本发明涉及私钥导入方法技术领域,尤其涉及一种基于临时密钥对的私钥导入方法。
背景技术:
基于数字证书的SSL通信是现行安全通信技术基础,数字证书发证采用一套完整成熟的PKI技术,该技术保证了数字证书发证过程中的各种私密数据的安全性。
在数字证书发证过程中,发证请求和发证应答是数字证书发证过程中的最重要环节,通常会采用一对签名密钥作为保护密钥,发证请求会将DN项和保护公钥及保护私钥对报文的签名信息发送给服务端,服务端用保护公钥验签并使用公钥对服务端生成的加密私钥加密(即保护公钥对会话密钥加密,会话密钥对加密私钥加密)的方法来保证数据的安全性,客户端通过相应的解密操作获取私钥信息。在此过程中,保护密钥对不仅使用了签名验签算法,而且还使用了非对称加解密算法,但在标准的微软CSP(Cryptographic Service Provider)算法中签名密钥对是无法做加解密操作的,当然可以对私钥不进行加密,但这种情况是不能保证私钥的安全性。抑或是采用对称加密私钥对保护密钥进行加密的话,对称密钥的存放则成为一个问题。
为此,申请人进行了有益的探索和尝试,找到了解决上述问题的办法,下面将要介绍的技术方案便是在这种背景下产生的。
技术实现要素:
本发明所要解决的技术问题:针对现有技术的不足而提供一种基于临时密钥对的私钥导入方法。
本发明所解决的技术问题可以采用以下技术方案来实现:
一种基于临时密钥对的私钥导入方法,包括以下步骤:
步骤S1,在客户端内生成一个固定的加密容器和一个临时加密密钥对,客户端一方面使用临时加密密钥对生成证书请求并将证书请求发送至服务端,同时将临时加密密钥对中的临时加密公钥设置为加密公钥,另一方面使用签名密钥对中的签名私钥对证书进行签名并将签名密钥对中的签名公钥放入证书扩展项中,以便服务端验签;
步骤S2,服务端接收到客户端发送过来的证书请求并使用证书扩展项中的签名公钥对数据包进行验签;
步骤S3,在服务端内生成一个加密密钥对和一个会话密钥,服务端一方面使用会话密钥对服务端生成的加密密钥对中的私钥进行加密得到密文为私钥密文,另一方面使用证书请求中的加密公钥对会话密钥进行加密得到密文为会话密文,再将私钥密文和会话密文发送至客户端;
步骤S4,客户端接收服务端发送过来的私钥密文和会话密文,并通过解析报文获取得到私钥密文和会话密文;
步骤S5,客户端使用临时加密密钥对中的临时加密私钥对会话密文进行解密得到会话密钥,再使用解密得到的会话密钥对私钥密文进行解密得到服务端生成的加密密钥对中的私钥,客户端将解密得到的私钥导入预先生成的加密容器中;
步骤S6,客户端删除临时加密密钥对。
由于采用了如上的技术方案,本发明的有益效果在于:本发明在数字证书发证过程中采用临时加密密钥将私钥导入客户端,从而保证了加密私钥在发证过程中的安全性。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,进一步阐述本发明。
本发明的一种基于临时密钥对的私钥导入方法,包括以下步骤:
步骤S1,在客户端内生成一个固定的加密容器A和一个临时加密密钥对B,临时加密密钥对B由临时加密公钥B1和临时加密私钥B2构成,客户端一方面使用临时加密密钥对B生成证书请求并将证书请求发送至服务端,同时将临时加密密钥对B中的临时加密公钥B1设置为加密公钥C,另一方面使用签名密钥对D中的签名私钥D1对证书进行签名并将签名密钥对D中的签名公钥D2放入证书扩展项中;
步骤S2,服务端接收到客户端发送过来的证书请求后,使用证书扩展项中的签名公钥D2对数据包进行验签;
步骤S3,在服务端内生成一个加密密钥对E和一个会话密钥F,加密密钥对E由私钥E1和公钥E2构成,服务端一方面使用会话密钥F对服务端生成的加密密钥对E中的私钥E1进行加密得到密文为私钥密文G,另一方面使用证书请求中的加密公钥C对会话密钥F进行加密得到密文为会话密文H,再将私钥密文G和会话密文H发送至客户端;
步骤S4,客户端接收服务端发送过来的私钥密文G和会话密文H,并通过解析报文获取得到私钥密文G和会话密文H;
步骤S5,客户端使用临时加密密钥对B中的临时加密私钥B2对会话密文H进行解密得到会话密钥F,再使用解密得到的会话密钥F对私钥密文G进行解密得到服务端生成的加密密钥对E中的私钥E1,客户端将解密得到的私钥E1导入预先生成的加密容器A中;
步骤S6,客户端删除临时加密密钥对B。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。