技術(shù)領(lǐng)域

本發(fā)明涉及一種用戶加密密鑰的保護(hù)方法，特別涉及一種用戶密鑰管理體系中的非對(duì)稱密鑰傳輸過(guò)程中用戶加密密鑰的保護(hù)方法。

背景技術(shù)

隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)安全已成為互聯(lián)網(wǎng)擴(kuò)展業(yè)務(wù)和拓展應(yīng)用的當(dāng)務(wù)之急。目前比較常用的技術(shù)手段是通過(guò)加密密鑰及其密鑰認(rèn)證來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)上的信息安全。

比如申請(qǐng)?zhí)枮?3145286.8的名為《用于提供安全服務(wù)器密鑰操作的系統(tǒng)和方法》的專利，該專利公開的技術(shù)描述了一個(gè)密鑰管理接口，它允許把不同的密鑰保護(hù)方案插入到數(shù)字權(quán)利管理系統(tǒng)中去。此接口展示了下列功能：數(shù)據(jù)簽名、用公鑰來(lái)解密已加密的數(shù)據(jù)以及對(duì)于不同的認(rèn)證原則(比如，不同的公鑰)用由接口輸出的公鑰來(lái)再加密已被加密的數(shù)據(jù)。如此，一個(gè)安全的接口能被提供，如此，數(shù)據(jù)不能以明文方式進(jìn)入和離開此接口。這樣一個(gè)接口輸出簽名和解密的私鑰操作，以及在許可和發(fā)布中對(duì)數(shù)字資源服務(wù)器提供安全性和認(rèn)證。

類似上述的加密密鑰的方法和應(yīng)用系統(tǒng)目前被普遍采用，但其應(yīng)用中仍存在安全隱患。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問(wèn)題在于提供一種用戶密鑰管理體系中的非對(duì)稱密鑰傳輸過(guò)程中用戶加密密鑰的保護(hù)方法，引入數(shù)字信封技術(shù)，保障用戶加密密鑰傳輸時(shí)的安全性。

本發(fā)明所要解決的技術(shù)問(wèn)題可以通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)：

一種用戶密鑰管理體系中的非對(duì)稱密鑰傳輸過(guò)程中用戶加密密鑰的保護(hù)方法，其特征在于，所述保護(hù)方法包括如下的步驟：

1)用戶通過(guò)使用證書存儲(chǔ)設(shè)備生成簽名密鑰對(duì)并向密鑰管理中心構(gòu)造傳遞請(qǐng)求；

2)密鑰管理中心生成用戶加密密鑰對(duì)并使用數(shù)字信封技術(shù)進(jìn)行保護(hù)后向回傳輸給發(fā)證客戶端；

3)證書存儲(chǔ)設(shè)備解密得到用戶加密私鑰并安裝到證書存儲(chǔ)設(shè)備中。

所述步驟1)中包含以下步驟：

(1)用戶或用戶發(fā)證中心RA的管理員通過(guò)證書存儲(chǔ)設(shè)備構(gòu)造用于生成簽名證書的密鑰對(duì)(SigPubKey，SigPrvKey)，該密鑰對(duì)也同時(shí)用于用戶加密密鑰的保護(hù)；

(2)發(fā)證客戶端使用密鑰SigPubKey及輸入?yún)?shù)構(gòu)造請(qǐng)求，將構(gòu)造請(qǐng)求傳遞到用戶注冊(cè)中心RA；

(3)用戶注冊(cè)中心RA驗(yàn)證用戶的合法性和用戶證書請(qǐng)求是否已獲批準(zhǔn)，然后根據(jù)用戶信息、證書基本請(qǐng)求和證書策略構(gòu)造證書申請(qǐng)請(qǐng)求，并通過(guò)安全連接發(fā)送給證書認(rèn)證中心CA的服務(wù)器；

(4)證書認(rèn)證中心CA驗(yàn)證該請(qǐng)求的合法性，然后通過(guò)安全連接向密鑰管理中心KM請(qǐng)求獲取用戶的加密密鑰對(duì)。

所述步驟2)中包含以下步驟：

(1)密鑰管理中心KM接到請(qǐng)求后，從備用庫(kù)中獲取得到加密過(guò)的加密密鑰對(duì)，使用加密機(jī)進(jìn)行解密得到加密密鑰對(duì)(EncPubKey，EncPrvKey)；

(2)密鑰管理中心KM生成傳輸密鑰TKey，使用傳輸密鑰TKey通過(guò)對(duì)稱算法對(duì)用戶加密密鑰EncPrvKey進(jìn)行加密得到密鑰EncryptEncPrvKey；

(3)密鑰管理中心KM使用請(qǐng)求中的公鑰SigPubKey通過(guò)非對(duì)稱算法對(duì)傳輸密鑰TKey進(jìn)行加密，得到密鑰EncryptTKey；

(4)密鑰管理中心KM將密鑰EncryptEncPrvKey、密鑰EncryptTKey、密鑰EncPubKey組合后一起傳送給證書認(rèn)證中心CA。

(5)證書認(rèn)證中心CA根據(jù)證書策略簽發(fā)用戶簽名證書及加密證書，將簽發(fā)好的證書、密鑰EncryptEncPrvKey、密鑰EncryptTKey一起傳送到用戶注冊(cè)中心RA；

(6)用戶注冊(cè)中心RA的服務(wù)器向發(fā)證客戶端返回加密證書、簽名證書和密鑰EncryptEncPrvKey、密鑰EncryptTKey。

所述步驟3)中包含以下步驟：

(1)證書存儲(chǔ)設(shè)備使用私鑰SigPrvKey解密密鑰EncryptTKey獲得傳輸密鑰TKey；

(2)證書存儲(chǔ)設(shè)備使用傳輸密鑰TKey解密密鑰EncryptEncPrvKey獲得用戶加密密鑰的私鑰EncPrvKey；

(3)證書存儲(chǔ)設(shè)備將用戶加密密鑰的私鑰EncPrvKey、加密證書和簽名證書安裝到證書存儲(chǔ)設(shè)備中。

本發(fā)明的用戶密鑰管理體系中的非對(duì)稱密鑰傳輸過(guò)程中用戶加密密鑰的保護(hù)方法具有如下特點(diǎn)：

1、采用數(shù)字信封方式，保障了對(duì)稱密鑰傳輸時(shí)的安全性；

2、采用證書存儲(chǔ)設(shè)備自生成的不可導(dǎo)出私鑰的密鑰對(duì)進(jìn)行保護(hù)，保障了用戶加密密鑰安裝的安全性。