技術領域

本發明涉及網絡與信息安全領域，尤其涉及一種密鑰擴散及利用該擴散密鑰的校驗方法。

背景技術

公鑰基礎設施(Public Key Infrastructure，PKI)是目前為解決網絡安全問題而經常采用的技術，是一個采用非對稱密碼算法原理和技術來實現并提供安全服務的、具有通用性的安全基礎設施。PKI技術采用證書管理公鑰，通過第三方的可信任機構認證中心(certificate authority ，CA)簽發，在Internet上驗證用戶的身份。從而保證傳輸數據的保密性、完整性、不可抵賴性。

其中CA作為可信第三方，是整個PKI體系的核心，負責為PKI體系中簽發證書、更新證書和作廢證書等功能。數字證書是由CA簽發的用于標明用戶身份的電子文檔，其中包含用戶公鑰、可識別用戶身份的證書主題以及CA簽名等。非對稱密碼算法做為PKI體系的關鍵技術主要用于傳遞會話密鑰，驗證雙方身份等。

PKI體系的簽名校驗主要是依靠數字證書實現。需認證方將自身的數字證書以及簽名發給對方，認證方校驗簽名的有效性，如果簽名有效則認證通過，若無效則認證終止。而簽名的有效性由多方面因素決定，包括簽名認證、證書CA簽名、證書CRL校驗、證書有效期檢查等。

這就要求認證方需要有包含非對稱算法的加密設備，在認證過程中需要進行復雜的非對稱運算，還需要記錄CA證書以及實時獲得CRL列表。其中證書作廢表（CRL，Certificate Revocation List）的有效更新是具有時效性的，如果沒有實時更新，則那么驗證出的證書有效于否就不準確，簽名認證也就得不到可靠保證。整個認證過程較為復雜，同時受多方因素影響，對認證方提出了較高的要求，由此可見PKI體系常規認證方式雖然安全有效，但是具體實施過程中有一定難度。

發明內容

本發明所要解決的技術問題是提供一種密鑰擴散及簽名碼校驗方法，認證方可以不需要持有運算設備，只需要通過網絡、手機等傳輸媒介即可方便實現簽名校驗。

為達到上述目的，本發明提供的技術方案如下：

一種密鑰擴散及校驗方法，包括：

可信服務端接收簽名提供方發送的密鑰申請；

所述可信服務端認證所述簽名提供方的密鑰申請，認證通過后，使用預先設定的主密鑰計算出簽名子密鑰，通過密鑰信封將所述簽名子密鑰發送給所述簽名提供方；

所述簽名提供方校驗密鑰信封，校驗通過后獲得所述簽名子密鑰，使用安全密碼設備存儲所述簽名子密鑰。

一種密鑰擴散及校驗系統，包括可信服務端和簽名提供方，

所述的簽名提供方，用于向可信服務端提出密鑰申請；

所述的可信服務端，用于認證所述簽名提供方的密鑰申請，認證通過后，使用預先設定的主密鑰計算出簽名子密鑰，通過密鑰信封將所述簽名子密鑰發送給所述簽名提供方；

所述簽名提供方，還用于校驗密鑰信封，校驗通過后獲得所述簽名子密鑰，使用安全密碼設備存儲所述簽名子密鑰。

與現有技術相比，本發明通過可信管理端的遠程認證方式解放了對認證方的密碼技術要求。通過主密鑰擴散簽名子密鑰的方式，使得可信管理端只需要通過主密鑰即可對所有擴散出的子密鑰簽名進行校驗，而不是記錄每個簽名子密鑰，大大降低了密鑰的維護與保管工作。子密鑰無法反運算獲得主密鑰，保障了主密鑰的安全性。而且認證過程無需進行復雜的非對稱運算以及CRL交互，在保障安全性的同時簡化了整個身份認證流程，提高了響應速度。

附圖說明

此處所說明的附圖用來提供對本發明的進一步理解，構成本申請的一部分，本發明的示意性實施例及其說明用于解釋本發明，并不構成對本發明的不當限定。在附圖中：

圖1為本發明實施例一提供的一種密鑰擴散及校驗方法的流程圖。

圖2為本發明實施例一提供的一種密鑰擴散及校驗方法詳細方案的結構過程示意圖；

圖3為本發明實施例二提供的一種密鑰擴散及校驗系統的具體結構示意圖。

具體實施方式

為使本發明的目的、技術方案和優點更加清楚，以下結合附圖及具體實施例，對本發明作進一步地詳細說明。

實施例一

該實施例提供的一種密鑰擴散及校驗方法的具體處理流程示意圖如圖1所示，包括如下的處理步驟：

步驟S101：簽名提供方向可信服務端提出密鑰申請。

步驟S102：可信服務端認證簽名提供方申請，認證通過后，使用主密鑰計算出簽名子密鑰，將其發送給簽名提供方。