CN104753661A - 一种用于商用密码设备的密钥描述文件 - Google Patents
一种用于商用密码设备的密钥描述文件 Download PDFInfo
- Publication number
- CN104753661A CN104753661A CN201310746793.7A CN201310746793A CN104753661A CN 104753661 A CN104753661 A CN 104753661A CN 201310746793 A CN201310746793 A CN 201310746793A CN 104753661 A CN104753661 A CN 104753661A
- Authority
- CN
- China
- Prior art keywords
- key
- description document
- secret key
- information
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种用于商用密码设备的密钥描述文件,其用于描述存放在密码设备中的密钥,并为上层密码服务提供且不需要打开设备的安全快捷的查询接口,提供密码设备中密钥自身信息,密钥与密钥相关的密码设备关联的信息,及与密钥相关设备信息。由此形成的密钥描述文件其兼容现有文件格式,使密钥描述文件在填充密钥内容后可作为普通PEM密钥文件使用;结合现行国标规范,加强上层密码服务对设备管理及设备中密钥管理。
Description
技术领域
本发明涉及密码设备技术,具体涉及密码设备中密钥的识别技术。
背景技术
(一)密码设备应用接口规范
2012年,国家密码管理局颁发了GM/T0018-2012《密码设备应用接口规范》,此规范规定了公钥密码基础设施应用技术体系下服务类密码设备的应用接口标准。此规范定义的“密码设备服务层”接口在公钥密码基础设施应用技术体系中的位置如图4所示。
(二)密钥设备中非对称密钥
非对称加密算法通常用于公钥加密和数字签名。密钥设备需要对密钥设备内非对称密钥提供安全性保障,导致非对称密钥对上层密码服务不透明,每次密钥相关操作需要与打开设备,建立会话。
(三)PEM格式
PEM(Privacy Enhancement for Internet Electronic Mail)格式由以下的RFC文档所定义:
http://tools.ietf.org/html/rfc1421:Privacy Enhancement for InternetElectronic Mail:Part I:Message Encryption and Authentication Procedures
http://tools.ietf.org/html/rfc1422:Privacy Enhancement for InternetElectronic Mail:Part II:Certificate-Based Key Management
http://tools.ietf.org/html/rfc1423:Privacy Enhancement for InternetElectronic Mail:Part II:Part III:Algorithms,Modes,and Identifiers
PEM格式中对非对称密钥(RSA和ECC)的描述方式如下:
1.不加密的RSA密钥
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
2.不加密的ECC密钥
-----BEGIN EC PRIVATE KEY-----
MHcCAQEEILXxq8pmYpsMLlU/G9hgG08MIpJF1ZIVZaN5EaXmzDFXoAoGCCqBHM9V
AYItoUQDQgAEaMm+ojLB709MG1Bs3tgSMfxtXv8gbtEnOIX9z8cScdKpPq51z3/b
qUZrRd28x65gYJf2pH4gTjtef8dqwLjQow==
-----END EC PRIVATE KEY-----
3.加密的RSA密钥
-----BEGIN RSA PRIVATE KEY-----
Proc-Type:4,ENCRYPTED
DEK-Info:DES-CBC,0018DE0501000000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-----END RSA PRIVATE KEY-----
4.加密的ECC密钥
-----BEGIN EC PRIVATE KEY-----
Proc-Type:4,ENCRYPTED
DEK-Info:DES-CBC,9BDA1ED4C53D1FD4
Iu17IBhYOVH8erpFeZIk/ev9Jhzvjh8absG6FBDZt+UKl6gfJjYZBuguMJMeIX2H
kjo2/PS6RgmUxKYscLQ8Bm+ga/z3bk67EYfD5Vvkwk4b5QMB7Pr4+7qiQLcNrLFg
kiSkE/RsSCotEwwzPqC6dZnTXj6dxJDcywQa6GJQnZk=
-----END EC PRIVATE KEY-----
发明内容
针对现有技术中由于密钥设备对其内非对称密钥提供安全性保障,而导致非对称密钥对上层密码服务不透明,每次密钥相关操作需要与打开设备,建立会话的问题,本发明的目的在于提供一种用于商用密码设备的密钥描述文件,以解决现有技术所存在的问题。
为了达到上述目的,本发明采用如下的技术方案:
一种用于商用密码设备的密钥描述文件,所述描述文件描述存放在密码设备中的密钥,并为上层密码服务提供且不需要打开设备的安全快捷的查询接口,提供密码设备中密钥自身信息,密钥与密钥相关的密码设备关联的信息,及与密钥相关设备信息。
在本发明的优选实例中,所述密钥描述文件基于PEM格式文件,将其中DEK-Info中加密算法配置为新值SMKey(商用密码密钥),使得加密算法后原标识部分配置为描述信息项:Device/Type/Index,其中Device:对应商用密码设备型号;Type:对应密钥用途;Index:对应密钥所在密码设备索引值。
进一步的,所述密钥描述文件中描述信息在密码设备每次接入过程中通过调用通用API接口获取并生成。
由此形成的密钥描述文件其兼容现有文件格式,使密钥描述文件在填充密钥内容后可作为普通PEM密钥文件使用;结合现行国标规范,加强上层密码服务对设备管理及设备中密钥管理。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明中密钥描述文件的创建流程图;
图2为本发明中密钥描述文件向上层密码服务提供密码设备密钥信息流程图;
图3为基于本发明中密钥描述文件调用对应设备的对应密钥的操作流程图;
图4为“密码设备服务层”接口在公钥密码基础设施应用技术体系中的位置示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发提供的用于商用密码设备的密钥描述文件,其用于描述存放在密码设备中的密钥。该密钥描述文件为上层密码服务提供且不需要打开设备的安全快捷的查询接口,提供密码设备中密钥自身信息,密钥与密钥相关的密码设备关联的信息,及与密钥相关设备信息。
在具体实现时,该密钥描述文件的格式内容如下:
按照《密码设备应用接口规范》的定义,根据PEM文件格式重新设计两种新的PEM格式头,分别形成ECC类型和RSA类型密钥描述文件,具体如下:
1.设备中为RSA密钥
-----BEGIN RSA PRIVATE KEY-----
Proc-Type:4,ENCRYPTED
DEK-Info:SMKey,Device=SJK1000/Type=Sign/Index=1
——END RSA PRIVATE KEY-----
2.设备中为ECC密钥
-----BEGIN EC PRIVATE KEY-----
Proc-Type:4,ENCRYPTED
DEK-Info:SMKey,Device=SJK1000/Type=Enc/Index=5
——END EC PRIVATE KEY-----
由此可知,上述两种类型的密钥描述文件通过重新设计原PEM格式文件中对非对称密钥(RSA和ECC)描述内容中的DEK-Info部分而形成。具体的,将其中DEK-Info中加密算法配置为新值SMKey(商用密码密钥),使得加密算法后原标识部分配置为描述信息项,定义如下:
1.Device:对应商用密码设备型号,按照商用密码通用产品名单:
http://www.oscca.gov.cn/News/201110/News_1202.htm;
2.Type:对应密钥用途,Sign/Enc(签名、加密);
3.Index:对应密钥所在密码设备索引值。
由此形成的密钥描述文件能够兼容现有文件格式,使密钥描述文件在填充密钥内容后可作为普通PEM密钥文件使用;结合现行国标规范,加强上层密码服务对设备管理及设备中密钥管理。
参见图1,其所示为上述两种类型密钥描述文件的创建过程。由图可知,整个创建过程如下:
1、生成创建密钥描述文件请求;
2、根据该请求打开相应的密码设备;
3、密码设备创建相应的会话;
4、通过创建的会话获取密码设备信息;
5、根据获取到的密码设备信息,检测该密码设备位于商用密码通用产品名单中;
6、若不是,则获取该密码设备信息描述;若是,则获取对应商用密码设备型号;
7、根据步骤6获得的信息判断该密码设备是否支持RSA密钥,若支持,进入步骤8;若不支持,进入步骤9;
8、从0开始直至密钥所在密码设备索引值上限,依次索引密码设备,依次判断当前索引位置是否存在密钥,以此找到密钥设备中所对应的密钥,在索引到密钥后,依次获取该密钥的密钥信息、密钥用途,并以此来创建RSA类型密钥描述文件(具体创建方案如上所述);在索引达到索引值上限后,转入步骤9;
9、判断该密码设备是否支持ECC密钥,若支持,进入步骤10;若不支持,进入步骤11;
10、从0开始直至密钥所在密码设备索引值上限,依次索引密码设备,依次判断当前索引位置是否存在密钥,以此找到密钥设备中所对应的密钥,在索引到密钥后,依次获取该密钥的密钥信息、密钥用途,并以此来创建ECC类型密钥描述文件(具体创建方案如上所述);在索引达到索引值上限后,转入步骤11;
11、依次关闭密码设备创建的会话和密码设备,整个创建过程完成。
在创建过程中,对于密钥描述文件中的描述信息可在密码设备每次接入过程中通过调用通用API接口获取并生成。
根据上述方案创建形成的密钥描述文件可向上层密码服务提供密码设备中密钥信息,密钥所在密码设备与密钥关联及密钥所在密钥设备信息。
参见图2,其所示为密钥描述文件向上层密码服务提供密码设备密钥信息的使用流程图。由图可知,整个使用过程由密钥信息查询步骤开始,具体步骤如下:
