(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210594925.8 (22)申请日 2022.05.27 (66)本国优先权数据 202210564770.3 202 2.05.23 CN (71)申请人 孔雪曼 地址 450000 河南省郑州市金 水区文化路 97号 (72)发明人 孔雪曼　薛梦阳　 (74)专利代理 机构 北京慧加伦知识产权代理有 限公司 16 035 专利代理师 赵敏岑 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/06(2006.01) H04L 9/30(2006.01)H04L 9/32(2006.01) G16Y 40/50(2020.01) (54)发明名称 基于统一多域标识的密钥处理方法、 装置及 系统 (57)摘要 本公开的实施例提供一种基于统一多域标 识的密钥处理方法、 装置及系统， 属于信息安全 技术领域。 所述系统包括： 标识 映射公钥架构与 标识绑定公钥架构， 其中， 所述IMPK架构包括根 域密钥管 理中心以及其管理的域密钥管理中心， 所述RKMC用于生成所述DKMC的域私钥， 并将其发 送至对应的所述DKMC； 所述IBPK架构包括所述 DKMC以及其管理的域内的所有节点。 本公开实施 例适用于全域内节点的密钥处 理过程。 权利要求书2页 说明书14页 附图3页 CN 115001673 A 2022.09.02 CN 115001673 A 1.一种基于统一多域标识的密钥处理系统， 其特征在于， 所述系统包括： 标识映射公钥 IMPK架构与标识 绑定公钥IBPK架构， 其中， 所述IMPK架构包括根域密钥管理中心RKMC以及其管理的域密钥管理中心DKMC， 所述RKMC用于生成所述DKM C的域私钥， 并将其发送至对应的所述DKM C； 所述IBPK架构包括所述DKM C以及其管理的域内的所有节点。 2.一种基于统一多域标识的密钥处理方法， 其特征在于， 所述方法应用于第 一终端， 所 述方法包括： 生成所述第 一终端标识对应的自选私钥因子， 并向域密钥管理中心DKMC发送密钥申请 消息， 所述密钥申请消息中包括所述第一终端标识以及与所述自选私钥因子对应的自选公 钥因子； 接收所述DKMC返回的密钥信息， 所述密钥信息中包括利用所述DKMC的域私钥与所述自 选公钥因子协同生成的所述第一终端标识对应的分发私钥因子； 利用所述自选私钥因子与所述分发私钥因子， 得到所述第一终端标识对应的私钥。 3.根据权利要求2所述的基于统一多域标识的密钥处理方法， 其特征在于， 所述方法还 包括所述第一终端对第二终端发送的签名数据的认证过程： 接收所述第二终端发送的签名数据， 所述签名数据中包括所述第一终端标识、 待验证 数据、 签名值、 第二终端标识以及所述第二终端的伴随公钥 信息； 根据所述第二终端标识中的域标识， 确定所述第二终端所在域的域公钥； 根据所述第二终端标识、 所述伴随公钥信息以及所述第二终端所在域的域公钥， 得到 所述第二终端的公钥； 利用所述第 二终端的公钥以及所述待验证数据对所述签名值进行验证， 得到所述签名 数据的认证结果。 4.根据权利要求3所述的基于统一多域标识的密钥处理方法， 其特征在于， 所述根据 所 述第二终端标识， 确定所述第二终端所在域的域公钥包括： 判断所述第一终端标识中的域标识与所述第二终端标识中的域标识是否相同； 当确定二者的所述域标识相同时， 确定所述第 二终端所在域与 所述第一终端所在域相 同， 并将所述第一终端所在域的域公钥确定为所述第二终端所在域的域公钥； 当确定二者的所述域标识不相同时， 确定所述第 二终端所在域与所述第 一终端所在域 不相同， 并根据预设公钥基与所述第二终端标识中的域标识， 得到所述第二终端所在域的 域公钥。 5.根据权利要求4所述的基于统一多域标识的密钥处理方法， 其特征在于， 所述根据 预 设公钥基与所述第二终端标识中的域标识， 得到所述第二终端所在域的域公钥包括： 选取所述第 二终端标识中的域标识的哈希值的设定个数因子， 并将所述设定个数因子 划分为预设段； 利用每个预设段中的设定低位数， 查找所述预设公钥基中的选取因子， 并将每个预设 段中的剩余 位数作为对应所述选取因子的选取因子系数； 根据 得到所述第二终端所在域的 域公钥pk2DKMC， 其中ID2DKMC为所述第二终端标识中的域标识， h()为哈希函数， 为查询函权　利　要　求　书 1/2 页 2 CN 115001673 A 2数， bpkj为第j个选取因子， λj为第j个选取因子系数， k 为所述选取因子的个数。 6.根据权利要求3所述的基于统一多域标识的密钥处理方法， 其特征在于， 当所述伴随 公钥信息中包括伴 随公钥时， 所述根据所述第二终端标识、 所述伴 随公钥信息以及所述第 二终端所在域的域公钥， 得到所述第二终端的公钥包括： 根据pk2＝apk2+h(ID2||apk2)·pk2DKMC， 得到所述第二终端的公钥pk2， 其中， apk2为所述 伴随公钥， ID2为所述第二终端标识， h()为哈希函数， “||”为连接符， pk2DKMC为所述第二终 端所在域的域公钥。 7.根据权利要求3所述的基于统一多域标识的密钥处理方法， 其特征在于， 当所述伴随 公钥信息中包括伴 随公钥和所述伴 随公钥的有效期时， 所述根据所述第二终端标识、 所述 伴随公钥 信息以及所述第二终端所在域的域公钥， 得到所述第二终端的公钥包括： 根据pk2＝apk2+h(ID2||apk2||ET2)·pk2DKMC， 得到所述第二终端的公钥pk2， 其中， apk2 为所述伴随公钥， ID2为所述第二终端标识， h()为哈希函数， “||”为连接符， ET2为所述伴随 公钥的有效期， pk2DKMC为所述第二终端所在域的域公钥。 8.一种基于统一多域标识的密钥处理方法， 其特征在于， 所述方法应用于域密钥管理 中心DKMC， 所述方法包括： 当接收到第一终端发送的密钥申请消息时， 生成掩藏私钥因子， 所述密钥申请消息中 包括所述第一终端标识以及与自选公钥因子； 根据所述第一终端标识、 所述掩藏私钥因子、 所述自选公钥因子以及所述DKMC的域私 钥， 得到所述第一终端标识对应的分发私钥因子； 向所述第一终端发送包括所述分发私钥因子的密钥信 息， 以便所述第 一终端利用所述 自选私钥因子与所述分发私钥因子， 得到所述第一终端标识对应的私钥。 9.一种基于统一多域标识的密钥处理装置， 其特征在于， 所述装置应用于第 一终端， 包 括： 自选因子生成模块， 用于生成所述第一终端标识对应的自选私钥因子； 通信模块， 用于向域密钥管理中心DKMC发送密钥申请消息， 所述密钥申请消息中包括 所述第一终端标识以及与所述自选私钥因子对应的自选公钥因子； 所述通信模块还用于接收所述DKMC返回的密钥信息， 所述密钥信息中包括利用所述 DKMC的域私钥与所述自选公钥因子协同生成的所述第一终端标识对应的分发私钥因子； 私钥生成模块， 用于利用所述自选私钥因子与所述分发私钥因子， 得到所述第一终端 标识对应的私钥。 10.一种基于统一多域标识的密钥处理装置， 其特征在于， 所述装置应用于域密钥管理 中心DKMC， 包括： 通信模块， 用于接收第一终端发送的密钥申请消息， 所述密钥申请消息中包括所述第 一终端标识以及与自选公钥因子； 因子生成模块， 用于生成掩藏私钥因子； 分发因子生成模块， 用于根据 所述第一终端标识、 所述掩藏私钥因子、 所述自选公钥因 子以及所述DKM C的域私钥， 得到所述第一终端标识对应的分发私钥因子； 所述通信模块还用于向所述第 一终端发送包括所述分发私钥因子的密钥信 息， 以便所 述第一终端利用所述自选私钥因子与所述分发私钥因子， 得到所述第一终端标识对应的私钥。权　利　要　求　书 2/2 页 3 CN 115001673 A 3