一种标识私钥获取与发放方法
【专利摘要】本发明涉及一种标识私钥获取与发放方法,所述方法针对的是用户管理(包括标识管理)功能和标识私钥生成功能分离部署的面向电子通信标识的标识密钥服务系统;所述标识密钥服务系统包括标识私钥生成子系统、标识认证子系统、帐户与标识数据库以及标识密钥服务客户端;用户在线获取私钥时,先使用标识密钥服务客户端连接标识认证子系统,采用通常的身份鉴别手段完成在线身份鉴别并获得证明其是要生成私钥的电子通信标识的拥有者的标识令牌,然后将获得的标识令牌提交到标识私钥生成子系统请求生成私钥,标识私钥生成子系统在验证标识令牌的有效性并通过发送随机信息方式确认用户是电子通信标识的拥有者后为用户生成并返回电子通信标识对应的私钥。
【专利说明】一种标识私钥获取与发放方法
【技术领域】
[0001]本发明属于信息安全【技术领域】,特别是一种针对用户管理(包括标识管理)功能和标识私钥生成功能分离部署的标识密钥服务系统的标识私钥获取与发放方法。
【背景技术】
[0002]基于标识的密码技术(Identity Based Cryptography, IBC)属于公开密钥密码技术。在基于标识的密码技术中,用户的一个唯一标识就是一个公钥,如电子邮箱地址、手机号码等(电子通信标识),称为IBC公钥(实际上是一组IBC系统参数加上一个标识构成了一个IBC公钥),可用于数据加密和签名验证;每个标识对应一个私钥,称为IBC私钥(实际上是一组IBC系统参数加上一个私密数据构成了一个IBC私钥),可用于数据解密和数字签名。
[0003]在IBC中,用户的身份标识对应的私钥由一个专门的标识密钥服务系统产生。当用户或用户应用程序从标识密钥服务系统在线获取标识私钥时,为了保证私钥获取与发放的安全,除了采用安全的密钥传输通道外(如SSL加密通道),标识密钥服务系统还需要通过一定的技术手段和流程确保在线请求获取标识私钥的用户(或运行应用程序的用户)就是标识的真正拥有者(而不是假冒者)。
[0004]目前的标识密钥服务系统通常是将用户管理(包括标识管理)功能和标识私钥生成功能集成在同一系统并部署在同一位置(位于同一个安全网络中)。对于这样的标识密钥服务系统,要确认在线请求获取标识私钥的用户(或运行应用程序的用户)确实是要生成私钥的标识的真正拥有者是比较容易的,有多种技术方案可供选择,包括采用数字证书等高安全的身份鉴别手段。
[0005]但在实际应用中,人们可能需要将标识密钥服务系统中的用户管理(包括标识管理)功能和标识私钥生成功能分离,分别部署在两个不同的系统、不同的位置,比如,在面向公众的标识密钥服务中,提供用户管理(包括标识管理)功能的系统有可能是互联网应用服务提供商的用户管理系统(如云存储服务的用户管理系统),并由互联网应用服务提供商负责运行和维护,而提供标识私钥生成功能的系统又由一个获得国家相关主管部门授权的专业机构负责运行和维护(提供公共密钥服务需要具备专门的资质);再比如,为了保障标识私钥生成的安全性,可能需要采用标识私钥分割生成的方案,即由两个或两个以上的标识私钥生成系统分别生成标识私钥,然后将它们分别生成的标识私钥在用户端通过组合运算形成最终的标识私钥,这时要求多个标识私钥生成系统中至少有一个要与负责用户管理(包括标识管理)的系统分离部署在不同的位置。在用户管理(包括标识管理)功能和标识私钥生成功能分离部署的情形下,负责标识私钥生成的系统通常是不保存用户的信息的(包括用户帐户信息和标识信息),否则的话,维护并保持保存在不同位置的用户信息的一致将是非常麻烦和困难的事情。因此,对于这种用户管理(包括标识管理)功能和标识私钥生成功能分离部署的标识密钥服务系统,通常的用户管理(包括标识管理)功能和标识私钥生成功能集成在同一系统并部署在同一位置情形下的标识私钥获取与发放方案显然不再适用,需要有不一样的标识私钥获取与发放方案,以保证用户标识私钥在线获取与发放的安全。
