本發(fā)明涉及密碼學(xué)技術(shù)領(lǐng)域�,尤其涉及到一種具有國密芯片的usbkey在沒有CA證書植入的前提下的自生成密鑰對(duì)的實(shí)現(xiàn)方法��。
背景技術(shù):
在現(xiàn)實(shí)社會(huì)中互聯(lián)網(wǎng)應(yīng)用已十分普遍�,網(wǎng)絡(luò)信息安全也成為人們關(guān)注的一大焦點(diǎn)���,目前對(duì)網(wǎng)上信息傳輸進(jìn)行有效保護(hù)和增強(qiáng)傳遞安全的有效手段是通過數(shù)字證書加密�����,但是采用數(shù)字證書的形式�,需要預(yù)先向數(shù)字證書管理機(jī)構(gòu)(CA)申請(qǐng)數(shù)字證書�,其手續(xù)多、過程長�����,往往無法滿足商業(yè)締約的時(shí)效性要求�。數(shù)字證書申請(qǐng)人必須向CA提出數(shù)字證書辦理申請(qǐng);數(shù)字證書申請(qǐng)人須至CA提交書面的申請(qǐng)材料并附上身份證明原件�����;CA對(duì)其身份原件進(jìn)行審核后����,才能為其注冊(cè)并頒發(fā)儲(chǔ)存在硬件介質(zhì)中的數(shù)字證書��。整個(gè)辦理數(shù)字證書的過程繁瑣�����、時(shí)間較長�,造成很多用戶無法接受或者來不及辦理���。而且目前的數(shù)字證書在政府����、銀行和企業(yè)層面應(yīng)用的比較多�����,在個(gè)人用戶層面很少涉及���,以至于在網(wǎng)上傳遞文件和數(shù)據(jù)信息時(shí)很容易被不法之人截獲、讀取并篡改�����,對(duì)用戶的信息安全存在著極大的隱患��。
技術(shù)實(shí)現(xiàn)要素:
針對(duì)數(shù)字證書辦理過程繁瑣、時(shí)間長且需付費(fèi)����,其應(yīng)用層面大多在政府和銀行、企業(yè)的問題�,本發(fā)明提出了一種免費(fèi)可信且不需要依賴數(shù)字證書也可解決普通用戶在網(wǎng)絡(luò)上傳輸信息的安全性保障的方法,本方法簡單有效安全�,適合廣泛推廣使用。
技術(shù)方案
一種自生成密鑰對(duì)的實(shí)現(xiàn)方法��,其特征是���,用戶掌握的簽名密鑰對(duì)包括兩部分��,用戶通過usbkey生成的部分簽名密鑰對(duì)d1���,用戶在自生成密鑰系統(tǒng)的認(rèn)證平臺(tái)注冊(cè)認(rèn)證后由認(rèn)證平臺(tái)為用戶再生成的另一部分簽名密鑰對(duì)d2,部分簽名密鑰對(duì)d1與另一部分簽名密鑰對(duì)d2合成形成用戶最終的簽名密鑰對(duì)d4���。
還包括一由自生成密鑰系統(tǒng)的認(rèn)證平臺(tái)生成的加密密鑰對(duì)r�。
用戶通過usbkey生成部分簽名密鑰對(duì)d1����,并把部分簽名密鑰對(duì)d1中的公鑰和用戶信息發(fā)送到自生成密鑰系統(tǒng)的認(rèn)證平臺(tái)進(jìn)行注冊(cè)認(rèn)證����。
認(rèn)證平臺(tái)確認(rèn)注冊(cè)信息后��,認(rèn)證平臺(tái)生成用戶另一部分簽名密鑰對(duì)d2和加密密鑰對(duì)r1���,由部分簽名密鑰對(duì)d1中的公鑰對(duì)另一部分簽名密鑰對(duì)d2和加密密鑰對(duì)r1加密后生成加密的另一部分簽名密鑰對(duì)d3和加密的加密密鑰對(duì)r2后返回給用戶�����。
用戶使用自己生成的部分簽名密鑰對(duì)d1中的私鑰對(duì)認(rèn)證平臺(tái)返回的加密的另一部分簽名密鑰對(duì)d3和加密的加密密鑰對(duì)r2進(jìn)行解密���,解密后得到原另一部分簽名密鑰對(duì)d2和加密密鑰對(duì)r1。
部分簽名密鑰對(duì)d1與另一部分簽名密鑰對(duì)d2合成形成用戶最終的簽名密鑰對(duì)d4�;將最終的簽名密鑰對(duì)d4和加密密鑰對(duì)r1導(dǎo)入用戶usbkey中存儲(chǔ)。
自生成密鑰系統(tǒng)的認(rèn)證平臺(tái)采用密碼機(jī)或者隨機(jī)數(shù)生成器生成加密密鑰對(duì)r��。
部分簽名密鑰對(duì)d1中的公鑰通過非對(duì)稱加密算法對(duì)另一部分簽名密鑰對(duì)d2和加密密鑰對(duì)r1加密���。
本發(fā)明所達(dá)到的有益效果:
本發(fā)明涉及到一種具有國密芯片的usb key在沒有CA證書植入的前提下自生成密鑰對(duì)的實(shí)現(xiàn)方法�,避免了用戶申請(qǐng)CA證書的煩擾并免去了費(fèi)用�,自生成的密鑰系統(tǒng)可免費(fèi)為用戶發(fā)放公私鑰對(duì)(加密密鑰對(duì))�,通過使用公私鑰對(duì)進(jìn)行數(shù)據(jù)的安全傳輸�����,從而實(shí)現(xiàn)普通用戶的加密解密���、安全信息傳遞、信息的實(shí)效性檢驗(yàn)等工作內(nèi)容�,其操作過程簡單,且無繁瑣的手續(xù)���,時(shí)間較短�����,使用方便�,適合大眾人群推廣使用�����。
附圖說明
圖1是本方法的流程圖��。
具體實(shí)施方式
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步描述��。以下實(shí)施例僅用于更加清楚地說明本發(fā)明的技術(shù)方案,而不能以此來限制本發(fā)明的保護(hù)范圍���。
為滿足國密政策要求�,公私鑰對(duì)分為簽名密鑰對(duì)d和加密密鑰對(duì)r����;簽名密鑰對(duì)d由用戶掌握(用戶自己生成部分),加密密鑰對(duì)r由自生成密鑰系統(tǒng)的認(rèn)證平臺(tái)(下文統(tǒng)一簡稱“平臺(tái)C”�,采用密碼機(jī)生成密鑰對(duì),或者隨機(jī)數(shù)生成器)生成并托管以便國家監(jiān)管���。如圖1所示����,用戶通過有國密芯片的usbkey生成部分簽名密鑰對(duì)d1����,把部分簽名密鑰對(duì)d1中的公鑰和用戶信息發(fā)送到平臺(tái)C進(jìn)行注冊(cè),平臺(tái)C確認(rèn)注冊(cè)信息后���,平臺(tái)C生成用戶另一部分簽名密鑰對(duì)d2和加密密鑰對(duì)r1�����,部分簽名密鑰對(duì)d1中的公鑰通過非對(duì)稱加密算法對(duì)另一部分簽名密鑰對(duì)d2和加密密鑰對(duì)r1加密后生成d3和r2后發(fā)回給用戶����。平臺(tái)C通過密碼機(jī)提供的接口來調(diào)用密碼機(jī)從而生成密鑰對(duì)���,密碼機(jī)是一臺(tái)機(jī)器�����,相當(dāng)于一臺(tái)網(wǎng)絡(luò)設(shè)備����。
為避免惡意用戶反復(fù)用同一簽名密鑰對(duì)注冊(cè)�,造成同一用戶簽名多次重復(fù),平臺(tái)C在用戶認(rèn)證后要為用戶再生成另一部分簽名密鑰對(duì)d2�,用戶使用自己生成的部分簽名密鑰對(duì)d1中的私鑰對(duì)平臺(tái)C返回的另一部分簽名密鑰對(duì)d3和加密密鑰對(duì)r2進(jìn)行解密,解密后得到原另一部分簽名密鑰對(duì)d2和加密密鑰對(duì)r1�����,部分簽名密鑰對(duì)d1與另一部分簽名密鑰對(duì)d2合成形成用戶最終的簽名密鑰對(duì)d4��,保證了每個(gè)用戶的最終簽名密鑰對(duì)或各個(gè)用戶之間的最終簽名密鑰對(duì)都不同�����,實(shí)現(xiàn)每個(gè)用戶簽名密鑰對(duì)的唯一性;最后將最終的簽名密鑰對(duì)d4和加密密鑰對(duì)r1導(dǎo)入用戶usbkey中存儲(chǔ)�����。
平臺(tái)的隨機(jī)密鑰對(duì)和用戶的密鑰對(duì)合成后���,用戶的最終密鑰對(duì)必定隨機(jī)���,保證了用戶最終密鑰對(duì)的唯一,符合電子簽名法要求��。如果不加平臺(tái)的密鑰對(duì)���,用戶如果惡意申請(qǐng)�����,每次簽名密鑰對(duì)都相同��,那簽名密鑰對(duì)就會(huì)大量重復(fù)�,造成簽名不唯一和紊亂�。