專利名稱:信息保密與身份認(rèn)證方法和數(shù)字簽名程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)軟件���、網(wǎng)絡(luò)通信和信息安全技術(shù)領(lǐng)域����。
背景技術(shù):
信息��,常常涉及機(jī)構(gòu)和個(gè)人的機(jī)密����、隱私與財(cái)產(chǎn)��;在網(wǎng)絡(luò)環(huán)境��,尤其是在互聯(lián)網(wǎng)環(huán) 境下�����,這些重要信息很容易被盜竊和泄露,導(dǎo)致難以彌補(bǔ)的損失�����。因此��,信息保密便成為人 們普遍關(guān)心的問題�。信息保密的基本技術(shù)思路,是采用一定的密碼算法結(jié)合密鑰�,對(duì)需要 保密的信息明文進(jìn)行加密,生成亂碼密文?����,F(xiàn)行實(shí)用的密碼算法已經(jīng)有許多種���,其中一些 早已成為技術(shù)標(biāo)準(zhǔn)����,如DES����、 AES����、 RSA����、 DSA等。信息最容易在輸入�、存儲(chǔ)和傳輸環(huán)節(jié)發(fā)生泄 密,加密手段也相應(yīng)地分別著眼于信源加密和信道加密���。許多實(shí)用通信軟件更多關(guān)注信道 加密����,通過傳輸控制協(xié)議實(shí)現(xiàn)得很好��,但對(duì)信源加密卻重視不夠���,而留給獨(dú)立的加密軟件或 硬件去處理?��,F(xiàn)實(shí)中,大多數(shù)電子郵箱和即時(shí)通信服務(wù)軟件都如此�����,以至于即使是未經(jīng)授 權(quán)的人����,只要一進(jìn)入郵箱或聊天空間,私密信息便一覽無余���。"電子郵件加解密方法及其儲(chǔ) 存媒體與模塊"(中國發(fā)明專利申請(qǐng)?zhí)?00510079693. 9)����,是屬于信源加密的一項(xiàng)技術(shù)方 法�����,提出選擇和標(biāo)識(shí)正文中的某些部分并決定對(duì)應(yīng)密碼組�,而在傳送時(shí)進(jìn)行加密。該發(fā)明 強(qiáng)調(diào)選擇的靈活性�����,但有幾點(diǎn)不足一是操作效率低�,選擇之后還要標(biāo)識(shí)、定密碼���;二是延 后至傳送時(shí)才加密�,不能應(yīng)對(duì)編輯輸入時(shí)旁人靠近偷窺;三是采用對(duì)稱密碼算法AES���,而且 在密文中藏匿密碼���,密鑰因交換而發(fā)生泄露的風(fēng)險(xiǎn)大。"信息保密方法和程序"(中國發(fā)明 專利申請(qǐng)?zhí)?00910136867. 9)��,也基于信源加密�����,提出了即時(shí)加密和即時(shí)解密新概念并設(shè) 計(jì)了實(shí)用程序����,雖也述及共享情況,但并未明確密鑰交換機(jī)理�����,事實(shí)上其實(shí)施例為了簡(jiǎn)化 也采用的是對(duì)稱密碼算法��,因此也同樣需要改進(jìn)����。"登錄認(rèn)證方法"(中國發(fā)明專利中請(qǐng)?zhí)?200810109084. 7)��,提出了在挑戰(zhàn)響應(yīng)機(jī)制下,兼容口令認(rèn)證和簽名認(rèn)證兩種方式而讓用戶
自主選擇�,雖然也引入了密碼裝置硬件,但對(duì)密碼裝置硬件的多樣性支持并未作考慮��。
發(fā)明內(nèi)容
本發(fā)明基于非對(duì)稱密碼算法和公鑰體制(PKI)����,應(yīng)用于信息保密、身份認(rèn)證和數(shù) 字簽名��,并給出新的實(shí)用技術(shù)方法和程序�����,旨在保護(hù)信息的秘密�����,以及鑒別身份與數(shù)據(jù)的真 偽�。 本發(fā)明首先提出一種信息保密方法,涉及對(duì)信息的加密和解密�����。本發(fā)明方法的基 本思路,是結(jié)合采用對(duì)稱密碼算法和非對(duì)稱密碼算法��,實(shí)現(xiàn)讓多個(gè)(即兩個(gè)以上)收信方�����, 能夠共享同一密文并從中交換密鑰���。 一般而言�,通過通信或其他手段(如拷貝)傳遞信息文 本或文件��,發(fā)信方即為加密方�,收信方即為解密方。出于信息保密的考慮�,發(fā)信方要將信息 明文加密生成信息密文,然后才發(fā)出�����;收信方則要將收到的信息密文解密��,還原獲得信息明 文����。這里所說的明文��,并不排除此前其部分或全部可能還經(jīng)歷過某些加密�、壓縮等處理�����。