專利名稱:一種數字密鑰保護方法
技術領域:
本發(fā)明涉及文件加密領域,尤其涉及對加密密鑰輸入�����、存儲�����、輸出和 更新的全生命周期中保護方法��。
背景技術:
隨著寬帶互聯網技術的發(fā)展和信息安全需求的不斷提高���,迫切需要對 密鑰的安全處理技術,包括密鑰傳輸�����、存儲和更新的處理方法。通過這些 技術能有效的防止黑客或中間人的惡意攻擊��,從而降低密鑰泄漏的可能 性��,保護用戶的權益���。
為了能夠正確解密數據�,目前通常做法有兩種第一�����、在發(fā)送密鑰之 前�����,發(fā)送方和接收方協商好相關參數����,發(fā)送方利用密鑰對文件加密后將加 密文件發(fā)送給接收方,接收方運用相應的算法和密鑰進行解密���。例如專利 號為CN1620005A的中國專利"一種安全發(fā)送傳輸密鑰的方法"提出了 一 種共享參數的方法來傳送證書與密鑰�。第二���、通過離線方式進行算法協商 和密鑰傳輸����,例如電子郵件或USB硬件設備。例如專利號為US2003105965 的美國專利 "System and method for installing a remote credit card authorization on a system with a TCPA complaint chipset"提出了 一種利用電 子郵件傳送證書與密鑰的方法����。
以上方法實現簡單方便,但存在某些不足
一�、 密鑰管理繁瑣。在某些大量文件需要加密處理的應用場景中�����,眾 多密鑰和算法的協商或郵件傳輸將大大消耗系統資源和人力���;
二�����、 密鑰更新困難。在某些情況下�,例如密鑰被破解,這就需要及時 有效的更換密鑰���,上述方法較難實現�。
三、 無論是協商密鑰還是郵件傳輸自身還是存在安全性問題���,如果遭
受黑客攻擊或中間人泄漏�,密鑰的安全性依然無法得到保證�����。
綜上所述�����,任何一種方法都可以實現密鑰的傳輸�����,但在保證密鑰管理 便捷性的基礎上��,盡可能提高密鑰處理過程的安全性及可更新性是有必要 的�����。
發(fā)明內容
本發(fā)明所解決的技術問題在于提供一種數字密鑰保護方法�����,以實現在 保證密鑰管理便捷性的基礎上,提高密鑰輸入���、存儲�����、輸出和更新的安全性�����。
為了解決上述問題�,本發(fā)明提供了一種數字密鑰保護方法��,應用于由 發(fā)送方��、接收方和客戶端組成的網絡通信系統中�����,其特征在于����,包括以下
步驟
(1 )密鑰發(fā)送方對原始密鑰加密,生成加密密鑰信息�,將加密密鑰 信息及密鑰相關其他信息組成邏輯上的數據包,將其發(fā)送給接收方�����,所述 接收方收到該數據包后進行解密獲取原始密鑰���;
(2) 所述接收方對所述原始密鑰進行加密處理����,獲取存儲加密密鑰 及相關信息存放在數據庫中�����;
(3) 當所述接收方收到客戶端請求�,根據節(jié)目信息從數據庫中取出 存儲加密密鑰,對其進行解密處理獲取原始密鑰���,根據客戶端信息對原始 密鑰進行加密���,生成節(jié)目加密密鑰,并將其發(fā)送給所述客戶端;
(4) 所述接收方將數據庫中的數據取出����,通過解密算法計算出原始 密鑰,然后利用存儲密鑰更新方法對所述原始密鑰進行重新加密���,獲取新 的存儲加密密鑰�����,并在數據庫中更新該存儲加密密鑰及其相關信息�。
本發(fā)明所述的方法�,其中,所述步驟(l)中進一步包括
所述發(fā)送方傳輸數據包前可與接收方協商其算法及其他相關信息����,所 述接收方在協商過程中可設定一個防攻擊字符串,該接收方收到數據包時 檢查是否含有該防攻擊字符串��,如果包含則認定為有效消息�����,反之認定為 無效消息����,如果該接收方再次收到包含相同的防攻擊字符串的數據包���,則i人定為無效消息���。
本發(fā)明所述的方法�����,其中�����,所述步驟(l)中進一步包括
所述發(fā)送方傳輸數據包前可與接收方協商其算法及其他相關信息����。
本發(fā)明所述的方法��,其中���,所述步驟(l)中進一步包括
