一種電子通信標識的ibc分級使用方法
【專利摘要】本發(fā)明涉及電子通信標識的IBC分級使用方法�����,所述方法中用戶在IBC密鑰服務(wù)系統(tǒng)注冊的電子通信標識分為不同的安全服務(wù)等級并有服務(wù)期限�,不同安全服務(wù)等級的IBC電子通信標識使用不同的IBC系統(tǒng)參數(shù)生成不同安全等級的IBC私鑰�����;不同安全等級的IBC私鑰和對應(yīng)的IBC系統(tǒng)參數(shù)用于不同安全保護等級的數(shù)據(jù)加密和解密����;數(shù)據(jù)加密方的密碼模塊在使用IBC電子通信標識進行數(shù)據(jù)加密時,采用查詢本地IBC密鑰信息的方式或者采用先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng)的方式確定數(shù)據(jù)加密所用的數(shù)據(jù)解密方的IBC電子通信標識的安全服務(wù)等級和服務(wù)期限并采用與IBC電子通信標識的安全服務(wù)等級相對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密�。
【專利說明】一種電子通信標識的IBC分級使用方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于信息安全領(lǐng)域,特別是一種電子通信標識的IBC分級使用方法�。
【背景技術(shù)】
[0002] 在基于標識的密碼(Identity-Based Cryptography, IBC,也稱為基于身份的密 碼)中用戶的一個唯一標識(結(jié)合一組IBC系統(tǒng)參數(shù))就構(gòu)成了一個公鑰���,稱為IBC公鑰����, 可用于數(shù)據(jù)加密或數(shù)字簽名的簽名驗證,同時一個標識對應(yīng)有一個私鑰�����,稱為IBC私鑰�,可 用于數(shù)據(jù)解密或數(shù)字簽名�,其中,私鑰由一個IBC密鑰服務(wù)系統(tǒng)生成并通過安全可靠的方 式分發(fā)給標識的擁有者(其中�,用于數(shù)據(jù)加密和解密的IBC公鑰和私鑰同用于數(shù)字簽名和 簽名驗證的IBC公鑰和私鑰不一定相同)。用于IBC密碼運算的標識稱為IBC標識��。
[0003] 在IBC中���,由于用戶的一個標識就是用戶的一個公鑰���,故數(shù)據(jù)加密方在進行數(shù)據(jù) 加密前無須事先獲得數(shù)據(jù)解密方的公鑰,這給加密應(yīng)用帶來了極大的方便�����。但是,這個方便 有一個前提:標識擁有者(數(shù)據(jù)解密方)是IBC密鑰服務(wù)系統(tǒng)的一個有效用戶且在IBC密 鑰服務(wù)系統(tǒng)已成功注冊了用于密碼運算的IBC標識并已證明注冊的標識歸其所有����,這樣, 標識擁有者能從IBC密鑰服務(wù)系統(tǒng)獲得標識對應(yīng)的私鑰�,用于數(shù)據(jù)解密操作。但是�����,數(shù)據(jù)加 密方事先可能無法知道數(shù)據(jù)解密方是否已是IBC密鑰服務(wù)系統(tǒng)的有效用戶及是否已注冊 了數(shù)據(jù)加密方將要用于加密密碼運算的標識����。如果要求數(shù)據(jù)加密方在每次進行數(shù)據(jù)加密前 都需要先從IBC密鑰服務(wù)系統(tǒng)確認標識擁有者(數(shù)據(jù)解密方)是否已成功注冊其標識,則 將使得IBC加密失去其優(yōu)越性�,故此,我們需要有相應(yīng)的技術(shù)解決方案解決這一問題����。本發(fā) 明針對電子通信標識就這一問題提出相應(yīng)的解決方案,所述電子通信標識指電子通信設(shè)施 (如電子郵件系統(tǒng)或移動通信系統(tǒng))用于標識接收者的地址(如電子郵箱地址)或用于標 識電子通信終端的號碼(如移動終端號碼)�����;所述用于IBC密碼運算的電子通信標識稱為 IBC電子通信標識��。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的是針對電子通信標識提出一種數(shù)據(jù)加密方總是能夠使用數(shù)據(jù)解密 方的電子通信標識進行數(shù)據(jù)加密,而數(shù)據(jù)解密方總是能夠解密采用其電子通信標識加密 的數(shù)據(jù)的電子通信標識的IBC分級使用方法����。
[0005] 為了實現(xiàn)上述目的,本發(fā)明所采用的技術(shù)方案是:
[0006] -種電子通信標識的IBC分級使用方法����,其特征是:
[0007] 用戶在IBC密鑰服務(wù)系統(tǒng)注冊的用于IBC密碼運算的電子通信標識被分為不同的 安全服務(wù)等級并具有服務(wù)期限(服務(wù)有效期),不同安全服務(wù)等級的IBC電子通信標識使 用不同的IBC系統(tǒng)參數(shù)生成不同安全等級的IBC私鑰(即一個安全服務(wù)等級的IBC電子通 信標識用一組對應(yīng)的IBC系統(tǒng)參數(shù)����,生成相應(yīng)的IBC私鑰);不同安全等級IBC電子通信標 識�、IBC私鑰和對應(yīng)的IBC系統(tǒng)參數(shù)用于不同安全保護等級的數(shù)據(jù)加密和解密過程中的密 碼運算�����;若用戶在IBC密鑰服務(wù)系統(tǒng)尚未注冊擁有的一個電子通信標識����,則IBC密鑰服務(wù)系 統(tǒng)在完成對電子通信標識歸屬確認的基本操作后,允許用戶將未注冊的電子通信標識注冊 為一個具有最低安全服務(wù)等級的IBC電子通信標識�;在IBC密鑰服務(wù)系統(tǒng)注冊有電子通信 標識的用戶使用從IBC密鑰服務(wù)系統(tǒng)獲得的與注冊的電子通信標識的安全服務(wù)等級對應(yīng) 的IBC私鑰對加密數(shù)據(jù)進行解密或?qū)?shù)據(jù)進行數(shù)字簽名(本發(fā)明中加密數(shù)據(jù)的解密方或簽 名數(shù)據(jù)的簽名方);
[0008] 數(shù)據(jù)加密方的密碼模塊在使用IBC電子通信標識進行數(shù)據(jù)加密時��,采用查詢本地 IBC密鑰信息的方式或者采用先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng)的方式確 定數(shù)據(jù)加密所用的數(shù)據(jù)解密方的IBC電子通信標識的安全服務(wù)等級和服務(wù)期限(是否在服 務(wù)有效期內(nèi)),并采用與IBC電子通信標識的安全服務(wù)等級相對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù) 加密密碼運算���;使用IBC電子通信標識進行加密后的數(shù)據(jù)(加密數(shù)據(jù))中包含IBC電子通 信標識的安全服務(wù)等級信息(供數(shù)據(jù)解密方的密碼模塊解密數(shù)據(jù)時使用)�����;所述加密數(shù)據(jù) 中的安全服務(wù)等級信息以服務(wù)等級標識的形式(直接)表示���,或者以所用IBC系統(tǒng)參數(shù)的 參數(shù)標識的形式(間接)表示(服務(wù)等級標識用于標識和區(qū)分不同的安全服務(wù)等級,參數(shù) 標識用于標識和區(qū)分不同的IBC系統(tǒng)參數(shù))��。
[0009] 數(shù)據(jù)加密方的密碼模塊按如下查詢本地IBC密鑰信息的方式確定數(shù)據(jù)加密所用 的數(shù)據(jù)解密方的IBC電子通信標識的安全服務(wù)等級和服務(wù)期限�,并采用與IBC電子通信標 識的安全服務(wù)等級相對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算:
[0010] 從密碼模塊本地的IBC密鑰信息中查詢是否有用于加密的IBC電子通信標識的信 息,若有且IBC電子通信標識的服務(wù)期限仍然有效����,則使用本地的密鑰信息中所指示的IBC 電子通信標識的安全服務(wù)等級所對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算;否則����,使用 對應(yīng)最低安全服務(wù)等級的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算。
[0011] 數(shù)據(jù)加密方的密碼模塊按如下先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng) 的方式確定數(shù)據(jù)加密所用的數(shù)據(jù)解密方的IBC電子通信標識的安全服務(wù)等級和服務(wù)期限�, 并采用與IBC電子通信標識的安全服務(wù)等級相對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運 算:
[0012] 先從密碼模塊本地的IBC密鑰信息中查詢是否有用于加密的IBC電子通信標識的 信息,若有且IBC電子通信標識的服務(wù)期限仍然有效����,則使用本地的密鑰信息中所指示的 IBC電子通信標識的安全服務(wù)等級所對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算���;否則,在 線連接IBC密鑰服務(wù)系統(tǒng)獲取用于加密的IBC電子通信標識的安全服務(wù)等級和服務(wù)期限����, 若IBC密鑰服務(wù)系統(tǒng)返回IBC電子通信標識的安全服務(wù)等級且返回的服務(wù)期限有效,則密 碼模塊使用返回的IBC電子通信標識的安全服務(wù)等級所對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密 密碼運算����,若沒有安全服務(wù)等級信息返回或返回的服務(wù)期限已失效,則使用對應(yīng)最低安全 服務(wù)等級的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算����。
[0013] 數(shù)據(jù)加密方的密碼模塊按如下先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng) 的方式確定數(shù)據(jù)加密所用的數(shù)據(jù)解密方的IBC電子通信標識的安全服務(wù)等級并采用與IBC 電子通信標識的安全服務(wù)等級相對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算:
[0014] 先從密碼模塊本地的IBC密鑰信息中查詢是有否用于加密的IBC電子通信標識的 信息,若有且IBC電子通信標識的安全服務(wù)等級是最高的且IBC電子通信標識的服務(wù)期限 仍然有效�,則使用本地的密鑰信息中所指示的IBC電子通信標識的安全服務(wù)等級所對應(yīng)的 IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算��;否則�,在線連接IBC密鑰服務(wù)系統(tǒng)獲取IBC電子通信 標識的安全服務(wù)等級和服務(wù)期限,若IBC密鑰服務(wù)系統(tǒng)返回IBC電子通信標識的安全服務(wù) 等級且返回的服務(wù)期限仍然有效����,則密碼模塊使用返回的IBC電子通信標識的安全服務(wù)等 級所對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算��,若沒有安全服務(wù)等級信息返回或返回的 服務(wù)期限已失效����,則使用最低安全服務(wù)等級的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算�����。
[0015] 數(shù)據(jù)加密方的密碼模塊利用從IBC密鑰服務(wù)系統(tǒng)查詢獲得的關(guān)于IBC電子通信標 識的安全服務(wù)等級及服務(wù)期限信息更新本地保存的IBC電子通信標識的IBC密鑰信息���。
[0016] 使用IBC電子通信標識進行密碼運算的密碼模塊通過一個后臺監(jiān)測程序定時連 接IBC密鑰服務(wù)系統(tǒng)查詢密碼模塊使用過的IBC電子通信標識包括在使用時無法確定安全 服務(wù)等級的IBC電子通信標識的安全服務(wù)等級及服務(wù)期限��,并用查詢獲得的信息更新本地 IBC密鑰信息中的IBC電子通信標識的安全服務(wù)等級及服務(wù)期限信息��,其中�,對于具有最高 安全服務(wù)等級的IBC電子通信標識�����,僅在IBC電子通信標識到了預(yù)定的服務(wù)期限更新時間 后才連接IBC密鑰服務(wù)系統(tǒng)查詢其更新后的安全服務(wù)等級及服務(wù)期限�����。
[0017] 簽名數(shù)據(jù)(Signed Data)的簽名方的密碼模塊在進行數(shù)字簽名時將簽名所用的 IBC電子通信標識的安全服務(wù)等級和服務(wù)期限信息加入到簽名數(shù)據(jù)中�����;簽名數(shù)據(jù)的驗證方 的密碼模塊在進行數(shù)字簽名驗證時從簽名數(shù)據(jù)中獲取簽名所用的IBC電子通信標識的安 全服務(wù)等級和服務(wù)期限并更新本地IBC密鑰信息中的IBC電子通信標識及其安全服務(wù)等級 和服務(wù)期限(若本地IBC密鑰信息中沒有此IBC電子通信標識,則創(chuàng)建此IBC電子通信標 識并保存其安全服務(wù)等級和服務(wù)期限信息)�。
[0018] 若用戶在IBC密鑰服務(wù)系統(tǒng)注冊有IBC電子通信標識,則用戶能夠從IBC密鑰服 務(wù)系統(tǒng)獲取安全等級不高于已注冊的IBC電子通信標識的安全服務(wù)等級的IBC私鑰����。
[0019] 所述IBC密鑰服務(wù)系統(tǒng)對電子通信標識歸屬確認的基本操作是:由IBC密鑰服務(wù) 系統(tǒng)向電子通信標識對應(yīng)的通信地址或終端發(fā)送隨機字串,然后由電子通信標識擁有者將 接收到的隨機字串返回到IBC密鑰服務(wù)系統(tǒng)�,IBC密鑰服務(wù)系統(tǒng)通過比對發(fā)送和返回的隨 機字串是否一致完成確認操作(一致,則確認電子通信標識歸注冊者所有����;否則,則不確 定)��。
[0020] 基于本發(fā)明的方法����,若數(shù)據(jù)加密方的密碼模塊在進行數(shù)據(jù)加密時不能確定數(shù)據(jù)解 密方在IBC密鑰服務(wù)系統(tǒng)已注冊了其用于加密的IBC電子通信標識,則假定數(shù)據(jù)解密方至 少能夠獲得用于數(shù)據(jù)加密的IBC電子通信標識的對應(yīng)最低安全服務(wù)等級的IBC私鑰��,然后 使用對應(yīng)最低安全服務(wù)等級的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算����,從而使得數(shù)據(jù)加密方 總是能夠向數(shù)據(jù)解密方發(fā)送加密數(shù)據(jù),相應(yīng)地�,加密數(shù)據(jù)的解密方即電子通信標識的擁有 者總是能夠從IBC密鑰服務(wù)系統(tǒng)獲得電子通信標識的對應(yīng)最低安全服務(wù)等級的私鑰用于 數(shù)據(jù)解密。本發(fā)明的方法是基于這樣一個易于實現(xiàn)的前提:用戶在IBC密鑰服務(wù)系統(tǒng)注冊 的用戶電子通信標識根據(jù)安全服務(wù)需求和要求被分為不同的安全服務(wù)等級����,不同安全服務(wù) 等級的IBC密鑰具有不同的安全強度、服務(wù)保證和服務(wù)費用(如果是公共IBC密鑰服務(wù)的 話)�,而對于最低安全服務(wù)等級的電子通信標識,確認用戶是電子通信標識的擁有者可采用 簡單的方案(向用戶發(fā)送隨機信息并由用戶獲取返回)且IBC密鑰服務(wù)是免費的�����。
【具體實施方式】
[0021] 下面對本發(fā)明作進一步的詳細描述��。
[0022] 本發(fā)明的IBC密碼算法可采用基于配對(pairing-based)的IBC算法��,算法實 現(xiàn)可參見 IEEE 國際標準 IEEE Stdl363. 3-2013: IEEE Standard for Identity-Based Cryptographic Techniques using Pairings�,22August2013〇
[0023] 開發(fā)實施一個支持不同安全服務(wù)等級的IBC電子通信標識的IBC密鑰服務(wù)系統(tǒng)是 比較容易的。IBC密鑰服務(wù)系統(tǒng)同時支持對應(yīng)不同安全服務(wù)等級的多組IBC系統(tǒng)參數(shù)也不 困難���,其中一種最簡單的方式是多組IBC系統(tǒng)參數(shù)對應(yīng)同一個橢圓曲線����,但主密鑰的長度 不同,安全服務(wù)等級越高�����,所對應(yīng)的IBC系統(tǒng)參數(shù)的主密鑰越長�,并利用不同的主密鑰生成 對應(yīng)不同安全等級的IBC私鑰。
[0024] IBC密鑰服務(wù)系統(tǒng)對用戶注冊的電子通信標識的歸屬的基本的驗證確認操作(確 認確實歸注冊者所有)是系統(tǒng)在用戶注冊電子通信標識后自動向電子通信標識對應(yīng)的通 信地址或通信終端(電子郵箱�����、移動手機)發(fā)送一個隨機字串����,要求用戶通過注冊系統(tǒng)返 回,若能成功返回����,則說明電子通信標識確實歸注冊者所有。針對電子通信標識實現(xiàn)此基本 的驗證確認操作并不困難����,根據(jù)電子通信標識的類別不同所采用的方案會不同,但都有現(xiàn) 存的技術(shù)方案和工具可使用�����。
[0025] 對于用戶注冊的最低安全服務(wù)等級的IBC電子通信標識,只需完成基本的驗證確 認操作即可����;對于用戶注冊的非最低安全服務(wù)等級的IBC電子通信標識�����,除了完成基本的 驗證確認操作外�,還需確認用戶滿足其他的要求,包括已支付費用(如何進行非最低安全 服務(wù)等級的IBC電子通信標識的驗證���、確認屬于本發(fā)明之外的問題)�。IBC電子通信標識的 不同安全服務(wù)等級由用戶注冊時選擇�����,注冊成功后可以升級(由低安全服務(wù)等級申請到高 安全服務(wù)等級)��。
[0026] 密碼模塊通過本地的一個電子文件或微型數(shù)據(jù)庫存放使用過的各個IBC電子通 信標識的密鑰信息�����,包括安全服務(wù)等級�����、服務(wù)期限信息,以及對應(yīng)不同安全服務(wù)等級的IBC 系統(tǒng)參數(shù)�。
[0027] 密碼模塊如何通過加密數(shù)據(jù)和簽名數(shù)據(jù)傳遞IBC電子通信標識的安全服務(wù) 等級信息,取決于密碼模塊進行數(shù)據(jù)加密和數(shù)據(jù)簽名的"層次"�。如果密碼模塊負責(zé) 在完整的消息層次(完整的數(shù)據(jù)層次)進行數(shù)據(jù)加密和數(shù)據(jù)簽名處理,如在CMS(即 RFC5652, Cryptographic Message Syntax,也稱為PKCS#7)消息數(shù)據(jù)層次����,則數(shù)據(jù)加密方或 簽名方的密碼模塊可以在生成的消息數(shù)據(jù)(如CMS數(shù)據(jù))的密鑰信息中(如密鑰標識信息 中)加入對應(yīng)的IBC電子通信標識的安全服務(wù)等級信息(或IBC系統(tǒng)參數(shù)信息),而數(shù)據(jù) 解密方或簽名驗證方的密碼模塊從消息數(shù)據(jù)獲取相應(yīng)的IBC電子通信標識的安全服務(wù)等 級信息(或IBC系統(tǒng)參數(shù)信息)����。若密碼模塊僅進行低層的數(shù)據(jù)密碼運算(如同Windows CSP、PKCS#11密碼模塊)��,則可以在本發(fā)明 申請人:的專利申請"一種IBE密碼裝置及數(shù)據(jù) 加解密方法"(申請?zhí)枺?01310438462. 7)中的IBE密碼模塊的基礎(chǔ)上實施本發(fā)明的密碼 模塊(這時201310438462. 7專利申請中的IBE密碼模塊對應(yīng)于本發(fā)明中的進行IBC密碼 運算的密碼模塊)��,密碼模塊通過在密碼運算后的數(shù)據(jù)中填充或附加數(shù)據(jù)的方式傳遞進行 加密或簽名密碼運算時所用的IBC電子通信標識的安全服務(wù)等級信息��。密碼模塊還可同 時實施專利"一種基于偽RSA密鑰的新近公開密鑰加密算法的數(shù)據(jù)加密系統(tǒng)"(專利號: ZL201110248050. 8)中的偽RSA密鑰和偽RSA數(shù)字證書技術(shù)���。
【權(quán)利要求】
1. 一種電子通信標識的IBC分級使用方法����,其特征是: 用戶在IBC密鑰服務(wù)系統(tǒng)注冊的用于IBC密碼運算的電子通信標識被分為不同的安全 服務(wù)等級并具有服務(wù)期限��,不同安全服務(wù)等級的IBC電子通信標識使用不同的IBC系統(tǒng)參 數(shù)生成不同安全等級的IBC私鑰����;不同安全等級IBC電子通信標識�����、IBC私鑰和對應(yīng)的IBC 系統(tǒng)參數(shù)用于不同安全保護等級的數(shù)據(jù)加密和解密過程中的密碼運算����;若用戶在IBC密鑰 服務(wù)系統(tǒng)尚未注冊擁有的一個電子通信標識,則IBC密鑰服務(wù)系統(tǒng)在完成對電子通信標識 歸屬確認的基本操作后�����,允許用戶將未注冊的電子通信標識注冊為一個具有最低安全服務(wù) 等級的IBC電子通信標識�;在IBC密鑰服務(wù)系統(tǒng)注冊有電子通信標識的用戶使用從IBC密 鑰服務(wù)系統(tǒng)獲得的與注冊的電子通信標識的安全服務(wù)等級對應(yīng)的IBC私鑰對加密數(shù)據(jù)進 行解密或者對數(shù)據(jù)進行數(shù)字簽名; 數(shù)據(jù)加密方的密碼模塊在使用IBC電子通信標識進行數(shù)據(jù)加密時��,采用查詢本地IBC 密鑰信息的方式或者采用先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng)的方式確定數(shù) 據(jù)加密所用的數(shù)據(jù)解密方的IBC電子通信標識的安全服務(wù)等級和服務(wù)期限��,并采用與IBC 電子通信標識的安全服務(wù)等級相對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算���;使用IBC電 子通信標識進行加密后的數(shù)據(jù)中包含IBC電子通信標識的安全服務(wù)等級信息���;所述加密數(shù) 據(jù)中的安全服務(wù)等級信息以服務(wù)等級標識的形式表示��,或者以所用IBC系統(tǒng)參數(shù)的參數(shù)標 識的形式表示��。
2. 根據(jù)權(quán)利要求1所述的電子通信標識的IBC分級使用方法����,其特征是:數(shù)據(jù)加密方 的密碼模塊采用查詢本地IBC密鑰信息的方式確定數(shù)據(jù)加密所用的數(shù)據(jù)解密方的IBC電子 通信標識的安全服務(wù)等級和服務(wù)期限�,并采用與IBC電子通信標識的安全服務(wù)等級相對應(yīng) 的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算的具體方法為: 從密碼模塊本地的IBC密鑰信息中查詢是否有用于加密的IBC電子通信標識的信息, 若有且IBC電子通信標識的服務(wù)期限仍然有效�����,則使用本地的密鑰信息中所指示的IBC電 子通信標識的安全服務(wù)等級所對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算��;否則�����,使用對 應(yīng)最低安全服務(wù)等級的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算�。
3. 根據(jù)權(quán)利要求1所述的電子通信標識的IBC分級使用方法,其特征是:數(shù)據(jù)加密方 的密碼模塊采用先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng)的方式確定數(shù)據(jù)加密所 用的數(shù)據(jù)解密方的IBC電子通信標識的安全服務(wù)等級和服務(wù)期限�����,并采用與IBC電子通信 標識的安全服務(wù)等級相對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算的具體方法為: 先從密碼模塊本地的IBC密鑰信息中查詢是否有用于加密的IBC電子通信標識的信 息,若有且IBC電子通信標識的服務(wù)期限仍然有效�����,則使用本地的密鑰信息中所指示的IBC 電子通信標識的安全服務(wù)等級所對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算�;否則,在線 連接IBC密鑰服務(wù)系統(tǒng)獲取用于加密的IBC電子通信標識的安全服務(wù)等級和服務(wù)期限��,若 IBC密鑰服務(wù)系統(tǒng)返回IBC電子通信標識的安全服務(wù)等級且返回的服務(wù)期限有效�,則密碼 模塊使用返回的IBC電子通信標識的安全服務(wù)等級所對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密 碼運算���,若沒有安全服務(wù)等級信息返回或返回的服務(wù)期限已失效��,則使用對應(yīng)最低安全服 務(wù)等級的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算��。
4. 根據(jù)權(quán)利要求1所述的電子通信標識的IBC分級使用方法����,其特征是:數(shù)據(jù)加密方 的密碼模塊采用先查詢本地IBC密鑰信息后查詢IBC密鑰服務(wù)系統(tǒng)的方式確定數(shù)據(jù)加密所 用的數(shù)據(jù)解密方的IBC電子通信標識的安全服務(wù)等級�����,并采用與IBC電子通信標識的安全 服務(wù)等級相對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算的具體方法為: 先從密碼模塊本地的IBC密鑰信息中查詢是有否用于加密的IBC電子通信標識的信 息,若有且IBC電子通信標識的安全服務(wù)等級是最高的且IBC電子通信標識的服務(wù)期限仍 然有效��,則使用本地的密鑰信息中所指示的IBC電子通信標識的安全服務(wù)等級所對應(yīng)的 IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算����;否則,在線連接IBC密鑰服務(wù)系統(tǒng)獲取IBC電子通信 標識的安全服務(wù)等級和服務(wù)期限��,若IBC密鑰服務(wù)系統(tǒng)返回IBC電子通信標識的安全服務(wù) 等級且返回的服務(wù)期限仍然有效��,則密碼模塊使用返回的IBC電子通信標識的安全服務(wù)等 級所對應(yīng)的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算�����,若沒有安全服務(wù)等級信息返回或返回的 服務(wù)期限已失效��,則使用最低安全服務(wù)等級的IBC系統(tǒng)參數(shù)進行數(shù)據(jù)加密密碼運算��。
5. 根據(jù)權(quán)利要求3或4所述的電子通信標識的IBC分級使用方法���,其特征是:數(shù)據(jù)加 密方的密碼模塊利用從IBC密鑰服務(wù)系統(tǒng)查詢獲得的關(guān)于IBC電子通信標識的安全服務(wù)等 級及服務(wù)期限信息更新本地保存的IBC電子通信標識的IBC密鑰信息�����。
6. 根據(jù)權(quán)利要求2或3或4所述的電子通信標識的IBC分級使用方法����,其特征是:使用 IBC電子通信標識進行密碼運算的密碼模塊通過一個后臺監(jiān)測程序定時連接IBC密鑰服務(wù) 系統(tǒng)查詢密碼模塊使用過的IBC電子通信標識包括在使用時無法確定安全服務(wù)等級的IBC 電子通信標識的安全服務(wù)等級及服務(wù)期限,并用查詢獲得的信息更新本地IBC密鑰信息中 的IBC電子通信標識的安全服務(wù)等級及服務(wù)期限信息����,其中,對于具有最高安全服務(wù)等級 的IBC電子通信標識��,僅在IBC電子通信標識到了預(yù)定的服務(wù)期限更新時間后才連接IBC 密鑰服務(wù)系統(tǒng)查詢其更新后的安全服務(wù)等級及服務(wù)期限���。
7. 根據(jù)權(quán)利要求1所述的電子通信標識的IBC分級使用方法�����,其特征是:簽名數(shù)據(jù)的 簽名方的密碼模塊在進行數(shù)字簽名時將簽名所用的IBC電子通信標識的安全服務(wù)等級和 服務(wù)期限信息加入到簽名數(shù)據(jù)中;簽名數(shù)據(jù)的驗證方的密碼模塊在進行數(shù)字簽名驗證時從 簽名數(shù)據(jù)中獲取簽名所用的IBC電子通信標識的安全服務(wù)等級和服務(wù)期限并更新本地IBC 密鑰信息中的IBC電子通信標識及其安全服務(wù)等級和服務(wù)期限���。
8. 根據(jù)權(quán)利要求1所述的電子通信標識的IBC分級使用方法��,其特征是:若用戶在IBC 密鑰服務(wù)系統(tǒng)注冊有IBC電子通信標識��,則用戶能夠從IBC密鑰服務(wù)系統(tǒng)獲取安全等級不 高于已注冊的IBC電子通信標識的安全服務(wù)等級的IBC私鑰����。
9. 根據(jù)權(quán)利要求1所述的電子通信標識的IBC分級使用方法,其特征是:所述IBC密 鑰服務(wù)系統(tǒng)對電子通信標識歸屬確認的基本操作是:由IBC密鑰服務(wù)系統(tǒng)向電子通信標識 對應(yīng)的通信地址或終端發(fā)送隨機字串��,然后由電子通信標識擁有者將接收到的隨機字串返 回到IBC密鑰服務(wù)系統(tǒng)��,IBC密鑰服務(wù)系統(tǒng)通過比對發(fā)送和返回的隨機字串是否一致完成 確認操作���。
【文檔編號】H04L29/06GK104065483SQ201410250977
【公開日】2014年9月24日 申請日期:2014年6月6日 優(yōu)先權(quán)日:2014年6月6日
【發(fā)明者】龍毅宏, 唐志紅 申請人:武漢理工大學(xué)