技術領域

本發明涉及計算機信息安全技術領域，尤其是一種基于CPK的ID證書私鑰陣列的安全生成及存儲容器及其使用方法。

背景技術

隨著近年云計算、大數據的需求快速增長，作為身份認證和授權管理有關系統的需求快速增長。

目前網絡和信息系統身份認證采用的用戶名+口令+驗證碼的認證方式不夠安全，采用PKI技術的認證方式有技術復雜，投資大等問題，IBE認證方式沒有實用化等問題。基于組合公鑰CPK算法的認證方式有證書量大、用戶認證簡單等優點。但CPK算法主要存在兩個安全問題：1、對n*n的有限私鑰陣列，存在共謀攻擊問題，即足夠多的掌握單個組合私鑰的主體可以湊在一起列線性方程式，從而破解私鑰陣列；2、超級權限掌握組合公鑰CPK算法的私鑰陣列，可以取得用戶ID，進一步生成用戶的組合私鑰，從而冒充用戶簽字和冒充用戶身份。針對CPK算法主要存在第一個安全問題：對n*n的有限私鑰陣列存在共謀攻擊問題，已經有報道，采用在橢圓曲線上增加一個用戶隨機秘鑰對加以解決；但對超級權限掌握組合公鑰CPK算法的私鑰陣列，冒充用戶簽字和冒充用戶身份問題，尚無類似于本發明的解決方案。

發明內容

本發明的目的是：提供了一種基于CPK的ID證書私鑰陣列的安全生成及存儲容器及其使用方法，它能保護用戶ID證書只能合法發放，使系統超級權限無法掌握組合公鑰CPK算法的私鑰陣列，無法計算用戶組合私鑰，無法冒充用戶簽字和冒充用戶身份。這樣保障了基于組合公鑰算法CPK的ID證書頒證系統或認證系統的安全性。

本發明是這樣實現的：基于CPK的ID證書私鑰陣列的安全生成及存儲容器，包括電路板，在電路板上設有微處理器，非易失性存儲器及接口，非易失性存儲器及接口均連接到微處理器上；在非易失性存儲器中存放橢圓曲線參數、組合公鑰算法CPK的私鑰陣列、連接串及用戶ID或用戶ID哈希值。

所述的接口為USB接口或PCI接口。

所述的安全生成及存儲容器的使用方法，將安全生成及存儲容器通過接口連接到采用基于CPK技術的認證中心或ID證書頒證系統的計算機或服務器的相應接口上，計算機或服務器與安全生成及存儲容器連接時采用特定的容器連接字符串和計算機或服務器的機器名組合，該連接組合串在容器初始化時被置入非易失性存儲器；安全生成及存儲容器通過該連接組合串來進行對容器的訪問控制；該安全生成及存儲容器初始化時將自動生成CPK的隨機私鑰陣列，并將這個私鑰陣列存放在安全生成及存儲容器的非易失性存儲器中；計算機或服務器采用帶有密碼協議的加密的連接請求以保障僅正常用戶可進行組合私鑰申請、用戶組合私鑰輸出和橢圓曲線ECC參數置入；用戶組合私鑰申請、用戶組合私鑰輸出每一個ID僅執行一次，安全生成及存儲容器的微處理器通過比較非易失性存儲器中的用戶ID或用戶ID哈希值來判別并屏蔽試圖冒充用戶簽字的私鑰請求；該安全生成及存儲容器接收公鑰輸出請求，并輸出與這個私鑰陣列對應的公鑰陣列；非易失性存儲器中的私鑰陣列數據無法輸出到安全生成及存儲容器的外部，防止從安全生成及存儲容器中非法取出CPK私鑰陣列以偽造用戶私鑰；用戶ID或用戶ID哈希值從安全生成及存儲容器的外部不可訪問，防止非法篡改用戶ID或用戶ID哈希值。

與現有的技術相比，本發明以硬件部件形式制作的安全生成及存儲容器能安全存儲組合公鑰算法CPK的私鑰陣列，通過USB接口或PCI總線接口與計算機或服務器連接，使用對基于組合公鑰算法CPK的ID證書、基于CPK的認證技術，使CPK的私鑰陣列不被非法訪問；保護用戶ID證書只能合法發放，使系統超級權限無法掌握組合公鑰CPK算法的私鑰陣列，無法計算用戶組合私鑰，無法冒充用戶簽字和冒充用戶身份。這樣保障了基于組合公鑰算法CPK的ID證書頒證系統或認證系統的安全性。

附圖說明

附圖1為本發明的結構示意圖；

附圖2為本發明的安全生成及存儲容器初始化流程圖；

附圖3為本發明的用戶組合私鑰申請流程圖。

具體實施方式