[0006]对于用户管理(包括标识管理)功能和标识私钥生成功能分离部署的标识密钥服务系统,本发明 申请人:曾在其发明专利申请“一种集成IBE数据加密系统”(申请号:201210427464.1)中提出一种使用数字证书对用户进行在线身份鉴别以保证在线标识私钥获取与发放过程安全的方案,但数字证书在实际应用中包括在数字证书申请、使用过程中都存在比较麻烦的问题(这也是数字证书目前并未获得广泛应用的重要原因),因此,从易用性的角度,在标识私钥获取与发放过程中使用数字证书进行用户在线身份鉴别未必是合适的方案,特别是在面向公众提供密钥服务时,需要一种既安全又便捷的方案;还有,专利申请201210427464.1中的标识私钥在线获取与发放方案的另一个问题是不能防止负责用户管理(包括标识管理)的机构假冒用户从标识私钥生成系统获取用户标识私钥,而这是用户非常关心的一个问题;再有,专利申请201210427464.1中的标识私钥在线获取与发放方案没有考虑生成与发放的标识私钥具有不同的安全等级的情况(不同等级的标识私钥对应不同的密钥强度和/或系统参数)。
[0007]本发明针对的是用户管理(包括标识管理)功能和标识私钥生成功能分离部署的面向电子通信标识的标识密钥服务系统,其中,电子通信标识是指电子通信设施(如电子邮件系统、移动通信系统)中用于标识用户或通信终端的通信地址或号码,包括电子邮箱地址以及移动通信终端号码。本发明针对的所述用户管理(包括标识管理)功能和标识私钥生成功能分离部署的标识密钥服务系统包括如下构件:
[0008]标识私钥生成子系统:为用户在线生成电子通信标识所对应的私钥(即标识私钥或IBC私钥)的系统构件;
[0009]标识认证子系统:维护用户信息包括用户帐户信息和电子通信标识信息的系统构件;用户从标识私钥生成子系统获取电子通信标识对应的私钥前在标识认证子系统注册一个服务帐户;用户在标识认证子系统进行帐户注册时,或者在完成帐户注册后登录标识认证子系统,一次或分次注册一个或一个以上的电子通信标识;对于用户注册的电子通信标识,标识认证子系统通过预定的方式包括通过发送随机信息方式确认用户是电子通信标识的拥有者,即进行电子通信标识的归属确认;电子通信标识的归属确认通过后,标识认证子系统将用户注册的电子通信标识与用户在标识认证子系统的帐户关联(通过标识认证子系统的帐户与标识数据库实现关联);
[0010]帐户与标识数据库:标识认证子系统保存用户帐户和电子通信标识信息的数据库系统;
[0011]标识密钥服务客户端:用户或用户应用程序用于在线获取电子通信标识所对应的私钥的用户端软件(客户端软件),包括专用客户端或浏览器通用客户端。
[0012]针对这种用户管理(包括标识管理)功能和标识私钥生成功能分离部署的面向电子通信标识的标识密钥服务系统提出一种既安全又便捷的标识私钥获取与发放方案是本发明要解决的问题。
【发明内容】
[0013]本发明的目的是针对用户管理(包括标识管理)功能和标识私钥生成功能分离部署的面向电子通信标识的标识密钥服务系统,提出一种既能保证用户标识私钥在线获取与发放的安全性又能保证标识私钥获取与发放的便捷性的标识私钥获取与发放方法,且所述方法能够防止负责用户管理(包括标识管理)系统运行的机构假冒用户获取标识私钥,能够支持生成与发放的标识私钥具有不同安全等级的情况。
[0014]为了实现上述目的,本发明所采用的技术方案是:
[0015]一种标识私钥获取与发放方法,所述方法如下:
[0016]第一步:获取标识私钥的用户或用户应用程序使用标识密钥服务客户端连接标识认证子系统,请求签发证明用户是要生成私钥的电子通信标识的拥有者的标识令牌;
[0017]第二步:标识认证子系统采用通常的在线身份鉴别手段包括帐户名+静态口令或帐户名+动态口令方式对用户进行在线身份鉴别;
[0018]第三步:用户在线身份鉴别通过后,标识认证子系统通过查询帐户与标识数据库确认用户已注册要生成私钥的电子通信标识且注册的电子通信标识已通过归属确认;
