客户端为多个客户端和单一服务器生成密钥的方法、设备技术

本申请提供了一种客户端为多个客户端和单一服务器生成密钥的方法、设备，应用于密钥管理系统，该密钥管理系统包括：N个客户端和一个密钥服务器，其中，N为大于等于2的正整数，上述方法包括：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为N+1份密钥分量；所述第一客户端通过安全信道，将所述N+1份密钥分量和所述目标分量一一对应地下发至所述N个客户端和所述密钥服务器。通过上述方式，解决了现有的密钥管理系统所存在的安全性和灵活性较低的问题，达到了有效提升密钥管理安全性和灵活性的技术效果。

Method and device of generating key for multiple clients and single server by client

This application provides a method and device for clients to generate keys for multiple clients and a single server, which is applied to a key management system. The key management system includes N clients and a key server, where N is a positive integer greater than or equal to 2. The method includes: the first client generates a complete target private key and generates a target according to the target private key. Public key, in which the first client is one of the N clients; the first client divides the target private key into N+1 key components; and the first client sends the N+1 key component and the target component to the N clients and the key server one by one through the secure channel. Through the above way, the problem of low security and flexibility of the existing key management system is solved, and the technical effect of effectively improving the security and flexibility of key management is achieved.

【技术实现步骤摘要】
客户端为多个客户端和单一服务器生成密钥的方法、设备
本申请属于信息安全
，尤其涉及一种客户端为多个客户端和单一服务器生成密钥的方法、设备。
技术介绍
目前，针对密钥服务系统而言，一般都是由一个密钥服务器生成密钥，然后将生成的密钥分发给密钥使用方，这样势必会增加密钥服务器的负担，且因为是由单一密钥服务器生成的，导致所有的密钥生成规则都是密钥服务器自身指定和维护的，灵活性不高。针对现有的密钥系统中所存在的上述问题，目前尚未提出有效的解决方案。
技术实现思路
本申请目的在于提供一种客户端为多个客户端和单一服务器生成密钥的方法、设备，可以有效提升密钥管理系统的安全性和密钥管理的灵活性。本申请提供一种客户端为多个客户端和单一服务器生成密钥的方法、设备是这样实现的：一种客户端为多个客户端和单一服务器生成密钥的方法，应用于密钥管理系统，该密钥管理系统包括：N个客户端和一个密钥服务器，其中，N为大于等于2的正整数，所述方法包括：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为N+1份密钥分量；所述第一客户端通过安全信道，将所述N+1份密钥分量和所述目标分量一一对应地下发至所述N个客户端和所述密钥服务器。在一个实施方式中，在所述第一客户端将所述目标私钥拆分为N+1份密钥分量之后，还包括：所述第一客户端为所述N+1份密钥分量分别生成公钥分量，得到N+1份公钥分量；相应的，所述第一客户端将所述N+1份密钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器，包括：所述第一客户端将所述N+1份密钥分量、N+1份公钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器。在一个实施方式中，在所述第一客户端将所述N+1份密钥分量、N+1份公钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器之后，还包括：所述第一客户端发起签名请求，其中，所述签名请求中携带有待签名数据；所述N个客户端中除所述第一客户端之外的客户端和所述密钥服务器，将自身的密钥分量拆分为第一密钥子分量和第二密钥子分量，并通过自身的公钥对拆分得到的第一密钥子分量进行加密得到加密密文；所述N个客户端中除所述第一客户端之外的客户端，将自身对应的第一密钥子分量的密文和第二子分量的明文传送给所述密钥服务器；所述密钥服务器通过安全信道将所述N个客户端中除所述第一客户端之外的客户端和所述密钥服务器，各自对应的第一密钥子分量的密文发送给所述第一客户端；所述第一客户端对接收到的N个第一密钥子分量的密文进行解密，得到所述N个客户端中除所述第一客户端之外的客户端和所述密钥服务器对应的第一密钥子分量；所述第一客户端和所述密钥服务器通过所述安全信道，发起MPC计算，对所述待签名数据进行签名得到签名文件，并将所述签名文件返回至所述N个客户端和所述密钥服务器。在一个实施方式中，在所述第一客户端将所述N+1份密钥分量、N+1份公钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器之后，还包括：所述第一端发起密钥刷新请求；所述N个客户端中除所述第一客户端之外的客户端，各自将自身对应的密钥分量使用自身对应的公钥分量进行加密，得到N-1份私钥分量密文；所述N个客户端中除所述第一客户端之外的客户端，将自身对应的私钥分量密文发送至所述密钥服务器；所述密钥服务器将接收到的N-1份私钥分量密文和自身的密钥分量的明文发送至所述第一客户端；所述第一客户端通过自身存储的密钥分量对所述N-1份私钥分量密文进行解密，得到N-1份密钥分量；所述第一客户端通过自身存储的密钥分量、解密得到的N-1份密钥分量和所述密钥服务器的密钥分量，计算得到所述目标私钥；所述第一客户端将所述目标私钥拆分为N+1份密钥刷新分量，并为所述N+1份密钥刷新分量分别生成公钥刷新分量，得到N+1份公钥刷新分量；所述第一客户端通过所述目标私钥对所述N+1份密钥刷新分量进行签名，得到N+1份签名刷新分量；所述第一客户端通过所述安全信道，将所述N+1份密钥刷新分量、所述N+1份公钥刷新分量和所述N+1份签名刷新分量，下发至所述N个客户端和所述密钥服务器；所述N个客户端和所述密钥服务器分别根据所述目标公钥验证自身接收的签名刷新分量的正确性，在验证通过之后，保存自身接收到的密钥刷新分量和公钥刷新分量。在一个实施方式中，在所述第一客户端将所述N+1份密钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器之后，还包括：所述第一客户端发起签名请求，其中，所述签名请求中携带有待签名数据；所述N个客户端与所述密钥服务器通过确认身份程序完成双向认证并建立安全信道；所述N个客户端与所述密钥服务器通过所述安全信道发起MPC计算对所述待签名数据进行签名，并通过所述目标公钥验证签名的正确性。在一个实施方式中，在所述第一客户端将所述N+1份密钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器之后，还包括所述第一客户端发起密钥刷新请求；所述N个客户端和所述密钥服务器发起MPC计算得到基于所述目标私钥的N+1份密钥刷新分量，并对所述N+1份刷新密钥分量进行签名，得到N+1份签名刷新分量；将所述N+1份刷新密钥分量和N+1份签名刷新分量一一对应地下发至所述N个客户端和所述密钥服务器；所述N个客户端和所述密钥服务器分别根据所述目标公钥验证自身接收的签名刷新分量的正确性，在验证通过之后，保存自身接收到的密钥刷新分量。在一个实施方式中，在所述第一客户端将所述N+1份密钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器之后，还包括：所述第一客户端通过备份方式获取备份的目标私钥；所述第一客户端将所述目标私钥拆分为N+1份备份密钥分量，并对所述N+1份备份密钥分量中的N份备份密钥分量进行签名，得到N份签名分量；所述第一客户端通过所述安全信道，将所述N份备份密钥分量和所述N份签名分量一一对应地下发至所述N个客户端中除所述第一客户端之外的客户端和所述密钥服务器。在一个实施方式中，在第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥之前，还包括：所述N个客户端和所述密钥服务器通过确认身份程序完成双向认证，并下发认证材料；所述N个客户端和所述密钥服务器通过下发的认证材料鉴权并建立所述安全信道。一种终端设备，包括处理器以及用于存储处理器可执行指令的存储器，所述处理器执行所述指令时实现如下步骤：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为N+1份密钥分量；所述第一客户端通过安全信道，将所述N+1份密钥分量和所述目标分量一一对应地下发至所述N个客户端和所述密钥服务器。一种计算机可读存储介质，其上存储有计算机指令，所述指令被执行时实现如下步骤：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为N+1份密钥分量；所述第一客户端通过安全信道，将所述N+1份密钥分量和所述目标分量一一对应地下本文档来自技高网...

【技术保护点】
1.一种客户端为多个客户端和单一服务器生成密钥的方法，应用于密钥管理系统，该密钥管理系统包括：N个客户端和一个密钥服务器，其中，N为大于等于2的正整数，其特征在于，所述方法包括：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为N+1份密钥分量；所述第一客户端通过安全信道，将所述N+1份密钥分量和所述目标分量一一对应地下发至所述N个客户端和所述密钥服务器。

【技术特征摘要】
1.一种客户端为多个客户端和单一服务器生成密钥的方法，应用于密钥管理系统，该密钥管理系统包括：N个客户端和一个密钥服务器，其中，N为大于等于2的正整数，其特征在于，所述方法包括：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为N+1份密钥分量；所述第一客户端通过安全信道，将所述N+1份密钥分量和所述目标分量一一对应地下发至所述N个客户端和所述密钥服务器。2.根据权利要求1所述的方法，其特征在于，在所述第一客户端将所述目标私钥拆分为N+1份密钥分量之后，还包括：所述第一客户端为所述N+1份密钥分量分别生成公钥分量，得到N+1份公钥分量；相应的，所述第一客户端将所述N+1份密钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器，包括：所述第一客户端将所述N+1份密钥分量、N+1份公钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器。3.根据权利要求2所述的方法，其特征在于，在所述第一客户端将所述N+1份密钥分量、N+1份公钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器之后，还包括：所述第一客户端发起签名请求，其中，所述签名请求中携带有待签名数据；所述N个客户端中除所述第一客户端之外的客户端和所述密钥服务器，将自身的密钥分量拆分为第一密钥子分量和第二密钥子分量，并通过自身的公钥对拆分得到的第一密钥子分量进行加密得到加密密文；所述N个客户端中除所述第一客户端之外的客户端，将自身对应的第一密钥子分量的密文和第二子分量的明文传送给所述密钥服务器；所述密钥服务器通过安全信道将所述N个客户端中除所述第一客户端之外的客户端和所述密钥服务器，各自对应的第一密钥子分量的密文发送给所述第一客户端；所述第一客户端对接收到的N个第一密钥子分量的密文进行解密，得到所述N个客户端中除所述第一客户端之外的客户端和所述密钥服务器对应的第一密钥子分量；所述第一客户端和所述密钥服务器通过所述安全信道，发起MPC计算，对所述待签名数据进行签名得到签名文件，并将所述签名文件返回至所述N个客户端和所述密钥服务器。4.根据权利要求2所述的方法，其特征在于，在所述第一客户端将所述N+1份密钥分量、N+1份公钥分量和所述目标分量，一一对应地下发至所述N个客户端和所述密钥服务器之后，还包括：所述第一客户端发起密钥刷新请求；所述N个客户端中除所述第一客户端之外的客户端，各自将自身对应的密钥分量使用自身对应的公钥分量进行加密，得到N-1份私钥分量密文；所述N个客户端中除所述第一客户端之外的客户端，将自身对应的私钥分量密文发送至所述密钥服务器；所述密钥服务器将接收到的N-1份私钥分量密文和自身的密钥分量的明文发送至所述第一客户端；所述第一客户端通过自身存储的密钥分量对所述N-1份私钥分量密文进行解密，得到N-1份密钥分量；所述第一客户端通过自身存储的密钥分量、解密得到的N-1份密钥分量和所述密钥服务器的密钥分...

【专利技术属性】
技术研发人员：颜泽，谢翔，傅志敬，孙立林，
申请(专利权)人：矩阵元技术深圳有限公司，
类型：发明
国别省市：广东,44