本发明专利技术涉及信息安全领域,旨在提供一种基于身份信息的非对称密钥分发及消息加密方法。该基于身份信息的非对称密钥分发及消息加密方法包括:企业管理员初始化以及用户注册过程、用户点对点进行通信过程、用户多对多进行通信过程。本发明专利技术能够更安全得分发用户个人密钥;能够分企业,分情况去构建密钥管理体系;能减少用户公钥管理数量,简便用户端的公钥体验;降低私钥被拦截,窃取的几率;增加了整个公钥系统的速度和操作可行性;增加了公钥系统对移动端或其他端的适配性;将对称加密体系和非对称加密体系结合使用在了认证与数据传输阶段。
【技术实现步骤摘要】
一种基于身份信息的非对称密钥分发及消息加密方法
本专利技术是关于信息安全领域,特别涉及一种基于身份信息的非对称密钥分发及消息加密方法。
技术介绍
在当代的信息传输过程中,越来越多的第三方通讯工具出现在市面上,也有越来越多的贩卖情报人员,境外恶势力人员等(以下简称黑客)着手信息截获工作。但在这个过程中,我们发现黑客们不仅能攻陷客户端,截获传输数据,他们更倾向于攻坚第三方通讯工具的服务器,甚至有第三方通讯工具厂家无意识备份用户数据。而传统的对称加密方案容易爆破,且密钥储存量巨大,不适合复杂的网络环境。在信息传输过程中,敏感信息使用明文直接传输是一个大忌。通过信息截取,黑客可迅速获得数据。而现在通用的做法是对传输的信息进行一些加密处理。其中极小部分敏感信息传输是使用单一的对称加密算法,而密钥是保存在客户端本地的。此时获取这些密钥非常简单,因为在这个单一的体系中,密钥通道非常脆弱。即使再安全的措施都无法保障双方能在通讯过程中将对称密钥保护好。而对称密钥还有一些弊端,例如密钥长度非常短,短到能通过强力手段暴力破解(在成本盈利的情况下),虽然高级加密标准(英语:AdvancedEncryptionStandard,缩写:AES)已经远远好于当年的DES,但是诸如储存密钥数量庞大等对称密码加密方案的先天性缺陷都使它无法满足互联网的多样化。现有的对称密钥交换机制无法做到百分百私密,有大量无法抗重放攻击的缺点。大部分通用的加密流程是通过非对称加密算法对对称密钥进行加密,尔后用对称密钥将敏感信息加密,进行传输,这样的情况下有两个好处:首先,对称密钥的密钥信道是加密且安全的,密钥的交换过程很保密,解决了对称加密最大的难点。其次,由于每次的对称密钥皆是非常快捷得进行交换,那么每次协商的密钥便可以变换,这样的好处是不需要记住特定的密钥,做到一定意义上的一次一密(一次一密是被证明无条件安全的)。但这样的流程下,我们发现有一些问题:一是,我们仍然需要储存大量的公钥(即使我们也许不需要储存,但是仍然需要从固定的地方获取对应的人的公钥,这在通讯上具显出一种轻微延时的效果)。再者,非对称的公私钥是从第三方服务端获取的,我们无法相信通讯商是否会帮我们保守秘密(指的是无意识泄露或者被入侵)。最重要的是在密钥分发过程中,会出现非常多的信息泄漏安全问题。特别是在公司集群场景下的密钥分发和管理机制比较混乱,会被中间人攻击等。
技术实现思路
本专利技术的主要目的在于克服现有技术中的不足,提供一种能在兼顾对称密码的快速加密和非对称密码的传播安全这两方面的同时,又能简化密钥分发管理机制,保护数据流经第三方机构时的安全性的方法。为解决上述技术问题,本专利技术的解决方案是:提供一种基于身份信息的非对称密钥分发及消息加密方法,用于实现企业用户之间的加密通信,所述基于身份信息的非对称密钥分发及消息加密方法包括下述过程:一、企业管理员初始化以及用户注册过程;二、用户点对点进行通信过程;三、用户多对多进行通信过程;所述过程一具体包括下述步骤:步骤A:建立CA(CertificateAuthority,即证书授权中心)证书认证的密钥分发服务器,简称密钥坞,从CA获取(可信的)主公钥和主私钥(可信程度基于CA颁发机构的正规性),并将主公钥装入所有企业用户的客户端模块,即终端中;步骤B:企业x向密钥坞发起企业x认证初始化,密钥坞接受认证后,生成企业x专用分公钥和分私钥,并且从企业x处导入所有企业x的用户的个人特征信息表(名录或者身份信息列表等);步骤C:用户a通过终端向密钥坞申请帐号,并发送企业x特征,密钥坞确认企业特征,并返回企业x分公钥;在确认具体企业x后,终端对用户输入的个人特征信息与一个随机量(随机量由终端随机生成),通过企业x分公钥进行加密并将消息发送给密钥坞,密钥坞对用户a发来消息使用企业x分私钥进行解密,然后判断用户a的个人特征信息是否在企业提交的个人特征信息表中,若不存在,则丢弃,若存在,则继续下一步骤;步骤D:密钥坞将步骤C中由终端传到密钥坞的随机量,通过企业x分私钥计算一个k值(算法为基于身份的非对称算法中一部分),然后通过基于身份的非对称加密算法中的生成私钥部分,利用参数:企业x的分公钥和分私钥、用户a的ID(类似一串唯一的数字或字符串,由密钥坞生成),记为IDa,生成一个用户a的私钥d,记为da,同时将用户a的ID发送给用户a;步骤E:使用步骤D生成的k值,密钥坞将生成的用户a的个人私钥d加密后发送给用户a;用户a收到后,通过企业x分公钥和步骤C中生成的随机量进行计算,获得与步骤D中一样的k值,再利用k值解密个人专属私钥d,并(通过混淆等本地技术)保存至终端,完成用户私钥分发;所述过程二中,用户b与用户a一样,通过步骤C、D、E的方法获得个人II)、个人专属私钥,分别记为IDb、db;用户a与用户b点对点进行通信具体包括下述步骤:步骤F:用户a取得用户b的IDb、自己的密钥da,通过基于身份的非对称加密算法(计算IDb与da的双线性映射,为行业公认计算方法),计算出一个临时会话密钥k`;然后,利用k`计算用户a与用户b之间明文消息m的密文(使用对称加密算法,例如AES等),再将加密的数据发送给用户b;步骤G:用户b接受到数据后,通过用户a的IDa、自己的私钥db,通过基于身份的非对称加密算法(计算IDb与da的双线性映射,为行业公认计算方法)计算出k`,通过对称解密解出明文消息m,实现用户a与用户b的点对点通信;所述过程三中,用户a为企业x的用户,需要建立一个成员都是企业x员工的会话群,并利用会话群进行多对多通信,具体包括下述步骤:步骤H:用户a(一个终端对应一个用户)要邀请的会话群成员,设定为ID是ID1、ID2、…、IDi、…、IDn的用户(可通过通讯录,好友导入等方式获得),通过企业x的分公钥pk、每个用户对应的ID(用户i的ID表示为IDi),由用户a的终端随机生成的一个k``值(做群共用密钥),输出pk与IDi的集群与k``的异或值(为行业公认算法);再由用户a的终端利用用户i的ID、企业x分公钥,计算对应用户i的ki,并将ki只发送给用户i;其中,i∈{1,2,…,n},n是指大于1的自然数;ki是指群密钥k``生成的分发给用户i的密文;步骤I:用户i接收到ki后,通过企业x的分公钥pk、用户i的私钥di、接收到的加密信息ki,通过基于身份的非对称加密方法(计算IDb与da的双线性映射,为行业公认计算方法)获得k``,获取k``后,每个用户的消息都通过k``与任意对称加密(如AES)进行加密,并发送给各个会话群成员,这样便实现了多对多通讯;步骤J:如果有新的ID为ID’的用户要进入群聊天,那么由拉这位新成员的原会话群成员(每个成员都可以)将群密钥k``加密发送给ID为ID’的新成员,同步骤H、步骤II。在本专利技术中,所述步骤A中所描述的CA中心是经过可靠认证的证书授权中心,且主私钥分发途径为可靠途径(通过物理传输等可靠手段),主私钥置于密钥坞需必要的加密混淆技术;而主公钥置于终端中需进行必要的加密,加密算法需进行混淆。在本专利技术中,所述步骤B中,企业x向密钥坞发起认证时,需可信信息(例如企业注册文件,或法人信息等,以保证初始申请者为可信方)本文档来自技高网...
【技术保护点】
一种基于身份信息的非对称密钥分发及消息加密方法,用于实现企业用户之间的加密通信,其特征在于,所述基于身份信息的非对称密钥分发及消息加密方法包括下述过程:一、企业管理员初始化以及用户注册过程;二、用户点对点进行通信过程;三、用户多对多进行通信过程;所述过程一具体包括下述步骤:步骤A:建立CA证书认证的密钥分发服务器,简称密钥坞,从CA获取主公钥和主私钥,并将主公钥装入所有企业用户的客户端模块,即终端中;步骤B:企业x向密钥坞发起企业x认证初始化,密钥坞接受认证后,生成企业x专用分公钥和分私钥,并且从企业x处导入所有企业x的用户的个人特征信息表;步骤C:用户a通过终端向密钥坞申请帐号,并发送企业x特征,密钥坞确认企业特征,并返回企业x分公钥;在确认具体企业x后,终端对用户输入的个人特征信息与一个随机量,通过企业x分公钥进行加密并将消息发送给密钥坞,密钥坞对用户a发来消息使用企业x分私钥进行解密,然后判断用户a的个人特征信息是否在企业提交的个人特征信息表中,若不存在,则丢弃,若存在,则继续下一步骤;步骤D:密钥坞将步骤C中由终端传到密钥坞的随机量,通过企业x分私钥计算一个k值,然后通过基于身份的非对称加密算法中的生成私钥部分,利用参数:企业x的分公钥和分私钥、用户a的ID,记为IDa,生成一个用户a的私钥d,记为da,同时将用户a的ID发送给用户a;步骤E:使用步骤D生成的k值,密钥坞将生成的用户a的个人私钥d加密后发送给用户a;用户a收到后,通过企业x分公钥和步骤C中生成的随机量进行计算,获得与步骤D中一样的k值,再利用k值解密个人专属私钥d,并保存至终端,完成用户私钥分发;所述过程二中,用户b与用户a一样,通过步骤C、D、E的方法获得个人ID、个人专属私钥,分别记为IDb、db;用户a与用户b点对点进行通信具体包括下述步骤:步骤F:用户a取得用户b的IDb、自己的密钥da,通过基于身份的非对称加密算法,计算出一个临时会话密钥k`;然后,利用k`计算用户a与用户b之间明文消息m的密文,再将加密的数据发送给用户b;步骤G:用户b接受到数据后,通过用户a的IDa、自己的私钥db,通过基于身份的非对称加密算法计算出k`,通过对称解密解出明文消息m,实现用户a与用户b的点对点通信;所述过程三中,用户a为企业x的用户,需要建立一个成员都是企业x员工的会话群,并利用会话群进行多对多通信,具体包括下述步骤:步骤H:用户a要邀请的会话群成员,设定为ID是ID1、ID2、…、IDi、…、IDn的用户,通过企业x的分公钥pk、每个用户对应的ID,由用户a的终端随机生成的一个k``值,输出pk与IDi的集群与k``的异或值;再由用户a的终端利用用户i的ID、企业x分公钥,计算对应用户i的ki,并将ki只发送给用户i;其中,i∈{1,2,…,n},n是指大于1的自然数;ki是指群密钥k``生成的分发给用户i的密文;步骤I:用户i接收到ki后,通过企业x的分公钥pk、用户i的私钥di、接收到的加密信息ki,通过基于身份的非对称加密方法获得k``,获取k``后,每个用户的消息都通过k``与任意对称加密进行加密,并发送给各个会话群成员,这样便实现了多对多通讯;步骤J:如果有新的ID为ID’的用户要进入群聊天,那么由拉这位新成员的原会话群成员将群密钥k``加密发送给ID为ID’的新成员,同步骤H、步骤II。...
【技术特征摘要】
1.一种基于身份信息的非对称密钥分发及消息加密方法,用于实现企业用户之间的加密通信,其特征在于,所述基于身份信息的非对称密钥分发及消息加密方法包括下述过程:一、企业管理员初始化以及用户注册过程;二、用户点对点进行通信过程;三、用户多对多进行通信过程;所述过程一具体包括下述步骤:步骤A:建立CA证书认证的密钥分发服务器,简称密钥坞,从CA获取主公钥和主私钥,并将主公钥装入所有企业用户的客户端模块,即终端中;步骤B:企业x向密钥坞发起企业x认证初始化,密钥坞接受认证后,生成企业x专用分公钥和分私钥,并且从企业x处导入所有企业x的用户的个人特征信息表;步骤C:用户a通过终端向密钥坞申请帐号,并发送企业x特征,密钥坞确认企业特征,并返回企业x分公钥;在确认具体企业x后,终端对用户输入的个人特征信息与一个随机量,通过企业x分公钥进行加密并将消息发送给密钥坞,密钥坞对用户a发来消息使用企业x分私钥进行解密,然后判断用户a的个人特征信息是否在企业提交的个人特征信息表中,若不存在,则丢弃,若存在,则继续下一步骤;步骤D:密钥坞将步骤C中由终端传到密钥坞的随机量,通过企业x分私钥计算一个k值,然后通过基于身份的非对称加密算法中的生成私钥部分,利用参数:企业x的分公钥和分私钥、用户a的ID,生成一个用户a的私钥d,用户a的ID记为IDa,用户a的私钥d记为da;同时将用户a的ID发送给用户a;步骤E:使用步骤D生成的k值,密钥坞将生成的用户a的私钥d加密后发送给用户a;用户a收到后,通过企业x分公钥和步骤C中生成的随机量进行计算,获得与步骤D中一样的k值,再利用k值解密私钥d,并保存至终端,完成用户私钥分发;所述过程二中,用户b与用户a一样,通过步骤C、D、E的方法获得个人ID、私钥,分别记为IDb、db;用户a与用户b点对点进行通信具体包括下述步骤:步骤F:用户a取得用户b的IDb、自己的私钥da,通过基于身份的非对称加密算法,计算出一个临时会话密钥k`;然后,利用k`计算用户a与用户b之间明文消息m的密文,再将加密的数据发送给用户b;步骤G:用户b接受到数据后,通过用户a的IDa、自己的私钥db,通过基于身份的非对称加密算法计算出k`,通过对称解密解出明文消息m,实现用户a与用户b的点对点通信;所述过程三中,用户a为企业x的用户,需要建立一个成员都是企业x员工的会话群...
【专利技术属性】
技术研发人员:范渊,张小孟,吴卓群,
申请(专利权)人:杭州安恒信息技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。