本發明提供了一種基于標識密碼的分布式密鑰管理、驗證方法及系統，利用動態臨時的身份標識符EID，結合標識密碼SM9，使得系統可以在保護用戶隱私和防止關聯性分析和追蹤的基礎上，對經過各驗證節點的流量進行匿名驗證，進一步增強了整體的安全性、靈活性和驗證效率。

技術領域

本發明涉及計算機領域，尤其涉及一種基于標識密碼的分布式密鑰管理、驗證方法及系 統。

背景技術

標識密碼(Identity-Based Cryptography,IBC)利用主密鑰和用戶標識，通過密鑰生成中 心(Key Generation Center,KGC)產生用戶私鑰，用戶的公鑰由用戶的唯一標識信息產生， 從而用戶不需要通過第三方(如CA)來保證其公鑰來源的真實性。這一簡化措施，極大地 拓寬了公鑰密碼體制的應用范圍和場景，也節省了傳統公鑰密碼體制在密鑰產生、證書簽發、 密鑰管理等方面的開支。但標識密碼體系中也存在著一些未解決的問題，如私鑰分發的安全 性問題、公鑰生成參數管理問題和密鑰撤銷問題等等。另外，在內生安全特性的網絡架構研 究中，提出了將身份標識符ID與位置標識符Loc從當前IP地址中解耦，并對永久身份標識 符ID進行混淆加密生成臨時動態的標識符EID,以兼顧真實性、可審計性和隱私性，但如何 根據動態EID對流量進行驗證仍是一大問題。

發明內容

本發明旨在提供一種克服上述問題或者至少部分地解決上述問題的基于標識密碼的分布 式密鑰管理、驗證方法及系統。

為達到上述目的，本發明的技術方案具體是這樣實現的：

本發明的第一個方面提供了一種基于標識密碼的分布式密鑰管理方法，包括：構建區塊 鏈系統，其中，所述區塊鏈系統包括N個身份管理者節點,N≥2且為整數；將區塊鏈賬本存 儲至所述區塊鏈，其中，所述區塊鏈賬本包括：KGC-公鑰生成參數映射表，所述KGC-公鑰 生成參數映射表包括KGC信息與所述KGC公開的公鑰生成參數的對應關系；其中，所述區 塊鏈賬本通過如下方式獲得：各個所述身份管理者節點向所述區塊鏈發起寫入數據請求， 按照預設的共識算法將各自的賬本數據寫入到所述區塊鏈賬本中，其中，所述寫入數據請 求中包含KGC-公鑰生成參數映射表數據，所述公鑰生成參數為各個所述身份管理者節點向 對應域內的密鑰生成中心查詢到的對應域公鑰生成參數；和/或各個所述身份管理者節點 向所述區塊鏈發起刪除數據請求，按照預設的共識算法刪除所述區塊鏈賬本中對應的數 據，其中，所述刪除數據請求中包含所述KGC-公鑰生成參數映射表中的一項或多項數據； 和/或各個所述身份管理者節點向所述區塊鏈發起更新數據請求，按照預設的共識算法更 新所述區塊鏈賬本中對應的數據，其中，所述更新數據請求中包含所述KGC-公鑰生成參數 映射表中的一項或多項數據。

其中，所述公鑰生成參數包括：主公鑰；曲線識別符cid；橢圓曲線基域F的參數；橢圓 曲線方程參數；扭曲線參數β；曲線階的素因子N和相對于N的余因子cf；曲線E相對于N的嵌入次數k；E的N階循環子群G1的生成元P1；E的N階循環子群G2的生成元P2；雙線性 對e的識別符eid。

本發明另一方面提供了一種基于上述的標識密碼的分布式密鑰管理方法的驗證方法，包 括：ID驗證者根據數據包中源發送方提供的KGC信息在緩存的所述KGC-公鑰生成參數映 射表中查找與所述KGC信息對應的公鑰生成參數；如果未在緩存中查找到所述源發送方提 供的所述KGC信息對應的公鑰生成參數，則向域內身份管理者節點查找與所述KGC信息對 應的公鑰生成參數，并在緩存中添加與所述KGC信息對應的公鑰生成參數；所述ID驗證 者獲取與所述KGC信息對應的公鑰生成參數，根據發送方EID和與所述KGC信息對應的公 鑰生成參數生成公鑰，根據公鑰和數字簽名對發送方進行驗證，在根據公鑰和數字簽名對 發送方進行驗證通過后，將所述數據包轉發至接收端終端；所述接收端終端獲取與所述KGC 信息對應的公鑰生成參數，根據發送方EID和與所述KGC信息對應的公鑰生成參數生成公 鑰，根據公鑰和數字簽名對發送方進行驗證，并在驗證通過后，接收所述數據包。