CN117155709A - 一种利用硬件安全密钥的多方身份认证的方法、系统及介质 - Google Patents
一种利用硬件安全密钥的多方身份认证的方法、系统及介质 Download PDFInfo
- Publication number
- CN117155709A CN117155709A CN202311412891.7A CN202311412891A CN117155709A CN 117155709 A CN117155709 A CN 117155709A CN 202311412891 A CN202311412891 A CN 202311412891A CN 117155709 A CN117155709 A CN 117155709A
- Authority
- CN
- China
- Prior art keywords
- key
- manager
- keys
- server
- administrator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000012795 verification Methods 0.000 claims description 4
- 238000013500 data storage Methods 0.000 claims 2
- 206010033799 Paralysis Diseases 0.000 description 7
- 206010063659 Aversion Diseases 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005096 rolling process Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种利用硬件安全密钥的多方身份认证的方法、系统及介质。该方法包括:服务器生成主密钥并拆分为n个子密钥,利用n个管理员密钥加密后生成n个加密子密钥,并根据管理员公钥对管理员密钥进行加密,生成n个管理员加密密钥,管理员发出解密请求,将身份标识信息发送至服务器,服务器进行身份比对后将管理员加密密钥下发,管理员根据管理员私钥对管理员加密密钥进行解密,生成管理员解密密钥,并发送至服务器对加密子密钥进行解密,生成解密子密钥,当服务器凑齐k个解密子密钥后进行拟合处理,获得拟合主密钥。本申请通过多方安全认证和管理员密钥的自动更新可以降低密码泄漏的风险、增加系统的安全性。
Description
技术领域
本申请涉及大数据及密钥认证技术领域,具体而言,涉及一种利用硬件安全密钥的多方身份认证的方法、系统及介质。
背景技术
在基于密码的身份认证方式当中,重要的关键密钥往往仅由一个用户持有,这样一旦用户遗失密钥介质,就会影响服务的正常运行,目前市面上存在一种便携式的硬件安全密钥,硬件安全密钥内的私钥禁止导出也无法被导入到其他的硬件安全密钥中,在用户进行身份认证时,这种私钥的不可备份性和不可迁移性意味着一旦硬件安全密钥丢失,用户就无法再次使用这个私钥,用户的身份也就无法再次被证明。
针对上述问题,目前亟待有效的技术解决方案。
发明内容
本申请的目的在于提供一种利用硬件安全密钥的多方身份认证的方法、系统及介质,通过将服务的关键密钥分担给多个管理员,只要有指定数量的管理员同时参与,就可以执行关键权限,既防止了少数人作恶导致的破坏,也防止了少数人无法参与导致的瘫痪,而且关键密钥由多个用户共同持有,这样即使有个别用户遗失密钥介质,也不会影响服务的正常运行,只要持有密钥的人超过预先设定的阈值,服务就可以正常运行,而且本申请通过硬件安全密钥的备份和管理员密钥的自动更新,解决了硬件安全密钥无法备份和迁移的问题,又可以降低管理员密钥泄漏的风险,增加系统安全性。
本申请还提供了一种利用硬件安全密钥的多方身份认证的方法,包括以下步骤:
服务器生成主密钥,并将主密钥拆分为n个子密钥;
获取n名管理员的硬件安全密钥信息,包括:管理员公钥、管理员私钥以及管理员身份标识信息,并将管理员公钥以及管理员身份标识信息上传至所述服务器;
所述服务器生成n个管理员密钥,根据管理员密钥分别对所述n个子密钥进行加密,生成n个加密子密钥,并根据所述管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储;
所述管理员发出解密请求,并将身份标识信息发送至所述服务器,所述服务器进行身份比对后将所述管理员加密密钥下发至所述管理员;
所述管理员根据所述管理员私钥对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器对所述加密子密钥进行解密,生成解密子密钥;
当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥。
可选地,在本申请所述的利用硬件安全密钥的多方身份认证的方法中,所述服务器生成主密钥,并将主密钥拆分为n个子密钥,包括:
所述服务器生成主密钥,并将主密钥拆分为n个子密钥;
所述n个子密钥的拆分处理公式为:
;
其中,i=1,...n,为第i个子密钥,/>为主密钥,/>为n个互不相同的预设非零元素,/>、/>为预设特征系数,/>为预设素数,/>为预设取模特征系数,mod为预设取模运算符。
