本發明專利技術涉及一種標識私鑰獲取與發放方法,所述方法針對的是用戶管理(包括標識管理)功能和標識私鑰生成功能分離部署的面向電子通信標識的標識密鑰服務系統;所述標識密鑰服務系統包括標識私鑰生成子系統、標識認證子系統、帳戶與標識數據庫以及標識密鑰服務客戶端;用戶在線獲取私鑰時,先使用標識密鑰服務客戶端連接標識認證子系統,采用通常的身份鑒別手段完成在線身份鑒別并獲得證明其是要生成私鑰的電子通信標識的擁有者的標識令牌,然后將獲得的標識令牌提交到標識私鑰生成子系統請求生成私鑰,標識私鑰生成子系統在驗證標識令牌的有效性并通過發送隨機信息方式確認用戶是電子通信標識的擁有者后為用戶生成并返回電子通信標識對應的私鑰。
【技術實現步驟摘要】
一種標識私鑰獲取與發放方法
本專利技術屬于信息安全
,特別是一種針對用戶管理(包括標識管理)功能和標識私鑰生成功能分離部署的標識密鑰服務系統的標識私鑰獲取與發放方法。
技術介紹
基于標識的密碼技術(IdentityBasedCryptography,IBC)屬于公開密鑰密碼技術。在基于標識的密碼技術中,用戶的一個唯一標識就是一個公鑰,如電子郵箱地址、手機號碼等(電子通信標識),稱為IBC公鑰(實際上是一組IBC系統參數加上一個標識構成了一個IBC公鑰),可用于數據加密和簽名驗證;每個標識對應一個私鑰,稱為IBC私鑰(實際上是一組IBC系統參數加上一個私密數據構成了一個IBC私鑰),可用于數據解密和數字簽名。在IBC中,用戶的身份標識對應的私鑰由一個專門的標識密鑰服務系統產生。當用戶或用戶應用程序從標識密鑰服務系統在線獲取標識私鑰時,為了保證私鑰獲取與發放的安全,除了采用安全的密鑰傳輸通道外(如SSL加密通道),標識密鑰服務系統還需要通過一定的技術手段和流程確保在線請求獲取標識私鑰的用戶(或運行應用程序的用戶)就是標識的真正擁有者(而不是假冒者)。目前的標識密鑰服務系統通常是將用戶管理(包括標識管理)功能和標識私鑰生成功能集成在同一系統并部署在同一位置(位于同一個安全網絡中)。對于這樣的標識密鑰服務系統,要確認在線請求獲取標識私鑰的用戶(或運行應用程序的用戶)確實是要生成私鑰的標識的真正擁有者是比較容易的,有多種技術方案可供選擇,包括采用數字證書等高安全的身份鑒別手段。但在實際應用中,人們可能需要將標識密鑰服務系統中的用戶管理(包括標識管理)功能和標識私鑰生成功能分離,分別部署在兩個不同的系統、不同的位置,比如,在面向公眾的標識密鑰服務中,提供用戶管理(包括標識管理)功能的系統有可能是互聯網應用服務提供商的用戶管理系統(如云存儲服務的用戶管理系統),并由互聯網應用服務提供商負責運行和維護,而提供標識私鑰生成功能的系統又由一個獲得國家相關主管部門授權的專業機構負責運行和維護(提供公共密鑰服務需要具備專門的資質);再比如,為了保障標識私鑰生成的安全性,可能需要采用標識私鑰分割生成的方案,即由兩個或兩個以上的標識私鑰生成系統分別生成標識私鑰,然后將它們分別生成的標識私鑰在用戶端通過組合運算形成最終的標識私鑰,這時要求多個標識私鑰生成系統中至少有一個要與負責用戶管理(包括標識管理)的系統分離部署在不同的位置。在用戶管理(包括標識管理)功能和標識私鑰生成功能分離部署的情形下,負責標識私鑰生成的系統通常是不保存用戶的信息的(包括用戶帳戶信息和標識信息),否則的話,維護并保持保存在不同位置的用戶信息的一致將是非常麻煩和困難的事情。