[发明专利]一种基于PKI的多方协同运算的密钥保护方法

说明书

本发明公开了一种基于PKI的多方协同运算的密钥保护方法，涉及电子认证PKI密码技术集成创新领域，本方法结合多种密码技术、多种因子的组合认证，以确保用户私钥的生成、调用、存储安全，通过将用户身份因子作为盐的一部分添加到真实密钥中，并与服务器其他数据混淆后变换得到伪密钥，再对伪密钥进行分片处理，并由用户自己控制存储一部分在本地，通过上述机制实现了单一密钥泄露不影响用户真实密钥的完整性和保密性。

技术领域

本发明涉及电子认证PKI密码技术集成创新领域，特别涉及一种基于PKI的多方协同运算的密钥保护方法。

背景技术

目前电子认证PKI密码技术在终端个人电脑上主要采用硬件介质智能密码钥匙USBkey(如银行U盾、IC卡)来产生、存储及进行密码运算，通过硬件介质的PIN码保护来控制对使用者的鉴权访问，但该硬件目前主要依赖PC应用场景，不利于移动互联网、物联网等智能终端应用场景的便捷使用。传统的通过硬件介质USBkey作为密码保护方式不利于在移动互联网、物联网等智能终端应用场景中便捷使用，一是随身携带USBkey设备不方便、且容易丢失，二是对某些智能终端不能做适配，其对智能终端软硬件环境要求较高。

当前为了在移动互联网、物联网等智能终端应用场景便捷使用PKI数字认证技术，在应用集成时，主要使用软密钥的方式，即由智能终端生成文件密钥，在本地存储调用，该种方式存在极大的安全隐患。其在密钥生成、存储、运算、传递等过程中的每个环节都有可能被恶意程序截取，从而造成密钥泄露。

发明内容

本发明的目的在于：提供了一种基于PKI的多方协同运算的密钥保护方法，针对不方便使用传统UKEY的应用场景，该方法结合了多种密码技术、多种因子的组合认证，以确保用户私钥的生成、调用、存储安全，通过将用户身份因子作为盐的一部分添加到真实密钥中，并与服务器其他数据混淆后变换得到伪密钥，再对伪密钥进行分片处理，并由用户自己控制存储一部分在本地，通过上述机制实现了单一密钥泄露不影响用户真实密钥的完整性和保密性，解决了现有技术在密钥生成、存储、运算、传递等过程中的每个环节都有可能被恶意程序截取，从而造成密钥泄露的问题。

本发明采用的技术方案如下：

一种基于PKI的多方协同运算的密钥保护方法，包括用户User、客户端Client、服务器端Server和外部RA/CA/KMC服务器，

用户User：用户参与信息录入、操作确定；

客户端Client：负责客户端密钥相关运算；

服务器端Server：负责服务器端密钥分割及相关运算，密钥运算需采用安全性高的硬件密码组件实现，将证书申请请求发送给外部RA/CA/KMC服务器，用于申请数字证书和加密密钥；

外部RA/CA/KMC服务器：外部第三方系统服务，用于申请数字证书和加密密钥；

所述基于PKI的多方协同运算的密钥保护方法主要包括以下步骤：

S1用户证书注册：在用户User实名认证通过后，由服务器加密机为用户User随机产生签名密钥及证书请求P10，对真实私钥进行加盐混淆处理，对伪密钥进行A、B、C三段分割，用户User通过身份ID及PIN码保护加密存储其中的A、B两段，服务器通过加密机内置密钥加密存储其中的B、C两段；证书请求P10用于向外部RA/CA/KMC服务器申请证书，用户加密证书的私钥使用伪密钥B段加密后存储；整个密钥产生、分割、传递及保存都采用了PKI技术以及人、设备多因素进行了相应保护。