(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202010350394.9
(22)申请日 2020.04.28
(71)申请人 郑州信大捷安信息技术股份有限公
司
地址 450000 河南省郑州市金水区杨金路
139号F4号楼
(72)发明人 雷宗华 穆佩红 彭金辉 刘武忠
乔绍虎 廖正赟
(74)专利代理机构 郑州德勤知识产权代理有限
公司 41128
代理人 张微微
(51)Int.Cl.
G06F 21/31(2013.01)
G06F 21/45(2013.01)
G06F 21/60(2013.01)
(54)发明名称
系统
(57)摘要
本发明提出一种基于软件密码模块的密钥
管理方法及系统,包括:在密钥初始化时,通过白
主密钥对用户密钥进行加密保存;在密钥更新
时,通过当前口令的口令派生密钥解密第二密文
盒保护密钥的密文更新所述第二密文;在密钥使
用时,用户输入新口令并使用新口令派生密钥解
密第二密文获得白盒保护密钥;通过白盒保护密
钥解密第一密文获得主密钥;通过主密钥解密用
户密钥的密文,获得用户密钥的明文,进行相关
密码服务。权利要求书3页 说明书8页 附图3页CN 111625791 A 2020.09.04
C N 111625791
A
1.一种基于软件密码模块的密钥管理方法,其特征在于,包括:密钥初始化过程、密钥更新过程和密钥使用过程;
密钥初始化过程:
使用口令派生算法对初始口令进行派生获得口令派生密钥;
获取第一随机数作为白盒保护密钥,获取第二随机数作为主密钥;
通过所述白盒保护密钥加密所述主密钥获得第一密文,通过所述口令派生密钥加密所述白盒保护密钥获得第二密文,将所述第一密文和所述第二密文存储至软件密码模块中;
通过所述软件密码模块内部生成和/或通过数字信封方式导入用户密钥,通过所述主密码加密所述用户密钥,获得用户密钥的密文,将所述用户密钥的密文存储至软件密码模块中;
密钥更新过程:
使用口令派生算法对接收的当前口令和新口令进行派生,获得当前口令派生密钥和新口令派生密钥;
通过所述当前口令派生密钥解密所述第二密文,获得所述白盒保护密钥;通过所述新口令派生密钥加密所述白盒保护密钥,利用加密获得的所述白盒保护密钥的密文更新所述第二密文;
密钥使用过程:
使用口令派生算法对接收的新口令进行派生,获得新口令派生密钥;使用所述新口令派生密钥解密所述第二密文获得所述白盒保护密钥;通过所述白盒保护密钥解密所述第一密文获得所述主密钥;
通过所述主密钥解密所述用户密钥的密文,获得所述用户密钥进行相关密码服务。
2.根据权利要求1所述的密钥管理方法,其特征在于,在密钥初始化过程中,通过所述白盒保护密钥加密所述主密钥获得第一密文之后还包括:通过摘要算法对所述白盒保护密钥进行摘要运算,获得白盒保护密钥HASH值,并存储至所述软件密码模块中;
在所述密钥更新过程中,通过所述当前口令派生密钥解密所述第二密文获得所述白盒保护密钥之后还包括:通过所述软件密码模块内部存储的所述白盒保护密钥HASH值对所述白盒保护密钥进行校验,若校验通过则说明当前口令正确;否则,当前口令错误;
在所述密钥使用过程中,使用所述新口令派生密钥解密所述第二密文获得所述白盒保护密钥之后还包括:通过所述软件密码模块内部存储的所述白盒保护密钥HASH值对所述白盒保护密钥进行校验,若校验通过则说明新口令正确;否则,新口令错误。
3.根据权利要求1或2所述的密钥管理方法,其特征在于,所述密钥初始化过程中,获取用户密钥之后还包括:获取第三随机数作为线路保护密钥,获取第四随机数作为内部认证密钥,获取第五随机数作为外部认证密钥;将所述线路保护密钥、所述内部认证密钥和所述外部认证密钥分别使用所述主密钥进行加密后存储至所述软件密码模块中;通过所述软件密码模块内部的伪随机数发生器生成会话密钥。
4.根据权利要求3所述的密钥管理方法,其特征在于,所述密钥使用过程中,通过所述白盒保护密钥解密所述第一密文,获得所述主密钥之后还包括:通过所述主密钥解密所述线路保护密钥、所述外部认证密钥和所述内部认证密钥的密文,获得所述线路保护密钥、所述外部认证密钥和所述内部认证密钥进行外部应用相关的密码服务。
5.根据权利要求1或2所述的密钥管理方法,其特征在于,所述密钥初始化过程中还包括:将所述主密钥扩展后的圈子密钥隐藏嵌入到复合查表中,编译成二进制代码的形式做成白盒进行所述主密钥的保护。
6.一种基于软件密码模块的密钥管理系统,其特征在于,所述系统包括客户端,所述客户端配置有软件
密码模块;
在密钥初始化过程中:
所述客户端,用于使用口令派生算法对初始口令进行派生获得口令派生密钥;用于获取第一随机数作为白盒保护密钥,获取第二随机数作为主密钥;用于通过所述白盒保护密钥加密所述主密钥获得第一密文;用于通过所述口令派生密钥加密所述白盒保护密钥获得第二密文;用于将所述第一密文和所述第二密文存储至软件密码模块中;用于通过所述软件密码模块内部生成和/或通过数字信封方式导入用户密钥;以及用于通过所述主密码加密所述用户密钥,获得用户密钥的密文存储至所述软件密码模块中;
在密钥更新过程中:
所述客户端,用于使用口令派生算法对接收的当前口令和新口令进行派生,获得当前口令派生密钥和新口令派生密钥;用于通过所述当前口令派生密钥解密所述第二密文,获得所述白盒保护密钥;用于通过所述新口令派生密钥加密所述白盒保护密钥,利用加密获得的所述白盒保护密钥的密文更新所述第二密文;
在密钥使用过程中:
所述客户端,用于使用口令派生算法对接收的新口令进行派生,获得新口令派生密钥;使用所述新口令
派生密钥解密所述第二密文获得所述白盒保护密钥;用于通过所述白盒保护密钥解密所述第一密文获得所述主密钥;以及用于通过所述主密钥解密所述用户密钥的密文,获得所述用户密钥进行相关密码服务。
7.根据权利要求6所述的密钥管理系统,其特征在于,在密钥初始化过程中,通过所述白盒保护密钥加密所述主密钥获得第一密文之后还包括:所述客户端还用于通过摘要算法对所述白盒保护密钥进行摘要运算,获得白盒保护密钥HASH值,并存储至所述软件密码模块中;
在所述密钥更新过程中,通过所述当前口令派生密钥解密所述第二密文获得所述白盒保护密钥之后还包括:所述客户端还用于通过所述软件密码模块内部存储的所述白盒保护密钥HASH值对所述白盒保护密钥进行校验,若校验通过则说明当前口令正确;否则,当前口令错误;
在所述密钥使用过程中,使用所述新口令派生密钥解密所述第二密文获得所述白盒保护密钥之后还包括:所述客户端还用于通过所述软件密码模块内部存储的所述白盒保护密钥HASH值对所述白盒保护密钥进行校验,若校验通过则说明新口令正确;否则,新口令错误。
8.根据权利要求6或7所述的密钥管理系统,其特征在于,所述密钥初始化过程中,获取用户密钥之后还包括:所述客户端用于获取第三随机数作为线路保护密钥,获取第四随机数作为内部认证密钥,获取第五随机数作为外部认证密钥;用于将所述线路保护密钥、所述内部认证密钥和所述外部认证密钥分别使
用所述主密钥进行加密后存储至所述软件密码模块中;以及用于通过所述软件密码模块内部的伪随机数发生器生成会话密钥。
9.根据权利要求8所述的密钥管理系统,其特征在于,所述密钥使用过程中,通过所述白盒保护密钥解密所述第一密文,获得所述主密钥之后还包括:所述客户端用于通过所述主密钥解密所述线路保护密钥、所述外部认证密钥和所述内部认证密钥的密文,获得所述线路保护密钥、所述外部认证密钥和所述内部认证密钥进行外部应用相关的密码服务。
10.根据权利要求6或7所述的密钥管理系统,其特征在于,所述密钥初始化过程中还包括:所述客户端将所述主密钥扩展后的圈子密钥隐藏嵌入到复合查表中,编译成二进制代码的形式做成白盒进行所述主密钥的保护。
一种基于软件密码模块的密钥管理方法及系统技术领域
[0001]本发明涉及安全通信技术领域,具体涉及一种基于软件密码模块的密钥管理方法及系统。
背景技术
[0002]密码技术是信息安全的基础技术,密钥则是密码技术安全应用的基础和信息化安全的核心元素。随着我国信息化产业的高速全面发展,基于非对称密钥体系和对称密钥体系的密钥管理系统也进入全面
的建设阶段,密钥管理系统的安全性取决于密钥的安全性,一旦密钥泄露,也就不再具有保密功能。此外,密钥作为密码系统中的可变部分,在考虑密码系统的设计时,需要解决的核心问题是密钥管理问题。
[0003]目前,现有技术中的密钥管理方案为:将各种密钥基于加密卡或加密芯片硬盘保存,使用时,直接通过相关接口调用加密卡或加密芯片内运算;但是,在一定的条件局限情况下,当没有加密卡或加密芯片时,如何保证密钥的安全性是目前急需解决的问题。发明内容
[0004]本发明针对上述问题,有必要提供一种基于软件密码模块的密钥管理方法及系统,其能够有效保证密钥的安全性。
[0005]本发明第一方面提出一种基于软件密码模块的密钥管理方法,该密钥管理方法包括:密钥初始化过程、密钥更新过程和密钥使用过程;
密钥初始化过程:
使用口令派生算法对初始口令进行派生获得口令派生密钥;
获取第一随机数作为白盒保护密钥,获取第二随机数作为主密钥;
通过所述白盒保护密钥加密所述主密钥获得第一密文,通过所述口令派生密钥加密所述白盒保护密钥获得第二密文,将所述第一密文和所述第二密文存储至软件密码模块中;
通过所述软件密码模块内部生成和/或通过数字信封方式导入用户密钥,通过所述主密码加密所述用户密钥,获得用户密钥的密文,将所述用户密钥的密文存储至软件密码模块中;
密钥更新过程:
使用口令派生算法对接收的当前口令和新口令进行派生,获得当前口令派生密钥和新口令派生密钥;
通过所述当前口令派生密钥解密所述第二密文,获得所述白盒保护密钥;通过所述新口令派生密钥加密所述白盒保护密钥,利用加密获得的所述白盒保护密钥的密文更新所述第二密文;
密钥使用过程:
使用口令派生算法对接收的新口令进行派生,获得新口令派生密钥;使用所述新口令派生密钥解密所述第二密文获得所述白盒保护密钥;通过所述白盒保护密钥解密所述第一
说 明 书
1/8页CN 111625791 A
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议