[发明专利]一种基于多层密钥生成中心的密钥分发方法及相关系统

说明书

本发明公开了一种基于多层密钥生成中心的密钥分发方法及相关系统，属于密码学领域。多层密钥生成中心包括一级PKG和多个二级PKG，密钥分发方法包括：S1，二级PKG接收用户的私钥申请请求，并检索数据库中是否存储用户的私钥，若是，则将其发送给用户；若否，执行S2；S2，二级PKG使用约定的通信协议向一级PKG转发用户的私钥申请请求；S3，一级PKG通过二级PKG的公钥验证二级PKG的身份；若验证通过，一级PKG生成用户的私钥并使用二级PKG的公钥和自身的私钥通过约定的通信协议发送给二级PKG；S4，二级PKG验证一级PKG发送的用户私钥，若验证成功，则将其存入数据库并发送给用户。如此，本发明能有效解决高并发问题，突破单一中心式的PKG存在的性能瓶颈。

技术领域

本发明属于密码学领域，更具体地，涉及一种基于多层密钥生成中心的密钥分发方法及相关系统。

背景技术

SM9算法是国密算法标准中一种基于身份的密码系统，提供密钥生成服务。SM9算法以用户的公开ID作为用户的公钥，并根据用户的ID由密钥生成中心生成用户私钥。使用SM9算法替代数字证书，可以大大降低密钥管理开销。在采用SM9算法的体系中，密钥生成中心需要认证用户身份，生成用户私钥，因此被称为PKG(Private Key Generator)。但是单一中心的PKG存在高并发问题下的性能瓶颈问题。目前申请SM9私钥时并不能使用免费邮箱地址作为用户ID。

发明内容

针对现有技术的缺陷和改进需求，本发明提供了一种基于多层密钥生成中心的密钥分发方法及相关系统，通过设计两级PKG的分层结构，能有效解决高并发问题，突破单一中心式的PKG存在的性能瓶颈。

为实现上述目的，第一方面，本发明提供了一种基于多层密钥生成中心的密钥分发方法，所述多层密钥生成中心包括一级PKG和多个二级PKG，所述一级PKG是可信PKG，约定两层PKG之间使用的通信协议和公共参数，所述二级PKG的公钥由一级PKG指定，所述二级PKG的私钥由一级PKG生成并写入二级PKG的配置文件；所述方法包括：S1，二级PKG接收用户的私钥申请请求，并检索数据库中是否存储所述用户的私钥，若是，则将其发送给所述用户；若否，执行S2；S2，二级PKG使用约定的通信协议向一级PKG转发所述用户的私钥申请请求；S3，一级PKG通过二级PKG的公钥验证二级PKG的身份；若验证通过，一级PKG生成所述用户的私钥并使用二级PKG的公钥和自身的私钥通过约定的通信协议发送给二级PKG；S4，二级PKG验证一级PKG发送的用户私钥，若验证成功，则将其存入数据库并发送给用户。

进一步地，所述二级PKG由一级PKG以行政方式认证、产生和部署。

进一步地，所述二级PKG的私钥由约定的通信协议定义的密码算法生成，二级PKG使用解密私钥解密其收到的非对称加密消息，二级PKG使用签名私钥对其发送的消息签名。

进一步地，所述S2中，所述约定的通信协议中，使用一级PKG的公钥作为非对称加密的密钥，二级PKG的签名私钥作为数字签名的密钥。

进一步地，所述S3中，所述约定的通信协议中，使用二级PKG的公钥作为非对称加密的密钥，一级PKG的签名私钥作为数字签名的密钥。

进一步地，所述S2包括：二级PKG使用自身的签名私钥对消息明文进行签名得到签名数据，对所述签名数据和所述消息明文进行拼接压缩得到压缩数据，利用会话密钥对所述压缩数据进行对称加密得到加密数据，再利用所述一级PKG的公钥对所述会话密钥进行加密得到加密的会话密钥；将所述加密数据和加密的会话密钥通过约定的通信协议发送给一级PKG；所述S3中，所述一级PKG通过二级PKG的公钥验证本次请求的数字签名部分，以验证二级PKG的身份，包括：一级PKG使用自身的解密私钥对所述加密的会话密钥进行解密得到解密的会话密钥，对所述加密数据进行对称解密得到解密数据，对所述解密的会话密钥和所述解密数据进行解压缩分离得到所述消息明文和所述签名数据，并利用所述二级PKG的公钥进行身份验证。