進行解密�����,從而獲取私鑰��。
[0151] 圖8為用于說明根據(jù)本發(fā)明的第S實施例而得到私鑰頒發(fā)的終端之間的加密消 息收發(fā)過程的圖���。
[0152] 在通過上述過程而從認(rèn)證服務(wù)器104得到私鑰頒發(fā)的情況下,第一終端112和第 二終端114可分別利用對方的公鑰而進行加密的通信�。例如,當(dāng)假定第一終端112的ID為 A�、第二終端114的ID為B、客戶端側(cè)隨機字符串的更新周期為"日(day)"�、服務(wù)器側(cè)隨機字 符串的更新周期為"月(month)"時,第一終端112和第二終端114的公鑰及私鑰可如下表 /J�、- 〇
[0巧引第一終端112的公鑰A_Today=AII Ra郵yI IRs_t�。切
[0154] 第一終端112的私鑰=tA
[0巧5]第二終端 114 的公鑰B_Today=BIIRe_juiyIIRsjcdw
[0156] 第二終端1 14的私鑰=teToday
[0157] 對于本實施例而言,并不是對于發(fā)送消息之前相關(guān)周期的每一加密通信都需要專 口的服務(wù)器交互(serverinteraction),然而可能會在執(zhí)行加密之前需要一個用于獲取接 收者的相關(guān)周期的有效的客戶端側(cè)隨機字符串的預(yù)先握手化andshake)過程��。并且,如前 所述�,為了驗證從對方處接收到的客戶端側(cè)隨機字符串的有效性,代替簽名而使用每隔相 關(guān)周期得到更新的服務(wù)器側(cè)隨機字符串���。圖示的流程圖表示由第一終端112向第二終端 114發(fā)送消息的過程����。
[0158]首先�����,第一終端112從第二終端114接收相關(guān)周期的公鑰@_Today)(步驟802)�, 并驗證包含于接收到的公鑰中的服務(wù)器側(cè)隨機字符串(步驟804)。如果進行所述驗證的結(jié) 果為所接收的服務(wù)器側(cè)隨機字符串有效��,則第一終端112利用相關(guān)周期的公鑰@_Today) 而將消息(data)進行加密并傳送給第二終端114 (步驟806)�����。接收到消息的第二終端114 利用自己的私鑰(tBTDdw)而將接收到的消息進行解密��,從而使消息復(fù)原(步驟808)��。
[0159] 另外�����,從認(rèn)證服務(wù)器104接收相關(guān)周期的服務(wù)器側(cè)隨機字符串的方法可如下所述 地多樣地采用。
[0160] 首先�,如圖7所示,在更新自己的私鑰時�,可通過基于ID和密碼的密鑰交換而認(rèn)證 彼此并接收傳遞。而且����,可W與私鑰頒發(fā)無關(guān)地通過服務(wù)器/用戶兩者之間的認(rèn)證而從認(rèn) 證服務(wù)器104接收服務(wù)器側(cè)隨機字符串。
[0161] 并且���,由于服務(wù)器側(cè)隨機字符串并不是秘密信息�,因此可通過公開的信道而使認(rèn) 證服務(wù)器104在預(yù)定時間(例如�,每日的子時整)播送相關(guān)日期的服務(wù)器側(cè)隨機字符串,或 者公告于公開的網(wǎng)站����。然而,在此情況下�,即使相關(guān)隨機字符串的值本身并非秘密信息,也 是需要進行認(rèn)證作業(yè)W確認(rèn)已將其傳遞到認(rèn)證的服務(wù)器的該一情況���,為此�,可應(yīng)用?�?诘?電子簽名技術(shù)或公認(rèn)網(wǎng)站公告等方法�����。
[0162] 本發(fā)明的實施例可包括記錄有用于在計算機上執(zhí)行本說明書中記載的過程的程 序的計算機可讀記錄介質(zhì)�。所述計算機可讀記錄介質(zhì)能夠W單獨或組合的方式包含程序命 令、本地數(shù)據(jù)文件���、本地數(shù)據(jù)結(jié)構(gòu)等���。所述介質(zhì)既可W是為了本發(fā)明而特別設(shè)計并構(gòu)成的介 質(zhì),也可W是被計算機軟件領(lǐng)域中具有普通知識的人員所公知而可W使用的介質(zhì)�。計算機 可讀記錄介質(zhì)的例中包括硬盤、軟盤W及磁帶之類的磁介質(zhì)�����;CD-ROM�����、DVD之類的光記錄介 質(zhì)���;軟盤之類的磁光介質(zhì)W及ROM���、RAM��、快閃存儲器等為了存儲并執(zhí)行程序命令而特別構(gòu) 成的硬件裝置��。程序命令的例中不僅包括通過編譯器制作的機器語言代碼��,而且還可W包 括借助于解釋器等而被計算機執(zhí)行的高級語言代碼����。
