本发明涉及密码学技术领域,尤其涉及到一种具有国密芯片的usbkey在没有CA证书植入的前提下的自生成密钥对的实现方法。
背景技术:
在现实社会中互联网应用已十分普遍,网络信息安全也成为人们关注的一大焦点,目前对网上信息传输进行有效保护和增强传递安全的有效手段是通过数字证书加密,但是采用数字证书的形式,需要预先向数字证书管理机构(CA)申请数字证书,其手续多、过程长,往往无法满足商业缔约的时效性要求。数字证书申请人必须向CA提出数字证书办理申请;数字证书申请人须至CA提交书面的申请材料并附上身份证明原件;CA对其身份原件进行审核后,才能为其注册并颁发储存在硬件介质中的数字证书。整个办理数字证书的过程繁琐、时间较长,造成很多用户无法接受或者来不及办理。而且目前的数字证书在政府、银行和企业层面应用的比较多,在个人用户层面很少涉及,以至于在网上传递文件和数据信息时很容易被不法之人截获、读取并篡改,对用户的信息安全存在着极大的隐患。
技术实现要素:
针对数字证书办理过程繁琐、时间长且需付费,其应用层面大多在政府和银行、企业的问题,本发明提出了一种免费可信且不需要依赖数字证书也可解决普通用户在网络上传输信息的安全性保障的方法,本方法简单有效安全,适合广泛推广使用。
技术方案
一种自生成密钥对的实现方法,其特征是,用户掌握的签名密钥对包括两部分,用户通过usbkey生成的部分签名密钥对d1,用户在自生成密钥系统的认证平台注册认证后由认证平台为用户再生成的另一部分签名密钥对d2,部分签名密钥对d1与另一部分签名密钥对d2合成形成用户最终的签名密钥对d4。
还包括一由自生成密钥系统的认证平台生成的加密密钥对r。
用户通过usbkey生成部分签名密钥对d1,并把部分签名密钥对d1中的公钥和用户信息发送到自生成密钥系统的认证平台进行注册认证。
认证平台确认注册信息后,认证平台生成用户另一部分签名密钥对d2和加密密钥对r1,由部分签名密钥对d1中的公钥对另一部分签名密钥对d2和加密密钥对r1加密后生成加密的另一部分签名密钥对d3和加密的加密密钥对r2后返回给用户。
用户使用自己生成的部分签名密钥对d1中的私钥对认证平台返回的加密的另一部分签名密钥对d3和加密的加密密钥对r2进行解密,解密后得到原另一部分签名密钥对d2和加密密钥对r1。
部分签名密钥对d1与另一部分签名密钥对d2合成形成用户最终的签名密钥对d4;将最终的签名密钥对d4和加密密钥对r1导入用户usbkey中存储。
自生成密钥系统的认证平台采用密码机或者随机数生成器生成加密密钥对r。
部分签名密钥对d1中的公钥通过非对称加密算法对另一部分签名密钥对d2和加密密钥对r1加密。
本发明所达到的有益效果:
本发明涉及到一种具有国密芯片的usb key在没有CA证书植入的前提下自生成密钥对的实现方法,避免了用户申请CA证书的烦扰并免去了费用,自生成的密钥系统可免费为用户发放公私钥对(加密密钥对),通过使用公私钥对进行数据的安全传输,从而实现普通用户的加密解密、安全信息传递、信息的实效性检验等工作内容,其操作过程简单,且无繁琐的手续,时间较短,使用方便,适合大众人群推广使用。
附图说明
图1是本方法的流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
为满足国密政策要求,公私钥对分为签名密钥对d和加密密钥对r;签名密钥对d由用户掌握(用户自己生成部分),加密密钥对r由自生成密钥系统的认证平台(下文统一简称“平台C”,采用密码机生成密钥对,或者随机数生成器)生成并托管以便国家监管。如图1所示,用户通过有国密芯片的usbkey生成部分签名密钥对d1,把部分签名密钥对d1中的公钥和用户信息发送到平台C进行注册,平台C确认注册信息后,平台C生成用户另一部分签名密钥对d2和加密密钥对r1,部分签名密钥对d1中的公钥通过非对称加密算法对另一部分签名密钥对d2和加密密钥对r1加密后生成d3和r2后发回给用户。平台C通过密码机提供的接口来调用密码机从而生成密钥对,密码机是一台机器,相当于一台网络设备。
为避免恶意用户反复用同一签名密钥对注册,造成同一用户签名多次重复,平台C在用户认证后要为用户再生成另一部分签名密钥对d2,用户使用自己生成的部分签名密钥对d1中的私钥对平台C返回的另一部分签名密钥对d3和加密密钥对r2进行解密,解密后得到原另一部分签名密钥对d2和加密密钥对r1,部分签名密钥对d1与另一部分签名密钥对d2合成形成用户最终的签名密钥对d4,保证了每个用户的最终签名密钥对或各个用户之间的最终签名密钥对都不同,实现每个用户签名密钥对的唯一性;最后将最终的签名密钥对d4和加密密钥对r1导入用户usbkey中存储。
平台的随机密钥对和用户的密钥对合成后,用户的最终密钥对必定随机,保证了用户最终密钥对的唯一,符合电子签名法要求。如果不加平台的密钥对,用户如果恶意申请,每次签名密钥对都相同,那签名密钥对就会大量重复,造成签名不唯一和紊乱。