所述接收方收到數據包后����,對該數據包進行分解,根據密鑰對應文件 信息進行唯一性查詢�����,如果發(fā)現已有該文件密鑰則將失敗結果返回給所述 發(fā)送方��,流程結束�����。
本發(fā)明所述的方法�����,其中����,所述步驟(l)中進一步包括
所述發(fā)送方和接收方可以利用非對稱算法對原始密鑰進行加密,即發(fā) 送給所述接收方和客戶端時利用該接收方的公鑰對原始密鑰進行加密��。
本發(fā)明所述的方法��,其中���,所述步驟(l)中進一步包括為所述發(fā) 送方和接收方利用簽名算法對數據包進行防偽造操作�����,即利用所述發(fā)送方 和接收方的私鑰對相應的數據利用簽名算法進行計算��,獲得簽名值��,將該 簽名值與該數據包一并發(fā)送給所述接收方和客戶端����。
本發(fā)明所述的方法�����,其中�����,步驟(l)中所述密鑰相關其他信息����,包 括密鑰所對應文件的原始文件名和虛擬文件名、發(fā)送方的特征信息及發(fā) 送方的X509 i正書���。
本發(fā)明所述的方法�,其中,所述步驟(l)中進一步包括
所述接收方對數據包進行合法性校驗時����,從數據包中提取出原始密鑰 相關信息,并利用發(fā)送方公鑰對該信息做簽名處理得到簽名值��,如果和從 下載請求消息中分解的摘要值相同�,則合法性校驗通過,如果提取不到所 述相關信息或兩個值比較不相同�����,則合法性校驗失敗���。
本發(fā)明所述的方法����,其中���,所述步驟(1 )中進一步包括
所述接收方收到數據包后�,先進行預處理�����,該預處理的內容至少包括 重放攻擊保護或拒絕服務保護,預處理通過后����,再進行后續(xù)處理,否則丟 棄該數據包��。
本發(fā)明所述的方法�,其中,所述步驟(2)中進一步包括
所述接收方根據第 一摘要算法對數據包中的密鑰相關其他信息進行 摘要處理��,生成相關信息的摘要值����,將該摘要值作為加擾密鑰對原始密鑰 進行加密���,獲得存儲加密密鑰��,將該存儲加密密鑰�����、原始密鑰相關信息和 加擾算法保存在數據庫中�。
本發(fā)明所述的方法���,其中��,所述步驟(4)進一步包括
所述接收方將數據庫中的數據取出�,根據密鑰相關信息和加擾算法計 算出加擾密鑰,利用加擾密鑰對存儲加密密鑰進行解密��,從而獲得原始密 鑰�����,更換加擾算法和密鑰相關信息����,并根據第一摘要算法對其進行摘要處 理,生成新的摘要值����,將該摘要值作為新的加擾密鑰對原始密鑰進行加密, 獲取新的存儲加密密鑰���,并在數據庫中更新該存儲加密密鑰及其相關信
自
其中����,所述用于生成加擾密鑰的信息包括原始密鑰相關信息����、接收 方當前時間和本地其他加擾信息����,以上所述信息均保存在數據庫中���;
其中�����,所述步驟(4)中進一步包括所述接收方將得到新的摘要值 存放到數據庫中����。
本發(fā)明應用于網絡通信安全技術領域��,實現了在保證密鑰管理便捷性 的基礎上���,提高相關密鑰輸入、存儲����、輸出和更新的安全性。
圖l是本發(fā)明實施例l所述的一種數字密鑰保護方法的消息交互示意
圖2是本發(fā)明實施例l所述的一種數字密鑰保護方法中發(fā)送方和接收 方交互消息流程圖3是本發(fā)明實施例2所述的一種數字密鑰保護方法的流程圖�。
具體實施例方式
本發(fā)明在這里提供了 一種數字密鑰保護方法���,可以應用于網絡通信安
全技術領域,提高相關密鑰輸入����、存儲、輸出和更新的安全性問題����。以下 對具體實施方式
進行詳細描述,但不作為對本發(fā)明的限定��。
下面結合附圖和實施例對本發(fā)明 一種數字密鑰處理方法進行說明�,這
里所述的數字證書,是指符合X.509規(guī)范標準的數字證書�;這里所述的私 鑰,是指與數字證書相對應的私鑰文件�����;這里所述的密鑰�,是指需要傳輸 的字符串格式的密鑰。
如圖1所示����,本發(fā)明實施例1的密鑰處理方法涉及到兩個邏輯實體
