一种协同加密密钥的安全传输方法与流程

1.本发明涉及计算机信息安全技术领域，尤其涉及一种协同加密密钥的安全传输方法。


背景技术：

2.随着商密sm2算法在云环境、移动应用环境中推广使用，部分设备无法采用硬件密码模块提供密钥运算功能，使用软商密算法带来了安全性问题，经过各个场景的不断应用改进，从而形成了基于sm2的协同数字签名机制，配合数字证书解决身份认证等问题。在和数字证书结合过程中，随之带来了协同加密密钥的密钥分发和传统的硬件ukey的分发过程不一样，需要考虑传输过程中的安全问题，因此应当采用密钥不落地的安全方法。
3.为此，本技术人经过有益的探索和研究，找到了解决上述问题的方法，下面将要介绍的技术方案便是在这种背景下产生的。


技术实现要素：

4.本发明所要解决的技术问题在于：针对协同签名技术下加密密钥传输过程中面临的安全性问题，而提供一种提高传输安全性能的协同加密密钥的安全传输方法。
5.本发明所要解决的技术问题可以采用如下技术方案来实现：
6.一种协同加密密钥的安全传输方法，包括以下步骤：
7.步骤s10，协同客户端结合协同服务端生成签名证书协同密钥对，并将生成的签名证书协同密钥对发送至协同服务端；
8.步骤s20，协同服务端根据所述签名证书协同密钥对生成服务端部分协同密钥，并生成与所述服务端部分协同密钥对应的协同加密证书的协同服务端保护密钥对，协同服务端向协同客户端返回密钥生成响应，同时将协同服务端保护公钥返回至协同客户端；
9.步骤s30，协同客户端生成证书请求，并把协同服务端保护公钥添加至证书请求的扩展项中，并将证书请求发送至公钥基础设施ra/ca系统进行签发证书；
10.步骤s40，公钥基础设施ra/ca系统收到证书请求后，对证书请求进行解析处理，获取证书请求中的签名证书公钥和协同服务端保护公钥，并向密钥管理中心km系统发送密钥分发请求，以获取加密证书密钥；
11.步骤s50，密钥管理中心km系统获取密钥分发请求后，根据密钥分发请求判别协同密钥类型，并生成加密密钥对，再将加密密钥对拆解成协同客户端加密密钥片段和协同服务端加密密钥片段；
12.步骤s60，密钥管理中心km系统一方面使用协同签名证书公钥对协同客户端加密密钥片段进行加密保护，另一方面使用协同服务端保护公钥对协同服务端加密密钥片段进行加密保护，并把协同加密密钥公钥及被加密保护的协同客户端加密密钥片段和协同服务端加密密钥片段返回给公钥基础设施ra/ca系统；
13.步骤s70，公钥基础设施ra/ca系统生成签名和加密证书后，把结果和加密数据一
起返回给协同客户端；
14.步骤s80，协同客户端使用协同签名证书私钥解密协同客户端加密密钥片段并保存，并将被加密保护的协同服务端加密密钥片段发送至协同服务端；
15.步骤s90，协同服务端使用协同服务端保护私钥解密协同服务端加密密钥片段并保存，并把处理结果返回协同客户端，完成本次密钥生成及发证流程。
16.在本发明的一个优选实施例中，在步骤s10中，当协同服务端配合协同客户端生成签名证书协同密钥时，协同服务端同时生成协同加密密钥的协同服务端保护密钥，并把协同服务端保护密钥随着协同签名密钥生成信息一起返回给协同客户端。
17.在本发明的一个优选实施例中，在步骤s10中，协同客户端采用的协同密钥算法为国密非对称sm2算法。
18.在本发明的一个优选实施例中，在步骤s10和和步骤s60中，其所采用的协同服务端保护密钥算法为sm2算法。
19.在本发明的一个优选实施例中，在步骤s30中，证书请求的格式为pkcs#10或gm/t 0092。
20.在本发明的一个优选实施例中，在步骤s40、步骤s50和步骤s60中，获取协同服务端保护密钥不仅限于在公钥基础设施ra/ca系统或密钥管理中心km，可根据实际情况在各个系统进行处理。
21.由于采用了如上技术方案，本发明的有益效果在于：本发明将协同加密密钥分发安全传输，无法被中间人获取私钥明文，能解决协同签名密钥被拆分成两部分私钥时每部分私钥的密钥不落地，有效地应对协同加密密钥的传输安全，能够很好地保障协同加密密钥对在分发传输过程中的安全性，从而保证了密钥的安全，避免中间人攻击。
