用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法
技术领域
本发明涉及一种用户加密密钥的保护方法,特别涉及一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法。
背景技术
随着互联网的普及,网络安全已成为互联网扩展业务和拓展应用的当务之急。目前比较常用的技术手段是通过加密密钥及其密钥认证来实现网络上的信息安全。
比如申请号为03145286.8的名为《用于提供安全服务器密钥操作的***和方法》的专利,该专利公开的技术描述了一个密钥管理接口,它允许把不同的密钥保护方案***到数字权利管理***中去。此接口展示了下列功能:数据签名、用公钥来解密已加密的数据以及对于不同的认证原则(比如,不同的公钥)用由接口输出的公钥来再加密已被加密的数据。如此,一个安全的接口能被提供,如此,数据不能以明文方式进入和离开此接口。这样一个接口输出签名和解密的私钥操作,以及在许可和发布中对数字资源服务器提供安全性和认证。
类似上述的加密密钥的方法和应用***目前被普遍采用,但其应用中仍存在安全隐患。
发明内容
本发明所要解决的技术问题在于提供一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法,引入数字信封技术,保障用户加密密钥传输时的安全性。
本发明所要解决的技术问题可以通过以下技术方案来实现:
一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法,其特征在于,所述保护方法包括如下的步骤:
1)用户通过使用证书存储设备生成签名密钥对并向密钥管理中心构造传递请求;
2)密钥管理中心生成用户加密密钥对并使用数字信封技术进行保护后向回传输给发证客户端;
3)证书存储设备解密得到用户加密私钥并安装到证书存储设备中。
所述步骤1)中包含以下步骤:
(1)用户或用户发证中心RA的管理员通过证书存储设备构造用于生成签名证书的密钥对(SigPubKey,SigPrvKey),该密钥对也同时用于用户加密密钥的保护;
(2)发证客户端使用密钥SigPubKey及输入参数构造请求,将构造请求传递到用户注册中心RA;
(3)用户注册中心RA验证用户的合法性和用户证书请求是否已获批准,然后根据用户信息、证书基本请求和证书策略构造证书申请请求,并通过安全连接发送给证书认证中心CA的服务器;
(4)证书认证中心CA验证该请求的合法性,然后通过安全连接向密钥管理中心KM请求获取用户的加密密钥对。
所述步骤2)中包含以下步骤:
(1)密钥管理中心KM接到请求后,从备用库中获取得到加密过的加密密钥对,使用加密机进行解密得到加密密钥对(EncPubKey,EncPrvKey);
(2)密钥管理中心KM生成传输密钥TKey,使用传输密钥TKey通过对称算法对用户加密密钥EncPrvKey进行加密得到密钥EncryptEncPrvKey;
(3)密钥管理中心KM使用请求中的公钥SigPubKey通过非对称算法对传输密钥TKey进行加密,得到密钥EncryptTKey;
(4)密钥管理中心KM将密钥EncryptEncPrvKey、密钥EncryptTKey、密钥EncPubKey组合后一起传送给证书认证中心CA。
(5)证书认证中心CA根据证书策略签发用户签名证书及加密证书,将签发好的证书、密钥EncryptEncPrvKey、密钥EncryptTKey一起传送到用户注册中心RA;
(6)用户注册中心RA的服务器向发证客户端返回加密证书、签名证书和密钥EncryptEncPrvKey、密钥EncryptTKey。
所述步骤3)中包含以下步骤:
(1)证书存储设备使用私钥SigPrvKey解密密钥EncryptTKey获得传输密钥TKey;
(2)证书存储设备使用传输密钥TKey解密密钥EncryptEncPrvKey获得用户加密密钥的私钥EncPrvKey;
(3)证书存储设备将用户加密密钥的私钥EncPrvKey、加密证书和签名证书安装到证书存储设备中。
本发明的用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法具有如下特点:
1、采用数字信封方式,保障了对称密钥传输时的安全性;
2、采用证书存储设备自生成的不可导出私钥的密钥对进行保护,保障了用户加密密钥安装的安全性。
本发明的用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法,通过使用数字信封技术(非对称算法+对称算法)保障了整个传递流程的安全,实现了本发明的目的。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1是本发明的流程图。
具体实施方式
如图1所示,在我国的CA体系建设中按照国密局要求都采用双证书双中心体系,它包括密钥管理中心KM、证书认证中心CA、用户注册中心RA、发证客户端和证书存储设备;其中用户加密证书的非对称密钥对是在密钥管理中心KM生成并托管,在进行用户证书签发、恢复时,用户加密证书的非对称密钥都需要通过密钥管理中心KM传递到证书认证中心CA,再传递到用户注册中心RA,直至发证客户端,最后安装进入证书存储设备,其中传输过程的保护机制是用户加密密钥安全性的关键。
一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法,所述保护方法包括如下的步骤:
1)用户通过使用证书存储设备生成签名密钥对并向密钥管理中心构造传递请求;
2)密钥管理中心生成用户加密密钥对并使用数字信封技术进行保护后向回传输给发证客户端;
3)证书存储设备解密得到用户加密私钥并安装到证书存储设备中。
所述步骤1)中包含以下步骤:
(1)用户或用户发证中心RA的管理员通过证书存储设备构造用于生成签名证书的密钥对(SigPubKey,SigPrvKey),该密钥对也同时用于用户加密密钥的保护;
(2)发证客户端使用密钥SigPubKey及输入参数构造请求,将构造请求传递到用户注册中心RA;
(3)用户注册中心RA验证用户的合法性和用户证书请求是否已获批准,然后根据用户信息、证书基本请求和证书策略构造证书申请请求,并通过安全连接发送给证书认证中心CA的服务器;
(4)证书认证中心CA验证该请求的合法性,然后通过安全连接向密钥管理中心KM请求获取用户的加密密钥对。
所述步骤2)中包含以下步骤:
(1)密钥管理中心KM接到请求后,从备用库中获取得到加密过的加密密钥对,使用加密机进行解密得到加密密钥对(EncPubKey,EncPrvKey);
(2)密钥管理中心KM生成传输密钥TKey,使用传输密钥TKey通过对称算法对用户加密密钥EncPrvKey进行加密得到密钥EncryptEncPrvKey;
(3)密钥管理中心KM使用请求中的公钥SigPubKey通过非对称算法对传输密钥TKey进行加密,得到密钥EncryptTKey;
(4)密钥管理中心KM将密钥EncryptEncPrvKey、密钥EncryptTKey、密钥EncPubKey组合后一起传送给证书认证中心CA。
(5)证书认证中心CA根据证书策略签发用户签名证书及加密证书,将签发好的证书、密钥EncryptEncPrvKey、密钥EncryptTKey一起传送到用户注册中心RA;
(6)用户注册中心RA的服务器向发证客户端返回加密证书、签名证书和密钥EncryptEncPrvKey、密钥EncryptTKey。
所述步骤3)中包含以下步骤:
(1)证书存储设备使用私钥SigPrvKey解密密钥EncryptTKey获得传输密钥TKey;
(2)证书存储设备使用传输密钥TKey解密密钥EncryptEncPrvKey获得用户加密密钥的私钥EncPrvKey;
(3)证书存储设备将用户加密密钥的私钥EncPrvKey、加密证书和签名证书安装到证书存储设备中。
保护密钥生成
采用证书存储设备生成用于传输安全的非对称密钥对,将公钥SigPubKey传出,私钥SigPrvKey用于解密传回的数据,采用私钥SigPrvKey不可导出的证书存储设备可以保证整个过程的安全性。
用户加密密钥对的响应构造
用户加密密钥的响应构造包含以下主要过程:
1)传输密钥的生成:在密钥管理中心随机随机生成传输密钥TKey;
2)使用传输密钥TKey加密要传输的用户加密密钥EncPrvKey得到EncryptEncPrvKey;
3)使用用证书存储设备中生成的公钥SigPubKey加密传输密钥TKey,得到EncryptTKey;
4)销毁TKey;
5)将EncryptEncPrvKey、EncryptTKey和EncPubKey一起构造为用户加密密钥对响应。
用户加密密钥对的安装
1)将得到的用户加密密钥对安装到证书存储设备中包含以下主要过程:
2)传输密钥的恢复:获取并解析用户加密密钥对响应,得到EncryptTKey,使用保留在证书存储设备中的SigPrvKey解密EncryptTKey,得到TKey;
3)用户加密密钥私钥的恢复:用传输密钥TKey解密EncryptEncPrvKey,得到EncPrvKey;
4)将EncPrvKey和加密证书一起安装到证书存储设备中。
以上显示和描述了本发明的基本原理和主要特征及其优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。