择一客户端为多客户端多服务器生成密钥的方法和设备技术

本申请提供了一种择一客户端为多客户端多服务器生成密钥的方法和设备，应用于密钥管理系统，上述方法包括：第一客户端生成完整的目标私钥，并根据目标私钥生成目标公钥，其中，第一客户端为N个客户端中的一个客户端；第一客户端将目标私钥拆分为2N份密钥分量，并为2N份密钥私钥中各密钥分量生成公钥分量，得到2N份公钥分量；第一客户端通过客户端与密钥服务器之间建立的安全信道，将2N份密钥分量、2N份公钥分量和目标公钥，一一对应地下发至N个客户端和N个密钥服务器。通过上述方式解决了现有的密钥管理系统中所存在的安全性和灵活性较低的问题，达到了有效提升密钥管理系统安全性和灵活性的技术效果。

The Method and Equipment of Selecting Client to Generate Key for Multi-Client and Multi-Server

This application provides a method and device for selecting a client to generate keys for multi-client and multi-server, which is applied to key management system. The method includes: the first client generates a complete target private key, and generates a target public key according to the target private key, in which the first client is one of N clients; the first client divides the target private key into two N copies of secret. The first client sends 2 N key components, 2 N public key components and target public keys to N clients and N key servers one by one through the secure channel established between client and key server. Through the above way, the problem of low security and flexibility in the existing key management system is solved, and the technical effect of effectively improving the security and flexibility of the key management system is achieved.

【技术实现步骤摘要】
择一客户端为多客户端多服务器生成密钥的方法和设备
本申请属于信息安全
，尤其涉及一种择一客户端为多客户端多服务器生成密钥的方法和设备。
技术介绍
目前，针对密钥服务系统而言，一般都是由一个密钥服务器生成密钥，然后将生成的密钥分发给密钥使用方，这样势必会增加密钥服务器的负担，且因为是由单一密钥服务器生成的，导致所有的密钥生成规则都是密钥服务器自身指定和维护的，灵活性不高。针对现有的密钥系统中所存在的上述问题，目前尚未提出有效的解决方案。
技术实现思路
本申请目的在于提供一种择一客户端为多客户端多服务器生成密钥的方法和设备，可以提升密钥管理的安全性和灵活性。本申请提供一种择一客户端为多客户端多服务器生成密钥的方法和设备是这样实现的：一方面，提供了一种择一客户端为多客户端服务器生成密钥的方法，应用于密钥管理系统，该密钥管理系统包括：N个客户端和N个密钥服务器，其中，N为大于等于2的正整数，所述方法包括：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为2N份密钥分量，并为所述2N份密钥私钥中各密钥分量生成公钥分量，得到2N份公钥分量；所述第一客户端通过客户端与密钥服务器之间建立的安全信道，将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器。在一个实施方式中，在将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器之后，还包括；所述第一客户端发起签名请求，其中，所述签名请求中携带有待签名数据；从所述N个密钥服务器和所述N个客户端中选择两个设备作为MPC计算方；所述N个客户端和所述N个密钥服务器中除MPC计算方之外的各个客户端和密钥服务器将自身对应的密钥分量拆分为第一子密钥和第二子密钥，并通过所述安全信道将第一子密钥传送至MPC计算方中的第一设备，将第二子密钥传送至MPC计算方中的第二设备；所述第一设备和所述第二设备通过所述安全信道发起MPC计算对所述待签名数据进行签名，得到签名文件；将签名文件发送至所述N个客户端和所述N个密钥服务器中除MPC计算方之外的各个客户端和密钥服务器。在一个实施方式中，在将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器之后，还包括；所述第一客户端发起刷新密钥请求；所述N个客户端和所述N个密钥服务器中除MPC计算方之外的各个客户端和密钥服务器将自身对应的密钥分量拆分为第一子密钥和第二子密钥，并通过所述安全信道将第一子密钥传送至MPC计算方中的第一设备，将第二子密钥传送至MPC计算方中的第二设备；所述第一设备和所述第二设备通过所述安全信道发起MPC计算得到基于目标私钥拆分的2N份刷新密钥分量，对所述2N份刷新密钥分量进行签名，得到2N份签名文件；将所述2N份刷新密钥分量中对应的2N份签名文件，一一对应地下发至N个客户端和N个密钥服务器；所述N个客户端和N个密钥服务器通过接收到签名文件验证接收到的刷新密钥分量的正确性，在验证通过的情况下，保存接收到的刷新密钥分量。在一个实施方式中，在将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器之后，还包括；所述第一客户端发起签名请求，其中，所述签名请求中携带有待签名数据和所述目标公钥；所述N个客户端和所述N个密钥服务器通过所述安全信道发起MPC计算，以对所述待签名数据进行签名操作，得到签名文件，并根据所述目标公钥验证所述签名文件的正确性。在一个实施方式中，在将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器之后，还包括；所述第一客户端发起刷新密钥请求；所述N个客户端和所述N个密钥服务器通过所述安全信道发起MPC计算得到基于目标私钥拆分的2N份刷新密钥分量，对所述2N份刷新密钥分量进行签名，得到2N份签名文件；将所述2N份刷新密钥分量中对应的2N份签名文件，一一对应地下发至N个客户端和N个密钥服务器；所述N个客户端和N个密钥服务器通过所述目标公钥验证接收到的签名文件的正确性，在验证通过的情况下，更新并保存接收到的刷新密钥分量。在一个实施方式中，在将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器之后，还包括；所述第一客户端通过备份方式获取所述目标私钥的备份，作为备份密钥；所述第一客户端将所述备份密钥拆分为2N份备份密钥分量，并通过所述目标私钥对所述2N份备份密钥分量进行签名，得到2N份签名文件；所述第一客户端通过所述安全信道，将所述2N份备份密钥分量和所述2N份签名文件，一一对应地下发至所述N个客户端和N个密钥服务器；所述N个客户端和所述N个密钥服务器通过存储的所述目标公钥，验证接收到的签名文件的有效性，在确定签名文件有效的情况下，更新并保存接收到的备份密钥分量。在一个实施方式中，在第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端之后，还包括：所述N个客户端和所述N个服务器之间通过确认身份程序完成双向认证，并下发认证材料，其中，所述认证材料用于鉴权并建立所述安全通道。在一个实施方式中，所述确认身份程序包括以下至少之一：短信、验证码、账号密钥、指纹、人脸、证书。另一方面，提供了一种终端设备，包括处理器以及用于存储处理器可执行指令的存储器，所述处理器执行所述指令时实现如下方法的步骤：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为2N份密钥分量，并为所述2N份密钥私钥中各密钥分量生成公钥分量，得到2N份公钥分量；所述第一客户端通过客户端与密钥服务器之间建立的安全信道，将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器。又一方面，提供了一种计算机可读存储介质，其上存储有计算机指令，所述指令被执行时实现如下方法的步骤：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为2N份密钥分量，并为所述2N份密钥私钥中各密钥分量生成公钥分量，得到2N份公钥分量；所述第一客户端通过客户端与密钥服务器之间建立的安全信道，将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器。本申请提供的择一客户端为多客户端服务器生成密钥的方法，应用于密钥管理系统，该密钥管理系统包括：多个客户端和多个密钥服务器，由其中一个客户端生成完整的目标私钥和目标公钥，然后拆分得到多份密钥分量并下发，每个客户端和密钥服务器一份，从而实现了密钥分量和公钥的生成，通过上述方式解决了现有的密钥管理系统中所存在的安全性和灵活性较低的问题，达到了有效提升密钥管理系统安全性和灵活性的技术效果。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅本文档来自技高网...

【技术保护点】
1.一种择一客户端为多客户端多服务器生成密钥的方法，应用于密钥管理系统，该密钥管理系统包括：N个客户端和N个密钥服务器，其中，N为大于等于2的正整数，其特征在于，所述方法包括：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为2N份密钥分量，并为所述2N份密钥私钥中各密钥分量生成公钥分量，得到2N份公钥分量；所述第一客户端通过客户端与密钥服务器之间建立的安全信道，将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器。

【技术特征摘要】
1.一种择一客户端为多客户端多服务器生成密钥的方法，应用于密钥管理系统，该密钥管理系统包括：N个客户端和N个密钥服务器，其中，N为大于等于2的正整数，其特征在于，所述方法包括：第一客户端生成完整的目标私钥，并根据所述目标私钥生成目标公钥，其中，所述第一客户端为所述N个客户端中的一个客户端；所述第一客户端将所述目标私钥拆分为2N份密钥分量，并为所述2N份密钥私钥中各密钥分量生成公钥分量，得到2N份公钥分量；所述第一客户端通过客户端与密钥服务器之间建立的安全信道，将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器。2.根据权利要求1所述的方法，其特征在于，在将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器之后，还包括；所述第一客户端发起签名请求，其中，所述签名请求中携带有待签名数据；从所述N个密钥服务器和所述N个客户端中选择两个设备作为MPC计算方；所述N个客户端和所述N个密钥服务器中除MPC计算方之外的各个客户端和密钥服务器将自身对应的密钥分量拆分为第一子密钥和第二子密钥，并通过所述安全信道将第一子密钥传送至MPC计算方中的第一设备，将第二子密钥传送至MPC计算方中的第二设备；所述第一设备和所述第二设备通过所述安全信道发起MPC计算对所述待签名数据进行签名，得到签名文件；将签名文件发送至所述N个客户端和所述N个密钥服务器中除MPC计算方之外的各个客户端和密钥服务器。3.根据权利要求2所述的方法，其特征在于，在将2N份密钥分量、2N份公钥分量和所述目标公钥，一一对应地下发至N个客户端和N个密钥服务器之后，还包括；所述第一客户端发起刷新密钥请求；所述N个客户端和所述N个密钥服务器中除MPC计算方之外的各个客户端和密钥服务器将自身对应的密钥分量拆分为第一子密钥和第二子密钥，并通过所述安全信道将第一子密钥传送至MPC计算方中的第一设备，将第二子密钥传送至MPC计算方中的第二设备；所述第一设备和所述第二设备通过所述安全信道发起MPC计算得到基于所述目标私钥拆分的2N份刷新密钥分量，对所述2N份刷新密钥分量进行签名，得到2N份签名文件；将所述2N份刷新密钥分量中对应的2N份签名文件，一一对应地下发至N个客户端和N个密钥服务器；所述N个客户端和N个密钥服务器通过接收到签名文件验证接收到的刷新密钥分量的正确性，在验证通过的情况下，保存接收到的刷新密钥分量。4.根据权利要求1所述的方法，其特征在于，在将2N份密钥分量、2N份公钥分量和所述目标公钥，...

【专利技术属性】
技术研发人员：颜泽，谢翔，傅志敬，孙立林，
申请(专利权)人：矩阵元技术深圳有限公司，
类型：发明
国别省市：广东,44