【技术实现步骤摘要】
一种基于密钥分割的协同签名系统及方法
[0001]本专利技术属于密码工程
,具体涉及一种基于密钥分割的协同签名系统及方法。
技术介绍
[0002]随着移动互联网技术的高速发展,移动智能终端广泛深入到人们生活的各个方面,带来精彩、便捷的生活体验。
[0003]移动智能终端应用通信内容都通过公开无线信道传送,易受攻击,对信息安全构成了严重的威胁。同时,其操作系统的复杂性和应用的多样化,导致被攻击的可能性也大大增加,带来了大量安全问题。而移动智能终端使用传统硬件密码设备保障安全存在如不易携带,连接不便等诸多不便问题。
[0004]现有技术中,CN106327184A公开了一种基于安全硬件隔离的移动智能终端支付系统及方法,包括:支付服务器、移动智能终端、安全硬件;安全硬件独立于移动智能终端,保护用户的认证数据安全,并对外提供随机数生成、证书请求、信息签名服务,同时具有安全存储功能,将用户支付证书私钥和密码存储在安全硬件中,有效防止这些敏感数据被攻击者获取,并且支付信息将由用户在安全硬件进行确认,从而防止支付信息...
【技术保护点】
【技术特征摘要】
1.一种基于密钥分割的协同签名系统,其特征在于,所述系统包括移动智能终端密码模块、协同签名服务器、密钥分量产生协议、协同签名协议;所述移动智能终端密码模块是软件密码模块,用于向移动智能终端提供移动智能终端密码服务,包括终端密钥分量产生服务、终端密钥分量存储服务、终端协同签名服务;所述协同签名服务器配合所述移动智能终端密码模块提供服务器端密码服务,包括服务端协同签名服务、服务端密钥分量产生服务、服务端密钥分量存储服务,所述协同签名服务器包括物理密码卡,所述物理密码卡与所述服务端协同签名服务之间通过服务器端密钥分量管理接口、密码计算接口连接。2.根据权利要求1所述的一种基于密钥分割的协同签名系统,其特征在于,所述终端密钥分量产生服务包括通过移动智能终端密码模块内置的SM2算法产生终端密钥分量,具体过程如下:1)产生终端私钥分量d
A
,d
A
[1,n
−
1];2)计算参数D1,D1=[d
A
]G;3)向协同签名服务器公开ID
A
、D1;其中,ID
A
是终端身份标识。3.根据权利要求1所述的一种基于密钥分割的协同签名系统,其特征在于,所述终端密钥分量存储服务通过使用移动智能终端密码模块登录口令作为密钥,采用SM4算法加密保护终端密钥分量,具体过程如下:1)用登录口令password和盐值salt使用派生K1,K1=PBKDF(password,salt);2)用K1加密保护d
A
,ENCd
A
=SM4(K1, dA);3)存储ENCd
A
。4.根据权利要求1所述的一种基于密钥分割的协同签名系统,其特征在于,所述终端协同签名服务在服务器端密钥分量产生后开始工作,通过使用终端密钥分量计算终端的签名中间结果,并与服务器端交换中间签名结果,最终由移动智能终端密码模块合成完整数字签名。5.根据权利要求4所述的一种基于密钥分割的协同签名系统,其特征在于,所述通过使用终端密钥分量计算终端的签名中间结果,并与服务器端交换中间签名结果,最终由移动智能终端密码模块合成完整数字签名的具体过程包括:1)产生随机数k
A1
,k
A1
[1,n
−
1];2)产生随机数k
A2
,k
A2
[1,n
−
1];3)计算参数W
A
,W
A
=[k
A1
]U
B
+k
A2
G={x,y};4)计算数据M的杂凑值e,e=HASH(M);5)计算r,r=(e+x)mod n;6)计算s2,s2=[d
A
‑1][k
A1
]mod n;7)计算s3,s3=(k
A2
+r)[d
A
‑1]mod n;8)向协同签名服务器公开s2、s3;9)在获取到服务端协同签名服务公开的t值后,计算s值,s=t
‑
r;10)组成完整签名值(r,s)。
6.根据权利要求1所述的一种基于密钥分割的协同签名系统,其特征在于,所述的物理密码卡具有PCI
‑
E接口,用...
【专利技术属性】
技术研发人员:刘歆,王亮,王天顺,
申请(专利权)人:中安网脉北京技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。