An encryption system (100) for distributing certificates is provided, including a certificate authorization device (110) and multiple network nodes (140, 150, 160). The network node (140) sends a public key to the Certificate Authorization device. The certificate authorization device (110) generates a certificate including a public key, forms an identifier by applying an identity forming function to the certificate, and generates local key data specific to the network node by applying a local key data generation algorithm of an identity-based key pre-distribution scheme to the identifier. The encrypted local key data is transmitted to the network node. The network node can be implicitly authenticated by accessing the shared key obtained from the local key data.
【技术实现步骤摘要】
【国外来华专利技术】用于分发基于身份的密钥资料和证书的系统和方法
本专利技术涉及一种加密系统、网络节点、证书权限设备、网络节点方法、证书权限方法、计算机程序和计算机可读介质。
技术介绍
在许多当前的加密基础结构中,利用了所谓的证书。一种常见的证书系统采用如在RFC5280中所描述的X.509证书。在X.509系统中,证书包含公共密钥以及关于公共密钥的所有者的信息。公共密钥的所有者还具有对应的私有密钥。公共密钥和私有密钥一起形成密钥对,用于在不对称加密方案中使用,例如在加密或签名等中使用。在X.509中,证书授权方(certificateauthority)签署证书。当稍晚使用所述证书时,能够验证所述签名。对所述签名的验证证实了证书授权方颁发了公共密钥和其他信息的组合。在一些类型的安全通信中,证书已经变为无所不在的。例如,X.509证书被用在http协议中对抗对网站的劫持。遗憾的是,证书也具有若干缺点,使得其较不适合于一些应用。签名的证书会相当大。例如,典型的使用1024比特RSA密钥的X.509证书可能为大约1千字节。针对2048比特密钥的证书的大小将进一步显著更大。这使得证书较不适合于通信开销必须要小的网络。例如,在物联网、传感器网络等中,优选使通信开销最小化。此外,使用证书需要相当大的计算能力,不仅在证书的建立期间,而且在正常使用期间,因为必须验证所接收的证书上的签名。不对称加密,诸如RSA等,通常需要大量计算,这可能会对低资源设备上的正常通信花费太长时间。因此,期望解决这些问题以及在本文中所阐述的其他问题。
技术实现思路
有一种经改进的方式来分发和验证证书将是有利的。提供了 ...
【技术保护点】
1.一种用于分发证书的加密系统(100),包括证书授权设备(110)和多个网络节点(140、150、160),‑所述多个网络节点中的网络节点(140)包括:‑密钥对生成单元(141),其被布置成生成公共密钥和对应的私有密钥,所述公共密钥被布置用于根据不对称密钥加密方案来加密,所述私有密钥被布置用于根据所述不对称密钥加密方案来解密,‑通信单元(142),其被布置成向所述证书授权设备发送所述公共密钥,‑所述证书授权设备(110)包括:‑通信单元(111),其被布置成从所述网络节点接收所述公共密钥,‑密钥存储装置(114),其用于存储针对基于身份的密钥预分发方案的根密钥资料,其中,网络节点(140)和所述证书授权设备(110)中的至少一个包括:‑证书单元(112),其被布置成生成针对所述网络节点的证书,以及‑身份单元(113),其被布置成通过向所述证书应用身份形成函数来形成标识符,所述身份形成函数包括加密散列函数,‑所述证书授权设备(110)还包括:‑本地密钥资料单元(115),其被布置成通过对所述根密钥资料和所述标识符应用所述基于身份的密钥预分发方案的本地密钥资料生成算法来生成针对所述网络 ...
