CN101115060B - 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法 - Google Patents

用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法 Download PDF

Info

Publication number
CN101115060B
CN101115060B CN2007100447373A CN200710044737A CN101115060B CN 101115060 B CN101115060 B CN 101115060B CN 2007100447373 A CN2007100447373 A CN 2007100447373A CN 200710044737 A CN200710044737 A CN 200710044737A CN 101115060 B CN101115060 B CN 101115060B
Authority
CN
China
Prior art keywords
key
certificate
user
request
kmc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2007100447373A
Other languages
English (en)
Other versions
CN101115060A (zh
Inventor
许俊
杨茂江
任伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Geer Anxin Technology Co.,Ltd.
Original Assignee
GEER SOFTWARE CO Ltd SHANGHAI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GEER SOFTWARE CO Ltd SHANGHAI filed Critical GEER SOFTWARE CO Ltd SHANGHAI
Priority to CN2007100447373A priority Critical patent/CN101115060B/zh
Publication of CN101115060A publication Critical patent/CN101115060A/zh
Application granted granted Critical
Publication of CN101115060B publication Critical patent/CN101115060B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明公开了一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法,引入数字信封技术,保障用户加密密钥传输时的安全性,所述保护方法包括如下的步骤:1)用户通过使用证书存储设备生成签名密钥对并向密钥管理中心构造传递请求;2)密钥管理中心生成用户加密密钥对并使用数字信封技术进行保护后向回传输给发证客户端;3)证书存储设备解密得到用户加密私钥并安装到证书存储设备中;具有采用数字信封方式,保障了对称密钥传输时的安全性;采用证书存储设备自生成的不可导出私钥的密钥对进行保护,保障了用户加密密钥安装的安全性的特点,实现了本发明的目的。

Description

用户密钥管理体系中的非对称密钥传输过程中用户加密密
钥的保护方法
技术领域
[0001] 本发明涉及一种用户加密密钥的保护方法,特别涉及一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法。
背景技术
[0002] 随着互联网的普及,网络安全已成为互联网扩展业务和拓展应用的当务之急。目前比较常用的技术手段是通过加密密钥及其密钥认证来实现网络上的信息安全。
[0003] 比如申请号为03145^6. 8的名为《用于提供安全服务器密钥操作的系统和方法》 的专利,该专利公开的技术描述了一个密钥管理接口,它允许把不同的密钥保护方案插入到数字权利管理系统中去。此接口展示了下列功能:数据签名、用公钥来解密已加密的数据以及对于不同的认证原则(比如,不同的公钥)用由接口输出的公钥来再加密已被加密的数据。如此,一个安全的接口能被提供,如此,数据不能以明文方式进入和离开此接口。这样一个接口输出签名和解密的私钥操作,以及在许可和发布中对数字资源服务器提供安全性和认证。
[0004] 类似上述的加密密钥的方法和应用系统目前被普遍采用,但其应用中仍存在安全
急 ^^ ο
发明内容
[0005] 本发明所要解决的技术问题在于提供一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法,引入数字信封技术,保障用户加密密钥传输时的安全性。
[0006] 本发明所要解决的技术问题可以通过以下技术方案来实现:
[0007] —种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法,其特征在于,所述保护方法包括如下的步骤:
[0008] 1)用户通过使用证书存储设备生成签名密钥对并向密钥管理中心构造传递请求;
[0009] 2)密钥管理中心生成用户加密密钥对并使用数字信封技术进行保护后向回传输给发证客户端;
[0010] 3)证书存储设备解密得到用户加密私钥并安装到证书存储设备中。
[0011] 所述步骤1)中包含以下步骤:
[0012] (1)用户或用户发证中心RA的管理员通过证书存储设备构造用于生成签名证书的密钥对(SigPubKey,SigPrvKey),该密钥对也同时用于用户加密密钥的保护;
[0013] (2)发证客户端使用密钥SigPubKey及输入参数构造请求,将构造请求传递到用户注册中心RA ;
[0014] (3)用户注册中心RA验证用户的合法性和用户证书请求是否已获批准,然后根据用户信息、证书基本请求和证书策略构造证书申请请求,并通过安全连接发送给证书认证中心CA的服务器;
[0015] (4)证书认证中心CA验证该请求的合法性,然后通过安全连接向密钥管理中心KM 请求获取用户的加密密钥对。
[0016] 所述步骤2)中包含以下步骤:
[0017] (1)密钥管理中心KM接到请求后,从备用库中获取得到加密过的加密密钥对,使用加密机进行解密得到加密密钥对(EncPubKey,EncPrvKey);
[0018] (2)密钥管理中心KM生成传输密钥TKey,使用传输密钥TKey通过对称算法对用户加密密钥EncPrvKey进行加密得到密钥EncryptEncPrvKey ;
[0019] (3)密钥管理中心KM使用请求中的公钥SigPubKey通过非对称算法对传输密钥 TKey进行加密,得到密钥EncryptTKey ;
[0020] (4)密钥管理中心 KM 将密钥 EncryptEncPrvKey、密钥 EncryptTKey、密钥 EncPubKey组合后一起传送给证书认证中心CA。
[0021] (5)证书认证中心CA根据证书策略签发用户签名证书及加密证书,将签发好的证书、密钥EncryptEncPrvKey、密钥EncryptTKey —起传送到用户注册中心RA ;
[0022] (6)用户注册中心RA的服务器向发证客户端返回加密证书、签名证书和密钥 EncryptEncPrvKey、密钥 EncryptTKey0
[0023] 所述步骤3)中包含以下步骤:
[0024] (1)证书存储设备使用私钥SigPrvKey解密密钥EncryptTKey获得传输密钥 TKey ;
[0025] (2)证书存储设备使用传输密钥TKey解密密钥EncryptEncI^rvKey获得用户加密密钥的私钥EncPrvKey ;
[0026] (3)证书存储设备将用户加密密钥的私钥EncPrvKey、加密证书和签名证书安装到证书存储设备中。
[0027] 本发明的用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法具有如下特点:
[0028] 1、采用数字信封方式,保障了对称密钥传输时的安全性;
[0029] 2、采用证书存储设备自生成的不可导出私钥的密钥对进行保护,保障了用户加密密钥安装的安全性。
[0030] 本发明的用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法,通过使用数字信封技术(非对称算法+对称算法)保障了整个传递流程的安全,实现了本发明的目的。
附图说明
[0031 ] 以下结合附图和具体实施方式来进一步说明本发明。
[0032] 图1是本发明的流程图。
具体实施方式
[0033] 如图1所示,在我国的CA体系建设中按照国密局要求都采用双证书双中心体系,它包括密钥管理中心KM、证书认证中心CA、用户注册中心RA、发证客户端和证书存储设备; 其中用户加密证书的非对称密钥对是在密钥管理中心KM生成并托管,在进行用户证书签发、恢复时,用户加密证书的非对称密钥都需要通过密钥管理中心KM传递到证书认证中心 CA,再传递到用户注册中心RA,直至发证客户端,最后安装进入证书存储设备,其中传输过程的保护机制是用户加密密钥安全性的关键。
[0034] 一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法,所述保护方法包括如下的步骤:
[0035] 1)用户通过使用证书存储设备生成签名密钥对并向密钥管理中心构造传递请求;
[0036] 2)密钥管理中心生成用户加密密钥对并使用数字信封技术进行保护后向回传输给发证客户端;
[0037] 3)证书存储设备解密得到用户加密私钥并安装到证书存储设备中。
[0038] 所述步骤1)中包含以下步骤:
[0039] (1)用户或用户发证中心RA的管理员通过证书存储设备构造用于生成签名证书的密钥对(SigPubKey,SigPrvKey),该密钥对也同时用于用户加密密钥的保护;
[0040] (2)发证客户端使用密钥SigPubKey及输入参数构造请求,将构造请求传递到用户注册中心RA ;
[0041] (3)用户注册中心RA验证用户的合法性和用户证书请求是否已获批准,然后根据用户信息、证书基本请求和证书策略构造证书申请请求,并通过安全连接发送给证书认证中心CA的服务器;
[0042] (4)证书认证中心CA验证该请求的合法性,然后通过安全连接向密钥管理中心KM 请求获取用户的加密密钥对。
[0043] 所述步骤2)中包含以下步骤:
[0044] (1)密钥管理中心KM接到请求后,从备用库中获取得到加密过的加密密钥对,使用加密机进行解密得到加密密钥对(EncPubKey,EncPrvKey);
[0045] (2)密钥管理中心KM生成传输密钥TKey,使用传输密钥TKey通过对称算法对用户加密密钥EncPrvKey进行加密得到密钥EncryptEncPrvKey ;
[0046] (3)密钥管理中心KM使用请求中的公钥SigPubKey通过非对称算法对传输密钥 TKey进行加密,得到密钥EncryptTKey ;
[0047] (4)密钥管理中心 KM 将密钥 EncryptEncPrvKey、密钥 EncryptTKey、密钥 EncPubKey组合后一起传送给证书认证中心CA。
[0048] (5)证书认证中心CA根据证书策略签发用户签名证书及加密证书,将签发好的证书、密钥EncryptEncPrvKey、密钥EncryptTKey —起传送到用户注册中心RA ;
[0049] (6)用户注册中心RA的服务器向发证客户端返回加密证书、签名证书和密钥 EncryptEncPrvKey、密钥 EncryptTKey0
[0050] 所述步骤3)中包含以下步骤:
[0051] (1)证书存储设备使用私钥SigPrvKey解密密钥EncryptTKey获得传输密钥 TKey ;
[0052] (2)证书存储设备使用传输密钥TKey解密密钥EncryptEncI^rvKey获得用户加密密钥的私钥EncPrvKey ;
[0053] (3)证书存储设备将用户加密密钥的私钥EncPrvKey、加密证书和签名证书安装 到证书存储设备中。
[0054] 保护密钥生成
[0055] 采用证书存储设备生成用于传输安全的非对称密钥对,将公钥SigPubKey传出, 私钥SigPrvKey用于解密传回的数据,采用私钥SigPrvKey不可导出的证书存储设备可以 保证整个过程的安全性。
[0056] 用户加密密钥对的响应构造
[0057] 用户加密密钥的响应构造包含以下主要过程:
[0058] 1)传输密钥的生成:在密钥管理中心随机随机生成传输密钥TKey ;
[0059] 2)使用传输密钥TKey加密要传输的用户加密密钥EncI^rvKey得到 EncryptEncPrvKey ;
[0060] 3)使用用证书存储设备中生成的公钥SigPubKey加密传输密钥TKey,得到 EncryptTKey ;
[0061] 4)销毁 TKey;
[0062] 5)将 EncryptEncPrvKey、EncryptTKey 和 EncPubKey —起构造为用户加密密钥对 响应。
[0063] 用户加密密钥对的安装
[0064] 1)将得到的用户加密密钥对安装到证书存储设备中包含以下主要过程:
[0065] 2)传输密钥的恢复:获取并解析用户加密密钥对响应,得到EncryptTKey,使用保 留在证书存储设备中的SigPrvKey解密EncryptTKey,得到TKey ;
[0066] 3)用户加密密钥私钥的恢复:用传输密钥TKey解密EncryptEncI^rvKey,得到 EncPrvKey ;
[0067] 4)将EiK^rvKey和加密证书一起安装到证书存储设备中。
[0068] 以上显示和描述了本发明的基本原理和主要特征及其优点。本行业的技术人员应 该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的 原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改 进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物 界定。

Claims (1)

1. 一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法,其特征在于,所述保护方法包括如下的步骤:1)用户通过使用证书存储设备生成签名密钥对并向密钥管理中心构造传递请求;2)密钥管理中心生成用户加密密钥对并使用数字信封技术进行保护后向回传输给发证客户端;3)证书存储设备解密得到用户加密私钥并安装到证书存储设备中;所述步骤1)中包含以下步骤:(1)用户或用户注册中心RA的管理员通过证书存储设备构造用于生成签名证书的密钥对(SigPubKey,SigPrvKey),该密钥对也同时用于用户加密密钥的保护;(2)发证客户端使用密钥SigPubKey及输入参数构造请求,将构造请求传递到用户注册中心RA ;(3)用户注册中心RA验证用户的合法性和用户证书请求是否已获批准,然后根据用户信息、证书基本请求和证书策略构造证书申请请求,并通过安全连接发送给证书认证中心 CA的服务器;(4)证书认证中心CA验证该证书申请请求的合法性,然后通过安全连接向密钥管理中心KM请求获取用户的加密密钥对;所述步骤2、中包含以下步骤:(1)密钥管理中心KM接到请求后,从备用库中获取得到加密过的加密密钥对,使用加密机进行解密得到加密密钥对(EncPubKey,EncPrvKey);(2)密钥管理中心KM生成传输密钥TKey,使用传输密钥TKey通过对称算法对用户加密密钥EncPrvKey进行加密得到密钥EncryptEncPrvKey ;(3)密钥管理中心KM使用请求中的公钥SigPubKey通过非对称算法对传输密钥TKey 进行加密,得到密钥EncryptTKey ;(4)密钥管理中心 KM将密钥 EncryptEncPrvKey、密钥 EncryptTKey、密钥 EncPubKey 组合后一起传送给证书认证中心CA ;(5)证书认证中心CA根据证书策略签发用户签名证书及加密证书,将签发好的证书、 密钥EncryptEncPrvKey、密钥EncryptTKey —起传送到用户注册中心RA ;(6)用户注册中心RA的服务器向发证客户端返回加密证书、用户签名证书和密钥 EncryptEncPrvKey、密钥 EncryptTKey ;所述步骤幻中包含以下步骤:(1)证书存储设备使用私钥SigPrvKey解密密钥EncryptTKey获得传输密钥TKey ;(2)证书存储设备使用传输密钥TKey解密密钥EncryptEncI^rvKey获得用户加密密钥的私钥 EncPrvKey ;(3)证书存储设备将用户加密密钥的私钥EncPrvKey、加密证书和用户签名证书安装到证书存储设备中。
CN2007100447373A 2007-08-09 2007-08-09 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法 Active CN101115060B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2007100447373A CN101115060B (zh) 2007-08-09 2007-08-09 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2007100447373A CN101115060B (zh) 2007-08-09 2007-08-09 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法

Publications (2)

Publication Number Publication Date
CN101115060A CN101115060A (zh) 2008-01-30
CN101115060B true CN101115060B (zh) 2012-04-18

Family

ID=39023168

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007100447373A Active CN101115060B (zh) 2007-08-09 2007-08-09 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法

Country Status (1)

Country Link
CN (1) CN101115060B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101771538B (zh) * 2008-12-26 2012-10-10 同方股份有限公司 一种适用于非连通系统的信息保护方法
CN101783800B (zh) * 2010-01-27 2012-12-19 华为终端有限公司 一种嵌入式系统安全通信方法、装置及系统
BR112012028616A2 (pt) * 2010-05-14 2016-08-02 Siemens Ag método para distribuição de chave de grupo dedicado em sistemas que empregam eventos genéricos de subestação orientados a objeto e controlador de grupo para uma rede que compreende dispositivos de campo
CN101984626B (zh) * 2010-11-11 2013-10-23 北京海泰方圆科技有限公司 文件安全交换方法及系统
CN102571355B (zh) * 2012-02-02 2014-10-29 飞天诚信科技股份有限公司 一种不落地导入密钥的方法及装置
CN105701390A (zh) * 2016-03-08 2016-06-22 中国联合网络通信集团有限公司 加密终端远程管理的方法、加密终端及管理器
CN107276961B (zh) * 2016-04-06 2021-04-02 北京天威诚信电子商务服务有限公司 一种基于密码算法加密和解密数据的方法及装置
CN108769992B (zh) * 2018-06-12 2021-06-18 腾讯科技(深圳)有限公司 用户认证方法、装置、终端及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1801029A (zh) * 2004-12-31 2006-07-12 联想(北京)有限公司 生成数字证书及应用该所生成的数字证书的方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1801029A (zh) * 2004-12-31 2006-07-12 联想(北京)有限公司 生成数字证书及应用该所生成的数字证书的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
饶文碧等.数字信封信息安全技术.《武汉理工大学学报》.2004,第26卷(第2期),87-89. *

Also Published As

Publication number Publication date
CN101115060A (zh) 2008-01-30

Similar Documents

Publication Publication Date Title
CN101115060B (zh) 用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法
IL261137A (en) System and method for secure communication
CN102082790B (zh) 一种数字签名的加/解密方法及装置
CN102664898A (zh) 一种基于指纹识别的加密传输方法、装置及系统
CN104063334A (zh) 一种基于数据属性的加密方法和系统
US20180131511A1 (en) Systems and Methods for Dynamic Cypher Key Management
CN103916363A (zh) 加密机的通讯安全管理方法和系统
CN101938353B (zh) 一种远程重置密钥装置个人识别码的方法
CN102594824A (zh) 基于多重安全保护机制的电子文档安全分发方法
CN103177225B (zh) 一种数据管理方法和系统
CN103634266B (zh) 一种对服务器、终端双向认证的方法
CN101582896A (zh) 第三方网络认证系统及其认证方法
CN102694650A (zh) 一种基于身份加密的密钥生成方法
CN106953917B (zh) 数据同步方法及系统
KR20100114321A (ko) 디지털 콘텐츠 거래내역 인증확인 시스템 및 그 방법
CN104993924A (zh) 一种数字版权加解密方法
CN104125239A (zh) 一种基于数据链路加密传输的网络认证方法和系统
CN104243493A (zh) 一种网络身份认证方法及系统
CN108270558A (zh) 一种基于临时密钥对的私钥导入方法
JP2009290508A (ja) 電子化情報配布システム、クライアント装置、サーバ装置および電子化情報配布方法
CN104394532A (zh) 移动端防暴力破解的安全登录方法
KR102055888B1 (ko) 정보 보호를 위한 파일 암복호화 방법
CN101572698B (zh) 一种文件网络传输通用加密方法
CN103312671A (zh) 校验服务器的方法和系统
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법

Legal Events

Date Code Title Description
PB01 Publication
C06 Publication
SE01 Entry into force of request for substantive examination
C10 Entry into substantive examination
GR01 Patent grant
C14 Grant of patent or utility model
CP03 Change of name, title or address

Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai

Patentee after: Geer software Limited by Share Ltd

Address before: 200042 the 4 floor of block A, 288 Yuyao Road, Jingan District, Shanghai.

Patentee before: Geer Software Co., Ltd., Shanghai

CP03 Change of name, title or address
TR01 Transfer of patent right

Effective date of registration: 20210322

Address after: 201601 5th floor, building 18, No. 51, ZHAOFEI Road, Sijing Town, Songjiang District, Shanghai

Patentee after: Shanghai Geer Anxin Technology Co.,Ltd.

Address before: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai

Patentee before: KOAL SOFTWARE Co.,Ltd.

TR01 Transfer of patent right