專利名稱:一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全密碼技術(shù)領(lǐng)域,尤其涉及一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法。
背景技術(shù):
密碼技術(shù)是信息安全的基礎(chǔ)技術(shù),密鑰則是密碼技術(shù)安全應(yīng)用的基礎(chǔ)和信息化安全的核心元素。隨著我國(guó)信息化產(chǎn)業(yè)的高速全面發(fā)展,基于對(duì)稱密鑰體系的密鑰管理系統(tǒng)也進(jìn)入全面的建設(shè)階段,對(duì)稱密鑰體系中密鑰的衍生過(guò)程面臨著越來(lái)越嚴(yán)格的技術(shù)要求。當(dāng)前傳統(tǒng)的對(duì)稱密鑰體系中使用的密鑰主要是利用密碼設(shè)備產(chǎn)生若干條密鑰數(shù)據(jù),并將若干條密鑰數(shù)據(jù)作為系統(tǒng)中使用的密鑰數(shù)據(jù)。上述過(guò)程中密鑰數(shù)據(jù)產(chǎn)生過(guò)程單一, 沒(méi)有對(duì)密鑰數(shù)據(jù)本身進(jìn)行衍生變換處理,密鑰數(shù)據(jù)產(chǎn)生過(guò)程過(guò)于簡(jiǎn)單,不利于多級(jí)密鑰管理體系中密鑰數(shù)據(jù)的傳遞和使用,存在一定的安全隱患。對(duì)稱密鑰體系中較為復(fù)雜的密鑰分散技術(shù)通常采用自行實(shí)現(xiàn)密鑰分散衍生算法,利用多個(gè)分散因子完成密鑰分散操作。密鑰分散技術(shù)相對(duì)復(fù)雜和繁瑣,自身實(shí)現(xiàn)的分散衍生算法安全性不能得到保障;分散過(guò)程中參與的分散因子數(shù)量眾多,不利于密鑰分散的可操作性。另外,通過(guò)上述密鑰分散技術(shù),可能會(huì)導(dǎo)致相同的密鑰和分散因子衍生出不同的密鑰,或者不同的密鑰和分散因子衍生出相同的密鑰,因此存在較大的安全隱患。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法,解決上述密鑰衍生變換過(guò)程中存在的安全風(fēng)險(xiǎn),提高密鑰衍生變換過(guò)程的安全性,符合當(dāng)前對(duì)稱密鑰體系的密鑰衍生變換的相關(guān)要求。為實(shí)現(xiàn)上述目的,本發(fā)明采取以下技術(shù)方案一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法,包括以下步驟步驟(I),在一級(jí)密鑰管理系統(tǒng)中分別注入二級(jí)分散因子;步驟(2),一級(jí)密鑰管理系統(tǒng)利用國(guó)家標(biāo)準(zhǔn)算法,用指定的密鑰對(duì)二級(jí)分散因子進(jìn)行分散運(yùn)算,得到二級(jí)密鑰管理系統(tǒng)的密鑰數(shù)據(jù)。優(yōu)選步驟在所述的步驟(2)后,加入以下步驟
步驟(a),在二級(jí)密鑰管理系統(tǒng)中注入三級(jí)分散因子;
步驟(b),二級(jí)密鑰管理系統(tǒng)利用國(guó)家標(biāo)準(zhǔn)算法,用指定的密鑰對(duì)三級(jí)分散因子進(jìn)行分散運(yùn)算,得到三級(jí)密鑰管理系統(tǒng)的密鑰數(shù)據(jù)。優(yōu)選步驟步驟(b)后,再加入四級(jí)及以上密鑰管理系統(tǒng)并注入四級(jí)及以上分散因子,執(zhí)行相應(yīng)步驟。優(yōu)選步驟注入各級(jí)分散因子的方法為采用碼單或者IC卡。