一种自动更新和恢复私钥的标识型密码系统及方法技术方案

本发明专利技术涉及一种自动更新和恢复私钥的标识型密码系统，所述密码系统包括密钥服务系统和密码模块，其中，密钥服务系统基于用户的包含标识和时间限定信息的扩展标识生成对应的私钥；密码模块在进行数据加密或数字签名时通过在加密数据或签名数据中填充或附加加密公钥或签名私钥对应的扩展标识信息传递数据解密私钥或签名验证公钥的信息；密码模块在没有进行数据解密或数字签名密码运算所需的私钥的情况下，自动使用用户的更新可用的标识型私钥获取进行数据解密或数字签名密码运算所需的更新的标识型私钥，或者自动使用用户当前有效的标识型私钥恢复进行数据解密密码运算所需的已失效的标识型私钥，避免用户手工干预，给用户使用密码技术带来了方便。

【技术实现步骤摘要】
一种自动更新和恢复私钥的标识型密码系统及方法
本专利技术属于信息安全领域，特别是一种自动更新和恢复私钥的标识型密码系统及方法。
技术介绍
本专利技术的标识型密码系统（Identity-TypedCryptographicSystem）是一种基于用户的身份标识（如电子邮箱地址、手机号码、身份证号码等）（简称标识）生成密钥包括公钥和私钥（即密钥对）的公开密钥密码系统，其中，基于标识所生成的公钥、私钥或密钥对分别称为标识型公钥、私钥或密钥对，标识型公钥可用于数据加密和签名验证，标识型私钥可用于数据解密和数字签名。所述标识型密码系统的具体实施技术包括基于标识的密码技术（IdentityBasedCryptography，IBC）和基于标识的椭圆曲线密码技术（EllipticCurveCryptography，ECC）。若标识型密码系统的实施技术是基于标识的密码技术（IBC），即一个标识本身并结合一组系统参数就构成了公钥的密码技术，则所述标识型密码系统的标识型密钥对、公钥和私钥分别对应于IBC密钥对、公钥和私钥；特别地，若标识型密码系统仅实施IBC的加密功能，即仅实施基于标识的加密（IdentityBasedEncryption，IBE），则所述标识型密码系统的标识型密钥对、公钥和私钥分别对应于IBE密钥对、公钥和私钥；反之，若标识型密码系统仅实施IBC的签名功能，即仅实施基于标识的签名（IdentityBasedSignature，IBS），则所述标识型密码系统的标识型密钥对、公钥和私钥分别对应于IBS密钥对、公钥和私钥。若标识型密码系统的实施技术是基于标识的椭圆曲线密码技术（ECC），则所述标识型密码系统的标识型公钥和私钥（密钥对）与普通的ECC公钥和私钥（密钥对）在密钥数据及使用方面没有不同，即它们就是ECC公钥和私钥（密钥对），不同的只是标识型密码系统中的一个ECC私钥（一个大私密整数）由一个标识与一个随机字节串（在密钥服务系统）通过密码运算产生（如散列运算），并由此ECC私钥计算得到对应的ECC公钥。关于基于标识的椭圆曲线密码技术及系统可参见专利申请“一种基于标识的椭圆曲线密码系统”（专利申请号201310520985.6）。无论标识型密码系统的实施技术是基于标识的密码技术（IBC）还是基于标识的椭圆曲线密码技术（ECC），标识型密码系统的标识型私钥都是由一个专门的密钥服务系统生成；进一步地，若标识型密码系统的实施技术是基于标识的椭圆曲线密码技术（ECC），则非标识型私钥的拥有者也是从密钥服务系统获得由一个标识生成的ECC公钥（即标识型公钥）（这与IBC不同，对于IBC，标识+系统参数就是公钥，无需从密钥服务系统获取）。无论标识型密码系统的实施技术是基于标识的密码技术（IBC）还是基于标识的椭圆曲线密码技术（ECC），在实际应用中为了降低由于私钥泄露带来的风险，都不是直接用一个标识去生成对应的密钥（包括私钥和公钥），而是在一个标识（原始标识）的基础上加上时间限定信息（以及其他的限定信息）形成扩展标识，然后用扩展标识去生成对应的密钥，包括私钥和公钥。