[发明专利]一种面向群组的密码系统

摘要

本发明涉及一种面向群组的密码系统，包括密钥服务系统、密码模块、群组管理系统。基于所述密码系统，群组成员共享的一系列在不同时期有效的群组秘密密钥包括对称密钥或私钥在用户计算装置的密码模块中被保存在一个群组密钥对象中；当密码应用程序使用群组密钥对象进行密码运算时，密码模块选择群组密钥对象中合适的秘密密钥进行密码运算；若群组密钥对象中没有合适的秘密密钥，密码模块自动从密钥服务系统获取密码运算所需的群组秘密密钥，在获取过程中密码模块先连接群组管理系统获得证明用户是群组成员的群组令牌。基于本发明的密码系统，在群组秘密密钥进行更新时，用户无需每次进行秘密密钥的手工安装配置。

主权项

一种面向群组的密码系统，其特征在于，所述系统包括：密钥服务系统、密码模块以及群组管理系统，其中，密钥服务系统：一个为群组成员在线生成和恢复群组秘密密钥的系统；所述群组秘密密钥是在群组成员中共享、用于数据加密和解密的秘密密钥，所述群组秘密密钥包括对称密钥和公开密钥的私钥；一个群组在不同时期具有不同的群组秘密密钥；在出现群组秘密密钥泄露时，一个群组的秘密密钥通过密钥更新在同一个时期出现不同的群组秘密密钥；密码模块：一个运行在用户计算设备中提供密码功能的软件组件或软硬件相结合的组件；所述密码功能包括密钥管理和密码运算；所述密码模块维护有群组密钥对象，包括永久性和临时性的群组密钥对象；密码模块中的一个群组密钥对象对应一个群组，并保存有群组的一系列在不同时期有效的群组秘密密钥，以及每个在不同时期有效的群组秘密密钥的标识信息；所述群组秘密密钥的标识信息用于在群组的一系列秘密密钥中标识和区分一个秘密密钥；所述群组密钥对象在初始创建时没有群组秘密密钥；密码模块按通常标识对称密钥或非对称密钥的密钥对象的方式标识群组密钥对象，群组密钥对象是被标识为对称密钥对象还是非对称密钥对象取决于群组密钥对象中存放的秘密密钥是对称密钥还是非对称密钥；密码应用程序按通常使用密钥对象的方式使用群组密钥对象，即密码应用程序不知道也不关心使用的群组密钥对象是通常的、非群组的密钥对象还是一个群组密钥对象；所述密码应用程序是运行在用户计算设备中并使用密码模块中的群组密钥对象进行数据加密和解密的应用程序；群组管理系统：一个用于用户群组管理包括群组创建、群组维护和群组删除的系统；所述群组维护包括群组成员用户的加入和退出管理；所述群组管理系统管理的每个群组都有一个标识符，称为群组标识符或群组ID；所述群组标识符是一个唯一标识群组的字符串；当一个用户从密钥服务系统在线获取一个群组秘密密钥时，所述群组管理系统负责在线鉴别用户的身份，确定用户是群组成员，并在身份鉴别和群组成员确认通过后为用户签发证明用户是群组成员的群组令牌；当密码应用程序通过密码模块的接口使用一个群组密钥对象对数据进行加密或解密时，若密码模块检查发现群组密钥对象中没有进行数据加密或解密所需的群组秘密密钥，则密码模块自动连接群组管理系统，从群组管理系统获取证明用户是群组成员的群组令牌，然后利用获得的群组令牌从密钥管理系统获取所需的群组秘密密钥，并将获得的群组秘密密钥及群组秘密密钥的标识信息保存到群组密钥对象中。