[发明专利]基于三层叠加式密钥管理技术的身份认证和数字签名方法

摘要

采用三层叠加式密钥管理方法，是采用认证或签名密钥来建立身份认证协议或数字签名协议，用传输密钥加密认证或签名密钥，保证认证或签名密钥交换传输过程的安全，用存储密钥分别加密全体对应客户端的传输密钥，保证传输密钥在认证中心端的存储安全，当用户量较大时，不需要购置大量的加密卡设备来存储大量的传输密钥，能大大节约认证中心的建设成本，三层叠加式密钥管理方法，解决了单钥密码算法在身份认证或数字签名系统中密钥更新管理的难题，降低了单钥更新维护的成本，同时，发挥了单钥密码算法加解密速度快的优势，从而，建立基于三层叠加式密钥管理技术的身份认证和数字签名系统。

主权项

基于三层叠加式密钥管理技术的身份认证和数字签名方法，是采用单钥密码算法、三层叠加式密钥管理技术和芯片硬件技术，建立身份认证和数字签名系统；在基于常用的单钥密钥管理情况下，在客户端芯片里写入：单钥密码算法、摘要算法、一组传输密钥、客户端芯片的标识、客户端身份认证协议和数字签名协议，在认证中心端的认证服务器加密卡芯片里，写入单钥密码算法、摘要算法、全体对应认证中心端的客户端芯片的标识和对应的传输密钥，以及认证中心端的身份认证协议和签名验证协议；当用户量较大时，认证中心需要部署较多的加密卡设备，来存储大量对应客户端的传输密钥；在客户端芯片里，用一组随机数作为认证密钥加密另一组随机数S，生成客户端的认证口令，并用传输密钥将认证密钥加密成密文后，与认证口令和随机数S一起发送给认证中心端，在认证中心端加密卡芯片里，使用对应客户端的传输密钥，将接收到的认证密钥的密文解密，再用解密后的认证密钥加密随机数S，生成认证中心端的认证口令，通过对比客户端和认证中心两端的认证口令，来确认客户端用户的身份是否可信，从而，保证合法用户登录，防止非法或越权的网络访问；在客户端芯片里，用一组随机数作为签名密钥对文件进行数字签名，并用传输密钥将签名密钥加密成密文后，与文件和文件的数字签名一起发送给认证中心端，在认证中心端加密卡芯片里，使用对应客户端的传输密钥，将接收到的签名密钥的密文解密，再用解密后的签名密钥，对文件的数字签名进行签名验证，来确认客户端文件的签名是否可信、不可抵赖，且保证被签名的文件数据完整；本发明是采用单钥密码算法和三层叠加式密钥管理技术，在客户端和认证中心端的芯片硬件里，建立身份认证和数字签名系统，其方法的技术特征在于：在基于三层叠加式密钥管理情况下，在客户端芯片里写入：单钥密码算法、摘要算法、客户端芯片的标识、一组传输密钥、客户端身份认证协议和数字签名协议，在认证中心端认证服务器的加密卡芯片里写入：单钥密码算法、摘要算法、一组存储密钥、认证中心端身份认证协议和签名验证协议，在认证中心端认证服务器的硬盘存储区，存储对应认证中心端全体客户端的芯片标识和传输密钥的密文；当用户量较大时，不需要在认证中心部署较多的加密卡设备，来存储大量对应客户端的传输密钥；采用三层叠加式密钥管理技术，是指采用三层叠加式密钥管理方法，其中：第一层密钥为：认证或签名密钥，认证密钥用来建立身份认证协议，签名密钥用来建立数字签名协议；第二层密钥为：传输密钥，传输密钥用于加密认证或签名密钥，保证认证或签名密钥交换传输过程 的安全；第三层密钥为：存储密钥，存储密钥用于分别加密对应全体客户端的传输密钥，保证传输密钥在认证中心端的存储安全，使用存储密钥加密传输密钥，使用传输密钥加密认证或签名密钥，再用认证密钥加密一组随机数生成认证口令，或用签名密钥对客户端文件的“摘要”信息进行加密即：数字签名，从而，建立基于三层叠加式密钥管理技术的身份认证系统和数字签名系统。