因此,對于這種用戶管理(包括標識管理)功能和標識私鑰生成功能分離部署的標識密鑰服務系統,通常的用戶管理(包括標識管理)功能和標識私鑰生成功能集成在同一系統并部署在同一位置情形下的標識私鑰獲取與發放方案顯然不再適用,需要有不一樣的標識私鑰獲取與發放方案,以保證用戶標識私鑰在線獲取與發放的安全。對于用戶管理(包括標識管理)功能和標識私鑰生成功能分離部署的標識密鑰服務系統,本專利技術申請人曾在其專利技術專利申請“一種集成IBE數據加密系統”(申請號:201210427464.1)中提出一種使用數字證書對用戶進行在線身份鑒別以保證在線標識私鑰獲取與發放過程安全的方案,但數字證書在實際應用中包括在數字證書申請、使用過程中都存在比較麻煩的問題(這也是數字證書目前并未獲得廣泛應用的重要原因),因此,從易用性的角度,在標識私鑰獲取與發放過程中使用數字證書進行用戶在線身份鑒別未必是合適的方案,特別是在面向公眾提供密鑰服務時,需要一種既安全又便捷的方案;還有,專利申請201210427464.1中的標識私鑰在線獲取與發放方案的另一個問題是不能防止負責用戶管理(包括標識管理)的機構假冒用戶從標識私鑰生成系統獲取用戶標識私鑰,而這是用戶非常關心的一個問題;再有,專利申請201210427464.1中的標識私鑰在線獲取與發放方案沒有考慮生成與發放的標識私鑰具有不同的安全等級的情況(不同等級的標識私鑰對應不同的密鑰強度和/或系統參數)。本專利技術針對的是用戶管理(包括標識管理)功能和標識私鑰生成功能分離部署的面向電子通信標識的標識密鑰服務系統,其中,電子通信標識是指電子通信設施(如電子郵件系統、移動通信系統)中用于標識用戶或通信終端的通信地址或號碼,包括電子郵箱地址以及移動通信終端號碼。本專利技術針對的所述用戶管理(包括標識管理)功能和標識私鑰生成功能分離部署的標識密鑰服務系統包括如下構件:標識私鑰生成子系統:為用戶在線生成電子通信標識所對應的私鑰(即標識私鑰或IBC私鑰)的系統構件;標識認證子系統:維護用戶信息包括用戶帳戶信息和電子通信標識信息的系統構件;用戶從標識私鑰生成子系統獲取電子通信標識對應的私鑰前在標識認證子系統注冊一個服務帳戶;用戶在標識認證子系統進行帳戶注冊時,或者在完成帳戶注冊后登錄標識認證子系統,一次或分次注冊一個或一個以上的電子通信標識;對于用戶注冊的電子通信標識,標識認證子系統通過預定的方式包括通過發送隨機信息方式確認用戶是電子通信標識的擁有者,即進行電子通信標識的歸屬確認;電子通信標識的歸屬確認通過后,標識認證子系統將用戶注冊的電子通信標識與用戶在標識認證子系統的帳戶關聯(通過標識認證子系統的帳戶與標識數據庫實現關聯);帳戶與標識數據庫:標識認證子系統保存用戶帳戶和電子通信標識信息的數據庫系統;標識密鑰服務客戶端:用戶或用戶應用程序用于在線獲取電子通信標識所對應的私鑰的用戶端軟件(客戶端軟件),包括專用客戶端或瀏覽器通用客戶端。針對這種用戶管理(包括標識管理)功能和標識私鑰生成功能分離部署的面向電子通信標識的標識密鑰服務系統提出一種既安全又便捷的標識私鑰獲取與發放方案是本專利技術要解決的問題。
技術實現思路
