基于群组的密钥生成方法和系统、密钥分发方法和系统的制作方法

基于群组的密钥生成方法和系统、密钥分发方法和系统的制作方法
【专利摘要】本发明所述的基于群组的密钥生成方法和系统、密钥分发方法和系统，当群组密钥产生时即产生了密钥对ID，此密钥对ID是各密钥对的唯一标识，通过此密钥对ID能方便的查找到不同的群组密钥，当组成员发生改变或群组密钥发生改变时，通过此密钥对ID能快速找到相应的公私钥对进行更新，使得该组成员能正常加解密，非该组成员仍不能加解密。密钥更新后能及时使用新的群组密钥进行加解密，而旧的群组密钥不能再继续使用。采用上述方案，在群组成员动态变化时密钥更新成本很低，并且可消除前向安全和后向安全的风险。
【专利说明】基于群组的密钥生成方法和系统、密钥分发方法和系统

【技术领域】
[0001] 本发明涉及通信系统的加解密技术，具体涉及一种基于群组的密钥生成方法和系 统以及一种密钥分发方法和系统。

【背景技术】
[0002] 随着信息化的深入发展，对信息资源的共享和应用的需求日益旺盛，但存在一定 数量共享使用信息资源的业务系统信息安全保障能力偏弱，安全风险形式严峻。信息资源 中包含大量的例如家庭住址、年龄、家庭成员关系等隐私信息，若发生信息泄露和滥用的安 全问题，则会直接产生恶劣社会影响，甚至可能会直接威胁社会稳定和国家安全。因此需要 强化密码在保护基础信息资源的支撑作用，大力推动密码技术在完善信息共享安全保护中 的应用，增强信息资源和个人信息保护。
[0003] 现有技术中的密钥分发方式主要有两种形式：
[0004] 一种是所有用户采用相同的密钥，这种方式所存在的问题是，当用户为文件进行 加密操作时，无论什么类型的文件都采用相同的密钥进行加密，这种方式不具有针对性，不 能够很好的满足客户的需求。另外一种是不同用户就采用不同的密钥，这种方式导致只有 固定的用户才能对加密后的文件进行解密，对用户的依赖性较强，在实际操作时如果该用 户离职或者由于其他原因不能够对文件进行解密操作，其他人也无法对该文件进行相应的 操作。
[0005] 为解决上述问题，提出了设置群组密钥的方式。群组密钥属于密钥的一种，其特点 是所有群成员共享一个不为非群成员知晓的秘密密钥，当新的成员加入一个群时，这个成 员应可立即获得新的群密钥，而当一个群成员退出群组时，不再允许解读以后的通信密文。 然而现有技术中只针对群组密钥中所涉及的群组进行管理，忽略了对群组密钥的保护。在 实际有用户具体参与一方的权限变更或者角色变更，需要更改或删除变化一方的密码权限 或密钥。群组密钥的吊销随着成员动态变化有较大密钥更新成本，并且存在前向安全和后 向安全的风险。


【发明内容】

[0006] 为此，本发明所要解决的技术问题是提供一种基于群组的密钥生成方法和系统以 及一种密钥分发方法和系统。
[0007] 为解决上述技术问题，本发明采用的技术方案如下：
[0008] 本发明提供一种基于群组的密钥生成方法，包括如下步骤：
[0009] SI 1 :生成公私钥对，所述公私钥对包括公钥和私钥；
[0010] S12 :为每一所述公私钥对配置一密钥对ID ;
[0011] S13:将所述公私钥对导出，并对公钥进行加密后将公私钥对存储。
[0012] 所述的基于群组的密钥生成方法，所述步骤S11中，通过加密机使用RSA算法生成 公私钥对。
[0013] 所述的基于群组的密钥生成方法，所述步骤S13中，采用加密机将所述公私钥对 导出，并由加密机对公钥进行加密。
[0014] 所述的基于群组的密钥生成方法，所述步骤S13中，对公钥进行加密后将公私钥 对存储至密钥专属硬件，所述密钥专属硬件配置有专属密码。
[0015] 本发明还提供一种基于群组的密钥生成系统，包括：
[0016] 密钥生成单元，用于生成公私钥对，所述公私钥对包括公钥和私钥；