在 發(fā)信方���,確定一個(gè)對(duì)稱密鑰,稱之為會(huì)話密鑰或共享密鑰���,采用對(duì)稱密碼算法�,將信息明文 加密生成信息密文���。會(huì)話密鑰可以通過用戶輸入或隨機(jī)產(chǎn)生�,甚至通過密碼裝置生成�。至于對(duì)稱密碼算法,有許多種可供選擇���,典型的如DES�����、3DES�����、AES等��。采用對(duì)稱密碼算法的考慮�, 一是加解密運(yùn)算速度快,二是密鑰共享方便���。為了實(shí)現(xiàn)會(huì)話密鑰的保密交換(保密傳遞)�����, 好讓收信方安全地取得會(huì)話密鑰以用之于解密��,處理辦法是在發(fā)信方��,用收信方的非對(duì)稱 密鑰對(duì)中的公開密鑰(簡(jiǎn)稱公鑰)���,通過非對(duì)稱密碼算法來加密會(huì)話密鑰,生成密鑰副本存 放于密鑰密文部分����;在收信方���,從密鑰密文部分取得密鑰副本,用自己的非對(duì)稱密鑰對(duì)中的 私人密鑰(簡(jiǎn)稱私鑰)�,通過非對(duì)稱密碼算法來解密獲得會(huì)話密鑰。典型的非對(duì)稱密碼算 法����,如RSA等。將密鑰密文與信息密文關(guān)聯(lián)存儲(chǔ)于同一文本或同一文件中���,從而構(gòu)成復(fù)合密 文。發(fā)信方要發(fā)送給收信方的密文��,便是這樣的復(fù)合密文���。針對(duì)有多個(gè)收信方的情形���,本 發(fā)明的辦法是在發(fā)信方,一次針對(duì)多個(gè)收信方��,分別用每一個(gè)收信方的公鑰來加密會(huì)話密 鑰�,生成對(duì)應(yīng)的密鑰副本�����,集中存放于密鑰密文區(qū)��;而且�,各個(gè)收信方的身份標(biāo)識(shí)或其使用 的密碼裝置標(biāo)識(shí)(兩種標(biāo)識(shí)以下合稱身份標(biāo)識(shí))���,作為檢索密鑰副本的關(guān)鍵字集合�,構(gòu)成索 引部���,邏輯上視同于密鑰密文區(qū)的一部分��,建立身份標(biāo)識(shí)與密鑰副本之間的對(duì)應(yīng)關(guān)系�����。密鑰 密文(包含索引部)與信息密文關(guān)聯(lián)地共同存儲(chǔ)于同一文本或同一文件�,密鑰密文通常存 放在文本或文件的頭部�,也可以存放在文本或文件的尾部。在各個(gè)收信方��,用各自的身份標(biāo) 識(shí)或密碼裝置標(biāo)識(shí)����,從密鑰密文區(qū)中檢索出對(duì)應(yīng)的密鑰副本���,再用其私鑰解密該密鑰副本 而獲取會(huì)話密鑰,然后用所得會(huì)話密鑰解密信息密文還原出信息明文�����。如此��,由多個(gè)收信方 的密鑰副本與身份標(biāo)識(shí)索引部合成的密鑰密文���,與信息密文同文關(guān)聯(lián)共存����,使得同一文本 或同一文件因集合多方密鑰作用而實(shí)現(xiàn)同文保密共享�,便構(gòu)成了本發(fā)明方法的基本特征�。
上述信息保密方法,所述復(fù)合密文中的索引部還有一個(gè)檢驗(yàn)控制作用�����,就是限定 對(duì)共享密文的解密存取���。在打開密文檢索密鑰副本的過程中�,從索引部檢索比對(duì)解密者的 身份標(biāo)識(shí)的失敗,將導(dǎo)致所述獲取會(huì)話密鑰過程的中止�,進(jìn)而導(dǎo)致系統(tǒng)對(duì)解密信息密文操 作的拒絕。 關(guān)于密鑰密文區(qū)�,還可以包含以發(fā)信方的公鑰加密會(huì)話密鑰所生成的密鑰副本, 其中的索引部也包含發(fā)信方的身份標(biāo)識(shí)作為索引關(guān)鍵字�����,以便發(fā)信方也能夠與收信方共享 同一復(fù)合密文����,從中檢索出其對(duì)應(yīng)密鑰副本,解密獲取會(huì)話密鑰�����,再解密還原其所加密的文 本或文件�����。這種共享的情形在即時(shí)通信和收發(fā)電子郵件時(shí)十分必要���。 上述信息保密方法���,所述同文保密共享的效果��,就好比為一扇門只上一把鎖����,卻配 制有多把鑰匙���,而每一把鑰匙都能獨(dú)立打開門�。 本發(fā)明還提出一種信息保密方法�,也涉及對(duì)信息的加密和解密。本發(fā)明方法的基 本思路����,是結(jié)合采用對(duì)稱密碼算法和非對(duì)稱密碼算法,實(shí)現(xiàn)讓多方(即兩方以上)����,能夠共 管同一密文并相互制約。