[0163] W上已通過代表性實施例而對本發(fā)明進行了詳細(xì)說明��,然而本發(fā)明所屬的技術(shù)領(lǐng) 域中具有普通知識的人員相信會理解能夠在不脫離本發(fā)明范圍的限度內(nèi)對所述實施例進 行多種多樣的變形���。
[0164] 因此��,本發(fā)明的權(quán)利范圍不應(yīng)局限于所述的實施例而確定�����,而是要根據(jù)權(quán)利要求 書及其等價內(nèi)容進行確定���。
【主權(quán)項】
1. 一種基于ID的密鑰管理系統(tǒng)�����,包括: 認(rèn)證服務(wù)器,通過基于終端用戶的ID和密碼的密鑰交換而認(rèn)證終端���,并與所述終端生 成安全信道�,且通過所述安全信道而將所述終端用戶的基于ID的私鑰提供給所述終端����; 私鑰生成器,根據(jù)所述認(rèn)證服務(wù)器的請求而生成對應(yīng)于所述終端用戶的ID的私鑰���。
2. 如權(quán)利要求1所述的基于ID的密鑰管理系統(tǒng)���,其中,所述認(rèn)證服務(wù)器利用與所述終 端進行交換的密鑰生成因子而生成基于ID的密鑰����,并利用所述密鑰而將由所述終端傳送 的所述密碼進行解密。
3. 如權(quán)利要求2所述的基于ID的密鑰管理系統(tǒng)���,其中����,所述認(rèn)證服務(wù)器利用硬件安全 模塊而執(zhí)行針對所述ID和密碼的認(rèn)證。
4. 如權(quán)利要求1所述的基于ID的密鑰管理系統(tǒng)�����,其中�����,所述認(rèn)證服務(wù)器將按已設(shè)定的 周期的填充字符串附加于所述終端用戶的ID��,從而生成對應(yīng)于相關(guān)周期的臨時ID����,并通過 與所述私鑰生成器之間的通信而獲取對應(yīng)于所述臨時ID的私鑰。
5. 如權(quán)利要求4所述的基于ID的密鑰管理系統(tǒng)���,其中����,所述私鑰生成器利用硬件安全 模塊而生成所述私鑰�����。
6. 如權(quán)利要求4所述的基于ID的密鑰管理系統(tǒng),其中�,所述填充字符串包括相關(guān)周期 的日期信息。
7. 如權(quán)利要求4所述的基于ID的密鑰管理系統(tǒng)�,其中,所述填充字符串包括相關(guān)周期 的終端側(cè)隨機字符串和服務(wù)器側(cè)基于ID的簽名��。
8. 如權(quán)利要求7所述的基于ID的密鑰管理系統(tǒng)���,其中,所述認(rèn)證服務(wù)器從所述終端接 收所述終端側(cè)隨機字符串����,并將接收到的所述終端側(cè)隨機字符串附加于所述終端的ID而 生成所述臨時ID,且利用所述認(rèn)證服務(wù)器的私鑰而生成針對所述臨時ID的所述服務(wù)器側(cè) 基于ID的簽名����,并將生成的所述服務(wù)器側(cè)基于ID的簽名發(fā)送給所述終端。
9. 如權(quán)利要求8所述的基于ID的密鑰管理系統(tǒng)����,其中,所述認(rèn)證服務(wù)器利用硬件安全 模塊而生成所述服務(wù)器側(cè)基于ID的簽名����。
10. 如權(quán)利要求4所述的基于ID的密鑰管理系統(tǒng)�����,其中�,所述填充字符串包括相關(guān)周期 的終端側(cè)隨機字符串和服務(wù)器側(cè)隨機字符串���。
11. 如權(quán)利要求10所述的基于ID的密鑰管理系統(tǒng)���,其中,所述終端側(cè)隨機字符串的更 新周期設(shè)定為不同于所述服務(wù)器側(cè)隨機字符串的更新周期��。
12. 如權(quán)利要求10所述的基于ID的密鑰管理系統(tǒng)���,其中�����,所述認(rèn)證服務(wù)器用于與所述 終端交換所述終端側(cè)隨機字符串和所述服務(wù)器側(cè)隨機字符串���,并將交換的所述終端側(cè)隨機 字符串和所述服務(wù)器側(cè)隨機字符串附加于所述終端用戶的ID,從而生成所述臨時ID���。
13. 如權(quán)利要求1所述的基于ID的密鑰管理系統(tǒng)���,其中���,所述認(rèn)證服務(wù)器利用與所述終 端進行交換的密鑰生成因子而生成基于ID的會話密鑰,并利用生成的所述會話密鑰加密 所述私鑰而提供給所述終端����。
