[发明专利]一种移动终端平台的密钥管理方法及系统

权利要求书

1.一种移动终端平台的密钥管理方法，其特征在于，包括以下步骤：

S1、在数据库中生成密钥拥有者对应的第一类密钥中的第一类非对称密钥，并计算所述第一类非对称密钥的存储索引的Hash值，上传到区块链并通过区块链的共识机制记录；将第一类非对称密钥利用数据拥有者对应的项目密钥进行加密，将加密后的第一类非对称密钥和第一类非对称密钥对应的元数据存储到数据库；密钥管理系统的日志的Hash值通过系统审计者的公钥加密，上传到区块链并通过区块链的共识机制记录；

S2、创建第二类密钥，所述第二类密钥包括第二类非对称密钥和第二类对称密钥，分别利用项目密钥将第二类非对称密钥和第二类对称密钥加密；将加密后的第二类非对称密钥和第二类对称密钥及其对应元数据存储在密钥管理系统中；分别计算第二类非对称密钥和第二类对称密钥的存储索引的Hash值；

利用第一类非对称密钥的公钥将第二类非对称密钥和第二类对称密钥的存储索引的Hash值上传到区块链并通过区块链的共识机制记录；利用系统审计者的公钥将第二类非对称密钥和第二类对称密钥的日志的Hash值加密，并利用第一类非对称密钥的公钥上传到区块链并通过区块链的共识机制记录；

S3、利用第一类非对称密钥在区块链上创建交易，建立第二类密钥的智能合约，添加允许访问的用户和相应权限的元数据，形成第二类密钥的访问控制规则，采用零知识证明技术加密隐藏形成隐藏的智能合约，加密存储在区块链上；建立第二类密钥和所述访问控制规则之间的映射关系，并将映射关系索引及其Hash值通过零知识证明技术存储到区块链上去；

S4、第二类密钥再次被密钥拥有者使用时，将访问控制规则利用零知识证明技术加密隐藏形成隐藏的第二类密钥的访问控制规则，调用隐藏的智能合约；所述隐藏的智能合约根据映射关系索引调用隐藏的第二类密钥的访问控制规则，进而判断访问者是否符合所述访问控制规则；

第二类密钥的访问控制权限为x，采用NTRU同态加密对x进行加密得到隐藏的第二类密钥的访问控制权限X，并获得第二类密钥的访问控制权限的签名sign，其中同态加密为：

其中，r为随机选取的噪声，h为第一类非对称密钥的公钥，p,q为参数；

执行零知识证明的证明步骤：

Prove是证明函数，零知识证明的证明过程是构造QAP问题，获得证明π，使得二次计算方程满足：

其中，A，B，C是二次计算方程参数；

隐藏的智能合约根据映射关系索引调用相应的隐藏的第二类密钥的访问控制规则，执行零知识证明的验证过程：

其中，S为智能合约；

若符合，则使用第二类密钥；若不符合，则拒绝访问；使用公钥将日志的Hash值加密，形成交易，存储到区块链上；

第二类密钥被密钥使用者使用时，调用隐藏的智能合约；隐藏的智能合约根据映射关系索引调用隐藏的第二类密钥的访问控制规则，进而判断访问者是否符合访问控制规则；若符合，则使用第二类密钥；若不符合，则拒绝访问；使用公钥将日志的Hash值加密，形成交易，存储到区块链上。

2.根据权利要求1所述的移动终端平台的密钥管理方法，其特征在于，所述S4步骤当密钥使用者不具有访问权限时，密钥使用者向密钥拥有者请求授权；密钥拥有者采用零知识证明技术形成密钥使用者的隐藏访问控制权限；密钥拥有者更新隐藏的智能合约，在密钥的访问控制合约中添加相应的访问控制规则，允许密钥使用者访问第二类密钥；同时，密钥拥有者更新隐藏的智能合约，在访问控制合约中删除相应的访问控制规则，禁止密钥使用者访问第二类密钥。

3.根据权利要求1所述的移动终端平台的密钥管理方法，其特征在于，所述移动终端平台中存在多个分布式密钥管理系统，密钥管理系统支持加解密功能；用户在访问密钥管理系统上的密钥时，首先通过区块链上的隐藏的智能合约判断第二类密钥在多个分布式密钥管理系统的位置索引。

4.根据权利要求3所述的移动终端平台的密钥管理方法，其特征在于，所述移动终端平台基于区块链管理，所述移动终端平台在建立时首先在创世块建立多个基础智能合约，用于进行密钥管理使用，所述基础智能合约被用户创建的隐藏的智能合约继承；所述基础智能合约包括：只有密钥拥有者访问第二类密钥。