本發明提供一種基于協同密碼算法的非對稱密鑰管理系統及方法，涉及密碼密鑰管理與應用技術領域。本方法為非對稱密鑰管理系統提供一種靈活、高效的認證體系，極大加快了認證進程；實現了非對稱密鑰管理系統向智能化方向演進。通過協同認證方式保證證書的真實性、完整性和可靠性，無撤銷列表需要，無需分發黑白灰名單即可保護非對稱密鑰管理系統，系統包括分散密鑰管理單元、分散密鑰存儲應用單元、等效密鑰協商運算單元、可靠性驗證單元、密鑰生命周期管理單元，提供了一種新的密鑰管理系統，為密鑰簽發和使用過程、證書認證過程提供的安全性保護服務，使部分高可靠性驗證場景避免CRL列表的存儲和檢索。

技術領域

本發明涉及密碼密鑰管理與應用技術領域，尤其涉及一種基于協同密碼算法的非對稱密鑰管理系統及方法。

背景技術

密碼學認為密鑰是保護密碼算法安全的基礎，密鑰尤其是數字秘密形式密鑰的保存、分發和利用方式是信息系統安全特性的關鍵環節。按密鑰的分類，相應的密鑰管理系統，又可分為對稱密鑰管理系統、非對稱密鑰管理系統。

使用對稱密鑰時，密鑰管理系統需要在信息系統正式使用前，將記載有信息系統節點密鑰(數字秘密)的載體，分發至相應密鑰設備(模塊中)。按信息論的一般性證明，有N個節點的全聯通信息系統，采用對稱密鑰管理時，共需要分發N²次密鑰。當N較大時，很難實現全聯通的信息系統，該問題又被稱密鑰分發難題。

為緩解密鑰分發難題，密碼學家們又建立了非對稱密鑰應用及相應的管理系統，將所有密鑰(私鑰)對應的可公開部分(公鑰)以數字證書的形式，進行驗證和公開。使用非對稱密鑰管理系統，節點全聯通的信息系統無需要在建立之初就共享所有其他節點的密鑰；僅當有節點的密鑰失效或丟失時，了解公鑰的狀態變化即可。

目前，國內非對稱密鑰管理系統大部分采用CRL進行證書驗證(簡稱：CRL檢測)。在需要驗證密鑰前，對證書撤銷列表進行查詢，通過多個證書吊銷列表對需要驗證的證書進行查詢，判斷其證書是否被撤銷。

如何有效減少，非對稱密鑰管理系統涉及的大量CRL分發、存儲和搜索問題，伴隨而來的便是存儲代價及驗證證書時產生的時間代價，是進一步深入推廣國產密碼應用的關鍵問題之一。

發明內容

針對現有技術的不足，本發明提供一種基于協同密碼算法的非對稱密鑰管理系統及方法，于協同密碼的計算過程，提供一種新的密鑰管理系統，為密鑰簽發和使用過程、證書認證過程提供的安全性保護服務，使部分高可靠性驗證場景避免CRL列表的存儲和檢索。為解決上述技術問題，本發明所采取的技術方案是：

一方面，一種基于協同密碼算法的非對稱密鑰管理系統，包括分散密鑰管理單元、分散密鑰存儲應用單元、等效密鑰協商運算單元、可靠性驗證單元、密鑰生命周期管理單元中。

所述分散密鑰管理單元，按證書頒發機構(CA)的約定功能和協議，包括SM2數字證書格式規范、RSA數字證書格式規范、X500數字證書格式，向申請者頒發兩類非對稱密碼算法認證證書，分散私鑰認證證書和協同等效密鑰認證證書；

所述等效密鑰協商運算單元按門限密碼技術、雙方協同密碼算法、多方協同密碼算法，為通過所述分散密鑰存儲應用單元實現密碼功能的計算部件，所述計算部件包括手機、PDA、PAD、個人計算機、計算服務器、計算服務器集群、云服務器、數據庫、光存儲器，提供非稱算法的等效密鑰運算功能，包括密鑰協調、加密、解密、簽名、驗簽操作，并在執行操作前對分散密鑰管理單元的有效性進行檢查，檢查形式為對比分散密鑰管理單元發布的CRL列表、檢驗分散私鑰認證證書發布者、分散私鑰認證證書有效期；

所述門限密碼技術包括動態門限密碼、兩方協同密碼、多方協同密碼算法，由密鑰生命周期管理單元控制等效密鑰協商運算單元，分別生成分散密鑰存儲應用單元中數字秘密信息所對應的協同等效密鑰公鑰，而協同等效密鑰私鑰從不產生且等效密鑰協商運算單元自向持有的數字秘密影響。