請(qǐng)求消息ClientHdlo,判斷自身支持使用IBE進(jìn)行認(rèn)證后，向客戶端返回作為客戶端握手請(qǐng)求消息ClientHello響應(yīng)消息的服務(wù)器握手請(qǐng)求消息ServerHello。其中，服務(wù)器返回的服務(wù)器握手消息ServerHello,該消息用于表明服務(wù)器同意使用IBE進(jìn)行認(rèn)證，例如，當(dāng)在步驟101中客戶端發(fā)送了包括IBE密碼套件在內(nèi)的多套用于進(jìn)行認(rèn)證的密碼套件時(shí)，則可以通過該ServerHello消息中攜帶服務(wù)器確認(rèn)選擇的IBE認(rèn)證的密碼套件。本發(fā)明實(shí)施例不限制該服務(wù)器握手消息ServerHello的具體實(shí)現(xiàn)形式。如果服務(wù)器判斷自身不支持使用IBE進(jìn)行認(rèn)證時(shí)，相應(yīng)地，需要返回響應(yīng)消息通告客戶端不能進(jìn)行IBE進(jìn)行認(rèn)證。103:服務(wù)器同意使用IBE進(jìn)行認(rèn)證后，向客戶端發(fā)送服務(wù)器密鑰交換消息ServerKeyExchange，用于和客戶端協(xié)商進(jìn)行IBE認(rèn)證所需要的公開參數(shù)的相關(guān)信息。其中，針對(duì)該步驟103中涉及到的公開參數(shù)，本領(lǐng)域技術(shù)人員可以獲知使用IBE進(jìn)行認(rèn)證時(shí)，一方面需要使用對(duì)端設(shè)備標(biāo)識(shí)生成預(yù)主密鑰，同時(shí)還需要使用公開參數(shù)對(duì)生成的預(yù)主密鑰進(jìn)行加密后，需要將加密后的預(yù)主密鑰發(fā)送到對(duì)端設(shè)備，其中，用于進(jìn)行IBE加密的公開參數(shù)通常為一套數(shù)據(jù)包含一系列的參數(shù)，例如根據(jù)系統(tǒng)的需要配置的安全曲線、算法等等。104:服務(wù)器向客戶端發(fā)送服務(wù)器握手請(qǐng)求完成消息ServerHelloDone，用于通告客戶端服務(wù)器方的認(rèn)證準(zhǔn)備工作已經(jīng)完成。其中，該步驟中服務(wù)器發(fā)送的服務(wù)器握手請(qǐng)求完成消息ServerHelloDone可以采用標(biāo)準(zhǔn)的SSL握手消息。105:客戶端向服務(wù)器發(fā)送客戶端密鑰交換消息ClientKeyExchange。其中，該消息包括兩部分內(nèi)容1、協(xié)商IBE公開參數(shù)的相關(guān)信息，用于作為對(duì)步驟103中的服務(wù)器密鑰交換消息ServerKeyExchange消息的響應(yīng)。2、向服務(wù)器發(fā)送通過協(xié)商得到的公開參數(shù)和預(yù)先獲取的服務(wù)器標(biāo)識(shí)完成IBE加密的預(yù)主密鑰。106:服務(wù)器收到客戶端發(fā)送的客戶端密鑰交換消息ClientKeyExchange后，根據(jù)其中攜帶的IBE加密的預(yù)主密鑰，利用預(yù)先從PKG獲取的私鑰，對(duì)IBE加密的預(yù)主密鑰進(jìn)行解密，從而得到預(yù)主密鑰的明文。參見圖2，為基于本發(fā)明實(shí)施例提供的獲取密鑰的方法的SIX使用IBE的握手過程示意圖，詳細(xì)的交互過程如前文所述，不再贅述。綜上，客戶端和服務(wù)器通過ClientHello和ServerHello消息確認(rèn)使用IBE進(jìn)行認(rèn)證，使用ServerKeyExchange和ClientKeyExchange完成對(duì)公開參數(shù)的協(xié)商，其中，在具體實(shí)現(xiàn)時(shí)，協(xié)商方式可以有以下幾種，說明如下(一)如果客戶端和服務(wù)器預(yù)共享唯一的一套公開參數(shù)，服務(wù)器和客戶端還不使用任何包含公開參數(shù)的消息進(jìn)行交互，而表明雙方默認(rèn)使用了該預(yù)共享公開參數(shù)。其中，具體實(shí)現(xiàn)時(shí)，上述步驟103中服務(wù)器不用發(fā)送ServerKeyExchange消息，即用ServerHelloDone來表示服務(wù)器握手消息的結(jié)束，服務(wù)器通過這種方式表明默認(rèn)使用預(yù)共享的公開參數(shù)；相應(yīng)地，上述步驟105中，客戶端在ClientKeyExchange消息中不用包含公開參數(shù)的相關(guān)信息(確認(rèn)使用了默認(rèn)的預(yù)共享的公開參數(shù))，只用包含一項(xiàng)內(nèi)容即通過該ClientKeyExchange消息直接將使用預(yù)共享公開參數(shù)和服務(wù)器標(biāo)識(shí)加密的預(yù)主密鑰發(fā)送至服務(wù)器。(二)如果客戶端和服務(wù)器預(yù)共享唯一的一套公開參數(shù)，服務(wù)器使用ServerKeyExchange消息通知客戶端使用預(yù)共享的公開參數(shù)，客戶端使用ClientKeyExchange消息響應(yīng)；其中，具體實(shí)現(xiàn)時(shí)，上述步驟103中服務(wù)器可以通過ServerKeyExchange發(fā)送一個(gè)預(yù)設(shè)標(biāo)識(shí)，用于通告客戶端使用預(yù)共享的公開參數(shù)，而不需要攜帶任何有關(guān)于公開參數(shù)的實(shí)質(zhì)內(nèi)容；相應(yīng)地，上述步驟105中，客戶端對(duì)使用預(yù)共享參數(shù)進(jìn)行確認(rèn)，通過ClientKeyExchange傳遞預(yù)設(shè)標(biāo)識(shí)，用于確認(rèn)使用了預(yù)共享的公開參數(shù)，而不需要公開參數(shù)的實(shí)質(zhì)內(nèi)容。其中，上述唯一的一套公開參數(shù)是事先客戶端和服務(wù)器分別向PKG獲取后，進(jìn)行保存的。(三)如果客戶端和服務(wù)器共享了多套公開參數(shù)，服務(wù)器使用ServerKeyExchange消息通知客戶端它建議使用的公開參數(shù)的對(duì)應(yīng)標(biāo)識(shí)，客戶端使用ClientKeyExchange消息響應(yīng)；其中，具體實(shí)現(xiàn)時(shí)，上述步驟103中服務(wù)器根據(jù)具體的系統(tǒng)部署策略，從共享的多套公開參數(shù)中，選擇至少一套公開參數(shù)，其中，每套公開參數(shù)可以對(duì)應(yīng)與唯一的標(biāo)識(shí)，參見表l，提供了一種公開參數(shù)和標(biāo)識(shí)的對(duì)應(yīng)表，通過ServerKeyExchange將選擇出的公開參數(shù)的對(duì)應(yīng)的標(biāo)識(shí)發(fā)送到客戶端；表l<table>tableseeoriginaldocumentpage13</column></row><table>相應(yīng)地，由于多套公開參數(shù)為客戶端和服務(wù)器所共享，所以相應(yīng)的代表每套公開參數(shù)的標(biāo)識(shí)也是一致，在步驟104中，客戶端根據(jù)服務(wù)器提供的標(biāo)識(shí)獲取到對(duì)應(yīng)的一套公開參數(shù)，然后通過發(fā)送ClientKeyExchange攜帶該套公開參數(shù)對(duì)應(yīng)的標(biāo)識(shí)響應(yīng)服務(wù)器。進(jìn)一步地，當(dāng)服務(wù)器向客戶端發(fā)送的公開參數(shù)標(biāo)識(shí)為多個(gè)時(shí)，客戶端根據(jù)服務(wù)器提供的多個(gè)標(biāo)識(shí)，根據(jù)自身的選擇策略選擇出一個(gè)，使用該選擇的標(biāo)識(shí)對(duì)應(yīng)的公開參數(shù)。進(jìn)一步，客戶端收到服務(wù)器發(fā)送的公開參數(shù)標(biāo)識(shí)后，還可以根據(jù)自身的選擇策略選擇不使用服務(wù)器發(fā)送的公開參數(shù)標(biāo)識(shí)對(duì)應(yīng)的公開參數(shù)，而根據(jù)自身的策略，選擇出使用的一套公開參數(shù)，并相應(yīng)地，通過ClientKeyExchange攜帶該套公開參數(shù)對(duì)應(yīng)的標(biāo)識(shí)響應(yīng)服務(wù)器。其中，上述多套公開參數(shù)是事先客戶端和服務(wù)器分別向PKG獲取后，進(jìn)行保存的。(四)如果客戶端和服務(wù)器未預(yù)先共享公開參數(shù)，則服務(wù)器使用ServerKeyExchange消息將加密需要使用的一套公開參數(shù)發(fā)送給客戶端；或者服務(wù)器使用ServerKeyExchange消息將多套公開參數(shù)發(fā)送給客戶端；相應(yīng)地，客戶端從收到的多套公開參數(shù)中，選擇出一套使用的公開參數(shù)后，通過ClientKeyExchange消息響應(yīng)服務(wù)器選擇使用的公開參數(shù)。其中，在具體實(shí)現(xiàn)時(shí)，服務(wù)器可以采用通過ServerKeyExchange消息發(fā)送公開參數(shù)以及其對(duì)應(yīng)標(biāo)識(shí)的形式；相應(yīng)地，客戶端在使用ClientKeyExchange消息響應(yīng)服務(wù)器時(shí)，可以僅通過攜帶標(biāo)識(shí)的形式實(shí)現(xiàn)。(五)如果采用遠(yuǎn)程獲取的方式獲取公開參數(shù)，則服務(wù)器使用ServerKeyExchange消息將產(chǎn)生公開參數(shù)的PKG的地址、域名等用于定位公開參數(shù)的標(biāo)識(shí)發(fā)送給客戶端，相應(yīng)地，當(dāng)客戶端收到該ServerKeyExchange消息后，根據(jù)其中攜帶的定位公開參數(shù)的標(biāo)識(shí)信息，去PKG獲取公開參數(shù)后，使用ClientKeyExchange通告服務(wù)器其選擇的公開參數(shù)。進(jìn)一步地，服務(wù)器使用ServerKeyExchange消息發(fā)送用于定位公開參數(shù)的標(biāo)識(shí)時(shí)，可以發(fā)送多個(gè)PKG的標(biāo)識(shí)，相應(yīng)地，客戶端根據(jù)自身的策略(如出于安全、方便等角度出發(fā)制定策略)，從多個(gè)標(biāo)識(shí)中選擇出一個(gè)PKG標(biāo)識(shí)，向該P(yáng)KG獲取公開參數(shù)。參見圖3，為該情況下通信場(chǎng)景，服務(wù)器向客戶端發(fā)送PKG1、PKG2和PKG3地址標(biāo)識(shí)，客戶端收到后，根據(jù)自身的策略配置，從中選擇出PKG2，向PKG2獲取公開參數(shù)。(六)如果采用遠(yuǎn)程獲取的方式獲取公開參數(shù)，并且預(yù)設(shè)了用于存儲(chǔ)多套公開參數(shù)的公開參數(shù)服務(wù)器(其中，該公開參數(shù)服務(wù)器做為一個(gè)功能實(shí)體既可以單獨(dú)存在也可以集成在現(xiàn)有的PKG設(shè)備中)，則服務(wù)器使用ServerKeyExchange消息將公開參數(shù)在公開參數(shù)服務(wù)器中的保存的地址發(fā)送給客戶端，參見表2，提供了一種公開參數(shù)和地址的對(duì)應(yīng)關(guān)系表；相應(yīng)地，當(dāng)客戶端收到該ServerKeyExchange消息后，根據(jù)攜帶的地址信息向公開參數(shù)服務(wù)器獲取公開參數(shù)后，通過ClientKeyExchange通告服務(wù)器其選擇的公開參數(shù)的地址。表2公開參數(shù)地址第一套公開參數(shù)A第二套公開參數(shù)B第三套公開參數(shù)C進(jìn)一步地，服務(wù)器使用ServerKeyExchange消息將向客戶端發(fā)送地址時(shí)，還可以發(fā)送多個(gè)地址，由客戶端根據(jù)自身的策略從中選擇出一個(gè)做為獲取公開參數(shù)的地址。進(jìn)一步，參見表3，還可以為公開參數(shù)以及地址配置標(biāo)識(shí)的形式，相應(yīng)地，服務(wù)器使用ServerKeyExchange消息將公開參數(shù)的標(biāo)識(shí)發(fā)送給客戶端，客戶端根據(jù)收到的標(biāo)識(shí)向?qū)?yīng)的地址獲取公開參數(shù)后，通過ClientKeyExchange通告服務(wù)器其選擇的公開參數(shù)的標(biāo)識(shí)。表3標(biāo)識(shí)公開參數(shù)地址1第一套公開參數(shù)A2第二套公開參數(shù)B3第三套公開參數(shù)C綜上，上述第五種方式和第六種方式中，由于客戶端需要從第三方(PKG或者公開參數(shù)服務(wù)器)獲取公開參數(shù)，因此客戶端應(yīng)該根據(jù)服務(wù)器提供的可選項(xiàng)中，根據(jù)自身制定的安全選擇策略，選擇出自己信任的第三方來申請(qǐng)公開參數(shù)，防止可能出現(xiàn)的中間人攻擊?？蛻舳诵枰S護(hù)一個(gè)可信任第三方的列表。本領(lǐng)域技術(shù)人員可以獲知SSLVPN在SSL通信的過程中多數(shù)情況下扮演服務(wù)器的角色，但也能成為客戶端(如在SSLVPN在建立站點(diǎn)到站點(diǎn)的隧道的情況下)，因此，參見圖4，SSLVPN必須具備以下功能模塊才能滿足支持對(duì)IBE的支持，其中，支持IBE的SSL通信模塊完成SSL握手。在握手過程中如果IBE需要獲得加密和解密的公開參數(shù)如果使用上述第一種、第二種和第三種協(xié)商方式，則調(diào)用預(yù)共享公開參數(shù)管理模塊從本地獲得公開參數(shù)；如果使用上述第四種、第五種和第六種協(xié)商方式，則調(diào)用遠(yuǎn)程公開參數(shù)獲取模塊從遠(yuǎn)程獲得公開參數(shù)。綜上所述，本發(fā)明實(shí)施例提供的獲取密鑰的方法，通過將IBE技術(shù)與SSL技術(shù)結(jié)合，豐富現(xiàn)有的SSL協(xié)議中預(yù)主密鑰的生成形式，實(shí)現(xiàn)了充分?jǐn)U展了現(xiàn)有的SSL協(xié)議的使用范圍的目的，并且SSL客戶端和服務(wù)器通過上述五種方式的任意一種，可以唯一確定了加密和解密運(yùn)算過程中使用的公開參數(shù)，實(shí)現(xiàn)了預(yù)主密鑰的安全傳輸。實(shí)施例2參見圖5，本發(fā)明實(shí)施例提供了一種獲取密鑰的系統(tǒng)，包括系統(tǒng)包括客戶端201和服務(wù)器202;客戶端201，用于和服務(wù)器202進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商后，和服務(wù)器202協(xié)商用于IBE的公開參數(shù)；并利用獲取的服務(wù)器標(biāo)識(shí)和協(xié)商獲取的公開參數(shù)，生成并發(fā)送IBE加密后的預(yù)主密鑰；服務(wù)器202，用于和客戶端201進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商后，和客戶端201協(xié)商用于IBE的公開參數(shù)；并用于接收客戶端201發(fā)送的IBE加密后的預(yù)主密鑰，利用獲取的私鑰進(jìn)行解密后獲取預(yù)主密鑰的明文。(一)本發(fā)明實(shí)施例提供的獲取密鑰的系統(tǒng)中的客戶端201具體包括IBE協(xié)商模塊，用于向服務(wù)器202發(fā)送客戶端請(qǐng)求消息，客戶端請(qǐng)求消息中攜帶用于進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的密碼套件；并接收服務(wù)器202返回的IBE確認(rèn)消息；公開參數(shù)獲取模塊，用于獲取用于進(jìn)行IBE認(rèn)證的公開參數(shù)；服務(wù)器標(biāo)識(shí)獲取模塊，用于獲取服務(wù)器標(biāo)識(shí)；處理模塊，用于利用公開參數(shù)獲取模塊獲取的公開參數(shù)，和服務(wù)器標(biāo)識(shí)獲取模塊獲取的服務(wù)器標(biāo)識(shí)，生成并發(fā)送IBE加密后的預(yù)主密鑰。.其中，該客戶端201的公開參數(shù)獲取模塊具體包括(a)公開參數(shù)保存單元，用于保存一套公開參數(shù)；公開參數(shù)選擇單元，用于獲取公開參數(shù)保存單元中保存的公開參數(shù)。該情況即對(duì)應(yīng)著當(dāng)客戶端201和服務(wù)器202進(jìn)行了IBE認(rèn)證協(xié)商后，默認(rèn)使用了該套預(yù)共享的公開參數(shù)?；蛘?；(b)公開參數(shù)保存單元，用于保存至少一套公開參數(shù)；公開參數(shù)選擇單元，用于根據(jù)服務(wù)器202的通知，從公開參數(shù)保存單元中選擇一套公開參數(shù)；響應(yīng)單元，用于當(dāng)公開參數(shù)選擇單元選擇了一套公開參數(shù)后，響應(yīng)服務(wù)器202選擇的公開參數(shù)?；蛘撸?c)公開參數(shù)獲取單元，用于獲取服務(wù)器202發(fā)送的至少一套公開參數(shù)；公開參數(shù)選擇單元，用于從公開參數(shù)獲取單元中獲取的公開參數(shù)中，選擇出一套公開參數(shù)；響應(yīng)單元，用于當(dāng)公開參數(shù)選擇單元選擇了一套公開參數(shù)后，通知服務(wù)器202選擇的公開參數(shù)。或者；(d)當(dāng)系統(tǒng)還包括至少一個(gè)私鑰生成器PKG時(shí)，其中PKG用于提供公開參數(shù)；相應(yīng)地，公開參數(shù)獲取模塊具體包括PKG標(biāo)識(shí)獲取單元，用于獲取服務(wù)器202發(fā)送的至少一個(gè)私鑰生成器PKG標(biāo)識(shí)；PKG標(biāo)識(shí)選擇單元，用于從PKG標(biāo)識(shí)獲取單元獲取的PKG標(biāo)識(shí)中，選擇一個(gè)PKG標(biāo)識(shí)；公開參數(shù)獲取單元，用于根據(jù)PKG標(biāo)識(shí)選擇單元選擇的PKG標(biāo)識(shí)，向選擇的PKG標(biāo)識(shí)對(duì)應(yīng)的PKG獲取公開參數(shù)；通知單元，用于當(dāng)PKG標(biāo)識(shí)選擇單元選擇了PKG標(biāo)識(shí)后，通知服務(wù)器202選擇的PKG標(biāo)識(shí)?；蛘?；(e)當(dāng)系統(tǒng)還包括能夠提供至少一套公開參數(shù)的公開參數(shù)服務(wù)器時(shí)，相應(yīng)地，公開參數(shù)獲取模塊具體包括地址標(biāo)識(shí)獲取單元，用于獲取服務(wù)器202發(fā)送的公開參數(shù)服務(wù)器中保存的至少一個(gè)公開參數(shù)的地址標(biāo)識(shí)；地址標(biāo)識(shí)選擇單元，用于根據(jù)地址標(biāo)識(shí)獲取單元獲取的地址標(biāo)識(shí)中，選擇一個(gè)地址標(biāo)識(shí)；公開參數(shù)獲取單元，用于根據(jù)地址標(biāo)識(shí)選擇單元選擇的地址標(biāo)識(shí)，根據(jù)選擇的地址標(biāo)識(shí)向公開參數(shù)服務(wù)器獲取公開參數(shù)；通知單元，用于當(dāng)?shù)刂窐?biāo)識(shí)選擇單元選擇了地址標(biāo)識(shí)后，通知服務(wù)器202選擇的地址標(biāo)識(shí)。(二)本發(fā)明實(shí)施例提供的獲取密鑰的系統(tǒng)中的服務(wù)器202具體包括IBE協(xié)商模塊，用于接收客戶端201發(fā)送的客戶端請(qǐng)求消息，客戶端請(qǐng)求消息中攜帶用于進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的密碼套件；判斷支持IBE認(rèn)證后，向客戶端201返回確認(rèn)消息；公開參數(shù)協(xié)商模塊，用于和客戶端201協(xié)商用于進(jìn)行IBE認(rèn)證的公開參數(shù)；私鑰獲取模塊，用于獲取私鑰，私鑰用于解密IBE加密的預(yù)主密鑰；處理模塊，用于接收客戶端201發(fā)送的IBE加密后的預(yù)主密鑰，利用私鑰獲取模塊獲取的私鑰進(jìn)行解密后，獲取預(yù)主密鑰的明文。其中，該服務(wù)器202的公開參數(shù)協(xié)商模塊具體包括(a)公開參數(shù)保存單元，用于保存一套公開參數(shù)；公開參數(shù)選擇單元，用于獲取公開參數(shù)保存單元中保存的公開參數(shù)。該情況即對(duì)應(yīng)著當(dāng)客戶端201和服務(wù)器202進(jìn)行了IBE認(rèn)證協(xié)商后，默認(rèn)使用了該套預(yù)共享的公開參數(shù)。(b)公開參數(shù)保存單元，用于保存至少一套公開參數(shù)；通知單元，用于根據(jù)公開參數(shù)保存單元保存的公開參數(shù)，向客戶端201發(fā)送通知；接收單元，用于接收客戶端201返回的選擇的公開參數(shù)的響應(yīng)。(C)發(fā)送單元，用于向客戶端201發(fā)送至少一套公開參數(shù)；接收單元，用于接收客戶端201返回的選擇的公開參數(shù)的響應(yīng)。(d)當(dāng)系統(tǒng)還包括至少一個(gè)私鑰生成器PKG時(shí)，其中PKG用于提供公開參數(shù)；相應(yīng)地，公開參數(shù)協(xié)商模塊具體包括PKG標(biāo)識(shí)發(fā)送單元，用于向客戶端201發(fā)送至少一個(gè)私鑰生成器PKG標(biāo)識(shí)；接收單元，用于接收客戶端201返回的選擇的PKG標(biāo)識(shí)；獲取單元，用于接收單元接收的PKG標(biāo)識(shí)，獲取一套用于IBE的公開參數(shù)。(e)當(dāng)系統(tǒng)還包括能夠提供至少一套公開參數(shù)的公開參數(shù)服務(wù)器時(shí)，相應(yīng)地，公開參數(shù)獲取模塊具體包括地址標(biāo)識(shí)發(fā)送單元，用于向客戶端201發(fā)送公開參數(shù)服務(wù)器中保存的至少一個(gè)公開參數(shù)的地址標(biāo)識(shí)；接收單元，用于接收客戶端201返回的選擇的地址標(biāo)識(shí)。獲取單元，用于接收單元接收的地址標(biāo)識(shí)，獲取一套用于IBE的公開參數(shù)。綜上所述，本發(fā)明實(shí)施例提供的獲取密鑰的系統(tǒng)，通過將IBE技術(shù)與SSL技術(shù)結(jié)合，豐富現(xiàn)有的SSL協(xié)議中預(yù)主密鑰的生成形式，實(shí)現(xiàn)了充分?jǐn)U展了現(xiàn)有的SSL協(xié)議的使用范圍的目的，并且SSL客戶端和服務(wù)器多種公開參數(shù)協(xié)商模式中的任意一種，可以唯一確定了加密和解密運(yùn)算過程中使用的公開參數(shù)，實(shí)現(xiàn)了預(yù)主密鑰的安全傳輸。實(shí)施例3參見圖6，本發(fā)明實(shí)施例提供了一種客戶端，所述客戶端包括IBE協(xié)商模塊301，用于和服務(wù)器進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商；公開參數(shù)協(xié)商模塊302，用于和服務(wù)器協(xié)商用于IBE的公開參數(shù)；服務(wù)器標(biāo)識(shí)獲取模塊303，用于獲取服務(wù)器標(biāo)識(shí)；處理模塊304，用于根據(jù)服務(wù)器標(biāo)識(shí)獲取模塊303獲取的服務(wù)器標(biāo)識(shí)和公開參數(shù)協(xié)商模塊302協(xié)商獲取的公開參數(shù)，生成并發(fā)送IBE加密后的預(yù)主密鑰；其中，IBE協(xié)商模塊301具體用于向服務(wù)器發(fā)送客戶端請(qǐng)求消息，客戶端請(qǐng)求消息中攜帶用于進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的密碼套件；并接收服務(wù)器返回的IBE確認(rèn)消息；其中，公開參數(shù)協(xié)商模塊302具體包括公開參數(shù)保存單元，用于保存一套公開參數(shù)；公開參數(shù)選擇單元，用于獲取公開參數(shù)保存單元中保存的公開參數(shù)。該情況即對(duì)應(yīng)著當(dāng)客戶端和服務(wù)器進(jìn)行了IBE認(rèn)證協(xié)商后，默認(rèn)使用了該套預(yù)共享的公開參數(shù)。或者具體包括公開參數(shù)保存單元，用于保存至少一套公開參數(shù)；公開參數(shù)選擇單元，用于根據(jù)服務(wù)器的通知，從公開參數(shù)保存單元中選擇一套公開參數(shù)；響應(yīng)單元，用于當(dāng)公開參數(shù)選擇單元選擇了一套公開參數(shù)后，響應(yīng)服務(wù)器選擇的公開參數(shù)；或者具體包括公開參數(shù)獲取單元，用于獲取服務(wù)器發(fā)送的至少一套公開參數(shù)；公開參數(shù)選擇單元，用于從公開參數(shù)獲取單元中獲取的公開參數(shù)中，選擇出一套公開參數(shù)；響應(yīng)單元，用于當(dāng)公開參數(shù)選擇單元選擇了一套公開參數(shù)后，通知服務(wù)器選擇的公開參數(shù)；或者具體包括PKG標(biāo)識(shí)獲取單元，用于獲取服務(wù)器發(fā)送的至少一個(gè)私鑰生成器PKG標(biāo)識(shí)；PKG標(biāo)識(shí)選擇單元，用于從PKG標(biāo)識(shí)獲取單元獲取的PKG標(biāo)識(shí)中，選擇一個(gè)PKG標(biāo)識(shí)；公開參數(shù)獲取單元，用于根據(jù)PKG標(biāo)識(shí)選擇單元選擇的PKG標(biāo)識(shí)，向選擇的PKG標(biāo)識(shí)對(duì)應(yīng)的PKG獲取公開參數(shù)；通知單元，用于當(dāng)PKG標(biāo)識(shí)選擇單元選擇了PKG標(biāo)識(shí)后，通知服務(wù)器選擇的PKG標(biāo)識(shí)?；蛘呔唧w包括地址標(biāo)識(shí)獲取單元，用于獲取服務(wù)器發(fā)送的公開參數(shù)服務(wù)器中保存的至少一個(gè)公開參數(shù)的地址標(biāo)識(shí)；地址標(biāo)識(shí)選擇單元，用于根據(jù)地址標(biāo)識(shí)獲取單元獲取的地址標(biāo)識(shí)中，選擇一個(gè)地址標(biāo)識(shí)；公開參數(shù)獲取單元，用于根據(jù)地址標(biāo)識(shí)選擇單元選擇的地址標(biāo)識(shí)，根據(jù)選擇的地址標(biāo)識(shí)向公開參數(shù)服務(wù)器獲取公開參數(shù)；通知單元，用于當(dāng)?shù)刂窐?biāo)識(shí)選擇單元選擇了地址標(biāo)識(shí)后，通知服務(wù)器選擇的地址標(biāo)識(shí)。綜上所述，本發(fā)明實(shí)施例提供的客戶端，通過將IBE技術(shù)與SSL技術(shù)結(jié)合，豐富現(xiàn)有的SSL協(xié)議中預(yù)主密鑰的生成形式，實(shí)現(xiàn)了充分?jǐn)U展了現(xiàn)有的SSL協(xié)議的使用范圍的目的，并且SSL客戶端和服務(wù)器多種公開參數(shù)協(xié)商模式中的任意一種，可以唯一確定了加密和解密運(yùn)算過程中使用的公開參數(shù)，實(shí)現(xiàn)了預(yù)主密鑰的安全傳輸。實(shí)施例4參見圖7，本發(fā)明實(shí)施例提供了一種服務(wù)器，包括IBE協(xié)商模塊401，用于和客戶端進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商；公開參數(shù)協(xié)商模塊402，用于和客戶端協(xié)商用于進(jìn)行IBE認(rèn)證的公開參數(shù)；私鑰獲取模塊403，用于獲取私鑰，私鑰用于解密IBE加密的預(yù)主密鑰；處理模塊404，用于接收客戶端發(fā)送的IBE加密后的預(yù)主密鑰，利用私鑰獲取模塊獲取的私鑰進(jìn)行解密后，獲取預(yù)主密鑰的明文。其中，IBE協(xié)商模塊401具體用于接收客戶端發(fā)送的客戶端請(qǐng)求消息，客戶端請(qǐng)求消息中攜帶用于進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的密碼套件；判斷支持IBE認(rèn)證后，向客戶端返回確認(rèn)消息。其中，公開參數(shù)協(xié)商模塊402具體包括公開參數(shù)保存單元，用于保存一套公開參數(shù)；公開參數(shù)選擇單元，用于獲取公開參數(shù)保存單元中保存的公開參數(shù)。該情況即對(duì)應(yīng)著當(dāng)客戶端和服務(wù)器進(jìn)行了IBE認(rèn)證協(xié)商后，默認(rèn)使用了該套預(yù)共享的公開參數(shù)?；蛘呔唧w包括公開參數(shù)保存單元，用于保存至少一套公開參數(shù)；通知單元，用于根據(jù)公開參數(shù)保存單元保存的公開參數(shù)，向客戶端發(fā)送通知；接收單元，用于接收客戶端返回的選擇的公開參數(shù)響應(yīng)；獲取單元，用于根據(jù)接收單元接收的響應(yīng)，獲取公開參數(shù)保存單元中保存的公開參數(shù)?；蛘呔唧w包括發(fā)送單元，用于向客戶端發(fā)送至少一套公開參數(shù)；接收單元，用于接收客戶端返回的選擇的公開參數(shù)響應(yīng)；獲取單元，用于根據(jù)接收單元接收的響應(yīng)，獲取一套公開參數(shù)?；蛘呔唧w包括PKG標(biāo)識(shí)發(fā)送單元，用于向客戶端發(fā)送至少一個(gè)私鑰生成器PKG標(biāo)識(shí)；接收單元，用于接收客戶端返回的選擇的PKG標(biāo)識(shí)；獲取單元，用于接收單元接收的PKG標(biāo)識(shí)，獲取一套用于IBE的公開參數(shù)?；蛘呔唧w包括地址標(biāo)識(shí)發(fā)送單元，用于向客戶端發(fā)送公開參數(shù)服務(wù)器中保存的至少一個(gè)公開參數(shù)的地址標(biāo)識(shí)；接收單元，用于接收客戶端返回的選擇的地址標(biāo)識(shí)；獲取單元，用于接收單元接收的地址標(biāo)識(shí)，獲取一套用于IBE的公開參數(shù)。綜上所述，本發(fā)明實(shí)施例提供的服務(wù)器，通過將IBE技術(shù)與SSL技術(shù)結(jié)合，豐富現(xiàn)有的SSL協(xié)議中預(yù)主密鑰的生成形式，實(shí)現(xiàn)了充分?jǐn)U展了現(xiàn)有的SSL協(xié)議的使用范圍的目的，并且SSL客戶端和服務(wù)器多種公開參數(shù)協(xié)商模式中的任意一種，可以唯一確定了加密和解密運(yùn)算過程中使用的公開參數(shù)，實(shí)現(xiàn)了預(yù)主密鑰的安全傳輸。實(shí)施例5本發(fā)明實(shí)施例提供了一種提供設(shè)備，該提供設(shè)備用于在服務(wù)器和客戶端在基于IBE的安全套接層SSL協(xié)議的協(xié)商認(rèn)證過程中，根據(jù)服務(wù)器和客戶端的協(xié)商結(jié)果提供用于IBE的公開參數(shù)，其中，公開參數(shù)用于客戶端根據(jù)公開參數(shù)和服務(wù)器標(biāo)識(shí)生成并發(fā)送IBE加密的預(yù)主密鑰；相應(yīng)地，服務(wù)器根據(jù)公開參數(shù)和獲取的私鑰，獲取IBE加密的預(yù)主密鑰的明文。其中，本領(lǐng)域技術(shù)人員可以獲知使用IBE進(jìn)行認(rèn)證時(shí)，需要獲取用于IBE認(rèn)證的公開參數(shù)，其中，該公開參數(shù)通常為一套數(shù)據(jù)包含一系列的參數(shù)，例如根據(jù)系統(tǒng)的需要配置的安全曲線、算法等等。具體實(shí)現(xiàn)時(shí)，可以為每套公開參數(shù)設(shè)置對(duì)應(yīng)的標(biāo)識(shí)，通過查看標(biāo)識(shí)便可以知道具體使用了哪套對(duì)應(yīng)的公開參數(shù)。進(jìn)一步地，本發(fā)明實(shí)施例提供的能夠提供公開參數(shù)的提供設(shè)備，還可以用于向服務(wù)器提供私鑰，其中，該私鑰用于當(dāng)獲取到IBE解密后的預(yù)主密鑰后，對(duì)該預(yù)主密鑰進(jìn)行解密，從而獲取到該預(yù)主密鑰的明文。本發(fā)明實(shí)施例涉及的提供設(shè)備在具體實(shí)施時(shí)，可以通過現(xiàn)有的PKG設(shè)備來實(shí)現(xiàn)，通過PKG設(shè)備實(shí)現(xiàn)提供公開參數(shù)的實(shí)體功能，每個(gè)PKG設(shè)備中配置的公開參數(shù)不同，相應(yīng)地，在系統(tǒng)配置時(shí)，需要提供多個(gè)PKG設(shè)備來支持提供多套公開參數(shù)的目的，優(yōu)選地，還可以通過單獨(dú)設(shè)置公開參數(shù)服務(wù)器來實(shí)現(xiàn)提供至少一套公開參數(shù)的實(shí)體功能，事先將至少一套公開參數(shù)配置在該公開參數(shù)服務(wù)器中，對(duì)應(yīng)與每套公開參數(shù)還可以為其配置對(duì)應(yīng)的標(biāo)識(shí)，本發(fā)明實(shí)施例不限制在具體實(shí)施時(shí)的具體的實(shí)現(xiàn)形式。綜上所述，本發(fā)明實(shí)施例提供的技術(shù)方案，通過將IBE技術(shù)與SSL技術(shù)結(jié)合，豐富現(xiàn)有的SSL協(xié)議中預(yù)主密鑰的生成形式，實(shí)現(xiàn)了充分?jǐn)U展了現(xiàn)有的SSL協(xié)議的使用范圍的目的，并且SSL客戶端和服務(wù)器多種公開參數(shù)協(xié)商模式中的任意一種，可以唯一確定了加密和解密運(yùn)算過程中使用的公開參數(shù)，實(shí)現(xiàn)了預(yù)主密鑰的安全傳輸。本領(lǐng)域技術(shù)人員可以獲知，當(dāng)服務(wù)器獲取到預(yù)主密鑰之后的SSL協(xié)商和通信過程和現(xiàn)有的標(biāo)準(zhǔn)SSL—致。本發(fā)明實(shí)施例還可以應(yīng)用于使用IBE的其他技術(shù)方案中。本發(fā)明實(shí)施例中的部分步驟，可以利用軟件實(shí)現(xiàn)，相應(yīng)的軟件程序可以存儲(chǔ)在可讀取的存儲(chǔ)介質(zhì)中，如光盤或硬盤等。以上所述僅為本發(fā)明的具體實(shí)施例，并不用以限制本發(fā)明，對(duì)于本
技術(shù)領(lǐng)域：
的普通技術(shù)人員來說，凡在不脫離本發(fā)明原理的前提下，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1.一種獲取密鑰的方法，其特征在于，所述方法包括服務(wù)器確認(rèn)支持基于標(biāo)識(shí)加密的安全認(rèn)證IBE；獲取用于所述IBE的公開參數(shù)和私鑰；所述服務(wù)器接收IBE加密后的預(yù)主密鑰，根據(jù)所述公開參數(shù)和私鑰獲取所述預(yù)主密鑰的明文。2.如權(quán)利要求1所述的獲取密鑰的方法，其特征在于，所述服務(wù)器確認(rèn)支持基于標(biāo)識(shí)加密的安全認(rèn)證IBE，具體為所述服務(wù)器接收客戶端請(qǐng)求消息，所述客戶端請(qǐng)^^消息中攜帶用于進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的密碼套件，判斷支持所述IBE認(rèn)證后，向所述客戶端返回確認(rèn)消息。3.如權(quán)利要求1所述的獲取密鑰的方法，其特征在于，當(dāng)客戶端和所述服務(wù)器預(yù)共享了一套公開參數(shù)時(shí)，所述獲取用于所述IBE的公開參數(shù)，具體為所述服務(wù)器使用所述預(yù)共享的公開參數(shù)。4.如權(quán)利要求l所述的獲取密鑰的方法，其特征在于，當(dāng)客戶端和所述服務(wù)器預(yù)共享了至少一套公開參數(shù)時(shí)，所述獲取用于所述IBE的公開參數(shù)，具體為所述服務(wù)器通知所述客戶端使用所述預(yù)共享的公開參數(shù)；所述客戶端響應(yīng)所述服務(wù)器的通知，所述服務(wù)器根據(jù)所述通知，獲取一套用于所述IBE的公開參數(shù)。5.如權(quán)利要求4所述的獲取密鑰的方法，其特征在于，當(dāng)所述客戶端和所述服務(wù)器預(yù)共享了多套公開參數(shù)時(shí)，所述服務(wù)器通知所述客戶端使用所述預(yù)共享的公開參數(shù)；具體為所述服務(wù)器通知所述客戶端至少一套公開參數(shù)對(duì)應(yīng)的標(biāo)識(shí)；相應(yīng)地，所述客戶端響應(yīng)所述服務(wù)器的通知，具體為所述客戶端從所述預(yù)共享的多套公開參數(shù)中選擇出一套公開參數(shù)后，響應(yīng)所述服務(wù)器所述選擇的公開參數(shù)的標(biāo)識(shí)。6.如權(quán)利要求1所述的獲取密鑰的方法，其特征在于，所述獲取用于所述IBE的公開參數(shù)，具體為-所述服務(wù)器向客戶端發(fā)送至少一套公開參數(shù)；所述客戶端從接收的所述服務(wù)器發(fā)送的至少一套公開參數(shù)中，選擇出一套公開參數(shù)后，通知所述服務(wù)器所述選擇的公開參數(shù)；所述服務(wù)器根據(jù)所述通知，獲取一套用于所述IBE的公開參數(shù)。7.如權(quán)利要求l所述的獲取密鑰的方法，其特征在于，所述獲取用于所述IBE的公開參數(shù)，具體為所述服務(wù)器向客戶端發(fā)送至少一個(gè)用于獲取公開參數(shù)的私鑰生成器PKG的標(biāo)識(shí)；所述客戶端從接收的至少一個(gè)PKG標(biāo)識(shí)中，選擇一個(gè)PKG標(biāo)識(shí)后，向所述選擇的PKG標(biāo)識(shí)對(duì)應(yīng)的PKG獲取公開參數(shù)；并通知所述服務(wù)器所述選擇的PKG標(biāo)識(shí)；所述服務(wù)器根據(jù)所述通知，獲取一套用于所述IBE的公開參數(shù)。8.如權(quán)利要求1所述的獲取密鑰的方法，其特征在于，所述獲取用于所述IBE的公開參數(shù)，具體為所述服務(wù)器向客戶端發(fā)送公開參數(shù)服務(wù)器中保存的至少一個(gè)公開參數(shù)的地址標(biāo)識(shí)；所述客戶端從接收到的所述服務(wù)器發(fā)送的至少一個(gè)地址標(biāo)識(shí)中，選擇一個(gè)地址標(biāo)識(shí)后，根據(jù)所述選擇的地址標(biāo)識(shí)向所述公開參數(shù)服務(wù)器獲取公開參數(shù)；并通知所述服務(wù)器所述選擇的地址標(biāo)識(shí)；所述服務(wù)器根據(jù)所述通知，獲取一套用于所述IBE的公開參數(shù)。9.一種獲取密鑰的系統(tǒng)，其特征在于，所述系統(tǒng)包括客戶端和服務(wù)器；所述客戶端，用于和所述服務(wù)器進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商后，和所述服務(wù)器協(xié)商用于所述IBE的公開參數(shù)；并利用獲取的所述服務(wù)器標(biāo)識(shí)和所述協(xié)商獲取的公開參數(shù)，生成并發(fā)送所述IBE加密后的預(yù)主密鑰；所述服務(wù)器，用于和所述客戶端進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商后，和所述客戶端協(xié)商用于所述IBE的公開參數(shù)；并用于接收所述客戶端發(fā)送的所述IBE加密后的預(yù)主密鑰，利用獲取的私鑰進(jìn)行解密后獲取所述預(yù)主密鑰的明文。10.如權(quán)利要求9所述的獲取密鑰的系統(tǒng)，其特征在于，所述客戶端具體包括IBE協(xié)商模塊，用于向服務(wù)器發(fā)送客戶端請(qǐng)求消息，所述客戶端請(qǐng)求消息中攜帶用于進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的密碼套件；并接收所述服務(wù)器返回的IBE確認(rèn)消息；公開參數(shù)獲取模塊，用于獲取用于進(jìn)行IBE認(rèn)證的公開參數(shù)；服務(wù)器標(biāo)識(shí)獲取模塊，用于獲取所述服務(wù)器標(biāo)識(shí)；處理模塊，用于利用所述公開參數(shù)獲取模塊獲取的公開參數(shù)，和所述服務(wù)器標(biāo)識(shí)獲取模塊獲取的服務(wù)器標(biāo)識(shí)，生成并發(fā)送所述IBE加密后的預(yù)主密鑰；相應(yīng)地，所述服務(wù)器具體包括IBE協(xié)商模塊，用于接收所述客戶端發(fā)送的客戶端請(qǐng)求消息，所述客戶端請(qǐng)求消息中攜帶用于進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的密碼套件；判斷支持所述IBE認(rèn)證后，向所述客戶端返回確認(rèn)消息；公開參數(shù)協(xié)商模塊，用于和所述客戶端協(xié)商用于進(jìn)行IBE認(rèn)證的公開參數(shù)；私鑰獲取模塊，用于獲取私鑰，所述私鑰用于解密IBE加密的預(yù)主密鑰；處理模塊，用于接收所述客戶端發(fā)送的IBE加密后的預(yù)主密鑰，利用所述私鑰獲取模塊獲取的私鑰進(jìn)行解密后，獲取所述預(yù)主密鑰的明文。11.如權(quán)利要求10所述的獲取密鑰的系統(tǒng)，其特征在于，所述系統(tǒng)還包括私鑰生成器PKG，用于提供公開參數(shù)；所述PKG至少一個(gè)；相應(yīng)地，所述客戶端的公開參數(shù)獲取模塊具體包括PKG標(biāo)識(shí)獲取單元，用于獲取所述服務(wù)器發(fā)送的至少一個(gè)所述私鑰生成器PKG標(biāo)識(shí)；PKG標(biāo)識(shí)選擇單元，用于從所述PKG標(biāo)識(shí)獲取單元獲取的PKG標(biāo)識(shí)中，選擇一個(gè)PKG標(biāo)識(shí)；公開參數(shù)獲取單元，用于根據(jù)所述PKG標(biāo)識(shí)選擇單元選擇的PKG標(biāo)識(shí)，向所述選擇的PKG標(biāo)識(shí)對(duì)應(yīng)的PKG獲取公開參數(shù)；通知單元，用于當(dāng)所述PKG標(biāo)識(shí)選擇單元選擇了PKG標(biāo)識(shí)后，通知所述服務(wù)器所述選擇的PKG標(biāo)識(shí)；相應(yīng)地，所述服務(wù)器的公開參數(shù)協(xié)商模塊具體包括PKG標(biāo)識(shí)發(fā)送單元，用于向所述客戶端發(fā)送至少一個(gè)所述私鑰生成器PKG標(biāo)識(shí)；接收單元，用于接收所述客戶端返回的選擇的PKG標(biāo)識(shí)；獲取單元，用于所述接收單元接收的PKG標(biāo)識(shí)，獲取一套用于所述IBE的公開參數(shù)。12.如權(quán)利要求10所述的獲取密鑰的系統(tǒng)，其特征在于，所述系統(tǒng)還包括公開參數(shù)服務(wù)器，用于提供至少一個(gè)公開參數(shù)；相應(yīng)地，所述客戶端的公開參數(shù)獲取模塊具體包括地址標(biāo)識(shí)獲取單元，用于獲取所述服務(wù)器發(fā)送的所述公開參數(shù)服務(wù)器中保存的至少一個(gè)公開參數(shù)的地址標(biāo)識(shí)；地址標(biāo)識(shí)選擇單元，用于根據(jù)所述地址標(biāo)識(shí)獲取單元獲取的地址標(biāo)識(shí)中，選擇一個(gè)地址標(biāo)識(shí)；公開參數(shù)獲取單元，用于根據(jù)所述地址標(biāo)識(shí)選擇單元選擇的地址標(biāo)識(shí)，根據(jù)所述選擇的地址標(biāo)識(shí)向所述公開參數(shù)服務(wù)器獲取公開參數(shù)；通知單元，用于當(dāng)所述地址標(biāo)識(shí)選擇單元選擇了地址標(biāo)識(shí)后，通知所述服務(wù)器所述選擇的地址標(biāo)識(shí)；相應(yīng)地，所述服務(wù)器的公開參數(shù)協(xié)商模塊具體包括地址標(biāo)識(shí)發(fā)送單元，用于向所述客戶端發(fā)送所述公開參數(shù)服務(wù)器中保存的至少一個(gè)公開參數(shù)的地址標(biāo)識(shí)；接收單元，用于接收所述客戶端返回的選擇的地址標(biāo)識(shí)。獲取單元，用于所述接收單元接收的地址標(biāo)識(shí)，獲取一套用于所述IBE的公開參數(shù)。13.—種客戶端，其特征在于，所述客戶端包括-IBE協(xié)商模塊，用于和服務(wù)器進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商；公開參數(shù)協(xié)商模塊，用于和所述服務(wù)器協(xié)商用于所述IBE的公開參數(shù)；服務(wù)器標(biāo)識(shí)獲取模塊，用于獲取所述服務(wù)器標(biāo)識(shí)；處理模塊，用于根據(jù)所述服務(wù)器標(biāo)識(shí)獲取模塊獲取的服務(wù)器標(biāo)識(shí)和所述公開參數(shù)協(xié)商模塊協(xié)商獲取的公開參數(shù)，生成并發(fā)送所述IBE加密后的預(yù)主密鑰。14.如權(quán)利要求13所述的客戶端，其特征在于，所述IBE協(xié)商模塊具體用于向所述服務(wù)器發(fā)送客戶端請(qǐng)求消息，所述客戶端請(qǐng)求消息中攜帶用于進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的密碼套件；并接收所述服務(wù)器返回的IBE確認(rèn)消息；15.如權(quán)利要求13所述的客戶端，其特征在于，所述公開參數(shù)協(xié)商模塊具體包括公開參數(shù)保存單元，用于保存一套公開參數(shù)；公開參數(shù)選擇單元，用于獲取所述公開參數(shù)保存單元中保存的公開參數(shù)。16.如權(quán)利要求13所述的客戶端，其特征在于，所述公開參數(shù)協(xié)商模塊具體包括公開參數(shù)保存單元，用于保存至少一套公開參數(shù)；公開參數(shù)選擇單元，用于根據(jù)所述服務(wù)器的通知，從所述公開參數(shù)保存單元中選擇一套公開參數(shù)；響應(yīng)單元，用于當(dāng)所述公開參數(shù)選擇單元選擇了一套公開參數(shù)后，響應(yīng)所述服務(wù)器所述選擇的公開參數(shù)。17.如權(quán)利要求13所述的客戶端，其特征在于，所述公開參數(shù)協(xié)商模塊具體包括公開參數(shù)獲取單元，用于獲取所述服務(wù)器發(fā)送的至少一套公開參數(shù)；公開參數(shù)選擇單元，用于從所述公開參數(shù)獲取單元中獲取的公開參數(shù)中，選擇出一套公開參數(shù)；響應(yīng)單元，用于當(dāng)所述公開參數(shù)選擇單元選擇了一套公開參數(shù)后，通知所述服務(wù)器所述選擇的公開參數(shù)；18.如權(quán)利要求13所述的客戶端，其特征在于，所述公開參數(shù)協(xié)商模塊具體包括PKG標(biāo)識(shí)獲取單元，用于獲取所述服務(wù)器發(fā)送的至少一個(gè)所述私鑰生成器PKG標(biāo)識(shí)；PKG標(biāo)識(shí)選擇單元，用于從所述PKG標(biāo)識(shí)獲取單元獲取的PKG標(biāo)識(shí)中，選擇一個(gè)PKG標(biāo)識(shí)；公開參數(shù)獲取單元，用于根據(jù)所述PKG標(biāo)識(shí)選擇單元選擇的PKG標(biāo)識(shí)，向所述選擇的PKG標(biāo)識(shí)對(duì)應(yīng)的PKG獲取公開參數(shù)；通知單元，用于當(dāng)所述PKG標(biāo)識(shí)選擇單元選擇了PKG標(biāo)識(shí)后，通知所述服務(wù)器所述選擇的PKG標(biāo)識(shí)。19.如權(quán)利要求13所述的客戶端，其特征在于，所述公開參數(shù)協(xié)商模塊具體包括-地址標(biāo)識(shí)獲取單元，用于獲取所述服務(wù)器發(fā)送的公開參數(shù)服務(wù)器中保存的至少一個(gè)公開參數(shù)的地址標(biāo)識(shí)；地址標(biāo)識(shí)選擇單元，用于根據(jù)所述地址標(biāo)識(shí)獲取單元獲取的地址標(biāo)識(shí)中，選擇一個(gè)地址標(biāo)識(shí)；公開參數(shù)獲取單元，用于根據(jù)所述地址標(biāo)識(shí)選擇單元選擇的地址標(biāo)識(shí)，根據(jù)所述選擇的地址標(biāo)識(shí)向所述公開參數(shù)服務(wù)器獲取公開參數(shù)；通知單元，用于當(dāng)所述地址標(biāo)識(shí)選擇單元選擇了地址標(biāo)識(shí)后，通知所述服務(wù)器所述選擇的地址標(biāo)識(shí)。20.—種服務(wù)器，其特征在于，所述服務(wù)器包括IBE協(xié)商模塊，用于和客戶端進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的協(xié)商；公開參數(shù)協(xié)商模塊，用于和所述客戶端協(xié)商用于進(jìn)行IBE認(rèn)證的公開參數(shù)；私鑰獲取模塊，用于獲取私鑰，所述私鑰用于解密IBE加密的預(yù)主密鑰；處理模塊，用于接收所述客戶端發(fā)送的IBE加密后的預(yù)主密鑰，利用所述私鑰獲取模塊獲取的私鑰進(jìn)行解密后，獲取所述預(yù)主密鑰的明文。21.如權(quán)利要求20所述的服務(wù)器，其特征在于，所述IBE協(xié)商模塊具體用于接收所述客戶端發(fā)送的客戶端請(qǐng)求消息，所述客戶端請(qǐng)求消息中攜帶用于進(jìn)行基于標(biāo)識(shí)加密的安全認(rèn)證IBE的密碼套件；判斷支持所述IBE認(rèn)證后，向所述客戶端返回確認(rèn)消息。22.如權(quán)利要求20所述服務(wù)器，其特征在于，所述公開參數(shù)協(xié)商模塊具體包括公開參數(shù)保存單元，用于保存一套公開參數(shù)；公開參數(shù)選擇單元，用于獲取所述公開參數(shù)保存單元中保存的公開參數(shù)。23.如權(quán)利要求20所述服務(wù)器，其特征在于，所述公開參數(shù)協(xié)商模塊具體包括公開參數(shù)保存單元，用于保存至少一套公開參數(shù)；通知單元，用于根據(jù)所述公開參數(shù)保存單元保存的公開參數(shù)，向所述客戶端發(fā)送通知；接收單元，用于接收所述客戶端返回的選擇的公開參數(shù)的響應(yīng)；獲取單元，用于根據(jù)所述接收單元接收的響應(yīng)，獲取所述公開參數(shù)保存單元中保存的公開參數(shù)。24.如權(quán)利要求20所述服務(wù)器，其特征在于，所述公開參數(shù)協(xié)商模塊具體包括發(fā)送單元，用于向所述客戶端發(fā)送至少一套公開參數(shù)；接收單元，用于接收所述客戶端返回的選擇的公開參數(shù)的響應(yīng)；獲取單元，用于根據(jù)所述接收單元接收的響應(yīng)，獲取一套公開參數(shù)。25.如權(quán)利要求20所述服務(wù)器，其特征在于，所述公開參數(shù)協(xié)商模塊具體包括PKG標(biāo)識(shí)發(fā)送單元，用于向所述客戶端發(fā)送至少一個(gè)私鑰生成器PKG標(biāo)識(shí)；接收單元，用于接收所述客戶端返回的選擇的PKG標(biāo)識(shí)；獲取單元，用于所述接收單元接收的PKG標(biāo)識(shí)，獲取一套用于所述IBE的公開參數(shù)。26.如權(quán)利要求20所述服務(wù)器，其特征在于，所述公開參數(shù)協(xié)商模塊具體包括地址標(biāo)識(shí)發(fā)送單元，用于向所述客戶端發(fā)送所述公開參數(shù)服務(wù)器中保存的至少一個(gè)公開參數(shù)的地址標(biāo)識(shí)；接收單元，用于接收所述客戶端返回的選擇的地址標(biāo)識(shí)；獲取單元，用于所述接收單元接收的地址標(biāo)識(shí)，獲取一套用于所述IBE的公開參數(shù)。27.—種提供設(shè)備，其特征在于，所述提供設(shè)備用于在服務(wù)器和客戶端在基于IBE的安全套接層SSL協(xié)議的協(xié)商認(rèn)證過程中，根據(jù)所述服務(wù)器和客戶端的協(xié)商結(jié)果提供用于IBE的公開參數(shù)，其中，所述公開參數(shù)用于所述客戶端根據(jù)所述公開參數(shù)和服務(wù)器標(biāo)識(shí)生成并發(fā)送IBE加密的預(yù)主密鑰；相應(yīng)地，所述服務(wù)器根據(jù)所述公開參數(shù)，獲取所述IBE加密的預(yù)主密鑰的明文。28.如權(quán)利要求27所述的提供設(shè)備，其特征在于，所述提供設(shè)備還用于用向服務(wù)器提供私鑰，所述私鑰用于解密IBE加密的預(yù)主密鑰。全文摘要本發(fā)明公開了一種獲取密鑰的方法、系統(tǒng)和設(shè)備，屬于通信領(lǐng)域。所述方法包括服務(wù)器確認(rèn)支持基于標(biāo)識(shí)加密的安全認(rèn)證IBE；獲取用于所述IBE的公開參數(shù)和私鑰；所述服務(wù)器接收IBE加密后的預(yù)主密鑰，根據(jù)所述公開參數(shù)和私鑰獲取所述預(yù)主密鑰的明文。所述系統(tǒng)包括客戶端和服務(wù)器。所述客戶端包括IBE協(xié)商模塊、公開參數(shù)協(xié)商模塊、服務(wù)器標(biāo)識(shí)獲取模塊和處理模塊。所述服務(wù)器包括IBE協(xié)商模塊、公開參數(shù)協(xié)商模塊、私鑰獲取模塊和處理模塊。通過將IBE技術(shù)與SSL技術(shù)結(jié)合，豐富了現(xiàn)有SSL協(xié)議中預(yù)主密鑰的生成形式，實(shí)現(xiàn)了充分?jǐn)U展了現(xiàn)有的SSL協(xié)議的使用范圍的目的。文檔編號(hào)H04L12/46GK101567784SQ20081009312公開日2009年10月28日申請(qǐng)日期2008年4月21日優(yōu)先權(quán)日2008年4月21日發(fā)明者適萬,劉利鋒,敏黃申請(qǐng)人:成都市華為賽門鐵克科技有限公司