本發(fā)明涉及計算機信息安全技術(shù)領(lǐng)域，尤其是一種基于cpk的id證書私鑰陣列的安全生成及存儲容器及其使用方法。

背景技術(shù)：

隨著近年云計算、大數(shù)據(jù)的需求快速增長，作為身份認證和授權(quán)管理有關(guān)系統(tǒng)的需求快速增長。

目前網(wǎng)絡(luò)和信息系統(tǒng)身份認證采用的用戶名+口令+驗證碼的認證方式不夠安全，采用pki技術(shù)的認證方式有技術(shù)復(fù)雜，投資大等問題，ibe認證方式?jīng)]有實用化等問題?；诮M合公鑰cpk算法的認證方式有證書量大、用戶認證簡單等優(yōu)點。但cpk算法主要存在兩個安全問題：1、對n*n的有限私鑰陣列，存在共謀攻擊問題，即足夠多的掌握單個組合私鑰的主體可以湊在一起列線性方程式，從而破解私鑰陣列；2、超級權(quán)限掌握組合公鑰cpk算法的私鑰陣列，可以取得用戶id，進一步生成用戶的組合私鑰，從而冒充用戶簽字和冒充用戶身份。針對cpk算法主要存在第一個安全問題：對n*n的有限私鑰陣列存在共謀攻擊問題，已經(jīng)有報道，采用在橢圓曲線上增加一個用戶隨機秘鑰對加以解決；但對超級權(quán)限掌握組合公鑰cpk算法的私鑰陣列，冒充用戶簽字和冒充用戶身份問題，尚無類似于本發(fā)明的解決方案。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是：提供了一種基于cpk的id證書私鑰陣列的安全生成及存儲容器及其使用方法，它能保護用戶id證書只能合法發(fā)放，使系統(tǒng)超級權(quán)限無法掌握組合公鑰cpk算法的私鑰陣列，無法計算用戶組合私鑰，無法冒充用戶簽字和冒充用戶身份。這樣保障了基于組合公鑰算法cpk的id證書頒證系統(tǒng)或認證系統(tǒng)的安全性。

本發(fā)明是這樣實現(xiàn)的：基于cpk的id證書私鑰陣列的安全生成及存儲容器，包括電路板，在電路板上設(shè)有微處理器，非易失性存儲器及接口，非易失性存儲器及接口均連接到微處理器上；在非易失性存儲器中存放橢圓曲線參數(shù)、組合公鑰算法cpk的私鑰陣列、連接串及用戶id或用戶id哈希值。

所述的接口為usb接口或pci接口。

所述的安全生成及存儲容器的使用方法，將安全生成及存儲容器通過接口連接到采用基于cpk技術(shù)的認證中心或id證書頒證系統(tǒng)的計算機或服務(wù)器的相應(yīng)接口上，計算機或服務(wù)器與安全生成及存儲容器連接時采用特定的容器連接字符串和計算機或服務(wù)器的機器名組合，該連接組合串在容器初始化時被置入非易失性存儲器；安全生成及存儲容器通過該連接組合串來進行對容器的訪問控制；該安全生成及存儲容器初始化時將自動生成cpk的隨機私鑰陣列，并將這個私鑰陣列存放在安全生成及存儲容器的非易失性存儲器中；計算機或服務(wù)器采用帶有密碼協(xié)議的加密的連接請求以保障僅正常用戶可進行組合私鑰申請、用戶組合私鑰輸出和橢圓曲線ecc參數(shù)置入；用戶組合私鑰申請、用戶組合私鑰輸出每一個id僅執(zhí)行一次，安全生成及存儲容器的微處理器通過比較非易失性存儲器中的用戶id或用戶id哈希值來判別并屏蔽試圖冒充用戶簽字的私鑰請求；該安全生成及存儲容器接收公鑰輸出請求，并輸出與這個私鑰陣列對應(yīng)的公鑰陣列；非易失性存儲器中的私鑰陣列數(shù)據(jù)無法輸出到安全生成及存儲容器的外部，防止從安全生成及存儲容器中非法取出cpk私鑰陣列以偽造用戶私鑰；用戶id或用戶id哈希值從安全生成及存儲容器的外部不可訪問，防止非法篡改用戶id或用戶id哈希值。

與現(xiàn)有的技術(shù)相比，本發(fā)明以硬件部件形式制作的安全生成及存儲容器能安全存儲組合公鑰算法cpk的私鑰陣列，通過usb接口或pci總線接口與計算機或服務(wù)器連接，使用對基于組合公鑰算法cpk的id證書、基于cpk的認證技術(shù)，使cpk的私鑰陣列不被非法訪問；保護用戶id證書只能合法發(fā)放，使系統(tǒng)超級權(quán)限無法掌握組合公鑰cpk算法的私鑰陣列，無法計算用戶組合私鑰，無法冒充用戶簽字和冒充用戶身份。這樣保障了基于組合公鑰算法cpk的id證書頒證系統(tǒng)或認證系統(tǒng)的安全性。

附圖說明

附圖1為本發(fā)明的結(jié)構(gòu)示意圖；

附圖2為本發(fā)明的安全生成及存儲容器初始化流程圖；

附圖3為本發(fā)明的用戶組合私鑰申請流程圖。

具體實施方式

本發(fā)明的實施例：基于cpk的id證書私鑰陣列的安全生成及存儲容器，包括電路板1，在電路板1上設(shè)有微處理器2，非易失性存儲器3及接口4，非易失性存儲器3及接口4均連接到微處理器2上；微處理器2生成組合公鑰算法cpk的私鑰陣列；在非易失性存儲器3中存放橢圓曲線ecc參數(shù)、組合公鑰算法cpk的私鑰陣列、連接串及用戶id或用戶id哈希值；通過微處理器2計算給定橢圓曲線的cpk公私鑰陣列、計算用戶的組合私鑰、安全連接和密碼協(xié)議的執(zhí)行，以及安全生成及存儲容器1內(nèi)部和接口的操作。根據(jù)需要，將接口4采用usb接口或pci接口。

所述的安全生成及存儲容器的使用方法，將安全生成及存儲容器通過接口4連接到采用基于cpk技術(shù)的認證中心或id證書頒證系統(tǒng)的計算機或服務(wù)器的相應(yīng)接口上，計算機或服務(wù)器與安全生成及存儲容器連接時采用特定的容器連接字符串和計算機或服務(wù)器的機器名組合，該連接組合串在容器初始化時被置入非易失性存儲器3；安全生成及存儲容器通過該連接組合串來進行對容器的訪問控制；該安全生成及存儲容器初始化時將自動生成cpk的隨機私鑰陣列，并將這個私鑰陣列存放在安全生成及存儲容器的非易失性存儲器中；計算機或服務(wù)器采用帶有密碼協(xié)議的加密的連接請求以保障僅正常用戶可進行組合私鑰申請、用戶組合私鑰輸出和橢圓曲線參數(shù)置入；用戶組合私鑰申請、用戶組合私鑰輸出每一個id僅執(zhí)行一次，安全生成及存儲容器的微處理器2通過比較非易失性存儲器中的用戶id或用戶id哈希值來判別并屏蔽試圖冒充用戶簽字的私鑰請求；非易失性存儲器3中的私鑰陣列數(shù)據(jù)無法輸出到安全生成及存儲容器的外部，防止從安全生成及存儲容器中非法取出cpk私鑰陣列以偽造用戶私鑰；用戶id或用戶id哈希值從安全生成及存儲容器的外部不可訪問，防止非法篡改用戶id或用戶id哈希值。

本實施例中，各個部件在電路板上的連接，以及各個部件之間的連接均為本領(lǐng)域技術(shù)人員的公知手段，此處就不再贅述。外次，產(chǎn)品采用usb接口時需要設(shè)置適合的外殼體，既便于保護電路板及芯片，也便于使用時的連接。

附圖3中，如果容器中的非易失性存儲器3中存儲的是用戶id表，則先查詢是否存在該id，再計算其哈希值。如果采用增加隨機密鑰對抵抗共謀攻擊，則容器向服務(wù)器返回用戶的復(fù)合私鑰及隨機公鑰。

技術(shù)特征：

技術(shù)總結(jié)
本發(fā)明公開了一種基于CPK的ID證書私鑰陣列的安全生成及存儲容器及其使用方法。本發(fā)明以硬件部件形式制作的安全生成及存儲容器能安全存儲組合公鑰算法CPK的私鑰陣列，通過USB接口或PCI總線接口與計算機或服務(wù)器連接，使用對基于組合公鑰算法CPK的ID證書、基于CPK的認證技術(shù)，使CPK的私鑰陣列不被非法訪問；保護用戶ID證書只能合法發(fā)放，使系統(tǒng)超級權(quán)限無法掌握組合公鑰CPK算法的私鑰陣列，無法計算用戶組合私鑰，無法冒充用戶簽字和冒充用戶身份。這樣保障了基于組合公鑰算法CPK的ID證書頒證系統(tǒng)或認證系統(tǒng)的安全性。

技術(shù)研發(fā)人員：李秦偉;呂曉丹
受保護的技術(shù)使用者：貴州大學
技術(shù)研發(fā)日：2017.06.15
技術(shù)公布日：2017.09.26