[发明专利]一种系统客户密钥分发及验证方法

说明书

技术领域

本发明涉及计算机系统加密及验证领域，尤其涉及一种系统客户密钥分发及验证方法。

背景技术

身份验证的目的是确认当前所声称为某种身份的客户。在日常生活中，身份验证并不罕见，比如通过检查对方的证件，我们一般可以确信对方的身份。身份验证的方法有很多，基本上可分为：基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。不同的身份验证方法，安全性也各有高低。

目前大多数系统都采用基于共享密钥的身份验证，基于共享密钥的身份验证是指服务器端和客户共同拥有一个或一组密码。当客户需要进行身份验证时，客户通过输入或通过保管有密码的设备提交由客户和服务器共同拥有的密码。服务器在收到客户提交的密码后，检查客户所提交的密码是否与服务器端保存的密码一致，如果一致，就判断客户为合法客户。如果客户提交的密码与服务器端所保存的密码不一致时，则判定身份验证失败。但是客户在登录系统时候提交的密码一般都是注册系统时的密码，结构简单，具有较低的安全性，很容易被木马程序等获取，可能使客户利益受到损害。云计算服务的提供商大多会提供可靠的产品、服务和基础设施，因此越来越多的网络犯罪都是从最终客户下手。在云计算平台上包括大量的客户，如果采用简单的共享密钥加密机制，就会很大程度的降低云平台上的安全性。

发明内容

本发明的发明目的在于提供一种系统客户密钥分发方法，由系统在初始状态自动为各个客户群组生成密钥，并采用更加安全的方法分发客户密钥的机制。

为了实现本发明的发明目的，采用如下的技术方案：

一种系统客户密钥分发方法，所述系统包括服务器和客户端，每个客户有与其对应的客户端，服务器将客户按群组划分，对每个群组生成用于标识客户群组的群密钥，并在服务器的数据库中预先存储有多个客户密钥，同时由客户所属群组的群密钥及所属群组所有客户的客户密钥结合的方式分发客户密钥给客户所在的客户端，所述客户密钥用于客户端登陆服务器。

作为一种优选方案，所述系统在初始化时生成根密钥、设备密钥和存取密钥，

所述根密钥用于超级管理员管理整个系统；

所述设备密钥用于二级管理员登录服务器；

所述存取密钥用于二级管理员存取客户密钥。

作为进一步的优选方案，所述根密钥保存在信任根容器，所述存取密钥和设备密钥保存在数据库中。

作为一种优选方案，客户端在服务器中进行注册激活，得到服务器分发到一个客户ID和一个群密钥SID。

作为进一步的优选方案，所述群密钥SID保存在客户端，对客户可见。

作为进一步的优选方案，所述由客户所属群组的群密钥及所属群组所有客户的客户密钥结合的方式分发客户密钥给客户所在的客户端具体为：

对第i个客户端分发客户密钥的方法为：

服务器通过下式构建多项式A(x)：

，

式中，ψ为第i个客户所在的群组，为通过哈希函数计算得到的值，为第m个客户的群密钥，z为随机数；

服务器从数据库中随机提取一个客户密钥K，通过下式构建得到多项式P(x)：

，

并将构建得到的多项式P(x)和z发送到第i个客户的客户端；

第i个客户的客户端得到多项式P(x)和z后，代入下式

，

计算得到客户端的客户密钥K’，并进行存储。

作为一种优选方案，所述方法还包括与分发方法相对应的验证方法，对于客户端的验证方法包括：

（1）验证客户端提供的客户名和密码，若匹配则进行步骤（2），若不匹配则返回验证失败信息；

（2）验证客户端提供的客户ID和客户端的客户密钥K’，若匹配则进行步骤（3），若不匹配则返回验证失败信息；

（3）验证客户端提供的群密钥，若匹配则通过身份验证，若不匹配则返回验证失败信息。

作为进一步的优选方案，服务器预先对所有分发过客户密钥的客户，通过下式得到其对应的边界权值P，并存入数据库，

式中，为第j个客户的边界权值，为第j个客户的客户密钥值，为超级管理员的客户密钥值，为第j个客户的客户ID，表示一种加密算法;

所述步骤（2）验证客户ID和客户密钥K’包括：

服务器根据客户端提供的客户ID和客户密钥K’，根据以下公式计算出客户端边界值p’：

；

比较客户端边界值p’与存放在数据库中对应客户的边界权值P是否相等，若相等则匹配，若不相等则不匹配。