[发明专利]一种基于密钥分割实现手机令牌的方法及系统有效
| 申请号: | 201611114815.8 | 申请日: | 2016-12-07 |
| 公开(公告)号: | CN106789977B | 公开(公告)日: | 2020-05-26 |
| 发明(设计)人: | 马臣云 | 申请(专利权)人: | 北京信任度科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L9/32;H04L9/08 |
| 代理公司: | 济南信达专利事务所有限公司 37100 | 代理人: | 杜鹃花 |
| 地址: | 100028 北京市朝阳区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 密钥 分割 实现 手机 令牌 方法 系统 | ||
1.一种基于密钥分割实现手机令牌的方法,其特征在于利用云端的密码机及认证服务器,以手机作为终端载体,实现手机作为令牌对数据进行签名或者加密;包括如下步骤:
(1)、注册流程:密码机生成密钥后,对密钥进行分割生成密钥片段,然后将分割后的密钥片段经过双重加密后,输出到手机和认证服务器;
(2)、认证流程:使用手机对数据进行签名或者加密时,认证服务器通过密码机对手机进行认证;
(3)、数字签名流程:认证通过后,密码机分别解密出密钥片段后,合成为完整的密钥,对数据进行签名或者加密;
(4)、密钥销毁:密钥使用一次后由密码机对该密钥进行销毁;
步骤(1)的注册流程包括如下步骤:
①、手机上产生手机的私钥,并针对手机的私钥申请手机设备证书,并设置远程访问口令和手机设备证书登入命令;
②、密码机产生密码机的私钥,并针对密码机的私钥申请密码机设备证书;
③、认证服务器调用密码机生成密钥K,密码机将密钥K分割为密钥片段K1、密钥片段K2;
④、密码机使用密码机设备证书以及手机设备证书对密钥片段K1进行双重加密,得到K1”;密码机使用密码机设备证书和远程访问口令对密钥片段K2双重加密,得到K2”;
⑤、K1”发送给手机保存, K2”发送给认证服务器保存;
步骤(2)的认证流程包括如下步骤:
①、使用手机对数据进行签名或者加密时,通过手机向认证服务器发起认证申请;
②、认证服务器向密码机申请一个随机数R,密码机使用手机设备证书将随机数R加密生成R’;
③、密码机发送R’和安全标识符到手机,同时密码机内保持安全标识符的状态;
④、用户在手机上输入手机设备证书登入命令,调用手机的私钥,通过手机的私钥解密R’,得到随机数R;并采用手机设备证书对随机数R进行签名,发送到认证服务器;
⑤、认证服务器端验证手机设备证书对随机数R的签名,确认用户的手机可信,认证通过。
2.根据权利要求1所述的一种基于密钥分割实现手机令牌的方法,其特征在于密码机是一种基于密钥分割技术提升密钥安全的密码机,密码机具有密钥分割、异地存储、多点认证和密钥用过即毁的功能。
3.根据权利要求1所述的一种基于密钥分割实现手机令牌的方法,其特征在于步骤(3)的数字签名流程包括如下步骤:
①、在手机上输入手机设备证书登入命令,调用手机的私钥,对K1”进行解密,得到K1’;
②、利用随机数R加密K1’,得到K1’”;
③、将K1’”、K2”、远程访问口令以及等待手机签名的数据发送到密码机;
④、密码机内根据安全标识符找到随机数R,逐层解密K1’”得到密钥片段K1;根据远程访问口令以及密码机的私钥将K2”解密出密钥片段K2;将密钥片段K1和密钥片段K2合成密钥K;
⑤、使用密钥K对等待手机签名的数据进行签名或者加密操作。
4.根据权利要求3所述的一种基于密钥分割实现手机令牌的方法,其特征在于步骤(3)完成操作后,密码机销毁密钥K。
5.根据权利要求1所述的一种基于密钥分割实现手机令牌的方法,其特征在于步骤(1)的①中,手机设备证书的证书信息包括手机设备信息和用户信息;手机设备证书登入命令为手机设备证书登入口令和/或手机设备证书登入指纹;步骤(1)的④中,K1” = Enc(K1,(HSMCert,MCert));K2” = Enc(K2,(HSMCert,P1));上述公式中,Mcert为手机设备证书,HSMCert为密码机设备证书。
6.根据权利要求1所述的一种基于密钥分割实现手机令牌的方法,其特征在于步骤(2)的②中, R’= Enc(R,MCert);Mcert为手机设备证书;步骤(2)的④中,手机设备证书登入命令为手机设备证书登入口令或手机设备证书登入指纹。
7.根据权利要求3所述的一种基于密钥分割实现手机令牌的方法,其特征在于步骤(3)的①中,手机设备证书登入命令为手机设备证书登入口令或手机设备证书登入指纹。
8.一种基于密钥分割实现手机令牌的系统,其特征在于包括云端的密码机和认证服务器以及以作为终端载体的手机;密码机是一种基于密钥分割技术提升密钥安全的密码机,密码机具有密钥分割、异地存储、多点认证和密钥用过即毁的功能;密码机用于完成密钥的生成、密钥分割、密钥加密输出、对手机进行认证、密钥解密、密钥合成、密钥使用和密钥销毁;手机作为令牌对数据进行签名或者加密;认证服务器通过密码机对手机进行认证;
密码机生成密钥后,对密钥进行分割生成密钥片段,然后将分割后的密钥片段经过双重加密后,输出到手机和认证服务器;
使用手机对数据进行签名或者加密时,认证服务器通过密码机对手机进行认证;
认证通过后,密码机分别解密出密钥片段后,合成为完整的密钥,对数据进行签名或者加密;
密钥使用一次后由密码机对该密钥进行销毁;
密码机和认证服务器用于通过包括如下步骤对手机进行注册:
①、手机上产生手机的私钥,并针对手机的私钥申请手机设备证书,并设置远程访问口令和手机设备证书登入命令;
②、密码机产生密码机的私钥,并针对密码机的私钥申请密码机设备证书;
③、认证服务器调用密码机生成密钥K,密码机将密钥K分割为密钥片段K1、密钥片段K2;
④、密码机使用密码机设备证书以及手机设备证书对密钥片段K1进行双重加密,得到K1”;密码机使用密码机设备证书和远程访问口令对密钥片段K2双重加密,得到K2”;
⑤、K1”发送给手机保存, K2”发送给认证服务器保存;
密码机和认证服务器用于通过包括如下步骤对手机进行认证:
①、使用手机对数据进行签名或者加密时,通过手机向认证服务器发起认证申请;
②、认证服务器向密码机申请一个随机数R,密码机使用手机设备证书将随机数R加密生成R’;
③、密码机发送R’和安全标识符到手机,同时密码机内保持安全标识符的状态;
④、用户在手机上输入手机设备证书登入命令,调用手机的私钥,通过手机的私钥解密R’,得到随机数R;并采用手机设备证书对随机数R进行签名,发送到认证服务器;
⑤、认证服务器端验证手机设备证书对随机数R的签名,确认用户的手机可信,认证通过。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京信任度科技有限公司,未经北京信任度科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201611114815.8/1.html,转载请声明来源钻瓜专利网。