處理辦法的基礎(chǔ)也是����,既采用對(duì)稱密碼算法���,以會(huì)話密鑰來加密信 息明文生成信息密文�����,和解密信息密文還原信息明文�;又采用非對(duì)稱密碼算法,以公鑰來加 密會(huì)話密鑰生成密鑰密文����,而以私鑰來解密密鑰密文獲取會(huì)話密鑰,密鑰密文與信息密文 關(guān)聯(lián)存儲(chǔ)于同一文本或同一文件中而構(gòu)成復(fù)合密文����。對(duì)于需要共同管制同一文本或文件秘 密的一組多個(gè)(即兩個(gè)以上)關(guān)系人,加密時(shí)�,將該組關(guān)系人按一定順序排列,依次先用第 一人的公鑰來加密會(huì)話密鑰而生成第一密鑰副本���,再用第二人的公鑰來加密之前的第一密 鑰副本而生成第二密鑰副本�����,繼續(xù)這樣處理下去��,直到用最后一人的公鑰來加密之前的最 近一個(gè)密鑰副本而生成最終的密鑰副本���,并將該最終的密鑰副本保存在密鑰密文區(qū)��;解密 時(shí)�,則從密鑰密文中提取該最終的密鑰副本(也視為倒數(shù)第一的密鑰副本)���,再按與加密時(shí)
5的相反順序�,依次先用最后一人(倒數(shù)第一人)的私鑰來解密該最終的密鑰副本得出倒數(shù) 第二的密鑰副本��,再用倒數(shù)第二人的私鑰來解密該倒數(shù)第二的密鑰副本得出倒數(shù)第三的密 鑰副本��,繼續(xù)這樣的處理下去�,直到用倒數(shù)最后一人(即加密時(shí)的第一人)的私鑰來解密最
近生成的密鑰副本得出原來的會(huì)話密鑰,然后以此會(huì)話密鑰���,才能去解密信息密文還原信 息明文�����。前述加密密鑰副本的過程�,稱之為迭代加密�����;相應(yīng)地�����,解密密鑰副本的過程�����,則稱之 為迭代解密��。密鑰密文中存儲(chǔ)的密鑰副本����,只需是最終的密鑰副本,其余密鑰副本都只是過 渡性的不必保留�。同組關(guān)系人的全部身份標(biāo)識(shí)及其排列順序也都存儲(chǔ)在密鑰密文中,作為 索引部�。如此,由多方關(guān)系人的公鑰依序迭代加密密鑰副本所生成的最終的密鑰副本����,與身 份標(biāo)識(shí)索引部合成的密鑰密文,又與信息密文同文關(guān)聯(lián)共存�,使得同一文本或同一文件因 聯(lián)接多方密鑰作用而實(shí)現(xiàn)同文保密聯(lián)鎖�����,便構(gòu)成了本發(fā)明方法的基本特征��。
上述信息保密方法���,所述加密時(shí)的一定順序,可以明確為各個(gè)關(guān)系人身份標(biāo)識(shí)在 同一密鑰密文中存儲(chǔ)的先后順序��;而所述解密時(shí)的相反順序�,則是該存儲(chǔ)順序的逆反序。
由于非對(duì)稱密碼算法與公鑰體制的特點(diǎn)��,每一次加密���,數(shù)據(jù)分組的有效長度總小 于加密結(jié)果的數(shù)據(jù)長度��,于是�����,反映在所述迭代加密的過程中��,隨著迭代次數(shù)的遞增���,將導(dǎo) 致所生成的密鑰副本長度逐漸伸長�;而反映在所述迭代解密的過程中����,隨著迭代次數(shù)的遞 增���,則導(dǎo)致所生成的密鑰副本長度逐漸縮短�。 上述信息保密方法����,所述復(fù)合密文中的索引部還有一個(gè)檢驗(yàn)控制作用,就是限定 對(duì)聯(lián)鎖密文的解密存取����。在打開密文迭代解密密鑰副本的過程中,從索引部檢索比對(duì)解密 者(關(guān)系人)的身份標(biāo)識(shí)的任意一次失敗���,都將導(dǎo)致所述獲取會(huì)話密鑰過程的中止����,進(jìn)而導(dǎo) 致系統(tǒng)對(duì)解密信息密文操作的拒絕�����。 上述信息保密方法,所述同文保密聯(lián)鎖的效果��,就好比為一扇門上多把鎖�����,每把鎖 只配制一把鑰匙��,必須用所有鑰匙對(duì)應(yīng)打開全部鎖��,才能最終打開門�,缺一不可。
本發(fā)明還提出一種身份認(rèn)證方法�����,用于軟件系統(tǒng)和服務(wù)系統(tǒng)���?��;镜乃悸罚遣捎?非對(duì)稱密碼算法�,在客戶端采用密碼裝置硬件施行簽名��,并結(jié)合挑戰(zhàn)響應(yīng)策略實(shí)現(xiàn)認(rèn)證��。在 服務(wù)器端生成隨機(jī)數(shù)�,發(fā)送給客戶端作為挑戰(zhàn)���;客戶端收到此挑戰(zhàn)隨機(jī)數(shù)�����,即用客戶自己的 私鑰簽名,并將生成的簽名數(shù)據(jù)作為響應(yīng)回傳給服務(wù)器�;服務(wù)器收到響應(yīng)簽名數(shù)據(jù)之后,即 用客戶的公鑰來驗(yàn)證判斷���,從而鑒別用戶身份的真?zhèn)?�。這里所說的簽名和驗(yàn)證��,包括兩種情 形一是用私鑰直接加密隨機(jī)數(shù)生成簽名數(shù)據(jù)��,而用公鑰來解密簽名數(shù)據(jù)還原出隨機(jī)數(shù)�,再 比對(duì)原始隨機(jī)數(shù)得出驗(yàn)證結(jié)論���;二是數(shù)字簽名和驗(yàn)證�����,用私鑰加密的是隨機(jī)數(shù)的散列值�,而 不是隨機(jī)數(shù)本身。為了保障身份認(rèn)證的可靠性�����,采用密碼裝置硬件是必要的條件����。對(duì)于具 體的軟件系統(tǒng)或服務(wù)系統(tǒng),為了實(shí)現(xiàn)身份認(rèn)證的通用性和靈活性��,可以兼容支持至少兩種 以上所述密碼裝置硬件����,并且自動(dòng)識(shí)別區(qū)分和/或允許用戶自主選定。這樣的兼容性�����,構(gòu)成 了本發(fā)明方法的基本特征。 上述身份認(rèn)證方法�,所述自動(dòng)識(shí)別區(qū)分,可以是在客戶端����,由程序自行讀取密碼裝 置的產(chǎn)品識(shí)別碼和/或生產(chǎn)商識(shí)別碼來區(qū)分。所述用戶自主選定����,可以是在注冊(cè)操作界面 或變更操作界面上,列舉出來而讓用戶選擇定制�����,和/或在登錄操作界面上列舉出來而讓 用戶選擇確定���。 本發(fā)明還提出一種數(shù)字簽名程序, 其用于協(xié)同諸如即時(shí)通信�、電子郵箱和其他 包含文本編輯功能的目標(biāo)應(yīng)用程序使用,但獨(dú)立運(yùn)行���。本發(fā)明程序?qū)崿F(xiàn)確定的密碼算法(例如RSA算法)����,可選地或優(yōu)選地����,也配備和操控密碼裝置硬件(例如一種叫做密碼金鎧 的產(chǎn)品)��,對(duì)信息文本施行數(shù)字簽名和對(duì)信息文本中的數(shù)字簽名進(jìn)行驗(yàn)證���。數(shù)字簽名數(shù)據(jù)原 本是字節(jié)序列,通過字節(jié)到可視字符集的影射(例如采用BASE64編碼)���,能夠轉(zhuǎn)化為可顯示 文本���。為了區(qū)分簽名數(shù)據(jù)與原始文本,可以在簽名時(shí)��,將所生成的簽名數(shù)據(jù)自行加以標(biāo)記來 識(shí)別��,并分行成塊排列�。本發(fā)明程序的特征在于,所述數(shù)字簽名和驗(yàn)證�,是針對(duì)目標(biāo)程序當(dāng) 前編輯窗口內(nèi)目標(biāo)范圍內(nèi)的文本進(jìn)行的即時(shí)簽名和即時(shí)驗(yàn)證,使得同一窗口目標(biāo)范同內(nèi)的 文本��,被即時(shí)施行簽名并即時(shí)呈現(xiàn)在同一窗口內(nèi)�,通常是附加在原有文本的尾部;當(dāng)其已有
簽名時(shí)則進(jìn)行驗(yàn)證并即時(shí)呈現(xiàn)驗(yàn)證結(jié)果。本發(fā)明程序生成的數(shù)字簽名數(shù)據(jù)�,包含但不限于 下列信息項(xiàng)中的至少一項(xiàng)數(shù)字簽名標(biāo)識(shí)信息;簽名者身份標(biāo)識(shí)的信息�;簽名者所用密碼 裝置標(biāo)識(shí)的信息。本發(fā)明程序?qū)嵤┓桨钢?����,是通過模擬系統(tǒng)的剪貼板操作����,來實(shí)現(xiàn)為即時(shí) 簽名和即時(shí)驗(yàn)證拾取文本和傳遞文本。模擬剪貼板操作涉及兩方面��,一是模擬鍵盤組合按 鍵���,實(shí)現(xiàn)編輯操作通用的全選���、復(fù)制/剪切��、粘貼操作���,二是讀取和設(shè)置剪貼板數(shù)據(jù)�。
本發(fā)明程序,所述即時(shí)簽名還允許多重簽名��,即由多位簽名人或使用多個(gè)密碼裝 置分別簽名����,所述即時(shí)驗(yàn)證采取對(duì)應(yīng)驗(yàn)證,即對(duì)應(yīng)于具體的簽名人或密碼裝置的簽名進(jìn)行 驗(yàn)證���。 本發(fā)明程序的積極效果�����,是提供了一種便捷有效的數(shù)字簽名實(shí)用程序工具���,而該 程序與應(yīng)用軟件都無關(guān),因而具有普適通用性�。
