本发明专利技术公开了一种基于标识公钥的认证方法及系统。本发明专利技术的认证方法包括:(1)基于标识的密钥生产方法(即标识与系统私钥参数可计算得到标识私钥,而标识与系统公钥参数可计算得到标识公钥);(2)密钥的在线分发方法;(3)统一的标识密钥的签名验证方法;(4)统一的基于标识的密钥传递方法。本发明专利技术的系统包括:(1)标识密钥管理系统;(2)基于标识密钥设备(如U盾、软件盾、密码卡和IC卡)的SDK开发包。本发明专利技术充分的抽象出标识公钥算法体系(如SM9、CLA、CFL和CPK等)的共性,创造性的将多种标识算法体系的密钥管理系统和应用开发接口实现了标准化的统一封装,达到了多种标识公钥算法的有机融合。
【技术实现步骤摘要】
一种基于标识公钥的认证方法及系统
本专利技术涉及信息安全
,特别涉及一种基于标识公钥的认证方法及系统。
技术介绍
随着互联网应用的迅速普及,及网络密码安全技术的快速发展,公钥密码技术在全世界范围内已经成为目前能够满足网络通信中保障身份认证安全,保护数据完整性、保密性、不可否认性的通用技术。在云计算、物联网和移动互联网快速发展的新形势下,公钥密码技术即将面对海量用户、多领域、大范围和轻量级的安全应用需求,传统的基于证书认证的PKI/CA公钥密码体制由于其管理的复杂性,已很难适应这种新的需求。近年来,公钥密码领域产生了基于标识的公钥密码(如CPK、IBC、CFL和CLA等),是一种新型的轻量级公钥密码体制,为公钥密码技术的发展带来了新的曙光,为公钥密码技术的应用开辟了新的方向。近来,标识公钥体制逐渐受到关注,尤其是物联网的发展,需要高效而轻量的公钥密码,标识公钥无益是物联网安全的不二选择。然后一些应用在不同的客户或不同场景下,需要选择不同的标识公钥密码算法,需要建设多个密钥管理系统,开发和维护应用的多个版本。实现相同的目标,仅是技术手段不同,就需要重复建设、重复开发和重复维护,对资源造成了极大浪费;标识公钥体制中虽然有多种算法体系,但他们同属于标识公钥体制,有非常多的共性,采用基于共性的抽象设计原则,以一个密钥管理系统和一套统一的应用开发接口实现多算法的兼容,这样减少了重复性工作,极大的降低了成本。
技术实现思路
针对目前标识公钥体制的多个算法体系分别采用各自完全独立的认证方法和系统,造成通用性低和极大的资源浪费问题,本专利技术提出了一种完全兼容标识公钥体制下的不同算法的统一认证方法及系统,实现了标识公钥体制的标准化和规范化。本专利技术的认证方法是这样实现的:根据本专利技术的一个方面,提供一种标识密钥的生产方法(如附图1),其中分为标识私钥生产方法和标识公钥生产方法。其中标识私钥的生产方法是输入标识和算法体系所对应的算法与系统私钥参数(只有密钥管理中心才有,类似于PKI/CA的根密钥),通过计算得到标识私钥,标识私钥通过安全分发协议传给密钥设备;输入标识和算法体系所对应的算法与系统公钥参数,通过计算得到标识公钥,标识公钥在需要时分别在各终端分别计算。根据本专利技术的一个方面,提供一种标识私钥的在线分发方法,其分发流程如附图2所示:(1)用户端的密钥设备内部产生一个随机数,芯片内缓存此随机数R;(2)芯片内用密钥管理中心的标识加密随机数R,生成数字信封D;(3)用户终端将数字信封D和自己的标识发给密钥管理中心;(4)密钥管理中心用自己的标识私钥打开数字信封D得到随机数R;(5)密钥管理中心根据用户标识计算标识私钥S,并用随机数R加密得到E;(6)将E回传给用户终端;(6)用户终端用随机数R解密E得到S,并用芯片的内部会话密钥加密存储于安全密钥区。根据本专利技术的一个方面,提供一种标识公钥体制统一的签名与验证方法,其原理如附图3所示:A将要发送的消息先计算数字摘要,再用自己的标识私钥对数字摘要签名(私钥加密),并将原消息和签名数据绑定一并发给B;B收到后先用A的标识计算得到A的公钥,并用A的公钥解密签名数据得到数字摘要,将此摘要与原消息所计算的摘要比较判断签名是否被篡改。此处的签名符合公钥体制的通用原理,特别之处在于A的公钥是通过A的标识所计算产生。根据本专利技术的一个方面,提供一种标识公钥体制下的密钥传递方法,结合对称加密算法实现网络信息的安全加密,原理如附图4所示:发送方A先产生一随机数作为对称密钥将需发送的消息加密得到消息密文,再根据B的标识计算B的公钥,以公钥对随机数加密产生数字信封,将密文和数字信封一并发给收方B;B收到数据后先用自己的私钥打开数字信封(解密)得到随机数(即对称密钥),再用对称密钥解密消息密文得到消息原文。本专利技术的认证系统是这样实现的:基于标识公钥的认证系统包括标识密钥管理系统和标识公钥体制的SDK开发包两部分。