CN115102788A - 一种通过密钥重用提高数字信封性能的方法及数字信封 - Google Patents

一种通过密钥重用提高数字信封性能的方法及数字信封 Download PDF

Info

Publication number
CN115102788A
CN115102788A CN202210959019.3A CN202210959019A CN115102788A CN 115102788 A CN115102788 A CN 115102788A CN 202210959019 A CN202210959019 A CN 202210959019A CN 115102788 A CN115102788 A CN 115102788A
Authority
CN
China
Prior art keywords
digital envelope
key
symmetric key
ciphertext
expanded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210959019.3A
Other languages
English (en)
Other versions
CN115102788B (zh
Inventor
李阳
张大伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Unita Information Technology Co ltd
Original Assignee
Beijing Unita Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Unita Information Technology Co ltd filed Critical Beijing Unita Information Technology Co ltd
Priority to CN202210959019.3A priority Critical patent/CN115102788B/zh
Publication of CN115102788A publication Critical patent/CN115102788A/zh
Application granted granted Critical
Publication of CN115102788B publication Critical patent/CN115102788B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开一种通过密钥重用提高数字信封性能的方法及数字信封,通过在接收者信息中添加可选密钥摘要信息对数字信封原有格式进行扩展,扩展后的数字信封格式兼容数字信封原有格式;在首次制作扩展后的数字信封后,如果扩展后的数字信封已有接收者,那么在该扩展后的数字信封制作过程中,该扩展后的数字信封的接收者信息中的对称密钥密文字段直接采用原有的加密值,并填写对称密钥明文摘要值作为可选密钥摘要信息,不再进行本次数字信封制作所需的公钥计算;在数字信封发送方首次制作扩展后的数字信封时,需要进行制作数字信封所需的所有计算过程,并需要将对称密钥、对称密钥密文和可选密钥摘要信息进行缓存。

Description

一种通过密钥重用提高数字信封性能的方法及数字信封
技术领域
本发明涉及数字信封技术领域。具体地说是一种通过密钥重用提高数字信封性能的方法及数字信封。
背景技术
数字信封技术是用密码技术保证只有正确的接收方才能获取信息的信息安全技术。它在外层通过公钥加密解决了密钥分发的问题;在内层通过对称加密提高了加密效率。
数字信封制作过程如下:
1)生成随机数Key,作为对称加密密钥;
2)采用对称加密密钥Key,对消息加密,得到消息密文;
3)采用接收方公钥对Key进行加密,得到密钥密文;
4)将消息密文和密钥密文按照格式组成数字信封,发生给接收方。
数字信封解密过程如下:
1)采用自己的私钥解密密钥密文,得到对称密钥Key;
2)采用对称密钥Key,解密消息密文,得到消息明文。
上面描述中,采用了自定义的简单的数字信封格式,即数字信封由两部分组成:消息密文和密钥密文;在实际应用中,为了遵循统一的标准和格式,数字信封一般采用RSA公司的PKCS#7标准。在该格式中,数字信封的接收者可以是多人;其中消息密文仅一份数据,采用相同的对称密钥对数据进行加密;对每一个接收者,采用其公钥对对称密钥进行加密,存放在“对称密钥密文”字段。在PKCS#7标准中,要求每个数字信封中的对称密钥随机生成。
在采用PKCS#7标准的数字信封中,由于每个数字信封的对称密钥随机生成,因此每个数字信封在制作/解密的过程中,对称密钥密文都需要重新计算,需要用到大量非对称计算,导致性能严重降低。
在对称算法加密的字节数量未达到其密钥安全阈值的前提下,采用一次一密的工作机制,势必影响计算性能。
发明内容
为此,本发明所要解决的技术问题在于提供一种通过密钥重用提高数字信封性能的方法及数字信封,通过对数字信封格式进行扩展,并在扩展后的数值信封中添加可选密钥摘要信息,然后通过可选密钥摘要信息来提高频繁通信过程中数字信封制作和解密处理时间。
为解决上述技术问题,本发明提供如下技术方案:
一种通过密钥重用提高数字信封性能的方法,通过在接收者信息中添加可选密钥摘要信息对数字信封原有格式进行扩展,扩展后的数字信封格式兼容数字信封原有格式;在首次制作扩展后的数字信封后,如果扩展后的数字信封已有接收者,那么在该扩展后的数字信封制作过程中,该扩展后的数字信封的接收者信息中的对称密钥密文字段直接采用原有的加密值,并填写对称密钥明文摘要值作为可选密钥摘要信息,不再进行本次数字信封制作所需的公钥计算;在数字信封发送方首次制作扩展后的数字信封时,需要进行制作数字信封所需的所有计算过程,并需要将对称密钥、对称密钥密文和可选密钥摘要信息进行缓存。
上述通过密钥重用提高数字信封性能的方法,接收方解密数字信封时,先根据对称密钥明文摘要进行查找,如果没有现成的对称密钥,则采用私钥解密导入对称密钥,获得对称密钥,并缓存该对称密钥明文摘要的摘要值与对称密钥的对应关系;如果有现成的对称密钥,则省略私钥解密过程,直接采用该对称密钥进行解密。
上述通过密钥重用提高数字信封性能的方法,数字信封发送方制作扩展后的数字信封时,将消息进行对称加密得到消息密文,并将消息密文和对称密钥密文以及对称密钥明文摘要封装在扩展后的数字信封内。
上述通过密钥重用提高数字信封性能的方法,制作数字信封时所用对称密钥为随机生成的对称密钥。
上述通过密钥重用提高数字信封性能的方法,对称密钥明文摘要值为用于消息加密用的对称密钥的摘要值。
一种数字信封,包括消息密文和密钥密文,密钥密文包括接收者信息,接收者信息包括软件版本信息、证书颁发者及证书序列号、密钥加密算法标识、对称密钥密文和对称密钥明文摘要。其中,软件版本信息为数字信封软件的版本信息。
上述数字信封,对称密钥明文摘要的值为制作消息密文时所使用的对称密钥的摘要值。
上述数字信封,当数字信封的接收者数量大于或等于2时,制作消息密文所使用的对称密钥为同一个对称密钥。
上述数字信封,当数字信封的接收者数量大于或等于2时,制作密钥密文时对对称密钥加密时所使用的公钥为与接收者相关联的公钥。
上述数字信封,制作数字信封时所用对称密钥为随机生成的对称密钥。
本发明的技术方案取得了如下有益的技术效果:
本发明通过对数字信封格式进行扩展,并在扩展后的数值信封中添加可选密钥摘要信息,当发送方和接收方频繁采用数字信封交互的情况下,采用对称密钥重用,不管是制作还是解密数字信封,都能极大的减少非对称计算,提高性能。
附图说明
图1为本发明中数字信封的结构示意图;
图2为原有数字信封的结构示意图;
图3为本发明中数字信封制作的流程示意图;
图4为本发明中数字信封解密的流程示意图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
如图1所示,本发明中的数字信封,包括消息密文和密钥密文,密钥密文包括接收者信息,接收者信息包括版本信息、证书颁发者及证书序列号、密钥加密算法标识、对称密钥密文和对称密钥明文摘要。
其中,对称密钥明文摘要的值为制作消息密文时所使用的对称密钥的摘要值;当数字信封的接收者数量大于或等于2时,制作消息密文所使用的对称密钥为同一个对称密钥,制作密钥密文时对对称密钥加密时所使用的公钥为与接收者相关联的公钥,制作数字信封时所用对称密钥为随机生成的对称密钥。
在现有利用数字信封进行信息传输时,通过在接收者信息中添加可选密钥摘要信息对数字信封原有格式进行扩展,扩展后的数字信封格式兼容数字信封原有格式,数字信封原有格式如图2所示;在首次制作扩展后的数字信封后,如果扩展后的数字信封已有接收者,那么在该扩展后的数字信封制作过程中,该扩展后的数字信封的接收者信息中的对称密钥密文字段直接采用原有的加密值,并填写对称密钥明文摘要值作为可选密钥摘要信息,不再进行本次数字信封制作所需的公钥计算;在数字信封发送方首次制作扩展后的数字信封时,需要进行制作数字信封所需的所有计算过程,并需要将对称密钥、对称密钥密文和可选密钥摘要信息进行缓存。
如图4所示,接收方解密数字信封时,先根据对称密钥明文摘要进行查找,如果没有现成的对称密钥,则采用私钥解密导入对称密钥,获得对称密钥,并缓存该对称密钥明文摘要的摘要值与对称密钥的对应关系;如果有现成的对称密钥,则省略私钥解密过程,直接采用该对称密钥进行解密。
其中,数字信封发送方制作扩展后的数字信封时,将消息进行对称加密得到消息密文,并将消息密文和对称密钥密文以及对称密钥明文摘要封装在扩展后的数字信封内,如图3所示。其中,制作数字信封时所用对称密钥为随机生成的对称密钥,对称密钥明文摘要值为用于消息加密用的对称密钥的摘要值。
在采用PKCS#7标准的数字信封中,为了提高信息传输的安全性,每个数字信封的对称密钥都是随机生成的,因此,每个数字信封在制作/解密的过程中,对称密钥密文都需要重新计算,而这需要用到大量的非对称计算,大量的非对称计算会导致数字信封的分发性能严重降低,具体表现在:采用非对称算法对多个接受者的同一个对称密钥进行非对称算法计算时,每一次分发都需要非对称计算,这就导致了分发性能下降。而且在对称算法加密的字节数量未达到其密钥安全阈值的前提下,采用一次一米的工作机制,势必影响计算性能。
而将本发明中所述数字信封应用于信息传输,在首次制作扩展后的数字信封后,如果扩展后的数字信封已有接收者,那么在该扩展后的数字信封制作过程中,该扩展后的数字信封的接收者信息中的对称密钥密文字段直接采用原有的加密值,并填写对称密钥明文摘要值作为可选密钥摘要信息,不再进行本次数字信封制作所需的公钥计算,这样可以节省大量的计算。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。

