本发明专利技术提出了一种基于IBC与PKI混合体系的跨域密钥管理方法,发挥两种体系各自的优势,解决跨域环境下的KGC公共参数的互信问题。所述的密钥管理方法,基于IBC体系建立多个独立的KGC系统,基于PKI体系建立一个CA系统,CA系统为每个KGC系统的公共参数签发数字证书,并根据跨域权限管控策略,为每个KGC系统生成跨域授权列表,并通过各KGC系统下发到节点用户。当节点用户之间进行跨域认证时,交换对方的ID及其所在KGC系统的索引信息,从跨域授权列表提取公共参数并采用IBC相关算法,即可完成认证与通信过程。本发明专利技术省去了接入PPS或其他转接系统所带来的时间和经济成本,且支持灵活的跨域权限管控策略,特别适用于物联网、电子货币等具有海量节点用户的新兴领域。
【技术实现步骤摘要】
一种基于IBC与PKI混合体系的跨域密钥管理方法
本专利技术涉及信息安全及密钥体系,具体来说,涉及一种基于IBC与PKI混合体系的跨域密钥管理方法。
技术介绍
传统的PKI(公钥基础设施)体系是基于数字证书实现身份认证,广泛应用于加密邮件、网上银行、电子政务等领域,目前国内主要使用的是国家商用密码管理局发布的SM2非对称密码算法。在新兴的物联网、电子货币等领域,面对动辄千万级别的节点用户,对PKI系统内的CA中心服务端的硬件部署、负载均衡、灾备等能力都有着严苛的要求。为解决证书管理上的诸多问题,IBC(基于标识的密码技术)体系得到越来越广泛的应用,可有效的降低整个运营系统的负载。IBC体系的基本特性是将用户实体的唯一标识(ID),如可识别名称、电子邮箱、身份证号、电话号码等,与密钥对直接绑定,密钥生成中心(简称KGC)根据用户的标识ID,生成并下发各用户实体的私钥之后,无需参与后续的认证过程,用户实体间直接交互双方的ID,即可完成身份认证与安全通信。目前国内主要使用的是国家商用密码管理局发布的SM9标识密码算法。在IBC体系中,用户私钥由KGC生成并下发给用户,其密钥托管、密钥撤销以及密钥传输等机制,都要求用户必须信任KGC,即IBC体系只适用于用户无条件信任KGC的环境。如果不同运营方的用户处于不同的KGC域中,在跨域环境下的身份认证和安全通信,则面临更高要求的信任关系。目前解决跨域认证的主流解决方案是采用公共参数服务(PPS),PPS负责发布不同KGC域的公共参数,节点用户需实时接入PPS才能完成跨域交易,需要耗费一定的系统建设成本以及每次的交互时间,并且,在此种方式下,PPS的权利至高,攻击者可在链路上凭空伪造出一个非法的域,而节点用户缺乏强有力的手段确认收到的参数是否合法,容易产生安全风险。因此,需要设计一套高效、灵活、安全的密钥管理方法,解决跨域环境下不同的KGC公共参数的互信问题,从而实现身份认证与安全通信。
技术实现思路
针对相关技术的上述问题,本专利技术提出一种结合了PKI与IBC体系的密钥管理方法,发挥各自的优势,可高效、灵活的管理各KGC公共参数,并保证其合法性,解决跨域环境下的身份认证和安全通信。为实现上述技术目的,本专利技术公布了一种基于IBC与PKI混合体系的跨域密钥管理方法,在多个IBC体系之上建立一个PKI体系,IBC体系用于管理海量节点用户及其间的认证和交互,PKI体系用于管理IBC体系的公共参数证书以及跨域授权列表。具体包含以下步骤:S1:基于IBC体系,建立n个独立的KGC系统。生成主公钥PKKGCi和主私钥SKKGCi,将KGC系统的公共参数记为SYS_PARAKGCi;S2:基于PKI体系,建立一个CA系统。生成CA根公钥PKCA和根私钥SKCA;S3:各KGC系统向CA系统上送SYS_PARAKGCi,CA系统生成其公共参数证书CERTKGCi,并向KGC系统下发PKCA和跨域授权列表AUTH_LISTKGCi;S4:各KGC系统内部完成节点用户的密钥生成与下发,包括PKCA、AUTH_LISTKGCi以及对应的用户私钥d等。进一步的,所述步骤S1中,公共参数SYS_PARAKGCi以规定格式拼接形成,包括了选取的所有系统参数,如椭圆曲线识别符cid、椭圆曲线基域Fq的参数、椭圆曲线方程参数a和b、生成元P1和P2、主公钥PKKGCi等。进一步的,所述步骤S3具体包括以下步骤:1)各KGC系统向CA系统上送公共参数SYS_PARAKGCi;2)CA使用SKCA对KGC系统的索引IDXKGCi、公共参数SYS_PARAKGCi等信息进行签名,生成公共参数证书CERTKGCi。3)CA系统根据跨域权限管控策略,针对各KGC系统,组织可与其通信的其他k个(k∈[0,n-1])KGC系统的CERTKGCi和IDXKGCi等信息,形成跨域授权列表AUTH_LISTKGCi;4)将跨域授权列表AUTH_LISTKGCi,连同CA根公钥PKCA,一并下发给对应的KGC系统。进一步的,所述步骤S4具体包括以下步骤:1)各KGC系统内部,接收节点用户上送的ID,使用主私钥SKKGCi生成用户私钥d;2)KGC系统向其下的各节点用户下发用户私钥d,以及CA根公钥PKCA、本KGC系统的索引IDXKGCi、跨域授权列表AUTH_LISTKGCi等数据。进一步的,使用所述的密钥管理方法完成系统部署后,节点用户间的跨域认证与通信,具体包括以下步骤:1)节点用户接收到其他跨域节点用户的连接请求后,获取对方的用户ID及其所在KGC系统的索引信息IDXKGCi;2)根据IDXKGCi,索引跨域授权列表AUTH_LISTKGCi,查找是否有匹配的公共参数证书。如未找到,则直接拒绝连接。如找到,则提取CERTKGCi;3)使用PKCA验证CERTKGCi的有效性,并提取SYS_PARAKGCi;4)双方使用IBC相关算法,完成身份认证与加密通信等相关过程。其中:验签操作使用的是签名方的SYS_PARAKGCi;加密操作使用的是解密方的SYS_PARAKGCi。进一步的,使用所述的密钥管理方法完成系统部署后,当跨域权限管控策略需要变化时,通过更新节点用户的跨域授权列表来实现,具体包括以下步骤:1)更新节点用户跨域授权列表的操作,可根据具体应用需求,由各KGC系统或CA系统发起。CA系统根据当前的跨域权限管控策略,生成新的跨域授权列表AUTH_LISTKGCi并下发给KGC系统;2)KGC系统和节点用户使用PKCA,遍历并校验AUTH_LISTKGCi内的所有公共参数证书,如校验通过,则更新当前的列表。本专利技术的有益效果在于,使用基于PKI体系的跨域授权列表管理方式,实现IBC体系下多个KGC系统的公共参数的互信,从而支持单个节点用户间的跨域可信认证与通信,省去了接入PPS或其他转接系统所带来的时间和经济成本,且支持灵活的跨域权限管控策略,特别适用于物联网、电子货币等具有海量节点用户的新兴领域。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,附图仅仅是本专利技术的一个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据该附图获得其他的附图。图1本专利技术所述的混合体系架构图2本专利技术所述的概要流程图图3本专利技术实施例所述的密钥管理架构图4本专利技术实施例所述的跨域认证与通信的节点用户交互图具体实施方式下面结合附图对本专利技术实施例中的技术方案进行清晰、完整的描述。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的方法的例子。如图1所示,根据本专利技术实施例所述的一种基于IBC与PKI混合体系的跨域密钥管理方法,其混合体系架构中,在多个IBC体系上建立一个PKI体系,IBC体系用于管理海量节点用户及其间的认证和交互,PKI体系用于管理IBC体系的公共参数证书以及跨域授权列表。如图2所示,根据本专利技术实施例所述的一种基于IBC与PKI混合体系的跨域密钥管理方法,包含以下步骤:S1:基于IBC体系,建立n个独立的KGC系统;S2:基于PKI本文档来自技高网...
【技术保护点】
1.一种基于IBC与PKI混合体系的跨域密钥管理方法,其特征在于,在多个IBC体系之上建立一个PKI体系,管理各IBC体系的公共参数证书CERTKGCi以及跨域授权列表AUTH_LISTKGCi,主要步骤如下:S1:基于IBC体系,建立n个独立的KGC系统,各KGC系统生成主公钥PKKGCi和主私钥SKKGCi,将系统的公共参数记为SYS_PARAKGCi;S2:基于PKI体系,建立一个CA系统,生成CA根公钥PKCA和根私钥SKCA;S3:各KGC系统向CA系统上送公共参数SYS_PARAKGCi,CA系统为其生成公共参数证书CERTKGCi,并向KGC系统下发CA根公钥PKCA和跨域授权列表AUTH_LISTKGCi;S4:各KGC系统内部完成节点用户的密钥生成与下发,包括CA根公钥PKCA、跨域授权列表AUTH_LISTKGCi以及对应的用户私钥d等。
【技术特征摘要】
1.一种基于IBC与PKI混合体系的跨域密钥管理方法,其特征在于,在多个IBC体系之上建立一个PKI体系,管理各IBC体系的公共参数证书CERTKGCi以及跨域授权列表AUTH_LISTKGCi,主要步骤如下:S1:基于IBC体系,建立n个独立的KGC系统,各KGC系统生成主公钥PKKGCi和主私钥SKKGCi,将系统的公共参数记为SYS_PARAKGCi;S2:基于PKI体系,建立一个CA系统,生成CA根公钥PKCA和根私钥SKCA;S3:各KGC系统向CA系统上送公共参数SYS_PARAKGCi,CA系统为其生成公共参数证书CERTKGCi,并向KGC系统下发CA根公钥PKCA和跨域授权列表AUTH_LISTKGCi;S4:各KGC系统内部完成节点用户的密钥生成与下发,包括CA根公钥PKCA、跨域授权列表AUTH_LISTKGCi以及对应的用户私钥d等。2.如权利要求1所述的跨域密钥管理方法,其特征在于,使用跨域授权列表AUTH_LISTKGCi的方式来实现节点用户间的跨域认证与通信,跨域授权列表AUTH_LISTKGCi定义节点用户的可跨域范围,并包含认证所需的参数信息;跨域授权列表AUTH_LISTKGCi是由CA系统根据跨域权限管控策略,针对各KGC系统组织可与其通信的其他k个(k∈[0,n-1])KGC系统的公共参数证书CERTKGCi和索引IDXKGCi等信息生成的。3.如权利要求1所述的跨域密钥管理方法,其特征在于,...
【专利技术属性】
技术研发人员:王睿,
申请(专利权)人:北京中电华大电子设计有限责任公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。