可选地,在本申请所述的利用硬件安全密钥的多方身份认证的方法中,所述服务器生成n个管理员密钥,根据管理员密钥分别对所述n个子密钥进行加密,生成n个加密子密钥,并根据所述管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储,包括:
所述服务器生成与所述n个管理员身份标识信息相对应的n个管理员密钥,并存储所述管理员身份标识信息与管理员密钥;
所述n个管理员密钥通过预设子密钥加密模型分别对所述n个子密钥进行加密,生成n个加密子密钥,并存储;
所述管理员公钥通过预设管理员密钥加密模型分别对所述n个管理员密钥进行加密,生成n个管理员加密密钥,并存储。
可选地,在本申请所述的利用硬件安全密钥的多方身份认证的方法中,所述管理员发出解密请求,并将身份标识信息发送至所述服务器,所述服务器进行身份比对后将所述管理员加密密钥下发至所述管理员,包括:
所述管理员发出解密请求,并将身份标识信息发送至所述服务器;
所述服务器将所述身份标识信息与存储在服务器内部的所述管理员身份标识信息进行比对后,通过身份验证请求;
所述服务器将所述管理员身份标识信息对应的所述管理员加密密钥下发至所述管理员。
可选地,在本申请所述的利用硬件安全密钥的多方身份认证的方法中,所述管理员根据所述管理员私钥对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器对所述加密子密钥进行解密,生成解密子密钥,包括:
所述管理员根据所述管理员私钥通过预设管理员密钥解密模型对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器;
所述服务器根据所述管理员解密密钥通过预设子密钥解密模型对所述加密子密钥进行解密,生成解密子密钥。
可选地,在本申请所述的利用硬件安全密钥的多方身份认证的方法中,所述当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥,包括:
当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥;
所述拟合主密钥的拟合处理公式为:
;
其中,、/>、/>为预设特征系数。
可选地,在本申请所述的利用硬件安全密钥的多方身份认证的方法中,还包括:
所述服务器自动更新所述管理员密钥,生成更新管理员密钥;
所述服务器根据所述更新管理员密钥对所述子密钥进行加密,生成更新加密子密钥;
所述管理员新增备用管理员公钥,并上传至所述服务器进行身份认证后替换所述管理员公钥;
所述服务器根据所述备用管理员公钥对所述更新管理员密钥进行加密,生成更新管理员加密密钥;
保存所述更新加密子密钥以及所述更新管理员加密密钥,并删除所述加密子密钥以及所述管理员加密密钥。
第二方面,本申请提供了一种利用硬件安全密钥的多方身份认证的系统,该系统包括:存储器及处理器,所述存储器中包括利用硬件安全密钥的多方身份认证的方法的程序,所述利用硬件安全密钥的多方身份认证的方法的程序被所述处理器执行时实现以下步骤:
服务器生成主密钥,并将主密钥拆分为n个子密钥;
获取n名管理员的硬件安全密钥信息,包括:管理员公钥、管理员私钥以及管理员身份标识信息,并将管理员公钥以及管理员身份标识信息上传至所述服务器;
所述服务器生成n个管理员密钥,根据管理员密钥分别对所述n个子密钥进行加密,生成n个加密子密钥,并根据所述管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储;
所述管理员发出解密请求,并将身份标识信息发送至所述服务器,所述服务器进行身份比对后将所述管理员加密密钥下发至所述管理员;
所述管理员根据所述管理员私钥对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器对所述加密子密钥进行解密,生成解密子密钥;
当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥。
可选地,在本申请所述的利用硬件安全密钥的多方身份认证的系统中,其特征在于,所述服务器生成主密钥,并将主密钥拆分为n个子密钥,包括:
所述服务器生成主密钥,并将主密钥拆分为n个子密钥;
所述n个子密钥的拆分处理公式为:
;
其中,i=1,...n,为第i个子密码,/>为主密钥,/>为n个互不相同的预设非零元素,/>、/>为预设特征系数,/>为预设素数,/>为预设取模特征系数,mod为预设取模运算符。
第三方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中包括利用硬件安全密钥的多方身份认证的方法程序,所述利用硬件安全密钥的多方身份认证的方法程序被处理器执行时,实现如上述任一项所述的利用硬件安全密钥的多方身份认证的方法的步骤。
