亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法及系統(tǒng)與流程

文檔序號(hào):11138245閱讀:1387來源:國(guó)知局
利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法及系統(tǒng)與制造工藝

本發(fā)明涉及一種信息安全領(lǐng)域,具體地說是利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法及系統(tǒng)。



背景技術(shù):

密鑰是密碼算法或協(xié)議中需要特別安全保護(hù)的數(shù)據(jù),通常有軟密鑰和硬密鑰兩種密鑰形式,軟密鑰以文件形式存在計(jì)算機(jī)或服務(wù)器中,硬密鑰保存在專用的硬件密碼機(jī)內(nèi)。

軟密鑰存在安全性較低的問題。硬密鑰的安全性較高,密鑰的產(chǎn)生、使用均在硬件內(nèi)部實(shí)現(xiàn),密鑰不導(dǎo)出,計(jì)算過程也不出現(xiàn)在CPU、內(nèi)存中。

但是通用的密碼機(jī)對(duì)密鑰調(diào)用的權(quán)限控制比較單一,主要是靠口令或者IP地址白名單,容易被攻擊者利用。同時(shí)硬件密碼機(jī)存儲(chǔ)密鑰的數(shù)量也是有限的。



技術(shù)實(shí)現(xiàn)要素:

本發(fā)明的技術(shù)任務(wù)是針對(duì)以上不足,提供利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法及系統(tǒng),來解決密碼機(jī)對(duì)密鑰調(diào)用權(quán)限控制單一及密碼機(jī)存儲(chǔ)密鑰的數(shù)量有限的問題。

本發(fā)明的技術(shù)任務(wù)是按以下方式實(shí)現(xiàn)的,

利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法,在通用密碼機(jī)的安全原則的基礎(chǔ)上,提出密鑰分割、異地存儲(chǔ)、多點(diǎn)認(rèn)證和用過即毀的方法;包括如下過程:

(1)、密鑰分割分發(fā)過程:密碼機(jī)將密鑰分割為N份密鑰片段,N為至少為2的自然數(shù),N份分割后的密鑰片段均通過雙重加密后,分別輸出到各對(duì)應(yīng)的保存點(diǎn)設(shè)備;保存點(diǎn)設(shè)備為N個(gè),每個(gè)加密后的密鑰片段分別對(duì)應(yīng)一個(gè)保存點(diǎn)設(shè)備;

(2)、密鑰合成使用過程:使用時(shí),密碼機(jī)對(duì)全部保存點(diǎn)設(shè)備進(jìn)行認(rèn)證后,解密分割后的密鑰片段,合成為完整的密鑰;

(3)、用過即毀過程:合成后的密鑰使用一次后由密碼機(jī)立刻銷毀。

密鑰分割分發(fā)過程如下:

①、通過接口向密碼機(jī)發(fā)起密鑰分割指令,輸入要分割的份數(shù)為N,N為至少為2的自然數(shù),同時(shí)輸入N個(gè)保存點(diǎn)設(shè)備M1、M2、...MN的設(shè)備數(shù)字證書M1Cert、M2Cert、...MNCert;

②、密碼機(jī)產(chǎn)生一個(gè)新的密鑰K;

③、將密鑰K分割成N份密鑰片段,分別是密鑰片段K1、密鑰片段K2、... 密鑰片段KN;

④、密鑰片段K1使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及其對(duì)應(yīng)的保存點(diǎn)設(shè)備M1的設(shè)備數(shù)字證書M1Cert雙重加密,得到加密后的密鑰片段K1”;K1”= Enc(K1,(HSMCert,M1Cert));

密鑰片段K2使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及其對(duì)應(yīng)的保存點(diǎn)設(shè)備M2的設(shè)備數(shù)字證書M2Cert雙重加密,得到加密后的密鑰片段K2”;K2”= Enc(K2,(HSMCert,M2Cert));

…以此類推…;

密鑰片段KN使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及其對(duì)應(yīng)的保存點(diǎn)設(shè)備MN的設(shè)備數(shù)字證書MNCert雙重加密,得到加密后的密鑰片段KN”;KN”= Enc(KN,(HSMCert,MNCert));

⑤、將加密后的密鑰片段K1”、加密后的密鑰片段K2”、...加密后的密鑰片段KN”分別發(fā)送到其對(duì)應(yīng)的保存點(diǎn)設(shè)備M1、M2、...MN進(jìn)行安全保存。

