[发明专利]一种集成IBE数据加密系统

摘要

本发明涉及一种集成IBE数据加密系统，包括：IBE密钥服务器、CA证书认证系统、标识认证系统、IBE服务发布系统、IBE加密应用程序、IBE加密API、IBE密码模块、IBE密钥管理客户端。IBE服务发布系统在线发布相关服务系统的信息；加密应用程序通过IBE加密API调用IBE密码模块完成IBE数据加密、解密功能；IBE密码模块通过IBE密钥管理客户端连接IBE密钥服务器获取加密、解密所需的IBE公开参数和IBE私钥；获取私钥时，密钥管理客户端从标识认证系统获得身份标识拥有证明；在线交互过程中，密钥管理客户端利用CA系统签发的身份证书证明用户的身份。本发明解决了IBE加密中所面临的身份安全性、标识归属确认可靠性以及公开参数获取便捷性等关键问题。

主权项

一种集成IBE数据加密系统，包括：IBE密钥服务器：包括在线发布IBE公开参数，以及在完成用户在线身份鉴别并确认用户是身份标识的拥有者后，为用户产生身份标识对应的IBE私钥，并通过安全通道将IBE私钥在线返回给用户；IBE密钥服务器发布的所述IBE公开参数有一组或多组，每组具有不同的版本号；CA证书认证系统：接收用户提交的身份数字证书签发请求，并在通过相应的方式验证证书申请者提交的身份信息的真实性、确认证书申请者就是其声称的本人之后，为用户签发在线证明其身份的身份数字证书；标识认证系统：接收用户成为标识认证系统的服务用户的帐户注册请求，并在完成相关验证、确认后，批准用户的帐户注册申请并为用户创建相应的帐号；接收已注册用户提交的身份标识注册请求，并在通过相应的方式验证、确认用户就是申请注册的身份标识的拥有者后，将所述身份标识与用户在标识认证系统中的帐户或用户身份进行关联、对应，即实现用户身份与加密身份标识的绑定；当用户在IBE密钥服务器在线请求获取IBE私钥时，为用户在线签发证明其是身份标识拥有者的身份标识安全令牌；身份标识安全令牌由标识认证系统数字签名并有时效限制；IBE服务发布系统：在线发布整个IBE加密系统中的一个或多个IBE密钥服务器，一个或多个标识认证系统，以及一个或多个CA证书认证系统的相关信息，包括每个IBE密钥服务器、标识认证系统以及CA证书认证系统的服务地址、端口；IBE加密应用程序：使用IBE进行数据加密、解密的应用程序，所述IBE加密应用程序通过调用IBE加密API进行IBE数据加密、解密以及相关密钥操作，包括密钥产生、密钥导出以及密钥导入；IBE加密API：由应用程序调用，进行基于IBE的数据加密、解密以及密钥相关操作，包括密钥产生、密钥导出以及密钥导入；所述IBE加密API通过调用IBE密码模块实现相应的数据加密和解密功能；所述IBE加密API或者通过调用IBE密码模块，或者通过调用IBE密钥管理客户端，实现与IBE密钥相关的操作功能；IBE密码模块：进行IBE数据加密、解密运算以及IBE密钥存储的软件和/或硬件模块，所述IBE密码模块通过调用IBE密钥管理客户端实现与IBE密钥相关的操作功能，包括获取IBE公开参数和IBE私钥；IBE密钥管理客户端：与IBE加密应用程序运行在同一主机上，通过与IBE服务发布系统、标识认证系统以及IBE密钥服务器进行在线交互，获取IBE公开参数以及IBE私钥的一个IBE密钥管理组件；所述IBE密钥服务器基于用户的身份数字证书对用户进行在线身份鉴别，基于标识认证系统在线签发的身份标识安全令牌确认用户就是身份标识的拥有者；在整个IBE数据加密系统中，所述IBE密钥服务器有一个或多个，用于构建、提供IBE密钥服务；所述IBE公开参数版本号用于区分一个IBE密钥服务发布的不同IBE公开参数，版本号高的对应最新发布的；IBE加密API或IBE密码模块应使用高版本号的IBE公开参数进行数据加密；所述身份数字证书是指仅用于在线身份鉴别、证明用户身份的数字证书，其公钥和私钥不用于数据加密和解密；所述CA证书认证系 统在签发身份数字证书前验证申请者提交的身份信息的真实性和确认申请者就是申请者本人的方式包括在线和/或离线方式；所述在线方式由CA证书认证系统通过相关的技术手段自动完成，所述离线方式由CA证书认证系统的运营机构的服务人员通过相关的人工手段和流程完成；在整个IBE数据加密系统中，所述CA证书认证系统有一个或多个，用于构建、提供身份认证服务；多个CA证书认证系统间签发的身份数字证书通过相应的证书互信互操作技术实现证书互认、互信、互操作，包括CA证书信任列表、桥交叉认证；用户在标识认证系统进行帐户注册申请时，需使用用户的身份数字证书进行在线身份鉴别；用户在标识认证系统的注册帐户中的相关身份信息与用户的身份数字证书中的相应身份信息保持一致；用户登录标识认证系统进行身份标识注册或获取身份标识安全令牌时，需使用身份数字证书进行在线身份鉴别；用户进行身份标识注册时，所述验证、确认用户就是身份标识的拥有者的方式包括在线和/或离线方式；在整个IBE加密系统中，所述标识认证系统有一个或多个，用于构建、提供标识认证服务；所述IBE密钥管理客户端或者在数据加密或解密过程中被IBE加密API或IBE密码模块直接或间接调用，或者被用户通过人机界面直接使用，以获取IBE公开参数和IBE私钥；使用IBE进行数据解密的用户需首先在IBE数据加密系统中的一个CA证书认证系统获得一张在线证明其身份的身份数字证书，然后在IBE数据加密系统中的一个标识认证系统注册一个帐户成为标识认证系统的一个服务用户，之后，再在标识别认证系统注册其用于IBE数据解密的身份标识，由标识别认证系统将注册的身份标识与用 户的身份或其在标识认证系统中的帐户关联、绑定。