由上可知,本申请提供的一种利用硬件安全密钥的多方身份认证的方法、系统及介质,通过将服务的关键密钥分担给多个管理员,只要有指定数量的管理员同时参与,就可以执行关键权限,既防止了少数人作恶导致的破坏,也防止了少数人无法参与导致的瘫痪,而且关键密钥由多个用户共同持有,这样即使有个别用户遗失密钥介质,也不会影响服务的正常运行,只要持有密钥的人超过预先设定的阈值,服务就可以正常运行,而且本申请通过硬件安全密钥的备份和管理员密钥的自动更新,解决了硬件安全密钥无法备份和迁移的问题,又可以降低管理员密钥泄漏的风险,增加系统安全性。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的利用硬件安全密钥的多方身份认证的方法的流程图;
图2为本申请实施例提供的利用硬件安全密钥的多方身份认证的方法的生成加密子密钥和管理员加密密钥的流程图;
图3为本申请实施例提供的利用硬件安全密钥的多方身份认证的方法的服务器进行身份比对并下发管理员加密密钥的流程图;
图4为本申请实施例提供的利用硬件安全密钥的多方身份认证的系统的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到,相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,图1是本申请一些实施例中的利用硬件安全密钥的多方身份认证的方法的流程图。该利用硬件安全密钥的多方身份认证的方法用于终端设备中,例如电脑、手机终端等。该利用硬件安全密钥的多方身份认证的方法,包括以下步骤:
S101、服务器生成主密钥,并将主密钥拆分为n个子密钥;
S102、获取n名管理员的硬件安全密钥信息,包括:管理员公钥、管理员私钥以及管理员身份标识信息,并将管理员公钥以及管理员身份标识信息上传至所述服务器;
S103、所述服务器生成n个管理员密钥,根据管理员密钥分别对所述n个子密钥进行加密,生成n个加密子密钥,并根据所述管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储;
S104、所述管理员发出解密请求,并将身份标识信息发送至所述服务器,所述服务器进行身份比对后将所述管理员加密密钥下发至所述管理员;
S105、所述管理员根据所述管理员私钥对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器对所述加密子密钥进行解密,生成解密子密钥;
S106、当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥。
需要说明的是,本申请通过将服务的关键密钥分担给多个管理员,只要有指定数量的管理员同时参与,就可以执行关键权限,既防止了少数人作恶导致的破坏,也防止了少数人无法参与导致的瘫痪,而且关键密钥由多个用户共同持有,这样即使有个别用户遗失密钥介质,也不会影响服务的正常运行,只要持有密钥的人超过预先设定的阈值,服务就可以正常运行,而且本申请通过硬件安全密钥的备份和管理员密钥的自动更新,解决了硬件安全密钥无法备份和迁移的问题,又可以降低管理员密钥泄漏的风险,增加系统安全性。具体包括:服务器生成主密钥,并将主密钥拆分为n个子密钥,获取n名管理员的硬件安全密钥信息,包括:管理员公钥、管理员私钥以及管理员身份标识信息,并将管理员公钥以及管理员身份标识信息上传至服务器,服务器生成n个管理员密钥,根据管理员密钥分别对n个子密钥进行加密,生成n个加密子密钥,并根据管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储,当管理员发出解密请求,并将身份标识信息发送至服务器,服务器进行身份比对后将管理员加密密钥下发至管理员,管理员根据管理员私钥对管理员加密密钥进行解密,生成管理员解密密钥,并发送至服务器对加密子密钥进行解密,生成解密子密钥,当服务器凑齐k个解密子密钥后,将解密子密钥进行拟合处理,获得拟合主密钥。
根据本发明实施例,所述服务器生成主密钥,并将主密钥拆分为n个子密钥,具体为:
所述服务器生成主密钥,并将主密钥拆分为n个子密钥;
所述n个子密钥的拆分处理公式为:
;
其中,i=1,...n,为第i个子密钥,/>为主密钥,/>为n个互不相同的预设非零元素,/>、/>为预设特征系数,/>为预设素数,/>为预设取模特征系数,mod为预设取模运算符。
需要说明的是,为了增加密钥存储的安全性,将主密钥拆分成多个子密钥进行分开存储。
请参照图2,图2是本申请一些实施例中的利用硬件安全密钥的多方身份认证的方法的生成加密子密钥和管理员加密密钥的流程图。根据本发明实施例,所述服务器生成n个管理员密钥,根据管理员密钥分别对所述n个子密钥进行加密,生成n个加密子密钥,并根据所述管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储,具体为:
S201、所述服务器生成与所述n个管理员身份标识信息相对应的n个管理员密钥,并存储所述管理员身份标识信息与管理员密钥;
S202、所述n个管理员密钥通过预设子密钥加密模型分别对所述n个子密钥进行加密,生成n个加密子密钥,并存储;
S203、所述管理员公钥通过预设管理员密钥加密模型分别对所述n个管理员密钥进行加密,生成n个管理员加密密钥,并存储。