步驟②中,密碼機(jī)通過硬件密碼設(shè)備,產(chǎn)生一個(gè)密鑰K;硬件密碼設(shè)備采用加密卡。

步驟②中,密鑰K是國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)的密碼算法的密鑰,密鑰K是對(duì)稱密鑰或非對(duì)稱密鑰。非對(duì)稱密鑰比如RSA、SM2、DES、AES、SM1、SM4等。

密鑰合成使用過程如下:

⑥、任意一個(gè)保存點(diǎn)設(shè)備MN向密碼機(jī)發(fā)起密鑰使用申請(qǐng)MNReq;密碼機(jī)產(chǎn)生隨機(jī)數(shù)R,隨機(jī)數(shù)R使用該保存點(diǎn)設(shè)備MN的設(shè)備數(shù)字證書MNCert加密生成R’,密碼機(jī)發(fā)送R’到保存點(diǎn)設(shè)備MN;R’= Enc(R,MNCert);

⑦、保存點(diǎn)設(shè)備MN收到R’后,使用該保存點(diǎn)設(shè)備MN的私鑰MNKey對(duì)R’解密得到隨機(jī)數(shù)R;R=Dec(R’,MNKey);

⑧、保存點(diǎn)設(shè)備MN的私鑰MNKey對(duì)保存在此保存點(diǎn)設(shè)備MN內(nèi)的加密后的密鑰片段KN”脫密,得到KN’;KN’= Dec(KN”,MNKey);

⑨、使用隨機(jī)數(shù)R對(duì)KN’加密得到KN’”;KN’”= Enc(KN’,R);保存點(diǎn)設(shè)備MN發(fā)送KN’”到密碼機(jī);

⑩、密碼機(jī)逐層解密KN’”得到密鑰片段KN;KN=Dec(KN’”,(R、HSMKey));

?、其余的保存點(diǎn)設(shè)備,均使用⑥~⑩步驟,從而得到N份密鑰片段;將N份密鑰片段合成完整的密鑰K。

在指定時(shí)間內(nèi)湊齊全部密鑰片段,否則無效。

用過即毀過程:使用合成后的密鑰K對(duì)待處理的數(shù)據(jù)進(jìn)行簽名或者加密操作;完成操作后由密碼機(jī)立刻銷毀此密鑰。

利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的系統(tǒng),包括密碼機(jī)及N個(gè)保存點(diǎn)設(shè)備,N為至少為2的自然數(shù);

密碼機(jī)用于將密鑰分割為N份密鑰片段,并對(duì)分割后的密鑰片段雙重加密后,分別輸出到各對(duì)應(yīng)的保存點(diǎn)設(shè)備;密碼機(jī)還用于對(duì)各個(gè)保存點(diǎn)設(shè)備進(jìn)行認(rèn)證;密碼機(jī)還用于解密加密后的密鑰片段,合成為完整的密鑰;密碼機(jī)還用于銷毀使用后的密鑰;

保存點(diǎn)設(shè)備用于保存各自對(duì)應(yīng)的密鑰片段,并用于與密碼機(jī)之間進(jìn)行數(shù)據(jù)傳輸。

密碼機(jī)用于對(duì)任意一個(gè)密鑰片段KN使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及該密鑰片段對(duì)應(yīng)的保存點(diǎn)設(shè)備MN的設(shè)備數(shù)字證書MNCert進(jìn)行雙重加密得到加密后的密鑰片段KN”。

密碼機(jī)用于對(duì)各個(gè)保存點(diǎn)設(shè)備進(jìn)行認(rèn)證:密碼機(jī)產(chǎn)生隨機(jī)數(shù)R并使用被認(rèn)證的保存點(diǎn)設(shè)備MN的設(shè)備數(shù)字證書MNCert加密生成R’,密碼機(jī)發(fā)送R’到該保存點(diǎn)設(shè)備MN,R’= Enc(R,MNCert);保存點(diǎn)設(shè)備MN收到R’后,使用該保存點(diǎn)設(shè)備MN的私鑰MNKey對(duì)R’解密得到隨機(jī)數(shù)R,R=Dec(R’,MNKey);隨機(jī)數(shù)R即為用于認(rèn)證的挑戰(zhàn)應(yīng)答密鑰,有且僅有該保存點(diǎn)設(shè)備能夠解密出隨機(jī)數(shù)R;保存點(diǎn)設(shè)備MN的私鑰M1Key對(duì)保存在此保存點(diǎn)設(shè)備MN內(nèi)的加密后的密鑰片段KN”脫密,得到KN’,KN’= Dec(KN”,MNKey);使用隨機(jī)數(shù)R對(duì)KN’加密得到KN’”,KN’”= Enc(KN’,R);保存點(diǎn)設(shè)備MN發(fā)送KN’”到密碼機(jī)。

