收藏
下载资源 加入会员免费下载

一种增强对称密钥体系的密钥传输方法.pdf

上传人:b*** 文档编号:4721401 上传时间:2018-10-31 格式:PDF 页数:6 大小:366.42KB
返回 下载 相关 举报
摘要
申请专利号:

CN201210335845.7

 申请日:

2012.09.12
公开号:

CN102868521A

 公开日:

2013.01.09
当前法律状态:

授权

 有效性:

有权
法律详情:

授权|||实质审查的生效IPC(主分类):H04L 9/08申请日:20120912|||公开
IPC分类号:

H04L9/08

 主分类号:

H04L9/08
申请人:

成都卫士通信息产业股份有限公司
发明人:

李元正; 廖成军; 帅军军
地址:

610041 四川省成都市高新区创业路8号
优先权:

专利代理机构:

成都九鼎天元知识产权代理有限公司 51214

 代理人:

詹永斌
PDF下载: PDF下载
内容摘要

本发明公开了一种增强对称密钥体系的密钥传输方法,包括以下步骤:(1)密钥管理系统通过网络分别与主密码机和目标密码机连接;(2)密钥管理系统通过网络调用主密码机随机产生共享的保护密钥;(3)主密码机利用自身的读卡器将保护密钥写入保护密钥IC卡中;(4)将保护密钥IC卡中的密钥数据导入目标密码机中,实现主密码机与目标密码机之间保护密钥的共享。本发明的有益效果是:可通过密钥管理系统对密码机直接完成所有密钥发行操作,确保密钥传输过程(导入和导出)的安全。该技术不会因为需要借助本地读卡器、IC卡以及数据线执行相关操作而泄露IC卡中的敏感信息,导致对称密钥体系整体安全性下降后引发严重的后果。

权利要求书

权利要求书一种增强对称密钥体系的密钥传输方法,其特征在于:包括以下步骤:(1)密钥管理系统通过网络分别与主密码机和目标密码机连接;(2)密钥管理系统通过网络调用主密码机随机产生共享的保护密钥;(3)主密码机利用自身的读卡器将保护密钥写入保护密钥IC卡中;(4)将保护密钥IC卡中的密钥数据导入目标密码机中,实现主密码机与目标密码机之间保护密钥的共享;(5)利用主密码机产生密钥授权控制IC卡1,目标密码机产生密钥授权控制IC卡2;(6)密钥管理系统利用主密码机的保护密钥对主密码机内部需要发行的密钥数据进行加密并导出到密钥管理系统,密钥导出过程受到密钥授权控制IC卡1的控制;(7)密钥管理系统再将从主密码机获取的密钥导入到目标密码机,目标密码机利用自身的保护密钥进行解密数据,密钥导入过程受到密钥授权控制IC卡2的控制。根据权利要求1所述的一种增强对称密钥体系的密钥传输方法,其特征在于:主密码机和目标密码机的内部进行密钥区域划分。根据权利要求1或2所述的一种增强对称密钥体系的密钥传输方法,其特征在于:主密码机和目标密码机的内部均划分为三个区域即A区域、B区域和C区域。