时间限定信息通常是一个时间段，如下所示是将一个标识与一个时间段相结合后形成的扩展标识：<标识>||<时间段>，这里，<标识>是（原始）标识对应的字串；<时间段>是时间段对应的字串表示，由起始时刻和截止时刻组成，如用2013-8-28:2013-9-28表示时间段：自2013年8月28日起到2013年9月28止；但这种时间段表示不是唯一的，可根据需要约定；时间段既可以是一个时间区间，也可以是一个时刻（起始、截止时刻相同）；“||”表示标识字串和时间段字串的组合（可以是简单的字串连接、合并，或者其他约定的组合方式，只要能唯一区分、表示扩展标识即可）。扩展标识被当作一个通常的标识用于生成密钥及进行密码运算。增加了时间段的扩展标识及其对应的密钥仅在限定的时间段内有效和使用，这相当于用时间段对标识及其密钥的使用进行了限定（限定标识及其对应的密钥仅在对应的时间段使用和有效）。通过时间段限定的扩展标识所对应的私钥一旦被泄露，则仅对相应时间段内加密或签名的数据的安全造成影响，对其他时间段内加密或签名的数据的安全不造成影响，故减少了私钥泄漏带来的风险。时间段的长短可根据安全要求结合使用方便性综合考虑，如可以按年、月、周、日更新。除了采用时间段对身份标识的使用进行限定外，还可以增加其他的限定策略信息对标识及其密钥的使用加以限定，如，<身份标识>||<角色>||<时间段>，这里，<角色>是角色的字串表示，即限定只有拥有对应角色的用户才能使用对应的扩展标识所对应的私钥对加密数据进行解密或签名。通过时间限定降低了由于标识私钥泄露带来的安全风险，但也给用户带来麻烦，这是因为每隔一段时间标识的拥有者需要去密钥服务系统更新其标识对应的私钥，而在更新私钥的过程中，为了保证私钥发放的安全，密钥服务系统需要鉴别用户的身份并确保私钥发放给了标识的真正拥有者而不是假冒者，而这通常需要用户手工干预（更新标识对应的公钥无需人工干预）。另外，标识的拥有者为了解密采用以前的标识型公钥（即对应以前时间段的公钥）加密的数据，需要使用对应以前时间段的标识型私钥（已过了使用有效期的私钥），而以前的标识型私钥可能已被丢失（如由于计算机操作系统重新安装而导致以前的标识型私钥丢失），这时标识拥有者需要从密钥服务系统恢复以前的标识型私钥，而在恢复私钥过程中密钥服务系统同样需要鉴别用户的身份并确保私钥发放给了标识的真正拥有者，这同样需要用户手工干预（获取以前的标识型公钥无需用户人工干预）。避免标识型密码系统中私钥更新和恢复需要人工干预是本专利技术要解决的问题。在以后的叙述中，将一个标识型密钥（包括密钥对、私钥和公钥）所对应的扩展标识称为标识型密钥（密钥对、私钥和公钥）的扩展标识，将一个标识型密钥（密钥对、私钥和公钥）所对应的扩展标识中包含的时间段称为标识型密钥（密钥对、私钥和公钥）所对应的时间段或简称标识型密钥（密钥对、私钥和公钥）的时间段。用户需要手工更新和恢复私钥是公开密钥技术在实际应用中遇到的一个大问题，它直接影响了公开密钥技术的应用。本专利技术提出标识型密码系统在用户需要更新或恢复私钥时，由密码模块自动为用户更新或恢复私钥，无需用户手工干预，为用户使用公开密钥技术提供了方便，解决了公开密钥技术在实际应用中遇到的一个大问题。
技术实现思路
本专利技术的目的是提出一种能实现私钥自动更新和恢复的标识型密码系统，为用户使用密码技术带来方便。为了实现上述目的，本专利技术所采用的技术方案是：一种自动更新和恢复私钥的标识型密码系统，所述密码系统包括密钥服务系统和密码模块，其中：密钥服务系统：为用户生成标识型私钥，即生成扩展标识对应的私钥的系统；若所述标识型密码系统的实施技术是基于标识的椭圆曲线密码技术，则所述密钥服务系统同时为使用公钥的非标识拥有者用户生成标识型公钥，即生成扩展标识对应的公钥；密码模块：用于被应用程序或系统、或者密钥管理工具或系统所调用，用标识型公钥进行数据加密或签名验证，用标识型私钥进行数据解密或数字签名，以及对密钥包括标识型公钥和本文档来自技高网...

