【技术实现步骤摘要】
一种基于协同密码算法的非对称密钥管理系统及方法
本专利技术涉及密码密钥管理与应用
,尤其涉及一种基于协同密码算法的非对称密钥管理系统及方法。
技术介绍
密码学认为密钥是保护密码算法安全的基础,密钥尤其是数字秘密形式密钥的保存、分发和利用方式是信息系统安全特性的关键环节。按密钥的分类,相应的密钥管理系统,又可分为对称密钥管理系统、非对称密钥管理系统。使用对称密钥时,密钥管理系统需要在信息系统正式使用前,将记载有信息系统节点密钥(数字秘密)的载体,分发至相应密钥设备(模块中)。按信息论的一般性证明,有N个节点的全联通信息系统,采用对称密钥管理时,共需要分发N2次密钥。当N较大时,很难实现全联通的信息系统,该问题又被称密钥分发难题。为缓解密钥分发难题,密码学家们又建立了非对称密钥应用及相应的管理系统,将所有密钥(私钥)对应的可公开部分(公钥)以数字证书的形式,进行验证和公开。使用非对称密钥管理系统,节点全联通的信息系统无需要在建立之初就共享所有其他节点的密钥;仅当有节点的密钥失效或丢失时,了解公钥的状态变化即...
【技术保护点】
1.一种基于协同密码算法的非对称密钥管理系统,其特征在于,包括分散密钥管理单元、分散密钥存储应用单元、等效密钥协商运算单元、可靠性验证单元、密钥生命周期管理单元中;/n所述分散密钥管理单元,按证书颁发机构(CA)的约定功能和协议,包括SM2数字证书格式规范、RSA数字证书格式规范、X500数字证书格式,向申请者颁发两类非对称密码算法认证证书,分散私钥认证证书和协同等效密钥认证证书;/n所述等效密钥协商运算单元按门限密码技术、双方协同密码算法、多方协同密码算法,为通过所述分散密钥存储应用单元实现密码功能的计算部件,所述计算部件包括手机、PDA、PAD、个人计算机、计算服务器、...
【技术特征摘要】
1.一种基于协同密码算法的非对称密钥管理系统,其特征在于,包括分散密钥管理单元、分散密钥存储应用单元、等效密钥协商运算单元、可靠性验证单元、密钥生命周期管理单元中;
所述分散密钥管理单元,按证书颁发机构(CA)的约定功能和协议,包括SM2数字证书格式规范、RSA数字证书格式规范、X500数字证书格式,向申请者颁发两类非对称密码算法认证证书,分散私钥认证证书和协同等效密钥认证证书;
所述等效密钥协商运算单元按门限密码技术、双方协同密码算法、多方协同密码算法,为通过所述分散密钥存储应用单元实现密码功能的计算部件,所述计算部件包括手机、PDA、PAD、个人计算机、计算服务器、计算服务器集群、云服务器、数据库、光存储器,提供非称算法的等效密钥运算功能,包括密钥协调、加密、解密、签名、验签操作,并在执行操作前对分散密钥管理单元的有效性进行检查,检查形式为对比分散密钥管理单元发布的CRL列表、检验分散私钥认证证书发布者、分散私钥认证证书有效期;
所述密钥生命周期管理单元,按每一个被管控非对称密钥生命周期的状态和变化顺序,进行生命周期的状态和变化顺序存储且接受等效密钥协商运算单元的数据查询要求,控制分散密钥管理单元的运行和工作流程;
所述分散密钥存储应用单元隐蔽存储仅被认证对象持有的数字秘密信息,并通过协同密码算法,与等效密钥协同运算单元配合,提供非对称算法的等效密钥运算功能;所述数字秘密信息的存储形式:密码模块内存储、程序文件存储、第三方密码存储;
所述可靠性验证单元利用自身存储的分散私钥认证证书和协同等效密钥认证证书、分散密钥存储应用单元中存储的分散私钥认证证书和协同等效密钥认证证书,向联接可靠性验证单元的认证实体,证实分散密钥存储应用单元中数字秘密信息及协同等效密钥是否在有效的密钥生命周期管理期内;可靠性验证单元根据信息系统节点的存储能力、计算能力,按安全性特点,分为低可靠性模块、中可靠性模块、高可靠性模块、双向认证模块四类;
所述低可靠性模块,需要可靠性验证单元具备与等效密钥协商运算单元的通信能力;
所述对中可靠性和高可靠性模块,仅需被认证分散密钥存储应用单元拥有通信能力;
所述双向认证模块,则需要被认证分散密钥存储应用单元、可靠性验证单元均拥有通信能力。
2.根据权利要求1所述的一种基于协同密码算法的非对称密钥管理系统,其特征在于,
所述可靠性验证单元,通过改变协同密码计算过程的CRL分发范围和CRL列表中元素列入机制,对联接可靠性验证单元提供四种安全强度不同的认证方式,包括低可靠性认证、中可靠性认证、高可靠性认证、高可靠性双向认证;
所述对低可靠性认证,通过查询地低可靠性认证模块中分散私钥认证证书CRL列表实现身份鉴别身份、数字签名、解密操作;低可靠性...
【专利技术属性】
技术研发人员:宋煜,闫丽杰,刘兴华,王明俊,
申请(专利权)人:北方实验室沈阳股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。