一种通过密钥重用提高数字信封性能的方法及数字信封与流程

1.本发明涉及数字信封技术领域。具体地说是一种通过密钥重用提高数字信封性能的方法及数字信封。


背景技术：

2.数字信封技术是用密码技术保证只有正确的接收方才能获取信息的信息安全技术。它在外层通过公钥加密解决了密钥分发的问题；在内层通过对称加密提高了加密效率。
3.数字信封制作过程如下：
4.1)生成随机数key，作为对称加密密钥；
5.2)采用对称加密密钥key，对消息加密，得到消息密文；
6.3)采用接收方公钥对key进行加密，得到密钥密文；
7.4)将消息密文和密钥密文按照格式组成数字信封，发生给接收方。
8.数字信封解密过程如下：
9.1)采用自己的私钥解密密钥密文，得到对称密钥key；
10.2)采用对称密钥key，解密消息密文，得到消息明文。
11.上面描述中，采用了自定义的简单的数字信封格式，即数字信封由两部分组成：消息密文和密钥密文；在实际应用中，为了遵循统一的标准和格式，数字信封一般采用rsa公司的pkcs#7标准。在该格式中，数字信封的接收者可以是多人；其中消息密文仅一份数据，采用相同的对称密钥对数据进行加密；对每一个接收者，采用其公钥对对称密钥进行加密，存放在“对称密钥密文”字段。在pkcs#7标准中，要求每个数字信封中的对称密钥随机生成。
12.在采用pkcs#7标准的数字信封中，由于每个数字信封的对称密钥随机生成，因此每个数字信封在制作/解密的过程中，对称密钥密文都需要重新计算，需要用到大量非对称计算，导致性能严重降低。
13.在对称算法加密的字节数量未达到其密钥安全阈值的前提下，采用一次一密的工作机制，势必影响计算性能。


技术实现要素：

14.为此，本发明所要解决的技术问题在于提供一种通过密钥重用提高数字信封性能的方法及数字信封，通过对数字信封格式进行扩展，并在扩展后的数值信封中添加可选密钥摘要信息，然后通过可选密钥摘要信息来提高频繁通信过程中数字信封制作和解密处理时间。
15.为解决上述技术问题，本发明提供如下技术方案：
16.一种通过密钥重用提高数字信封性能的方法，通过在接收者信息中添加可选密钥摘要信息对数字信封原有格式进行扩展，扩展后的数字信封格式兼容数字信封原有格式；在首次制作扩展后的数字信封后，如果扩展后的数字信封已有接收者，那么在该扩展后的数字信封制作过程中，该扩展后的数字信封的接收者信息中的对称密钥密文字段直接采用
原有的加密值，并填写对称密钥明文摘要值作为可选密钥摘要信息，不再进行本次数字信封制作所需的公钥计算；在数字信封发送方首次制作扩展后的数字信封时，需要进行制作数字信封所需的所有计算过程，并需要将对称密钥、对称密钥密文和可选密钥摘要信息进行缓存。
17.上述通过密钥重用提高数字信封性能的方法，接收方解密数字信封时，先根据对称密钥明文摘要进行查找，如果没有现成的对称密钥，则采用私钥解密导入对称密钥，获得对称密钥，并缓存该对称密钥明文摘要的摘要值与对称密钥的对应关系；如果有现成的对称密钥，则省略私钥解密过程，直接采用该对称密钥进行解密。
18.上述通过密钥重用提高数字信封性能的方法，数字信封发送方制作扩展后的数字信封时，将消息进行对称加密得到消息密文，并将消息密文和对称密钥密文以及对称密钥明文摘要封装在扩展后的数字信封内。
19.上述通过密钥重用提高数字信封性能的方法，制作数字信封时所用对称密钥为随机生成的对称密钥。
20.上述通过密钥重用提高数字信封性能的方法，对称密钥明文摘要值为用于消息加密用的对称密钥的摘要值。
21.一种数字信封，包括消息密文和密钥密文，密钥密文包括接收者信息，接收者信息包括软件版本信息、证书颁发者及证书序列号、密钥加密算法标识、对称密钥密文和对称密钥明文摘要。其中，软件版本信息为数字信封软件的版本信息。
22.上述数字信封，对称密钥明文摘要的值为制作消息密文时所使用的对称密钥的摘要值。
23.上述数字信封，当数字信封的接收者数量大于或等于2时，制作消息密文所使用的对称密钥为同一个对称密钥。
24.上述数字信封，当数字信封的接收者数量大于或等于2时，制作密钥密文时对对称密钥加密时所使用的公钥为与接收者相关联的公钥。
25.上述数字信封，制作数字信封时所用对称密钥为随机生成的对称密钥。
26.本发明的技术方案取得了如下有益的技术效果：
27.本发明通过对数字信封格式进行扩展，并在扩展后的数值信封中添加可选密钥摘要信息，当发送方和接收方频繁采用数字信封交互的情况下，采用对称密钥重用，不管是制作还是解密数字信封，都能极大的减少非对称计算，提高性能。
附图说明
28.图1为本发明中数字信封的结构示意图；
29.图2为原有数字信封的结构示意图；
30.图3为本发明中数字信封制作的流程示意图；
31.图4为本发明中数字信封解密的流程示意图。
具体实施方式
32.下面结合示例，针对本发明进行进一步说明。
33.如图1所示，本发明中的数字信封，包括消息密文和密钥密文，密钥密文包括接收
者信息，接收者信息包括版本信息、证书颁发者及证书序列号、密钥加密算法标识、对称密钥密文和对称密钥明文摘要。
34.其中，对称密钥明文摘要的值为制作消息密文时所使用的对称密钥的摘要值；当数字信封的接收者数量大于或等于2时，制作消息密文所使用的对称密钥为同一个对称密钥，制作密钥密文时对对称密钥加密时所使用的公钥为与接收者相关联的公钥，制作数字信封时所用对称密钥为随机生成的对称密钥。
35.在现有利用数字信封进行信息传输时，通过在接收者信息中添加可选密钥摘要信息对数字信封原有格式进行扩展，扩展后的数字信封格式兼容数字信封原有格式，数字信封原有格式如图2所示；在首次制作扩展后的数字信封后，如果扩展后的数字信封已有接收者，那么在该扩展后的数字信封制作过程中，该扩展后的数字信封的接收者信息中的对称密钥密文字段直接采用原有的加密值，并填写对称密钥明文摘要值作为可选密钥摘要信息，不再进行本次数字信封制作所需的公钥计算；在数字信封发送方首次制作扩展后的数字信封时，需要进行制作数字信封所需的所有计算过程，并需要将对称密钥、对称密钥密文和可选密钥摘要信息进行缓存。
36.如图4所示，接收方解密数字信封时，先根据对称密钥明文摘要进行查找，如果没有现成的对称密钥，则采用私钥解密导入对称密钥，获得对称密钥，并缓存该对称密钥明文摘要的摘要值与对称密钥的对应关系；如果有现成的对称密钥，则省略私钥解密过程，直接采用该对称密钥进行解密。
37.其中，数字信封发送方制作扩展后的数字信封时，将消息进行对称加密得到消息密文，并将消息密文和对称密钥密文以及对称密钥明文摘要封装在扩展后的数字信封内，如图3所示。其中，制作数字信封时所用对称密钥为随机生成的对称密钥，对称密钥明文摘要值为用于消息加密用的对称密钥的摘要值。
38.在采用pkcs#7标准的数字信封中，为了提高信息传输的安全性，每个数字信封的对称密钥都是随机生成的，因此，每个数字信封在制作/解密的过程中，对称密钥密文都需要重新计算，而这需要用到大量的非对称计算，大量的非对称计算会导致数字信封的分发性能严重降低，具体表现在：采用非对称算法对多个接受者的同一个对称密钥进行非对称算法计算时，每一次分发都需要非对称计算，这就导致了分发性能下降。而且在对称算法加密的字节数量未达到其密钥安全阈值的前提下，采用一次一米的工作机制，势必影响计算性能。
39.而将本发明中所述数字信封应用于信息传输，在首次制作扩展后的数字信封后，如果扩展后的数字信封已有接收者，那么在该扩展后的数字信封制作过程中，该扩展后的数字信封的接收者信息中的对称密钥密文字段直接采用原有的加密值，并填写对称密钥明文摘要值作为可选密钥摘要信息，不再进行本次数字信封制作所需的公钥计算，这样可以节省大量的计算。
40.显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。