CN105656621A - 一种密码设备安全管理方法 - Google Patents
一种密码设备安全管理方法 Download PDFInfo
- Publication number
- CN105656621A CN105656621A CN201410631556.0A CN201410631556A CN105656621A CN 105656621 A CN105656621 A CN 105656621A CN 201410631556 A CN201410631556 A CN 201410631556A CN 105656621 A CN105656621 A CN 105656621A
- Authority
- CN
- China
- Prior art keywords
- key
- user
- encryption
- encrypting
- encryption device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种密码设备安全管理方法,本发明采用两级权限管理机制和四级密钥管理机制保证设备内数据的安全性,两级权限管理机制:用户权限分为管理员权限和操作员权限。管理员权限可以对密码设备进行管理配置;而操作员权限只能对密码卡提供的标准接口进行调用操作。本安全管理方法支持3个管理员,只有在2个以上管理员登陆的情况下,才能获取管理员权限;四级密钥管理机制:保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥。为了保护私钥的安全性,使用私钥访问控制码控制对私钥的访问。为了保证密钥备份、恢复的安全性,使用了备份恢复密钥。本发明采用两级权限管理机制和四级密钥管理机制保证设备内数据的安全性。
Description
技术领域
本发明涉及一种密码设备安全管理方法。
背景技术
目前有众多的硬件厂商生产了各种密码设备,通过提供加解密功能来帮助用户提升用户信息数据的安全性。但是加密解密的密钥如何管理直接关系到用户数据的安全性。
因此,现有技术有待于改进。
发明内容
本发明为了解决现有技术的不足,提供一种密码设备安全管理方法,实现一种设备的安全管理方法来保证用户数据的安全性。
为解决上述技术问题,本发明实施例提供的一种密码设备安全管理方法,采用如下技术方案:
一种密码设备安全管理方法,其特征在于,包括如下步骤:
S1:采用两级权限管理机制和四级密钥管理机制;
S2:用户权限分为管理员权限和操作员权限,四级密钥管理机制分为保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥;
S3:复位密码设备密钥存储区和用户数据存储区,置密码卡为出厂状态;
S4:检查密码设备是否处于出厂状态,不是就做密码设备复位;
S5:初始化管理员,建立管理员和密码设备的认证关系。根据提示连续创建三个管理员;
S6:登陆两个管理员获取管理员权限,创建至少一个操作员;
S7:在管理员权限下,创建设备密钥。在密码设备内部ram中生成保护密钥,用保护密钥加密设备密钥后,保存设备密钥到密码设备中;使用(2,3)门限算法,分散保护密钥为3个密钥碎片,分别保存到三个管理员对应的KEY中;
S8:在管理员权限下创建用户密钥和密钥加密密钥,使用设备密钥加密后,保存到密码设备中;
S9:密钥备份,在管理员权限下使用(2,3)门限算法恢复保护密钥,解密出设备密钥,再使用设备密钥解密出用户密钥和密钥加密密钥,生成备份恢复密钥,加密设备密钥、用户密钥和密钥加密密钥,再导出给用户,使用(2,3)门限分散备份恢复密钥为3个密钥碎片,分别保存到三个管理员对应的KEY中;
S10:密钥恢复,在管理员权限下依次读取两个管理员KEY中备份恢复密钥分量,使用(2,3)门限算法恢复出备份恢复密钥,并使用备份恢复密钥解密解密出密文状态的设备密钥、用户密钥和密钥加密密钥,使用设备密钥加密用户密钥和密钥加密密钥,并保存到设备中,使用(2,3)计算出保护密钥,使用保护密钥加密设备密钥,并保存到设备中。
具体地,设备密钥对分为加密密钥对和签名密钥对两对SM2密钥对,用于实现数字签名验证、数据加密解密等功能,其中私钥受私钥访问控制码的控制。
具体地,每一组用户密钥分为一对加密密钥和一对签名密钥,其中私钥必须受私钥访问控制码的控制,用户密钥受设备密钥加密保护。
具体地,密钥加密密钥KEY用于实现对会话密钥的保护,KEY受设备密钥加密保护。
具体地,会话密钥只存储在密码卡内存中,掉电会丢失。
具体地,设备密钥、用户密钥及密钥加密密钥备份时,需要使用备份恢复密钥加密后导出;设备密钥、用户密钥及密钥加密密钥恢复时,需要使用备份恢复密钥导入后解密。
本发明提供的一种密码设备安全管理方法,采用两级权限管理机制和四级密钥管理机制保证设备内数据的安全性。
附图说明
图1为本发明实施例所述的一种密码设备安全管理方法的步骤示意图。
具体实施方式
下面结合附图对本发明实施例提供给的密码设备安全管理方法进行详细描述。
如图1所示,本发明实施例提供的一种密码设备安全管理方法,其特征在于,包括如下步骤:
S1:采用两级权限管理机制和四级密钥管理机制;
S2:用户权限分为管理员权限和操作员权限,四级密钥管理机制分为保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥;
S3:复位密码设备密钥存储区和用户数据存储区,置密码卡为出厂状态;
S4:检查密码设备是否处于出厂状态,不是就做密码设备复位;
S5:初始化管理员,建立管理员和密码设备的认证关系。根据提示连续创建三个管理员;
S6:登陆两个管理员获取管理员权限,创建至少一个操作员;
S7:在管理员权限下,创建设备密钥。在密码设备内部ram中生成保护密钥,用保护密钥加密设备密钥后,保存设备密钥到密码设备中;使用(2,3)门限算法,分散保护密钥为3个密钥碎片,分别保存到三个管理员对应的KEY中;
S8:在管理员权限下创建用户密钥和密钥加密密钥,使用设备密钥加密后,保存到密码设备中;
S9:密钥备份,在管理员权限下使用(2,3)门限算法恢复保护密钥,解密出设备密钥,再使用设备密钥解密出用户密钥和密钥加密密钥,生成备份恢复密钥,加密设备密钥、用户密钥和密钥加密密钥,再导出给用户,使用(2,3)门限分散备份恢复密钥为3个密钥碎片,分别保存到三个管理员对应的KEY中;
S10:密钥恢复,在管理员权限下依次读取两个管理员KEY中备份恢复密钥分量,使用(2,3)门限算法恢复出备份恢复密钥,并使用备份恢复密钥解密解密出密文状态的设备密钥、用户密钥和密钥加密密钥,使用设备密钥加密用户密钥和密钥加密密钥,并保存到设备中,使用(2,3)计算出保护密钥,使用保护密钥加密设备密钥,并保存到设备中。
具体地,设备密钥对分为加密密钥对和签名密钥对两对SM2密钥对,用于实现数字签名验证、数据加密解密等功能,其中私钥受私钥访问控制码的控制。
具体地,每一组用户密钥分为一对加密密钥和一对签名密钥,其中私钥必须受私钥访问控制码的控制,用户密钥受设备密钥加密保护。
具体地,密钥加密密钥KEY用于实现对会话密钥的保护,KEY受设备密钥加密保护。
具体地,会话密钥只存储在密码卡内存中,掉电会丢失。
具体地,设备密钥、用户密钥及密钥加密密钥备份时,需要使用备份恢复密钥加密后导出;设备密钥、用户密钥及密钥加密密钥恢复时,需要使用备份恢复密钥导入后解密。
本发明提供的一种密码设备安全管理方法,采用两级权限管理机制和四级密钥管理机制保证设备内数据的安全性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (6)
1.一种密码设备安全管理方法,其特征在于,包括如下步骤:
S1:采用两级权限管理机制和四级密钥管理机制;
S2:用户权限分为管理员权限和操作员权限,四级密钥管理机制分为保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥;
S3:复位密码设备密钥存储区和用户数据存储区,置密码卡为出厂状态;
S4:检查密码设备是否处于出厂状态,不是就做密码设备复位;
S5:初始化管理员,建立管理员和密码设备的认证关系,根据提示连续创建三个管理员;
S6:登陆两个管理员获取管理员权限,创建至少一个操作员;
S7:在管理员权限下,创建设备密钥,在密码设备内部ram中生成保护密钥,用保护密钥加密设备密钥后,保存设备密钥到密码设备中;使用(2,3)门限算法,分散保护密钥为3个密钥碎片,分别保存到三个管理员对应的KEY中;
S8:在管理员权限下创建用户密钥和密钥加密密钥,使用设备密钥加密后,保存到密码设备中;
S9:密钥备份,在管理员权限下使用(2,3)门限算法恢复保护密钥,解密出设备密钥,再使用设备密钥解密出用户密钥和密钥加密密钥,生成备份恢复密钥,加密设备密钥、用户密钥和密钥加密密钥,再导出给用户,使用(2,3)门限分散备份恢复密钥为3个密钥碎片,分别保存到三个管理员对应的KEY中;
S10:密钥恢复,在管理员权限下依次读取两个管理员KEY中备份恢复密钥分量,使用(2,3)门限算法恢复出备份恢复密钥,并使用备份恢复密钥解密解密出密文状态的设备密钥、用户密钥和密钥加密密钥,使用设备密钥加密用户密钥和密钥加密密钥,并保存到设备中,使用(2,3)计算出保护密钥,使用保护密钥加密设备密钥,并保存到设备中。
2.根据权利要求1所述的密码设备安全管理方法,其特征在于,设备密钥对分为加密密钥对和签名密钥对两对SM2密钥对,用于实现数字签名验证、数据加密解密等功能,其中私钥受私钥访问控制码的控制。
3.根据权利要求1所述的密码设备安全管理方法,其特征在于,每一组用户密钥分为一对加密密钥和一对签名密钥,其中私钥必须受私钥访问控制码的控制,用户密钥受设备密钥加密保护。
4.根据权利要求1所述的密码设备安全管理方法,其特征在于,密钥加密密钥KEY用于实现对会话密钥的保护,KEY受设备密钥加密保护。
5.根据权利要求1所述的密码设备安全管理方法,其特征在于,会话密钥只存储在密码卡内存中,掉电会丢失。
6.根据权利要求1所述的密码设备安全管理方法,其特征在于,设备密钥、用户密钥及密钥加密密钥备份时,需要使用备份恢复密钥加密后导出;设备密钥、用户密钥及密钥加密密钥恢复时,需要使用备份恢复密钥导入后解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410631556.0A CN105656621A (zh) | 2014-11-12 | 2014-11-12 | 一种密码设备安全管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410631556.0A CN105656621A (zh) | 2014-11-12 | 2014-11-12 | 一种密码设备安全管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105656621A true CN105656621A (zh) | 2016-06-08 |
Family
ID=56483665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410631556.0A Pending CN105656621A (zh) | 2014-11-12 | 2014-11-12 | 一种密码设备安全管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105656621A (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933113A (zh) * | 2016-06-13 | 2016-09-07 | 北京三未信安科技发展有限公司 | 一种密钥备份恢复方法、系统及其相关设备 |
| CN106027245A (zh) * | 2016-07-22 | 2016-10-12 | 中国工商银行股份有限公司 | 密钥共享方法及装置 |
| CN106330868A (zh) * | 2016-08-14 | 2017-01-11 | 北京数盾信息科技有限公司 | 一种高速网络加密存贮密钥管理系统及方法 |
| CN106685645A (zh) * | 2016-11-14 | 2017-05-17 | 郑州信大捷安信息技术股份有限公司 | 一种用于安全芯片业务密钥的密钥备份与恢复方法及系统 |
| CN107070881A (zh) * | 2017-02-20 | 2017-08-18 | 北京古盘创世科技发展有限公司 | 密钥管理方法、系统及用户终端 |
| CN107743306A (zh) * | 2017-11-20 | 2018-02-27 | 上海动联信息技术股份有限公司 | 一种基于多密码控制的智能pos机wifi设置方法及智能pos机 |
| CN109088729A (zh) * | 2018-09-28 | 2018-12-25 | 北京金山安全软件有限公司 | 一种密钥存储方法及装置 |
| CN109308609A (zh) * | 2018-09-28 | 2019-02-05 | 北京金山安全软件有限公司 | 一种交易确认方法、装置、数字钱包设备及可读存储介质 |
| CN109756333A (zh) * | 2018-11-26 | 2019-05-14 | 西安得安信息技术有限公司 | 密钥管理系统 |
| CN109977640A (zh) * | 2019-02-21 | 2019-07-05 | 兴业数字金融服务(上海)股份有限公司 | admin密码的回收保管、使用方法及装置 |
| CN111523127A (zh) * | 2020-03-26 | 2020-08-11 | 郑州信大捷安信息技术股份有限公司 | 一种用于密码设备的权限认证方法及系统 |
| CN112257119A (zh) * | 2020-10-20 | 2021-01-22 | 河北素数信息安全有限公司 | 一种身份认证方法及用于保证加密装置安全的保护方法 |
| CN112787996A (zh) * | 2020-12-25 | 2021-05-11 | 郑州信大捷安信息技术股份有限公司 | 一种密码设备管理方法及系统 |
| CN112989320A (zh) * | 2021-04-02 | 2021-06-18 | 郑州信大捷安信息技术股份有限公司 | 一种用于密码设备的用户状态管理系统及方法 |
| CN113656814A (zh) * | 2021-07-30 | 2021-11-16 | 成都长城开发科技有限公司 | 一种设备秘钥安全管理方法及系统 |
| CN114531236A (zh) * | 2022-03-02 | 2022-05-24 | 杭州华澜微电子股份有限公司 | 一种密钥的处理方法、装置及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369886A (zh) * | 2007-08-17 | 2009-02-18 | 华为技术有限公司 | 实现iptv媒体内容安全的系统、方法及设备 |
| CN101986596A (zh) * | 2010-10-21 | 2011-03-16 | 无锡江南信息安全工程技术中心 | 密钥管理机制 |
| CN102004873A (zh) * | 2010-11-04 | 2011-04-06 | 北京曙光天演信息技术有限公司 | 一种加密卡内加密信息可恢复的实现方法 |
| CN103580855A (zh) * | 2013-11-07 | 2014-02-12 | 江南大学 | 一种基于共享技术的UsbKey秘钥管理方案 |
-
2014
- 2014-11-12 CN CN201410631556.0A patent/CN105656621A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369886A (zh) * | 2007-08-17 | 2009-02-18 | 华为技术有限公司 | 实现iptv媒体内容安全的系统、方法及设备 |
| CN101986596A (zh) * | 2010-10-21 | 2011-03-16 | 无锡江南信息安全工程技术中心 | 密钥管理机制 |
| CN102004873A (zh) * | 2010-11-04 | 2011-04-06 | 北京曙光天演信息技术有限公司 | 一种加密卡内加密信息可恢复的实现方法 |
| CN103580855A (zh) * | 2013-11-07 | 2014-02-12 | 江南大学 | 一种基于共享技术的UsbKey秘钥管理方案 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933113A (zh) * | 2016-06-13 | 2016-09-07 | 北京三未信安科技发展有限公司 | 一种密钥备份恢复方法、系统及其相关设备 |
| CN106027245B (zh) * | 2016-07-22 | 2019-05-07 | 中国工商银行股份有限公司 | 密钥共享方法及装置 |
| CN106027245A (zh) * | 2016-07-22 | 2016-10-12 | 中国工商银行股份有限公司 | 密钥共享方法及装置 |
| CN106330868A (zh) * | 2016-08-14 | 2017-01-11 | 北京数盾信息科技有限公司 | 一种高速网络加密存贮密钥管理系统及方法 |
| CN106330868B (zh) * | 2016-08-14 | 2019-11-26 | 北京数盾信息科技有限公司 | 一种高速网络加密存贮密钥管理系统及方法 |
| CN106685645A (zh) * | 2016-11-14 | 2017-05-17 | 郑州信大捷安信息技术股份有限公司 | 一种用于安全芯片业务密钥的密钥备份与恢复方法及系统 |
| CN106685645B (zh) * | 2016-11-14 | 2019-05-28 | 郑州信大捷安信息技术股份有限公司 | 一种用于安全芯片业务密钥的密钥备份与恢复方法及系统 |
| CN107070881A (zh) * | 2017-02-20 | 2017-08-18 | 北京古盘创世科技发展有限公司 | 密钥管理方法、系统及用户终端 |
| CN107743306B (zh) * | 2017-11-20 | 2021-08-24 | 上海动联信息技术股份有限公司 | 一种基于多密码控制的智能pos机wifi设置方法及智能pos机 |
| CN107743306A (zh) * | 2017-11-20 | 2018-02-27 | 上海动联信息技术股份有限公司 | 一种基于多密码控制的智能pos机wifi设置方法及智能pos机 |
| CN109088729A (zh) * | 2018-09-28 | 2018-12-25 | 北京金山安全软件有限公司 | 一种密钥存储方法及装置 |
| CN109308609A (zh) * | 2018-09-28 | 2019-02-05 | 北京金山安全软件有限公司 | 一种交易确认方法、装置、数字钱包设备及可读存储介质 |
| CN109088729B (zh) * | 2018-09-28 | 2021-03-26 | 北京金山安全软件有限公司 | 一种密钥存储方法及装置 |
| CN109756333A (zh) * | 2018-11-26 | 2019-05-14 | 西安得安信息技术有限公司 | 密钥管理系统 |
| CN109977640A (zh) * | 2019-02-21 | 2019-07-05 | 兴业数字金融服务(上海)股份有限公司 | admin密码的回收保管、使用方法及装置 |
| CN111523127A (zh) * | 2020-03-26 | 2020-08-11 | 郑州信大捷安信息技术股份有限公司 | 一种用于密码设备的权限认证方法及系统 |
| CN111523127B (zh) * | 2020-03-26 | 2022-02-25 | 郑州信大捷安信息技术股份有限公司 | 一种用于密码设备的权限认证方法及系统 |
| CN112257119A (zh) * | 2020-10-20 | 2021-01-22 | 河北素数信息安全有限公司 | 一种身份认证方法及用于保证加密装置安全的保护方法 |
| CN112787996A (zh) * | 2020-12-25 | 2021-05-11 | 郑州信大捷安信息技术股份有限公司 | 一种密码设备管理方法及系统 |
| CN112989320A (zh) * | 2021-04-02 | 2021-06-18 | 郑州信大捷安信息技术股份有限公司 | 一种用于密码设备的用户状态管理系统及方法 |
| CN112989320B (zh) * | 2021-04-02 | 2022-02-25 | 郑州信大捷安信息技术股份有限公司 | 一种用于密码设备的用户状态管理系统及方法 |
| CN113656814A (zh) * | 2021-07-30 | 2021-11-16 | 成都长城开发科技有限公司 | 一种设备秘钥安全管理方法及系统 |
| CN114531236A (zh) * | 2022-03-02 | 2022-05-24 | 杭州华澜微电子股份有限公司 | 一种密钥的处理方法、装置及电子设备 |
| CN114531236B (zh) * | 2022-03-02 | 2023-10-31 | 杭州华澜微电子股份有限公司 | 一种密钥的处理方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105656621A (zh) | 一种密码设备安全管理方法 | |
| CN103618607B (zh) | 一种数据安全传输和密钥交换方法 | |
| CN101986596B (zh) | 密钥管理方法 | |
| WO2014083335A3 (en) | A method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors | |
| CN204595860U (zh) | 一种存储设备加密桥接器 | |
| CN105553951A (zh) | 数据传输方法和装置 | |
| CN103580855B (zh) | 一种基于共享技术的UsbKey密钥管理方法 | |
| CN101465727B (zh) | 一种保证通信安全的方法、网络设备、装置和通信系统 | |
| CN102236756A (zh) | 一种基于TCM可信密码模块和USBKey的文件加密方法 | |
| CN107453880B (zh) | 一种云数据安全存储方法和系统 | |
| CN110298186B (zh) | 一种基于动态可重构密码芯片的无密钥数据加解密方法 | |
| CN105072107A (zh) | 增强数据传输及存储安全的系统和方法 | |
| CN104219044A (zh) | 一种用于加密存储装置的密钥保密方法 | |
| CN103414564A (zh) | 一种密钥卡、密钥设备及其保护私钥的方法 | |
| CN104866784A (zh) | 一种基于bios加密的安全硬盘、数据加密及解密方法 | |
| JP2024511236A (ja) | コンピュータファイルのセキュリティ暗号化方法、復号化方法および読み取り可能な記憶媒体 | |
| CN202364240U (zh) | 一种可信计算芯片密钥备份恢复系统 | |
| CN104601820A (zh) | 一种基于tf密码卡的手机终端信息保护方法 | |
| CN102769525B (zh) | 一种tcm的用户密钥备份与恢复方法 | |
| CN112787996B (zh) | 一种密码设备管理方法及系统 | |
| CN117648709A (zh) | 一种基于nfc芯片技术的数据加解密实现方法 | |
| CN102270182B (zh) | 基于同步用户和主机认证的加密可移动存储设备 | |
| CN204808325U (zh) | 一种对数据进行加密的设备 | |
| CN201199439Y (zh) | 一种移动存储装置 | |
| CN110022213A (zh) | 一种基于量子密钥保护计算机数据的多密级处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160608 |
|
| WD01 | Invention patent application deemed withdrawn after publication |