需要说明的是,服务器生成与n个管理员身份标识信息相对应的n个管理员密钥,并存储管理员身份标识信息与管理员密钥,n个管理员密钥通过预设子密钥加密模型分别对n个子密钥进行加密,生成n个加密子密钥,并存储,管理员公钥通过预设管理员密钥加密模型分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储,该预设子密钥加密模型是通过获取大量历史样本的管理员密钥、子密钥进行训练获得的模型,可通过输入相关信息进行处理获得对应输出的加密子密钥,该管理员密钥加密模型是通过获取大量历史样本的管理员公钥、管理员密钥进行训练获得的模型,可通过输入相关信息进行处理获得对应输出的管理员加密密钥。
请参照图3,图3是本申请一些实施例中的利用硬件安全密钥的多方身份认证的方法的服务器进行身份比对并下发管理员加密密钥的流程图。根据本发明实施例,所述管理员发出解密请求,并将身份标识信息发送至所述服务器,所述服务器进行身份比对后将所述管理员加密密钥下发至所述管理员,具体为:
S301、所述管理员发出解密请求,并将身份标识信息发送至所述服务器;
S302、所述服务器将所述身份标识信息与存储在服务器内部的所述管理员身份标识信息进行比对后,通过身份验证请求;
S303、所述服务器将所述管理员身份标识信息对应的所述管理员加密密钥下发至所述管理员。
需要说明的是,当管理员需要进行身份认证时,会发出身份认证请求,并将身份标识信息发送至服务器,服务器将身份标识信息与存储在服务器内部的管理员身份标识信息进行比对后,通过身份验证请求,服务器将管理员身份标识信息对应的管理员加密密钥下发至管理员。
根据本发明实施例,所述管理员根据所述管理员私钥对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器对所述加密子密钥进行解密,生成解密子密钥,具体为:
所述管理员根据所述管理员私钥通过预设管理员密钥解密模型对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器;
所述服务器根据所述管理员解密密钥通过预设子密钥解密模型对所述加密子密钥进行解密,生成解密子密钥。
需要说明的是,管理员根据管理员私钥通过预设管理员密钥解密模型对管理员加密密钥进行解密,生成管理员解密密钥,并发送至服务器,服务器根据管理员解密密钥通过预设子密钥解密模型对加密子密钥进行解密,生成解密子密钥,该预设管理员密钥解密模型是通过获取大量历史样本的管理员私钥、管理员加密密钥进行训练获得的模型,可通过输入相关信息进行处理获得对应输出的解密子密钥,该预设子密钥解密模型是通过获取大量历史样本的管理员解密密钥、加密子密钥进行训练获得的模型,可通过输入相关信息进行处理获得对应输出的解密子密钥。
根据本发明实施例,所述当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥,具体为:
当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥;
所述拟合主密钥的拟合处理公式为:
;
其中,、/>、/>为预设特征系数。
需要说明的是,服务器只需要凑齐k个解密子密钥进行拟合处理,即可拟合出主密钥,其中k小于n,即通过将服务的关键密钥分担给多个管理员,只要有指定数量的管理员同时参与,就可以执行关键权限,既防止了少数人作恶导致的破坏,也防止了少数人无法参与导致的瘫痪,而且关键密钥由多个用户共同持有,这样即使有个别用户遗失密钥介质,也不会影响服务的正常运行,只要持有密钥的人超过预先设定的阈值,服务就可以正常运行。
根据本发明实施例,还包括:
所述服务器自动更新所述管理员密钥,生成更新管理员密钥;
所述服务器根据所述更新管理员密钥对所述子密钥进行加密,生成更新加密子密钥;
所述管理员新增备用管理员公钥,并上传至所述服务器进行身份认证后替换所述管理员公钥;
所述服务器根据所述备用管理员公钥对所述更新管理员密钥进行加密,生成更新管理员加密密钥;
保存所述更新加密子密钥以及所述更新管理员加密密钥,并删除所述加密子密钥以及所述管理员加密密钥。
需要说明的是,由于管理员密钥在传输过程中,存在风险暴露点,因此服务器在发送加密的管理员密钥给管理员的同时在内部执行管理员密钥的滚动更新,可以增加安全性,杜绝管理员密钥泄漏可能带来的风险,而为了防止管理员因为不慎丢失硬件安全密钥所导致的身份丢失,管理员也可以随时吊销自己的硬件安全密钥,新增备用的硬件安全密钥。
如图4所示,本发明还公开了利用硬件安全密钥的多方身份认证的系统4,包括存储器41和处理器42,所述存储器中包括利用硬件安全密钥的多方身份认证的方法程序,所述利用硬件安全密钥的多方身份认证的方法程序被所述处理器执行时实现如下步骤:
服务器生成主密钥,并将主密钥拆分为n个子密钥;
获取n名管理员的硬件安全密钥信息,包括:管理员公钥、管理员私钥以及管理员身份标识信息,并将管理员公钥以及管理员身份标识信息上传至所述服务器;
所述服务器生成n个管理员密钥,根据管理员密钥分别对所述n个子密钥进行加密,生成n个加密子密钥,并根据所述管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储;
所述管理员发出解密请求,并将身份标识信息发送至所述服务器,所述服务器进行身份比对后将所述管理员加密密钥下发至所述管理员;
所述管理员根据所述管理员私钥对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器对所述加密子密钥进行解密,生成解密子密钥;
