CN103746805A - 外部认证密钥的生成方法和系统 - Google Patents

外部认证密钥的生成方法和系统 Download PDF

Info

Publication number
CN103746805A
CN103746805A CN201310655662.8A CN201310655662A CN103746805A CN 103746805 A CN103746805 A CN 103746805A CN 201310655662 A CN201310655662 A CN 201310655662A CN 103746805 A CN103746805 A CN 103746805A
Authority
CN
China
Prior art keywords
key
external authentication
sequence number
secret information
converted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310655662.8A
Other languages
English (en)
Other versions
CN103746805B (zh
Inventor
张永强
廖卫民
刘
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GUANGDONG CERTIFICATE AUTHORITY CENTER CO Ltd
Original Assignee
GUANGDONG CERTIFICATE AUTHORITY CENTER CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GUANGDONG CERTIFICATE AUTHORITY CENTER CO Ltd filed Critical GUANGDONG CERTIFICATE AUTHORITY CENTER CO Ltd
Priority to CN201310655662.8A priority Critical patent/CN103746805B/zh
Publication of CN103746805A publication Critical patent/CN103746805A/zh
Application granted granted Critical
Publication of CN103746805B publication Critical patent/CN103746805B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公开了一种外部认证密钥的生成方法和系统,所述生成方法包括:将密钥存储介质的介质标识符转换为密钥材料;对所述密钥材料进行变换,形成外部认证密钥。实施本发明的方法和系统,可降低外部认证密钥的泄露风险,可恢复外部认证密钥,可为智能密码钥匙预先生成外部认证密钥,进而为证书颁发机构在智能密码钥匙灌入证书时,节省大量时间。

Description

外部认证密钥的生成方法和系统
技术领域
本发明涉及数字认证技术领域,特别是涉及一种外部认证密钥的生成方法和系统。
背景技术
目前在数字认证技术领域,针对智能密码钥匙,证书颁发机构需要掌握每个智能密码钥匙的外部认证密钥,其中,外部认证密钥对智能密码钥匙具有控制权限。
证书颁发机构保存的外部认证密钥通常如下:
第一,证书颁发机构保存的每个智能密码钥匙的外部认证密钥均保持一致。
第二,证书颁发机构保存的为根据各智能密码钥匙随机生成的外部认证密钥。
但是,第一种外部认证密钥的安全性非常低,被泄露的可能性非常大,一旦一个智能密码钥匙的外部认证密钥被破解,则所有的智能密码钥匙都会面临非授权访问的风险;第二种外部认证密钥增加了证书颁发系统对外部认证密钥的管理开销,并且一旦证书颁发系统中保存的外部认证密钥丢失,将难以从技术手段上恢复。
发明内容
基于此,有必要针对证书颁发系统中外部认证密钥的管理复杂、外部认证密钥安全性低和难以恢复等问题,提供一种外部认证密钥的生成方法和系统。
一种外部认证密钥的生成方法,包括以下步骤:
将密钥存储介质的介质标识符转换为密钥材料;
对所述密钥材料进行变换,形成外部认证密钥。
一种外部认证密钥的生成系统,包括:
转换模块,用于将密钥存储介质的介质标识符转换为密钥材料;
变换模块,用于对所述密钥材料进行变换,形成外部认证密钥。
上述外部认证密钥的生成方法和系统,将密钥存储介质的介质标识符转换为密钥材料,对所述密钥材料进行变换,形成外部认证密钥。介质标识符的使用保证了每个智能密码钥匙的外部认证密钥彼此不同,可降低外部认证密钥的泄露风险,可为智能密码钥匙预先生成外部认证密钥,进而为证书颁发机构在智能密码钥匙灌入证书时,节省大量时间,且能提供根据介质标识符即可恢复外部认证密钥的机制。
附图说明
图1是本发明外部认证密钥的生成方法第一实施方式的流程示意图;
图2是本发明外部认证密钥的生成方法第二实施方式的流程示意图;
图3是本发明外部认证密钥的生成方法第三实施方式的流程示意图;
图4-5是本发明外部认证密钥的生成系统第一实施方式的结构示意图;
图6是本发明外部认证密钥的生成系统第三实施方式的结构示意图。
具体实施方式
请参阅图1,图1是本发明外部认证密钥的生成方法第一实施方式的流程示意图。
本实施方式的所述外部认证密钥的生成方法包括以下步骤:
步骤101,将密钥存储介质的介质标识符转换为密钥材料。
步骤102,对所述密钥材料进行变换,形成外部认证密钥。
本实施方式所述的外部认证密钥的生成方法,将密钥存储介质的介质标识符转换为密钥材料,对所述密钥材料进行变换,形成外部认证密钥。介质标识符的使用保证了每个智能密码钥匙的外部认证密钥彼此不同,可降低外部认证密钥的泄露风险,可为智能密码钥匙预先生成外部认证密钥,进而为证书颁发机构在智能密码钥匙灌入证书时,节省大量时间,且能提供根据介质标识符即可恢复外部认证密钥的机制。
其中,对于步骤101,密钥存储介质包括USB Key、密码卡等,不同密钥存储介质的介质标识符不同,可保证每个智能密码钥匙的外部认证密钥都不相同,因而可降低外部认证密钥的泄露风险。
优选地,所述密钥材料可包括密钥序号,还可进一步包括密钥种子。
在一个实施中,当所述密钥材料为密钥序号时:所述将密钥存储介质的介质标识符转换为密钥材料的步骤可包括以下步骤:
将所述介质标识符的至少部分数据内容作为所述密钥序号。
进一步地,当所述密钥材料包括密钥种子和密钥序号时,所述将密钥存储介质的介质标识符转换为密钥材料的步骤可包括以下步骤:
将预设的字符串作为所述密钥种子,将所述介质标识符的至少部分数据内容作为所述密钥序号。
其中,所述预设的字符串优选地,为根据需要设定的固定字符串,如“1010”。还可以是“abcd”,在其他实施方式中,还可以通过本领域技术人员惯用的其他方式获取密钥种子,并将密钥存储介质的介质标识符转换为密钥序号。
在另一个实施例中,当所述密钥材料包括密钥种子和密钥序号时,所述将密钥存储介质的介质标识符转换为密钥序号的步骤包括以下步骤:
当所述介质标识符的字节数小于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节为所述密钥种子,并设置导字,其中,所述导字与所述介质标示符的字节数之和等于所述字节阈值。
当所述介质标识符的字节数大于或等于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节的后n个字节为所述密钥种子,其中,n与m相加等于所述字节阈值,n和m均为大于1且小于所述字节阈值的整数。
其中,所述导字优选地,为预设的字符串。字节阈值与需要生成的外部认证密钥的字节数对应,优选地为16。
对于步骤102,优选地,当所述密钥材料为密钥序号时,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
通过密码设备对所述密钥序号进行变换,形成所述外部认证密钥。
其中,所述密码设备对所述密钥序号进行变换包括线性变换、异或、加密、签名、加盐的密钥导出算法等,在其他实施方式中还可通过对称算法或非对称算法对所述密钥序号进行加密变换,形成所述外部认证密钥。
在一个实施例中,当所述密钥材料包括密钥种子和密钥序号时,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
步骤1021,对所述密钥种子进行第一次变换,形成秘密信息。
步骤1022,对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥。
其中,对于步骤1021,优选地,所述对所述密钥种子进行第一次变换,形成秘密信息的步骤可包括以下步骤:
通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息。
通过非对称密钥算法对所述密钥种子加密,其加密密钥与解密密钥不同,可进一步降低外部认证密钥的泄密风险,此外非对称密钥算法的密钥对若直接由密码设备生成及存储,而密码设备本身的特点,保证了密钥不能导出,这更进一步的降低了外部认证密钥的泄密风险。
此外,外部认证密钥与介质标识符、密码设备的非对称密钥算法的密钥对密切相关,若密钥对是预先在密码设备生成的,介质标识符已经随着工业上的发展,已经全部或者部分刻在智能密码钥匙的外壳上,并具备一定的规则,因此,上述外部认证密钥的生成方法,也可为智能密码钥匙预先生成外部认证密钥。
优选地,所述非对称密钥算法可包括RSA密钥算法、ECC加密算法等非对称算法中的任意一个。
在其他实施方式中,也可以通过DES、3DES、AES等对称密钥算法对所述密钥种子加密,形成所述秘密信息。
优选地,所述对所述密钥种子进行第一次变换,形成秘密信息的步骤还可包括以下步骤:
通过密码设备对所述密钥种子进行第一次变换,形成所述秘密信息。
所述密码设备对所述密钥序号进行变换包括线性变换、异或、加密、签名、加盐的密钥导出算法等。
对于步骤1022,所述外部认证密钥由密钥种子变换后的秘密信息和密钥序号变换所得,一个密钥种子可以对应多个密钥序号,进而对应多个外部认证密钥。
优选地,所述对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥的步骤可包括以下步骤:
根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
其中,所述密钥导出算法可根据具体的认证应用设定,优选地包括PBKDF2、HKDF、KDF1等中的任意一个。
进一步地,所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤还包括以下步骤:
通过与所述加密密钥对应的解密密钥对所述秘密信息进行解密,获取解密数据。
当所述解密数据与所述密钥种子不相同时,则发出故障警报,并重新通过所述非对称密钥算法的加密密钥对所述密钥种子进行加密。
当所述解密数据与所述密钥种子相同时,则根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
以上所述的外部认证密钥的生成方法,可快速发现非对称密钥算法的计算错误,降低生成外部认证密钥的出错率。
在其他实施例中,还可通过AES加密算法、密码设备或本领域技术人员惯用的其他技术手段对所述秘密信息和所述密钥序号进行所述第二次变换,形成所述外部认证密钥。
在另一个实施例中,所述密钥材料包括所述密钥序号和所述密钥种子,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
步骤1023,对所述密钥序号进行第一次变换,形成秘密信息。
步骤1024,对所述秘密信息和所述密钥种子进行第二次变换,形成外部认证密钥。
优选地,所述秘密信息优选地为所述密钥序号进行加密后的加密形式,可通过密码设备、非对称算法、对称算法或本领域惯用的技术手段对所述密钥种子进行第一次变换,形成所述秘密信息。也可通过导出算法、密码设备、非对称算法、对称算法或本领域惯用的技术手段对所述秘密信息和所述密钥种子进行第二次变换,形成所述外部认证密钥。
请参阅图2,图2是本发明外部认证密钥的生成方法第二实施方式的流程示意图。
本实施方式的外部认证密钥的生成方法与第一实施方式的区别在于:所述通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息的步骤包括以下步骤:
步骤201,通过杂凑算法对所述密钥种子进行杂凑计算,获得所述密钥种子的杂凑值。
步骤202,通过RSA私钥加密算法对所述杂凑值进行加密,获取所述秘密信息。
本实施方式所述的外部认证密钥的生成方法,通过RSA算法可进一步降低外部认证密钥的泄露风险。
其中,对于步骤201,所述杂凑算法优选地为SHA1、SHA256或SHA512,在其他实施方式中,也可以是本领域惯用的其他杂凑方法。
优选地,所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤还包括以下步骤:
步骤203,通过RSA公钥解密算法对所述秘密信息进行解密,获得所述解密数据。
步骤204,在所述解密数据与所述杂凑值相同时,将所述密钥序号、所述杂凑值和所述秘密信息作为加盐密钥导出算法PBKDF2的入参,导出所述外部认证密钥。
在一个实施例中,当所述介质标识符的字节数小于字节阈值时:
所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤包括以下步骤:
对所述导字和所述密钥种子进行级联,获得级联结果。
通过所述杂凑算法对所述级联结果进行杂凑计算,获得杂凑值。
对所述杂凑值进行填充。
对填充后的杂凑值进行RSA私钥加密计算,获得秘密信息。
所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤还可包括以下步骤:
对所述秘密信息进行RSA私钥解密计算,获得解密数据。
当所述解密数据与所述填充后的杂凑值不相等时,则发出故障警报,并重新通过RSA私钥加密算法对所述杂凑值进行加密,获取所述秘密信息。
当所述解密数据与所述填充后的杂凑值相等时,则将所述密钥序号、所述秘密信息作为加盐密钥导出算法的入参(分别作为口令及盐值参数),并输入杂凑算法类型、迭代次数、密钥长度等参数,获得所述外部认证密钥。
其中,填充算法可采用RSAES-PKCS1-v1_5_Padding、RSA_PKCS1_Padding等。
请参阅图3,图3是本发明外部认证密钥的生成方法第三实施方式的流程示意图。
本实施方式的外部认证密钥的生成方法与第一实施方式的区别在于:在所述对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥的步骤之后,还包括以下步骤:
步骤301,将第二密钥存储介质的介质标识符转换为第二密钥种子和第二密钥序号。
步骤302,在所述第二密钥种子与所述密钥种子相同时,对所述秘密信息和所述第二密钥序号进行第二次变换,形成第二外部认证密钥。
本实施方式所述外部认证密钥的生成方法,可批量生成外部认证密钥,提高生成外部认证密钥的效率、节约系统资源。
请参阅图4和图5,图4和图5是本发明外部认证密钥的生成系统第一实施方式的结构示意图。
本实施方式的所述外部认证密钥的生成系统包括转换模块100、变换模块200,其中:
转换模块100,用于将密钥存储介质的介质标识符转换为密钥材料。
变换模块200,用于对所述密钥材料进行变换,形成外部认证密钥。
本实施方式所述的外部认证密钥的生成系统,将密钥存储介质的介质标识符转换为密钥材料,对所述密钥材料进行变换,形成外部认证密钥。介质标识符的使用保证了每个智能密码钥匙的外部认证密钥彼此不同,可降低外部认证密钥的泄露风险,可为智能密码钥匙预先生成外部认证密钥,进而为证书颁发机构在智能密码钥匙灌入证书时,节省大量时间,且能提供根据介质标识符即可恢复外部认证密钥的机制。
其中,对于转换模块100,密钥存储介质包括USB Key、密码卡等,不同密钥存储介质的介质标识符不同,可保证每个智能密码钥匙的外部认证密钥都不相同,因而可降低外部认证密钥的泄露风险。
优选地,所述密钥材料可包括密钥序号,还可进一步包括密钥种子。
在一个实施中,当所述密钥材料为密钥序号时:转换模块100可用于将所述介质标识符的至少部分数据内容作为所述密钥序号。
进一步地,当所述密钥材料为密钥序号时,转换模块100还可用于在变换模块200对所述密钥材料进行变换,形成外部认证密钥之前,将预设的字符串作为所述密钥种子。
其中,所述预设的字符串优选地,为根据需要设定的固定字符串,如“1010”。还可以是“abcd”。
在其他实施方式中,还可以通过本领域技术人员惯用的其他方式获取密钥种子,并将密钥存储介质的介质标识符转换为密钥序号。
在另一个实施例中,当所述密钥材料包括密钥种子和密钥序号时,转换模块100可用于:
当所述介质标识符的字节数小于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节为所述密钥种子,并设置导字,其中,所述导字与所述介质标示符的字节数之和等于所述字节阈值。
当所述介质标识符的字节数大于或等于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节的后n个字节为所述密钥种子,其中,n与m相加等于所述字节阈值,n和m均为大于1且小于所述字节阈值的整数。
其中,字节阈值与需要生成的外部认证密钥的字节数对应,优选地为16。
对于变换模块200,优选地,当所述密钥材料为密钥序号时,变换模块200可用于通过密码设备对所述密钥序号进行变换,形成所述外部认证密钥。
其中,所述密码设备对所述密钥序号进行变换包括线性变换、异或、加密、签名、加盐的密钥导出算法等在其他实施方式中还可通过对称算法或非对称算法对所述密钥序号进行加密变换,形成所述外部认证密钥。
在一个实施例中,当所述密钥材料包括密钥种子和密钥序号时,如图5所示,变换模块200可包括第一变换模块210和第二变换模块220,其中:
第一变换模块210,用于对所述密钥种子进行第一次变换,形成秘密信息。
第二变换模块220,用于对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥。
其中,对于第一变换模块210,优选地,可通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息。
通过非对称密钥算法对所述密钥种子加密,其加密密钥与解密密钥不同,可进一步降低外部认证密钥的泄密风险,此外非对称密钥算法的密钥对若直接由密码设备存储,而密码设备本身的特点,保证了密钥不能导出,这更进一步的降低了外部认证密钥的泄密风险。
此外,外部认证密钥与介质标识符、密码设备的非对称密钥算法的密钥对密切相关,若密钥对是预先在密码设备生成的,介质标识符已经随着工业上的发展,已经全部或者部分刻在智能密码钥匙的外壳上,并具备一定的规则,因此,上述外部认证密钥的生成方法,也可为智能密码钥匙预先生成外部认证密钥。
优选地,所述非对称密钥算法可包括RSA密钥算法、ECC加密算法等中的任意一个。
在其他实施方式中,第一变换模块210也可用于通过对称密钥算法对所述密钥种子加密,形成所述秘密信息。
优选地,第一变换模块210还可用于通过密码设备对所述密钥种子进行第一次变换,形成所述秘密信息。
所述密码设备对所述密钥序号进行变换包括线性变换、异或、加密、签名、加盐的密钥导出算法等。
对于第二变换模块220,所述外部认证密钥由密钥种子变换后的秘密信息和密钥序号变换所得,一个密钥种子可以对应多个密钥序号,进而对应多个外部认证密钥。
优选地,第二变换模块220可用于根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
其中,所述密钥导出算法可根据具体的认证应用设定,优选地包括PBKDF2、HKDF、KDF1等中的任意一个。
进一步地,第二变换模块200还可用于:
通过与所述加密密钥对应的解密密钥对所述秘密信息进行解密,获取解密数据。
当所述解密数据与所述密钥种子不相同时,则发出故障警报,并重新通过所述非对称密钥算法的加密密钥对所述密钥种子进行加密。
当所述解密数据与所述密钥种子相同时,则根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
以上所述的外部认证密钥的生成系统,可快速发现非对称密钥算法的计算错误,降低生成外部认证密钥的出错率。
在其他实施例中,还可通过AES加密算法、密码设备或本领域技术人员惯用的其他技术手段对所述秘密信息和所述密钥序号进行所述第二次变换,形成所述外部认证密钥。
在另一个实施例中,当所述密钥材料为所述密钥序号和所述密钥种子时,如图5所示,变换模块200可包括第一变换模块210和第二变换模块220,其中:第一变换模块210,用于对所述密钥序号进行第一次变换,形成秘密信息。
第二变换模块220,用于对所述秘密信息和所述密钥种子进行第二次变换,形成外部认证密钥。
优选地,所述秘密信息优选地为所述密钥序号进行加密后的加密形式,第一变换模块210还可通过密码设备、非对称算法、对称算法或本领域惯用的技术手段对所述密钥种子进行第一次变换,形成所述秘密信息。第二变换模块220也可通过导出算法、密码设备、非对称算法、对称算法或本领域惯用的技术手段对所述秘密信息和所述密钥种子进行第二次变换,形成所述外部认证密钥。
以下所述是本发明外部认证密钥的生成系统第二实施方式。
本实施方式的外部认证密钥的生成系统与第一实施方式的区别在于:第一变换模块210可用于:
通过杂凑算法对所述密钥种子进行杂凑计算,获得所述密钥种子的杂凑值。
通过RSA私钥加密算法对所述杂凑值进行加密,获取所述秘密信息。
本实施方式所述的外部认证密钥的生成方法,通过RSA算法可进一步降低外部认证密钥的泄露风险。
其中,对于第一变换模块210,所述杂凑算法优选地为SHA1、SHA256或SHA512,在其他实施方式中,也可以是本领域惯用的其他杂凑方法。
优选地,第二变换模块220还可进一步用于:
通过RSA公钥解密算法对所述秘密信息进行解密,获得所述解密数据。
在所述解密数据与所述杂凑值相同时,将所述密钥序号、所述杂凑值和所述秘密信息作为加盐密钥导出算法PBKDF2的入参,导出所述外部认证密钥。
在一个实施例中,当所述介质标识符的字节数小于字节阈值时,第一变换模块210可用于:
对所述导字和所述密钥种子进行级联,获得级联结果。
通过所述杂凑算法对所述级联结果进行杂凑计算,获得杂凑值。
对所述杂凑值进行填充。
对填充后的杂凑值进行RSA私钥加密计算,获得秘密信息。
第二变换模块220进一步可用于:
对所述秘密信息进行RSA私钥解密计算,获得解密数据。
当所述解密数据与所述填充后的杂凑值不相等时,则发出故障警报,并重新通过RSA私钥加密算法对所述杂凑值进行加密,获取所述秘密信息。
当所述解密数据与所述填充后的杂凑值相等时,则将所述密钥序号、所述秘密信息作为加盐密钥导出算法的入参(分别作为口令及盐值参数),并输入杂凑算法类型、迭代次数、密钥长度等参数,获得所述外部认证密钥。
其中,填充算法可采用RSAES-PKCS1-v1_5_Padding、RSA_PKCS1_Padding等。
请参阅图6,图6是本发明外部认证密钥的生成系统第三实施方式的结构示意图。
本实施方式的外部认证密钥的生成系统与第一实施方式的区别在于:还包括判断模块400,用于在转换模块100将第二密钥存储介质的介质标识符转换为第二密钥种子和第二密钥序号之后,判断所述第二密钥种子与在先生成的所述密钥种子是否相同,若相同,则通知第二变换模块220对在先生成的所述秘密信息和所述第二密钥序号进行第二次变换,形成第二外部认证密钥。
本实施方式所述外部认证密钥的生成系统,可批量生成外部认证密钥,提高生成外部认证密钥的效率、节约系统资源。
其中,第二变换模块220的数目可以为两个以上,当多个在后生成的密钥种子与在先生成的所述密钥种子一样时,用于同时对在先生成的所述秘密信息和在后生成的多个密钥序号分别进行第二次变换,批量生成多个外部认证密钥。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (20)

1.一种外部认证密钥的生成方法,其特征在于,包括以下步骤:
将密钥存储介质的介质标识符转换为密钥材料;
对所述密钥材料进行变换,形成外部认证密钥。
2.根据权利要求1所述的外部认证密钥的生成方法,其特征在于,所述密钥材料为密钥序号,所述将密钥存储介质的介质标识符转换为密钥材料的步骤包括以下步骤:
将所述介质标识符的至少部分数据内容作为所述密钥序号。
3.根据权利要求2所述的外部认证密钥的生成方法,其特征在于,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
通过密码设备对所述密钥序号进行变换,形成所述外部认证密钥。
4.根据权利要求1所述的外部认证密钥的生成方法,其特征在于,所述密钥材料包括密钥种子和密钥序号,所述将密钥存储介质的介质标识符转换为密钥材料的步骤还包括以下步骤:
将预设的字符串作为所述密钥种子,将所述介质标识符的至少部分数据内容作为所述密钥序号。
5.根据权利要求1所述的外部认证密钥的生成方法,其特征在于,所述密钥材料包括密钥种子和密钥序号,所述将密钥存储介质的介质标识符转换为密钥序号的步骤包括以下步骤:
当所述介质标识符的字节数小于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节为所述密钥种子,并设置导字,其中,所述导字与所述介质标示符的字节数之和等于所述字节阈值;
当所述介质标识符的字节数大于或等于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节的后n个字节为所述密钥种子,其中,n与m相加等于所述字节阈值,n和m均为大于1且小于所述字节阈值的整数。
6.根据权利要求4或5所述的外部认证密钥的生成方法,其特征在于,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
对所述密钥序号进行第一次变换,形成秘密信息;
对所述秘密信息和所述密钥种子进行第二次变换,形成外部认证密钥。
7.根据权利要求4或5所述的外部认证密钥的生成方法,其特征在于,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
对所述密钥种子进行第一次变换,形成秘密信息;
对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥。
8.根据权利要求7所述的外部认证密钥的生成方法,其特征在于,所述对所述密钥种子进行第一次变换,形成秘密信息的步骤包括以下步骤:
通过密码设备对所述密钥种子进行第一次变换,形成所述秘密信息。
9.根据权利要求7所述的外部认证密钥的生成方法,其特征在于,所述对所述密钥种子进行第一次变换,形成秘密信息的步骤包括以下步骤:
通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息。
10.根据权利要求9所述的外部认证密钥的生成方法,其特征在于,所述通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息的步骤包括以下步骤:
通过杂凑算法对所述密钥种子进行杂凑计算,获得所述密钥种子的杂凑值;
通过RSA私钥加密算法对所述杂凑值进行加密,获取所述秘密信息。
11.根据权利要求7所述的外部认证密钥的生成方法,其特征在于,所述对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥的步骤包括以下步骤:
根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
12.根据权利要求11所述的外部认证密钥的生成方法,其特征在于,所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤还包括以下步骤:
通过与所述加密密钥对应的解密密钥对所述秘密信息进行解密,获取解密数据;
当所述解密数据与所述密钥种子不相同时,则发出故障警报,并重新通过所述非对称密钥算法的加密密钥对所述密钥种子进行加密;
当所述解密数据与所述密钥种子相同时,则根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
13.根据权利要求11所述的外部认证密钥的生成方法,其特征在于,所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤还包括以下步骤:
通过RSA公钥解密算法对所述秘密信息进行解密,获得所述解密数据;
在所述解密数据与所述杂凑值相同时,将所述密钥序号、所述杂凑值和所述秘密信息作为加盐密钥导出算法PBKDF2的入参,导出所述外部认证密钥。
14.根据权利要求7至13中任意一项所述的外部认证密钥的生成方法,在所述对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥的步骤之后,还包括以下步骤:
将第二密钥存储介质的介质标识符转换为第二密钥种子和第二密钥序号;
在所述第二密钥种子与所述密钥种子相同时,对所述秘密信息和所述第二密钥序号进行所述第二次变换,形成第二外部认证密钥。
15.一种外部认证密钥的生成系统,其特征在于,包括:
转换模块,用于将密钥存储介质的介质标识符转换为密钥材料;
变换模块,用于对所述密钥材料进行变换,形成外部认证密钥。
16.根据权利要求15所述的外部认证密钥的生成系统,其特征在于,所述密钥材料为密钥序号,所述转换模块还用于将所述介质标识符的至少部分数据内容作为所述密钥序号。
17.根据权利要求16所述的外部认证密钥的生成系统,其特征在于,所述变换模块还用于通过密码设备对所述密钥序号进行变换,形成所述外部认证密钥。
18.根据权利要求15所述的外部认证密钥的生成系统,其特征在于,所述密钥材料包括密钥种子和密钥序号,所述转换模块还用于:
当所述介质标识符的字节数小于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节为所述密钥种子,并设置导字,其中,所述导字与所述介质标示符的字节数之和等于所述字节阈值;
当所述介质标识符的字节数大于或等于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节的后n个字节为所述密钥种子,其中,n与m相加等于所述字节阈值,n和m均为大于1且小于所述字节阈值的整数。
19.根据权利要求18所述的外部认证密钥的生成系统,其特征在于,所述变换模块包括第一变换模块和第二变换模块,所述第一变换模块用于对所述密钥种子进行第一次变换,形成秘密信息,所述第二变换模块用于对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥。
20.根据权利要求19所述的外部认证密钥的生成系统,其特征在于,所述第一变换模块还用于通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息,所述第二变换模块还用于根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
CN201310655662.8A 2013-12-05 2013-12-05 外部认证密钥的生成方法和系统 Active CN103746805B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310655662.8A CN103746805B (zh) 2013-12-05 2013-12-05 外部认证密钥的生成方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310655662.8A CN103746805B (zh) 2013-12-05 2013-12-05 外部认证密钥的生成方法和系统

Publications (2)

Publication Number Publication Date
CN103746805A true CN103746805A (zh) 2014-04-23
CN103746805B CN103746805B (zh) 2018-01-30

Family

ID=50503796

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310655662.8A Active CN103746805B (zh) 2013-12-05 2013-12-05 外部认证密钥的生成方法和系统

Country Status (1)

Country Link
CN (1) CN103746805B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106209884A (zh) * 2016-07-21 2016-12-07 恒宝股份有限公司 Ta和ca之间外部认证与通信加密的方法、ca和ta
CN109388931A (zh) * 2018-09-12 2019-02-26 航天信息股份有限公司 基于usbkey设备的软件保护方法、usbkey设备的发行方法及装置
CN110378139A (zh) * 2019-07-25 2019-10-25 江苏芯盛智能科技有限公司 一种数据密钥保护方法、系统及电子设备和存储介质
CN110874726A (zh) * 2019-11-20 2020-03-10 上海思赞博微信息科技有限公司 一种基于tpm的数字货币安全保护方法
CN112311534A (zh) * 2019-08-01 2021-02-02 张英辉 产生非对称算法密钥对的方法
CN113572596A (zh) * 2020-04-10 2021-10-29 汽车科睿特股份有限责任公司 通信系统中的蝴蝶密钥扩展方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130140948A (ko) * 2012-05-17 2013-12-26 삼성전자주식회사 저장 장치의 식별자에 기반한 컨텐츠의 암복호화 장치 및 방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106209884A (zh) * 2016-07-21 2016-12-07 恒宝股份有限公司 Ta和ca之间外部认证与通信加密的方法、ca和ta
CN109388931A (zh) * 2018-09-12 2019-02-26 航天信息股份有限公司 基于usbkey设备的软件保护方法、usbkey设备的发行方法及装置
CN110378139A (zh) * 2019-07-25 2019-10-25 江苏芯盛智能科技有限公司 一种数据密钥保护方法、系统及电子设备和存储介质
CN110378139B (zh) * 2019-07-25 2021-07-30 江苏芯盛智能科技有限公司 一种数据密钥保护方法、系统及电子设备和存储介质
CN112311534A (zh) * 2019-08-01 2021-02-02 张英辉 产生非对称算法密钥对的方法
CN110874726A (zh) * 2019-11-20 2020-03-10 上海思赞博微信息科技有限公司 一种基于tpm的数字货币安全保护方法
CN113572596A (zh) * 2020-04-10 2021-10-29 汽车科睿特股份有限责任公司 通信系统中的蝴蝶密钥扩展方法

Also Published As

Publication number Publication date
CN103746805B (zh) 2018-01-30

Similar Documents

Publication Publication Date Title
CN103716157B (zh) 分组多密钥加密方法及装置
CN105099672B (zh) 混合加密方法及实现该方法的装置
CN110958219B (zh) 一种面向医疗云共享数据的sm2代理重加密方法与装置
CN102185694A (zh) 基于指纹信息的电子文件加密的方法及其系统
CN103746805A (zh) 外部认证密钥的生成方法和系统
CN105306194B (zh) 供加密档案和/或通讯协定的多重加密方法与系统
CN102377566A (zh) 一种电表数据的安全处理装置及系统
CN103051446B (zh) 一种密钥加密存储方法
CN105184181B (zh) 文件的加密方法、解密方法及装置
CN103916248A (zh) 一种全同态加密公钥空间压缩方法
CN105554031A (zh) 加密方法、加密装置、解密方法、解密装置和终端
CN104396182A (zh) 加密数据的方法
CN104866784A (zh) 一种基于bios加密的安全硬盘、数据加密及解密方法
CN111314050A (zh) 一种加解密方法及装置
CN113312608A (zh) 一种基于时间戳的电力计量终端身份认证方法及系统
CN102811124B (zh) 基于两卡三码技术的系统验证方法
CN102903226B (zh) 智能电表通信的数据传输方法
CN101916344A (zh) 一种验证软件保护装置合法性的方法及系统
CN104954136A (zh) 一种云计算环境下网络安全加密装置
CN204808325U (zh) 一种对数据进行加密的设备
CN1607511B (zh) 数据保护方法及保护系统
CN106059748B (zh) 一种基于块安全再生码的轻量级数据安全存储方法
KR20170019679A (ko) 효율적인 화이트박스 암호 기반 암복호화 방법, 및 인증코드 생성 및 검증 방법
CN111314051B (zh) 一种加解密方法和装置
Shah et al. Efficient Cryptography for data security

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 528200 science and technology road, Nanhai Software Science Park, Nanhai Town, Nanhai District, Foshan, Guangdong

Applicant after: Age of security Polytron Technologies Inc

Address before: 528200 science and technology road, Nanhai Software Science Park, Nanhai Town, Nanhai District, Foshan, Guangdong

Applicant before: Guangdong Certificate Authority Center Co., Ltd.

COR Change of bibliographic data
GR01 Patent grant
GR01 Patent grant