说明书

说明书一种增强对称密钥体系的密钥传输方法
技术领域
本发明涉及信息安全密码技术领域,尤其是一种增强对称密钥体系的密钥传输方法。 
背景技术
密码技术是信息安全的基础技术,密钥则是密码技术安全应用的基础和信息化安全的核心元素。随着我国信息化产业的高速全面发展,基于对称密钥体系的密钥管理系统也进入全面的建设阶段,系统中涉及的密钥传输过程面临着越来越严格安全性要求。 
传统的密钥传输通常采用IC卡导入密码机的方式,完成IC卡到密码机之间的密钥传输过程。工作时在密钥管理系统中输入相关信息和配置所需要的参数,比如:IC卡类型、IC卡口令等信息,密钥管理系统利用读卡器读取IC卡中的敏感数据并封装格式,通过网络传输给密码机;密码机接收到指令、敏感数据和配置参数解析并执行后,将结果返回密钥管理系统,完成密钥传输操作。 
密钥管理系统通常在本地利用读卡器将IC卡中的敏感数据进行读取,此过程存在安全风险。密钥管理系统在本地读取的敏感数据容易被木马、病毒等后门程序截获而泄露,导致敏感数据被篡改。同时,IC卡片个体较小,在卡片传递过程中极易造成卡片丢失,给相关管理部门带来了安全隐患。非法人员对丢失的卡片进行破解攻击和分析,极易造成敏感数据的泄露,从而引发严重的后果。 
发明内容
本发明的目的是提供一种增强对称密钥体系的密钥传输方法,该方法直接对密码机进行密钥发行操作,能解决上述密钥传输过程中存在的安全风险,提高密钥传输的安全性。
为了达到上述目的,本发明采用的技术方案为:一种增强对称密钥体系的密钥传输方法,包括以下步骤: 
(1)密钥管理系统通过网络分别与主密码机和目标密码机连接;
(2)密钥管理系统通过网络调用主密码机随机产生共享的保护密钥;
(3)主密码机利用自身的读卡器将保护密钥写入保护密钥IC卡中;
(4)将保护密钥IC卡中的密钥数据导入目标密码机中,实现主密码机与目标密码机之间保护密钥的共享;
(5)利用主密码机产生密钥授权控制IC卡1,目标密码机产生密钥授权控制IC卡2;
(6)密钥管理系统利用主密码机的保护密钥对主密码机内部需要发行的密钥数据进行加密并导出到密钥管理系统,密钥导出过程受到密钥授权控制IC卡1的控制;
(7)密钥管理系统再将从主密码机获取的密钥导入到目标密码机,目标密码机利用自身的保护密钥进行解密数据,密钥导入过程受到密钥授权控制IC卡2的控制。
优选步骤:主密码机和目标密码机的内部进行密钥区域划分。 
优选步骤:主密码机和目标密码机的内部均划分为三个区域即A区域、B区域和C区域。 
综上所述,由于采用了上述技术方案,本发明的有益效果是: 
1. 密钥传输采用点对点的方式进行传输,传输过程始终处于密态;
2. 密钥明文不出密码机,只有密码机内部才能出现明文密钥;
3. 密钥发行双方须共享保护密钥,增强密钥导入的安全性;
4. 对密码机内部存储的密钥区域进行划分,不同区域范围内的密钥具有不同的密钥保护导出功能,增强密钥导出的安全性;
5. 密钥管理系统发行密码机时,必须在密码机中插入密钥授权控制IC卡,该卡完成密钥导入(发行)操作的授权控制,确保在合法的授权控制范围内完成密钥导入过程;
6. 该技术具有简单、安全、快捷的优点,在增强密钥传输过程的安全性上具有明显的自身优势;
采用本发明的技术方法,不但能在实际应用时彻底避免因本地借助读卡器操作IC卡带来的安全风险,而且增强了密钥传输过程的安全,提高了对称密钥体系的整体安全。同时,密钥管理系统采用直接发行密码机的操作方式,避免因IC卡管理不善造成敏感信息泄露的安全隐患,降低了用户实际使用时的技术要求,减少了用户的人力和设施等实际投入成本,简化了密码机机密钥发行操作的难度,极大提升了用户使用和维护的效率。
