CN101286842B - 一种利用公钥密码技术的密钥分配及其公钥在线更新方法 - Google Patents

一种利用公钥密码技术的密钥分配及其公钥在线更新方法 Download PDF

Info

Publication number
CN101286842B
CN101286842B CN2008100182983A CN200810018298A CN101286842B CN 101286842 B CN101286842 B CN 101286842B CN 2008100182983 A CN2008100182983 A CN 2008100182983A CN 200810018298 A CN200810018298 A CN 200810018298A CN 101286842 B CN101286842 B CN 101286842B
Authority
CN
China
Prior art keywords
key
entity
pki
distribution center
key distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2008100182983A
Other languages
English (en)
Other versions
CN101286842A (zh
Inventor
铁满霞
曹军
赖晓龙
黄振海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2008100182983A priority Critical patent/CN101286842B/zh
Publication of CN101286842A publication Critical patent/CN101286842A/zh
Priority to PCT/CN2009/071979 priority patent/WO2009143766A1/zh
Application granted granted Critical
Publication of CN101286842B publication Critical patent/CN101286842B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明涉及一种利用公钥密码技术的密钥分配及其公钥在线更新方法,该方法包括以下步骤:1)第一实体产生一对临时公私钥对;2)第一实体和第二实体之间的通信会话密钥;3)利用本地存储的密钥分配中心的公钥进行签名验证;4)第二实体产生一对临时公私钥对;5)构成密钥响应消息返回给第二实体;6)利用本地存储的密钥分配中心的公钥进行签名验证;7)第一实体和第二实体使用通信会话密钥作为会话密钥进行保密通信。本发明提出了一种安全地为每对实体分发通信密钥,使密钥具有PFS属性,降低系统密钥管理复杂度的密钥分配方法,同时支持可信第三方——密钥分配中心的公钥在线更新功能。