[0017] ID配置单元，用于为每一所述公私钥对配置一密钥对ID ;
[0018] 密钥存储单元，用于将所述公私钥对导出，并对公钥进行加密后将公私钥对存储。
[0019] 所述的基于群组的密钥生成系统，所述密钥生成单元中，通过加密机使用RSA算 法生成公私钥对。
[0020] 所述的基于群组的密钥生成方法，所述密钥存储单元中，采用加密机将所述公私 钥对导出，并由加密机对公钥进行加密。
[0021] 所述的基于群组的密钥生成方法，所述密钥存储单元中包括密钥专属硬件，对公 钥进行加密后将公私钥对存储至所述密钥专属硬件，所述密钥专属硬件配置有专属密码。
[0022] 本发明还提供一种基于群组的密钥分发方法，包括如下步骤：
[0023] S21 :接收用户端发送的密钥请求信息；
[0024] S22 :判断用户端的密集使用权限；
[0025] S23 :对所存储的配置有密钥对ID的公私钥对进行解密，采用用户公钥对所述公 私钥对进行加密后发送至用户端。
[0026] 所述的基于群组的密钥分发方法，所述步骤S23中，使用解密机对对所存储的配 置有密钥对ID的公私钥对进行解密。
[0027] 本发明还提供一种基于群组的密钥分发系统，包括：
[0028] 数据接收单元，用于接收用户端发送的密钥请求信息；
[0029] 权限判断单元，用于判断用户端的密集使用权限；
[0030] 分发单元，用于对所存储的配置有密钥对ID的公私钥对进行解密，采用用户公钥 对所述公私钥对进行加密后发送至用户端。
[0031] 所述的基于群组的密钥分发系统，所述分发单元中，使用解密机对对所存储的配 置有密钥对ID的公私钥对进行解密。
[0032] 本发明还提供一种基于群组密钥的生成及分发系统，包括：
[0033] 服务器，用于生成配置有密钥对ID的公私钥对，并对公钥进行加密；
[0034] 密钥专属硬件，具有专属密码，用于存储服务器导出的对公钥加密后的公私钥 对；
[0035] 所述密钥专属硬件接收用户端发送的密钥请求信息，判断用户端的密集使用权 限，对所存储的配置有密钥对ID的公私钥对进行解密，采用用户公钥对所述公私钥对进行 加密后发送至用户端。本发明的上述技术方案相比现有技术具有以下优点：
[0036] (1)本发明所述的基于群组的密钥生成方法和系统、密钥分发方法和系统，当群组 密钥（即公私密钥对）产生时即产生了密钥对ID，此密钥对ID是各密钥对的唯一标识，通 过此密钥对ID能方便的查找到不同的群组密钥，当组成员发生改变或群组密钥发生改变 时，通过此密钥对ID能快速找到相应的公私钥对进行更新，使得该组成员能正常加解密， 非该组成员仍不能加解密。密钥更新后能及时使用新的群组密钥进行加解密，而旧的群组 密钥不能再继续使用。采用上述方案，在群组成员动态变化时密钥更新成本很低，并且可消 除前向安全和后向安全的风险。
[0037] (2)本发明所述的基于群组的密钥生成方法和系统、密钥分发方法和系统，为了保 护密钥的安全，对公钥进行加密后将公私钥对存储至密钥专属硬件，所述密钥专属硬件配 置有专属密码。对群组密钥的吊销就是直接吊销密钥专属硬件的专属密码，如果专属密码 被盗或损坏，也需要吊销该专属硬件的专属密码。

【专利附图】

【附图说明】
[0038] 为了使本发明的内容更容易被清楚的理解，下面根据本发明的具体实施例并结合 附图，对本发明作进一步详细的说明，其中为了使本发明的内容更容易被清楚的理解，下面 根据本发明的具体实施例并结合附图，对本发明作进一步详细的说明，其中：
[0039] 图1为本发明一个实施例所述基于群组的密钥生成方法的流程图；
[0040] 图2为本发明一个实施例所述基于群组的密钥生成系统的原理框图；
[0041] 图3为本发明一个实施例所述基于群组的密钥分发方法的流程图；
[0042] 图4为本发明一个实施例所述基于群组的密钥系统的原理框图；
[0043] 图5为本发明一个实施例所述基于群组密钥的生成及分发系统的原理框图；
[0044] 图6为本发明一个实施例所述基于群组密钥的生成及分发系统的系统架构图。

【具体实施方式】
[0045] 实施例1
[0046] 本实施例提供一种基于群组的密钥生成方法，如图1所示，包括如下步骤：
[0047] SI 1 :生成公私钥对，所述公私钥对包括公钥和私钥。
[0048] S12 :为每一所述公私钥对配置一密钥对ID。
[0049] S13 :将所述公私钥对导出，并对公钥进行加密后将公私钥对存储。
[0050] 本实施例中，所述步骤S11中，通过加密机使用RSA算法生成公私钥对。所述步 骤S13中，采用加密机将所述公私钥对导出，并由加密机对公钥进行加密。加密机是通过国 家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，加密机和主机之间 使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。加 密机支持目前国际上常用的多种密码算法支持的公钥算法有RSA、DSA ;椭圆曲线密码算法 Diffe Heilman ;支持的对称算法有SDBI、DES、IDEA、RC2、RC4、RC5 ;支持的单向散列算法有 SDHI、MD2、MD5、SHA1。
[0051] 上述方案中，当群组密钥（即公私密钥对）产生时即产生了密钥对ID，此密钥对 ID是各密钥对的唯一标识，通过此密钥对ID能方便的查找到不同的群组密钥，当组成员发 生改变或群组密钥发生改变时，通过此密钥对ID能快速找到相应的公私钥对进行更新，使 得该组成员能正常加解密，非该组成员仍不能加解密。密钥更新后能及时使用新的群组密 钥进行加解密，而旧的群组密钥不能再继续使用。采用上述方案，在群组成员动态变化时密 钥更新成本很低，并且可消除前向安全和后向安全的风险。
[0052] 作为优选的实施方式，所述步骤S13中，对公钥进行加密后将公私钥对存储至密 钥专属硬件，所述密钥专属硬件配置有专属密码。采用这种方式，是为了保护密钥的安全， 对公钥进行加密后将公私钥对存储至密钥专属硬件，所述密钥专属硬件配置有专属密码。 对群组密钥的吊销就是直接吊销密钥专属硬件的专属密码，如果专属密码被盗或损坏，也 需要吊销该专属硬件的专属密码。
[0053] 实施例2
[0054] 本实施例提供一种基于群组的密钥生成系统，如图2所示，包括：
[0055] 密钥生成单元，用于生成公私钥对，所述公私钥对包括公钥和私钥。
[0056] ID配置单元，用于为每一所述公私钥对配置一密钥对ID。
[0057] 密钥存储单元，用于将所述公私钥对导出，并对公钥进行加密后将公私钥对存储。
[0058] 上述方案，当群组密钥（即公私密钥对）产生时即产生了密钥对ID，此密钥对ID 是各密钥对的唯一标识，通过此密钥对ID能方便的查找到不同的群组密钥，当组成员发生 改变或群组密钥发生改变时，通过此密钥对ID能快速找到相应的公私钥对进行更新，使得 该组成员能正常加解密，非该组成员仍不能加解密。密钥更新后能及时使用新的群组密钥 进行加解密，而旧的群组密钥不能再继续使用。采用上述方案，在群组成员动态变化时密钥 更新成本很低，并且可消除前向安全和后向安全的风险。
[0059] 作为优选的方案，所述密钥生成单元中，通过加密机使用RSA算法生成公私钥对。 所述密钥存储单元中，采用加密机将所述公私钥对导出，并由加密机对公钥进行加密。所述 密钥存储单元中包括密钥专属硬件，对公钥进行加密后将公私钥对存储至所述密钥专属硬 件，所述密钥专属硬件配置有专属密码。
[0060] 本实施例中的上述方案，为了保护密钥的安全，对公钥进行加密后将公私钥对存 储至密钥专属硬件，所述密钥专属硬件配置有专属密码。对群组密钥的吊销就是直接吊销 密钥专属硬件的专属密码，如果专属密码被盗或损坏，也需要吊销该专属硬件的专属密码。
[0061] 实施例3
[0062] 本实施例提供一种基于群组的密钥分发方法，如图3所示，包括如下步骤：
[0063] S21 :接收用户端发送的密钥请求信息。
[0064] S22 :判断用户端的密集使用权限。
[0065] S23 :对所存储的配置有密钥对ID的公私钥对进行解密，采用用户公钥对所述公 私钥对进行加密后发送至用户端。
[0066] 本实施例中客户端或SDK带着自己的身份认证公钥请求群组密钥；群组密钥根据 用户需要随着策略的下发而传送给客户端或SDK，在此过程中需要验证用户身份，此过程需 要判断用户群组密钥使用权限，然后使用解密机解开存储的群组密钥，最后使用用户公钥 加密群组密钥分发到用户本地。由于群组密钥（即公私密钥对）产生时即产生了密钥对 ID，此密钥对ID是各密钥对的唯一标识，通过此密钥对ID能方便的查找到不同的群组密 钥，当组成员发生改变或群组密钥发生改变时，通过此密钥对ID能快速找到相应的公私钥 对进行更新，使得该组成员能正常加解密，非该组成员仍不能加解密。密钥更新后能及时使 用新的群组密钥进行加解密，而旧的群组密钥不能再继续使用。采用上述方案，在群组成员 动态变化时密钥更新成本很低，并且可消除前向安全和后向安全的风险。
[0067] 实施例4
[0068] 本实施例提供一种基于群组的密钥分发系统，如图4所示，包括：
[0069] 数据接收单元，用于接收用户端发送的密钥请求信息。
[0070] 权限判断单元，用于判断用户端的密集使用权限。
[0071] 分发单元，用于对所存储的配置有密钥对ID的公私钥对进行解密，采用用户公钥 对所述公私钥对进行加密后发送至用户端。
[0072] 本实施例中客户端或SDK带着自己的身份认证公钥请求群组密钥；群组密钥根据 用户需要随着策略的下发而传送给客户端或SDK，在此过程中需要验证用户身份，此过程需 要判断用户群组密钥使用权限，然后使用解密机解开存储的群组密钥，最后使用用户公钥 加密群组密钥分发到用户本地。由于群组密钥（即公私密钥对）产生时即产生了密钥对 ID，此密钥对ID是各密钥对的唯一标识，通过此密钥对ID能方便的查找到不同的群组密 钥，当组成员发生改变或群组密钥发生改变时，通过此密钥对ID能快速找到相应的公私钥 对进行更新，使得该组成员能正常加解密，非该组成员仍不能加解密。密钥更新后能及时使 用新的群组密钥进行加解密，而旧的群组密钥不能再继续使用。采用上述方案，在群组成员 动态变化时密钥更新成本很低，并且可消除前向安全和后向安全的风险。
[0073] 实施例5
[0074] 本实施例提供一种基于群组密钥的生成及分发系统，如图5所示，包括：
[0075] 服务器，用于生成配置有密钥对ID的公私钥对，并对公钥进行加密。
[0076] 密钥专属硬件，具有专属密码，用于存储服务器导出的对公钥加密后的公私钥对。
[0077] 所述密钥专属硬件接收用户端发送的密钥请求信息，判断用户端的密集使用权 限，对所存储的配置有密钥对ID的公私钥对进行解密，采用用户公钥对所述公私钥对进行 加密后发送至用户端。
[0078] 本是实施例中提供一种方案架构如图6所示。其中的安全服务平台以数据为中 心，分为数据的存储、保护和应用三层。数据存储层是人口信息资源的加密存储层；数据保 护层是通过密钥对存入和更新的数据进行加密处理后在存储层存储，或者对查询的数据检 索和解密，并提供给应用层使用；数据应用层实现数据的查询比对、更新维护和数据批量交 换等数据应用需要提供应用服务。本发明中的密钥管理贯穿和安全审计贯穿三个层面。
[0079] 综上所述，本发明中的上述方案所阐述的内容不是解决常规的密钥分发技术或群 组密钥的产生、管理等，而是在以上基础上保护其整个实现过程。当群组密钥产生时即产生 了密钥对ID，在实际一个用户存在具体参与一方的权限变更或者角色变更，需要更改或删 除变化一方的密码权限或密钥。为了保护密钥的安全，将密钥存放于专用密钥硬件，密钥的 吊销就是直接吊销密码硬件。本发明中的上述方案能够形成以加密技术为支撑，适合信息 资源共享应用的数据加密安全解决方案，能与现有的网络和系统级安全方案形成互补，共 同形成对网络、系统和数据的全面防护。
[0080] 显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对 于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或 变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或 变动仍处于本发明创造的保护范围之中。
【权利要求】
1. 一种基于群组的密钥生成方法，其特征在于，包括如下步骤： 511 :生成公私钥对，所述公私钥对包括公钥和私钥； 512 :为每一所述公私钥对配置一密钥对ID ; 513 :将所述公私钥对导出，并对公钥进行加密后将公私钥对存储。
2. 根据权利要求1所述的基于群组的密钥生成方法，其特征在于： 所述步骤S11中，通过加密机使用RSA算法生成公私钥对。
3. 根据权利要求1或2所述的基于群组的密钥生成方法，其特征在于： 所述步骤S13中，采用加密机将所述公私钥对导出，并由加密机对公钥进行加密。
4. 根据权利要求1-3任一所述的基于群组的密钥生成方法，其特征在于： 所述步骤S13中，对公钥进行加密后将公私钥对存储至密钥专属硬件，所述密钥专属 硬件配置有专属密码。
5. -种基于群组的密钥生成系统，其特征在于，包括： 密钥生成单元，用于生成公私钥对，所述公私钥对包括公钥和私钥； ID配置单元，用于为每一所述公私钥对配置一密钥对ID ; 密钥存储单元，用于将所述公私钥对导出，并对公钥进行加密后将公私钥对存储。
6. 根据权利要求5所述的基于群组的密钥生成方法，其特征在于： 所述密钥存储单元中包括密钥专属硬件，对公钥进行加密后将公私钥对存储至所述密 钥专属硬件，所述密钥专属硬件配置有专属密码。
7. -种基于群组的密钥分发方法，其特征在于，包括如下步骤： 521 :接收用户端发送的密钥请求信息； 522 :判断用户端的密集使用权限； 523 :对所存储的配置有密钥对ID的公私钥对进行解密，采用用户公钥对所述公私钥 对进行加密后发送至用户端。
8. 根据权利要求7所述的基于群组的密钥分发方法，其特征在于： 所述步骤S23中，使用解密机对对所存储的配置有密钥对ID的公私钥对进行解密。
9. 一种基于群组的密钥分发系统，其特征在于，包括： 数据接收单元，用于接收用户端发送的密钥请求信息； 权限判断单元，用于判断用户端的密集使用权限； 分发单元，用于对所存储的配置有密钥对ID的公私钥对进行解密，采用用户公钥对所 述公私钥对进行加密后发送至用户端。
10. -种基于群组密钥的生成及分发系统，其特征在于，包括： 服务器，用于生成配置有密钥对ID的公私钥对，并对公钥进行加密； 密钥专属硬件，具有专属密码，用于存储服务器导出的对公钥加密后的公私钥对； 所述密钥专属硬件接收用户端发送的密钥请求信息，判断用户端的密集使用权限，对 所存储的配置有密钥对ID的公私钥对进行解密，采用用户公钥对所述公私钥对进行加密 后发送至用户端。
【文档编号】H04L9/30GK104065479SQ201410327744
【公开日】2014年9月24日 申请日期:2014年7月11日 优先权日:2014年7月11日
【发明者】李欣, 吴昌明 申请人:中国人民公安大学