本發(fā)明的利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法及系統(tǒng)具有以下優(yōu)點(diǎn):

1、能夠把密鑰分割,異地安全存儲(chǔ)各密鑰片段,使用時(shí)各保存點(diǎn)設(shè)備經(jīng)過認(rèn)證后才可合并密鑰,增強(qiáng)了權(quán)限控制的復(fù)雜度,提升了密鑰的安全性;

2、各過程均在可控的專用的密碼機(jī)內(nèi)完成;密鑰的生成、分割、加密輸出、認(rèn)證、解密、合成、使用、銷毀等過程均在密碼機(jī)內(nèi)完成,密鑰明文從不會(huì)出現(xiàn)在內(nèi)存、CPU、磁盤中,提升了密鑰的安全性;

3、密鑰在空間上分離,提升了安全性;

4、密鑰的使用必須依賴多處保存點(diǎn)同時(shí)操作,避免了單點(diǎn)的權(quán)限風(fēng)險(xiǎn);

5、密鑰在時(shí)間上,用過即毀,僅存在一瞬間,提升了安全性。

附圖說明

下面結(jié)合附圖對(duì)本發(fā)明進(jìn)一步說明。

附圖1為利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法的密鑰分割分發(fā)過程的流程框圖;

附圖2為利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法的密鑰合成使用過程的流程框圖;

附圖3為利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的系統(tǒng)的結(jié)構(gòu)框圖。

具體實(shí)施方式

參照說明書附圖和具體實(shí)施例對(duì)本發(fā)明的利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法及系統(tǒng)作以下詳細(xì)地說明。

實(shí)施例1:

如圖1所示,本發(fā)明的利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法,在通用密碼機(jī)的安全原則的基礎(chǔ)上,提出密鑰分割、異地存儲(chǔ)、多點(diǎn)認(rèn)證和用過即毀的方法;包括如下過程:

(1)、密鑰分割分發(fā)過程:密碼機(jī)將密鑰分割為N份密鑰片段,N為至少為2的自然數(shù),N份分割后的密鑰片段均通過雙重加密后,分別輸出到各對(duì)應(yīng)的保存點(diǎn)設(shè)備;保存點(diǎn)設(shè)備為N個(gè),每個(gè)加密后的密鑰片段分別對(duì)應(yīng)一個(gè)保存點(diǎn)設(shè)備;密鑰分割分發(fā)過程如下:

101、通過接口向密碼機(jī)發(fā)起密鑰分割指令,輸入要分割的份數(shù)為N,N為至少為2的自然數(shù),同時(shí)輸入N個(gè)保存點(diǎn)設(shè)備M1、M2、...MN的設(shè)備數(shù)字證書M1Cert、M2Cert、...MNCert;

102、密碼機(jī)產(chǎn)生一個(gè)新的密鑰K;密碼機(jī)通過硬件密碼設(shè)備,產(chǎn)生一個(gè)密鑰K;硬件密碼設(shè)備采用加密卡;密鑰K是國(guó)際標(biāo)準(zhǔn)的密碼算法的密鑰,密鑰K是非對(duì)稱密鑰;非對(duì)稱密鑰比如RSA、SM2、DES、AES、SM1、SM4等;

103、將密鑰K分割成N份密鑰片段,分別是密鑰片段K1、密鑰片段K2、... 密鑰片段KN;

104、105、106、密鑰片段K1使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及其對(duì)應(yīng)的保存點(diǎn)設(shè)備M1的設(shè)備數(shù)字證書M1Cert雙重加密,得到加密后的密鑰片段K1”;K1”= Enc(K1,(HSMCert,M1Cert));

密鑰片段K2使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及其對(duì)應(yīng)的保存點(diǎn)設(shè)備M2的設(shè)備數(shù)字證書M2Cert雙重加密,得到加密后的密鑰片段K2”;K2”= Enc(K2,(HSMCert,M2Cert));

…以此類推…;

密鑰片段KN使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及其對(duì)應(yīng)的保存點(diǎn)設(shè)備MN的設(shè)備數(shù)字證書MNCert雙重加密,得到加密后的密鑰片段KN”;KN”= Enc(KN,(HSMCert,MNCert));

107、將加密后的密鑰片段K1”、加密后的密鑰片段K2”、...加密后的密鑰片段KN”分別發(fā)送到其對(duì)應(yīng)的保存點(diǎn)設(shè)備M1、M2、...MN進(jìn)行安全保存。

(2)、密鑰合成使用過程:使用時(shí),密碼機(jī)對(duì)全部保存點(diǎn)設(shè)備進(jìn)行認(rèn)證后,解密分割后的密鑰片段,合成為完整的密鑰;

(3)、用過即毀過程:合成后的密鑰使用一次后由密碼機(jī)立刻銷毀。

實(shí)施例2:

如圖1、圖2所示,本發(fā)明的利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的方法,在通用密碼機(jī)的安全原則的基礎(chǔ)上,提出密鑰分割、異地存儲(chǔ)、多點(diǎn)認(rèn)證和用過即毀的方法;包括如下過程:

(1)、密鑰分割分發(fā)過程:密碼機(jī)將密鑰分割為N份密鑰片段,N為至少為2的自然數(shù),N份分割后的密鑰片段均通過雙重加密后,分別輸出到各對(duì)應(yīng)的保存點(diǎn)設(shè)備;保存點(diǎn)設(shè)備為N個(gè),每個(gè)加密后的密鑰片段分別對(duì)應(yīng)一個(gè)保存點(diǎn)設(shè)備;密鑰分割分發(fā)過程如下:

101、通過接口向密碼機(jī)發(fā)起密鑰分割指令,輸入要分割的份數(shù)為N,N為至少為2的自然數(shù),同時(shí)輸入N個(gè)保存點(diǎn)設(shè)備M1、M2、...MN的設(shè)備數(shù)字證書M1Cert、M2Cert、...MNCert;

102、密碼機(jī)產(chǎn)生一個(gè)新的密鑰K;密碼機(jī)通過硬件密碼設(shè)備,產(chǎn)生一個(gè)密鑰K;硬件密碼設(shè)備采用加密卡;密鑰K是國(guó)內(nèi)標(biāo)準(zhǔn)的密碼算法的密鑰,密鑰K是對(duì)稱密鑰;

103、將密鑰K分割成N份密鑰片段,分別是密鑰片段K1、密鑰片段K2、... 密鑰片段KN;

104、105、106、密鑰片段K1使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及其對(duì)應(yīng)的保存點(diǎn)設(shè)備M1的設(shè)備數(shù)字證書M1Cert雙重加密,得到加密后的密鑰片段K1”;K1”= Enc(K1,(HSMCert,M1Cert));

密鑰片段K2使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及其對(duì)應(yīng)的保存點(diǎn)設(shè)備M2的設(shè)備數(shù)字證書M2Cert雙重加密,得到加密后的密鑰片段K2”;K2”= Enc(K2,(HSMCert,M2Cert));

…以此類推…;

密鑰片段KN使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及其對(duì)應(yīng)的保存點(diǎn)設(shè)備MN的設(shè)備數(shù)字證書MNCert雙重加密,得到加密后的密鑰片段KN”;KN”= Enc(KN,(HSMCert,MNCert));

107、將加密后的密鑰片段K1”、加密后的密鑰片段K2”、...加密后的密鑰片段KN”分別發(fā)送到其對(duì)應(yīng)的保存點(diǎn)設(shè)備M1、M2、...MN進(jìn)行安全保存。

(2)、密鑰合成使用過程:使用時(shí),密碼機(jī)對(duì)全部保存點(diǎn)設(shè)備進(jìn)行認(rèn)證后,解密分割后的密鑰片段,合成為完整的密鑰;密鑰合成使用過程如下:

201、任意一個(gè)保存點(diǎn)設(shè)備MN向密碼機(jī)發(fā)起密鑰使用申請(qǐng)MNReq;密碼機(jī)產(chǎn)生隨機(jī)數(shù)R,隨機(jī)數(shù)R使用該保存點(diǎn)設(shè)備MN的設(shè)備數(shù)字證書MNCert加密生成R’,密碼機(jī)發(fā)送R’到保存點(diǎn)設(shè)備MN;R’= Enc(R,MNCert);

202、保存點(diǎn)設(shè)備MN收到R’后,使用該保存點(diǎn)設(shè)備MN的私鑰MNKey對(duì)R’解密得到隨機(jī)數(shù)R;R=Dec(R’,MNKey);

203、保存點(diǎn)設(shè)備MN的私鑰MNKey對(duì)保存在此保存點(diǎn)設(shè)備MN內(nèi)的加密后的密鑰片段KN”脫密,得到KN’;KN’= Dec(KN”,MNKey);

204、使用隨機(jī)數(shù)R對(duì)KN’加密得到KN’”;KN’”= Enc(KN’,R);保存點(diǎn)設(shè)備MN發(fā)送KN’”到密碼機(jī);

205、密碼機(jī)逐層解密KN’”得到密鑰片段KN;KN=Dec(KN’”,(R、HSMKey));

206、其余的保存點(diǎn)設(shè)備,均使用⑥~⑩步驟,從而得到N份密鑰片段;將N份密鑰片段合成完整的密鑰K;

在指定時(shí)間內(nèi)湊齊全部密鑰片段,否則無效。

207、用過即毀過程:使用合成后的密鑰K對(duì)待處理的數(shù)據(jù)進(jìn)行簽名或者加密操作;完成操作后由密碼機(jī)立刻銷毀此密鑰。

實(shí)施例3:

如圖3所示,本發(fā)明的利用密碼機(jī)對(duì)密鑰進(jìn)行分割提升密鑰安全的系統(tǒng),包括密碼機(jī)及N個(gè)保存點(diǎn)設(shè)備,N為至少為2的自然數(shù);密碼機(jī)用于將密鑰分割為N份密鑰片段,并對(duì)分割后的密鑰片段雙重加密后,分別輸出到各對(duì)應(yīng)的保存點(diǎn)設(shè)備;密碼機(jī)還用于對(duì)各個(gè)保存點(diǎn)設(shè)備進(jìn)行認(rèn)證;密碼機(jī)還用于解密加密后的密鑰片段,合成為完整的密鑰;密碼機(jī)還用于銷毀使用后的密鑰;保存點(diǎn)設(shè)備用于保存各自對(duì)應(yīng)的密鑰片段,并用于與密碼機(jī)之間進(jìn)行數(shù)據(jù)傳輸。

密碼機(jī)用于對(duì)任意一個(gè)密鑰片段KN使用密碼機(jī)的設(shè)備數(shù)字證書HSMCert以及該密鑰片段對(duì)應(yīng)的保存點(diǎn)設(shè)備MN的設(shè)備數(shù)字證書MNCert進(jìn)行雙重加密得到加密后的密鑰片段KN”。

密碼機(jī)用于對(duì)各個(gè)保存點(diǎn)設(shè)備進(jìn)行認(rèn)證:密碼機(jī)產(chǎn)生隨機(jī)數(shù)R并使用被認(rèn)證的保存點(diǎn)設(shè)備MN的設(shè)備數(shù)字證書MNCert加密生成R’,密碼機(jī)發(fā)送R’到該保存點(diǎn)設(shè)備MN,R’= Enc(R,MNCert);保存點(diǎn)設(shè)備MN收到R’后,使用該保存點(diǎn)設(shè)備MN的私鑰MNKey對(duì)R’解密得到隨機(jī)數(shù)R,R=Dec(R’,MNKey);隨機(jī)數(shù)R即為用于認(rèn)證的挑戰(zhàn)應(yīng)答密鑰,有且僅有該保存點(diǎn)設(shè)備能夠解密出隨機(jī)數(shù)R;保存點(diǎn)設(shè)備MN的私鑰M1Key對(duì)保存在此保存點(diǎn)設(shè)備MN內(nèi)的加密后的密鑰片段KN”脫密,得到KN’,KN’= Dec(KN”,MNKey);使用隨機(jī)數(shù)R對(duì)KN’加密得到KN’”,KN’”= Enc(KN’,R);保存點(diǎn)設(shè)備MN發(fā)送KN’”到密碼機(jī)。

通過上面具體實(shí)施方式,所述技術(shù)領(lǐng)域的技術(shù)人員可容易的實(shí)現(xiàn)本發(fā)明。但是應(yīng)當(dāng)理解,本發(fā)明并不限于上述的具體實(shí)施方式。在公開的實(shí)施方式的基礎(chǔ)上,所述技術(shù)領(lǐng)域的技術(shù)人員可任意組合不同的技術(shù)特征,從而實(shí)現(xiàn)不同的技術(shù)方案。

除說明書所述的技術(shù)特征外,均為本專業(yè)技術(shù)人員的已知技術(shù)。

當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1