優(yōu)選步驟碼單方式直接輸入各級(jí)分散因子,IC卡方式需要輸入IC卡PIN碼并讀取各級(jí)分散因子,完成各級(jí)分散因子的注入。優(yōu)選步驟在得到各級(jí)密鑰管理系統(tǒng)的密鑰數(shù)據(jù)后,采用門(mén)限機(jī)制方式對(duì)密鑰分散后的各級(jí)密鑰管理系統(tǒng)的密鑰數(shù)據(jù)進(jìn)行備份。優(yōu)選步驟各級(jí)密鑰管理系統(tǒng)將密鑰數(shù)據(jù)分割成5份,并安全存儲(chǔ)到5張不同的IC卡中,受IC卡PIN碼保護(hù);其中任意3張IC卡即可進(jìn)行密鑰還原操作。綜上所述,由于采用了上述技術(shù)方案,本發(fā)明的具體有益效果是
1、密鑰分散方法采用國(guó)家標(biāo)準(zhǔn)算法(SMl分組密碼算法)進(jìn)行密鑰分散運(yùn)算,密鑰分散運(yùn)算過(guò)程安全性高、可靠性強(qiáng);
2、密鑰分散方法引入分散因子,將分散因子參與到密鑰分散過(guò)程中,避免了單一密鑰數(shù)據(jù)直接作為密鑰的安全隱患,具有較高的實(shí)用性;
3、密鑰分散方法通過(guò)指定密鑰,利用不同的分散因子,可以逐層對(duì)密鑰進(jìn)行分散運(yùn)算,得到若干條分散后的密鑰數(shù)據(jù),分散產(chǎn)生過(guò)程層層相扣、過(guò)程嚴(yán)密,具有較高的安全性;
4、相同的密鑰數(shù)據(jù),不同的分散因子,可以分散出若干條不同的密鑰數(shù)據(jù),滿足不同應(yīng)用系統(tǒng)對(duì)密鑰數(shù)據(jù)的不同需求,具有廣泛的適應(yīng)性;
5、密鑰分散方法支持多層密鑰管理體系,滿足逐層保護(hù)、專鑰專用原則,具有明顯的自身優(yōu)勢(shì);
6、分散因子是密鑰分散過(guò)程中重要參與者,用戶可以根據(jù)實(shí)際情況按照規(guī)則自行定義分散因子,并采用碼單或IC卡的形式注入分散因子,避免了純手工方式注入分散因子帶來(lái)的安全隱患,增強(qiáng)了分散因子注入過(guò)程的安全性;
7、采用門(mén)限機(jī)制(Mof N)5分3合的方式對(duì)密鑰分散后的密鑰數(shù)據(jù)進(jìn)行備份,確保了密鑰備份過(guò)程的安全性,提升了密鑰分散方法的整體安全??偠灾?,采用本發(fā)明技術(shù),可通過(guò)指定密鑰對(duì)不同的分散因子進(jìn)行分散運(yùn)算,得到若干條不同的密鑰數(shù)據(jù)。該方法避免了隨機(jī)數(shù)直接作為密鑰的單一衍生變換方式,提供了多元化的密鑰衍生變換方式,增強(qiáng)了密鑰衍生變換過(guò)程的安全性,降低了系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)和使用的難度,提升了系統(tǒng)的易用性和可維護(hù)性。
本發(fā)明將通過(guò)例子并參照附圖的方式說(shuō)明,其中
圖I是密鑰分散過(guò)程示意圖。
具體實(shí)施例方式本說(shuō)明書(shū)中公開(kāi)的所有特征,或公開(kāi)的所有方法或過(guò)程中的步驟,除了互相排斥的特征和/或步驟以外,均可以以任何方式組合。本說(shuō)明書(shū)(包括任何附加權(quán)利要求、摘要和附圖)中公開(kāi)的任一特征,除非特別敘述,均可被其他等效或具有類似目的的替代特征加以替換。即,除非特別敘述,每個(gè)特征只是一系列等效或類似特征中的一個(gè)例子而已。步驟(I),在一級(jí)密鑰管理系統(tǒng)分散因子管理中,用戶采用碼單或IC卡的方式分別注入、多份不同的二級(jí)分散因子;
步驟(2),碼單方式直接輸入二級(jí)分散因子,IC卡方式需要輸入IC卡PIN碼并讀取二級(jí)分散因子,完成二級(jí)分散因子注入;
