[发明专利]一种多终端统一身份认证的方法及系统

权利要求书

1.一种多终端统一身份认证的方法，其特征在于，包括：

多终端中的任一待认证终端获取由用户私钥拆分成的N个私钥段中的M个私钥段，其中2≤N，2≤M≤N；

所述待认证终端利用所述M个私钥段恢复得到所述用户私钥；

所述待认证终端根据恢复得到的所述用户私钥进行身份认证。

2.如权利要求1所述的方法，其特征在于，待认证终端获取所述M个私钥段的方法具体为：从所述待认证终端的安全芯片内读取所述待认证终端预先获取的X个私钥段，0＜X＜M；从预设的密钥管理服务器获取M-X个私钥段，或者从所述待认证终端之外的其他一个或一个以上的终端中获取M-X个私钥段。

3.如权利要求2所述的方法，其特征在于，所述待认证终端预先获取X个私钥段的过程包括：在所述待认证终端首次使用时，从所述密钥管理服务器获取X个私钥段，并保存在所述待认证终端的安全芯片内。

4.如权利要求3所述的方法，其特征在于，所述待认证终端预先从所述密钥管理服务器获取X个私钥段的过程包括：

所述多终端中的任一终端生成用户密钥对，生成用户密钥对的终端将所述密钥对中的用户私钥拆分成所述N个私钥段，并将所述N个私钥段中的Y个私钥段保存在安全芯片内，其中0＜Y＜M，将N-Y个私钥段发送至所述密钥管理服务器，如果所述待认证终端是所述生成用户密钥对的终端本身，则Y＝X；

所述密钥管理服务器保存所接收的所述N-Y个私钥段中的Z个私钥段，其中0＜Z＜M，将所述N-Y个私钥段中的N-Y-Z个私钥段分发给所述多终端中除了所述生成用户密钥对的终端之外的其他终端，每个终端预先获取的私钥段不超过M个。

5.如权利要求4所述的方法，其特征在于，所述待认证终端根据恢复得到的所述用户私钥进行认证的过程包括：

所述待认证终端获取利用所述密钥对中的用户公钥签发的电子证书；

所述待认证终端根据所述电子证书和恢复得到的所述用户私钥进行身份认证。

6.如权利要求2至5任一项所述的方法，其特征在于，所述密钥管理服务器为CA中心服务器；所述终端为USBKEY设备、设有安全芯片的个人计算机或设有安全芯片的移动终端。

7.如权利要求1至5任一项所述的方法，其特征在于，所述密钥管理服务器与各终端之间通过远程漫游的方式进行通信。

8.一种多终端统一身份认证的系统，其特征在于，包括多个终端和密钥管理服务器，待认证终端为所述多个终端中的任意终端，其中，

所述待认证终端用于获取由用户私钥拆分成的N个私钥段中的M个私钥段，其中2≤N，2≤M≤N；还用于利用所述M个私钥段恢复得到所述用户私钥；还用于根据恢复得到的所述用户私钥进行身份认证。

9.如权利要求8所述的系统，其特征在于，所述待认证终端具体用于在首次使用时，从预设的密钥管理服务器获取X个私钥段，0＜X＜M，并保存在自身的安全芯片内；在认证过程中，用于从自身安全芯片内读取预先获取的X个私钥段，还用于从预设的密钥管理服务器获取M-X个私钥段，或者从所述待认证终端之外的其他一个或一个以上的终端中获取M-X个私钥段。

10.如权利要求8或9所述的系统，其特征在于，所述密钥管理服务器为CA中心服务器；所述终端为USBKEY设备、设有安全芯片的个人计算机或设有安全芯片的移动终端。