标识密钥更新方法及系统技术方案

本发明专利技术涉及通信领域，公开了一种标识密钥更新方法及系统。其中，该方法包括：客户端生成认证令牌，并向密钥生成中心发送标识密钥更新请求和所述认证令牌；以及所述密钥生成中心响应所述标识密钥更新请求对所述认证令牌进行验证，并根据验证结果确定是否执行更新标识密钥的操作。通过使用本发明专利技术上述的方法及系统，能够在进行验证后根据验证结果确定是否对标识密钥进行更新，确保了密钥更新的安全性。

Identification key updating method and system

The invention relates to the field of communication, and discloses a method and a system for updating identification keys. Among them, the method includes: generating client authentication token, and transmits the identification key generation center update request and the authentication token to the key; and the key generation center in response to the identification key update request to verify the authentication token, and according to the results of the verification to determine whether the update key operation. By using the method and the system of the invention, it is possible to confirm whether the identification key is updated according to the verification result after the verification is carried out, and the security of the key update is ensured.

【技术实现步骤摘要】
标识密钥更新方法及系统
本专利技术涉及通信领域，具体地，涉及一种标识密钥更新方法及系统。
技术介绍
基于身份密码又称为标识密码，其简称有IBE、IBC和SM9。IBE为Identity-basedEncryption的缩写，意为基于身份的加密；IBC为Identity-basedCryptograph，意为基于身份的密码体制；SM9是中国密码管理局在2007年制定的中国IBC技术标准规范。现有技术中一种有关标识密钥更新的方法是“帐户名+口令”，但这样的方法既不安全，也不方便使用；并且，对于标识令牌丢失的情况，也不能有效废止其在线更新标识密钥。
技术实现思路
本专利技术的目的是提供一种标识密钥更新方法及系统，以解决现有技术中的问题。为了实现上述目的，本专利技术提供一种标识密钥更新方法，其中，该方法包括：客户端生成认证令牌，并向密钥生成中心发送标识密钥更新请求和所述认证令牌；以及所述密钥生成中心响应所述标识密钥更新请求对所述认证令牌进行验证，并根据验证结果确定是否执行更新标识密钥的操作。本专利技术还提供一种标识密钥更新系统，该系统包括客户端和密钥生成中心，其中：所述客户端用于生成认证令牌，并向密钥生成中心发送标识密钥更新请求和所述认证令牌；以及所述密钥生成中心用于响应所述标识密钥更新请求对所述认证令牌进行验证，并根据验证结果确定是否执行更新标识密钥的操作。通过上述技术方案，首先由客户端生成认证令牌，并向密钥生成中心发送标识密钥更新请求和所述认证令牌；然后所述密钥生成中心响应所述标识密钥更新请求对所述认证令牌进行验证，并根据验证结果确定是否执行更新标识密钥的操作。由此，能够在进行验证后根据验证结果确定是否对标识密钥进行更新，确保了密钥更新的安全性。并且，认证令牌可以由客户端自身生成，因此能够避免认证令牌丢失而造成的密钥更新不安全的问题。本专利技术的其它特征和优点将在随后的具体实施方式部分予以详细说明。附图说明附图是用来提供对本专利技术的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本专利技术，但并不构成对本专利技术的限制。在附图中：图1是根据本专利技术一种实施方式的标识密钥更新方法的流程图；图2是根据本专利技术一种实施方式的标识密钥更新系统的方框图；以及图3是根据本专利技术一种实施方式的密钥生成中心的方框图。具体实施方式以下结合附图对本专利技术的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本专利技术，并不用于限制本专利技术。图1是根据本专利技术一种实施方式的标识密钥更新方法的流程图。如图1所示，本专利技术一种实施方式通过的标识密钥更新方法包括：S100，客户端生成认证令牌；S102，向密钥生成中心(KGC)发送标识密钥更新请求和所述认证令牌；S104，所述密钥生成中心响应所述标识密钥更新请求对所述认证令牌进行验证；以及S106，根据验证结果确定是否执行更新标识密钥的操作。在使用例如SM9规范的过程中，当想要对标识密钥进行更新时，可以首先由客户端生成认证令牌，并向密钥生成中心发送标识密钥更新请求和所述认证令牌，然后所述密钥生成中心响应所述标识密钥更新请求对所述认证令牌进行验证，并根据验证结果确定是否执行更新标识密钥的操作。由此，能够在进行验证后根据验证结果确定是否对标识密钥进行更新，确保了标识密钥更新的安全性。并且，认证令牌可以由客户端自身生成，因此能够避免认证令牌丢失而造成的密钥更新不安全的问题。在该方法中，步骤S100包括：S1000，所述客户端向密钥生成中心发送请求认证随机数的请求；S1002，所述客户端接收来自所述密钥生成中心的基于所述请求认证随机数的请求生成的认证随机数；S1004，所述客户端获取最新标识密钥的标识私钥IDLPRI，并利用所述标识私钥IDLPRI对所述认证随机数、当前时间以及所述标识密钥更新请求进行签名，生成所述认证令牌。其中，所述密钥生成中心生成认证随机数，且所生成的认证随机数在所述密钥生成中心的本地保存。通过上述步骤，客户端可以生成用于验证的认证令牌。但本领域技术人员应当理解，上述实例仅仅是示例性的，并非用于限定本专利技术。在该方法中，步骤S104包括：S1040，所述密钥生成中心获取最新标识密钥的标识公钥IDLPUB；S1042，所述密钥生成中心基于所述最新标识密钥的标识公钥IDLPUB对所述认证令牌进行验证，其中，在该步骤S1042中，可以判断对所述认证令牌的验证是否成功，如果验证成功，转至步骤S1060，否则转至步骤S1062。由此，可以实现对认证令牌的验证过程，为后续的标识密钥的更新提供了前提条件。在该方法中，步骤S106包括：S1060，在验证结果为验证成功的情况下，确定执行更新标识密钥的操作；S1062，在验证结果为验证失败的情况下，确定不执行更新标识密钥的操作。由此，可以在验证成功的条件下执行更新标识密钥的操作，确保了标识密钥更新的安全性。此外，在S1062中，同时还会返回表示标识密钥更新失败的特征码，以通知客户端标识密钥更新失败。在该方法中，执行更新标识密钥的操作包括：所述密钥生成中心计算生成待更新的标识密钥对IDNK并将所述待更新的标识密钥对IDNK发送至所述客户端，并在接收到所述客户端发送的表示所述待更新的标识密钥对IDNK在所述客户端侧更新成功的响应的情况下，基于所述待更新的标识密钥对IDNK更新所述密钥生成中心侧的标识密钥的标识公钥。其中，可以利用标准算法来生成待更新的标识密钥对IDNK。为了不混淆本专利技术，本专利技术对此不再赘述。下面结合附图对本专利技术一种实施方式的执行更新标识密钥的操作进行描述，具体地，该操作包括：S108，所述密钥生成中心计算生成待更新的标识密钥对；S110，可以对所述待更新的标识密钥对IDNK进行加密(例如，使用标识公钥IDLPUB进行加密)以形成密钥密文的数字信封，并将该数字信封发送给客户端；通过对待更新的标识密钥对IDNK进行加密，可以确保待更新的标识密钥对IDNK的传输安全。S112，所述客户端在接收到数字信封后使用与IDLPUB对应的标识私钥IDLPRI对数字信封进行解密，若解密成功，转至步骤S114，否则转至步骤S120；S114，客户端会将解密得到的IDNK存储到客户端的标识密钥存储介质(IKS)中；S116，客户端将发送表示解密成功的响应消息至密钥生成中心；S118，密钥生成中心用所生成的待更新的标识密钥对IDNK更新密钥生成中心的数据库中的IDLPUB以存储更新的密钥公钥，由此更新过程结束；S120，客户端将发送表示解密失败的响应消息至密钥生成中心，更新过程结束。图2是根据本专利技术一种实施方式的标识密钥更新系统的方框图。如图2所示，本专利技术一种实施方式提供的标识密钥更新系统包括客户端20和密钥生成中心22，其中：所述客户端20用于生成认证令牌，并向密钥生成中心22发送标识密钥更新请求和所述认证令牌；以及所述密钥生成中心22用于响应所述标识密钥更新请求对所述认证令牌进行验证，并根据验证结果确定是否执行更新标识密钥的操作。在使用例如SM9规范的过程中，当想要对标识密钥进行更新时，可以首先由客户端生成认证令牌，并向密钥生成中心发送标识密钥更新请求和所述认证令牌，然后所述密钥生成中心响应所述标识密钥更新请求对所述本文档来自技高网...