圖1是本發(fā)明信息保密方法,同文保密共享的示意圖���。公鑰Pi和私鑰Vi�,是共享 收信方中的第i個(gè)收信方(i = 1�,2…n,其中可能有一個(gè)是發(fā)信方)所擁有的密鑰對(duì)��;發(fā)信 方確定會(huì)話密鑰K,用來通過對(duì)稱密碼算法EM加密信息明文M以生成信息密文W���,可表示為 W = EM(M)����。發(fā)信方分別用第i個(gè)收信方的公鑰Pi��,通過非對(duì)稱密碼算法EK來加密會(huì)話密 鑰K����,生成對(duì)應(yīng)的密鑰副本Ci,可表示為Ci =EK(Pi�,K)。發(fā)信方還集中全部收信方的身份 標(biāo)識(shí)��,構(gòu)造索引部I���,建立第i個(gè)身份標(biāo)識(shí)與密鑰副本Ci的對(duì)應(yīng)關(guān)系�����。索引部I與密鑰副本 集{Cl, C2…Cnh構(gòu)成密鑰密文G;而密鑰密文G與信息密文W���,構(gòu)成復(fù)合密文F�����,共存為同 一個(gè)文件�,供各個(gè)收信方所共享。解密時(shí)�����,第i個(gè)收信方從密鑰密文G中的索引部I��,檢索出 其所對(duì)應(yīng)的密鑰副本Ci����,然后用自己的私鑰Vi,通過非對(duì)稱密碼算法DK來解密該密鑰副本 Ci�����,獲取會(huì)話密鑰K��,可表示為K = DK(Vi����, Ci);再用會(huì)話密鑰K����,來通過對(duì)稱密碼算法匿解 密信息密文W���,而還原出信息明文M��,可表示為M ==匿(W)��。圖中連線的箭頭�,表示傳遞或 作用的方向���。 圖2是本發(fā)明信息保密方法�����,同文保密聯(lián)鎖的示意圖�����。公鑰Pi和私鑰Vi��,是一組 共管關(guān)系人中第i個(gè)關(guān)系人(i = 1����,2…n)所擁有的密鑰對(duì)。加密時(shí)�����,先確定會(huì)話密鑰K��, 用來通過對(duì)稱密碼算法EM加密信息明文M以生成信息密文W��,可表示為W = EM(M)�����。接著 將該組關(guān)系人按一定順序排列���,這里假設(shè)就按下標(biāo)遞增順序排列,再依次分別用第1個(gè)關(guān) 系人的公鑰Pl��,通過非對(duì)稱密碼算法EK來加密會(huì)話密鑰K��,生成對(duì)應(yīng)的密鑰副本Cl ;對(duì)于 i > l���,都用第i個(gè)關(guān)系人的公鑰Pi加密前一個(gè)密鑰副本Ci-l��,而生成密鑰副本Ci���,可表示 為Ci =EK(Pi�����,Ci-l)���。又集中全部關(guān)系人的身份標(biāo)識(shí),構(gòu)造索引部I��,保存關(guān)系人的排列順 序��。索引部I與最終的密鑰副本Cn���,構(gòu)成密鑰密文G ;而密鑰密文G與信息密文W�,構(gòu)成復(fù)合密文F����,共存為同一個(gè)文件,由各個(gè)關(guān)系人所聯(lián)鎖�����。解密時(shí),提取最終的密鑰副本Cn��,循加 密時(shí)的相反順序����,先由第n個(gè)關(guān)系人用其私鑰Vn,通過非對(duì)稱密碼算法DK來解密密鑰副本 Cn�����,得出過渡性密鑰副本Cn-l���,可表示為Cn-1 = DK(Vn, Cn);再由第n-l個(gè)關(guān)系人用其私 鑰Vn-1解密密鑰副本Cn-l��,得出過渡性密鑰副本Cn-2�����,可表示為Cn_2 = DK(Vn-l���,Cn-l); 如此繼續(xù)進(jìn)行����,直到由第1個(gè)關(guān)系人用其私鑰VI解密密鑰副本CI,獲取會(huì)話密鑰K��,可表示 為K = DK(V1���, CI);再用會(huì)話密鑰K����,來通過對(duì)稱密碼算法匿解密信息密文W�,而還原出信 息明文M,可表示為M ==匿(W)��。圖中連線的箭頭���,表示傳遞或作用的方向�����。
圖3是本發(fā)明����,信息保密方法的一個(gè)實(shí)施實(shí)例的程序界面示意圖�����。標(biāo)題欄(1)上 有程序名稱"信息保密程序",右上角按慣例安排最小化按鈕(11)和關(guān)閉按鈕(12)��。程序 的功能列出了操作(2)�����,分別有加密(21)和解密(22)可單選��,前者是默認(rèn)選項(xiàng)��。通過定義 處理(3)來約定加解密的處理方式��,文件名也加密(31)不難理解���,另存(32)若選中則加密 生成的密文將生成一個(gè)新的副本,下拉列表框(33)包含三種加密方式"獨(dú)占"��、"共享"�����、"聯(lián) 鎖"�。密鑰輸入框(41)接收用于加解密的密碼裝置序列號(hào),按鈕(42)用于打開一個(gè)通訊錄 窗口���,來管理和檢索密碼裝置序列號(hào)�;文件輸入框(51)接收要加/解密的文件路徑名,按鈕 (52)用于打開對(duì)應(yīng)文件�;確認(rèn)按鈕(61)用于執(zhí)行操作,擴(kuò)展按鈕(62)用于展開本程序輔 助操作界面以供設(shè)置相關(guān)參數(shù)���,幫助按鈕(63)用于顯示幫助信息��;提示行(7)用于顯示操 作指引及報(bào)告操作結(jié)果�。 圖4是本發(fā)明���,數(shù)字簽名程序的一個(gè)實(shí)施實(shí)例的界面示意圖���。標(biāo)題欄(1)上有程序 名稱"數(shù)字簽名程序",右上角按慣例安排最小化按鈕(11)和關(guān)閉按鈕(12)�。程序的功能列 出了操作(2),分別有簽名(21)和驗(yàn)證(22)可單選����,前者是默認(rèn)選項(xiàng)。通過定義處理(3) 來約定加操作的處理對(duì)象��,下拉列表框(31)包含三種對(duì)象"文本窗口"����、"文件數(shù)據(jù)"��、"文件 名和數(shù)據(jù)"�����,前一種是默認(rèn)選項(xiàng)��,下拉列表框(32)包含兩種散列算法��。密鑰輸入框(41)接 收用于簽名和驗(yàn)證的密碼裝置序列號(hào)���,按鈕(42)用于打開一個(gè)通訊錄窗口,來管理和檢索 密碼裝置序列號(hào)��;文件輸入框(51)接收要加/解密的文件路徑名���,按鈕(52)用于打開對(duì)應(yīng) 文件;確認(rèn)按鈕(61)用于執(zhí)行操作����,擴(kuò)展按鈕(62)用于展開本程序輔助操作界面以供設(shè)置 相關(guān)參數(shù),幫助按鈕(63)用于顯示幫助信息�����;提示行(7)用于顯示操作指引及報(bào)告操作結(jié) 果。 圖5是本發(fā)明���,數(shù)字簽名程序的針對(duì)窗口文本的即時(shí)簽名效果示意圖���。在一個(gè)編 輯窗口內(nèi)操作,底部分隔線之上是信息文本內(nèi)容�,分隔線以下即是簽名數(shù)據(jù),經(jīng)過可視化編 碼����,并折行成塊顯現(xiàn)。
具體實(shí)施例方式
本發(fā)明信息保密方法的實(shí)施例���。編制一個(gè)Windows對(duì)話框架構(gòu)的實(shí)用程序�,命名 為"信息保密程序"���。程序主操作界面結(jié)構(gòu)�����,如圖3所示��。程序集成一種名為"密碼金鎧"的 USB接口的密碼裝置產(chǎn)品����,加載其配套的API動(dòng)態(tài)鏈接庫,調(diào)用其編程接口函數(shù)來實(shí)現(xiàn)加密 和解密功能�����。程序響應(yīng)于設(shè)備變化消息�����,自動(dòng)檢測(cè)密碼裝置的接入和移出�,為加密和解密操 作提供密碼裝置可用性判據(jù)。程序功能界面���,參照?qǐng)D3設(shè)計(jì)�。程序功能流程處理���,參照?qǐng)D1 和圖2實(shí)現(xiàn)。加密信息的對(duì)稱算法���,采用AES ;加密和解密會(huì)話密鑰的非對(duì)稱密碼算法����,采 用RSA,可視化編碼采用BASE64���。
本發(fā)明數(shù)字簽名程序的實(shí)施例�。編制一個(gè)Windows對(duì)話框架構(gòu)的實(shí)用程序�,命名 為"數(shù)字簽名程序"。程序主操作界面結(jié)構(gòu)��,如圖4所示�����。程序集成一種名為"密碼金鎧"的 USB接口的密碼裝置產(chǎn)品���,加載其配套的API動(dòng)態(tài)鏈接庫��,調(diào)用其編程接口函數(shù)來實(shí)現(xiàn)數(shù)字 簽名與驗(yàn)證功能�����。程序響應(yīng)于設(shè)備變化消息����,自動(dòng)檢測(cè)密碼裝置的接入和移出,為簽名和驗(yàn) 證操作提供密碼裝置可用性判據(jù)�����。程序特別針對(duì)當(dāng)前編輯窗口內(nèi)的全部文本進(jìn)行即時(shí)簽名 和即時(shí)驗(yàn)證�����,具體取決于當(dāng)前的操作選項(xiàng)�。為了區(qū)分簽名數(shù)據(jù)與原有文本內(nèi)容,特規(guī)定用首 標(biāo)記"〈 "和尾標(biāo)記" 〉"����,在簽名時(shí)分別附加在簽名數(shù)據(jù)的首和尾;而在驗(yàn)證時(shí)���,則查找這 一對(duì)標(biāo)記來定位與區(qū)分��。