基于无证书标识认证的云KEY密钥分割与存储技术.docxVIP

基于无证书标识认证的云KEY密钥

分割与存储技术

1概述

随着5G的发展，移动互联网中有大量的终端设备接入。信息通信渠道、数据存储与处理呈现爆炸式增长［1］。一方面，互联网的高速发展带来了巨大的经济效益，另一方面，由于数据的增长，数据存储安全以及终端身份认证的安全显得尤为重要，国家出台了多项网络安全、信息安全的法律法规。因此，基于国际密码算法的密钥生成与托管技术面临着巨大的威胁［2］。传统解决移动终端身份认证、鉴权以及数据保护的方

——————————

收稿日期：2023-02-10

法是采用公钥密码技术，来实现数字签名和公钥加密，而该方法的核心在于保证私钥的安全。为了保障私钥的存储和使用安全，其一般都保存在密码设备内，相应的密码运算也由专门密码设备完成。但随着移动网络的发展，私钥不得不保存在移动设备中，如手机、电脑等终端上，这就给私钥的存储、使用和运算带来了巨大的隐患［3］。

本文在CLA无证书标识认证技术的基础上［4-7］，采用国密算法提出了一种新型的云KEY密钥分割与存储技术。与传统基于CA证书分割技术相比，该技术基于密钥分割技术，占用终端硬件资源小，为终端设备的认证和接入提供了高安全解决方案，且所采用的

算法均基于国密SM2、SM3和SM4算法，符合国家安全认证要求，可以被广泛应用在智慧工厂、车联网等物联网场景。

云KEY

云KEY系统简介

云KEY系统是一种基于密钥分割和联合计算的密码系统，模拟智能IC卡和USBKEY的功能。通过云KEY终端（客户端）和云KEY服务器共同组成一种个人密码设备，用于私钥的分散存储和两方联合计算。云KEY客户端SDK提供调用接口，与上层应用集成，应用系统通过对接口的调用使用云KEY完成用户密钥生成、用户密钥保存和相应的密码运算，满足身份鉴别、数字签名和数据加解密等安全应用需求。云KEY客户端与云KEY服务器之间的数据交互由SDK内部解决，对上层应用系统透明。

该系统是一种新型密钥存储和密码运算的虚拟密码设备。综合采用了国产密码算法、强制访问控制和安全隔离等系列新技术，配合密钥分割存储与两方联合计算技术，实现对用户密钥的管理和使用。

云KEY系统结构

云KEY系统由云KEY客户端和云KEY中心组成

（见图1）。云KEY客户端为智能手机、移动终端或者PC机，用于保存用户密钥分量。云KEY中心由云KEY服务器为用户提供密钥分量托管，由密码设备提供用户密钥分量的保存并执行密码运算。使用时，由云KEY客户端和云KEY中心联合完成数字签名、私钥解密等运算。云KEY中心服务器对应用系统是透明

业务系统

APP 业务系统服务端

的，云KEY客户端完成与应用系统的交互。

云KEY系统架构包括两大部分，分别是终端侧的云KEY客户端以及服务端的云KEY中心，终端以嵌入式SDK和独立APP2种形态实现签名加密安全功能；服务端与业务系统集成，提供密钥管理、签名服务等能力。其中，用户的私钥被分割为2个分量，一个私钥分量由云KEY中心使用，另一个私钥分量由用户端使用。用户使用私钥时，由云KEY服务器和云KEY用户端联合计算产生签名或对数据进行私钥解密。

云KEY中心将密码机部署在网上，通过用户PIN码（认证口令）、用户硬件特征码（DID）和云KEY中心密码设备主密钥对用户的私钥分量加密后保存，签名和加解密运算在密码设备中完成。用户只有使用PIN码和DID对密钥解密后，才能使用自已的密钥。多种技术的综合使用，实现了云KEY密钥的安全隔离和强制访问控制，可充分保证用户私钥分量的安全存储和使用。

2.3云KEY与CLA密钥管理系统及应用系统关系

云KEY与CLA密钥管理系统以及云KEY与应用系统之间的关系如图2所示。

a）用户私钥存储以及与私钥有关的运算由云KEY客户端和云KEY服务器联合完成。云KEY服务器对上层应用APP是透明的，与云KEY服务器的交互由SDK内部完成。应用APP对云KEY的调用由客户端接口完成。

b）用户管理系统是由建设单位建立的应用系统，用于管理本单位所有的用户，包括用户的注册、用户密钥的申请、用户密钥的挂失和注销以及用户信息的更新等。在用户管理系统上