[发明专利]一种基于身份信息的非对称密钥分发及消息加密方法

摘要

本发明涉及信息安全领域，旨在提供一种基于身份信息的非对称密钥分发及消息加密方法。该基于身份信息的非对称密钥分发及消息加密方法包括：企业管理员初始化以及用户注册过程、用户点对点进行通信过程、用户多对多进行通信过程。本发明能够更安全得分发用户个人密钥；能够分企业，分情况去构建密钥管理体系；能减少用户公钥管理数量，简便用户端的公钥体验；降低私钥被拦截，窃取的几率；增加了整个公钥系统的速度和操作可行性；增加了公钥系统对移动端或其他端的适配性；将对称加密体系和非对称加密体系结合使用在了认证与数据传输阶段。

主权项

1.一种基于身份信息的非对称密钥分发及消息加密方法，用于实现企业用户之间的加密通信，其特征在于，所述基于身份信息的非对称密钥分发及消息加密方法包括下述过程：一、企业管理员初始化以及用户注册过程；二、用户点对点进行通信过程；三、用户多对多进行通信过程；所述过程一具体包括下述步骤：步骤A：建立CA证书认证的密钥分发服务器，简称密钥坞，从CA获取主公钥和主私钥，并将主公钥装入所有企业用户的客户端模块，即终端中；步骤B：企业x向密钥坞发起企业x认证初始化，密钥坞接受认证后，生成企业x专用分公钥和分私钥，并且从企业x处导入所有企业x的用户的个人特征信息表；步骤C：用户a通过终端向密钥坞申请帐号，并发送企业x特征，密钥坞确认企业特征，并返回企业x分公钥；在确认具体企业x后，终端对用户输入的个人特征信息与一个随机量，通过企业x分公钥进行加密并将消息发送给密钥坞，密钥坞对用户a发来消息使用企业x分私钥进行解密，然后判断用户a的个人特征信息是否在企业提交的个人特征信息表中，若不存在，则丢弃，若存在，则继续下一步骤；步骤D：密钥坞将步骤C中由终端传到密钥坞的随机量，通过企业x分私钥计算一个k值，然后通过基于身份的非对称加密算法中的生成私钥部分，利用参数：企业x的分公钥和分私钥、用户a的ID，生成一个用户a的私钥d，用户a的ID记为IDa，用户a的私钥d记为da；同时将用户a的ID发送给用户a；步骤E：使用步骤D生成的k值，密钥坞将生成的用户a的私钥d加密后发送给用户a；用户a收到后，通过企业x分公钥和步骤C中生成的随机量进行计算，获得与步骤D中一样的k值，再利用k值解密私钥d，并保存至终端，完成用户私钥分发；所述过程二中，用户b与用户a一样，通过步骤C、D、E的方法获得个人ID、私钥，分别记为IDb、db；用户a与用户b点对点进行通信具体包括下述步骤：步骤F：用户a取得用户b的IDb、自己的私钥da，通过基于身份的非对称加密算法，计算出一个临时会话密钥k`；然后，利用k`计算用户a与用户b之间明文消息m的密文，再将加密的数据发送给用户b；步骤G：用户b接受到数据后，通过用户a的IDa、自己的私钥db，通过基于身份的非对称加密算法计算出k`，通过对称解密解出明文消息m，实现用户a与用户b的点对点通信；所述过程三中，用户a为企业x的用户，需要建立一个成员都是企业x员工的会话群，并利用会话群进行多对多通信，具体包括下述步骤：步骤H：用户a要邀请的会话群成员，设定为ID是ID1、ID2、…、IDi、…、IDn的用户，通过企业x的分公钥pk、每个用户对应的ID，由用户a的终端随机生成的一个k``值，输出pk与IDi的集群与k``的异或值；再由用户a的终端利用用户i的ID、企业x分公钥，计算对应用户i的ki，并将ki只发送给用户i；其中，i∈{1，2，…，n}，n是指大于1的自然数；ki是指群密钥k``生成的分发给用户i的密文；步骤I：用户i接收到ki后，通过企业x的分公钥pk、用户i的私钥di、接收到的加密信息ki，通过基于身份的非对称加密方法获得k``，获取k``后，每个用户的消息都通过k``与任意对称加密进行加密，并发送给各个会话群成员，这样便实现了多对多通讯；步骤J：如果有新的ID为ID’的用户要进入群聊天，那么由拉这位新成员的原会话群成员将群密钥k``加密发送给ID为ID’的新成员，同步骤H、步骤I。