本申请的一些实施例提供了一种公用终端分时个人化应用的方法、系统及电子设备,该方法应用于密码服务端,包括:接收由用户持有的用户终端发送的第一数据信息,所述第一数据信息是基于所述用户终端的第一密钥分量得到的;接收由目标终端发送的第二数据信息;根据第二密钥分量、所述第一数据信息以及所述第二数据信息,得到第三密钥分量,其中,公用终端所产生第二数据信息可计算得出第四密钥分量,所述第三密钥分量与所述目标终端的第四密钥分量匹配,能够通过协同配合,在公用终端个人使用期间代表用户完成数字签名、数据加密解密等操作。作。作。
【技术实现步骤摘要】
公用终端分时个人化应用的方法、系统及电子设备
[0001]本申请涉及密钥安全
,具体而言,涉及一种公用终端分时个人化应用的方法、系统及电子设备。
技术介绍
[0002]为了保证信息的传递、存储和处理过程中的安全性,主流技术是依据电子签名法,在终端采用公钥密码技术,用户通过在终端中产生密钥对(公钥与私钥)并将用户身份与公钥形成数字证书请求,并向依法设立的电子认证机构申请数字证书,利用终端中的私钥和证书就可以提供身份认证、信息机密性、信息完整性、以及操作行为的不可否认性等安全功能,从而为各种网络应用提供可靠电子签名安全支撑。
[0003]在一些业务场景(例如,医疗领域、警用领域和租用设备领域等等)中,终端设备是公用的,也就是终端设备可以在不同的时段由数个不同的用户采用对应的密钥进行解密使用。为了实现密钥安全,终端设备上的密码模块一般都设计为由具有有效权限的使用者使用和控制,以此保证密钥的专有专用。但是,考虑密钥安全性以及终端安全存储区资源受限情况,公有的终端设备无法长期存储某个特定使用者的密钥,也不能长期保存很多“可能使用到该设备的用户”的密钥。
[0004]目前,研究人员常用方法是,公用终端设备在每次分配给特定人员使用时,先将公用终端设备清除干净再临时产生密钥给特定人员,但是该临时密钥与特定人员身份并未一一对应,因此使用过程中面临无法提供网络身份认证功能的不足之处。为此,改进方法是公用终端设备产生密钥之后,每次还额外需要到依法设立的电子认证机构申请证书,而申请证书过程中,为了保证身份的真实性,就必须经过身份核验等一系列过程才能签发出证书。同时还需要验证签名方接受和信任该证书,无疑大大增加了业务的复杂度,降低了业务效率。
[0005]因此,如何提供一种公用密码设备实现分时个人化应用的技术方案成为亟需解决的技术问题。
技术实现思路
[0006]本申请的一些实施例的目的在于提供一种公用终端分时个人化应用的方法、系统及电子设备,本申请的实施例的技术方案可以将公用终端(作为目标终端的一个具体示例)个人化,通过将第一密钥分量和第二密钥分量作为预置条件,并结合公用终端的数据在密码服务端生成第三密钥分量,之后将第三密钥分量和公用终端的第四密钥分量构成分时个人密钥,可以实现对用户身份的鉴别,而不再需要每次去电子认证机构重新申请证书,提升了处理业务的效率,降低了业务的复杂度。
[0007]第一方面,本申请的一些实施例提供了公用终端分时个人化应用的方法,应用于密码服务端,包括:接收由用户持有的用户终端发送的第一数据信息,所述第一数据信息是基于所述用户终端的第一密钥分量得到的;接收由目标终端发送的第二数据信息;根据第
二密钥分量、所述第一数据信息以及所述第二数据信息,得到第三密钥分量,其中,所述第三密钥分量与所述目标终端的第四密钥分量匹配构成分时个人密钥,所述第四密钥分量是由所述目标终端根据所述第二数据信息生成的,所述第一密钥分量与所述第二密钥分量匹配构成所述分时个人密钥。
[0008]本申请的一些实施例的密码服务端通过用户终端的第一数据信息、目标终端的第二数据信息以及密码服务端的第二密钥分量,得到第三密钥分量。之后将第三密钥分量和公用终端(也就是目标终端)的第四密钥分量构成分时个人化密钥,就可以用于机密性和完整性保护用途,同时分时个人化密钥自身与用户证书密钥一一对应,可实现用户身份认证,不需要每次去电子认证机构申请证书,提升了处理业务的效率,降低了业务的复杂度。同时,第三密钥分量与第四密钥分量匹配,能够通过协同配合,在公用终端个人使用期间代表用户完成数字签名、数据加密解密等操作。
[0009]在一些实施例,所述方法还包括:生成与所述第一数据信息对应的任务序号,并将所述任务序号发送至所述用户终端。
[0010]本申请的一些实施例通过生成任务序号,作为记录本次生成第三密钥分量这一任务的标识,可以确保任务的有序进行。
[0011]在一些实施例,所述方法还包括:接收所述用户终端发送的变换函数,以及接收所述目标终端发送的认证信息,其中,所述认证信息是由所述用户终端生成并发送至所述目标终端的;根据第二密钥分量、所述第一数据信息以及所述第二数据信息,得到第三密钥分量,包括:将所述认证信息输入至所述变换函数得到变换数据;对所述第二密钥分量、所述第一数据信息、所述变换数据以及所述第二数据信息之间进行运算,得到所述第三密钥分量,其中,所述运算包括:模加、模减、模乘、加法、减法和乘法中的至少一种。
[0012]本申请的一些实施例通过对相关数据进行随机运算,得到第三密钥分量,使得第三密钥分量的随机性较高,其他人无法猜测和分析,安全性较高。
[0013]在一些实施例,所述第二数据信息是由所述目标终端对生成的多个随机数进行运算得到的。
[0014]本申请的一些实施例的目标终端可以通过多个随机数得到第二数据信息,可以使得最终得到的第三密钥分量的安全性较高。
[0015]在一些实施例,在所述根据第二密钥分量、所述第一数据信息以及所述第二数据信息得到第三密钥分量之后,所述方法还包括:在所述目标终端异常时,对所述用户的身份进行鉴别;确认所述身份鉴别为通过时,则清除所述第三密钥分量。
[0016]本申请的一些实施例通过在目标终端异常时用户身份鉴别通过时清除第三密钥分量,可以实现对用户身份的鉴别,并且使得除用户之外的人无法通过分时个人密钥访问目标终端,确保了目标终端的安全性。
[0017]第二方面,本申请的一些实施例提供了一种公用终端分时个人化应用的方法,应用于用户终端,包括:接收目标终端发送的初始消息;生成认证信息,所述认证信息用于表征用户使用所述目标终端的授权凭据;根据第一密钥分量、所述初始消息和所述认证信息,获取第一数据信息,并至少将所述第一数据信息发送至密码服务端,其中,所述第一密钥分量由所述用户终端生成并存储,所述第一数据信息用于被所述密码服务端处理生成第三密钥分量。
[0018]本申请的一些实施例的用户终端通过将第一密钥分量、初始消息和认证信息得到的第一数据信息发送给密码服务端,可以为密码服务端提供必要的数据支持。发送的数据不是将第一密钥分量的明文直接发送,而是将第一密钥分量变化后的形式进行发送,安全性较高。
[0019]在一些实施例,所述方法还包括:接收所述密码服务端发送的与所述第一数据信息对应的任务序号;将所述任务序号和所述认证信息发送至所述目标终端。
[0020]本申请的一些实施例通过接收任务序号,作为记录本次生成第三密钥分量这一任务的标识,可以确保任务的有序进行。
[0021]在一些实施例,所述根据第一密钥分量、所述初始消息和所述认证信息,获取第一数据信息,包括:将所述认证信息输入至变换函数,得到变换信息;对所述第一密钥分量、所述初始消息和所述变换信息之间进行运算,得到所述第一数据信息,其中,所述运算包括:模加、模减、模乘、加法、减法和乘法中的至少一种。
[0022]在一些实施例,所述至少将所述第一数据信息发送至本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.公用终端分时个人化应用的方法,其特征在于,应用于密码服务端,包括:接收由用户持有的用户终端发送的第一数据信息,所述第一数据信息是基于所述用户终端的第一密钥分量得到的;接收由目标终端发送的第二数据信息;根据第二密钥分量、所述第一数据信息以及所述第二数据信息,得到第三密钥分量,其中,所述第三密钥分量与所述目标终端的第四密钥分量匹配构成分时个人密钥,所述第四密钥分量是由所述目标终端根据所述第二数据信息生成的,所述第一密钥分量与所述第二密钥分量匹配构成所述分时个人密钥。2.如权利要求1所述的方法,其特征在于,所述方法还包括:生成与所述第一数据信息对应的任务序号,并将所述任务序号发送至所述用户终端。3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:接收所述用户终端发送的变换函数,以及接收所述目标终端发送的认证信息,其中,所述认证信息是由所述用户终端生成并发送至所述目标终端的;根据第二密钥分量、所述第一数据信息以及所述第二数据信息,得到第三密钥分量,包括:将所述认证信息输入至所述变换函数得到变换数据;对所述第二密钥分量、所述第一数据信息、所述变换数据以及所述第二数据信息之间进行运算,得到所述第三密钥分量,其中,所述运算包括:模加、模减、模乘、加法、减法和乘法中的至少一种。4.如权利要求1或2所述的方法,其特征在于,所述第二数据信息是由所述目标终端对生成的多个随机数进行运算得到的。5.如权利要求1或2所述的方法,其特征在于,在所述根据第二密钥分量、所述第一数据信息以及所述第二数据信息得到第三密钥分量之后,所述方法还包括:在所述目标终端异常时,对所述用户的身份进行鉴别;确认所述身份鉴别为通过时,则清除所述第三密钥分量。6.公用终端分时个人化应用的方法,其特征在于,应用于用户终端,包括:接收目标终端发送的初始消息;生成认证信息,所述认证信息用于表征用户使用所述目标终端的授权凭据;根据第一密钥分量、所述初始消息和所述认证信息,获取第一数据信息,并至少将所述第一数据信息发送至密码服务端,其中,所述第一密钥分量由所述用户终端生成并存储,所述第一数据信息用于被所述密码服务端处理生成第三密钥分量。7.如权利要求6所述的方法,其特征在于,所述方法还包括:接收所述密码服务端发送的与所述第一数据信息对应的任务序号;将所述任务序号和所述认证信息发送至所述目标终端。8.如权利要求6或7所述的方法,其特征在于,所述根据第一密钥分量、所述初始消息和所述认证信息,获取第一数据信息,包括:将所述认证信息输入至变换函数,得到变换信息;对所述第一密钥分量、所述初始消息和所述变换信息之间进行运算,得到所述第一数据信息,其中,所述运算包括:模加、模减、模乘、加法、减法和乘...
【专利技术属性】
技术研发人员:李向锋,傅大鹏,刘中,肖若楠,
申请(专利权)人:北京数字认证股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。