步驟(3),一級(jí)密鑰管理系統(tǒng)利用國(guó)家標(biāo)準(zhǔn)算法(SMl分組密碼算法),用指定的密鑰對(duì)二級(jí)分散因子進(jìn)行分散運(yùn)算,得到二級(jí)密鑰管理系統(tǒng)密鑰數(shù)據(jù);
步驟(4),采用門(mén)限機(jī)制(M of N)5分3合方式對(duì)密鑰分散后的二級(jí)密鑰管理系統(tǒng)密鑰數(shù)據(jù)進(jìn)行備份。系統(tǒng)將密鑰數(shù)據(jù)分割成5份,并安全存儲(chǔ)到5張不同的IC卡中,受IC卡PIN碼保護(hù);其中任意3張IC卡即可進(jìn)行密鑰還原操作;
步驟(5),在終極密鑰管理系統(tǒng)分散因子管理中,用戶采用碼單或IC卡的方式分別注入、多份不同的業(yè)務(wù)分散因子;
步驟¢),終極鑰管理系統(tǒng)利用國(guó)家標(biāo)準(zhǔn)算法(SMl分組密碼算法),用指定的密鑰對(duì)業(yè)務(wù)分散因子進(jìn)行分散運(yùn)算,得到業(yè)務(wù)密鑰數(shù)據(jù);
步驟(7),采用門(mén)限機(jī)制(M of N) 5分3合方式對(duì)密鑰分散后的業(yè)務(wù)密鑰數(shù)據(jù)進(jìn)行備份。系統(tǒng)將密鑰數(shù)據(jù)分割成5份,并安全存儲(chǔ)到5張不同的IC卡中,受IC卡PIN碼保護(hù);其中任意3張IC卡即可進(jìn)行密鑰還原操作。·另外,可根據(jù)實(shí)際應(yīng)用情況,擴(kuò)展密鑰管理體系的層次和級(jí)數(shù)。密鑰分散過(guò)程需要用戶輸入不同層次或級(jí)別的分散因子,系統(tǒng)利用指定的密鑰對(duì)分散因子進(jìn)行分散運(yùn)算,得到不層次或級(jí)別的密鑰數(shù)據(jù)。圖I是密鑰分散過(guò)程示意圖。各關(guān)鍵過(guò)程詳細(xì)說(shuō)明如下
1.在一級(jí)密鑰管理系統(tǒng)分散因子管理中,用戶采用碼單或IC卡的方式分別注入、多份不同的二級(jí)分散因子;
2.碼單方式直接輸入二級(jí)分散因子,IC卡方式需要輸入IC卡PIN碼并讀取二級(jí)分散因子,完成二級(jí)分散因子注入;
3.—級(jí)密鑰管理系統(tǒng)利用國(guó)家標(biāo)準(zhǔn)算法(SMl分組密碼算法),用指定的密鑰對(duì)二級(jí)分散因子進(jìn)行分散運(yùn)算,得到二級(jí)密鑰管理系統(tǒng)密鑰數(shù)據(jù);
4.采用門(mén)限機(jī)制(Mof N)5分3合方式對(duì)密鑰分散后的二級(jí)密鑰管理系統(tǒng)密鑰數(shù)據(jù)進(jìn)行備份。系統(tǒng)將密鑰數(shù)據(jù)分割成5份,并安全存儲(chǔ)到5張不同的IC卡中,受IC卡PIN碼保護(hù);其中任意3張IC卡即可進(jìn)行密鑰還原操作;
5.在二級(jí)密鑰管理系統(tǒng)分散因子管理中,用戶采用碼單或IC卡的方式分別注入、多份不同三級(jí)分散因子;
6.碼單方式直接輸入三級(jí)分散因子,IC卡方式需要輸入IC卡PIN碼并讀取三級(jí)分散因子,完成三級(jí)分散因子注入;
7.二級(jí)密鑰管理系統(tǒng)利用國(guó)家標(biāo)準(zhǔn)算法(SMl分組密碼算法),用指定的密鑰對(duì)三級(jí)分散因子進(jìn)行分散運(yùn)算,得到三級(jí)密鑰管理系統(tǒng)密鑰數(shù)據(jù);
8.采用門(mén)限機(jī)制(Mof N)5分3合方式對(duì)密鑰分散后的三級(jí)密鑰管理系統(tǒng)密鑰數(shù)據(jù)進(jìn)行備份。系統(tǒng)將密鑰數(shù)據(jù)分割成5份,并安全存儲(chǔ)到5張不同的IC卡中,受IC卡PIN碼保護(hù);其中任意3張IC卡即可進(jìn)行密鑰還原操作;
9.在三級(jí)密鑰管理系統(tǒng)分散因子管理中,用戶采用碼單或IC卡的方式分別注入、多份不同的業(yè)務(wù)分散因子;
10.三級(jí)密鑰管理系統(tǒng)利用國(guó)家標(biāo)準(zhǔn)算法(SMl分組密碼算法),用指定的密鑰對(duì)業(yè)務(wù)分散因子進(jìn)行分散運(yùn)算,得到業(yè)務(wù)密鑰數(shù)據(jù)(具體業(yè)務(wù)系統(tǒng)需要使用的密鑰數(shù)據(jù));
11.采用門(mén)限機(jī)制(Mof N)5分3合方式對(duì)密鑰分散后的業(yè)務(wù)密鑰數(shù)據(jù)進(jìn)行備份。系統(tǒng)將密鑰數(shù)據(jù)分割成5份,并安全存儲(chǔ)到5張不同的IC卡中,受IC卡PIN碼保護(hù);其中任意3張IC卡即可進(jìn)行密鑰還原操作;
12.可根據(jù)實(shí)際應(yīng)用情況,完成多級(jí)密鑰管理系統(tǒng)的密鑰分散操作。另外,SMl分組密碼算法是由國(guó)家密碼管理局編制的一種商用密碼分組標(biāo)準(zhǔn)對(duì)稱算法。該算法是國(guó)家密碼管理部門(mén)審批的SMl分組密碼算法,分組長(zhǎng)度和密鑰長(zhǎng)度都為128比特,算法安全保密強(qiáng)度及相關(guān)軟硬件實(shí)現(xiàn)性能與AES相當(dāng),該算法不公開(kāi),僅以IP核的形式存在于芯片中。采用該算法已經(jīng)研制了系列芯片、智能IC卡、智能密碼鑰匙、加密卡、力口密機(jī)等安全產(chǎn)品,廣泛應(yīng)用于電子政務(wù)、電子商務(wù)及國(guó)民經(jīng)濟(jì)的各個(gè)應(yīng)用領(lǐng)域。分散因子是密鑰管理系統(tǒng)的核心元素,密鑰的產(chǎn)生均依賴于分散因子與原始密鑰進(jìn)行分散運(yùn)算。分散因子就是一組與編號(hào)對(duì)應(yīng)的規(guī)則數(shù)據(jù)(16位O F的字符,組成8或16 字節(jié)的 16 進(jìn)制數(shù)),例如2E14AD956BC78DF6 或 C1925BE14AD4AD9E6D95F14A26D95E4A。分散因子采用不同的分散因子編制規(guī)則進(jìn)行產(chǎn)生,各級(jí)分散因子的具體內(nèi)容可自行定義,·并由專人進(jìn)行錄入和管理。分散因子可以安全的存儲(chǔ)在碼單或IC卡中,解決了分散因子的安全存儲(chǔ)問(wèn)題。采用碼單(密碼信封)方式注入分散因子時(shí),需要專人輸入碼單中的分散因子;采用IC卡方式注入分散因子時(shí),需要輸入IC卡PIN碼,并從IC卡中讀取分散因子,完成分散因子的注入操作。本發(fā)明并不局限于前述的具體實(shí)施方式
。本發(fā)明擴(kuò)展到任何在本說(shuō)明書(shū)中披露的新特征或任何新的組合,以及披露的任一新的方法或過(guò)程的步驟或任何新的組合。
權(quán)利要求
1.一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法,其特征在于,包括以下步驟 步驟(I),在一級(jí)密鑰管理系統(tǒng)中分別注入二級(jí)分散因子; 步驟(2),一級(jí)密鑰管理系統(tǒng)利用國(guó)家標(biāo)準(zhǔn)算法,用指定的密鑰對(duì)二級(jí)分散因子進(jìn)行分散運(yùn)算,得到二級(jí)密鑰管理系統(tǒng)的密鑰數(shù)據(jù)。
2.根據(jù)權(quán)利要求I所述的一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法,其特征在于在所述的步驟(2)后,加入以下步驟 步驟(a),在二級(jí)密鑰管理系統(tǒng)中注入三級(jí)分散因子; 步驟(b),二級(jí)密鑰管理系統(tǒng)利用國(guó)家標(biāo)準(zhǔn)算法,用指定的密鑰對(duì)三級(jí)分散因子進(jìn)行分散運(yùn)算,得到三級(jí)密鑰管理系統(tǒng)的密鑰數(shù)據(jù)。
3.根據(jù)權(quán)利要求2所述的一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法,其特征在于步驟(b)后,再加入四級(jí)及以上密鑰管理系統(tǒng)并注入四級(jí)及以上分散因子,執(zhí)行相應(yīng)步驟。
4.根據(jù)權(quán)利要求I或2或3所述的一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法,其特征在于注入各級(jí)分散因子的方法為采用碼單或者IC卡。
5.根據(jù)權(quán)利要求4所述的一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法,其特征在于碼單方式直接輸入各級(jí)分散因子,IC卡方式需要輸入IC卡PIN碼并讀取各級(jí)分散因子,完成各級(jí)分散因子的注入。
6.根據(jù)權(quán)利要求I或2或3所述的一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法,其特征在于在得到各級(jí)密鑰管理系統(tǒng)的密鑰數(shù)據(jù)后,采用門(mén)限機(jī)制方式對(duì)密鑰分散后的各級(jí)密鑰管理系統(tǒng)的密鑰數(shù)據(jù)進(jìn)行備份。
7.根據(jù)權(quán)利要求6所述的一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法,其特征在于各級(jí)密鑰管理系統(tǒng)將密鑰數(shù)據(jù)分割成5份,并安全存儲(chǔ)到5張不同的IC卡中,受IC卡PIN碼保護(hù);其中任意3張IC卡即可進(jìn)行密鑰還原操作。
全文摘要
本發(fā)明公開(kāi)了一種增強(qiáng)對(duì)稱密鑰體系安全性的密鑰分散方法,涉及信息安全密碼技術(shù)領(lǐng)域,包括以下步驟步驟(1),在一級(jí)密鑰管理系統(tǒng)中分別注入二級(jí)分散因子;步驟(2),一級(jí)密鑰管理系統(tǒng)利用國(guó)家標(biāo)準(zhǔn)算法,用指定的密鑰對(duì)二級(jí)分散因子進(jìn)行分散運(yùn)算,得到二級(jí)密鑰管理系統(tǒng)的密鑰數(shù)據(jù)。本發(fā)明的有益效果在于采用本發(fā)明,可通過(guò)指定密鑰對(duì)不同的分散因子進(jìn)行分散運(yùn)算,得到若干條不同的密鑰數(shù)據(jù)。該方法避免了隨機(jī)數(shù)直接作為密鑰的單一衍生變換方式,提供了多元化的密鑰衍生變換方式,增強(qiáng)了密鑰衍生變換過(guò)程的安全性。
文檔編號(hào)H04L9/08GK102946311SQ20121049196
公開(kāi)日2013年2月27日 申請(qǐng)日期2012年11月28日 優(yōu)先權(quán)日2012年11月28日
發(fā)明者李元正, 廖成軍, 帥軍軍 申請(qǐng)人:成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司