当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥。
需要说明的是,本申请通过将服务的关键密钥分担给多个管理员,只要有指定数量的管理员同时参与,就可以执行关键权限,既防止了少数人作恶导致的破坏,也防止了少数人无法参与导致的瘫痪,而且关键密钥由多个用户共同持有,这样即使有个别用户遗失密钥介质,也不会影响服务的正常运行,只要持有密钥的人超过预先设定的阈值,服务就可以正常运行,而且本申请通过硬件安全密钥的备份和管理员密钥的自动更新,解决了硬件安全密钥无法备份和迁移的问题,又可以降低管理员密钥泄漏的风险,增加系统安全性。具体包括:服务器生成主密钥,并将主密钥拆分为n个子密钥,获取n名管理员的硬件安全密钥信息,包括:管理员公钥、管理员私钥以及管理员身份标识信息,并将管理员公钥以及管理员身份标识信息上传至服务器,服务器生成n个管理员密钥,根据管理员密钥分别对n个子密钥进行加密,生成n个加密子密钥,并根据管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储,当管理员发出解密请求,并将身份标识信息发送至服务器,服务器进行身份比对后将管理员加密密钥下发至管理员,管理员根据管理员私钥对管理员加密密钥进行解密,生成管理员解密密钥,并发送至服务器对加密子密钥进行解密,生成解密子密钥,当服务器凑齐k个解密子密钥后,将解密子密钥进行拟合处理,获得拟合主密钥。
根据本发明实施例,所述服务器生成主密钥,并将主密钥拆分为n个子密钥,具体为:
所述服务器生成主密钥,并将主密钥拆分为n个子密钥;
所述n个子密钥的拆分处理公式为:
;
其中,i=1,...n,为第i个子密钥,/>为主密钥,/>为n个互不相同的预设非零元素,/>、/>为预设特征系数,/>为预设素数,/>为预设取模特征系数,mod为预设取模运算符。
需要说明的是,为了增加密钥存储的安全性,将主密钥拆分成多个子密钥进行分开存储。
根据本发明实施例,所述服务器生成n个管理员密钥,根据管理员密钥分别对所述n个子密钥进行加密,生成n个加密子密钥,并根据所述管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储,具体为:
所述服务器生成与所述n个管理员身份标识信息相对应的n个管理员密钥,并存储所述管理员身份标识信息与管理员密钥;
所述n个管理员密钥通过预设子密钥加密模型分别对所述n个子密钥进行加密,生成n个加密子密钥,并存储;
所述管理员公钥通过预设管理员密钥加密模型分别对所述n个管理员密钥进行加密,生成n个管理员加密密钥,并存储。
需要说明的是,服务器生成与n个管理员身份标识信息相对应的n个管理员密钥,并存储管理员身份标识信息与管理员密钥,n个管理员密钥通过预设子密钥加密模型分别对n个子密钥进行加密,生成n个加密子密钥,并存储,管理员公钥通过预设管理员密钥加密模型分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储,该预设子密钥加密模型是通过获取大量历史样本的管理员密钥、子密钥进行训练获得的模型,可通过输入相关信息进行处理获得对应输出的加密子密钥,该管理员密钥加密模型是通过获取大量历史样本的管理员公钥、管理员密钥进行训练获得的模型,可通过输入相关信息进行处理获得对应输出的管理员加密密钥。
根据本发明实施例,所述管理员发出解密请求,并将身份标识信息发送至所述服务器,所述服务器进行身份比对后将所述管理员加密密钥下发至所述管理员,具体为:
所述管理员发出解密请求,并将身份标识信息发送至所述服务器;
所述服务器将所述身份标识信息与存储在服务器内部的所述管理员身份标识信息进行比对后,通过身份验证请求;
所述服务器将所述管理员身份标识信息对应的所述管理员加密密钥下发至所述管理员。
需要说明的是,当管理员需要进行身份认证时,会发出身份认证请求,并将身份标识信息发送至服务器,服务器将身份标识信息与存储在服务器内部的管理员身份标识信息进行比对后,通过身份验证请求,服务器将管理员身份标识信息对应的管理员加密密钥下发至管理员。
根据本发明实施例,所述管理员根据所述管理员私钥对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器对所述加密子密钥进行解密,生成解密子密钥,具体为:
所述管理员根据所述管理员私钥通过预设管理员密钥解密模型对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器;
所述服务器根据所述管理员解密密钥通过预设子密钥解密模型对所述加密子密钥进行解密,生成解密子密钥。
需要说明的是,管理员根据管理员私钥通过预设管理员密钥解密模型对管理员加密密钥进行解密,生成管理员解密密钥,并发送至服务器,服务器根据管理员解密密钥通过预设子密钥解密模型对加密子密钥进行解密,生成解密子密钥,该预设管理员密钥解密模型是通过获取大量历史样本的管理员私钥、管理员加密密钥进行训练获得的模型,可通过输入相关信息进行处理获得对应输出的解密子密钥,该预设子密钥解密模型是通过获取大量历史样本的管理员解密密钥、加密子密钥进行训练获得的模型,可通过输入相关信息进行处理获得对应输出的解密子密钥。
根据本发明实施例,所述当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥,具体为:
当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥;
所述拟合主密钥的拟合处理公式为:
;
其中,、/>、/>为预设特征系数。
需要说明的是,服务器只需要凑齐k个解密子密钥进行拟合处理,即可拟合出主密钥,其中k小于n,即通过将服务的关键密钥分担给多个管理员,只要有指定数量的管理员同时参与,就可以执行关键权限,既防止了少数人作恶导致的破坏,也防止了少数人无法参与导致的瘫痪,而且关键密钥由多个用户共同持有,这样即使有个别用户遗失密钥介质,也不会影响服务的正常运行,只要持有密钥的人超过预先设定的阈值,服务就可以正常运行。
根据本发明实施例,还包括:
所述服务器自动更新所述管理员密钥,生成更新管理员密钥;
所述服务器根据所述更新管理员密钥对所述子密钥进行加密,生成更新加密子密钥;
所述管理员新增备用管理员公钥,并上传至所述服务器进行身份认证后替换所述管理员公钥;
所述服务器根据所述备用管理员公钥对所述更新管理员密钥进行加密,生成更新管理员加密密钥;
保存所述更新加密子密钥以及所述更新管理员加密密钥,并删除所述加密子密钥以及所述管理员加密密钥。
需要说明的是,由于管理员密钥在传输过程中,存在风险暴露点,因此服务器在发送加密的管理员密钥给管理员的同时在内部执行管理员密钥的滚动更新,可以增加安全性,杜绝管理员密钥泄漏可能带来的风险,而为了防止管理员因为不慎丢失硬件安全密钥所导致的身份丢失,管理员也可以随时吊销自己的硬件安全密钥,新增备用的硬件安全密钥。
本发明第三方面提供了一种可读存储介质,所述可读存储介质中包括利用硬件安全密钥的多方身份认证的方法程序,所述利用硬件安全密钥的多方身份认证的方法程序被处理器执行时,实现如上述任一项所述的利用硬件安全密钥的多方身份认证的方法的步骤。
本发明公开的一种利用硬件安全密钥的多方身份认证的方法、系统及介质,通过将服务的关键密钥分担给多个管理员,只要有指定数量的管理员同时参与,就可以执行关键权限,既防止了少数人作恶导致的破坏,也防止了少数人无法参与导致的瘫痪,而且关键密钥由多个用户共同持有,这样即使有个别用户遗失密钥介质,也不会影响服务的正常运行,只要持有密钥的人超过预先设定的阈值,服务就可以正常运行,而且本申请通过硬件安全密钥的备份和管理员密钥的自动更新,解决了硬件安全密钥无法备份和迁移的问题,又可以降低管理员密钥泄漏的风险,增加系统安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (10)
1.一种利用硬件安全密钥的多方身份认证的方法,其特征在于,包括以下步骤:
服务器生成主密钥,并将主密钥拆分为n个子密钥;
获取n名管理员的硬件安全密钥信息,包括:管理员公钥、管理员私钥以及管理员身份标识信息,并将管理员公钥以及管理员身份标识信息上传至所述服务器;
所述服务器生成n个管理员密钥,根据管理员密钥分别对所述n个子密钥进行加密,生成n个加密子密钥,并根据所述管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储;
所述管理员发出解密请求,并将身份标识信息发送至所述服务器,所述服务器进行身份比对后将所述管理员加密密钥下发至所述管理员;
所述管理员根据所述管理员私钥对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器对所述加密子密钥进行解密,生成解密子密钥;
当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥。
2.根据权利要求1所述的利用硬件安全密钥的多方身份认证的方法,其特征在于,所述服务器生成主密钥,并将主密钥拆分为n个子密钥,包括:
所述服务器生成主密钥,并将主密钥拆分为n个子密钥;
所述n个子密钥的拆分处理公式为:
;
其中,i=1,...n,为第i个子密钥,/>为主密钥,/>为n个互不相同的预设非零元素,/>、/>为预设特征系数,/>为预设素数,/>为预设取模特征系数,mod为预设取模运算符。
3.根据权利要求2所述的利用硬件安全密钥的多方身份认证的方法,其特征在于,所述服务器生成n个管理员密钥,根据管理员密钥分别对所述n个子密钥进行加密,生成n个加密子密钥,并根据所述管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储,包括:
所述服务器生成与所述n个管理员身份标识信息相对应的n个管理员密钥,并存储所述管理员身份标识信息与管理员密钥;
所述n个管理员密钥通过预设子密钥加密模型分别对所述n个子密钥进行加密,生成n个加密子密钥,并存储;
所述管理员公钥通过预设管理员密钥加密模型分别对所述n个管理员密钥进行加密,生成n个管理员加密密钥,并存储。
4.据权利要求3所述的利用硬件安全密钥的多方身份认证的方法,其特征在于,所述管理员发出解密请求,并将身份标识信息发送至所述服务器,所述服务器进行身份比对后将所述管理员加密密钥下发至所述管理员,包括:
所述管理员发出解密请求,并将身份标识信息发送至所述服务器;
所述服务器将所述身份标识信息与存储在服务器内部的所述管理员身份标识信息进行比对后,通过身份验证请求;
所述服务器将所述管理员身份标识信息对应的所述管理员加密密钥下发至所述管理员。
5.据权利要求4所述的利用硬件安全密钥的多方身份认证的方法,其特征在于,所述管理员根据所述管理员私钥对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器对所述加密子密钥进行解密,生成解密子密钥,包括:
所述管理员根据所述管理员私钥通过预设管理员密钥解密模型对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器;
所述服务器根据所述管理员解密密钥通过预设子密钥解密模型对所述加密子密钥进行解密,生成解密子密钥,并存储。
6.根据权利要求5所述的利用硬件安全密钥的多方身份认证的方法,其特征在于,所述当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥,包括:
当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥;
所述拟合主密钥的拟合处理公式为:
;
其中,、/>、/>为预设特征系数。
7.根据权利要求6所述的利用硬件安全密钥的多方身份认证的方法,其特征在于,还包括:
所述服务器自动更新所述管理员密钥,生成更新管理员密钥;
所述服务器根据所述更新管理员密钥对所述子密钥进行加密,生成更新加密子密钥;
所述管理员新增备用管理员公钥,并上传至所述服务器进行身份认证后替换所述管理员公钥;
所述服务器根据所述备用管理员公钥对所述更新管理员密钥进行加密,生成更新管理员加密密钥;
保存所述更新加密子密钥以及所述更新管理员加密密钥,并删除所述加密子密钥以及所述管理员加密密钥。
8.一种利用硬件安全密钥的多方身份认证的系统,其特征在于,包括存储器和处理器,所述存储器中包括利用硬件安全密钥的多方身份认证的数据存储及保护程序,所述利用硬件安全密钥的多方身份认证的数据存储及保护方法程序被所述处理器执行时实现如下步骤:
服务器生成主密钥,并将主密钥拆分为n个子密钥;
获取n名管理员的硬件安全密钥信息,包括:管理员公钥、管理员私钥以及管理员身份标识信息,并将管理员公钥以及管理员身份标识信息上传至所述服务器;
所述服务器生成n个管理员密钥,根据管理员密钥分别对所述n个子密钥进行加密,生成n个加密子密钥,并根据所述管理员公钥分别对n个管理员密钥进行加密,生成n个管理员加密密钥,并存储;
所述管理员发出解密请求,并将身份标识信息发送至所述服务器,所述服务器进行身份比对后将所述管理员加密密钥下发至所述管理员;
所述管理员根据所述管理员私钥对所述管理员加密密钥进行解密,生成管理员解密密钥,并发送至所述服务器对所述加密子密钥进行解密,生成解密子密钥;
当所述服务器凑齐k个所述解密子密钥后,将所述解密子密钥进行拟合处理,获得拟合主密钥。
9.根据权利要求8所述的利用硬件安全密钥的多方身份认证的系统,其特征在于,所述服务器生成主密钥,并将主密钥拆分为n个子密钥,包括:
所述服务器生成主密钥,并将主密钥拆分为n个子密钥;
所述n个子密钥的拆分处理公式为:
;
其中,i=1,...n,为第i个子密码,/>为主密钥,/>为n个互不相同的预设非零元素,/>、/>为预设特征系数,/>为预设素数,/>为预设取模特征系数,mod为预设取模运算符。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包括利用硬件安全密钥的多方身份认证方法程序,所述利用硬件安全密钥的多方身份认证方法程序被处理器执行时,实现如权利要求1至7中任一项所述的利用硬件安全密钥的多方身份认证的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311412891.7A CN117155709B (zh) | 2023-10-30 | 2023-10-30 | 一种利用硬件安全密钥的多方身份认证的方法、系统及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311412891.7A CN117155709B (zh) | 2023-10-30 | 2023-10-30 | 一种利用硬件安全密钥的多方身份认证的方法、系统及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117155709A true CN117155709A (zh) | 2023-12-01 |
CN117155709B CN117155709B (zh) | 2024-01-26 |
Family
ID=88897126
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311412891.7A Active CN117155709B (zh) | 2023-10-30 | 2023-10-30 | 一种利用硬件安全密钥的多方身份认证的方法、系统及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117155709B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050021962A1 (en) * | 2003-06-16 | 2005-01-27 | Microsoft Corporation | System and method for securely delivering installation keys to a production facility |
CN114422261A (zh) * | 2022-02-15 | 2022-04-29 | 北京无字天书科技有限公司 | 管理方法、管理系统、计算机设备和计算机可读存储介质 |
CN114600143A (zh) * | 2019-08-20 | 2022-06-07 | 安珂实验室公司 | 使用硬件安全密钥的加密资产托管系统的风险缓解 |
-
2023
- 2023-10-30 CN CN202311412891.7A patent/CN117155709B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050021962A1 (en) * | 2003-06-16 | 2005-01-27 | Microsoft Corporation | System and method for securely delivering installation keys to a production facility |
CN114600143A (zh) * | 2019-08-20 | 2022-06-07 | 安珂实验室公司 | 使用硬件安全密钥的加密资产托管系统的风险缓解 |
CN114422261A (zh) * | 2022-02-15 | 2022-04-29 | 北京无字天书科技有限公司 | 管理方法、管理系统、计算机设备和计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117155709B (zh) | 2024-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108768988B (zh) | 区块链访问控制方法、设备及计算机可读存储介质 | |
US9832016B2 (en) | Methods, systems and computer program product for providing verification code recovery and remote authentication | |
CN109495274B (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
CN1939028B (zh) | 从多个设备存取网络存储器上的保护数据 | |
CN107113286B (zh) | 跨设备的漫游内容擦除操作 | |
CN110324143A (zh) | 数据传输方法、电子设备及存储介质 | |
CN109587101B (zh) | 一种数字证书管理方法、装置及存储介质 | |
CN105103488A (zh) | 借助相关联的数据的策略施行 | |
US20110302398A1 (en) | Key protectors based on online keys | |
US10887085B2 (en) | System and method for controlling usage of cryptographic keys | |
CN105191207A (zh) | 联合密钥管理 | |
WO2016086788A1 (zh) | 移动终端上数据加/解密方法及装置 | |
CN109543434B (zh) | 区块链信息加密方法、解密方法、存储方法及装置 | |
KR101648364B1 (ko) | 대칭키 암호화와 비대칭키 이중 암호화를 복합적으로 적용한 암/복호화 속도개선 방법 | |
CN110771190A (zh) | 对数据的控制访问 | |
CN111971929A (zh) | 安全分布式密钥管理系统 | |
JP7323004B2 (ja) | データ抽出システム、データ抽出方法、登録装置及びプログラム | |
CN110708291A (zh) | 分布式网络中数据授权访问方法、装置、介质及电子设备 | |
CN111541652B (zh) | 一种用于提高秘密信息保管及传递安全性的系统 | |
CN110933050A (zh) | 一种隐私保护的位置共享系统及方法 | |
CN117155709B (zh) | 一种利用硬件安全密钥的多方身份认证的方法、系统及介质 | |
CN115412236A (zh) | 一种密钥管理和密码计算的方法、加密方法及装置 | |
CN114866317A (zh) | 多方的数据安全计算方法、装置、电子设备和存储介质 | |
CN113824713A (zh) | 一种密钥生成方法、系统及存储介质 | |
CN115276991B (zh) | 安全芯片动态密钥生成方法、安全芯片装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |