CN110071799A - 一种加密存储密钥的生成保护方法,系统,终端机及可读存储介质 - Google Patents
一种加密存储密钥的生成保护方法,系统,终端机及可读存储介质 Download PDFInfo
- Publication number
- CN110071799A CN110071799A CN201910279500.6A CN201910279500A CN110071799A CN 110071799 A CN110071799 A CN 110071799A CN 201910279500 A CN201910279500 A CN 201910279500A CN 110071799 A CN110071799 A CN 110071799A
- Authority
- CN
- China
- Prior art keywords
- key
- user password
- security module
- protection
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种加密存储密钥的生成保护方法,系统,终端机及可读存储介质,采用预设加密算法对预设保护密钥、工作密钥进行加密并保存密文;用户通过上层管理服务器设置用户口令,将用户口令绑定至口令装置;将临时主密钥与预设用户口令合成预设用户口令主密钥;安全模块生成第一随机数,将第一随机数与预设保护密钥进行异或运算后形成第一保护密钥;将输入的用户口令主密钥与安全模块储存的预设用户口令主密钥进行对比;若对比通过,则通过身份认证;本发明对用户身份进行甄别,并实现保护密钥的一次一密,极大的提高存储保护密钥的保护强度。本发明的安全模块支持随机数生成、对称密码算法、非对称加密算法、密钥的安全存储。
Description
技术领域
本发明涉及数据加密技术领域,尤其涉及一种加密存储密钥的生成保护方法,系统,终端机及可读存储介质。
背景技术
在信息系统中,用户数据不管是以本地存储或者云端存储的方式进行保存,在保护强度比较低的情况下,均存在数据被盗取和滥用的风险。数据即是核心资产,硬盘作为数据保存的最终载体,是数据保护的最后一道防线。存储安全面临越来越严格的安全需求。
目前用户数据在存储时,大多以口令、指纹、指静脉等进行访问控制,而数据大多以明文或者硬盘厂商预制或初始化时使用伪随机数字作为保护密钥对数据进行加密保护,因密钥强度不足,数据安全存在极大的安全隐患,容易被破解,导致数据失去有效的保护。
发明内容
为了克服上述现有技术中的不足,本发明提供能够有效的保护数据安全,提高密钥的保护强度。
为此,本发明提供四方面内容,第一方面内容涉及一种加密存储密钥的生成保护方法,具体包括:对安全模块进行上电初始化配置;
安全模块生成临时主密钥、预设保护密钥和工作密钥;
采用预设加密算法对预设保护密钥、工作密钥进行加密并保存密文;
用户通过上层管理服务器设置用户口令,将用户口令绑定至口令装置;
安全模块接收预设用户口令,将临时主密钥与预设用户口令合成预设用户口令主密钥;对预设用户口令主密钥进行加密存储;
安全模块生成第一随机数,将第一随机数与预设保护密钥进行异或运算后形成第一保护密钥;第一保护密钥对工作密钥进行加密保护;
第一随机数保存在口令装置中,安全模块不保存所述第一随机数。
进一步需要说明的是,方法还包括:
上层管理服务器获取用户输入的用户口令,安全模块将输入的用户口令与临时主密钥合成形成输入的用户口令主密钥;
将输入的用户口令主密钥与安全模块储存的预设用户口令主密钥进行对比;
若对比通过,则通过身份认证;否则身份认证不通过。
进一步需要说明的是,方法采用预设加密算法对保护密钥、工作密钥进行加密并保存密文还包括:
采用对称加密算法对预设保护密钥和工作密钥进行加密并保存密文;
同时存储预设保护密钥的杂凑值和工作密钥的杂凑值;
安全模块根据产生第一随机数,第一随机数与预设保护密钥进行异或运算后形成第一保护密钥;采用对称加密算法对第一保护密钥进行计算,得到第一保护密钥杂凑值并进行存储。
进一步需要说明的是,将输入的用户口令主密钥与临时主密钥合成用户口令主密钥;
计算用户口令主密钥的杂凑值以及预设用户口令主密钥的杂凑值;
将计算用户口令主密钥的杂凑值与预设用户口令主密钥的杂凑值进行杂凑运算对比;
若对比通过,则通过身份认证;否则身份认证不通过。
进一步需要说明的是,身份认证通过后,安全模块使用预设用户口令主密钥解密预设保护密钥;
密码模块从口令装置读取第一随机数;
将读取第一随机数与预设保护密钥进行异或运算后形成读取第一保护密钥;
将读取第一保护密钥采用对称加密算法,得到读取第一保护密钥杂凑值;
将读取第一保护密钥杂凑值与第一保护密钥杂凑值进行比对;
如果比对通过,则通过第一保护密钥解密工作密钥,工作密钥通过完整性校验后即可提供密码服务。
进一步需要说明的是,步骤如果比对通过,则通过第一保护密钥解密工作密钥之后还包括;
安全模块生成第二随机数,第二随机数与预设保护密钥进行异或运算后形成第二保护密钥;
使用第二保护密钥加密保护工作密钥;
更新第二保护密钥的杂凑值;
更新口令装置中的保护密钥为第二随机数。
第二方面内容涉及一种加密存储密钥的生成保护系统,包括:口令装置,安全模块和上层管理服务器;
安全模块用于生成临时主密钥、预设保护密钥和工作密钥;或生成临时主密钥以及预设保护密钥,通过输入端口获取工作密钥;
还用于采用预设加密算法对预设保护密钥、工作密钥进行加密并保存密文;
上层管理服务器用于设置用户口令,将用户口令绑定至口令装置;
安全模块接收预设用户口令,将临时主密钥与预设用户口令合成预设用户口令主密钥;对预设用户口令主密钥进行加密存储;
安全模块还用于生成第一随机数,将第一随机数与预设保护密钥进行异或运算后形成第一保护密钥;第一保护密钥对工作密钥进行加密保护;
第一随机数保存在口令装置中,安全模块不保存所述第一随机数;
上层管理服务器获取用户输入的用户口令,安全模块将输入的用户口令与临时主密钥合成形成输入的用户口令主密钥;
将输入的用户口令主密钥与安全模块储存的预设用户口令主密钥进行对比;
若对比通过,则通过身份认证;否则身份认证不通过。
第三方面内容涉及一种实现加密存储密钥的生成保护方法的终端机,包括:
存储器,用于存储计算机程序及加密存储密钥的生成保护方法;
处理器,用于执行所述计算机程序及加密存储密钥的生成保护方法,以实现加密存储密钥的生成保护方法的步骤。
第四方面内容涉及一种具有加密存储密钥的生成保护方法的计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行以实现加密存储密钥的生成保护方法的步骤。
从以上技术方案可以看出,本发明具有以下优点:
本发明采用口令和IC卡/UKey进行双重因子身份验证。保护密钥采用分割存储的方式存储在口令装置中,且保存的密钥分量每次使用后均更新,极大提高工作密钥的保护强度。
本发明通过安全模块硬件和上层管理软件实现。此方法通过口令和IC卡/UKey对用户身份进行甄别,并实现保护密钥的一次一密,极大的提高存储保护密钥的保护强度。
本发明的安全模块支持随机数生成、对称密码算法、非对称加密算法、密钥的安全存储。其中,随机数生成保证密钥的随机性;对称密码算法对密钥、用户数据进行加解密;非对称加密算法对密钥的完整性进行保护;密钥的安全存储支持对密钥进行存储。
附图说明
为了更清楚地说明本发明的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为加密存储密钥的生成保护方法流程图;
图2为加密存储密钥的生成保护系统示意图;
图3为加密存储密钥的生成保护系统实施例示意图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将运用具体的实施例及附图,对本发明保护的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本专利中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利保护的范围。
本发明提供一种加密存储密钥的生成保护方法,如图1所示,方法包括:
S1,对安全模块进行上电初始化配置;
安全模块可以是软件和/或固件由处理电路包括一个或多个处理器执行,如一个或多个数字信号处理器(DSP),通用微处理器,特定应用集成电路(ASICs),现场可编程门阵列(FPGA),或者其它等价物把集成电路或离散逻辑电路。因此,术语“处理器,”由于在用于本文时可以指任何前述结构或任何其它的结构更适于实现的这里所描述的技术。另外,在一些方面,本公开中所描述的功能可以提供在软件模块和硬件模块。
在进行安全加密前,先对安全模块进行初始化配置。具体的,安全模块的工作状态分为初始态、就绪态和工作状态。以密钥通过安全模块的随机生成为例说明三种状态。当前先对安全模块进行初始态的初始化配置。
S2,安全模块生成临时主密钥、预设保护密钥和工作密钥;
本发明涉及的存储密钥采用三级密钥保护方式,即主密钥加密保护保护密钥,保护密钥加密保护数据存储密钥,本发明为工作密钥。
这里的工作密钥有两种获取方式,一种是通过安全模块产生。另一种方式是安全模块通过输入端口获取。可以是用户通过上层管理服务器向安全模块输入,也可通过安全模块的输入输出端口由用户输入。
具体的,密钥可以通过两种方式生成,第一种方式三种密钥(主密钥、保护密钥、工作密钥)均由安全模块随机产生;第二种方式主密钥、保护密钥由安全模块随机产生,工作密钥由外部导入。
S3,采用预设加密算法对预设保护密钥、工作密钥进行加密并保存密文;
采用对称加密算法对预设保护密钥和工作密钥进行加密并保存密文。或采用非对称加密算法对预设保护密钥和工作密钥进行加密并保存密文。
S4,用户通过上层管理服务器设置用户口令,将用户口令绑定至口令装置;
口令装置可以IC卡或UKey认证装置等等,具体形式不做限定。安全模块支持与IC卡或Ukey进行绑定。这里用户通过上层管理服务器初始化了口令装置的用户口令,并进行了绑定。
S5,安全模块接收预设用户口令,将临时主密钥与预设用户口令合成预设用户口令主密钥;对预设用户口令主密钥进行加密存储;
临时主密钥与预设用户口令合成预设用户口令主密钥形成了一层保护密钥。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。
S6,安全模块生成第一随机数,将第一随机数与预设保护密钥进行异或运算后形成第一保护密钥;第一保护密钥对工作密钥进行加密保护;
安全模块生成的随机数是在每次对数据进行加密,解密过程中进行基于预设的算法随机产生的,每次产生的随机数均不同,且没有规律。这样增加了一层保护密钥。安全模块生成一次随机数后,对口令装置做出相应的更新。
S7,第一随机数保存在口令装置中,安全模块不保存所述第一随机数。
S8,上层管理服务器获取用户输入的用户口令,安全模块将输入的用户口令与临时主密钥合成形成输入的用户口令主密钥;
S9,将输入的用户口令主密钥与安全模块储存的预设用户口令主密钥进行对比;
这里如果口令装置中出现了改变,或使用了系统未授权的口令装置,这样用户口令主密钥与安全模块储存的预设用户口令主密钥进行对比过程中,身份认证不通过。进而非法用户,获取非本系统授权的口令装置无法进行对数据的解密使用,也无法验证通过。
S11,若对比通过,则通过身份认证。S12,否则身份认证不通过。
进一步为了便于比对上述认证数据,也使得验证数据具有加密性能,采用对称加密算法对预设保护密钥和工作密钥进行加密并保存密文;
同时存储预设保护密钥的杂凑值和工作密钥的杂凑值;杂凑值是本领域常用的一种方式,采用基于杂凑值常用的方式来获取到杂凑值。具体方式这里不做限定。
安全模块根据产生第一随机数,第一随机数与预设保护密钥进行异或运算后形成第一保护密钥;采用对称加密算法对第一保护密钥进行计算,得到第一保护密钥杂凑值并进行存储。
将输入的用户口令主密钥与临时主密钥合成用户口令主密钥;
计算用户口令主密钥的杂凑值以及预设用户口令主密钥的杂凑值;
将计算用户口令主密钥的杂凑值与预设用户口令主密钥的杂凑值进行杂凑运算对比;
若对比通过,则通过身份认证;否则身份认证不通过。
这里实现了基于计算用户口令主密钥的杂凑值与预设用户口令主密钥的杂凑值进行杂凑运算对比,使得具体的比对方法有了实际的参数对比。当然在本发明中不局限于使用杂凑值来进行,还可以采用其他方式。
身份认证通过后,安全模块使用预设用户口令主密钥解密预设保护密钥;
密码模块从口令装置读取第一随机数;
将读取第一随机数与预设保护密钥进行异或运算后形成读取第一保护密钥;
将读取第一保护密钥采用对称加密算法,得到读取第一保护密钥杂凑值;
将读取第一保护密钥杂凑值与第一保护密钥杂凑值进行比对;
如果比对通过,则通过第一保护密钥解密工作密钥,工作密钥通过完整性校验后即可提供密码服务。
如果比对通过,则通过第一保护密钥解密工作密钥之后还包括;安全模块生成第二随机数,第二随机数与预设保护密钥进行异或运算后形成第二保护密钥;使用第二保护密钥加密保护工作密钥;更新第二保护密钥的杂凑值;更新口令装置中的保护密钥为第二随机数。这样保护密钥一次一密提高了安全性。
安全模块在绑定IC卡/UKey时,由安全模块生成新的随机数,与保护密钥进行异或后生成新的保护密钥,新的保护密钥对工作密钥进行加密保护;新随机数保存在IC卡/UKey中,安全模块中不进行存储。安全模块每次重新上电提供密码服务时,均生成新的随机数,更新IC卡/UKey存储的数据,保证保护密钥的一次一密。
用户需要进行数据加解密存储时,安全模块从IC卡/Ukey中读取随机数,重新合成保护密钥,对工作密钥进行解密后提供密码服务。
这里所描述的技术可以实现在硬件,软件,固件或它们的任何组合。所述的各种特征为模块,单元或组件可以一起实现在集成逻辑装置或分开作为离散的但可互操作的逻辑器件或其他硬件设备。在一些情况下,电子电路的各种特征可以被实现为一个或多个集成电路器件,诸如集成电路芯片或芯片组。
如果在硬件中实现,本发明涉及一种装置,例如可以作为处理器或者集成电路装置,诸如集成电路芯片或芯片组。可替换地或附加地,如果软件或固件中实现,所述技术可实现至少部分地由计算机可读的数据存储介质,包括指令,当执行时,使处理器执行一个或更多的上述方法。例如,计算机可读的数据存储介质可以存储诸如由处理器执行的指令。
基于上述方法本发明还系统一种加密存储密钥的生成保护系统,如图2和图3所示,包括:口令装置2,安全模块1和上层管理服务器3;
为了进一步说明本发明的实施方式下面以一个具体的实施例来说明:
安全模块上电初始化:安全模块初次上电初始化时,产生临时主密钥LMK’、保护密钥PK和工作密钥WK。采用对称加密算法对保护密钥、工作密钥进行加密并保存密文,即ELMK’(PK,Hash(PK))、EPK(WK,Hash(WK));同时存储保护密钥和工作密钥的杂凑值,即Hash(PK)、Hash(WK)。
设置用户口令,绑定IC卡/Ukey。用户通过上层管理系统设置口令passwd,安全模块接收用户口令,并重新合成主密钥LMKnew=Hash(LMK’异或passwd),并使用新的LMK对(PK,Hash(PK))重新加密存储,存储Hash(LMKnew)。
安全模块产生随机数PK1,产生新的PK’=PK1异或PK,使用PK’加密存储(WK,Hash(WK)),PK’传输至UKey/IC卡中进行存储,完成绑定。安全模块存储Hash(PK’),不再存储PK’。
安全模块提供密码服务:用户在上层管理软件输入用户口令,安全模块将用户口令与LMK’生成LMK1,通过LMK1与LMKnew分别进行杂凑运算对比。若对比通过,则通过身份认证;否则身份认证不通过。
身份认证通过后,安全模块使用LMK1解密PK,对PK进行完整性校验。同时,密码模块从IC卡/UKey读取PK1,PK”=PK1异或PK,PK”进行杂凑运算后与安全模块存储的PK’的杂凑值进行比对,比对通过后,使用PK”解密WK,WK通过完整性校验后即可提供密码服务。
保护密钥一次一密:在安全模块可正常提供密码服务后,安全模块生成随机数PK2,生成新的保护密钥(PK2异或PK),使用新的保护密钥加密保护WK,更新的保护密钥的杂凑值,更新IC卡/UKEY中的保护密钥分量PK2。
这里,EPK’(WK,Hash(WK))、Hash(PK’)和LMK分量在安全模块每次上电且身份认证通过后均进行更换。
采用口令和IC卡/UKey进行双重因子身份验证。保护密钥采用分割存储的方式存储在IC卡/UKey中,且保存的密钥分量每次使用后均更新,极大提高工作密钥的保护强度。即使IC卡/UKey被非法拷贝时,只要用户在非法用户之前重新使用安全模块即可保证数据的安全。
基于上述系统及方法,本发明还提供一种实现加密存储密钥的生成保护方法的终端机,包括:
存储器,用于存储计算机程序及加密存储密钥的生成保护方法;处理器,用于执行所述计算机程序及加密存储密钥的生成保护方法,以实现加密存储密钥的生成保护方法的步骤。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
基于上述系统及方法,本发明还提供一种具有加密存储密钥的生成保护方法的计算机可读存储介质,计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行以实现加密存储密钥的生成保护方法的步骤。
计算机可读介质的计算机程序产品可以形成一部分,其可以包括包装材料。数据的计算机可读介质可以包括计算机存储介质,诸如随机存取存储器(RAM),只读存储器(ROM),非易失性随机存取存储器(NVRAM),电可擦可编程只读存储器(EEPROM),闪存,磁或光学数据存储介质,和类似物。在一些实施例中,一种制造产品可包括一个或多个计算机可读存储媒体。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种加密存储密钥的生成保护方法,其特征在于,方法包括:
对安全模块进行上电初始化配置;
安全模块生成临时主密钥、预设保护密钥和工作密钥;
采用预设加密算法对预设保护密钥、工作密钥进行加密并保存密文;
用户通过上层管理服务器设置用户口令,将用户口令绑定至口令装置;
安全模块接收预设用户口令,将临时主密钥与预设用户口令合成预设用户口令主密钥;对预设用户口令主密钥进行加密存储;
安全模块生成第一随机数,将第一随机数与预设保护密钥进行异或运算后形成第一保护密钥;第一保护密钥对工作密钥进行加密保护;
第一随机数保存在口令装置中,安全模块不保存所述第一随机数。
2.根据权利要求1所述的加密存储密钥的生成保护方法,其特征在于,方法还包括:
上层管理服务器获取用户输入的用户口令,安全模块将输入的用户口令与临时主密钥合成形成输入的用户口令主密钥;
将输入的用户口令主密钥与安全模块储存的预设用户口令主密钥进行对比;
若对比通过,则通过身份认证;否则身份认证不通过。
3.根据权利要求2所述的加密存储密钥的生成保护方法,其特征在于,方法采用预设加密算法对保护密钥、工作密钥进行加密并保存密文还包括:
采用对称加密算法对预设保护密钥和工作密钥进行加密并保存密文;
同时存储预设保护密钥的杂凑值和工作密钥的杂凑值;
安全模块根据产生第一随机数,第一随机数与预设保护密钥进行异或运算后形成第一保护密钥;采用对称加密算法对第一保护密钥进行计算,得到第一保护密钥杂凑值并进行存储。
4.根据权利要求3所述的加密存储密钥的生成保护方法,其特征在于,
将输入的用户口令主密钥与临时主密钥合成用户口令主密钥;
计算用户口令主密钥的杂凑值以及预设用户口令主密钥的杂凑值;
将计算用户口令主密钥的杂凑值与预设用户口令主密钥的杂凑值进行杂凑运算对比;
若对比通过,则通过身份认证;否则身份认证不通过。
5.根据权利要求4所述的加密存储密钥的生成保护方法,其特征在于,
身份认证通过后,安全模块使用预设用户口令主密钥解密预设保护密钥;
密码模块从口令装置读取第一随机数;
将读取第一随机数与预设保护密钥进行异或运算后形成读取第一保护密钥;
将读取第一保护密钥采用对称加密算法,得到读取第一保护密钥杂凑值;
将读取第一保护密钥杂凑值与第一保护密钥杂凑值进行比对;
如果比对通过,则通过第一保护密钥解密工作密钥,工作密钥通过完整性校验后即可提供密码服务。
6.根据权利要求5所述的加密存储密钥的生成保护方法,其特征在于,
步骤如果比对通过,则通过第一保护密钥解密工作密钥之后还包括;
安全模块生成第二随机数,第二随机数与预设保护密钥进行异或运算后形成第二保护密钥;
使用第二保护密钥加密保护工作密钥;
更新第二保护密钥的杂凑值;
更新口令装置中的保护密钥为第二随机数。
7.根据权利要求5所述的加密存储密钥的生成保护方法,其特征在于,
所述工作密钥通过安全模块产生,或安全模块通过输入端口获取。
8.一种加密存储密钥的生成保护系统,其特征在于,包括:口令装置,安全模块和上层管理服务器;
安全模块用于生成临时主密钥、预设保护密钥和工作密钥;或生成临时主密钥以及预设保护密钥,通过输入端口获取工作密钥;
还用于采用预设加密算法对预设保护密钥、工作密钥进行加密并保存密文;
上层管理服务器用于设置用户口令,将用户口令绑定至口令装置;
安全模块接收预设用户口令,将临时主密钥与预设用户口令合成预设用户口令主密钥;对预设用户口令主密钥进行加密存储;
安全模块还用于生成第一随机数,将第一随机数与预设保护密钥进行异或运算后形成第一保护密钥;第一保护密钥对工作密钥进行加密保护;
第一随机数保存在口令装置中,安全模块不保存所述第一随机数;
上层管理服务器获取用户输入的用户口令,安全模块将输入的用户口令与临时主密钥合成形成输入的用户口令主密钥;
将输入的用户口令主密钥与安全模块储存的预设用户口令主密钥进行对比;
若对比通过,则通过身份认证;否则身份认证不通过。
9.一种实现加密存储密钥的生成保护方法的终端机,其特征在于,包括:
存储器,用于存储计算机程序及加密存储密钥的生成保护方法;
处理器,用于执行所述计算机程序及加密存储密钥的生成保护方法,以实现如权利要求1至7任意一项所述加密存储密钥的生成保护方法的步骤。
10.一种具有加密存储密钥的生成保护方法的计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行以实现如权利要求1至7任意一项所述加密存储密钥的生成保护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910279500.6A CN110071799A (zh) | 2019-04-09 | 2019-04-09 | 一种加密存储密钥的生成保护方法,系统,终端机及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910279500.6A CN110071799A (zh) | 2019-04-09 | 2019-04-09 | 一种加密存储密钥的生成保护方法,系统,终端机及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110071799A true CN110071799A (zh) | 2019-07-30 |
Family
ID=67367183
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910279500.6A Pending CN110071799A (zh) | 2019-04-09 | 2019-04-09 | 一种加密存储密钥的生成保护方法,系统,终端机及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110071799A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110659522A (zh) * | 2019-09-04 | 2020-01-07 | 广西电网有限责任公司防城港供电局 | 存储介质安全认证方法、装置、计算机设备和存储介质 |
| CN111641636A (zh) * | 2020-05-28 | 2020-09-08 | 中国联合网络通信集团有限公司 | 物联网数据安全通信的方法、系统、设备及存储介质 |
| CN111835509A (zh) * | 2020-05-20 | 2020-10-27 | 成都盛拓源科技有限公司 | 一种基于哈希函数和口令的抗丢失单向加密方法及装置 |
| CN112738083A (zh) * | 2020-12-28 | 2021-04-30 | 福建正孚软件有限公司 | 一种基于跨网跨境数据传输安全接入密钥管理系统和方法 |
| CN114070640A (zh) * | 2021-11-25 | 2022-02-18 | 航天新通科技有限公司 | 一种安全通信方法及系统 |
| CN114362934A (zh) * | 2021-12-20 | 2022-04-15 | 卓尔智联(武汉)研究院有限公司 | 密钥生成方法、装置、电子设备及存储介质 |
| CN114465720A (zh) * | 2022-01-25 | 2022-05-10 | 中国工商银行股份有限公司 | 密钥迁移方法及装置、存储介质和电子设备 |
| WO2023057652A1 (fr) * | 2021-10-08 | 2023-04-13 | Cyferall | Application de sécurité pour un dispositif informatique, et architecture de sécurité correspondante |
| US11644983B2 (en) | 2021-03-03 | 2023-05-09 | Samsung Electronics Co., Ltd. | Storage device having encryption |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833075A (zh) * | 2012-09-05 | 2012-12-19 | 北京市科学技术情报研究所 | 基于三层叠加式密钥管理技术的身份认证和数字签名方法 |
| CN104219044A (zh) * | 2014-09-22 | 2014-12-17 | 杭州华澜微科技有限公司 | 一种用于加密存储装置的密钥保密方法 |
| CN104917759A (zh) * | 2015-05-26 | 2015-09-16 | 西安电子科技大学 | 基于第三方的安全文件存储和共享系统及方法 |
| CN106506159A (zh) * | 2016-11-18 | 2017-03-15 | 上海艾讯云计算有限公司 | 用于密钥安全的加密方法和设备 |
| CN108959978A (zh) * | 2018-06-28 | 2018-12-07 | 北京海泰方圆科技股份有限公司 | 设备中密钥的生成与获取方法及装置 |
-
2019
- 2019-04-09 CN CN201910279500.6A patent/CN110071799A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833075A (zh) * | 2012-09-05 | 2012-12-19 | 北京市科学技术情报研究所 | 基于三层叠加式密钥管理技术的身份认证和数字签名方法 |
| CN104219044A (zh) * | 2014-09-22 | 2014-12-17 | 杭州华澜微科技有限公司 | 一种用于加密存储装置的密钥保密方法 |
| CN104917759A (zh) * | 2015-05-26 | 2015-09-16 | 西安电子科技大学 | 基于第三方的安全文件存储和共享系统及方法 |
| CN106506159A (zh) * | 2016-11-18 | 2017-03-15 | 上海艾讯云计算有限公司 | 用于密钥安全的加密方法和设备 |
| CN108959978A (zh) * | 2018-06-28 | 2018-12-07 | 北京海泰方圆科技股份有限公司 | 设备中密钥的生成与获取方法及装置 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110659522A (zh) * | 2019-09-04 | 2020-01-07 | 广西电网有限责任公司防城港供电局 | 存储介质安全认证方法、装置、计算机设备和存储介质 |
| CN111835509B (zh) * | 2020-05-20 | 2023-04-07 | 成都盛拓源科技有限公司 | 一种基于哈希函数和口令的抗丢失单向加密方法及装置 |
| CN111835509A (zh) * | 2020-05-20 | 2020-10-27 | 成都盛拓源科技有限公司 | 一种基于哈希函数和口令的抗丢失单向加密方法及装置 |
| CN111641636A (zh) * | 2020-05-28 | 2020-09-08 | 中国联合网络通信集团有限公司 | 物联网数据安全通信的方法、系统、设备及存储介质 |
| CN112738083A (zh) * | 2020-12-28 | 2021-04-30 | 福建正孚软件有限公司 | 一种基于跨网跨境数据传输安全接入密钥管理系统和方法 |
| CN112738083B (zh) * | 2020-12-28 | 2023-05-19 | 福建正孚软件有限公司 | 一种基于跨网跨境数据传输安全接入密钥管理系统和方法 |
| US11644983B2 (en) | 2021-03-03 | 2023-05-09 | Samsung Electronics Co., Ltd. | Storage device having encryption |
| FR3128040A1 (fr) * | 2021-10-08 | 2023-04-14 | Cyferall | Application de sécurité pour un dispositif informatique, système de sécurité et architecture de sécurité correspondante |
| WO2023057652A1 (fr) * | 2021-10-08 | 2023-04-13 | Cyferall | Application de sécurité pour un dispositif informatique, et architecture de sécurité correspondante |
| CN114070640A (zh) * | 2021-11-25 | 2022-02-18 | 航天新通科技有限公司 | 一种安全通信方法及系统 |
| CN114070640B (zh) * | 2021-11-25 | 2024-02-06 | 航天新通科技有限公司 | 一种安全通信方法及系统 |
| CN114362934A (zh) * | 2021-12-20 | 2022-04-15 | 卓尔智联(武汉)研究院有限公司 | 密钥生成方法、装置、电子设备及存储介质 |
| CN114465720A (zh) * | 2022-01-25 | 2022-05-10 | 中国工商银行股份有限公司 | 密钥迁移方法及装置、存储介质和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110071799A (zh) | 一种加密存储密钥的生成保护方法,系统,终端机及可读存储介质 | |
| US11018847B2 (en) | Device keys protection | |
| US8332652B2 (en) | Computing device that securely runs authorized software | |
| US9043610B2 (en) | Systems and methods for data security | |
| CN105144626B (zh) | 提供安全性的方法和设备 | |
| EP3522580B1 (en) | Credential provisioning | |
| CN103221961A (zh) | 包括用于保护多用户敏感代码和数据的架构的方法和装置 | |
| KR100502580B1 (ko) | 보안성이 향상된 디지털 컨텐츠 유통 방법 | |
| JP3580333B2 (ja) | 暗号認証機能の装備方法 | |
| CN108494783A (zh) | 云端数据的保护方法 | |
| CN107332660A (zh) | 一种新型移动数据加密安全系统 | |
| CN104268447A (zh) | 一种嵌入式软件的加密方法 | |
| CN110046489A (zh) | 一种基于国产龙芯处理器的可信访问验证系统,计算机及可读存储介质 | |
| CN107391974A (zh) | 一种软件保护装置数据的备份方法及装置 | |
| CN1607511B (zh) | 数据保护方法及保护系统 | |
| CN114254343A (zh) | 一种面向云虚拟机密文信息流控制方法以及相关装置 | |
| CN111523127B (zh) | 一种用于密码设备的权限认证方法及系统 | |
| KR101822769B1 (ko) | 보안 컨테이너에서 공용 데이터에 연관된 민감 데이터의 세트를 보호하는 방법 | |
| CN114629633A (zh) | 密钥块增强封装 | |
| CN113408013A (zh) | 多种算法规则混合的加解密芯片构架 | |
| WO2020088515A1 (zh) | Pos用户公钥安全认证方法、装置和终端设备 | |
| KR101677138B1 (ko) | 오프라인 토큰의 안전성을 보장할 수 있는 온라인/오프라인 전자서명 방법 | |
| CN108259471A (zh) | 专有信息的加密方法、解密方法、装置及处理设备 | |
| CN109981612B (zh) | 防止密码机设备非法复制的方法和系统及密码机设备 | |
| CN107609405A (zh) | 一种外部安全内存装置及系统级芯片soc |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190730 |