[发明专利]一种密钥扩散及校验方法和系统

说明书

技术领域

本发明涉及网络与信息安全领域，尤其涉及一种密钥扩散及利用该扩散密钥的校验方法。

背景技术

公钥基础设施(Public Key Infrastructure，PKI)是目前为解决网络安全问题而经常采用的技术，是一个采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施。PKI技术采用证书管理公钥，通过第三方的可信任机构认证中心(certificate authority ，CA)签发，在Internet上验证用户的身份。从而保证传输数据的保密性、完整性、不可抵赖性。

其中CA作为可信第三方，是整个PKI体系的核心，负责为PKI体系中签发证书、更新证书和作废证书等功能。数字证书是由CA签发的用于标明用户身份的电子文档，其中包含用户公钥、可识别用户身份的证书主题以及CA签名等。非对称密码算法做为PKI体系的关键技术主要用于传递会话密钥，验证双方身份等。

PKI体系的签名校验主要是依靠数字证书实现。需认证方将自身的数字证书以及签名发给对方，认证方校验签名的有效性，如果签名有效则认证通过，若无效则认证终止。而签名的有效性由多方面因素决定，包括签名认证、证书CA签名、证书CRL校验、证书有效期检查等。

这就要求认证方需要有包含非对称算法的加密设备，在认证过程中需要进行复杂的非对称运算，还需要记录CA证书以及实时获得CRL列表。其中证书作废表（CRL，Certificate Revocation List）的有效更新是具有时效性的，如果没有实时更新，则那么验证出的证书有效于否就不准确，签名认证也就得不到可靠保证。整个认证过程较为复杂，同时受多方因素影响，对认证方提出了较高的要求，由此可见PKI体系常规认证方式虽然安全有效，但是具体实施过程中有一定难度。

发明内容

本发明所要解决的技术问题是提供一种密钥扩散及签名码校验方法，认证方可以不需要持有运算设备，只需要通过网络、手机等传输媒介即可方便实现签名校验。

为达到上述目的，本发明提供的技术方案如下：

一种密钥扩散及校验方法，包括：

可信服务端接收签名提供方发送的密钥申请；

所述可信服务端认证所述签名提供方的密钥申请，认证通过后，使用预先设定的主密钥计算出签名子密钥，通过密钥信封将所述签名子密钥发送给所述签名提供方；

所述签名提供方校验密钥信封，校验通过后获得所述签名子密钥，使用安全密码设备存储所述签名子密钥。

一种密钥扩散及校验系统，包括可信服务端和签名提供方，

所述的签名提供方，用于向可信服务端提出密钥申请；

所述的可信服务端，用于认证所述签名提供方的密钥申请，认证通过后，使用预先设定的主密钥计算出签名子密钥，通过密钥信封将所述签名子密钥发送给所述签名提供方；

所述签名提供方，还用于校验密钥信封，校验通过后获得所述签名子密钥，使用安全密码设备存储所述签名子密钥。

与现有技术相比，本发明通过可信管理端的远程认证方式解放了对认证方的密码技术要求。通过主密钥扩散签名子密钥的方式，使得可信管理端只需要通过主密钥即可对所有扩散出的子密钥签名进行校验，而不是记录每个签名子密钥，大大降低了密钥的维护与保管工作。子密钥无法反运算获得主密钥，保障了主密钥的安全性。而且认证过程无需进行复杂的非对称运算以及CRL交互，在保障安全性的同时简化了整个身份认证流程，提高了响应速度。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例一提供的一种密钥扩散及校验方法的流程图。

图2为本发明实施例一提供的一种密钥扩散及校验方法详细方案的结构过程示意图；

图3为本发明实施例二提供的一种密钥扩散及校验系统的具体结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，以下结合附图及具体实施例，对本发明作进一步地详细说明。

实施例一

该实施例提供的一种密钥扩散及校验方法的具体处理流程示意图如图1所示，包括如下的处理步骤：

步骤S101：签名提供方向可信服务端提出密钥申请。

步骤S102：可信服务端认证签名提供方申请，认证通过后，使用主密钥计算出签名子密钥，将其发送给签名提供方。