本發明公開一種基于標識的非對稱密鑰簽發的方法及系統，包括：密鑰生成中心接收到用戶提交的注冊信息，根據注冊信息確定密鑰載體，向載體發送通信密鑰協商請求，密鑰載體接收到通信密鑰協商請求后生成密鑰申請請求并發送給密鑰生成中心，密鑰生成中心接收到密鑰申請響應后生成用戶私鑰，并對用戶私鑰進行加密后返回給密鑰載體，密鑰載體接收到用戶私鑰進行驗證，驗證成功后，將用戶私鑰存入安全區；本專利是基于身份標識的密鑰簽發的方法，簡化了密鑰簽發的配置與管理，同時采用雙向身份鑒別，增強了安全性。

技術領域

本發明涉及信息安全領域，特別涉及一種基于標識的非對稱密鑰簽發的方法及系統。

背景技術

身份認證是網絡安全的重要機制之一，也是實現身份信息保密的重要技術。目前大多數應用系統采用用戶名加口令方式實現身份驗證，網絡之間的信息傳輸都是明文。

這種傳統的認證方式存在很多的安全隱患，用戶為了便于記憶，其用戶名和密碼往往過于簡單且帶有一定的規律性，易被猜測、易泄露；同時用戶在輸入密碼時易被偷窺，而密碼在傳輸的過程中也易被黑客截獲；信息以明文形式傳輸，或密文的加密強度太低，很容易破解；如果設置數字證書安全性會增高，但是系統的配置與管理又比較繁瑣。

發明內容

本發明提供一種基于身份標識的密鑰簽發的方法及系統，簡化了密鑰簽發的配置和管理，同時采用雙向身份鑒別，增強了安全性。

根據本發明，一種基于身份標識的密鑰簽發的方法包括：

步驟a1：當密鑰生成中心接收到用戶提交的注冊信息時，保存所述用戶注冊信息，根據保存的用戶注冊信息確定密鑰載體，并向所述密鑰載體發送通信密鑰協商請求；

步驟b1：所述密鑰載體接收所述通信密鑰協商請求，生成第一對稱加密密鑰，并使用通信公鑰加密所述第一對稱加密密鑰生成密鑰申請請求，并將所述密鑰申請請求發送給所述密鑰生成中心；

步驟c1：所述密鑰生成中心接收到所述密鑰申請請求之后，使用預設通信私鑰解密所述密鑰申請請求，得到所述第一對稱加密密鑰，并根據函數標識符、有效期以及生成私鑰的算法函數，結合主私鑰、雙線性曲線的生成元以及用戶標識生成用戶私鑰；

步驟d1：所述密鑰生成中心結合用戶信息生成第一數據，使用所述預設通信私鑰對所述第一數據作數字簽名得到第一簽名值，用所述第一對稱加密密鑰對生成的所述用戶私鑰、所述用戶標識以及所述第一簽名值進行加密，生成密鑰申請響應，向所述密鑰載體返回密鑰申請響應；

步驟e1：所述密鑰載體接收到所述密鑰申請響應之后，用所述第一對稱加密密鑰解密所述密鑰申請響應獲得第一簽名值，對所述第一簽名值進行驗證，并判斷所述第一簽名值是否驗證成功，如果是，執行步驟f1；否則，密鑰申請失敗，結束；

步驟f1：所述密鑰載體根據所述第一簽名值得到用戶私鑰并將所述用戶私鑰存入安全區，結束。

一種基于身份標識的密鑰簽發的系統包括：

密鑰生成中心和密鑰載體；

其中，所述密鑰生成中心具體包括：

第一接收模塊，用于接收用戶提交的注冊信息以及密鑰申請請求；

保存模塊，用于保存所述第一接收模塊接收到的所述用戶提交的注冊信息；

第一發送模塊，用于當所述密鑰生成中心根據所述用戶提交的注冊信息確定密鑰載體后，向所述密鑰載體發送通信密鑰協商請求；

第一生成模塊，用于當所述第一接收模塊接收到所述密鑰申請請求后，生成用戶私鑰；

第二生成模塊，用于結合用戶信息生成第一數據；

簽名模塊，用于使用預設通信私鑰對所述第一數據作數字簽名得到第一簽名值；