基于無(wú)證書標(biāo)識(shí)認(rèn)證的云KEY密鑰分割與存儲(chǔ)技術(shù)本期專題MonthlyTopic基于無(wú)證書標(biāo)識(shí)認(rèn)證的云KEY密鑰KeySegmentationandStorageTechnologyKeySegmentationandStorageTechnologyWuLiangliang，WangShouyuan，SunNingning，TaoJunming(ChinaInformationTechnologyDesigning&ConsultingInstituteCo.，摘要：針對(duì)接入設(shè)備數(shù)量繁多，傳統(tǒng)密鑰生成與存儲(chǔ)不足的問題，以UID安全盾軟件為載體，提出了一整套基于CLA無(wú)證書標(biāo)識(shí)認(rèn)證的創(chuàng)新型國(guó)密算法來進(jìn)行密鑰的分割與存儲(chǔ)，為移動(dòng)終端平臺(tái)的用戶提供高安全、高效率、高可靠性的移動(dòng)辦公安全體驗(yàn)，實(shí)現(xiàn)了智能移動(dòng)終端身份認(rèn)證和電子簽名，解決了密鑰托管的問題，兼顧了易用性和安全可信性，并聯(lián)合網(wǎng)絡(luò)云卡中心實(shí)現(xiàn)去介質(zhì)的強(qiáng)安全密碼能力。關(guān)鍵詞：文章編號(hào)：1007-3043(2023)04-0005-05開放科學(xué)(資源服務(wù))標(biāo)識(shí)碼(OSID)：novativenationalsecretalgorithmbasedonCLAcertificatelessidentificationauthenticationisproposedusingUIDsecurityusersofmobileterminalplatformwithasafeeffiandelecKeywords：1概述隨著5G的發(fā)展，移動(dòng)互聯(lián)網(wǎng)中有大量的終端設(shè)備接入。信息通信渠道、數(shù)據(jù)存儲(chǔ)與處理呈現(xiàn)爆炸式增長(zhǎng)[1]。一方面，互聯(lián)網(wǎng)的高速發(fā)展帶來了巨大的經(jīng)濟(jì)效益，另一方面，由于數(shù)據(jù)的增長(zhǎng)，數(shù)據(jù)存儲(chǔ)安全以及終端身份認(rèn)證的安全顯得尤為重要，國(guó)家出臺(tái)了多項(xiàng)網(wǎng)絡(luò)安全、信息安全的法律法規(guī)。因此，基于國(guó)際密碼算法的密鑰生成與托管技術(shù)面臨著巨大的威脅[2]。傳統(tǒng)解決移動(dòng)終端身份認(rèn)證、鑒權(quán)以及數(shù)據(jù)保護(hù)的方收稿日期：2023-02-10法是采用公鑰密碼技術(shù)，來實(shí)現(xiàn)數(shù)字簽名和公鑰加密，而該方法的核心在于保證私鑰的安全。為了保障私鑰的存儲(chǔ)和使用安全，其一般都保存在密碼設(shè)備內(nèi)，相應(yīng)的密碼運(yùn)算也由專門密碼設(shè)備完成。但隨著移動(dòng)網(wǎng)絡(luò)的發(fā)展，私鑰不得不保存在移動(dòng)設(shè)備中，如手機(jī)、電腦等終端上，這就給私鑰的存儲(chǔ)、使用和運(yùn)算帶來了巨大的隱患[3]。本文在CLA無(wú)證書標(biāo)識(shí)認(rèn)證技術(shù)的基礎(chǔ)上[4-7]，采用國(guó)密算法提出了一種新型的云KEY密鑰分割與存儲(chǔ)技術(shù)。與傳統(tǒng)基于CA證書分割技術(shù)相比，該技術(shù)基于密鑰分割技術(shù)，占用終端硬件資源小，為終端設(shè)備的認(rèn)證和接入提供了高安全解決方案，且所采用的郵電設(shè)計(jì)技術(shù)/2023/0405本期專題MonthlyTopic基于無(wú)證書標(biāo)識(shí)認(rèn)證的云KEY密鑰分割與存儲(chǔ)技術(shù)算法均基于國(guó)密SM2、SM3和SM4算法，符合國(guó)家安全認(rèn)證要求，可以被廣泛應(yīng)用在智慧工廠、車聯(lián)網(wǎng)等物聯(lián)網(wǎng)場(chǎng)景。2云KEY2.1云KEY系統(tǒng)簡(jiǎn)介云KEY系統(tǒng)是一種基于密鑰分割和聯(lián)合計(jì)算的密碼系統(tǒng)，模擬智能IC卡和USBKEY的功能。通過云KEY終端(客戶端)和云KEY服務(wù)器共同組成一種個(gè)人密碼設(shè)備，用于私鑰的分散存儲(chǔ)和兩方聯(lián)合計(jì)算。云KEY客戶端SDK提供調(diào)用接口，與上層應(yīng)用集成，應(yīng)用系統(tǒng)通過對(duì)接口的調(diào)用使用云KEY完成用戶密鑰生成、用戶密鑰保存和相應(yīng)的密碼運(yùn)算，滿足身份鑒別、數(shù)字簽名和數(shù)據(jù)加解密等安全應(yīng)用需求。云KEY客戶端與云KEY服務(wù)器之間的數(shù)據(jù)交互由SDK內(nèi)部解決，對(duì)上層應(yīng)用系統(tǒng)透明。該系統(tǒng)是一種新型密鑰存儲(chǔ)和密碼運(yùn)算的虛擬密碼設(shè)備。綜合采用了國(guó)產(chǎn)密碼算法、強(qiáng)制訪問控制和安全隔離等系列新技術(shù)，配合密鑰分割存儲(chǔ)與兩方聯(lián)合計(jì)算技術(shù)，實(shí)現(xiàn)對(duì)用戶密鑰的管理和使用。2.2云KEY系統(tǒng)結(jié)構(gòu)云KEY系統(tǒng)由云KEY客戶端和云KEY中心組成 (見圖1)。云KEY客戶端為智能手機(jī)、移動(dòng)終端或者PC機(jī)，用于保存用戶密鑰分量。云KEY中心由云KEY服務(wù)器為用戶提供密鑰分量托管，由密碼設(shè)備提供用戶密鑰分量的保存并執(zhí)行密碼運(yùn)算。使用時(shí)，由云KEY客戶端和云KEY中心聯(lián)合完成數(shù)字簽名、私鑰解密等運(yùn)算。云KEY中心服務(wù)器對(duì)應(yīng)用系統(tǒng)是透明業(yè)務(wù)系統(tǒng)APP移動(dòng)端業(yè)務(wù)系統(tǒng)APP移動(dòng)端簽名APP移動(dòng)端簽名SDK云KEY客戶端運(yùn)營(yíng)級(jí)CA業(yè)務(wù)系統(tǒng)服務(wù)端簽名服簽名服務(wù)系統(tǒng)密鑰管理系統(tǒng)后臺(tái)管理系統(tǒng)計(jì)系統(tǒng)云KEY中心云密碼機(jī)圖1云KEY系統(tǒng)架構(gòu)圖062023/04/DTPT的，云KEY客戶端完成與應(yīng)用系統(tǒng)的交互。云KEY系統(tǒng)架構(gòu)包括兩大部分，分別是終端側(cè)的云KEY客戶端以及服務(wù)端的云KEY中心，終端以嵌入式SDK和獨(dú)立APP2種形態(tài)實(shí)現(xiàn)簽名加密安全功能；服務(wù)端與業(yè)務(wù)系統(tǒng)集成，提供密鑰管理、簽名服務(wù)等用戶的私鑰被分割為2個(gè)分量，一個(gè)私鑰分量由云KEY中心使用，另一個(gè)私鑰分量由用戶端使用。用戶使用私鑰時(shí)，由云KEY服務(wù)器和云KEY用戶端聯(lián)合計(jì)算產(chǎn)生簽名或?qū)?shù)據(jù)進(jìn)行私鑰解密。云KEY中心將密碼機(jī)部署在網(wǎng)上，通過用戶PIN碼(認(rèn)證口令)、用戶硬件特征碼(DID)和云KEY中心密碼設(shè)備主密鑰對(duì)用戶的私鑰分量加密后保存，簽名和加解密運(yùn)算在密碼設(shè)備中完成。用戶只有使用PIN碼和DID對(duì)密鑰解密后，才能使用自已的密鑰。多種技術(shù)的綜合使用，實(shí)現(xiàn)了云KEY密鑰的安全隔離和強(qiáng)制訪問控制，可充分保證用戶私鑰分量的安全存儲(chǔ)和使用。2.3云KEY與CLA密鑰管理系統(tǒng)及應(yīng)用系統(tǒng)關(guān)系云KEY與CLA密鑰管理系統(tǒng)以及云KEY與應(yīng)用系統(tǒng)之間的關(guān)系如圖2所示。a)用戶私鑰存儲(chǔ)以及與私鑰有關(guān)的運(yùn)算由云KEY客戶端和云KEY服務(wù)器聯(lián)合完成。云KEY服務(wù)器對(duì)上層應(yīng)用APP是透明的，與云KEY服務(wù)器的交互由SDK內(nèi)部完成。應(yīng)用APP對(duì)云KEY的調(diào)用由客戶端接口完成。b)用戶管理系統(tǒng)是由建設(shè)單位建立的應(yīng)用系統(tǒng)，用于管理本單位所有的用戶，包括用戶的注冊(cè)、用戶密鑰的申請(qǐng)、用戶密鑰的掛失和注銷以及用戶信息的更新等。在用戶管理系統(tǒng)上要配置簽名認(rèn)證服務(wù)器，在用戶通過用戶管理系統(tǒng)申請(qǐng)密鑰時(shí)，需要對(duì)用戶相關(guān)信息進(jìn)行數(shù)字簽名。應(yīng)用對(duì)簽名認(rèn)證服務(wù)器的調(diào)用通過“簽名認(rèn)證服務(wù)器接口完成。用戶終端在用戶管理系統(tǒng)上注冊(cè)時(shí)，用戶管理系統(tǒng)需要對(duì)用戶提交的資料進(jìn)行合法性和有效性審查。用戶管理系統(tǒng)與客戶端的通信由開發(fā)單位定義。c)CLA密鑰管理系統(tǒng)，用于為用戶生成密鑰和頒發(fā)公鑰標(biāo)識(shí)，發(fā)布用戶的密鑰狀態(tài)。用戶管理系統(tǒng)與CLA密鑰管理系統(tǒng)之間的通信采用Http協(xié)議。d)應(yīng)用系統(tǒng)是指建設(shè)單位建立的應(yīng)用服務(wù)系統(tǒng)，應(yīng)用系統(tǒng)配備簽名認(rèn)證服務(wù)器，用于認(rèn)證客戶身份和簽名驗(yàn)簽。應(yīng)用系統(tǒng)與云KEY客戶端之間的通信協(xié)議和過程由開發(fā)單位定義。應(yīng)用系統(tǒng)對(duì)簽名認(rèn)證服基于無(wú)證書標(biāo)識(shí)認(rèn)證的云KEY密鑰分割與存儲(chǔ)技術(shù)本期專題MonthlyTopic簽名服務(wù)器接口簽名認(rèn)證服務(wù)器身份認(rèn)證簽名驗(yàn)簽簽名服務(wù)器接口簽名認(rèn)證服務(wù)器身份認(rèn)證簽名驗(yàn)簽CLA密鑰管理系統(tǒng) 密鑰申請(qǐng)Http協(xié)議簽名/解密簽名認(rèn)證服務(wù)器簽名服務(wù)器接簽名/解密簽名認(rèn)證服務(wù)器簽名服務(wù)器接口 (CMC)密鑰申請(qǐng)Http協(xié)議/其他協(xié)議簽名/驗(yàn)簽云KEY服務(wù)器云簽名/驗(yàn)簽云KEY服務(wù)器云KEY客戶端接口 (SDK)APPHttp協(xié)議/其他協(xié)議身份簽名認(rèn)證驗(yàn)簽應(yīng)用系統(tǒng) 圖2云KEY、CLA與密鑰管理系統(tǒng)邏輯關(guān)系圖務(wù)器的調(diào)用通過簽名認(rèn)證服務(wù)器接口完成。3云KEY密鑰保護(hù)及存儲(chǔ)機(jī)制用戶密鑰對(duì)生成時(shí)，由云KEY中心密碼設(shè)備、用戶端安全組件或APP與CLA密鑰管理系統(tǒng)聯(lián)合完成用戶2個(gè)私鑰分量的生成。在云KEY中心，為保證用 (DID)、用戶口令(PIN)、密碼機(jī)設(shè)備主密鑰(MK)對(duì)用戶私鑰分量進(jìn)行多重加密后保存。在用戶端，私鑰分量生成后使用設(shè)備硬件特征碼(DID)、用戶口令(PIN)等信息加密保存。用戶端設(shè)備硬件特征碼可用于綁定用戶密鑰和手機(jī)設(shè)備，如果有條件，可使用TEE可信計(jì)算或指紋等生物特征進(jìn)行保護(hù)。用戶私鑰的分割存儲(chǔ)與保護(hù)方式如圖3所示。4基于CLA的云KEY密鑰分割與協(xié)同計(jì)算4.1用戶簽名密鑰生成算法發(fā)送到云KEY中心。c)用戶端發(fā)送ID和P2到CLA，請(qǐng)求為用戶生成簽名密鑰。用戶私鑰分量2SM4 加密用戶私鑰分量密文0PrvEnc0SM4 加密用戶私鑰分量密文2用戶私鑰分量2SM4 加密用戶私鑰分量密文0PrvEnc0SM4 加密用戶私鑰分量密文2PrvEnc2云密碼機(jī)主密鑰 KEY=SM3(PIN‖DID)CLA密鑰管理系統(tǒng)云KEY中心 用戶私鑰 用戶私鑰分量1加密用戶私鑰分量密文1PrvEnc1硬件特征碼 (硬件指紋)DID用戶PIN云KEY客戶端圖3用戶私鑰的分割存儲(chǔ)與保護(hù)方式郵電設(shè)計(jì)技術(shù)/2023/0407本期專題MonthlyTopic基于無(wú)證書標(biāo)識(shí)認(rèn)證的云KEY密鑰分割與存儲(chǔ)技術(shù)d)CLA按無(wú)證書用戶密鑰生成算法為用戶生成算：用P2對(duì)s0做公鑰加密生成密鑰包EVK1，EVK1中的Q的前4個(gè)字節(jié))。PID到用戶端，并將PID作為用戶的公鑰標(biāo)識(shí)(簽名公鑰標(biāo)識(shí)可以不發(fā)布)。f)用戶端從EVK1中取出隨機(jī)值(x，y)構(gòu)成橢圓曲心。g)云KEY中心從EVK1中取出隨機(jī)值(x，y)構(gòu)成戶的私鑰分量2加密保存。h)用戶端計(jì)算：生成的用戶簽名密鑰信息為：b用戶端和云KEY中心互相不知道對(duì)方的私鑰分ddd整私A4.2兩方協(xié)同數(shù)字簽名算法用戶端和云KEY中心的共同私鑰為d，公鑰為Q=ZMsQPdQP到云KEY中心。c)用戶端驗(yàn)證云KEY中心的部分簽名(r，s2)： 4.3兩方協(xié)同私鑰解密算法公鑰加密后的密文。對(duì)C的解密過程如下。C云KEY中心。d)以下步驟同SM2解密算法B4—B7。對(duì)簽名的驗(yàn)證和用公鑰對(duì)數(shù)據(jù)加密同SM2算法。4.4用戶加密密鑰生成算法步驟a)~c)與用戶簽名密鑰生成步驟相同，并借用在那里生成的所有參數(shù)。d)CLA按無(wú)證書用戶密鑰生成算法為用戶生成EVK3，EVK2和EVK3中的公鑰為Q。標(biāo)識(shí)SysPID到用戶端，并將d′加密保存到數(shù)據(jù)庫(kù)，發(fā)布用戶的加密公鑰標(biāo)識(shí)PID。f)用戶端從EVK3中取出隨機(jī)值(x，y)構(gòu)成橢圓曲082023/04/DTPT基于無(wú)證書標(biāo)識(shí)認(rèn)證的云KEY密鑰分割與存儲(chǔ)技術(shù)本期專題MonthlyTopicY。g)云KEY中心從EVK3中取出隨機(jī)值(x，y)構(gòu)成云KEY中心將d作為用戶的加密私鑰分量2加密保存。再?gòu)腅VK2中取出隨機(jī)值(x，y)構(gòu)成橢圓曲線端。端4.5應(yīng)用使用流程UID安全盾提供接口和應(yīng)用系統(tǒng)對(duì)接，其整體應(yīng)用框架和流程如圖4所示。③發(fā)送二維碼到瀏覽器瀏覽器 UID安全盾⑥協(xié)同計(jì)算交互信息CLA密鑰管理中心③發(fā)送二維碼到瀏覽器瀏覽器 UID安全盾⑥協(xié)同計(jì)算交互信息CLA密鑰管理中心應(yīng)用系統(tǒng)①申請(qǐng)簽名二維碼④手機(jī)掃碼⑧返回簽名結(jié)果①申請(qǐng)簽名二維碼④手機(jī)掃碼⑧返回簽名結(jié)果二維碼 云KEY中心⑤刷指紋或輸口⑤刷指紋或輸口計(jì)算協(xié)同CLA密鑰管理中心計(jì)算圖4UID安全盾整體應(yīng)用框架和流程UID安全盾中心使用Httprestful接口與應(yīng)用系統(tǒng)對(duì)接，主要傳送申請(qǐng)簽名二維碼、推送簽名結(jié)果等信息。調(diào)用流程如下。a)應(yīng)用系統(tǒng)調(diào)用“申請(qǐng)簽名二維碼”。b)UID安全盾中心返回二維碼URL。c)應(yīng)用系統(tǒng)發(fā)送二維碼URL到瀏覽器。d)用戶使用手機(jī)UID安全盾APP掃描二維碼。e)用戶在手機(jī)上輸入口令或指紋，啟動(dòng)三方協(xié)同計(jì)算。f)手機(jī)端和安全盾中心交互進(jìn)行協(xié)同計(jì)算。g)安全盾中心配合云密碼機(jī)和CLA密鑰管理中心以及手機(jī)端完成協(xié)同計(jì)算。h)推送簽名結(jié)果到應(yīng)用系統(tǒng)。5結(jié)束語(yǔ)本文基于CLA無(wú)證書標(biāo)識(shí)認(rèn)證技術(shù)，采用國(guó)密算法提出了一種新型的云KEY密鑰分割與存儲(chǔ)技術(shù)。在此技術(shù)上，通過密鑰分割和聯(lián)合計(jì)算設(shè)計(jì)出了一套云KEY系統(tǒng)。該系統(tǒng)通過接口的調(diào)用使用云KEY完成用戶密鑰生成、用戶密鑰保存和相應(yīng)的密碼運(yùn)算，滿足身份鑒別、數(shù)字簽名和數(shù)據(jù)加解密等安全應(yīng)用需將用戶私鑰分割為2個(gè)部分，且分別保存在不通的密鑰托管系統(tǒng)中，在需要使用私鑰進(jìn)行簽名和解密時(shí)，由云KEY中心和云KEY客戶端聯(lián)合完成簽名計(jì)