发明内容
为了解决根密钥产生过程中存在的安全风险,提高根密钥产生过程的安全性,充分考虑密钥产生、备份与恢复等生命周期的全过程管理要求,结合电力公司用电信息密钥系统根密钥产生、备份与恢复的重要性,本发明提出了一种满足电力行业用电信息密钥管理系统需求的根密钥产生方法:
(1)采用多个真随机数分量循环加密的方式产生最终的根密钥,其实现过程如下:
第一次加密过程:EK(P1)=C1
其中E为加密算法;K为密钥,即1#随机数;P1为明文,即2#随机数;C1为密文,即加密运算的结果;
循环加密过程:Ec(N-1)(PN)=CN
其中E为加密算法;C(N-1)为本次运算的密钥,即第N-1次加密运算的结果);PN为明文,即N#随机数;CN为密文,即第N次加密运算的结果);
以最后一次加密运算的结果,也即密文作为最终的根密钥;
(2)采用伪随机数参与和M of N(M<N)编码技术,进行密钥的备份与恢复;所述M of N编码技术是采用插值定理将需要保护的信息隐藏在N份数据中,其中任意取出M份数据即可恢复原隐藏的信息。
其中,还包括
(1)使用密码机硬件随机数发生器产生N组真随机数,即1#随机数、2#随机数、...、N#随机数;
(2)1#随机数采用逻辑运算与数据加密方式对2#随机数进行加密,得到密文Data1;
(3)使用密文Data1采用逻辑运算与数据加密方式对2#随机数进行加密,得到密文Data2;
(4)采用步骤3的方式循环重复进行N次,产生密文数据DataN-1;
(5)使用密文DataN-1采用逻辑运算与数据加密方式对N#随机数进行加密,得到密文DataN;
(6)密文DataN最后被保存在密码机中作为根密钥。
其中,还包括
(1)N组随机数均为密码机硬件随机数发生器产生的N组真随机数,这N组真随机数作为根密钥产生的密钥数据满足根密钥产生的要求;
(2)这N组随机数在产生根密钥的整个过程中均在密码机中进行,明文数据和运算过程数据均不出密码机,满足根密钥的安全性要求。
其中,还包括
分别由用户输入N组伪随机数,分别用于对密码机产生的N组真随机数进行加密备份,将密文数据存储在密钥介质中,便于密钥的恢复;
其中,还包括
(1)采用M of N编码技术对产生的根密钥进行分段保护与备份,并将这N段密文数据备份到N个密钥介质中进行存储;
(2)当需要进行密钥恢复时,只需要将这N份密钥介质中凑足任何M份密文数据就可恢复该密钥;
(3)该密钥备份与恢复机制为异地密钥备份与恢复机制,即将这N份密钥介质分别保存在N个地市进行保存,当需要恢复时,凑足任意M份即可恢复该密钥。
其中,还包括
(1)用户输入1#伪随机数,调用密码机随机数发生器产生1#真随机数;
(2)用1#伪随机数加密保护1#真随机数,备份产生1#备份密钥分量保存到密钥介质中进行保存;
(3)用户输入2#伪随机数,调用密码机随机数发生器产生2#真随机数;
(4)用2#伪随机数加密保护2#真随机数,备份产生2#备份密钥分量保存到密钥介质中进行保存;
(5)用1#真随机数与2#真随机数进行逻辑运算与数据加密的方法产生密文数据Data1;
(6)用户输入3#伪随机数,调用密码机随机数发生器产生3#真随机数;
(7)用3#伪随机数加密保护3#真随机数,备份产生3#备份密钥分量保存到密钥介质中进行保存;
(8)用密文数据Data1与3#真随机数进行逻辑运算与数据加密的方法产生密文数据Data2;
(9)采用步骤6~8的方式,重复进行N次,产生N#备份密钥分量和密文数据DataN-1,其中N为自然数;
(10)用户输入N#伪随机数,调用密码机随机数发生器产生N#真随机数;
(11)用N#伪随机数加密保护N#真随机数,备份产生N#备份密钥分量保存到密钥介质中进行保存;
(12)用密文数据DataN-1与N#真随机数进行逻辑运算与数据加密的方法产生密文数据作为根密钥;
(13)对根密钥采用M of N编码技术将根密钥进行片段编码分为N份,分段保存在N份密钥介质中保存;
(14)当需要密钥恢复时,使用N份编码中的任意M段即可以恢复该根密钥。
本发明的有益效果是:
1.根密钥产生过程中涉及多个密钥数据(真随机数),避免了单一密钥数据作为根密钥的安全隐患,具有较高的实用性;
2.根密钥产生采用逻辑运算与循环加密方式产生最终的根密钥,产生过程环环相扣、层次严密,具有较高的安全性;
3.根密钥产生过程中,密钥分量及密钥分量的运算均在密码机内部进行,提高了密钥密钥的安全性,降低了密钥泄露风险;
4.采用伪随机数加密保护真随机数,进行密钥分量的备份与保护,提供密钥的本地备份与恢复机制;
5.采用M of N编码技术,对最后产生的根密钥进行分散备份保护,提供密钥的异地备份与恢复机制;
6.根密钥产生方法符合当前主流的密钥管理系统根密钥产生方式,具有广泛的适应性;
7.该根密钥的产生过程,用户参与性强,采用了多种密钥保护、备份与恢复机制,具有更广泛的实用性,能够真正的满足电力行业用电信息密钥管理系统需求的根密钥产生要求。
具体实施方式
根密钥的产生过程需要用户输入伪随机数与密码机产生真随机数交互进行,生成根密钥的同时进行密钥分量的备份,采用逻辑运算与循环加密的方式得到最终的根密钥,最后再将得到的根密钥采用M of N编码技术对产生的根密钥进行分段备份保护,最终完成根密钥产生过程。
根密钥产生关键过程详细说明如下:
1.用户输入1#伪随机数,调用密码机随机数发生器产生1#真随机数;
2.用1#伪随机数加密保护1#真随机数,备份产生1#备份密钥分量保存到密钥介质中进行保存。
3.用户输入2#伪随机数,调用密码机随机数发生器产生2#真随机数;
4.用2#伪随机数加密保护2#真随机数,备份产生2#备份密钥分量保存到密钥介质中进行保存。
5.用1#真随机数与2#真随机数进行逻辑运算与数据加密的方法产生密文数据Data1;
6.用户输入3#伪随机数,调用密码机随机数发生器产生3#真随机数;
7.用3#伪随机数加密保护3#真随机数,备份产生3#备份密钥分量保存到密钥介质中进行保存。
8.用密文数据Data1与3#真随机数进行逻辑运算与数据加密的方法产生密文数据Data2;
9.采用步骤6~8的方式,重复进行N次,产生N#备份密钥分量和密文数据DataN-1,其中N为自然数。
10.用户输入N#伪随机数,调用密码机随机数发生器产生N#真随机数;
11.用N#伪随机数加密保护N#真随机数,备份产生N#备份密钥分量保存到密钥介质中进行保存。
12.用密文数据DataN-1与N#真随机数进行逻辑运算与数据加密的方法产生密文数据作为根密钥;
13.对根密钥采用M of N编码技术将根密钥进行片段编码分为N份,分段保存在N份密钥介质中保存。
14.当需要密钥恢复时,使用N份编码中的任意M段即可以恢复该根密钥。
上面通过详细的图文内容描述了本发明,但是本领域技术人员还可意识到变型和可选的实施例的多种可能性,例如,通过组合和/或改变单个实施例的特征。因此,可以理解的是这些变型和可选的实施例将被认为是包括在本发明中,本发明的范围仅仅被附上的专利权利要求书及其同等物限制。