一种基于多层密钥生成中心的密钥分发方法及相关系统技术方案

本发明专利技术公开了一种基于多层密钥生成中心的密钥分发方法及相关系统，属于密码学领域。多层密钥生成中心包括一级PKG和多个二级PKG，密钥分发方法包括：S1，二级PKG接收用户的私钥申请请求，并检索数据库中是否存储用户的私钥，若是，则将其发送给用户；若否，执行S2；S2，二级PKG使用约定的通信协议向一级PKG转发用户的私钥申请请求；S3，一级PKG通过二级PKG的公钥验证二级PKG的身份；若验证通过，一级PKG生成用户的私钥并使用二级PKG的公钥和自身的私钥通过约定的通信协议发送给二级PKG；S4，二级PKG验证一级PKG发送的用户私钥，若验证成功，则将其存入数据库并发送给用户。如此，本发明专利技术能有效解决高并发问题，突破单一中心式的PKG存在的性能瓶颈。PKG存在的性能瓶颈。PKG存在的性能瓶颈。

【技术实现步骤摘要】
一种基于多层密钥生成中心的密钥分发方法及相关系统


[0001]本专利技术属于密码学领域，更具体地，涉及一种基于多层密钥生成中心的密钥分发方法及相关系统。

技术介绍

[0002]SM9算法是国密算法标准中一种基于身份的密码系统，提供密钥生成服务。SM9算法以用户的公开ID作为用户的公钥，并根据用户的ID由密钥生成中心生成用户私钥。使用SM9算法替代数字证书，可以大大降低密钥管理开销。在采用SM9算法的体系中，密钥生成中心需要认证用户身份，生成用户私钥，因此被称为PKG(Private Key Generator)。但是单一中心的PKG存在高并发问题下的性能瓶颈问题。目前申请SM9私钥时并不能使用免费邮箱地址作为用户ID。

技术实现思路

[0003]针对现有技术的缺陷和改进需求，本专利技术提供了一种基于多层密钥生成中心的密钥分发方法及相关系统，通过设计两级PKG的分层结构，能有效解决高并发问题，突破单一中心式的PKG存在的性能瓶颈。
[0004]为实现上述目的，第一方面，本专利技术提供了一种基于多层密钥生成中心的密钥分发方法，所述多层密钥生成中心包括一级PKG和多个二级PKG，所述一级PKG是可信PKG，约定两层PKG之间使用的通信协议和公共参数，所述二级PKG的公钥由一级PKG指定，所述二级PKG的私钥由一级PKG生成并写入二级PKG的配置文件；所述方法包括：S1，二级PKG接收用户的私钥申请请求，并检索数据库中是否存储所述用户的私钥，若是，则将其发送给所述用户；若否，执行S2；S2，二级PKG使用约定的通信协议向一级PKG转发所述用户的私钥申请请求；S3，一级PKG通过二级PKG的公钥验证二级PKG的身份；若验证通过，一级PKG生成所述用户的私钥并使用二级PKG的公钥和自身的私钥通过约定的通信协议发送给二级PKG；S4，二级PKG验证一级PKG发送的用户私钥，若验证成功，则将其存入数据库并发送给用户。
[0005]进一步地，所述二级PKG由一级PKG以行政方式认证、产生和部署。
[0006]进一步地，所述二级PKG的私钥由约定的通信协议定义的密码算法生成，二级PKG使用解密私钥解密其收到的非对称加密消息，二级PKG使用签名私钥对其发送的消息签名。
[0007]进一步地，所述S2中，所述约定的通信协议中，使用一级PKG的公钥作为非对称加密的密钥，二级PKG的签名私钥作为数字签名的密钥。
[0008]进一步地，所述S3中，所述约定的通信协议中，使用二级PKG的公钥作为非对称加密的密钥，一级PKG的签名私钥作为数字签名的密钥。
[0009]进一步地，所述S2包括：二级PKG使用自身的签名私钥对消息明文进行签名得到签名数据，对所述签名数据和所述消息明文进行拼接压缩得到压缩数据，利用会话密钥对所述压缩数据进行对称加密得到加密数据，再利用所述一级PKG的公钥对所述会话密钥进行加密得到加密的会话密钥；将所述加密数据和加密的会话密钥通过约定的通信协议发送给
一级PKG；所述S3中，所述一级PKG通过二级PKG的公钥验证本次请求的数字签名部分，以验证二级PKG的身份，包括：一级PKG使用自身的解密私钥对所述加密的会话密钥进行解密得到解密的会话密钥，对所述加密数据进行对称解密得到解密数据，对所述解密的会话密钥和所述解密数据进行解压缩分离得到所述消息明文和所述签名数据，并利用所述二级PKG的公钥进行身份验证。
[0010]进一步地，所述约定的通信协议为后量子安全的通信协议。
[0011]第二方面，本专利技术提供了一种多层密钥生成中心，所述多层密钥生成中心包括一级PKG和多个二级PKG；所述一级PKG是可信PKG，用于约定两级PKG之间使用的通信协议和公共参数，以及指定二级PKG的公钥，生成二级PKG的私钥并写入二级PKG的配置文件；所述二级PKG用于，接收用户的私钥申请请求，并检索数据库中是否存储所述用户的私钥，若是，则将其发送给所述用户；若否，则使用约定的通信协议向一级PKG转发所述用户的私钥申请请求；所述一级PKG还用于，通过二级PKG的公钥验证二级PKG的身份；若验证通过，一级PKG生成所述用户的私钥并使用二级PKG的公钥和自身的私钥通过约定的通信协议发送给二级PKG；所述二级PKG还用于，验证一级PKG发送的用户私钥，若验证成功，则将其存入数据库并发送给用户。
[0012]第三方面，本专利技术提供了一种电子设备，包括：处理器；存储器，其存储有计算机可执行程序，所述程序在被所述处理器执行时，使得所述处理器执行如第一方面所述的基于多层密钥生成中心的密钥分发方法。
[0013]第四方面，本专利技术提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如第一方面所述的基于多层密钥生成中心的密钥分发方法。
[0014]总体而言，通过本专利技术所构思的以上技术方案，能够取得以下有益效果：
[0015](1)本专利技术针对传统PKG的单一中心结构导致的高并发问题下PKG的性能瓶颈问题，以及量子计算机发展导致的密钥分发过程中系统安全性降低的问题，创新地提出一种多层密钥生成中心架构，将一级PKG的运行负载均衡至分布式的二级PKG群，实现在高并发问题下对PKG性能瓶颈的突破。
[0016](2)本专利技术优选后量子安全通信协议的认证和密钥分发方案，在消息传输的过程中采用后量子安全的加密和签名方案，保证用户私钥的完整性和后量子安全性，实现PKG架构整体的安全性与可用性。
附图说明
[0017]图1为本专利技术实施例提供的一种基于多层密钥生成中心的密钥分发方法的流程示意图。
[0018]图2为本专利技术实施例提供的多层密钥生成中心架构图。
具体实施方式
[0019]为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。此外，下面所描述的本专利技术各个实施方式中所涉及到的技术特征只要
彼此之间未构成冲突就可以相互组合。
[0020]在本专利技术中，本专利技术及附图中的术语“第一”、“第二”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。
[0021]参阅图1，结合图2，本专利技术实施例提供了一种基于多层密钥生成中心的密钥分发方法，所述多层密钥生成中心包括一级PKG和多个二级PKG，所述一级PKG是可信PKG，约定两层PKG之间使用的通信协议和公共参数，所述二级PKG的公钥由一级PKG指定，所述二级PKG的私钥由一级PKG生成并写入二级PKG的配置文件；所述方法包括：
[0022]S1，二级PKG接收用户的私钥申请请求，并检索数据库中是否存储所述用户的私钥，若是，则将其发送给所述用户；若否，执行S2；
[0023]S2，二级PKG使用约定的通信协议向一级PKG转发所述用户的私钥申请请求；
[0024]S3，一级PKG通过二级PKG的公钥验证二级PKG的身份；若验证本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述多层密钥生成中心包括一级PKG和多个二级PKG，所述一级PKG是可信PKG，约定两层PKG之间使用的通信协议和公共参数，所述二级PKG的公钥由一级PKG指定，所述二级PKG的私钥由一级PKG生成并写入二级PKG的配置文件；所述方法包括：S1，二级PKG接收用户的私钥申请请求，并检索数据库中是否存储所述用户的私钥，若是，则将其发送给所述用户；若否，执行S2；S2，二级PKG使用约定的通信协议向一级PKG转发所述用户的私钥申请请求；S3，一级PKG通过二级PKG的公钥验证二级PKG的身份；若验证通过，一级PKG生成所述用户的私钥并使用二级PKG的公钥和自身的私钥通过约定的通信协议发送给二级PKG；S4，二级PKG验证一级PKG发送的用户私钥，若验证成功，则将其存入数据库并发送给用户。2.根据权利要求1所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述二级PKG由一级PKG以行政方式认证、产生和部署。3.根据权利要求1所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述二级PKG的私钥由约定的通信协议定义的密码算法生成，二级PKG使用解密私钥解密其收到的非对称加密消息，二级PKG使用签名私钥对其发送的消息签名。4.根据权利要求1所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述S2中，所述约定的通信协议中，使用一级PKG的公钥作为非对称加密的密钥，二级PKG的签名私钥作为数字签名的密钥。5.根据权利要求1所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述S3中，所述约定的通信协议中，使用二级PKG的公钥作为非对称加密的密钥，一级PKG的签名私钥作为数字签名的密钥。6.根据权利要求1所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述S2包括：二级PKG使用自身的签名私钥对消息明文进行签名得到签名数据，对所述签名数据和所述消息明文进行拼接压缩得到压缩数据，利用会话密钥对所述压缩数据进行对称加密得...

【专利技术属性】
技术研发人员：龚百川，徐可彤，高永鹏，邱士煜，徐鹏，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：