[发明专利]用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法

说明书

技术领域

本发明涉及一种用户加密密钥的保护方法，特别涉及一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法。

背景技术

随着互联网的普及，网络安全已成为互联网扩展业务和拓展应用的当务之急。目前比较常用的技术手段是通过加密密钥及其密钥认证来实现网络上的信息安全。

比如申请号为03145286.8的名为《用于提供安全服务器密钥操作的系统和方法》的专利，该专利公开的技术描述了一个密钥管理接口，它允许把不同的密钥保护方案插入到数字权利管理系统中去。此接口展示了下列功能：数据签名、用公钥来解密已加密的数据以及对于不同的认证原则(比如，不同的公钥)用由接口输出的公钥来再加密已被加密的数据。如此，一个安全的接口能被提供，如此，数据不能以明文方式进入和离开此接口。这样一个接口输出签名和解密的私钥操作，以及在许可和发布中对数字资源服务器提供安全性和认证。

类似上述的加密密钥的方法和应用系统目前被普遍采用，但其应用中仍存在安全隐患。

发明内容

本发明所要解决的技术问题在于提供一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法，引入数字信封技术，保障用户加密密钥传输时的安全性。

本发明所要解决的技术问题可以通过以下技术方案来实现：

一种用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法，其特征在于，所述保护方法包括如下的步骤：

1)用户通过使用证书存储设备生成签名密钥对并向密钥管理中心构造传递请求；

2)密钥管理中心生成用户加密密钥对并使用数字信封技术进行保护后向回传输给发证客户端；

3)证书存储设备解密得到用户加密私钥并安装到证书存储设备中。

所述步骤1)中包含以下步骤：

(1)用户或用户发证中心RA的管理员通过证书存储设备构造用于生成签名证书的密钥对(SigPubKey，SigPrvKey)，该密钥对也同时用于用户加密密钥的保护；

(2)发证客户端使用密钥SigPubKey及输入参数构造请求，将构造请求传递到用户注册中心RA；

(3)用户注册中心RA验证用户的合法性和用户证书请求是否已获批准，然后根据用户信息、证书基本请求和证书策略构造证书申请请求，并通过安全连接发送给证书认证中心CA的服务器；

(4)证书认证中心CA验证该请求的合法性，然后通过安全连接向密钥管理中心KM请求获取用户的加密密钥对。

所述步骤2)中包含以下步骤：

(1)密钥管理中心KM接到请求后，从备用库中获取得到加密过的加密密钥对，使用加密机进行解密得到加密密钥对(EncPubKey，EncPrvKey)；

(2)密钥管理中心KM生成传输密钥TKey，使用传输密钥TKey通过对称算法对用户加密密钥EncPrvKey进行加密得到密钥EncryptEncPrvKey；

(3)密钥管理中心KM使用请求中的公钥SigPubKey通过非对称算法对传输密钥TKey进行加密，得到密钥EncryptTKey；

(4)密钥管理中心KM将密钥EncryptEncPrvKey、密钥EncryptTKey、密钥EncPubKey组合后一起传送给证书认证中心CA。

(5)证书认证中心CA根据证书策略签发用户签名证书及加密证书，将签发好的证书、密钥EncryptEncPrvKey、密钥EncryptTKey一起传送到用户注册中心RA；

(6)用户注册中心RA的服务器向发证客户端返回加密证书、签名证书和密钥EncryptEncPrvKey、密钥EncryptTKey。

所述步骤3)中包含以下步骤：

(1)证书存储设备使用私钥SigPrvKey解密密钥EncryptTKey获得传输密钥TKey；

(2)证书存储设备使用传输密钥TKey解密密钥EncryptEncPrvKey获得用户加密密钥的私钥EncPrvKey；

(3)证书存储设备将用户加密密钥的私钥EncPrvKey、加密证书和签名证书安装到证书存储设备中。

本发明的用户密钥管理体系中的非对称密钥传输过程中用户加密密钥的保护方法具有如下特点：

1、采用数字信封方式，保障了对称密钥传输时的安全性；

2、采用证书存储设备自生成的不可导出私钥的密钥对进行保护，保障了用户加密密钥安装的安全性。