基于id的密鑰管理系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及一種網(wǎng)絡(luò)上的安全技術(shù)。
【背景技術(shù)】
[0002] 隨著利用互聯(lián)網(wǎng)的服務(wù)的提供普遍化，網(wǎng)絡(luò)上的安全逐漸變得重要。尤其，并非只 是通過互聯(lián)網(wǎng)而單純地提供信息，而是迎來(lái)網(wǎng)上銀行、電子商務(wù)等服務(wù)的增加，于是，對(duì)用 于在互聯(lián)網(wǎng)上安全地傳遞重要信息的技術(shù)的需求逐漸增加。
[000引作為網(wǎng)絡(luò)上的安全技術(shù)之一，有一種基于ID的加密（IBCidentityBased化yptography)技術(shù)。基于ID的加密不需要?？诘恼J(rèn)證書，且不需要預(yù)先分配加密密鑰，由 于具有諸如此類的多種優(yōu)點(diǎn)，近來(lái)在多種領(lǐng)域得到使用。
[0004] 然而，對(duì)于現(xiàn)有的IBC技術(shù)而言，不包括為了頒發(fā)私鑰而構(gòu)建服務(wù)器與用戶之間 的安全信道（securechannel)的方法，或者采用通過通常的基于PKI的化S/S化等網(wǎng)絡(luò)安 全技術(shù)而構(gòu)成安全信道的方法。然而，如果該樣為了頒發(fā)私鑰而導(dǎo)入現(xiàn)有技術(shù)中的算法，貝U 畢竟無(wú)異于拋棄不需要專口的認(rèn)證書該一IBC本身的優(yōu)點(diǎn)。換言之，如果采用現(xiàn)有技術(shù)，貝U 終端需要管理用于頒發(fā)私鑰的?？诘恼J(rèn)證書，該只能對(duì)認(rèn)證書的管理帶來(lái)負(fù)擔(dān)，而且也無(wú) 法完善地保障密鑰頒發(fā)過程中的安全性。

【發(fā)明內(nèi)容】

[0005] 本發(fā)明的實(shí)施例的目的在于提供一種在基于ID的加密（IdentityBased hyptogra地y)體系中確保用于頒發(fā)密鑰的用戶認(rèn)證及安全信道的技術(shù)方案。并且，本發(fā)明 的實(shí)施例的目的在于提供一種強(qiáng)化基于ID的加密中所用到的密鑰的安全性并使密鑰的更 新扣pdate)變得容易的技術(shù)方案。
[0006] 根據(jù)本發(fā)明的一個(gè)實(shí)施例的基于ID的密鑰管理系統(tǒng)，包括：認(rèn)證服務(wù)器，通過 基于終端用戶的ID和密碼的密鑰交換而認(rèn)證終端，并與所述終端生成安全信道（secure channel),且通過所述安全信道而將所述終端用戶的基于ID的私鑰提供給所述終端；私鑰 生成器，根據(jù)所述認(rèn)證服務(wù)器的請(qǐng)求而生成對(duì)應(yīng)于所述終端用戶的ID的私鑰。
[0007] 所述認(rèn)證服務(wù)器可利用與所述終端進(jìn)行交換的密鑰生成因子而生成基于ID的密 鑰，并利用所述密鑰而將由所述終端傳送的所述密碼進(jìn)行解密。
[000引所述認(rèn)證服務(wù)器可利用硬件安全模塊化SM;HardwareSecurityMo化le)而執(zhí)行 針對(duì)所述ID和密碼的認(rèn)證。
[0009] 所述認(rèn)證服務(wù)器可將按已設(shè)定的周期的填充字符串附加于所述終端用戶的ID，從 而生成對(duì)應(yīng)于相關(guān)周期的臨時(shí)ID，并可通過與所述私鑰生成器之間的通信而獲取對(duì)應(yīng)于所 述臨時(shí)ID的私鑰。
[0010] 所述私鑰生成器可利用硬件安全模塊化SM;HardwareSecurityMo化le)而生成 所述私鑰。
[0011] 所述填充字符串可包括相關(guān)周期的日期信息。
[0012] 所述填充字符串可包括相關(guān)周期的終端側(cè)隨機(jī)字符串和服務(wù)器側(cè)基于ID的簽名 (IBS ;Identity Based Signature)。
[0013] 所述認(rèn)證服務(wù)器可從所述終端接收所述終端側(cè)隨機(jī)字符串，并將接收到的所述終 端側(cè)隨機(jī)字符串附加于所述終端的ID而生成所述臨時(shí)ID，且利用所述認(rèn)證服務(wù)器的私鑰 而生成針對(duì)所述臨時(shí)ID的所述服務(wù)器側(cè)基于ID的簽名，并將生成的所述服務(wù)器側(cè)基于ID 的簽名發(fā)送給所述終端。
[0014] 所述認(rèn)證服務(wù)器利用硬件安全模塊化SM ;Hardware Security Mo化le)而生成所 述服務(wù)器側(cè)基于ID的簽名。
[0015] 所述填充字符串可包括相關(guān)周期的終端側(cè)隨機(jī)字符串和服務(wù)器側(cè)隨機(jī)字符串。
[0016] 所述終端側(cè)隨機(jī)字符串的更新周期可設(shè)定為不同于所述服務(wù)器側(cè)隨機(jī)字符串的 更新周期。
[0017] 所述認(rèn)證服務(wù)器可與所述終端交換所述終端側(cè)隨機(jī)字符串和所述服務(wù)器側(cè)隨機(jī) 字符串，并將交換的所述終端側(cè)隨機(jī)字符串和所述服務(wù)器側(cè)隨機(jī)字符串附加于所述終端用 戶的ID，從而生成所述臨時(shí)ID。
[0018] 所述認(rèn)證服務(wù)器可利用與所述終端進(jìn)行交換的密鑰生成因子而生成基于ID的會(huì) 話密鑰，并利用生成的所述會(huì)話密鑰加密所述私鑰而提供給所述終端。
[0019] 另外，根據(jù)本發(fā)明的一個(gè)實(shí)施例的基于ID的密鑰管理方法，包括如下步驟；在認(rèn) 證服務(wù)器中，通過基于終端用戶的ID和密碼的密鑰交換而認(rèn)證終端，并生成所述終端和安 全信道（securechannel);在所述認(rèn)證服務(wù)器中，生成認(rèn)證的所述終端用戶的基于ID的私 鑰；在所述認(rèn)證服務(wù)器中，通過所述安全信道而將所述私鑰提供給所述終端。
[0020] 在認(rèn)證所述終端并生成安全信道的步驟中，還可W包括如下步驟；與所述終端交 換密鑰生成因子；利用所述密鑰生成因子而生成基于ID的密鑰；利用所述密鑰而將由所述 終端傳送的所述密碼進(jìn)行解密。
[0021] 在生成所述基于ID的私鑰的步驟中，還可W包括如下步驟；將按已設(shè)定的周期的 填充字符串附加于所述終端用戶的ID，從而生成對(duì)應(yīng)于相關(guān)周期的臨時(shí)ID;計(jì)算對(duì)應(yīng)于所 述臨時(shí)ID的私鑰。
[0022] 所述填充字符串可包括相關(guān)周期的日期信息。
[0023] 所述填充字符串可包括相關(guān)周期的終端側(cè)隨機(jī)字符串和服務(wù)器側(cè)基于ID的簽名 (IBS ;Identity Based Signature)。
[0024] 在認(rèn)證所述終端并生成安全信道的步驟中，還可W包括如下步驟；從所述終端接 收所述終端側(cè)隨機(jī)字符串；將接收到的所述終端側(cè)隨機(jī)字符串附加于所述終端的ID，從而 生成所述臨時(shí)ID;利用所述認(rèn)證服務(wù)器的私鑰而生成針對(duì)所述臨時(shí)ID的所述服務(wù)器側(cè)基 于ID的簽名；將生成的所述服務(wù)器側(cè)基于ID的簽名發(fā)送給所述終端。
[0025] 所述填充字符串可包括相關(guān)周期的終端側(cè)隨機(jī)字符串和服務(wù)器側(cè)隨機(jī)字符串。
[0026] 所述終端側(cè)隨機(jī)字符串的更新周期可設(shè)定為不同于所述服務(wù)器側(cè)隨機(jī)字符串的 更新周期。
[0027] 在認(rèn)證所述終端并生成安全信道的步驟中，還可W包括如下步驟；與所述終端交 換所述終端側(cè)隨機(jī)字符串和所述服務(wù)器側(cè)隨機(jī)字符串；將交換的所述終端側(cè)隨機(jī)字符串和 所述服務(wù)器側(cè)隨機(jī)字符串附加于所述終端用戶的ID，從而生成所述臨時(shí)ID。
[002引在提供所述私鑰的步驟中，還可W包括如下步驟：借助于利用與所述終端進(jìn)行交 換的密鑰生成因子而生成的基于ID的會(huì)話密鑰，將所述私鑰進(jìn)行加密；將加密的所述私鑰 發(fā)送給所述終端。
[0029] 根據(jù)本發(fā)明的實(shí)施例，通過基于ID和密碼的密鑰交換而執(zhí)行用于頒發(fā)密鑰的用 戶認(rèn)證并確保安全信道，從而不用對(duì)?？诘恼J(rèn)證書等進(jìn)行管理也能夠頒發(fā)密鑰，而且還具 有強(qiáng)化安全性的效果。
[0030] 并且，根據(jù)本發(fā)明的實(shí)施例，將定期更新的填充字符串附加于基于ID的加密中所 用到的用戶ID，從而可W提高密鑰的安全性，同時(shí)還具有輕松實(shí)現(xiàn)密鑰的更新扣pdate)的 優(yōu)點(diǎn)。
[0031] 而且，根據(jù)本發(fā)明的實(shí)施例，在認(rèn)證服務(wù)器104的用戶認(rèn)證及安全信道生成過程 中，利用?？诘挠布踩K化SM;HardwreSecurityMo化le)，從而具有與現(xiàn)有技術(shù)相比 可W維持高水平的安全的優(yōu)點(diǎn)。
【附圖說明】
[0032] 圖1為用于說明根據(jù)本發(fā)明的一個(gè)實(shí)施例的基于ID的密鑰管理系統(tǒng)100的模塊 圖。
[0033] 圖2為用于說明在根據(jù)本發(fā)明的一個(gè)實(shí)施例的基于ID的密鑰管理系統(tǒng)100中的 認(rèn)證及私鑰頒發(fā)過程200的流程圖。
[0034] 圖3為用于說明根據(jù)本發(fā)明的第一實(shí)施例的私鑰頒發(fā)過程300的流程圖。
[0035] 圖4為用于說明根據(jù)本發(fā)明的第一實(shí)施例而得到私鑰頒發(fā)的終端之間的加密消 息收發(fā)過程的圖。
[0036] 圖5為用于說明根據(jù)本發(fā)明的第二實(shí)施例的私鑰頒發(fā)過程500的流程圖。
[0037] 圖6為用于說明根據(jù)本發(fā)明的第二實(shí)施例而得到私鑰頒發(fā)的終端之間的加密消 息收發(fā)過程的圖。
[003引圖7為用于說明根據(jù)本發(fā)明的第S實(shí)施例的私鑰頒發(fā)過程700的流程圖。
[0039] 圖8為用于說明根據(jù)本發(fā)明的第S實(shí)施例而得到私鑰頒發(fā)的終端之間的加密消 息收發(fā)過程的圖。
[0040] 符號(hào)說明：
[0041] 100 ;基于ID的密鑰管理系統(tǒng) 102 ;服務(wù)提供方
[00創(chuàng) 104 ;認(rèn)證服務(wù)器 106 ;私鑰生成器
[0043] 108;公開參數(shù)服務(wù)器 110;應(yīng)用提供服務(wù)器
[0044] 112;第一終端 114;第二終端
【具體實(shí)施方式】
[0045]W下，參照【附圖說明】本發(fā)明的【具體實(shí)施方式】。然而該只不過是示例，本發(fā)明并不局 限于此。
[0046] 在說明本發(fā)明時(shí)，如果認(rèn)為對(duì)有關(guān)本發(fā)明的公知技術(shù)的具體說明有可能對(duì)本發(fā)明 的主旨造成不必要的混亂，則省略其詳細(xì)說明。另外，后述的術(shù)語(yǔ)為考慮到在本發(fā)明中的功 能而定義的術(shù)語(yǔ)，其可能因使用者、運(yùn)用者的意圖或慣例等而不同。因此，要將貫穿整個(gè)說 明書的內(nèi)容作為基礎(chǔ)而對(duì)其進(jìn)行定義。
[0047] 本發(fā)明的技術(shù)思想由權(quán)利要求書確定，W下的實(shí)施例只是用于將本發(fā)明的技術(shù)思 想有效地說明給本發(fā)明所屬技術(shù)領(lǐng)域中具有普通知識(shí)的人員的一種方式。
[0048]圖1為用于說明根據(jù)本發(fā)明的一個(gè)實(shí)施例的基于ID的密鑰管理系統(tǒng)100的模塊 圖。如圖所示，根據(jù)本發(fā)明的一個(gè)實(shí)施例的基于ID的密鑰管理系統(tǒng)100包括服務(wù)提供方 102、認(rèn)證服務(wù)器104、私鑰生成器106、公開參數(shù)服務(wù)器108、應(yīng)用提供服務(wù)器110、第一終 端112W及第二終端114。該樣的基于ID的密鑰管理系統(tǒng)100構(gòu)成為通過網(wǎng)絡(luò)而收發(fā)消 息（數(shù)據(jù)包）。在本發(fā)明的實(shí)施例中，所述網(wǎng)絡(luò)的類型方面沒有限制，可包括有無(wú)線互聯(lián)網(wǎng)、 移動(dòng)通信網(wǎng)等數(shù)據(jù)可實(shí)現(xiàn)包通信的所有類型的網(wǎng)絡(luò)。并且，為了防止通過網(wǎng)絡(luò)的惡意性用 戶的入侵等，至少有服務(wù)提供方102、認(rèn)證服務(wù)器104、私鑰生成器106W及公開參數(shù)服務(wù)器 108可W通過防火墻而得到保護(hù)。
[0049] 服務(wù)提供方（ServiceProvider) 102為用于在網(wǎng)絡(luò)上給用戶提供基于互聯(lián)網(wǎng)的服 務(wù)的服務(wù)器。例如，服務(wù)提供方102可提供即時(shí)消息服務(wù)、VoIP服務(wù)、多媒體提供服務(wù)、檢 索服務(wù)等多種類型的服務(wù)。服務(wù)提供方102與后述的認(rèn)證服務(wù)器104可