發(fā)送方IOI�,發(fā)送方IOI根據具體的應用場景����,向接收方102發(fā)送算 法協商請求和密鑰導入請求,并接收和解析相關響應���。發(fā)送方101在部署 時配置相應的數字證書和私鑰文件�����,還包含接收方102的數字證書�����。
接收方102,接收方102根據發(fā)送方101的請求����,從數據庫中獲取相 關數據�,分析數據后向發(fā)送方返回相關結果����。接收方102在部署時配置了 相應的數字證書和私鑰文件,還包含發(fā)送方101和客戶端103的數字證書。
客戶端103����,客戶端103才艮據具體的應用場景,向接收方102發(fā)送密 鑰請求���,并接收和解析相關響應��??蛻舳?03在部署時配置相應的數字證 書和私鑰文件��,還包含接收方102的數字證書���。
如圖1所示��,在一種下載成功的流程110中����,發(fā)送方根據其支持算法 構造協商請求lll;將協商請求111發(fā)送給接收方102;接收方102進行 唯一性;險查��,合法則返回協商響應113;發(fā)送方101構造相應數據包114��, 將密鑰導入請求115發(fā)送給接收方102;接收方102進行合法性檢查并對 數據包進行處理后�����,通過后將密鑰導入響應118返回給發(fā)送方101?��?蛻?端103發(fā)送密鑰請求119,接收方102收到請求后進行用戶鑒權�,通過后 對密鑰進行處理�,將密鑰響應返回給客戶端103,客戶端103解析密鑰�, 獲取原始密鑰。
在一種下載失敗的流程130中����,發(fā)送方根據其支持算法構造協商請求 131;將協商請求131發(fā)送給接收方102;接收方102進行唯一性檢查132, 如果唯一性纟全查不通過,則發(fā)送失敗的響應133給發(fā)送方101����。
在一種下載失敗的流程140中,發(fā)送方根據其支持算法構造協商請求
141;將協商請求141發(fā)送給接收方102;接收方102進行唯一性檢查����, 合法則返回協商響應143;發(fā)送方101構造相應數據包144,將密鑰導入 請求145發(fā)送給接收方102;接收方102進行合法性檢查146;如果合法 性才企查不通過,則發(fā)送失敗的響應147給發(fā)送方101����。
在一種下載失敗的流程150中���,發(fā)送方根據其支持算法構造協商請求 151;將協商請求151發(fā)送給接收方102;接收方102進行唯一性檢查152�����, 合法則返回協商響應153;發(fā)送方101構造相應數據包154���,將密鑰導入 請求155發(fā)送給接收方102;接收方102進行合法性檢查并對數據包進行 處理后���,通過后將密鑰導入響應158返回給發(fā)送方101?���?蛻舳?03發(fā)送 密鑰請求159,接收方102收到請求后進行用戶鑒權160���,如果鑒斥又不通 過�,則發(fā)送失敗的響應161給客戶端103���。
如圖2所示���,本實施例1中下載請求方請求消息生成的流程如下
發(fā)送方將請求消息201發(fā)送給接收方并將其密鑰相關信息存放在緩 存中�。接收方收到消息后通過地址保護單元202進行一些預處理工作以防 止重放攻擊�����。方法如下接收方建立一段緩沖區(qū)單元�����,記錄每次發(fā)出請求 的相關地址及對應的次數����,如果某個地址發(fā)送請求的頻度超過某個閣值則 將該地址作為不合法地址寫入緩存中,不合法地址的請求一律作為不合法 請求進行丟棄處理�����。不合法地址在一段時間內不發(fā)出請求的話���,可以考慮 將其更新為合法地址��。
如果發(fā)送方地址合法��,接收方的消息處理單元204對該消息進行處 理���,提取該消息中的密鑰對應信息��。唯一性檢查及算法匹配單元205對該 信息進行校驗���,如果發(fā)現已有相同的密鑰對應信息則認為校驗不通過��,返 回錯誤響應208����。如果校驗通過,則根據密鑰對應信息進行算法匹配�����,如 果無匹配算法則i人為匹配不通過��,返回錯誤響應208�����。如果匹配通過��,則 根據單元204和205處理的結果生成響應消息220,將響應消息220返回 給發(fā)送方�。
