[发明专利]一种基于协同密码算法的非对称密钥管理系统及方法

说明书

本发明提供一种基于协同密码算法的非对称密钥管理系统及方法，涉及密码密钥管理与应用技术领域。本方法为非对称密钥管理系统提供一种灵活、高效的认证体系，极大加快了认证进程；实现了非对称密钥管理系统向智能化方向演进。通过协同认证方式保证证书的真实性、完整性和可靠性，无撤销列表需要，无需分发黑白灰名单即可保护非对称密钥管理系统，系统包括分散密钥管理单元、分散密钥存储应用单元、等效密钥协商运算单元、可靠性验证单元、密钥生命周期管理单元，提供了一种新的密钥管理系统，为密钥签发和使用过程、证书认证过程提供的安全性保护服务，使部分高可靠性验证场景避免CRL列表的存储和检索。

技术领域

本发明涉及密码密钥管理与应用技术领域，尤其涉及一种基于协同密码算法的非对称密钥管理系统及方法。

背景技术

密码学认为密钥是保护密码算法安全的基础，密钥尤其是数字秘密形式密钥的保存、分发和利用方式是信息系统安全特性的关键环节。按密钥的分类，相应的密钥管理系统，又可分为对称密钥管理系统、非对称密钥管理系统。

使用对称密钥时，密钥管理系统需要在信息系统正式使用前，将记载有信息系统节点密钥(数字秘密)的载体，分发至相应密钥设备(模块中)。按信息论的一般性证明，有N个节点的全联通信息系统，采用对称密钥管理时，共需要分发N²次密钥。当N较大时，很难实现全联通的信息系统，该问题又被称密钥分发难题。

为缓解密钥分发难题，密码学家们又建立了非对称密钥应用及相应的管理系统，将所有密钥(私钥)对应的可公开部分(公钥)以数字证书的形式，进行验证和公开。使用非对称密钥管理系统，节点全联通的信息系统无需要在建立之初就共享所有其他节点的密钥；仅当有节点的密钥失效或丢失时，了解公钥的状态变化即可。

目前，国内非对称密钥管理系统大部分采用CRL进行证书验证(简称：CRL检测)。在需要验证密钥前，对证书撤销列表进行查询，通过多个证书吊销列表对需要验证的证书进行查询，判断其证书是否被撤销。

如何有效减少，非对称密钥管理系统涉及的大量CRL分发、存储和搜索问题，伴随而来的便是存储代价及验证证书时产生的时间代价，是进一步深入推广国产密码应用的关键问题之一。

发明内容

针对现有技术的不足，本发明提供一种基于协同密码算法的非对称密钥管理系统及方法，于协同密码的计算过程，提供一种新的密钥管理系统，为密钥签发和使用过程、证书认证过程提供的安全性保护服务，使部分高可靠性验证场景避免CRL列表的存储和检索。为解决上述技术问题，本发明所采取的技术方案是：

一方面，一种基于协同密码算法的非对称密钥管理系统，包括分散密钥管理单元、分散密钥存储应用单元、等效密钥协商运算单元、可靠性验证单元、密钥生命周期管理单元中。

所述分散密钥管理单元，按证书颁发机构(CA)的约定功能和协议，包括SM2数字证书格式规范、RSA数字证书格式规范、X500数字证书格式，向申请者颁发两类非对称密码算法认证证书，分散私钥认证证书和协同等效密钥认证证书；

所述等效密钥协商运算单元按门限密码技术、双方协同密码算法、多方协同密码算法，为通过所述分散密钥存储应用单元实现密码功能的计算部件，所述计算部件包括手机、PDA、PAD、个人计算机、计算服务器、计算服务器集群、云服务器、数据库、光存储器，提供非称算法的等效密钥运算功能，包括密钥协调、加密、解密、签名、验签操作，并在执行操作前对分散密钥管理单元的有效性进行检查，检查形式为对比分散密钥管理单元发布的CRL列表、检验分散私钥认证证书发布者、分散私钥认证证书有效期；

所述门限密码技术包括动态门限密码、两方协同密码、多方协同密码算法，由密钥生命周期管理单元控制等效密钥协商运算单元，分别生成分散密钥存储应用单元中数字秘密信息所对应的协同等效密钥公钥，而协同等效密钥私钥从不产生且等效密钥协商运算单元自向持有的数字秘密影响。