一種電子通信標(biāo)識(shí)的ibc分級(jí)使用方法
【專利摘要】本發(fā)明涉及電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,所述方法中用戶在IBC密鑰服務(wù)系統(tǒng)注冊(cè)的電子通信標(biāo)識(shí)分為不同的安全服務(wù)等級(jí)并有服務(wù)期限,不同安全服務(wù)等級(jí)的IBC電子通信標(biāo)識(shí)使用不同的IBC系統(tǒng)參數(shù)生成不同安全等級(jí)的IBC私鑰;不同安全等級(jí)的IBC私鑰和對(duì)應(yīng)的IBC系統(tǒng)參數(shù)用于不同安全保護(hù)等級(jí)的數(shù)據(jù)加密和解密;數(shù)據(jù)加密方的密碼模塊在使用IBC電子通信標(biāo)識(shí)進(jìn)行數(shù)據(jù)加密時(shí),采用查詢本地IBC密鑰信息的方式或者采用先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng)的方式確定數(shù)據(jù)加密所用的數(shù)據(jù)解密方的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限并采用與IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)相對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密。
【專利說明】一種電子通信標(biāo)識(shí)的IBC分級(jí)使用方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于信息安全領(lǐng)域,特別是一種電子通信標(biāo)識(shí)的IBC分級(jí)使用方法。
【背景技術(shù)】
[0002] 在基于標(biāo)識(shí)的密碼(Identity-Based Cryptography, IBC,也稱為基于身份的密 碼)中用戶的一個(gè)唯一標(biāo)識(shí)(結(jié)合一組IBC系統(tǒng)參數(shù))就構(gòu)成了一個(gè)公鑰,稱為IBC公鑰, 可用于數(shù)據(jù)加密或數(shù)字簽名的簽名驗(yàn)證,同時(shí)一個(gè)標(biāo)識(shí)對(duì)應(yīng)有一個(gè)私鑰,稱為IBC私鑰,可 用于數(shù)據(jù)解密或數(shù)字簽名,其中,私鑰由一個(gè)IBC密鑰服務(wù)系統(tǒng)生成并通過安全可靠的方 式分發(fā)給標(biāo)識(shí)的擁有者(其中,用于數(shù)據(jù)加密和解密的IBC公鑰和私鑰同用于數(shù)字簽名和 簽名驗(yàn)證的IBC公鑰和私鑰不一定相同)。用于IBC密碼運(yùn)算的標(biāo)識(shí)稱為IBC標(biāo)識(shí)。
[0003] 在IBC中,由于用戶的一個(gè)標(biāo)識(shí)就是用戶的一個(gè)公鑰,故數(shù)據(jù)加密方在進(jìn)行數(shù)據(jù) 加密前無須事先獲得數(shù)據(jù)解密方的公鑰,這給加密應(yīng)用帶來了極大的方便。但是,這個(gè)方便 有一個(gè)前提:標(biāo)識(shí)擁有者(數(shù)據(jù)解密方)是IBC密鑰服務(wù)系統(tǒng)的一個(gè)有效用戶且在IBC密 鑰服務(wù)系統(tǒng)已成功注冊(cè)了用于密碼運(yùn)算的IBC標(biāo)識(shí)并已證明注冊(cè)的標(biāo)識(shí)歸其所有,這樣, 標(biāo)識(shí)擁有者能從IBC密鑰服務(wù)系統(tǒng)獲得標(biāo)識(shí)對(duì)應(yīng)的私鑰,用于數(shù)據(jù)解密操作。但是,數(shù)據(jù)加 密方事先可能無法知道數(shù)據(jù)解密方是否已是IBC密鑰服務(wù)系統(tǒng)的有效用戶及是否已注冊(cè) 了數(shù)據(jù)加密方將要用于加密密碼運(yùn)算的標(biāo)識(shí)。如果要求數(shù)據(jù)加密方在每次進(jìn)行數(shù)據(jù)加密前 都需要先從IBC密鑰服務(wù)系統(tǒng)確認(rèn)標(biāo)識(shí)擁有者(數(shù)據(jù)解密方)是否已成功注冊(cè)其標(biāo)識(shí),則 將使得IBC加密失去其優(yōu)越性,故此,我們需要有相應(yīng)的技術(shù)解決方案解決這一問題。本發(fā) 明針對(duì)電子通信標(biāo)識(shí)就這一問題提出相應(yīng)的解決方案,所述電子通信標(biāo)識(shí)指電子通信設(shè)施 (如電子郵件系統(tǒng)或移動(dòng)通信系統(tǒng))用于標(biāo)識(shí)接收者的地址(如電子郵箱地址)或用于標(biāo) 識(shí)電子通信終端的號(hào)碼(如移動(dòng)終端號(hào)碼);所述用于IBC密碼運(yùn)算的電子通信標(biāo)識(shí)稱為 IBC電子通信標(biāo)識(shí)。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的是針對(duì)電子通信標(biāo)識(shí)提出一種數(shù)據(jù)加密方總是能夠使用數(shù)據(jù)解密 方的電子通信標(biāo)識(shí)進(jìn)行數(shù)據(jù)加密,而數(shù)據(jù)解密方總是能夠解密采用其電子通信標(biāo)識(shí)加密 的數(shù)據(jù)的電子通信標(biāo)識(shí)的IBC分級(jí)使用方法。
[0005] 為了實(shí)現(xiàn)上述目的,本發(fā)明所采用的技術(shù)方案是:
[0006] -種電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,其特征是:
[0007] 用戶在IBC密鑰服務(wù)系統(tǒng)注冊(cè)的用于IBC密碼運(yùn)算的電子通信標(biāo)識(shí)被分為不同的 安全服務(wù)等級(jí)并具有服務(wù)期限(服務(wù)有效期),不同安全服務(wù)等級(jí)的IBC電子通信標(biāo)識(shí)使 用不同的IBC系統(tǒng)參數(shù)生成不同安全等級(jí)的IBC私鑰(即一個(gè)安全服務(wù)等級(jí)的IBC電子通 信標(biāo)識(shí)用一組對(duì)應(yīng)的IBC系統(tǒng)參數(shù),生成相應(yīng)的IBC私鑰);不同安全等級(jí)IBC電子通信標(biāo) 識(shí)、IBC私鑰和對(duì)應(yīng)的IBC系統(tǒng)參數(shù)用于不同安全保護(hù)等級(jí)的數(shù)據(jù)加密和解密過程中的密 碼運(yùn)算;若用戶在IBC密鑰服務(wù)系統(tǒng)尚未注冊(cè)擁有的一個(gè)電子通信標(biāo)識(shí),則IBC密鑰服務(wù)系 統(tǒng)在完成對(duì)電子通信標(biāo)識(shí)歸屬確認(rèn)的基本操作后,允許用戶將未注冊(cè)的電子通信標(biāo)識(shí)注冊(cè) 為一個(gè)具有最低安全服務(wù)等級(jí)的IBC電子通信標(biāo)識(shí);在IBC密鑰服務(wù)系統(tǒng)注冊(cè)有電子通信 標(biāo)識(shí)的用戶使用從IBC密鑰服務(wù)系統(tǒng)獲得的與注冊(cè)的電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)對(duì)應(yīng) 的IBC私鑰對(duì)加密數(shù)據(jù)進(jìn)行解密或?qū)?shù)據(jù)進(jìn)行數(shù)字簽名(本發(fā)明中加密數(shù)據(jù)的解密方或簽 名數(shù)據(jù)的簽名方);
[0008] 數(shù)據(jù)加密方的密碼模塊在使用IBC電子通信標(biāo)識(shí)進(jìn)行數(shù)據(jù)加密時(shí),采用查詢本地 IBC密鑰信息的方式或者采用先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng)的方式確 定數(shù)據(jù)加密所用的數(shù)據(jù)解密方的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限(是否在服 務(wù)有效期內(nèi)),并采用與IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)相對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù) 加密密碼運(yùn)算;使用IBC電子通信標(biāo)識(shí)進(jìn)行加密后的數(shù)據(jù)(加密數(shù)據(jù))中包含IBC電子通 信標(biāo)識(shí)的安全服務(wù)等級(jí)信息(供數(shù)據(jù)解密方的密碼模塊解密數(shù)據(jù)時(shí)使用);所述加密數(shù)據(jù) 中的安全服務(wù)等級(jí)信息以服務(wù)等級(jí)標(biāo)識(shí)的形式(直接)表示,或者以所用IBC系統(tǒng)參數(shù)的 參數(shù)標(biāo)識(shí)的形式(間接)表示(服務(wù)等級(jí)標(biāo)識(shí)用于標(biāo)識(shí)和區(qū)分不同的安全服務(wù)等級(jí),參數(shù) 標(biāo)識(shí)用于標(biāo)識(shí)和區(qū)分不同的IBC系統(tǒng)參數(shù))。
[0009] 數(shù)據(jù)加密方的密碼模塊按如下查詢本地IBC密鑰信息的方式確定數(shù)據(jù)加密所用 的數(shù)據(jù)解密方的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限,并采用與IBC電子通信標(biāo) 識(shí)的安全服務(wù)等級(jí)相對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算:
[0010] 從密碼模塊本地的IBC密鑰信息中查詢是否有用于加密的IBC電子通信標(biāo)識(shí)的信 息,若有且IBC電子通信標(biāo)識(shí)的服務(wù)期限仍然有效,則使用本地的密鑰信息中所指示的IBC 電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)所對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算;否則,使用 對(duì)應(yīng)最低安全服務(wù)等級(jí)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算。
[0011] 數(shù)據(jù)加密方的密碼模塊按如下先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng) 的方式確定數(shù)據(jù)加密所用的數(shù)據(jù)解密方的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限, 并采用與IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)相對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn) 算:
[0012] 先從密碼模塊本地的IBC密鑰信息中查詢是否有用于加密的IBC電子通信標(biāo)識(shí)的 信息,若有且IBC電子通信標(biāo)識(shí)的服務(wù)期限仍然有效,則使用本地的密鑰信息中所指示的 IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)所對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算;否則,在 線連接IBC密鑰服務(wù)系統(tǒng)獲取用于加密的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限, 若IBC密鑰服務(wù)系統(tǒng)返回IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)且返回的服務(wù)期限有效,則密 碼模塊使用返回的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)所對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密 密碼運(yùn)算,若沒有安全服務(wù)等級(jí)信息返回或返回的服務(wù)期限已失效,則使用對(duì)應(yīng)最低安全 服務(wù)等級(jí)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算。
[0013] 數(shù)據(jù)加密方的密碼模塊按如下先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng) 的方式確定數(shù)據(jù)加密所用的數(shù)據(jù)解密方的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)并采用與IBC 電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)相對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算:
[0014] 先從密碼模塊本地的IBC密鑰信息中查詢是有否用于加密的IBC電子通信標(biāo)識(shí)的 信息,若有且IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)是最高的且IBC電子通信標(biāo)識(shí)的服務(wù)期限 仍然有效,則使用本地的密鑰信息中所指示的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)所對(duì)應(yīng)的 IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算;否則,在線連接IBC密鑰服務(wù)系統(tǒng)獲取IBC電子通信 標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限,若IBC密鑰服務(wù)系統(tǒng)返回IBC電子通信標(biāo)識(shí)的安全服務(wù) 等級(jí)且返回的服務(wù)期限仍然有效,則密碼模塊使用返回的IBC電子通信標(biāo)識(shí)的安全服務(wù)等 級(jí)所對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算,若沒有安全服務(wù)等級(jí)信息返回或返回的 服務(wù)期限已失效,則使用最低安全服務(wù)等級(jí)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算。
[0015] 數(shù)據(jù)加密方的密碼模塊利用從IBC密鑰服務(wù)系統(tǒng)查詢獲得的關(guān)于IBC電子通信標(biāo) 識(shí)的安全服務(wù)等級(jí)及服務(wù)期限信息更新本地保存的IBC電子通信標(biāo)識(shí)的IBC密鑰信息。
[0016] 使用IBC電子通信標(biāo)識(shí)進(jìn)行密碼運(yùn)算的密碼模塊通過一個(gè)后臺(tái)監(jiān)測(cè)程序定時(shí)連 接IBC密鑰服務(wù)系統(tǒng)查詢密碼模塊使用過的IBC電子通信標(biāo)識(shí)包括在使用時(shí)無法確定安全 服務(wù)等級(jí)的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)及服務(wù)期限,并用查詢獲得的信息更新本地 IBC密鑰信息中的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)及服務(wù)期限信息,其中,對(duì)于具有最高 安全服務(wù)等級(jí)的IBC電子通信標(biāo)識(shí),僅在IBC電子通信標(biāo)識(shí)到了預(yù)定的服務(wù)期限更新時(shí)間 后才連接IBC密鑰服務(wù)系統(tǒng)查詢其更新后的安全服務(wù)等級(jí)及服務(wù)期限。
[0017] 簽名數(shù)據(jù)(Signed Data)的簽名方的密碼模塊在進(jìn)行數(shù)字簽名時(shí)將簽名所用的 IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限信息加入到簽名數(shù)據(jù)中;簽名數(shù)據(jù)的驗(yàn)證方 的密碼模塊在進(jìn)行數(shù)字簽名驗(yàn)證時(shí)從簽名數(shù)據(jù)中獲取簽名所用的IBC電子通信標(biāo)識(shí)的安 全服務(wù)等級(jí)和服務(wù)期限并更新本地IBC密鑰信息中的IBC電子通信標(biāo)識(shí)及其安全服務(wù)等級(jí) 和服務(wù)期限(若本地IBC密鑰信息中沒有此IBC電子通信標(biāo)識(shí),則創(chuàng)建此IBC電子通信標(biāo) 識(shí)并保存其安全服務(wù)等級(jí)和服務(wù)期限信息)。
[0018] 若用戶在IBC密鑰服務(wù)系統(tǒng)注冊(cè)有IBC電子通信標(biāo)識(shí),則用戶能夠從IBC密鑰服 務(wù)系統(tǒng)獲取安全等級(jí)不高于已注冊(cè)的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)的IBC私鑰。
[0019] 所述IBC密鑰服務(wù)系統(tǒng)對(duì)電子通信標(biāo)識(shí)歸屬確認(rèn)的基本操作是:由IBC密鑰服務(wù) 系統(tǒng)向電子通信標(biāo)識(shí)對(duì)應(yīng)的通信地址或終端發(fā)送隨機(jī)字串,然后由電子通信標(biāo)識(shí)擁有者將 接收到的隨機(jī)字串返回到IBC密鑰服務(wù)系統(tǒng),IBC密鑰服務(wù)系統(tǒng)通過比對(duì)發(fā)送和返回的隨 機(jī)字串是否一致完成確認(rèn)操作(一致,則確認(rèn)電子通信標(biāo)識(shí)歸注冊(cè)者所有;否則,則不確 定)。
[0020] 基于本發(fā)明的方法,若數(shù)據(jù)加密方的密碼模塊在進(jìn)行數(shù)據(jù)加密時(shí)不能確定數(shù)據(jù)解 密方在IBC密鑰服務(wù)系統(tǒng)已注冊(cè)了其用于加密的IBC電子通信標(biāo)識(shí),則假定數(shù)據(jù)解密方至 少能夠獲得用于數(shù)據(jù)加密的IBC電子通信標(biāo)識(shí)的對(duì)應(yīng)最低安全服務(wù)等級(jí)的IBC私鑰,然后 使用對(duì)應(yīng)最低安全服務(wù)等級(jí)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算,從而使得數(shù)據(jù)加密方 總是能夠向數(shù)據(jù)解密方發(fā)送加密數(shù)據(jù),相應(yīng)地,加密數(shù)據(jù)的解密方即電子通信標(biāo)識(shí)的擁有 者總是能夠從IBC密鑰服務(wù)系統(tǒng)獲得電子通信標(biāo)識(shí)的對(duì)應(yīng)最低安全服務(wù)等級(jí)的私鑰用于 數(shù)據(jù)解密。本發(fā)明的方法是基于這樣一個(gè)易于實(shí)現(xiàn)的前提:用戶在IBC密鑰服務(wù)系統(tǒng)注冊(cè) 的用戶電子通信標(biāo)識(shí)根據(jù)安全服務(wù)需求和要求被分為不同的安全服務(wù)等級(jí),不同安全服務(wù) 等級(jí)的IBC密鑰具有不同的安全強(qiáng)度、服務(wù)保證和服務(wù)費(fèi)用(如果是公共IBC密鑰服務(wù)的 話),而對(duì)于最低安全服務(wù)等級(jí)的電子通信標(biāo)識(shí),確認(rèn)用戶是電子通信標(biāo)識(shí)的擁有者可采用 簡(jiǎn)單的方案(向用戶發(fā)送隨機(jī)信息并由用戶獲取返回)且IBC密鑰服務(wù)是免費(fèi)的。
【具體實(shí)施方式】
[0021] 下面對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述。
[0022] 本發(fā)明的IBC密碼算法可采用基于配對(duì)(pairing-based)的IBC算法,算法實(shí) 現(xiàn)可參見 IEEE 國際標(biāo)準(zhǔn) IEEE Stdl363. 3-2013: IEEE Standard for Identity-Based Cryptographic Techniques using Pairings,22August2013〇
[0023] 開發(fā)實(shí)施一個(gè)支持不同安全服務(wù)等級(jí)的IBC電子通信標(biāo)識(shí)的IBC密鑰服務(wù)系統(tǒng)是 比較容易的。IBC密鑰服務(wù)系統(tǒng)同時(shí)支持對(duì)應(yīng)不同安全服務(wù)等級(jí)的多組IBC系統(tǒng)參數(shù)也不 困難,其中一種最簡(jiǎn)單的方式是多組IBC系統(tǒng)參數(shù)對(duì)應(yīng)同一個(gè)橢圓曲線,但主密鑰的長度 不同,安全服務(wù)等級(jí)越高,所對(duì)應(yīng)的IBC系統(tǒng)參數(shù)的主密鑰越長,并利用不同的主密鑰生成 對(duì)應(yīng)不同安全等級(jí)的IBC私鑰。
[0024] IBC密鑰服務(wù)系統(tǒng)對(duì)用戶注冊(cè)的電子通信標(biāo)識(shí)的歸屬的基本的驗(yàn)證確認(rèn)操作(確 認(rèn)確實(shí)歸注冊(cè)者所有)是系統(tǒng)在用戶注冊(cè)電子通信標(biāo)識(shí)后自動(dòng)向電子通信標(biāo)識(shí)對(duì)應(yīng)的通 信地址或通信終端(電子郵箱、移動(dòng)手機(jī))發(fā)送一個(gè)隨機(jī)字串,要求用戶通過注冊(cè)系統(tǒng)返 回,若能成功返回,則說明電子通信標(biāo)識(shí)確實(shí)歸注冊(cè)者所有。針對(duì)電子通信標(biāo)識(shí)實(shí)現(xiàn)此基本 的驗(yàn)證確認(rèn)操作并不困難,根據(jù)電子通信標(biāo)識(shí)的類別不同所采用的方案會(huì)不同,但都有現(xiàn) 存的技術(shù)方案和工具可使用。
[0025] 對(duì)于用戶注冊(cè)的最低安全服務(wù)等級(jí)的IBC電子通信標(biāo)識(shí),只需完成基本的驗(yàn)證確 認(rèn)操作即可;對(duì)于用戶注冊(cè)的非最低安全服務(wù)等級(jí)的IBC電子通信標(biāo)識(shí),除了完成基本的 驗(yàn)證確認(rèn)操作外,還需確認(rèn)用戶滿足其他的要求,包括已支付費(fèi)用(如何進(jìn)行非最低安全 服務(wù)等級(jí)的IBC電子通信標(biāo)識(shí)的驗(yàn)證、確認(rèn)屬于本發(fā)明之外的問題)。IBC電子通信標(biāo)識(shí)的 不同安全服務(wù)等級(jí)由用戶注冊(cè)時(shí)選擇,注冊(cè)成功后可以升級(jí)(由低安全服務(wù)等級(jí)申請(qǐng)到高 安全服務(wù)等級(jí))。
[0026] 密碼模塊通過本地的一個(gè)電子文件或微型數(shù)據(jù)庫存放使用過的各個(gè)IBC電子通 信標(biāo)識(shí)的密鑰信息,包括安全服務(wù)等級(jí)、服務(wù)期限信息,以及對(duì)應(yīng)不同安全服務(wù)等級(jí)的IBC 系統(tǒng)參數(shù)。
[0027] 密碼模塊如何通過加密數(shù)據(jù)和簽名數(shù)據(jù)傳遞IBC電子通信標(biāo)識(shí)的安全服務(wù) 等級(jí)信息,取決于密碼模塊進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)簽名的"層次"。如果密碼模塊負(fù)責(zé) 在完整的消息層次(完整的數(shù)據(jù)層次)進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)簽名處理,如在CMS(即 RFC5652, Cryptographic Message Syntax,也稱為PKCS#7)消息數(shù)據(jù)層次,則數(shù)據(jù)加密方或 簽名方的密碼模塊可以在生成的消息數(shù)據(jù)(如CMS數(shù)據(jù))的密鑰信息中(如密鑰標(biāo)識(shí)信息 中)加入對(duì)應(yīng)的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)信息(或IBC系統(tǒng)參數(shù)信息),而數(shù)據(jù) 解密方或簽名驗(yàn)證方的密碼模塊從消息數(shù)據(jù)獲取相應(yīng)的IBC電子通信標(biāo)識(shí)的安全服務(wù)等 級(jí)信息(或IBC系統(tǒng)參數(shù)信息)。若密碼模塊僅進(jìn)行低層的數(shù)據(jù)密碼運(yùn)算(如同Windows CSP、PKCS#11密碼模塊),則可以在本發(fā)明 申請(qǐng)人:的專利申請(qǐng)"一種IBE密碼裝置及數(shù)據(jù) 加解密方法"(申請(qǐng)?zhí)枺?01310438462. 7)中的IBE密碼模塊的基礎(chǔ)上實(shí)施本發(fā)明的密碼 模塊(這時(shí)201310438462. 7專利申請(qǐng)中的IBE密碼模塊對(duì)應(yīng)于本發(fā)明中的進(jìn)行IBC密碼 運(yùn)算的密碼模塊),密碼模塊通過在密碼運(yùn)算后的數(shù)據(jù)中填充或附加數(shù)據(jù)的方式傳遞進(jìn)行 加密或簽名密碼運(yùn)算時(shí)所用的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)信息。密碼模塊還可同 時(shí)實(shí)施專利"一種基于偽RSA密鑰的新近公開密鑰加密算法的數(shù)據(jù)加密系統(tǒng)"(專利號(hào): ZL201110248050. 8)中的偽RSA密鑰和偽RSA數(shù)字證書技術(shù)。
【權(quán)利要求】
1. 一種電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,其特征是: 用戶在IBC密鑰服務(wù)系統(tǒng)注冊(cè)的用于IBC密碼運(yùn)算的電子通信標(biāo)識(shí)被分為不同的安全 服務(wù)等級(jí)并具有服務(wù)期限,不同安全服務(wù)等級(jí)的IBC電子通信標(biāo)識(shí)使用不同的IBC系統(tǒng)參 數(shù)生成不同安全等級(jí)的IBC私鑰;不同安全等級(jí)IBC電子通信標(biāo)識(shí)、IBC私鑰和對(duì)應(yīng)的IBC 系統(tǒng)參數(shù)用于不同安全保護(hù)等級(jí)的數(shù)據(jù)加密和解密過程中的密碼運(yùn)算;若用戶在IBC密鑰 服務(wù)系統(tǒng)尚未注冊(cè)擁有的一個(gè)電子通信標(biāo)識(shí),則IBC密鑰服務(wù)系統(tǒng)在完成對(duì)電子通信標(biāo)識(shí) 歸屬確認(rèn)的基本操作后,允許用戶將未注冊(cè)的電子通信標(biāo)識(shí)注冊(cè)為一個(gè)具有最低安全服務(wù) 等級(jí)的IBC電子通信標(biāo)識(shí);在IBC密鑰服務(wù)系統(tǒng)注冊(cè)有電子通信標(biāo)識(shí)的用戶使用從IBC密 鑰服務(wù)系統(tǒng)獲得的與注冊(cè)的電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)對(duì)應(yīng)的IBC私鑰對(duì)加密數(shù)據(jù)進(jìn) 行解密或者對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名; 數(shù)據(jù)加密方的密碼模塊在使用IBC電子通信標(biāo)識(shí)進(jìn)行數(shù)據(jù)加密時(shí),采用查詢本地IBC 密鑰信息的方式或者采用先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng)的方式確定數(shù) 據(jù)加密所用的數(shù)據(jù)解密方的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限,并采用與IBC 電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)相對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算;使用IBC電 子通信標(biāo)識(shí)進(jìn)行加密后的數(shù)據(jù)中包含IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)信息;所述加密數(shù) 據(jù)中的安全服務(wù)等級(jí)信息以服務(wù)等級(jí)標(biāo)識(shí)的形式表示,或者以所用IBC系統(tǒng)參數(shù)的參數(shù)標(biāo) 識(shí)的形式表示。
2. 根據(jù)權(quán)利要求1所述的電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,其特征是:數(shù)據(jù)加密方 的密碼模塊采用查詢本地IBC密鑰信息的方式確定數(shù)據(jù)加密所用的數(shù)據(jù)解密方的IBC電子 通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限,并采用與IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)相對(duì)應(yīng) 的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算的具體方法為: 從密碼模塊本地的IBC密鑰信息中查詢是否有用于加密的IBC電子通信標(biāo)識(shí)的信息, 若有且IBC電子通信標(biāo)識(shí)的服務(wù)期限仍然有效,則使用本地的密鑰信息中所指示的IBC電 子通信標(biāo)識(shí)的安全服務(wù)等級(jí)所對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算;否則,使用對(duì) 應(yīng)最低安全服務(wù)等級(jí)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算。
3. 根據(jù)權(quán)利要求1所述的電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,其特征是:數(shù)據(jù)加密方 的密碼模塊采用先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng)的方式確定數(shù)據(jù)加密所 用的數(shù)據(jù)解密方的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限,并采用與IBC電子通信 標(biāo)識(shí)的安全服務(wù)等級(jí)相對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算的具體方法為: 先從密碼模塊本地的IBC密鑰信息中查詢是否有用于加密的IBC電子通信標(biāo)識(shí)的信 息,若有且IBC電子通信標(biāo)識(shí)的服務(wù)期限仍然有效,則使用本地的密鑰信息中所指示的IBC 電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)所對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算;否則,在線 連接IBC密鑰服務(wù)系統(tǒng)獲取用于加密的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限,若 IBC密鑰服務(wù)系統(tǒng)返回IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)且返回的服務(wù)期限有效,則密碼 模塊使用返回的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)所對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密 碼運(yùn)算,若沒有安全服務(wù)等級(jí)信息返回或返回的服務(wù)期限已失效,則使用對(duì)應(yīng)最低安全服 務(wù)等級(jí)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算。
4. 根據(jù)權(quán)利要求1所述的電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,其特征是:數(shù)據(jù)加密方 的密碼模塊采用先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng)的方式確定數(shù)據(jù)加密所 用的數(shù)據(jù)解密方的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí),并采用與IBC電子通信標(biāo)識(shí)的安全 服務(wù)等級(jí)相對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算的具體方法為: 先從密碼模塊本地的IBC密鑰信息中查詢是有否用于加密的IBC電子通信標(biāo)識(shí)的信 息,若有且IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)是最高的且IBC電子通信標(biāo)識(shí)的服務(wù)期限仍 然有效,則使用本地的密鑰信息中所指示的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)所對(duì)應(yīng)的 IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算;否則,在線連接IBC密鑰服務(wù)系統(tǒng)獲取IBC電子通信 標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限,若IBC密鑰服務(wù)系統(tǒng)返回IBC電子通信標(biāo)識(shí)的安全服務(wù) 等級(jí)且返回的服務(wù)期限仍然有效,則密碼模塊使用返回的IBC電子通信標(biāo)識(shí)的安全服務(wù)等 級(jí)所對(duì)應(yīng)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算,若沒有安全服務(wù)等級(jí)信息返回或返回的 服務(wù)期限已失效,則使用最低安全服務(wù)等級(jí)的IBC系統(tǒng)參數(shù)進(jìn)行數(shù)據(jù)加密密碼運(yùn)算。
5. 根據(jù)權(quán)利要求3或4所述的電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,其特征是:數(shù)據(jù)加 密方的密碼模塊利用從IBC密鑰服務(wù)系統(tǒng)查詢獲得的關(guān)于IBC電子通信標(biāo)識(shí)的安全服務(wù)等 級(jí)及服務(wù)期限信息更新本地保存的IBC電子通信標(biāo)識(shí)的IBC密鑰信息。
6. 根據(jù)權(quán)利要求2或3或4所述的電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,其特征是:使用 IBC電子通信標(biāo)識(shí)進(jìn)行密碼運(yùn)算的密碼模塊通過一個(gè)后臺(tái)監(jiān)測(cè)程序定時(shí)連接IBC密鑰服務(wù) 系統(tǒng)查詢密碼模塊使用過的IBC電子通信標(biāo)識(shí)包括在使用時(shí)無法確定安全服務(wù)等級(jí)的IBC 電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)及服務(wù)期限,并用查詢獲得的信息更新本地IBC密鑰信息中 的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)及服務(wù)期限信息,其中,對(duì)于具有最高安全服務(wù)等級(jí) 的IBC電子通信標(biāo)識(shí),僅在IBC電子通信標(biāo)識(shí)到了預(yù)定的服務(wù)期限更新時(shí)間后才連接IBC 密鑰服務(wù)系統(tǒng)查詢其更新后的安全服務(wù)等級(jí)及服務(wù)期限。
7. 根據(jù)權(quán)利要求1所述的電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,其特征是:簽名數(shù)據(jù)的 簽名方的密碼模塊在進(jìn)行數(shù)字簽名時(shí)將簽名所用的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和 服務(wù)期限信息加入到簽名數(shù)據(jù)中;簽名數(shù)據(jù)的驗(yàn)證方的密碼模塊在進(jìn)行數(shù)字簽名驗(yàn)證時(shí)從 簽名數(shù)據(jù)中獲取簽名所用的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)和服務(wù)期限并更新本地IBC 密鑰信息中的IBC電子通信標(biāo)識(shí)及其安全服務(wù)等級(jí)和服務(wù)期限。
8. 根據(jù)權(quán)利要求1所述的電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,其特征是:若用戶在IBC 密鑰服務(wù)系統(tǒng)注冊(cè)有IBC電子通信標(biāo)識(shí),則用戶能夠從IBC密鑰服務(wù)系統(tǒng)獲取安全等級(jí)不 高于已注冊(cè)的IBC電子通信標(biāo)識(shí)的安全服務(wù)等級(jí)的IBC私鑰。
9. 根據(jù)權(quán)利要求1所述的電子通信標(biāo)識(shí)的IBC分級(jí)使用方法,其特征是:所述IBC密 鑰服務(wù)系統(tǒng)對(duì)電子通信標(biāo)識(shí)歸屬確認(rèn)的基本操作是:由IBC密鑰服務(wù)系統(tǒng)向電子通信標(biāo)識(shí) 對(duì)應(yīng)的通信地址或終端發(fā)送隨機(jī)字串,然后由電子通信標(biāo)識(shí)擁有者將接收到的隨機(jī)字串返 回到IBC密鑰服務(wù)系統(tǒng),IBC密鑰服務(wù)系統(tǒng)通過比對(duì)發(fā)送和返回的隨機(jī)字串是否一致完成 確認(rèn)操作。
【文檔編號(hào)】H04L29/06GK104065483SQ201410250977
【公開日】2014年9月24日 申請(qǐng)日期:2014年6月6日 優(yōu)先權(quán)日:2014年6月6日
【發(fā)明者】龍毅宏, 唐志紅 申請(qǐng)人:武漢理工大學(xué)