本发明专利技术公开了一种网上私钥的在线分发方法及系统。用户向密钥管理中心KMC提出私钥申请信息,密钥管理中心KMC生产并分发私钥信息;最后用户接收并记录私钥信息;本发明专利技术采用基于标识的CPK公钥体制,将密钥生成与密钥分发可以统一起来作为一个整体管理,既解决了数字签名的密钥管理,又解决了数据加密的密钥管理;不仅能离线管理,也能在线管理,大大方便了密钥管理的复杂性;还能适应在标识和密钥互相脱节的情况下,实现“先买到没有私钥的“空”CPK卡,后配私钥”的商务模式。
【技术实现步骤摘要】
本专利技术涉及密钥管理领域,特别涉及一种密钥的生成及分发的密钥管理方法及系统。
技术介绍
在安全保密系统中,密钥管理是核心问题。公开密钥体制,只解决了密钥的生成问题。1984年Shamir的Identity-based Crypto scheme第一次解决了将密钥生成与密钥分发作为整体管理的技术,但只解决了数字签名中的密钥管理,没有能解决密钥传递中的密钥管理,2001年F/W两人提出了 Identity-based Encryption,解决了数据加密中的密钥管理,没有能解决数字签名中的密钥管理。以上两个体制只能采用私钥的离线分发体制,不能采用在线分发机制。因此,私钥的在线分发成为密钥管理的一大难题。 在线密钥分发体制,最早由Diffie和Helman提出,这就是有名的D-H密钥交换协议,以双向密钥交换的方式建立会话密钥(session key),回避了建立秘密通道的难题,但是易受 “man-in-the-middle” 攻击。新型网络技术的发展,特别是超大型网络的发展,如互联网,物联网,视联网,数字家庭,智慧城市等,规模越大,系统越复杂,对密钥管理的自动化要求就越高。在手机系统中SM卡提供电话号码,电话号码就是手机的标识,一旦有了标识就可以生成对应的公私钥对。如果SM卡和CPK卡结合在一起,那么当SM卡定义电话号码(电话标识)吋,同时生成对应于本标识的私钥,本可以将密钥生成与分发同时完成,使密钥管理变得很简单,但是在目前的体制下,分别由两个不同的经营商管理,很难统一起来同时完成。又如银行信用卡、借贷卡系统中,如果用CPK卡实现信用卡或借贷卡,那么在定义帐号(帐号标识)时,同时生成对应的私钥。这样当用户买到信用卡时,就已具备了相应的私钥,使密钥管理变得非常方便。但是在目前的体制下,还没有实现统一。因此急需一种能适应网上的在线分发的私钥管理方法和ー种生成及分发私钥的系统。
技术实现思路
有鉴于此,本专利技术所要解决的技术问题是提供一种能适应网上的在线分发的私钥管理方法和生成私钥的系统。本专利技术的目的之ー是提出一种网上私钥的在线分发方法;本专利技术的目的之ニ是提出一种网上私钥的在线分发系统。本专利技术的目的之一是通过以下技术方案来实现的本专利技术提供的网上私钥的在线分发方法,包括以下步骤SI :密钥管理中心KMC设置并公布相应的私钥分发的途径;S2:用户定义ロ令PW;S3 :用户的功能模块向密钥管理中心KMC设置的服务器提出私钥申请信息;S4 :密钥管理服务器生产并分发私钥信息;S5 :用户的功能模块接收并记录私钥信息。进ー步,所述私钥申请信息包括申请私钥的标识和WD号,所述WD号是CPK芯片的唯一号,申请信息包括WD对标识的签名,通过以下方式自动发送到密钥管理服务器发送msg:= {UID, sign, ID};其中,sign通过以下方式获取SIGuid(ID) = sign= (s, c) ;uid(小写,斜体)是UID号的私钥,WD (大写,斜体)是WD的公钥,s是签名码,c是核对码,ID是申请私钥的标识。进ー步,所述密钥管理中心KMC生产并分发私钥信息包括以下步骤 S41 :密钥管理中心KMC通过以下方式检查标识的真实性VERuid (s) =C,,S42 :如果c=c ’,则生成私钥sk ;S43 :将私钥sk用UID的公钥加密生产私钥消息msg井向用户发送。进ー步,所述用户接收并记录私钥信息具体包括以下步骤S51 :用户接收并采用以下方式自动脱密私钥消息msg DECuid ( β ) =key ;Dkey (code) =sk ;其中,DEC是非对称脱密,D是对称脱密;S52 :记录脱密后的私钥sk。进ー步,所述将私钥sk加密是采用以下方式进行的rG = key ;Ekey (sk) =code ;ENCuid (key) = β ;发送:msg={code, β };其中,E是对称加密,ENC是非对称加密,r是选择的一个随机数。进ー步,所述用户从向密钥管理中心KMC提出私钥申请信息到密钥管理中心KMC生产并分发私钥信息以及用户接收并记录私钥信息的整个过程在芯片内部自动进行,所述芯片内部设置有CPK公钥体制运行所需程序。进ー步,所述芯片设置有作为UID号的唯一标识,并配有用于构建秘密通道的公私钥对,所述标识通过自动扫描的方式或离线分发方式获取,所述标识与私钥唯一对应。进ー步,所述私钥分发的途径通过设置私钥分发的网站进行统ー管理密钥。本专利技术的目的之ニ是通过以下技术方案来实现的本专利技术提供的网上私钥的在线分发芯片,包括用户ロ令模块、私钥申请模块、私钥分发模块、私钥记录模块、标识模块和CPK公钥模块;所述用户ロ令模块,用于用户定义ロ令PW;所述私钥申请模块,用于用户向密钥管理中心KMC提出私钥申请信息;所述私钥分发模块,用于密钥管理中心KMC生产并分发私钥信息;所述私钥记录模块,用于用户接收并记录私钥信息;所述标识模块,用于获取芯片作为UID号的卩隹ー标识;所述CPK公钥模块,用于存储CPK公钥体制运行所需程序。进ー步,所述私钥申请模块、私钥分发模块和私钥记录模块具体包括如下所述私钥申请模块具体包括申请私钥的标识和UID号,所述WD号是CPK芯片的唯一号,所述申请信息包括WD对标识的签名,通过以下方式自动发送到密钥管理中心KMC 发送msg:= {UID, sign, ID};其中,sign通过以下方式获取SIGuid(ID) = sign= (s, c) ;uid(小写,斜体)是UID号的私钥,WD (大写,斜体)是WD的公钥,s是签名码,c是核对码,ID是申请私钥的标识; 所述私钥分发模块具体包括如下过程首先密钥管理中心KMC通过以下方式检查标识的真实性=VERuid (s)=c’,判断是否满足条件如果c=c’,则生成私钥sk;然后采用以下方式将私钥sk用UID的公钥加密生产私钥消息msg rG = key ;Ekey(sk) =code ;ENCuid (key) = β ;发送消息msg={code, β};其中,E是对称加密,ENC是非对称加密,r是选择的ー个随机数;最后将私钥消息msg向用户发送;所述私钥记录模块具体包括如下过程首先用户接收并采用以下方式自动脱密私钥消息msg DECuid(^)=key ;Dkey(code) =sk ;其中,DEC是非对称脱密,D是对称脱密;然后记录脱密后的私钥sk。本专利技术的优点在于本专利技术采用基于标识的CPK公钥体制,将密钥生成与密钥分发可以统一起来作为ー个整体管理,既解决了数字签名的密钥管理,又解决了数据加密的密钥管理;不仅能离线管理,也能在线管理,大大方便了密钥管理的复杂性;将有公钥矩阵和运算公钥所需的支持软件包含在CPK芯片中,每个CPK芯片只设置有ー个UID号,并配有公私钥对,将用于构建秘密通道,以UID解决了建立秘密通道的难题。本专利技术提供的在线私钥的分发和控制协议,标识不仅能以自动扫描的方式获取,不能自行定义,如电话号码、银行帐号,用户名,通信地址码等。还能在设备不能自动提供标识的场合采用离线分发方式获取,如人名做标识的场合。本专利技术提供的在线私钥分发方法只有第一次定义新标识时调用一次,已具有私钥的标识,不能再次申请。本专利技术提供的CPK鉴别系统的密钥分发本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.网上私钥的在线分发方法,其特征在干包括以下步骤 51:密钥管理中心KMC设置服务器,并公布相应的私钥分发的途径; 52:用户定义ロ令PW; 53:用户向密钥管理服务器提出私钥申请信息; 54:密钥管理服务器生产并分发私钥信息; 55:用户接收并记录私钥信息。2.根据权利要求I所述的网上私钥的在线分发方法,其特征在于所述私钥申请信息包括申请私钥的标识和UID号,所述UID号是为每一 CPK心片设计的唯一号,所述申请信息包括UID对标识的签名,通过以下方式自动发送到密钥管理服务器发送msg: = {UID, sign, ID}; 其中,sign通过以下方式获取SIGuid(I D) = sign= (s, c) ;uid(小写,斜体)是UID号的私钥,UID (大写,斜体)是WD的公钥,s是签名码,c是核对码,ID是申请私钥的标识。3.根据权利要求I所述的网上私钥的在线分发方法,其特征在于所述密钥管理中心KMC生产并分发私钥信息包括以下步骤 541:密钥管理中心KMC通过以下方式检查标识的真实性 VERuid (s) =C,, 542:如果c=c’,则生成私钥sk ; 543:将私钥sk用UID的公钥加密生产私钥消息msg井向用户发送。4.根据权利要求I所述的网上私钥的在线分发方法,其特征在于所述用户接收并记录私钥信息具体包括以下步骤 551:用户接收并采用以下方式自动脱密私钥消息msg DECuid ( β ) =key ; Dkey (code; =sk ; 其中,DEC是非对称脱密,D是对称脱密; 552:记录脱密后的私钥sk。5.根据权利要求3所述的网上私钥的在线分发方法,其特征在干所述将私钥sk加密是采用以下方式进行的rG = key ; Ekey (skノ =code ; ENCuid (key) = β ;发送:msg= {code, β }; 其中,E是对称加密,ENC是非对称加密,r是选择的一个随机数。6.根据权利要求1-5任一项所述的网上私钥的在线分发方法,其特征在于所述用户从向密钥管理中心KMC提出私钥申请信息到密钥管理中心KMC生产并分发私钥信息以及用户接收并记录私钥信息的整个过程在芯片内部自动进行,所述芯片内部设置有CPK公钥体制运行所需程序。7...
【专利技术属性】
技术研发人员:南相浩,
申请(专利权)人:南相浩,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。