一种基于密钥分割实现手机令牌的方法及系统与流程

技术领域

本发明涉及一种信息安全技术领域，具体地说是一种基于密钥分割实现手机令牌的方法及系统。

背景技术：

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。数字证书是一个经证书认证中心（英文全称Certificate Authority，简称CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。人们可以在网上用数字证书来识别对方的身份。

PC环境下，USB Key被广泛用于身份认证领域，比如网上银行、网上报税等。USB Key是一种USB接口的硬件设备。它内置智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。

但是进入移动互联网时代后，USB Key已经无法适应手机终端的应用环境，无法满足人们在手机网银、手机证券、手机电子商务、手机办公等各类移动应用下的身份认证和电子签名需求。而适配手机接口的蓝牙Key、音频Key、SDKey等，用户体验不佳。如何将手机自身作为令牌是目前迫切需要解决的问题。

技术实现要素：

本发明的技术任务是针对以上不足，提供一种基于密钥分割实现手机令牌的方法，来解决USB Key无法适应手机终端的应用环境及适配其他类硬件设备又不方便携带的问题。

本发明的技术任务是按以下方式实现的，

一种基于密钥分割实现手机令牌的方法，利用云端的密码机及认证服务器，以手机作为终端载体，实现手机作为令牌（Mobile AS Token）对数据进行签名或者加密；包括如下步骤：

（1）、注册流程：密码机生成密钥后，对密钥进行分割生成密钥片段，然后将分割后的密钥片段经过双重加密后，输出到手机和认证服务器；

（2）、认证流程：使用手机对数据进行签名或者加密时，认证服务器通过密码机对手机进行认证；

（3）、数字签名流程：认证通过后，密码机分别解密出密钥片段后，合成为完整的密钥，对数据进行签名或者加密；

（4）、密钥销毁：密钥使用一次后由密码机对该密钥进行销毁。

用于产生密钥的密码机是一种基于密钥分割技术提升密钥安全的密码机，密码机具有密钥分割、异地存储、多点认证和密钥用过即毁的功能。

步骤（1）的注册流程包括如下步骤：

①、手机上产生手机的私钥，并针对手机的私钥向证书认证中心申请手机设备证书，并设置远程访问口令和手机设备证书登入命令；手机设备证书登入命令为手机设备证书登入口令和/或手机设备证书登入指纹；

②、密码机产生密码机的私钥，并针对密码机的私钥向证书认证中心申请密码机设备证书；

③、认证服务器调用密码机生成密钥K，密码机将密钥K分割为密钥片段K1、密钥片段K2；

④、密码机使用密码机设备证书以及手机设备证书对密钥片段K1进行双重加密，得到K1”；密码机使用密码机设备证书和远程访问口令对密钥片段K2双重加密,得到K2”；

⑤、K1”发送给手机安全保存， K2”发送给认证服务器安全保存。

步骤（2）的认证流程包括如下步骤：

①、使用手机对数据进行签名或者加密时，通过手机向认证服务器发起认证申请；

②、认证服务器向密码机申请一个随机数R，密码机使用手机设备证书将随机数R加密生成R’；

③、密码机发送R’和安全标识符到手机，同时密码机内保持安全标识符的状态；

④、用户在手机上输入手机设备证书登入命令，调用手机的私钥，通过手机的私钥解密R’，得到随机数R；并采用手机设备证书对随机数R进行签名，发送到认证服务器；手机设备证书登入命令为手机设备证书登入口令或手机设备证书登入指纹；

⑤、认证服务器端验证手机设备证书对随机数R的签名，确认用户的手机可信，认证通过。

步骤（3）的数字签名流程包括如下步骤：

①、在手机上输入手机设备证书登入命令，调用手机的私钥，对K1”进行解密，得到K1’；手机设备证书登入命令为手机设备证书登入口令或手机设备证书登入指纹；

②、利用随机数R加密K1’,得到K1’”；

③、将K1’”、K2”、远程访问口令以及等待手机签名的数据发送到密码机；

④、密码机内根据安全标识符找到随机数R，逐层解密K1’”得到密钥片段K1；根据远程访问口令以及密码机的私钥将K2”解密出密钥片段K2；将密钥片段K1和密钥片段K2合成密钥K；

⑤、使用密钥K对等待手机签名的数据进行签名或者加密操作。

步骤（3）完成操作后，密码机立刻销毁密钥K。

步骤（1）的①中，手机设备证书的证书信息包括手机设备信息和用户信息。

步骤（1）的④中，K1” = Enc（K1,(HSMCert,MCert))；K2” = Enc（K2,(HSMCert,P1))；上述公式中，Mcert为手机设备证书，HSMCert为密码机设备证书。

步骤（2）的②中， R’= Enc（R，MCert）；Mcert为手机设备证书。

一种基于密钥分割实现手机令牌的系统，包括云端的密码机和认证服务器以及以作为终端载体的手机；密码机是一种基于密钥分割技术提升密钥安全的密码机，密码机具有密钥分割、异地存储、多点认证和密钥用过即毁的功能；密码机用于完成密钥的生成、密钥分割、密钥加密输出、对手机进行认证、密钥解密、密钥合成、密钥使用和密钥销毁；手机作为令牌对数据进行签名或者加密；认证服务器通过密码机对手机进行认证。

本发明的一种基于密钥分割实现手机令牌的方法及系统具有以下优点：

1、实现手机作为令牌（Mobile AS Token）对数据进行签名或者加密，用户在使用时，无需其他类硬件设备（如USBKey、蓝牙Key、音频Key），手机随身便携，安全可靠；

2、通过手机终端设备向第三方证书认证中心（简称CA）申请手机设备证书，绑定了手机设备信息和用户信息，并结合了远程访问口令和手机设备证书登入命令这两种访问口令，为使用数字证书技术加密和认证做准备；手机设备证书登入命令为手机设备证书登入口令和手机设备证书登入指纹；所以手机登入时，既可以输入口令进行登入，也可以按指纹进行登入；

3、密码机具有密钥分割、异地存储、多点认证和用过即毁的功能应用，在安全密码机硬件中完成密钥的生成、分割、加密输出、认证、解密、合成、使用、销毁等过程，提升密钥的安全性，保证密钥使用、管理的安全性以及整个密码机系统的安全性；

4、K1”发送给手机安全保存， K2”发送给认证服务器安全保存，两个保存点更加安全；

5、随机数R即为用于挑战应答的密钥，仅有唯一对应的手机设备终端能够解密出随机数R；

6、密码机内保持安全标识符sid的状态，同时利用了安全标识符sid本身的有效期，防止认证服务器作弊；

7、密钥K对待处理的数据进行签名或者加密操作，完成操作后立刻销毁，即仅在使用的一瞬间存在，真正实现一次一密。

附图说明

下面结合附图对本发明进一步说明。

图1为一种基于密钥分割实现手机令牌的系统的框图；

图2为一种基于密钥分割实现手机令牌的方法的注册流程图；

图3为一种基于密钥分割实现手机令牌的方法的认证和签名流程图。

具体实施方式

参照说明书附图和具体实施例对本发明的一种基于密钥分割实现手机令牌的方法及系统作以下详细地说明。

实施例1：

如图1所示，本发明的一种基于密钥分割实现手机令牌的方法，利用云端的密码机及认证服务器，以手机作为终端载体，实现手机作为令牌（Mobile AS Token）对数据进行签名或者加密；用于产生密钥的密码机是一种基于密钥分割技术提升密钥安全的密码机，密码机具有密钥分割、异地存储、多点认证和密钥用过即毁的功能；包括如下步骤：

（1）、注册流程：密码机生成密钥后，对密钥进行分割生成密钥片段，然后将分割后的密钥片段经过双重加密后，输出到手机和认证服务器；

（2）、认证流程：使用手机对数据进行签名或者加密时，认证服务器通过密码机对手机进行认证；

（3）、数字签名流程：认证通过后，密码机分别解密出密钥片段后，合成为完整的密钥，对数据进行签名或者加密；

（4）、密钥销毁：密钥使用一次后由密码机对该密钥进行销毁。

实施例2：

本发明的一种基于密钥分割实现手机令牌的方法，利用云端的密码机及认证服务器，以手机作为终端载体，实现手机作为令牌（Mobile AS Token）进行签名或者加密；用于产生密钥的密码机是一种基于密钥分割技术提升密钥安全的密码机，密码机具有密钥分割、异地存储、多点认证和密钥用过即毁的功能；包括如下步骤：

