專利名稱:用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用戶加密密鑰的保護方法�,特別涉及一種用戶密鑰管理 體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護方法��。
背景技術(shù):
隨著互聯(lián)網(wǎng)的普及�����,網(wǎng)絡(luò)安全已成為互聯(lián)網(wǎng)擴展業(yè)務(wù)和拓展應(yīng)用的當務(wù) 之急��。目前比較常用的技術(shù)手段是通過加密密鑰及其密鑰認證來實現(xiàn)網(wǎng)絡(luò)上 的信息安全��。
比如申請?zhí)枮?3145286. 8的名為《用于提供安全服務(wù)器密鑰操作的系統(tǒng) 和方法》的專利���,該專利公開的技術(shù)描述了一個密鑰管理接口�,它允許把不 同的密鑰保護方案插入到數(shù)字權(quán)利管理系統(tǒng)中去����。此接口展示了下列功能 數(shù)據(jù)簽名、用公鑰來解密己加密的數(shù)據(jù)以及對于不同的認證原則(比如�,不 同的公鑰)用由接口輸出的公鑰來再加密己被加密的數(shù)據(jù)�。如此, 一個安全 的接口能被提供�����,如此,數(shù)據(jù)不能以明文方式進入和離開此接口�。這樣一個 接口輸出簽名和解密的私鑰操作,以及在許可和發(fā)布中對數(shù)字資源服務(wù)器提 供安全性和認證����。
類似上述的加密密鑰的方法和應(yīng)用系統(tǒng)目前被普遍采用,但其應(yīng)用中仍 存在安全隱患���。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題在于提供一種用戶密鑰管理體系中的非對稱 密鑰傳輸過程中用戶加密密鑰的保護方法�����,引入數(shù)字信封技術(shù)�,保障用戶加 密密鑰傳輸時的安全性��。
本發(fā)明所要解決的技術(shù)問題可以通過以下技術(shù)方案來實現(xiàn) 一種用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護
方法��,其特征在于�,所述保護方法包括如下的步驟-
1) 用戶通過使用證書存儲設(shè)備生成簽名密鑰對并向密鑰管理中心構(gòu)造傳
遞請求;
2) 密鑰管理中心生成用戶加密密鑰對并使用數(shù)字信封技術(shù)進行保護后向 回傳輸給發(fā)證客戶端���;
3) 證書存儲設(shè)備解密得到用戶加密私鑰并安裝到證書存儲設(shè)備中���。 所述步驟l)中包含以下步驟
(1) 用戶或用戶發(fā)證中心RA的管理員通過證書存儲設(shè)備構(gòu)造用于生成 簽名證書的密鑰對(SigPubKey�����, SigPrvKey)����,該密鑰對也同時用于用戶加密密
鑰的保護�;
(2) 發(fā)證客戶端使用密鑰SigPubKey及輸入?yún)?shù)構(gòu)造請求,將構(gòu)造請求 傳遞到用戶注冊中心RA;
(3 )用戶注冊中心RA驗證用戶的合法性和用戶證書請求是否已獲批準�, 然后根據(jù)用戶信息、證書基本請求和證書策略構(gòu)造證書申請請求�,并通過安 全連接發(fā)送給證書認證中心CA的服務(wù)器;
(4)證書認證中心CA驗證該請求的合法性����,然后通過安全連接向密鑰 管理中心KM請求獲取用戶的加密密鑰對。 所述步驟2)中包含以下步驟
(1) 密鑰管理中心KM接到請求后���,從備用庫中獲取得到加密過的加密 密鑰對���,使用加密機進行解密得到加密密鑰對(EncPubKey,EncPrvKey);
(2) 密鑰管理中心KM生成傳輸密鑰TKey���,使用傳輸密鑰TKey通過對 稱算法對用戶加密密鑰EncPrvKey進行加密得到密鑰EncryptEncPrvKey;
(3) 密鑰管理中心KM使用請求中的公鑰SigPubKey通過非對稱算法對 傳輸密鑰TKey進行加密��,得到密鑰EncryptTKey;