基于标识公钥体制的密钥管理系统由系统管理模块、用户注册管理模块、密钥管理模块、密钥生产模块和系统参数管理配置模块等组成,负责用户标识的注册、标识审核、密钥生产、密钥分发、标识吊销和密钥恢复等,是兼容多种标识算法体系的统一密钥管理系统。基于标识公钥的SDK开发包以标准化的接口定义实现多种标识算法的统一应用开发接口,包括密钥设备管理、访问控制权限管理、文件管理、签名与验证、密钥传递、加密与解密和数字摘要等7个部分,算法间切换只需在最初设置当前所用的算法名称即可。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1标识密钥生产方法图2标识私钥的在线分发方法图3签名与验证原理图4密钥传递原理图5密钥的申请与分发流程具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本专利技术保护的范围。为了实现标识公钥体制下的多种算法兼容和统一,充分利用标识公钥体制算法间的共性因素,采用统一的密钥管理系统和应用开发接口,简化管理和降低开发、运维成本,特提出本方案。要实施本专利技术的方案,需要部署密钥管理系统,并在应用中嵌入SDK开发包,调用相关的应用开发接口,实现业务系统所需要的安全需求。其中对应用系统而言,主要涉及两个方面:一是在线密钥的申请与分发;二是密钥的应用。下面以手机软件盾为例分别介绍这两个方面的主要流程,其它密钥设备(U盾、智能IC卡、TF卡等)涉及的流程类似。通常App启动时,检查是否已申请过对应的标识密钥;若未申请则向所在的业务系统提交密钥申请,业务系统会校验申请标识的合法性,通过后允许软件盾进入密钥申请下载流程(如附图5),具体步骤如下:(1)手机安全应用App启动时,首先检查软件盾是否已有密钥,若已有密钥则直接进入应用流程;(2)若还没有密钥,则需要先申请密钥,将标识提交给业务系统提出密钥申请;(3)业务系统先审核标识的真实性,可以通过邮件或手机短信验证码验证标识的真实性,确定申请者所申请的标识合法;(4)业务系统审核通过申请,则进入标识私钥的生产与下载流程;(5)软件盾产生随机数,缓存软件盾,并采用密钥管理中心标识对随机数加密生成数字信封;(6)将标识和数字信封提交给业务系统;(7)业务系统将标识和数字信封签名,确保网络传输中数据的完整性、真实性,防止被非法篡改;(8)业务系统将签名连同软件盾提交的标识、数字信封传给密钥管理中心;(9)密钥管理中心对所提交的信息进行签名验证,确保真实有效;(10)密钥管理中心调用自己的标识私钥打开数字信封,取出随机数;用标识与系统私钥参数计算得到标识私钥,并用随机数加密标识私钥;(11)密钥管理中心将标识私钥回传给业务系统;(12)业务系统再将标识私钥的密文传给软件盾;(13)软件盾用缓存的随机数解密标识私钥,检查校验码确保标识私钥的正确性和有效性,再采用软件盾内部的会话密钥加密标识私钥,存储本文档来自技高网...
【技术保护点】
1.一种基于标识公钥的认证方法,其特征在于,所述方法包括:标识密钥生产方法,以标识与系统参数通过计算可得到相应的标识密钥;标识与系统私钥参数计算得到标识私钥,标识与系统公钥参数计算得到标识公钥,标识私钥与标识公钥构成密钥对;标识密钥采用统一的密钥分发协议,实现不同算法体系的统一密钥分发;同时对于标识密钥的签名验证方法和密钥传递方法,均利用标识公钥体制的共性,以创造性的方法实现了不同算法体系应用上的融合与统一。
【技术特征摘要】
1.一种基于标识公钥的认证方法,其特征在于,所述方法包括:标识密钥生产方法,以标识与系统参数通过计算可得到相应的标识密钥;标识与系统私钥参数计算得到标识私钥,标识与系统公钥参数计算得到标识公钥,标识私钥与标识公钥构成密钥对;标识密钥采用统一的密钥分发协议,实现不同算法体系的统一密钥分发;同时对于标识密钥的签名验证方法和密钥传递方法,均利用标识公钥体制的共性,以创造性的方法实现了不同算法体系应用上的融合与统一。2.根据权利要求1所述的方法,其特征在于,所述的系统参数根据不同的算法体系,所对应的参数不同;所述的标识公钥体制包括了南相浩的组合公钥(CPK)和陈朝晖的基于标识的密码(IBC,也称SM9),还包含陈华平的CLF算法和部队信息安全研究中心的CLA,也包含了凡符合“标识即密钥”的其他新发明的算法。3.根据权利要求1所述的方法,其特征在于,所述的标识公钥体制采用了统一的密钥分发协议,即提供了一种新型的密钥分发方法可实现标识体制内不同算法的标识私钥分发,从一种算法更换为另一种算法仅需修改算法配置即可。4.根据权利要求1所述的方法,其特征在于,所述的标识公钥体制的应用(即签名与验证和密钥传递),经抽象标识...
【专利技术属性】
技术研发人员:李维刚,
申请(专利权)人:李维刚,牛毅,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。