步骤1,对查询密钥文件进行检判断,判断其是否为密钥描述文件类型;若不是,结束查询;若是转入步骤2;
步骤2,判断信息查询要求是否需要获取密钥设备信息;若需要,转入步骤3;若不需要,转入步骤4;
步骤3,调用密钥描述文件,检查密钥描述文件中扩展Device信息项,并获取该信息项内容;
步骤4,判断信息查询要求是否需要获取密钥类型信息;若需要,转入步骤5;若不需要,转入步骤6;
步骤5,调用密钥描述文件,检查密钥描述文件中保留的首行密钥信息,并获取该信息;
步骤6,判断信息查询要求是否需要获取密钥用途信息;若需要,转入步骤7;若不需要,转入步骤8;
步骤7,调用密钥描述文件,检查密钥描述文件中扩展Type信息项,并获取该信息项内容;
步骤8,返回所得到的密钥信息,整个查询过程结束。
根据上述方案创建形成的密钥描述文件还可以通过封装API接口实现在找到所需密钥描述文件时,调用密钥描述文件实现调用对应设备的对应密钥的操作。具体的实现流程如图3所示。由图可知,整个使用过程由密钥信息使用步骤开始,具体步骤如下:
步骤1,对使用的密钥文件进行检判断,判断其是否为密钥描述文件类型;若不是,结束使用;若是转入步骤2;
步骤2,判断该密钥信息使用是否需要获取密钥类型信息,若需要,转入步骤3;若不需要,转入步骤4;
步骤3,调用密钥描述文件,获取相应的密钥类型信息;
步骤4,判断该密钥信息使用是否需要获取密钥用途信息,若需要,转入步骤5;若不需要,转入步骤6;
步骤5,调用密钥描述文件,获取相应的密钥用途信息;
步骤6,根据密钥描述文件获取相应密钥设备类型信息;
步骤7,根据密钥描述文件获取相应密钥设备索引位置(即索引值);
步骤8,首先根据设备类型调用相关密钥类型API接口,再根据索引位置找到密钥进行对应的操作;
步骤9,整个操作使用过程结束。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.一种用于商用密码设备的密钥描述文件,其特征在于,所述描述文件描述存放在密码设备中的密钥,并为上层密码服务提供且不需要打开设备的安全快捷的查询接口,提供密码设备中密钥自身信息,密钥与密钥相关的密码设备关联的信息,及与密钥相关设备信息。
2.根据权利要求1所述的一种用于商用密码设备的密钥描述文件,其特征在于,所述密钥描述文件基于PEM格式文件,将其中DEK-Info中加密算法配置为新值SMKey,使得加密算法后原标识部分配置为描述信息项:Device/Type/Index,其中Device:对应商用密码设备型号;Type:对应密钥用途;Index:对应密钥所在密码设备索引值。
3.根据权利要求2所述的一种用于商用密码设备的密钥描述文件,其特征在于,所述密钥描述文件中描述信息在密码设备每次接入过程中通过调用通用API接口获取并生成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310746793.7A CN104753661A (zh) | 2013-12-30 | 2013-12-30 | 一种用于商用密码设备的密钥描述文件 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310746793.7A CN104753661A (zh) | 2013-12-30 | 2013-12-30 | 一种用于商用密码设备的密钥描述文件 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104753661A true CN104753661A (zh) | 2015-07-01 |
Family
ID=53592824
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310746793.7A Pending CN104753661A (zh) | 2013-12-30 | 2013-12-30 | 一种用于商用密码设备的密钥描述文件 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104753661A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108199834A (zh) * | 2018-01-16 | 2018-06-22 | 飞天诚信科技股份有限公司 | 一种智能密钥设备工作的方法及装置 |
| CN108234477A (zh) * | 2017-12-29 | 2018-06-29 | 成都三零嘉微电子有限公司 | 一种pkcs#11协议在商用密码算法应用中的密码对象管理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801699A (zh) * | 2004-12-31 | 2006-07-12 | 联想(北京)有限公司 | 一种访问密码设备的方法 |
| CN101986596A (zh) * | 2010-10-21 | 2011-03-16 | 无锡江南信息安全工程技术中心 | 密钥管理机制 |
| CN102725737A (zh) * | 2009-12-04 | 2012-10-10 | 密码研究公司 | 可验证防泄漏的加密和解密 |
-
2013
- 2013-12-30 CN CN201310746793.7A patent/CN104753661A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801699A (zh) * | 2004-12-31 | 2006-07-12 | 联想(北京)有限公司 | 一种访问密码设备的方法 |
| CN102725737A (zh) * | 2009-12-04 | 2012-10-10 | 密码研究公司 | 可验证防泄漏的加密和解密 |
| CN101986596A (zh) * | 2010-10-21 | 2011-03-16 | 无锡江南信息安全工程技术中心 | 密钥管理机制 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234477A (zh) * | 2017-12-29 | 2018-06-29 | 成都三零嘉微电子有限公司 | 一种pkcs#11协议在商用密码算法应用中的密码对象管理方法 |
| CN108234477B (zh) * | 2017-12-29 | 2020-10-09 | 成都三零嘉微电子有限公司 | 一种pkcs#11协议在商用密码算法应用中的密码对象管理方法 |
| CN108199834A (zh) * | 2018-01-16 | 2018-06-22 | 飞天诚信科技股份有限公司 | 一种智能密钥设备工作的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8898472B2 (en) | Mechanism and method for managing credentials on IOS based operating system | |
| US10937339B2 (en) | Digital cryptosystem with re-derivable hybrid keys | |
| CN110048849B (zh) | 一种多层保护的会话密钥协商方法 | |
| CN107800537B (zh) | 基于量子密钥分配技术的加密数据库系统及方法、存储方法及查询方法 | |
| CN103987037A (zh) | 一种保密通信实现方法及装置 | |
| US20160197887A1 (en) | Method of multi-factor authenication during encrypted communications | |
| CN103138938A (zh) | 基于csp的sm2证书申请及应用方法 | |
| US10567357B2 (en) | Secure transmission system with upgraded encryption strength | |
| TW202121868A (zh) | 資料的加解密方法、裝置、存儲介質及加密文件 | |
| CN110677382A (zh) | 数据安全处理方法、装置、计算机系统及存储介质 | |
| CN103414559B (zh) | 一种云计算环境下的基于类ibe系统的身份认证方法 | |
| CN105610773A (zh) | 一种电能表远程抄表的通讯加密方法 | |
| CN101600204A (zh) | 一种文件传输方法及系统 | |
| CN104038336A (zh) | 一种基于3des的数据加密方法 | |
| CN113452705B (zh) | 一种加密通信方法、装置、电子设备和存储介质 | |
| CN110826109A (zh) | 一种适用于pdf文档的穿透签章方法 | |
| CN103297225A (zh) | 一种基于身份的单播保密通信方法和多播保密通信方法 | |
| CN113868684A (zh) | 一种签名方法、装置、服务端、介质以及签名系统 | |
| CN107249002B (zh) | 一种提高智能电能表安全性的方法、系统及装置 | |
| CN105187418B (zh) | 一种弱签名算法 | |
| CN104753661A (zh) | 一种用于商用密码设备的密钥描述文件 | |
| CN103354637A (zh) | 一种物联网终端m2m通信加密方法 | |
| CN102970134A (zh) | 将硬件密码设备的算法用于pkcs#7数据封装的方法及系统 | |
| CN105743655A (zh) | 哈希计算和签名验签计算分离的sm2签名验签实现方法 | |
| CN105391691A (zh) | 一种基于云计算的通信控制方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai Applicant after: Geer software Limited by Share Ltd Address before: 200070 B, 501E, 199 JIANGCHANG West Road, Zhabei District, Shanghai. Applicant before: Geer Software Co., Ltd., Shanghai |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150701 |
|
| RJ01 | Rejection of invention patent application after publication |