一种跨平台协同密钥同步方法及系统技术方案

本发明专利技术公开一种跨平台协同密钥同步方法及系统。跨平台协同密钥同步方法包括如下步骤：S1，PC端应用密钥同步申请：移动端应用生成子私钥D1后，由用户PIN口令进行加密得到子私钥的密文CD1；PC端应用发起密钥同步申请，希望PC端应用和移动端应用之间密钥保持一致；S2，移动端应用密钥同步响应：协同服务端将PC端应用发起的密钥同步申请，推送到移动端应用；在移动端应用中针对密钥同步申请进行运算处理，将响应结果发送回协同服务端；S3，PC端密钥同步处理：PC端应用发起密钥同步申请后，PC端应用开始等待移动端应用密钥同步的响应结果，在得到移动端应用密钥同步响应，进行运算处理以完成密钥同步。完成密钥同步。完成密钥同步。

【技术实现步骤摘要】
一种跨平台协同密钥同步方法及系统


[0001]本专利技术属于信息安全
，尤其涉及一种跨平台协同密钥同步方法及系统。

技术介绍

[0002]数字签名技术是非对称密钥加密技术与数字摘要技术的应用，主要包括发送方的信息签名和接收方的信息签名认证。
[0003]数字签名作为一种实现签名认证的重要技术，能够提供身份验证、数据完整性、不可抵赖等安全服务。同时还需要保证信息的本身传输的安全性，对数字签名进行加密，防止攻击者冒充签名。
[0004]现代密码体制是非对称密码体制，每个通信方均需要两个密钥，即公钥和私钥，这两把密钥可以互为加解密。公钥是公开的，不需要保密，而私钥是由个人自己持有，并且必须妥善保管和注意保密。私钥的安全性是数字签名安全可靠的基础。
[0005]目前对于私钥的安全性保护常用的做法是使用符合《GM/T 0028
‑
2014密码模块安全技术要求》安全二级要求的密码模块作为私钥的安全存储介质，这些符合安全二级及以上要求的密码模块主要有密码卡、密码机、智能密码钥匙等硬件密码设备，也包括基于协同签名技术的软件密码安全模块。
[0006]目前密码卡、密码机通常用在B端应用中使用，对于C端用户来说，在PC端和移动端往往采用不同的解决方案。
[0007]专利《适用于云计算的基于SM2算法的签名及解密方法和系统》(专利号CN104243456B)提出：“可在通信双方分别存储部分私钥，两方联合才能对消息进行签名或解密等操作，通信双方均无法获取到对方私钥的任何信息，因此攻击者在入侵其中任何一方的情况下，都不能伪造签名或解密密文，从而提高了云计算环境中的私钥的安全性”，这是一种协同运算技术，由通信双方各自安全保存子私钥，如客户端作为第一通信方保存子私钥D1，服务端作为第二通信方保存子私钥D2，双方协同交互运算可进行签名或解密。
[0008]在PC端通常使用以智能密码钥匙(也叫UKey)为存储介质的数字证书，常用于网上银行、网上报税、公积金缴存业务、公共资源招投标等一些需要强认证的应用及领域中；在移动端开始较多的使用基于协同签名技术软件密码安全模块为存储介质的移动证书，常用于移动端身份认证、OA办公审批、网上交易等应用及领域中。
[0009]UKey证书使用UKey作为存储介质，尽管保证了私钥安全，但在实际使用中也存在一些弊端：
[0010](1)使用成本高，使用不便。UKey是物理硬件产品，需要几十到几百元的成本，随身携带保管不便、容易丢失，在PC上频繁插拔UKey易造成损坏；
[0011](2)UKey驱动维护繁琐，容易出现故障。不同品牌的UKey的使用需要在PC端安装相应的驱动软件，当在一台PC安装多个不同的UKey驱动软件后可能会带来驱动冲突造成UKey不可使用的情况；
[0012]基于协同签名技术软件密码安全模块的移动证书相对于UKey证书来说，使用成本
低，也不需要维护驱动，用户体验也很好，但现有技术对于在移动端和PC端使用同一私钥进行签名或解密的需求难以支持或满足，往往采用在PC端使用UKey证书、在移动端使用移动证书两者相结合使用的解决方案。

技术实现思路

[0013]针对上述技术问题，本专利技术提出一种跨平台协同密钥同步方法及系统，可以在跨PC端应用与移动端应用安全的实现用户私钥同步，满足用户低使用成本、便捷的用户体验以及两端使用相同私钥的需求。
[0014]为达到上述目的，本专利技术采用的技术方案为：一种跨平台协同密钥同步方法，具体步骤如下：
[0015]包括协同客户端和协同服务端，在协同客户端生成自身的子私钥D1，协同服务端生成自身的子私钥D2；D1生成后由用户PIN口令进行加密及完整性保护，得到子私钥的密文CD1，将CD1保存在协同客户端密码模块中；通过PIN口令将CD1解密为D1，和协同服务端的D2交互运算进行签名和解密。
[0016]主要的流程如下：
[0017]S1，PC端应用密钥同步申请：PC端应用发起密钥同步申请，希望PC端应用和移动端应用之间密钥保持一致。密钥同步指的是用户自己在移动端应用与PC端应用之间同步子私钥D1。
[0018]S2，移动端应用密钥同步响应：协同服务端将PC端应用发起的密钥同步申请，推送到移动端应用。在移动端应用的密钥安全模块中针对密钥同步申请进行运算处理，最终将响应结果发送回协同服务端；
[0019]S3，PC端密钥同步处理：PC端应用发起密钥同步申请后，PC端应用开始等待移动端应用密钥同步的响应结果，在得到移动端应用密钥同步响应，在密钥安全模块中进行运算处理以完成密钥同步。
[0020]进一步的，S1具体包括如下步骤：
[0021]S1.1，用户登录PC端应用，登录需验证使用者的身份，验证手段包括但不限于生物识别认证、账号口令验证、短信验证码验证等，验证通过则继续，否则终止操作；
[0022]S1.2，用户发起同步密钥，输入自定的密钥同步加密口令sec，PC端应用使用用户公钥证书对sec加密得到密文Csec，再将Csec发送至协同服务端请求与移动端应用进行密钥同步；
[0023]S1.3，协同服务端将PC端应用的同步密钥同步请求推送至移动端应用。推送手段包括但不限于短信推送、APP消息推送等。
[0024]进一步的，S2具体包括如下步骤：
[0025]S2.1，移动端应用接收到协同服务端的推送信息；
[0026]S2.2，用户登录移动端应用，登录需验证使用者的身份，验证手段包括但不限于生物识别认证、账号密码验证等，验证通过则继续，否则终止操作；
[0027]S2.3，移动端应用显示密钥同步请求详情，若用户同意密钥同步，进入密钥同步处理逻辑，即继续进行S2.4
‑
S2.6，否则终止；
[0028]S2.4，移动端应用接收私钥保护PIN口令，调用用户的私钥对Csec进行解密，得到
用户在PC端应用设置的密钥同步加密口令sec，使用sec派生出对称密钥SKsec；
[0029]S2.5，移动端应用使用SKsec对CD1进行加密，得到CCD1，再对CD1进行杂凑运算，得到杂凑值H1；
[0030]S2.6，移动端应用将CCD1以及H1发送至协同服务端。
[0031]进一步的，密钥同步请求详情包括但不限于业务类型、业务标识、时间戳、移动端标识等。
[0032]进一步的，S3具体包括如下步骤：
[0033]S3.1，PC端应用在发起密钥同步申请后，向协同服务端请求获得移动端密钥同步响应；
[0034]S3.2，协同服务端根据请求查询密钥同步业务，返回业务处理结果给PC端应用；
[0035]S3.3，PC端应用使用和协同移动端应用相同的密钥派生算法，将密钥同步加密口令sec派生出对称密钥SKsec；
[0036]S3.4，PC端应用使用SKsec对CCD1进行解密，得到CD1，再计算CD1的杂凑值，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种跨平台协同密钥同步方法，其特征在于，包括如下步骤：S1，PC端应用密钥同步申请：移动端应用生成子私钥D1后，由用户PIN口令进行加密及完整性保护，得到子私钥的密文CD1；PC端应用发起密钥同步申请，希望PC端应用和移动端应用之间密钥保持一致；S2，移动端应用密钥同步响应：协同服务端将PC端应用发起的密钥同步申请，推送到移动端应用；在移动端应用中针对密钥同步申请进行运算处理，最终将响应结果发送回协同服务端；S3，PC端密钥同步处理：PC端应用发起密钥同步申请后，PC端应用开始等待移动端应用密钥同步的响应结果，在得到移动端应用密钥同步响应，进行运算处理以完成密钥同步。2.根据权利要求1所述的跨平台协同密钥同步方法，其特征在于，S1具体包括如下步骤：S1.1，用户登录PC端应用，登录需验证使用者的身份，验证通过则继续，否则终止操作；S1.2，用户发起同步密钥，输入自定的密钥同步加密口令sec，PC端应用使用用户公钥证书对sec加密得到密文Csec，再将Csec发送至协同服务端请求与移动端应用进行密钥同步；S1.3，协同服务端将PC端应用的同步密钥同步请求推送至移动端应用。3.根据权利要求1或2所述的跨平台协同密钥同步方法，其特征在于，S2具体包括如下步骤：S2.1，移动端应用接收到协同服务端的推送信息；S2.2，用户登录移动端应用，登录需验证使用者的身份，验证通过则继续，否则终止操作；S2.3，移动端应用显示密钥同步请求详情，若用户同意密钥同步，进入S2.4，否则终止；S2.4，移动端应用接收私钥保护PIN口令，调用用户的私钥对Csec进行解密，得到用户在PC端应用设置的密钥同步加密口令sec，使用sec派生出对称密钥SKsec；S2.5，移动端应用使用SKsec对CD1进行加密，得到CCD1，再对CD1进行杂凑运算，得到杂凑值H1；S2.6，移动端应用将CCD1以及H1发送至协同服务端。4.根据权利要求3所述的跨平台协同密钥同步方法，其特征在于：密钥同步请求详情包括业务类型、业务标识、时间...

【专利技术属性】
技术研发人员：王杰勋，
申请(专利权)人：南京壹证通信息科技有限公司，
类型：发明
国别省市：