[发明专利]用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法

权利要求书

1.一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法，其特征在于，所述保护方法包括如下的步骤：

1)用户通过使用证书存储设备生成签名密钥对并向密钥管理中心构造传递请求；

2)密钥管理中心生成用户加密密钥对并使用数字信封技术进行保护后向回传输给发证客户端；

3)证书存储设备解密得到用户加密私钥并安装到证书存储设备中。

2.如权利要求1所述的方法，其特征在于，所述步骤1)中包含以下步骤：

(1)用户或用户发证中心RA的管理员通过证书存储设备构造用于生成签名证书的密钥对(SigPubKey，SigPrvKey)，该密钥对也同时用于用户加密密钥的保护；

(2)发证客户端使用密钥SigPubKey及输入参数构造请求，将构造请求传递到用户注册中心RA；

(3)用户注册中心RA验证用户的合法性和用户证书请求是否已获批准，然后根据用户信息、证书基本请求和证书策略构造证书申请请求，并通过安全连接发送给证书认证中心CA的服务器；

(4)证书认证中心CA验证该请求的合法性，然后通过安全连接向密钥管理中心KM请求获取用户的加密密钥对。

3.如权利要求1所述的方法，其特征在于，所述步骤2)中包含以下步骤：

(1)密钥管理中心KM接到请求后，从备用库中获取得到加密过的加密密钥对，使用加密机进行解密得到加密密钥对(EncPubKey，EncPrvKey)；

(2)密钥管理中心KM生成传输密钥TKey，使用传输密钥TKey通过对称算法对用户加密密钥EncPrvKey进行加密得到密钥EncryptEncPrvKey；

(3)密钥管理中心KM使用请求中的公钥SigPubKey通过非对称算法对传输密钥TKey进行加密，得到密钥EncryptTKey；

(4)密钥管理中心KM将密钥EncryptEncPrvKey、密钥EncryptTKey、密钥EncPubKey组合后一起传送给证书认证中心CA。

(5)证书认证中心CA根据证书策略签发用户签名证书及加密证书，将签发好的证书、密钥EncryptEncPrvKey、密钥EncryptTKey一起传送到用户注册中心RA；

(6)用户注册中心RA的服务器向发证客户端返回加密证书、签名证书和密钥EncryptEncPrvKey、密钥EncryptTKey。

4.如权利要求1所述的方法，其特征在于，所述步骤3)中包含以下步骤：

(1)证书存储设备使用私钥SigPrvKey解密密钥EncryptTKey获得传输密钥TKey；

(2)证书存储设备使用传输密钥TKey解密密钥EncryptEncPrvKey获得用户加密密钥的私钥EncPrvKey；

(3)证书存储设备将用户加密密钥的私钥EncPrvKey、加密证书和签名证书安装到证书存储设备中。