【技术保护点】
一种标识密钥更新方法，其中，该方法包括：客户端生成认证令牌，并向密钥生成中心发送标识密钥更新请求和所述认证令牌；以及所述密钥生成中心响应所述标识密钥更新请求对所述认证令牌进行验证，并根据验证结果确定是否执行更新标识密钥的操作。

【技术特征摘要】
1.一种标识密钥更新方法，其中，该方法包括：客户端生成认证令牌，并向密钥生成中心发送标识密钥更新请求和所述认证令牌；以及所述密钥生成中心响应所述标识密钥更新请求对所述认证令牌进行验证，并根据验证结果确定是否执行更新标识密钥的操作。2.根据权利要求1所述的方法，其中，生成所述认证令牌包括：所述客户端向密钥生成中心发送请求认证随机数的请求；所述客户端接收来自所述密钥生成中心的基于所述请求认证随机数的请求生成的认证随机数；所述客户端获取最新标识密钥的标识私钥IDLPRI，并利用所述标识私钥IDLPRI对所述认证随机数、当前时间以及所述标识密钥更新请求进行签名，生成所述认证令牌。3.根据权利要求1或2所述的方法，其中，响应所述标识密钥更新请求对所述认证令牌进行验证包括：所述密钥生成中心获取最新标识密钥的标识公钥IDLPUB；所述密钥生成中心基于所述最新标识密钥的标识公钥IDLPUB对所述认证令牌进行验证。4.根据权利要求1或2所述的方法，其中，根据验证结果确定是否执行更新标识密钥的操作包括：在验证结果为验证成功的情况下，确定执行更新标识密钥的操作；在验证结果为验证失败的情况下，确定不执行更新标识密钥的操作。5.根据权利要求1所述的方法，其中，执行更新标识密钥的操作包括：所述密钥生成中心计算生成待更新的标识密钥对IDNK并将所述待更新的标识密钥对IDNK发送至所述客户端，并在接收到所述客户端发送的表示所述待更新的标识密钥对IDNK在所述客户端侧更新成功的响应的情况下，基于所述待更新的标识密钥对IDNK更新所述密钥生成中心侧的标识密钥的标识公钥。6.一种标识密钥更新系统，该系统包括客户端和密钥生成中心，其中：...

【专利技术属性】
技术研发人员：张庆胜，刘海法，邵波，郭向国，王申，耿方，王国文，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：北京,11