专利名称:基于多级密钥管理体系中的对称密钥传输保护方法
技术领域:
本发明涉及的是一种有关基于多级密钥管理体系中的对称密钥传输保护方法,属于计算机和信息安全技术领域。
背景技术:
随着经济的发展和电子化水平的不断提高,智能IC(集成电路)卡已经逐渐成为生活中不可缺少的一部分。它广泛的应用于身份识别,电子交易,个人信息保存等领域。相对于传统的磁条卡或者存储器卡,智能IC卡由于内部带有CPU,不仅处理能力大大加强。而且提高了系统的保密能力。其中带有RSA加密协处理器(芯片)的智能卡,不仅可以提供强有力的数据加密能力,并且支持身份验证,签名等服务,获得了广泛的应用。
在通过网络传输信息时,公钥密码算法体现出了单密钥加密算法不可替代的优越性。对于参见电子交易的服务商来说,希望通过公开网络与成千上万的用户进行交易。若使用对称密码,则每个用户都需要由服务商直接分配一个密码。并且密码的传输必须通过一个单独的安全通道。相反,在公钥密码算法中,同一个服务商只需自己产生一对密钥,并且将公开钥对外公开。用户只需用服务商的公开钥加密信息,就可以保证将信息安全地传送给商户。
公钥密码算法中的密钥依据性质划分,可分为公钥和私钥两种。用户产生一对密钥,将其中的一个向外界公开,称为公钥;另一个则自己保留,称为私钥。凡是获悉用户公钥的任何人若想向用户传送信息,只需用户的公钥对信息加密,将信息密文传送给用户便可。因为公钥与私钥之间存在的依存关系,在用户安全保存私钥的前提下,只有用户本身才能解密该信息,任何未受用户授权的人包括信息的发送者都无法将此信息解密。
RSA公钥密码算法是一种公认十分安全的公钥密码算法。该公钥密码算法是目前网络上进行保密通信和数字签名的最有效的安全算法。RSA算法的安全性基于数论中大素数分解的困难性,所以,RSA需采用足够大的整数,因子分解越困难,密码就难以破译,加密强度就越高。
现有的关于多级密钥管理体系中的对称密钥传输保护技术实现是采用对称密钥进行加密保护,而对称体系的加密强度弱于非对称体系的加密强度。同时在密钥管理的密钥传输和密钥备份环节都需要进行密钥的传出和传入,传出方和传入方之间的传输密钥协商机制是保障密钥脱离加密机后安全性的关键。在加强现有对称密钥传输时的安全性方面目前尚未发现有引入非对称保护和带有RSA加密协处理器(芯片)的智能卡相关或者相类似的文献报道。
发明内容
本发明所要解决的技术问题在于提供一种基于多级密钥管理体系中的对称密钥传输保护方法,该方法为加强现有对称密钥传输时的安全性,引入非对称保护和IC卡机制。
本发明所要解决的技术问题可以通过以下技术方法实现的一种基于多级密钥管理体系中的对称密钥传输保护方法,其包括如下步骤1、传入方签发至少两张密钥传输卡,并通过至少两条途径递送给传出方,在每张密钥传输卡中至少存有一段传入方的根公钥;2、传出方从传入方传递过来的至少两张密钥传输卡获得传入方的根公钥,并随机生成传输密钥TK,将传输密钥TK用传入方的根公钥加密后分段写入到至少两张密钥传输卡中,同时将传出方的工作密钥通过传输密钥TK传出,并分段写入至少两张密钥传输卡;然后传出方将至少两张密钥传输卡通过至少两条途径递送给传入方;3、传入方验证每张密钥传输卡的合法性;传入方从至少两张密钥传输卡中获得传输密钥密文和工作密钥密文,并用根私钥解密传输密钥TK,并写入加密机传输密钥区;传入方将工作密钥密文通过传输密钥TK写入工作密钥区,从而完成了两台密钥管理加密机之间的密钥传递过程。
本发明中所述的密钥传输卡包括传输A卡和传输B卡,其为带有RSA加密协处理器(芯片)的智能卡。
本发明中所述的工作密钥包含但不限于身份信息和电子签名。本发明通过引入非对称保护和IC卡机制,加强现有对称密钥传输时的安全性,特别适合在密钥管理的密钥传输和密钥备份环节密钥的传出和传入,传出方和传入方之间的通过采用合理的传输密钥协商机制,保障密钥脱离加密机后安全性。本发明采用证书方式,加强了对称密钥传输时的安全性,采用IC卡作为介质,保证了传输介质的安全。
图1为本发明传输密钥协商和密钥传输流程。
图2为本发明的密钥传出流程图。
图3为本发明的密钥传入流程图。
具体实施例方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式
,进一步阐述本发明。
本发明通过引入非对称保护和IC卡机制,加强现有对称密钥传输时的安全性,特别适合在密钥管理的密钥传输和密钥备份环节密钥的传出和传入,传出方和传入方之间的通过采用合理的传输密钥协商机制,保障密钥脱离加密机后安全性。
本发明的具体步骤如下第一步传入方签发和递送传输卡1)传入方签发出两张密钥传输卡,分别为传输A卡和传输B卡;2)传入方将根公钥分两段,分别存入传输A卡和传输B卡中;3)传入方将传输A卡和传输B卡按两条途经递送到传出方;第二步传出方约定传输密钥和传出工作密钥1)传出方从传输A卡和传输B卡中获得传入方的根公钥;2)传出方随机生成传输密钥TK,将TK用传入方的根公钥加密后分段写入传输A卡和传输B卡;3)传出方将工作密钥通过传输密钥TK传出,并分段写入传输A卡和传输B卡;4)传出方将传输A卡和传输B卡按两条途经递送到传入方;第三步传入方约定传输密钥和传出工作密钥1)传入方验证传输A卡和传输B卡的合法性;
2)传入方从传输A卡和传输B卡中获得传输密钥密文和工作密钥密文;3)传入方用根私钥(PriKroot)解密传输密钥TK,并写入加密机传输密钥区;4)传入方将工作密钥密文通过传输密钥TK写入工作密钥区。
5)至此,完成了两台密钥管理加密机之间的密钥传递过程。
上述方法使用的传输A卡和传输B卡均为带有RSA加密协处理器(芯片)的智能卡。
参看图1,传出方和传入方之间的通过采用合理的传输密钥协商机制,保障密钥脱离加密机后安全性。传出方密钥管理加密机分为密钥区1至密钥区n,采用非对称密钥。密钥区包括工作密钥WK和传输密钥TK,工作密钥WK包含但不限于身份信息和电子签名。
参看图2,密钥的传出包含两个主要过程1、传输密钥TK的约定在加密机内部随机生成传输密钥TK,并用接受方的公钥加密后,分段写入到密钥传出设备中;2、工作密钥WK的加密输出用传输密钥TK逐一加密工作密钥WK,并分段写入到密钥传出设备中。
具体过程是启动密钥管理加密机,插入管理员卡,若通过认证,则插入传输卡A,若认证不通过,则返回到开始状态,重新插入管理员卡。插入传输卡A后,加密机读取接收方公钥A;取出传输卡A,再插入传输卡B,加密机读取接收方公钥B;然后加密机随机生成传输密钥TK,并用接收方的公钥加密传输密钥TK,再用传输密钥TK逐一加密工作密钥WK;再次插入传输卡A,加密机在传输卡A中写入传输密钥TK和工作密钥WK的左半部分;取出传输卡A,再插入传输卡B,加密机在传输卡B中写入传输密钥TK和工作密钥WK的右半部分,取出传输卡B即可。
参看图3,密钥的传入包含两个主要过程1、传输密钥TK的恢复从密钥传入设备中获得传输密钥TK密文,在加密机内部用根私钥PriKroot解密,并写入传输密钥TK区;2、工作密钥WK的恢复用传输密钥逐一解密工作密钥WK,并写入到工作密钥WK区。
具体过程是启动密钥管理加密机,插入管理员卡,若通过认证,则插入传输卡A,若认证不通过,则返回到开始状态,重新插入管理员卡。插入传输卡A后,读取传输密钥TK和工作密钥WK密文的左半部分;取出传输卡A,再插入传输卡B,读取传输密钥TK和工作密钥WK密文的右半部分;用根私钥PriKroot恢复传输密钥TK,并写入传输密钥区,用传输密钥TK逐一解密工作密钥TK,并写入工作密钥TK区取出传输卡B即可。
当然,对于本领域的一般技术人员,不花费创造性的劳动,在上述实施例的基础上能够作多种变化,同样能够实现本发明的目的。但是,这种变化显然应该在本发明的权利要求书的保护范围内。
权利要求
1.一种基于多级密钥管理体系中的对称密钥传输保护方法,其特征在于包括如下步骤(1)、传入方签发至少两张密钥传输卡,并通过至少两条途径递送给传出方,在每张密钥传输卡中至少存有一段传入方的根公钥;(2)、传出方从传入方传递过来的至少两张密钥传输卡获得传入方的根公钥,并随机生成传输密钥TK,将传输密钥TK用传入方的根公钥加密后分段写入到至少两张密钥传输卡中,同时将传出方的工作密钥通过传输密钥TK传出,并分段写入至少两张密钥传输卡;然后传出方将至少两张密钥传输卡通过至少两条途径递送给传入方;(3)、传入方验证每张密钥传输卡的合法性;传入方从至少两张密钥传输卡中获得传输密钥密文和工作密钥密文,并用根私钥解密传输密钥TK,并写入加密机传输密钥区;传入方将工作密钥密文通过传输密钥TK写入工作密钥区,从而完成了两台密钥管理加密机之间的密钥传递过程。
2.根据权利要求1所述的基于多级密钥管理体系中的对称密钥传输保护方法,其特征在于,所述密钥传输卡包括传输A卡和传输B卡。
3.根据权利要求1所述的基于多级密钥管理体系中的对称密钥传输保护方法,其特征在于,所述密钥传输卡为带有RSA加密协处理器的智能卡。
4.根据权利要求1所述的基于多级密钥管理体系中的对称密钥传输保护方法,其特征在于,所述的工作密钥包含但不限于身份信息和电子签名。
全文摘要
一种基于在多级密钥管理体系中的对称密钥传输保护方法,其步骤为1.传入方签发并通过两条途径传递两张密钥传输卡,每张卡中存有一段传入方的根公钥;2.传出方从两张卡获得传入方的根公钥,并随机生成传输密钥,再用该根公钥加密后分段写入到两张卡中,其工作密钥用传输密钥传出并写入两张卡中通过两条途径递送给传入方;3.传入方验证卡的合法性;从两张卡中获得传输密钥和工作密钥密文并用根私钥解密传输密钥写入加密机传输密钥区;传入方将工作密钥密文通过传输密钥写入工作密钥区,从而完成了两台密钥管理加密机之间的密钥传递过程。本发明采用证书方式,加强了对称密钥传输时的安全性,采用IC卡作为介质,保证了传输介质的安全。
文档编号H04L9/12GK1976280SQ20061014733
公开日2007年6月6日 申请日期2006年12月15日 优先权日2006年12月15日
发明者张翔, 杨茂江, 李澜涛 申请人:上海格尔软件股份有限公司