如果發(fā)送方收到正確的響應消息220,則通過密鑰生成單元207生成 密鑰221,然后根據響應消息220和密鑰相關信息217通過簽名消息生成
單元209計算出簽名信息222,數據包拼裝單元210將簽名信息222、密 鑰相關信息217和密鑰221拼裝成數據包223,將數據包223發(fā)送給接收 方���。
接收方收到數據包后通過安全保護單元211進行檢查��,檢查方法包括 兩個方面
第一��、進行地址安全檢查�。其檢查方法同上述地址保護單元202所述。
第二����、進行防攻擊字符串檢查。其方法如下��,在響應消息206中將某 段字符串作為防攻擊字符串組裝到響應消息220中�,并將該字符串保存在 緩存中。接收方收到響應消息后���,通過數據包拼裝單元210將防攻擊字符 串拼裝到數據包223中���。安全保護單元211從數據包223中獲取該字符串, 如果發(fā)現能在緩存中找到該字符串則認為檢查通過�����。
上述兩個方面均通過的消息被視為合法消息�����,否則被視為非法消息, 直接丟棄����。
消息分解單元213將數據包進行分解處理,將其分解后的消息發(fā)送給 合法性檢查單元214����。合法性檢查單元214主要對消息簽名進行檢查�����。
具體方法如下��,單元214通過發(fā)送方公鑰對消息進行簽名計算����,如果 計算結果符合簽名信息222則被視為合法消息,反之被視為非法消息����,直 接返回錯誤響應208給發(fā)送方。
如果單元214 4企查通過�,密鑰處理單元215則對該密鑰進行處理���,處 理方法如下,將密鑰相關消息���、摘要算法類型及當前時間通過某種摘要算 法計算出其摘要�����,將其摘要作為加擾密鑰對原始密鑰進行計算�����,得出存儲 密鑰226,通過密鑰存儲單元232將存儲密鑰及其相關信息保存在數據庫 中�。
處理完畢后���,才艮據處理結果233組成相應的響應消息234�,將響應消 息234返回給發(fā)送方�����。
客戶端將請求消息228發(fā)送給接收方�����,接收方收到消息后通過地址保 護單元229進行一些預處理工作以防止重放攻擊,方法與地址保護單元
202類似����。
如果發(fā)送方地址合法,接收方的用戶鑒權單元231對該消息進行處 理��,提取該消息中的用戶信息進行檢查�。如果鑒權不通過,返回錯誤響應 208���。如果鑒權通過�,密鑰處理單元215獲取密鑰后進行處理��,將存儲密 鑰發(fā)送給密鑰存儲單元232,密鑰存儲單元232將存儲加密密鑰及相關信 息存放至數據庫中��,然后將生成響應消息234返回給客戶端���,客戶端收到 響應后,對密鑰進行解密獲耳又原始密鑰�。
密鑰存儲單元232可以定期或不定期從數據庫取出相關存儲密鑰,將 存儲密鑰發(fā)送給密鑰更新單元235,更新單元才艮據密鑰信息更新當前時間 和摘要算法��,并通過類似的方法計算出新的摘要和新的存儲密鑰,將其更
新到數據庫中�,以提高密要存儲的安全性。
如圖3所示����,步驟301—304為本發(fā)明實施例2所述的一種數字密鑰 保護方法,應用于由發(fā)送方�、接收方和客戶端組成的網絡通信系統中,具 體步驟包括
步驟301,所述發(fā)送方傳輸數據包前可與接收方協商其算法及其他相 關信息��,所述接收方在協商過程中可設定一個防攻擊字符串�����,該接收方收 到數據包時檢查是否含有該防攻擊字符串�,如果包含則認定為有效消息, 反之認定為無效消息�����,如果該接收方再次收到包含相同的防攻擊字符串的 數據包�,則認定為無效消息;密鑰發(fā)送方對原始密鑰加密(所述加密可以 為非對稱算法加密��,即發(fā)送給所述接收方和客戶端時利用該接收方的公鑰 對原始密鑰進行加密)�����,生成加密密鑰信息,將加密密鑰信息及密鑰相關 其他信息(密鑰所對應文件的原始文件名和虛擬文件名�、發(fā)送方的特征信 息及發(fā)送方的X509證書)組成邏輯上的數據包,將其發(fā)送給接收方(所 述發(fā)送方和接收方的私鑰對相應的數據利用簽名算法進行計算�,獲得簽名 值,將該簽名值與該數據包一并發(fā)送給所述接收方和客戶端)�����,所述接收 方收到該數據包后進行解密獲取原始密鑰���;其中�����,根據密鑰對應文件信息 進行唯一性查詢�����,如果發(fā)現已有該文件密鑰則將失敗結果返回給所述發(fā)送 方,流禾呈結束�;
上述步驟中所述接收方收到數據包后,先進行預處理��,該預處理的 內容至少包括重放攻擊保護或拒絕服務保護,預處理通過后���,再進行后續(xù) 處理���,否則丟棄該數據包。同時�����,所述接收方對數據包進行合法性校驗時���, 從數據包中提取出原始密鑰相關信息���,并利用發(fā)送方公鑰對該信息做簽名 處理得到簽名值,如果和從下載請求消息中分解的摘要值相同��,則合法性 校驗通過����,如果提取不到所述相關信息或兩個值比較不相同,則合法性校 驗失敗���。
步驟302�,所述接收方根據第一摘要算法對數據包中的密鑰相關其他 信息進行摘要處理,生成相關信息的摘要值���,將該摘要值作為加擾密鑰(原 始密鑰相關信息�、接收方當前時間和本地其他加擾信息)對原始密鑰進行 加密����,獲得存儲加密密鑰,將該存儲加密密鑰�、原始密鑰相關信息和加擾
算法保存在數據庫中;
步驟303�����,當所述接收方收到客戶端請求�����,根據節(jié)目信息從數據庫中 取出存儲加密密鑰�,對其進行解密處理獲取原始密鑰,根據客戶端信息對 原始密鑰進行加密���,生成節(jié)目加密密鑰,并將其發(fā)送給所述客戶端���;
步驟304�����,所述接收方將數據庫中的數據取出����,根據密鑰相關信息和 加擾算法計算出加擾密鑰(原始密鑰相關信息、接收方當前時間和本地其 他加擾信息)����,利用加擾密鑰對存儲加密密鑰進行解密,從而獲得原始密 鑰�,更換加擾算法和密鑰相關信息,并根據第一摘要算法對其進行摘要處 理���,生成新的摘要值(所述接收方將得到新的摘要值存放到數據庫中)��, 將該摘要值作為新的加擾密鑰對原始密鑰進行加密���,獲取新的存儲加密密 鑰,并在數據庫中更新該存儲加密密鑰及其相關信息�����。
當然,本發(fā)明還可有其他多種實施例��,在不背離本發(fā)明精神及其實質 的情況下��,熟悉本領域的技術人員可根據本發(fā)明做出各種相應的改變和變 形��,但這些相應的改變和變形都應屬于本發(fā)明所附的權利要求的保護范圍�。
權利要求
1、一種數字密鑰保護方法��,應用于由發(fā)送方�����、接收方和客戶端組成的網絡通信系統中��,其特征在于����,包括以下步驟(1)密鑰發(fā)送方對原始密鑰加密,生成加密密鑰信息�,將加密密鑰信息及密鑰相關其他信息組成邏輯上的數據包,將其發(fā)送給接收方�����,所述接收方收到該數據包后進行解密獲取原始密鑰;(2)所述接收方對所述原始密鑰進行加密處理��,獲取存儲加密密鑰及相關信息存放在數據庫中�;(3)當所述接收方收到客戶端請求�����,根據節(jié)目信息從數據庫中取出存儲加密密鑰����,對其進行解密處理獲取原始密鑰,根據客戶端信息對原始密鑰進行加密����,生成節(jié)目加密密鑰,并將其發(fā)送給所述客戶端�����;(4)所述接收方將數據庫中的數據取出�,通過解密算法計算出原始密鑰,然后利用存儲密鑰更新方法對所述原始密鑰進行重新加密�����,獲取新的存儲加密密鑰,并在數據庫中更新該存儲加密密鑰及其相關信息���。
2����、 如權利要求l所述的方法���,其特征在于�,所述步驟(l)中進一步 包括所述發(fā)送方傳輸數據包前可與接收方協商其算法及其他相關信息��,所 述接收方在協商過程中可設定一個防攻擊字符串��,該接收方收到數據包時 檢查是否含有該防攻擊字符串�,如果包含則認定為有效消息,反之認定為 無效消息����,如果該接收方再次收到包含相同的防攻擊字符串的數據包,則 ^人定為無效消息���。
3�、 如權利要求1所述的方法,其特征在于���,所述步驟(1 )中進一步 包括所述發(fā)送方傳輸數據包前可與接收方協商其算法及其他相關信息����。
4��、 如權利要求l所述的方法���,其特征在于,所述步驟(l)中進一步 包括 所述接收方收到數據包后����,對該數據包進行分解,根據密鑰對應文件 信息進行唯一性查詢��,如果發(fā)現已有該文件密鑰則將失敗結果返回給所述 發(fā)送方�,流程結束。
5�����、 如權利要求1所述的方法����,其特征在于��,所述步驟(1 )中進一步包括所述發(fā)送方和接收方可以利用非對稱算法對原始密鑰進行加密��,即發(fā) 送給所述接收方和客戶端時利用該接收方的公鑰對原始密鑰進行加密�。
6���、 如權利要求1所述的方法�����,其特征在于�,所述步驟(1 )中進一步 包括為所述發(fā)送方和接收方利用簽名算法對所述數據包進行防偽造操 作�����,即所述發(fā)送方和接收方的私鑰對相應的數據利用簽名算法進行計算��, 獲得簽名值��,將該簽名值與該數據包一并發(fā)送給所述接收方和客戶端���。
7��、 如權利要求l所述的方法�,其特征在于,步驟(l)中所述密鑰相 關其他信息�����,包括密鑰所對應文件的原始文件名和虛擬文件名�。
8、 如權利要求7所述的方法���,其特征在于,步驟(l)中所述密鑰相 關其他信息�,還包括發(fā)送方的特征信息及發(fā)送方的X509證書。
9��、 如權利要求l所述的方法���,其特征在于�����,所述步驟(l)中進一步 包括所述接收方對數據包進行合法性校驗時����,從數據包中提取出原始密鑰 相關信息,并利用發(fā)送方公鑰對該信息做簽名處理得到簽名值�,如果和從 下載請求消息中分解的摘要值相同,則合法性校驗通過���,如果提取不到所 述相關信息或兩個值比較不相同����,則合法性校驗失敗���。
10����、 如權利要求1所述的方法��,其特征在于�����,所述步驟(1)中進一 步包括所述接收方收到數據包后�����,先進行預處理�����,該預處理的內容至少包括 重放攻擊保護或拒絕服務保護,預處理通過后���,再進行后續(xù)處理����,否則丟 棄該數據包�����。
11�、 如權利要求1所述的方法,其特征在于�,所述步驟(2)中進一 所述接收方根據第 一摘要算法對數據包中的密鑰相關其他信息進行 摘要處理���,生成相關信息的摘要值�,將該摘要值作為加擾密鑰對原始密鑰 進行加密����,獲得存儲加密密鑰,將該存儲加密密鑰����、原始密鑰相關信息和 加擾算法保存在數據庫中�。
12����、 如權利要求1所述的方法,其特征在于���,所述步驟(4)進一步 包括所述接收方將數據庫中的數據取出�����,根據密鑰相關信息和加擾算法計算出加擾密鑰����,利用加擾密鑰對存儲加密密鑰進行解密�,從而獲得原始密鑰,更換加擾算法和密鑰相關信息��,并根據第一摘要算法對其進行摘要處理��,生成新的摘要值���,將該摘要值作為新的加擾密鑰對原始密鑰進行加密����,獲取新的存儲加密密鑰,并在數據庫中更新該存儲加密密鑰及其相關信 臺
13��、 如權利要求11或12所述的方法���,其特征在于�,所述用于生成加 擾密鑰的信息包括原始密鑰相關信息���、接收方當前時間和本地其他加擾 信息���,以上所述信息均保存在邀:據庫中。
14����、 如權利要求12所述的方法,其特征在于����,所述步驟(4)中進一 步包括所述接收方將得到新的摘要值存放到數據庫中��。
全文摘要
本發(fā)明公開一種數字密鑰保護方法�����,包括發(fā)送方根據加密算法利用接收方公鑰對原始密鑰進行加密,生成加密密鑰信息�����,將其與密鑰相關其他信息組成數據包����,利用發(fā)送方私鑰對該數據包進行簽名操作生成簽名信息,將數據包和簽名信息發(fā)給接收方�����,接收方根據第一摘要算法對數據包中密鑰相關其他信息進行處理����,生成摘要值并作為加擾密鑰對原始密鑰進行加密,獲得存儲加密密鑰���,并將其與原始密鑰相關信息和加擾算法保存數據庫中�,客戶端發(fā)密鑰請求給接收方���,接收方取出存儲密鑰后重新加密�,將結果發(fā)給客戶端并定期將數據庫中的信息取出,更新加擾算法和摘要對存儲加密密鑰進行更新����。本發(fā)明在保證密鑰管理便捷性上,提高密鑰輸入����、存儲、輸出和更新的安全性�。
文檔編號H04L29/06GK101110831SQ20071014049
公開日2008年1月23日 申請日期2007年8月24日 優(yōu)先權日2007年8月24日
發(fā)明者康 何, 吉 呂, 許軍寧 申請人:中興通訊股份有限公司