CN107204851A - 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 - Google Patents
基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 Download PDFInfo
- Publication number
- CN107204851A CN107204851A CN201710450820.4A CN201710450820A CN107204851A CN 107204851 A CN107204851 A CN 107204851A CN 201710450820 A CN201710450820 A CN 201710450820A CN 107204851 A CN107204851 A CN 107204851A
- Authority
- CN
- China
- Prior art keywords
- private key
- storage container
- user
- cpk
- generation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 12
- 238000003491 array Methods 0.000 title description 2
- 238000003780 insertion Methods 0.000 claims 1
- 230000037431 insertion Effects 0.000 claims 1
- 238000013475 authorization Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于CPK的ID证书私钥阵列的安全生成及存储容器及其使用方法。本发明以硬件部件形式制作的安全生成及存储容器能安全存储组合公钥算法CPK的私钥阵列,通过USB接口或PCI总线接口与计算机或服务器连接,使用对基于组合公钥算法CPK的ID证书、基于CPK的认证技术,使CPK的私钥阵列不被非法访问;保护用户ID证书只能合法发放,使系统超级权限无法掌握组合公钥CPK算法的私钥阵列,无法计算用户组合私钥,无法冒充用户签字和冒充用户身份。这样保障了基于组合公钥算法CPK的ID证书颁证系统或认证系统的安全性。
Description
技术领域
本发明涉及计算机信息安全技术领域,尤其是一种基于CPK的ID证书私钥阵列的安全生成及存储容器及其使用方法。
背景技术
随着近年云计算、大数据的需求快速增长,作为身份认证和授权管理有关系统的需求快速增长。
目前网络和信息系统身份认证采用的用户名+口令+验证码的认证方式不够安全,采用PKI技术的认证方式有技术复杂,投资大等问题,IBE认证方式没有实用化等问题。基于组合公钥CPK算法的认证方式有证书量大、用户认证简单等优点。但CPK算法主要存在两个安全问题:1、对n*n的有限私钥阵列,存在共谋攻击问题,即足够多的掌握单个组合私钥的主体可以凑在一起列线性方程式,从而破解私钥阵列;2、超级权限掌握组合公钥CPK算法的私钥阵列,可以取得用户ID,进一步生成用户的组合私钥,从而冒充用户签字和冒充用户身份。针对CPK算法主要存在第一个安全问题:对n*n的有限私钥阵列存在共谋攻击问题,已经有报道,采用在椭圆曲线上增加一个用户随机秘钥对加以解决;但对超级权限掌握组合公钥CPK算法的私钥阵列,冒充用户签字和冒充用户身份问题,尚无类似于本发明的解决方案。
发明内容
本发明的目的是:提供了一种基于CPK的ID证书私钥阵列的安全生成及存储容器及其使用方法,它能保护用户ID证书只能合法发放,使系统超级权限无法掌握组合公钥CPK算法的私钥阵列,无法计算用户组合私钥,无法冒充用户签字和冒充用户身份。这样保障了基于组合公钥算法CPK的ID证书颁证系统或认证系统的安全性。
本发明是这样实现的:基于CPK的ID证书私钥阵列的安全生成及存储容器,包括电路板,在电路板上设有微处理器,非易失性存储器及接口,非易失性存储器及接口均连接到微处理器上;在非易失性存储器中存放椭圆曲线参数、组合公钥算法CPK的私钥阵列、连接串及用户ID或用户ID哈希值。
所述的接口为USB接口或PCI接口。
所述的安全生成及存储容器的使用方法,将安全生成及存储容器通过接口连接到采用基于CPK技术的认证中心或ID证书颁证系统的计算机或服务器的相应接口上,计算机或服务器与安全生成及存储容器连接时采用特定的容器连接字符串和计算机或服务器的机器名组合,该连接组合串在容器初始化时被置入非易失性存储器;安全生成及存储容器通过该连接组合串来进行对容器的访问控制;该安全生成及存储容器初始化时将自动生成CPK的随机私钥阵列,并将这个私钥阵列存放在安全生成及存储容器的非易失性存储器中;计算机或服务器采用带有密码协议的加密的连接请求以保障仅正常用户可进行组合私钥申请、用户组合私钥输出和椭圆曲线ECC参数置入;用户组合私钥申请、用户组合私钥输出每一个ID仅执行一次,安全生成及存储容器的微处理器通过比较非易失性存储器中的用户ID或用户ID哈希值来判别并屏蔽试图冒充用户签字的私钥请求;该安全生成及存储容器接收公钥输出请求,并输出与这个私钥阵列对应的公钥阵列;非易失性存储器中的私钥阵列数据无法输出到安全生成及存储容器的外部,防止从安全生成及存储容器中非法取出CPK私钥阵列以伪造用户私钥;用户ID或用户ID哈希值从安全生成及存储容器的外部不可访问,防止非法篡改用户ID或用户ID哈希值。
与现有的技术相比,本发明以硬件部件形式制作的安全生成及存储容器能安全存储组合公钥算法CPK的私钥阵列,通过USB接口或PCI总线接口与计算机或服务器连接,使用对基于组合公钥算法CPK的ID证书、基于CPK的认证技术,使CPK的私钥阵列不被非法访问;保护用户ID证书只能合法发放,使系统超级权限无法掌握组合公钥CPK算法的私钥阵列,无法计算用户组合私钥,无法冒充用户签字和冒充用户身份。这样保障了基于组合公钥算法CPK的ID证书颁证系统或认证系统的安全性。
附图说明
附图1为本发明的结构示意图;
附图2为本发明的安全生成及存储容器初始化流程图;
附图3为本发明的用户组合私钥申请流程图。
具体实施方式
本发明的实施例:基于CPK的ID证书私钥阵列的安全生成及存储容器,包括电路板1,在电路板1上设有微处理器2,非易失性存储器3及接口4,非易失性存储器3及接口4均连接到微处理器2上;微处理器2生成组合公钥算法CPK的私钥阵列;在非易失性存储器3中存放椭圆曲线ECC参数、组合公钥算法CPK的私钥阵列、连接串及用户ID或用户ID哈希值;通过微处理器2计算给定椭圆曲线的CPK公私钥阵列、计算用户的组合私钥、安全连接和密码协议的执行,以及安全生成及存储容器1内部和接口的操作。根据需要,将接口4采用USB接口或PCI接口。
所述的安全生成及存储容器的使用方法,将安全生成及存储容器通过接口4连接到采用基于CPK技术的认证中心或ID证书颁证系统的计算机或服务器的相应接口上,计算机或服务器与安全生成及存储容器连接时采用特定的容器连接字符串和计算机或服务器的机器名组合,该连接组合串在容器初始化时被置入非易失性存储器3;安全生成及存储容器通过该连接组合串来进行对容器的访问控制;该安全生成及存储容器初始化时将自动生成CPK的随机私钥阵列,并将这个私钥阵列存放在安全生成及存储容器的非易失性存储器中;计算机或服务器采用带有密码协议的加密的连接请求以保障仅正常用户可进行组合私钥申请、用户组合私钥输出和椭圆曲线参数置入;用户组合私钥申请、用户组合私钥输出每一个ID仅执行一次,安全生成及存储容器的微处理器2通过比较非易失性存储器中的用户ID或用户ID哈希值来判别并屏蔽试图冒充用户签字的私钥请求;非易失性存储器3中的私钥阵列数据无法输出到安全生成及存储容器的外部,防止从安全生成及存储容器中非法取出CPK私钥阵列以伪造用户私钥;用户ID或用户ID哈希值从安全生成及存储容器的外部不可访问,防止非法篡改用户ID或用户ID哈希值。
本实施例中,各个部件在电路板上的连接,以及各个部件之间的连接均为本领域技术人员的公知手段,此处就不再赘述。外次,产品采用USB接口时需要设置适合的外壳体,既便于保护电路板及芯片,也便于使用时的连接。
附图3中,如果容器中的非易失性存储器3中存储的是用户ID表,则先查询是否存在该ID,再计算其哈希值。如果采用增加随机密钥对抵抗共谋攻击,则容器向服务器返回用户的复合私钥及随机公钥。
Claims (3)
1.一种基于CPK的ID证书私钥阵列的安全生成及存储容器,包括电路板(1),其特征在于:在电路板(1)上设有微处理器(2),非易失性存储器(3)及接口(4),非易失性存储器(3)及接口(4)均连接到微处理器(2)上;微处理器(2)生成组合公钥算法CPK的私钥阵列;在非易失性存储器(3)中存放椭圆曲线参数、组合公钥算法CPK的私钥阵列、连接组合串及用户ID或用户ID哈希值,并且私钥阵列数据不会输出到安全生成及存储容器外部。
2.根据权利要求要求1所述的基于CPK的ID证书私钥阵列的安全生成及存储容器,其特征在于:所述的接口(4)为USB接口或PCI接口。
3.一种如权利要求1或2所述的安全生成及存储容器的使用方法,其特征在于:将安全生成及存储容器通过接口(4)连接到采用基于CPK技术的认证中心或ID证书颁证系统的计算机或服务器的相应接口上,计算机或服务器与安全生成及存储容器连接时采用特定的容器连接字符串和计算机或服务器的机器名组合,该连接组合串在容器初始化时被置入非易失性存储器(3);安全生成及存储容器通过该连接组合串来进行对容器的访问控制;该安全生成及存储容器初始化时将自动生成CPK的随机私钥阵列,并将这个私钥阵列存放在安全生成及存储容器的非易失性存储器中;计算机或服务器采用带有密码协议的加密的连接请求以保障仅正常用户可进行组合私钥申请、用户组合私钥输出和椭圆曲线ECC参数置入;用户组合私钥申请、用户组合私钥输出每一个ID仅执行一次,安全生成及存储容器的微处理器(2)通过比较用户ID或用户ID哈希值来判别并屏蔽试图冒充用户签字的私钥请求;该安全生成及存储容器接收公钥输出请求,并输出与这个私钥阵列对应的公钥阵列;非易失性存储器(3)中的私钥阵列数据无法输出到安全生成及存储容器的外部,防止从安全生成及存储容器中非法取出CPK私钥阵列以伪造用户私钥;用户ID或用户ID哈希值从安全生成及存储容器的外部不可访问,防止非法篡改用户ID或用户ID哈希值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710450820.4A CN107204851A (zh) | 2017-06-15 | 2017-06-15 | 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710450820.4A CN107204851A (zh) | 2017-06-15 | 2017-06-15 | 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107204851A true CN107204851A (zh) | 2017-09-26 |
Family
ID=59907392
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710450820.4A Pending CN107204851A (zh) | 2017-06-15 | 2017-06-15 | 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107204851A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112905978A (zh) * | 2021-02-20 | 2021-06-04 | 成都新希望金融信息有限公司 | 权限管理方法和装置 |
| US11632243B1 (en) * | 2020-03-31 | 2023-04-18 | Juniper Networks, Inc. | Multi-key exchange |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007115495A1 (fr) * | 2006-04-10 | 2007-10-18 | Beijing E-Henxen Authentication Technologies Co., Ltd. | Procédé et appareil d'authentification de passerelle sur la base d'une clé publique combinée |
| WO2009143712A1 (zh) * | 2008-05-28 | 2009-12-03 | 北京易恒信认证科技有限公司 | 复合型组合公钥的生成方法 |
| CN102932148A (zh) * | 2012-10-25 | 2013-02-13 | 成都市易恒信科技有限公司 | 基于cpk认证的安全二维码防伪系统与方法 |
| CN104102338A (zh) * | 2013-04-02 | 2014-10-15 | 株式会社东芝 | 编辑装置和编辑方法 |
| CN105790941A (zh) * | 2016-04-22 | 2016-07-20 | 长沙市迪曼森信息科技有限公司 | 一种基于标识的具有域划分的组合密钥生成及认证方法 |
-
2017
- 2017-06-15 CN CN201710450820.4A patent/CN107204851A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007115495A1 (fr) * | 2006-04-10 | 2007-10-18 | Beijing E-Henxen Authentication Technologies Co., Ltd. | Procédé et appareil d'authentification de passerelle sur la base d'une clé publique combinée |
| WO2009143712A1 (zh) * | 2008-05-28 | 2009-12-03 | 北京易恒信认证科技有限公司 | 复合型组合公钥的生成方法 |
| CN102932148A (zh) * | 2012-10-25 | 2013-02-13 | 成都市易恒信科技有限公司 | 基于cpk认证的安全二维码防伪系统与方法 |
| CN104102338A (zh) * | 2013-04-02 | 2014-10-15 | 株式会社东芝 | 编辑装置和编辑方法 |
| CN105790941A (zh) * | 2016-04-22 | 2016-07-20 | 长沙市迪曼森信息科技有限公司 | 一种基于标识的具有域划分的组合密钥生成及认证方法 |
Non-Patent Citations (3)
| Title |
|---|
| 刘巧瑜: "基于CPK的云安全身份认证和访问控制技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 叶延婷 等: "基于云平台访问控制的混合密钥管理研究", 《通信技术》 * |
| 邢海龙: "组合公钥CPK关键技术研究与应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11632243B1 (en) * | 2020-03-31 | 2023-04-18 | Juniper Networks, Inc. | Multi-key exchange |
| CN112905978A (zh) * | 2021-02-20 | 2021-06-04 | 成都新希望金融信息有限公司 | 权限管理方法和装置 |
| CN112905978B (zh) * | 2021-02-20 | 2023-06-06 | 成都新希望金融信息有限公司 | 权限管理方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2965254B1 (en) | Systems and methods for maintaining integrity and secrecy in untrusted computing platforms | |
| US20220253538A1 (en) | Method and system for data security, validation, verification and provenance within independent computer systems and digital networks | |
| JP5703391B2 (ja) | 耐タンパー性ブート処理のためのシステム及び方法 | |
| CN105763521B (zh) | 一种设备验证方法及装置 | |
| CN110677376B (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
| WO2020073513A1 (zh) | 基于区块链的用户认证方法及终端设备 | |
| CN111130757A (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
| CN107919954A (zh) | 一种基于sgx的区块链用户密钥保护方法和装置 | |
| KR20180094118A (ko) | 메모리 동작 암호화 | |
| CN109858265A (zh) | 一种加密方法、装置及相关设备 | |
| CN1889432A (zh) | 基于智能卡的口令远程认证方法、智能卡、服务器和系统 | |
| TW202036347A (zh) | 資料儲存、驗證方法及裝置 | |
| CN105528239B (zh) | 基于可信根服务器的虚拟可信平台模块的密钥管理方法 | |
| US11838405B1 (en) | Blockchain delegation | |
| CN104574176A (zh) | 一种基于usbkey的安全网上报税方法 | |
| CN106452764A (zh) | 一种标识私钥自动更新的方法及密码系统 | |
| US11997201B2 (en) | Systems and methods for generation of the last obfuscated secret using a seed | |
| US20230195912A1 (en) | Secure data content access system and method | |
| CN110837634B (zh) | 基于硬件加密机的电子签章方法 | |
| CN107659402A (zh) | 一种数字加密货币的交易数据签名方法、装置及介质 | |
| TWI476629B (zh) | Data security and security systems and methods | |
| CN106992978B (zh) | 网络安全管理方法及服务器 | |
| CN107204851A (zh) | 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 | |
| US8755521B2 (en) | Security method and system for media playback devices | |
| US20160299854A1 (en) | Techniques for preventing physical attacks on contents of memory |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170926 |
|
| RJ01 | Rejection of invention patent application after publication |