一种基于随机数加密密钥的私钥安全管理方法及系统与流程

本发明涉及信息安全加密，尤其涉及一种基于随机数加密密钥的私钥安全管理方法及系统。

背景技术：

1、在数字化时代，数字签名成为了确保电子文档真实性和完整性的关键技术。它允许数据接收者验证电子文档是否未被篡改，且确实来自声称的发送者。数字签名依赖于非对称加密技术，其中发送者使用私钥进行签名，而接收者则使用相应的公钥进行验证。因此，私钥的安全管理直接关系到数字签名的可靠性和整个信息系统的安全性。

2、传统上，私钥的存储和管理多依赖于物理安全设备(如智能卡、usb安全密钥等)或密码保护的软件存储。然而，这些方法存在诸多局限。物理设备容易丢失或损坏，且在多设备环境下使用不便；软件存储方式则面临着恶意软件攻击的风险。近年来，云存储因其便利性逐渐成为私钥存储的选择之一，但云服务的安全性常受到质疑，一旦云服务商遭遇数据泄露，用户的私钥便极易被泄露，造成不可挽回的损失。

3、专利号cn2015101241387公开了一种标识认证安全管理系统，包括密钥生成装置和安全终端，密钥生成装置通过硬件内置的种子矩阵生成基于标识的密钥对，安全终端具备内置的唯一密钥对，安全终端将设备公钥，标识，随机数送出，并用设备私钥签名，经过数据接口或网络送入密钥生成装置，密钥生成装置根据标识生成标识私钥，用安全终端的设备公钥加密，并用管理私钥签名，经过数据接口或网络接口送至安全终端，标识私钥在安全设备内部解密并存储，外部无法读取。

4、专利号cn2022113383694公开了一种云密码安全管理方法、系统、装置及存储介质，其方法包括：获取用户的请求信息，根据请求信息调用随机数生成接口生成密钥，利用密钥对请求信息中的密码信息进行加密，得到加密信息，获取用户的身份信息，根据身份信息和非对称加密算法生成公钥和私钥，并利用公钥对密钥进行加密得到加密密钥，利用信息整合模型对加密信息、加密密钥和公钥进行整合，得到加密字符串，根据预设规则对加密字符进行处理得到加密密码；上述发明大大提高了用户数据的安全性，有效降低了黑客或恶意程序攻击云平台造成用户信息和数据泄露、导致财产损失的风险。

5、然而，以上专利不能有效简化用户的操作流程，而且在攻击者使用暴力网络破解时私钥的安全性将会受到极大威胁；因此，当前的挑战是如何在保证高度安全的同时，简化用户操作流程，尤其是在频繁需要身份验证和数字签名的场景中。

技术实现思路

1、本发明的目的是提供一种基于随机数加密密钥的私钥安全管理方法及系统，能够通过用户侧设备利用特定算法直接生成私钥和公钥，并通过基于随机数的加密机制对私钥进行加密保护，辅以短信验证码认证机制和自动删除机制完成私钥的校验和删除操作；本发明能够有效降低私钥被窃取的风险，增强私钥使用过程的安全性。

2、本发明利用下述技术方案：

3、一种基于随机数加密密钥的私钥安全管理系统，包括密钥扩展模块、随机数生成模块、随机密钥生成模块、加密模块、通信模块、证书申请模块、解密模块和清理模块；其中，

4、密钥扩展模块，用于根据用户侧设备的系统环境信息和生物特征信息生成私钥和公钥；

5、用户侧设备包括笔记本电脑、平板电脑和手机；系统环境信息包括系统版本号、系统类型、系统架构和系统性能；生物特征信息包括指纹信息、声音信息和面部信息；

6、随机数生成模块，用于产生一组n位随机数字u；

7、随机密钥生成模块，用于将产生的n位随机数字u进行哈希运算，以形成加密钥匙；

8、加密模块，用于利用加密钥匙和混沌序列对私钥进行加密，以生成加密私钥；

9、通信模块，用于通知云服务系统向用户侧设备发送短信验证码；短信验证码为一组n位随机数字u；

10、证书申请模块，用于根据获取的公钥生成申请临时证书；

11、解密模块，用于在用户输入短信验证码后，用户通过用户侧设备利用加密私钥进行签名操作；

12、清理模块，用于用户侧设备将对私钥和临时证书进行自动删除。

13、优选的，密钥扩展模块的工作流程为：

14、首先，密钥扩展模块将用户侧设备的系统环境信息和生物特征信息集成为环境参数：

15、e＝df⊕np⊕osv(1)

16、其中，e表示环境参数，df表示指纹哈希值，np表示网络地址哈希值，osv表示操作系统的类型和版本号，⊕表示异或符号；

17、然后，密钥扩展模块根据用户原始密钥和环境参数生成扩展密钥，并将扩展密钥划分为公钥和私钥：

18、

19、其中，ek表示扩展密钥，h()表示哈希函数，k表示用户原始密钥，p表示公钥，s表示私钥。

20、优选的，加密模块的工作流程为：

21、首先，加密模块利用混沌函数对混沌序列进行初始化：

22、x(k,i+1)＝foreach(chaosk(x(k,i)),k)(3)

23、其中，x表示混沌序列，k表示混沌序列的第k维度，i表示混沌序列的第i项，x(k,i+1)表示第k维度的混沌序列的第i项，foreach()表示循环函数，chaosk()表示第k维度的混沌函数；

24、随后，加密模块利用混沌序列和扩展密钥动态生成替代盒函数和置换盒函数：

25、abox＝generateboxes(x(1,t),…,x(m,t),ek,c)(4)

26、sbox＝generateboxes(x(m,1),…,x(m,t),ek,c)(5)

27、其中，abox表示置换盒函数，generateboxes()表示盒子生成函数，t表示混沌序列的总项数，m表示混沌序列的总维度数目，c表示总解密数目，sbox表示替代盒函数；

28、然后，加密模块利用替代盒函数和置换盒函数对加密钥匙进行非线性处理，以获取混淆密文：

29、mpj＝sbox[abox[mj⊕x(k,i)]](6)

30、其中，mp表示混淆密文，j表示混淆密文的的第j项，mpj表示混淆密文的第j项，m表示加密钥匙，mj表示加密钥匙的第j项；

31、最后，加密模块根据获取的混淆密文对私钥进行加密处理，以获取加密私钥：

32、

33、其中，ct表示加密私钥的密文，n表示混淆密文总项数，表示哈达玛内积，∏表示n项乘积。

34、优选的，解密模块的工作流程为：

35、首先，解密模块在替代盒函数和置换盒函数中提取剩余解密次数，并进行验证：

36、c＝extractc(sbox,abox,ek)(8)

37、其中，extractc()表示提取函数；

38、然后，解密模块将替代盒函数和置换盒函数进行逆处理，从而对混淆密文进行解密：

39、

40、其中，⊙表示哈达玛外积；上角标-1表示对应函数的逆函数；

41、随后，解密模块获取加密钥匙，并更新替代盒函数、置换盒函数和剩余解密次数：

42、

43、其中，ecc-1()表示逆椭圆曲线函数，dct-1()表示逆离散余弦函数，dft-1()表示逆傅里叶变换函数；

44、c,＝c-1(11)

45、abox,＝generateboxes(x(1,t),…,x(m,t),ek,c,)(12)

46、sbox,＝generateboxes(x(m,1),…,x(m,t),ek,c,)(13)

47、其中，c,表示更新后的剩余解密次数，abox,表示更新后的置换盒函数，sbox,表示更新后的替代盒函数；

48、最后，用户通过用户侧设备利用加密私钥进行签名操作。

49、优选的，清理模块还包含自动删除机制：用户在预设时间内未使用私钥或者已完成签名操作，用户侧设备将自动删除私钥和临时证书；预设时间由用户侧设备根据安全策略自动确定。

50、优选的，随机数生成模块利用安全算法生成一组n位的随机数字u；n取6。

51、优选的，短信验证码用于验证用户身份，以授权用户使用加密私钥进行签名操作。

52、还包括一种基于随机数加密密钥的私钥安全管理方法，包括以下步骤：

53、s1：用户侧设备通过密钥扩展模块生成一对私钥和公钥；

54、s2：通过随机数生成模块生成一组n位随机数字u，并通过随机密钥生成模块对n位随机数字进行哈希运算，以形成加密钥匙；

55、s3：通过加密模块利用加密钥匙和混沌序列对私钥进行加密，以生成加密私钥；

56、s4：通过通信模块通知云服务系统向用户侧设备发送短信验证码，并通过证书申请模块根据生成的公钥生成申请临时证书；

57、s5：在用户输入短信验证码后，解密模块用户通过用户侧设备利用加密私钥进行签名操作；

58、s6：用户在预设时间内未使用私钥或完成签名操作后，用户侧设备通过清理模块自动删除私钥和临时证书。

59、本发明通过密钥扩展模块将用户侧设备的系统环境信息和生物特征信息进行结合，以生成私钥和公钥；通过加密模块利用混沌序列和扩展密钥对私钥进行非线性处理，以获取加密私钥；通过解密模块利用替代盒和置换盒对混淆密文进行解密，以获取加密钥匙，同时更新替代盒、置换盒和剩余解密次数；通过自动删除机制降低私钥长期存储的安全风险，增强了私钥使用过程的安全性，提高了用户操作的便捷性。