(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210959019.3 (22)申请日 2022.08.10 (71)申请人 北京安盟信息技 术股份有限公司 地址 100094 北京市海淀区西北旺镇邓庄 南路南侧、 友谊路西侧的土井村盛景 创业园T01地 块1号楼3A层3A19 (72)发明人 李阳　张大伟　 (74)专利代理 机构 北京冠榆知识产权代理事务 所(特殊普通 合伙) 11666 专利代理师 朱亚琦 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) (54)发明名称 一种通过密钥重用提高数字信封性能的方 法及数字信封 (57)摘要 本发明公开一种通过密钥重用提高数字信 封性能的方法及数字信封， 通过在接收者信息中 添加可选密钥摘要信息对数字信封原有格式进 行扩展， 扩展后的数字信封格式兼容数字信封原 有格式； 在首次制作扩展后的数字信封后， 如果 扩展后的数字信封已有接收者， 那么在该扩展后 的数字信封制作过程中， 该扩展后的数字信封的 接收者信息中的对称密钥密文字段直接采用 原 有的加密值， 并填写对称密钥明文摘要值作为可 选密钥摘要信息， 不再进行本次数字信封制作所 需的公钥计算； 在数字信封发送方首次制作扩展 后的数字信封时， 需要进行制作数字信封所需的 所有计算过程， 并需要将对称密钥、 对称密钥密 文和可选密钥摘要信息进行缓存。 权利要求书1页 说明书3页 附图3页 CN 115102788 A 2022.09.23 CN 115102788 A 1.一种通过密钥重用提高数字信封性能的方法， 其特征在于， 通过在接收者信息中添 加可选密钥摘要信息对数字信封原有格式进 行扩展， 扩展后的数字信封格式兼容数字信封 原有格式； 在首次制作扩展后的数字信封后， 如果扩展后的数字信封已有接收者， 那么在该 扩展后的数字信封制作过程中， 该扩展后的数字信封的接收者信息中的对称密钥密 文字段 直接采用原有的加密值， 并填写对称密钥明文摘要值作为可选密钥摘要信息， 不再进行本 次数字信封制作所需的公钥计算； 在数字信封发送方首次制作扩展后的数字信封时， 需要 进行制作数字信封所需的所有计算过程， 并需要将对称密钥、 对称密钥密文和可选密钥摘 要信息进行缓存。 2.根据权利要求1所述的通过密钥重用提高数字信 封性能的方法， 其特征在于， 接收方 解密数字信封时， 先根据对称密钥明文摘要进行查找， 如果没有现成的对称密钥， 则采用私 钥解密导入对称密钥， 获得对称密钥， 并缓存该对称密钥明文摘要的摘要值与对称密钥的 对应关系； 如果有现成的对称密钥， 则省略私钥解密过程， 直接采用该对称密钥进行解密。 3.根据权利要求1所述的通过密钥重用提高数字信 封性能的方法， 其特征在于， 数字信 封发送方制作扩展后的数字信封时， 将消息进行对称加密得到消息密文， 并将消息密文和 对称密钥密文以及对称密钥明文摘要封装在扩展后的数字信封内。 4.根据权利要求3所述的通过密钥重用提高数字信封性能的方法， 制作数字信封时所 用对称密钥为随机生成的对称密钥。 5.根据权利要求1～4任一所述的通过密钥重用提高数字信封性能的方法， 其特征在 于， 对称密钥明文摘要值 为用于消息加密用的对称密钥的摘要值。 6.一种数字信封， 其特征在于， 包括消息密文和密钥密文， 密钥密文包括接收者信息， 接收者信息包括软件版本信息、 证书颁发者及证书序列号、 密钥加密算法标识、 对称密钥 密 文和对称密钥明文摘要。 7.根据权利要求6所述的数字信 封， 其特征在于， 对称密钥明文摘要的值为制作消息密 文时所使用的对称密钥的摘要值。 8.根据权利要求6所述的数字信 封， 其特征在于， 当数字信 封的接收者数量大于或等于 2时， 制作消息密文所使用的对称密钥为同一个对称密钥。 9.根据权利要求6所述的数字信 封， 其特征在于， 当数字信 封的接收者数量大于或等于 2时， 制作密钥密文时对 对称密钥加密时所使用的公钥为与接收者相关联的公钥。 10.根据权利要求6～9任一所述的数字信 封， 其特征在于， 制作 数字信封时所用对称密 钥为随机生成的对称密钥。权　利　要　求　书 1/1 页 2 CN 115102788 A 2一种通过密钥重用提高数字信封性能的方 法及数字信封 技术领域 [0001]本发明涉及数字信封技术领域。 具体地说是一种通过密钥重用提高数字信封性能 的方法及数字信封 。 背景技术 [0002]数字信封技术是用密码技术保证只有正确的接收方才能获取信息的信息安全技 术。 它在外层通过公钥加密解决了密钥分发的问题； 在内层通过对称加密提高了加密效率。 [0003]数字信封制作过程如下： [0004]1)生成随机数 Key， 作为对称加密 密钥； [0005]2)采用对称加密 密钥Key， 对消息加密， 得到消息密文； [0006]3)采用接收方公钥对K ey进行加密， 得到密钥密文； [0007]4)将消息密文和密钥密文 按照格式组成数字信封， 发生给接收方。 [0008]数字信封解密过程如下： [0009]1)采用自己的私钥解密 密钥密文， 得到对称密钥K ey； [0010]2)采用对称密钥K ey， 解密消息密文， 得到消息明文。 [0011]上面描述中， 采用了自定义的简单的数字信封格式， 即数字信封由两部分组成： 消 息密文和密钥密文； 在实际应用中， 为了遵循统一的标准和 格式， 数字信封一般采用RSA公 司的PKCS#7标准。 在该格式中， 数字信封的接收者可以是多人； 其中消息密文仅一份数据， 采用相同的对称密钥对数据进 行加密； 对每一个接收者， 采用其 公钥对对称密钥进 行加密， 存放在“对称密钥密文 ”字段。 在PKCS#7 标准中， 要求每 个数字信封中的对称密钥随机生成。 [0012]在采用PKCS#7标准 的数字信封中， 由于每个数字信封的对称密钥随机生成， 因此 每个数字信封在制作/解密的过程中， 对称密钥 密文都需要重新计算， 需要用到大量 非对称 计算， 导致性能严重降低。 [0013]在对称算法加密的字节数量未达到其密钥安全阈值的前提下， 采用一次一密的工 作机制， 势必影响计算 性能。 发明内容 [0014]为此， 本发明所要解决的技术问题在于提供一种通过密钥重用提高数字信封性能 的方法及数字信封， 通过对数字信封格式进行扩展， 并在扩展后的数值信封中添加可选密 钥摘要信息， 然后通过可选密钥摘要信息来提高频繁通信过程中数字信封制作和解密处理 时间。 [0015]为解决上述 技术问题， 本发明提供如下技 术方案： [0016]一种通过密钥重用提高数字信封性能的方法， 通过在接收者信息中添加可选密钥 摘要信息对数字信封原有格式进行扩展， 扩展后的数字信封格式兼容数字信封原有格式； 在首次制作扩展后的数字信封后， 如果扩展后的数字信封已有接 收者， 那么在该扩展后的 数字信封制作过程中， 该扩展后的数字信封的接收者信息中的对称密钥 密文字段直接采用说　明　书 1/3 页 3 CN 115102788 A 3