【技术保护点】
一种自动更新和恢复私钥的标识型密码系统，所述密码系统包括密钥服务系统和密码模块，其中：密钥服务系统：为用户生成标识型私钥，即生成扩展标识对应的私钥的系统；若所述标识型密码系统的实施技术是基于标识的椭圆曲线密码技术，则所述密钥服务系统同时为使用公钥的非标识拥有者用户生成标识型公钥，即生成扩展标识对应的公钥；密码模块：用于被应用程序或系统、或者密钥管理工具或系统所调用，用标识型公钥进行数据加密或签名验证，用标识型私钥进行数据解密或数字签名，以及对密钥包括标识型公钥和私钥进行管理的软件组件或软硬件组合组件；在进行数据加密密码运算时，所述密码模块使用数据解密者的当前有效的标识型公钥进行数据加密密码运算；在进行数字签名密码运算时，所述密码模块使用数字签名者的当前有效的标识型私钥进行数字签名密码运算；所述当前有效的标识型公钥和私钥指对应的时间段覆盖当前时刻的标识型公钥和私钥；所述当前时刻是密码模块使用公钥或私钥进行密码运算的时刻；所述密码模块在使用标识型公钥进行数据加密时，将公钥所对应的扩展标识信息以填充或附加数据的形式填充或附加到经公钥密码运算后得到的数据中；所述密码模块在使用标识型私钥对数据进行数字签名时，将私钥所对应的扩展标识信息以填充或附加数据的形式填充或附加到经私钥密码运算后得到的数据中；当所述密码模块在进行数据解密密码运算或数字签名密码运算或定时扫描本地存放的标识型私钥时，若通过检查确定用户的标识型私钥是更新可用的标识型私钥而密码模块本地没有与更新可用的标识型私钥对应的更新的标识型私钥，则所述密码模块采用基于加密密钥的私钥更新方法或基于签名密钥的私钥更新方法获取用户更新的标识型私钥；其中，所述更新可用的标识型私钥是指对应的时间段的截止时刻与密码运算或扫描的当前时刻的时间差在允许的范围内的标识型私钥；所述与更新可用的标识型私钥对应的更新的标识型私钥指对应的时间段的起始时刻等于更新可用的标识型私钥对应的时间段的截止时刻的标识型私钥；当所述密码模块在进行数据解密密码运算时，若通过检查待解密的数据的填充或附加数据中的扩展标识信息发现解密数据所需的私钥是已失效的标识型私钥而本地没有解密数据所需的私钥，但本地有用户当前有效的标识型私钥，则所述密码模块采用基于加密密钥的私钥恢复方法或基于签名密钥的私钥恢复方法恢复解密数据所需的已失效的标识型私钥；所述已失效的标识型私钥指对应的时间段的截止时刻小于数据解密密码运算当前时刻的标识型私钥。...

【技术特征摘要】
1.一种自动更新和恢复私钥的标识型密码系统，所述密码系统包括密钥服务系统和密码模块，其中：密钥服务系统：为用户生成标识型私钥，即生成扩展标识对应的私钥的系统；若所述标识型密码系统的实施技术是基于标识的椭圆曲线密码技术，则所述密钥服务系统同时为使用公钥的非标识拥有者用户生成标识型公钥，即生成扩展标识对应的公钥；密码模块：用于被应用程序或系统、或者密钥管理工具或系统所调用，用标识型公钥进行数据加密或签名验证，用标识型私钥进行数据解密或数字签名，以及对密钥包括标识型公钥和私钥进行管理的软件组件或软硬件组合组件；在进行数据加密密码运算时，所述密码模块使用数据解密者的当前有效的标识型公钥进行数据加密密码运算；在进行数字签名密码运算时，所述密码模块使用数字签名者的当前有效的标识型私钥进行数字签名密码运算；所述当前有效的标识型公钥和私钥指对应的时间段覆盖当前时刻的标识型公钥和私钥；所述当前时刻是密码模块使用公钥或私钥进行密码运算的时刻；所述密码模块在使用标识型公钥进行数据加密时，将公钥所对应的扩展标识信息以填充或附加数据的形式填充或附加到经公钥密码运算后得到的数据中；所述密码模块在使用标识型私钥对数据进行数字签名时，将私钥所对应的扩展标识信息以填充或附加数据的形式填充或附加到经私钥密码运算后得到的数据中；当所述密码模块在进行数据解密密码运算或数字签名密码运算或定时扫描本地存放的标识型私钥时，若通过检查确定用户的标识型私钥是更新可用的标识型私钥而密码模块本地没有与更新可用的标识型私钥对应的更新的标识型私钥，则所述密码模块采用基于加密密钥的私钥更新方法或基于签名密钥的私钥更新方法获取用户更新的标识型私钥；其中，所述更新可用的标识型私钥是指对应的时间段的截止时刻与密码运算或扫描的当前时刻的时间差在允许的范围内的标识型私钥；所述与更新可用的标识型私钥对应的更新的标识型私钥指对应的时间段的起始时刻等于更新可用的标识型私钥对应的时间段的截止时刻的标识型私钥；当所述密码模块在进行数据解密密码运算时，若通过检查待解密的数据的填充或附加数据中的扩展标识信息发现解密数据所需的私钥是已失效的标识型私钥而本地没有解密数据所需的私钥，但本地有用户当前有效的标识型私钥，则所述密码模块采用基于加密密钥的私钥恢复方法或基于签名密钥的私钥恢复方法恢复解密数据所需的已失效的标识型私钥；所述已失效的标识型私钥指对应的时间段的截止时刻小于数据解密密码运算当前时刻的标识型私钥；所述基于加密密钥的私钥更新方法如下：所述密码模块在线连接所述密钥服务系统请求获取更新的标识型私钥，并提交用户的更新可用的标识型私钥所对应的扩展标识信息；密钥服务系统接收到获取更新的标识型私钥的请求后，生成更新的标识型私钥；密钥服务系统根据密码模块提交的用户的更新可用的标识型私钥对应的扩展标识得到用户的更新可用的标识型私钥所对应的公钥，之后使用用户的更新可用的标识型私钥对应的公钥对生成的更新的标识型私钥进行加密，然后将加密后的更新的标识型私钥返回；密码模块接收到返回的加密的更新的标识型私钥后，使用用户的更新可用的标识型私钥对被加密的更新的标识型私钥进行解密，获得更新的标识型私钥；所述基于加密密钥的私钥恢复方法如下：所述密码模块在线连接所述密钥服务系统请求恢复已失效的标识型私钥，并提交请求恢复的已失效的标识型私钥对应的扩展标识信息以及用户的当前有效的标识型私钥所对应的扩展标识信息；密钥服务系统接收到恢复已失效的标识型私钥请求后，重新生成已失效的标识型私钥；密钥服务系统根据密码模块提交的用户的当前有效的标识型私钥对应的扩展标识得到用户的当前有效的标识型私钥所对应的公钥，并使用用户的当前有效的标识型私钥对应的公钥对重新生成的已失效的标识型私钥进行加密，然后将加密后的重新生成的已失效的标识型私钥返回；密码模块接收到返回的加密的重新生成的已失效的标识型私钥后，使用用户的当前有效的标识型私钥对被加密的重新生成的已失效的标识型私钥进行解密，获得重新生成的已失效的标识型私钥；所述基于签名密钥的私钥更新方法如下：所述密码模块在线连接所述密钥服务系统请求获取更新的标识型私钥，并提交请求获取的更新的标...

【专利技术属性】
技术研发人员：龙毅宏，
申请(专利权)人：武汉理工大学，
类型：发明
国别省市：