[发明专利]密钥管理方法及系统

说明书

技术领域

本发明涉及软件管理领域，更具体地说，涉及一种密钥管理方法及系统。

背景技术

在密钥体制中，密钥信息的安全性决定了整个通信和认证过程可靠性，有效的密钥管理方法对密钥信息的安全性提供有力的保障。现有的密钥管理系统一般采用以下几种方法对非对称密钥中的私钥进行安全保护：

一、非对称密钥的私钥存储在操作系统的证书库或者存储在文件系统上，没有使用任何安全的方式对私钥进行保护；在需要进行密码运算时，直接使用私钥进行相关的操作。

二、非对称密钥的私钥存储在操作系统的证书库或者存储在文件系统上，使用口令对私钥进行保护；在需要进行密码运算时，用户提供口令，并在验证口令成功后，才可以使用私钥进行相关的操作。

三、非对称密钥的私钥存储在硬件介质（例如：智能密码钥匙、SIM卡等）的安全芯片中，在需要进行运算时，用户提供PIN码，并在验证PIN码后，才可以使用私钥进行相关的操作。

但上述的密钥管理方法存在如下缺点：

一、私钥存储在操作系统的证书库或者存储在文件系统上，没有任何安全防护方式保证私钥的安全，任何能够接触到计算机的人都可以获取该私钥，大大降低了非对称密钥的安全性。

二、私钥存储在操作系统的证书库或者存储在文件系统上，如需使用口令对私钥进行保护，则需要进行复杂的密钥保护口令的设置过程，降低了用户操作效率。

三、私钥存储在硬件介质中，虽然可以保证私钥的安全性，但是增加了密钥使用设备的成本以及降低了密钥设备的使用便利性。

故，有必要提供一种密钥管理方法及系统，以解决现有技术所存在的问题。

发明内容

本发明要解决的技术问题在于，针对现有技术中的密钥管理方法及系统的安全性较差或用户操作效率低下、设备制作成本较高的技术问题，提供一种安全性高、用户操作便利以及设备制作成本低的密钥管理方法及系统。

本发明提供一种密钥管理方法，其包括步骤：

接收用户特征信息以及密钥生成请求；

采集设备的设备特征信息；

根据所述用户特征信息以及所述设备特征信息，使用预定算法生成动态密钥对；以及

在相应的CA认证中心对所述动态密钥对中的公钥进行认证后，使用所述动态密钥对进行密钥相关操作。

在本发明所述的密钥管理方法中，所述在相应的CA认证中心对所述动态密钥对中的公钥进行认证的步骤包括：

接收用户特征信息以及密钥认证请求；

采集设备的设备特征信息；

根据所述用户特征信息以及设备特征信息，使用预定算法生成动态密钥对；以及

将所述动态密钥对中的公钥发送至所述相应的CA认证中心进行认证。

在本发明所述的密钥管理方法中，所述使用所述动态密钥对进行密钥相关操作后还包括步骤：

在设定时间后，对所述动态密钥对进行删除操作。

在本发明所述的密钥管理方法中，所述设备特征信息包括设备序列号以及MAC地址的至少其中之一。

在本发明所述的密钥管理方法中，所述预定算法为ECC非对称密钥算法，所述动态密钥对中密钥的长度为256位。

本发明还提供一种密钥管理系统，其包括：

生成请求接收模块，用于接收用户特征信息以及密钥生成请求；

采集模块，用于采集设备的设备特征信息；

密钥生成模块，用于根据所述用户特征信息以及所述设备特征信息，使用预定算法生成动态密钥对；以及

操作模块，用于在相应的CA认证中心对所述动态密钥对中的公钥进行认证后，使用所述动态密钥对进行密钥相关操作。

在本发明所述的密钥管理系统中，所述密钥管理系统还包括：

认证请求接收模块，用于接收用户特征信息以及密钥认证请求；以及

认证模块，用于将所述动态密钥对中的公钥发送至所述相应的CA认证中心进行认证。

在本发明所述的密钥管理系统中，所述密钥管理系统还包括：

密钥删除模块，用于在设定时间后，对所述动态密钥对进行删除操作。

在本发明所述的密钥管理系统中，所述设备特征信息包括设备序列号以及MAC地址的至少其中之一。

在本发明所述的密钥管理系统中，所述预定算法为ECC非对称密钥算法，所述动态密钥对中密钥的长度为256位。