CN103580855A - 一种基于共享技术的UsbKey秘钥管理方案 - Google Patents
一种基于共享技术的UsbKey秘钥管理方案 Download PDFInfo
- Publication number
- CN103580855A CN103580855A CN201310547441.9A CN201310547441A CN103580855A CN 103580855 A CN103580855 A CN 103580855A CN 201310547441 A CN201310547441 A CN 201310547441A CN 103580855 A CN103580855 A CN 103580855A
- Authority
- CN
- China
- Prior art keywords
- key
- encryption device
- encryption
- operator
- usbkey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种基于共享技术的UsbKey秘钥管理方案,应用于需要进行密钥分割以及权限分配的安全领域,其过程在于:密码设备的初始化,包括:生成管理员密钥与设备密钥、生成设备主密钥、备份密钥、生成密钥保护密钥以及用户密钥;保护密钥的备份与恢复等环节,再就是处于就绪状态下的密码设备的上电初始化。本发明的方法可以避免密钥的泄露以及密钥权限单一的问题,确保密钥的安全管理与透明使用,保证密码设备在使用以及密钥管理方面的安全性和可靠性。
Description
技术领域
本发明涉及计算机信息安全领域,尤其涉及一种基于共享技术的UsbKey秘钥管理方案,应用于密码设备的密钥管理中。
背景技术
密钥技术广泛应用于具有安全需求的数据通信领域,提高了数据传输的安全性。而且密钥技术还可以应用于身份认证的识别领域,来判断传输数据是否可信,以及数据是否完整或被修改。
在日常生活中,由于计算机设备的不安全性,在传统的密钥管理技术下,常出现密钥管理不符合要求、密钥无法安全存储,容易被窃取者窃取的现象,且存储在密码设备中的密钥无保护机制,易遭到非法渗透和窃取,同时存储的密钥无良好的权限控制机制,即使有权限也相对单一,一旦遗失易出现非法使用的情况。
发明内容
鉴于上述现有技术的缺点,本发明公开了一种基于密钥共享技术的UsbKey秘钥管理方案,用于解决现有密钥管理机制中没有明确的管理权限以及密钥容易被窃取所带来的安全问题。
为了解决上述问题,本发明通过以下技术方案进行实施:
1.密钥的设置:
1)管理员密钥:一组非对称算法密钥,用于管理员身份的认证和签名,每个管理员一组,并与对应管理员Key序列相对应;
2)设备密钥:两组非对称密钥算法,包括密钥加密密钥对与密钥签名密钥对,用于对用户设备和管理中的密钥管理,并进行与其他设备互通信息时的相互认证工作;
3)设备主密钥:一组对称密钥,加密存储在密码设备中的用户密钥与用户保护密钥,确保密码设备内的核心密钥都是以密文形式存在,防止密码设备被渗透,密钥数据被窃取,且设备主密钥暂时存放在内存中,会掉电丢失;
4)用户密钥:包括对称算法密钥与非对称算法密钥,为密码设备提供数据加解密、数字签名、数字信封等密码业务;
5)密钥加密密钥:一组对称密钥,用于加密在通讯线路上需要传递的工作密钥;
6)备份密钥:初始化时,由密码设备产生,分散保存在管理员Key中,用于对密码设备内部重要密钥进行备份和恢复。
2.本发明所公开的技术方案步骤如下:
S1:清空密码设备的所有存储空间,完成密码设备出厂的原始初始化,在UsbKey中生成管理员密钥对,将公钥从Key中导入到密码设备密码存储区,并在密码设备内做好key的序列号与公钥的一一对应;
S2:在密码设备中生成设备密钥(一对加密密钥对、一对签名密钥对),保存到密码设备对应的密码存储区,并签发管理员证书,完成管理员key的制作,并用PIN校验码进行保护,让密码设备处于就绪状态;
S3:生成密码设备的主密钥,暂时存储在密码设备内存中,掉电自动丢失;
S4:通过密管中心在密码设备内生成备份密钥、用户密钥对以256位密钥进行加密保护,并用设备主密钥加密设备内所有生成的用户密钥对与密钥加密密钥,存储在密码设备密码对应存储区;
S5:制作操作员Key,在操作员Key中生成密钥对,将公钥从Key中导入到密码设备的密码存储区,以便实现操作员与加密设备的签名认证,完成设备主密钥的分割与密钥份额的加密,通过设备密钥的公钥加密后导入到操作员Key中,并用PIN码保护,至此完成初始化工作;
S6:通过操作员key与密码设备的双向认证后,密码设备通过解密获得密钥份额,恢复出设备主密钥,解密出存储在密码设备存储区的用户密钥与密钥加密密钥,完成后续的密码操作,至此密码设备上电初始化工作完成。
作为优选,上述描述的密钥管理方案所运用的非对称密钥算法均是基于SM2椭圆ECC密码算法,相比传统的RSA算法,具有密钥长度短、加解密速度快以及存储空间小等优点。
按照本发明的技术方案,阐述了各类密钥的组成以及应用方式,具有以下有益效果:基于密钥共享技术的分割管理以及权限的分配,至少有预先设定中的k个操作员共同操作,才能完成密码设备的上电初始化,而且改变了传统密钥存储方式,应用了外部安全密钥媒介,确保密钥的安全保存与使用,从而解决密码设备在应用中遇到的安全难题。
附图说明
图1显示为基于共享技术的UsbKey秘钥管理方案的流程图;
图2显示为密码设备初始化阶段的流程图;
图3显示为密码设备上电初始化阶段的流程图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效,本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
本发明基于共享技术的UsbKey秘钥管理方案,其中步骤如上述密钥管理方案步骤。
其中在密码设备初始化阶段,具体的设备主密钥的生成与分割,参阅图2,具体步骤如下:
1)插入管理员key,PIN码校验通过后,密码设备进行双向认证,通过则进行后续操作,否则停止;
2)输入k与n的值,利用随机数发生器生成k个随机数;
3)根据随机数构造插值多项式:y=a0+a1x+.....+ak-1xk-1;
4)输入子密钥x1,x2,......xn得到对应份额ID:y1,y2,......,yn;
5)构造函数key=f(a0,a1,.....,ak-1)即为设备主密钥,存储在密钥设备内存中;
6)将分割的密钥份额利用设备密钥的公钥加密后导入到操作员Key中,完成初始化。
优选地,上述初始化阶段,管理员Key与密码设备进行双向认证时,可以根据安全保护机制设定验证次数,当验证次数大于设定的安全门限时,密码设备进行自我保护,停止后续步骤的进行,直接结束初始化。
更优选地,在操作员Key与密码设备进行双向认证时,亦如管理员的安全保护机制,进行密码设备的自我安全保护,而且在初始化完成时,将相应的安全密钥份额与份额ID导入到k个管理员Key中,并用管理员的私钥进行加密保护,在操作员key遗失的情况下,或操作员Key无法在规定时间内达到k份额的安全应用环境中,可直接由管理员Key恢复出设备主密钥进行后续密钥操作。
其中在密码设备上电初始化阶段,具体的设备主密钥的恢复,参阅图3,具体步骤如下:
1)PIN码校验后的操作员key与密码设备进行双向认证,认证通过则进行后续步骤,否则停止;
2)密码设备用设备密钥的私钥解密出已分割的子密钥份额;
3)根据解密出来的子密钥份额与ID解线性方程组,解出系统生成的随机数;
4)带入到主密钥函数f(x),恢复出设备主密钥;
5)利用恢复出来的设备主密钥解密存储在密码设备中的用户密钥与密钥加密密钥,作后续密码操作,完成上电初始化。
优选地,在Key与密码设备相互认证时,可以设定k个Key认证安全综合时间,超出预定时间阈值时,密钥管理系统将自动关闭,上电初始化失败。
更优选地,关于密钥的备份和恢复:密码设备中的关键密钥需要备份,以便在密码设备中的密钥损坏或更换新的密码设备时及时恢复密钥。
密码设备中需要备份的密钥为:设备密钥、用户密钥。
备份时,利用密码设备上产生的备份密钥加密设备密钥对、用户密钥对后,将密文保存到本地计算机,而备份密钥利用密钥共享技术分散保存在管理员Key中,当需要密钥恢复时,将密文导入到密码设备中,利用管理员Key中恢复出来的备份密钥解密。
上述实施例仅例示性地说明本发明的原理及其功效,而非用于限制本发明,任何本领域的专业人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变,因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (4)
1.基于共享技术的UsbKey秘钥管理方案,应用于信息安全领域,其特征在于,所述步骤包括:
S1:清空密码设备的所有存储空间,完成密码设备出厂的原始初始化,在UsbKey中生成管理员密钥对,将公钥从Key中导入到密码设备密码存储区,并在密码设备内做好key的序列号与公钥的一一对应;
S2:在密码设备中生成设备密钥对,保存在密码设备对应的密码存储区,并签发管理员证书,完成管理员Key的制作,并用PIN码保护,让密码设备处于就绪状态,
S3:生成密码设备的主密钥,暂时存储在密码设备内存中,掉电会丢失;
S4:通过密管中心生成备份密钥、用户密钥与密钥保护密钥,并用设备主密钥加密所有生成的用户密钥对与密钥保护密钥,存储在密码设备密码对应存储区;
S5:制作操作员KEY,在操作员key中生成密钥对,将公钥从Key中导入到密码设备的密码存储区,并用PIN码保护,以便实现操作员与加密设备的认证,完成设备主密钥的分割与对密钥份额的加密,通过设备密钥的公钥加密后导入到操作员Key中,至此完成初始化工作;
S6:通过操作员Key与密码设备的双向认证后,密码设备通过解密获得密钥份额,恢复出设备主密钥,解密出存储在密码设备存储区
的用户密钥与密钥保护密钥,完成后续的密码操作,至此密码设备上电初始化工作完成。
2.根据权利1描述的密钥管理方案,其特征在于:该密钥管理方案所运用的非对称密钥算法均是基于SM2椭圆ECC密码算法,相比传统的RSA算法,具有密钥长度短、加解密速度快以及存储空间小等优点,且管理员密钥key的签发,必须在密码设备处于原始初始化状态下,按下列步骤进行:
S1:清空密码设备的所有存储空间,在UsbKey中生成并存储ECC管理员密钥对,将公钥从Key中导出,导入到密码设备加密密码存储区;
S2:在密码设备中生成设备密钥对,包括加密密钥对、签名密钥对,保存在密码设备对应的密码存储区;
S3:管理员Key的制作,在密码设备上插上UsbKey,密码设备产生一个随机数列,发送给管理员Key,Key使用已生成的ECC私钥签名随机数,回传给密码设备做验证,验证通过作后续操作;
S4:利用密码设备签名私钥将存储在加密存储区的管理员公钥签发成管理员证书,将管理员证书下载到管理员UsbKey中,并用PIN码校验保护;
S5:重复步骤S3、S4,签发出所有的管理员证书。
3.根据权利1-2描述的密钥管理方案,其特征在于:所述S5的操作员Key的制作,必须在密码设备处于就绪化的情况下,完成对操作员Key的操作,包括:
S1:生成密码设备的主密钥,暂时存储在密码设备内存中,掉电会丢失;
S2:通过密管中心在密码设备内生成备份密钥、用户密钥对与密钥保护密钥,并用设备主密钥加密所有生成的用户密钥对与签名密钥对,存储在密码设备密码对应存储区;
S3:插入管理员Key,PIN码校验通过后,通过Key中的数字证书,完成管理员与密码设备的身份识别的验证,验证通过作后续操作;
S4:制作操作员Key,保持管理员Key在的情况下,在空Key中生成密钥对,将公钥从Key中导入到密码设备的加密密码存储区,利用密码设备签名私钥将操作员Key的公钥签发成操作员证书,并下载到操作员UsbKey中,并设置PIN码保护;以便实现后续操作员与加密设备的认证;
S5:完成设备主密钥的分割与密钥份额的加密,通过设备密钥的加密公钥加密后导入到不同的操作员Key中。
4.根据权利1-3描述的密钥管理方案,其特征在于:所述S6的上电初始化,必须在密码设备处于初始化工作下,必须有满足预先设定的满足密钥共享技术的(k,n)门限下的k个操作员密钥Key共同参与才能执行,且按下列步骤进行:
S1:密码设备重新上电后,插上操作员Key,PIN码校验后,通过Key内部的签名证书,完成与密码设备的交互认证,通过作后续操作;
S2:利用设备密钥的私钥解密出设备主密钥的密钥份额,带入到特征多项式中,恢复出设备主密钥;
S3:利用恢复的设备主密钥解密出用户密钥以及密钥加密密钥,完成密码设备的上电初始化,开始进行对密码设备的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310547441.9A CN103580855B (zh) | 2013-11-07 | 2013-11-07 | 一种基于共享技术的UsbKey密钥管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310547441.9A CN103580855B (zh) | 2013-11-07 | 2013-11-07 | 一种基于共享技术的UsbKey密钥管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103580855A true CN103580855A (zh) | 2014-02-12 |
| CN103580855B CN103580855B (zh) | 2017-01-18 |
Family
ID=50051851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310547441.9A Active CN103580855B (zh) | 2013-11-07 | 2013-11-07 | 一种基于共享技术的UsbKey密钥管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103580855B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168114A (zh) * | 2014-08-07 | 2014-11-26 | 河海大学 | 一种分布式的基于(k,n)门限证书加密方法及系统 |
| CN105227304A (zh) * | 2015-10-16 | 2016-01-06 | 中国科学院上海高等研究院 | 基于ecc加密的安全隐私保护方法及系统 |
| CN105656621A (zh) * | 2014-11-12 | 2016-06-08 | 江苏威盾网络科技有限公司 | 一种密码设备安全管理方法 |
| CN106330442A (zh) * | 2015-06-17 | 2017-01-11 | 中兴通讯股份有限公司 | 身份认证方法、装置及系统 |
| CN106529350A (zh) * | 2016-11-11 | 2017-03-22 | 郑州云海信息技术有限公司 | 一种安全存储系统 |
| CN106850208A (zh) * | 2017-02-28 | 2017-06-13 | 北京信安世纪科技有限公司 | 一种秘密数据分割的方法及装置 |
| CN107743306A (zh) * | 2017-11-20 | 2018-02-27 | 上海动联信息技术股份有限公司 | 一种基于多密码控制的智能pos机wifi设置方法及智能pos机 |
| CN108737105A (zh) * | 2018-05-07 | 2018-11-02 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 私钥的找回方法、装置、私钥设备和介质 |
| CN108809938A (zh) * | 2018-04-23 | 2018-11-13 | 广州江南科友科技股份有限公司 | 一种密码设备的远程管控实现方法及系统 |
| CN109088729A (zh) * | 2018-09-28 | 2018-12-25 | 北京金山安全软件有限公司 | 一种密钥存储方法及装置 |
| CN112202550A (zh) * | 2020-09-18 | 2021-01-08 | 苏州浪潮智能科技有限公司 | 一种Ukey认证密钥存储方法、装置及认证方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495247A (zh) * | 2018-11-21 | 2019-03-19 | 北京深思数盾科技股份有限公司 | 密钥备份、恢复的方法及加密设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008135816A (ja) * | 2006-11-27 | 2008-06-12 | Mitsubishi Electric Corp | 鍵管理サーバ、端末、鍵共有システム、鍵配信プログラム、鍵受信プログラム、鍵配信方法及び鍵受信方法 |
| CN101262333A (zh) * | 2008-04-21 | 2008-09-10 | 上海大学 | 一种车辆网络中节点间的安全通信方法 |
| CN101986596A (zh) * | 2010-10-21 | 2011-03-16 | 无锡江南信息安全工程技术中心 | 密钥管理机制 |
| CN102238003A (zh) * | 2011-03-17 | 2011-11-09 | 中国电力科学研究院 | 一种根密钥的产生方法 |
-
2013
- 2013-11-07 CN CN201310547441.9A patent/CN103580855B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008135816A (ja) * | 2006-11-27 | 2008-06-12 | Mitsubishi Electric Corp | 鍵管理サーバ、端末、鍵共有システム、鍵配信プログラム、鍵受信プログラム、鍵配信方法及び鍵受信方法 |
| CN101262333A (zh) * | 2008-04-21 | 2008-09-10 | 上海大学 | 一种车辆网络中节点间的安全通信方法 |
| CN101986596A (zh) * | 2010-10-21 | 2011-03-16 | 无锡江南信息安全工程技术中心 | 密钥管理机制 |
| CN102238003A (zh) * | 2011-03-17 | 2011-11-09 | 中国电力科学研究院 | 一种根密钥的产生方法 |
Non-Patent Citations (2)
| Title |
|---|
| 乔晓林 等: "《基于ECC的多组织间的多级秘密共享方案》", 《计算机工程与应用》 * |
| 杨捷 等: "《基于密钥协商的门限多秘密共享方案》", 《计算机工程》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168114A (zh) * | 2014-08-07 | 2014-11-26 | 河海大学 | 一种分布式的基于(k,n)门限证书加密方法及系统 |
| CN105656621A (zh) * | 2014-11-12 | 2016-06-08 | 江苏威盾网络科技有限公司 | 一种密码设备安全管理方法 |
| CN106330442B (zh) * | 2015-06-17 | 2020-04-28 | 中兴通讯股份有限公司 | 身份认证方法、装置及系统 |
| CN106330442A (zh) * | 2015-06-17 | 2017-01-11 | 中兴通讯股份有限公司 | 身份认证方法、装置及系统 |
| CN105227304A (zh) * | 2015-10-16 | 2016-01-06 | 中国科学院上海高等研究院 | 基于ecc加密的安全隐私保护方法及系统 |
| CN106529350A (zh) * | 2016-11-11 | 2017-03-22 | 郑州云海信息技术有限公司 | 一种安全存储系统 |
| CN106850208A (zh) * | 2017-02-28 | 2017-06-13 | 北京信安世纪科技有限公司 | 一种秘密数据分割的方法及装置 |
| CN107743306A (zh) * | 2017-11-20 | 2018-02-27 | 上海动联信息技术股份有限公司 | 一种基于多密码控制的智能pos机wifi设置方法及智能pos机 |
| CN107743306B (zh) * | 2017-11-20 | 2021-08-24 | 上海动联信息技术股份有限公司 | 一种基于多密码控制的智能pos机wifi设置方法及智能pos机 |
| CN108809938A (zh) * | 2018-04-23 | 2018-11-13 | 广州江南科友科技股份有限公司 | 一种密码设备的远程管控实现方法及系统 |
| CN108809938B (zh) * | 2018-04-23 | 2021-03-30 | 广州江南科友科技股份有限公司 | 一种密码设备的远程管控实现方法及系统 |
| CN108737105A (zh) * | 2018-05-07 | 2018-11-02 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 私钥的找回方法、装置、私钥设备和介质 |
| CN109088729A (zh) * | 2018-09-28 | 2018-12-25 | 北京金山安全软件有限公司 | 一种密钥存储方法及装置 |
| CN112202550A (zh) * | 2020-09-18 | 2021-01-08 | 苏州浪潮智能科技有限公司 | 一种Ukey认证密钥存储方法、装置及认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103580855B (zh) | 2017-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103580855A (zh) | 一种基于共享技术的UsbKey秘钥管理方案 | |
| CN102624522B (zh) | 一种基于文件属性的密钥加密方法 | |
| CN101651543B (zh) | 一种可信计算平台密钥迁移系统及其密钥迁移方法 | |
| JP2017139811A5 (zh) | ||
| CN101515319B (zh) | 密钥处理方法、密钥密码学服务系统和密钥协商方法 | |
| CN105245328A (zh) | 一种基于第三方的用户及文件的密钥产生管理方法 | |
| CN107453880B (zh) | 一种云数据安全存储方法和系统 | |
| WO2014055148A2 (en) | Cryptography and key management device and architecture | |
| CN104184743A (zh) | 面向云计算平台的三层认证系统及认证方法 | |
| WO2020192285A1 (zh) | 一种密钥管理方法、安全芯片、业务服务器及信息系统 | |
| CN105656621A (zh) | 一种密码设备安全管理方法 | |
| CN102567688B (zh) | 一种安卓操作系统上的文件保密系统及其保密方法 | |
| CN103534976A (zh) | 数据安全的保护方法、服务器、主机及系统 | |
| CN106027503A (zh) | 一种基于tpm的云存储数据加密方法 | |
| CN102236756A (zh) | 一种基于TCM可信密码模块和USBKey的文件加密方法 | |
| CN103955654A (zh) | 基于虚拟文件系统的u盘安全存储方法 | |
| CN111191217B (zh) | 一种密码管理方法及相关装置 | |
| CN103152322A (zh) | 数据加密保护方法及系统 | |
| CN103457739A (zh) | 一种动态令牌参数获取方法与设备 | |
| CN110298186B (zh) | 一种基于动态可重构密码芯片的无密钥数据加解密方法 | |
| CN109478214A (zh) | 用于证书注册的装置和方法 | |
| CN104333545A (zh) | 对云存储文件数据进行加密的方法 | |
| CN103544453A (zh) | 一种基于usb key的虚拟桌面文件保护方法及装置 | |
| BE1024812A9 (nl) | Een beveilingingsbenadering voor de opslag van credentials voor offline gebruik en tegen kopiëren beveiligde kluisinhoud in apparaten | |
| CN109412795A (zh) | 一种虚拟智能密码钥匙 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20140212 Assignee: Wuxi Electronics & Instruments Industry Co., Ltd. Assignor: Jiangnan University Contract record no.: 2018320010025 Denomination of invention: Usbkey management method based on sharing technology Granted publication date: 20170118 License type: Common License Record date: 20180314 |
|
| EC01 | Cancellation of recordation of patent licensing contract | ||
| EC01 | Cancellation of recordation of patent licensing contract |
Assignee: Wuxi Electronics & Instruments Industry Co., Ltd. Assignor: Jiangnan University Contract record no.: 2018320010025 Date of cancellation: 20180929 |