[发明专利]一种新型的终端安全软密钥管理方法

说明书

技术领域

本发明涉及密钥管理领域，特别涉及一种基于密钥认证的终端软密钥管理方法。

背景技术

随着Internet的普及，人们通过因特网进行沟通越来越多，相应的通过网络进行商务活动即电子商务也得到了广泛的发展。电子商务为我国企业开拓国际国内市场、利用好国内外各种资源提供了一个千载难逢的良机。电子商务对企业来说真正体现了平等竞争、高效率、低成本、高质量的优势，能让企业在激烈的市场竞争中把握商机、脱颖而出。发达国家已经把电子商务作为21世纪国家经济的增长重点，我国的有关部门也正在大力推进我国企业发展电子商务。然而随着电子商务的飞速发展也相应的引发出一些Internet安全问题。

概括起来，进行电子交易的互联网用户所面临的安全问题有：

一，保密性：如何保证电子商务中涉及的大量保密信息在公开网络的传输过程中不被窃取；

二，完整性：如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易；

三，身份认证与授权：在电子商务的交易过程中，如何对双方进行认证，以保证交易双方身份的正确性；

四，抗抵赖：在电子商务的交易完成后，如何保证交易的任何一方无法否认已发生的交易。这些安全问题将在很大程度上限制电子商务的进一步发展，因此如何保证Internet网上信息传输的安全，已成为发展电子商务的重要环节。

PKI(公钥基础设施)技术采用证书管理公钥，通过第三方的可信任机构--认证中心CA(CertificateAuthority)，把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起，在Internet网上验证用户的身份。

PKI是基于第三方认证的公钥体系，只能依靠CA中心进行在线认证，需要在线数据库的支持。一旦CA不可信任，那么所有的信任关系均失效；PKI认证体系中密钥被窃听者获取后，易造成信息泄露与篡改；再者，当多个人同时进行通信时，每两个通信者共享一个密钥，则N个人两两通信，需要N*(N-1)对密钥，对于密钥管理中心而言，密钥的分发与管理变得复杂，用户对于密钥的管理也耗费极大的工作量。

CPK认证体系---组合公钥技术以一定数量的公、私钥因子为基础，可以产生出数量极其巨大的公、私钥对，从技术体制本身解决了密钥管理规模化和密钥本身即可证明标识的课题，不需要可信第三方的证明，具有系统简介高效、可行性好的优点，可以有效低解决多种分布式应用的大规模密钥的集中管理问题，作为一种简捷、高效、经济的密钥管理方案，组合公钥技术可以作为安全基础设施支持包括电子银行、电子商务、邮件认证、手机认证、证券认证等大型分布式应用的交易安全。

CPK的应用和实施过程中，需要使用者部署CPK密钥管理系统，根据不同的业务需求部署不同版本的密钥管理系统版本，密钥管理系统以硬件服务器的形式部署，正式实施过程中，用户的密钥下载后存放在U-key中，对于使用者而言增加硬件成本，且在使用过程中U-key有可能发生遗失，给用户造成使用上的麻烦。

发明内容

为了解决上述问题，本发明提出了一种新型的终端安全软密钥管理方法，将软密钥管理系统内置于可执行文件内,当发生支付交易时，以某一项或者多项信息作为标识ID，交易双方基于标识ID通过终端内置的软密钥系统，进行交易双方的相互认证和加解密，实现安全交易。

本发明的技术方案如下：

一种新型的终端安全软密钥管理方法，包括如下步骤：

步骤1，将软密钥系统置于可执行文件内，加密保存，集成在终端和后台管理系统中，密钥的管理和生成均在软密钥系统内进行；软密钥系统选取交易双方的一项或者多项信息作为标识ID，基于业务子域标识映射出公、私钥对；

步骤2，在线消费付款时，由收款方输入包括金额在内的付款信息，收款方终端根据收款方信息及付款信息生成第一收款二维码；付款方扫描第一收款二维码后，软密钥系统选取随机数，根据付款方的标识ID映射出私钥，用私钥对该随机数进行签名；将收款方信息、付款信息、付款方信息、付款方签名信息一起发往后台管理系统；

后台管理系统收到付款方发来的信息后，软密钥系统根据付款方的标识ID和对应的业务子域标识，映射出公钥，用公钥对付款方签名信息进行验签；若验签失败，则交易终止；若验签成功，则后台管理系统进行交易处理，处理后后台管理系统返回相应数据给付款方和收款方；

步骤3，离线支付时，在收款方终端，输入收款金额，软密钥系统选取随机数，用私钥对该随机数进行签名，将交易信息、收款方信息、收款方签名信息一起生成第二收款二维码；