CN110704856A - 一种基于运维审计系统的秘密共享方法 - Google Patents
一种基于运维审计系统的秘密共享方法 Download PDFInfo
- Publication number
- CN110704856A CN110704856A CN201910955422.7A CN201910955422A CN110704856A CN 110704856 A CN110704856 A CN 110704856A CN 201910955422 A CN201910955422 A CN 201910955422A CN 110704856 A CN110704856 A CN 110704856A
- Authority
- CN
- China
- Prior art keywords
- auditing system
- maintenance auditing
- secret
- key
- keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于运维审计系统的秘密共享方法,将原密钥拆分成n份,且其中的t份密钥用于复原,将n份密钥分为x份和y份密钥;用户保存x份密钥,而运维审计系统保存y份密钥;将运维审计系统中的y份密钥进行彼此加密。本发明通过将密钥分别分发给用户和运维审计系统进行管理,提高了安全度,且通过将运维审计系统中管理的y份密钥进行彼此加密,进一步的提高了信息适用的安全度,同时减少了引入其他密钥的开销,方便了运维审计系统安全人员管理,也节省了运维审计系统的空间。
Description
技术领域
本发明属于信息安全的技术领域,具体涉及一种基于运维审计系统的秘密共享方法。
背景技术
对于诸多加密算法而言,暴力破译它需要消耗大量的时间,而且也很吃计算机的性能配置,而在不久后的计算机性能会大幅度提升,比如量子计算机。许多经典的加密算法也会被暴力破解,而通过秘密共享方案可以极大程度的避免暴力破解,而且常规的秘密共享只是单纯的分发密钥,并没有对分发后的密钥进行加密,降低了安全性。而让它们彼此加密则要求了恢复密钥的时候也需知道分发后的密钥应该按怎么样的顺序进行解密。
对于密钥加密算法,大多数算法都是取其哈希函数值,然后进行多轮迭代加密。而常见的非对称密钥加密算法rsa算法则是基于大整数的分解问题。但这些密钥都有被高性能计算破解的可能性。
秘密共享就是将一份密钥拆分成n份,只有获得t(t<=n)份才能将原密钥复原,这种与常规加密方法不同的加密方式,可以使用区块链等应用。把一个秘密消息分成n块,分割给m个参与者;每个参与者只拥有其中的一块;只有所有消息块组合在一起才能恢复秘密;每一块对其拥有者来说是没用的。
然而,当前的秘密共享只是单纯的将一份拆分成n份,并将其分发给其他管理员,或者其他地方存储。当黑客通过社会工程学或者不正当得到这些分发的密钥后,那么则可以很轻松的将重要密码复现。
本发明旨在针对传统的运维审计系统的密码保存方案提供一个全新的选择。让关键的密钥信息在运维审计系统中保存的更加完善,可以预防黑客的攻击以及被高性能计算机暴力破解。给用户和管理员提供了一个更加安全的保存密码方案。
发明内容
本发明的目的在于提供一种基于运维审计系统的秘密共享方法,本发明通过将密钥分别分发给用户和运维审计系统进行管理,提高了安全度,且通过将运维审计系统中管理的y份密钥进行彼此加密,进一步的提高了信息适用的安全度,同时减少了引入其他密钥的开销,方便了运维审计系统安全人员管理,也节省了运维审计系统的空间。
本发明主要通过以下技术方案实现:一种基于运维审计系统的秘密共享方法,将原密钥拆分成n份,且其中的t份密钥用于复原,将n份密钥分为x份和y份密钥;用户保存x份密钥,而运维审计系统保存y份密钥;将运维审计系统中的y份密钥进行彼此加密。
为了更好的实现本发明,进一步的,采用对称加密算法对运维审计系统中的y份密钥进行彼此加密。可以采用des算法对运维审计系统中的y份密钥进行彼此加密。
为了更好的实现本发明,进一步的,将加密后的一份密钥作为公钥加密另一份密钥。解密同理,不需要引入非对称加密算法、公钥与私钥计算的开销。
为了更好的实现本发明,进一步的,使用哈希函数进行摘要后对另一份密钥加密。
为了更好的实现本发明,进一步的,通过api的方式将x份密钥分发给用户,且运维审计系统记录x份密钥的哈希值;用户对密钥进行协商认证,以便恢复时快速识别。
为了更好的实现本发明,进一步的,所述运维审计系统根据随机数种子,采用不可分解的素数并使用rsa算法计算出私钥和公钥,然后将公钥分配给用户。
为了更好的实现本发明,进一步的,通过链表结构记录y份密钥的进行顺序加密时的位置以及密钥的值和函数哈希摘要值。
为了更好的实现本发明,进一步的,所述运维审计系统分发y份密钥存储时,将密钥分发在用户的资产中,且不记录存储的位置;在恢复密钥时,若运维审计系统发出响应,则存储密钥的位置回答,没有存储的则不回答,并建立列表记录原始y份密钥的哈希值。
为了更好的实现本发明,进一步的,所述运维审计系统通过响应计算各份密钥的哈希值,并与运维审计系统中的y份密钥的哈希值进行比对,若值相等,则确定链表的尾部。
在使用过程中,用户提供X1份(X1<=x),以及运维审计系统提供Y1份(Y1<=y),但是这Y1份需知道加密顺序,逆向解密出Y1份的原密钥,最终满足X1+Y1=t 即可实现解密。
本发明的有益效果:
(1)本发明中即使黑客得到这些密钥,但是黑客在不知道他们彼此加密的顺序的前提下,则仍然没有办法解出这些密钥,更无法将其复原,本发明极大的提高了安全性。
(2)本发明将x份分给用户管理,且将y份放在运维审计系统中进行管理;即使被黑客通过社会工程学的手段获取了两者中任一份密钥,也不能将其复原,提高了信息适用的安全度。
(3)分发在运维审计中的y份密钥互相加密,就像打结的线一样,知道入口的人可以轻松将其复原,不知道的人则被困在其中。同时y份密钥相互加密,减少了引入其他密钥的开销,方便了运维审计系统安全人员管理,也节省了运维审计系统的空间。
(4)本发明将风险均分,降低了因运维审计系统被黑客攻破后带来的风险损失,降低了客户遭遇黑客通过社会工程学而导致密钥被黑客得到的安全隐患。
附图说明
图1为本发明的原理框图;
图2为本发明的流程图;
图3为恢复密钥的流程图。
具体实施方式
实施例1:
一种基于运维审计系统的秘密共享方法,如图1、图2所示,将原密钥拆分成n份,且其中的t份密钥用于复原,将n份密钥分为x份和y份密钥;用户保存x份密钥,而运维审计系统保存y份密钥;将运维审计系统中的y份密钥进行彼此加密。
在运维审计系统中,将密码拆分为y份后,根据流密码,放在运维存储资产或者主机中,分配一个公钥给这些主机,只建立列表储存原始y份密钥的哈希值,不存储分发位置;不留下任何记录;密钥格式需为一个链表,存储该密钥是顺序加密时候的位置信息,以及该密钥的本来信息以及哈希函数值。
在密码恢复过程中,所述运维审计系统提供一个api接口,将密钥是哪一台主机的进行私钥加密,并且发送给这些主机;这些持有公钥的主机则能够解密,并返回其位置;未持有公钥的主机则保持沉默。
如图2所示,本发明主要包括以下步骤:
1:用户登陆运维审计系统;
2:运维审计系统会设置三个安全等级以满足不同的客户需求,用户选择高等级则使用秘密共享算法;
3:将一份密钥拆分为两份,并且通过api的方式将这份密钥提供给用户,但是运维审计系统需要记录下用户这一份的哈希值。此时用户需要进行密钥协商认证,以便恢复的时候可以快速识别。运维审计系统根据随机数种子,选择一个大的不可分解的素数使用rsa算法,计算出一个私钥和公钥。将公钥分配给用户。
4:将运维审计系统的这一份拆分了y份,并且根据用户的需求选择x份可以复原这一份密钥。
5:建立链表结构,记录该密钥进行顺序加密时的位置,以及该密钥的值。
6:选择合适的对称加密算法进行加密。
如图3所示,本发明恢复密钥主要包括以下步骤:
1:用户通过客户端或者运维审计系统提供的api进行操作;
2:首先计算出所持密钥的哈希值,并且用之前运维审计系统分发的公钥进行数字签名,然后在传输的时候,进行数字签名认证。运维审计系统则根据自己所持私钥进行认证;
3:解开密钥链:运维审计系统发出一个响应,所持有链表的主机或者资产则可以响应这个,其他未持有的则保持沉默;马上找到尾部链表,尾部链表则比较特殊,由于没有加密,他持有的信息是它加密的那一个密钥的位置以及对应的哈希值;运维审计系统通过自身建立的列表与这些哈希值进行比对,若值相等则是链表尾部,这样就可以解开一条密钥链。
运维审计系统分发y份密钥存储时将密钥分发在用户的资产中,不会记录存储的位置。在恢复时,运维审计系统发出响应,存储密钥的位置就会回答,没有存储的就不会回答,但是会建立列表记录原始y份密钥的哈希值。该处使用了零知识证明的方法。
运维审计系统通过响应计算各份的哈希值,与运维审计系统中的y份进行比对,若值相等则可以确定链表的尾部。使用哈希值值对比减少计算开销。
分发在运维审计中的y份密钥互相加密,就像打结的线一样,知道入口的人可以轻松将其复原,不知道的人则被困在其中。同时y份密钥相互加密,减少了引入其他密钥的开销,方便了运维审计系统安全人员管理,也节省了运维审计系统的空间。本发明中即使黑客得到这些密钥,但是黑客在不知道他们彼此加密的顺序的前提下,则仍然没有办法解出这些密钥,更无法将其复原,本发明极大的提高了安全性。
本发明将x份分给用户管理,且将y份放在运维审计系统中进行管理;即使被黑客通过社会工程学的手段获取了两者中任一份密钥,也不能将其复原,提高了信息适用的安全度。本发明将风险均分,降低了因运维审计系统被黑客攻破后带来的风险损失,降低了客户遭遇黑客通过社会工程学而导致密钥被黑客得到的安全隐患。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (9)
1.一种基于运维审计系统的秘密共享方法,其特征在于,将原密钥拆分成n份,且其中的t份密钥用于复原,将n份密钥分为x份和y份密钥;用户保存x份密钥,而运维审计系统保存y份密钥;将运维审计系统中的y份密钥进行彼此加密。
2.根据权利要求1所述的一种基于运维审计系统的秘密共享方法,其特征在于,采用对称加密算法对运维审计系统中的y份密钥进行彼此加密。
3.根据权利要求2所述的一种基于运维审计系统的秘密共享方法,其特征在于,将加密后的一份密钥作为公钥加密另一份密钥。
4.根据权利要求2所述的一种基于运维审计系统的秘密共享方法,其特征在于,使用哈希函数进行摘要后对另一份密钥加密。
5.根据权利要求1-4任一项所述的一种基于运维审计系统的秘密共享方法,其特征在于,通过api的方式将x份密钥分发给用户,且运维审计系统记录x份密钥的哈希值;用户对密钥进行协商认证,以便恢复时快速识别。
6.根据权利要求5所述的一种基于运维审计系统的秘密共享方法,其特征在于,所述运维审计系统根据随机数种子,采用不可分解的素数并使用rsa算法计算出私钥和公钥,然后将公钥分配给用户。
7.根据权利要求1所述的一种基于运维审计系统的秘密共享方法,其特征在于,通过链表结构记录y份密钥的进行顺序加密时的位置以及密钥的值和函数哈希摘要值。
8.根据权利要求7所述的一种基于运维审计系统的秘密共享方法,其特征在于,所述运维审计系统分发y份密钥存储时,将密钥分发在用户的资产中,且不记录存储的位置;在恢复密钥时,若运维审计系统发出响应,则存储密钥的位置回答,没有存储的则不回答,并建立列表记录原始y份密钥的哈希值。
9.根据权利要求8所述的一种基于运维审计系统的秘密共享方法,其特征在于,所述运维审计系统通过响应计算各份密钥的哈希值,并与运维审计系统中的y份密钥的哈希值进行比对,若值相等,则确定链表的尾部。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910955422.7A CN110704856B (zh) | 2019-10-09 | 2019-10-09 | 一种基于运维审计系统的秘密共享方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910955422.7A CN110704856B (zh) | 2019-10-09 | 2019-10-09 | 一种基于运维审计系统的秘密共享方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110704856A true CN110704856A (zh) | 2020-01-17 |
CN110704856B CN110704856B (zh) | 2021-08-20 |
Family
ID=69198962
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910955422.7A Active CN110704856B (zh) | 2019-10-09 | 2019-10-09 | 一种基于运维审计系统的秘密共享方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110704856B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111541652A (zh) * | 2020-04-02 | 2020-08-14 | 杭州电子科技大学 | 一种用于提高秘密信息保管及传递安全性的系统 |
CN111651756A (zh) * | 2020-06-04 | 2020-09-11 | 成都安恒信息技术有限公司 | 一种应用于运维审计navicat的自动代填方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080133905A1 (en) * | 2006-11-30 | 2008-06-05 | David Carroll Challener | Apparatus, system, and method for remotely accessing a shared password |
US20090177894A1 (en) * | 2008-01-07 | 2009-07-09 | Security First Corporation | Systems and methods for securing data using multi-factor or keyed dispersal |
US7792302B2 (en) * | 2006-02-01 | 2010-09-07 | Dolby Laboratories Licensing Corporation | Securely coupling an FPGA to a security IC |
CN104980269A (zh) * | 2014-04-03 | 2015-10-14 | 华为技术有限公司 | 密钥共享方法、装置与系统 |
CN106357401A (zh) * | 2016-11-11 | 2017-01-25 | 武汉理工大学 | 一种私钥存储及使用方法 |
CN106797310A (zh) * | 2014-03-06 | 2017-05-31 | 赛西蒂系统股份有限公司 | 照明传感器网络的安全性及数据隐私 |
CN108476132A (zh) * | 2015-11-06 | 2018-08-31 | 纳格拉维森公司 | 用于加密操作的密钥序列生成 |
CN110048830A (zh) * | 2018-01-15 | 2019-07-23 | 北京京东尚科信息技术有限公司 | 一种数据加密解密方法和加密解密装置 |
-
2019
- 2019-10-09 CN CN201910955422.7A patent/CN110704856B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7792302B2 (en) * | 2006-02-01 | 2010-09-07 | Dolby Laboratories Licensing Corporation | Securely coupling an FPGA to a security IC |
US20080133905A1 (en) * | 2006-11-30 | 2008-06-05 | David Carroll Challener | Apparatus, system, and method for remotely accessing a shared password |
US20090177894A1 (en) * | 2008-01-07 | 2009-07-09 | Security First Corporation | Systems and methods for securing data using multi-factor or keyed dispersal |
CN106797310A (zh) * | 2014-03-06 | 2017-05-31 | 赛西蒂系统股份有限公司 | 照明传感器网络的安全性及数据隐私 |
CN104980269A (zh) * | 2014-04-03 | 2015-10-14 | 华为技术有限公司 | 密钥共享方法、装置与系统 |
CN108476132A (zh) * | 2015-11-06 | 2018-08-31 | 纳格拉维森公司 | 用于加密操作的密钥序列生成 |
CN106357401A (zh) * | 2016-11-11 | 2017-01-25 | 武汉理工大学 | 一种私钥存储及使用方法 |
CN110048830A (zh) * | 2018-01-15 | 2019-07-23 | 北京京东尚科信息技术有限公司 | 一种数据加密解密方法和加密解密装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111541652A (zh) * | 2020-04-02 | 2020-08-14 | 杭州电子科技大学 | 一种用于提高秘密信息保管及传递安全性的系统 |
CN111651756A (zh) * | 2020-06-04 | 2020-09-11 | 成都安恒信息技术有限公司 | 一种应用于运维审计navicat的自动代填方法 |
CN111651756B (zh) * | 2020-06-04 | 2022-05-31 | 成都安恒信息技术有限公司 | 一种应用于运维审计navicat的自动代填方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110704856B (zh) | 2021-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111130757B (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
US7711120B2 (en) | Cryptographic key management | |
US20170142082A1 (en) | System and method for secure deposit and recovery of secret data | |
US7634659B2 (en) | Roaming hardware paired encryption key generation | |
US20170244687A1 (en) | Techniques for confidential delivery of random data over a network | |
CN110519046B (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
Namasudra | A secure cryptosystem using DNA cryptography and DNA steganography for the cloud-based IoT infrastructure | |
US11436360B2 (en) | System and method for storing encrypted data | |
CN110704856B (zh) | 一种基于运维审计系统的秘密共享方法 | |
CN110740130A (zh) | 一种区块链密钥管理方法、系统及存储介质 | |
CN110365472B (zh) | 基于非对称密钥池对的量子通信服务站数字签名方法、系统 | |
CN109787747B (zh) | 基于多个非对称密钥池的抗量子计算多重加密云存储方法和系统 | |
CN112800462A (zh) | 一种云计算环境下机密信息的存储方法 | |
CN115189928B (zh) | 一种密码服务虚拟机动态安全迁移方法及系统 | |
CN111541652B (zh) | 一种用于提高秘密信息保管及传递安全性的系统 | |
CN115412236A (zh) | 一种密钥管理和密码计算的方法、加密方法及装置 | |
KR102328896B1 (ko) | 제3자 위탁 운영 시스템에 대한 암호키 배포 및 복구 방법 | |
CN110474873B (zh) | 一种基于知悉范围加密的电子文件访问控制方法和系统 | |
CN109714148B (zh) | 对用户身份进行远程多方认证的方法 | |
Sathana et al. | Three level security system for dynamic group in cloud | |
CN110519223B (zh) | 基于非对称密钥对的抗量子计算数据隔离方法和系统 | |
Rai et al. | Multilevel encryption for cloud storage | |
Debbarma et al. | Encryption With Private KEY for Data Security and Deduplication | |
Krishnaiah et al. | A Collaborative Approach to Cloud-Based Functional Packaging: Sharing Intelligence Data Securely | |
رشا روكان اسماعيل | Improving Security, Management, Sharing In Cloud Computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |