一种基于标识密码跨域安全通信方法及系统的制作方法
【技术领域】
[0001]本发明涉及安全通信领域,特别涉及一种基于标识密码跨域安全通信的方法及系统。
【背景技术】
[0002]基于标识的密码技术(Identity Based Cryptography,IBC)是一种新近获得人们广泛重视的公开密钥密码技术,它克服了 PKI数字证书在易用性方面的缺点,它的主要技术特点是用户的一个唯一标识(如电子邮箱地址)就构成了用户的一个公钥(严格说来是用户的一个唯一标识加上一组公开参数构成了公钥),可用于数据加密或签名验证,一个标识同时对应有一个私钥,用于数据解密或数字签名(用于数据加密的IBC公钥和私钥同用于数字签名的IBC公钥和私钥不一定相同);私钥由一个专门的称为私钥生成器的密钥服务系统产生。
[0003]在IBC(Identity_Based Cryptograph基于标识的密码体系)的通讯过程中,发送人一般只需要知道接收人的身份标识信息和标识密码系统参数即可将数据加密后发送给对方,部署有独立标识密码中心的企业,当企业内的用户之间进行加密数据交换时,通信过程如图1所示:用户A需要向用户B发送保密数据时,首先用户A需要获取标识密码系统参数。用户A可直接在企业内部本地就可以获得本企业(也称本域内)的标识密码系统参数。然后,用户A利用对方标识也就是用户B的标识加密要发送的数据后发送给用户B。用户B接收到用户A发送的加密数据后用自己的私钥解密获得用户A发送的数据。
[0004]这种通讯过程的前提是接收人和发送人隶属于同一套标识密码密码中心,或者接收人注册到发送人所在的同一套标识密码密码系统;这种情况下,发送人在做标识密码密码运算时,只需要从本地取得自己和对方共用的标识密码系统参数,不需要额外获取。
[0005]在实际的业务应用系统中,不同的企业会单独建设自己独立的标识密码中心,不同企业下的用户如果想进行安全通讯来保护传输数据,则发送人除了需要知道接收人的身份标识之外,还需要获取接收人所属标识密码中心的标识密码系统参数。需要获取接收人所属的标识密码中心的标识密码系统参数的过程将会给这些跨域安全通信带来不便。
【发明内容】
[0006]本发明的目的针对用户需要给不隶属于同一套标识密码中心的用户发送保密信息,要获得除了对方身份标识之外,还需要获取接收人所属标识密码中心的标识密码系统参数将会给这些跨域安全通信带来不便的不足,提供一种基于标识密码跨域安全通信方法及通信系统。
[0007]本发明为达到其发明目的所采用的技术方案是:一种基于标识密码跨域安全通信方法,设置一个IBC参数交换中心,为不同域标识密码中心的用户提供标识密码管理服务,该安全通信方法包括以下步骤:
步骤1、发送方用户向IBC参数交换中心请求接收方域标识密码系统参数; 步骤2、IBC参数交换中心响应发送方用户的请求向发送方用户返回接收方域标识密码系统参数;
步骤3、发送方用户用接收方用户的用户标识和接收方域标识密码系统参数对需要传送的数据加密后发送给接收方用户;
步骤4、接收方用户收到到加密后的数据后,利用接收方用户自己的私钥解密。
[0008]采用本发明的方法使不隶属于同一套标识密码中心的用户发送保密信息更加简单方便。
[0009]本发明中还有如下优选方式:
在步骤2中,发送方用户收到IBC参数交换中心返回的接收方域标识密码系统参数时,还有验证该接收方域标识密码系统参数的有效性的步骤。
[0010]另外,还设置一个公共IBC服务平台为无自己独立的标识密码中心的用户与具有自己独立的标识密码中心的用户保密通信提供标识密码管理服务;
在具有自己独立的标识密码中心的用户作为发送方用户向无自己独立的标识密码中心的用户作为接收方用户发送数据时:
所述的步骤2中,IBC参数交换中心响应发送方用户的请求时,向发送方用户返回的是公共IBC服务平台的系统参数;
所述的步骤3中,发送方用户用接收方用户的用户标识和公共IBC服务平台的系统参数对需要传送的数据加密后发送给接收用户。公共IBC服务平台可以接收用户提交的密文,将密文进行在线解密后通过安全通道在线传递给用户。
[0011]本发明还提供一种基于标识密码跨域安全通信的系统,包括IBC参数交换中心、IBC安全中间件和用户端;
所述的IBC参数交换中心包括向所有用户发布各个不同企业域的标识密码系统参数的标识密码系统参数发布模块;
所述的IBC安全中间件与所述的IBC参数交换中心通信连接,包括邮件客户端、安全邮件网关;
所述的用户端利用所述的IBC安全中间件与所述的IBC参数交换中心通信连接,包括发送用户端和接收用户端。
[0012]通过IBC参数交换中心为不同域的发送用户端和接收用户端提供标识密码系统参数更加方便。
[0013]本系统还有如下优选方式:
所述的IBC参数交换中心还包括对发布的标识密码系统参数进行签名的签名模块;所述的IBC安全中间中还包括验证从交换中心获取的标识密码系统参数签名的合法性,充分保证标识密码系统参数发布的安全性的验证模块。
[0014]另外,所述的用户端还包括无独立标识密码中心的用户端;系统还包括为无独立标识密码中心用户端提供IBC密钥管理服务的公共IBC服务平台;所述的公共IBC服务平台与所述的IBC参数交换中心和无独立标识密码中心用户端通信连接。所述的公共IBC服务平台也为IBC参数交换中心提供基本的IBC参数签名密钥的管理服务。
[0015]这样将无独立标识密码中心用户端也包括进来了。
[0016]本发明中,具有一个权威可信的IBC参数交换中心向所有企业下面的所有用户发布各个不同企业域的标识密码系统参数,发送人根据接收人的身份标识信息,从IBC参数交换中心查询到接收人对应的标识密码系统参数后,再进行跨域的IBC加密数据通讯。
[0017]充分考虑到以上IBC跨域加密数据交换的需求,IBC参数交换中心必须做到权威可信,不可被第三方系统伪造;因此,IBC参数交换中心必须对发布的标识密码系统参数进行签名操作,IBC安全中间件(包括邮件客户端、安全邮件网关等)必须验证从交换中心获取的标识密码系统参数签名的合法性,充分保证标识密码系统参数发布的安全性。
[0018]同时,某些企业或者个人如果没有自己独立的标识密码中心,则需要一个权威公共的IBC服务平台为这些企业或者个人用户提供标识密码服务。
[0019]综上,本发明中一套完整的密钥交换中心包括两大部分:第一部分是IBC参数交换中心,为不同企业域、不同标识密码中心的企业用户之间提供参数查询与发布服务;另一部分是公共IBC服务平台,为无独立标识密码中心的企业和个人用户提供IBC密钥申请等管理服务,同时,公共IBC服务平台也为IBC参数交换中心提供基本的IBC参数签名密钥的管理服务,为IBC参数交换的安全来保驾护航。
【附图说明】
[0020]图1是一个独立标识密码中心域内安全通信流程。
[0021]图2是本发明实施例1的流程图。
[0022]图3是本发明实施例1的系统框图。
[0023]图4是本发明实施例2的系统框图。
[0024]图5是IBC参数交换中心框图。
[0025]图6是本发明实施例2的流程图。
[0026]图7是本发明实施例3的流程图。
【具体实施方式】
[0027]下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
[0028]实施例1请参见图2,本发明中采用如图3所示的系统,该方法是实现域A中的用户端向域B中的用户端发送加密数据,其中,域A和域B都是具有独立标识密码中心的域。该系统中具有IBC参数交换中心、IBC安全中间件和用户端;其中用户端包括域A用户端作为发送用户端,它是具有独立标识密码中心的域A中的一个用户端。另外,还有一个域B用户作为接收端用户,它是具有独立标识密码中心的域B中的一个用户端。IBC参数交换中心包括向所有用户发布各个不同企业域的标识密码系统参数的标识密码系统参数发布功能;IBC参数交换中心是整个跨域参数交换方案中的核心系统,它面向系统管理员提供标识密码系统参数发布的管理界面,面向安全中间件提供查询标识密码系统参数的接口协议,主要组成部分包括如图5所示。其中,对外接口协议模块向安全中间件客户端提供查询参数列表的接口协议。其中发布的系统参数数据使用IBC参数交换中心拥有的证书私钥或者标识私钥进行数字签名。IBC安全中间件可以验证数字签名的合法性。以保证IBC参数交换发布的系统参数数据的权威性我有效性。
[0029]在IBC参数交换中心至少包括独立标识密码中心的域A和独立标识密码中心的域B的标识密码系统参数发布模块。IBC安全中间件与IBC参数交换中心通信连接,包括邮件客户端、安全邮件网关。
[0030]本实施例中该安全通信方法如图2所示包括以下步骤:该方法实现域A中的一个用户向域B中的一个用户需要发送安全数据,以下称域A中的这个用户为发送方用户,域B中的这个用户为接收方用户。
[0031]步骤1、发送方用户向IBC参数交换中心请求接收方域(也就是域B的)标识密码系统参数。
[0032]步骤