CN106027234A - 一种密钥保护方法 - Google Patents
一种密钥保护方法 Download PDFInfo
- Publication number
- CN106027234A CN106027234A CN201610319287.3A CN201610319287A CN106027234A CN 106027234 A CN106027234 A CN 106027234A CN 201610319287 A CN201610319287 A CN 201610319287A CN 106027234 A CN106027234 A CN 106027234A
- Authority
- CN
- China
- Prior art keywords
- key
- usb
- protection method
- keys
- usb key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0625—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
一种密钥保护方法,包USB KEY,其特征是:取5个USB KEY用于存放密钥,将待保密文件的秘钥取采用(3,5)门限方式对原始密钥进行分割,分别存到5个USB KEY中,有5个不同人员进行保管;恢复时任意三人即可将原始密钥恢复出来对密文进行解密。本发明的有意效果:解决了靠人脑记密钥或硬盘和U盘记录密钥的弊端,提高了数据加密后密钥管理的安全性和可靠性。
Description
技术领域
本发明涉及计算机信息安全领域,主要是针对密钥管理中对密钥保存的安全性、可靠性的一种改进,尤其适用于数据信息需要加密备份的情况,具体说是一种基于密钥保护方法。
背景技术
本专利涉及到计算机信息安全领域,当前信息安全领域中密钥的管理基本上都还使用口令方式,口令密码靠人记,或者将密码放到电脑或U盘中,这种方式存在极大风险。由于密码太长不好记,电脑或U盘硬件损坏或是密码忘记,都会造成原来加密的信息丢失。
发明内容
为了解决密码口令靠人记或者写到电脑、U盘中硬件算坏后,密钥丢失,造成信息无法恢复的问题,本发明提供了一种安全度和可靠性高的密钥保护方法。本发明是通过如下技术方案实现的:
一种密钥保护方法,本发明利用USB KEY硬件和(3,5)门限方法进行密钥保护,首先使用者在对数据加密时随机生成一组随机数作为数据加密的口令,使用随机产生的密钥对明文数据进行加密,再采用(3,5)门限算法将加密用的密钥进行分割,产生5份子密钥,最后将5份子密钥分别存放到5个不同的USB KEY中进行保护,并将5个USB KEY分给5个不同人员进行保管,每个人都可以设置自己USB KEY的使用口令,密钥就不会轻易被人获取。数据需要解密的时候采用(3,5)门限算法选择其中任意3个人使用其USB KEY,就可以将原始密钥恢复出来进行解密。
为保证持有USB KEY人身份的合法性与可靠性,所述USB KEY为双因子硬件方式存放密钥,即双因子认证方式,安全度比靠人脑记或者将密码放到某个地方的安全性要高,而且密钥是分散存放,即使获取一个USB KEY,并获取USB KEY的认证口令也无法将原始密钥恢复。本方法由于使用的是(3,5)门限算法,即使其中一个或两个USB KEY损坏也不会影响原始密钥的恢复,因此可靠性增加了,当其中一个或两个USB KEY损坏后可以先将数据恢复出来,重新选择5 个USB KEY进行密钥分割,可以大大降低由于硬件损坏而导致密钥丢失的概率。
为便于加密,所述加密算法选择通用的对称加密算法AES、DES、3DES,国密局制定国密算法SM1和SM4中的任意一种。
为便于使用,所述USB KEY选择握奇或飞天诚信的USB KEY,并利用他们提供的API接口函数编程实现密钥的存放。
本发明的有意效果:解决了靠人脑记密钥或硬盘和U盘记录密钥的弊端,提高了数据加密后密钥管理的安全性和可靠性。
附图说明
下面结合附图对本发明作进一步的说明:
图1密钥分割流程:
图2密钥恢复流程;
具体实施方式
附图为本发明的一种具体实施例。该实施例包括5个USB KEY
具体实施方式如下:
加密过程:
随机产生一个随机数作为加密明文的密钥。
使用该密钥对明文数据进行加密,产生密文。
使用(3,5)门限算法对密钥进行分割,分成5份子密钥。
将5份子密钥分别存放到5个USB KEY中,并将5个USB KEY分给5个不同人员保管。
USB KEY保管人员分别设置自己的USB KEY使用口令。
解密过程:
选取任意三个USB KEY管理人员,分别输入自己的USB KEY包括口令,并取出三份子密钥。
使用(3,5)门限算法,将三分子密钥恢复成原始密钥。
使用原始密钥对密文数据进行解密,获得明文数据。
上述加密过程密钥随机产生,可以使用随机数发生器产生没有任何规律的数据串作为密钥。
对明文进行加密:可以选择通用的对称加密算法AES、DES、3DES,或者国密局制定国密算法SM1、SM4算法。USB KEY:可以选择握奇或飞天诚信的USB KEY,并利用他们提供的API接口函数编程实现密钥的存放。密钥的分割和恢复:使用(3,5)门限算法对一组密钥进行分割和恢复。
USB KEY:采用市面上可以买到的飞天或握奇等USB KEY厂家的硬件产品,并利用他们产品提供的API接口函数进行编程实现。
(3,5)门限原理:
(k,n)秘密共享算法将秘密S分为n个子秘密,任意k个子秘密都可以恢复出S,而任意k-1个子秘密无法恢复出S。
分散过程:
假设有秘密S,任取随机数a1,...,ak1。令a0为S,构造多项式
如下多项式:f(x)=a0+a1x+a2x2+...+ak-1xk-1,其中所有的运算都在有限域F中进行。任取n个数x1,...,xn分别带入多项式得到f(x1),...,f(xn)。
将(x1,f(x1)),...,(xn,f(xn))分别存储在n个USB KEY中。恢复过程:
任取k个服务器上的数据,假设取{x1,y1},...,{xk,yk},代入并求解多项式系数。
a0+a1x1+...+ak-1x1 k-1=y1
a0+a1x2+...+ak-1x2 k-1=y2
……
a0+a1xk+...+ak-1xk k-1=yk
方程组是k元一次方程组,求出a0即可获得密钥S。
本发明解决了靠人脑记密钥或硬盘和U盘记录密钥的弊端,提高了数据加密后密钥管理的安全性和可靠性。例如财务系统数据库数据进行备份,如果只使用数据库的备份方法,则其他人都可以将备份文件在其他数据库中恢复出来,风险很大。如果对数据使用一些加密软件进行加密,则需要加密口令,如果设置 太短,安全性不高,如果设置太长,很难记住。采用本方法,可以使用一个非常复杂的密钥,分别放到5个USB KEY中,使用者只需要给USB KEY设置一个适当的密钥即可,因为USB KEY本身允许尝试输入密钥的次数是有限的,口令很难被破解;而且密钥分散到5个人手中,必须半数人员到场才能将数据恢复出来,破解可能性很小。恢复时只需要任意三个人到场即可,因此即使一两个人丢失密钥也不影响恢复,提高了可靠性。
Claims (4)
1.一种密钥保护方法,包USB KEY,其特征是:取5个USB KEY用于存放密钥,将待保密文件的秘钥取采用(3,5)门限方式对原始密钥进行分割,分别存到5个USB KEY中,有5个不同人员进行保管;恢复时任意三人即可将原始密钥恢复出来对密文进行解密。
2.根据权利要求1所述的密钥保护方法,其特征是:所述USB KEY为双因子硬件方式存放密钥。
3.根据权利要求1所述的密钥保护方法,其特征是:所述加密算法选择通用的对称加密算法AES、DES、3DES,国密局制定国密算法SM1和SM4中的任意一种。
4.根据权利要求1所述的密钥保护方法,其特征是:所述USB KEY选择握奇或飞天诚信的USB KEY,并利用他们提供的API接口函数编程实现密钥的存放。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610319287.3A CN106027234A (zh) | 2016-05-12 | 2016-05-12 | 一种密钥保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610319287.3A CN106027234A (zh) | 2016-05-12 | 2016-05-12 | 一种密钥保护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106027234A true CN106027234A (zh) | 2016-10-12 |
Family
ID=57100782
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610319287.3A Pending CN106027234A (zh) | 2016-05-12 | 2016-05-12 | 一种密钥保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106027234A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357401A (zh) * | 2016-11-11 | 2017-01-25 | 武汉理工大学 | 一种私钥存储及使用方法 |
CN106850208A (zh) * | 2017-02-28 | 2017-06-13 | 北京信安世纪科技有限公司 | 一种秘密数据分割的方法及装置 |
CN107465505A (zh) * | 2017-08-28 | 2017-12-12 | 阿里巴巴集团控股有限公司 | 一种密钥数据处理方法、装置及服务器 |
CN107979473A (zh) * | 2017-12-04 | 2018-05-01 | 山东渔翁信息技术股份有限公司 | 基于USB Key的身份认证的方法、装置、密码卡及介质 |
CN108959946A (zh) * | 2018-07-10 | 2018-12-07 | 林小丽 | 用于电子招投标的电子标书多层加解密方法 |
CN109033811A (zh) * | 2018-07-10 | 2018-12-18 | 林小丽 | 用于电子招投标的电子标书多层加解密系统 |
WO2020063354A1 (zh) * | 2018-09-28 | 2020-04-02 | 北京金山安全软件有限公司 | 一种区块链私钥的存储、恢复方法、装置及系统 |
CN111177780A (zh) * | 2019-12-26 | 2020-05-19 | 深圳创客区块链技术有限公司 | 安全验证方法、装置、终端设备及计算机可读存储介质 |
CN111448779A (zh) * | 2018-05-01 | 2020-07-24 | 华为技术有限公司 | 用于混合秘密共享的系统、设备和方法 |
CN112202550A (zh) * | 2020-09-18 | 2021-01-08 | 苏州浪潮智能科技有限公司 | 一种Ukey认证密钥存储方法、装置及认证方法 |
CN112272087A (zh) * | 2020-10-26 | 2021-01-26 | 链盟智能科技(广州)有限公司 | 一种基于安全多方计算在区块链中的应用方法 |
CN113890731A (zh) * | 2021-09-29 | 2022-01-04 | 北京天融信网络安全技术有限公司 | 一种密钥管理方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1601957A (zh) * | 2003-09-22 | 2005-03-30 | 华为技术有限公司 | 一种进行组密钥分发的方法 |
CN101236590A (zh) * | 2008-03-07 | 2008-08-06 | 北京邮电大学 | 一种基于门限密码体制的软件分割保护的实现方法 |
CN101621375A (zh) * | 2009-07-28 | 2010-01-06 | 成都市华为赛门铁克科技有限公司 | 密钥管理方法、装置及系统 |
US20120087494A1 (en) * | 2009-03-20 | 2012-04-12 | Compugroup Holding Ag | Method for providing cryptographical key pairs |
-
2016
- 2016-05-12 CN CN201610319287.3A patent/CN106027234A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1601957A (zh) * | 2003-09-22 | 2005-03-30 | 华为技术有限公司 | 一种进行组密钥分发的方法 |
CN101236590A (zh) * | 2008-03-07 | 2008-08-06 | 北京邮电大学 | 一种基于门限密码体制的软件分割保护的实现方法 |
US20120087494A1 (en) * | 2009-03-20 | 2012-04-12 | Compugroup Holding Ag | Method for providing cryptographical key pairs |
CN101621375A (zh) * | 2009-07-28 | 2010-01-06 | 成都市华为赛门铁克科技有限公司 | 密钥管理方法、装置及系统 |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357401B (zh) * | 2016-11-11 | 2019-09-10 | 武汉理工大学 | 一种私钥存储及使用方法 |
CN106357401A (zh) * | 2016-11-11 | 2017-01-25 | 武汉理工大学 | 一种私钥存储及使用方法 |
CN106850208A (zh) * | 2017-02-28 | 2017-06-13 | 北京信安世纪科技有限公司 | 一种秘密数据分割的方法及装置 |
US10797865B2 (en) | 2017-08-28 | 2020-10-06 | Alibaba Group Holding Limited | Key data processing method and apparatus, and server |
CN107465505A (zh) * | 2017-08-28 | 2017-12-12 | 阿里巴巴集团控股有限公司 | 一种密钥数据处理方法、装置及服务器 |
US11356250B2 (en) | 2017-08-28 | 2022-06-07 | Advanced New Technologies Co., Ltd. | Key data processing |
US11095437B2 (en) | 2017-08-28 | 2021-08-17 | Advanced New Technologies Co., Ltd. | Key data processing method and apparatus, and server |
CN107465505B (zh) * | 2017-08-28 | 2021-07-09 | 创新先进技术有限公司 | 一种密钥数据处理方法、装置及服务器 |
US10873449B2 (en) | 2017-08-28 | 2020-12-22 | Advanced New Technologies Co., Ltd. | Key data processing method and apparatus, and server |
CN107979473A (zh) * | 2017-12-04 | 2018-05-01 | 山东渔翁信息技术股份有限公司 | 基于USB Key的身份认证的方法、装置、密码卡及介质 |
US11063754B2 (en) | 2018-05-01 | 2021-07-13 | Huawei Technologies Co., Ltd. | Systems, devices, and methods for hybrid secret sharing |
CN111448779A (zh) * | 2018-05-01 | 2020-07-24 | 华为技术有限公司 | 用于混合秘密共享的系统、设备和方法 |
CN111448779B (zh) * | 2018-05-01 | 2022-09-16 | 华为技术有限公司 | 用于混合秘密共享的系统、设备和方法 |
CN109033811A (zh) * | 2018-07-10 | 2018-12-18 | 林小丽 | 用于电子招投标的电子标书多层加解密系统 |
CN108959946A (zh) * | 2018-07-10 | 2018-12-07 | 林小丽 | 用于电子招投标的电子标书多层加解密方法 |
WO2020063354A1 (zh) * | 2018-09-28 | 2020-04-02 | 北京金山安全软件有限公司 | 一种区块链私钥的存储、恢复方法、装置及系统 |
CN111177780A (zh) * | 2019-12-26 | 2020-05-19 | 深圳创客区块链技术有限公司 | 安全验证方法、装置、终端设备及计算机可读存储介质 |
CN111177780B (zh) * | 2019-12-26 | 2022-05-20 | 深圳创客区块链技术有限公司 | 安全验证方法、装置、终端设备及计算机可读存储介质 |
CN112202550A (zh) * | 2020-09-18 | 2021-01-08 | 苏州浪潮智能科技有限公司 | 一种Ukey认证密钥存储方法、装置及认证方法 |
CN112272087A (zh) * | 2020-10-26 | 2021-01-26 | 链盟智能科技(广州)有限公司 | 一种基于安全多方计算在区块链中的应用方法 |
CN112272087B (zh) * | 2020-10-26 | 2023-04-18 | 链盟智能科技(广州)有限公司 | 一种基于安全多方计算在区块链中的应用方法 |
CN113890731A (zh) * | 2021-09-29 | 2022-01-04 | 北京天融信网络安全技术有限公司 | 一种密钥管理方法、装置、电子设备及存储介质 |
CN113890731B (zh) * | 2021-09-29 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种密钥管理方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106027234A (zh) | 一种密钥保护方法 | |
US11652608B2 (en) | System and method to protect sensitive information via distributed trust | |
JP7312892B2 (ja) | 暗号化された資産暗号化鍵パーツのサブセットを使用して資産暗号化鍵のアセンブリを可能にする暗号化された資産暗号化鍵パーツ | |
US7676040B2 (en) | Changing encryption key of encrypted data | |
JP6884642B2 (ja) | データ再暗号化を介して機密データを保護するためのコンピュータ実施システムおよび方法 | |
CN102123143B (zh) | 一种用于网络中数据安全存储的方法 | |
US8619978B2 (en) | Multiple account authentication | |
CN103095452A (zh) | 需要采用穷举法解密的随机加密方法 | |
CN102752109A (zh) | 应用于数据库列加密的密钥管理方法和装置 | |
CN106778292B (zh) | 一种Word加密文档的快速还原方法 | |
Belenko et al. | “Secure Password Managers” and “Military-Grade Encryption” on Smartphones: Oh, Really? | |
US10380353B2 (en) | Document security in enterprise content management systems | |
CN107332663A (zh) | 基于加密技术的档案管理方法 | |
US11997191B2 (en) | System and method for protecting secret data items using multiple tiers of encryption and secure element | |
CN115694921A (zh) | 一种数据存储方法、设备及介质 | |
CN103795547A (zh) | 一种用户数据加密方法及装置 | |
TWI465091B (zh) | 適於分享加密檔案且金鑰可回復式之資料保密系統及其方法 | |
JP5821040B2 (ja) | データ管理装置、データ分割装置およびデータ復元装置 | |
Rani et al. | Key insertion and splay tree encryption algorithm for secure data outsourcing in cloud | |
CN110162989A (zh) | 基于cbc模式的多类型文件加密共享与访问控制方法 | |
US20180276412A1 (en) | Method and system for the protection of confidential electronic data | |
US20230388115A1 (en) | Non-Custodial Backup and Recovery | |
Maragatharajan et al. | Removal of duplicate data from encrypted cloud storage | |
TWI411934B (zh) | 資料處理系統及其相關密碼管理方法及資料讀取與寫入方法 | |
CN107222311A (zh) | 一种多次通信校验身份的处理系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB03 | Change of inventor or designer information | ||
CB03 | Change of inventor or designer information |
Inventor after: Feng Jun Inventor after: Song Zhihua Inventor before: Song Zhihua Inventor before: Guo Gang Inventor before: Fang Baolong |
|
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161012 |