CN115396099A - 非对称密钥的可信托管方法及系统、获取方法及系统 - Google Patents
非对称密钥的可信托管方法及系统、获取方法及系统 Download PDFInfo
- Publication number
- CN115396099A CN115396099A CN202211057621.4A CN202211057621A CN115396099A CN 115396099 A CN115396099 A CN 115396099A CN 202211057621 A CN202211057621 A CN 202211057621A CN 115396099 A CN115396099 A CN 115396099A
- Authority
- CN
- China
- Prior art keywords
- key
- client
- cipher
- cip
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种非对称密钥的可信托管方法及系统、获取方法及系统。该托管方法包括:在客户端使用对称算法,用用户密码A对需要托管的私钥A等信息进行加密,得到密钥密文CIPA;客户端将密钥密文CIPA保存到本地;将密钥密文CIPA上送到服务端;服务端生成随机密钥S,使用对称算法,用随机密钥S对密钥密文CIPA进行加密,得到密钥密文CIPS;使用非对称算法,用服务端公钥S对随机密钥S进行加密,得到随机密钥密文SKS;服务端保存密钥密文CIPS和随机密钥密文SKS。本发明提供的非对称密钥的可信托管方法及系统、获取方法及系统能够通过加密技术,将客户的公私钥对或者证书等信息,托管到服务端。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种非对称密钥的可信托管方法及系统、获取方法及系统。
背景技术
为了保障客户在线交易的安全,企业会提供给客户基于非对称算法的公私钥对或者数字证书,客户需要妥善保管自己的私钥。一般私钥信息较长且是无序的,很难通过记忆的方式保管,现有的私钥保存主要有两种方式:
(1)通过存储介质交由客户自己保管
通过使用用户密码加密私钥,将加密后的私钥保存在U盾、加密文件等介质中。当客户进行在线交易时,需要插入U盾或者加载加密文件,客户输入用户密码解密后,提取出私钥,再使用密钥进行安全交易。
(2)由私钥发行方代为保管
由于通过介质存储私钥的方式使用过程较为复杂,用户体验较差。为了提升用户体验,企业提供服务,将用户私钥托管到企业的服务端。当客户进行在线交易时,企业验证用户的登录身份后,从服务端返回私钥到客户端,再使用密钥进行安全交易。
对于现有技术方案(1),存在以下客观缺点:
1)使用不便。进行交易时必须插入U盾或者加载加密文件,使用过程十分繁琐。并且在移动互联网时代,用户在享受随时随地支付的时候,还需要携带U盾或者加密文件,十分不便。
2)保管不便。对于U盾或者加密文件形式保存的私钥,需要妥善保管,如很多对公客户会将U盾保存在保险箱中,使用时再申请取出,一定程度上增加了管理成本。
3)易丢失。私钥的存储介质易丢失,丢失或者忘记密码时无法找回,只能本人去发行机构申请更换U盾或加密文件。
对于现有技术方案(2),存在以下客观缺点:
1)存在泄露风险。用户将私钥保存到发行方的服务器端,即发行方和用户均可以获取私钥内容,私钥存在泄露的风险。
2)私钥防抵赖能力缺失。在安全控制过程中,私钥代表了其所属用户的身份。由于在此技术方案下,用户和发行方均可以获取到私钥,对于使用该私钥进行安全控制的在线交易中存在争议的交易,无法做到防抵赖的认证,存在一定的法律纠纷风险。
发明内容
本发明要解决的技术问题是提供一种非对称密钥的可信托管方法及系统、获取方法及系统,能够通过加密技术,将客户的公私钥对或者证书等信息,托管到服务端。
为解决上述技术问题,本发明提供了一种非对称密钥的可信托管方法,包括:在客户端使用对称算法,用用户密码A对需要托管的私钥A信息进行加密,得到密钥密文CIPA;客户端将密钥密文CIPA保存到本地;将密钥密文CIPA上送到服务端;服务端生成随机密钥S,使用对称算法,用随机密钥S对密钥密文CIPA进行加密,得到密钥密文CIPS;使用非对称算法,用服务端公钥S对随机密钥S进行加密,得到随机密钥密文SKS;服务端保存密钥密文CIPS和随机密钥密文SKS。
在一些实施方式中,客户端将密钥密文CIPA保存到本地,包括:客户端通过二维码,或者id文件的形式将密钥密文CIPA保存到本地。
在一些实施方式中,还包括:在客户端将用户密码A切分为任意的n个片段,分别为密码片段A1、密码片段A2、...、密码片段An;将每个密码片段分别托管到第三方密码托管服务;将所有密码片段密文,包括密码片段密文SPWA1、密码片段密文SPWA2、...、密码片段密文SPWAn上送到服务端。
在一些实施方式中,将每个密码片段分别托管到第三方密码托管服务,包括:将密码片段An、客户手机号码或邮箱、用户DID的信息,使用非对称算法,用第三方机构公钥N进行加密,得到密码片段密文SPWA1、密码片段密文SPWA2、...、密码片段密文SPWAn。
此外,本发明还提供了一种非对称密钥的可信获取方法,包括:客户端发起服务请求,从服务端获取托管信息;服务端收到请求后,查询到客户托管的密钥密文CIPS和对应的随机密钥密文SKS;使用非对称算法,用服务端私钥S对随机密钥密文SKS进行解密,得到随机密钥S;使用对称算法,用随机密钥S对密钥密文CIPS进行解密,得到密钥密文CIPA;服务端将密钥密文CIPA返回给客户端;客户端使用对称算法,用用户密码A对密钥密文CIPA进行解密,即可得到托管的私钥A的信息。
在一些实施方式中,还包括:客户端发起服务请求,从服务端获取密码验证信息;服务端收到请求后,查询到客户托管的密码片段密文,并返回到客户端;客户端分别调用对应密码片段第三方托管机构的密码找回服务找回对应密码片段;获取到所有密码片段后,拼接得到用户密码A;服务端要求客户在找回密码后,需要进行修改密码操作。
在一些实施方式中,密码片段密文包括:密码片段密文SPWA1、密码片段密文SPWA2、...、密码片段密文SPWAn。
此外,本发明还提供了一种非对称密钥的可信托管系统,所述系统包括:客户端及服务端;客户端及服务端实现根据前文所述的非对称密钥的可信托管方法。
此外,本发明还提供了一种非对称密钥的可信获取系统,所述系统包括:客户端及服务端;客户端及服务端实现根据前文所述的非对称密钥的可信获取方法。
采用这样的设计后,本发明至少具有以下优点:
1)使用方便,客户在使用私钥等信息时,只需要输入用户密码即可获取服务端托管的私钥等信息。
2)保管方便,客户可以选择使用自己保存的私钥信息,或者使用服务端托管的私钥信息,拥有多种选择,且随时随地可用。
3)私钥信息不会丢失,密码可找回。由于私钥等信息是托管在服务端,所以没有丢失的风险。同时忘记密码时,也可以找回。
4)私钥安全存储,没有泄露风险。虽然密钥等信息是托管在服务器端,但是服务方也无法获取私钥内容,只有客户自身可以获取托管的私钥等信息内容。
5)安全性高,防抵赖。私钥只有客户自身可以获取,私钥代表了其所属用户的身份。对于使用该私钥进行安全控制的在线交易中存在争议的交易,可以做到防抵赖,具备法律效力。
附图说明
上述仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,以下结合附图与具体实施方式对本发明作进一步的详细说明。
图1是客户端及服务端保存数据结构的示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
通过加密技术,将客户的公私钥对或者证书等信息,托管到服务端。整个过程中只有客户可以获取到自己的私钥等托管信息,服务端或者其他第三方无法获取到客户的私钥等托管信息。
托管到服务端的信息主要包括客户密钥信息和密码验证信息两部分。客户密钥信息为托管信息主体,主要为客户的私钥等托管信息的密文,主要用于客户可以获取到自己托管的私钥等信息内容。密码验证信息是客户用来加密私钥等托管信息的密码的密文,当客户在忘记密码时,用来找回密码。
在需要使用私钥等托管信息时,客户从服务端获取托管信息密文,并使用自己的密码解密,即可获取到自己的私钥等信息。
当客户需要找回加密私钥等托管信息的密码时,可以从服务端获取保存的密码片段密文,调用第三方服务进行密码解密,从而获取到密码。
客户端及服务端保存的数据结构如图1所示。参见图1,在一些实施方式中,客户端保存有包括私钥及公钥的用户密钥数据。服务端则保存有密钥信息及密码验证信息。服务端保存的密钥信息除了私钥及公钥以外,还包括随机密钥。服务端的密码验证信息是区分不同码片来分别保存的。
