[发明专利]分层系统下基于共识数据库的跨域密钥协商方法及系统

说明书

本发明涉及一种分层系统下基于共识数据库的跨域密钥协商方法及系统，其方法包括：S1：顶级节点向顶级共识数据库上传新的管理域公开参数信息，非顶级节点通过其父节点，并添加父节点的签名后，向顶级共识数据库上传新的管理域公开参数信息；S2：叶子节点Usubgt;i,j/subgt;生成临时会话密钥key发给管理节点，申请加入管理节点的管理域；S3：跨域节点Usubgt;p,q/subgt;和节点Usubgt;i,j/subgt;分别通过共识数据库获取对方所在管理域的公开参数，使用对方的公开参数进行消息加密和签名验证，从而完成双方的跨域会话密钥协商。本发明提供的方法，利用顶级共识数据库存储管理节点的公开参数及身份信息，减少通信的开销，提高了认证的效率。

技术领域

本发明涉及网络与信息安全领域，具体涉及一种分层系统下基于共识数据库的跨域密钥协商方法及系统。

背景技术

在基于SM9的非对称密钥管理算法中，每个用户拥有一个可以唯一确定其身份信息的身份标识。密钥生成中心(Key Generation Center,KGC)负责选择系统参数，生成主密钥并为管理域中的设备分发非对称密钥。主密钥分为主公钥和主私钥，主私钥一般由KGC通过随机数发生器产生，主公钥为主私钥与双线性对使用的椭圆曲线群生成元数乘得到的结果。主公钥对整个域公开，因此也被叫做公开参数。主私钥生成后被KGC秘密保存，可以用来结合节点的身份标识为域内用户生成用户私钥。每个用户的私钥由KGC生成并通过安全信道发送，可以用于数字签名以及解密相关信息。

节点管理域指的是由一个密钥生成中心(KGC)和若干管理域内子节点构成的管理单元，同一管理域内共享同一公开参数。

由于在分层密钥管理机制中，不同管理域在初始状态下未能建立好信任关系，管理域间的节点无法完成对对方节点身份的验证以及消息传递的操作。因此，分层系统内跨域间的节点需要进行跨域会话密钥的协商。

现有的基于公钥基础设施(Public Key Infrastructure,PKI)分层跨域验证的方式主要是根据子节点对祖先节点身份的信任这一属性。跨域间的节点将自己的身份信息告知自己的祖先节点，然后通过两个跨域节点的共同祖先节点进行身份认证。由于跨域间的节点对对方的身份信息不能直接地进行验证，若要进行跨域间的通信及会话密钥协商，发送方需要先和自己的父节点进行通信，由父节点将该信息一层层上传至顶级祖先节点，再通过顶级域与接收方的顶级祖先节点进行通信，然后接收方的顶级祖先节点再将消息一层层地传递给接收方。由于需要进行多轮的通信，会话密钥协商的效率较低，管理节点的负担较重，不适用于层数及节点数较多的分层系统。

因此，如何在不需要额外通信的条件下，实现对跨域节点的身份认证及会话密钥协商成为一个亟待解决问题。

发明内容

为了解决上述技术问题，本发明提供一种分层系统下基于共识数据库的跨域密钥协商方法及系统。

本发明技术解决方案为：一种分层系统下基于共识数据库的跨域密钥协商方法，包括：

步骤S1：生成节点管理域：分层系统中顶级节点向顶级共识数据库上传新的管理域公开参数信息，分层系统中非顶级节点通过其父节点，并添加所述父节点的签名后，向顶级共识数据库上传新的管理域公开参数信息；将具有管理域的节点称为管理节点；

步骤S2：叶子节点加入分层系统：叶子节点U_i,j生成临时会话密钥key发给所述分层系统中某一管理节点，提出加入申请，申请通过后，所述管理节点生成U_i,j的私钥，将使用key对所述私钥进行加密后的密文发送给U_i,j，U_i,j收到所述密文后进行解密，得到由所述管理节点生成的所述私钥，此时，节点U_i,j加入所述分层系统；其中，节点U_i,j表示所述分层系统中第i层的第j个节点；