【技术特征摘要】
【国外来华专利技术】2016.03.29 EP 16162597.51.一种用于分发证书的加密系统(100),包括证书授权设备(110)和多个网络节点(140、150、160),-所述多个网络节点中的网络节点(140)包括:-密钥对生成单元(141),其被布置成生成公共密钥和对应的私有密钥,所述公共密钥被布置用于根据不对称密钥加密方案来加密,所述私有密钥被布置用于根据所述不对称密钥加密方案来解密,-通信单元(142),其被布置成向所述证书授权设备发送所述公共密钥,-所述证书授权设备(110)包括:-通信单元(111),其被布置成从所述网络节点接收所述公共密钥,-密钥存储装置(114),其用于存储针对基于身份的密钥预分发方案的根密钥资料,其中,网络节点(140)和所述证书授权设备(110)中的至少一个包括:-证书单元(112),其被布置成生成针对所述网络节点的证书,以及-身份单元(113),其被布置成通过向所述证书应用身份形成函数来形成标识符,所述身份形成函数包括加密散列函数,-所述证书授权设备(110)还包括:-本地密钥资料单元(115),其被布置成通过对所述根密钥资料和所述标识符应用所述基于身份的密钥预分发方案的本地密钥资料生成算法来生成针对所述网络节点特有的本地密钥资料,以及-加密单元(116),其被布置成通过所述网络节点的所述公共密钥至少对所述网络节点特有的所述本地密钥资料进行加密,-所述通信单元还被布置成向所述网络节点发送经加密的本地密钥资料,-所述网络节点还包括:-解密单元(143),其被布置成使用所述私有密钥对所发送的经加密的本地密钥资料进行解密,以获得所述本地密钥资料,-密钥存储装置(144),其被布置成至少存储所述本地密钥资料和所述私有密钥,以及-证书存储装置(145),其被布置成存储所述证书。2.根据权利要求1所述的加密系统(100),其中,所述证书包括所述公共密钥,并且所述标识符至少标识所述公共密钥。3.根据权利要求1和2中的任一项所述的加密系统,其中,-所述网络节点的所述通信单元被布置成:除了所述公共密钥之外,还向所述证书授权设备发送标识信息,例如用户的姓名,-所述证书单元被布置成在所述证书中包括所述标识信息。4.根据前述权利要求中的任一项所述的加密系统(100),其中,所述证书授权设备(110)包括被布置成生成包括所述公共密钥的证书的所述证书单元(112)以及被布置成通过向所述证书应用身份形成函数来形成标识符的所述身份单元(113)。5.根据权利要求4所述的加密系统,其中,-所述证书单元被布置成在形成所述标识符之前在所述证书中包括另外的信息,例如证书到期日期。6.根据权利要求4和5中的任一项所述的加密系统,其中,-所述证书单元被布置成在形成所述标识符之前生成随机数并且在所述证书中包括所述随机数。7.根据权利要求4、5和6中的任一项所述的加密系统,其中,-所述网络节点的所述通信单元被布置成向另外的证书授权设备发送所述证书,由此获得另外的本地密钥资料,所述网络节点被布置成将从所述证书授权设备接收的所述本地密钥资料与从所述另外的证书授权设备接收的所述另外的本地密钥资料组合成单个本地密钥资料。8.根据前述权利要求中的任一项所述的加密系统,其中,所述证书未被签名。9.根据前述权利要求中的任一项所述的加密系统,其中,-所述网络节点被布置成选择随机数,所述网络节点的所述通信单元(142)被布置成向证书授权方发送所述随机数,-所述证书授权设备被布置成:-获得证书授权方证书以及针对由所述身份单元从所述证书授权方证书获得的标识符而生成的证书授权方本地密钥资料,-根据所述网络节点的标识符和所述证书授权方本地密钥资料来生成共享密钥,-根据所述随机数和所述共享密钥来计算认证令牌,所述证书授权设备的所述通信单元被布置成向所述网络节点发送所述证书授权方证书和所述认证令牌,-所述网络节点被布置成:-根据所述证书授权方证书和所述网络节点的所述本地密钥资料来生成所述共享密钥并且验证所述认证令牌。10.根据前述权利要求中的任一项所述的加密系统,其中,第一网络节点包括:-身份单元(146),其被布置成通过向证...
【专利技术属性】
技术研发人员:O·加西亚莫尔琼,R·里特曼,L·M·G·M·托尔胡伊泽恩,M·P·博德拉恩德,
申请(专利权)人:皇家飞利浦有限公司,
类型:发明
国别省市:荷兰,NL
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。