[发明专利]密钥验证方法、设备及可读存储介质

说明书

本申请公开了一种密钥验证方法、设备及可读存储介质，该方法包括步骤：获取通过密码机设备证书的私钥对证书请求文件数字签名后得到私钥证明证书，其中，所述证书请求文件中记载有待验证密钥的信息，所述私钥证明证书记载有生成所述待验证密钥的目标密码机信息；验证私钥证明证书与证书请求文件是否均由待验证密钥生成，若是，则显示待验证密钥由密码机生成的第一信息；获取并验证私钥证明证书的证书信任链，若证书信任链验证通过，则显示验证成功的第二信息，基于第一信息和第二信息，确定待验证密钥由目标密码机生成，输出密钥验证通过的信息；通过上述方式实现自动化验证，而无需传统方式的人工验证私钥生成过程，从而提高了密钥验证效率。

技术领域

本申请涉及密码机技术领域，尤其涉及一种密钥验证方法、设备及可读存储介质。

背景技术

密码机(或密码卡)是运用密码对信息实施加(解)密处理和身份认证的专用设备，被应用于各行各业中，特别是在密码合规系统改造中的密码应用。传统的密码机使用时，密码机部署在自己企业机房内最安全的区域，对密码机生成密钥对的信任通过物理访问控制来实现。但是，随着云密码服务的应用和推广，需要密码机与云端连接以实现密码服务，在此场景中，密钥对的真实性对加(解)密的信息保护尤为重要。

但目前我国通过商用密码产品认证的密码机都无法提供有效证明，以验证密码机内密钥对的真实性，而传统的验证方式是，通过一个可信的安全审计人员在现场实时监督密钥对生成过程，并在生成结束后出具密钥生成报告给用户，用户通过出具的这份报告来证明自己的密钥对的确由本密码机生成。这样的操作无疑增加了密钥验证的复杂性，且对于大量密钥对生成和应用的云密码服务，这种验证效率很低的验证方式则是不可接受和无法实际操作的。

发明内容

本申请的主要目的在于提供一种密钥验证方法、设备及可读存储介质，旨在解决密码机密钥来源的验证效率低的技术问题。

为实现上述目的，本申请提供一种密钥验证方法，所述密钥验证方法包括步骤：

获取通过密码机设备证书的私钥对证书请求文件数字签名后得到的私钥证明证书，其中，所述证书请求文件中记载有待验证密钥的信息，所述私钥证明证书中记载有生成所述待验证密钥的目标密码机的信息；

验证所述私钥证明证书与所述证书请求文件是否均由所述待验证密钥生成，若是，则显示所述待验证密钥由密码机生成的第一信息，其中，所述密码机包括所述目标密码机；

获取并验证所述私钥证明证书的证书信任链，若所述证书信任链验证通过，则显示验证成功的第二信息，基于所述第一信息和所述第二信息，确定所述待验证密钥由所述目标密码机生成，输出密钥验证通过的信息。

可选地，所述验证所述私钥证明证书与所述证书请求文件是否均由所述待验证密钥生成，若是，则显示所述待验证密钥由密码机生成的第一信息的步骤，包括：

验证所述私钥证明证书，得到私钥证明证书对应的验证文件；

若所述私钥证明证书和所述证书请求文件均由所述待验证密钥生成，则显示所述待验证密钥由密码机生成的第一信息。

可选地，所述验证所述私钥证明证书，得到私钥证明证书对应的验证文件的步骤，包括：

获取所述密码机设备证书的公钥；

通过所述密码机设备证书的公钥对所述私钥证明证书进行验证，得到验证文件。

可选地，所述若所述私钥证明证书和所述证书请求文件均由所述待验证密钥生成，则显示所述待验证密钥由密码机生成的第一信息的步骤，包括：

比对所述验证文件与所述证书请求文件的内容是否一致；

若一致，则确定所述私钥证明证书和所述证书请求文件均由所述待验证密钥生成，显示所述待验证密钥由所述密码机生成的所述第一信息，其中，所述密码机包括所述目标密码机；