CN103746805B - 外部认证密钥的生成方法和系统 - Google Patents
外部认证密钥的生成方法和系统 Download PDFInfo
- Publication number
- CN103746805B CN103746805B CN201310655662.8A CN201310655662A CN103746805B CN 103746805 B CN103746805 B CN 103746805B CN 201310655662 A CN201310655662 A CN 201310655662A CN 103746805 B CN103746805 B CN 103746805B
- Authority
- CN
- China
- Prior art keywords
- key
- external authentication
- sequence number
- secret information
- seed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种外部认证密钥的生成方法和系统,所述生成方法包括:将密钥存储介质的介质标识符转换为密钥材料;对所述密钥材料进行变换,形成外部认证密钥。实施本发明的方法和系统,可降低外部认证密钥的泄露风险,可恢复外部认证密钥,可为智能密码钥匙预先生成外部认证密钥,进而为证书颁发机构在智能密码钥匙灌入证书时,节省大量时间。
Description
技术领域
本发明涉及数字认证技术领域,特别是涉及一种外部认证密钥的生成方法和系统。
背景技术
目前在数字认证技术领域,针对智能密码钥匙,证书颁发机构需要掌握每个智能密码钥匙的外部认证密钥,其中,外部认证密钥对智能密码钥匙具有控制权限。
证书颁发机构保存的外部认证密钥通常如下:
第一,证书颁发机构保存的每个智能密码钥匙的外部认证密钥均保持一致。
第二,证书颁发机构保存的为根据各智能密码钥匙随机生成的外部认证密钥。
但是,第一种外部认证密钥的安全性非常低,被泄露的可能性非常大,一旦一个智能密码钥匙的外部认证密钥被破解,则所有的智能密码钥匙都会面临非授权访问的风险;第二种外部认证密钥增加了证书颁发系统对外部认证密钥的管理开销,并且一旦证书颁发系统中保存的外部认证密钥丢失,将难以从技术手段上恢复。
发明内容
基于此,有必要针对证书颁发系统中外部认证密钥的管理复杂、外部认证密钥安全性低和难以恢复等问题,提供一种外部认证密钥的生成方法和系统。
一种外部认证密钥的生成方法,包括以下步骤:
将密钥存储介质的介质标识符转换为密钥材料;
对所述密钥材料进行变换,形成外部认证密钥。
一种外部认证密钥的生成系统,包括:
转换模块,用于将密钥存储介质的介质标识符转换为密钥材料;
变换模块,用于对所述密钥材料进行变换,形成外部认证密钥。
上述外部认证密钥的生成方法和系统,将密钥存储介质的介质标识符转换为密钥材料,对所述密钥材料进行变换,形成外部认证密钥。介质标识符的使用保证了每个智能密码钥匙的外部认证密钥彼此不同,可降低外部认证密钥的泄露风险,可为智能密码钥匙预先生成外部认证密钥,进而为证书颁发机构在智能密码钥匙灌入证书时,节省大量时间,且能提供根据介质标识符即可恢复外部认证密钥的机制。
附图说明
图1是本发明外部认证密钥的生成方法第一实施方式的流程示意图;
图2是本发明外部认证密钥的生成方法第二实施方式的流程示意图;
图3是本发明外部认证密钥的生成方法第三实施方式的流程示意图;
图4-5是本发明外部认证密钥的生成系统第一实施方式的结构示意图;
图6是本发明外部认证密钥的生成系统第三实施方式的结构示意图。
具体实施方式
请参阅图1,图1是本发明外部认证密钥的生成方法第一实施方式的流程示意图。
本实施方式的所述外部认证密钥的生成方法包括以下步骤:
步骤101,将密钥存储介质的介质标识符转换为密钥材料。
步骤102,对所述密钥材料进行变换,形成外部认证密钥。
本实施方式所述的外部认证密钥的生成方法,将密钥存储介质的介质标识符转换为密钥材料,对所述密钥材料进行变换,形成外部认证密钥。介质标识符的使用保证了每个智能密码钥匙的外部认证密钥彼此不同,可降低外部认证密钥的泄露风险,可为智能密码钥匙预先生成外部认证密钥,进而为证书颁发机构在智能密码钥匙灌入证书时,节省大量时间,且能提供根据介质标识符即可恢复外部认证密钥的机制。
其中,对于步骤101,密钥存储介质包括USB Key、密码卡等,不同密钥存储介质的介质标识符不同,可保证每个智能密码钥匙的外部认证密钥都不相同,因而可降低外部认证密钥的泄露风险。
优选地,所述密钥材料可包括密钥序号,还可进一步包括密钥种子。
在一个实施中,当所述密钥材料为密钥序号时:所述将密钥存储介质的介质标识符转换为密钥材料的步骤可包括以下步骤:
将所述介质标识符的至少部分数据内容作为所述密钥序号。
进一步地,当所述密钥材料包括密钥种子和密钥序号时,所述将密钥存储介质的介质标识符转换为密钥材料的步骤可包括以下步骤:
将预设的字符串作为所述密钥种子,将所述介质标识符的至少部分数据内容作为所述密钥序号。
其中,所述预设的字符串优选地,为根据需要设定的固定字符串,如“1010”。还可以是“abcd”,在其他实施方式中,还可以通过本领域技术人员惯用的其他方式获取密钥种子,并将密钥存储介质的介质标识符转换为密钥序号。
在另一个实施例中,当所述密钥材料包括密钥种子和密钥序号时,所述将密钥存储介质的介质标识符转换为密钥序号的步骤包括以下步骤:
当所述介质标识符的字节数小于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节为所述密钥种子,并设置导字,其中,所述导字与所述介质标示符的字节数之和等于所述字节阈值。
当所述介质标识符的字节数大于或等于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节的后n个字节为所述密钥种子,其中,n与m相加等于所述字节阈值,n和m均为大于1且小于所述字节阈值的整数。
其中,所述导字优选地,为预设的字符串。字节阈值与需要生成的外部认证密钥的字节数对应,优选地为16。
对于步骤102,优选地,当所述密钥材料为密钥序号时,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
通过密码设备对所述密钥序号进行变换,形成所述外部认证密钥。
其中,所述密码设备对所述密钥序号进行变换包括线性变换、异或、加密、签名、加盐的密钥导出算法等,在其他实施方式中还可通过对称算法或非对称算法对所述密钥序号进行加密变换,形成所述外部认证密钥。
在一个实施例中,当所述密钥材料包括密钥种子和密钥序号时,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
步骤1021,对所述密钥种子进行第一次变换,形成秘密信息。
步骤1022,对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥。
其中,对于步骤1021,优选地,所述对所述密钥种子进行第一次变换,形成秘密信息的步骤可包括以下步骤:
通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息。
通过非对称密钥算法对所述密钥种子加密,其加密密钥与解密密钥不同,可进一步降低外部认证密钥的泄密风险,此外非对称密钥算法的密钥对若直接由密码设备生成及存储,而密码设备本身的特点,保证了密钥不能导出,这更进一步的降低了外部认证密钥的泄密风险。
此外,外部认证密钥与介质标识符、密码设备的非对称密钥算法的密钥对密切相关,若密钥对是预先在密码设备生成的,介质标识符已经随着工业上的发展,已经全部或者部分刻在智能密码钥匙的外壳上,并具备一定的规则,因此,上述外部认证密钥的生成方法,也可为智能密码钥匙预先生成外部认证密钥。
优选地,所述非对称密钥算法可包括RSA密钥算法、ECC加密算法等非对称算法中的任意一个。
在其他实施方式中,也可以通过DES、3DES、AES等对称密钥算法对所述密钥种子加密,形成所述秘密信息。
优选地,所述对所述密钥种子进行第一次变换,形成秘密信息的步骤还可包括以下步骤:
通过密码设备对所述密钥种子进行第一次变换,形成所述秘密信息。
所述密码设备对所述密钥序号进行变换包括线性变换、异或、加密、签名、加盐的密钥导出算法等。
对于步骤1022,所述外部认证密钥由密钥种子变换后的秘密信息和密钥序号变换所得,一个密钥种子可以对应多个密钥序号,进而对应多个外部认证密钥。
优选地,所述对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥的步骤可包括以下步骤:
根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
其中,所述密钥导出算法可根据具体的认证应用设定,优选地包括PBKDF2、HKDF、KDF1等中的任意一个。
进一步地,所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤还包括以下步骤:
通过与所述加密密钥对应的解密密钥对所述秘密信息进行解密,获取解密数据。
当所述解密数据与所述密钥种子不相同时,则发出故障警报,并重新通过所述非对称密钥算法的加密密钥对所述密钥种子进行加密。
当所述解密数据与所述密钥种子相同时,则根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
以上所述的外部认证密钥的生成方法,可快速发现非对称密钥算法的计算错误,降低生成外部认证密钥的出错率。
在其他实施例中,还可通过AES加密算法、密码设备或本领域技术人员惯用的其他技术手段对所述秘密信息和所述密钥序号进行所述第二次变换,形成所述外部认证密钥。
在另一个实施例中,所述密钥材料包括所述密钥序号和所述密钥种子,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
步骤1023,对所述密钥序号进行第一次变换,形成秘密信息。
步骤1024,对所述秘密信息和所述密钥种子进行第二次变换,形成外部认证密钥。
优选地,所述秘密信息优选地为所述密钥序号进行加密后的加密形式,可通过密码设备、非对称算法、对称算法或本领域惯用的技术手段对所述密钥种子进行第一次变换,形成所述秘密信息。也可通过导出算法、密码设备、非对称算法、对称算法或本领域惯用的技术手段对所述秘密信息和所述密钥种子进行第二次变换,形成所述外部认证密钥。
请参阅图2,图2是本发明外部认证密钥的生成方法第二实施方式的流程示意图。
本实施方式的外部认证密钥的生成方法与第一实施方式的区别在于:所述通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息的步骤包括以下步骤:
步骤201,通过杂凑算法对所述密钥种子进行杂凑计算,获得所述密钥种子的杂凑值。
步骤202,通过RSA私钥加密算法对所述杂凑值进行加密,获取所述秘密信息。
本实施方式所述的外部认证密钥的生成方法,通过RSA算法可进一步降低外部认证密钥的泄露风险。
其中,对于步骤201,所述杂凑算法优选地为SHA1、SHA256或SHA512,在其他实施方式中,也可以是本领域惯用的其他杂凑方法。
优选地,所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤还包括以下步骤:
步骤203,通过RSA公钥解密算法对所述秘密信息进行解密,获得所述解密数据。
步骤204,在所述解密数据与所述杂凑值相同时,将所述密钥序号、所述杂凑值和所述秘密信息作为加盐密钥导出算法PBKDF2的入参,导出所述外部认证密钥。
在一个实施例中,当所述介质标识符的字节数小于字节阈值时:
所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤包括以下步骤:
对所述导字和所述密钥种子进行级联,获得级联结果。
通过所述杂凑算法对所述级联结果进行杂凑计算,获得杂凑值。
对所述杂凑值进行填充。
对填充后的杂凑值进行RSA私钥加密计算,获得秘密信息。
所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤还可包括以下步骤:
对所述秘密信息进行RSA私钥解密计算,获得解密数据。
当所述解密数据与所述填充后的杂凑值不相等时,则发出故障警报,并重新通过RSA私钥加密算法对所述杂凑值进行加密,获取所述秘密信息。
当所述解密数据与所述填充后的杂凑值相等时,则将所述密钥序号、所述秘密信息作为加盐密钥导出算法的入参(分别作为口令及盐值参数),并输入杂凑算法类型、迭代次数、密钥长度等参数,获得所述外部认证密钥。
其中,填充算法可采用RSAES-PKCS1-v1_5_Padding、RSA_PKCS1_Padding等。
请参阅图3,图3是本发明外部认证密钥的生成方法第三实施方式的流程示意图。
本实施方式的外部认证密钥的生成方法与第一实施方式的区别在于:在所述对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥的步骤之后,还包括以下步骤:
步骤301,将第二密钥存储介质的介质标识符转换为第二密钥种子和第二密钥序号。
步骤302,在所述第二密钥种子与所述密钥种子相同时,对所述秘密信息和所述第二密钥序号进行第二次变换,形成第二外部认证密钥。
本实施方式所述外部认证密钥的生成方法,可批量生成外部认证密钥,提高生成外部认证密钥的效率、节约系统资源。
请参阅图4和图5,图4和图5是本发明外部认证密钥的生成系统第一实施方式的结构示意图。
本实施方式的所述外部认证密钥的生成系统包括转换模块100、变换模块200,其中:
转换模块100,用于将密钥存储介质的介质标识符转换为密钥材料。
变换模块200,用于对所述密钥材料进行变换,形成外部认证密钥。
本实施方式所述的外部认证密钥的生成系统,将密钥存储介质的介质标识符转换为密钥材料,对所述密钥材料进行变换,形成外部认证密钥。介质标识符的使用保证了每个智能密码钥匙的外部认证密钥彼此不同,可降低外部认证密钥的泄露风险,可为智能密码钥匙预先生成外部认证密钥,进而为证书颁发机构在智能密码钥匙灌入证书时,节省大量时间,且能提供根据介质标识符即可恢复外部认证密钥的机制。
其中,对于转换模块100,密钥存储介质包括USB Key、密码卡等,不同密钥存储介质的介质标识符不同,可保证每个智能密码钥匙的外部认证密钥都不相同,因而可降低外部认证密钥的泄露风险。
优选地,所述密钥材料可包括密钥序号,还可进一步包括密钥种子。
在一个实施中,当所述密钥材料为密钥序号时:转换模块100可用于将所述介质标识符的至少部分数据内容作为所述密钥序号。
进一步地,当所述密钥材料为密钥序号时,转换模块100还可用于在变换模块200对所述密钥材料进行变换,形成外部认证密钥之前,将预设的字符串作为所述密钥种子。
其中,所述预设的字符串优选地,为根据需要设定的固定字符串,如“1010”。还可以是“abcd”。
在其他实施方式中,还可以通过本领域技术人员惯用的其他方式获取密钥种子,并将密钥存储介质的介质标识符转换为密钥序号。
在另一个实施例中,当所述密钥材料包括密钥种子和密钥序号时,转换模块100可用于:
当所述介质标识符的字节数小于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节为所述密钥种子,并设置导字,其中,所述导字与所述介质标示符的字节数之和等于所述字节阈值。
当所述介质标识符的字节数大于或等于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节的后n个字节为所述密钥种子,其中,n与m相加等于所述字节阈值,n和m均为大于1且小于所述字节阈值的整数。
其中,字节阈值与需要生成的外部认证密钥的字节数对应,优选地为16。
对于变换模块200,优选地,当所述密钥材料为密钥序号时,变换模块200可用于通过密码设备对所述密钥序号进行变换,形成所述外部认证密钥。
其中,所述密码设备对所述密钥序号进行变换包括线性变换、异或、加密、签名、加盐的密钥导出算法等在其他实施方式中还可通过对称算法或非对称算法对所述密钥序号进行加密变换,形成所述外部认证密钥。
在一个实施例中,当所述密钥材料包括密钥种子和密钥序号时,如图5所示,变换模块200可包括第一变换模块210和第二变换模块220,其中:
第一变换模块210,用于对所述密钥种子进行第一次变换,形成秘密信息。
第二变换模块220,用于对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥。
其中,对于第一变换模块210,优选地,可通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息。
通过非对称密钥算法对所述密钥种子加密,其加密密钥与解密密钥不同,可进一步降低外部认证密钥的泄密风险,此外非对称密钥算法的密钥对若直接由密码设备存储,而密码设备本身的特点,保证了密钥不能导出,这更进一步的降低了外部认证密钥的泄密风险。
此外,外部认证密钥与介质标识符、密码设备的非对称密钥算法的密钥对密切相关,若密钥对是预先在密码设备生成的,介质标识符已经随着工业上的发展,已经全部或者部分刻在智能密码钥匙的外壳上,并具备一定的规则,因此,上述外部认证密钥的生成方法,也可为智能密码钥匙预先生成外部认证密钥。
优选地,所述非对称密钥算法可包括RSA密钥算法、ECC加密算法等中的任意一个。
在其他实施方式中,第一变换模块210也可用于通过对称密钥算法对所述密钥种子加密,形成所述秘密信息。
优选地,第一变换模块210还可用于通过密码设备对所述密钥种子进行第一次变换,形成所述秘密信息。
所述密码设备对所述密钥序号进行变换包括线性变换、异或、加密、签名、加盐的密钥导出算法等。
对于第二变换模块220,所述外部认证密钥由密钥种子变换后的秘密信息和密钥序号变换所得,一个密钥种子可以对应多个密钥序号,进而对应多个外部认证密钥。
优选地,第二变换模块220可用于根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
其中,所述密钥导出算法可根据具体的认证应用设定,优选地包括PBKDF2、HKDF、KDF1等中的任意一个。
进一步地,第二变换模块200还可用于:
通过与所述加密密钥对应的解密密钥对所述秘密信息进行解密,获取解密数据。
当所述解密数据与所述密钥种子不相同时,则发出故障警报,并重新通过所述非对称密钥算法的加密密钥对所述密钥种子进行加密。
当所述解密数据与所述密钥种子相同时,则根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
以上所述的外部认证密钥的生成系统,可快速发现非对称密钥算法的计算错误,降低生成外部认证密钥的出错率。
在其他实施例中,还可通过AES加密算法、密码设备或本领域技术人员惯用的其他技术手段对所述秘密信息和所述密钥序号进行所述第二次变换,形成所述外部认证密钥。
在另一个实施例中,当所述密钥材料为所述密钥序号和所述密钥种子时,如图5所示,变换模块200可包括第一变换模块210和第二变换模块220,其中:第一变换模块210,用于对所述密钥序号进行第一次变换,形成秘密信息。
第二变换模块220,用于对所述秘密信息和所述密钥种子进行第二次变换,形成外部认证密钥。
优选地,所述秘密信息优选地为所述密钥序号进行加密后的加密形式,第一变换模块210还可通过密码设备、非对称算法、对称算法或本领域惯用的技术手段对所述密钥种子进行第一次变换,形成所述秘密信息。第二变换模块220也可通过导出算法、密码设备、非对称算法、对称算法或本领域惯用的技术手段对所述秘密信息和所述密钥种子进行第二次变换,形成所述外部认证密钥。
以下所述是本发明外部认证密钥的生成系统第二实施方式。
本实施方式的外部认证密钥的生成系统与第一实施方式的区别在于:第一变换模块210可用于:
通过杂凑算法对所述密钥种子进行杂凑计算,获得所述密钥种子的杂凑值。
通过RSA私钥加密算法对所述杂凑值进行加密,获取所述秘密信息。
本实施方式所述的外部认证密钥的生成方法,通过RSA算法可进一步降低外部认证密钥的泄露风险。
其中,对于第一变换模块210,所述杂凑算法优选地为SHA1、SHA256或SHA512,在其他实施方式中,也可以是本领域惯用的其他杂凑方法。
优选地,第二变换模块220还可进一步用于:
通过RSA公钥解密算法对所述秘密信息进行解密,获得所述解密数据。
在所述解密数据与所述杂凑值相同时,将所述密钥序号、所述杂凑值和所述秘密信息作为加盐密钥导出算法PBKDF2的入参,导出所述外部认证密钥。
在一个实施例中,当所述介质标识符的字节数小于字节阈值时,第一变换模块210可用于:
对所述导字和所述密钥种子进行级联,获得级联结果。
通过所述杂凑算法对所述级联结果进行杂凑计算,获得杂凑值。
对所述杂凑值进行填充。
对填充后的杂凑值进行RSA私钥加密计算,获得秘密信息。
第二变换模块220进一步可用于:
对所述秘密信息进行RSA私钥解密计算,获得解密数据。
当所述解密数据与所述填充后的杂凑值不相等时,则发出故障警报,并重新通过RSA私钥加密算法对所述杂凑值进行加密,获取所述秘密信息。
当所述解密数据与所述填充后的杂凑值相等时,则将所述密钥序号、所述秘密信息作为加盐密钥导出算法的入参(分别作为口令及盐值参数),并输入杂凑算法类型、迭代次数、密钥长度等参数,获得所述外部认证密钥。
其中,填充算法可采用RSAES-PKCS1-v1_5_Padding、RSA_PKCS1_Padding等。
请参阅图6,图6是本发明外部认证密钥的生成系统第三实施方式的结构示意图。
本实施方式的外部认证密钥的生成系统与第一实施方式的区别在于:还包括判断模块400,用于在转换模块100将第二密钥存储介质的介质标识符转换为第二密钥种子和第二密钥序号之后,判断所述第二密钥种子与在先生成的所述密钥种子是否相同,若相同,则通知第二变换模块220对在先生成的所述秘密信息和所述第二密钥序号进行第二次变换,形成第二外部认证密钥。
本实施方式所述外部认证密钥的生成系统,可批量生成外部认证密钥,提高生成外部认证密钥的效率、节约系统资源。
其中,第二变换模块220的数目可以为两个以上,当多个在后生成的密钥种子与在先生成的所述密钥种子一样时,用于同时对在先生成的所述秘密信息和在后生成的多个密钥序号分别进行第二次变换,批量生成多个外部认证密钥。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (16)
1.一种外部认证密钥的生成方法,其特征在于,包括以下步骤:
将密钥存储介质的介质标识符转换为密钥材料;所述密钥材料为密钥序号,所述密钥存储介质包括USB Key、密码卡;
对所述密钥材料进行变换,形成外部认证密钥;
其中,所述将密钥存储介质的介质标识符转换为密钥材料的步骤包括:将所述介质标识符的至少部分数据内容作为所述密钥序号;所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括:通过密码设备对所述密钥序号进行变换,形成所述外部认证密钥;
所述密码设备对所述密钥序号进行变换包括线性变换、异或、加密、签名、加盐的密钥导出算法。
2.根据权利要求1所述的外部认证密钥的生成方法,其特征在于,所述密钥材料包括密钥种子和密钥序号,所述将密钥存储介质的介质标识符转换为密钥材料的步骤还包括以下步骤:
将预设的字符串作为所述密钥种子,将所述介质标识符的至少部分数据内容作为所述密钥序号。
3.根据权利要求1所述的外部认证密钥的生成方法,其特征在于,所述密钥材料包括密钥种子和密钥序号,所述将密钥存储介质的介质标识符转换为密钥序号的步骤包括以下步骤:
当所述介质标识符的字节数小于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节为所述密钥种子,并设置导字,其中,所述导字与所述介质标示符的字节数之和等于所述字节阈值;
当所述介质标识符的字节数大于或等于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节的后n个字节为所述密钥种子,其中,n与m相加等于所述字节阈值,n和m均为大于1且小于所述字节阈值的整数。
4.根据权利要求2或3所述的外部认证密钥的生成方法,其特征在于,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
对所述密钥序号进行第一次变换,形成秘密信息;
对所述秘密信息和所述密钥种子进行第二次变换,形成外部认证密钥。
5.根据权利要求2或3所述的外部认证密钥的生成方法,其特征在于,所述对所述密钥材料进行变换,形成外部认证密钥的步骤包括以下步骤:
对所述密钥种子进行第一次变换,形成秘密信息;
对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥。
6.根据权利要求5所述的外部认证密钥的生成方法,其特征在于,所述对所述密钥种子进行第一次变换,形成秘密信息的步骤包括以下步骤:
通过密码设备对所述密钥种子进行第一次变换,形成所述秘密信息。
7.根据权利要求5所述的外部认证密钥的生成方法,其特征在于,所述对所述密钥种子进行第一次变换,形成秘密信息的步骤包括以下步骤:
通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息。
8.根据权利要求7所述的外部认证密钥的生成方法,其特征在于,所述通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息的步骤包括以下步骤:
通过杂凑算法对所述密钥种子进行杂凑计算,获得所述密钥种子的杂凑值;
通过RSA私钥加密算法对所述杂凑值进行加密,获取所述秘密信息。
9.根据权利要求5所述的外部认证密钥的生成方法,其特征在于,所述对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥的步骤包括以下步骤:
根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
10.根据权利要求9所述的外部认证密钥的生成方法,其特征在于,所述对所述密钥种子进行第一次变换,形成秘密信息的步骤包括:
通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息;
所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤还包括以下步骤:
通过与所述加密密钥对应的解密密钥对所述秘密信息进行解密,获取解密数据;
当所述解密数据与所述密钥种子不相同时,则发出故障警报,并重新通过所述非对称密钥算法的加密密钥对所述密钥种子进行加密;
当所述解密数据与所述密钥种子相同时,则根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
11.根据权利要求9所述的外部认证密钥的生成方法,其特征在于,所述根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥的步骤还包括以下步骤:
通过RSA公钥解密算法对所述秘密信息进行解密,获得所述解密数据;
在所述解密数据与所述密钥种子的杂凑值相同时,将所述密钥序号、所述杂凑值和所述秘密信息作为加盐密钥导出算法PBKDF2的入参,导出所述外部认证密钥;其中,所述杂凑值为通过杂凑算法对所述密钥种子进行杂凑计算得到的。
12.根据权利要求5所述的外部认证密钥的生成方法,在所述对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥的步骤之后,还包括以下步骤:
将第二密钥存储介质的介质标识符转换为第二密钥种子和第二密钥序号;
在所述第二密钥种子与所述密钥种子相同时,对所述秘密信息和所述第二密钥序号进行所述第二次变换,形成第二外部认证密钥。
13.一种外部认证密钥的生成系统,其特征在于,包括:
转换模块,用于将密钥存储介质的介质标识符转换为密钥材料;所述密钥材料为密钥序号,所述密钥存储介质包括USB Key、密码卡;
变换模块,用于对所述密钥材料进行变换,形成外部认证密钥;
所述转换模块还用于将所述介质标识符的至少部分数据内容作为所述密钥序号;所述变换模块还用于通过密码设备对所述密钥序号进行变换,形成所述外部认证密钥;所述密码设备对所述密钥序号进行变换包括线性变换、异或、加密、签名、加盐的密钥导出算法。
14.根据权利要求13所述的外部认证密钥的生成系统,其特征在于,所述密钥材料包括密钥种子和密钥序号,所述转换模块还用于:
当所述介质标识符的字节数小于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节为所述密钥种子,并设置导字,其中,所述导字与所述介质标示符的字节数之和等于所述字节阈值;
当所述介质标识符的字节数大于或等于字节阈值时,获取所述介质标识符的后m个字节为所述密钥序号,获取所述介质标识符中除所述密钥序号外的剩余字节的后n个字节为所述密钥种子,其中,n与m相加等于所述字节阈值,n和m均为大于1且小于所述字节阈值的整数。
15.根据权利要求14所述的外部认证密钥的生成系统,其特征在于,所述变换模块包括第一变换模块和第二变换模块,所述第一变换模块用于对所述密钥种子进行第一次变换,形成秘密信息,所述第二变换模块用于对所述秘密信息和所述密钥序号进行第二次变换,形成外部认证密钥。
16.根据权利要求15所述的外部认证密钥的生成系统,其特征在于,所述第一变换模块还用于通过非对称密钥算法的加密密钥对所述密钥种子进行加密,形成所述秘密信息,所述第二变换模块还用于根据所述密钥序号、所述秘密信息和密钥导出算法,导出外部认证密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310655662.8A CN103746805B (zh) | 2013-12-05 | 2013-12-05 | 外部认证密钥的生成方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310655662.8A CN103746805B (zh) | 2013-12-05 | 2013-12-05 | 外部认证密钥的生成方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103746805A CN103746805A (zh) | 2014-04-23 |
| CN103746805B true CN103746805B (zh) | 2018-01-30 |
Family
ID=50503796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310655662.8A Active CN103746805B (zh) | 2013-12-05 | 2013-12-05 | 外部认证密钥的生成方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103746805B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209884A (zh) * | 2016-07-21 | 2016-12-07 | 恒宝股份有限公司 | Ta和ca之间外部认证与通信加密的方法、ca和ta |
| CN109388931A (zh) * | 2018-09-12 | 2019-02-26 | 航天信息股份有限公司 | 基于usbkey设备的软件保护方法、usbkey设备的发行方法及装置 |
| CN110378139B (zh) * | 2019-07-25 | 2021-07-30 | 江苏芯盛智能科技有限公司 | 一种数据密钥保护方法、系统及电子设备和存储介质 |
| TW202107871A (zh) * | 2019-08-01 | 2021-02-16 | 張英輝 | 產生非對稱算法密鑰對之方法 |
| CN110874726A (zh) * | 2019-11-20 | 2020-03-10 | 上海思赞博微信息科技有限公司 | 一种基于tpm的数字货币安全保护方法 |
| KR102370814B1 (ko) * | 2020-04-10 | 2022-03-07 | 아우토크립트 주식회사 | 통신 시스템에서 버터플라이 키 확장 방법 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103427983A (zh) * | 2012-05-17 | 2013-12-04 | 三星电子株式会社 | 用于基于存储设备标识符的内容加密和解密的装置和方法 |
-
2013
- 2013-12-05 CN CN201310655662.8A patent/CN103746805B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103427983A (zh) * | 2012-05-17 | 2013-12-04 | 三星电子株式会社 | 用于基于存储设备标识符的内容加密和解密的装置和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103746805A (zh) | 2014-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103746805B (zh) | 外部认证密钥的生成方法和系统 | |
| CN103259643B (zh) | 一种矩阵全同态加密方法 | |
| CN103716157B (zh) | 分组多密钥加密方法及装置 | |
| KR101809386B1 (ko) | 인증 암호 장치, 인증 암호 방법 및 컴퓨터 판독가능한 기록 매체 | |
| CN103875001B (zh) | 用于保护密码散列函数的执行的方法和系统 | |
| CN111492616B (zh) | 用于基于晶格的密码学的可配置设备 | |
| CN101401141B (zh) | 信息处理系统以及信息处理方法 | |
| CN101447870B (zh) | 一种基于分布式口令技术的私钥安全存储方法 | |
| Dottling et al. | A CCA2 secure variant of the McEliece cryptosystem | |
| CN102185694A (zh) | 基于指纹信息的电子文件加密的方法及其系统 | |
| CN103501224A (zh) | 基于量子细胞神经网络系统的非对称图像加密解密方法 | |
| CN107135062A (zh) | 一种改进的大文件的加密方法 | |
| CN106685980A (zh) | 一种大文件的加密方法 | |
| CN113141247B (zh) | 一种同态加密方法、装置、系统及可读存储介质 | |
| CN105635135A (zh) | 一种基于属性集及关系谓词的加密系统及访问控制方法 | |
| CN107332657A (zh) | 一种基于区块链数字签名的加密方法及系统 | |
| CN106878322A (zh) | 一种基于属性的定长密文与密钥的加密、解密方法 | |
| CN113312608A (zh) | 一种基于时间戳的电力计量终端身份认证方法及系统 | |
| CN109936458A (zh) | 一种基于多重证据纠错的格基数字签名方法 | |
| CN102811124B (zh) | 基于两卡三码技术的系统验证方法 | |
| CN105339995B (zh) | 解密装置、解密能力提供装置、其方法、以及记录介质 | |
| CN106941406B (zh) | 基于标识的加密签名方法、解密验签方法及其装置 | |
| CN111555882B (zh) | 抵抗有界敏感信息泄露的无证书密钥封装方法 | |
| CN104954136A (zh) | 一种云计算环境下网络安全加密装置 | |
| CN108270565A (zh) | 一种数据混合加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 528200 science and technology road, Nanhai Software Science Park, Nanhai Town, Nanhai District, Foshan, Guangdong Applicant after: Age of security Polytron Technologies Inc Address before: 528200 science and technology road, Nanhai Software Science Park, Nanhai Town, Nanhai District, Foshan, Guangdong Applicant before: Guangdong Certificate Authority Center Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |