[发明专利]一种基于加密卡的密钥传输和存储方法

权利要求书

1.一种基于加密卡的密钥传输和存储方法，其特征在于，加密卡包括加密卡模块和密钥管理模块，本方法包括如下步骤：

S1:令牌申请，通过主机侧生成令牌的上半部随机数R1并签名，然后通过密钥管理模块验证，通过密钥管理模块生成令牌的下半部随机数R2并签名，然后通过验证主机侧OwerPri验证，将R1和R2合成令牌R；

S2:密钥导入，所有者公钥OwerPub对密钥KEY进行加密并签名，加密的密文和签名值分别为Cipher、SK；通过加密卡模块公钥CardPub对令牌R签名，签名值为SR；通过密钥管理模块解密Cipher得到密钥KEY，并将密钥KEY存储到密钥管理模块中；

S3:密钥激活，加密卡模块生成临时密钥并将临时密钥对中的公钥TmpPub发送至密钥管理模块；密钥管理模块读取密钥KEY并通过TmpPub对密钥进行加密Cipher；通过密钥管理模块解密Cipher得到密钥KEY，并将密钥KEY存储到密钥管理模块中备用；

CardPub解密Cipher得到密钥KEY的过程为：

C1:将R+SR+Cipher+SK发送到密钥管理模块；

C2:密钥管理模块通过CardPub验证R+SR的完整性，并解密Cipher得到密钥KEY；

C3:通过KEY+SK验证密钥KEY的完整性。

2.根据权利要求1所述的基于加密卡的密钥传输和存储方法，其特征在于，令牌R1的签名和验证包括如下骤：

A1：主机侧使用加密卡模块公钥CardPub对R1签名，签名值为SR1；

A2：主机侧将R1+SR1通过加密卡发送到密钥管理模块，密钥管理模块通过CardPri验证R1+SR1的完整性。

3.根据权利要求1所述的基于加密卡的密钥传输和存储方法，其特征在于，令牌R2的签名和验证包括如下骤：

B1：密钥管理模块通过所有者公钥OwerPub对R2签名，签名值为SR2；

B2：密钥管理模块通过加密卡模块把R2+SR2发送到主机侧，并通过主机侧OwerPri验证R2+SR2的完整性。