Claims (10)

1.一种通过密钥重用提高数字信封性能的方法,其特征在于,通过在接收者信息中添加可选密钥摘要信息对数字信封原有格式进行扩展,扩展后的数字信封格式兼容数字信封原有格式;在首次制作扩展后的数字信封后,如果扩展后的数字信封已有接收者,那么在该扩展后的数字信封制作过程中,该扩展后的数字信封的接收者信息中的对称密钥密文字段直接采用原有的加密值,并填写对称密钥明文摘要值作为可选密钥摘要信息,不再进行本次数字信封制作所需的公钥计算;在数字信封发送方首次制作扩展后的数字信封时,需要进行制作数字信封所需的所有计算过程,并需要将对称密钥、对称密钥密文和可选密钥摘要信息进行缓存。
2.根据权利要求1所述的通过密钥重用提高数字信封性能的方法,其特征在于,接收方解密数字信封时,先根据对称密钥明文摘要进行查找,如果没有现成的对称密钥,则采用私钥解密导入对称密钥,获得对称密钥,并缓存该对称密钥明文摘要的摘要值与对称密钥的对应关系;如果有现成的对称密钥,则省略私钥解密过程,直接采用该对称密钥进行解密。
3.根据权利要求1所述的通过密钥重用提高数字信封性能的方法,其特征在于,数字信封发送方制作扩展后的数字信封时,将消息进行对称加密得到消息密文,并将消息密文和对称密钥密文以及对称密钥明文摘要封装在扩展后的数字信封内。
4.根据权利要求3所述的通过密钥重用提高数字信封性能的方法,制作数字信封时所用对称密钥为随机生成的对称密钥。
5.根据权利要求1~4任一所述的通过密钥重用提高数字信封性能的方法,其特征在于,对称密钥明文摘要值为用于消息加密用的对称密钥的摘要值。
6.一种数字信封,其特征在于,包括消息密文和密钥密文,密钥密文包括接收者信息,接收者信息包括软件版本信息、证书颁发者及证书序列号、密钥加密算法标识、对称密钥密文和对称密钥明文摘要。
7.根据权利要求6所述的数字信封,其特征在于,对称密钥明文摘要的值为制作消息密文时所使用的对称密钥的摘要值。
8.根据权利要求6所述的数字信封,其特征在于,当数字信封的接收者数量大于或等于2时,制作消息密文所使用的对称密钥为同一个对称密钥。
9.根据权利要求6所述的数字信封,其特征在于,当数字信封的接收者数量大于或等于2时,制作密钥密文时对对称密钥加密时所使用的公钥为与接收者相关联的公钥。
10.根据权利要求6~9任一所述的数字信封,其特征在于,制作数字信封时所用对称密钥为随机生成的对称密钥。
CN202210959019.3A 2022-08-10 2022-08-10 一种通过密钥重用提高数字信封性能的方法及数字信封 Active CN115102788B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210959019.3A CN115102788B (zh) 2022-08-10 2022-08-10 一种通过密钥重用提高数字信封性能的方法及数字信封

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210959019.3A CN115102788B (zh) 2022-08-10 2022-08-10 一种通过密钥重用提高数字信封性能的方法及数字信封

Publications (2)

Publication Number Publication Date
CN115102788A true CN115102788A (zh) 2022-09-23
CN115102788B CN115102788B (zh) 2023-01-17

Family

ID=83301179

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210959019.3A Active CN115102788B (zh) 2022-08-10 2022-08-10 一种通过密钥重用提高数字信封性能的方法及数字信封

Country Status (1)

Country Link
CN (1) CN115102788B (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1635730A (zh) * 2003-12-31 2005-07-06 郑玉霞 外来码辅助下的实时密钥生成及交换方法
CN1717697A (zh) * 2001-06-12 2006-01-04 捷讯研究有限公司 压缩安全电子邮件用于与移动通信设备交换的系统和方法
CN101989984A (zh) * 2010-08-24 2011-03-23 北京易恒信认证科技有限公司 电子文件安全共享系统及方法
CN102571724A (zh) * 2010-12-31 2012-07-11 上海格尔软件股份有限公司 基于支持微软CSP接口的RSAKey的系统登录方法
CN103916237A (zh) * 2012-12-30 2014-07-09 航天信息股份有限公司 对用户加密密钥恢复进行管理的方法和系统
CN105245337A (zh) * 2015-10-30 2016-01-13 南京未来网络产业创新有限公司 一种改良的文件加密解密方法
CN106209357A (zh) * 2016-07-06 2016-12-07 杨炳 一种基于云计算平台的密文访问控制系统
CN106506470A (zh) * 2016-10-31 2017-03-15 大唐高鸿信安(浙江)信息科技有限公司 网络数据安全传输方法
CN108833343A (zh) * 2018-04-28 2018-11-16 南京搜文信息技术有限公司 一种支持大数据的并行加密方法及解密方法
CN109981261A (zh) * 2019-02-01 2019-07-05 格尔软件股份有限公司 一种基于门限分割的多人数字信封及制作方法
CN111935197A (zh) * 2020-10-14 2020-11-13 江西省精彩纵横采购咨询有限公司 一种招标文件加解密方法及装置
CN113849835A (zh) * 2021-09-26 2021-12-28 百度在线网络技术(北京)有限公司 一种密钥处理方法、装置、设备及存储介质
US11356427B1 (en) * 2017-02-15 2022-06-07 Wells Fargo Bank, N.A. Signcrypted envelope message

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1717697A (zh) * 2001-06-12 2006-01-04 捷讯研究有限公司 压缩安全电子邮件用于与移动通信设备交换的系统和方法
CN1635730A (zh) * 2003-12-31 2005-07-06 郑玉霞 外来码辅助下的实时密钥生成及交换方法
CN101989984A (zh) * 2010-08-24 2011-03-23 北京易恒信认证科技有限公司 电子文件安全共享系统及方法
CN102571724A (zh) * 2010-12-31 2012-07-11 上海格尔软件股份有限公司 基于支持微软CSP接口的RSAKey的系统登录方法
CN103916237A (zh) * 2012-12-30 2014-07-09 航天信息股份有限公司 对用户加密密钥恢复进行管理的方法和系统
CN105245337A (zh) * 2015-10-30 2016-01-13 南京未来网络产业创新有限公司 一种改良的文件加密解密方法
CN106209357A (zh) * 2016-07-06 2016-12-07 杨炳 一种基于云计算平台的密文访问控制系统
CN106506470A (zh) * 2016-10-31 2017-03-15 大唐高鸿信安(浙江)信息科技有限公司 网络数据安全传输方法
US11356427B1 (en) * 2017-02-15 2022-06-07 Wells Fargo Bank, N.A. Signcrypted envelope message
CN108833343A (zh) * 2018-04-28 2018-11-16 南京搜文信息技术有限公司 一种支持大数据的并行加密方法及解密方法
CN109981261A (zh) * 2019-02-01 2019-07-05 格尔软件股份有限公司 一种基于门限分割的多人数字信封及制作方法
CN111935197A (zh) * 2020-10-14 2020-11-13 江西省精彩纵横采购咨询有限公司 一种招标文件加解密方法及装置
CN113849835A (zh) * 2021-09-26 2021-12-28 百度在线网络技术(北京)有限公司 一种密钥处理方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN115102788B (zh) 2023-01-17

Similar Documents

Publication Publication Date Title
CN103684794A (zh) 一种基于des、rsa、sha-1加密算法的通信数据加解密方法
CN103731270B (zh) 一种基于bss、rsa、sha‑1加密算法的通信数据加解密方法
CN108090370B (zh) 基于索引的即时通信加密方法和系统
CN109873699B (zh) 一种可撤销的身份公钥加密方法
CN110138795B (zh) 一种通信过程中的多步混合加解密方法
CN101262341A (zh) 一种会务系统中混合加密方法
CN102025505A (zh) 一种基于aes算法的加密、解密方法及装置
CN106533656B (zh) 一种基于wsn的密钥多层混合加/解密方法
CN105554031A (zh) 加密方法、加密装置、解密方法、解密装置和终端
CN113285959A (zh) 一种邮件加密方法、解密方法及加解密系统
CN112165443A (zh) 一种多密钥信息加密解密方法、装置及存储介质
WO2001084766A3 (en) System and method for encryption using transparent keys
CN112738133A (zh) 一种rsa认证方法
CN114499857A (zh) 一种实现大数据量子加解密中数据正确性与一致性的方法
CN102523563B (zh) 一种基于标识密码技术的彩信加密方法
CN103269272A (zh) 一种基于短期证书的密钥封装方法
CN115102788B (zh) 一种通过密钥重用提高数字信封性能的方法及数字信封
CN108494554B (zh) 一种基于双明文的数据对称加密方法
US6931126B1 (en) Non malleable encryption method and apparatus using key-encryption keys and digital signature
CN116389100A (zh) 一种数字信封加密方法及装置
CN107040921B (zh) 一种基于点对点的短信加密系统
CN113852466B (zh) 基于国密sm9的用户撤销方法
CN104796254A (zh) 基于ecc的公文流转方法
CN115001758A (zh) 一种基于量子加密的短字节消息安全加密方法
CN115333730B (zh) 一种提高数字信封消息数据完整性的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant