技術特征:1.利用密碼機對密鑰進行分割提升密鑰安全的方法�,其特征在于在密碼機的安全原則的基礎上,提出密鑰分割���、異地存儲�����、多點認證和用過即毀的方法;包括如下過程:
(1)���、密鑰分割分發(fā)過程:密碼機將密鑰分割為N份密鑰片段��,N為至少為2的自然數(shù)����,N份分割后的密鑰片段均通過雙重加密后�,分別輸出到各對應的保存點設備;保存點設備為N個�����,每個加密后的密鑰片段分別對應一個保存點設備;
(2)�����、密鑰合成使用過程:使用時�,密碼機對全部保存點設備進行認證后,解密分割后的密鑰片段�,合成為完整的密鑰;
(3)�、用過即毀過程:合成后的密鑰使用一次后由密碼機立刻銷毀。
2.根據權利要求1所述的利用密碼機對密鑰進行分割提升密鑰安全的方法��,其特征在于密鑰分割分發(fā)過程如下:
①���、向密碼機發(fā)起密鑰分割指令���,輸入要分割的份數(shù)為N,N為至少為2的自然數(shù)���,同時輸入N個保存點設備的設備數(shù)字證書��;
②�、密碼機產生一個新的密鑰K�;
③�����、將密鑰K分割成N份密鑰片段�,分別是密鑰片段K1���、密鑰片段K2�����、... 密鑰片段KN�����;
④、密鑰片段K1使用密碼機的設備數(shù)字證書以及其對應的保存點設備的設備數(shù)字證書雙重加密�����,得到加密后的密鑰片段K1”��;
密鑰片段K2使用密碼機的設備數(shù)字證書以及其對應的保存點設備的設備數(shù)字證書雙重加密��,得到加密后的密鑰片段K2”��;
…以此類推…;
密鑰片段KN使用密碼機的設備數(shù)字證書以及其對應的保存點設備的設備數(shù)字證書雙重加密��,得到加密后的密鑰片段KN”�;
⑤、將加密后的密鑰片段K1”�、加密后的密鑰片段K2”、...加密后的密鑰片段KN”分別發(fā)送到其對應的各保存點設備進行安全保存�����。
3.根據權利要求2所述的利用密碼機對密鑰進行分割提升密鑰安全的方法�,其特征在于步驟②中,密碼機通過硬件密碼設備��,產生一個密鑰K�����;硬件密碼設備采用加密卡����。
4.根據權利要求2所述的利用密碼機對密鑰進行分割提升密鑰安全的方法,其特征在于步驟②中���,密鑰K是國際或國內標準的密碼算法的密鑰�,密鑰K是對稱密鑰或非對稱密鑰。
5.根據權利要求1或2所述的利用密碼機對密鑰進行分割提升密鑰安全的方法����,其特征在于密鑰合成使用過程如下:
⑥、任意一個保存點設備向密碼機發(fā)起密鑰使用申請�;密碼機產生隨機數(shù)R,隨機數(shù)R使用該保存點設備的設備數(shù)字證書加密生成R’�,密碼機發(fā)送R’到保存點設備;
⑦����、保存點設備收到R’后,使用該保存點設備的私鑰對R’解密得到隨機數(shù)R�����;����;
⑧���、保存點設備的私鑰對保存在此保存點設備內的加密后的密鑰片段KN”脫密��,得到KN’�����;
⑨��、使用隨機數(shù)R對KN’加密得到KN’”�����;保存點設備發(fā)送KN’”到密碼機��;
⑩�、密碼機逐層解密KN’”得到密鑰片段KN;
?���、其余的保存點設備����,均使用⑥~⑩步驟�����,從而得到N份密鑰片段����;將N份密鑰片段合成完整的密鑰K����。
6.根據權利要求5所述的利用密碼機對密鑰進行分割提升密鑰安全的方法�,其特征在于在指定時間內湊齊全部密鑰片段,否則無效���。
7.根據權利要求1所述的利用密碼機對密鑰進行分割提升密鑰安全的方法����,其特征在于用過即毀過程:使用合成后的密鑰K對待處理的數(shù)據進行簽名或者加密操作�;完成操作后由密碼機立刻銷毀此密鑰K。
8.利用密碼機對密鑰進行分割提升密鑰安全的系統(tǒng)��,其特征在于包括密碼機及N個保存點設備��,N為至少為2的自然數(shù)����;
密碼機用于將密鑰分割為N份密鑰片段,并對分割后的密鑰片段雙重加密后�,分別輸出到各對應的保存點設備;密碼機還用于對各個保存點設備進行認證�����;密碼機還用于解密加密后的密鑰片段�,合成為完整的密鑰;密碼機還用于銷毀使用后的密鑰����;
保存點設備用于保存各自對應的密鑰片段,并用于與密碼機之間進行數(shù)據傳輸����。
9.根據權利要求8所述的利用密碼機對密鑰進行分割提升密鑰安全的系統(tǒng),其特征在于密碼機用于對任意一個密鑰片段KN使用密碼機的設備數(shù)字證書以及該密鑰片段對應的保存點設備的設備數(shù)字證書進行雙重加密得到加密后的密鑰片段KN”���。
10.根據權利要求8所述的利用密碼機對密鑰進行分割提升密鑰安全的系統(tǒng)�����,其特征在于密碼機用于對各個保存點設備進行認證:密碼機產生隨機數(shù)R并使用被認證的保存點設備的設備數(shù)字證書加密生成R’�,密碼機發(fā)送R’到該保存點設備���;保存點設備收到R’后����,使用該保存點設備的私鑰對R’解密得到隨機數(shù)R;隨機數(shù)R即為用于認證的挑戰(zhàn)應答密鑰����,有且僅有該保存點設備能夠解密出隨機數(shù)R;保存點設備的私鑰對保存在此保存點設備內的加密后的密鑰片段單層脫密��,得到單層脫密的密鑰片段����;使用隨機數(shù)R對單層脫密的密鑰片段加密并發(fā)送到密碼機。