附图说明
22.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
23.图1为本发明的协同加密密钥的安全传输方法的逻辑结构图；
24.图2为本发明的协同加密密钥的安全传输方法的流程图。
具体实施方式
25.为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。
26.参见图1，本发明的协同加密密钥的安全传输方法是基于图1给出的逻辑结构实现的，其功能模块如下：
27.协同客户端主要负责与协同服务端联合生成协同密钥，包含协同加密密钥的安装，还负责客户端证书的签发与安装。
28.协同服务端负责配合协同客户端提供协同密钥，配合实现协同签名、协同解密等功能。
29.公钥基础设施ra/ca系统和密钥管理中心km是公钥基础设施的系统，是标准规范系统，本次不再赘述其详细功能。
30.参见图2并结合图1，本发明的协同加密密钥的安全传输方法，包括以下步骤：
31.步骤s10，协同客户端结合协同服务端生成签名证书协同密钥对，并将生成的签名证书协同密钥对发送至协同服务端；
32.步骤s20，协同服务端根据所述签名证书协同密钥对生成服务端部分协同密钥，并生成与所述服务端部分协同密钥对应的协同加密证书的协同服务端保护密钥对，协同服务端向协同客户端返回密钥生成响应，同时将协同服务端保护公钥返回至协同客户端；
33.步骤s30，协同客户端生成证书请求，并把协同服务端保护公钥添加至证书请求的扩展项中，并将证书请求发送至公钥基础设施ra/ca系统进行签发证书；
34.步骤s40，公钥基础设施ra/ca系统收到证书请求后，对证书请求进行解析处理，获取证书请求中的签名证书公钥和协同服务端保护公钥，并向密钥管理中心km系统发送密钥分发请求，以获取加密证书密钥；
35.步骤s50，密钥管理中心km系统获取密钥分发请求后，根据密钥分发请求判别协同密钥类型，并生成加密密钥对，再将加密密钥对拆解成协同客户端加密密钥片段和协同服务端加密密钥片段；
36.步骤s60，密钥管理中心km系统一方面使用协同签名证书公钥对协同客户端加密密钥片段进行加密保护，另一方面使用协同服务端保护公钥对协同服务端加密密钥片段进行加密保护，并把协同加密密钥公钥及被加密保护的协同客户端加密密钥片段和协同服务端加密密钥片段返回给公钥基础设施ra/ca系统；
37.步骤s70，公钥基础设施ra/ca系统生成签名和加密证书后，把结果和加密数据一起返回给协同客户端；
38.步骤s80，协同客户端使用协同签名证书私钥解密协同客户端加密密钥片段并保存，并将被加密保护的协同服务端加密密钥片段发送至协同服务端；
39.步骤s90，协同服务端使用协同服务端保护私钥解密协同服务端加密密钥片段并保存，并把处理结果返回协同客户端，完成本次密钥生成及发证流程。
40.在步骤s10中，当协同服务端配合协同客户端生成签名证书协同密钥时，协同服务端同时生成协同加密密钥的协同服务端保护密钥，并把协同服务端保护密钥随着协同签名密钥生成信息一起返回给协同客户端。
41.在步骤s10中，协同客户端采用的协同密钥算法为国密非对称sm2算法。
42.在步骤s10和和步骤s60中，其所采用的协同服务端保护密钥算法为sm2算法。
43.在步骤s30中，证书请求的格式为pkcs#10或gm/t 0092。
44.在步骤s40、步骤s50和步骤s60中，获取协同服务端保护密钥不仅限于在公钥基础设施ra/ca系统或密钥管理中心km，可根据实际情况在各个系统进行处理。
45.本发明能够很好的保障协同加密密钥对在分发传输过程中的安全性，从而保证了密钥的安全，避免中间人攻击。
46.以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变
化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

