專利名稱::一種獲取密鑰的方法、系統(tǒng)和設備的制作方法
技術領域:
:本發(fā)明涉及通信領域,特別涉及一種獲取密鑰的方法、系統(tǒng)和設備。
背景技術:
:隨著Internet的迅速普及,基于Web的各種應用得到極大的發(fā)展,遠程接入增多,隨之而來的是各種安全問題的凸顯。Nescape公司為了解決瀏覽器訪問互聯(lián)網資源過程中出現(xiàn)的安全問題,提出了SSL(SecureSocketLayer,安全套接層)協(xié)議?;赟SL技術的VPN(VirtualPrivateNetwork,虛擬專用網)是通過SSL來保證用戶遠程接入網絡的安全性和可靠性,以達到像專用網絡一樣的數(shù)據(jù)的安全傳輸。目前,SSLVPN設備從過去單一的支持Web訪問安全保證,到現(xiàn)在針對各種應用的安全支持,已經發(fā)展成為不可或缺的安全產品之一。其中,SSL通信雙方使用相同的密鑰導出函數(shù),以相同的預主密鑰(PreMasterSecret)和隨機數(shù)為參數(shù),計算出通信過程中所有的密鑰。由于隨機數(shù)以明文傳輸,因此,預主密鑰的安全是SSL通信過程中最關鍵的因素。發(fā)明人在實現(xiàn)本發(fā)明時發(fā)現(xiàn),現(xiàn)有的SSL的握手協(xié)議中的預主密鑰是由SSL通信雙方中的客戶端根據(jù)服務器的私鑰生成并發(fā)送的,生成的形式單一,限制了SSL協(xié)議使用范圍,不利于SSL協(xié)議的擴展。
發(fā)明內容為了實現(xiàn)通信雙方的安全通信握手,減少證書管理和維護的開銷,本發(fā)明實施例提供了獲取密鑰的方法、系統(tǒng)和設備。所述技術方案如下一方面,提供了一種獲取密鑰的方法,所述方法包括服務器確認支持基于標識加密的安全認證IBE;獲取用于所述IBE的公開參數(shù)和私鑰;所述服務器接收IBE加密后的預主密鑰,根據(jù)所述公開參數(shù)和私鑰獲取所述預主密鑰的明文。一方面,提供了一種獲取密鑰的系統(tǒng),所述系統(tǒng)包括客戶端和服務器;所述客戶端,用于和所述服務器進行基于標識加密的安全認證IBE的協(xié)商后,和所述服務器協(xié)商用于所述IBE的公開參數(shù);并利用獲取的所述服務器標識和所述協(xié)商獲取的公開參數(shù),生成并發(fā)送所述IBE加密后的預主密鑰;所述服務器,用于和所述客戶端進行基于標識加密的安全認證IBE的協(xié)商后,和所述客戶端協(xié)商用于所述IBE的公開參數(shù);并用于接收所述客戶端發(fā)送的所述IBE加密后的預主密鑰,利用獲取的私鑰進行解密后獲取所述預主密鑰的明文。一方面,提供了一種客戶端,所述客戶端包括-IBE協(xié)商模塊,用于和服務器進行基于標識加密的安全認證IBE的協(xié)商;公開參數(shù)協(xié)商模塊,用于和所述服務器協(xié)商用于所述IBE的公開參數(shù);服務器標識獲取模塊,用于獲取所述服務器標識;處理模塊,用于根據(jù)所述服務器標識獲取模塊獲取的服務器標識和所述公開參數(shù)協(xié)商模塊協(xié)商獲取的公開參數(shù),生成并發(fā)送所述IBE加密后的預主密鑰。另一方面,提供了一種服務器,所述服務器包括IBE協(xié)商模塊,用于和客戶端進行基于標識加密的安全認證IBE的協(xié)商;公開參數(shù)協(xié)商模塊,用于和所述客戶端協(xié)商用于進行IBE認證的公開參數(shù);私鑰獲取模塊,用于獲取私鑰,所述私鑰用于解密IBE加密的預主密鑰;處理模塊,用于接收所述客戶端發(fā)送的IBE加密后的預主密鑰,利用所述私鑰獲取模塊獲取的私鑰進行解密后,獲取所述預主密鑰的明文。再一方面,提供了一種提供設備,所述提供設備用于提供公開參數(shù),所述提供設備用于在服務器和客戶端在基于IBE的安全套接層SSL協(xié)議的協(xié)商認證過程中,根據(jù)所述服務器和客戶端的協(xié)商結果提供用于IBE的公開參數(shù),其中,所述公開參數(shù)用于所述客戶端根據(jù)所述公開參數(shù)和服務器標識生成并發(fā)送IBE加密的預主密鑰;相應地,所述服務器根據(jù)所述公開參數(shù)和獲取的私鑰,獲取所述IBE加密的預主密鑰的明文。本發(fā)明實施例提供的技術方案的有益效果是通過SSL服務器支持基于IBE的SSL握手協(xié)商,利用獲取的用于所述IBE的公開參數(shù)和私鑰,解密IBE加密后的預主密鑰,獲取到預主密鑰的明文,將IBE技術和SSL技術結合,簡化了證書管理,節(jié)省了網絡應用層的建設、管理CA的成本和維護一系列數(shù)字證書的開銷,實現(xiàn)了通信雙方的安全通信握手,并且,充分擴展了現(xiàn)有的SSL協(xié)議的使用范圍,豐富現(xiàn)有了的SSL協(xié)議中預主密鑰的生成形式。圖1是本發(fā)明實施例1提供的獲取密鑰的方法流程圖2是本發(fā)明實施例1提供的獲取密鑰的信息交互示意圖3是本發(fā)明實施例1提供的獲取密鑰的一種通信場景示意圖4是本發(fā)明實施例1提供的實現(xiàn)獲取密鑰的SSLVPN的設備示意圖5是本發(fā)明實施例2提供的獲取密鑰的系統(tǒng)示意圖6是本發(fā)明實施例3提供的客戶端示意圖7是本發(fā)明實施例4提供的服務器示意圖。具體實施例方式為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚,下面將結合附圖對本發(fā)明實施方式作進一步地詳細描述。本領域技術人員可以獲知,IBE(Identity-BasedEncryption,基于標識的加密)技術最早是由Shamir于1984年提出,其初衷是簡化電子郵件系統(tǒng)中的證書管理,能夠滿足任何一對用戶之間安全通信以及在不需要交換私鑰和公鑰的情況下驗證每個人的簽名。IBE認證體系是一種將用戶的公開標識作為公鑰的加密方式,不需要通過證書綁定用戶的身份及其公鑰。其中,上述公開標識具體可以為能夠代表用戶身份的任意公開的字符串信息,例如用戶的郵箱地址,IP地址,身份證號或手機號碼等。而對端用于解密的私鑰則由IBE認證體系中的預設的PKG(PrivateKeyGenerator,私鑰生成器)發(fā)放的。IBE與基于PKI的傳統(tǒng)方案相比,由于取消了第三方認證機構(CA,CertificationAuthority)。因此在應用層面節(jié)省了建設、管理CA的成本,省去了產生,更新,撤銷等一系列對數(shù)字證書的維護工作;在技術層面避免了交叉認證中信任的起點和信任如何傳遞,以及當用戶數(shù)量增多時CA負擔過重等難題,節(jié)省帶寬資源,存儲空間需求小。本發(fā)明實施例提供的獲取密鑰的方法,利用上述IBE技術的優(yōu)點,以將IBE技術與SSL技術結合為例,方法內容如下SSLVPN系統(tǒng)中的客戶端和服務器進行基于標識加密的安全認證IBE的協(xié)商,即服務器確認支持基于標識加密的安全認證IBE;然后服務器獲取用于IBE的公開參數(shù)(通過和客戶端協(xié)商獲取)和私鑰;服務器接收IBE加密后的預主密鑰(即客戶端利用獲取的服務器標識和協(xié)商獲取的公開參數(shù),生成并發(fā)送的),根據(jù)公開參數(shù)和私鑰獲取預主密鑰的明文。從而實現(xiàn)了通信雙方的安全通信握手,豐富現(xiàn)有的SSL協(xié)議中預主密鑰的生成形式,實現(xiàn)了充分擴展了現(xiàn)有的SSL協(xié)議的使用范圍的目的。實施例1參見圖l,本發(fā)明實施例提供了一種獲取密鑰的方法,為了與標準的SSL協(xié)議保持一致,SSL使用IBE進行握手的過程詳見下述內容101:客戶端向服務器發(fā)送客戶端握手請求消息ClientHdlo,該ClientHello中攜帶使用IBE進行認證的密碼套件。其中,在客戶端向服務器發(fā)送客戶端握手請求消息ClientHdlo時,除了SSL標準中規(guī)定的各項內容外,還需要提供包含了使用IBE進行認證的密碼套件列表,該密碼套件列表中包含了IBE算法、認證算法、加密算法、摘要算法等內容,其中,該密碼套件列表用于向服務器請求協(xié)商使用IBE進行認證。本發(fā)明實施例不限制在具體應用時,客戶端向服務器發(fā)送客戶端握手請求消息ClientHello中是否還攜帶使用其它方法進行認證的密碼套件。102:服務器收到客戶端發(fā)送的客戶端握手請求消息ClientHdlo,判斷自身支持使用IBE進行認證后,向客戶端返回作為客戶端握手請求消息ClientHello響應消息的服務器握手請求消息ServerHello。其中,服務器返回的服務器握手消息ServerHello,該消息用于表明服務器同意使用IBE進行認證,例如,當在步驟101中客戶端發(fā)送了包括IBE密碼套件在內的多套用于進行認證的密碼套件時,則可以通過該ServerHello消息中攜帶服務器確認選擇的IBE認證的密碼套件。本發(fā)明實施例不限制該服務器握手消息ServerHello的具體實現(xiàn)形式。如果服務器判斷自身不支持使用IBE進行認證時,相應地,需要返回響應消息通告客戶端不能進行IBE進行認證。103:服務器同意使用IBE進行認證后,向客戶端發(fā)送服務器密鑰交換消息ServerKeyExchange,用于和客戶端協(xié)商進行IBE認證所需要的公開參數(shù)的相關信息。其中,針對該步驟103中涉及到的公開參數(shù),本領域技術人員可以獲知使用IBE進行認證時,一方面需要使用對端設備標識生成預主密鑰,同時還需要使用公開參數(shù)對生成的預主密鑰進行加密后,需要將加密后的預主密鑰發(fā)送到對端設備,其中,用于進行IBE加密的公開參數(shù)通常為一套數(shù)據(jù)包含一系列的參數(shù),例如根據(jù)系統(tǒng)的需要配置的安全曲線、算法等等。104:服務器向客戶端發(fā)送服務器握手請求完成消息ServerHelloDone,用于通告客戶端服務器方的認證準備工作已經完成。其中,該步驟中服務器發(fā)送的服務器握手請求完成消息ServerHelloDone可以采用標準的SSL握手消息。105:客戶端向服務器發(fā)送客戶端密鑰交換消息ClientKeyExchange。其中,該消息包括兩部分內容1、協(xié)商IBE公開參數(shù)的相關信息,用于作為對步驟103中的服務器密鑰交換消息ServerKeyExchange消息的響應。2、向服務器發(fā)送通過協(xié)商得到的公開參數(shù)和預先獲取的服務器標識完成IBE加密的預主密鑰。106:服務器收到客戶端發(fā)送的客戶端密鑰交換消息ClientKeyExchange后,根據(jù)其中攜帶的IBE加密的預主密鑰,利用預先從PKG獲取的私鑰,對IBE加密的預主密鑰進行解密,從而得到預主密鑰的明文。參見圖2,為基于本發(fā)明實施例提供的獲取密鑰的方法的SIX使用IBE的握手過程示意圖,詳細的交互過程如前文所述,不再贅述。綜上,客戶端和服務器通過ClientHello和ServerHello消息確認使用IBE進行認證,使用ServerKeyExchange和ClientKeyExchange完成對公開參數(shù)的協(xié)商,其中,在具體實現(xiàn)時,協(xié)商方式可以有以下幾種,說明如下(一)如果客戶端和服務器預共享唯一的一套公開參數(shù),服務器和客戶端還不使用任何包含公開參數(shù)的消息進行交互,而表明雙方默認使用了該預共享公開參數(shù)。其中,具體實現(xiàn)時,上述步驟103中服務器不用發(fā)送ServerKeyExchange消息,即用ServerHelloDone來表示服務器握手消息的結束,服務器通過這種方式表明默認使用預共享的公開參數(shù);相應地,上述步驟105中,客戶端在ClientKeyExchange消息中不用包含公開參數(shù)的相關信息(確認使用了默認的預共享的公開參數(shù)),只用包含一項內容即通過該ClientKeyExchange消息直接將使用預共享公開參數(shù)和服務器標識加密的預主密鑰發(fā)送至服務器。(二)如果客戶端和服務器預共享唯一的一套公開參數(shù),服務器使用ServerKeyExchange消息通知客戶端使用預共享的公開參數(shù),客戶端使用ClientKeyExchange消息響應;其中,具體實現(xiàn)時,上述步驟103中服務器可以通過ServerKeyExchange發(fā)送一個預設標識,用于通告客戶端使用預共享的公開參數(shù),而不需要攜帶任何有關于公開參數(shù)的實質內容;相應地,上述步驟105中,客戶端對使用預共享參數(shù)進行確認,通過ClientKeyExchange傳遞預設標識,用于確認使用了預共享的公開參數(shù),而不需要公開參數(shù)的實質內容。其中,上述唯一的一套公開參數(shù)是事先客戶端和服務器分別向PKG獲取后,進行保存的。(三)如果客戶端和服務器共享了多套公開參數(shù),服務器使用ServerKeyExchange消息通知客戶端它建議使用的公開參數(shù)的對應標識,客戶端使用ClientKeyExchange消息響應;其中,具體實現(xiàn)時,上述步驟103中服務器根據(jù)具體的系統(tǒng)部署策略,從共享的多套公開參數(shù)中,選擇至少一套公開參數(shù),其中,每套公開參數(shù)可以對應與唯一的標識,參見表l,提供了一種公開參數(shù)和標識的對應表,通過ServerKeyExchange將選擇出的公開參數(shù)的對應的標識發(fā)送到客戶端;表l<table>tableseeoriginaldocumentpage13</column></row><table>相應地,由于多套公開參數(shù)為客戶端和服務器所共享,所以相應的代表每套公開參數(shù)的標識也是一致,在步驟104中,客戶端根據(jù)服務器提供的標識獲取到對應的一套公開參數(shù),然后通過發(fā)送ClientKeyExchange攜帶該套公開參數(shù)對應的標識響應服務器。進一步地,當服務器向客戶端發(fā)送的公開參數(shù)標識為多個時,客戶端根據(jù)服務器提供的多個標識,根據(jù)自身的選擇策略選擇出一個,使用該選擇的標識對應的公開參數(shù)。進一步,客戶端收到服務器發(fā)送的公開參數(shù)標識后,還可以根據(jù)自身的選擇策略選擇不使用服務器發(fā)送的公開參數(shù)標識對應的公開參數(shù),而根據(jù)自身的策略,選擇出使用的一套公開參數(shù),并相應地,通過ClientKeyExchange攜帶該套公開參數(shù)對應的標識響應服務器。其中,上述多套公開參數(shù)是事先客戶端和服務器分別向PKG獲取后,進行保存的。(四)如果客戶端和服務器未預先共享公開參數(shù),則服務器使用ServerKeyExchange消息將加密需要使用的一套公開參數(shù)發(fā)送給客戶端;或者服務器使用ServerKeyExchange消息將多套公開參數(shù)發(fā)送給客戶端;相應地,客戶端從收到的多套公開參數(shù)中,選擇出一套使用的公開參數(shù)后,通過ClientKeyExchange消息響應服務器選擇使用的公開參數(shù)。其中,在具體實現(xiàn)時,服務器可以采用通過ServerKeyExchange消息發(fā)送公開參數(shù)以及其對應標識的形式;相應地,客戶端在使用ClientKeyExchange消息響應服務器時,可以僅通過攜帶標識的形式實現(xiàn)。(五)如果采用遠程獲取的方式獲取公開參數(shù),則服務器使用ServerKeyExchange消息將產生公開參數(shù)的PKG的地址、域名等用于定位公開參數(shù)的標識發(fā)送給客戶端,相應地,當客戶端收到該ServerKeyExchange消息后,根據(jù)其中攜帶的定位公開參數(shù)的標識信息,去PKG獲取公開參數(shù)后,使用ClientKeyExchange通告服務器其選擇的公開參數(shù)。進一步地,服務器使用ServerKeyExchange消息發(fā)送用于定位公開參數(shù)的標識時,可以發(fā)送多個PKG的標識,相應地,客戶端根據(jù)自身的策略(如出于安全、方便等角度出發(fā)制定策略),從多個標識中選擇出一個PKG標識,向該PKG獲取公開參數(shù)。參見圖3,為該情況下通信場景,服務器向客戶端發(fā)送PKG1、PKG2和PKG3地址標識,客戶端收到后,根據(jù)自身的策略配置,從中選擇出PKG2,向PKG2獲取公開參數(shù)。(六)如果采用遠程獲取的方式獲取公開參數(shù),并且預設了用于存儲多套公開參數(shù)的公開參數(shù)服務器(其中,該公開參數(shù)服務器做為一個功能實體既可以單獨存在也可以集成在現(xiàn)有的PKG設備中),則服務器使用ServerKeyExchange消息將公開參數(shù)在公開參數(shù)服務器中的保存的地址發(fā)送給客戶端,參見表2,提供了一種公開參數(shù)和地址的對應關系表;相應地,當客戶端收到該ServerKeyExchange消息后,根據(jù)攜帶的地址信息向公開參數(shù)服務器獲取公開參數(shù)后,通過ClientKeyExchange通告服務器其選擇的公開參數(shù)的地址。表2公開參數(shù)地址第一套公開參數(shù)A第二套公開參數(shù)B第三套公開參數(shù)C進一步地,服務器使用ServerKeyExchange消息將向客戶端發(fā)送地址時,還可以發(fā)送多個地址,由客戶端根據(jù)自身的策略從中選擇出一個做為獲取公開參數(shù)的地址。進一步,參見表3,還可以為公開參數(shù)以及地址配置標識的形式,相應地,服務器使用ServerKeyExchange消息將公開參數(shù)的標識發(fā)送給客戶端,客戶端根據(jù)收到的標識向對應的地址獲取公開參數(shù)后,通過ClientKeyExchange通告服務器其選擇的公開參數(shù)的標識。表3標識公開參數(shù)地址1第一套公開參數(shù)A2第二套公開參數(shù)B3第三套公開參數(shù)C綜上,上述第五種方式和第六種方式中,由于客戶端需要從第三方(PKG或者公開參數(shù)服務器)獲取公開參數(shù),因此客戶端應該根據(jù)服務器提供的可選項中,根據(jù)自身制定的安全選擇策略,選擇出自己信任的第三方來申請公開參數(shù),防止可能出現(xiàn)的中間人攻擊??蛻舳诵枰S護一個可信任第三方的列表。本領域技術人員可以獲知SSLVPN在SSL通信的過程中多數(shù)情況下扮演服務器的角色,但也能成為客戶端(如在SSLVPN在建立站點到站點的隧道的情況下),因此,參見圖4,SSLVPN必須具備以下功能模塊才能滿足支持對IBE的支持,其中,支持IBE的SSL通信模塊完成SSL握手。在握手過程中如果IBE需要獲得加密和解密的公開參數(shù)如果使用上述第一種、第二種和第三種協(xié)商方式,則調用預共享公開參數(shù)管理模塊從本地獲得公開參數(shù);如果使用上述第四種、第五種和第六種協(xié)商方式,則調用遠程公開參數(shù)獲取模塊從遠程獲得公開參數(shù)。綜上所述,本發(fā)明實施例提供的獲取密鑰的方法,通過將IBE技術與SSL技術結合,豐富現(xiàn)有的SSL協(xié)議中預主密鑰的生成形式,實現(xiàn)了充分擴展了現(xiàn)有的SSL協(xié)議的使用范圍的目的,并且SSL客戶端和服務器通過上述五種方式的任意一種,可以唯一確定了加密和解密運算過程中使用的公開參數(shù),實現(xiàn)了預主密鑰的安全傳輸。實施例2參見圖5,本發(fā)明實施例提供了一種獲取密鑰的系統(tǒng),包括系統(tǒng)包括客戶端201和服務器202;客戶端201,用于和服務器202進行基于標識加密的安全認證IBE的協(xié)商后,和服務器202協(xié)商用于IBE的公開參數(shù);并利用獲取的服務器標識和協(xié)商獲取的公開參數(shù),生成并發(fā)送IBE加密后的預主密鑰;服務器202,用于和客戶端201進行基于標識加密的安全認證IBE的協(xié)商后,和客戶端201協(xié)商用于IBE的公開參數(shù);并用于接收客戶端201發(fā)送的IBE加密后的預主密鑰,利用獲取的私鑰進行解密后獲取預主密鑰的明文。(一)本發(fā)明實施例提供的獲取密鑰的系統(tǒng)中的客戶端201具體包括IBE協(xié)商模塊,用于向服務器202發(fā)送客戶端請求消息,客戶端請求消息中攜帶用于進行基于標識加密的安全認證IBE的密碼套件;并接收服務器202返回的IBE確認消息;公開參數(shù)獲取模塊,用于獲取用于進行IBE認證的公開參數(shù);服務器標識獲取模塊,用于獲取服務器標識;處理模塊,用于利用公開參數(shù)獲取模塊獲取的公開參數(shù),和服務器標識獲取模塊獲取的服務器標識,生成并發(fā)送IBE加密后的預主密鑰。.其中,該客戶端201的公開參數(shù)獲取模塊具體包括(a)公開參數(shù)保存單元,用于保存一套公開參數(shù);公開參數(shù)選擇單元,用于獲取公開參數(shù)保存單元中保存的公開參數(shù)。該情況即對應著當客戶端201和服務器202進行了IBE認證協(xié)商后,默認使用了該套預共享的公開參數(shù)?;蛘撸?b)公開參數(shù)保存單元,用于保存至少一套公開參數(shù);公開參數(shù)選擇單元,用于根據(jù)服務器202的通知,從公開參數(shù)保存單元中選擇一套公開參數(shù);響應單元,用于當公開參數(shù)選擇單元選擇了一套公開參數(shù)后,響應服務器202選擇的公開參數(shù)?;蛘撸?c)公開參數(shù)獲取單元,用于獲取服務器202發(fā)送的至少一套公開參數(shù);公開參數(shù)選擇單元,用于從公開參數(shù)獲取單元中獲取的公開參數(shù)中,選擇出一套公開參數(shù);響應單元,用于當公開參數(shù)選擇單元選擇了一套公開參數(shù)后,通知服務器202選擇的公開參數(shù)?;蛘?;(d)當系統(tǒng)還包括至少一個私鑰生成器PKG時,其中PKG用于提供公開參數(shù);相應地,公開參數(shù)獲取模塊具體包括PKG標識獲取單元,用于獲取服務器202發(fā)送的至少一個私鑰生成器PKG標識;PKG標識選擇單元,用于從PKG標識獲取單元獲取的PKG標識中,選擇一個PKG標識;公開參數(shù)獲取單元,用于根據(jù)PKG標識選擇單元選擇的PKG標識,向選擇的PKG標識對應的PKG獲取公開參數(shù);通知單元,用于當PKG標識選擇單元選擇了PKG標識后,通知服務器202選擇的PKG標識。或者;(e)當系統(tǒng)還包括能夠提供至少一套公開參數(shù)的公開參數(shù)服務器時,相應地,公開參數(shù)獲取模塊具體包括地址標識獲取單元,用于獲取服務器202發(fā)送的公開參數(shù)服務器中保存的至少一個公開參數(shù)的地址標識;地址標識選擇單元,用于根據(jù)地址標識獲取單元獲取的地址標識中,選擇一個地址標識;公開參數(shù)獲取單元,用于根據(jù)地址標識選擇單元選擇的地址標識,根據(jù)選擇的地址標識向公開參數(shù)服務器獲取公開參數(shù);通知單元,用于當?shù)刂窐俗R選擇單元選擇了地址標識后,通知服務器202選擇的地址標識。(二)本發(fā)明實施例提供的獲取密鑰的系統(tǒng)中的服務器202具體包括IBE協(xié)商模塊,用于接收客戶端201發(fā)送的客戶端請求消息,客戶端請求消息中攜帶用于進行基于標識加密的安全認證IBE的密碼套件;判斷支持IBE認證后,向客戶端201返回確認消息;公開參數(shù)協(xié)商模塊,用于和客戶端201協(xié)商用于進行IBE認證的公開參數(shù);私鑰獲取模塊,用于獲取私鑰,私鑰用于解密IBE加密的預主密鑰;處理模塊,用于接收客戶端201發(fā)送的IBE加密后的預主密鑰,利用私鑰獲取模塊獲取的私鑰進行解密后,獲取預主密鑰的明文。其中,該服務器202的公開參數(shù)協(xié)商模塊具體包括(a)公開參數(shù)保存單元,用于保存一套公開參數(shù);公開參數(shù)選擇單元,用于獲取公開參數(shù)保存單元中保存的公開參數(shù)。該情況即對應著當客戶端201和服務器202進行了IBE認證協(xié)商后,默認使用了該套預共享的公開參數(shù)。(b)公開參數(shù)保存單元,用于保存至少一套公開參數(shù);通知單元,用于根據(jù)公開參數(shù)保存單元保存的公開參數(shù),向客戶端201發(fā)送通知;接收單元,用于接收客戶端201返回的選擇的公開參數(shù)的響應。(C)發(fā)送單元,用于向客戶端201發(fā)送至少一套公開參數(shù);接收單元,用于接收客戶端201返回的選擇的公開參數(shù)的響應。(d)當系統(tǒng)還包括至少一個私鑰生成器PKG時,其中PKG用于提供公開參數(shù);相應地,公開參數(shù)協(xié)商模塊具體包括PKG標識發(fā)送單元,用于向客戶端201發(fā)送至少一個私鑰生成器PKG標識;接收單元,用于接收客戶端201返回的選擇的PKG標識;獲取單元,用于接收單元接收的PKG標識,獲取一套用于IBE的公開參數(shù)。(e)當系統(tǒng)還包括能夠提供至少一套公開參數(shù)的公開參數(shù)服務器時,相應地,公開參數(shù)獲取模塊具體包括地址標識發(fā)送單元,用于向客戶端201發(fā)送公開參數(shù)服務器中保存的至少一個公開參數(shù)的地址標識;接收單元,用于接收客戶端201返回的選擇的地址標識。獲取單元,用于接收單元接收的地址標識,獲取一套用于IBE的公開參數(shù)。綜上所述,本發(fā)明實施例提供的獲取密鑰的系統(tǒng),通過將IBE技術與SSL技術結合,豐富現(xiàn)有的SSL協(xié)議中預主密鑰的生成形式,實現(xiàn)了充分擴展了現(xiàn)有的SSL協(xié)議的使用范圍的目的,并且SSL客戶端和服務器多種公開參數(shù)協(xié)商模式中的任意一種,可以唯一確定了加密和解密運算過程中使用的公開參數(shù),實現(xiàn)了預主密鑰的安全傳輸。實施例3參見圖6,本發(fā)明實施例提供了一種客戶端,所述客戶端包括IBE協(xié)商模塊301,用于和服務器進行基于標識加密的安全認證IBE的協(xié)商;公開參數(shù)協(xié)商模塊302,用于和服務器協(xié)商用于IBE的公開參數(shù);服務器標識獲取模塊303,用于獲取服務器標識;處理模塊304,用于根據(jù)服務器標識獲取模塊303獲取的服務器標識和公開參數(shù)協(xié)商模塊302協(xié)商獲取的公開參數(shù),生成并發(fā)送IBE加密后的預主密鑰;其中,IBE協(xié)商模塊301具體用于向服務器發(fā)送客戶端請求消息,客戶端請求消息中攜帶用于進行基于標識加密的安全認證IBE的密碼套件;并接收服務器返回的IBE確認消息;其中,公開參數(shù)協(xié)商模塊302具體包括公開參數(shù)保存單元,用于保存一套公開參數(shù);公開參數(shù)選擇單元,用于獲取公開參數(shù)保存單元中保存的公開參數(shù)。該情況即對應著當客戶端和服務器進行了IBE認證協(xié)商后,默認使用了該套預共享的公開參數(shù)?;蛘呔唧w包括公開參數(shù)保存單元,用于保存至少一套公開參數(shù);公開參數(shù)選擇單元,用于根據(jù)服務器的通知,從公開參數(shù)保存單元中選擇一套公開參數(shù);響應單元,用于當公開參數(shù)選擇單元選擇了一套公開參數(shù)后,響應服務器選擇的公開參數(shù);或者具體包括公開參數(shù)獲取單元,用于獲取服務器發(fā)送的至少一套公開參數(shù);公開參數(shù)選擇單元,用于從公開參數(shù)獲取單元中獲取的公開參數(shù)中,選擇出一套公開參數(shù);響應單元,用于當公開參數(shù)選擇單元選擇了一套公開參數(shù)后,通知服務器選擇的公開參數(shù);或者具體包括PKG標識獲取單元,用于獲取服務器發(fā)送的至少一個私鑰生成器PKG標識;PKG標識選擇單元,用于從PKG標識獲取單元獲取的PKG標識中,選擇一個PKG標識;公開參數(shù)獲取單元,用于根據(jù)PKG標識選擇單元選擇的PKG標識,向選擇的PKG標識對應的PKG獲取公開參數(shù);通知單元,用于當PKG標識選擇單元選擇了PKG標識后,通知服務器選擇的PKG標識。或者具體包括地址標識獲取單元,用于獲取服務器發(fā)送的公開參數(shù)服務器中保存的至少一個公開參數(shù)的地址標識;地址標識選擇單元,用于根據(jù)地址標識獲取單元獲取的地址標識中,選擇一個地址標識;公開參數(shù)獲取單元,用于根據(jù)地址標識選擇單元選擇的地址標識,根據(jù)選擇的地址標識向公開參數(shù)服務器獲取公開參數(shù);通知單元,用于當?shù)刂窐俗R選擇單元選擇了地址標識后,通知服務器選擇的地址標識。綜上所述,本發(fā)明實施例提供的客戶端,通過將IBE技術與SSL技術結合,豐富現(xiàn)有的SSL協(xié)議中預主密鑰的生成形式,實現(xiàn)了充分擴展了現(xiàn)有的SSL協(xié)議的使用范圍的目的,并且SSL客戶端和服務器多種公開參數(shù)協(xié)商模式中的任意一種,可以唯一確定了加密和解密運算過程中使用的公開參數(shù),實現(xiàn)了預主密鑰的安全傳輸。實施例4參見圖7,本發(fā)明實施例提供了一種服務器,包括IBE協(xié)商模塊401,用于和客戶端進行基于標識加密的安全認證IBE的協(xié)商;公開參數(shù)協(xié)商模塊402,用于和客戶端協(xié)商用于進行IBE認證的公開參數(shù);私鑰獲取模塊403,用于獲取私鑰,私鑰用于解密IBE加密的預主密鑰;處理模塊404,用于接收客戶端發(fā)送的IBE加密后的預主密鑰,利用私鑰獲取模塊獲取的私鑰進行解密后,獲取預主密鑰的明文。其中,IBE協(xié)商模塊401具體用于接收客戶端發(fā)送的客戶端請求消息,客戶端請求消息中攜帶用于進行基于標識加密的安全認證IBE的密碼套件;判斷支持IBE認證后,向客戶端返回確認消息。其中,公開參數(shù)協(xié)商模塊402具體包括公開參數(shù)保存單元,用于保存一套公開參數(shù);公開參數(shù)選擇單元,用于獲取公開參數(shù)保存單元中保存的公開參數(shù)。該情況即對應著當客戶端和服務器進行了IBE認證協(xié)商后,默認使用了該套預共享的公開參數(shù)。或者具體包括公開參數(shù)保存單元,用于保存至少一套公開參數(shù);通知單元,用于根據(jù)公開參數(shù)保存單元保存的公開參數(shù),向客戶端發(fā)送通知;接收單元,用于接收客戶端返回的選擇的公開參數(shù)響應;獲取單元,用于根據(jù)接收單元接收的響應,獲取公開參數(shù)保存單元中保存的公開參數(shù)?;蛘呔唧w包括發(fā)送單元,用于向客戶端發(fā)送至少一套公開參數(shù);接收單元,用于接收客戶端返回的選擇的公開參數(shù)響應;獲取單元,用于根據(jù)接收單元接收的響應,獲取一套公開參數(shù)?;蛘呔唧w包括PKG標識發(fā)送單元,用于向客戶端發(fā)送至少一個私鑰生成器PKG標識;接收單元,用于接收客戶端返回的選擇的PKG標識;獲取單元,用于接收單元接收的PKG標識,獲取一套用于IBE的公開參數(shù)。或者具體包括地址標識發(fā)送單元,用于向客戶端發(fā)送公開參數(shù)服務器中保存的至少一個公開參數(shù)的地址標識;接收單元,用于接收客戶端返回的選擇的地址標識;獲取單元,用于接收單元接收的地址標識,獲取一套用于IBE的公開參數(shù)。綜上所述,本發(fā)明實施例提供的服務器,通過將IBE技術與SSL技術結合,豐富現(xiàn)有的SSL協(xié)議中預主密鑰的生成形式,實現(xiàn)了充分擴展了現(xiàn)有的SSL協(xié)議的使用范圍的目的,并且SSL客戶端和服務器多種公開參數(shù)協(xié)商模式中的任意一種,可以唯一確定了加密和解密運算過程中使用的公開參數(shù),實現(xiàn)了預主密鑰的安全傳輸。實施例5本發(fā)明實施例提供了一種提供設備,該提供設備用于在服務器和客戶端在基于IBE的安全套接層SSL協(xié)議的協(xié)商認證過程中,根據(jù)服務器和客戶端的協(xié)商結果提供用于IBE的公開參數(shù),其中,公開參數(shù)用于客戶端根據(jù)公開參數(shù)和服務器標識生成并發(fā)送IBE加密的預主密鑰;相應地,服務器根據(jù)公開參數(shù)和獲取的私鑰,獲取IBE加密的預主密鑰的明文。其中,本領域技術人員可以獲知使用IBE進行認證時,需要獲取用于IBE認證的公開參數(shù),其中,該公開參數(shù)通常為一套數(shù)據(jù)包含一系列的參數(shù),例如根據(jù)系統(tǒng)的需要配置的安全曲線、算法等等。具體實現(xiàn)時,可以為每套公開參數(shù)設置對應的標識,通過查看標識便可以知道具體使用了哪套對應的公開參數(shù)。進一步地,本發(fā)明實施例提供的能夠提供公開參數(shù)的提供設備,還可以用于向服務器提供私鑰,其中,該私鑰用于當獲取到IBE解密后的預主密鑰后,對該預主密鑰進行解密,從而獲取到該預主密鑰的明文。本發(fā)明實施例涉及的提供設備在具體實施時,可以通過現(xiàn)有的PKG設備來實現(xiàn),通過PKG設備實現(xiàn)提供公開參數(shù)的實體功能,每個PKG設備中配置的公開參數(shù)不同,相應地,在系統(tǒng)配置時,需要提供多個PKG設備來支持提供多套公開參數(shù)的目的,優(yōu)選地,還可以通過單獨設置公開參數(shù)服務器來實現(xiàn)提供至少一套公開參數(shù)的實體功能,事先將至少一套公開參數(shù)配置在該公開參數(shù)服務器中,對應與每套公開參數(shù)還可以為其配置對應的標識,本發(fā)明實施例不限制在具體實施時的具體的實現(xiàn)形式。綜上所述,本發(fā)明實施例提供的技術方案,通過將IBE技術與SSL技術結合,豐富現(xiàn)有的SSL協(xié)議中預主密鑰的生成形式,實現(xiàn)了充分擴展了現(xiàn)有的SSL協(xié)議的使用范圍的目的,并且SSL客戶端和服務器多種公開參數(shù)協(xié)商模式中的任意一種,可以唯一確定了加密和解密運算過程中使用的公開參數(shù),實現(xiàn)了預主密鑰的安全傳輸。本領域技術人員可以獲知,當服務器獲取到預主密鑰之后的SSL協(xié)商和通信過程和現(xiàn)有的標準SSL—致。本發(fā)明實施例還可以應用于使用IBE的其他技術方案中。本發(fā)明實施例中的部分步驟,可以利用軟件實現(xiàn),相應的軟件程序可以存儲在可讀取的存儲介質中,如光盤或硬盤等。以上所述僅為本發(fā)明的具體實施例,并不用以限制本發(fā)明,對于本
技術領域:
的普通技術人員來說,凡在不脫離本發(fā)明原理的前提下,所作的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內。權利要求1.一種獲取密鑰的方法,其特征在于,所述方法包括服務器確認支持基于標識加密的安全認證IBE;獲取用于所述IBE的公開參數(shù)和私鑰;所述服務器接收IBE加密后的預主密鑰,根據(jù)所述公開參數(shù)和私鑰獲取所述預主密鑰的明文。2.如權利要求1所述的獲取密鑰的方法,其特征在于,所述服務器確認支持基于標識加密的安全認證IBE,具體為所述服務器接收客戶端請求消息,所述客戶端請^^消息中攜帶用于進行基于標識加密的安全認證IBE的密碼套件,判斷支持所述IBE認證后,向所述客戶端返回確認消息。3.如權利要求1所述的獲取密鑰的方法,其特征在于,當客戶端和所述服務器預共享了一套公開參數(shù)時,所述獲取用于所述IBE的公開參數(shù),具體為所述服務器使用所述預共享的公開參數(shù)。4.如權利要求l所述的獲取密鑰的方法,其特征在于,當客戶端和所述服務器預共享了至少一套公開參數(shù)時,所述獲取用于所述IBE的公開參數(shù),具體為所述服務器通知所述客戶端使用所述預共享的公開參數(shù);所述客戶端響應所述服務器的通知,所述服務器根據(jù)所述通知,獲取一套用于所述IBE的公開參數(shù)。5.如權利要求4所述的獲取密鑰的方法,其特征在于,當所述客戶端和所述服務器預共享了多套公開參數(shù)時,所述服務器通知所述客戶端使用所述預共享的公開參數(shù);具體為所述服務器通知所述客戶端至少一套公開參數(shù)對應的標識;相應地,所述客戶端響應所述服務器的通知,具體為所述客戶端從所述預共享的多套公開參數(shù)中選擇出一套公開參數(shù)后,響應所述服務器所述選擇的公開參數(shù)的標識。6.如權利要求1所述的獲取密鑰的方法,其特征在于,所述獲取用于所述IBE的公開參數(shù),具體為-所述服務器向客戶端發(fā)送至少一套公開參數(shù);所述客戶端從接收的所述服務器發(fā)送的至少一套公開參數(shù)中,選擇出一套公開參數(shù)后,通知所述服務器所述選擇的公開參數(shù);所述服務器根據(jù)所述通知,獲取一套用于所述IBE的公開參數(shù)。7.如權利要求l所述的獲取密鑰的方法,其特征在于,所述獲取用于所述IBE的公開參數(shù),具體為所述服務器向客戶端發(fā)送至少一個用于獲取公開參數(shù)的私鑰生成器PKG的標識;所述客戶端從接收的至少一個PKG標識中,選擇一個PKG標識后,向所述選擇的PKG標識對應的PKG獲取公開參數(shù);并通知所述服務器所述選擇的PKG標識;所述服務器根據(jù)所述通知,獲取一套用于所述IBE的公開參數(shù)。8.如權利要求1所述的獲取密鑰的方法,其特征在于,所述獲取用于所述IBE的公開參數(shù),具體為所述服務器向客戶端發(fā)送公開參數(shù)服務器中保存的至少一個公開參數(shù)的地址標識;所述客戶端從接收到的所述服務器發(fā)送的至少一個地址標識中,選擇一個地址標識后,根據(jù)所述選擇的地址標識向所述公開參數(shù)服務器獲取公開參數(shù);并通知所述服務器所述選擇的地址標識;所述服務器根據(jù)所述通知,獲取一套用于所述IBE的公開參數(shù)。9.一種獲取密鑰的系統(tǒng),其特征在于,所述系統(tǒng)包括客戶端和服務器;所述客戶端,用于和所述服務器進行基于標識加密的安全認證IBE的協(xié)商后,和所述服務器協(xié)商用于所述IBE的公開參數(shù);并利用獲取的所述服務器標識和所述協(xié)商獲取的公開參數(shù),生成并發(fā)送所述IBE加密后的預主密鑰;所述服務器,用于和所述客戶端進行基于標識加密的安全認證IBE的協(xié)商后,和所述客戶端協(xié)商用于所述IBE的公開參數(shù);并用于接收所述客戶端發(fā)送的所述IBE加密后的預主密鑰,利用獲取的私鑰進行解密后獲取所述預主密鑰的明文。10.如權利要求9所述的獲取密鑰的系統(tǒng),其特征在于,所述客戶端具體包括IBE協(xié)商模塊,用于向服務器發(fā)送客戶端請求消息,所述客戶端請求消息中攜帶用于進行基于標識加密的安全認證IBE的密碼套件;并接收所述服務器返回的IBE確認消息;公開參數(shù)獲取模塊,用于獲取用于進行IBE認證的公開參數(shù);服務器標識獲取模塊,用于獲取所述服務器標識;處理模塊,用于利用所述公開參數(shù)獲取模塊獲取的公開參數(shù),和所述服務器標識獲取模塊獲取的服務器標識,生成并發(fā)送所述IBE加密后的預主密鑰;相應地,所述服務器具體包括IBE協(xié)商模塊,用于接收所述客戶端發(fā)送的客戶端請求消息,所述客戶端請求消息中攜帶用于進行基于標識加密的安全認證IBE的密碼套件;判斷支持所述IBE認證后,向所述客戶端返回確認消息;公開參數(shù)協(xié)商模塊,用于和所述客戶端協(xié)商用于進行IBE認證的公開參數(shù);私鑰獲取模塊,用于獲取私鑰,所述私鑰用于解密IBE加密的預主密鑰;處理模塊,用于接收所述客戶端發(fā)送的IBE加密后的預主密鑰,利用所述私鑰獲取模塊獲取的私鑰進行解密后,獲取所述預主密鑰的明文。11.如權利要求10所述的獲取密鑰的系統(tǒng),其特征在于,所述系統(tǒng)還包括私鑰生成器PKG,用于提供公開參數(shù);所述PKG至少一個;相應地,所述客戶端的公開參數(shù)獲取模塊具體包括PKG標識獲取單元,用于獲取所述服務器發(fā)送的至少一個所述私鑰生成器PKG標識;PKG標識選擇單元,用于從所述PKG標識獲取單元獲取的PKG標識中,選擇一個PKG標識;公開參數(shù)獲取單元,用于根據(jù)所述PKG標識選擇單元選擇的PKG標識,向所述選擇的PKG標識對應的PKG獲取公開參數(shù);通知單元,用于當所述PKG標識選擇單元選擇了PKG標識后,通知所述服務器所述選擇的PKG標識;相應地,所述服務器的公開參數(shù)協(xié)商模塊具體包括PKG標識發(fā)送單元,用于向所述客戶端發(fā)送至少一個所述私鑰生成器PKG標識;接收單元,用于接收所述客戶端返回的選擇的PKG標識;獲取單元,用于所述接收單元接收的PKG標識,獲取一套用于所述IBE的公開參數(shù)。12.如權利要求10所述的獲取密鑰的系統(tǒng),其特征在于,所述系統(tǒng)還包括公開參數(shù)服務器,用于提供至少一個公開參數(shù);相應地,所述客戶端的公開參數(shù)獲取模塊具體包括地址標識獲取單元,用于獲取所述服務器發(fā)送的所述公開參數(shù)服務器中保存的至少一個公開參數(shù)的地址標識;地址標識選擇單元,用于根據(jù)所述地址標識獲取單元獲取的地址標識中,選擇一個地址標識;公開參數(shù)獲取單元,用于根據(jù)所述地址標識選擇單元選擇的地址標識,根據(jù)所述選擇的地址標識向所述公開參數(shù)服務器獲取公開參數(shù);通知單元,用于當所述地址標識選擇單元選擇了地址標識后,通知所述服務器所述選擇的地址標識;相應地,所述服務器的公開參數(shù)協(xié)商模塊具體包括地址標識發(fā)送單元,用于向所述客戶端發(fā)送所述公開參數(shù)服務器中保存的至少一個公開參數(shù)的地址標識;接收單元,用于接收所述客戶端返回的選擇的地址標識。獲取單元,用于所述接收單元接收的地址標識,獲取一套用于所述IBE的公開參數(shù)。13.—種客戶端,其特征在于,所述客戶端包括-IBE協(xié)商模塊,用于和服務器進行基于標識加密的安全認證IBE的協(xié)商;公開參數(shù)協(xié)商模塊,用于和所述服務器協(xié)商用于所述IBE的公開參數(shù);服務器標識獲取模塊,用于獲取所述服務器標識;處理模塊,用于根據(jù)所述服務器標識獲取模塊獲取的服務器標識和所述公開參數(shù)協(xié)商模塊協(xié)商獲取的公開參數(shù),生成并發(fā)送所述IBE加密后的預主密鑰。14.如權利要求13所述的客戶端,其特征在于,所述IBE協(xié)商模塊具體用于向所述服務器發(fā)送客戶端請求消息,所述客戶端請求消息中攜帶用于進行基于標識加密的安全認證IBE的密碼套件;并接收所述服務器返回的IBE確認消息;15.如權利要求13所述的客戶端,其特征在于,所述公開參數(shù)協(xié)商模塊具體包括公開參數(shù)保存單元,用于保存一套公開參數(shù);公開參數(shù)選擇單元,用于獲取所述公開參數(shù)保存單元中保存的公開參數(shù)。16.如權利要求13所述的客戶端,其特征在于,所述公開參數(shù)協(xié)商模塊具體包括公開參數(shù)保存單元,用于保存至少一套公開參數(shù);公開參數(shù)選擇單元,用于根據(jù)所述服務器的通知,從所述公開參數(shù)保存單元中選擇一套公開參數(shù);響應單元,用于當所述公開參數(shù)選擇單元選擇了一套公開參數(shù)后,響應所述服務器所述選擇的公開參數(shù)。17.如權利要求13所述的客戶端,其特征在于,所述公開參數(shù)協(xié)商模塊具體包括公開參數(shù)獲取單元,用于獲取所述服務器發(fā)送的至少一套公開參數(shù);公開參數(shù)選擇單元,用于從所述公開參數(shù)獲取單元中獲取的公開參數(shù)中,選擇出一套公開參數(shù);響應單元,用于當所述公開參數(shù)選擇單元選擇了一套公開參數(shù)后,通知所述服務器所述選擇的公開參數(shù);18.如權利要求13所述的客戶端,其特征在于,所述公開參數(shù)協(xié)商模塊具體包括PKG標識獲取單元,用于獲取所述服務器發(fā)送的至少一個所述私鑰生成器PKG標識;PKG標識選擇單元,用于從所述PKG標識獲取單元獲取的PKG標識中,選擇一個PKG標識;公開參數(shù)獲取單元,用于根據(jù)所述PKG標識選擇單元選擇的PKG標識,向所述選擇的PKG標識對應的PKG獲取公開參數(shù);通知單元,用于當所述PKG標識選擇單元選擇了PKG標識后,通知所述服務器所述選擇的PKG標識。19.如權利要求13所述的客戶端,其特征在于,所述公開參數(shù)協(xié)商模塊具體包括-地址標識獲取單元,用于獲取所述服務器發(fā)送的公開參數(shù)服務器中保存的至少一個公開參數(shù)的地址標識;地址標識選擇單元,用于根據(jù)所述地址標識獲取單元獲取的地址標識中,選擇一個地址標識;公開參數(shù)獲取單元,用于根據(jù)所述地址標識選擇單元選擇的地址標識,根據(jù)所述選擇的地址標識向所述公開參數(shù)服務器獲取公開參數(shù);通知單元,用于當所述地址標識選擇單元選擇了地址標識后,通知所述服務器所述選擇的地址標識。20.—種服務器,其特征在于,所述服務器包括IBE協(xié)商模塊,用于和客戶端進行基于標識加密的安全認證IBE的協(xié)商;公開參數(shù)協(xié)商模塊,用于和所述客戶端協(xié)商用于進行IBE認證的公開參數(shù);私鑰獲取模塊,用于獲取私鑰,所述私鑰用于解密IBE加密的預主密鑰;處理模塊,用于接收所述客戶端發(fā)送的IBE加密后的預主密鑰,利用所述私鑰獲取模塊獲取的私鑰進行解密后,獲取所述預主密鑰的明文。21.如權利要求20所述的服務器,其特征在于,所述IBE協(xié)商模塊具體用于接收所述客戶端發(fā)送的客戶端請求消息,所述客戶端請求消息中攜帶用于進行基于標識加密的安全認證IBE的密碼套件;判斷支持所述IBE認證后,向所述客戶端返回確認消息。22.如權利要求20所述服務器,其特征在于,所述公開參數(shù)協(xié)商模塊具體包括公開參數(shù)保存單元,用于保存一套公開參數(shù);公開參數(shù)選擇單元,用于獲取所述公開參數(shù)保存單元中保存的公開參數(shù)。23.如權利要求20所述服務器,其特征在于,所述公開參數(shù)協(xié)商模塊具體包括公開參數(shù)保存單元,用于保存至少一套公開參數(shù);通知單元,用于根據(jù)所述公開參數(shù)保存單元保存的公開參數(shù),向所述客戶端發(fā)送通知;接收單元,用于接收所述客戶端返回的選擇的公開參數(shù)的響應;獲取單元,用于根據(jù)所述接收單元接收的響應,獲取所述公開參數(shù)保存單元中保存的公開參數(shù)。24.如權利要求20所述服務器,其特征在于,所述公開參數(shù)協(xié)商模塊具體包括發(fā)送單元,用于向所述客戶端發(fā)送至少一套公開參數(shù);接收單元,用于接收所述客戶端返回的選擇的公開參數(shù)的響應;獲取單元,用于根據(jù)所述接收單元接收的響應,獲取一套公開參數(shù)。25.如權利要求20所述服務器,其特征在于,所述公開參數(shù)協(xié)商模塊具體包括PKG標識發(fā)送單元,用于向所述客戶端發(fā)送至少一個私鑰生成器PKG標識;接收單元,用于接收所述客戶端返回的選擇的PKG標識;獲取單元,用于所述接收單元接收的PKG標識,獲取一套用于所述IBE的公開參數(shù)。26.如權利要求20所述服務器,其特征在于,所述公開參數(shù)協(xié)商模塊具體包括地址標識發(fā)送單元,用于向所述客戶端發(fā)送所述公開參數(shù)服務器中保存的至少一個公開參數(shù)的地址標識;接收單元,用于接收所述客戶端返回的選擇的地址標識;獲取單元,用于所述接收單元接收的地址標識,獲取一套用于所述IBE的公開參數(shù)。27.—種提供設備,其特征在于,所述提供設備用于在服務器和客戶端在基于IBE的安全套接層SSL協(xié)議的協(xié)商認證過程中,根據(jù)所述服務器和客戶端的協(xié)商結果提供用于IBE的公開參數(shù),其中,所述公開參數(shù)用于所述客戶端根據(jù)所述公開參數(shù)和服務器標識生成并發(fā)送IBE加密的預主密鑰;相應地,所述服務器根據(jù)所述公開參數(shù),獲取所述IBE加密的預主密鑰的明文。28.如權利要求27所述的提供設備,其特征在于,所述提供設備還用于用向服務器提供私鑰,所述私鑰用于解密IBE加密的預主密鑰。全文摘要本發(fā)明公開了一種獲取密鑰的方法、系統(tǒng)和設備,屬于通信領域。所述方法包括服務器確認支持基于標識加密的安全認證IBE;獲取用于所述IBE的公開參數(shù)和私鑰;所述服務器接收IBE加密后的預主密鑰,根據(jù)所述公開參數(shù)和私鑰獲取所述預主密鑰的明文。所述系統(tǒng)包括客戶端和服務器。所述客戶端包括IBE協(xié)商模塊、公開參數(shù)協(xié)商模塊、服務器標識獲取模塊和處理模塊。所述服務器包括IBE協(xié)商模塊、公開參數(shù)協(xié)商模塊、私鑰獲取模塊和處理模塊。通過將IBE技術與SSL技術結合,豐富了現(xiàn)有SSL協(xié)議中預主密鑰的生成形式,實現(xiàn)了充分擴展了現(xiàn)有的SSL協(xié)議的使用范圍的目的。文檔編號H04L12/46GK101567784SQ20081009312公開日2009年10月28日申請日期2008年4月21日優(yōu)先權日2008年4月21日發(fā)明者適萬,劉利鋒,敏黃申請人:成都市華為賽門鐵克科技有限公司