一种提高数字信封消息数据完整性的方法及数字信封与流程

1.本发明涉及数字信封技术领域。具体地说是一种提高数字信封消息数据完整性的方法及数字信封。


背景技术：

2.数字信封技术是用密码技术保证只有正确的接收方才能获取信息的信息安全技术。它在外层通过公钥加密解决了密钥分发的问题；在内层通过对称加密提高了加密效率。
3.在pkcs#7中，发送方可以对数据进行签名，实现数据完整性保护和不可否认性。如果数据需要实现不可否认，必须对数据进行签名，采用上面思路能实现数据完整性保护，而数据本身和所使用的对称密钥是随机的，因此无法提升性能。


技术实现要素：

4.为此，本发明所要解决的技术问题在于提供一种提高数字信封消息数据完整性的方法及高性能数字信封，通过将消息加密用的对称密钥和hmac密钥联用，实现对数据的机密性保护和完整性保护。
5.为解决上述技术问题，本发明提供如下技术方案：
6.一种提高数字信封消息数据完整性的方法，利用密钥块对消息加密处理，其中，密钥块包括hmac密钥和对称密钥；发送方在制作数字信封时，采用hmac密钥计算消息的hmac值并将hmac值附在消息后面，得到数据a，然后采用对称密钥对数据a进行加密，得到数字信封消息密文中的密文数据，再用数字信封接收者公钥对密钥块进行加密，得到密钥块密文，接着按照格式封装成数字信封并缓存密钥块和密钥块密文。
7.上述提高数字信封消息数据完整性的方法，密钥块随机生成；密钥块的长度为固定长度且为对称密钥长度与hmac密钥长度之和。
8.上述提高数字信封消息数据完整性的方法，在数字信封的接收者信息中增加密钥块明文摘要；在制作数字信封时，将密钥块密文和密钥块明文摘要一并封装。
9.上述提高数字信封消息数据完整性的方法，选取对称算法和hmac算法对密钥安全要求阈值中较小的阈值作为有效安全阈值；当计算数据量未达到安全阈值时，制作后续数字信封，采用相同的hmac密钥计算hmac值；相同对称密钥加密数据，并将以前缓存的密钥块密文和密钥块摘要附在数字信封中，免去公钥计算。
10.上述提高数字信封消息数据完整性的方法，密钥块明文摘要的值为用于消息加密用的对称密钥和用于完整性保护的hmac密钥拼接后的摘要值；其中，密钥块明文随机生成，由对称密钥和hmac密钥拼接组成，计算密钥块摘要时，对由对称密钥和hmac密钥拼接后的数据进行摘要计算。
11.一种数字信封，包括接收者信息、消息密文和密钥密文，接收者信息包括软件版本信息、证书颁发者及证书序列号、密钥块加密算法标识、密钥块密文和密钥块明文摘要。
12.上述数字信封，当数字信封的接收者数量大于或等于2时，且数据未超出安全阈值
时，制作消息密文所使用的密钥块为同一个密钥块。
13.上述数字信封，当数据未超出安全阈值时，制作数字信封时所用密钥块为第一次随机生成的密钥块，该密钥块可以重复使用，无需再次随机生成。
14.本发明的技术方案取得了如下有益的技术效果：
15.与通常的数字信封相比，在本发明中，利用对称密钥/hmac密钥对消息进行加密和完整性保护，并在数据安全阈值内重复使用密钥块，免去大量制作数字信封时的公钥加密和解数字信封时的私钥解密。为确保数据的安全性，数字证书制作方应当设定一定的阈值(时间/数据量)来更换密钥块(对称密钥/hmac密钥)。
附图说明
16.图1为本发明中数字信封的结构示意图；
17.图2为原有数字信封的结构示意图；
18.图3为本发明中数字信封制作的流程示意图；
19.图4为本发明中数字信封解密的流程示意图。
具体实施方式
20.下面结合示例，针对本发明进行进一步说明。
21.如图1所示，本发明中的数字信封，包括接收者信息、消息密文和密钥密文，接收者信息包括软件版本信息、证书颁发者及证书序列号、密钥块加密算法标识、密钥块密文和密钥块明文摘要。
22.当数字信封的接收者数量大于或等于2时，且数据量未超出安全阈值时，制作消息密文所使用的密钥块为同一个密钥块。
23.利用本发明中的数字信封进行消息传递时，先随机生成一个制作数字信封用的密钥块。数字信封发送方采用hmac密钥计算消息的hmac值，并将hmac值附在消息后面，得到数据a，然后采用对称密钥对数据a进行加密，得到消息密文中的密文数据，再采用接收者公钥对密钥块进行加密，得到密钥块密文，接着按照格式封装成数字信封并缓存密钥块和密钥块密文。
24.在利用数字信封进行信息传输时，通过在接收者信息中添加密钥块明文摘要对数字信封原有格式进行扩展，扩展后的数字信封格式兼容数字信封原有格式，并将原有数字信封中接收者信息中的对称密钥密文替换为密钥块密文，数字信封原有格式如图2所示；在首次制作扩展后的数字信封后，如果扩展后的数字信封已有接收者，那么在该扩展后的数字信封制作过程中，该扩展后的数字信封的接收者信息中的密钥块密文文字段直接采用原有的加密值，并填写密钥块明文摘要的摘要值作为密钥块明文摘要的信息，不再进行本次数字信封制作所需的公钥计算；在数字信封发送方首次制作扩展后的数字信封时，需要进行制作数字信封所需的所有计算过程，并需要将密钥块、密钥块密文和密钥块明文摘要信息进行缓存。
25.如图4所示，接收方解密数字信封时，先根据密钥块明文摘要进行查找，如果没有现成的密钥块，则采用私钥解密导入密钥块，获得密钥块，并缓存该密钥块明文摘要的摘要值与密钥块的对应关系；如果有现成的密钥块，则省略私钥解密过程，直接采用该密钥块进
行解封装数字信封。
26.其中，数字信封发送方制作扩展后的数字信封时，将消息先进行hmac计算再进行对称加密得到消息密文，并将消息密文和密钥块密文以及密钥块明文摘要封装在扩展后的数字信封内，如图3所示。其中，制作数字信封时所用密钥块为随机生成且长度固定的密钥块，所述密钥块的长度为对称密钥长度与hmac密钥长度之和，且选取对称算法和hmac算法对于密钥安全要求阈值中较小的阈值作为有效安全阈值，并计算密钥块的摘要值。
27.当计算数据量未达到安全阈值时，制作后续数字信封，采用相同的hmac密钥计算hmac值；相同对称密钥加密数据，并将以前缓存的密钥块密文和密钥块摘要附件在数字信封中，免去公钥计算。
28.在本发明中，数字信封发送方利用hmac算法对消息数据进行完整性保护，再通过对称密钥对消息数据进行加密处理，实现消息数据的安全性保护，将hmac算法和对称加密算法联用，在保证消息数据的安全性的情况下实现消息数据的完整性保护，而利用密钥重用可以降低接收者再次接收并解密同样数字信封时的解密时间。
29.显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。


技术特征：
1.一种提高数字信封消息数据完整性的方法，其特征在于，利用密钥块对消息加密和完整性保护，其中，密钥块包括hmac密钥和对称密钥；发送方在制作数字信封时，采用hmac密钥计算消息的hmac值并将hmac值附在消息后面，得到数据a，然后采用对称密钥对数据a进行加密，得到数字信封消息密文中的密文数据，再用数字信封接收者公钥对密钥块进行加密，得到密钥块密文，接着按照格式封装数据制作数字信封并缓存密钥块和密钥块密文。2.根据权利要求1所述的提高数字信封消息数据完整性的方法，其特征在于，密钥块随机生成；密钥块的长度为固定长度且为对称密钥密钥长度与hmac密钥长度之和。3.根据权利要求2所述的提高数字信封消息数据完整性的方法，其特征在于，在数字信封的接收者信息中增加密钥块明文摘要；在制作数字信封时，将密钥块密文和密钥块明文摘要一并封装。4.根据权利要求3所述的提高数字信封消息数据完整性的方法，其特征在于，选取对称算法和hmac算法对密钥安全要求阈值中较小的阈值作为有效安全阈值；当计算数据量未达到安全阈值时，制作后续数字信封，采用相同的hmac密钥计算hmac值；相同对称密钥加密数据，并将以前缓存的密钥块密文和密钥块摘要附件在数字信封中，免去公钥计算。5.根据权利要求3或4所述的提高数字信封消息数据完整性的方法，其特征在于，密钥块明文摘要的值为用于消息加密用的对称密钥和用于完整性保护的hmac密钥拼接后的摘要值。6.一种数字信封，其特征在于，包括接收者信息、消息密文和密钥密文；接收者信息包括软件版本信息、证书颁发者及证书序列号、密钥块加密算法标识、密钥块密文和密钥块明文摘要，其中，密钥块明文包括hmac密钥和对称密钥。7.根据权利要求6所述的数字信封，其特征在于，当数字信封的接收者数量大于或等于2时，且数据未超出安全阈值时，制作消息密文所使用的密钥块为同一个密钥块。8.根据权利要求6～9任一所述的数字信封，其特征在于，在数据未超出安全阈值时，制作数字信封时所用密钥块为第一次随机生成的密钥块。

技术总结
本发明公开一种提高数字信封消息数据完整性的方法及其高性能数字信封，利用密钥块中的密钥对消息保护，其中，密钥块包括对称密钥和HMAC密钥；发送方在制作数字信封时，采用HMAC密钥计算消息的HMAC值并将HMAC值附在消息后面，得到数据A，然后采用对称密钥对数据A进行加密，得到数字信封消息密文中的密文数据，再用数字信封接收者公钥对密钥块进行加密，得到密钥块密文，接着按照格式封装数据制作数字信封，同时缓存密钥块和密钥块密文，用于其他数字信封制作。本发明通过将消息加密用的密钥和HMAC密钥联用，实现对数据的完整保护和不可否认性，同时采用密钥重用机制提高数字信封制作和解封性能。信封制作和解封性能。信封制作和解封性能。


技术研发人员：李阳 张大伟
受保护的技术使用者：北京安盟信息技术股份有限公司
技术研发日：2022.08.10
技术公布日：2022/11/11