WO2009129734A1 - 一种获取密钥的方法、系统和设备 - Google Patents
一种获取密钥的方法、系统和设备 Download PDFInfo
- Publication number
- WO2009129734A1 WO2009129734A1 PCT/CN2009/071371 CN2009071371W WO2009129734A1 WO 2009129734 A1 WO2009129734 A1 WO 2009129734A1 CN 2009071371 W CN2009071371 W CN 2009071371W WO 2009129734 A1 WO2009129734 A1 WO 2009129734A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- server
- public parameter
- identifier
- ibe
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
Definitions
- the inventor has found that the pre-master key in the existing SSL/TLS handshake protocol is generated and sent by the client in the SSL/TLS communication party according to the private key of the server, and the generated form is single.
- the use of the SSL/TLS protocol is limited, which is not conducive to the extension of the SSL/TLS protocol. Summary of the invention
- a system for obtaining a key comprising a client and a server;
- a public parameter obtaining module configured to acquire a public parameter for performing an IBE
- a list of cipher suites including authentication using the IBE is also provided, and the cipher suite list includes The IBE algorithm, the authentication algorithm, the encryption algorithm, the summary algorithm, and the like, wherein the cipher suite list is used for requesting negotiation with the server to use the IBE for authentication.
- the embodiment of the present invention does not limit the client to send a client handshake request message to the server.
- the clientHello also carries a password suite that uses other methods for authentication.
- server 103 After the server agrees to use the IBE for authentication, it sends a server key exchange message ServerKeyExchange to the client to negotiate with the client for the public parameters required for IBE authentication.
- the server uses the ServerKeyExchange message to notify the client of the corresponding identifier of the public parameter it recommends, and the client responds with a Cl ientKeyExchange message;
- the server 202 is configured to perform, after the negotiation with the client 201, the security authentication based on the identity encryption, obtain the
- a public parameter saving unit for storing at least one set of public parameters; a public parameter selecting unit for selecting a set of public parameters from the public parameter saving unit according to the notification of the server 202; and a response unit for using the public parameter After the selection unit selects a set of public parameters, it responds to the public parameters selected by the server 202.
- the IBE negotiation module is configured to receive a client request message sent by the client 201, where the client request message carries a cipher suite for performing the identity authentication based security authentication IBE; after determining that the IBE authentication is supported, the acknowledgment message is returned to the client 201. ;
- the notification unit is configured to notify the server of the selected PKG identifier after the PKG identifier selection unit selects the PKG identifier.
- the processing module 404 is configured to receive the IBE encrypted pre-master key sent by the client, and decrypt the IBE-encrypted pre-master key by using the private key obtained by the private key obtaining module 403 and the public parameter obtained by the public parameter obtaining module 402. , Get the plain text of the pre-master key.
- the providing device that can provide the public parameter provided by the embodiment of the present invention can also be used to provide a private key to the server, where the private key is used to obtain the pre-master key after decrypting the IBE.
- the master key is decrypted to obtain the plaintext of the pre-master key.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Optimization (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Algebra (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
说 明 书
一种获取密钥的方法、 系统和设备
本申请要求于 2008年 4月 21 日提交中国专利局、 申请号为 200810093122. 4、 发明名 称为 "一种获取密钥的方法、 系统和设备" 的中国专利申请的优先权, 其全部内容通过引 用结合在本申请中。 技术领域
本发明涉及通信领域, 特别涉及一种获取密钥的方法、 系统和设备。 背景技术
随着 Internet因特网的迅速普及, 基于 Web的各种应用得到极大的发展, 远程接入增 多, 随之而来的是各种安全问题的凸显。 Nescape公司为了解决浏览器访问互联网资源过程 中出现的安全问题, 提出了 SSL ( Secure Socket Layer, 安全套接层) 协议。 后来由国际 标准组织 IETF (Internet Engineering Task Force,因特网工程任务组, 又叫互联网工程任 务组)对该协议进行了规范化, 并取名为 TLS (Transport Layer Security Protocol,安全传 输层协议)。
基于 SSL/TLS技术的 VPN (Virtual Private Network, 虚拟专用网) 是通过 SSL/TLS 来保证用户远程接入网络的安全性和可靠性, 以达到像专用网络一样的数据的安全传输。 目前, SSL/TLS VPN设备从过去单一的支持 Web访问安全保证, 到现在针对各种应用的安全 支持, 已经发展成为不可或缺的安全产品之一。
其中, SSL/TLS 通信双方使用相同的密钥导出函数, 以相同的预主密钥 (PreMasterSecret) 和随机数为参数, 计算出通信过程中所有的密钥。 由于随机数以明文 传输, 因此, 预主密钥的安全是 SSL/TLS通信过程中最关键的因素。
发明人在实现本发明时发现, 现有的 SSL/TLS 的握手协议中的预主密钥是由 SSL/TLS 通信双方中的客户端根据服务器的私钥生成并发送的, 生成的形式单一, 限制了 SSL/TLS 协议使用范围, 不利于 SSL/TLS协议的扩展。 发明内容
为了实现通信双方的安全通信握手, 减少证书管理和维护的开销, 本发明实施例提供 了获取密钥的方法、 系统和设备。 所述技术方案如下:
一方面, 提供了一种获取密钥的方法, 所述方法包括:
服务器确认支持基于标识加密的安全认证 IBE;
获取用于所述 IBE的公开参数和私钥;
所述服务器接收 IBE加密的预主密钥, 根据所述公开参数和私钥获取所述预主密钥的 明文。
—方面, 提供了一种获取密钥的系统, 所述系统包括客户端和服务器;
所述客户端, 用于和所述服务器进行基于标识加密的安全认证 IBE 的协商后, 获取用 于所述 IBE 的公开参数; 并利用获取的所述服务器标识和所述获取的公开参数, 生成并发 送所述 IBE加密的预主密钥;
所述服务器, 用于和所述客户端进行基于标识加密的安全认证 IBE 的协商后, 获取用 于所述 IBE的公开参数; 并用于接收所述客户端发送的所述 IBE加密的预主密钥, 利用获 取的公开参数和获取的私钥对所述 IBE加密的预主密钥进行解密后, 获取所述预主密钥的 明文。
一方面, 提供了一种客户端, 所述客户端包括:
IBE协商模块, 用于和服务器进行基于标识加密的安全认证 IBE的协商;
公开参数获取模块, 用于获取用于所述 IBE的公开参数;
服务器标识获取模块, 用于获取所述服务器标识;
处理模块, 用于根据所述服务器标识获取模块获取的服务器标识和所述公开参数获取 模块协商获取的公开参数, 生成并发送所述 IBE加密的预主密钥。
另一方面, 提供了一种服务器, 所述服务器包括:
IBE协商模块, 用于和客户端进行基于标识加密的安全认证 IBE的协商;
公开参数获取模块, 用于获取用于进行 IBE的公开参数;
私钥获取模块, 用于获取私钥, 所述私钥用于解密 IBE加密的预主密钥;
处理模块, 用于接收所述客户端发送的 IBE加密的预主密钥, 利用所述私钥获取模块 获取的私钥和所述公开参数获取模块获取的公开参数对所述 IBE加密的预主密钥进行解密 后, 获取所述预主密钥的明文。
再一方面, 提供了一种提供设备, 所述提供设备用于在服务器和客户端在基于 IBE 的 安全套接层 SSL/TLS协议的协商认证过程中, 提供用于 IBE的公开参数, 其中, 所述公开 参数用于所述客户端根据所述公开参数和服务器标识生成 IBE加密的预主密钥; 相应地, 所述服务器根据所述公开参数和获取的私钥, 获取所述 IBE加密的预主密钥的明文。
本发明实施例提供的技术方案的有益效果是:
通过 SSL/TLS 服务器支持基于 IBE的 SSL/TLS握手协商, 利用获取的用于所述 IBE的
公开参数和私钥,解密 IBE加密的预主密钥,获取到预主密钥的明文,将 IBE技术和 SSL/TLS 技术结合, 简化了证书管理, 节省了网络应用层的建设、 管理 CA的成本和维护一系列数字 证书的开销, 实现了通信双方的安全通信握手, 并且, 充分扩展了现有的 SSL/TLS协议的 使用范围, 丰富现有了的 SSL/TLS协议中预主密钥的加密形式。 附图说明
图 1是本发明实施例 1提供的获取密钥的方法流程图;
图 2是本发明实施例 1提供的获取密钥的信息交互示意图;
图 3是本发明实施例 1提供的获取密钥的一种通信场景示意图;
图 4是本发明实施例 1提供的实现获取密钥的 SSL/TLS VPN的设备示意图;
图 5是本发明实施例 2提供的获取密钥的系统示意图;
图 6是本发明实施例 3提供的客户端示意图;
图 7是本发明实施例 4提供的服务器示意图。 具体实施方式
为使本发明的目的、 技术方案和优点更加清楚, 下面将结合附图对本发明实施方式作 进一步地详细描述。
本领域技术人员可以获知, IBE ( Identity-Based Encryption, 基于标识的加密) 技 术最早是由 Shamir于 1984年提出, 其初衷是简化电子邮件系统中的证书管理, 能够满足 任何一对用户之间安全通信以及在不需要交换私钥和公钥的情况下验证每个人的签名。 IBE 认证体系是一种将用户的公开标识作为公钥的加密方式, 不需要通过证书绑定用户的身份 及其公钥。 其中, 上述公开标识具体可以为能够代表用户身份的任意公开的字符串信息, 例如用户的邮箱地址, IP地址, 身份证号或手机号码等。 而对端用于解密的私钥则由 IBE 认证体系中的预设的 PKG (Private Key Generator, 私钥生成器)发放的。
IBE 与基于 PKI (Public Key Infrastructure, 公开密钥体系)的传统方案相比, 由于 取消了第三方认证机构(CA, Certification Authority)。 因此在应用层面节省了建设、 管 理 CA的成本, 省去了产生, 更新, 撤销等一系列对数字证书的维护工作; 在技术层面避免 了交叉认证中信任的起点和信任如何传递, 以及当用户数量增多时 CA负担过重等难题, 节 省带宽资源, 存储空间需求小。
本发明实施例提供的获取密钥的方法, 利用上述 IBE 技术的优点, 以将 IBE 技术与
SSL/TLS 技术结合为例, 方法内容如下: SSL/TLS VPN系统中的客户端和服务器进行基于
标识加密的安全认证 IBE的协商, 即服务器确认支持基于标识加密的安全认证 IBE; 服务器 获取用于 IBE的公开参数 (可通过和客户端协商获取) 和私钥; 服务器接收 IBE加密的预 主密钥 (即客户端利用获取的服务器标识和客户端获取的公开参数, 生成 IBE加密的预主 密钥后, 发送的), 服务器根据获取的公开参数和私钥获取预主密钥的明文。 从而实现了通 信双方的安全通信握手, 丰富现有的 SSL/TLS协议中预主密钥的加密形式, 实现了充分扩 展了现有的 SSL/TLS协议的使用范围的目的。
实施例 1
参见图 1, 本发明实施例提供了一种获取密钥的方法, 为了与标准的 SSL/TLS协议保持 一致, SSL/TLS使用 IBE进行握手的过程详见下述内容:
101: 客户端向服务器发送客户端握手请求消息 ClientHello, 该 ClientHello中携带 使用 IBE进行认证的密码套件。
其中, 在客户端向服务器发送客户端握手请求消息 ClientHello时, 除了 SSL/TLS标 准中规定的各项内容外, 还需要提供包含了使用 IBE进行认证的密码套件列表, 该密码套 件列表中包含了 IBE算法、 认证算法、 加密算法、 摘要算法等内容, 其中, 该密码套件列 表用于向服务器请求协商使用 IBE进行认证。 本发明实施例不限制在具体应用时, 客户端 向服务器发送客户端握手请求消息 ClientHello 中是否还携带使用其它方法进行认证的密 码套件。
102: 服务器收到客户端发送的客户端握手请求消息 ClientHello, 判断自身支持使用 IBE进行认证后, 向客户端返回作为客户端握手请求消息 ClientHello响应消息的服务器握 手请求消息 Serverifello。
其中, 服务器返回的服务器握手请求消息 Serverifello (或称服务器握手消息), 该消 息用于表明服务器同意使用 IBE进行认证, 例如, 当在步骤 101 中客户端发送了包括 IBE 密码套件在内的多套用于进行认证的密码套件时, 则可以通过该 ServerHello 消息中携带 服务器确认选择的 IBE 认证的密码套件。 本发明实施例不限制该服务器握手消息 ServerHello的具体实现形式。 如果服务器判断自身不支持使用 IBE进行认证时, 相应地, 需要返回响应消息通告客户端不能进行 IBE进行认证。
103: 服务器同意使用 IBE 进行认证后, 向客户端发送服务器密钥交换消息 ServerKeyExchange, 用于和客户端协商进行 IBE认证所需要的公开参数的相关信息。
其中, 针对该步骤 103中涉及到的公开参数, 本领域技术人员可以获知使用 IBE进行 认证时, 一方面需要使用随机数等特定的函数生成预主密钥, 同时还需要使用公开参数和 对端设备标识对生成的预主密钥进行加密后, 需要将加密后的预主密钥发送到对端设备,
其中, 用于进行 IBE加密的公开参数通常为一套数据包含一系列的参数, 例如根据系统的 需要配置的安全曲线、 算法等等。
104: 服务器向客户端发送服务器握手请求完成消息 ServerHel loDone, 用于通告客户 端服务器方的认证准备工作已经完成。
其中, 该步骤中服务器发送的服务器握手请求完成消息 ServerHel loDone 可以采用标 准的 SSL/TLS握手消息。
105: 客户端向服务器发送客户端密钥交换消息 Cl ientKeyExchange 其中, 该消息包 括两部分内容:
1、 协商 IBE 公开参数的相关信息, 用于作为对步骤 103 中的服务器密钥交换消息 ServerKeyExchange消息的口向应。
2、 向服务器发送通过协商得到的公开参数和预先获取的服务器标识完成 IBE加密的预 主密钥。
106: 服务器收到客户端发送的客户端密钥交换消息 Cl ientKeyExchange后, 根据其中 携带的 IBE加密的预主密钥, 利用预先从 PKG获取的私钥和公开参数, 对 IBE加密的预主 密钥进行解密, 从而得到预主密钥的明文。
参见图 2,为基于本发明实施例提供的获取密钥的方法的 SSL/TLS使用 IBE的握手过程 示意图, 详细的交互过程如前文所述, 不再赘述。
综上, 客户端和服务器通过 Cl ientHel lo和 ServerHel lo消息确认使用 IBE进行认证, 使用 ServerKeyExchange和 Cl ientKeyExchange完成对公开参数的协商, 其中, 在具体实 现时, 协商方式可以有以下几种, 说明如下:
(一) 如果客户端和服务器预共享唯一的一套公开参数, 服务器和客户端还不使用任 何包含公开参数的消息进行交互, 而表明双方默认使用了该预共享公开参数;
其中, 具体实现时, 上述步骤 103中服务器不用发送 ServerKeyExchange消息, 即用 ServerHel loDone来表示服务器握手消息的结束,服务器通过这种方式表明默认使用预共享 的公开参数; 相应地, 上述步骤 105中, 客户端在 Cl ientKeyExchange消息中不用包含公 开参数的相关信息 (确认使用了默认的预共享的公开参数), 只用包含一项内容即通过该 Cl ientKeyExchange 消息直接将使用预共享公开参数和服务器标识加密的预主密钥发送至 服务器。
(二) 如果客户端和服务器预共享唯一的一套公开参数, 服务器使用 ServerKeyExchange 消息通知客户端使用预共享的公开参数, 客户端使用
Cl ientKeyExchange消息口向应;
其中, 具体实现时, 上述步骤 103中服务器可以通过 ServerKeyExchange发送一个预 设标识, 用于通告客户端使用预共享的公开参数, 而不需要携带任何有关于公开参数的实 质内容; 相应地, 上述步骤 105 中, 客户端对使用预共享参数进行确认, 通过 Cl ientKeyExchange传递预设标识, 用于确认使用了预共享的公开参数, 而不需要公开参数 的实质内容。
其中, 上述唯一的一套公开参数是事先客户端和服务器分别向 PKG获取后, 进行保存 的。
(三) 如果客户端和服务器共享了多套公开参数, 服务器使用 ServerKeyExchange 消 息通知客户端它建议使用的公开参数的对应标识, 客户端使用 Cl ientKeyExchange 消息响 应;
其中, 具体实现时, 上述步骤 103 中服务器根据具体的系统部署策略, 从共享的多套 公开参数中, 选择至少一套公开参数, 其中, 每套公开参数可以对应于唯一的标识, 参见 表 1, 提供了一种公开参数和标识的对应表, 通过 ServerKeyExchange将选择出的公开参数 的对应的标识发送到客户端;
表 1
相应地, 由于多套公开参数为客户端和服务器所共享, 所以相应的代表每套公开参数 的标识也是一致, 在步骤 104 中, 客户端根据服务器提供的标识获取到对应的一套公开参 数, 然后通过发送 Cl ientKeyExchange携带该套公开参数对应的标识响应服务器。
进一步地, 当服务器向客户端发送的公开参数标识为多个时, 客户端根据服务器提供 的多个标识, 根据自身的选择策略选择出一个后, 客户端使用该选择的标识对应的公开参 数。
进一步, 客户端收到服务器发送的公开参数标识后, 还可以根据自身的选择策略选择 不使用服务器发送的公开参数标识对应的公开参数, 而根据自身的策略, 选择出使用的一 套公开参数, 并相应地, 通过 Cl ientKeyExchange 携带该套确定的公开参数对应的标识响 应服务器。
其中, 上述多套公开参数是事先客户端和服务器分别向 PKG获取后, 进行保存的。 (四) 如果客户端和服务器未预先共享公开参数, 则服务器使用 ServerKeyExchange
消息将加密需要使用的一套公开参数发送给客户端; 或者服务器使用 ServerKeyExchange 消息将多套公开参数发送给客户端; 相应地, 客户端从收到的多套公开参数中, 选择出一 套使用的公开参数后, 通过 Cl ientKeyExchange消息响应服务器选择使用的公开参数。
其中, 在具体实现时, 服务器可以采用通过 ServerKeyExchange 消息发送公开参数以 及其对应标识的形式; 相应地, 客户端在使用 Cl ientKeyExchange 消息响应服务器时, 可 以仅通过携带标识的形式实现。
(五) 如果采用远程获取的方式获取公开参数, 则服务器使用 ServerKeyExchange 消 息将产生公开参数的 PKG 的地址 (或域名) 等用于定位公开参数的标识发送给客户端, 相 应地, 当客户端收到该 ServerKeyExchange 消息后, 根据其中携带的定位公开参数的标识 信息, 去 PKG获取公开参数后, 使用 Cl ientKeyExchange通告服务器其选择的公开参数。
进一步地, 服务器使用 ServerKeyExchange 消息发送用于定位公开参数的标识时, 可 以发送多个 PKG 的标识, 相应地, 客户端根据自身的策略 (如出于安全、 方便等角度出发 制定策略), 从多个标识中选择出一个 PKG标识, 向该 PKG获取公开参数。 参见图 3, 为该 情况下通信场景, 服务器向客户端发送 PKG1、 PKG2和 PKG3地址标识, 客户端收到后, 根 据自身的策略配置, 从中选择出 PKG2, 向 PKG2获取公开参数。
(六) 如果采用远程获取的方式获取公开参数, 并且预设了用于存储多套公开参数的 公开参数服务器 (其中, 该公开参数服务器做为一个功能实体既可以单独存在也可以集成 在现有的 PKG设备中), 则服务器使用 ServerKeyExchange消息将公开参数在公开参数服务 器中的保存的地址发送给客户端, 参见表 2, 提供了一种公开参数和地址的对应关系表; 相 应地, 当客户端收到该 ServerKeyExchange 消息后, 根据携带的地址信息向公开参数服务 器获取公开参数后, 通过 Cl ientKeyExchange通告服务器其选择的公开参数的地址。
表 2
进一步地, 服务器使用 ServerKeyExchange 消息将向客户端发送地址时, 还可以发送 多个地址, 由客户端根据自身的策略从中选择出一个做为获取公开参数的地址。
进一步, 参见表 3, 还可以为公开参数以及地址配置标识的形式, 相应地, 服务器使用
ServerKeyExchange消息将公开参数的标识发送给客户端,客户端根据收到的标识向对应的 地址获取公开参数后, 通过 Cl ientKeyExchange通告服务器其选择的公开参数的标识。
表 3
综上, 上述第五种方式和第六种方式中, 由于客户端需要从第三方(PKG或者公开参数 服务器) 获取公开参数, 因此客户端应该根据服务器提供的可选项中, 根据自身制定的安 全选择策略, 选择出自己信任的第三方来申请公开参数, 防止可能出现的中间人攻击。 客 户端需要维护一个可信任第三方的列表。
本领域技术人员可以获知 SSL/TLS VPN在 SSL/TLS通信的过程中多数情况下扮演服务 器的角色, 但也能成为客户端 (如在 SSL/TLS VPN在建立站点到站点的隧道的情况下), 因 此, 参见图 4, SSL/TLS VPN必须具备以下功能模块才能满足支持对 IBE的支持, 其中, 支 持 IBE的 SSL/TLS通信模块完成 SSL/TLS握手。 在握手过程中如果 IBE需要获得加密和解 密的公开参数: 如果使用上述第一种、 第二种和第三种协商方式, 则调用预共享公开参数 管理模块从本地获得公开参数; 如果使用上述第四种、 第五种和第六种协商方式, 则调用 远程公开参数获取模块从远程获得公开参数。
综上所述, 本发明实施例提供的获取密钥的方法, 通过将 IBE技术与 SSL/TLS技术结 合, 丰富现有的 SSL/TLS协议中预主密钥的加密形式, 实现了充分扩展了现有的 SSL/TLS 协议的使用范围的目的, 并且 SSL/TLS 客户端和服务器通过上述六种方式的任意一种, 可 以唯一确定了加密和解密运算过程中使用的公开参数, 实现了预主密钥的安全传输。 实施例 2
参见图 5, 本发明实施例提供了一种获取密钥的系统, 包括: 系统包括客户端 201和服 务器 202;
客户端 201, 用于和服务器 202进行基于标识加密的安全认证 IBE的协商后, 获取用于 IBE的公开参数 (可以和服务器 202协商获取该公开参数); 并利用获取的服务器标识和获 取的公开参数, 生成并发送 IBE加密的预主密钥;
服务器 202, 用于和客户端 201进行基于标识加密的安全认证 IBE的协商后, 获取用于
IBE的公开参数 (可以和客户端 201协商获取该用于 IBE的公开参数); 并用于接收客户端 201发送的 IBE加密的预主密钥, 利用获取的私钥进行解密后获取预主密钥的明文。
(一) 本发明实施例提供的获取密钥的系统中的客户端 201包括:
IBE协商模块, 用于向服务器 202发送客户端请求消息, 客户端请求消息中携带用于进 行基于标识加密的安全认证 IBE的密码套件; 并接收服务器 202返回的 IBE确认消息; 公开参数获取模块, 用于获取用于进行 IBE的公开参数;
服务器标识获取模块, 用于获取服务器标识;
处理模块, 用于利用公开参数获取模块获取的公开参数, 和服务器标识获取模块获取 的服务器标识, 生成并发送 IBE加密的预主密钥。
其中, 该客户端 201的公开参数获取模块包括:
( a)公开参数保存单元, 用于保存一套公开参数; 公开参数选择单元, 用于获取公开 参数保存单元中保存的公开参数。 该情况即对应着当客户端 201和服务器 202进行了 IBE 认证协商后, 默认使用了该套预共享的公开参数。
或者;
( b)公开参数保存单元, 用于保存至少一套公开参数; 公开参数选择单元, 用于根据 服务器 202 的通知, 从公开参数保存单元中选择一套公开参数; 响应单元, 用于当公开参 数选择单元选择了一套公开参数后, 响应服务器 202选择的公开参数。
或者;
( c ) 公开参数获取单元, 用于获取服务器 202发送的至少一套公开参数; 公开参数选 择单元, 用于从公开参数获取单元中获取的公开参数中, 选择出一套公开参数; 响应单元, 用于当公开参数选择单元选择了一套公开参数后, 通知服务器 202选择的公开参数。
或者;
( d) 当系统还包括: 至少一个私钥生成器 PKG时, 其中 PKG用于提供公开参数; 相应 地, 公开参数获取模块包括: PKG标识获取单元, 用于获取服务器 202发送的至少一个私钥 生成器 PKG标识; PKG标识选择单元, 用于从 PKG标识获取单元获取的 PKG标识中, 选择一 个 PKG标识; 公开参数获取单元, 用于根据 PKG标识选择单元选择的 PKG标识, 向选择的 PKG标识对应的 PKG获取公开参数;通知单元,用于当 PKG标识选择单元选择了 PKG标识后, 通知服务器 202选择的 PKG标识。
或者;
( e ) 当系统还包括: 能够提供至少一套公开参数的公开参数服务器时, 相应地, 公开 参数获取模块包括:
地址标识获取单元, 用于获取服务器 202 发送的公开参数服务器中保存的至少一个公 开参数的地址标识; 地址标识选择单元, 用于根据地址标识获取单元获取的地址标识中,
选择一个地址标识; 公开参数获取单元, 用于根据地址标识选择单元选择的地址标识, 根 据选择的地址标识向公开参数服务器获取公开参数; 通知单元, 用于当地址标识选择单元 选择了地址标识后, 通知服务器 202选择的地址标识。
(二) 本发明实施例提供的获取密钥的系统中的服务器 202包括:
IBE协商模块, 用于接收客户端 201发送的客户端请求消息, 客户端请求消息中携带用 于进行基于标识加密的安全认证 IBE的密码套件; 判断支持 IBE认证后, 向客户端 201返 回确认消息;
公开参数获取模块, 用于和客户端 201协商用于进行 IBE的公开参数;
私钥获取模块, 用于获取私钥, 私钥用于解密 IBE加密的预主密钥;
处理模块, 用于接收客户端 201发送的 IBE加密的预主密钥, 利用私钥获取模块获取 的私钥进行解密后, 获取预主密钥的明文。
其中, 该服务器 202的公开参数获取模块包括:
( a)公开参数保存单元, 用于保存一套公开参数; 公开参数选择单元, 用于获取公开 参数保存单元中保存的公开参数。 该情况即对应着当客户端 201和服务器 202进行了 IBE 认证协商后, 默认使用了该套预共享的公开参数。
(b)公开参数保存单元, 用于保存至少一套公开参数; 通知单元, 用于根据公开参数 保存单元保存的公开参数, 向客户端 201发送通知; 接收单元, 用于接收客户端 201返回 的选择的公开参数的响应。
( c)发送单元, 用于向客户端 201 发送至少一套公开参数; 接收单元, 用于接收客户 端 201返回的选择的公开参数的响应。
( d)当系统还包括: 至少一个私钥生成器 PKG时, 其中 PKG用于提供公开参数; 相应 地, 公开参数获取模块包括:
PKG标识发送单元, 用于向客户端 201发送至少一个私钥生成器 PKG标识; 接收单元, 用于接收客户端 201返回的选择的 PKG标识; 获取单元, 用于接收单元接收的 PKG标识, 获取一套用于 IBE的公开参数。
( e) 当系统还包括: 能够提供至少一套公开参数的公开参数服务器时, 相应地, 公开 参数获取模块包括:
地址标识发送单元, 用于向客户端 201 发送公开参数服务器中保存的至少一个公开参 数的地址标识; 接收单元, 用于接收客户端 201 返回的选择的地址标识。 获取单元, 用于 接收单元接收的地址标识, 获取一套用于 IBE的公开参数。
综上所述, 本发明实施例提供的获取密钥的系统, 通过将 IBE技术与 SSL/TLS技术结
合, 丰富现有的 SSL/TLS协议中预主密钥的加密形式, 实现了充分扩展了现有的 SSL/TLS 协议的使用范围的目的, 并且 SSL/TLS 客户端和服务器多种公开参数协商模式中的任意一 种, 可以唯一确定了加密和解密运算过程中使用的公开参数, 实现了预主密钥的安全传输。 实施例 3
参见图 6, 本发明实施例提供了一种客户端, 所述客户端包括:
IBE协商模块 301, 用于和服务器进行基于标识加密的安全认证 IBE的协商; 公开参数获取模块 302, 用于获取用于 IBE的公开参数(可以和服务器协商获取该用于 IBE的公开参数);
服务器标识获取模块 303, 用于获取服务器标识;
处理模块 304,用于根据服务器标识获取模块 303获取的服务器标识和公开参数获取模 块 302获取的公开参数, 生成并发送 IBE加密的预主密钥;
其中, IBE协商模块 301具体用于向服务器发送客户端请求消息, 客户端请求消息中携 带用于进行基于标识加密的安全认证 IBE的密码套件; 并接收服务器返回的 IBE确认消息; 其中, 公开参数获取模块 302包括:
公开参数保存单元, 用于保存一套公开参数; 公开参数选择单元, 用于获取公开参数 保存单元中保存的公开参数。 该情况即对应着当客户端和服务器进行了 IBE 认证协商后, 默认使用了该套预共享的公开参数。
或者包括:
公开参数保存单元, 用于保存至少一套公开参数;
公开参数选择单元, 用于根据服务器的通知, 从公开参数保存单元中选择一套公开参 数;
响应单元, 用于当公开参数选择单元选择了一套公开参数后, 响应服务器选择的公开 参数;
或者包括:
公开参数获取单元, 用于获取服务器发送的至少一套公开参数;
公开参数选择单元, 用于从公开参数获取单元中获取的公开参数中, 选择出一套公开 参数;
响应单元, 用于当公开参数选择单元选择了一套公开参数后, 通知服务器选择的公开 参数;
或者包括:
PKG标识获取单元, 用于获取服务器发送的至少一个私钥生成器 PKG标识; PKG标识选择单元, 用于从 PKG标识获取单元获取的 PKG标识中, 选择一个 PKG标识; 公开参数获取单元, 用于根据 PKG标识选择单元选择的 PKG标识, 向选择的 PKG标识 对应的 PKG获取公开参数;
通知单元, 用于当 PKG标识选择单元选择了 PKG标识后, 通知服务器选择的 PKG标识。 或者包括:
地址标识获取单元, 用于获取服务器发送的公开参数服务器中保存的至少一个公开参 数的地址标识;
地址标识选择单元, 用于根据地址标识获取单元获取的地址标识中, 选择一个地址标 识;
公开参数获取单元, 用于根据地址标识选择单元选择的地址标识, 根据选择的地址标 识向公开参数服务器获取公开参数;
通知单元, 用于当地址标识选择单元选择了地址标识后, 通知服务器选择的地址标识。 综上所述, 本发明实施例提供的客户端, 通过将 IBE技术与 SSL/TLS技术结合, 丰富 现有的 SSL/TLS协议中预主密钥的加密形式, 实现了充分扩展了现有的 SSL/TLS协议的使 用范围的目的, 并且 SSL/TLS 客户端和服务器多种公开参数协商模式中的任意一种, 可以 唯一确定了加密和解密运算过程中使用的公开参数, 实现了预主密钥的安全传输。 实施例 4
参见图 7, 本发明实施例提供了一种服务器, 包括:
IBE协商模块 401, 用于和客户端进行基于标识加密的安全认证 IBE的协商; 公开参数获取模块 402, 用于获取用于 IBE的公开参数(具体可以为和客户端协商获取 该用于进行 IBE的公开参数);
私钥获取模块 403, 用于获取私钥, 私钥用于解密 IBE加密的预主密钥;
处理模块 404, 用于接收客户端发送的 IBE加密的预主密钥, 利用私钥获取模块 403获 取的私钥和公开参数获取模块 402获取的公开参数对 IBE加密的预主密钥进行解密后, 获 取预主密钥的明文。
其中, IBE协商模块 401具体用于接收客户端发送的客户端请求消息, 客户端请求消息 中携带用于进行基于标识加密的安全认证 IBE的密码套件; 判断支持 IBE认证后, 向客户 端返回确认消息。
其中, 公开参数获取模块 402包括:
公开参数保存单元, 用于保存一套公开参数; 公开参数选择单元, 用于获取公开参数 保存单元中保存的公开参数。 该情况即对应着当客户端和服务器进行了 IBE 认证协商后, 默认使用了该套预共享的公开参数。
或者包括:
公开参数保存单元, 用于保存至少一套公开参数;
通知单元, 用于根据公开参数保存单元保存的公开参数, 向客户端发送通知; 接收单元, 用于接收客户端返回的选择的公开参数响应;
获取单元, 用于根据接收单元接收的响应, 获取公开参数保存单元中保存的公开参数。 或者包括:
发送单元, 用于向客户端发送至少一套公开参数;
接收单元, 用于接收客户端返回的选择的公开参数响应;
获取单元, 用于根据接收单元接收的响应, 获取一套公开参数。
或者包括:
PKG标识发送单元, 用于向客户端发送至少一个私钥生成器 PKG标识;
接收单元, 用于接收客户端返回的选择的 PKG标识;
获取单元, 用于接收单元接收的 PKG标识, 获取一套用于 IBE的公开参数。
或者包括:
地址标识发送单元, 用于向客户端发送公开参数服务器中保存的至少一个公开参数的 地址标识;
接收单元, 用于接收客户端返回的选择的地址标识;
获取单元, 用于接收单元接收的地址标识, 获取一套用于 IBE的公开参数。
综上所述, 本发明实施例提供的服务器, 通过将 IBE技术与 SSL/TLS技术结合, 丰富 现有的 SSL/TLS协议中预主密钥的加密形式, 实现了充分扩展了现有的 SSL/TLS协议的使 用范围的目的, 并且 SSL/TLS 客户端和服务器多种公开参数协商模式中的任意一种, 可以 唯一确定了加密和解密运算过程中使用的公开参数, 实现了预主密钥的安全传输。 实施例 5
本发明实施例提供了一种提供设备, 该提供设备用于在服务器和客户端在基于 IBE 的 安全套接层 SSL/TLS协议的协商认证过程中, 提供用于 IBE的公开参数 (可以为根据服务 器和客户端的协商结果提供该用于 IBE的公开参数), 其中, 该公开参数用于客户端根据公 开参数和服务器标识生成 IBE加密的预主密钥; 相应地, 服务器根据该公开参数和获取的
私钥, 获取 IBE加密的预主密钥的明文。
其中, 本领域技术人员可以获知使用 IBE进行认证时, 需要获取用于 IBE的公开参数, 其中, 该公开参数通常为一套数据包含一系列的参数, 例如根据系统的需要配置的安全曲 线、 算法等等。 具体实现时, 可以为每套公开参数设置对应的标识, 通过查看标识便可以 知道具体使用了哪套对应的公开参数。
进一步地, 本发明实施例提供的能够提供公开参数的提供设备, 还可以用于向服务器 提供私钥, 其中, 该私钥用于当获取到 IBE解密后的预主密钥后, 对该预主密钥进行解密, 从而获取到该预主密钥的明文。
本发明实施例涉及的提供设备在具体实施时, 可以通过现有的 PKG设备来实现, 通过 PKG设备实现提供公开参数的实体功能, 每个 PKG设备中配置的公开参数不同, 相应地, 在 系统配置时, 需要提供多个 PKG设备来支持提供多套公开参数的目的, 优选地, 还可以通 过单独设置公开参数服务器来实现提供至少一套公开参数的实体功能, 事先将至少一套公 开参数配置在该公开参数服务器中, 对应与每套公开参数还可以为其配置对应的标识, 本 发明实施例不限制在具体实施时的具体的实现形式。
综上所述, 本发明实施例提供的技术方案, 通过将 IBE技术与 SSL/TLS技术结合, 丰 富现有的 SSL/TLS协议中预主密钥的加密形式, 实现了充分扩展了现有的 SSL/TLS协议的 使用范围的目的, 并且 SSL/TLS 客户端和服务器多种公开参数协商模式中的任意一种, 可 以唯一确定了加密和解密运算过程中使用的公开参数, 实现了预主密钥的安全传输。 本领 域技术人员可以获知, 当服务器获取到预主密钥之后的 SSL/TLS协商和通信过程和现有的 标准 SSL/TLS—致。 本发明实施例还可以应用于使用 IBE的其他技术方案中。
本发明实施例中的部分步骤, 可以利用软件实现, 相应的软件程序可以存储在可读取 的存储介质中, 如光盘或硬盘等。
以上所述仅为本发明的具体实施例, 并不用以限制本发明, 对于本技术领域的普通技 术人员来说, 凡在不脱离本发明原理的前提下, 所作的任何修改、 等同替换、 改进等, 均 应包含在本发明的保护范围之内。
Claims
1.一种获取密钥的方法, 其特征在于, 所述方法包括:
服务器确认支持基于标识加密的安全认证 IBE;
获取用于所述 IBE的公开参数和私钥;
所述服务器接收 IBE加密的预主密钥, 根据所述公开参数和私钥获取所述预主密钥的 明文。
2.如权利要求 1 所述的获取密钥的方法, 其特征在于, 所述服务器确认支持基于标识 加密的安全认证 IBE, 包括:
所述服务器接收客户端请求消息, 所述客户端请求消息中携带用于进行基于标识加密 的安全认证 IBE的密码套件, 判断支持所述 IBE认证后, 向所述客户端返回确认消息。
3. 如权利要求 1所述的获取密钥的方法, 其特征在于, 当客户端和所述服务器预共享 了一套公开参数时, 所述获取用于所述 IBE的公开参数, 包括:
所述服务器使用所述预共享的公开参数。
4. 如权利要求 1所述的获取密钥的方法, 其特征在于, 当客户端和所述服务器预共享 了至少一套公开参数时, 所述获取用于所述 IBE的公开参数, 包括:
所述服务器通知所述客户端使用所述预共享的公开参数;
所述客户端响应所述服务器的通知,
所述服务器根据所述通知, 获取一套用于所述 IBE的公开参数。
5. 如权利要求 4所述的获取密钥的方法, 其特征在于, 当所述客户端和所述服务器预 共享了多套公开参数时, 所述服务器通知所述客户端使用所述预共享的公开参数; 包括: 所述服务器通知所述客户端至少一套公开参数对应的标识;
相应地, 所述客户端响应所述服务器的通知, 具体为:
所述客户端从所述预共享的多套公开参数中选择出一套公开参数后, 响应所述服务器 所述选择的公开参数的标识。
6.如权利要求 1所述的获取密钥的方法, 其特征在于, 所述获取用于所述 IBE的公开 参数, 包括:
所述服务器向客户端发送至少一套公开参数;
所述客户端从接收的所述服务器发送的至少一套公开参数中, 选择出一套公开参数后, 通知所述服务器所述选择的公开参数;
所述服务器根据所述通知, 获取一套用于所述 IBE的公开参数。
7. 如权利要求 1所述的获取密钥的方法, 其特征在于, 所述获取用于所述 IBE的公开
参数, 包括:
所述服务器向客户端发送至少一个用于获取公开参数的私钥生成器 PKG的标识; 所述客户端从接收的至少一个 PKG标识中, 选择一个 PKG标识后, 向所述选择的 PKG 标识对应的 PKG获取公开参数; 并通知所述服务器所述选择的 PKG标识;
所述服务器根据所述通知, 获取一套用于所述 IBE的公开参数。
8.如权利要求 1所述的获取密钥的方法, 其特征在于, 所述获取用于所述 IBE的公开 参数, 包括:
所述服务器向客户端发送公开参数服务器中保存的至少一个公开参数的地址标识; 所述客户端从接收到的所述服务器发送的至少一个地址标识中, 选择一个地址标识后, 根据所述选择的地址标识向所述公开参数服务器获取公开参数; 并通知所述服务器所述选 择的地址标识;
所述服务器根据所述通知, 获取一套用于所述 IBE的公开参数。
9.一种获取密钥的系统, 其特征在于, 所述系统包括客户端和服务器;
所述客户端, 用于和所述服务器进行基于标识加密的安全认证 IBE 的协商后, 获取用 于所述 IBE 的公开参数; 并利用获取的所述服务器标识和所述获取的公开参数, 生成并发 送所述 IBE加密的预主密钥;
所述服务器, 用于和所述客户端进行基于标识加密的安全认证 IBE 的协商后, 获取用 于所述 IBE的公开参数; 并用于接收所述客户端发送的所述 IBE加密的预主密钥, 利用获 取的公开参数和获取的私钥对所述 IBE加密的预主密钥进行解密后, 获取所述预主密钥的 明文。
10. 如权利要求 9所述的获取密钥的系统, 其特征在于, 所述客户端具体包括:
IBE协商模块, 用于向服务器发送客户端请求消息, 所述客户端请求消息中携带用于进 行基于标识加密的安全认证 IBE的密码套件; 并接收所述服务器返回的 IBE确认消息; 公开参数获取模块, 用于获取用于进行 IBE的公开参数;
服务器标识获取模块, 用于获取所述服务器标识;
处理模块, 用于利用所述公开参数获取模块获取的公开参数, 和所述服务器标识获取 模块获取的服务器标识, 生成并发送所述 IBE加密的预主密钥;
相应地,
所述服务器具体包括:
IBE协商模块, 用于接收所述客户端发送的客户端请求消息, 所述客户端请求消息中携 带用于进行基于标识加密的安全认证 IBE的密码套件; 判断支持所述 IBE认证后, 向所述
客户端返回确认消息;
公开参数获取模块, 用于获取用于进行 IBE的公开参数;
私钥获取模块, 用于获取私钥, 所述私钥用于解密 IBE加密的预主密钥;
处理模块, 用于接收所述客户端发送的 IBE加密的预主密钥, 利用所述私钥获取模块 获取的私钥和所述服务器的公开参数获取模块获取的公开参数进行解密后, 获取所述预主 密钥的明文。
11. 如权利要求 10所述的获取密钥的系统, 其特征在于, 所述系统还包括: 私钥生成器 PKG, 用于提供公开参数; 所述 PKG至少一个;
相应地, 所述客户端的公开参数获取模块具体包括:
PKG标识获取单元, 用于获取所述服务器发送的至少一个所述私钥生成器 PKG标识;
PKG标识选择单元, 用于从所述 PKG标识获取单元获取的 PKG标识中, 选择一个 PKG标 识;
公开参数获取单元, 用于根据所述 PKG标识选择单元选择的 PKG标识, 向所述选择的 PKG标识对应的 PKG获取公开参数;
通知单元, 用于当所述 PKG标识选择单元选择了 PKG标识后, 通知所述服务器所述选 择的 PKG标识;
相应地, 所述服务器的公开参数获取模块具体包括:
PKG标识发送单元, 用于向所述客户端发送至少一个所述私钥生成器 PKG标识; 接收单元, 用于接收所述客户端返回的选择的 PKG标识;
获取单元, 用于所述接收单元接收的 PKG标识, 获取一套用于所述 IBE的公开参数。
12. 如权利要求 10所述的获取密钥的系统, 其特征在于, 所述系统还包括: 公开参数服务器, 用于提供至少一个公开参数; 相应地,
所述客户端的公开参数获取模块具体包括:
地址标识获取单元, 用于获取所述服务器发送的所述公开参数服务器中保存的至少一 个公开参数的地址标识;
地址标识选择单元, 用于根据所述地址标识获取单元获取的地址标识中, 选择一个地 址标识;
公开参数获取单元, 用于根据所述地址标识选择单元选择的地址标识, 根据所述选择 的地址标识向所述公开参数服务器获取公开参数;
通知单元, 用于当所述地址标识选择单元选择了地址标识后, 通知所述服务器所述选 择的地址标识;
相应地, 所述服务器的公开参数获取模块具体包括:
地址标识发送单元, 用于向所述客户端发送所述公开参数服务器中保存的至少一个公 开参数的地址标识;
接收单元, 用于接收所述客户端返回的选择的地址标识;
获取单元, 用于所述接收单元接收的地址标识, 获取一套用于所述 IBE的公开参数。
13. 一种客户端, 其特征在于, 所述客户端包括:
IBE协商模块, 用于和服务器进行基于标识加密的安全认证 IBE的协商;
公开参数获取模块, 用于获取用于所述 IBE的公开参数;
服务器标识获取模块, 用于获取所述服务器标识;
处理模块, 用于根据所述服务器标识获取模块获取的服务器标识和所述公开参数获取 模块协商获取的公开参数, 生成并发送所述 IBE加密的预主密钥。
14. 如权利要求 13所述的客户端, 其特征在于, 所述 IBE协商模块具体用于向所述服 务器发送客户端请求消息, 所述客户端请求消息中携带用于进行基于标识加密的安全认证 IBE的密码套件; 并接收所述服务器返回的 IBE确认消息;
15. 如权利要求 13所述的客户端, 其特征在于, 所述公开参数获取模块具体包括: 公开参数保存单元, 用于保存一套公开参数;
公开参数选择单元, 用于获取所述公开参数保存单元中保存的公开参数。
16. 如权利要求 13所述的客户端, 其特征在于, 所述公开参数获取模块具体包括: 公开参数保存单元, 用于保存至少一套公开参数;
公开参数选择单元, 用于根据所述服务器的通知, 从所述公开参数保存单元中选择一 套公开参数;
响应单元, 用于当所述公开参数选择单元选择了一套公开参数后, 响应所述服务器所 述选择的公开参数。
17. 如权利要求 13所述的客户端, 其特征在于, 所述公开参数获取模块具体包括: 公开参数获取单元, 用于获取所述服务器发送的至少一套公开参数;
公开参数选择单元, 用于从所述公开参数获取单元中获取的公开参数中, 选择出一套 公开参数;
响应单元, 用于当所述公开参数选择单元选择了一套公开参数后, 通知所述服务器所 述选择的公开参数。
18. 如权利要求 13所述的客户端, 其特征在于, 所述公开参数获取模块具体包括:
PKG标识获取单元, 用于获取所述服务器发送的至少一个所述私钥生成器 PKG标识;
PKG标识选择单元, 用于从所述 PKG标识获取单元获取的 PKG标识中, 选择一个 PKG标 识;
公开参数获取单元, 用于根据所述 PKG标识选择单元选择的 PKG标识, 向所述选择的 PKG标识对应的 PKG获取公开参数;
通知单元, 用于当所述 PKG标识选择单元选择了 PKG标识后, 通知所述服务器所述选 择的 PKG标识。
19. 如权利要求 13所述的客户端, 其特征在于, 所述公开参数获取模块具体包括: 地址标识获取单元, 用于获取所述服务器发送的公开参数服务器中保存的至少一个公 开参数的地址标识;
地址标识选择单元, 用于根据所述地址标识获取单元获取的地址标识中, 选择一个地 址标识;
公开参数获取单元, 用于根据所述地址标识选择单元选择的地址标识, 根据所述选择 的地址标识向所述公开参数服务器获取公开参数;
通知单元, 用于当所述地址标识选择单元选择了地址标识后, 通知所述服务器所述选 择的地址标识。
20. 一种服务器, 其特征在于, 所述服务器包括:
IBE协商模块, 用于和客户端进行基于标识加密的安全认证 IBE的协商;
公开参数获取模块, 用于获取用于进行 IBE的公开参数;
私钥获取模块, 用于获取私钥, 所述私钥用于解密 IBE加密的预主密钥;
处理模块, 用于接收所述客户端发送的 IBE加密的预主密钥, 利用所述私钥获取模块 获取的私钥和所述公开参数获取模块获取的公开参数对所述 IBE加密的预主密钥进行解密 后, 获取所述预主密钥的明文。
21. 如权利要求 20所述的服务器, 其特征在于, 所述 IBE协商模块具体用于接收所述 客户端发送的客户端请求消息, 所述客户端请求消息中携带用于进行基于标识加密的安全 认证 IBE的密码套件; 判断支持所述 IBE认证后, 向所述客户端返回确认消息。
22. 如权利要求 20所述服务器, 其特征在于, 所述公开参数获取模块具体包括: 公开参数保存单元, 用于保存一套公开参数;
公开参数选择单元, 用于获取所述公开参数保存单元中保存的公开参数。
23. 如权利要求 20所述服务器, 其特征在于, 所述公开参数获取模块具体包括: 公开参数保存单元, 用于保存至少一套公开参数;
通知单元, 用于根据所述公开参数保存单元保存的公开参数, 向所述客户端发送通知;
接收单元, 用于接收所述客户端返回的选择的公开参数的响应;
获取单元, 用于根据所述接收单元接收的响应, 获取所述公开参数保存单元中保存的 公开参数。
24. 如权利要求 20所述服务器, 其特征在于, 所述公开参数获取模块具体包括: 发送单元, 用于向所述客户端发送至少一套公开参数;
接收单元, 用于接收所述客户端返回的选择的公开参数的响应;
获取单元, 用于根据所述接收单元接收的响应, 获取一套公开参数。
25. 如权利要求 20所述服务器, 其特征在于, 所述公开参数获取模块具体包括: PKG标识发送单元, 用于向所述客户端发送至少一个私钥生成器 PKG标识; 接收单元, 用于接收所述客户端返回的选择的 PKG标识;
获取单元, 用于所述接收单元接收的 PKG标识, 获取一套用于所述 IBE的公开参数。
26. 如权利要求 20所述服务器, 其特征在于, 所述公开参数获取模块具体包括: 地址标识发送单元, 用于向所述客户端发送所述公开参数服务器中保存的至少一个公 开参数的地址标识;
接收单元, 用于接收所述客户端返回的选择的地址标识;
获取单元, 用于所述接收单元接收的地址标识, 获取一套用于所述 IBE的公开参数。
27. 一种提供设备, 其特征在于, 所述提供设备用于在服务器和客户端在基于 IBE 的 安全套接层 SSL/TLS协议的协商认证过程中, 提供用于 IBE的公开参数, 其中, 所述公开 参数用于所述客户端根据所述公开参数和服务器标识生成 IBE加密的预主密钥; 相应地, 所述服务器根据所述公开参数和获取的私钥, 获取所述 IBE加密的预主密钥的明文。
28. 如权利要求 27所述的提供设备, 其特征在于, 所述提供设备还用于向服务器提供 私钥, 所述私钥用于解密 IBE加密的预主密钥。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP09735103A EP2271025A4 (en) | 2008-04-21 | 2009-04-20 | METHOD, SYSTEM AND DEVICE FOR RECORDING A KEY |
| US12/871,646 US8769287B2 (en) | 2008-04-21 | 2010-08-30 | Method, system, and device for obtaining keys |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810093122.4A CN101567784B (zh) | 2008-04-21 | 2008-04-21 | 一种获取密钥的方法、系统和设备 |
| CN200810093122.4 | 2008-04-21 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| US12/871,646 Continuation US8769287B2 (en) | 2008-04-21 | 2010-08-30 | Method, system, and device for obtaining keys |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2009129734A1 true WO2009129734A1 (zh) | 2009-10-29 |
Family
ID=41216432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2009/071371 Ceased WO2009129734A1 (zh) | 2008-04-21 | 2009-04-20 | 一种获取密钥的方法、系统和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8769287B2 (zh) |
| EP (1) | EP2271025A4 (zh) |
| CN (1) | CN101567784B (zh) |
| WO (1) | WO2009129734A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101789865B (zh) * | 2010-03-04 | 2011-11-30 | 深圳市华信安创科技有限公司 | 一种用于加密的专用服务器及加密方法 |
| US9065637B2 (en) * | 2012-01-25 | 2015-06-23 | CertiVox Ltd. | System and method for securing private keys issued from distributed private key generator (D-PKG) nodes |
| JP5981761B2 (ja) * | 2012-05-01 | 2016-08-31 | キヤノン株式会社 | 通信装置、制御方法、プログラム |
| CN102801616B (zh) * | 2012-08-02 | 2015-04-15 | 华为技术有限公司 | 报文发送和接收的方法、装置和系统 |
| CN103905384B (zh) * | 2012-12-26 | 2017-11-24 | 北京握奇数据系统有限公司 | 基于安全数字证书的嵌入式终端间会话握手的实现方法 |
| CN104142866B (zh) * | 2013-05-06 | 2018-11-06 | 深圳市腾讯计算机系统有限公司 | 应用程序与数据平台系统的交互控制方法及系统 |
| CN104967590B (zh) * | 2014-09-18 | 2017-10-27 | 腾讯科技(深圳)有限公司 | 一种传输通信消息的方法、装置和系统 |
| CN104468560B (zh) * | 2014-12-02 | 2017-09-19 | 中国科学院声学研究所 | 网络保密数据明文的采集方法及系统 |
| CN105743847A (zh) * | 2014-12-09 | 2016-07-06 | 北京大唐高鸿数据网络技术有限公司 | 基于WebSocket实现SIP信令安全传输的方法 |
| CN108111467B (zh) * | 2016-11-24 | 2021-04-09 | 华为技术有限公司 | 身份认证方法与设备及系统 |
| CN107454079B (zh) * | 2017-08-04 | 2020-07-07 | 西安电子科技大学 | 基于物联网平台的轻量级设备认证及共享密钥协商方法 |
| US10764328B2 (en) * | 2017-11-03 | 2020-09-01 | International Business Machines Corporation | Altering cipher and key within an established session |
| CN112152978B (zh) * | 2019-06-28 | 2021-07-20 | 北京金山云网络技术有限公司 | 一种秘钥管理方法、装置、设备及存储介质 |
| CN113067823B (zh) * | 2021-03-22 | 2021-11-23 | 西安电子科技大学 | 邮件用户身份认证和密钥分发方法、系统、设备及介质 |
| US12192351B2 (en) * | 2021-11-27 | 2025-01-07 | Oracle International Corporation | Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification |
| CN119603000B (zh) * | 2024-11-08 | 2025-11-04 | 新华三技术有限公司 | 通信方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040179684A1 (en) * | 2003-03-14 | 2004-09-16 | Identicrypt, Inc. | Identity-based-encryption messaging system |
| US6886096B2 (en) * | 2002-11-14 | 2005-04-26 | Voltage Security, Inc. | Identity-based encryption system |
| CN1633071A (zh) * | 2005-01-14 | 2005-06-29 | 南相浩 | 基于标识的密钥产生方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7349538B2 (en) * | 2002-03-21 | 2008-03-25 | Ntt Docomo Inc. | Hierarchical identity-based encryption and signature schemes |
| GB0311621D0 (en) * | 2003-05-20 | 2003-06-25 | Nokia Corp | A system for crytographical authentication |
| US7860247B2 (en) * | 2004-11-12 | 2010-12-28 | Dublin City University | Identity based encryption |
| CA2526791C (en) * | 2005-11-14 | 2012-01-10 | Bce Inc. | Method and system for providing personalized service mobility |
| US20080065729A1 (en) * | 2006-09-08 | 2008-03-13 | Pitney Bowes Incorporated | Method and system for service provider to be compensated for delivering e-mail messages while reducing amount of unsolicited e-mail messages |
-
2008
- 2008-04-21 CN CN200810093122.4A patent/CN101567784B/zh not_active Expired - Fee Related
-
2009
- 2009-04-20 WO PCT/CN2009/071371 patent/WO2009129734A1/zh not_active Ceased
- 2009-04-20 EP EP09735103A patent/EP2271025A4/en not_active Ceased
-
2010
- 2010-08-30 US US12/871,646 patent/US8769287B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6886096B2 (en) * | 2002-11-14 | 2005-04-26 | Voltage Security, Inc. | Identity-based encryption system |
| US20040179684A1 (en) * | 2003-03-14 | 2004-09-16 | Identicrypt, Inc. | Identity-based-encryption messaging system |
| CN1633071A (zh) * | 2005-01-14 | 2005-06-29 | 南相浩 | 基于标识的密钥产生方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2271025A1 (en) | 2011-01-05 |
| EP2271025A4 (en) | 2012-01-18 |
| US20100325436A1 (en) | 2010-12-23 |
| US8769287B2 (en) | 2014-07-01 |
| CN101567784B (zh) | 2016-03-30 |
| CN101567784A (zh) | 2009-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2009129734A1 (zh) | 一种获取密钥的方法、系统和设备 | |
| CN102082796B (zh) | 一种基于http的产生会话密钥的方法及系统 | |
| CN100558035C (zh) | 一种双向认证方法及系统 | |
| CN106060070B (zh) | 基于身份密码系统的tls握手协议 | |
| CN101720540B (zh) | 客户端装置、服务器装置和确立安全会话的方法 | |
| CN103427998B (zh) | 一种面向互联网数据分发的身份验证和数据加密方法 | |
| CN102404347A (zh) | 一种基于公钥基础设施的移动互联网接入认证方法 | |
| CN101459506A (zh) | 密钥协商方法、用于密钥协商的系统、客户端及服务器 | |
| WO2010078755A1 (zh) | 电子邮件的传送方法、系统及wapi终端 | |
| TW201701226A (zh) | 電子處方操作方法、裝置及系統 | |
| CN109075973B (zh) | 一种使用基于id的密码术进行网络和服务统一认证的方法 | |
| CN102932350B (zh) | 一种tls扫描的方法和装置 | |
| CN104079564A (zh) | 无线通信系统、无线通信装置及其认证方法 | |
| CN101459505A (zh) | 生成用户私钥的方法、系统及用户设备、密钥生成中心 | |
| CN119071075B (zh) | 一种后量子和国密混合双证书ssl握手方法和装置 | |
| WO2008095382A1 (en) | A method, system and apparatus for establishing transport layer security connection | |
| WO2016134631A1 (zh) | 一种OpenFlow报文的处理方法及网元 | |
| CN105591748B (zh) | 一种认证方法和装置 | |
| CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
| CN101146126A (zh) | 无线通信系统、无线通信装置及其认证方法、以及程序 | |
| JP6609212B2 (ja) | 暗号化通信チャネル確立システム、方法、プログラム及びコンピュータ読取り可能なプログラム記録媒体 | |
| CN102027704A (zh) | 存储转发方式下基于ibe算法的安全通信的方法和装置 | |
| CN120896696B (zh) | 基于密码基础设施系统的通信方法和密码基础设施系统 | |
| JP2003338812A (ja) | 暗号化システム | |
| WO2011000163A1 (zh) | 一种密钥协商的方法、客户端及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 09735103 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2009735103 Country of ref document: EP |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |