技術領域

本發明涉及一種用戶私鑰的安全管理方法，具體為一種基于身份公鑰密碼體制的私鑰安全管理方法。本發明可為電子商務、物聯網、云計算等應用環境中的實體鑒別、不可否認性（抗抵賴）等安全服務提供可靠且實用的私鑰安全管理方法。?

背景技術

為解決在信息化、網絡化環境下的安全問題，世界各國經過多年的研究，初步形成了一套完整的解決方案，即公開密鑰基礎設施（Public?Key?Infrastructure，PKI）。PKI是基于公開密鑰理論和技術建立起來的安全體系，是提供信息安全服務的具有普適性的安全基礎設施。該體系通過標準的接口為網絡應用提供實體鑒別、數據的保密性、數據的完整性和交易的不可否認性（抗抵賴）等安全服務，因而是信息安全的關鍵技術。?

隨著基于開放性網絡的公共基礎設施迅速發展，應用越來越廣泛，對身份認證的需求也越來越普遍，但是在實際應用中，PKI日益突顯出很多問題。一方面，使用任何公鑰前都需要先驗證公鑰證書的合法性，因而增加了用戶的計算量；另一方面，CA需要管理大量的證書，包括證書的頒發、存儲和撤銷，對應用系統的計算和存儲開銷要求較高。?

為解決PKI在實際應用中存在的問題，在1984年密碼學權威Shamir首次提出了基于身份加密（IBE，Identity－based?Encryption）方案的概念。在這種體制中，用戶的身份信息（如身份證號碼，電話號碼，郵件地址等）直接作為用戶的公鑰，無需通過數字證書進行綁定，同傳統公鑰密碼體制PKI相比，簡化了證書管理、降低了系統開銷。另外，基于身份的密鑰體制一般是建立在?橢圓曲線理論基礎之上，具有密鑰長度小、加密速度快和安全性更強等特點。因此，為上層應用環境提供了更安全、更高效的安全平臺。?

目前對私鑰的管理主要采用以下兩種方法以及它們各自的優缺點：?

1.以用戶為中心的私鑰管理方法?

以用戶為中心的私鑰管理方法中私鑰是由用戶自己安全產生且保管。目前用戶通常采用智能型eKey對私鑰進行安全管理，因為它不僅具有存儲功能，而且還具有計算功能，即私鑰是在智能型eKey內部產生且保存在eKey的私有區，永不出eKey。?

這種方法的優點是：私鑰完全是由用戶自己負責，解決了私鑰托管問題；私鑰在產生和使用過程中都是在智能型eKey的私有區內完成，其安全性高；由于私鑰是在用戶端產生，不需要對私鑰分發，減少了額外的負擔。缺點是：私鑰僅有一份保存eKey的私有區，很難實現用戶私鑰的備份和恢復。?

2.以可信第三方為中心的私鑰管理方法?

以可信第三方為中心的私鑰管理方法中私鑰通常是由可信第三方產生，再由可信第三方安全發送給用戶，用戶再安全存儲在本地。同時，可信第三方需要安全備份用戶的私鑰，以方便用戶私鑰的恢復。?

這種方法的優點是：由于可信第三方備份有用戶的私鑰，易于實現用戶私鑰的恢復。但缺點是：存在私鑰托管問題，即可信第三方掌控所有用戶的私鑰，一旦被惡意者攻擊，所有用戶的私鑰將被泄漏，其安全性低；在私鑰分發過程中，需要額外的安全通道來傳輸私鑰，增加了系統的開銷。?

因此，已有的私鑰管理方法中要想保障私鑰的絕對安全性，就很難實現私鑰的備份和恢復；另外，要想實現私鑰的備份和恢復，其私鑰的安全性就存在一定的風險，即私鑰托管問題。另外，私鑰的分發、存儲、備份、恢復及使用等過程還需要硬件設備或其它安全技術來保障。因此，提出一種安全有效的私鑰管理方法是實現各種應用平臺安全的基礎。?

發明內容

本發明的目的在于提供一種基于身份公鑰密碼體制的私鑰安全管理方法。使用該方法既解決了私鑰的托管問題，又易于實現私鑰的備份和恢復，且私鑰只在備份過程中采用口令進行盲化，而在分發、存儲和使用等過程中無需增加任何安全措施便可保證鑰私的安全性，對用戶來說使用方便、代價低。?

本發明是采用以下技術手段實現的：?