附图说明
本发明将通过例子并参照附图的方式说明,其中: 
图1是传统的密钥传输方式示意图;
图2是本发明的密钥传输方式示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。 
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。 
图1是当前传统的密钥传输方式(IC卡导入密码机),密钥管理系统在本地借助读卡器读取IC卡中的敏感信息,并通过网络方式将敏感信息导入到密码机中进行存储。此过程没有进行密钥保护,没有对密钥进行分区管理,没有完善的授权控制机制,因此存在较大的安全隐患。 
图2是采用本发明方法增强密钥传输安全性的示意图。密钥管理系统和密码机共享保护密钥,密钥管理系统将保护后的密钥利用网络导入到密码机中,密码机利用自身的保护密钥解密密钥数据,获取真正的密钥数据,并存储在密码机中,增强了密钥传输过程的安全。密钥导入过程中,受到严格的密钥授权卡的权限控制,确保密钥导入操作的合法性。 
密码机内部进行密钥区域划分,实现密钥分区管理,保证密钥保护导出过程的安全。密码机内部根据密钥索引号范围(0‑‑999)进行密钥区域划分(例如:A区(0‑‑300)、B区(301‑‑600)、C区(601‑‑999)),具体的区域划分数量可以根据实际的应用情况进行定义。密码机将不同属性的密钥分别导入或存储到不同的密钥区域中,根据不同密钥区域定义的使用权限,控制不同密钥区域中密钥的使用范围(如:允许导入、允许导出;允许导入,禁止导出;允许导出、禁止导入等操作限制)。通过密钥区域划分机制实现了密钥传输使用范围的安全控制,确保了密码机内部密钥的使用安全,此处的不同属性为自定义,除了划分为三个区域外,还可以划分为四个区域,六个区域,八个区域等。 
另外,本发明方法免去了本地借助读卡器操作IC的方式,避免因IC卡操作不当或管理不善造成敏感信息泄露的安全隐患。 
各关键过程详细说明如下: 
(1)密钥管理系统通过网络分别与主密码机和目标密码机连接;
(2)密钥管理系统通过网络调用主密码机随机产生共享的保护密钥;
(3)主密码机利用自身的读卡器将保护密钥写入保护密钥IC卡中;
(4)将保护密钥IC卡中的密钥数据导入目标密码机中,实现主密码机与目标密码机之间保护密钥的共享;
(5)利用主密码机产生密钥授权控制IC卡1,目标密码机产生密钥授权控制IC卡2;
(6)密钥管理系统利用主密码机的保护密钥对主密码机内部需要发行的密钥数据进行加密并导出到密钥管理系统,密钥导出过程受到密钥授权控制IC卡1的控制;
(7)密钥管理系统再将从主密码机获取的密钥导入到目标密码机,目标密码机利用自身的保护密钥进行解密数据,密钥导入过程受到密钥授权控制IC卡2的控制。
    密钥授权控制卡是由密码机产生,负责密码机密钥导入授权控制操作。当密钥管理系统对密码机进行密钥传输操作时,需要将密钥授权控制卡插入到密码机中,由密钥授权控制卡进行密钥导入操作的权限控制,配置密钥管理系统完成密码机之间的密钥发行和传输。 
主密码机和目标密码机的内部均划分为三个区域即A区域、B区域和C区域。 
 本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。

一种增强对称密钥体系的密钥传输方法.pdf_第1页
第1页 / 共6页
一种增强对称密钥体系的密钥传输方法.pdf_第2页
第2页 / 共6页
一种增强对称密钥体系的密钥传输方法.pdf_第3页
第3页 / 共6页
点击查看更多>>
资源描述

《一种增强对称密钥体系的密钥传输方法.pdf》由会员分享,可在线阅读,更多相关《一种增强对称密钥体系的密钥传输方法.pdf(6页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 102868521 A (43)申请公布日 2013.01.09 CN 102868521 A *CN102868521A* (21)申请号 201210335845.7 (22)申请日 2012.09.12 H04L 9/08(2006.01) (71)申请人 成都卫士通信息产业股份有限公司 地址 610041 四川省成都市高新区创业路 8 号 (72)发明人 李元正 廖成军 帅军军 (74)专利代理机构 成都九鼎天元知识产权代理 有限公司 51214 代理人 詹永斌 (54) 发明名称 一种增强对称密钥体系的密钥传输方法 (57) 摘要 本发明公开了一种增强对称密。

2、钥体系的密钥 传输方法, 包括以下步骤 :(1) 密钥管理系统通过 网络分别与主密码机和目标密码机连接 ;(2) 密 钥管理系统通过网络调用主密码机随机产生共享 的保护密钥 ;(3) 主密码机利用自身的读卡器将 保护密钥写入保护密钥 IC 卡中 ;(4) 将保护密钥 IC 卡中的密钥数据导入目标密码机中, 实现主密 码机与目标密码机之间保护密钥的共享。本发明 的有益效果是 : 可通过密钥管理系统对密码机直 接完成所有密钥发行操作, 确保密钥传输过程 (导 入和导出) 的安全。该技术不会因为需要借助本 地读卡器、 IC 卡以及数据线执行相关操作而泄露 IC 卡中的敏感信息, 导致对称密钥体系整体。

3、安全 性下降后引发严重的后果。 (51)Int.Cl. 权利要求书 1 页 说明书 3 页 附图 1 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 1 页 说明书 3 页 附图 1 页 1/1 页 2 1. 一种增强对称密钥体系的密钥传输方法, 其特征在于 : 包括以下步骤 : (1) 密钥管理系统通过网络分别与主密码机和目标密码机连接 ; (2) 密钥管理系统通过网络调用主密码机随机产生共享的保护密钥 ; (3) 主密码机利用自身的读卡器将保护密钥写入保护密钥 IC 卡中 ; (4) 将保护密钥 IC 卡中的密钥数据导入目标密码机中, 实现主密码机与目标密码机之。

4、 间保护密钥的共享 ; (5) 利用主密码机产生密钥授权控制 IC 卡 1, 目标密码机产生密钥授权控制 IC 卡 2 ; (6) 密钥管理系统利用主密码机的保护密钥对主密码机内部需要发行的密钥数据进行 加密并导出到密钥管理系统, 密钥导出过程受到密钥授权控制 IC 卡 1 的控制 ; (7) 密钥管理系统再将从主密码机获取的密钥导入到目标密码机, 目标密码机利用自 身的保护密钥进行解密数据, 密钥导入过程受到密钥授权控制 IC 卡 2 的控制。 2. 根据权利要求 1 所述的一种增强对称密钥体系的密钥传输方法, 其特征在于 : 主密 码机和目标密码机的内部进行密钥区域划分。 3. 根据权利要。

5、求 1 或 2 所述的一种增强对称密钥体系的密钥传输方法, 其特征在于 : 主密码机和目标密码机的内部均划分为三个区域即 A 区域、 B 区域和 C 区域。 权 利 要 求 书 CN 102868521 A 2 1/3 页 3 一种增强对称密钥体系的密钥传输方法 技术领域 0001 本发明涉及信息安全密码技术领域, 尤其是一种增强对称密钥体系的密钥传输方 法。 背景技术 0002 密码技术是信息安全的基础技术, 密钥则是密码技术安全应用的基础和信息化安 全的核心元素。随着我国信息化产业的高速全面发展, 基于对称密钥体系的密钥管理系统 也进入全面的建设阶段, 系统中涉及的密钥传输过程面临着越来越。

6、严格安全性要求。 0003 传统的密钥传输通常采用 IC 卡导入密码机的方式, 完成 IC 卡到密码机之间的密 钥传输过程。工作时在密钥管理系统中输入相关信息和配置所需要的参数, 比如 : IC 卡类 型、 IC 卡口令等信息, 密钥管理系统利用读卡器读取 IC 卡中的敏感数据并封装格式, 通过 网络传输给密码机 ; 密码机接收到指令、 敏感数据和配置参数解析并执行后, 将结果返回密 钥管理系统, 完成密钥传输操作。 0004 密钥管理系统通常在本地利用读卡器将 IC 卡中的敏感数据进行读取, 此过程存 在安全风险。密钥管理系统在本地读取的敏感数据容易被木马、 病毒等后门程序截获而泄 露, 导。

7、致敏感数据被篡改。同时, IC 卡片个体较小, 在卡片传递过程中极易造成卡片丢失, 给相关管理部门带来了安全隐患。非法人员对丢失的卡片进行破解攻击和分析, 极易造成 敏感数据的泄露, 从而引发严重的后果。 发明内容 0005 本发明的目的是提供一种增强对称密钥体系的密钥传输方法, 该方法直接对密码 机进行密钥发行操作, 能解决上述密钥传输过程中存在的安全风险, 提高密钥传输的安全 性。 0006 为了达到上述目的, 本发明采用的技术方案为 : 一种增强对称密钥体系的密钥传 输方法, 包括以下步骤 : (1) 密钥管理系统通过网络分别与主密码机和目标密码机连接 ; (2) 密钥管理系统通过网络调。

8、用主密码机随机产生共享的保护密钥 ; (3) 主密码机利用自身的读卡器将保护密钥写入保护密钥 IC 卡中 ; (4) 将保护密钥 IC 卡中的密钥数据导入目标密码机中, 实现主密码机与目标密码机之 间保护密钥的共享 ; (5) 利用主密码机产生密钥授权控制 IC 卡 1, 目标密码机产生密钥授权控制 IC 卡 2 ; (6) 密钥管理系统利用主密码机的保护密钥对主密码机内部需要发行的密钥数据进行 加密并导出到密钥管理系统, 密钥导出过程受到密钥授权控制 IC 卡 1 的控制 ; (7) 密钥管理系统再将从主密码机获取的密钥导入到目标密码机, 目标密码机利用自 身的保护密钥进行解密数据, 密钥导。

9、入过程受到密钥授权控制 IC 卡 2 的控制。 0007 优选步骤 : 主密码机和目标密码机的内部进行密钥区域划分。 说 明 书 CN 102868521 A 3 2/3 页 4 0008 优选步骤 : 主密码机和目标密码机的内部均划分为三个区域即 A 区域、 B 区域和 C 区域。 0009 综上所述, 由于采用了上述技术方案, 本发明的有益效果是 : 1. 密钥传输采用点对点的方式进行传输, 传输过程始终处于密态 ; 2. 密钥明文不出密码机, 只有密码机内部才能出现明文密钥 ; 3. 密钥发行双方须共享保护密钥, 增强密钥导入的安全性 ; 4. 对密码机内部存储的密钥区域进行划分, 不同。

10、区域范围内的密钥具有不同的密钥 保护导出功能, 增强密钥导出的安全性 ; 5. 密钥管理系统发行密码机时, 必须在密码机中插入密钥授权控制 IC 卡, 该卡完成 密钥导入 (发行) 操作的授权控制, 确保在合法的授权控制范围内完成密钥导入过程 ; 6. 该技术具有简单、 安全、 快捷的优点, 在增强密钥传输过程的安全性上具有明显的 自身优势 ; 采用本发明的技术方法, 不但能在实际应用时彻底避免因本地借助读卡器操作 IC 卡 带来的安全风险, 而且增强了密钥传输过程的安全, 提高了对称密钥体系的整体安全。同 时, 密钥管理系统采用直接发行密码机的操作方式, 避免因 IC 卡管理不善造成敏感信息。

11、泄 露的安全隐患, 降低了用户实际使用时的技术要求, 减少了用户的人力和设施等实际投入 成本, 简化了密码机机密钥发行操作的难度, 极大提升了用户使用和维护的效率。 附图说明 0010 本发明将通过例子并参照附图的方式说明, 其中 : 图 1 是传统的密钥传输方式示意图 ; 图 2 是本发明的密钥传输方式示意图。 具体实施方式 0011 本说明书中公开的所有特征, 或公开的所有方法或过程中的步骤, 除了互相排斥 的特征和 / 或步骤以外, 均可以以任何方式组合。 0012 本说明书 (包括任何附加权利要求、 摘要和附图) 中公开的任一特征, 除非特别叙 述, 均可被其他等效或具有类似目的的替代。

12、特征加以替换。即, 除非特别叙述, 每个特征只 是一系列等效或类似特征中的一个例子而已。 0013 图 1 是当前传统的密钥传输方式 (IC 卡导入密码机) , 密钥管理系统在本地借助读 卡器读取 IC 卡中的敏感信息, 并通过网络方式将敏感信息导入到密码机中进行存储。此过 程没有进行密钥保护, 没有对密钥进行分区管理, 没有完善的授权控制机制, 因此存在较大 的安全隐患。 0014 图 2 是采用本发明方法增强密钥传输安全性的示意图。密钥管理系统和密码机共 享保护密钥, 密钥管理系统将保护后的密钥利用网络导入到密码机中, 密码机利用自身的 保护密钥解密密钥数据, 获取真正的密钥数据, 并存储。

13、在密码机中, 增强了密钥传输过程的 安全。 密钥导入过程中, 受到严格的密钥授权卡的权限控制, 确保密钥导入操作的合法性。 0015 密码机内部进行密钥区域划分, 实现密钥分区管理, 保证密钥保护导出过程的安 全。密码机内部根据密钥索引号范围 (0-999) 进行密钥区域划分 (例如 : A 区 (0-300) 、 说 明 书 CN 102868521 A 4 3/3 页 5 B 区 (301-600) 、 C 区 (601-999) ) , 具体的区域划分数量可以根据实际的应用情况进行定 义。密码机将不同属性的密钥分别导入或存储到不同的密钥区域中, 根据不同密钥区域定 义的使用权限, 控制不。

14、同密钥区域中密钥的使用范围 (如 : 允许导入、 允许导出 ; 允许导入, 禁止导出 ; 允许导出、 禁止导入等操作限制) 。通过密钥区域划分机制实现了密钥传输使用 范围的安全控制, 确保了密码机内部密钥的使用安全, 此处的不同属性为自定义, 除了划分 为三个区域外, 还可以划分为四个区域, 六个区域, 八个区域等。 0016 另外, 本发明方法免去了本地借助读卡器操作IC的方式, 避免因IC卡操作不当或 管理不善造成敏感信息泄露的安全隐患。 0017 各关键过程详细说明如下 : (1) 密钥管理系统通过网络分别与主密码机和目标密码机连接 ; (2) 密钥管理系统通过网络调用主密码机随机产生共。

15、享的保护密钥 ; (3) 主密码机利用自身的读卡器将保护密钥写入保护密钥 IC 卡中 ; (4) 将保护密钥 IC 卡中的密钥数据导入目标密码机中, 实现主密码机与目标密码机之 间保护密钥的共享 ; (5) 利用主密码机产生密钥授权控制 IC 卡 1, 目标密码机产生密钥授权控制 IC 卡 2 ; (6) 密钥管理系统利用主密码机的保护密钥对主密码机内部需要发行的密钥数据进行 加密并导出到密钥管理系统, 密钥导出过程受到密钥授权控制 IC 卡 1 的控制 ; (7) 密钥管理系统再将从主密码机获取的密钥导入到目标密码机, 目标密码机利用自 身的保护密钥进行解密数据, 密钥导入过程受到密钥授权控。

16、制 IC 卡 2 的控制。 0018 密钥授权控制卡是由密码机产生, 负责密码机密钥导入授权控制操作。当密钥管 理系统对密码机进行密钥传输操作时, 需要将密钥授权控制卡插入到密码机中, 由密钥授 权控制卡进行密钥导入操作的权限控制, 配置密钥管理系统完成密码机之间的密钥发行和 传输。 0019 主密码机和目标密码机的内部均划分为三个区域即 A 区域、 B 区域和 C 区域。 0020 本发明并不局限于前述的具体实施方式。 本发明扩展到任何在本说明书中披露的 新特征或任何新的组合, 以及披露的任一新的方法或过程的步骤或任何新的组合。 说 明 书 CN 102868521 A 5 1/1 页 6 图 1 图 2 说 明 书 附 图 CN 102868521 A 6 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1