CN1905438B - 一种基于标识的组合密钥管理方法和系统 - Google Patents

一种基于标识的组合密钥管理方法和系统 Download PDF

Info

Publication number
CN1905438B
CN1905438B CN200610115754A CN200610115754A CN1905438B CN 1905438 B CN1905438 B CN 1905438B CN 200610115754 A CN200610115754 A CN 200610115754A CN 200610115754 A CN200610115754 A CN 200610115754A CN 1905438 B CN1905438 B CN 1905438B
Authority
CN
China
Prior art keywords
key factor
cryptographic key
matrix
cryptographic
generating apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200610115754A
Other languages
English (en)
Other versions
CN1905438A (zh
Inventor
李春强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN200610115754A priority Critical patent/CN1905438B/zh
Publication of CN1905438A publication Critical patent/CN1905438A/zh
Application granted granted Critical
Publication of CN1905438B publication Critical patent/CN1905438B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Lock And Its Accessories (AREA)

Abstract

本发明提供一种基于标识的组合密钥管理方法和系统。该方法包括步骤:根据密钥因子矩阵参数控制装置生成密钥因子矩阵的划分参数,将密钥因子矩阵划分为多个密钥因子分矩阵,并由所述多个密钥因子生成装置保存所述多个密钥因子分矩阵中的私钥因子分矩阵;密钥因子生成装置根据与身份标识对应的行列标映射组合计算私钥因子分量,并将该私钥因子分量发送给密钥分发装置;密钥分发装置根据接收到的与所述身份标识对应的所有私钥因子分量计算出相应的私钥。通过本发明,可分散生成与保管私钥因子矩阵;实现相互制约的密钥托管,避免了权力的误用;各个密钥因子生成装置分别保管各自的秘密,增强了系统的安全性和可靠性;可以实现大规模的密钥管理。