(4) 密鑰管理中心KM將密鑰EncryptEncPrvKey���、密鑰EncryptTKey、 密鑰EncPubKey組合后一起傳送給證書認證中心CA�����。
(5) 證書認證中心CA根據(jù)證書策略簽發(fā)用戶簽名證書及加密證書�,將 簽發(fā)好的證書、密鑰EncryptEncPrvKey���、密鑰EncryptTKey—起傳送到用戶 注冊中心RA;
(6) 用戶注冊中心RA的服務(wù)器向發(fā)證客戶端返回加密證書�、簽名證書
和密鑰EncryptEncPrvKey��、密鑰EncryptTKey���。 所述步驟3)中包含以下步驟 (1 )證書存儲設(shè)備使用私鑰SigPrvKey解密密鑰EncryptTKey獲得傳輸 密鑰TKey;
(2) 證書存儲設(shè)備使用傳輸密鑰TKey解密密鑰EncryptEncPrvKey獲得 用戶加密密鑰的私鑰EncPrvKey;
(3) 證書存儲設(shè)備將用戶加密密鑰的私鑰EncPrvKey��、加密證書和簽名 證書安裝到證書存儲設(shè)備中��。
本發(fā)明的用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的 保護方法具有如下特點
1����、 采用數(shù)字信封方式,保障了對稱密鑰傳輸時的安全性�;
2、 采用證書存儲設(shè)備自生成的不可導(dǎo)出私鑰的密鑰對進行保護�����,保障了 用戶加密密鑰安裝的安全性�����。
本發(fā)明的用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的 保護方法���,通過使用數(shù)字信封技術(shù)(非對稱算法+對稱算法)保障了整個傳遞 流程的安全��,實現(xiàn)了本發(fā)明的目的���。
以下結(jié)合附圖和具體實施方式
來進一步說明本發(fā)明。 圖l是本發(fā)明的流程圖�。
具體實施例方式
如
圖1所示,在我國的CA體系建設(shè)中按照國密局要求都采用雙證書雙中 心體系����,它包括密鑰管理中心KM���、證書認證中心CA、用戶注冊中心RA�����、發(fā) 證客戶端和證書存儲設(shè)備�;其中用戶加密證書的非對稱密鑰對是在密鑰管理 中心KM生成并托管��,在進行用戶證書簽發(fā)����、恢復(fù)時,用戶加密證書的非對稱 密鑰都需要通過密鑰管理中心KM傳遞到證書認證中心CA�����,再傳遞到用戶注 冊中心RA�����,直至發(fā)證客戶端����,最后安裝進入證書存儲設(shè)備��,其中傳輸過程的 保護機制是用戶加密密鑰安全性的關(guān)鍵�。
一種用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護
方法��,所述保護方法包括如下的步驟
1 )用戶通過使用證書存儲設(shè)備生成簽名密鑰對并向密鑰管理中心構(gòu)造傳 遞請求��;
2) 密鑰管理中心生成用戶加密密鑰對并使用數(shù)字信封技術(shù)進行保護后向 回傳輸給發(fā)證客戶端�����;
3) 證書存儲設(shè)備解密得到用戶加密私鑰并安裝到證書存儲設(shè)備中���。 所述步驟l)中包含以下步驟
(1) 用戶或用戶發(fā)證中心RA的管理員通過證書存儲設(shè)備構(gòu)造用于生成 簽名證書的密鑰對(SigPubKey�, SigPrvKey)�,該密鑰對也同時用于用戶加密密 鑰的保護;
(2) 發(fā)證客戶端使用密鑰SigPubKey及輸入?yún)?shù)構(gòu)造請求�,將構(gòu)造請求 傳遞到用戶注冊中心RA;
(3) 用戶注冊中心RA驗證用戶的合法性和用戶證書請求是否已獲批準, 然后根據(jù)用戶信息��、證書基本請求和證書策略構(gòu)造證書申請請求��,并通過安 全連接發(fā)送給證書認證中心CA的服務(wù)器��;
(4) 證書認證中心CA驗證該請求的合法性��,然后通過安全連接向密鑰 管理中心KM請求獲取用戶的加密密鑰對。
所述步驟2)中包含以下步驟
(1) 密鑰管理中心KM接到請求后�����,從備用庫中獲取得到加密過的加密 密鑰對���,使用加密機進行解密得到加密密鑰對(EncPubKey,EncPrvKey);
(2) 密鑰管理中心KM生成傳輸密鑰TKey���,使用傳輸密鑰TKey通過對 稱算法對用戶加密密鑰EncPrvKey進行加密得到密鑰EncryptEncPrvKey;
(3) 密鑰管理中心KM使用請求中的公鑰SigPubKey通過非對稱算法對 傳輸密鑰TKey進行加密�����,得到密鑰EncryptTKey;
(4) 密鑰管理中心KM將密鑰EncryptEncPrvKey��、密鑰EncryptTKey���、 密鑰EncPubKey組合后一起傳送給證書認證中心CA。
(5) 證書認證中心CA根據(jù)證書策略簽發(fā)用戶簽名證書及加密證書�,將 簽發(fā)好的證書、密鑰EncryptEncPrvKey��、密鑰EncryptTKey —起傳送到用戶 注冊中心RA;
(6) 用戶注冊中心RA的服務(wù)器向發(fā)證客戶端返回加密證書�����、簽名證書
禾口密鑰EncryptEncPrvKey、密鑰EncryptTKey ���。 所述步驟3)中包含以下步驟
(1) 證書存儲設(shè)備使用私鑰SigPrvKey解密密鑰EncryptTKey獲得傳輸 密鑰TKey;
(2) 證書存儲設(shè)備使用傳輸密鑰TKey解密密鑰EncryptEncPrvKey獲得 用戶加密密鑰的私鑰EncPrvKey;
(3) 證書存儲設(shè)備將用戶加密密鑰的私鑰EncPrvKey��、加密證書和簽名 證書安裝到證書存儲設(shè)備中�。
保護密鑰生成
采用證書存儲設(shè)備生成用于傳輸安全的非對稱密鑰對�,將公鑰 SigPubKey傳出,私鑰SigPrvKey用于解密傳回的數(shù)據(jù)�����,采用私鑰SigPrvKey 不可導(dǎo)出的證書存儲設(shè)備可以保證整個過程的安全性��。
用戶加密密鑰對的響應(yīng)構(gòu)造
用戶加密密鑰的響應(yīng)構(gòu)造包含以下主要過程
1) 傳輸密鑰的生成在密鑰管理中心隨機隨機生成傳輸密鑰TKey;
2) 使用傳輸密鑰TKey加密要傳輸?shù)挠脩艏用苊荑€EncPrvKey得到 EncryptEncPrvKey
3) 使用用證書存儲設(shè)備中生成的公鑰SigPubKey加密傳輸密鑰TKey����, 得到EncryptTKey;
4) 銷毀TKey;
5) 將EncryptEncPrvKey、 EncryptTKey和EncPubKey —起構(gòu)造為用戶加 密密鑰對響應(yīng)�。
用戶加密密鑰對的安裝
1) 將得到的用戶加密密鑰對安裝到證書存儲設(shè)備中包含以下主要過程-
2) 傳輸密鑰的恢復(fù)獲取并解析用戶加密密鑰對響應(yīng),得到
EncryptTKey,使用保留在證書存儲設(shè)備中的SigPrvKey解密EncryptTKey, 得到TKey;
3) 用戶加密密鑰私鑰的恢復(fù)用傳輸密鑰TKey解密EncryptEncPrvKey����, 得至lj EncPrvKey;
4) 將EncPrvKey和加密證書一起安裝到證書存儲設(shè)備中����。 以上顯示和描述了本發(fā)明的基本原理和主要特征及其優(yōu)點���。本行業(yè)的技
術(shù)人員應(yīng)該了解�,本發(fā)明不受上述實施例的限制�����,上述實施例和說明書中描 述的只是說明本發(fā)明的原理��,在不脫離本發(fā)明精神和范圍的前提下�,本發(fā)明 還會有各種變化和改進����,這些變化和改進都落入要求保護的本發(fā)明范圍內(nèi)。 本發(fā)明要求保護范圍由所附的權(quán)利要求書及其等效物界定����。
權(quán)利要求
1、一種用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護方法����,其特征在于�,所述保護方法包括如下的步驟1)用戶通過使用證書存儲設(shè)備生成簽名密鑰對并向密鑰管理中心構(gòu)造傳遞請求�;2)密鑰管理中心生成用戶加密密鑰對并使用數(shù)字信封技術(shù)進行保護后向回傳輸給發(fā)證客戶端;3)證書存儲設(shè)備解密得到用戶加密私鑰并安裝到證書存儲設(shè)備中����。
2、 如權(quán)利要求1所述的方法���,其特征在于����,所述步驟1)中包含以下步驟(1) 用戶或用戶發(fā)證中心RA的管理員通過證書存儲設(shè)備構(gòu)造用于生成 簽名證書的密鑰對(SigPubKey,SigPrvKey)�,該密鑰對也同時用于用戶加密密鑰 的保護;(2) 發(fā)證客戶端使用密鑰SigPubKey及輸入?yún)?shù)構(gòu)造請求��,將構(gòu)造請求 傳遞到用戶注冊中心RA;(3) 用戶注冊中心RA驗證用戶的合法性和用戶證書請求是否已獲批準����, 然后根據(jù)用戶信息、證書基本請求和證書策略構(gòu)造證書申請請求���,并通過安 全連接發(fā)送給證書認證中心CA的服務(wù)器�;(4) 證書認證中心CA驗證該請求的合法性,然后通過安全連接向密鑰 管理中心KM請求獲取用戶的加密密鑰對��。
3����、 如權(quán)利要求1所述的方法,其特征在于�����,所述步驟2)中包含以下步驟(1) 密鑰管理中心KM接到請求后����,從備用庫中獲取得到加密過的加密 密鑰對,使用加密機進行解密得到加密密鑰對(EncPubKey,EncPrvKey);(2) 密鑰管理中心KM生成傳輸密鑰TKey�����,使用傳輸密鑰TKey通過對 稱算法對用戶加密密鑰EncPrvKey進行加密得到密鑰EncryptEncPrvKey;(3) 密鑰管理中心KM使用請求中的公鑰SigPubKey通過非對稱算法對 傳輸密鑰TKey進行加密���,得到密鑰EncryptTKey;(4) 密鑰管理中心KM將密鑰EncryptEncPrvKey、密鑰EncryptTKey���、 密鑰EncPubKey組合后一起傳送給證書認證中心CA���。(5) 證書認證中心CA根據(jù)證書策略簽發(fā)用戶簽名證書及加密證書�����,將 簽發(fā)好的證書�、密鑰EncryptEncPrvKey���、密鑰EncryptTKey —起傳送到用戶 注冊中心RA;(6) 用戶注冊中心RA的服務(wù)器向發(fā)證客戶端返回加密證書���、簽名證書 禾口密鑰EncryptEncPrvKey 、密鑰EncryptTKey �����。
4����、 如權(quán)利要求1所述的方法,其特征在于�,所述步驟3)中包含以下步驟(1)證書存儲設(shè)備使用私鑰SigPrvKey解密密鑰EncryptTKey獲得傳輸 密鑰TKey;(2) 證書存儲設(shè)備使用傳輸密鑰TKey解密密鑰EncryptEncPrvKey獲得 用戶加密密鑰的私鑰EncPrvKey;(3) 證書存儲設(shè)備將用戶加密密鑰的私鑰EncPrvKey、加密證書和簽名 證書安裝到證書存儲設(shè)備中���。
全文摘要
本發(fā)明公開了一種用戶密鑰管理體系中的非對稱密鑰傳輸過程中用戶加密密鑰的保護方法�,引入數(shù)字信封技術(shù),保障用戶加密密鑰傳輸時的安全性�����,所述保護方法包括如下的步驟1)用戶通過使用證書存儲設(shè)備生成簽名密鑰對并向密鑰管理中心構(gòu)造傳遞請求�;2)密鑰管理中心生成用戶加密密鑰對并使用數(shù)字信封技術(shù)進行保護后向回傳輸給發(fā)證客戶端;3)證書存儲設(shè)備解密得到用戶加密私鑰并安裝到證書存儲設(shè)備中���;具有采用數(shù)字信封方式����,保障了對稱密鑰傳輸時的安全性�;采用證書存儲設(shè)備自生成的不可導(dǎo)出私鑰的密鑰對進行保護,保障了用戶加密密鑰安裝的安全性的特點���,實現(xiàn)了本發(fā)明的目的�����。
文檔編號H04L29/06GK101115060SQ20071004473
公開日2008年1月30日 申請日期2007年8月9日 優(yōu)先權(quán)日2007年8月9日
發(fā)明者偉 任, 楊茂江, 俊 許 申請人:上海格爾軟件股份有限公司