（1）、注册流程：密码机生成密钥后，对密钥进行分割生成密钥片段，然后将分割后的密钥片段经过双重加密后，输出到手机和认证服务器；包括如下步骤：

①、手机上产生手机的私钥Mkey，并针对手机的私钥Mkey向证书认证中心申请手机设备证书MCert，并设置远程访问口令P1，手机设备证书登入口令P2和手机设备证书登入指纹；手机设备证书Mcert的证书信息包括手机设备信息和用户信息；

②、密码机产生密码机的私钥HSMkey，并针对密码机的私钥HSMkey向证书认证中心申请密码机设备证书HSMCert；

③、认证服务器调用密码机生成密钥K，密码机将密钥K分割为密钥片段K1、密钥片段K2；

④、密码机使用密码机设备证书HSMCert以及手机设备证书Mcert对密钥片段K1进行双重加密，得到K1”；密码机使用密码机设备证书HSMCert和远程访问口令P1对密钥片段K2双重加密,得到K2”；K1” = Enc（K1,(HSMCert,MCert))；K2” = Enc（K2,(HSMCert,P1))；

⑤、K1”发送给手机安全保存， K2”发送给认证服务器安全保存。

（2）、认证流程：使用手机对数据进行签名或者加密时，认证服务器通过密码机对手机进行认证；包括如下步骤：

①、使用手机对数据进行签名或者加密时，通过手机向认证服务器发起认证申请；

②、认证服务器向密码机申请一个随机数R，密码机使用手机设备证书Mcert将随机数R加密生成R’；R’= Enc（R，MCert）；

③、密码机发送R’和安全标识符sid到手机，同时密码机内保持安全标识符sid的状态；

④、用户在手机上输入手机设备证书登入口令P2或手机设备证书登入指纹，调用手机的私钥Mkey，通过手机的私钥Mkey解密R’，得到随机数R；并采用手机设备证书MCert对随机数R进行签名，发送到认证服务器；

⑤、认证服务器端验证手机设备证书MCert对随机数R的签名，确认用户的手机可信，认证通过。

（3）、数字签名流程：认证通过后，密码机分别解密出密钥片段后，合成为完整的密钥，对数据进行签名或者加密；包括如下步骤：

①、在手机上输入手机设备证书登入口令P2或手机设备证书登入指纹，调用手机的私钥Mkey，对K1”进行解密，得到K1’； K1’= Dec（K”，MKey）；

②、利用随机数R加密K1’,得到K1’”；K1’”= Enc(K1’,R)；

③、将K1’”、K2”、远程访问口令P1以及等待手机签名的数据发送到密码机；

④、密码机内根据安全标识符sid找到随机数R，逐层解密K1’”得到密钥片段K1；根据远程访问口令P1以及密码机的私钥HSMkey将K2”解密出密钥片段K2；将密钥片段K1和密钥片段K2合成密钥K；K1 = Dec（K1’”，（R，HSMKey）），K2 = Dec（K2”，（P1，HSMKey））；

⑤、使用密钥K对等待手机签名的数据进行签名或者加密操作。

（4）、密钥销毁：密钥使用一次后由密码机对该密钥进行销毁。

实施例3：

如图1所示，本发明的一种基于密钥分割实现手机令牌的系统，包括云端的密码机和认证服务器以及以作为终端载体的手机；密码机是一种基于密钥分割技术提升密钥安全的密码机，密码机具有密钥分割、异地存储、多点认证和密钥用过即毁的功能；密码机用于完成密钥的生成、密钥分割、密钥加密输出、对手机进行认证、密钥解密、密钥合成、密钥使用和密钥销毁；手机作为令牌对数据进行签名或者加密；认证服务器通过密码机对手机进行认证。

通过上面具体实施方式，所述技术领域的技术人员可容易的实现本发明。但是应当理解，本发明并不限于上述的具体实施方式。在公开的实施方式的基础上，所述技术领域的技术人员可任意组合不同的技术特征，从而实现不同的技术方案。

除说明书所述的技术特征外，均为本专业技术人员的已知技术。