Description

一种基于标识的组合密钥管理方法和系统
技术领域
本发明涉及密钥管理技术,特别涉及一种基于标识的组合密钥管理方法和系统。
背景技术
现代密码学的安全是建立在密钥保密而不是算法保密的基础之上,因此密钥的管理保护成为信息保密的关键。公钥密码技术是在试图解决密码学中面临的密钥分配和数字签名的过程中发展起来的,它的出现是整个密码学发展史上的重大飞越。
1976年,W.Diffie和M.Hellman提出了公开密码体制的思想。这一体制的主要特点是采用两个密钥将加密和解密分开,其中一个密钥公布于众作为加密密钥;另一个为用户专用,作为解密密钥,通信双方无须事先交换密钥就可以进行保密通信。要从公钥或密文分析出明文或私钥,在计算上是不可行的。若以公钥作为加密密钥,私钥作为解密密钥,则可实现多个用户加密的消息只能由一个用户解读;反之,以私钥作为加密密钥,而以公钥作为解密密钥,则可实现由一个用户加密的消息可使多个用户解读。前者可用于保密通信,后者可用于数字签名,公钥和私钥均称为密钥。
为了对公钥进行有效的管理,能够证明公钥和公、私钥对的拥有者间的所属关系,可以采用数字证书机制。
目前网络安全中,公开密钥基础设施(PKI:Public Key Infrastructure)系统就是采用数字证书机制进行公钥管理,在PKI系统中存在一个称为认证机构(CA:Certificate Authority)的权威机构负责公钥证书的颁发。PKI系统的运行需要层次化CA和在线运行的证书库的支持,证书库的在线运行占用了网络带宽,在大规模的密钥管理上系统的性能会比较低。实施大规模的密钥管理会逐步成为网络安全中日益突出的问题。
密钥和密钥拥有者标识之间的绑定是现代网络安全研究的重要内容之一。目前,将密钥和密钥拥有者标识绑定有两种方式,一种是通过密钥来生成密钥拥有者的标识,密码方法生成的地址(CGA:CryptographicallyGenerated Addresses)是这种方式的典型代表;另一种方式是通过标识来确定出该标识对应的密钥,即基于标识的密码体制。
1984年,Shami r提出了基于标识的签名设想,2001年Don Boneh和MatthewFranklin根据Shamir的设想,提出了以Weil配对方式实现的基于身份的加密(IBE:Identity-Based Encryption)体制。IBE是一种新型的公钥管理体制,公钥不必从在线运行的公钥证书库中获得,而是直接使用表示用户身份的字符串,例如姓名、E-mail地址、IP地址等。IBE不需要公钥证书及相关操作,简化了公钥的使用与管理。
在以下参考文献中,《网络安全技术概论》,作者:南湘浩,陈钟,国防工业出版社,2003.7;《基于椭圆曲线密钥系统的组合公钥技术》,作者:唐文、南相浩、陈钟,计算机工程与应用,2003年21期;《基于标识的组合公钥体制的原理》,作者:陈华平,计算机安全,2006年02期,所述的组合公钥(CPK:Combined Public Key)密码体制也是一种基于标识的密钥管理体制,公钥、私钥因子矩阵是该方案的基础。如图1A和1B所示,为公钥矩阵和私钥因子矩阵示意图。
这一方案中,存在一个可信任的密钥管理中心,密钥管理中心负责生成公钥、私钥因子矩阵;公钥因子矩阵(PKM:Public Key Matrix)在系统中是公开的,私钥因子矩阵(SKM:Secret Key Matrix)由密钥管理中心保管;根据用户的标识和一定的映射算法可以计算出组成用户私钥的因子,将私钥因子按照一定的运算便计算出用户的私钥,并将私钥安全发放给用户,同时将系统参数及公钥因子矩阵一起发放给用户;根据公布的公钥因子矩阵,通过用户的标识和相应的映射算法便可以计算出各用户的公钥。
采用上述方案的缺点在于,在这一方案中存在一个密钥管理中心,密钥管理中心负责生成和保管系统的全部秘密,所有权力集中在密钥管理中心,一旦密钥管理中心存在安全问题则会影响到整个系统的安全。
发明内容
鉴于现有技术中存在的上述问题,本发明提供一种基于标识的组合密钥管理方法和系统,可分散生成与保管私钥因子矩阵;实现相互制约的密钥托管,避免了权力的误用;增强了系统的安全性和可靠性;可以实现大规模的密钥管理。
本发明提供一种基于标识的组合密钥管理方法,在安全管理域中至少包括密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置,该方法包括步骤:
步骤1,根据密钥因子矩阵参数控制装置生成密钥因子矩阵的划分参数,将密钥因子矩阵划分为多个密钥因子分矩阵,并由所述多个密钥因子生成装置保存所述多个密钥因子分矩阵中的私钥因子分矩阵;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
步骤2,密钥因子生成装置根据与身份标识对应的行列标映射组合计算私钥因子分量,并将该私钥因子分量秘密发送给密钥分发装置;
步骤3,密钥分发装置根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥。
根据该方法,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置。
根据该方法,密钥因子分矩阵在密钥因子矩阵中的位置采用坐标表示法。
根据该方法,所述步骤1包括:
所述密钥因子矩阵参数控制装置将包括密钥因子矩阵划分参数在内的参数秘密发送给所述密钥因子生成装置;
所述密钥因子生成装置收到所述密钥因子矩阵划分参数后,根据该划分参数生成密钥因子分矩阵;
密钥因子生成装置将密钥因子分矩阵中的公钥因子分矩阵发送给密钥因子矩阵参数控制装置,并储存密钥因子分矩阵中的私钥因子分矩阵。
根据该方法,所述步骤1包括:
密钥因子矩阵参数控制装置生成密钥因子矩阵划分参数;
根据所述密钥因子矩阵划分参数,密钥因子矩阵参数控制装置将密钥因子矩阵划分为多个密钥因子分矩阵;
密钥因子矩阵参数控制装置将多个密钥因子分矩阵中的私钥因子分矩阵分别发送至所述密钥因子生成装置;
密钥因子矩阵参数控制装置储存密钥因子分矩阵中的公钥因子分矩阵。
根据该方法,还包括步骤:密钥因子矩阵参数控制装置销毁自身存储的私钥因子矩阵。
根据该方法,还包括步骤:
密钥因子矩阵参数控制装置获得所述公钥因子分矩阵后,根据该公钥因子分矩阵组合出公钥因子矩阵;
密钥因子矩阵参数控制装置将所述公钥因子矩阵发送至密钥分发装置。
根据该方法,所述步骤2包括:
所述密钥因子生成装置获得与所述身份标识对应的行列标映射组合;
所述密钥因子生成装置根据该行列标映射组合计算私钥因子分量;
所述密钥因子生成装置将该私钥因子分量秘密发送给密钥分发装置。
根据该方法,所述密钥因子生成装置获得行列标映射组合,包括步骤:
密钥分发装置根据身份标识和映射算法得出与所述身份标识对应的行列标映射组合;
密钥分发装置将该行列标映射组合发送至密钥因子生成装置。
根据该方法,所述密钥因子生成装置获得行列标映射组合,包括步骤:
密钥分发装置将身份标识发送至密钥因子生成装置;
密钥因子生成装置根据身份标识和映射算法得到行列标映射组合。
根据该方法,所述密钥因子生成装置获得行列标映射组合,包括步骤:
密钥分发装置将身份标识发送至密钥因子矩阵参数控制装置;
密钥因子矩阵参数控制装置接收所述身份标识,并根据所述身份标识和映射算法得到行列标映射组合;
密钥因子矩阵参数控制装置将该行列映射组合发送至密钥因子生成装置。
根据该方法,所述密钥因子生成装置根据行列标映射组合计算私钥因子分量,包括步骤:
密钥因子生成装置根据密钥因子矩阵划分参数和所述行列标映射组合计算私钥因子;
密钥因子生成装置根据所述私钥因子计算私钥因子分量。
根据该方法,所述私钥因子为多个时,所述私钥因子分量由所述多个私钥因子运算得到。
根据该方法,若不存在私钥因子,则将所述私钥因子分量设置为零。
根据该方法,所述步骤3包括:
密钥分发装置接收密钥因子生成装置的私钥因子分量;
密钥分发装置根据该私钥因子分量计算与所述身份标识对应的私钥。
根据该方法,还包括步骤:
密钥分发装置将所述私钥、以及从密钥因子矩阵参数控制装置获得的公钥因子矩阵和密码系统参数发放给与所述身份标识对应的用户;
密钥分发装置删除所述私钥。
根据该方法,还包括步骤:所述用户根据公布的公钥因子矩阵进行公钥的计算。
根据该方法,还包括步骤:
密钥因子矩阵参数控制装置生成备份参数,并根据该备份参数通知密钥因子生成装置进行私钥因子分矩阵的链式备份。
根据该方法,所述备份参数根据公式计算,该公式的表达式为:
b=[(i+g)mod N+1]
其中,b:备份参数;
N:密钥因子生成装置的个数,1≤i≤N,0≤g<N-1,N、g、i为整数。
根据该方法,所述根据备份参数通知密钥因子生成装置进行私钥因子分矩阵的链式备份,包括步骤:
密钥因子矩阵参数控制装置通知第b个密钥因子生成装置将其所储存的私钥因子分矩阵发送至第i个密钥因子生成装置并储存;
第b个密钥因子生成装置将其所储存的私钥因子分矩阵发送至第i个密钥因子生成装置;
第i个密钥因子生成装置储存接收到的私钥因子分矩阵;
其中,b:备份参数;1≤i≤N,N、i为整数。
根据该方法,所述步骤2包括:
密钥分发装置将身份标识发送至密钥因子矩阵参数控制装置;
密钥因子矩阵参数控制装置接收所述身份标识,并根据所述身份标识和映射算法得到私钥因子的行列标映射组合;
选择一最小私钥分发组,并将所述行列标映射组合进行划分;
密钥因子矩阵参数控制装置将划分后的行列标映射组合发送至最小私钥分发组中的各个密钥因子生成装置。
本发明还提供一种基于标识的组合密钥管理系统,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置发送的公钥因子分矩阵;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述密钥因子矩阵划分参数,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置;根据与身份标识对应的行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;根据身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
本发明还提供一种基于标识的组合密钥管理系统,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置发送的公钥因子分矩阵;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述密钥因子矩阵划分参数,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置;接收密钥分发装置发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并根据该行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;发送身份标识至密钥因子生成装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
本发明还提供一种基于标识的组合密钥管理系统,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,生成密钥因子矩阵划分参数;并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥分发装置;将所述多个密钥因子分矩阵中的私钥因子分矩阵发送至密钥因子生成装置;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述私钥因子分矩阵并保存;根据密钥分发装置发送的与身份标识对应的行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;根据身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
本发明还提供一种基于标识的组合密钥管理系统,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,生成密钥因子矩阵划分参数;并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥分发装置;将所述多个密钥因子分矩阵中的私钥因子分矩阵发送至密钥因子生成装置;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述私钥因子分矩阵并保存;接收密钥分发装置发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并根据该行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
本发明还提供一种基于标识的组合密钥管理系统,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置发送的公钥因子分矩阵;接收所述密钥分发装置发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述密钥因子矩阵划分参数和行列标映射组合,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置;根据所述行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;发送身份标识至密钥因子矩阵参数控制装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
本发明还提供一种基于标识的组合密钥管理系统,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置发送的公钥因子分矩阵;接收所述密钥分发装置发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述密钥因子矩阵划分参数和行列标映射组合,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置;根据所述行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;发送身份标识至密钥因子矩阵参数控制装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
所述密钥因子矩阵参数控制装置还包括备份参数计算单元,用于计算备份参数。
通过本发明,可分散生成与保管私钥因子矩阵;实现相互制约的密钥托管,避免了权力的误用;各个密钥因子生成装置分别保管各自的秘密,增强了系统的安全性和可靠性;可以实现大规模的密钥管理.
附图说明
图1A和图1B分别为私钥因子矩阵和公钥因子矩阵示意图;
图2为本发明实施例一的密钥管理系统结构示意图;
图3为本发明实施例一的私钥因子矩阵划分示意图;
图4为本发明实施例一的公钥因子矩阵划分示意图;
图5为本发明实施例二的密钥管理系统结构示意图;
图6为本发明实施例三的密钥管理系统结构示意图。
具体实施方式
本发明是将整个密钥因子矩阵按照一定方式划分成多个部分,其中每个部分称为分矩阵(通常一个行向量或列向量也可以看成是一个矩阵),由多个逻辑功能实体负责生成并存储其中的一个(或多个)分矩阵,当然在划分时也可以考虑根据密钥因子生成装置的权重,所负责的分矩阵大小不同或负责生成与存储多个分矩阵。通常私钥是在私钥因子矩阵中按照一定的映射规则在每行(或列)各选取一个私钥因子通过相应运算计算出的,如果每个私钥的生成要求所有的密钥因子生成装置都参与才能计算出,则密钥因子矩阵要按行(或列)划分。
本发明提供一种基于标识的组合密钥管理方法,在安全管理域中至少包括密钥因子矩阵参数控制装置201、多个密钥因子生成装置202和至少一个密钥分发装置203,该方法包括步骤:
步骤1,根据密钥因子矩阵参数控制装置201生成的密钥因子矩阵划分参数,将密钥因子矩阵划分为多个密钥因子分矩阵,并由所述多个密钥因子生成装置202保存所述多个密钥因子分矩阵中的私钥因子分矩阵;
步骤2,密钥因子生成装置202根据与身份标识对应的行列标映射组合计算私钥因子分量,并将该私钥因子分量发送给密钥分发装置203;
步骤3,密钥分发装置203根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥。
本实施例中,密钥因子矩阵参数控制装置201生成的密钥因子矩阵划分参数至少包括:每个密钥因子分矩阵的大小及密钥因子分矩阵在整个密钥因子矩阵中的位置。
本实施例中,对于密钥因子分矩阵在整个密钥因子矩阵中的位置采用坐标表示法,在一个矩阵中,行标和列标值都最小的元素称为起点,记为(Sr,Sc);行标和列标都最大的元素称为终点,记为(Er,Ec);如果一个矩阵有M行N列其大小可记为[M×N];存在如下关系:
Er-Sr=M-1,Ec-Sc=N-1(即Sr+M-1=Er,Sc+N-1=Er);
因此,在密钥因子分矩阵的位置大小参数通过起点和终点就可以表示出,或采用起点(或终点)和大小的方法表示,这两种方法是等价的。
下面结合附图来对本发明进行详细说明。
实施例一
如图2所示,为一种基于标识的组合密钥管理系统结构示意图。如图所示,该系统至少包括:密钥因子矩阵参数控制装置201、多个密钥因子生成装置202和至少一个密钥分发装置203;并且所述密钥因子矩阵参数控制装置201、多个密钥因子生成装置202和至少一个密钥分发装置203之间相互连接;其中,
如图2所示,本实施例中密钥因子生成装置为N个,其中数N≥2。
参照附图2对上述系统中的基于标识的组合密钥管理方法进行详细说明。
该系统的实现主要包括以下过程:系统初始化,私钥的分发,公钥的计算。
1.首先进行系统初始化:
密钥因子矩阵参数控制装置201生成密钥因子矩阵的大小、密钥因子矩阵的划分参数:每个密钥因子分矩阵的大小及密钥因子分矩阵在整个密钥因子矩阵中的位置。
另外,密钥因子矩阵参数控制装置201还要负责生成所使用密码系统的参数,比如对于离散对数密码系统,要生成参数T={g,p},其中p是素数,g是有限域Fp生成元,且g小于p;对与椭圆曲线密码系统,要生成系统参数T:(a,b,G,n,p),其中p是正整数,Fp是有限域,a,b是Fp上的正整数,G是椭圆曲线E(Fp)上的基点,n是素数,是基点G的阶。
密钥因子矩阵参数控制装置201把所使用密钥系统的参数发送给所有密钥因子生成装置202,密钥因子矩阵参数控制装置201需要安全保密的把密钥因子分矩阵的大小和位置信息发送给对应的密钥因子生成装置202(见步骤21)。
密钥因子生成装置202根据所得到的参数生成相应的密钥因子,密钥因子生成装置202安全地保存好私钥因子分矩阵,并把公钥因子分矩阵发送给密钥因子参数控制装置201(见步骤22);
密钥因子参数控制装置201通过所有的公钥因子分矩阵组合出整个公钥因子矩阵并把它发送给密钥分发装置203(见步骤23)。
2.进行私钥的分发:
至少包括如下步骤:
所述密钥因子生成装置202获得与所述身份标识对应的行列标映射组合;
其中,所述密钥因子生成装置202获取行列标映射组合可采用的方法如图2所示:密钥分发装置203根据身份标识和映射算法计算行标列标的映射组合,这些行标列标映射组合对应着密钥因子在密钥因子矩阵中的位置,把标识对应的整个映射组合发送给密钥因子生成装置202(见步骤24)。
另外,所述密钥因子生成装置202获取行列标映射组合还可采取如图5所示的方法。由密钥分发装置203发送身份标识至密钥因子生成装置202(见步骤54),密钥因子生成装置202接收密钥分发装置503发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合。
另外,所述密钥因子生成装置202获取行列标映射组合还可采取如图6所示的方法。密钥分发装置203将身份标识发送至密钥因子矩阵参数控制装置201(见步骤64);
密钥因子矩阵参数控制装置201接收所述身份标识,并根据所述身份标识和映射算法得到行列标映射组合:密钥因子矩阵参数控制装置201将该行列映射组合发送至密钥因子生成装置202(见步骤66)。
然后,所述密钥因子生成装置202根据该行列标映射组合计算私钥因子分量;具体步骤为:
每个密钥因子生成装置202根据自身的私钥因子分矩阵位置大小信息和标识对应的私钥因子位置信息,找出落在该私钥因子分矩阵中的私钥因子,如果有多个私钥因子,则将这多个密钥因子经运算后得出私钥因子分量;
如果一个私钥因子都没有,则将私钥因子分量置为0;
最后,将私钥因子分量加密后发送给密钥分发装置203(见步骤25)。
密钥分发装置203将一个标识对应的所有私钥因子分量经运算后得出标识对应的私钥。
密钥分发装置203将私钥、公钥因子矩阵及密码系统参数安全发放给用户,然后将得出的私钥删除。
3.进行公钥的计算
用户根据公布的公钥因子矩阵,通过用户的标识和与计算私钥时相同的映射算法便可以计算出各用户的公钥。
本实施例中,对上述的分布式组合密钥管理系统的通信要求:密钥因子分矩阵生成服务器之间不能相互通信,其它实体之间的通信要求是加密的。
举个具体的例子来说明上述方法。
在本实施例中,以该系统中有三个密钥因子生成装置202为例来说明本发明。此时,将上述三个密钥因子生成装置202分别记为SKG1、SKG2、SKG3;密钥因子矩阵参数控制装置201将私钥因子矩阵划分成三个部分,使用起点终点的方法表示这三个分矩阵,分别是SKM1:(0,0),(2,1);SKM2:(0,2),(2,3);SKM3:(3,0),(3,3)。
各个密钥因子生成装置202根据密钥系统参数和分矩阵大小位置参数生成三个私钥因子分矩阵,同时生成公钥因子分矩阵,并把公钥因子分矩阵发送给密钥因子矩阵参数控制装置201。密钥因子矩阵参数控制装置201将公钥因子分矩阵PKM1、PKM2、PKM3组合成公钥因子矩阵,然后发送给密钥分发装置203,该公钥因子矩阵如图4所示。
如果对应一个给定的标识ID,密钥分发装置203按照一定的映射算法计算出行列标的组合为(0,1),(1,3),(2,2),(3,0),将这些组合发给每个密钥因子生成装置202。如图3所示,为私钥因子矩阵划分示意图。显然只有(0,1)落在SKM1中,于是密钥因子生成装置SKG1把S0,1加密后发送密钥分发装置203;其中(1,3),(2,2)落在SKM2中,所以密钥因子生成装置SKG2的结果(其中运算符对于离散对数和椭圆曲线组合密钥管理系统为加法)加密后发送给密钥分发装置203;(3,0)落在SKM3中,密钥生成装置SKG3把S3,0加密后发送给密钥分发装置203;密钥分发装置203把结果汇总后便可以计算出标识ID对应的私钥。
其中,在系统中判断一个私钥因子坐标(R,C)是否落在私钥因子分矩阵SKM:(Sr,Sc),(Er,Ec)的方法非常简单,如果(R,C)满足Sr≤R≤Er,Sc≤C≤Ec表明(R,C)落在SKM中。
此外,本实施例中,上述步骤21、22也可在密钥因子矩阵参数控制装置201中完成,具体步骤包括:
密钥因子矩阵参数控制装置201生成密钥因子矩阵划分参数;
根据所述密钥因子矩阵划分参数,密钥因子矩阵参数控制装置201将密钥因子矩阵划分为多个密钥因子分矩阵;
密钥因子矩阵参数控制装置201将多个密钥因子分矩阵中的私钥因子分矩阵分别发送至所述密钥因子生成装置202;
密钥因子矩阵参数控制装置201储存密钥因子分矩阵中的公钥因子分矩阵。
然后,密钥因子矩阵参数控制装置201将所述公钥因子分矩阵发送至密钥分发装置(同图2中的步骤23);并将私钥因子分矩阵发送至密钥因子生成装置202中储存。
实施例二
为了提高系统的可靠性,可以采用密钥因子生成装置链式备份的机制,这一方法处理流程如图6所示。
1.进行系统初始化时,还包括步骤:
在系统中存在N个密钥因子生成装置202,并分别记为SKG1,SKG2,......,SKGN;所述密钥因子生成装置202将私钥因子矩阵分成N份,分别记为SKM1,SKM2,......,SKMN
密钥因子矩阵参数控制装置201指定私钥因子分矩阵SKMi(1≤i≤N)由密钥因子生成装置SKGi生成并存储;
计算备份参数b=[(i+g)modN+1](其中1≤i≤N,0≤g<N-1),密钥因子矩阵参数控制装置201通知密钥因子生成装置SKGb将私钥因子矩阵SKMb以保密方式发送到SKGi(1≤i≤N)进行存储;其中I,g,N为整数。
通过链式备份的方式,可以确保系统中任意一个密钥因子生成装置202出现故障时系统仍能正常运行。
如果SKGi,......,SKGj所负责的存储的私钥因子分矩阵可以组合出完整的私钥因子矩阵,则称SKGi,......,SKGj构成一个私钥分发组;如果SKGi,......,SKGj构成一个私钥分发组,而去除其中的任意一个私钥因子矩阵生成装置,都无法组合出完整的私钥因子矩阵,则称SKGi,......,SKGj构成最小私钥分发组。
2.当进行私钥分发时,密钥分发装置203将得到的标识ID发送给密钥因子矩阵参数控制装置201;
密钥因子参数控制装置201根据给定的映射算法计算私钥因子的行标列标组合,选择一个最小私钥分发组,把行列标的组合根据所选定的最小私钥分发组中各个密钥因子生成装置202所存储的私钥因子分矩阵划分,并把划分后的行列标组合以保密方式发送给各个密钥因子生成装置202,密钥因子生成装置202根据行列标组合定位出相应的密钥因子,计算出密钥因子分量,并以秘密的通信方式发送给密钥分发装置203。
下面以附图3和密钥因子生成装置为3个时的情况为例对本发明进行详细说明。
该系统中有三个密钥因子生成装置SKG1、SKG2、SKG3,分别负责生成私钥因子分矩阵SKM1、SKM2、SKM3
取g=0,密钥因子矩阵参数控制装置301计算:(1+0)mod3+1=2、(2+0)mod3+1=3、(3+0)mod3+1=1,并通知密钥因子生成装置SKG2、SKG3、SKG1分别把私钥因子分矩阵SKM2、SKM3、SKM1以保密方式发送给密钥因子生成装置SKG1、SKG2、SKG3,此时密钥因子生成装置SKG1存储了私钥因子分矩阵SKM1、SKM2,密钥因子生成装置SKG2存储了私钥因子分矩阵SKM2、SKM3,密钥因子生成装置SKG3存储了私钥因子分矩阵SKM3、SKM1,显然任意两个密钥因子生成装置都组成一个最小私钥分发组.
然后,密钥分发装置303将得到的标识ID发送给密钥因子矩阵参数控制装置301;
如果对应一个给定的标识ID,密钥因子参数控制装置301按照一定的映射算法计算出行列标的组合为(0,1),(1,3),(2,2),(3,0),选择密钥因子生成装置SKG1、SKG2进行此次私钥的分发,密钥因子矩阵参数控制装置301把(0,1)以保密方式发送给密钥因子生成装置SKG1,把(1,3),(2,2),(3,0)发送给密钥因子生成装置SKG2,密钥因子生成装置SKG1把S0,1加密后发送密钥分发装置303,密钥因子生成装置SKG2的结果加密后发送给密钥分发装置303。当然也可以选择密钥因子生成装置SKG1和SKG3或密钥因子生成装置SKG2和SKG3进行私钥的分发。
然后,进行公钥的计算。根据公布的公钥因子矩阵,通过用户的标识和与计算私钥时相同的映射算法便可以计算出各用户的公钥。
对于系统中存在N(N>3)个密钥因子生成装置,且私钥因子矩阵被分成N份,如果要求系统中任意不超过K(K+2≤N)个密钥因子生成装置出现故障时系统仍能正常运行,则可以采用下述方式进行备份:
密钥因子矩阵参数控制装置301计算b1=[(i+1)modN+1],b2=[(i+2)modN+1],......,bk=[(i+k)modN+1](其中1≤i≤N);并通知密钥因子生成装置SKGb1,SKGb2,......,SKGbk把私钥因子分矩阵SKMb1,SKMb2,......,SKMbk以保密方式发送到密钥因子生成装置SKGi进行备份。
当采用了链式备份机制后,系统中存在多个私钥分发组,所有在进行私钥分发时,密钥因子参数控制装置301可以根据ID的特征实施负荷分担。
以下结合附图说明完成上述组合密钥管理方法的系统。
实施例三
如图2所示,为一种基于标识的组合密钥管理系统结构示意图。如图所示,该系统至少包括:密钥因子矩阵参数控制装置201、多个密钥因子生成装置202和至少一个密钥分发装置203;并且所述密钥因子矩阵参数控制装置201、多个密钥因子生成装置202和至少一个密钥分发装置203之间相互连接;其中,
密钥因子矩阵参数控制装置201,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置202发送的公钥因子分矩阵;
密钥因子生成装置202,接收所述密钥因子矩阵划分参数,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置201;根据与身份标识对应的行列标映射组合计算私钥因子分量,并将所述私钥因子分量秘密发送至密钥分发装置203;
密钥分发装置203,用于接收密钥因子矩阵参数控制装置201发送的公钥因子分矩阵;根据身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置202;接收密钥因子生成装置202发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
实施例四
如图5所示为本发明的一种基于标识的组合密钥管理系统,至少包括:密钥因子矩阵参数控制装置201、多个密钥因子生成装置202和至少一个密钥分发装置203;并且所述密钥因子矩阵参数控制装置201、多个密钥因子生成装置202和至少一个密钥分发装置203之间相互连接;其中,
密钥因子矩阵参数控制装置201,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置202发送的公钥因子分矩阵;
密钥因子生成装置202,接收所述密钥因子矩阵划分参数,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置201;接收密钥分发装置203发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并根据该行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置203;
密钥分发装置203,用于接收密钥因子矩阵参数控制装置201发送的公钥因子分矩阵;发送身份标识至密钥因子生成装置202;接收密钥因子生成装置202发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
实施例五
如图6所示,为本发明的基于标识的组合密钥管理系统,至少包括:密钥因子矩阵参数控制装置201、多个密钥因子生成装置202和至少一个密钥分发装置203;并且所述密钥因子矩阵参数控制装置201、多个密钥因子生成装置202和至少一个密钥分发装置203之间相互连接;其中,
密钥因子矩阵参数控制装置201,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置202发送的公钥因子分矩阵;接收所述密钥分发装置203发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置202;
密钥因子生成装置202,接收所述密钥因子矩阵划分参数和行列标映射组合,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置201;根据所述行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置203;
密钥分发装置203,用于接收密钥因子矩阵参数控制装置201发送的公钥因子分矩阵;发送身份标识至密钥因子矩阵参数控制装置201;接收密钥因子生成装置202发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
实施例六
本发明提供一种基于标识的组合密钥管理系统,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,生成密钥因子矩阵划分参数;并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥分发装置;将所述多个密钥因子分矩阵中的私钥因子分矩阵发送至密钥因子生成装置;
密钥因子生成装置,接收所述私钥因子分矩阵并保存;根据密钥分发装置发送的与身份标识对应的行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;根据身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
实施例七
本发明提供一种基于标识的组合密钥管理系统,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,生成密钥因子矩阵划分参数;并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥分发装置;将所述多个密钥因子分矩阵中的私钥因子分矩阵发送至密钥因子生成装置;
密钥因子生成装置,接收所述私钥因子分矩阵并保存;接收密钥分发装置发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并根据该行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
在上述关于组合密钥管理系统的实施例中,所述密钥因子矩阵参数控制装置201还包括备份参数计算单元,用于计算备份参数。
通过本发明,可分散生成与保管私钥因子矩阵;实现相互制约的密钥托管,避免了权力的误用;各个密钥因子生成装置分别保管各自的秘密,增强了系统的安全性和可靠性;可以实现大规模的密钥管理。
上述实施例仅用于说明本发明,而非用于限定本发明。

Claims (27)

1.一种基于标识的组合密钥管理方法,其特征在于,在安全管理域中至少包括密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置,该方法包括步骤:
步骤1,根据密钥因子矩阵参数控制装置生成密钥因子矩阵的划分参数,将密钥因子矩阵划分为多个密钥因子分矩阵,并由所述多个密钥因子生成装置保存所述多个密钥因子分矩阵中的私钥因子分矩阵;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
步骤2,密钥因子生成装置根据与身份标识对应的行列标映射组合计算私钥因子分量,并将该私钥因子分量秘密发送给密钥分发装置;
步骤3,密钥分发装置根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥。
2.根据权利要求1所述的基于标识的组合密钥管理方法,其特征在于,密钥因子分矩阵在密钥因子矩阵中的位置采用坐标表示法。
3.根据权利要求1所述的基于标识的组合密钥管理方法,其特征在于,所述步骤1包括:
所述密钥因子矩阵参数控制装置将包括密钥因子矩阵划分参数在内的参数秘密发送给所述密钥因子生成装置;
所述密钥因子生成装置收到所述密钥因子矩阵划分参数后,根据该划分参数生成密钥因子分矩阵;
密钥因子生成装置将密钥因子分矩阵中的公钥因子分矩阵发送给密钥因子矩阵参数控制装置,并储存密钥因子分矩阵中的私钥因子分矩阵。
4.根据权利要求1所述的基于标识的组合密钥管理方法,其特征在于,所述步骤1包括:
密钥因子矩阵参数控制装置生成密钥因子矩阵划分参数;
根据所述密钥因子矩阵划分参数,密钥因子矩阵参数控制装置将密钥因子矩阵划分为多个密钥因子分矩阵;
密钥因子矩阵参数控制装置将多个密钥因子分矩阵中的私钥因子分矩阵分别发送至所述密钥因子生成装置;
密钥因子矩阵参数控制装置储存密钥因子分矩阵中的公钥因子分矩阵。
5.根据权利要求4所述的基于标识的组合密钥管理方法,其特征在于,还包括步骤:密钥因子矩阵参数控制装置销毁自身存储的私钥因子矩阵。
6.根据权利要求3或4所述的基于标识的组合密钥管理方法,其特征在于,还包括步骤:
密钥因子矩阵参数控制装置获得所述公钥因子分矩阵后,根据该公钥因子分矩阵组合出公钥因子矩阵;
密钥因子矩阵参数控制装置将所述公钥因子矩阵发送至密钥分发装置。
7.根据权利要求1所述的基于标识的组合密钥管理方法,其特征在于,所述步骤2包括:
所述密钥因子生成装置获得与所述身份标识对应的行列标映射组合;
所述密钥因子生成装置根据该行列标映射组合计算私钥因子分量;
所述密钥因子生成装置将该私钥因子分量秘密发送给密钥分发装置。
8.根据权利要求7所述的基于标识的组合密钥管理方法,其特征在于,所述密钥因子生成装置获得行列标映射组合,包括步骤:
密钥分发装置根据身份标识和映射算法得出与所述身份标识对应的行列标映射组合;
密钥分发装置将该行列标映射组合发送至密钥因子生成装置。
9.根据权利要求7所述的基于标识的组合密钥管理方法,其特征在于,所述密钥因子生成装置获得行列标映射组合,包括步骤:
密钥分发装置将身份标识发送至密钥因子生成装置;
密钥因子生成装置根据身份标识和映射算法得到行列标映射组合。
10.根据权利要求7所述的基于标识的组合密钥管理方法,其特征在于,所述密钥因子生成装置获得行列标映射组合,包括步骤:
密钥分发装置将身份标识发送至密钥因子矩阵参数控制装置;
密钥因子矩阵参数控制装置接收所述身份标识,并根据所述身份标识和映射算法得到行列标映射组合;
密钥因子矩阵参数控制装置将该行列映射组合发送至密钥因子生成装置。
11.根据权利要求7所述的基于标识的组合密钥管理方法,其特征在于,所述密钥因子生成装置根据行列标映射组合计算私钥因子分量,包括步骤:
密钥因子生成装置根据密钥因子矩阵划分参数和所述行列标映射组合计算私钥因子;
密钥因子生成装置根据所述私钥因子计算私钥因子分量。
12.根据权利要求11所述的基于标识的组合密钥管理方法,其特征在于,所述私钥因子为多个时,所述私钥因子分量由所述多个私钥因子运算得到。
13.根据权利要求11所述的基于标识的组合密钥管理方法,其特征在于,若不存在私钥因子,则将所述私钥因子分量设置为零。
14.根据权利要求1所述的基于标识的组合密钥管理方法,其特征在于,所述步骤3包括:
密钥分发装置接收密钥因子生成装置的私钥因子分量;
密钥分发装置根据该私钥因子分量计算与所述身份标识对应的私钥。
15.根据权利要求14所述的基于标识的组合密钥管理方法,其特征在于,还包括步骤:
密钥分发装置将所述私钥、以及从密钥因子矩阵参数控制装置获得的公钥因子矩阵和密码系统参数发放给与所述身份标识对应的用户;
密钥分发装置删除所述私钥。
16.根据权利要求15所述的基于标识的组合密钥管理方法,其特征在于,还包括步骤:所述用户根据公布的公钥因子矩阵进行公钥的计算。
17.根据权利要求3或4所述的基于标识的组合密钥管理方法,其特征在于,还包括步骤:
密钥因子矩阵参数控制装置生成备份参数,并根据该备份参数通知密钥因子生成装置进行私钥因子分矩阵的链式备份.
18.根据权利要求17所述的基于标识的组合密钥管理方法,其特征在于,所述备份参数根据公式计算,该公式的表达式为:
b=[(i+g)mod N+1]
其中,b:备份参数;
N:密钥因子生成装置的个数,1≤i≤N,0≤g<N-1,N、g、i为整数。
19.根据权利要求18所述的基于标识的组合密钥管理方法,其特征在于,所述根据备份参数通知密钥因子生成装置进行私钥因子分矩阵的链式备份,包括步骤:
密钥因子矩阵参数控制装置通知第b个密钥因子生成装置将其所储存的私钥因子分矩阵发送至第i个密钥因子生成装置并储存;
第b个密钥因子生成装置将其所储存的私钥因子分矩阵发送至第i个密钥因子生成装置;
第i个密钥因子生成装置储存接收到的私钥因子分矩阵;
其中,b:备份参数;1≤i≤N,N、i为整数。
20.根据权利要求17所述的基于标识的组合密钥管理方法,其特征在于,所述步骤2包括:
密钥分发装置将身份标识发送至密钥因子矩阵参数控制装置;
密钥因子矩阵参数控制装置接收所述身份标识,并根据所述身份标识和映射算法得到私钥因子的行列标映射组合;
选择一最小私钥分发组,并将所述行列标映射组合进行划分;
密钥因子矩阵参数控制装置将划分后的行列标映射组合发送至最小私钥分发组中的各个密钥因子生成装置。
21.一种基于标识的组合密钥管理系统,其特征在于,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置发送的公钥因子分矩阵;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述密钥因子矩阵划分参数,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置;根据与身份标识对应的行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;根据身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
22.一种基于标识的组合密钥管理系统,其特征在于,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置发送的公钥因子分矩阵;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述密钥因子矩阵划分参数,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置;接收密钥分发装置发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并根据该行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;发送身份标识至密钥因子生成装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
23.一种基于标识的组合密钥管理系统,其特征在于,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,生成密钥因子矩阵划分参数;并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥分发装置;将所述多个密钥因子分矩阵中的私钥因子分矩阵发送至密钥因子生成装置;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述私钥因子分矩阵并保存;根据密钥分发装置发送的与身份标识对应的行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;根据身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
24.一种基于标识的组合密钥管理系统,其特征在于,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,生成密钥因子矩阵划分参数;并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥分发装置;将所述多个密钥因子分矩阵中的私钥因子分矩阵发送至密钥因子生成装置;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述私钥因子分矩阵并保存;接收密钥分发装置发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并根据该行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
25.一种基于标识的组合密钥管理系统,其特征在于,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置发送的公钥因子分矩阵;接收所述密钥分发装置发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述密钥因子矩阵划分参数和行列标映射组合,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置;根据所述行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;发送身份标识至密钥因子矩阵参数控制装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
26.一种基于标识的组合密钥管理系统,其特征在于,至少包括:密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置;并且所述密钥因子矩阵参数控制装置、多个密钥因子生成装置和至少一个密钥分发装置之间相互连接;其中,
密钥因子矩阵参数控制装置,用于生成并储存公共参数,并生成密钥因子矩阵划分参数;接收所述密钥因子生成装置发送的公钥因子分矩阵;接收所述密钥分发装置发送的身份标识,并根据该身份标识和映射算法得到与所述身份标识相应的行列标映射组合,并将该行列标映射组合发送至密钥因子生成装置;其中,所述密钥因子矩阵划分参数至少包括:密钥因子矩阵的大小和密钥因子分矩阵在密钥因子矩阵中的位置;
密钥因子生成装置,接收所述密钥因子矩阵划分参数和行列标映射组合,并根据该划分参数将密钥因子矩阵划分为多个密钥因子分矩阵,保存所述多个密钥因子分矩阵中的私钥因子分矩阵,将所述多个密钥因子分矩阵中的公钥因子分矩阵发送至密钥因子矩阵参数控制装置;根据所述行列标映射组合计算私钥因子分量,并将所述私钥因子分量发送至密钥分发装置;
密钥分发装置,用于接收密钥因子矩阵参数控制装置发送的公钥因子分矩阵;发送身份标识至密钥因子矩阵参数控制装置;接收密钥因子生成装置发送的私钥因子分量,根据接收到的与所述身份标识对应的所有私钥因子分量得到相应的私钥,并发送给用户。
27.根据权利要求21至26中任意一项权利要求所述的基于标识的组合密钥管理系统,其特征在于,所述密钥因子矩阵参数控制装置还包括备份参数计算单元,用于计算备份参数。
CN200610115754A 2006-08-15 2006-08-15 一种基于标识的组合密钥管理方法和系统 Expired - Fee Related CN1905438B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200610115754A CN1905438B (zh) 2006-08-15 2006-08-15 一种基于标识的组合密钥管理方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200610115754A CN1905438B (zh) 2006-08-15 2006-08-15 一种基于标识的组合密钥管理方法和系统

Publications (2)

Publication Number Publication Date
CN1905438A CN1905438A (zh) 2007-01-31
CN1905438B true CN1905438B (zh) 2010-05-12

Family

ID=37674578

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200610115754A Expired - Fee Related CN1905438B (zh) 2006-08-15 2006-08-15 一种基于标识的组合密钥管理方法和系统

Country Status (1)

Country Link
CN (1) CN1905438B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101296107B (zh) * 2007-04-27 2012-03-28 上海贝尔阿尔卡特股份有限公司 通信网络中基于身份标识加密技术的安全通信方法及装置
CN101420300B (zh) * 2008-05-28 2013-05-29 北京易恒信认证科技有限公司 双因子组合公钥生成和认证方法
CN101340282B (zh) * 2008-05-28 2011-05-11 北京易恒信认证科技有限公司 复合公钥的生成方法
CN101599188B (zh) * 2009-07-10 2012-10-03 广东南方信息安全产业基地有限公司 一种基于ipa安全认证的门禁系统
CN102299794A (zh) * 2010-06-28 2011-12-28 北京环球聚浪网络科技有限公司 一种多重组合密钥的方法
CN102025491A (zh) * 2010-12-15 2011-04-20 北京联合智华微电子科技有限公司 双矩阵组合公钥的生成方法
CN105790941B (zh) * 2016-04-22 2019-08-16 北京迪曼森科技有限公司 一种基于标识的具有域划分的组合密钥生成及认证方法
CN107689867B (zh) * 2017-09-08 2019-12-10 晋商博创(北京)科技有限公司 一种在开放环境下的密钥保护方法和系统
CN108900309B (zh) * 2018-05-17 2020-08-18 北京岸思信息科技有限公司 一种鉴权方法及鉴权系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1476196A (zh) * 2002-05-28 2004-02-18 郑建德 一种快速公钥密码算法及其对应的数字签名
CN1710601A (zh) * 2005-06-24 2005-12-21 大连理工大学 一种随机相位量化编码防伪方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1476196A (zh) * 2002-05-28 2004-02-18 郑建德 一种快速公钥密码算法及其对应的数字签名
CN1710601A (zh) * 2005-06-24 2005-12-21 大连理工大学 一种随机相位量化编码防伪方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JP特开2002-118544A 2002.04.19

Also Published As

Publication number Publication date
CN1905438A (zh) 2007-01-31

Similar Documents

Publication Publication Date Title
CN1905438B (zh) 一种基于标识的组合密钥管理方法和系统
Wang et al. Ciphertext-policy attribute-based encryption with delegated equality test in cloud computing
Kaur et al. Analysis of security algorithms in cloud computing
JP3548215B2 (ja) 通信方法及びそのシステム
CN107872322A (zh) 基于同态加密的数字签名协同生成方法及系统
CN108880796A (zh) 一种针对服务器高效的基于属性加密算法的外包解密方法
US20150127950A1 (en) Method of encrypting data
CN107086912B (zh) 一种异构存储系统中的密文转换方法、解密方法及系统
Chatterjee et al. Cryptography in cloud computing: a basic approach to ensure security in cloud
CN110784300B (zh) 一种基于乘法同态加密的密钥合成方法
Sivasakthi et al. Applying digital signature with encryption algorithm of user authentication for data security in cloud computing
JP2001211154A (ja) 秘密鍵生成方法,暗号化方法及び暗号通信方法
CN104144057B (zh) 一种生成安全解密密钥的cp‑abe方法
Habib et al. Public key exchange scheme that is addressable (PKA)
CN114362912A (zh) 基于分布式密钥中心的标识密码生成方法、电子设备及介质
CN116319058A (zh) 一种基于区块链的属性和策略隐藏的访问控制方法
Wade et al. The Iso-ElGamal Cryptographic Scheme
Lakshmi et al. Medical image encryption using enhanced Rivest Shamir adleman algorithm
Bassous et al. Ambiguous multi-symmetric cryptography
Amounas et al. An efficient signcryption scheme based on the elliptic curve discrete logarithm problem
Qiu et al. Hierarchical Access Control with Scalable Data Sharing in Cloud Storage
CN104135495A (zh) 具有隐私保护的无中央机构的密文政策的属性基加密方法
Patel et al. A critical analysis on encryption techniques used for data security in cloud computing and IOT (internet of things) based smart cloud storage system: a survey
Lei et al. Cloud-assisted privacy-preserving genetic paternity test
Williams Computationally “Hard” Problems as a Source for Cryptosystems

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100512

Termination date: 20150815

EXPY Termination of patent right or utility model