專利名稱:一種應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法
技術(shù)領(lǐng)域:
本發(fā)明屬于加密技術(shù)領(lǐng)域,本發(fā)明涉及一種IBE (Idenity-Based Encryption)數(shù)據(jù)加密中身份標(biāo)識(shí)的使用方法�����,特別是一種應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法��。
背景技術(shù):
基于身份標(biāo)識(shí)的加密(Identity Based Encryption, IBE)是一種公開密鑰(Public Key)加密技術(shù)�。在IBE中,一個(gè)實(shí)體的身份標(biāo)識(shí)(如身份證號(hào)����、電子郵件地址、移動(dòng)終端號(hào)碼等)就構(gòu)成了一個(gè)公鑰(Public Key���,確切地說是身份標(biāo)識(shí)結(jié)合一組公開參數(shù)構(gòu)成了一個(gè)公鑰);同時(shí)�����,身份標(biāo)識(shí)對(duì)應(yīng)有一個(gè)私鑰(Private Key)(私鑰也是由與身份標(biāo)識(shí)相對(duì)應(yīng)的私密信息和相應(yīng)的公開參數(shù)所構(gòu)成)�,私鑰由一個(gè)專門的私鑰生成器(Private KeyGenerator, PKG)產(chǎn)生,并由身份標(biāo)識(shí)擁有者安全保管。身份標(biāo)識(shí)擁有者通過在線或離線的方式從私鑰生成器或其運(yùn)行機(jī)構(gòu)獲取身份標(biāo)識(shí)相對(duì)應(yīng)的私鑰(私密信息)����;在獲取私鑰前,私鑰生成器或其運(yùn)行機(jī)構(gòu)需要鑒別私鑰獲取者的身份并確認(rèn)其是相應(yīng)身份標(biāo)識(shí)的擁有者���。在IBE數(shù)據(jù)加密傳送中����,數(shù)據(jù)發(fā)送方(加密方)利用接收方(解密方)的公鑰(身份標(biāo)識(shí)及相應(yīng)的公開參數(shù))加密數(shù)據(jù)或會(huì)話密鑰(一個(gè)隨機(jī)產(chǎn)生的用于加密數(shù)據(jù)的對(duì)稱密鑰)��,然后將加密后的數(shù)據(jù)連同加密后的會(huì)話密鑰一起發(fā)送給數(shù)據(jù)接收方�����;數(shù)據(jù)接收方(解密方)利用相應(yīng)的私鑰解密被加密的數(shù)據(jù)或會(huì)話密鑰�����。在IBE數(shù)據(jù)加密中,身份標(biāo)識(shí)對(duì)應(yīng)的私鑰的安全性非常重要���,私鑰一旦泄露�����,則被加密的數(shù)據(jù)將不再安全�,存在被泄露的風(fēng)險(xiǎn)�����,因此身份標(biāo)識(shí)擁有者必須安全保管其私鑰��。但是���,無論怎樣安全保管私鑰,也不能絕對(duì)保證私鑰不被泄露�����,因此必須有相應(yīng)的技術(shù)方案或手段應(yīng)對(duì)私鑰被泄露后的標(biāo)識(shí)使用和數(shù)據(jù)加密這一問題�。對(duì)此問題的一種解決方案是采用PKI (Public Key Infrastructure)中數(shù)字證書(digital cerificate)的證書吊銷或撤銷列表(certificate revocation list, CRL)類似的方案:由一個(gè)專門的系統(tǒng)或機(jī)構(gòu)維護(hù)一個(gè)私鑰被泄露的身份標(biāo)識(shí)所構(gòu)成的標(biāo)識(shí)撤銷或吊銷列表,相關(guān)的IBE加密應(yīng)用在進(jìn)行數(shù)據(jù)加密前�����,查詢?cè)摌?biāo)識(shí)撤銷或吊銷列表�����,以確定有關(guān)的標(biāo)識(shí)是否可用�。這種方案的一個(gè)顯著缺點(diǎn)是一旦身份標(biāo)識(shí)被撤銷或吊銷,則該標(biāo)識(shí)將不能再用于數(shù)據(jù)加密�,比如���,一旦某個(gè)電子郵箱帳號(hào)對(duì)應(yīng)的私鑰被泄露��,則其他人將不能再使用該電子郵箱帳號(hào)給電子郵箱帳號(hào)的擁有者發(fā)送加密郵件(否則,保密信息有可能被泄露)�,因此���,簡單地采用標(biāo)識(shí)撤銷或吊銷列表這一方案是不可取的���。目前��,應(yīng)對(duì)身法標(biāo)識(shí)對(duì)應(yīng)的私鑰泄露這一問題最簡單而比較有效的技術(shù)方案是將一個(gè)身份標(biāo)識(shí)與一個(gè)時(shí)間段結(jié)合(參見文獻(xiàn)[I]),形成一個(gè)如下所示的擴(kuò)展身份標(biāo)識(shí):身份標(biāo)識(shí)I I時(shí)間段��,這里��,“ I I ”表示身份標(biāo)識(shí)字節(jié)串和時(shí)間段字節(jié)串的組合(可以是簡單的字節(jié)串連接����、合并�����,或者其他約定的組合方式),時(shí)間段既可以是一個(gè)時(shí)間區(qū)間���,也可以是一個(gè)時(shí)刻(起止時(shí)間相同);擴(kuò)展身份標(biāo)識(shí)被當(dāng)作一個(gè)通常的身份標(biāo)識(shí)對(duì)應(yīng)有一個(gè)私鑰,并用于數(shù)據(jù)加密���。增加了時(shí)間段的擴(kuò)展身份標(biāo)識(shí)及其對(duì)應(yīng)的私鑰僅在一段時(shí)間內(nèi)使用,這相當(dāng)于用時(shí)間段對(duì)身份標(biāo)識(shí)及其私鑰的使用進(jìn)行了限定(限定身份標(biāo)識(shí)和/或其私鑰僅在對(duì)應(yīng)的時(shí)間段使用和有效)���。通過時(shí)間段限定的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的私鑰一旦被泄露,則僅會(huì)對(duì)相應(yīng)時(shí)間段內(nèi)的數(shù)據(jù)加密造成影響���。但是���,這個(gè)方案嚴(yán)格說來并不是一個(gè)標(biāo)識(shí)(或私鑰)的撤銷或吊銷(revocation)方案,而是一個(gè)私鑰更新(renew或update)方案(定時(shí)更新標(biāo)識(shí)對(duì)應(yīng)的私鑰),而且這種方案仍然有兩個(gè)問題:一是�����,一旦私鑰被泄露���,數(shù)據(jù)加密方無法知道對(duì)應(yīng)的身份標(biāo)識(shí)不能再使用�����;二是,如果一個(gè)私鑰被泄露���,在對(duì)應(yīng)的時(shí)間或時(shí)間段內(nèi)將不能再使用相應(yīng)的擴(kuò)展身份標(biāo)識(shí)進(jìn)行數(shù)據(jù)加密���。對(duì)此�����,一種應(yīng)對(duì)方案是將時(shí)間段取的較小���,這樣對(duì)應(yīng)的私鑰一旦被泄露���,受影響的時(shí)間將較短����。但是,這種應(yīng)對(duì)方案仍然有缺點(diǎn):時(shí)間段越小����,身份標(biāo)識(shí)擁有者獲取或生成私鑰的次數(shù)也越多(頻度也越高),相應(yīng)地私鑰生成器的負(fù)擔(dān)也越重(因?yàn)樯伤借€的計(jì)算量較大����,時(shí)間較長)��。在以上通過時(shí)間段對(duì)身份標(biāo)識(shí)及私鑰的使用進(jìn)行限定方案的基礎(chǔ)上��,人們還提出了其他的一些改進(jìn)方案(參見文獻(xiàn)[2���,3])���,但是這些方案的實(shí)質(zhì)仍然是解決密鑰更新問題���,即在一個(gè)時(shí)間段的身份標(biāo)識(shí)對(duì)應(yīng)的私鑰到期后,如何生成或更新下一個(gè)時(shí)間段對(duì)應(yīng)的私鑰(以便降低密鑰生成器的負(fù)載或避免密鑰托管問題)�,而不是解決私鑰泄露后對(duì)應(yīng)的身份標(biāo)識(shí)的使用問題,或者說并非是通常意義上所說的身份標(biāo)識(shí)(及私鑰)的撤銷或吊銷方案���,因?yàn)檫@些方案仍然是不同時(shí)間(時(shí)間段)的身份標(biāo)識(shí)對(duì)應(yīng)不同的私鑰或解密密鑰���,仍然沒有解決前面所述的用時(shí)間段限定身份標(biāo)識(shí)使用方案存在的兩個(gè)問題(無法知道標(biāo)識(shí)不能繼續(xù)使用、無法在相應(yīng)時(shí)間段繼續(xù)用標(biāo)識(shí)進(jìn)行數(shù)據(jù)加密)�。這是因?yàn)檫@些方案對(duì)于數(shù)據(jù)加密方而言,數(shù)據(jù)加密仍然是基于身份標(biāo)識(shí)、時(shí)間段和消息原文����,因此��,從數(shù)據(jù)加密方的角度�,他們或者無法知道對(duì)應(yīng)時(shí)間段的身份標(biāo)識(shí)不能再用于數(shù)據(jù)加密���,或者即便知道了���,其后果是他們?cè)俨荒茉趯?duì)應(yīng)時(shí)間段用身份標(biāo)識(shí)加密數(shù)據(jù)。本發(fā)明就是要提出一種能避免以上所述問題的應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方案�。本發(fā)明所提出的方案主要是基于如下兩個(gè)基本前提或事實(shí):一是私鑰泄露是一個(gè)小概率事件,二是不同的加密應(yīng)用有不同的安全需求��。參考文獻(xiàn):[I] D.Boneh and M.K.Franklin.1dentity-based encryption from theWeil pairing.1n CRYPTO, 2001, pp.213-229.
[2]Y.Hanaoka, G.Hanaoka, J.Shikata, and H.1ma1.1dentity-basedhierarchical strongly key-1nsulated encryption and its application, Proceedingsof Advances in Cryptology - ASIACRYPT 2005 -1lth International Conferenceon the Theory and Application of Cryptology and Information Security, 2005,pp.495—514.
[3] A.Boldyreva, V.Goyal and V.Kumart.1dentity-based encryption withefficient revocation, Source: Proceedings of the ACM Conference on Computer andommunications Security, Proceedings of the 15th ACM Conference on Computer andCommunications Security, 2008, pp.417-426.
發(fā)明內(nèi)容
本發(fā)明的目的是提出一種應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法����,且所提出的方法必須能實(shí)現(xiàn)如下目標(biāo):I) 一旦私鑰泄露,將能通知數(shù)據(jù)加密方停止繼續(xù)使用私鑰所對(duì)應(yīng)的身份標(biāo)識(shí)進(jìn)行數(shù)據(jù)加密��;2)數(shù)據(jù)加密方能繼續(xù)使用解密方的身份標(biāo)識(shí)進(jìn)行數(shù)據(jù)加密����;3)簡單、方便��;4)不會(huì)給IBE加密應(yīng)用和相關(guān)系統(tǒng)帶來太大額外開銷或負(fù)擔(dān)。(以上第1�����、2點(diǎn)看似矛盾�,卻是本發(fā)明要實(shí)現(xiàn)的關(guān)鍵目標(biāo)和特點(diǎn))為了實(shí)現(xiàn)上述目的��,本發(fā)明所采用的技術(shù)方案是:一種應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法��,所述方法涉及如下數(shù)據(jù)��、實(shí)體或組件:擴(kuò)展身份標(biāo)識(shí)�����、標(biāo)識(shí)擁有者���、IBE加密應(yīng)用����、IBE密碼模塊��、標(biāo)識(shí)服務(wù)系統(tǒng)以及標(biāo)識(shí)數(shù)據(jù)庫���,其中:擴(kuò)展身份標(biāo)識(shí)�����,由身份標(biāo)識(shí)�����、時(shí)間段��、索引數(shù)據(jù)組合后所形成的身份標(biāo)識(shí)數(shù)據(jù)��;所述時(shí)間段是一個(gè)時(shí)間區(qū)間或時(shí)刻�����,所述時(shí)間段對(duì)身份標(biāo)識(shí)及身份標(biāo)識(shí)所對(duì)應(yīng)私鑰的使用進(jìn)行限定����;所述索引數(shù)據(jù)僅有局部意義,即僅針對(duì)對(duì)應(yīng)的身份標(biāo)識(shí)和時(shí)間段有效�;所述擴(kuò)展身份標(biāo)識(shí)在IBE密碼運(yùn)算和私鑰生成中作為身份標(biāo)識(shí)數(shù)據(jù)參與密碼運(yùn)算和私鑰生成,并對(duì)應(yīng)有一個(gè)私鑰�;經(jīng)所述擴(kuò)展身份標(biāo)識(shí)加密的數(shù)據(jù)或回話密鑰中包含有身份標(biāo)識(shí)、時(shí)間段�����、索引數(shù)據(jù)的信息;標(biāo)識(shí)擁有者�����,擁有一個(gè)或多個(gè)用于數(shù)據(jù)加密用途的身份標(biāo)識(shí)的人或機(jī)構(gòu)��;所述標(biāo)識(shí)擁有者是身份標(biāo)識(shí)對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)及擴(kuò)展身份標(biāo)識(shí)對(duì)應(yīng)的私鑰的擁有者����;IBE加密應(yīng)用���,在數(shù)據(jù)加密方使用IBE密碼模塊和數(shù)據(jù)解密方的身份標(biāo)識(shí)對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)進(jìn)行IBE數(shù)據(jù)加密�����,在數(shù)據(jù)解密方使用IBE密碼模塊和數(shù)據(jù)解密方的身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的私鑰對(duì)IBE加密數(shù)據(jù)進(jìn)行解密的軟件或系統(tǒng)�����;IBE密碼模塊����,進(jìn)行IBE密鑰管理及密碼運(yùn)算的軟件和硬件模塊;所述密鑰管理包括IBE密鑰的生成���,存儲(chǔ)�,導(dǎo)入����,導(dǎo)出和刪除操作;所述密碼運(yùn)算包括IBE數(shù)據(jù)加密和解密運(yùn)算����;標(biāo)識(shí)服務(wù)系統(tǒng),提供用戶帳戶注冊(cè)和確認(rèn)���,用戶身份標(biāo)識(shí)注冊(cè)和確認(rèn)����,最近不可用擴(kuò)展身份標(biāo)識(shí)報(bào)告以及最近可用擴(kuò)展身份標(biāo)識(shí)查詢的系統(tǒng)�����;標(biāo)識(shí)數(shù)據(jù)庫����,保存有身份標(biāo)識(shí)擁有者的帳戶���、身份標(biāo)識(shí)以及最近可用擴(kuò)展身份標(biāo)識(shí)信息的數(shù)據(jù)庫;所述擴(kuò)展身份標(biāo)識(shí)中的所述索引數(shù)據(jù)的取值為一系列具有前后關(guān)系或順序的數(shù)據(jù)序列中的一個(gè)����;所述具有前后關(guān)系或順序的數(shù)據(jù)序列稱為索引數(shù)據(jù)序列;對(duì)于一個(gè)給定的身份標(biāo)識(shí)和給出的時(shí)間段�,不同的索引數(shù)據(jù)取值形成了相應(yīng)的身份標(biāo)識(shí)在對(duì)應(yīng)時(shí)間段的不同擴(kuò)展身份標(biāo)識(shí),并形成相應(yīng)的具有前后關(guān)系或順序的擴(kuò)展身份標(biāo)識(shí)序列�����;最初�����,擴(kuò)展身份標(biāo)識(shí)序列中的第一個(gè)擴(kuò)展身份標(biāo)識(shí)是最近可用擴(kuò)展身份標(biāo)識(shí)�;當(dāng)一個(gè)擴(kuò)展身份標(biāo)識(shí)對(duì)應(yīng)的私鑰被泄露后��,對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)為不可用���,對(duì)應(yīng)的不可用擴(kuò)展身份標(biāo)識(shí)在擴(kuò)展身份標(biāo)識(shí)序列中的下一個(gè)擴(kuò)展身份標(biāo)識(shí)成為最近可用擴(kuò)展身份標(biāo)識(shí)�;在使用IBE加密應(yīng)用前���,所述身份標(biāo)識(shí)擁有者須在標(biāo)識(shí)服務(wù)系統(tǒng)申請(qǐng)注冊(cè)一個(gè)帳戶成為系統(tǒng)的服務(wù)用戶��;獲得批準(zhǔn)后�����,身份標(biāo)識(shí)擁有者在所述標(biāo)識(shí)服務(wù)系統(tǒng)進(jìn)一步申請(qǐng)注冊(cè)用于IBE數(shù)據(jù)加密和解密用的一個(gè)或多個(gè)身份標(biāo)識(shí)��;標(biāo)識(shí)服務(wù)系統(tǒng)在驗(yàn)證和確認(rèn)申請(qǐng)者就是申請(qǐng)注冊(cè)的身份標(biāo)識(shí)的擁有者后����,將所述申請(qǐng)注冊(cè)的身份標(biāo)識(shí)與身份標(biāo)識(shí)擁有者在標(biāo)識(shí)服務(wù)系統(tǒng)中的帳戶進(jìn)行關(guān)聯(lián)和對(duì)應(yīng),即實(shí)現(xiàn)身份標(biāo)識(shí)擁有者的系統(tǒng)服務(wù)帳戶與加密用的身份標(biāo)識(shí)的綁定�;當(dāng)所述身份標(biāo)識(shí)擁有者的一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的一個(gè)擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的私鑰被泄露后,身份標(biāo)識(shí)擁有者登錄所述標(biāo)識(shí)服務(wù)系統(tǒng)將對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)報(bào)告為不可用����;當(dāng)標(biāo)識(shí)服務(wù)系統(tǒng)獲得身份標(biāo)識(shí)擁有者提交的將一個(gè)擴(kuò)展身份標(biāo)識(shí)報(bào)告為不可用的通知后,將所述報(bào)告為不可用的擴(kuò)展身份標(biāo)識(shí)在擴(kuò)展身份標(biāo)識(shí)序列中的下一個(gè)擴(kuò)展身份標(biāo)識(shí)設(shè)置為最近可用擴(kuò)展身份標(biāo)識(shí)��。所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊被配置或設(shè)置為如下四種最近可用擴(kuò)展身份標(biāo)識(shí)查詢模式之一:模式一:不查詢����,即在使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前,不對(duì)待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢;模式二:一次性查詢��,即僅在首次使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前����,連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢;模式三:間隔查詢�,即在使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的一個(gè)擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前,只有當(dāng)上次連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)的查詢時(shí)刻與當(dāng)前時(shí)刻的時(shí)間間隔超過預(yù)先設(shè)定的查詢時(shí)間間隔時(shí)�,才連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢;模式四:實(shí)時(shí)查詢�����,即每次使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前�,都要連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢�����;所述四種不同的最近可用擴(kuò)展身份標(biāo)識(shí)查詢模式對(duì)應(yīng)于對(duì)數(shù)據(jù)加密的不同安全要求����;所述查詢模式可以分別針對(duì)IBE加密應(yīng)用所使用的一個(gè)或一類或所有的身份標(biāo)識(shí)進(jìn)行設(shè)置。采用所述模式二或三的所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊����,在模塊運(yùn)行所在計(jì)算設(shè)備的永久性數(shù)據(jù)存儲(chǔ)介質(zhì)中保存有已查詢的針對(duì)每個(gè)擴(kuò)展身份序列的最近可用擴(kuò)展身份標(biāo)識(shí)的相關(guān)信息��,包括身份標(biāo)識(shí)���、時(shí)間段、索引數(shù)據(jù)以及最近查詢時(shí)刻。采用所述查詢模式二的所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊在使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前,按如下方法查詢待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)�����,并確定數(shù)據(jù)加密所用的擴(kuò)展身份標(biāo)識(shí):步驟一:以待使用的擴(kuò)展身份標(biāo)識(shí)中的身份標(biāo)識(shí)和時(shí)間段為查詢條件���,查詢本地計(jì)算設(shè)備中是否有相應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)的已查詢信息�����,若有��,則轉(zhuǎn)入步驟二 �;否貝丨J,轉(zhuǎn)入步驟三�;步驟二:將待使用的擴(kuò)展身份標(biāo)識(shí)與所述步驟一中從本地計(jì)算設(shè)備中查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)相比較,若前者在擴(kuò)展身份標(biāo)識(shí)序列中的位置在后者之前�,則使用所述步驟一中從本地計(jì)算設(shè)備中查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密;否則使用當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密;之后�����,結(jié)束本次最近可用擴(kuò)展身份標(biāo)識(shí)的查詢操作�����;步驟三:連接標(biāo)識(shí)服務(wù)系統(tǒng)�,請(qǐng)求獲取待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí),請(qǐng)求中有待使用的擴(kuò)展身份標(biāo)識(shí)中的相應(yīng)身份標(biāo)識(shí)和時(shí)間段信息�;然后,利用標(biāo)識(shí)服務(wù)系統(tǒng)返回的最近可用擴(kuò)展身份標(biāo)識(shí)更新本地計(jì)算設(shè)備保存的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)的已查詢信息�����;步驟四:將待使用的擴(kuò)展身份標(biāo)識(shí)與所述步驟三中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)相比較�����,若前者在擴(kuò)展身份標(biāo)識(shí)序列中的位置在后者之前�,則使用所述步驟三中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密�����;否則使用當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密;之后����,結(jié)束本次最近可用擴(kuò)展身份標(biāo)識(shí)的查詢操作。采用所述查詢模式三的所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊在使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前���,按如下方法查詢待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)���,并確定數(shù)據(jù)加密所用的擴(kuò)展身份標(biāo)識(shí):步驟1:以待使用的擴(kuò)展身份標(biāo)識(shí)中的身份標(biāo)識(shí)和時(shí)間段為查詢條件,查詢本地計(jì)算設(shè)備中是否有相應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)的已查詢信息����,若有,則轉(zhuǎn)入步驟2;否貝IJ����,轉(zhuǎn)入步驟4;步驟2:計(jì)算所述步驟I中從本地計(jì)算設(shè)備中得到的最近可用擴(kuò)展身份標(biāo)識(shí)的最近查詢時(shí)刻與當(dāng)前時(shí)刻之間的間隔,若計(jì)算所得的時(shí)間間隔小于預(yù)先設(shè)定的查詢時(shí)間間隔��,則轉(zhuǎn)入步驟3 ;否則���,轉(zhuǎn)入步驟4 ;步驟3:將待使用的擴(kuò)展身份標(biāo)識(shí)與所述步驟I中從本地計(jì)算設(shè)備中查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)相比較�����,若前者在擴(kuò)展身份標(biāo)識(shí)序列中的位置在后者之前,則使用所述步驟I中從本地計(jì)算設(shè)備中查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密�;否則使用當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密;之后����,結(jié)束本次最近可用擴(kuò)展身份標(biāo)識(shí)的查詢操作��;步驟4:連接標(biāo)識(shí)服務(wù)系統(tǒng)��,請(qǐng)求獲取待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)����,請(qǐng)求中有待使用的擴(kuò)展身份標(biāo)識(shí)中的相應(yīng)身份標(biāo)識(shí)和時(shí)間段信息�����;然后利用標(biāo)識(shí)服務(wù)系統(tǒng)返回的最近可用擴(kuò)展身份標(biāo)識(shí)更新本地計(jì)算設(shè)備中保存的對(duì)應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)的已查詢信息�;步驟5:將待使用的擴(kuò)展身份標(biāo)識(shí)與所述步驟4中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)相比較�����,若前者在擴(kuò)展身份標(biāo)識(shí)序列中的位置在后者之前,則使用所述步驟4中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密��;否則使用當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密���;之后����,結(jié)束本次最近可用擴(kuò)展身份標(biāo)識(shí)的查詢操作���。采用所述查詢模式四的所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊在使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前���,按如下方法查詢待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí),并確定數(shù)據(jù)加密所用的擴(kuò)展身份標(biāo)識(shí):
步驟A:連接標(biāo)識(shí)服務(wù)系統(tǒng)��,請(qǐng)求獲取待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)��,請(qǐng)求中有待使用的擴(kuò)展身份標(biāo)識(shí)中的相應(yīng)身份標(biāo)識(shí)和時(shí)間段信息����;步驟B:將待使用的擴(kuò)展身份標(biāo)識(shí)與所述步驟A中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)相比較,若前者在擴(kuò)展身份標(biāo)識(shí)序列中的位置在后者之前��,則使用所述步驟A中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密;否則使用當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密�;之后,結(jié)束本次最近可用擴(kuò)展身份標(biāo)識(shí)的查詢操作�。所述標(biāo)識(shí)服務(wù)系統(tǒng)接收到所述IBE加密應(yīng)用或IBE密碼模塊提交的查詢獲取與請(qǐng)求中給出的身份標(biāo)識(shí)和時(shí)間段相對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)的請(qǐng)求后,按如下方法進(jìn)行操作:查詢標(biāo)識(shí)數(shù)據(jù)庫����,檢查數(shù)據(jù)庫中是否有與請(qǐng)求中給出的身份標(biāo)識(shí)和時(shí)間段相對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)����,若有,則返回相應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)���;否則��,返回與請(qǐng)求中給出的身份標(biāo)識(shí)和時(shí)間段相對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)序列中的第一個(gè)擴(kuò)展身份標(biāo)識(shí)��。另外��,采用所述查詢模式三的所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊����,除了直接連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢外����,還可以通過啟動(dòng)一個(gè)后臺(tái)進(jìn)程每隔預(yù)先設(shè)定的時(shí)間間隔連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)已使用過的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢。本發(fā)明的方法具有如下特點(diǎn):I)既保留了用時(shí)間段限定身份標(biāo)識(shí)使用的方案的優(yōu)點(diǎn):簡單��、易用���;又克服了它的缺點(diǎn):一旦被限定的身份標(biāo)識(shí)所對(duì)應(yīng)的私鑰被泄露����,在對(duì)應(yīng)的時(shí)間段內(nèi)將無法再使用對(duì)應(yīng)的身份標(biāo)識(shí)進(jìn)行安全數(shù)據(jù)加密��,相反地����,采用本發(fā)明的方法,一旦某個(gè)時(shí)間段限定的身份標(biāo)識(shí)所對(duì)應(yīng)的私鑰被泄露�����,仍然可以使用相應(yīng)時(shí)間段限定的相應(yīng)身份標(biāo)識(shí)進(jìn)行數(shù)據(jù)加密和解密����;2)可以同各種基于時(shí)間段的密鑰更新方案(如背景技術(shù)的參考文獻(xiàn)中所列的密鑰更新方案)相結(jié)合:在出現(xiàn)密鑰(私鑰或解密密鑰)泄露前,按通常的方案進(jìn)行密鑰更新�����;一旦出現(xiàn)密鑰泄露,則通過選用新的索引數(shù)據(jù)生成相應(yīng)時(shí)間段的新的私鑰�,然后在此新的私鑰的基礎(chǔ)上進(jìn)行密鑰更新。
圖1為本發(fā)明的結(jié)構(gòu)框圖�。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步的描述。本發(fā)明的具體實(shí)現(xiàn)主要涉及擴(kuò)展身份標(biāo)識(shí)����、標(biāo)識(shí)服務(wù)系統(tǒng)、標(biāo)識(shí)數(shù)據(jù)庫�,以及IBE加密應(yīng)用和IBE密碼模塊中涉及本發(fā)明的部分,IBE加密應(yīng)用和IBE密碼模塊中的其他部分不屬于本發(fā)明的內(nèi)容�����。擴(kuò)展身份標(biāo)識(shí)的實(shí)現(xiàn)主要涉及時(shí)間段的表示����、索引數(shù)據(jù)序列的選用,以及身份標(biāo)識(shí)��、時(shí)間段和索引數(shù)據(jù)的組合方式���。對(duì)于時(shí)間段的表示�����,可用如下格式的字符串:起始時(shí)間+ “�����,”+截止時(shí)間
其中“起始時(shí)間”和“截止時(shí)間”用yyyy-mm-dd的方式表示�;對(duì)于索引數(shù)據(jù)序列���,可以用�����,0����、1�、2、3…自然數(shù)序列���。這里所述的時(shí)間段表示�、索引數(shù)據(jù)序列的選擇不是唯一的。對(duì)于身份標(biāo)識(shí)別���、時(shí)間段和索引數(shù)據(jù)的組合可用采用簡單的字節(jié)串相連接����、合并的組合方式����,或者采用將身份標(biāo)識(shí)、時(shí)間段和索引數(shù)據(jù)的散列值字節(jié)串相連接�、合并的組合方式(即采用HASH(身份標(biāo)識(shí))Il HASH(時(shí)間段)|| HASH(索引數(shù)據(jù))),或者采用其他組合方式�,只要這種方式能夠反映相關(guān)數(shù)據(jù)的作用即可。 標(biāo)識(shí)服務(wù)系統(tǒng)的開發(fā)實(shí)現(xiàn)可以使用目前成熟的信息系統(tǒng)開發(fā)技術(shù)���,如J2EE�����、ASP.Net等����,其中人機(jī)交互部分采用Web技術(shù)����。標(biāo)識(shí)數(shù)據(jù)庫可采用目前廣泛使用的的數(shù)據(jù)庫技術(shù)�����,如MySQL��、SQL Server, Oralce����、LDAP等����。標(biāo)識(shí)服務(wù)系統(tǒng)中對(duì)用戶帳戶的注冊(cè)申請(qǐng)�、確認(rèn),以及身份標(biāo)識(shí)的注冊(cè)�、確認(rèn),可參見本發(fā)明申請(qǐng)人在專利申請(qǐng)“一種集成IBE數(shù)據(jù)加密系統(tǒng)”(專利申請(qǐng)?zhí)?201210427464.1)中標(biāo)識(shí)認(rèn)證系統(tǒng)的實(shí)現(xiàn)����;標(biāo)識(shí)服務(wù)系統(tǒng)中對(duì)不可用擴(kuò)展身份標(biāo)識(shí)的報(bào)告和最近可用擴(kuò)展身份標(biāo)識(shí)的查詢部分的功能可通過相應(yīng)的Web技術(shù)和數(shù)據(jù)庫技術(shù)實(shí)現(xiàn)。IBE加密應(yīng)用和IBE密碼模塊中涉及本發(fā)明部分的功能實(shí)現(xiàn)主要是IBE加密應(yīng)用或IBE密碼模塊與標(biāo)識(shí)服務(wù)系統(tǒng)交互��、查詢獲取最近可用擴(kuò)展身份標(biāo)識(shí)功能的實(shí)現(xiàn)���,這部分的實(shí)現(xiàn)可以采用TCP結(jié)合一個(gè)自定義的交互數(shù)據(jù)格式(協(xié)議),或者采用Web Services結(jié)合適當(dāng)?shù)臄?shù)據(jù)定義���,或者采用HTTP結(jié)合適當(dāng)?shù)臄?shù)據(jù)定義�����;IBE加密應(yīng)用或IBE密碼模塊中的最近可用擴(kuò)展身份標(biāo)識(shí)的查詢處理流程�����,通過參照本專利申請(qǐng)的發(fā)明內(nèi)容中的相關(guān)部分的描述不難實(shí)現(xiàn)���。對(duì)于新開發(fā)或有源代碼的IBE加密應(yīng)用或IBE密碼模塊,可以通過將實(shí)現(xiàn)本發(fā)明功能的相關(guān)代碼直接插入到IBE加密應(yīng)用或IBE密碼模塊程序的相應(yīng)位置��,從而將相關(guān)功能加入到IBE加密應(yīng)用或IBE密碼模塊中���。對(duì)于已有的���、且沒有源程序的IBE加密應(yīng)用或IBE密碼模塊,可以通過程序掛鉤技術(shù)(Hook)和插件技術(shù)(如Outlook的Add-On技術(shù))將發(fā)明的相關(guān)功能加入到IBE加密應(yīng)用或IBE密碼模塊中(既沒有源代碼,又不能通過掛鉤或插件機(jī)制加入本發(fā)明所述方法的“老”IBE加密應(yīng)用和IBE密碼模塊不是本發(fā)明應(yīng)用的對(duì)象)���。其他未說明的具體技術(shù)實(shí)施�����,對(duì)于相關(guān)領(lǐng)域的技術(shù)人員而言是眾所周知��,不言自明的��。
權(quán)利要求
1.一種應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法�����,所述方法涉及如下數(shù)據(jù)�、實(shí)體或組件:擴(kuò)展身份標(biāo)識(shí)、標(biāo)識(shí)擁有者����、IBE加密應(yīng)用���、IBE密碼模塊���、標(biāo)識(shí)服務(wù)系統(tǒng)以及標(biāo)識(shí)數(shù)據(jù)庫,其中: 擴(kuò)展身份標(biāo)識(shí)�,由身份標(biāo)識(shí)、時(shí)間段�、索引數(shù)據(jù)組合后所形成的身份標(biāo)識(shí)數(shù)據(jù)���;所述時(shí)間段是一個(gè)時(shí)間區(qū)間或時(shí)刻,所述時(shí)間段對(duì)身份標(biāo)識(shí)及身份標(biāo)識(shí)所對(duì)應(yīng)私鑰的使用進(jìn)行限定����;所述索引數(shù)據(jù)僅有局部意義,即僅針對(duì)對(duì)應(yīng)的身份標(biāo)識(shí)和時(shí)間段有效��;所述擴(kuò)展身份標(biāo)識(shí)在IBE密碼運(yùn)算和私鑰生成中作為身份標(biāo)識(shí)數(shù)據(jù)參與密碼運(yùn)算和私鑰生成����,并對(duì)應(yīng)有一個(gè)私鑰;經(jīng)所述擴(kuò)展身份標(biāo)識(shí)加密的數(shù)據(jù)或回話密鑰中包含有身份標(biāo)識(shí)�、時(shí)間段、索引數(shù)據(jù)的信息��; 標(biāo)識(shí)擁有者���,擁有一個(gè)或多個(gè)用于數(shù)據(jù)加密用途的身份標(biāo)識(shí)的人或機(jī)構(gòu)����;所述標(biāo)識(shí)擁有者是身份標(biāo)識(shí)對(duì)應(yīng)的所述擴(kuò)展身份標(biāo)識(shí)及所述擴(kuò)展身份標(biāo)識(shí)對(duì)應(yīng)的私鑰的擁有者��; IBE加密應(yīng)用�,在數(shù)據(jù)加密方使用IBE密碼模塊和數(shù)據(jù)解密方的身份標(biāo)識(shí)對(duì)應(yīng)的所述擴(kuò)展身份標(biāo)識(shí)進(jìn)行IBE數(shù)據(jù)加密��,在數(shù)據(jù)解密方使用IBE密碼模塊和數(shù)據(jù)解密方的身份標(biāo)識(shí)所對(duì)應(yīng)的所述擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的私鑰對(duì)IBE加密數(shù)據(jù)進(jìn)行解密的軟件或系統(tǒng)��; IBE密碼模塊��, 進(jìn)行IBE密鑰管理及密碼運(yùn)算的軟件和硬件模塊���;所述密鑰管理包括IBE密鑰的生成,存儲(chǔ)��,導(dǎo)入����,導(dǎo)出和刪除操作;所述密碼運(yùn)算包括IBE數(shù)據(jù)加密和解密運(yùn)算���; 標(biāo)識(shí)服務(wù)系統(tǒng)����,提供用戶帳戶注冊(cè)和確認(rèn)���,用戶身份標(biāo)識(shí)注冊(cè)和確認(rèn),最近不可用擴(kuò)展身份標(biāo)識(shí)報(bào)告以及最近可用擴(kuò)展身份標(biāo)識(shí)查詢的系統(tǒng)���; 標(biāo)識(shí)數(shù)據(jù)庫�,保存有身份標(biāo)識(shí)擁有者的帳戶、身份標(biāo)識(shí)以及最近可用擴(kuò)展身份標(biāo)識(shí)信息的數(shù)據(jù)庫��; 所述擴(kuò)展身份標(biāo)識(shí)中的所述索引數(shù)據(jù)的取值為一系列具有前后關(guān)系或順序的數(shù)據(jù)序列中的一個(gè)��;所述具有前后關(guān)系或順序的數(shù)據(jù)序列稱為索引數(shù)據(jù)序列�;對(duì)于一個(gè)給定的身份標(biāo)識(shí)和給出的時(shí)間段,不同的索引數(shù)據(jù)取值形成了相應(yīng)的身份標(biāo)識(shí)在對(duì)應(yīng)時(shí)間段的不同擴(kuò)展身份標(biāo)識(shí)���,并形成相應(yīng)的具有前后關(guān)系或順序的擴(kuò)展身份標(biāo)識(shí)序列��;最初�,擴(kuò)展身份標(biāo)識(shí)序列中的第一個(gè)擴(kuò)展身份標(biāo)識(shí)是最近可用擴(kuò)展身份標(biāo)識(shí)���;當(dāng)一個(gè)擴(kuò)展身份標(biāo)識(shí)對(duì)應(yīng)的私鑰被泄露后�����,對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)為不可用��,對(duì)應(yīng)的不可用擴(kuò)展身份標(biāo)識(shí)在擴(kuò)展身份標(biāo)識(shí)序列中的下一個(gè)擴(kuò)展身份標(biāo)識(shí)成為最近可用擴(kuò)展身份標(biāo)識(shí)�; 在使用IBE加密應(yīng)用前�,所述身份標(biāo)識(shí)擁有者須在標(biāo)識(shí)服務(wù)系統(tǒng)申請(qǐng)注冊(cè)一個(gè)帳戶成為系統(tǒng)的服務(wù)用戶���;獲得批準(zhǔn)后,身份標(biāo)識(shí)擁有者在所述標(biāo)識(shí)服務(wù)系統(tǒng)進(jìn)一步申請(qǐng)注冊(cè)用于IBE數(shù)據(jù)加密和解密用的一個(gè)或多個(gè)身份標(biāo)識(shí)�����;標(biāo)識(shí)服務(wù)系統(tǒng)在驗(yàn)證和確認(rèn)申請(qǐng)者就是申請(qǐng)注冊(cè)的身份標(biāo)識(shí)的擁有者后�����,將所述申請(qǐng)注冊(cè)的身份標(biāo)識(shí)與身份標(biāo)識(shí)擁有者在標(biāo)識(shí)服務(wù)系統(tǒng)中的帳戶進(jìn)行關(guān)聯(lián)和對(duì)應(yīng)�,即實(shí)現(xiàn)身份標(biāo)識(shí)擁有者的系統(tǒng)服務(wù)帳戶與加密用的身份標(biāo)識(shí)的綁定; 當(dāng)所述身份標(biāo)識(shí)擁有者的一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的一個(gè)擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的私鑰被泄露后����,身份標(biāo)識(shí)擁有者登錄所述標(biāo)識(shí)服務(wù)系統(tǒng)將對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)報(bào)告為不可用;當(dāng)標(biāo)識(shí)服務(wù)系統(tǒng)獲得身份標(biāo)識(shí)擁有者提交的將一個(gè)擴(kuò)展身份標(biāo)識(shí)報(bào)告為不可用的通知后�,將所述報(bào)告為不可用的擴(kuò)展身份標(biāo)識(shí)在擴(kuò)展身份標(biāo)識(shí)序列中的下一個(gè)擴(kuò)展身份標(biāo)識(shí)設(shè)置為最近可用擴(kuò)展身份標(biāo)識(shí)。
2.根據(jù)權(quán)利要求1所述的應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法��,其特征在于:所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊被配置或設(shè)置為如下四種最近可用擴(kuò)展身份標(biāo)識(shí)查詢模式之一: 模式一:不查詢��,即在使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前�,不對(duì)待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢; 模式二:一次性查詢�����,即僅在首次使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前��,連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢��; 模式三:間隔查詢��,即在使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的一個(gè)擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前���,只有當(dāng)上次連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)的查詢時(shí)刻與當(dāng)前時(shí)刻的時(shí)間間隔超過預(yù)先設(shè)定的查詢時(shí)間間隔時(shí)��,才連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢���; 模式四:實(shí)時(shí)查詢,即每次使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前��,都要連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢�����; 所述四種不同的最近可用擴(kuò)展身份標(biāo)識(shí)查詢模式對(duì)應(yīng)于對(duì)數(shù)據(jù)加密的不同安全要求�����;所述查詢模式分別針對(duì)IBE 加密應(yīng)用所使用的一個(gè)或一類或所有的身份標(biāo)識(shí)進(jìn)行設(shè)置。
3.根據(jù)權(quán)利要求2所述的應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法���,其特征在于: 采用所述模式二或模式三的所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊����,在模塊運(yùn)行所在計(jì)算設(shè)備的永久性數(shù)據(jù)存儲(chǔ)介質(zhì)中保存有已查詢的針對(duì)每個(gè)擴(kuò)展身份序列的最近可用擴(kuò)展身份標(biāo)識(shí)的相關(guān)信息�����,所述相關(guān)信息包括身份標(biāo)識(shí)��、時(shí)間段�、索引數(shù)據(jù)以及最近查詢時(shí)刻。
4.根據(jù)權(quán)利要求2或3所述的應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法�����,其特征在于:采用所述查詢模式二的所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊在使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前�,按如下方法查詢待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí),并確定數(shù)據(jù)加密所用的擴(kuò)展身份標(biāo)識(shí): 步驟一:以待使用的擴(kuò)展身份標(biāo)識(shí)中的身份標(biāo)識(shí)和時(shí)間段為查詢條件����,查詢本地計(jì)算設(shè)備中是否有相應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)的已查詢信息����,若有�����,則轉(zhuǎn)入步驟二���;否則,轉(zhuǎn)入步驟三���; 步驟二:將待使用的擴(kuò)展身份標(biāo)識(shí)與所述步驟一中從本地計(jì)算設(shè)備中查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)相比較����,若前者在擴(kuò)展身份標(biāo)識(shí)序列中的位置在后者之前�����,則使用所述步驟一中從本地計(jì)算設(shè)備中查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密����;否則使用當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密;之后���,結(jié)束本次最近可用擴(kuò)展身份標(biāo)識(shí)的查詢操作����; 步驟三:連接標(biāo)識(shí)服務(wù)系統(tǒng),請(qǐng)求獲取待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)��,請(qǐng)求中有待使用的擴(kuò)展身份標(biāo)識(shí)中的相應(yīng)身份標(biāo)識(shí)和時(shí)間段信息�����;然后�,利用標(biāo)識(shí)服務(wù)系統(tǒng)返回的最近可用擴(kuò)展身份標(biāo)識(shí)更新本地計(jì)算設(shè)備保存的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)的已查詢信息; 步驟四:將待使用的擴(kuò)展身份標(biāo)識(shí)與所述步驟三中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)相比較���,若前者在擴(kuò)展身份標(biāo)識(shí)序列中的位置在后者之前��,則使用所述步驟三中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密�;否則使用當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密�;之后,結(jié)束本次最近可用擴(kuò)展身份標(biāo)識(shí)的查詢操作���。
5.根據(jù)權(quán)利要求2或3所述的應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法�����,其特征在于:采用所述查詢模式三的所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊在使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前�,按如下方法查詢待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí),并確定數(shù)據(jù)加密所用的擴(kuò)展身份標(biāo)識(shí): 步驟1:以待使用的擴(kuò)展身份標(biāo)識(shí)中的身份標(biāo)識(shí)和時(shí)間段為查詢條件�����,查詢本地計(jì)算設(shè)備中是否有相應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)的已查詢信息�����,若有����,則轉(zhuǎn)入步驟2 ;否則�,轉(zhuǎn)入步驟4 ; 步驟2:計(jì)算所述步驟I中從本地計(jì)算設(shè)備中得到的最近可用擴(kuò)展身份標(biāo)識(shí)的最近查詢時(shí)刻與當(dāng)前時(shí)刻之間的間隔�����,若計(jì)算所得的時(shí)間間隔小于預(yù)先設(shè)定的查詢時(shí)間間隔����,則轉(zhuǎn)入步驟3;否則,轉(zhuǎn)入步驟4; 步驟3:將待使用的擴(kuò)展身份標(biāo)識(shí)與所述步驟I中從本地計(jì)算設(shè)備中查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)相比較���,若前者在擴(kuò)展身份標(biāo)識(shí)序列中的位置在后者之前��,則使用所述步驟I中從本地計(jì)算設(shè) 備中查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密��;否則使用當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密�;之后,結(jié)束本次最近可用擴(kuò)展身份標(biāo)識(shí)的查詢操作���; 步驟4:連接標(biāo)識(shí)服務(wù)系統(tǒng)����,請(qǐng)求獲取待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)�,請(qǐng)求中有待使用的擴(kuò)展身份標(biāo)識(shí)中的相應(yīng)身份標(biāo)識(shí)和時(shí)間段信息;然后利用標(biāo)識(shí)服務(wù)系統(tǒng)返回的最近可用擴(kuò)展身份標(biāo)識(shí)更新本地計(jì)算設(shè)備中保存的對(duì)應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)的已查詢信息��; 步驟5:將待使用的擴(kuò)展身份標(biāo)識(shí)與所述步驟4中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)相比較�����,若前者在擴(kuò)展身份標(biāo)識(shí)序列中的位置在后者之前�,則使用所述步驟4中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密;否則使用當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密�����;之后,結(jié)束本次最近可用擴(kuò)展身份標(biāo)識(shí)的查詢操作��。
6.根據(jù)權(quán)利要求2所述的應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法��,其特征在于:采用所述查詢模式四的所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊在使用一個(gè)身份標(biāo)識(shí)所對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密前�,按如下方法查詢待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí),并確定數(shù)據(jù)加密所用的擴(kuò)展身份標(biāo)識(shí): 步驟A:連接標(biāo)識(shí)服務(wù)系統(tǒng)����,請(qǐng)求獲取待使用的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí),請(qǐng)求中有待使用的擴(kuò)展身份標(biāo)識(shí)中的相應(yīng)身份標(biāo)識(shí)和時(shí)間段信息�; 步驟B:將待使用的擴(kuò)展身份標(biāo)識(shí)與所述步驟A中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)相比較,若前者在擴(kuò)展身份標(biāo)識(shí)序列中的位置在后者之前����,則使用所述步驟A中從標(biāo)識(shí)服務(wù)系統(tǒng)查詢得到的相應(yīng)最近可用擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密�����;否則使用當(dāng)前待使用的擴(kuò)展身份標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行加密���;之后���,結(jié)束本次最近可用擴(kuò)展身份標(biāo)識(shí)的查詢操作����。
7.根據(jù)權(quán)利要求1或2所述的應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法�����,其特征在于:所述標(biāo)識(shí)服務(wù)系統(tǒng)接收到所述IBE加密應(yīng)用或IBE密碼模塊提交的查詢獲取與請(qǐng)求中給出的身份標(biāo)識(shí)和時(shí)間段相對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)的請(qǐng)求后���,按如下方法進(jìn)行操作:查詢標(biāo)識(shí)數(shù)據(jù)庫�����,檢查數(shù)據(jù)庫中是否有與請(qǐng)求中給出的身份標(biāo)識(shí)和時(shí)間段相對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)�,若有�����,則返回相應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)���;否則�����,返回與請(qǐng)求中給出的身份標(biāo)識(shí)和時(shí)間段相對(duì)應(yīng)的擴(kuò)展身份標(biāo)識(shí)序列中的第一個(gè)擴(kuò)展身份標(biāo)識(shí)���。
8.根據(jù)權(quán)利要求5所述的應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法���,其特征在于:采用所述查詢模式三的所述IBE加密應(yīng)用或IBE加密應(yīng)用所使用的所述IBE密碼模塊,或者啟動(dòng)一個(gè)后臺(tái)進(jìn)程每隔預(yù)先設(shè)定的時(shí)間間隔連接標(biāo)識(shí)服務(wù)系統(tǒng)對(duì)已使用過的擴(kuò)展身份標(biāo)識(shí)所對(duì)應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)進(jìn)行查詢����。
9.根據(jù)權(quán)利要求1所述的應(yīng)對(duì)私鑰泄露的身份標(biāo)識(shí)使用方法,所述方法對(duì)于限定數(shù)據(jù)是所述時(shí)間段以外其他數(shù)據(jù)或包含時(shí)間段以外其他數(shù)據(jù)或不包含時(shí)間段的情形同樣適用����。
全文摘要
本發(fā)明涉及一種通過擴(kuò)展身份標(biāo)識(shí)應(yīng)對(duì)IBE數(shù)據(jù)加密中身份標(biāo)識(shí)對(duì)應(yīng)的私鑰泄露后身份標(biāo)識(shí)的使用方法;所述擴(kuò)展身份標(biāo)識(shí)是由身份標(biāo)識(shí)���、時(shí)間段����、索引數(shù)據(jù)組合后所形成的數(shù)據(jù)���;所述擴(kuò)展身份標(biāo)識(shí)通過一系列的索引數(shù)據(jù)形成一個(gè)序列,其中的第一個(gè)為初始的最近可用擴(kuò)展身份標(biāo)識(shí)�����;一旦某個(gè)擴(kuò)展身份標(biāo)識(shí)對(duì)應(yīng)的私鑰被泄露,擴(kuò)展身份標(biāo)識(shí)的擁有者到一個(gè)標(biāo)識(shí)服務(wù)系統(tǒng)報(bào)告其為不可用�����,相應(yīng)地���,序列中的下一個(gè)擴(kuò)展身份標(biāo)識(shí)成為最近可用的�。IBE加密應(yīng)用或其IBE密碼模塊在進(jìn)行加密時(shí)可通過連接標(biāo)識(shí)服務(wù)系統(tǒng)獲取相應(yīng)的最近可用擴(kuò)展身份標(biāo)識(shí)�����,以確保數(shù)據(jù)加密所用的擴(kuò)展身份標(biāo)識(shí)為最近可用的�����,或者其之后的一個(gè)�����。
文檔編號(hào)H04L9/32GK103166762SQ20131007076
公開日2013年6月19日 申請(qǐng)日期2013年3月7日 優(yōu)先權(quán)日2013年3月7日
發(fā)明者龍毅宏, 唐志紅, 何鵬飛, 劉旭, 毛秋陽 申請(qǐng)人:武漢理工大學(xué), 北京天威誠信電子商務(wù)服務(wù)有限公司