[0019]第四步:用户电子通信标识已注册且已通过归属确认的查询确认通过后,标识认证子系统为用户签发并返回证明用户拥有要生成私钥的电子通信标识的标识令牌;所述标识令牌中包含用户要生成私钥的电子通信标识,具有时间有效性限制(从当前时刻开始的某个小时间段内有效),并由标识认证子系统数字签名;
[0020]第五步:标识密钥服务客户端连接标识私钥生成子系统,提交从标识认证子系统获取的标识令牌,请求生成标识令牌中指示的电子通信标识对应的私钥;
[0021 ] 第六步:标识私钥生成子系统验证标识令牌的有效性包括时间有效性和数字签名有效性;
[0022]第七步:标识令牌有效性验证通过后,标识私钥生成子系统通过发送随机信息方式确认用户是要生成私钥的电子通信标识的拥有者,即(再次)对电子通信标识进行归属确认;
[0023]第八步:电子通信标识归属(再次)确认通过后,标识私钥生成子系统为用户生成电子通信标识对应的私钥,并通过加密通道返回生成的私钥;
[0024]若所述标识私钥生成子系统提供不同安全等级的标识私钥生成服务,则所述标识认证子系统签发的所述标识令牌包含有用户电子通信标识对应的私钥的安全等级信息,所述标识私钥生成子系统接收到用户的生成标识私钥的请求后,根据标识令牌中包含的所述安全等级信息为用户产生对应等级的标识私钥;
[0025]所述标识私钥获取与发放方法针对的是【背景技术】中所述的用户管理(包括标识管理)功能和标识私钥生成功能分离部署的面向电子通信标识的标识密钥服务系统,所述方法中的所述标识密钥服务客户端、标识认证子系统、帐户与标识数据库及标识私钥生成子系统是所述标识密钥服务系统的组成构件。
[0026]若所述标识私钥获取与发放方法所针对的所述标识密钥服务系统采用标识私钥分割生成的方案,即由两个或两个以上的标识私钥生成子系统分别生成标识私钥,然后在用户端将由两个或两个以上的标识私钥生成子系统分别生成的标识私钥通过组合运算形成最终标识私钥,则在用户或用户应用程序在线获取电子通信标识对应的私钥的过程中,先使用标识密钥服务客户端在标识认证子系统完成在线身份鉴别并获得证明用户拥有电子通信标识的标识令牌,然后利用获得的标识令牌分别访问每个标识私钥生成子系统请求获取标识私钥(即请求获取部分标识私钥),最后由标识密钥服务客户端将从每个标识私钥生成子系统获取的标识私钥通过组合运算(椭圆曲线点构成的群的加法运算)形成最终的标识私钥。
[0027]若所述标识私钥获取与发放方法所针对的所述标识密钥服务系统采用标识私钥分割生成的方案,则用户或用户应用程序通过标识密钥服务客户端使用从标识认证子系统获得的标识令牌分别访问每个标识私钥生成子系统请求获取私钥的过程中,其中的一个标识私钥生成子系统通过发送随机信息方式确认用户是要申请私钥的电子通信标识的拥有者,即执行所述第七步操作,其他标识私钥生成子系统不通过发送随机信息方式确认用户是要申请私钥的电子通信标识的拥有,即不执行所述第七步操作。
[0028]当用户或用户应用程序从所述标识私钥生成子系统获取电子通信标识对应的私钥时,标识私钥生成子系统按如下方式通过发送随机信息确认用户是要生产私钥的电子通信标识的拥有者:
[0029]第I步:标识私钥生成子系统通过电子通信设施向请求生成私钥的电子通信标识(如邮件地址或移动通信终端号码)发送随机信息;
[0030]第II步:用户接收随机信息,并将接收到的随机信息按标识私钥生成子系统指定的方式返回;
[0031]第III步:标识私钥生成子系统检查用户返回的随机信息与标识私钥生成子系统自己发送的随机信息是否一致,若是,则标识私钥生成子系统确认用户是要生成私钥的电子通信标识的拥有者。
[0032]从以上所述可以看到,本发明所提出的针对用户管理(包括标识管理)功能和标识私钥生成功能分离部署的标识密钥服务系统的标识私钥获取与发放方法采用通常的、简单的身份鉴别手段,如帐户名+ 口令(包括静态或动态口令),对在线获取私钥的用户进行身份鉴别,因此保证了用户私钥获取过程的便捷性,避免了采用数字证书等高强度身份鉴别手段所带来的复杂性,于此同时,由于黑客或攻击者要同时做到破解用户在用户管理(包括标识管理)系统的帐户名和口令并窃取标识私钥生成系统发送给用户的随机信息这种可能性极小,因此所述方法又保证了用户私钥在线获取与发放过程的安全性;本发明的标识私钥获取与发放方法还能防止负责用户及标识管理的机构假冒用户从标识私钥生成系统获取用户标识私钥;进一步地,本发明的方法支持生成与发放的标识私钥具有不同安全等级的情况。
【专利附图】
【附图说明】
[0033]图1为本发明的整体系统结构图。
【具体实施方式】
[0034]下面结合附图和实施例对本发明作进一步的描述。
[0035]本发明的实施关键是在标识认证子系统和标识私钥生成子系统中加入通过电子通信设施针对用户的电子通信标识向用户发送随机信息,以便对用户注册的或请求获取私钥的电子通信标识进行归属确认的功能。通过电子通信设施针对用户的电子通信标识向用户发送随机信息的具体实施取决于电子通信标识对应的电子通信设施。
[0036]若电子通信标识的电子通信设施是电子邮件系统,那么,可以利用标识认证子系统和标识私钥生成子系统开发技术的相关类库或开源代码实现通过电子邮件进行随机信息的发送。若标识认证子系统和标识私钥生成子系统的开发技术是J2EE,那么,有相关的Java类包括开源代码实现电子邮件发送;若标识认证子系统和标识私钥生成子系统的开发技术是C/C++,那么,也有很多的开源代码实现电子邮件发送。
[0037]若电子通信标识对应的电子通信设施是移动通信系统,那么,有两种方式实现通过移动通信系统向用户的移动终端发送随机信息:一是利用短信服务提供商提供的短信发送服务;另一是使用短信猫,即短信收发器。对于前一种方式,标识认证子系统和标识私钥生成子系统只要通过互联网同短信服务提供商的系统互联即可;对于后一种方式,需要将购置或自己研发的短信猫与标识认证子系统和标识私钥生成子系统的计算机相连(如通过USB接口、串行通信接口等),并在计算机上安装专门的软件,如驱动程序及API。
[0038]用户接收到标识认证子系统和标识私钥生成子系统通过电子通信设施针对用户的电子通信标识向用户发送的随机信息后返回所接收的随机信息的方式可以采用通过标识密钥服务客户端返回的方案;在标识密钥服务客户端中加入此功能非常容易。
[0039]标识密钥服务客户端与标识认证子系统和标识私钥生成子系统在获取私钥时的交互协议(包括在线身份鉴别交互协议以及标识令牌的格式),可以在TCP的基础上自定义。
[0040]标识密钥服务客户端与标识私钥生成子系统之间的安全数据传输通道可以采用SSL (Secure Socket Layer),或者标识密钥服务客户端与标识私钥生成子系统之间的交互协议中对标识私钥的传送采用数据加密方式。
[0041]对于技术实现的其他方面,对于相关领域的技术开发者而言是不言自明的。
【权利要求】
1.一种标识私钥获取与发放方法,所述方法如下:第一步:获取标识私钥的用户或用户应用程序使用标识密钥服务客户端连接标识认证子系统,请求签发证明用户是要生成私钥的电子通信标识的拥有者的标识令牌;第二步:标识认证子系统采用通常的在线身份鉴别手段对用户进行在线身份鉴别,所述通常的在线身份鉴别手段包括帐户名+静态口令或帐户名+动态口令方式;第三步:用户在线身份鉴别通过后,标识认证子系统通过查询帐户与标识数据库确认用户已注册要生成私钥的电子通信标识且注册的电子通信标识已通过归属确认;第四步:用户电子通信标识已注册且已通过归属确认的查询确认通过后,标识认证子系统为用户签发并返回证明用户拥有要生成私钥的电子通信标识的标识令牌;所述标识令牌中包含用户要生成私钥的电子通信标识,具有时间有效性限制,并由标识认证子系统数字签名;第五步:标识密钥服务客户端连接标识私钥生成子系统,提交从标识认证子系统获取的标识令牌,请求生成标识令牌中指示的电子通信标识对应的私钥;第六步:标识私钥生成子系统验证标识令牌的有效性包括时间有效性和数字签名有效性;第七步:标识令牌有效性验证通过后,标识私钥生成子系统通过发送随机信息方式确认用户是要生成私钥的电子通信标识的拥有者,即对电子通信标识进行归属确认;第八步:电子通信标识归属确认通过后,标识私钥生成子系统为用户生成电子通信标识对应的私钥,并通过加密通道返回生成的私钥;所述电子通信标识是指电子通信设施中用于标识用户或通信终端的通信地址或号码,所述通信终端的通信地址或号码包括电子邮箱地址以及移动通信终端号码;所述标识密钥服务客户端、标识认证子系统、帐户与标识数据库及标识私钥生成子系统是标识密钥服务系统的构件;其中,标识私钥生成子系统:用于为用户在线生成电子通信标识所对应的私钥;标识认证子系统:用于维护用户信息包括用户帐户信息和电子通信标识信息;用户从标识私钥生成子系统获取电子通信标识对应的私钥前在标识认证子系统注册一个服务帐户;用户在标识认证子系统进行帐户注册时,或者在完成帐户注册后登录标识认证子系统,一次或分次注册一个或一个以上的电子通信标识;对于用户注册的电子通信标识,标识认证子系统通过预定的方式包括通过发送随机信息方式确认用户是电子通信标识的拥有者,即进行电子通信标识的归属确认;电子通信标识的归属确认通过后,标识认证子系统将用户注册的电子通信标识与用户在标识认证子系统的帐户关联;帐户与标识数据库:用于标识认证子系统保存用户帐户和电子通信标识信息;标识密钥服务客户端:用户或用户应用程序用于在线获取电子通信标识所对应的私钥的用户端软件,包括专用客户端或浏览器通用客户端。
2.根据权利要求1所述的标识私钥获取与发放方法,其特征是:若所述标识私钥生成子系统提供不同安全等级的标识私钥生成服务,则所述标识认证子系统签发的所述标识令牌包含有用户电子通信标识对应的私钥的安全等级信息,所述标识私钥生成子系统接收到用户的生成标识私钥的请求后,根据标识令牌中包含的所述安全等级信息为用户产生对应等级的标识私钥。
3.根据权利要求1所述的标识私钥获取与发放方法,其特征是:若所述标识私钥获取与发放方法所针对的所述标识密钥服务系统采用标识私钥分割生成的方案,即由两个或两个以上的标识私钥生成子系统分别生成标识私钥,然后在用户端将由两个或两个以上的标识私钥生成子系统分别生成的标识私钥通过组合运算形成最终标识私钥,则在用户或用户应用程序在线获取电子通信标识对应的私钥的过程中,先使用标识密钥服务客户端在标识认证子系统完成在线身份鉴别并获得证明用户拥有电子通信标识的标识令牌,然后利用获得的标识令牌分别访问每个标识私钥生成子系统请求获取标识私钥,最后由标识密钥服务客户端将从每个标识私钥生成子系统获取的标识私钥通过组合运算形成最终的标识私钥。
4.根据权利要求3所述的标识私钥获取与发放方法,其特征是:用户或用户应用程序通过标识密钥服务客户端使用从标识认证子系统获得的标识令牌分别访问每个标识私钥生成子系统请求获取私钥的过程中,其中的一个标识私钥生成子系统通过发送随机信息方式确认用户是要申请私钥的电子通信标识的拥有者,其他标识私钥生成子系统不通过发送随机信息方式确认用户是要申请私钥的电子通信标识的拥有。
5.根据权利要求1所述的标识私钥获取与发放方法,其特征是:当用户或用户应用程序从所述标识私钥生成子系统获取电子通信标识对应的私钥时,标识私钥生成子系统按如下方式通过发送随机信息确认用户是要生产私钥的电子通信标识的拥有者:第I步:标识私钥生成子系统通过电子通信设施向请求生成私钥的电子通信标识发送随机信息;第II步:用户接收随机信息,并将接收到的随机信息按标识私钥生成子系统指定的方式返回;第III步:标识私钥生成 子系统检查用户返回的随机信息与标识私钥生成子系统自己发送的随机信息是否一致,若是,则标识私钥生成子系统确认用户是要生成私钥的电子通信标识的拥有者。
【文档编号】H04L9/32GK103701612SQ201310752432
【公开日】2014年4月2日 申请日期:2013年12月31日 优先权日:2013年12月31日
【发明者】龙毅宏 申请人:武汉理工大学