本專利技術的目的是針對用戶管理(包括標識管理)功能和標識私鑰生成功能分離部署的面向電子通信標識的標識密鑰服務系統,提出一種既能保證用戶標識私鑰在線獲取與發放的安全性又能保證標識私鑰獲取與發放的便捷性的標識私鑰獲取與發放方法,且所述方法能夠防止負責用戶管理(包括標識管理)系統運行的機構假冒用戶獲取標識私鑰,能夠支持生成與發放的標識私鑰具有不同安全等級的情況。為了實現上述目的,本專利技術所采用的技術方案是:一種標識私鑰獲取與發放方法,所述方法如下:第一步:獲取標識私鑰的用戶或用戶應用程序使用標識密鑰服務客戶端連接標識認證子系統,請求簽發證明用戶是要生成私鑰的電子通信標識的擁有者的標識令牌;第二步:標識認證子系統采用通常的在線身份鑒別手段包括帳戶名+靜態口令或帳戶名+動態口令方式對用戶進行在線身份鑒別;第三步:用戶在線身份鑒別通過后,標識認證子系統通過查詢帳戶與標識數據庫確認用戶已注冊要生成私鑰的電子通信標識且注冊的電子通信標識已通過歸屬確認;第四步:用戶電子通信標識已注冊且已通過歸屬確認的查詢確認通過后,標識認證子系統為用戶簽發并返回證明用戶擁有要生成私鑰的電子通信標識的標識令牌;所述標識令牌中包含用戶要生成私鑰的電子通信標識,具有時間有效性限制(從當前時刻開始的某個小時間段內有效),并由標識認證子系統數字簽本文檔來自技高網...
【技術保護點】
一種標識私鑰獲取與發放方法,所述方法如下:第一步:獲取標識私鑰的用戶或用戶應用程序使用標識密鑰服務客戶端連接標識認證子系統,請求簽發證明用戶是要生成私鑰的電子通信標識的擁有者的標識令牌;第二步:標識認證子系統采用通常的在線身份鑒別手段對用戶進行在線身份鑒別,所述通常的在線身份鑒別手段包括帳戶名+靜態口令或帳戶名+動態口令方式;第三步:用戶在線身份鑒別通過后,標識認證子系統通過查詢帳戶與標識數據庫確認用戶已注冊要生成私鑰的電子通信標識且注冊的電子通信標識已通過歸屬確認;第四步:用戶電子通信標識已注冊且已通過歸屬確認的查詢確認通過后,標識認證子系統為用戶簽發并返回證明用戶擁有要生成私鑰的電子通信標識的標識令牌;所述標識令牌中包含用戶要生成私鑰的電子通信標識,具有時間有效性限制,并由標識認證子系統數字簽名;第五步:標識密鑰服務客戶端連接標識私鑰生成子系統,提交從標識認證子系統獲取的標識令牌,請求生成標識令牌中指示的電子通信標識對應的私鑰;第六步:標識私鑰生成子系統驗證標識令牌的有效性包括時間有效性和數字簽名有效性;第七步:標識令牌有效性驗證通過后,標識私鑰生成子系統通過發送隨機信息方式確認用戶是要生成私鑰的電子通信標識的擁有者,即對電子通信標識進行歸屬確認;第八步:電子通信標識歸屬確認通過后,標識私鑰生成子系統為 用戶生成電子通信標識對應的私鑰,并通過加密通道返回生成的私鑰;所述電子通信標識是指電子通信設施中用于標識用戶或通信終端的通信地址或號碼,所述通信終端的通信地址或號碼包括電子郵箱地址以及移動通信終端號碼;所述標識密鑰服務客戶端、標識認證子系統、帳戶與標識數據庫及標識私鑰生成子系統是標識密鑰服務系統的構件;其中,標識私鑰生成子系統:用于為用戶在線生成電子通信標識所對應的私鑰;標識認證子系統:用于維護用戶信息包括用戶帳戶信息和電子通信標識信息;用戶從標識私鑰生成子系統獲取電子通信標識對應的私鑰前在標識認證子系統注冊一個服務帳戶;用戶在標識認證子系統進行帳戶注冊時,或者在完成帳戶注冊后登錄標識認證子系統,一次或分次注冊一個或一個以上的電子通信標識;對于用戶注冊的電子通信標識,標識認證子系統通過預定的方式包括通過發送隨機信息方式確認用戶是電子通信標識的擁有者,即進行電子通信標識的歸屬確認;電子通信標識的歸屬確認通過后,標識認證子系統將用戶注冊的電子通信標識與用戶在標識認證子系統的帳戶關聯;帳戶與標識數據庫:用于標識認證子系統保存用戶帳戶和電子通信標識信息;標識密鑰服務客戶端:用戶或用戶應用程序用于在線獲取電子通信標識所對應的私鑰的用戶端軟件,包括專用客戶端或瀏覽器通用客戶端。...
【技術特征摘要】
1.一種標識私鑰獲取與發放方法,所述方法如下:第一步:獲取標識私鑰的用戶或用戶應用程序使用標識密鑰服務客戶端連接標識認證子系統,請求簽發證明用戶是要生成私鑰的電子通信標識的擁有者的標識令牌;第二步:標識認證子系統采用通常的在線身份鑒別手段對用戶進行在線身份鑒別,所述通常的在線身份鑒別手段包括帳戶名+靜態口令或帳戶名+動態口令方式;第三步:用戶在線身份鑒別通過后,標識認證子系統通過查詢帳戶與標識數據庫確認用戶已注冊要生成私鑰的電子通信標識且注冊的電子通信標識已通過歸屬確認;第四步:用戶電子通信標識已注冊且已通過歸屬確認的查詢確認通過后,標識認證子系統為用戶簽發并返回證明用戶擁有要生成私鑰的電子通信標識的標識令牌;所述標識令牌中包含用戶要生成私鑰的電子通信標識,具有時間有效性限制,并由標識認證子系統數字簽名;第五步:標識密鑰服務客戶端連接標識私鑰生成子系統,提交從標識認證子系統獲取的標識令牌,請求生成標識令牌中指示的電子通信標識對應的私鑰;第六步:標識私鑰生成子系統驗證標識令牌的有效性包括時間有效性和數字簽名有效性;第七步:標識令牌有效性驗證通過后,標識私鑰生成子系統通過發送隨機信息方式確認用戶是要生成私鑰的電子通信標識的擁有者,即對電子通信標識進行歸屬確認;第八步:電子通信標識歸屬確認通過后,標識私鑰生成子系統為用戶生成電子通信標識對應的私鑰,并通過加密通道返回生成的私鑰;所述電子通信標識是指電子通信設施中用于標識用戶或通信終端的通信地址或號碼,所述通信終端的通信地址或號碼包括電子郵箱地址以及移動通信終端號碼;所述標識密鑰服務客戶端、標識認證子系統、帳戶與標識數據庫及標識私鑰生成子系統是標識密鑰服務系統的構件;其中,標識私鑰生成子系統:用于為用戶在線生成電子通信標識所對應的私鑰;標識認證子系統:用于維護用戶信息包括用戶帳戶信息和電子通信標識信息;用戶從標識私鑰生成子系統獲取電子通信標識對應的私鑰前在標識認證子系統注冊一個服務帳戶;用戶在標識認證子系統進行帳戶注冊時,或者在完成帳戶注冊后登錄標識認證子系統,一次或分次注冊一個或一個以上的電子通信標識;對于用戶注冊的電子通信標識,標識認證子系統通過預定的方式包括通過發送隨機信息方式確認用戶是電子通信標識的擁有者,即進行電子通信標識的歸屬確認;電子通信標識的歸屬確認通過后,標識認證子系統將用戶注冊的電子通信標識與用戶在標識認證子系統的帳戶關聯;帳戶與標識數據庫:...
【專利技術屬性】
技術研發人員:龍毅宏,
申請(專利權)人:武漢理工大學,
類型:發明
國別省市:湖北;42
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。