下面介绍私钥托管流程。
1)在客户端使用对称算法,用用户密码A对需要托管的私钥A等信息进行加密,得到密钥密文CIPA;
2)客户端可以通过二维码、id文件等形式将密钥密文CIPA保存到本地。
3)将密钥密文CIPA上送到服务端;
4)服务端生成随机密钥S,使用对称算法,用随机密钥S对密钥密文CIPA进行加密,得到密钥密文CIPS;
5)使用非对称算法,用服务端公钥S对随机密钥S进行加密,得到随机密钥密文SKS;
6)服务端保存密钥密文CIPS和随机密钥密文SKS。密钥托管完成。
下面介绍密码验证信息托管流程。
1)在客户端将用户密码A切分为任意的n个片段,分别为密码片段A1、密码片段A2、...、密码片段An;
2)将每个密码片段分别托管到第三方密码托管服务。具体操作为,将密码片段An、客户手机号码或邮箱、用户DID等信息,使用非对称算法,用第三方机构公钥N进行加密,得到密码片段密文SPWA1、密码片段密文SPWA2、...、密码片段密文SPWAn。
3)将所有密码片段密文,包括密码片段密文SPWA1、密码片段密文SPWA2、...、密码片段密文SPWAn上送到服务端。服务端保存所有密码片段密文。密码验证信息托管完成。
下面介绍私钥获取流程。
当客户需要使用自己的私钥进行在线交易时,可以直接获取本地保存的密钥密文CIPA,也可以从服务端获取托管的密钥密文CIPA,解密后获得私钥A。从服务端获取托管信息的流程如下:
1)客户端发起服务请求,从服务端获取托管信息;
2)服务端收到请求后,查询到客户托管的密钥密文CIPS和对应的随机密钥密文SKS。
3)使用非对称算法,用服务端私钥S对随机密钥密文SKS进行解密,得到随机密钥S;
4)使用对称算法,用随机密钥S对密钥密文CIPS进行解密,得到密钥密文CIPA。
5)服务端将密钥密文CIPA返回给客户端;
6)客户端使用对称算法,用用户密码A对密钥密文CIPA进行解密,即可得到托管的私钥A等信息。
下面介绍密码找回流程。
当客户忘记用户密码时,可以从服务端获取托管的密码验证信息,从而找回密码。从服务端获取托管的密码验证信息的流程如下:
1)客户端发起服务请求,从服务端获取密码验证信息;
2)服务端收到请求后,查询到客户托管的密码片段密文,包括密码片段密文SPWA1、密码片段密文SPWA2、...、密码片段密文SPWAn等,并返回到客户端;
3)客户端分别调用对应密码片段第三方托管机构的密码找回服务找回对应密码片段。
4)获取到所有密码片段后,拼接得到用户密码A;
5)服务端要求客户在找回密码后,需要进行修改密码操作。
本发明还提供了一种非对称密钥的可信托管系统。该系统由客户端及服务端组成。客户端与服务端相互配合,实现如前文所述的私钥托管流程及密码验证信息托管流程。
本发明还提供了一种非对称密钥的可信获取系统。同样,该系统由客户端及服务端组成。客户端与服务端相互配合,实现如前文所述的私钥获取流程及密码找回流程。
另外,本发明技术方案中所有使用对称算法的技术点,均可以使用其它对称加密算法代替,例如SM1、SM4、AES256、DES、3DES、AES128等;
本发明技术方案中所有使用非对称算法的技术点,均可以使用其它非对称加密算法代替,例如SM2、RSA、ECC等;
本发明技术方案中所有使用摘要算法的技术点,均可以使用其它摘要算法代替,例如MD系列、SHA系列、Hash、MAC等;
本发明技术方案中所有使用数字签名的技术点,均可以使用其它数字签名算法代替,例如DSA等;
本发明技术方案中使用的用户DID信息,可以使用其它可以在业务范围内代表唯一客户身份的编号代替,例如身份证号、客户号等。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,本领域技术人员利用上述揭示的技术内容做出些许简单修改、等同变化或修饰,均落在本发明的保护范围内。
Claims (9)
1.一种非对称密钥的可信托管方法,其特征在于,包括:
在客户端使用对称算法,用用户密码A对需要托管的私钥A信息进行加密,得到密钥密文CIPA;
客户端将密钥密文CIPA保存到本地;
将密钥密文CIPA上送到服务端;
服务端生成随机密钥S,使用对称算法,用随机密钥S对密钥密文CIPA进行加密,得到密钥密文CIPS;
使用非对称算法,用服务端公钥S对随机密钥S进行加密,得到随机密钥密文SKS;