技术特征：
1.一种协同加密密钥的安全传输方法，其特征在于，包括以下步骤：步骤s10，协同客户端结合协同服务端生成签名证书协同密钥对，并将生成的签名证书协同密钥对发送至协同服务端；步骤s20，协同服务端根据所述签名证书协同密钥对生成服务端部分协同密钥，并生成与所述服务端部分协同密钥对应的协同加密证书的协同服务端保护密钥对，协同服务端向协同客户端返回密钥生成响应，同时将协同服务端保护公钥返回至协同客户端；步骤s30，协同客户端生成证书请求，并把协同服务端保护公钥添加至证书请求的扩展项中，并将证书请求发送至公钥基础设施ra/ca系统进行签发证书；步骤s40，公钥基础设施ra/ca系统收到证书请求后，对证书请求进行解析处理，获取证书请求中的签名证书公钥和协同服务端保护公钥，并向密钥管理中心km系统发送密钥分发请求，以获取加密证书密钥；步骤s50，密钥管理中心km系统获取密钥分发请求后，根据密钥分发请求判别协同密钥类型，并生成加密密钥对，再将加密密钥对拆解成协同客户端加密密钥片段和协同服务端加密密钥片段；步骤s60，密钥管理中心km系统一方面使用协同签名证书公钥对协同客户端加密密钥片段进行加密保护，另一方面使用协同服务端保护公钥对协同服务端加密密钥片段进行加密保护，并把协同加密密钥公钥及被加密保护的协同客户端加密密钥片段和协同服务端加密密钥片段返回给公钥基础设施ra/ca系统；步骤s70，公钥基础设施ra/ca系统生成签名和加密证书后，把结果和加密数据一起返回给协同客户端；步骤s80，协同客户端使用协同签名证书私钥解密协同客户端加密密钥片段并保存，并将被加密保护的协同服务端加密密钥片段发送至协同服务端；步骤s90，协同服务端使用协同服务端保护私钥解密协同服务端加密密钥片段并保存，并把处理结果返回协同客户端，完成本次密钥生成及发证流程。2.如权利要求1所述的协同加密密钥的安全传输方法，其特征在于，在步骤s10中，当协同服务端配合协同客户端生成签名证书协同密钥时，协同服务端同时生成协同加密密钥的协同服务端保护密钥，并把协同服务端保护密钥随着协同签名密钥生成信息一起返回给协同客户端。3.如权利要求1所述的协同加密密钥的安全传输方法，其特征在于，在步骤s10中，协同客户端采用的协同密钥算法为国密非对称sm2算法。4.如权利要求1所述的协同加密密钥的安全传输方法，其特征在于，在步骤s10和和步骤s60中，其所采用的协同服务端保护密钥算法为sm2算法。5.如权利要求1所述的协同加密密钥的安全传输方法，其特征在于，在步骤s30中，证书请求的格式为pkcs#10或gm/t 0092。6.如权利要求1所述的协同加密密钥的安全传输方法，其特征在于，在步骤s40、步骤s50和步骤s60中，获取协同服务端保护密钥不仅限于在公钥基础设施ra/ca系统或密钥管理中心km，可根据实际情况在各个系统进行处理。

技术总结
本发明公开的一种协同加密密钥的安全传输方法，其将协同加密密钥分发安全传输，无法被中间人获取私钥明文，能解决协同签名密钥被拆分成两部分私钥时每部分私钥的密钥不落地，有效地应对协同加密密钥的传输安全，能够很好地保障协同加密密钥对在分发传输过程中的安全性，从而保证了密钥的安全，避免中间人攻击。避免中间人攻击。避免中间人攻击。


技术研发人员：黄福飞 彭玲西 杨亚 陈建华
受保护的技术使用者：格尔软件股份有限公司
技术研发日：2023.07.19
技术公布日：2023/9/22