一种基于Web?Service的IBE密钥管理系统,包括:密钥查询模块,用于查询ID所在域的公开参数PP及其安全密钥策略;密钥验证模块,用于验证ID所在域获取的公开参数PP是否有效;密钥注册模块,用于供用户通过Web?Service注册ID,获取ID公开参数PP,并获取ID的私钥;密钥注销模块,用于供用户通过验证码撤销注册的密钥;密钥恢复模块,用于供用户重新向PKG请求并恢复ID私钥;密钥更新模块,用于供用户可重新设置密钥策略参数,并可重新分发ID私钥。本发明专利技术具有灵活的功能扩展性、保障密钥请求的安全性、具有良好的服务可配置性。
【技术实现步骤摘要】
本专利技术涉及一种IBE密钥管理系统。
技术介绍
随着网络通信安全与数据加密需求的日益增强,公钥密码技术已被工业界 广泛采用,学术界对公钥技术的研究成果也层出不穷,每年召开的PKC(Public Key Cryptography)会议都会呈现一些公钥研究的新进展。公钥基础设施PKI是目前普遍使用 的安全应用架构,SSL、S/MIME、SSH等安全协议均采用PKI数字证书实现,网络银行等在线 金融业务的安全系统也都基于PKI开发。为了避免PKI公钥证书管理的复杂性,近年来,无证书公钥技术一直是业界研究 的热点,其中基于身份的公钥加密体制(IBE)已获得较广泛的应用。IBE可直接将用户 的ID映射为用户的公钥,由一个密钥管理中心PKG产生用户私钥,无需发布任何公钥证 书,适用于密钥集中托管的各类安全应用。IBE加密技术在中国叫做IBC (Identity-Based Cryptograph),即基于标识的密码技术,已经通过中国国家密码管理局的认证并授权为SM9 算法。同时,针对PKI证书管理和验证等操作的复杂性,为了减轻PKI客户端的计算负 荷,适应Web服务的发展趋势,业界已提出了基于XML的密钥管理规范XKMS。XKMS将PKI 的一些公开操作,如证书解析、证书验证等操作,集成为一种Web Service服务,Web客户程 序可通过请求XKMS服务返回复杂的PKI操作结果,因而被视为下一代PKI应用体系。XKMS 抽象出一个基于XML的信任Web Service服务层,能为客户端提供PKI证书基本处理和密 钥管理的服务接口,且可屏蔽底层异构的PKI系统,使PKI客户端无需了解PKI系统,由信 任的中间层处理复杂的PKI操作。XKMS系统服务分成两大模块密钥信息服务规范X-KISS和密钥注册服务规范 X-XRSS0 X-KISS主要提供公钥查询服务Locate和公钥验证服务Validate ;X-KRSS主要提 供公钥和用户身份信息的注册绑定服务Register、密钥绑定的重新签发服务Reissue、密 钥绑定的撤销服务Revoke,以及密钥的恢复服务Recover。XKMS模型在系统实现和应用研 究方面,国内外已出现了较多成果。一个基于XKMS的PKI系统的基本流程描述如下用户A 向XKMS的X-KRSS服务注册自己的公钥证书信息;传统PKI环境下,用户B欲跟A建立安全通信或安全认证前,首先需获得A的公钥证书,再从A的公钥证书中提取并验证A的公钥; 在XKMS服务支持下,由于A的公钥信息已在XKMS中注册,B只要向X-KISS服务发起Locate 请求直接获得用户A的公钥信息,再通过Validate服务获得公钥的合法信息。XKMS采用 基于XML的SOAP消息格式,使PKI应用客户端将数字证书解析、验证等操作交由其信任的 Web Service服务完成,可提高系统应用开发效率。近年来,随着XML技术的迅速普及,XML 安全问题日益被关注,将XKMS和XML安全相融合的软件环境成为当前业界研究重点,如被 IBM收购的原DataPower公司研发的XML安全网关无缝集成了 XKMS。前面已介绍了 IBE加密体制,鉴于IBE密钥管理的特点,研究基于Web Service的IBE密钥管理体系可实现更灵活、更便捷的IBE安全服务,可使IBE这一新型的公钥加密体 制以安全服务的形式适应下一代网络安全应用环境。当前,以美国Voltage为代表的公司 已开发了基于IBE加密体制的安全应用产品,并获得了市场广泛的支持。但至目前为止,业 界尚未出现基于Web Service的IBE密钥管理服务的具体成果。我们相信,针对IBE加密 体制的特点,设计开发类似PKI环境下的XKMS密钥管理服务体系,可大力推进IBE在下一 代Web Service网络开发环境中的应用。
技术实现思路
为了克服现有的基于IBE技术的加密系统的功能扩展性差、安全性较差、可配置性差的不足,本专利技术提供一种具有灵活的功能扩展性、保障密钥请求的安全性、具有良好的 可配置性的基于Web Service的IBE密钥管理系统。为了解决上述技术问题提出的技术方案为一种基于Web Service的IBE密钥管理系统,包括密钥查询模块,用于查询ID 所在域的公开参数PP及其安全密钥策略,所述公开参数PP由PKG系统主密钥S产生的系 统公开加密参数,安全密钥策略包括S1 以ID作为公钥,并由PKG设定默认的有效时间周 期;S2 以ID| IDate作为公钥,其中的Date即指定密钥的有效时间周期;S3 以ID作为公 钥,并由用户设定有效时间周期,通过参数存储确定密钥的有效期;密钥验证模块,用于验 证ID所在域获取的公开参数PP是否有效;密钥注册模块,用于供用户通过Web Service注 册ID,获取ID公开参数PP,并获取ID的私钥;密钥注销模块,用于供用户通过验证码撤销 注册的密钥;密钥恢复模块,用于供用户重新向请求并恢复ID私钥;密钥更新模块,用于供 用户可重新设置策略参数,并可重新分发ID私钥。进一步,所述IBE密钥管理系统还包括数字信封模块,用于供用户请求生成XML 数字信封,即以接收方ID公钥加密对称密钥生成数字信封,由对称密钥加密明文形成密 文;数字解封模块,用于供接收方用户用ID私钥解封数字信封得到消息原文M。再进一步,所述IBE密钥管理系统还包括数字签名模块,用于供用户请求自己对 消息哈希H(M)的XML数字签名;签名验证模块,用于供用户请求发送方ID对消息M的XML 签名验证。更进一步,在所述密钥查询模块中,PKG可通过哈希函数H产生基于域参数DN的 主密钥s,即s = H(DN)。本专利技术的技术构思为本专利技术即提出了一种将IBE密钥管理封装成Web Service 信任服务的系统设计方法,实现一套基于XML的IBE密钥管理服务系统。如图1所示,根据IBE密钥管理的特点,将IBE密钥管理服务设计成如下四大类 型,即 IBE Public Parameter Information Service (简称 IBE-PPIS,IBE 公开参数信息 月艮务),IBE Private Key InformationService (简称 IBE-PKIS, IBE 私钥信息服务),IBE Public ParameterCryptographic Service (简称 IBE-PPCS,IBE 公开参数加密服务), IBEPrivate Key Cryptographic Service (简称 IBE-PKCS,IBE 私钥加密服务)。为每一类服务设计的具体服务接口参数描述如表1所述。<table>table see original document page 5</column></row><table>表1IBE-XKMS密钥管理服务接口参数描述相关参数说明(1)域参数DN 代表组织名,如浙江工业大学的域名为zjut,通常指一个PKG的密 钥管理管辖范围。一个PKG的主密钥s基于DN生成,具体可通过Hash函数(如SHAl等) 产生主密钥s,即s = Hash(DN)。⑵用户ID 可代表域内用户本文档来自技高网...
【技术保护点】
一种基于WebService的IBE密钥管理系统,其特征在于:所述IBE密钥管理系统包括:密钥查询模块,用于查询ID所在域的公开参数PP及其安全密钥策略,所述公开参数PP由PKG系统主密钥s产生的系统公开加密参数,安全密钥策略包括:S1:以ID作为公钥,并由PKG设定默认的有效时间周期;S2:以ID||Date作为公钥,其中的Date即指定密钥的有效时间周期;S3:以ID作为公钥,并由用户设定有效时间周期,通过参数存储确定密钥的有效期;密钥验证模块,用于验证ID所在域获取的公开参数PP是否有效;密钥注册模块,用于供用户通过WebService注册ID,获取ID公开参数PP,并获取ID的私钥;密钥注销模块,用于供用户通过验证码撤销注册的密钥;密钥恢复模块,用于供用户重新向PKG请求并恢复ID私钥;密钥更新模块,用于供用户可重新设置密钥策略参数,并可重新分发ID私钥。
【技术特征摘要】
一种基于Web Service的IBE密钥管理系统,其特征在于所述IBE密钥管理系统包括密钥查询模块,用于查询ID所在域的公开参数PP及其安全密钥策略,所述公开参数PP由PKG系统主密钥s产生的系统公开加密参数,安全密钥策略包括S1以ID作为公钥,并由PKG设定默认的有效时间周期;S2以ID||Date作为公钥,其中的Date即指定密钥的有效时间周期;S3以ID作为公钥,并由用户设定有效时间周期,通过参数存储确定密钥的有效期;密钥验证模块,用于验证ID所在域获取的公开参数PP是否有效;密钥注册模块,用于供用户通过Web Service注册ID,获取ID公开参数PP,并获取ID的私钥;密钥注销模块,用于供用户通过验证码撤销注册的密钥;密钥恢复模块,用于供用户重新向PKG请求并恢复ID私钥;密钥更新模块,用于供用户可重新设置密钥策略参数,并可重新分发ID私钥。2.如权利要求1所述的基于WebService的IBE密钥管理系统...
【专利技术属性】
技术研发人员:陈铁明,李伟,蔡家楣,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。