專利名稱:用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護方法
技術領域:
本發明涉及一種用戶加密密鑰的保護方法,特別涉及一種用戶密鑰管理 體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護方法。
背景技術:
隨著互聯網的普及,網絡安全已成為互聯網擴展業務和拓展應用的當務 之急。目前比較常用的技術手段是通過加密密鑰及其密鑰認證來實現網絡上 的信息安全。
比如申請號為03145286. 8的名為《用于提供安全服務器密鑰操作的系統 和方法》的專利,該專利公開的技術描述了一個密鑰管理接口,它允許把不 同的密鑰保護方案插入到數字權利管理系統中去。此接口展示了下列功能 數據簽名、用公鑰來解密己加密的數據以及對于不同的認證原則(比如,不 同的公鑰)用由接口輸出的公鑰來再加密己被加密的數據。如此, 一個安全 的接口能被提供,如此,數據不能以明文方式進入和離開此接口。這樣一個 接口輸出簽名和解密的私鑰操作,以及在許可和發布中對數字資源服務器提 供安全性和認證。
類似上述的加密密鑰的方法和應用系統目前被普遍采用,但其應用中仍 存在安全隱患。
發明內容
本發明所要解決的技術問題在于提供一種用戶密鑰管理體系中的非對稱 密鑰傳輸過程中用戶加密密鑰的保護方法,引入數字信封技術,保障用戶加 密密鑰傳輸時的安全性。
本發明所要解決的技術問題可以通過以下技術方案來實現 一種用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護
方法,其特征在于,所述保護方法包括如下的步驟-
1) 用戶通過使用證書存儲設備生成簽名密鑰對并向密鑰管理中心構造傳
遞請求;
2) 密鑰管理中心生成用戶加密密鑰對并使用數字信封技術進行保護后向 回傳輸給發證客戶端;
3) 證書存儲設備解密得到用戶加密私鑰并安裝到證書存儲設備中。 所述步驟l)中包含以下步驟
(1) 用戶或用戶發證中心RA的管理員通過證書存儲設備構造用于生成 簽名證書的密鑰對(SigPubKey, SigPrvKey),該密鑰對也同時用于用戶加密密
鑰的保護;
(2) 發證客戶端使用密鑰SigPubKey及輸入參數構造請求,將構造請求 傳遞到用戶注冊中心RA;
(3 )用戶注冊中心RA驗證用戶的合法性和用戶證書請求是否已獲批準, 然后根據用戶信息、證書基本請求和證書策略構造證書申請請求,并通過安 全連接發送給證書認證中心CA的服務器;
(4)證書認證中心CA驗證該請求的合法性,然后通過安全連接向密鑰 管理中心KM請求獲取用戶的加密密鑰對。 所述步驟2)中包含以下步驟
(1) 密鑰管理中心KM接到請求后,從備用庫中獲取得到加密過的加密 密鑰對,使用加密機進行解密得到加密密鑰對(EncPubKey,EncPrvKey);
(2) 密鑰管理中心KM生成傳輸密鑰TKey,使用傳輸密鑰TKey通過對 稱算法對用戶加密密鑰EncPrvKey進行加密得到密鑰EncryptEncPrvKey;
(3) 密鑰管理中心KM使用請求中的公鑰SigPubKey通過非對稱算法對 傳輸密鑰TKey進行加密,得到密鑰EncryptTKey;
(4) 密鑰管理中心KM將密鑰EncryptEncPrvKey、密鑰EncryptTKey、 密鑰EncPubKey組合后一起傳送給證書認證中心CA。
(5) 證書認證中心CA根據證書策略簽發用戶簽名證書及加密證書,將 簽發好的證書、密鑰EncryptEncPrvKey、密鑰EncryptTKey—起傳送到用戶 注冊中心RA;
(6) 用戶注冊中心RA的服務器向發證客戶端返回加密證書、簽名證書
和密鑰EncryptEncPrvKey、密鑰EncryptTKey。 所述步驟3)中包含以下步驟 (1 )證書存儲設備使用私鑰SigPrvKey解密密鑰EncryptTKey獲得傳輸 密鑰TKey;
(2) 證書存儲設備使用傳輸密鑰TKey解密密鑰EncryptEncPrvKey獲得 用戶加密密鑰的私鑰EncPrvKey;
(3) 證書存儲設備將用戶加密密鑰的私鑰EncPrvKey、加密證書和簽名 證書安裝到證書存儲設備中。
本發明的用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的 保護方法具有如下特點
1、 采用數字信封方式,保障了對稱密鑰傳輸時的安全性;
2、 采用證書存儲設備自生成的不可導出私鑰的密鑰對進行保護,保障了 用戶加密密鑰安裝的安全性。
本發明的用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的 保護方法,通過使用數字信封技術(非對稱算法+對稱算法)保障了整個傳遞 流程的安全,實現了本發明的目的。
以下結合附圖和具體實施方式
來進一步說明本發明。 圖l是本發明的流程圖。
具體實施例方式
如
圖1所示,在我國的CA體系建設中按照國密局要求都采用雙證書雙中 心體系,它包括密鑰管理中心KM、證書認證中心CA、用戶注冊中心RA、發 證客戶端和證書存儲設備;其中用戶加密證書的非對稱密鑰對是在密鑰管理 中心KM生成并托管,在進行用戶證書簽發、恢復時,用戶加密證書的非對稱 密鑰都需要通過密鑰管理中心KM傳遞到證書認證中心CA,再傳遞到用戶注 冊中心RA,直至發證客戶端,最后安裝進入證書存儲設備,其中傳輸過程的 保護機制是用戶加密密鑰安全性的關鍵。
一種用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護
方法,所述保護方法包括如下的步驟
1 )用戶通過使用證書存儲設備生成簽名密鑰對并向密鑰管理中心構造傳 遞請求;
2) 密鑰管理中心生成用戶加密密鑰對并使用數字信封技術進行保護后向 回傳輸給發證客戶端;
3) 證書存儲設備解密得到用戶加密私鑰并安裝到證書存儲設備中。 所述步驟l)中包含以下步驟
(1) 用戶或用戶發證中心RA的管理員通過證書存儲設備構造用于生成 簽名證書的密鑰對(SigPubKey, SigPrvKey),該密鑰對也同時用于用戶加密密 鑰的保護;
(2) 發證客戶端使用密鑰SigPubKey及輸入參數構造請求,將構造請求 傳遞到用戶注冊中心RA;
(3) 用戶注冊中心RA驗證用戶的合法性和用戶證書請求是否已獲批準, 然后根據用戶信息、證書基本請求和證書策略構造證書申請請求,并通過安 全連接發送給證書認證中心CA的服務器;
(4) 證書認證中心CA驗證該請求的合法性,然后通過安全連接向密鑰 管理中心KM請求獲取用戶的加密密鑰對。
所述步驟2)中包含以下步驟
(1) 密鑰管理中心KM接到請求后,從備用庫中獲取得到加密過的加密 密鑰對,使用加密機進行解密得到加密密鑰對(EncPubKey,EncPrvKey);
(2) 密鑰管理中心KM生成傳輸密鑰TKey,使用傳輸密鑰TKey通過對 稱算法對用戶加密密鑰EncPrvKey進行加密得到密鑰EncryptEncPrvKey;
(3) 密鑰管理中心KM使用請求中的公鑰SigPubKey通過非對稱算法對 傳輸密鑰TKey進行加密,得到密鑰EncryptTKey;
(4) 密鑰管理中心KM將密鑰EncryptEncPrvKey、密鑰EncryptTKey、 密鑰EncPubKey組合后一起傳送給證書認證中心CA。
(5) 證書認證中心CA根據證書策略簽發用戶簽名證書及加密證書,將 簽發好的證書、密鑰EncryptEncPrvKey、密鑰EncryptTKey —起傳送到用戶 注冊中心RA;
(6) 用戶注冊中心RA的服務器向發證客戶端返回加密證書、簽名證書
禾口密鑰EncryptEncPrvKey、密鑰EncryptTKey 。 所述步驟3)中包含以下步驟
(1) 證書存儲設備使用私鑰SigPrvKey解密密鑰EncryptTKey獲得傳輸 密鑰TKey;
(2) 證書存儲設備使用傳輸密鑰TKey解密密鑰EncryptEncPrvKey獲得 用戶加密密鑰的私鑰EncPrvKey;
(3) 證書存儲設備將用戶加密密鑰的私鑰EncPrvKey、加密證書和簽名 證書安裝到證書存儲設備中。
保護密鑰生成
采用證書存儲設備生成用于傳輸安全的非對稱密鑰對,將公鑰 SigPubKey傳出,私鑰SigPrvKey用于解密傳回的數據,采用私鑰SigPrvKey 不可導出的證書存儲設備可以保證整個過程的安全性。
用戶加密密鑰對的響應構造
用戶加密密鑰的響應構造包含以下主要過程
1) 傳輸密鑰的生成在密鑰管理中心隨機隨機生成傳輸密鑰TKey;
2) 使用傳輸密鑰TKey加密要傳輸的用戶加密密鑰EncPrvKey得到 EncryptEncPrvKey
3) 使用用證書存儲設備中生成的公鑰SigPubKey加密傳輸密鑰TKey, 得到EncryptTKey;
4) 銷毀TKey;
5) 將EncryptEncPrvKey、 EncryptTKey和EncPubKey —起構造為用戶加 密密鑰對響應。
用戶加密密鑰對的安裝
1) 將得到的用戶加密密鑰對安裝到證書存儲設備中包含以下主要過程-
2) 傳輸密鑰的恢復獲取并解析用戶加密密鑰對響應,得到
EncryptTKey,使用保留在證書存儲設備中的SigPrvKey解密EncryptTKey, 得到TKey;
3) 用戶加密密鑰私鑰的恢復用傳輸密鑰TKey解密EncryptEncPrvKey, 得至lj EncPrvKey;
4) 將EncPrvKey和加密證書一起安裝到證書存儲設備中。 以上顯示和描述了本發明的基本原理和主要特征及其優點。本行業的技
術人員應該了解,本發明不受上述實施例的限制,上述實施例和說明書中描 述的只是說明本發明的原理,在不脫離本發明精神和范圍的前提下,本發明 還會有各種變化和改進,這些變化和改進都落入要求保護的本發明范圍內。 本發明要求保護范圍由所附的權利要求書及其等效物界定。
權利要求
1、一種用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護方法,其特征在于,所述保護方法包括如下的步驟1)用戶通過使用證書存儲設備生成簽名密鑰對并向密鑰管理中心構造傳遞請求;2)密鑰管理中心生成用戶加密密鑰對并使用數字信封技術進行保護后向回傳輸給發證客戶端;3)證書存儲設備解密得到用戶加密私鑰并安裝到證書存儲設備中。
2、 如權利要求1所述的方法,其特征在于,所述步驟1)中包含以下步驟(1) 用戶或用戶發證中心RA的管理員通過證書存儲設備構造用于生成 簽名證書的密鑰對(SigPubKey,SigPrvKey),該密鑰對也同時用于用戶加密密鑰 的保護;(2) 發證客戶端使用密鑰SigPubKey及輸入參數構造請求,將構造請求 傳遞到用戶注冊中心RA;(3) 用戶注冊中心RA驗證用戶的合法性和用戶證書請求是否已獲批準, 然后根據用戶信息、證書基本請求和證書策略構造證書申請請求,并通過安 全連接發送給證書認證中心CA的服務器;(4) 證書認證中心CA驗證該請求的合法性,然后通過安全連接向密鑰 管理中心KM請求獲取用戶的加密密鑰對。
3、 如權利要求1所述的方法,其特征在于,所述步驟2)中包含以下步驟(1) 密鑰管理中心KM接到請求后,從備用庫中獲取得到加密過的加密 密鑰對,使用加密機進行解密得到加密密鑰對(EncPubKey,EncPrvKey);(2) 密鑰管理中心KM生成傳輸密鑰TKey,使用傳輸密鑰TKey通過對 稱算法對用戶加密密鑰EncPrvKey進行加密得到密鑰EncryptEncPrvKey;(3) 密鑰管理中心KM使用請求中的公鑰SigPubKey通過非對稱算法對 傳輸密鑰TKey進行加密,得到密鑰EncryptTKey;(4) 密鑰管理中心KM將密鑰EncryptEncPrvKey、密鑰EncryptTKey、 密鑰EncPubKey組合后一起傳送給證書認證中心CA。(5) 證書認證中心CA根據證書策略簽發用戶簽名證書及加密證書,將 簽發好的證書、密鑰EncryptEncPrvKey、密鑰EncryptTKey —起傳送到用戶 注冊中心RA;(6) 用戶注冊中心RA的服務器向發證客戶端返回加密證書、簽名證書 禾口密鑰EncryptEncPrvKey 、密鑰EncryptTKey 。
4、 如權利要求1所述的方法,其特征在于,所述步驟3)中包含以下步驟(1)證書存儲設備使用私鑰SigPrvKey解密密鑰EncryptTKey獲得傳輸 密鑰TKey;(2) 證書存儲設備使用傳輸密鑰TKey解密密鑰EncryptEncPrvKey獲得 用戶加密密鑰的私鑰EncPrvKey;(3) 證書存儲設備將用戶加密密鑰的私鑰EncPrvKey、加密證書和簽名 證書安裝到證書存儲設備中。
全文摘要
本發明公開了一種用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護方法,引入數字信封技術,保障用戶加密密鑰傳輸時的安全性,所述保護方法包括如下的步驟1)用戶通過使用證書存儲設備生成簽名密鑰對并向密鑰管理中心構造傳遞請求;2)密鑰管理中心生成用戶加密密鑰對并使用數字信封技術進行保護后向回傳輸給發證客戶端;3)證書存儲設備解密得到用戶加密私鑰并安裝到證書存儲設備中;具有采用數字信封方式,保障了對稱密鑰傳輸時的安全性;采用證書存儲設備自生成的不可導出私鑰的密鑰對進行保護,保障了用戶加密密鑰安裝的安全性的特點,實現了本發明的目的。
文檔編號H04L29/06GK101115060SQ20071004473
公開日2008年1月30日 申請日期2007年8月9日 優先權日2007年8月9日
發明者偉 任, 楊茂江, 俊 許 申請人:上海格爾軟件股份有限公司