14. 一種基于ID的密鑰管理方法,包括如下步驟: 在認(rèn)證服務(wù)器中���,通過基于終端用戶的ID和密碼的密鑰交換而認(rèn)證終端,并生成所述 終端和安全信道�����; 在所述認(rèn)證服務(wù)器中�,生成認(rèn)證的所述終端用戶的基于ID的私鑰; 在所述認(rèn)證服務(wù)器中�����,通過所述安全信道而將所述私鑰提供給所述終端�。
15. 如權(quán)利要求14所述的基于ID的密鑰管理方法����,其中���,在認(rèn)證所述終端并生成安全 信道的步驟中��,還包括如下步驟: 與所述終端交換密鑰生成因子��; 利用所述密鑰生成因子而生成基于ID的密鑰�����; 利用所述密鑰而將由所述終端傳送的所述密碼進行解密�����。
16. 如權(quán)利要求14所述的基于ID的密鑰管理方法�,其中�����,在生成所述基于ID的私鑰的 步驟中��,還包括如下步驟: 將按已設(shè)定的周期的填充字符串附加于所述終端用戶的ID��,從而生成對應(yīng)于相關(guān)周期 的臨時ID ; 計算對應(yīng)于所述臨時ID的私鑰。
17. 如權(quán)利要求16所述的基于ID的密鑰管理方法���,其中�����,所述填充字符串包括相關(guān)周 期的日期信息���。
18. 如權(quán)利要求16所述的基于ID的密鑰管理方法,其中����,所述填充字符串包括相關(guān)周 期的終端側(cè)隨機字符串和服務(wù)器側(cè)基于ID的簽名。
19. 如權(quán)利要求18所述的基于ID的密鑰管理方法�,其中,在認(rèn)證所述終端并生成安全 信道的步驟中�,還包括如下步驟: 從所述終端接收所述終端側(cè)隨機字符串����; 將接收到的所述終端側(cè)隨機字符串附加于所述終端的ID,從而生成所述臨時ID ; 利用所述認(rèn)證服務(wù)器的私鑰而生成針對所述臨時ID的所述服務(wù)器側(cè)基于ID的簽名�; 將生成的所述服務(wù)器側(cè)基于ID的簽名發(fā)送給所述終端。
20. 如權(quán)利要求16所述的基于ID的密鑰管理方法����,其中�,所述填充字符串包括相關(guān)周 期的終端側(cè)隨機字符串和服務(wù)器側(cè)隨機字符串�����。
21. 如權(quán)利要求20所述的基于ID的密鑰管理方法��,其中�����,所述終端側(cè)隨機字符串的更 新周期設(shè)定為不同于所述服務(wù)器側(cè)隨機字符串的更新周期����。
22. 如權(quán)利要求21所述的基于ID的密鑰管理方法,其中�����,在認(rèn)證所述終端并生成安全 信道的步驟中���,還包括如下步驟: 與所述終端交換所述終端側(cè)隨機字符串和所述服務(wù)器側(cè)隨機字符串���; 將交換的所述終端側(cè)隨機字符串和所述服務(wù)器側(cè)隨機字符串附加于所述終端用戶的 ID�����,從而生成所述臨時ID�。
23. 如權(quán)利要求14所述的基于ID的密鑰管理方法�,其中,在提供所述私鑰的步驟中���,還 包括如下步驟: 借助于利用與所述終端進行交換的密鑰生成因子而生成的基于ID的會話密鑰���,將所 述私鑰進行加密; 將加密的所述私鑰發(fā)送給所述終端�。
【專利摘要】本發(fā)明公開一種基于ID的密鑰管理系統(tǒng)及方法。根據(jù)本發(fā)明的一個實施例的基于ID的密鑰管理系統(tǒng)���,包括:認(rèn)證服務(wù)器����,通過基于終端用戶的ID和密碼的密鑰交換而認(rèn)證終端�����,并與所述終端生成安全信道(secure channel)��,且通過所述安全信道而將所述終端用戶的基于ID的私鑰提供給所述終端����;私鑰生成器,根據(jù)所述認(rèn)證服務(wù)器的請求而生成對應(yīng)于所述終端用戶的ID的私鑰�����。
【IPC分類】H04L29-06, H04L9-08
【公開號】CN104753917
【申請?zhí)枴緾N201410718151
【發(fā)明人】尹爻珍, 瑪?shù)禄隆ぜ{克吉瑞
【申請人】三星Sds株式會社, Sds美國有限公司
【公開日】2015年7月1日
【申請日】2014年12月1日
【公告號】US20150039883