CN107204851A - 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 - Google Patents
基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 Download PDFInfo
- Publication number
- CN107204851A CN107204851A CN201710450820.4A CN201710450820A CN107204851A CN 107204851 A CN107204851 A CN 107204851A CN 201710450820 A CN201710450820 A CN 201710450820A CN 107204851 A CN107204851 A CN 107204851A
- Authority
- CN
- China
- Prior art keywords
- private key
- storage container
- cpk
- securely
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于CPK的ID证书私钥阵列的安全生成及存储容器及其使用方法。本发明以硬件部件形式制作的安全生成及存储容器能安全存储组合公钥算法CPK的私钥阵列,通过USB接口或PCI总线接口与计算机或服务器连接,使用对基于组合公钥算法CPK的ID证书、基于CPK的认证技术,使CPK的私钥阵列不被非法访问;保护用户ID证书只能合法发放,使系统超级权限无法掌握组合公钥CPK算法的私钥阵列,无法计算用户组合私钥,无法冒充用户签字和冒充用户身份。这样保障了基于组合公钥算法CPK的ID证书颁证系统或认证系统的安全性。
Description
技术领域
本发明涉及计算机信息安全技术领域,尤其是一种基于CPK的ID证书私钥阵列的安全生成及存储容器及其使用方法。
背景技术
随着近年云计算、大数据的需求快速增长,作为身份认证和授权管理有关系统的需求快速增长。
目前网络和信息系统身份认证采用的用户名+口令+验证码的认证方式不够安全,采用PKI技术的认证方式有技术复杂,投资大等问题,IBE认证方式没有实用化等问题。基于组合公钥CPK算法的认证方式有证书量大、用户认证简单等优点。但CPK算法主要存在两个安全问题:1、对n*n的有限私钥阵列,存在共谋攻击问题,即足够多的掌握单个组合私钥的主体可以凑在一起列线性方程式,从而破解私钥阵列;2、超级权限掌握组合公钥CPK算法的私钥阵列,可以取得用户ID,进一步生成用户的组合私钥,从而冒充用户签字和冒充用户身份。针对CPK算法主要存在第一个安全问题:对n*n的有限私钥阵列存在共谋攻击问题,已经有报道,采用在椭圆曲线上增加一个用户随机秘钥对加以解决;但对超级权限掌握组合公钥CPK算法的私钥阵列,冒充用户签字和冒充用户身份问题,尚无类似于本发明的解决方案。
发明内容
本发明的目的是:提供了一种基于CPK的ID证书私钥阵列的安全生成及存储容器及其使用方法,它能保护用户ID证书只能合法发放,使系统超级权限无法掌握组合公钥CPK算法的私钥阵列,无法计算用户组合私钥,无法冒充用户签字和冒充用户身份。这样保障了基于组合公钥算法CPK的ID证书颁证系统或认证系统的安全性。
本发明是这样实现的:基于CPK的ID证书私钥阵列的安全生成及存储容器,包括电路板,在电路板上设有微处理器,非易失性存储器及接口,非易失性存储器及接口均连接到微处理器上;在非易失性存储器中存放椭圆曲线参数、组合公钥算法CPK的私钥阵列、连接串及用户ID或用户ID哈希值。
所述的接口为USB接口或PCI接口。
所述的安全生成及存储容器的使用方法,将安全生成及存储容器通过接口连接到采用基于CPK技术的认证中心或ID证书颁证系统的计算机或服务器的相应接口上,计算机或服务器与安全生成及存储容器连接时采用特定的容器连接字符串和计算机或服务器的机器名组合,该连接组合串在容器初始化时被置入非易失性存储器;安全生成及存储容器通过该连接组合串来进行对容器的访问控制;该安全生成及存储容器初始化时将自动生成CPK的随机私钥阵列,并将这个私钥阵列存放在安全生成及存储容器的非易失性存储器中;计算机或服务器采用带有密码协议的加密的连接请求以保障仅正常用户可进行组合私钥申请、用户组合私钥输出和椭圆曲线ECC参数置入;用户组合私钥申请、用户组合私钥输出每一个ID仅执行一次,安全生成及存储容器的微处理器通过比较非易失性存储器中的用户ID或用户ID哈希值来判别并屏蔽试图冒充用户签字的私钥请求;该安全生成及存储容器接收公钥输出请求,并输出与这个私钥阵列对应的公钥阵列;非易失性存储器中的私钥阵列数据无法输出到安全生成及存储容器的外部,防止从安全生成及存储容器中非法取出CPK私钥阵列以伪造用户私钥;用户ID或用户ID哈希值从安全生成及存储容器的外部不可访问,防止非法篡改用户ID或用户ID哈希值。
与现有的技术相比,本发明以硬件部件形式制作的安全生成及存储容器能安全存储组合公钥算法CPK的私钥阵列,通过USB接口或PCI总线接口与计算机或服务器连接,使用对基于组合公钥算法CPK的ID证书、基于CPK的认证技术,使CPK的私钥阵列不被非法访问;保护用户ID证书只能合法发放,使系统超级权限无法掌握组合公钥CPK算法的私钥阵列,无法计算用户组合私钥,无法冒充用户签字和冒充用户身份。这样保障了基于组合公钥算法CPK的ID证书颁证系统或认证系统的安全性。
附图说明
附图1为本发明的结构示意图;
附图2为本发明的安全生成及存储容器初始化流程图;
附图3为本发明的用户组合私钥申请流程图。
具体实施方式
本发明的实施例:基于CPK的ID证书私钥阵列的安全生成及存储容器,包括电路板1,在电路板1上设有微处理器2,非易失性存储器3及接口4,非易失性存储器3及接口4均连接到微处理器2上;微处理器2生成组合公钥算法CPK的私钥阵列;在非易失性存储器3中存放椭圆曲线ECC参数、组合公钥算法CPK的私钥阵列、连接串及用户ID或用户ID哈希值;通过微处理器2计算给定椭圆曲线的CPK公私钥阵列、计算用户的组合私钥、安全连接和密码协议的执行,以及安全生成及存储容器1内部和接口的操作。根据需要,将接口4采用USB接口或PCI接口。
所述的安全生成及存储容器的使用方法,将安全生成及存储容器通过接口4连接到采用基于CPK技术的认证中心或ID证书颁证系统的计算机或服务器的相应接口上,计算机或服务器与安全生成及存储容器连接时采用特定的容器连接字符串和计算机或服务器的机器名组合,该连接组合串在容器初始化时被置入非易失性存储器3;安全生成及存储容器通过该连接组合串来进行对容器的访问控制;该安全生成及存储容器初始化时将自动生成CPK的随机私钥阵列,并将这个私钥阵列存放在安全生成及存储容器的非易失性存储器中;计算机或服务器采用带有密码协议的加密的连接请求以保障仅正常用户可进行组合私钥申请、用户组合私钥输出和椭圆曲线参数置入;用户组合私钥申请、用户组合私钥输出每一个ID仅执行一次,安全生成及存储容器的微处理器2通过比较非易失性存储器中的用户ID或用户ID哈希值来判别并屏蔽试图冒充用户签字的私钥请求;非易失性存储器3中的私钥阵列数据无法输出到安全生成及存储容器的外部,防止从安全生成及存储容器中非法取出CPK私钥阵列以伪造用户私钥;用户ID或用户ID哈希值从安全生成及存储容器的外部不可访问,防止非法篡改用户ID或用户ID哈希值。
本实施例中,各个部件在电路板上的连接,以及各个部件之间的连接均为本领域技术人员的公知手段,此处就不再赘述。外次,产品采用USB接口时需要设置适合的外壳体,既便于保护电路板及芯片,也便于使用时的连接。
附图3中,如果容器中的非易失性存储器3中存储的是用户ID表,则先查询是否存在该ID,再计算其哈希值。如果采用增加随机密钥对抵抗共谋攻击,则容器向服务器返回用户的复合私钥及随机公钥。
Claims (3)
1.一种基于CPK的ID证书私钥阵列的安全生成及存储容器,包括电路板(1),其特征在于:在电路板(1)上设有微处理器(2),非易失性存储器(3)及接口(4),非易失性存储器(3)及接口(4)均连接到微处理器(2)上;微处理器(2)生成组合公钥算法CPK的私钥阵列;在非易失性存储器(3)中存放椭圆曲线参数、组合公钥算法CPK的私钥阵列、连接组合串及用户ID或用户ID哈希值,并且私钥阵列数据不会输出到安全生成及存储容器外部。
2.根据权利要求要求1所述的基于CPK的ID证书私钥阵列的安全生成及存储容器,其特征在于:所述的接口(4)为USB接口或PCI接口。
3.一种如权利要求1或2所述的安全生成及存储容器的使用方法,其特征在于:将安全生成及存储容器通过接口(4)连接到采用基于CPK技术的认证中心或ID证书颁证系统的计算机或服务器的相应接口上,计算机或服务器与安全生成及存储容器连接时采用特定的容器连接字符串和计算机或服务器的机器名组合,该连接组合串在容器初始化时被置入非易失性存储器(3);安全生成及存储容器通过该连接组合串来进行对容器的访问控制;该安全生成及存储容器初始化时将自动生成CPK的随机私钥阵列,并将这个私钥阵列存放在安全生成及存储容器的非易失性存储器中;计算机或服务器采用带有密码协议的加密的连接请求以保障仅正常用户可进行组合私钥申请、用户组合私钥输出和椭圆曲线ECC参数置入;用户组合私钥申请、用户组合私钥输出每一个ID仅执行一次,安全生成及存储容器的微处理器(2)通过比较用户ID或用户ID哈希值来判别并屏蔽试图冒充用户签字的私钥请求;该安全生成及存储容器接收公钥输出请求,并输出与这个私钥阵列对应的公钥阵列;非易失性存储器(3)中的私钥阵列数据无法输出到安全生成及存储容器的外部,防止从安全生成及存储容器中非法取出CPK私钥阵列以伪造用户私钥;用户ID或用户ID哈希值从安全生成及存储容器的外部不可访问,防止非法篡改用户ID或用户ID哈希值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710450820.4A CN107204851A (zh) | 2017-06-15 | 2017-06-15 | 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710450820.4A CN107204851A (zh) | 2017-06-15 | 2017-06-15 | 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107204851A true CN107204851A (zh) | 2017-09-26 |
Family
ID=59907392
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710450820.4A Pending CN107204851A (zh) | 2017-06-15 | 2017-06-15 | 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107204851A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112905978A (zh) * | 2021-02-20 | 2021-06-04 | 成都新希望金融信息有限公司 | 权限管理方法和装置 |
| US11632243B1 (en) * | 2020-03-31 | 2023-04-18 | Juniper Networks, Inc. | Multi-key exchange |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007115495A1 (fr) * | 2006-04-10 | 2007-10-18 | Beijing E-Henxen Authentication Technologies Co., Ltd. | Procédé et appareil d'authentification de passerelle sur la base d'une clé publique combinée |
| WO2009143712A1 (zh) * | 2008-05-28 | 2009-12-03 | 北京易恒信认证科技有限公司 | 复合型组合公钥的生成方法 |
| CN102932148A (zh) * | 2012-10-25 | 2013-02-13 | 成都市易恒信科技有限公司 | 基于cpk认证的安全二维码防伪系统与方法 |
| CN104102338A (zh) * | 2013-04-02 | 2014-10-15 | 株式会社东芝 | 编辑装置和编辑方法 |
| CN105790941A (zh) * | 2016-04-22 | 2016-07-20 | 长沙市迪曼森信息科技有限公司 | 一种基于标识的具有域划分的组合密钥生成及认证方法 |
-
2017
- 2017-06-15 CN CN201710450820.4A patent/CN107204851A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007115495A1 (fr) * | 2006-04-10 | 2007-10-18 | Beijing E-Henxen Authentication Technologies Co., Ltd. | Procédé et appareil d'authentification de passerelle sur la base d'une clé publique combinée |
| WO2009143712A1 (zh) * | 2008-05-28 | 2009-12-03 | 北京易恒信认证科技有限公司 | 复合型组合公钥的生成方法 |
| CN102932148A (zh) * | 2012-10-25 | 2013-02-13 | 成都市易恒信科技有限公司 | 基于cpk认证的安全二维码防伪系统与方法 |
| CN104102338A (zh) * | 2013-04-02 | 2014-10-15 | 株式会社东芝 | 编辑装置和编辑方法 |
| CN105790941A (zh) * | 2016-04-22 | 2016-07-20 | 长沙市迪曼森信息科技有限公司 | 一种基于标识的具有域划分的组合密钥生成及认证方法 |
Non-Patent Citations (3)
| Title |
|---|
| 刘巧瑜: "基于CPK的云安全身份认证和访问控制技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 叶延婷 等: "基于云平台访问控制的混合密钥管理研究", 《通信技术》 * |
| 邢海龙: "组合公钥CPK关键技术研究与应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11632243B1 (en) * | 2020-03-31 | 2023-04-18 | Juniper Networks, Inc. | Multi-key exchange |
| CN112905978A (zh) * | 2021-02-20 | 2021-06-04 | 成都新希望金融信息有限公司 | 权限管理方法和装置 |
| CN112905978B (zh) * | 2021-02-20 | 2023-06-06 | 成都新希望金融信息有限公司 | 权限管理方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107919954B (zh) | 一种基于sgx软件防护扩展指令的区块链用户密钥保护方法和装置 | |
| CN105635049B (zh) | 基于客户端标识密码的防伪税控方法和装置 | |
| CN101945114B (zh) | 基于fuzzy vault和数字证书的身份认证方法 | |
| JP3613921B2 (ja) | アクセス資格認証装置および方法 | |
| CN107810617A (zh) | 机密认证和供应 | |
| CN109379387B (zh) | 一种物联网设备间的安全认证和数据通信系统 | |
| US20160294553A1 (en) | Information delivery system | |
| CN101527024A (zh) | 一种安全网上银行系统及其实现方法 | |
| CN106789059B (zh) | 一种基于可信计算的远程双向访问控制系统及方法 | |
| CN107948156A (zh) | 一种基于身份的封闭式密钥管理方法及系统 | |
| CN103825741B (zh) | 一种加密设备生产过程中注入带签名的证书的解决方法 | |
| CN105207776A (zh) | 一种指纹认证方法及系统 | |
| CN107908932B (zh) | 一种基于l算法的数字货币防伪及验证方法、系统和设备 | |
| JP2014508456A5 (zh) | ||
| CN105119721B (zh) | 一种基于智能卡的三因素远程身份认证方法 | |
| WO2008031301A1 (fr) | Procédé d'authentification d'identité en ligne point à point | |
| CN108323230A (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| CN110505055A (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| JP2015501112A (ja) | 組み合わされたデジタル証明書 | |
| KR20090019576A (ko) | 모바일 단말기 인증 방법 및 모바일 단말기 인증 시스템 | |
| CN1953366B (zh) | 智能密钥装置的密码管理方法和系统 | |
| CN107204851A (zh) | 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 | |
| CN101582761B (zh) | 采用口令防火墙的身份认证方法 | |
| CN118213031A (zh) | 一种医疗数据共享隐私保护系统、方法、设备及介质 | |
| CN101359986A (zh) | 用于根据双线性映射的直接匿名证明的装置和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170926 |