服务端保存密钥密文CIPS和随机密钥密文SKS。
2.根据权利要求1所述的非对称密钥的可信托管方法,其特征在于,客户端将密钥密文CIPA保存到本地,包括:
客户端通过二维码,或者id文件的形式将密钥密文CIPA保存到本地。
3.根据权利要求1所述的非对称密钥的可信托管方法,其特征在于,还包括:
在客户端将用户密码A切分为任意的n个片段,分别为密码片段A1、密码片段A2、...、密码片段An;
将每个密码片段分别托管到第三方密码托管服务;
将所有密码片段密文,包括密码片段密文SPWA1、密码片段密文SPWA2、...、密码片段密文SPWAn上送到服务端。
4.根据权利要求3所述的非对称密钥的可信托管方法,其特征在于,将每个密码片段分别托管到第三方密码托管服务,包括:
将密码片段An、客户手机号码或邮箱、用户DID的信息,使用非对称算法,用第三方机构公钥N进行加密,得到密码片段密文SPWA1、密码片段密文SPWA2、...、密码片段密文SPWAn。
5.一种非对称密钥的可信获取方法,其特征在于,包括:
客户端发起服务请求,从服务端获取托管信息;
服务端收到请求后,查询到客户托管的密钥密文CIPS和对应的随机密钥密文SKS;
使用非对称算法,用服务端私钥S对随机密钥密文SKS进行解密,得到随机密钥S;
使用对称算法,用随机密钥S对密钥密文CIPS进行解密,得到密钥密文CIPA;
服务端将密钥密文CIPA返回给客户端;
客户端使用对称算法,用用户密码A对密钥密文CIPA进行解密,即可得到托管的私钥A的信息。
6.根据权利要求5所述的非对称密钥的可信获取方法,其特征在于,还包括:
客户端发起服务请求,从服务端获取密码验证信息;
服务端收到请求后,查询到客户托管的密码片段密文,并返回到客户端;
客户端分别调用对应密码片段第三方托管机构的密码找回服务找回对应密码片段;
获取到所有密码片段后,拼接得到用户密码A;
服务端要求客户在找回密码后,需要进行修改密码操作。
7.根据权利要求8所述的非对称密钥的可信获取方法,其特征在于,密码片段密文包括:密码片段密文SPWA1、密码片段密文SPWA2、...、密码片段密文SPWAn。
8.一种非对称密钥的可信托管系统,其特征在于,包括:
客户端及服务端;
客户端及服务端实现根据权利要求1至4任意一项所述的非对称密钥的可信托管方法。
9.一种非对称密钥的可信获取系统,其特征在于,包括:
客户端及服务端;
客户端及服务端实现根据权利要求5至7任意一项所述的非对称密钥的可信获取方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211057621.4A CN115396099A (zh) | 2022-08-31 | 2022-08-31 | 非对称密钥的可信托管方法及系统、获取方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211057621.4A CN115396099A (zh) | 2022-08-31 | 2022-08-31 | 非对称密钥的可信托管方法及系统、获取方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115396099A true CN115396099A (zh) | 2022-11-25 |
Family
ID=84123971
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211057621.4A Pending CN115396099A (zh) | 2022-08-31 | 2022-08-31 | 非对称密钥的可信托管方法及系统、获取方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115396099A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116684092A (zh) * | 2023-07-28 | 2023-09-01 | 新乡学院 | 一种基于网络的密码存储、找回方法及密码找回装置 |
-
2022
- 2022-08-31 CN CN202211057621.4A patent/CN115396099A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116684092A (zh) * | 2023-07-28 | 2023-09-01 | 新乡学院 | 一种基于网络的密码存储、找回方法及密码找回装置 |
CN116684092B (zh) * | 2023-07-28 | 2023-10-13 | 新乡学院 | 一种基于网络的密码存储、找回方法及密码找回装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190318356A1 (en) | Offline storage system and method of use | |
CN109151053B (zh) | 基于公共非对称密钥池的抗量子计算云存储方法和系统 | |
CN109150519B (zh) | 基于公共密钥池的抗量子计算云存储安全控制方法和系统 | |
CN106534092B (zh) | 基于消息依赖于密钥的隐私数据加密方法 | |
US6370250B1 (en) | Method of authentication and storage of private keys in a public key cryptography system (PKCS) | |
CN108985099B (zh) | 一种基于公共密钥池的代理云存储安全控制方法和系统 | |
US20110145576A1 (en) | Secure method of data transmission and encryption and decryption system allowing such transmission | |
US20170142082A1 (en) | System and method for secure deposit and recovery of secret data | |
US20030210791A1 (en) | Key management | |
US11316671B2 (en) | Accelerated encryption and decryption of files with shared secret and method therefor | |
CA2548229A1 (en) | Enabling stateless server-based pre-shared secrets | |
CN101924739A (zh) | 一种软件证书及私钥的加密存储并找回的方法 | |
CN109347923B (zh) | 基于非对称密钥池的抗量子计算云存储方法和系统 | |
CN113225302B (zh) | 一种基于代理重加密的数据共享系统及方法 | |
CN108809936A (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统 | |
CN109787747B (zh) | 基于多个非对称密钥池的抗量子计算多重加密云存储方法和系统 | |
CN116668072A (zh) | 一种基于多权限属性基加密的数据安全共享方法及系统 | |
CN109299618B (zh) | 基于量子密钥卡的抗量子计算云存储方法和系统 | |
Sujithra et al. | ID based adaptive-key signcryption for data security in cloud environment | |
JPH10154977A (ja) | 利用者認証装置およびその方法 | |
CN115396099A (zh) | 非对称密钥的可信托管方法及系统、获取方法及系统 | |
US20200118095A1 (en) | Cryptocurrency securing method and device thereof | |
CN113259317A (zh) | 一种基于身份代理重加密的云存储数据去重方法 | |
CN112528309A (zh) | 一种数据存储加密和解密的方法及其装置 | |
CN109412788B (zh) | 基于公共密钥池的抗量子计算代理云存储安全控制方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |