技術領域

本發明屬于加密技術領域，是一種集成IBE（Identity?Based?Encryption）數據加密系統，特別地是一種集CA身份認證、標識認證、IBE密鑰服務、IBE服務發布、IBE密鑰管理、IBE加密應用于一體的IBE數據加密系統。

背景技術

公開密鑰加密（Public?Key?Cryptography），也稱為非對稱密鑰加密（Asymmetric?Key?Cryptography），涉及一對相互關聯的密鑰（稱為非對稱密鑰對），其中一個可公開，稱為公鑰（Public?Key），用于數據的加密和數字簽名的驗證，另一個不公開，稱為私鑰（Private?Key），由特定的實體擁有并保存，用于加密數據的解密和數字簽名（因此，非對稱密鑰對也稱為公開密鑰對）。為了提高數據加密、解密的效率，在使用公開密鑰加密技術的實際應用中，當一方向另一方發送加密數據時，發送方通常先用一個隨機產生的對稱密鑰（也稱為會話密鑰）對數據進行加密，然后再使用接收方的公鑰對該隨機產生的對稱密鑰進行加密，之后，發送方將加密后的數據和加密后的對稱鑰（會話密鑰）一起發送到接收方；接收方接收到加密數據及加密后的對稱密鑰后，先用自己的私鑰解密加密的對稱密鑰（會話密鑰），然后再用解密后的對稱密鑰解密數據。目前最常用的公開密鑰算法是RSA和DSA算法，以及最新獲得廣泛重視的ECC（Elliptic?Curve?Cryptography）算法。

從以上描述可以看到在公開密鑰體系中，一方要向另一方發送加密數據，必須先獲得對方的公鑰，因此，公鑰的擁有者（即加密數據的接收方）需通過一定的安全途徑發布其公鑰，以便其他人（或實體）能夠使用其公鑰向其發送加密數據。為了解決這一問題，在公開密鑰體系中，人們提出了公開密鑰基礎設施（Public?Key?Infrastructure，PKI)安全技術體系。在PKI體系中，由一個數字證書認證中心（Certification?Authority，CA）作為可信的第三方通過證書認證系統（CA系統）向公鑰的擁有者（實體）簽發數字證書（Digital?Certificate）來進行用公鑰的發布，其中證書格式是X509。CA簽發的數字證書除了包含證書持有人（公鑰擁有者）的公鑰外，還包含有證書持有人的其他身份信息，如姓名、所屬組織、電子郵件地址等。證書由CA使用其私鑰進行數據簽名，以保證證書中信息的可信性、安全性、完整性。通常情況下，數字證書對應的公鑰及私鑰既可以用于數據加密、解密，也可以用于數字簽名、簽名驗證。但根據實際應用需要，數字證書有時又可分為加密數字證書和身份數字證書，前者僅用于數據的加密解密，后者可用于身份鑒別、數字簽名及簽名驗證。有了數字證書，一方要向另一方發送加密數據，發送方需事先通過一定的途徑（如從CA系統的證書目錄服務）獲取接收方的（加密）數字證書，然后從數字證書中提取接收方的公鑰。

在PKI體系中，要發送加密數據，必須事先獲取接收方的（加密）數字證書，這對于許多普通用戶來說不是一件容易的事，這也是PKI技術體系在實際應用中存在的一個比較突出的問題。為了解決這一問題，人們提出了基于身份標識的加密（Identity?Based?Encryption，IBE)。IBE也是一種公開密鑰加密技術，使用IBE進行傳送數據加密時，發送方無需事先獲得接收方的數字證書，只需事先知道可唯一標識對方身份的一個標識（如身份證號、電子郵件地址等），然后基于這個身份識別結合一組公開參數（稱為IBE公開參數）就可以進行數據加密（類似地，通常是先用一個隨機產生的對稱密鑰加密數據，然后用IBE公鑰加密隨機產生的對稱密鑰）。這里，身份標識和一組公開參數就構成了IBE公鑰（但在實際應用中人人常常把身份標識簡稱為公鑰）。接收方收到數據后，使用自己身份標識對應的私鑰即可解密數據（嚴格說來，私鑰也是由一組公開參數和通過身份標識計算得到私密信息構成）。接收方身份標識對應的私鑰是由一個IBE密鑰服務器（IBE?Key?Server）產生的（IBE密鑰服務器也稱為私鑰產生器，Private?Key?Generator，PKG）。接收方要獲得自己身份標識對應的IBE私鑰，需先在IBE密鑰服務器完成身份鑒別并證明其是相應身份標識的擁有者，之后再通過安全通道從IBE密鑰服務器獲得其IBE私鑰，并將私鑰安全保存（在本地計算設備或專門的密碼裝置中）以供日后使用。除了為用戶產生IBE私鑰外，IBE密鑰服務器會通過安全方式發布一組公開參數，以便任何人用其（結合身份標識）進行數據加密。