CN114221749B - 基于多类型服务器的密钥统一管理方法及系统、电子设备 - Google Patents

基于多类型服务器的密钥统一管理方法及系统、电子设备 Download PDF

Info

Publication number
CN114221749B
CN114221749B CN202111520264.6A CN202111520264A CN114221749B CN 114221749 B CN114221749 B CN 114221749B CN 202111520264 A CN202111520264 A CN 202111520264A CN 114221749 B CN114221749 B CN 114221749B
Authority
CN
China
Prior art keywords
client
server
key
ciphertext
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111520264.6A
Other languages
English (en)
Other versions
CN114221749A (zh
Inventor
解原
叶飚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Tianfutong Financial Services Co ltd
Original Assignee
Chengdu Tianfutong Financial Services Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Tianfutong Financial Services Co ltd filed Critical Chengdu Tianfutong Financial Services Co ltd
Priority to CN202111520264.6A priority Critical patent/CN114221749B/zh
Publication of CN114221749A publication Critical patent/CN114221749A/zh
Application granted granted Critical
Publication of CN114221749B publication Critical patent/CN114221749B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3033Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to pseudo-prime or prime number generation, e.g. primality test
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及基于多类型服务器的密钥统一管理方法及系统、电子设备,包括步骤:客户端发起密钥申请;根据客户端发送的身份信息通过该客户端的核验后,生成客户端的密钥对<dpi,dsi>;同时触发对应服务器生成密钥对<pki,ski>和随机数
Figure 108787DEST_PATH_IMAGE001
;将客户端的密钥对<dpi,dsi>和服务器的密钥对<pki,ski>进行转换计算,生成加性同态计算群<E1,E2>,修改客户端的安全参数
Figure 622945DEST_PATH_IMAGE002
和服务器的随机数
Figure 549313DEST_PATH_IMAGE001
,使得客户端能直接向服务器发起获取密文请求。本发明的目的在于将多种类型服务器的密钥进行统一管理,通过客户端向不同服务器获取密文时,无需针对各个服务器下载安装新的密钥插件,只要身份核验通过,都能获取服务器中的密文。

Description

基于多类型服务器的密钥统一管理方法及系统、电子设备
技术领域
本发明涉及密钥管理技术领域,特别涉及一种基于多类型服务器的密钥统一管理方法及系统、电子设备。
背景技术
以往的服务器都有自己的密钥生成、加密、解密方式,如果客户端要获取不同服务器中的密文时,就需要下载安装新的密钥插件,有时又因为客户端的版本老旧,无法兼容多种密钥插件,所以使得企业人员通过客户端向不同服务器获取密文时,程序变得复杂不易。
发明内容
本发明的目的在于将企业中多种类型服务器的密钥进行统一管理,让企业人员通过客户端向不同服务器获取密文时,无需针对各个服务器下载安装新的密钥插件,只要身份核验通过,都能获取各个类型服务器中的密文,提供一种基于多类型服务器的密钥统一管理方法及系统、电子设备,无需改变服务器和客户端原有的构建。
为了实现上述发明目的,本发明实施例提供了以下技术方案:
基于多类型服务器的密钥统一管理方法,包括以下步骤:
步骤S1:客户端发起密钥申请,所述密钥申请中包括服务器ID、身份信息、安全参数αi,其中i与服务器的编号对应;
步骤S2:根据客户端发送的身份信息通过该客户端的核验后,生成客户端的密钥对<dpi,dsi>;同时触发对应服务器生成密钥对<pki,ski>和随机数βi
步骤S3:将客户端的密钥对<dpi,dsi>和服务器的密钥对<pki,ski>进行转换计算,生成加性同态计算群<E1,E2>,并根据生成的加性同态计算群<E1,E2>修改客户端的安全参数αi和服务器的随机数βi,使得客户端能直接向服务器发起获取密文请求。
更进一步地,所述将客户端的密钥对<dpi,dsi>和服务器的密钥对<pki,ski>进行转换计算,生成加性同态计算群<E1,E2>的步骤,包括:
客户端的密钥对<dpi,dsi>中dpi表示公钥,dsi表示私钥,有dsi=dsiA+dsiB,其中dsiA为加密机构,dsiB为固定机构,对加密机构dsiA进行加密:
RSA2=V1[(wm·αi`)||aggri·λ]+V2
其中RSA2为对加密机构dsiA的加密长度计算式,V1、V2均表示双线性素数;
Figure GDA0003731402490000021
表示服务器损失率,R(z)表示服务器损失函数,通过调整损失参数z使得服务器损失率降到最低;λ为加密形态固定参数;取出随机数
Figure GDA0003731402490000022
表示随机数αi`受限于加密长度计算式RSA2;wm表示转换符号串;
分解加性同态计算群E2<wm,h1,h2,γ>:
计算E2中的元素转换符号串wm=e(V1,V2);
计算E2中的元素
Figure GDA0003731402490000023
其中h1表示经过哈希算法后可授权该客户端获取对应服务器中的密文节点信息,Cj表示密文,q表示可授权该客户端获取密文的数量;
计算E2中的元素h2=(h1-len)γ,其中h2表示h1中的密文节点信息之间的关联关系,len表示密文节点之间的初始固定长度,γ表示波动参数;
服务器的密钥对<pki,ski>中pki表示公钥,ski表示私钥,有ski=skiA+skiB,其中skiA为加密机构,skiB为固定机构,对加密机构skiA进行加密:
RSA1=V1[(wm·βi`)||aggri·λ]+V2
其中RSA1为对加密机构skiA的加密长度计算式,取出随机数
Figure GDA0003731402490000031
表示随机数βi`受限于加密长度计算式RSA1
分解加性同态计算群E1<wm,k1,k2,θ>:
计算E1中的元素
Figure GDA0003731402490000032
其中k1表示经过哈希算法后可授权该客户端获取对应服务器中的密文节点信息,Cj表示密文,q表示可授权该客户端获取密文的数量;
计算E1中的元素k2=(k1-len)θ,其中k2表示k1中的密文节点信息之间的关联关系,len表示密文节点之间的初始固定长度,θ表示波动参数;
通过加性同态计算群E1可以推出加密长度计算式RSA1的结果,通过加性同态计算群E2可以推出加密长度计算式RSA2的结果,从而控制随机数αi`和随机数βi`的结果。
更进一步地,所述根据生成的加性同态计算群<E1,E2>修改客户端的安全参数αi和服务器的随机数βi的步骤,包括:将客户端发送的安全参数αi修改为随机数αi`,将服务器生成的随机数βi修改为随机数βi`。
更进一步地,所述使得客户端能直接向服务器发起获取密文请求的步骤,包括:客户端向服务器发起所需密文节点信息,服务器根据该客户端可授权获得的密文节点信息,向客户端返回密文。
基于多类型服务器的密钥统一管理系统,包括:
信息均衡模块,用于接收客户端发起的密钥申请,所述密钥申请中包括服务器ID、身份信息、安全参数αi,其中i与服务器的编号对应;并根据服务器ID向该服务器连接的身份核验模块发送客户端的身份信息;
身份核验模块,用于根据信息均衡模块发送的身份信息验证该客户端是否能通过核验,并当客户端通过核验后,同时请求服务器生成密钥对<pki,ski>和随机数βi
密钥生成模块,用于当客户端通过核验后,生成该客户端的密钥对<dpi,dsi>;
转换聚合模块,用于将客户端的密钥对<dpi,dsi>和服务器的密钥对<pki,ski>进行转换计算,生成加性同态计算群<E1,E2>,并根据生成的加性同态计算群<E1,E2>修改客户端的安全参数αi和服务器的随机数βi,使得客户端能直接向服务器发起获取密文请求。
更进一步地,所述转换聚合模块在得到加性同态计算群<E1,E2>并修改安全参数αi和服务器的随机数βi后,信息均衡模块根据加性同态计算群<E1,E2>的结果向服务器发起获取密文请求。
一种电子设备,所述设备包括:
存储器,存储程序指令;
处理器,与所述存储器相连接,执行存储器中的程序指令,实现上述任一所述方法中的步骤。
与现有技术相比,本发明的有益效果:
本发明的目的在于将企业中多种类型服务器的密钥进行统一管理,让企业人员通过客户端向不同服务器获取密文时,无需针对各个服务器下载安装新的密钥插件,只要身份核验通过,都能获取各个类型服务器中的密文,无需改变服务器和客户端原有的构建。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明密钥统一管理方法流程示意图;
图2为本分明密钥统一管理系统模块示意图;
图3为本发明实施例电子设备结构示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性,或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
实施例:
本发明通过下述技术方案实现,如图1所示,基于多类型服务器的密钥统一管理方法,包括以下步骤:
步骤S1:客户端发起密钥申请,所述密钥申请中包括服务器ID、身份信息、安全参数αi,其中i与服务器的编号对应。
请参见图1,企业已有的服务器有多干个,对若干个服务器进行依次编号,i表示第i台服务器。客户端在发起密钥申请时,已确定了本次需要向哪一台服务器获取密文,所以在发起密钥申请时,密钥申请包括了服务器ID、身份信息、安全参数αi,其中i就表示对应的第i台服务器了。
步骤S2:根据客户端发送的身份信息通过该客户端的核验后,生成客户端的密钥对<dpi,dsi>;同时触发对应服务器生成密钥对<pki,ski>和随机数βi
接收到客户端发起的密钥申请后,首先根据携带的身份信息判断该客户端是否有权获取对应服务器的密文,若有权,则对该客户端通过身份核验。关于身份信息验证的技术可参照现有的身份核验等技术,此处使用现有技术手段即可。
身份核验通过后,生成客户端的密钥对<dpi,dsi>,同时触发对应服务器生成密钥对<pki,ski>和随机数βi,这里需要说明的是,不同的服务器所生成的密钥对是不同的,比如第1台服务器生成的密钥对为<pk1,sk1>和随机数β1,第4台服务器生成的密钥对为<pk4,sk4>和随机数β4。虽然说各个不同类型的服务器所生成的密钥对是不同的,但是在密钥管理的技术领域中,密钥对都是由公钥和私钥组成,所以密钥对<pki,ski>中的pki表示公钥,ski表示私钥。同样,客户端的密钥对<dpi,dsi>中的dpi表示公钥,dsi表示私钥。
步骤S3:将客户端的密钥对<dpi,dsi>和服务器的密钥对<pki,ski>进行转换计算,生成加性同态计算群<E1,E2>,并根据生成的加性同态计算群<E1,E2>修改客户端的安全参数αi和服务器的随机数βi,使得客户端能直接向服务器发起获取密文请求。
本方案的重点在于如何将客户端的密钥对与服务器的密钥对进行聚合,使得能够统一管理客户端的密钥对和服务器的密钥对。
客户端的密钥对<dpi,dsi>中dpi表示公钥,dsi表示私钥,有dsi=dsiA+dsiB,其中dsiA为加密机构,dsiB为固定机构,对加密机构dsiA进行加密:
RSA2=V1[(wm·αi`)||aggri·λ]+V2 (1)
其中RSA2为对加密机构dsiA的加密长度计算式,V1、V2均表示双线性素数;
Figure GDA0003731402490000071
表示服务器损失率,R(z)表示服务器损失函数,通过调整损失参数z使得服务器损失率降到最低;λ为加密形态固定参数;取出随机数
Figure GDA0003731402490000072
表示随机数αi`受限于加密长度计算式RSA2;wm表示转换符号串;
分解加性同态计算群E2<wm,h1,h2,γ>:
计算E2中的元素转换符号串wm=e(V1,V2);
计算E2中的元素
Figure GDA0003731402490000073
其中h1表示经过哈希算法后可授权该客户端获取对应服务器中的密文节点信息,Cj表示密文,q表示可授权该客户端获取密文的数量;
计算E2中的元素h2=(h1-len)γ,其中h2表示h1中的密文节点信息之间的关联关系,len表示密文节点之间的初始固定长度,γ表示波动参数。
服务器的密钥对<pki,ski>中pki表示公钥,ski表示私钥,有ski=skiA+skiB,其中skiA为加密机构,skiB为固定机构,对加密机构skiA进行加密:
RSA1=V1[(wm·βi`)||aggri·λ]+V2 (2)
其中RSA1为对加密机构skiA的加密长度计算式,取出随机数
Figure GDA0003731402490000081
表示随机数βi`受限于加密长度计算式RSA1;其余参数与式(1)相同含义。
分解加性同态计算群E1<wm,k1,k2,θ>:
计算E1中的元素
Figure GDA0003731402490000082
其中k1表示经过哈希算法后可授权该客户端获取对应服务器中的密文节点信息,Cj表示密文,q表示可授权该客户端获取密文的数量;
计算E1中的元素k2=(k1-len)θ,其中k2表示k1中的密文节点信息之间的关联关系,len表示密文节点之间的初始固定长度,θ表示波动参数。
在计算可授权该客户端获取对应服务器中的密文节点信息和密文节点信息之间的关联关系时需要分别进行两步进行,也就是说,在客户端方要计算一次,在服务器方要计算一次,这是因为根据双向聚合计算可以更加准确的得到客户端能够获取的密文信息。
比如第i台服务器中存储了q个密文节点信息,但客户端只有资格获取其中2个密文,那么就需要进行加性同态计算求得客户端有权获取的密文,并且在推荐密文时,还会根据密文节点信息之间的关联关系进行推荐,如果q个密文节点信息中,客户端只有资格获取其中2个密文,但是q个密文节点信息还有1个密文是这2个密文的子文件,对这2个密文进行了解释说明,那么客户端也可以同时获取这个子文件。
通过加性同态计算群E1可以推出加密长度计算式RSA1的结果,通过加性同态计算群E2可以推出加密长度计算式RSA2的结果,从而控制随机数αi`和随机数βi`的结果。
将客户端发送的安全参数αi修改为随机数αi`,将服务器生成的随机数βi修改为随机数βi`,这样就可以使得客户端的密钥与服务器的密钥相匹配了,但是可以看出,在上述的密钥转换过程中,并未对客户端和服务器本身的构建做出改动。
最后客户端向服务器发起所需密文节点信息,服务器根据该客户端可授权获得的密文节点信息,向客户端返回密文。
基于上述方法,本方案还提出一种基于多类型服务器的密钥统一管理系统,请参见图2,包括:
信息均衡模块,用于接收客户端发起的密钥申请,所述密钥申请中包括服务器ID、身份信息、安全参数αi,其中i与服务器的编号对应;并根据服务器ID向该服务器连接的身份核验模块发送客户端的身份信息;
身份核验模块,用于根据信息均衡模块发送的身份信息验证该客户端是否能通过核验,并当客户端通过核验后,同时请求服务器生成密钥对<pki,ski>和随机数βi
密钥生成模块,用于当客户端通过核验后,生成该客户端的密钥对<dpi,dsi>;
转换聚合模块,用于将客户端的密钥对<dpi,dsi>和服务器的密钥对<pki,ski>进行转换计算,生成加性同态计算群<E1,E2>,并根据生成的加性同态计算群<E1,E2>修改客户端的安全参数αi和服务器的随机数βi,使得客户端能直接向服务器发起获取密文请求。
更进一步地,所述转换聚合模块在得到加性同态计算群<E1,E2>并修改安全参数αi和服务器的随机数βi后,信息均衡模块根据加性同态计算群<E1,E2>的结果向服务器发起获取密文请求,这里也没有直接改动客户端的构建,当该客户端下一次访问其他服务器时,还是会发起相同的安全参数αi
如图3所示,本实施例同时提供了一种电子设备,该电子设备可以包括处理器和存储器,其中存储器耦合至处理器。值得注意的是,该图是示例性的,还可以使用其他类型的结构来补充或替代该结构,实现数据提取、报告生成、通信或其他功能。
如图3所示,该电子设备还可以包括:输入单元、显示单元和电源。值得注意的是,该电子设备也并不是必须要包括图3中显示的所有部件。此外,电子设备还可以包括图3中没有示出的部件,可以参考现有技术。
处理器有时也称控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该处理器接收输入并控制电子设备的各个部件的操作。
其中,存储器例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其他合适装置中的一种或多种,可存储上述处理器的配置信息、处理器执行的指令、记录的表格数据等信息。处理器可以执行存储器存储的程序,以实现信息存储或处理等。在一个实施例中,存储器中还包括缓冲存储器,即缓冲器,以存储中间信息。
输入单元例如用于向处理器提供待标注的文本数据。显示单元用于显示处理过程中的各种结果,例如输入的文本数据、转换后的多维向量、计算出的距离值等,该显示单元例如可以为LCD显示器,但本发明并不限于此。电源用于为电子设备提供电力。
本发明实施例还提供一种计算机可读指令,其中当在电子设备中执行所述指令时,所述程序使得电子设备执行本发明方法所包含的操作步骤。
本发明实施例还提供一种存储有计算机可读指令的存储介质,其中所述计算机可读指令使得电子设备执行本发明方法所包含的操作步骤。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成模块及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (6)

1.基于多类型服务器的密钥统一管理方法,其特征在于:包括以下步骤:
步骤S1:客户端发起密钥申请,所述密钥申请中包括服务器ID、身份信息和安全参数αi,其中i与服务器的编号对应;
步骤S2:密钥生成模块根据客户端发送的身份信息通过该客户端的核验后,生成客户端的密钥对<dpi,dsi>;同时触发对应服务器生成密钥对<pki,ski>和随机数βi
步骤S3:转换聚合模块将客户端的密钥对<dpi,dsi>和服务器的密钥对<pki,ski>进行转换计算,生成加性同态计算群<E1,E2>,并根据生成的加性同态计算群<E1,E2>修改客户端的安全参数αi和服务器的随机数βi,使得客户端能直接向服务器发起获取密文请求;
所述转换聚合模块将客户端的密钥对<dpi,dsi>和服务器的密钥对<pki,ski>进行转换计算,生成加性同态计算群<E1,E2>的步骤,包括:
客户端的密钥对<dpi,dsi>中dpi表示公钥,dsi表示私钥,有dsi=dsiA+dsiB,其中dsiA为加密机构,dsiB为固定机构,对加密机构dsiA进行加密:
RSA2=V1[(wm·αi`)||aggri·λ]+V2
其中RSA2为对加密机构dsiA的加密长度计算式,V1、V2均表示双线性素数;
Figure FDA0003731402480000011
表示服务器损失率,R(z)表示服务器损失函数,通过调整损失参数z使得服务器损失率降到最低;λ为加密形态固定参数;取出随机数
Figure FDA0003731402480000012
表示随机数αi`受限于加密长度计算式RSA2;wm表示转换符号串;
分解加性同态计算群E2<wm,h1,h2,γ>:
计算E2中的元素转换符号串wm=e(V1,V2);
计算E2中的元素
Figure FDA0003731402480000021
其中h1表示经过哈希算法后授权该客户端获取对应服务器中的密文节点信息,Cj表示密文,q表示授权该客户端获取密文的数量;
计算E2中的元素h2=(h1-len)γ,其中h2表示h1中的密文节点信息之间的关联关系,len表示密文节点之间的初始固定长度,γ表示波动参数;
服务器的密钥对<pki,ski>中pki表示公钥,ski表示私钥,有ski=skiA+skiB,其中skiA为加密机构,skiB为固定机构,对加密机构skiA进行加密:
RSA1=V1[(wm·βi`)||aggri·λ]+V2
其中RSA1为对加密机构skiA的加密长度计算式,取出随机数
Figure FDA0003731402480000022
表示随机数βi`受限于加密长度计算式RSA1
分解加性同态计算群E1<wm,k1,k2,θ>:
计算E1中的元素
Figure FDA0003731402480000023
其中k1表示经过哈希算法后授权该客户端获取对应服务器中的密文节点信息,Cj表示密文,q表示授权该客户端获取密文的数量;
计算E1中的元素k2=(k1-len)θ,其中k2表示k1中的密文节点信息之间的关联关系,len表示密文节点之间的初始固定长度,θ表示波动参数;
通过加性同态计算群E1推出加密长度计算式RSA1的结果,通过加性同态计算群E2推出加密长度计算式RSA2的结果,从而控制随机数αi`和随机数βi`的结果。
2.根据权利要求1所述的基于多类型服务器的密钥统一管理方法,其特征在于:所述根据生成的加性同态计算群<E1,E2>修改客户端的安全参数αi和服务器的随机数βi的步骤,包括:将客户端发送的安全参数αi修改为随机数αi`,将服务器生成的随机数βi修改为随机数βi`。
3.根据权利要求1所述的基于多类型服务器的密钥统一管理方法,其特征在于:所述使得客户端能直接向服务器发起获取密文请求的步骤,包括:客户端向服务器发起所需密文节点信息,服务器根据该客户端授权获得的密文节点信息,向客户端返回密文。
4.基于多类型服务器的密钥统一管理系统,其特征在于:包括:
信息均衡模块,用于接收客户端发起的密钥申请,所述密钥申请中包括服务器ID、身份信息和安全参数αi,其中i与服务器的编号对应;并根据服务器ID向该服务器连接的身份核验模块发送客户端的身份信息;
身份核验模块,用于根据信息均衡模块发送的身份信息验证该客户端是否能通过核验,并当客户端通过核验后,同时请求服务器生成密钥对<pki,ski>和随机数βi
密钥生成模块,用于当客户端通过核验后,生成该客户端的密钥对<dpi,dsi>;
转换聚合模块,用于将客户端的密钥对<dpi,dsi>和服务器的密钥对<pki,ski>进行转换计算,生成加性同态计算群<E1,E2>,并根据生成的加性同态计算群<E1,E2>修改客户端的安全参数αi和服务器的随机数βi,使得客户端能直接向服务器发起获取密文请求;
客户端的密钥对<dpi,dsi>中dpi表示公钥,dsi表示私钥,有dsi=dsiA+dsiB,其中dsiA为加密机构,dsiB为固定机构,对加密机构dsiA进行加密:
RSA2=V1[(wm·αi`)||aggri·λ]+V2
其中RSA2为对加密机构dsiA的加密长度计算式,V1、V2均表示双线性素数;
Figure FDA0003731402480000041
表示服务器损失率,R(z)表示服务器损失函数,通过调整损失参数z使得服务器损失率降到最低;λ为加密形态固定参数;取出随机数
Figure FDA0003731402480000042
表示随机数αi`受限于加密长度计算式RSA2;wm表示转换符号串;
分解加性同态计算群E2<wm,h1,h2,γ>:
计算E2中的元素转换符号串wm=e(V1,V2);
计算E2中的元素
Figure FDA0003731402480000043
其中h1表示经过哈希算法后授权该客户端获取对应服务器中的密文节点信息,Cj表示密文,q表示授权该客户端获取密文的数量;
计算E2中的元素h2=(h1-len)γ,其中h2表示h1中的密文节点信息之间的关联关系,len表示密文节点之间的初始固定长度,γ表示波动参数;
服务器的密钥对<pki,ski>中pki表示公钥,ski表示私钥,有ski=skiA+skiB,其中skiA为加密机构,skiB为固定机构,对加密机构skiA进行加密:
RSA1=V1[(wm·βi`)||aggri·λ]+V2
其中RSA1为对加密机构skiA的加密长度计算式,取出随机数
Figure FDA0003731402480000044
表示随机数βi`受限于加密长度计算式RSA1
分解加性同态计算群E1<wm,k1,k2,θ>:
计算E1中的元素
Figure FDA0003731402480000045
其中k1表示经过哈希算法后授权该客户端获取对应服务器中的密文节点信息,Cj表示密文,q表示授权该客户端获取密文的数量;
计算E1中的元素k2=(k1-len)θ,其中k2表示k1中的密文节点信息之间的关联关系,len表示密文节点之间的初始固定长度,θ表示波动参数;
通过加性同态计算群E1推出加密长度计算式RSA1的结果,通过加性同态计算群E2推出加密长度计算式RSA2的结果,从而控制随机数αi`和随机数βi`的结果。
5.根据权利要求4所述的基于多类型服务器的密钥统一管理系统,其特征在于:所述转换聚合模块在得到加性同态计算群<E1,E2>并修改安全参数αi和服务器的随机数βi后,信息均衡模块根据加性同态计算群<E1,E2>的结果向服务器发起获取密文请求。
6.一种电子设备,其特征在于:所述设备包括:
存储器,存储程序指令;
处理器,与所述存储器相连接,执行存储器中的程序指令,实现权利要求1-3任一所述方法中的步骤。
CN202111520264.6A 2021-12-13 2021-12-13 基于多类型服务器的密钥统一管理方法及系统、电子设备 Active CN114221749B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111520264.6A CN114221749B (zh) 2021-12-13 2021-12-13 基于多类型服务器的密钥统一管理方法及系统、电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111520264.6A CN114221749B (zh) 2021-12-13 2021-12-13 基于多类型服务器的密钥统一管理方法及系统、电子设备

Publications (2)

Publication Number Publication Date
CN114221749A CN114221749A (zh) 2022-03-22
CN114221749B true CN114221749B (zh) 2022-08-30

Family

ID=80701562

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111520264.6A Active CN114221749B (zh) 2021-12-13 2021-12-13 基于多类型服务器的密钥统一管理方法及系统、电子设备

Country Status (1)

Country Link
CN (1) CN114221749B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018099577A1 (en) * 2016-12-02 2018-06-07 Ecole Polytechnique Federale De Lausanne (Epfl) System and method for providing a collective decentralized authority for sharing sensitive data
WO2019130528A1 (ja) * 2017-12-28 2019-07-04 三菱電機株式会社 変換鍵生成装置、暗号文変換装置、秘匿情報処理システム、変換鍵生成方法、変換鍵生成プログラム、暗号文変換方法及び暗号文変換プログラム
KR102315632B1 (ko) * 2019-08-08 2021-10-21 한국과학기술원 신뢰 서버의 준동형 암호 기반 확장 가능한 그룹 키 생성 방법 및 시스템
IL272520A (en) * 2020-02-06 2021-08-31 Google Llc Aggregation of encrypted network values

Also Published As

Publication number Publication date
CN114221749A (zh) 2022-03-22

Similar Documents

Publication Publication Date Title
CN108292402B (zh) 用于信息的安全交换的公共秘密的确定和层级确定性密钥
US10375067B2 (en) Mutual authentication with symmetric secrets and signatures
CN107404461B (zh) 数据安全传输方法、客户端及服务端方法、装置及系统
US10129034B2 (en) Signature delegation
US20190205540A1 (en) Host attestation
EP3913850A1 (en) Key management method and related device
US9674158B2 (en) User authentication over networks
US8331568B2 (en) Efficient distribution of computation in key agreement
US9537658B2 (en) Password-based authentication
US20180183774A1 (en) Key distribution in a distributed computing environment
KR101493214B1 (ko) 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치
US10447669B2 (en) System and method for key exchange based on authentication information
KR101685810B1 (ko) 인증 정보 기반 키 교환 시스템 및 방법
CN114730420A (zh) 用于生成签名的系统和方法
CN104378374B (zh) 一种基于安全套接层建立通信的方法及系统
US20180183592A1 (en) Public key rollup for merkle tree signature scheme
KR20170076742A (ko) 보안 접속 및 관련 서비스를 위한 효율적인 개시
US11190504B1 (en) Certificate-based service authorization
CN109150923A (zh) 基于混合加密的网络传输数据安全处理方法
CN107359998A (zh) 一种便携式智能口令管理体制的建立与操作方法
TWI760546B (zh) 用於高安全性高速資料加密及傳輸的電腦實施系統與方法
CN105656881B (zh) 一种电子病历的可验证外包存储和检索系统及方法
CN114221749B (zh) 基于多类型服务器的密钥统一管理方法及系统、电子设备
KR102192594B1 (ko) 신뢰기관이 없는 다중 클라이언트 환경의 순서 노출 암호화를 위한 장치 및 방법
Jahan et al. Securely distributing files in cloud environment by dispensing asymmetric key management system applying hashing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant