CN106411515B - 利用密码机对密钥进行分割提升密钥安全的方法及系统 - Google Patents

利用密码机对密钥进行分割提升密钥安全的方法及系统 Download PDF

Info

Publication number
CN106411515B
CN106411515B CN201611114828.5A CN201611114828A CN106411515B CN 106411515 B CN106411515 B CN 106411515B CN 201611114828 A CN201611114828 A CN 201611114828A CN 106411515 B CN106411515 B CN 106411515B
Authority
CN
China
Prior art keywords
key
cipher machine
point device
fragments
preservation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611114828.5A
Other languages
English (en)
Other versions
CN106411515A (zh
Inventor
马臣云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Trust Technology Co Ltd
Original Assignee
Beijing Trust Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Trust Technology Co Ltd filed Critical Beijing Trust Technology Co Ltd
Priority to CN201611114828.5A priority Critical patent/CN106411515B/zh
Publication of CN106411515A publication Critical patent/CN106411515A/zh
Application granted granted Critical
Publication of CN106411515B publication Critical patent/CN106411515B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了利用密码机对密钥进行分割提升密钥安全的方法及系统,属于信息安全领域,本发明解决密码机对密钥调用权限控制单一及密码机存储密钥的数量有限的问题,采用的技术方案为:利用密码机对密钥进行分割提升密钥安全的方法:密码机将密钥分割为N份密钥片段,通过双重加密后,分别输出到各对应的保存点设备;使用时,密码机对全部保存点设备进行认证后,解密分割后的密钥片段,合成为完整的密钥;合成后的密钥使用一次后由密码机立刻销毁。利用密码机对密钥进行分割提升密钥安全的系统,包括密码机及N个保存点设备;密码机用于密钥分割、异地存储、多点认证和用过即毁;保存点设备用于保存各自对应的密钥片段。

Description

利用密码机对密钥进行分割提升密钥安全的方法及系统
技术领域
本发明涉及一种信息安全领域,具体地说是利用密码机对密钥进行分割提升密钥安全的方法及系统。
背景技术
密钥是密码算法或协议中需要特别安全保护的数据,通常有软密钥和硬密钥两种密钥形式,软密钥以文件形式存在计算机或服务器中,硬密钥保存在专用的硬件密码机内。
软密钥存在安全性较低的问题。硬密钥的安全性较高,密钥的产生、使用均在硬件内部实现,密钥不导出,计算过程也不出现在CPU、内存中。
但是通用的密码机对密钥调用的权限控制比较单一,主要是靠口令或者IP地址白名单,容易被攻击者利用。同时硬件密码机存储密钥的数量也是有限的。
发明内容
本发明的技术任务是针对以上不足,提供利用密码机对密钥进行分割提升密钥安全的方法及系统,来解决密码机对密钥调用权限控制单一及密码机存储密钥的数量有限的问题。
本发明的技术任务是按以下方式实现的,
利用密码机对密钥进行分割提升密钥安全的方法,在通用密码机的安全原则的基础上,提出密钥分割、异地存储、多点认证和用过即毁的方法;包括如下过程:
(1)、密钥分割分发过程:密码机将密钥分割为N份密钥片段,N为至少为2的自然数,N份分割后的密钥片段均通过双重加密后,分别输出到各对应的保存点设备;保存点设备为N个,每个加密后的密钥片段分别对应一个保存点设备;
(2)、密钥合成使用过程:使用时,密码机对全部保存点设备进行认证后,解密分割后的密钥片段,合成为完整的密钥;
(3)、用过即毁过程:合成后的密钥使用一次后由密码机立刻销毁。
密钥分割分发过程如下:
①、通过接口向密码机发起密钥分割指令,输入要分割的份数为N,N为至少为2的自然数,同时输入N个保存点设备M1、M2、...MN的设备数字证书M1Cert、M2Cert、...MNCert;
②、密码机产生一个新的密钥K;
③、将密钥K分割成N份密钥片段,分别是密钥片段K1、密钥片段K2、... 密钥片段KN;
④、密钥片段K1使用密码机的设备数字证书HSMCert以及其对应的保存点设备M1的设备数字证书M1Cert双重加密,得到加密后的密钥片段K1”;K1”= Enc(K1,(HSMCert,M1Cert));
密钥片段K2使用密码机的设备数字证书HSMCert以及其对应的保存点设备M2的设备数字证书M2Cert双重加密,得到加密后的密钥片段K2”;K2”= Enc(K2,(HSMCert,M2Cert));
…以此类推…;
密钥片段KN使用密码机的设备数字证书HSMCert以及其对应的保存点设备MN的设备数字证书MNCert双重加密,得到加密后的密钥片段KN”;KN”= Enc(KN,(HSMCert,MNCert));
⑤、将加密后的密钥片段K1”、加密后的密钥片段K2”、...加密后的密钥片段KN”分别发送到其对应的保存点设备M1、M2、...MN进行安全保存。
步骤②中,密码机通过硬件密码设备,产生一个密钥K;硬件密码设备采用加密卡。
步骤②中,密钥K是国际或国内标准的密码算法的密钥,密钥K是对称密钥或非对称密钥。非对称密钥比如RSA、SM2、DES、AES、SM1、SM4等。
密钥合成使用过程如下:
⑥、任意一个保存点设备MN向密码机发起密钥使用申请MNReq;密码机产生随机数R,随机数R使用该保存点设备MN的设备数字证书MNCert加密生成R’,密码机发送R’到保存点设备MN;R’= Enc(R,MNCert);
⑦、保存点设备MN收到R’后,使用该保存点设备MN的私钥MNKey对R’解密得到随机数R;R=Dec(R’,MNKey);
⑧、保存点设备MN的私钥MNKey对保存在此保存点设备MN内的加密后的密钥片段KN”脱密,得到KN’;KN’= Dec(KN”,MNKey);
⑨、使用随机数R对KN’加密得到KN’”;KN’”= Enc(KN’,R);保存点设备MN发送KN’”到密码机;
⑩、密码机逐层解密KN’”得到密钥片段KN;KN=Dec(KN’”,(R、HSMKey));
⑪、其余的保存点设备,均使用⑥~⑩步骤,从而得到N份密钥片段;将N份密钥片段合成完整的密钥K。
在指定时间内凑齐全部密钥片段,否则无效。
用过即毁过程:使用合成后的密钥K对待处理的数据进行签名或者加密操作;完成操作后由密码机立刻销毁此密钥。
利用密码机对密钥进行分割提升密钥安全的系统,包括密码机及N个保存点设备,N为至少为2的自然数;
密码机用于将密钥分割为N份密钥片段,并对分割后的密钥片段双重加密后,分别输出到各对应的保存点设备;密码机还用于对各个保存点设备进行认证;密码机还用于解密加密后的密钥片段,合成为完整的密钥;密码机还用于销毁使用后的密钥;
保存点设备用于保存各自对应的密钥片段,并用于与密码机之间进行数据传输。
密码机用于对任意一个密钥片段KN使用密码机的设备数字证书HSMCert以及该密钥片段对应的保存点设备MN的设备数字证书MNCert进行双重加密得到加密后的密钥片段KN”。
密码机用于对各个保存点设备进行认证:密码机产生随机数R并使用被认证的保存点设备MN的设备数字证书MNCert加密生成R’,密码机发送R’到该保存点设备MN,R’= Enc(R,MNCert);保存点设备MN收到R’后,使用该保存点设备MN的私钥MNKey对R’解密得到随机数R,R=Dec(R’,MNKey);随机数R即为用于认证的挑战应答密钥,有且仅有该保存点设备能够解密出随机数R;保存点设备MN的私钥M1Key对保存在此保存点设备MN内的加密后的密钥片段KN”脱密,得到KN’,KN’= Dec(KN”,MNKey);使用随机数R对KN’加密得到KN’”,KN’”=Enc(KN’,R);保存点设备MN发送KN’”到密码机。
本发明的利用密码机对密钥进行分割提升密钥安全的方法及系统具有以下优点:
1、能够把密钥分割,异地安全存储各密钥片段,使用时各保存点设备经过认证后才可合并密钥,增强了权限控制的复杂度,提升了密钥的安全性;
2、各过程均在可控的专用的密码机内完成;密钥的生成、分割、加密输出、认证、解密、合成、使用、销毁等过程均在密码机内完成,密钥明文从不会出现在内存、CPU、磁盘中,提升了密钥的安全性;
3、密钥在空间上分离,提升了安全性;
4、密钥的使用必须依赖多处保存点同时操作,避免了单点的权限风险;
5、密钥在时间上,用过即毁,仅存在一瞬间,提升了安全性。
附图说明
下面结合附图对本发明进一步说明。
附图1为利用密码机对密钥进行分割提升密钥安全的方法的密钥分割分发过程的流程框图;
附图2为利用密码机对密钥进行分割提升密钥安全的方法的密钥合成使用过程的流程框图;
附图3为利用密码机对密钥进行分割提升密钥安全的系统的结构框图。
具体实施方式
参照说明书附图和具体实施例对本发明的利用密码机对密钥进行分割提升密钥安全的方法及系统作以下详细地说明。
实施例1:
如图1所示,本发明的利用密码机对密钥进行分割提升密钥安全的方法,在通用密码机的安全原则的基础上,提出密钥分割、异地存储、多点认证和用过即毁的方法;包括如下过程:
(1)、密钥分割分发过程:密码机将密钥分割为N份密钥片段,N为至少为2的自然数,N份分割后的密钥片段均通过双重加密后,分别输出到各对应的保存点设备;保存点设备为N个,每个加密后的密钥片段分别对应一个保存点设备;密钥分割分发过程如下:
101、通过接口向密码机发起密钥分割指令,输入要分割的份数为N,N为至少为2的自然数,同时输入N个保存点设备M1、M2、...MN的设备数字证书M1Cert、M2Cert、...MNCert;
102、密码机产生一个新的密钥K;密码机通过硬件密码设备,产生一个密钥K;硬件密码设备采用加密卡;密钥K是国际标准的密码算法的密钥,密钥K是非对称密钥;非对称密钥比如RSA、SM2、DES、AES、SM1、SM4等;
103、将密钥K分割成N份密钥片段,分别是密钥片段K1、密钥片段K2、... 密钥片段KN;
104、105、106、密钥片段K1使用密码机的设备数字证书HSMCert以及其对应的保存点设备M1的设备数字证书M1Cert双重加密,得到加密后的密钥片段K1”;K1”= Enc(K1,(HSMCert,M1Cert));
密钥片段K2使用密码机的设备数字证书HSMCert以及其对应的保存点设备M2的设备数字证书M2Cert双重加密,得到加密后的密钥片段K2”;K2”= Enc(K2,(HSMCert,M2Cert));
…以此类推…;
密钥片段KN使用密码机的设备数字证书HSMCert以及其对应的保存点设备MN的设备数字证书MNCert双重加密,得到加密后的密钥片段KN”;KN”= Enc(KN,(HSMCert,MNCert));
107、将加密后的密钥片段K1”、加密后的密钥片段K2”、...加密后的密钥片段KN”分别发送到其对应的保存点设备M1、M2、...MN进行安全保存。
(2)、密钥合成使用过程:使用时,密码机对全部保存点设备进行认证后,解密分割后的密钥片段,合成为完整的密钥;
(3)、用过即毁过程:合成后的密钥使用一次后由密码机立刻销毁。
实施例2:
如图1、图2所示,本发明的利用密码机对密钥进行分割提升密钥安全的方法,在通用密码机的安全原则的基础上,提出密钥分割、异地存储、多点认证和用过即毁的方法;包括如下过程:
(1)、密钥分割分发过程:密码机将密钥分割为N份密钥片段,N为至少为2的自然数,N份分割后的密钥片段均通过双重加密后,分别输出到各对应的保存点设备;保存点设备为N个,每个加密后的密钥片段分别对应一个保存点设备;密钥分割分发过程如下:
101、通过接口向密码机发起密钥分割指令,输入要分割的份数为N,N为至少为2的自然数,同时输入N个保存点设备M1、M2、...MN的设备数字证书M1Cert、M2Cert、...MNCert;
102、密码机产生一个新的密钥K;密码机通过硬件密码设备,产生一个密钥K;硬件密码设备采用加密卡;密钥K是国内标准的密码算法的密钥,密钥K是对称密钥;
103、将密钥K分割成N份密钥片段,分别是密钥片段K1、密钥片段K2、... 密钥片段KN;
104、105、106、密钥片段K1使用密码机的设备数字证书HSMCert以及其对应的保存点设备M1的设备数字证书M1Cert双重加密,得到加密后的密钥片段K1”;K1”= Enc(K1,(HSMCert,M1Cert));
密钥片段K2使用密码机的设备数字证书HSMCert以及其对应的保存点设备M2的设备数字证书M2Cert双重加密,得到加密后的密钥片段K2”;K2”= Enc(K2,(HSMCert,M2Cert));
…以此类推…;
密钥片段KN使用密码机的设备数字证书HSMCert以及其对应的保存点设备MN的设备数字证书MNCert双重加密,得到加密后的密钥片段KN”;KN”= Enc(KN,(HSMCert,MNCert));
107、将加密后的密钥片段K1”、加密后的密钥片段K2”、...加密后的密钥片段KN”分别发送到其对应的保存点设备M1、M2、...MN进行安全保存。
(2)、密钥合成使用过程:使用时,密码机对全部保存点设备进行认证后,解密分割后的密钥片段,合成为完整的密钥;密钥合成使用过程如下:
201、任意一个保存点设备MN向密码机发起密钥使用申请MNReq;密码机产生随机数R,随机数R使用该保存点设备MN的设备数字证书MNCert加密生成R’,密码机发送R’到保存点设备MN;R’= Enc(R,MNCert);
202、保存点设备MN收到R’后,使用该保存点设备MN的私钥MNKey对R’解密得到随机数R;R=Dec(R’,MNKey);
203、保存点设备MN的私钥MNKey对保存在此保存点设备MN内的加密后的密钥片段KN”脱密,得到KN’;KN’= Dec(KN”,MNKey);
204、使用随机数R对KN’加密得到KN’”;KN’”= Enc(KN’,R);保存点设备MN发送KN’”到密码机;
205、密码机逐层解密KN’”得到密钥片段KN;KN=Dec(KN’”,(R、HSMKey));
206、其余的保存点设备,均使用⑥~⑩步骤,从而得到N份密钥片段;将N份密钥片段合成完整的密钥K;
在指定时间内凑齐全部密钥片段,否则无效。
207、用过即毁过程:使用合成后的密钥K对待处理的数据进行签名或者加密操作;完成操作后由密码机立刻销毁此密钥。
实施例3:
如图3所示,本发明的利用密码机对密钥进行分割提升密钥安全的系统,包括密码机及N个保存点设备,N为至少为2的自然数;密码机用于将密钥分割为N份密钥片段,并对分割后的密钥片段双重加密后,分别输出到各对应的保存点设备;密码机还用于对各个保存点设备进行认证;密码机还用于解密加密后的密钥片段,合成为完整的密钥;密码机还用于销毁使用后的密钥;保存点设备用于保存各自对应的密钥片段,并用于与密码机之间进行数据传输。
密码机用于对任意一个密钥片段KN使用密码机的设备数字证书HSMCert以及该密钥片段对应的保存点设备MN的设备数字证书MNCert进行双重加密得到加密后的密钥片段KN”。
密码机用于对各个保存点设备进行认证:密码机产生随机数R并使用被认证的保存点设备MN的设备数字证书MNCert加密生成R’,密码机发送R’到该保存点设备MN,R’= Enc(R,MNCert);保存点设备MN收到R’后,使用该保存点设备MN的私钥MNKey对R’解密得到随机数R,R=Dec(R’,MNKey);随机数R即为用于认证的挑战应答密钥,有且仅有该保存点设备能够解密出随机数R;保存点设备MN的私钥M1Key对保存在此保存点设备MN内的加密后的密钥片段KN”脱密,得到KN’,KN’= Dec(KN”,MNKey);使用随机数R对KN’加密得到KN’”,KN’”=Enc(KN’,R);保存点设备MN发送KN’”到密码机。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。

Claims (9)

1.利用密码机对密钥进行分割提升密钥安全的方法,其特征在于在密码机的安全原则的基础上,提出密钥分割、异地存储、多点认证和用过即毁的方法;包括如下过程:
(1)、密钥分割分发过程:密码机将密钥分割为N份密钥片段,N为至少为2的自然数,N份分割后的密钥片段均通过密码机的设备数字证书以及其对应的保存点设备的设备数字证书双重加密后,分别输出到各对应的保存点设备;保存点设备为N个,每个加密后的密钥片段分别对应一个保存点设备;
(2)、密钥合成使用过程:使用时,密码机对全部保存点设备进行认证后,解密分割后的密钥片段,合成为完整的密钥;
(3)、用过即毁过程:合成后的密钥使用一次后由密码机立刻销毁。
2.根据权利要求1所述的利用密码机对密钥进行分割提升密钥安全的方法,其特征在于密钥分割分发过程如下:
①、向密码机发起密钥分割指令,输入要分割的份数为N,N为至少为2的自然数,同时输入N个保存点设备的设备数字证书;
②、密码机产生一个新的密钥K;
③、将密钥K分割成N份密钥片段,分别是密钥片段K1、密钥片段K2、... 密钥片段KN;
④、密钥片段K1使用密码机的设备数字证书以及其对应的保存点设备的设备数字证书双重加密,得到加密后的密钥片段K1”;
密钥片段K2使用密码机的设备数字证书以及其对应的保存点设备的设备数字证书双重加密,得到加密后的密钥片段K2”;
…以此类推…;
密钥片段KN使用密码机的设备数字证书以及其对应的保存点设备的设备数字证书双重加密,得到加密后的密钥片段KN”;
⑤、将加密后的密钥片段K1”、加密后的密钥片段K2”、...加密后的密钥片段KN”分别发送到其对应的各保存点设备进行安全保存。
3.根据权利要求2所述的利用密码机对密钥进行分割提升密钥安全的方法,其特征在于步骤②中,密码机通过硬件密码设备,产生一个密钥K;硬件密码设备采用加密卡。
4.根据权利要求2所述的利用密码机对密钥进行分割提升密钥安全的方法,其特征在于步骤②中,密钥K是国际或国内标准的密码算法的密钥,密钥K是对称密钥或非对称密钥。
5.根据权利要求1或2所述的利用密码机对密钥进行分割提升密钥安全的方法,其特征在于密钥合成使用过程如下:
⑥、任意一个保存点设备向密码机发起密钥使用申请;密码机产生随机数R,随机数R使用该保存点设备的设备数字证书加密生成R’,密码机发送R’到保存点设备;
⑦、保存点设备收到R’后,使用该保存点设备的私钥对R’解密得到随机数R;
⑧、保存点设备的私钥对保存在此保存点设备内的加密后的密钥片段KN”脱密,得到KN’;
⑨、使用随机数R对KN’加密得到KN’”;保存点设备发送KN’”到密码机;
⑩、密码机逐层解密KN’”得到密钥片段KN;
⑪、其余的保存点设备,均使用⑥~⑩步骤,从而得到N份密钥片段;将N份密钥片段合成完整的密钥K。
6.根据权利要求5所述的利用密码机对密钥进行分割提升密钥安全的方法,其特征在于在指定时间内凑齐全部密钥片段,否则无效。
7.根据权利要求1所述的利用密码机对密钥进行分割提升密钥安全的方法,其特征在于用过即毁过程:使用合成后的密钥K对待处理的数据进行签名或者加密操作;完成操作后由密码机立刻销毁此密钥K。
8.利用密码机对密钥进行分割提升密钥安全的系统,其特征在于包括密码机及N个保存点设备,N为至少为2的自然数;
密码机用于将密钥分割为N份密钥片段,并对分割后的密钥片段使用密码机的设备数字证书以及该密钥片段对应的保存点设备的设备数字证书双重加密后,分别输出到各对应的保存点设备;密码机还用于对各个保存点设备进行认证;密码机还用于解密加密后的密钥片段,合成为完整的密钥;密码机还用于销毁使用后的密钥;
保存点设备用于保存各自对应的密钥片段,并用于与密码机之间进行数据传输。
9.根据权利要求8所述的利用密码机对密钥进行分割提升密钥安全的系统,其特征在于密码机用于对各个保存点设备进行认证:密码机产生随机数R并使用被认证的保存点设备的设备数字证书加密生成R’,密码机发送R’到该保存点设备;保存点设备收到R’后,使用该保存点设备的私钥对R’解密得到随机数R;随机数R即为用于认证的挑战应答密钥,有且仅有该保存点设备能够解密出随机数R;保存点设备的私钥对保存在此保存点设备内的加密后的密钥片段单层脱密,得到单层脱密的密钥片段;使用随机数R对单层脱密的密钥片段加密并发送到密码机。
CN201611114828.5A 2016-12-07 2016-12-07 利用密码机对密钥进行分割提升密钥安全的方法及系统 Active CN106411515B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611114828.5A CN106411515B (zh) 2016-12-07 2016-12-07 利用密码机对密钥进行分割提升密钥安全的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611114828.5A CN106411515B (zh) 2016-12-07 2016-12-07 利用密码机对密钥进行分割提升密钥安全的方法及系统

Publications (2)

Publication Number Publication Date
CN106411515A CN106411515A (zh) 2017-02-15
CN106411515B true CN106411515B (zh) 2019-06-18

Family

ID=58084955

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611114828.5A Active CN106411515B (zh) 2016-12-07 2016-12-07 利用密码机对密钥进行分割提升密钥安全的方法及系统

Country Status (1)

Country Link
CN (1) CN106411515B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109936546B (zh) * 2017-12-18 2021-01-26 北京三快在线科技有限公司 数据加密存储方法和装置以及计算设备
US11321471B2 (en) 2017-12-18 2022-05-03 Beijing Sankuai Online Technology Co., Ltd Encrypted storage of data
CN108183795A (zh) * 2017-12-29 2018-06-19 新开普电子股份有限公司 一卡通密钥管理方法
CN110650160B (zh) * 2019-10-29 2022-01-04 北京天威诚信电子商务服务有限公司 一种身份认证方法及系统
CN111327637B (zh) * 2020-03-10 2022-12-02 时时同云科技(成都)有限责任公司 业务密钥的管理方法及系统
CN113468584A (zh) * 2021-08-31 2021-10-01 武汉华工安鼎信息技术有限责任公司 一种信息管理方法、装置、电子设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102163178A (zh) * 2010-02-24 2011-08-24 上海果壳电子有限公司 数据安全存储方法
CN102238003B (zh) * 2011-03-17 2015-11-04 中国电力科学研究院 一种根密钥的产生方法
CN102932140A (zh) * 2012-11-20 2013-02-13 成都卫士通信息产业股份有限公司 一种增强密码机安全的密钥备份方法
CN103595793B (zh) * 2013-11-13 2017-01-25 华中科技大学 一种无需可信第三方支持的云端数据安全删除系统与方法

Also Published As

Publication number Publication date
CN106411515A (zh) 2017-02-15

Similar Documents

Publication Publication Date Title
CN106411515B (zh) 利用密码机对密钥进行分割提升密钥安全的方法及系统
CN106548345B (zh) 基于密钥分割实现区块链私钥保护的方法及系统
US10305688B2 (en) Method, apparatus, and system for cloud-based encryption machine key injection
RU2018103181A (ru) Конфиденциальные аутентификация и обеспечение
CN103618607B (zh) 一种数据安全传输和密钥交换方法
KR20190073472A (ko) 데이터 송신 방법, 장치 및 시스템
CN107317677B (zh) 密钥存储及设备身份认证方法、装置
WO2014083335A3 (en) A method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors
US11042652B2 (en) Techniques for multi-domain memory encryption
CN110059458B (zh) 一种用户口令加密认证方法、装置及系统
US11316671B2 (en) Accelerated encryption and decryption of files with shared secret and method therefor
CN107453880B (zh) 一种云数据安全存储方法和系统
CN104253694A (zh) 一种用于网络数据传输的保密方法
WO2018137225A1 (zh) 指纹数据的处理方法及处理装置
CN107465665A (zh) 一种基于指纹识别技术的文件加解密方法
CN109379387A (zh) 一种物联网设备间的安全认证和数据通信系统
CN102236756A (zh) 一种基于TCM可信密码模块和USBKey的文件加密方法
CN104270242A (zh) 一种用于网络数据加密传输的加解密装置
CN204180095U (zh) 一种用于网络数据加密传输的加解密装置
CN104243493A (zh) 一种网络身份认证方法及系统
CN104980269A (zh) 密钥共享方法、装置与系统
US20230239144A1 (en) Deterministic chaos-based quantum computer resistant data encryption for large scale wide area network solutions
CN107276961A (zh) 一种基于密码算法加密和解密数据的方法及装置
TWI611316B (zh) 安全輸入法之文本處理方法、文本處理裝置及文本處理系統
CN107483387A (zh) 一种安全控制方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant