CN107579831B - 一种将同一数字证书复用于多个终端的方法、装置和系统 - Google Patents

Abstract

本发明提供了一种将同一数字证书复用于多个终端的方法、装置和系统，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，该方法包括：至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效。本发明解决了如何安全地将同一数字证书复用于多个终端的技术问题，为用户持有的多部智能终端提供一人一证的安全体验，实现安全、便捷与成本的统一。

Description

一种将同一数字证书复用于多个终端的方法、装置和系统

技术领域

本发明涉及信息安全技术领域，尤其涉及一种将同一数字证书复用于多个终端的方法、装置和系统。

背景技术

基于公钥密码学的数字证书技术已经广泛应用在各类安全认证应用中，数字证书也已经成为互联网上的“身份证”。数字证书是将用户身份(比如证件)与公钥绑定，并经权威认证中心签发的数据文件，可用来确定用户身份，传递信任关系。数字证书的签发机制主要包括三个顺序执行的关键步骤：一是临柜面审，例如用户至银行柜面办理数字证书时，通过面对面的审核机制确保用户身份可靠；二是产生公私钥对，由用户所持有的终端设备产生私钥，亦即产生了与该私钥构成非对称关系的公钥；三是数字证书签发，将绑定了用户身份与公钥的数字证书申请书(CSR)提交至权威认证中心，由权威认证中心完成数字证书的签发。由上可见，数字证书可作为用户在网上进行电子交易的身份证明，是与其严谨的签发机制密不可分的。

随着移动互联网的飞速发展，移动应用全方位地改变着人们的生活习惯，智能终端逐渐替代传统U盾。然而，数字证书签发的复杂性日渐成为制约移动互联网业务发展的枷锁，包括用户体验和数字证书成本两大技术问题。其中，用户体验问题凸显为：现实生活中，人们往往持有多部智能终端，包括智能手机、平板电脑等；且随着智能终端产品的快速更新与推广，“换购新机”已成大众消费习惯。对于已经办理过的数字证书，如何实现一张数字证书在多终端复用，免去二次临柜的繁琐，是改善用户体验亟需解决的首要问题。数字证书成本问题：由于数字证书是针对公钥的绑定技术，亦即间接绑定了私钥，而传统公钥密码体系是基于终端保护私钥的，即一终端对应一私钥，因此，一终端也对应一数字证书，一人多证的使用模式，增加了数字证书成本，也增加了数字证书维护与管理的复杂度。综上所述，兼顾安全、便捷与成本，如何将同一数字证书复用于多个终端，是数字证书技术在移动互联网时代所面临的重要技术问题。

发明内容

为了解决上述技术问题，本发明的提供了一种将同一数字证书复用于多个终端的方法、装置和系统，解决了如何安全地将同一数字证书复用于多个终端的技术问题，为用户持有的多部智能终端提供一人一证的安全体验，实现安全、便捷与成本的统一。

本发明一方面提供了一种将同一数字证书复用于多个终端的方法，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，该方法包括：

至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效。

进一步的，所述至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效，包括：

将源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n进行恒等变换，动态构成的目标密钥链中的签名私钥(d_p2.d_c2.d_s2)mod n≡(d_p1.d_c1 d_s1)mod n＝(1+d)^-1，与源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n等效；

其中，d_p1为源终端基于静态参数计算的非落地存储的源派生密钥，d_c1为源终端存储的源存储密钥，d_s1为服务器存储的源随机数，d_p2为目标终端基于静态参数计算的非落地存储的目标派生密钥，d_c2为目标终端存储的目标存储密钥，d_s2为服务器存储的目标随机数。

进一步的，所述至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链的步骤包括：

服务器端产生目标随机数d_s2，并将目标随机数的逆元d_s2 ^-1与源随机数d_s1的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n发送至源终端；

源终端将所述第一模乘运算结果u₁、源派生密钥d_p1以及源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端；

目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

进一步的，所述派生密钥包括：

将采集到的源终端或目标终端中的静态参数，拼接成字节串，作为非落地存储的源派生密钥或目标派生密钥。

进一步的，源终端将第二模乘运算结果发送至目标终端之前，还包括：

获取用户设置的终端授权码，基于所述终端授权码产生对称加密密钥；使用所述加密密钥对第二模乘运算结果加密生成终端授权密文。

进一步的，源终端将第二模乘运算结果发送至目标终端之后，还包括：

更新源存储密钥d_c1。

进一步的，服务器端产生目标随机数d_s2之前，还包括：

接收源终端发送的基于业务系统返回的添加目标终端请求的报文计算的摘要e和椭圆曲线点Q_c后，基于摘要e和Q_c计算第一部分签名r。

进一步的，服务器端将第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n发送至源终端之后，还包括：

基于d_s1计算第二部分签名s，更新d_s1，基于数字证书签发时所绑定公钥P、计算的r和s通过验签算法验证摘要e，验证通过，则将签名结果(r，s)发送至业务系统验签，验证失败，则销毁服务器端存储的d_s1和d_s2。

进一步的，所述业务系统，验证接收到的服务器端发送的签名结果(r，s)是否满足r,s∈[1,n-1]且r+s≠n；若满足，则对基于源终端发送的添加目标终端请求生成的报文计算摘要e；基于公钥P，r和s通过验签算法验证摘要e，验证通过，则更新受理状态，并将受理结果返回至服务器端，以便服务器端将受理状态返回至源终端。

进一步的，源终端将摘要e与终端授权密文数据拼接成字节串，制作成二维码显示。

进一步的，目标终端扫描源终端上显示的二维码，识读出终端授权密文，显示提示输入终端授权码框，获取输入的终端授权码后恢复对称加密密钥，使用对称加密密钥对终端授权密文解密得到u₂；

采集目标派生密钥d_p2，计算d_c2＝(d_p2 ^-1 u₂)mod n，并将d_c2保存在目标终端；

产生随机数k_c2∈[1,n-1]，计算随机椭圆曲线点Q_c2＝[k_c2]G；

将随机椭圆曲线点Q_c2发送至服务器端。

进一步的，验证Q_c2是否是椭圆曲线上的点，若是则产生随机数k_s2,u_s2∈[1,n-1]；

基于e、Q_c2和k_s2计算第一部分签名r；

基于r和k_s2计算第一中间签名t_s2＝r.(k_s2)^-1mod n；

将t_s2、u_s2返回给目标终端。

进一步的，目标终端基于d_p2、d_c2和t_s2计算第二中间签名t_c2；

更新d_c2；

将t_c2发送给服务器端。

进一步的，基于d_s2、k_s.2、t_c2和r计算s＝(d_s2.k_s2.t_c2-r)mod n，更新d_s2，基于公钥P，r和s通过验签算法验证摘要e，验证通过，则将签名结果(r，s)发送至业务系统验签，验证失败，则销毁服务器端存储的d_s1和d_s2。

进一步的，所述业务系统，验证接收到的服务器端发送的签名结果(r，s)是否满足r,s∈[1,n-1]且r+s≠n；若满足，则对基于源终端发送的添加目标终端请求生成的报文计算摘要e；基于公钥P，r和s通过验签算法验证摘要e，验证通过，则更新受理状态，并将受理结果返回至服务器端，以便服务器端将受理状态返回至目标终端，完成数字证书在目标终端的复用。

本发明另一方面还提供了一种将同一数字证书复用于多个终端的方法，该方法应用于服务器端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，该方法包括：

产生目标随机数d_s2∈[1,n-1]，其中n为椭圆曲线的阶；

将存储的目标随机数的逆元d_s2 ^-1与源随机数d_s1的第一模乘运算结果u₁＝(d_s2 ^-1d_s1)mod n发送至源终端；使得源终端将所述模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

本发明另一方面还提供了一种将同一数字证书复用于多个终端的方法，该方法应用于源终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，该方法包括：

接收服务器发送的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

将所述模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

本发明另一方面还提供了一种将同一数字证书复用于多个终端的方法，该方法应用于目标终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，该方法包括：

接收源终端发送的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n；其中，d_p1为源派生密钥，d_c1为源终端存储的源存储密钥，u₁为源终端接收服务器端发送的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

本发明另一方面还提供了一种将同一数字证书复用于多个终端的系统，应用于服务器端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，包括：

产生模块，用于产生目标随机数d_s2∈[1,n-1]，其中n为椭圆曲线的阶；

第一发送模块，用于将存储的目标随机数的逆元d_s2 ^-1与源随机数d_s1的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n发送至源终端；使得源终端将所述模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

本发明另一方面还提供了一种将同一数字证书复用于多个终端的系统，应用于源终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，包括：

第一接收模块，用于接收服务器发送的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

第二发送模块，用于将所述模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

本发明另一方面还提供了一种将同一数字证书复用于多个终端的系统，应用于目标终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，包括：

第二接收模块，用于接收源终端发送的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n；其中，d_p1为源派生密钥，d_c1为源终端存储的源存储密钥，u₁为源终端接收服务器端发送的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

动态构成模块，用于将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)modn＝(1+d)^-1与源密钥链等效。

本发明另一方面还提供了一种将同一数字证书复用于多个终端的装置，包括前述之一所述的系统。

本发明提供的一种将同一数字证书复用于多个终端的方法、装置和系统，应用数字签名技术，通过用户自主证明身份的机制，克服了用户二次临柜的不便，极大的提升了客户体验；技术方案主要采用恒等变换算法，通过用户自主的终端授权机制，满足了移动互联网时代下多终端复用数字证书的客户需求；本发明彻底解决了传统技术条件下只能支持一终端一证书的安全问题，为持有多部智能终端的用户提供一人一证的安全体验，避免了成倍的证书成本投入。

附图说明

图1为根据本发明的一种将同一数字证书复用于多个终端的方法的实施例一的流程图；

图2为根据本发明的一种将同一数字证书复用于多个终端的系统的实施例五的结构框图。

图3为根据本发明的一种将同一数字证书复用于多个终端的系统的实施例六的结构框图。

图4为根据本发明的一种将同一数字证书复用于多个终端的系统的实施例七的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明以下所有的实施例中，使用SM2椭圆曲线公钥密码算法对数字签名进行签名和验签，签名及验签的基本流程如下：

1.签名算法

1)计算待签名消息的摘要信息e；

2)用随机数发生器产生随机数k∈[1,n-1]；

3)计算椭圆曲线点Q＝[k]G＝(x₁,y₁)；

4)计算r＝(e+x₁)mod n，若r＝0或r+k＝n，重新产生随机数；

5)计算s＝((1+d)^-1(k-rd))mod n，若s＝0，重新产生随机数，其中d为数字证书私钥；

6)将(r,s)作为数字签名输出。

由以上数字签名生成算法标准可见，算法执行过程中，只有5)中s的计算使用了用户数字证书私钥，为了降低复杂度，可对s计算式进行如下等价变换：

s＝(1+d)^-1(k-rd)＝(1+d)^-1(k-(1+d)r+r)＝((1+d)^-1(k+r)-r)mod n；

由以上等价变换后的计算式可见，计算签名s只需用到签名私钥(1+d)^-1。

2.验签算法

1)计算待签名消息的摘要信息e；

2)检查接收到的数字签名(r,s)是否满足r,s∈[1,n-1]且r+s≠n；然后计算(x₁,y₁)＝[s]G+[r+s]P，其中为P用户数字证书公钥；

3)计算r’＝(e+x₁)mod n；判断r’与r是否相等，若两者相等则签名验证通过，否则验证失败。

实施例一

本发明实施例一提供了一种将同一数字证书复用于多个终端的方法。其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，目标终端为将源终端中的证书进行复用的终端，该方法包括：

至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效。

进一步的，所述至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效，包括：

将源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n进行恒等变换，动态构成的目标密钥链中的签名私钥(d_p2.d_c2.d_s2)mod n≡(d_p1d_c1 d_s1)mod n＝(1+d)^-1，与源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n等效；

其中，d_p1为源终端基于静态参数计算的非落地存储的源派生密钥，d_c1为源终端存储的源存储密钥，d_s1为服务器存储的源随机数，d_p2为目标终端基于静态参数计算的非落地存储的目标派生密钥，d_c2为目标终端存储的目标存储密钥，d_s2为服务器存储的目标随机数。

进一步的，参照图1，所述至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，包括：步骤S110至步骤S130：

在步骤S110中，服务器端产生目标随机数d_s2∈[1,n-1]，并将目标随机数的逆元d_s2 ^-1与源随机数d_s1的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n发送至源终端；

在步骤S120中，源终端将所述第一模乘运算结果u₁、源派生密钥d_p1以及源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端；

在步骤S130中，目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

正确性分析：

d_p2.d_c2.d_s2≡d_p2(d_p2 ^-1.u₂)d_s2≡u₂.d_s2≡(d_p1.d_c1.u₁)d_s2≡(d_p1.d_c1.d_s2 ^-1.d_s1)d_s2≡(d_p1.d_c1.d_s1)mod n；

可见，算法执行完成后，目标终端与服务器端重新构成的目标密钥链与源终端与服务器端的源密钥链等效；以此类推，可产生多条等效的目标密钥链；由于目标密钥链都是关于签名私钥的等量代换，每条目标密钥链均对应数字证书签发时所绑定的公钥，因此可满足多个目标终端证书复用的应用场景。

进一步的，所述派生密钥包括：

将采集到的源终端或目标终端中的静态参数，拼接成字节串，作为非落地存储的源派生密钥或目标派生密钥。其中，静态参数为：设备硬件属性、应用实例属性等。

进一步的，源终端将第二模乘运算结果发送至目标终端之前，还包括：

获取用户设置的终端授权码，基于所述终端授权码产生对称加密密钥；使用所述加密密钥对第二模乘运算结果加密生成终端授权密文。

进一步的，源终端将第二模乘运算结果发送至目标终端之后，还包括：

更新源存储密钥d_c1。

进一步的，服务器端产生目标随机数d_s2之前，还包括：

接收源终端发送的基于业务系统返回的添加目标终端请求的报文计算的摘要e和椭圆曲线点Q_c后，基于摘要e和Q_c计算第一部分签名r。

进一步的，服务器端将第一模乘运算结果u₁＝(d_s2 ^-1d_s1)mod n发送至源终端之后，还包括：

基于d_s1计算第二部分签名s，更新d_s1，基于数字证书签发时所绑定公钥P、计算的r和s通过验签算法验证摘要e，验证通过，则将签名结果(r，s)发送至业务系统验签，验证失败，则销毁服务器端存储的d_s1和d_s2。

进一步的，所述业务系统，验证接收到的服务器端发送的签名结果(r，s)是否满足r,s∈[1,n-1]且r+s≠n；若满足，则对基于源终端发送的添加目标终端请求生成的报文计算摘要e；基于公钥P，r和s通过验签算法验证摘要e，验证通过，则更新受理状态，并将受理结果返回至服务器端，以便服务器端将受理状态返回至源终端。

进一步的，源终端将摘要e与终端授权密文数据拼接成字节串，制作成二维码显示。

进一步的，目标终端扫描源终端上显示的二维码，识读出终端授权密文，显示提示输入终端授权码框，获取输入的终端授权码后恢复对称加密密钥，使用对称加密密钥对终端授权密文解密得到u₂；

采集目标派生密钥d_p2，计算d_c2＝(d_p2 ^-1.u₂)mod n，并将d_c2保存在目标终端；

产生随机数k_c2∈[1,n-1]，计算随机椭圆曲线点Q_c2＝[k_c2]G；

将随机椭圆曲线点Q_c2发送至服务器端。

进一步的，验证Q_c2是否是椭圆曲线上的点，若是则产生随机数k_s2,u_s2∈[1,n-1]；

基于e、Q_c2和k_s2计算第一部分签名r；

基于r和k_s2计算第一中间签名t_s2＝r(k_s2)^-1mod n；

将t_s2、u_s2返回给目标终端。

进一步的，目标终端基于d_p2、d_c2和t_s2计算第二中间签名t_c2；

更新d_c2；

将t_c2发送给服务器端。

进一步的，基于d_s2、k_s.2、t_c2和r计算s＝(d_s2k_s2t_c2-r)mod n，更新d_s2，基于公钥P，r和s通过验签算法验证摘要e，验证通过，则将签名结果(r，s)发送至业务系统验签，验证失败，则销毁服务器端存储的d_s1和d_s2。

进一步的，所述业务系统，验证接收到的服务器端发送的签名结果(r，s)是否满足r,s∈[1,n-1]且r+s≠n；若满足，则对基于源终端发送的添加目标终端请求生成的报文计算摘要e；基于公钥P，r和s通过验签算法验证摘要e，验证通过，则更新受理状态，并将受理结果返回至服务器端，以便服务器端将受理状态返回至目标终端，完成数字证书在目标终端的复用。

一优选实施例，以手机银行应用为例，本优选实例包括用户在两个手机使用手机银行APP的业务场景。【第一终端】为参与完成数字证书签发的源终端，签名私钥(1+d)^-1＝(d_p1d_c1 d_s1)mod n，d_p1为第一终端由其设备硬件属性、应用实例属性等静态参数所派生的源派生密钥(非保存)，d_c1为第一终端保存的源存储密钥，d_s1为签名服务器保存的源随机数；【第二终端】为将要实现证书复用的目标终端，d_p2为第二终端由其设备硬件属性、应用实例属性等静态参数所派生的目标派生密钥(非保存)，d_c1为第二终端保存的目标存储密钥，d_s1为签名服务器保存的目标随机数。用户开通第二终端的具体流程如下：

1)用户通过第一终端向业务系统发送添加终端的业务申请；

2)业务系统受理业务申请，返回含有挑战数的数据报文；

3)第一终端对业务系统返回的数据报文计算摘要e；

4)产生随机数k_c∈[1,n-1]，计算随机椭圆曲线点Q_c＝[k_c]G；

5)将摘要e和随机椭圆曲线点Q_c发送给签名服务器；

6)签名服务器验证Q_c是否是椭圆曲线上的点，若是则产生随机数k_s,u_s∈[1,n-1]，计算椭圆曲线点Q＝(x₁,y₁)＝[k_s]Q_c；计算r＝(e+x₁)mod n，若r＝0或[r]G+K＝O(无穷远点)，重新执行本步骤；

7)计算t_s＝r(k_s)^-1mod n；

8)产生随机数d_s2∈[1,n-1]；

9)计算u₁＝(d_s2 ^-1 d_s1)mod n；

10)将t_s、u_s、u₁返回给第一终端。

11)第一终端采集EMEI等硬件标识及应用初次启用时间等静态参数，拼装成字节串，以此作为输入参数执行KDF密钥派生算法计算d_p1，并读取终端本地保存的d_c1参数；

12)计算t_c＝d_p1.d_c1.(k_c+t_s)；

13)提示用户设置【终端授权码】，以此作为输入参数执行KDF密钥派生算法产生对称加密密钥k_e；

14)计算u₂＝(d_p1 d_c1 u₁)mod n，并使用k_e对u₂加密生成【终端授权密文】；

15)更新d_c1＝(d_c1.u_s)mod n，并于本地覆盖保存；

16)将t_c发送给签名服务器；

17)签名服务器计算s＝(d_s1.k_s.t_c-r)mod n，更新d_s1＝(d_s1.u_s ^-1)mod n；若s＝0或r+s＝n则返回第一终端从第4步重新执行的指令；

18)计算(x₁,y₁)＝[s]G+[r+s]P，其中为P用户数字证书公钥；

19)计算r’＝(e+x₁)mod n，判断r’与r是否相等；若两者不相等则销毁服务器端密钥d_s1、d_s2，否则将数字签名(r,s)发送给业务系统验证；

20)对第2步产生的数据报文计算摘要e；

21)检查接收到的数字签名(r,s)是否满足r,s∈[1,n-1]且r+s≠n；然后计算(x₁,y₁)＝[s]G+[r+s]P，其中为P用户数字证书公钥；

22)计算r’＝(e+x₁)mod n；判断r’与r是否相等，若两者相等则签名验证通过，更新受理状态，并返回受理结果给签名服务器；

23)签名服务器将业务系统的受理状态返回给第一终端；

24)第一终端将摘要e及【终端授权密文】等数据拼接成字节串，制作成二维码并显示；

25)用户使用第二终端扫描第一终端上所显示的二维码，识读出【终端授权密文】；

26)提示用户输入【终端授权码】,以此作为输入参数执行KDF密钥派生算法恢复对称加密密钥k_e；

27)使用k_e对【终端授权密文】解密得到u₂；

28)采集EMEI等硬件标识及应用初次启用时间等静态参数，拼装成字节串，以此作为输入参数执行KDF密钥派生算法计算d_p2；

29)计算d_c2＝(d_p2 ^-1 u₂)mod n，并将d_c2保存在本地；

30)产生随机数k_c2∈[1,n-1]，计算随机椭圆曲线点Q_c2＝[k_c2]G；

31)将随机椭圆曲线点Q_c2发送给签名服务器；

32)签名服务器验证Q_c2是否是椭圆曲线上的点，若是则产生随机数k_s2,u_s2∈[1,n-1]，计算椭圆曲线点Q＝(x₁,y₁)＝[k_s2]Q_c2；计算r＝(e+x₁)mod n，若r＝0或[r]G+K＝O(无穷远点)，重新执行本步骤；

33)计算t_s2＝r.(k_s2)^-1mod n；

34)将t_s2、u_s2返回给第二终端；

35)第二终端计算t_c2＝d_p2.d_c2.(k_c2+t_s2)；

36)更新d_c2＝(d_c2.u_s2)mod n，并于本地覆盖保存；

37)将t_c2发送给签名服务器；

38)签名服务器计算s＝(d_s2.k_s.2t_c2-r)mod n，更新d_s2＝(d_s2.u_s2 ^-1)mod n；若s＝0或r+s＝n则返回第二终端从第31步重新执行的指令；

39)计算(x₁,y₁)＝[s]G+[r+s]P，其中为P用户数字证书公钥；

40)计算r’＝(e+x₁)mod n，判断r’与r是否相等；若两者不相等则销毁服务器端密钥d_s1、d_s2，否则将数字签名(r,s)发送给业务系统验证；

41)业务系统对第2步产生的数据报文计算摘要e；

42)检查接收到的数字签名(r,s)是否满足r,s∈[1,n-1]且r+s≠n；然后计算(x₁,y₁)＝[s]G+[r+s]P，其中为P用户数字证书公钥；

43)计算r’＝(e+x₁)mod n；判断r’与r是否相等，若两者相等则签名验证通过，完成受理，并返回受理结果给签名服务器；

44)签名服务器将业务系统的受理结果返回给第二终端，完成在目标终端的证书复用。

本发明实施例一通过数字证书签发时的源终端与服务器所构成的源密钥链，经过恒等变换算法，产生目标终端与服务器所构成的目标密钥链，从而解决了多终端证书复用的安全问题。同时应用数字签名验证机制，由用户使用源终端自主证明身份，自主控制对目标终端的授权，从而既免去二次临柜的繁琐，又满足了安全性要求；采用了动态密钥更新的技术，使得终端与服务器所构成的密钥链动态可变，从而不但增加了密钥破解的难度，而且可以有效抵御重放等攻击。

本发明实施例一与现有技术相比，具有以下优点：

1)本发明实施例一应用数字签名技术，通过用户自主证明身份的机制，克服了用户二次临柜的不便，极大的提升了客户体验；

2)本发明实施例一采用恒等变换算法，通过用户自主的终端授权机制，满足了移动互联网时代下多终端复用数字证书的客户需求；

3)本发明实施例一彻底解决了传统技术条件下只能支持一终端一证书的安全问题，为持有多部智能终端的用户提供一人一证的安全体验，避免了成倍的证书成本投入。

实施例二

本发明实施例二提供的一种将同一数字证书复用于多个终端的方法，该方法应用于服务器端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，该方法包括：

产生目标随机数d_s2∈[1,n-1]，其中n为椭圆曲线的阶；

将存储的目标随机数的逆元d_s2 ^-1与源随机数d_s1的第一模乘运算结果u₁＝(d_s2 ^{- 1}d_s1)mod n发送至源终端；使得源终端将所述模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1d_c1u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^{- 1}u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

本发明实施例二中的具体流程及功能效果参考实施例一中的表述，说明书篇幅的限制，在此不再复述。具体的动作和算法以及实施例参考实施例一的描述。但是本领域技术人员应该知悉，本申请并不受所描述的算法以及动作顺序限制，依据本发明，根据公开的技术特征、凡是具有所公开的功能，达到所描述的技术效果的方案都在本发明的保护范围之内。说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

本发明实施例二与现有技术相比，具有以下优点：

1)本发明实施例二应用数字签名技术，通过用户自主证明身份的机制，克服了用户二次临柜的不便，极大的提升了客户体验；

2)本发明实施例二采用恒等变换算法，通过用户自主的终端授权机制，满足了移动互联网时代下多终端复用数字证书的客户需求；

3)本发明实施例二彻底解决了传统技术条件下只能支持一终端一证书的安全问题，为持有多部智能终端的用户提供一人一证的安全体验，避免了成倍的证书成本投入。

实施例三

本发明实施例三提供的一种将同一数字证书复用于多个终端的方法，该方法应用于源终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，该方法包括：

接收服务器发送的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

将所述模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

本发明实施例三中的具体流程及功能效果参考实施例一中的表述，说明书篇幅的限制，在此不再复述。具体的动作和算法以及实施例参考实施例一的描述。但是本领域技术人员应该知悉，本申请并不受所描述的算法以及动作顺序限制，依据本发明，根据公开的技术特征、凡是具有所公开的功能，达到所描述的技术效果的方案都在本发明的保护范围之内。说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

本发明实施例三与现有技术相比，具有以下优点：

1)本发明实施例三应用数字签名技术，通过用户自主证明身份的机制，克服了用户二次临柜的不便，极大的提升了客户体验；

2)本发明实施例三采用恒等变换算法，通过用户自主的终端授权机制，满足了移动互联网时代下多终端复用数字证书的客户需求；

3)本发明实施例三彻底解决了传统技术条件下只能支持一终端一证书的安全问题，为持有多部智能终端的用户提供一人一证的安全体验，避免了成倍的证书成本投入。

实施例四

本发明实施例四提供的一种将同一数字证书复用于多个终端的方法，该方法应用于目标终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，该方法包括：

接收源终端发送的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n；其中，d_p1为源派生密钥，d_c1为源终端存储的源存储密钥，u₁为源终端接收服务器端发送的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

本发明实施例四中的具体流程及功能效果参考实施例一中的表述，说明书篇幅的限制，在此不再复述。具体的动作和算法以及实施例参考实施例一的描述。但是本领域技术人员应该知悉，本申请并不受所描述的算法以及动作顺序限制，依据本发明，根据公开的技术特征、凡是具有所公开的功能，达到所描述的技术效果的方案都在本发明的保护范围之内。说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

本发明实施例四与现有技术相比，具有以下优点：

1)本发明实施例四应用数字签名技术，通过用户自主证明身份的机制，克服了用户二次临柜的不便，极大的提升了客户体验；

2)本发明实施例四采用恒等变换算法，通过用户自主的终端授权机制，满足了移动互联网时代下多终端复用数字证书的客户需求；

3)本发明实施例四彻底解决了传统技术条件下只能支持一终端一证书的安全问题，为持有多部智能终端的用户提供一人一证的安全体验，避免了成倍的证书成本投入。

实施例五

参照图2，图2示出了本发明提供的一种将同一数字证书复用于多个终端的系统200，应用于服务器端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，包括：

产生模块21，用于产生目标随机数d_s2∈[1,n-1]，其中n为椭圆曲线的阶；

第一发送模块22，用于将存储的目标随机数的逆元d_s2 ^-1与源随机数d_s1的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n发送至源终端；使得源终端将所述模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

具体实现的功能和处理方式参见方法实施例一描述的具体步骤。

由于本实施例五的系统所实现的处理及功能基本相应于前述图1所示的方法的实施例、原理和实例，故本实施例的描述中未详尽之处，可以参见前述实施例中的相关说明，在此不做赘述。

实施例六

参照图3，图3示出了本发明提供的一种将同一数字证书复用于多个终端的系统300，应用于源终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，包括：

第一接收模块31，用于接收服务器发送的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)modn，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

第二发送模块32，用于将所述模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

具体实现的功能和处理方式参见方法实施例一描述的具体步骤。

由于本实施例六的系统所实现的处理及功能基本相应于前述图1所示的方法的实施例、原理和实例，故本实施例的描述中未详尽之处，可以参见前述实施例中的相关说明，在此不做赘述。

实施例七

参照图4，图4示出了本发明提供的一种将同一数字证书复用于多个终端的系统400，应用于目标终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，包括：

第二接收模块41，用于接收源终端发送的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)modn；其中，d_p1为源派生密钥，d_c1为源终端存储的源存储密钥，u₁为源终端接收服务器端发送的第一模乘运算结果u₁＝(d_s2 ^-1 d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

动态构成模块42，用于将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效。

具体实现的功能和处理方式参见方法实施例一描述的具体步骤。

由于本实施例七的系统所实现的处理及功能基本相应于前述图1所示的方法的实施例、原理和实例，故本实施例的描述中未详尽之处，可以参见前述实施例中的相关说明，在此不做赘述。

实施例八

本发明提供的一种将同一数字证书复用于多个终端的装置，包括前述之一所述的系统200,300,400。

本发明实施例八提供的一种将同一数字证书复用于多个终端的装置，应用数字签名技术，通过用户自主证明身份的机制，克服了用户二次临柜的不便，极大的提升了客户体验；技术方案主要采用恒等变换算法，通过用户自主的终端授权机制，满足了移动互联网时代下多终端复用数字证书的客户需求；本发明彻底解决了传统技术条件下只能支持一终端一证书的安全问题，为持有多部智能终端的用户提供一人一证的安全体验，避免了成倍的证书成本投入。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

需要指出，根据实施的需要，可将本申请中描述的各个步骤/部件拆分为更多步骤/部件，也可将两个或多个步骤/部件或者步骤/部件的部分操作组合成新的步骤/部件，以实现本发明的目的。

上述根据本发明的方法可在硬件、固件中实现，或者被实现为可存储在记录介质(诸如CD ROM、RAM、软盘、硬盘或磁光盘)中的软件或计算机代码，或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件(诸如ASIC或FPGA)的记录介质上的这样的软件处理。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如，RAM、ROM、闪存等)，当所述软件或计算机代码被计算机、处理器或硬件访问且执行时，实现在此描述的处理方法。此外，当通用计算机访问用于实现在此示出的处理的代码时，代码的执行将通用计算机转换为用于执行在此示出的处理的专用计算机。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (20)

1.一种将同一数字证书复用于多个终端的方法，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，其特征在于，该方法包括：

至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效；

使用SM2椭圆曲线公钥密码算法对数字签名进行签名，签名的流程如下：

1)计算待签名消息的摘要信息e；

2)用随机数发生器产生随机数k∈[1,n-1]，其中n为椭圆曲线的阶；

3)计算椭圆曲线点Q＝[k]G＝(x₁,y₁)；

4)计算r＝(e+x₁)mod n，若r＝0或r+k＝n，重新产生随机数；

5)计算s＝((1+d)^-1(k-rd))mod n，若s＝0，重新产生随机数，其中d为数字证书私钥；

6)将(r,s)作为数字签名输出；

由以上数字签名生成算法标准可见，算法执行过程中，只有5)中s的计算使用了数字证书私钥，为了降低复杂度，可对s计算式进行如下等价变换：

s＝(1+d)^-1(k-rd)mod n＝(1+d)^-1(k-(1+d)r+r)mod n＝((1+d)^-1(k+r)-r)mod n；

由以上等价变换后的计算式可见，算法执行完成后，目标终端与服务器端重新构成的目标密钥链与源终端与服务器端的源密钥链等效；通过s计算式，可产生多条等效的目标密钥链；由于目标密钥链都是关于签名私钥的等量代换，每条目标密钥链均对应数字证书签发时所绑定的公钥，因此可满足多个目标终端证书复用的应用场景；

所述至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链的步骤包括：服务器端产生目标随机数d_s2，并将目标随机数的逆元d_s2 ^-1与源随机数d_s1的第一模乘运算结果u₁＝(d_s2 ^-1.d_s1)mod n发送至源终端；源终端将所述第一模乘运算结果u₁、源派生密钥d_p1以及源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1.d_c1.u₁)mod n发送至目标终端；目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1.u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效；

所述至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效，包括：将源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n进行恒等变换，动态构成的目标密钥链中的签名私钥(d_p2.d_c2.d_s2)mod n≡(d_p1.d_c1.d_s1)mod n＝(1+d)^-1，与源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n等效；其中，d_p1为源终端基于静态参数计算的非落地存储的源派生密钥，d_c1为源终端存储的源存储密钥，d_s1为服务器存储的源随机数，d_p2为目标终端基于静态参数计算的非落地存储的目标派生密钥，d_c2为目标终端存储的目标存储密钥，d_s2为服务器存储的目标随机数。

2.如权利要求1所述的方法，其特征在于，所述派生密钥包括：

将采集到的源终端或目标终端中的静态参数，拼接成字节串，作为非落地存储的源派生密钥或目标派生密钥。

3.如权利要求1所述的方法，其特征在于，源终端将第二模乘运算结果发送至目标终端之前，还包括：

获取用户设置的终端授权码，基于所述终端授权码产生对称加密密钥；使用所述加密密钥对第二模乘运算结果加密生成终端授权密文。

4.如权利要求1所述的方法，其特征在于，源终端将第二模乘运算结果发送至目标终端之后，还包括：

更新源存储密钥d_c1。

5.如权利要求1所述的方法，其特征在于，服务器端产生目标随机数d_s2之前，还包括：

接收源终端发送的基于业务系统返回的添加目标终端请求的报文计算的摘要e和椭圆曲线点Q_c后，基于摘要e和Q_c计算第一部分签名r。

6.如权利要求5所述的方法，其特征在于，服务器端将第一模乘运算结果u₁＝(d_s2 ^-1.d_s1)mod n发送至源终端之后，还包括：

基于d_s1计算第二部分签名s，更新d_s1，基于数字证书签发时所绑定公钥P、计算的r和s通过验签算法验证摘要e，验证通过，则将签名结果(r，s)发送至业务系统验签，验证失败，则销毁服务器端存储的d_s1和d_s2。

7.如权利要求6所述的方法，其特征在于，所述业务系统，验证接收到的服务器端发送的签名结果(r，s)是否满足r,s∈[1,n-1]且r+s≠n；若满足，则对基于源终端发送的添加目标终端请求生成的报文计算摘要e；基于公钥P，r和s通过验签算法验证摘要e，验证通过，则更新受理状态，并将受理状态返回至服务器端，以便服务器端将受理状态返回至源终端。

8.如权利要求7所述的方法，其特征在于，源终端将摘要e与终端授权密文数据拼接成字节串，制作成二维码显示。

9.如权利要求8所述的方法，其特征在于，目标终端扫描源终端上显示的二维码，识读出终端授权密文，显示提示输入终端授权码框，获取输入的终端授权码后恢复对称加密密钥，使用对称加密密钥对终端授权密文解密得到u₂；

采集目标派生密钥d_p2，计算d_c2＝(d_p2 ^-1 u₂)mod n，并将d_c2保存在目标终端；

产生随机数k_c2∈[1,n-1]，计算随机椭圆曲线点Q_c2＝[k_c2]G；

将随机椭圆曲线点Q_c2发送至服务器端。

10.如权利要求9所述的方法，其特征在于，验证Q_c2是否是椭圆曲线上的点，若是则产生随机数k_s2,u_s2∈[1,n-1]；

基于e、Q_c2和k_s2计算第一部分签名r；

基于r和k_s2计算第一中间签名t_s2＝r.(k_s2)^-1mod n；

将t_s2、u_s2返回给目标终端。

11.如权利要求10所述的方法，其特征在于，目标终端基于d_p2、d_c2和t_s2计算第二中间签名t_c2；

更新d_c2；

将t_c2发送给服务器端。

12.如权利要求11所述的方法，其特征在于，基于d_s2、k_s2、t_c2和r计算s＝(d_s2.k_s2.t_c2-r)mod n，更新d_s2，基于公钥P，r和s通过验签算法验证摘要e，验证通过，则将签名结果(r，s)发送至业务系统验签，验证失败，则销毁服务器端存储的d_s1和d_s2。

13.如权利要求12所述的方法，其特征在于，所述业务系统，验证接收到的服务器端发送的签名结果(r，s)是否满足r,s∈[1,n-1]且r+s≠n；若满足，则对基于源终端发送的添加目标终端请求生成的报文计算摘要e；基于公钥P，r和s通过验签算法验证摘要e，验证通过，则更新受理状态，并将受理状态返回至服务器端，以便服务器端将受理状态返回至目标终端，完成数字证书在目标终端的复用。

14.一种将同一数字证书复用于多个终端的方法，该方法应用于服务器端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，其特征在于，该方法包括：

产生目标随机数d_s2∈[1,n-1]，其中n为椭圆曲线的阶；

将存储的目标随机数的逆元d_s2 ^-1与源随机数d_s1的第一模乘运算结果u₁＝(d_s2 ^-1d_s1)modn发送至源终端；使得源终端将所述第一模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效；

使用SM2椭圆曲线公钥密码算法对数字签名进行签名，签名的流程如下：

1)计算待签名消息的摘要信息e；

2)用随机数发生器产生随机数k∈[1,n-1]；

3)计算椭圆曲线点Q＝[k]G＝(x₁,y₁)；

4)计算r＝(e+x₁)mod n，若r＝0或r+k＝n，重新产生随机数；

5)计算s＝((1+d)^-1(k-rd))mod n，若s＝0，重新产生随机数，其中d为数字证书私钥；

6)将(r,s)作为数字签名输出；

由以上数字签名生成算法标准可见，算法执行过程中，只有5)中s的计算使用了数字证书私钥，为了降低复杂度，可对s计算式进行如下等价变换：

s＝(1+d)^-1(k-rd)mod n＝(1+d)^-1(k-(1+d)r+r)mod n＝((1+d)^-1(k+r)-r)mod n；

由以上等价变换后的计算式可见，目标终端与服务器端重新构成的目标密钥链与源终端与服务器端的源密钥链等效；通过s计算式，可产生多条等效的目标密钥链；由于目标密钥链都是关于签名私钥的等量代换，每条目标密钥链均对应数字证书签发时所绑定的公钥，因此可满足多个目标终端证书复用的应用场景；

至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效，包括：将源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n进行恒等变换，动态构成的目标密钥链中的签名私钥(d_p2.d_c2.d_s2)mod n≡(d_p1.d_c1.d_s1)mod n＝(1+d)^-1，与源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n等效；其中，d_p1为源终端基于静态参数计算的非落地存储的源派生密钥，d_c1为源终端存储的源存储密钥，d_s1为服务器存储的源随机数，d_p2为目标终端基于静态参数计算的非落地存储的目标派生密钥，d_c2为目标终端存储的目标存储密钥，d_s2为服务器存储的目标随机数。

15.一种将同一数字证书复用于多个终端的方法，该方法应用于源终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，其特征在于，该方法包括：

接收服务器发送的第一模乘运算结果u₁＝(d_s2 ^-1d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

将所述第一模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效；

使用SM2椭圆曲线公钥密码算法对数字签名进行签名，签名的流程如下：

1)计算待签名消息的摘要信息e；

2)用随机数发生器产生随机数k∈[1,n-1]，其中n为椭圆曲线的阶；

3)计算椭圆曲线点Q＝[k]G＝(x₁,y₁)；

4)计算r＝(e+x₁)mod n，若r＝0或r+k＝n，重新产生随机数；

5)计算s＝((1+d)^-1(k-rd))mod n，若s＝0，重新产生随机数，其中d为数字证书私钥；

6)将(r,s)作为数字签名输出；

由以上数字签名生成算法标准可见，算法执行过程中，只有5)中s的计算使用了数字证书私钥，为了降低复杂度，可对s计算式进行如下等价变换：

s＝(1+d)^-1(k-rd)mod n＝(1+d)^-1(k-(1+d)r+r)mod n＝((1+d)^-1(k+r)-r)mod n；

由以上等价变换后的计算式可见，目标终端与服务器端重新构成的目标密钥链与源终端与服务器端的源密钥链等效；通过s计算式，可产生多条等效的目标密钥链；由于目标密钥链都是关于签名私钥的等量代换，每条目标密钥链均对应数字证书签发时所绑定的公钥，因此可满足多个目标终端证书复用的应用场景；

至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效，包括：将源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n进行恒等变换，动态构成的目标密钥链中的签名私钥(d_p2.d_c2.d_s2)mod n≡(d_p1.d_c1.d_s1)mod n＝(1+d)^-1，与源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n等效；其中，d_p1为源终端基于静态参数计算的非落地存储的源派生密钥，d_c1为源终端存储的源存储密钥，d_s1为服务器存储的源随机数，d_p2为目标终端基于静态参数计算的非落地存储的目标派生密钥，d_c2为目标终端存储的目标存储密钥，d_s2为服务器存储的目标随机数。

16.一种将同一数字证书复用于多个终端的方法，该方法应用于目标终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，其特征在于，该方法包括：

接收源终端发送的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n；其中，d_p1为源派生密钥，d_c1为源终端存储的源存储密钥，u₁为源终端接收服务器端发送的第一模乘运算结果u₁＝(d_s2 ^-1d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效；

使用SM2椭圆曲线公钥密码算法对数字签名进行签名，签名的流程如下：

1)计算待签名消息的摘要信息e；

2)用随机数发生器产生随机数k∈[1,n-1]，其中n为椭圆曲线的阶；

3)计算椭圆曲线点Q＝[k]G＝(x₁,y₁)；

4)计算r＝(e+x₁)mod n，若r＝0或r+k＝n，重新产生随机数；

5)计算s＝((1+d)^-1(k-rd))mod n，若s＝0，重新产生随机数，其中d为数字证书私钥；

6)将(r,s)作为数字签名输出；

由以上数字签名生成算法标准可见，算法执行过程中，只有5)中s的计算使用了数字证书私钥，为了降低复杂度，可对s计算式进行如下等价变换：

s＝(1+d)^-1(k-rd)mod n＝(1+d)^-1(k-(1+d)r+r)mod n＝((1+d)^-1(k+r)-r)mod n；

由以上等价变换后的计算式可见，算法执行完成后，目标终端与服务器端重新构成的目标密钥链与源终端与服务器端的源密钥链等效；通过s计算式，可产生多条等效的目标密钥链；由于目标密钥链都是关于签名私钥的等量代换，每条目标密钥链均对应数字证书签发时所绑定的公钥，因此可满足多个目标终端证书复用的应用场景；

至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效，包括：将源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n进行恒等变换，动态构成的目标密钥链中的签名私钥(d_p2.d_c2.d_s2)mod n≡(d_p1.d_c1.d_s1)mod n＝(1+d)^-1，与源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n等效；其中，d_p1为源终端基于静态参数计算的非落地存储的源派生密钥，d_c1为源终端存储的源存储密钥，d_s1为服务器存储的源随机数，d_p2为目标终端基于静态参数计算的非落地存储的目标派生密钥，d_c2为目标终端存储的目标存储密钥，d_s2为服务器存储的目标随机数。

17.一种将同一数字证书复用于多个终端的系统，应用于服务器端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，其特征在于，包括：

产生模块，用于产生目标随机数d_s2∈[1,n-1]，其中n为椭圆曲线的阶；

第一发送模块，用于将存储的目标随机数的逆元d_s2 ^-1与源随机数d_s1的第一模乘运算结果u₁＝(d_s2 ^-1d_s1)mod n发送至源终端；使得源终端将所述第一模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效；

使用SM2椭圆曲线公钥密码算法对数字签名进行签名，签名的流程如下：

1)计算待签名消息的摘要信息e；

2)用随机数发生器产生随机数k∈[1,n-1]；

3)计算椭圆曲线点Q＝[k]G＝(x₁,y₁)；

4)计算r＝(e+x₁)mod n，若r＝0或r+k＝n，重新产生随机数；

5)计算s＝((1+d)^-1(k-rd))mod n，若s＝0，重新产生随机数，其中d为数字证书私钥；

6)将(r,s)作为数字签名输出；

由以上数字签名生成算法标准可见，算法执行过程中，只有5)中s的计算使用了数字证书私钥，为了降低复杂度，可对s计算式进行如下等价变换：

s＝(1+d)^-1(k-rd)mod n＝(1+d)^-1(k-(1+d)r+r)mod n＝((1+d)^-1(k+r)-r)mod n；

由以上等价变换后的计算式可见，算法执行完成后，目标终端与服务器端重新构成的目标密钥链与源终端与服务器端的源密钥链等效；通过s计算式，可产生多条等效的目标密钥链；由于目标密钥链都是关于签名私钥的等量代换，每条目标密钥链均对应数字证书签发时所绑定的公钥，因此可满足多个目标终端证书复用的应用场景；

至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效，包括：将源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n进行恒等变换，动态构成的目标密钥链中的签名私钥(d_p2.d_c2.d_s2)mod n≡(d_p1.d_c1.d_s1)mod n＝(1+d)^-1，与源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n等效；其中，d_p1为源终端基于静态参数计算的非落地存储的源派生密钥，d_c1为源终端存储的源存储密钥，d_s1为服务器存储的源随机数，d_p2为目标终端基于静态参数计算的非落地存储的目标派生密钥，d_c2为目标终端存储的目标存储密钥，d_s2为服务器存储的目标随机数。

18.一种将同一数字证书复用于多个终端的系统，应用于源终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，其特征在于，包括：

第一接收模块，用于接收服务器发送的第一模乘运算结果u₁＝(d_s2 ^-1d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

第二发送模块，用于将所述第一模乘运算结果u₁、源派生密钥d_p1以及存储的源存储密钥d_c1的第二模乘运算结果u₂＝(d_p1 d_c1 u₁)mod n发送至目标终端，以便目标终端将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效；

使用SM2椭圆曲线公钥密码算法对数字签名进行签名，签名的流程如下：

1)计算待签名消息的摘要信息e；

2)用随机数发生器产生随机数k∈[1,n-1]，其中n为椭圆曲线的阶；

3)计算椭圆曲线点Q＝[k]G＝(x₁,y₁)；

4)计算r＝(e+x₁)mod n，若r＝0或r+k＝n，重新产生随机数；

5)计算s＝((1+d)^-1(k-rd))mod n，若s＝0，重新产生随机数，其中d为数字证书私钥；

6)将(r,s)作为数字签名输出；

由以上数字签名生成算法标准可见，算法执行过程中，只有5)中s的计算使用了数字证书私钥，为了降低复杂度，可对s计算式进行如下等价变换：

s＝(1+d)^-1(k-rd)mod n＝(1+d)^-1(k-(1+d)r+r)mod n＝((1+d)^-1(k+r)-r)mod n；

由以上等价变换后的计算式可见，算法执行完成后，目标终端与服务器端重新构成的目标密钥链与源终端与服务器端的源密钥链等效；通过s计算式，可产生多条等效的目标密钥链；由于目标密钥链都是关于签名私钥的等量代换，每条目标密钥链均对应数字证书签发时所绑定的公钥，因此可满足多个目标终端证书复用的应用场景；

至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效，包括：将源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n进行恒等变换，动态构成的目标密钥链中的签名私钥(d_p2.d_c2.d_s2)mod n≡(d_p1.d_c1.d_s1)mod n＝(1+d)^-1，与源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n等效；其中，d_p1为源终端基于静态参数计算的非落地存储的源派生密钥，d_c1为源终端存储的源存储密钥，d_s1为服务器存储的源随机数，d_p2为目标终端基于静态参数计算的非落地存储的目标派生密钥，d_c2为目标终端存储的目标存储密钥，d_s2为服务器存储的目标随机数。

19.一种将同一数字证书复用于多个终端的系统，应用于目标终端，其中，源终端与服务器端构成对应于数字证书签发时所绑定公钥的源密钥链，其特征在于，包括：

第二接收模块，用于接收源终端发送的第二模乘运算结果u₂＝(d_p1d_c1 u₁)mod n；其中，d_p1为源派生密钥，d_c1为源终端存储的源存储密钥，u₁为源终端接收服务器端发送的第一模乘运算结果u₁＝(d_s2 ^-1d_s1)mod n，其中，d_s2 ^-1为服务器存储的目标随机数的逆元，d_s1为服务器存储的源随机数；

动态构成模块，用于将第二模乘运算结果u₂、目标派生密钥的逆元d_p2 ^-1的模乘运算结果作为目标存储密钥d_c2＝(d_p2 ^-1 u₂)mod n；目标密钥链中的签名私钥为(d_p2.d_c2.d_s2)mod n＝(1+d)^-1与源密钥链等效；

使用SM2椭圆曲线公钥密码算法对数字签名进行签名，签名的流程如下：

1)计算待签名消息的摘要信息e；

2)用随机数发生器产生随机数k∈[1,n-1]，其中n为椭圆曲线的阶；

3)计算椭圆曲线点Q＝[k]G＝(x₁,y₁)；

4)计算r＝(e+x₁)mod n，若r＝0或r+k＝n，重新产生随机数；

5)计算s＝((1+d)^-1(k-rd))mod n，若s＝0，重新产生随机数，其中d为数字证书私钥；

6)将(r,s)作为数字签名输出；

由以上数字签名生成算法标准可见，算法执行过程中，只有5)中s的计算使用了数字证书私钥，为了降低复杂度，可对s计算式进行如下等价变换：

s＝(1+d)^-1(k-rd)mod n＝(1+d)^-1(k-(1+d)r+r)mod n＝((1+d)^-1(k+r)-r)mod n；

由以上等价变换后的计算式可见，算法执行完成后，目标终端与服务器端重新构成的目标密钥链与源终端与服务器端的源密钥链等效；通过s计算式，可产生多条等效的目标密钥链；由于目标密钥链都是关于签名私钥的等量代换，每条目标密钥链均对应数字证书签发时所绑定的公钥，因此可满足多个目标终端证书复用的应用场景；

至少一个目标终端、源终端与服务器端将源密钥链进行恒等变换后动态构成对应于数字证书签发时所绑定公钥的至少一个目标密钥链，每个所述目标密钥链与源密钥链等效，包括：将源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n进行恒等变换，动态构成的目标密钥链中的签名私钥(d_p2.d_c2.d_s2)mod n≡(d_p1.d_c1.d_s1)mod n＝(1+d)^-1，与源密钥链中的签名私钥(1+d)^-1＝(d_p1.d_c1.d_s1)mod n等效；其中，d_p1为源终端基于静态参数计算的非落地存储的源派生密钥，d_c1为源终端存储的源存储密钥，d_s1为服务器存储的源随机数，d_p2为目标终端基于静态参数计算的非落地存储的目标派生密钥，d_c2为目标终端存储的目标存储密钥，d_s2为服务器存储的目标随机数。

20.一种将同一数字证书复用于多个终端的装置，其特征在于，包括权利要求17-19之一所述的系统。

Images