客户端各自生成密钥分量的密钥管理方法和电子设备技术

本申请提供了一种客户端各自生成密钥分量的密钥管理方法和电子设备，应用于密钥管理系统中，其中，所述密钥管理系统包括：N个客户端和一个密钥服务器，所述方法包括：所述N个客户端与所述密钥服务器通过确认身份程序完成双向认证，并下发认证材料；N个客户端与所述密钥服务器根据所述认证材料建立安全通道；N个客户端各自生成自身对应的密钥分量，得到N份密钥分量；N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器。通过上述方式解决了现有的密钥管理中所存在的安全性和灵活性低的问题，达到了有效提升密钥安全性和灵活性的技术效果。

Key Management Method and Electronic Equipment for Client Generating Key Components

【技术实现步骤摘要】
客户端各自生成密钥分量的密钥管理方法和电子设备
本申请属于信息安全
，尤其涉及一种客户端各自生成密钥分量的密钥管理方法和电子设备。
技术介绍
目前，针对密钥服务系统而言，一般都是由一个密钥服务器生成密钥，然后将生成的密钥分发给密钥使用方，这样势必会增加密钥服务器的负担，且因为是由单一密钥服务器生成的，导致所有的密钥生成规则都是密钥服务器自身指定和维护的，灵活性不高。针对现有的密钥系统中所存在的上述问题，目前尚未提出有效的解决方案。
技术实现思路
本申请目的在于提供一种客户端各自生成密钥分量的密钥管理方法和电子设备，可以有效提升密钥管理系统的安全性和密钥管理的灵活性。本申请提供一种客户端各自生成密钥分量的密钥管理方法和电子设备是这样实现的：一种客户端各自生成密钥分量的密钥管理方法，应用于密钥管理系统中，其中，所述密钥管理系统包括：N个客户端和一个密钥服务器，所述方法包括：所述N个客户端与所述密钥服务器通过确认身份程序完成双向认证，并下发认证材料；所述N个客户端与所述密钥服务器根据所述认证材料建立安全通道；所述N个客户端各自生成自身对应的密钥分量，得到N份密钥分量；所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器。在一个实施方式中，所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器，包括：所述N个客户端根据各自生成的密钥分量，计算出公钥分量，得到N份公钥分量；从所述N个客户端中选择一个客户端作为第一客户端，其中，所述第一客户端为MPC计算方，所述第一客户端生成的公钥分量作为加密分量；所述N个客户端中除所述第一客户端之外的客户端将自身生成的密钥分量拆分为第一密钥子分量和第二密钥子分量，并通过所述加密分量对第一密钥子分量和公钥分量进行加密，得到N-1份密钥密文和N-1份公钥密文；将所述N-1份密钥密文和N-1份公钥密文发送给所述密钥服务器；所述密钥服务器通过安全信道将所述N-1份密钥密文、N-1份第一密钥子分量明文和N-1份公钥密文发送给所述第一客户端；所述第一客户端对所述N-1份密钥密文和N-1份公钥密文进行解密，得到N-1份密钥子分量和N-1份公钥分量，并使用所述加密分量对所述N-1份公钥分量进行签名，得到N-1份签名分量；所述第一客户端与所述密钥服务器通过所述安全信道，发起MPC计算，得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器。在一个实施方式中，在所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器之后，还包括：所述第一客户端发起签名请求，其中，所述签名请求中携带有待签名数据；所述N个客户端中除所述第一客户端之外的客户端将自身生成的密钥分量拆分为第一密钥子分量和第二密钥子分量，并通过所述加密分量对第一密钥子分量进行加密，得到N-1份密钥密文；所述N个客户端中除所述第一客户端之外的客户端将所述N-1份密钥密文和N-1份第二密钥子分量明文发送给所述密钥服务器；所述密钥服务器通过安全信道将所述N-1份密钥密文发送给所述第一客户端；所述第一客户端对所述N-1份密钥密文进行解密，得到N-1份密钥子分量；所述第一客户端与所述密钥服务器通过所述安全信道，发起MPC计算，对所述待签名数据进行签名，并将签名结果返回所述N个客户端和所述密钥服务器。在一个实施方式中，在所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器之后，还包括：所述N个客户端中的各客户端通过备份方式获取备份密钥；计算所述备份密钥的哈希值，并将所述哈希值发送至所述密钥服务器；所述密钥服务器验证所述哈希值的正确性，在验证通过的情况下，返回所述目标公钥。在一个实施方式中，所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器，包括：所述密钥服务器生成服务密钥分量；所述N个客户端与所述密钥服务器通过所述安全信道，发起MPC计算，计算得到目标公钥。在一个实施方式中，在所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器之后，还包括：第一客户端发起签名请求，其中，所述签名请求中携带有待签名数据，所述第一客户端为所述N个客户端中的一个客户端；所述N个客户端与所述密钥服务器通过所述安全信道，发起MPC计算，对所述待签名数据进行签名，并通过所述目标公钥验证签名结果的正确性。在一个实施方式中，在所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器之后，还包括：所述N个客户端和所述密钥服务器，通过所述安全信道，发起MPC计算得到N+1份备份密钥分量，并对所述N+1份备份密钥分量进行签名，得到N+1份备份签名分量；将所述N+1份备份密钥分量和N份备份签名分量，一一对应地下发至所述N个客户端中的各个客户端和密钥服务器；所述N个客户端和所述密钥服务器通过所述目标公钥验证接收到的备份签名分量的有效性，在验证通过的情况下，保存接收到的备份密钥分量。在一个实施方式中，在所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器之后，还包括：接收恢复请求方的恢复请求，其中，所述恢复请求方为所述N个客户端中的一个设备，所述恢复请求中携带有所述恢复请求方自身的密钥分量和所述目标公钥；所述N个客户端中除所述恢复请求方之外的客户端通过备份方式获取自身备份的密钥分量；所述N个客户端和所述密钥服务器通过所述安全信道，发起MPC计算生成验证公钥，并确定所述验证公钥与所述目标公钥是否相同，在确定相同的情况下，进行MPC计算得到N+1份恢复密钥分量，并对所述N+1份恢复密钥分量进行签名，得到N+1份恢复签名分量；将所述N+1份恢复密钥分量和所述N+1份恢复签名分量，一一对应地发送至所述N个客户端和所述密钥服务器；所述N个客户端和所述密钥服务器通过所述目标公钥验证接收到的恢复签名分量的有效性，在验证通过的情况下，更新并保存接收到的恢复密钥分量。在一个实施方式中，在所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器之后，还包括：所述N个客户端和所述密钥服务器，通过所述安全信道，发起MPC计算得到N+1份刷新密钥分量，并对所述N+1份刷新密钥分量进行签名，得到N+1份刷新签名分量；将所述N+1份刷新密钥分量和N份刷新签名分量，一一对应地下发至所述N个客户端中的各个客户端和密钥服务器；所述N个客户端和所述密钥服务器通过所述目标公钥验证接收到的刷新签名分量的有效性，在验证通过的情况下，保存接收到的刷新密钥分量。一种电子设备，包括处理器以及用于存储处理器可执行指令的存储器，所述处理器执行所述指令时实现如下方法的步骤：N个客户端与所述密钥服务器通过确认身份程序完本文档来自技高网...

【技术保护点】
1.一种客户端各自生成密钥分量的密钥管理方法，应用于密钥管理系统中，其中，所述密钥管理系统包括：N个客户端和一个密钥服务器，其特征在于，所述方法包括：所述N个客户端与所述密钥服务器通过确认身份程序完成双向认证，并下发认证材料；所述N个客户端与所述密钥服务器根据所述认证材料建立安全通道；所述N个客户端各自生成自身对应的密钥分量，得到N份密钥分量；所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器。

【技术特征摘要】
1.一种客户端各自生成密钥分量的密钥管理方法，应用于密钥管理系统中，其中，所述密钥管理系统包括：N个客户端和一个密钥服务器，其特征在于，所述方法包括：所述N个客户端与所述密钥服务器通过确认身份程序完成双向认证，并下发认证材料；所述N个客户端与所述密钥服务器根据所述认证材料建立安全通道；所述N个客户端各自生成自身对应的密钥分量，得到N份密钥分量；所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器。2.根据权利要求1所述的方法，其特征在于，所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器，包括：所述N个客户端根据各自生成的密钥分量，计算出公钥分量，得到N份公钥分量；从所述N个客户端中选择一个客户端作为第一客户端，其中，所述第一客户端为MPC计算方，所述第一客户端生成的公钥分量作为加密分量；所述N个客户端中除所述第一客户端之外的客户端将自身生成的密钥分量拆分为第一密钥子分量和第二密钥子分量，并通过所述加密分量对第一密钥子分量和公钥分量进行加密，得到N-1份密钥密文和N-1份公钥密文；将所述N-1份密钥密文和N-1份公钥密文发送给所述密钥服务器；所述密钥服务器通过安全信道将所述N-1份密钥密文、N-1份第一密钥子分量明文和N-1份公钥密文发送给所述第一客户端；所述第一客户端对所述N-1份密钥密文和N-1份公钥密文进行解密，得到N-1份密钥子分量和N-1份公钥分量，并使用所述加密分量对所述N-1份公钥分量进行签名，得到N-1份签名分量；所述第一客户端与所述密钥服务器通过所述安全信道，发起MPC计算，得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器。3.根据权利要求2所述的方法，其特征在于，在所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器之后，还包括：所述第一客户端发起签名请求，其中，所述签名请求中携带有待签名数据；所述N个客户端中除所述第一客户端之外的客户端将自身生成的密钥分量拆分为第一密钥子分量和第二密钥子分量，并通过所述加密分量对第一密钥子分量进行加密，得到N-1份密钥密文；所述N个客户端中除所述第一客户端之外的客户端将所述N-1份密钥密文和N-1份第二密钥子分量明文发送给所述密钥服务器；所述密钥服务器通过安全信道将所述N-1份密钥密文发送给所述第一客户端；所述第一客户端对所述N-1份密钥密文进行解密，得到N-1份密钥子分量；所述第一客户端与所述密钥服务器通过所述安全信道，发起MPC计算，对所述待签名数据进行签名，并将签名结果返回所述N个客户端和所述密钥服务器。4.根据权利要求2所述的方法，其特征在于，在所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标公钥返回至所述N个客户端和所述密钥服务器之后，还包括：所述N个客户端中的各客户端通过备份方式获取备份密钥；计算所述备份密钥的哈希值，并将所述哈希值发送至所述密钥服务器；所述密钥服务器验证所述哈希值的正确性，在验证通过的情况下，返回所述目标公钥。5.根据权利要求1所述的方法，其特征在于，所述N个客户端和所述密钥服务器根据所述N份密钥分量，计算得到目标公钥，并将所述目标...

【专利技术属性】
技术研发人员：颜泽，谢翔，傅志敬，孙立林，
申请(专利权)人：矩阵元技术深圳有限公司，
类型：发明
国别省市：广东,44