[发明专利]一种基于软件密码模块的密钥管理方法及系统

权利要求书

1.一种基于软件密码模块的密钥管理方法，其特征在于，包括：密钥初始化过程、密钥更新过程和密钥使用过程；

密钥初始化过程：

使用口令派生算法对初始口令进行派生获得口令派生密钥；

获取第一随机数作为白盒保护密钥，获取第二随机数作为主密钥；

通过所述白盒保护密钥加密所述主密钥获得第一密文，通过所述口令派生密钥加密所述白盒保护密钥获得第二密文，将所述第一密文和所述第二密文存储至软件密码模块中；

通过所述软件密码模块内部生成和/或通过数字信封方式导入用户密钥，通过所述主密钥加密用户密钥，获得用户密钥的密文，将所述用户密钥的密文存储至软件密码模块中；

密钥更新过程：

使用口令派生算法对接收的当前口令和新口令进行派生，获得当前口令派生密钥和新口令派生密钥；

通过所述当前口令派生密钥解密所述第二密文，获得所述白盒保护密钥；通过所述新口令派生密钥加密所述白盒保护密钥，利用加密获得的所述白盒保护密钥的密文更新所述第二密文；

密钥使用过程：

使用口令派生算法对接收的新口令进行派生，获得新口令派生密钥；使用所述新口令派生密钥解密所述第二密文获得所述白盒保护密钥；通过所述白盒保护密钥解密所述第一密文获得所述主密钥；

通过所述主密钥解密所述用户密钥的密文，获得所述用户密钥进行相关密码服务。

2.根据权利要求1所述的密钥管理方法，其特征在于，在密钥初始化过程中，通过所述白盒保护密钥加密所述主密钥获得第一密文之后还包括：通过摘要算法对所述白盒保护密钥进行摘要运算，获得白盒保护密钥HASH值，并存储至所述软件密码模块中；

在所述密钥更新过程中，通过所述当前口令派生密钥解密所述第二密文获得所述白盒保护密钥之后还包括：通过所述软件密码模块内部存储的所述白盒保护密钥HASH值对所述白盒保护密钥进行校验，若校验通过则说明当前口令正确；否则，当前口令错误；

在所述密钥使用过程中，使用所述新口令派生密钥解密所述第二密文获得所述白盒保护密钥之后还包括：通过所述软件密码模块内部存储的所述白盒保护密钥HASH值对所述白盒保护密钥进行校验，若校验通过则说明当前口令正确；否则，当前口令错误。

3.根据权利要求1或2所述的密钥管理方法，其特征在于，所述密钥初始化过程中，获取用户密钥之后还包括：获取第三随机数作为线路保护密钥，获取第四随机数作为内部认证密钥，获取第五随机数作为外部认证密钥；将所述线路保护密钥、所述内部认证密钥和所述外部认证密钥分别使用所述主密钥进行加密后存储至所述软件密码模块中；通过所述软件密码模块内部的伪随机数发生器生成会话密钥。

4.根据权利要求3所述的密钥管理方法，其特征在于，所述密钥使用过程中，通过所述白盒保护密钥解密所述第一密文，获得所述主密钥之后还包括：通过所述主密钥解密所述线路保护密钥、所述外部认证密钥和所述内部认证密钥的密文，获得所述线路保护密钥、所述外部认证密钥和所述内部认证密钥进行外部应用相关的密码服务。

5.根据权利要求1或2所述的密钥管理方法，其特征在于，所述密钥初始化过程中还包括：将所述主密钥扩展后的圈子密钥隐藏嵌入到复合查找表中，编译成二进制代码的形式做成白盒进行所述主密钥的保护。