[发明专利]一种基于多层密钥生成中心的密钥分发方法及相关系统

权利要求书

1.一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述多层密钥生成中心包括一级PKG和多个二级PKG，所述一级PKG是可信PKG，约定两层PKG之间使用的通信协议和公共参数，所述二级PKG的公钥由一级PKG指定，所述二级PKG的私钥由一级PKG生成并写入二级PKG的配置文件；所述方法包括：

S1，二级PKG接收用户的私钥申请请求，并检索数据库中是否存储所述用户的私钥，若是，则将其发送给所述用户；若否，执行S2；

S2，二级PKG使用约定的通信协议向一级PKG转发所述用户的私钥申请请求；

S3，一级PKG通过二级PKG的公钥验证二级PKG的身份；若验证通过，一级PKG生成所述用户的私钥并使用二级PKG的公钥和自身的私钥通过约定的通信协议发送给二级PKG；

S4，二级PKG验证一级PKG发送的用户私钥，若验证成功，则将其存入数据库并发送给用户。

2.根据权利要求1所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述二级PKG由一级PKG以行政方式认证、产生和部署。

3.根据权利要求1所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述二级PKG的私钥由约定的通信协议定义的密码算法生成，二级PKG使用解密私钥解密其收到的非对称加密消息，二级PKG使用签名私钥对其发送的消息签名。

4.根据权利要求1所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述S2中，所述约定的通信协议中，使用一级PKG的公钥作为非对称加密的密钥，二级PKG的签名私钥作为数字签名的密钥。

5.根据权利要求1所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述S3中，所述约定的通信协议中，使用二级PKG的公钥作为非对称加密的密钥，一级PKG的签名私钥作为数字签名的密钥。

6.根据权利要求1所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述S2包括：

二级PKG使用自身的签名私钥对消息明文进行签名得到签名数据，对所述签名数据和所述消息明文进行拼接压缩得到压缩数据，利用会话密钥对所述压缩数据进行对称加密得到加密数据，再利用所述一级PKG的公钥对所述会话密钥进行加密得到加密的会话密钥；将所述加密数据和加密的会话密钥通过约定的通信协议发送给一级PKG；

所述S3中，所述一级PKG通过二级PKG的公钥验证本次请求的数字签名部分，以验证二级PKG的身份，包括：

一级PKG使用自身的解密私钥对所述加密的会话密钥进行解密得到解密的会话密钥，对所述加密数据进行对称解密得到解密数据，对所述解密的会话密钥和所述解密数据进行解压缩分离得到所述消息明文和所述签名数据，并利用所述二级PKG的公钥进行身份验证。

7.根据权利要求1至6任一项所述的一种基于多层密钥生成中心的密钥分发方法，其特征在于，所述约定的通信协议为后量子安全的通信协议。

8.一种多层密钥生成中心，其特征在于，所述多层密钥生成中心包括一级PKG和多个二级PKG；

所述一级PKG是可信PKG，用于约定两级PKG之间使用的通信协议和公共参数，以及指定二级PKG的公钥，生成二级PKG的私钥并写入二级PKG的配置文件；

所述二级PKG用于，接收用户的私钥申请请求，并检索数据库中是否存储所述用户的私钥，若是，则将其发送给所述用户；若否，则使用约定的通信协议向一级PKG转发所述用户的私钥申请请求；

所述一级PKG还用于，通过二级PKG的公钥验证二级PKG的身份；若验证通过，一级PKG生成所述用户的私钥并使用二级PKG的公钥和自身的私钥通过约定的通信协议发送给二级PKG；

所述二级PKG还用于，验证一级PKG发送的用户私钥，若验证成功，则将其存入数据库并发送给用户。