數(shù)字簽名算法采用RSA��,密鑰長度確定為1024位�����,可視化編碼采用 BASE64���。生成簽名數(shù)據(jù)時(shí),還在密文中附加"密碼金鎧"產(chǎn)品序列號(hào)�����,以供驗(yàn)明身份和/或 交換密鑰�����。確認(rèn)簽名后����,將提示操作者去點(diǎn)擊目標(biāo)窗口,然后自動(dòng)處理函數(shù)過程的必要步驟 包括①模擬[Ctrl+A]按鍵����,全選當(dāng)前窗口內(nèi)的全部文本;②模擬[Ctrl+C]并經(jīng)剪貼板提 取文本�����;③判別有無簽名數(shù)據(jù)��,調(diào)用"密碼金鎧"相應(yīng)功能函數(shù)進(jìn)行簽名或驗(yàn)證;④經(jīng)剪貼 板并模擬[Ctrl+V]而在當(dāng)前窗口內(nèi)的原有文本之后添加簽名數(shù)據(jù)��。使用本程序進(jìn)行即時(shí) 簽名操作的實(shí)際效果實(shí)例�����,如圖5所示�。
權(quán)利要求
一種信息保密方法,既采用對(duì)稱密碼算法�,以會(huì)話密鑰來加密信息明文生成信息密文和解密信息密文還原信息明文,又采用非對(duì)稱密碼算法����,以公鑰來加密會(huì)話密鑰生成密鑰密文而以私鑰來解密密鑰密文獲取會(huì)話密鑰,密鑰密文與信息密文關(guān)聯(lián)存儲(chǔ)于同一文本或同一文件中而構(gòu)成復(fù)合密文�,其特征在于,所述復(fù)合密文因集合多方密鑰作用而實(shí)現(xiàn)同文保密共享���,在發(fā)信方可一次針對(duì)多個(gè)收信方�,分別以他們的公鑰來加密會(huì)話密鑰生成多個(gè)對(duì)應(yīng)的密鑰副本����,并連同所對(duì)應(yīng)各個(gè)收信方的身份標(biāo)識(shí)或其使用的密碼裝置標(biāo)識(shí)的集合而共存于密鑰密文中,在各收信方則以其所述標(biāo)識(shí)作為索引關(guān)鍵字�,從該密鑰密文中檢索出其對(duì)應(yīng)的密鑰副本���,再用自己的私鑰來解密該密鑰副本獲取會(huì)話密鑰。
2. 根據(jù)權(quán)利要求1所述的方法��,其特征是���,所述密鑰密文還包含以發(fā)信方的公鑰加密 會(huì)話密鑰所生成的密鑰副本,和包含發(fā)信方的身份標(biāo)識(shí)或其使用的密碼裝置標(biāo)識(shí)作為索引 關(guān)鍵字�。
3 根據(jù)權(quán)利要求1和2所述的方法,其特征是�����,所述檢索密鑰副本的過程�����,檢索比對(duì)收 信方的和/或發(fā)信方的身份標(biāo)識(shí)或其使用的密碼裝置標(biāo)識(shí)的失敗���,將導(dǎo)致所述獲取會(huì)話密 鑰過程的中止����,繼而導(dǎo)致對(duì)解密信息密文操作的拒絕��。
4. 一種信息保密方法,既采用對(duì)稱密碼算法����,以會(huì)話密鑰來加密信息明文生成信息密 文和解密信息密文還原信息明文,又采用非對(duì)稱密碼算法��,以公鑰來加密會(huì)話密鑰生成密 鑰密文而以私鑰來解密密鑰密文獲取會(huì)話密鑰���,密鑰密文與信息密文關(guān)聯(lián)存儲(chǔ)于同一文本 或同一文件中而構(gòu)成復(fù)合密文�,其特征在于�,所述復(fù)合密文因聯(lián)結(jié)多方密鑰作用而實(shí)現(xiàn)同 文保密聯(lián)鎖,加密時(shí)將一組關(guān)系人按一定順序排列�����,依次先后以他們的公鑰來迭代加密會(huì) 話密鑰生成最終的密鑰副本��,并連同所對(duì)應(yīng)各個(gè)關(guān)系人的身份標(biāo)識(shí)或其使用的密碼裝置標(biāo) 識(shí)的集合而共存于密鑰密文中��,解密時(shí)則從密鑰密文中提取該密鑰副本���,再按與加密時(shí)的 相反順序���,依次先后用同組關(guān)系人的私鑰來迭代解密該密鑰副本獲取會(huì)話密鑰����。
5. 根據(jù)權(quán)利要求4所述的方法���,其特征是���,所述加密時(shí)的一定順序����,明確為各個(gè)關(guān)系人 身份標(biāo)識(shí)或其使用的密碼裝置標(biāo)識(shí)在同一密鑰密文中存儲(chǔ)的先后順序;而所述解密時(shí)的相 反順序�,則是該存儲(chǔ)順序的逆反序。
6. 根據(jù)權(quán)利要求4所述的方法�,其特征是,所述迭代加密的過程���,隨著迭代次數(shù)的遞 增����,而導(dǎo)致所生成的密鑰副本長度逐漸伸長����;所述迭代解密的過程�,隨著迭代次數(shù)的遞增��, 而導(dǎo)致所生成的密鑰副本長度逐漸縮短����。
7. 根據(jù)權(quán)利要求4、5和6所述的方法�,其特征是,所述迭代解密的過程�����,檢索比對(duì)關(guān)系 人的身份標(biāo)識(shí)或其使用的密碼裝置標(biāo)識(shí)的失敗�,將導(dǎo)致所述迭代解密過程的中止,繼而導(dǎo) 致對(duì)解密信息密文操作的拒絕�。
8. —種身份認(rèn)證方法,是為應(yīng)用軟件或服務(wù)系統(tǒng)���,以非對(duì)稱密碼算法結(jié)合挑戰(zhàn)響應(yīng)策 略�,在客戶端采用密碼裝置硬件����,對(duì)源自服務(wù)器端的挑戰(zhàn)隨機(jī)數(shù)施行簽名,而在服務(wù)器端生 成挑戰(zhàn)隨機(jī)數(shù)��,對(duì)客戶端的簽名進(jìn)行驗(yàn)證來鑒別用戶身份真?zhèn)危涮卣髟谟?�,所述簽名和?yàn) 證在具體應(yīng)用軟件或服務(wù)系統(tǒng)的實(shí)現(xiàn)���,至少兼容支持兩種以上所述密碼裝置硬件��,并且自 動(dòng)識(shí)別區(qū)分和/或允許用戶自主選定��。
9. 根據(jù)權(quán)利要求8所述的方法�����,其特征是,所述自動(dòng)識(shí)別區(qū)分�,是在客戶端由程序自行 讀取密碼裝置的產(chǎn)品識(shí)別碼和/或生產(chǎn)商識(shí)別碼來區(qū)分。
10. 根據(jù)權(quán)利要求8所述的方法�����,其特征是���,所述用戶自主選定��,是在注冊(cè)或變更操作界面上列舉而讓用戶選擇定制�,和/或在登錄操作界面上列舉而讓用戶選擇確定。
11. 一種數(shù)字簽名程序���,尤其用于協(xié)同諸如即時(shí)通信���、電子郵箱和其他包含文本編輯功 能的目標(biāo)程序使用而又獨(dú)立運(yùn)行,實(shí)現(xiàn)確定的密碼算法��,和/或操控密碼裝置硬件����,對(duì)信息 文本施行數(shù)字簽名和對(duì)信息文本中的數(shù)字簽名進(jìn)行驗(yàn)證,其特征在于����,所述簽名和驗(yàn)證,是 針對(duì)所指向目標(biāo)進(jìn)程的當(dāng)前窗口內(nèi)的文本進(jìn)行的即時(shí)簽名和即時(shí)驗(yàn)證�,使得該文本被即時(shí) 插入簽名數(shù)據(jù)并即時(shí)呈現(xiàn)在同一窗口內(nèi),或使得該文本中的簽名數(shù)據(jù)被即時(shí)驗(yàn)證并即時(shí)呈 現(xiàn)驗(yàn)證結(jié)果�。
12. 根據(jù)權(quán)利要求ll所述的程序,其特征是���,所述即時(shí)簽名允許多重簽名�,即由多位簽 名人或使用多個(gè)密碼裝置分別簽名�����,所述即時(shí)驗(yàn)證采取對(duì)應(yīng)驗(yàn)證,即對(duì)應(yīng)于具體的簽名人 或密碼裝置的簽名進(jìn)行驗(yàn)證�����。
全文摘要
一種信息保密與身份認(rèn)證方法和數(shù)字簽名程序��,涉及計(jì)算機(jī)軟件���、網(wǎng)絡(luò)通信和信息安全技術(shù)領(lǐng)域�����,尤其用于即時(shí)通信��、電子郵件和文檔資料的信息保密。對(duì)稱與非對(duì)稱密碼算法相結(jié)合��,密鑰密文與信息密文構(gòu)成復(fù)合密文�,因集合多方密鑰作用而達(dá)成同文保密共享,由聯(lián)結(jié)多方密鑰作用而實(shí)現(xiàn)同文保密聯(lián)鎖�;簽名挑戰(zhàn)響應(yīng)機(jī)制,兼容兩種以上密碼裝置�����,自動(dòng)識(shí)別區(qū)分和/或用戶自主定制,身份認(rèn)證更臻靈活完善����;還設(shè)計(jì)一種便捷實(shí)用的數(shù)據(jù)簽名程序,協(xié)同目標(biāo)程序使用而又獨(dú)立運(yùn)行�,實(shí)現(xiàn)對(duì)窗口文本信息的即時(shí)簽名和即時(shí)驗(yàn)證。
文檔編號(hào)H04L9/28GK101753311SQ20101000524
公開日2010年6月23日 申請(qǐng)日期2010年1月14日 優(yōu)先權(quán)日2010年1月14日
發(fā)明者周躍平, 楊筑平, 楊霄 申請(qǐng)人:楊筑平