[发明专利]一种基于媒介数字证书的IBE数据加密系统

摘要

本发明是一种基于媒介数字证书的IBE数据加密系统，本发明的系统包括四个组成部分：IBE CSP、IBE密钥管理客户端、IBE密钥服务器以及IBE客户端安装软件，其中IBE CSP是本发明的核心和关键。本发明使得不支持IBE加密技术的系统、应用能够使用IBE技术进行数据加密与解密。本发明以媒介数字证书为桥梁，通过一个注册提供RSA、ECC或其他X509证书支持的非对称密码算法、但实际上实现IBE算法的Windows CSP，将基于RSA、ECC或其他非对称密码算法的数据加密、解密运算自动转换为相应的基于IBE算法的数据加密、解密运算。

主权项

一种基于媒介数字证书的IBE数据加密系统，该系统由如下四个部分组成：IBE CSP：一个注册提供某种非对称密码算法的特定类型的Windows CSP，它通过扩展接口函数完成IBE密钥的存储操作，通过CryptoSPI接口函数提供其他的密码操作与运算功能，其中，对于基于所述非对称密码算法的数据加密解密运算，它将其转换成相应的基于IBE的数据加密解密运算，而对于其它的密钥操作及密码运算，它通过CryptoSPI直接调用一个Windows自带的相同类型的CSP完成相应的操作与运算，该Windows自带的相同类型的CSP称为IBE关联CSP；IBE密钥管理客户端：负责自签名根CA数字证书的生成和签名，媒介数字证书的生成和签名，IBE密钥的获取和存储；在加密数据的发送方，它负责基于接收方的身份标识产生接收方的IBE公钥并将其保存在本地计算机系统中，以及生成身份标识对应的媒介数字证书，供加密应用软件使用；对于身份标识的拥有者，即加密数据接收方，它负责根据身份标识产生对应的媒介数字证书，从IBE密钥服务器获得标识对应的IBE私钥，并将IBE密钥对保存到IBE CSP中供加密应用软件使用；IBE密钥服务器：负责对身份标识拥有者进行身份鉴别，验证其是身份标识的真正拥有者，为标识产生IBE私钥并通过安全通道将IBE私钥返回给身份标识的拥有者；IBE客户端安装软件：负责IBE CSP和IBE密钥管理客户端的安装及设置；所述非对称密码算法是指X509证书支持的、能用于对称密钥或数据加密解密的非对称密码算法，包括但不限于RSA、ECC算法；所述非对称密码算法的所述特定CSP类型，是指提供所述非对称密码算法密码功能的一个特定的CSP类型，包括但不限于Windows目前已定义的CSP类型；所述IBE CSP扩展接口函数，是在CryptoSPI接口函数之外定义的专门用于IBE密钥存储操作的接口函数；所述媒介数字证书是一种符合X509规范的加密用途的数字证书，它由用户的IBE密钥管理客户端自己生成的一个自签名根CA证书的私钥来签发，且被签发的证书的主题名与该用户的身份标识相对应；所述自签名根CA证书的主题名和颁发者名相同，具有固定的特定名称，且该自签名根CA证书的序列号具有固定值；所述加密数据的发送方即数据的加密方，而所述加密数据的接收方即加密数据的解密方。