Description

一种利用公钥密码技术的密钥分配及其公钥在线更新方法
技术领域
本发明涉及一种利用公钥密码技术的密钥分配及其公钥在线更新方法。
背景技术
当通信网络实体之间需要进行保密通信时,密钥管理是其中的关键技术之一。小型网络可采用每对用户共享一个密钥的方法,但在大型网络中却不可行。一个具有N个用户的系统,为实现任意两个用户之间的保密通信,则需要生成和分配N(N-1)/2个密钥才能保证网络中任意两用户之间的保密通信。随着系统规模的增大,复杂性剧增,对于N为1000的网络而言,就需要约50万个密钥进行分配、存储等。为了降低复杂性,通常采用中心化密钥管理方式,由一个可信赖的联机服务器作为密钥分配中心KDC(Key Distribution Center)或密钥转递中心KTC(Key Transportation Center)来实现,图1-4给出常见的几种基本模式,其中k为第一实体A和第二实体B之间的通信会话密钥。
图1中,第一实体A向密钥分配中心请求分发与第二实体B通信所用的密钥,则密钥分配中心生成k分别传递给第一实体A和第二实体B,该传递过程分别利用密钥分配中心与A和密钥分配中心与B的预共享密钥加密实现;图2中,第一实体A向密钥分配中心请求分发与第二实体B通信所用的密钥,则密钥分配中心生成k传递给第一实体A,并通过A转递给第二实体B,该传(转)递过程分别利用密钥分配中心与A和密钥分配中心与B的预共享密钥加密实现。
图3中,第一实体A将与第二实体B的通信密钥k传送给密钥转递中心,密钥转递中心再传递给第二实体B,该传递过程分别利用密钥转递中心与A和密钥转递中心与B的预共享密钥加密实现;图4中,第一实体A将与第二实体B的通信密钥k传送给密钥转递中心,密钥转递中心再通过A转递给第二实体B,该传(转)递过程分别利用密钥转递中心与A和密钥转递中心与B的预共享密钥加密实现。
由于有密钥分配中心或密钥转递中心参与,可实现每对实体每次通信时使用一个新的通信密钥,但各用户需保存一个与密钥分配中心或密钥转递中心共享的较长期使用的秘密管理密钥,且对于密钥分配中心和密钥转递中心而言,不仅需存储数量巨大的秘密管理密钥,而且承担较大的安全风险,因为其一旦出现问题将直接威胁整个系统的安全,再者上述这些密钥分配方法均不具有密钥的完善前向保密性PFS(Perfect Forward Secrecy)。
发明内容
本发明为解决背景技术中存在的上述技术问题,基于三元对等鉴别(TePA)原理,利用公钥密码技术,而提出一种安全地为每对实体分发通信密钥,使密钥具有PFS属性,降低系统密钥管理复杂度的密钥分配方法,同时支持可信第三方——密钥分配中心的公钥在线更新功能。
本发明的技术解决方案是:本发明为一种利用公钥密码技术的密钥分配方法,其特殊之处在于:该方法包括以下步骤:
1)第一实体产生一对临时公私钥对,向密钥分配中心发送密钥请求消息,该密钥请求消息包含第一实体的临时公钥;
2)密钥分配中心收到第一实体发来的密钥请求消息后,产生第一实体和第二实体之间的通信会话密钥,密钥分配中心使用第一实体的临时公钥加密通信会话密钥后并利用密钥分配中心的私钥计算其签名,构成密钥响应消息返回给第一实体;
3)第一实体收到密钥响应消息后,利用本地存储的密钥分配中心的公钥进行签名验证,验证通过后,再利用第一实体的临时私钥解密得到通信会话密钥;
4)第二实体产生一对临时公私钥对,向密钥分配中心发送密钥请求消息,该消息包含第二实体的临时公钥;
5)密钥分配中心收到第二实体发来的密钥请求消息后,将第一实体和第二实体之间的通信会话密钥使用第二实体的临时公钥加密后并利用密钥分配中心的私钥计算其签名,构成密钥响应消息返回给第二实体;
6)第二实体收到密钥响应消息后,利用本地存储的密钥分配中心的公钥进行签名验证,验证通过后,再利用第二实体的临时私钥解密得到通信会话密钥;
7)然后第一实体和第二实体使用通信会话密钥作为会话密钥进行保密通信。
当第一实体和第二实体均不用存储各自的临时公私钥对,可适时删除之,待下次开始保密通信时或在保密通信过程中需要更新通信会话密钥时,重新再生成临时公私钥对,向密钥分配中心发出密钥请求消息,重复上述步骤,获得新的会话密钥。
上述密钥请求消息和密钥响应消息可携带安全参数,完成加密算法、工作模式、工作参数等的协商与通告。
上述第一实体和第二实体发送给密钥分配中心的密钥请求消息中,可携带对方实体的信息。
一种实现利用公钥密码技术的密钥分配方法中的公钥在线更新方法,其特殊之处在于:该方法包括以下步骤:
1)实体向密钥分配中心发送公钥请求消息,公钥请求消息包含实体产生的随机数;
2)密钥分配中心收到公钥请求消息后,返回公钥响应消息,公钥响应消息包含实体产生的随机数、密钥分配中心的新公钥及利用密钥分配中心的旧私钥所做的签名;
3)实体收到公钥响应消息后,验证其中的随机数是否与实体发出的公钥请求消息中包含的随机数相同;利用本地保存的公钥验证其中的签名是否正确,若验证通过,则以其中的新公钥更新本地存储的公钥。
上述步骤1)中实体向密钥分配中心发送公钥请求消息前,由密钥分配中心先发出公钥更新通知给各实体。
上述步骤1)中公钥请求消息还包含实体本地存储的密钥分配中心的公钥,此时,上述步骤2)中密钥分配中心收到公钥请求消息后,判断其携带的密钥分配中心的公钥是旧公钥还是新公钥,若为新公钥,则直接丢弃该消息,若为旧公钥,则返回上述公钥响应消息。
上述步骤3)中实体以新公钥更新本地存储的公钥后,向密钥分配中心发送公钥更新确认消息。
一种公钥可在线更新的密钥分配方法,其特殊之处在于:该方法包括以下步骤:
1)第一实体产生一对临时公私钥对,向密钥分配中心发送密钥请求消息,该消息包含第一实体的临时公钥和本地存储的密钥分配中心的公钥;
2)密钥分配中心收到第一实体发来的密钥请求消息后,产生第一实体和第二实体之间的通信会话密钥,密钥分配中心使用第一实体的临时公钥加密通信会话密钥后形成第一实体的密文,判断密钥请求消息携带的密钥分配中心的公钥是旧公钥还是新公钥,若为旧公钥,则将第一实体的密文、密钥分配中心的新公钥以及签名构成密钥响应消息返回给第一实体,其中签名是利用密钥分配中心的旧私钥计算得到;若为新公钥,则将第一实体的密文与签名构成密钥响应消息返回给第一实体,其中签名是利用密钥分配中心的新私钥计算得到;
3)第一实体收到密钥响应消息后,利用本地存储的密钥分配中心的公钥进行签名验证,验证通过后,若密钥响应消息包含密钥分配中心的新公钥,则进行本地存储更新,再利用第一实体的临时私钥解密得到通信会话密钥;
4)第二实体产生一对临时公私钥对,向密钥分配中心发送密钥请求消息,该消息包含第二实体的临时公钥和本地存储的密钥分配中心的公钥;
5)密钥分配中心收到第二实体发来的密钥请求消息后,将第一实体A和第二实体之间的通信会话密钥使用第二实体的临时公钥加密后形成第二实体的密文,判断密钥请求消息携带的密钥分配中心的公钥是旧公钥还是新公钥,若为旧公钥,则将第二实体的密文、密钥分配中心的新公钥以及签名构成密钥响应消息返回给第二实体,其中签名是利用密钥分配中心的旧私钥计算得到;若为新公钥,则将第二实体的密文与签名构成密钥响应消息返回给第二实体,其中签名是利用密钥分配中心的新私钥计算得到;
6)第二实体收到密钥响应消息后,利用本地存储的密钥分配中心的公钥进行签名验证,验证通过后,若密钥响应消息包含密钥分配中心的新公钥,则进行本地存储更新,再利用第二实体的临时私钥解密得到通信会话密钥;
7)第一实体和第二实体使用通信会话密钥作为会话密钥进行保密通信。
本发明基于三元对等鉴别(TePA)原理,采用公钥密码技术,通过密钥分配中心KDC为需要通信的实体分发密钥,实现了通信密钥的安全分发、动态更新,并具有完善的前向保密性PFS,解决了传统方法密钥分配中心需要管理大量密钥、用户需要存储长期秘密密钥且通信密钥不具备前向保密性等问题;同时本发明支持密钥分配中心KDC的公钥在线更新功能。本发明可应用于移动通信网络系统,也可应用于其他通信系统。
附图说明
图1-4为传统的基于密钥分配中心或密钥转递中心的密钥分配方法示意图;
图5为本发明的利用公钥密码技术的密钥分配方法示意图;
图6为本发明独立的密钥分配中心的公钥在线更新方法示意图。
具体实施方式
密钥分配中心具有一对公私钥对x和Px,通信实体在通信之前应事先获得密钥分配中心的公钥Px,并进行本地存储。当第一实体A和第二实体B需要进行保密通信时,通过密钥分配协议获得通信会话密钥。
参见图5,本发明的利用公钥密码技术的密钥分配方法步骤如下:
1)第一实体A产生一对临时公私钥对a和Pa,向密钥分配中心发送密钥请求消息,该密钥请求消息包含第一实体A的临时公钥Pa;
2)密钥分配中心收到第一实体A发来的密钥请求消息后,产生第一实体A和第二实体B之间的通信会话密钥k,密钥分配中心使用第一实体A的临时公钥Pa加密通信会话密钥k后并利用密钥分配中心的私钥x计算其签名,构成密钥响应消息返回给第一实体A;
3)第一实体A收到密钥响应消息后,利用本地存储的密钥分配中心的公钥Px进行签名验证,验证通过后,再利用第一实体A的临时私钥a解密得到通信会话密钥k;
4)第二实体B产生一对临时公私钥对b和Pb,向密钥分配中心发送密钥请求消息,该消息包含第二实体B的临时公钥Pb;
5)密钥分配中心收到第二实体B发来的密钥请求消息后,将第一实体A和第二实体B之间的通信会话密钥k使用第二实体B的临时公钥Pb加密后并利用密钥分配中心的私钥x计算其签名,构成密钥响应消息返回给第二实体B;
6)第二实体B收到密钥响应消息后,利用本地存储的密钥分配中心的公钥Px进行签名验证,验证通过后,再利用临时第二实体B的私钥b解密得到通信会话密钥k;
7)然后第一实体A和第二实体B使用通信会话密钥k作为会话密钥进行保密通信。
其中,第一实体A和B均不用存储各自的临时公私钥对,可适时删除之,待下次开始保密通信时或在保密通信过程中需要更新通信会话密钥时,重新再生成临时公私钥对,向密钥分配中心发出密钥请求消息,重复上述步骤,获得新的会话密钥。
密钥请求消息和密钥响应消息可携带安全参数,完成加密算法、工作模式、工作参数等的协商与通告。
第一实体A和第二实体B发送给密钥分配中心的密钥请求消息中,可携带对方实体的信息。
本发明的利用公钥密码技术的密钥分配方法均可推广到每次通信三个及三个以上实体之间的保密通信会话密钥的分配应用。
处于安全性的考虑或为了满足通信业务的需求等,密钥分配中心的公私钥对需要定期或动态更新,新的公私钥对分别记为x’和Px’,其中新公钥Px’在线通知给各通信实体的实施方法有如下两种:
参见图6,独立的密钥分配中心的公钥在线更新,步骤如下:
1)实体向密钥分配中心发送公钥请求消息;公钥请求消息包含实体产生的随机数r;
2)密钥分配中心收到公钥请求消息后,返回公钥响应消息;公钥响应消息包含实体产生的随机数r、密钥分配中心的新公钥Px’及利用密钥分配中心的旧私钥x所做的签名;
3)实体收到公钥响应消息后,验证其中的随机数是否与实体发出的公钥请求消息中包含的随机数r相同;利用本地保存的公钥Px验证其中的签名是否正确;若验证通过,则以其中的新公钥Px’更新本地存储的公钥。
在某些应用中,密钥分配中心先发出公钥更新通知给各实体后,各实体再通过上述步骤获得新公钥。
在某些应用中,公钥请求消息还包含实体本地存储的密钥分配中心的公钥,密钥分配中心收到公钥请求消息后,判断其携带的密钥分配中心的公钥是旧公钥Px还是新公钥Px’,若为新公钥Px’,则直接丢弃该消息,若为旧公钥Px,则返回上述公钥响应消息。
在某些应用中,密钥分配中心需要得知各实体是否得到新公钥,则实体收到公钥响应消息并验证通过后,向密钥分配中心发送公钥更新确认消息。
本发明还提供一种公钥在线更新的密钥分配方法,在上述密钥分配方法中添加公钥更新功能,其步骤如下:
1)第一实体A产生一对临时公私钥对a和Pa,向密钥分配中心发送密钥请求消息,该消息包含第一实体A的临时公钥Pa和本地存储的密钥分配中心的公钥;
2)密钥分配中心收到第一实体A发来的密钥请求消息后,产生第一实体A和第二实体B之间的通信会话密钥k,密钥分配中心使用第一实体A的临时公钥Pa加密通信会话密钥k后形成第一实体A的密文c1,判断密钥请求消息携带的密钥分配中心的公钥是旧公钥Px还是新公钥Px’,若为旧公钥Px,则将密文c1、密钥分配中心的新公钥Px’以及签名构成密钥响应消息返回给第一实体A,其中签名是利用密钥分配中心的旧私钥x计算得到;若为新公钥Px’,则将密文c1与签名构成密钥响应消息返回给第一实体A,其中签名是利用密钥分配中心的新私钥x’计算得到;
3)第一实体A收到密钥响应消息后,利用本地存储的密钥分配中心的公钥进行签名验证,验证通过后,若密钥响应消息包含密钥分配中心的新公钥Px’,则进行本地存储更新,再利用第一实体A的临时私钥a解密得到通信会话密钥k;
4)第二实体B产生一对临时公私钥对b和Pb,向密钥分配中心发送密钥请求消息,该消息包含临时第二实体B的公钥Pb和本地存储的密钥分配中心的公钥;
5)密钥分配中心收到第二实体B发来的密钥请求消息后,将第一实体A和第二实体B之间的通信会话密钥k使用第二实体B的临时公钥Pb加密后形成第二实体B的密文c2,判断密钥请求消息携带的密钥分配中心的公钥是旧公钥Px还是新公钥Px’,若为旧公钥Px,则将密文c2、密钥分配中心的新公钥Px’以及签名构成密钥响应消息返回给第二实体B,其中签名是利用密钥分配中心的旧私钥x计算得到;若为新公钥Px’,则将密文c2与签名构成密钥响应消息返回给第二实体B,其中签名是利用密钥分配中心的新私钥x’计算得到;
6)第二实体B收到密钥响应消息后,利用本地存储的密钥分配中心的公钥进行签名验证,验证通过后,若密钥响应消息包含密钥分配中心的新公钥Px’,则进行本地存储更新,再利用第二实体B的临时私钥b解密得到通信会话密钥k;
7)第一实体A和第二实体B使用通信会话密钥k作为会话密钥进行保密通信。
其中,第一实体A和B均不用存储各自的临时公私钥对,可适时删除之,待下次开始保密通信时或在保密通信过程中需要更新通信会话密钥时,重新再生成临时公私钥对,向密钥分配中心发出密钥请求消息,重复上述步骤,获得新的会话密钥。
密钥请求消息和密钥响应消息可携带安全参数,完成加密算法、工作模式、工作参数等的协商与通告。
第一实体A和第二实体B发送给密钥分配中心的密钥请求消息中,可携带对方实体的信息。
本发明的公钥在线更新的密钥分配方法均可推广到每次通信三个及三个以上实体之间的保密通信会话密钥的分配应用。

Claims (11)

1.一种利用公钥密码技术的密钥分配及其公钥在线更新方法,其特征在于:所述密钥分配方法包括以下步骤:
1)第一实体产生一对临时公私钥对,向密钥分配中心发送密钥请求消息,该密钥请求消息包含第一实体的临时公钥;
2)密钥分配中心收到第一实体发来的密钥请求消息后,产生第一实体和第二实体之间的通信会话密钥,密钥分配中心使用第一实体的临时公钥加密通信会话密钥后并利用密钥分配中心的私钥计算其签名,构成密钥响应消息返回给第一实体;
3)第一实体收到密钥响应消息后,利用本地存储的密钥分配中心的公钥进行签名验证,验证通过后,再利用第一实体的临时私钥解密得到通信会话密钥;
4)第二实体产生一对临时公私钥对,向密钥分配中心发送密钥请求消息,该消息包含第二实体的临时公钥;
5)密钥分配中心收到第二实体发来的密钥请求消息后,将第一实体和第二实体之间的通信会话密钥使用第二实体的临时公钥加密后并利用密钥分配中心的私钥计算其签名,构成密钥响应消息返回给第二实体;
6)第二实体收到密钥响应消息后,利用本地存储的密钥分配中心的公钥进行签名验证,验证通过后,再利用第二实体的临时私钥解密得到通信会话密钥;
7)然后第一实体和第二实体使用通信会话密钥作为会话密钥进行保密通信;
所述第一实体或第二实体的公钥在线更新方法包括以下步骤:
8)实体向密钥分配中心发送公钥请求消息,公钥请求消息包含实体产生的随机数;
9)密钥分配中心收到公钥请求消息后,返回公钥响应消息,公钥响应消息包含实体产生的随机数、密钥分配中心的新公钥及利用密钥分配中心的旧私钥所做的签名;
10)实体收到公钥响应消息后,验证其中的随机数是否与实体发出的公钥请求消息中包含的随机数相同;利用本地保存的公钥验证其中的签名是否正确,若验证通过,则以其中的新公钥更新本地存储的公钥。
2.根据权利要求1所述的利用公钥密码技术的密钥分配及其公钥在线更新方法,其特征在于:当第一实体和第二实体均不用存储各自的临时公私钥对,可适时删除之,待下次开始保密通信时或在保密通信过程中需要更新通信会话密钥时,重新再生成临时公私钥对,向密钥分配中心发出密钥请求消息,重复上述步骤1)至步骤7),获得新的会话密钥。
3.根据权利要求1所述的利用公钥密码技术的密钥分配及其公钥在线更新方法,其特征在于:所述密钥请求消息和密钥响应消息可携带安全参数,完成加密算法、工作模式、工作参数的协商与通告。
4.根据权利要求1所述的利用公钥密码技术的密钥分配及其公钥在线更新方法,其特征在于:所述第一实体和第二实体发送给密钥分配中心的密钥请求消息中,可携带对方实体的信息。
5.根据权利要求1所述的利用公钥密码技术的密钥分配及公钥在线更新方法,其特征在于:所述步骤8)中实体向密钥分配中心发送公钥请求消息前,由密钥分配中心先发出公钥更新通知给各实体。
6.根据权利要求1所述的利用公钥密码技术的密钥分配及其公钥在线更新方法,其特征在于:所述步骤8)中公钥请求消息还包含实体本地存储的密钥分配中心的公钥,此时,所述步骤9)中密钥分配中心收到公钥请求消息后,判断其携带的密钥分配中心的公钥是旧公钥还是新公钥,若为新公钥,则直接丢弃该消息,若为旧公钥,则返回所述公钥响应消息。
7.根据权利要求1所述的利用公钥密码技术的密钥分配及其公钥在线更新方法,其特征在于:所述步骤10)中实体以新公钥更新本地存储的公钥后,向密钥分配中心发送公钥更新确认消息。
8.一种公钥在线更新的密钥分配方法,其特征在于:该方法包括以下步骤:
1)第一实体产生一对临时公私钥对,向密钥分配中心发送密钥请求消息,该消息包含第一实体的临时公钥和本地存储的密钥分配中心的公钥;
2)密钥分配中心收到第一实体发来的密钥请求消息后,产生第一实体和第二实体之间的通信会话密钥,密钥分配中心使用第一实体的临时公钥加密通信会话密钥后形成第一实体的密文,判断密钥请求消息携带的密钥分配中心的公钥是旧公钥还是新公钥,若为旧公钥,则将第一实体的密文、密钥分配中心的新公钥以及签名构成密钥响应消息返回给第一实体,其中签名是利用密钥分配中心的旧私钥计算得到;若为新公钥,则将第一实体的密文与签名构成密钥响应消息返回给第一实体,其中签名是利用密钥分配中心的新私钥计算得到;
3)第一实体收到密钥响应消息后,利用本地存储的密钥分配中心的公钥进行签名验证,验证通过后,若密钥响应消息包含密钥分配中心的新公钥,则进行本地存储更新,再利用第一实体的临时私钥解密得到通信会话密钥;
4)第二实体产生一对临时公私钥对,向密钥分配中心发送密钥请求消息,该消息包含第二实体的临时公钥和本地存储的密钥分配中心的公钥;
5)密钥分配中心收到第二实体发来的密钥请求消息后,将第一实体和第二实体之间的通信会话密钥使用第二实体的临时公钥加密后形成第二实体的密文,判断密钥请求消息携带的密钥分配中心的公钥是旧公钥还是新公钥,若为旧公钥,则将第二实体的密文、密钥分配中心的新公钥以及签名构成密钥响应消息返回给第二实体,其中签名是利用密钥分配中心的旧私钥计算得到;若为新公钥,则将第二实体的密文与签名构成密钥响应消息返回给第二实体,其中签名是利用密钥分配中心的新私钥计算得到;
6)第二实体收到密钥响应消息后,利用本地存储的密钥分配中心的公钥进行签名验证,验证通过后,若密钥响应消息包含密钥分配中心的新公钥,则进行本地存储更新,再利用第二实体的临时私钥解密得到通信会话密钥;
7)第一实体和第二实体使用通信会话密钥作为会话密钥进行保密通信。
9.根据权利要求8所述的公钥在线更新的密钥分配方法,其特征在于:当第一实体和第二实体均不用存储各自的临时公私钥对,可适时删除之,待下次开始保密通信时或在保密通信过程中需要更新通信会话密钥时,重新再生成临时公私钥对,向密钥分配中心发出密钥请求消息,重复上述步骤1)至步骤7),获得新的会话密钥。
10.根据权利要求8所述的公钥在线更新的密钥分配方法,其特征在于:所述密钥请求消息和密钥响应消息可携带安全参数,完成加密算法、工作模式、工作参数的协商与通告。
11.根据权利要求8所述的公钥在线更新的密钥分配方法,其特征在于:所述第一实体和第二实体发送给密钥分配中心的密钥请求消息中,可携带对方实体的信息。
CN2008100182983A 2008-05-26 2008-05-26 一种利用公钥密码技术的密钥分配及其公钥在线更新方法 Active CN101286842B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2008100182983A CN101286842B (zh) 2008-05-26 2008-05-26 一种利用公钥密码技术的密钥分配及其公钥在线更新方法
PCT/CN2009/071979 WO2009143766A1 (zh) 2008-05-26 2009-05-26 一种密钥分配方法及系统和在线更新公钥的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008100182983A CN101286842B (zh) 2008-05-26 2008-05-26 一种利用公钥密码技术的密钥分配及其公钥在线更新方法

Publications (2)

Publication Number Publication Date
CN101286842A CN101286842A (zh) 2008-10-15
CN101286842B true CN101286842B (zh) 2011-04-06

Family

ID=40058826

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008100182983A Active CN101286842B (zh) 2008-05-26 2008-05-26 一种利用公钥密码技术的密钥分配及其公钥在线更新方法

Country Status (2)

Country Link
CN (1) CN101286842B (zh)
WO (1) WO2009143766A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11856104B2 (en) 2015-01-27 2023-12-26 Visa International Service Association Methods for secure credential provisioning

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101286842B (zh) * 2008-05-26 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种利用公钥密码技术的密钥分配及其公钥在线更新方法
CN101286840B (zh) * 2008-05-29 2014-07-30 西安西电捷通无线网络通信股份有限公司 一种利用公钥密码技术的密钥分配方法及其系统
WO2011063566A1 (zh) * 2009-11-27 2011-06-03 西安西电捷通无线网络通信股份有限公司 一种基于多个密钥分配中心的实体密话建立系统及其方法
CN104468074A (zh) * 2013-09-18 2015-03-25 北京三星通信技术研究有限公司 应用程序之间认证的方法及设备
US9813245B2 (en) 2014-08-29 2017-11-07 Visa International Service Association Methods for secure cryptogram generation
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
CN106921623B (zh) * 2015-12-25 2020-06-05 航天信息股份有限公司 标识密钥更新方法及系统
CN108111524A (zh) * 2017-12-28 2018-06-01 广州江南科友科技股份有限公司 基于私钥动态生成机制的终端数据保护方法及系统
CN110602058B (zh) * 2019-08-22 2020-10-30 卓尔智联(武汉)研究院有限公司 芯片激活装置、方法及计算机可读存储介质
CN111147247B (zh) * 2020-03-09 2023-07-28 广东电网有限责任公司电力调度控制中心 密钥更新方法、装置、计算机设备和存储介质
CN111708990A (zh) * 2020-05-15 2020-09-25 支付宝(杭州)信息技术有限公司 小程序启动方法、签名方法、装置、服务器及介质
WO2022178890A1 (zh) * 2021-02-27 2022-09-01 华为技术有限公司 一种密钥的传输方法和装置
CN113556355B (zh) * 2021-07-30 2023-04-28 广东电网有限责任公司 配电网智能设备的密钥处理系统及方法
CN113839786B (zh) * 2021-10-29 2023-06-09 郑州信大捷安信息技术股份有限公司 一种基于sm9密钥算法的密钥分发方法和系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1921381A (zh) * 2005-08-23 2007-02-28 株式会社Ntt都科摩 密钥更新方法、加密处理方法、密码系统以及终端装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101097646B (zh) * 2006-06-29 2010-10-27 中国银联股份有限公司 一种公钥更新方法和基于该方法的银行卡终端
CN101286842B (zh) * 2008-05-26 2011-04-06 西安西电捷通无线网络通信股份有限公司 一种利用公钥密码技术的密钥分配及其公钥在线更新方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1921381A (zh) * 2005-08-23 2007-02-28 株式会社Ntt都科摩 密钥更新方法、加密处理方法、密码系统以及终端装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11856104B2 (en) 2015-01-27 2023-12-26 Visa International Service Association Methods for secure credential provisioning

Also Published As

Publication number Publication date
WO2009143766A1 (zh) 2009-12-03
CN101286842A (zh) 2008-10-15

Similar Documents

Publication Publication Date Title
CN101286842B (zh) 一种利用公钥密码技术的密钥分配及其公钥在线更新方法
CN101286840B (zh) 一种利用公钥密码技术的密钥分配方法及其系统
CN101282211B (zh) 一种密钥分配方法
CN109918878B (zh) 一种基于区块链的工业物联网设备身份认证及安全交互方法
CN101421970B (zh) 避免服务器对客户端状态的存储
CN101662705B (zh) 以太网无源光网络epon的设备认证方法及系统
CN109768987A (zh) 一种基于区块链的数据文件安全隐私存储和分享方法
US20100122082A1 (en) User identity validation system and method
US20210142318A1 (en) Mapping system and corresponding method to realize digital assets on the mapping chain based on distributed technology
CN109150539A (zh) 一种基于区块链的分布式ca认证系统、方法及装置
CN106339639A (zh) 基于区块链的学分成绩管理方法及系统
CN108540436B (zh) 基于量子网络实现信息加解密传输的通信系统和通信方法
CN108847928B (zh) 基于群组型量子密钥卡实现信息加解密传输的通信系统和通信方法
CN103516702B (zh) 一种对称加密方法和系统以及一种中心服务器
CN108965338A (zh) 多服务器环境下的三因素身份认证及密钥协商的方法
CN111262692A (zh) 基于区块链的密钥分发系统和方法
CN103475624A (zh) 一种物联网密钥管理中心系统、密钥分发系统和方法
CN104125230A (zh) 一种短信认证服务系统以及认证方法
CN110930153A (zh) 基于隐藏第三方账号的区块链隐私数据管理方法和系统
CN111988260B (zh) 一种对称密钥管理系统、传输方法及装置
CN101364866B (zh) 一种基于多个密钥分配中心的实体密话建立系统及其方法
CN116340331A (zh) 一种基于区块链的大型仪器实验结果存证方法和系统
CN104065479A (zh) 基于群组的密钥生成方法和系统、密钥分发方法和系统
CN115001723B (zh) 基于树结构和非对称密钥池的群组通信方法及系统
CN1929377B (zh) 一种通信认证查询方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: BEIJING ZHIXIANG TECHNOLOGY Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2016610000049

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20161117

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: BEIJING FENGHUO LIANTUO TECHNOLOGY Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017610000001

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20170106

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: SHANGHAI YU FLY MILKY WAY SCIENCE AND TECHNOLOGY CO.,LTD.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017610000005

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20170317

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: Beijing next Technology Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017610000014

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20170601

EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: HYTERA COMMUNICATIONS Corp.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017610000015

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20170602

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: Beijing Hua Xinaotian network technology Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017610000028

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20171122

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: ALPINE ELECTRONICS, Inc.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2017990000497

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20171222

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: SHENZHEN RAKWIRELESS TECHNOLOGY CO.,LTD.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2018610000006

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20180226

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: BLACKSHARK TECHNOLOGIES (NANCHANG) Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2018610000012

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20180404

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: Sony Mobile Communications AB

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: 2018990000306

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20181123

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: SHENZHEN UCLOUDLINK NEW TECHNOLOGY Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2019610000002

Denomination of invention: Method for distributing key using public key cryptographic technique and on-line updating of the public key

Granted publication date: 20110406

License type: Common License

Record date: 20191010

EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: HANGZHOU STRONG EDUCATION TECHNOLOGY Co.,Ltd.

Assignor: China IWNCOMM Co.,Ltd.

Contract record no.: X2021610000001

Denomination of invention: A method of key distribution and public key online update based on public key cryptography

Granted publication date: 20110406

License type: Common License

Record date: 20210125

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: EKC communication technology (Shenzhen) Co.,Ltd.

Assignor: China IWNCOMM Co.,Ltd.

Contract record no.: X2021610000008

Denomination of invention: A method of key distribution and public key online update based on public key cryptography

Granted publication date: 20110406

License type: Common License

Record date: 20210705

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: Guangzhou nengchuang Information Technology Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2021610000011

Denomination of invention: A key distribution method using public key cryptography and its public key online update method

Granted publication date: 20110406

License type: Common License

Record date: 20211104

Application publication date: 20081015

Assignee: Xinruiya Technology (Beijing) Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2021610000012

Denomination of invention: A key distribution method using public key cryptography and its public key online update method

Granted publication date: 20110406

License type: Common License

Record date: 20211104

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: SHENZHEN ZHIKAI TECHNOLOGY Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2022610000005

Denomination of invention: A key distribution method using public key cryptography and its public key online update method

Granted publication date: 20110406

License type: Common License

Record date: 20220531

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: HISCENE INFORMATION TECHNOLOGY Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2023610000003

Denomination of invention: A Method of Key Distribution and Public Key Online Update Using Public Key Cryptography

Granted publication date: 20110406

License type: Common License

Record date: 20230207

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: Beijing baicaibang Technology Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2023610000005

Denomination of invention: A Key Distribution and Online Public Key Update Method Using Public Key Cryptography Technology

Granted publication date: 20110406

License type: Common License

Record date: 20230329

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: Shenzhen wisky Technology Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2023610000008

Denomination of invention: A Key Distribution and Online Public Key Update Method Using Public Key Cryptography Technology

Granted publication date: 20110406

License type: Common License

Record date: 20230522

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: Beijing Digital Technology (Shanghai) Co.,Ltd.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2023610000012

Denomination of invention: A Key Distribution and Online Public Key Update Method Using Public Key Cryptography Technology

Granted publication date: 20110406

License type: Common License

Record date: 20231114

EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081015

Assignee: SHENZHEN JINGYI SMART TECHNOLOGY CO.,LTD.

Assignor: CHINA IWNCOMM Co.,Ltd.

Contract record no.: X2024610000002

Denomination of invention: A Key Distribution and Online Public Key Update Method Using Public Key Cryptography Technology

Granted publication date: 20110406

License type: Common License

Record date: 20240520