CN111953675B - 一种基于硬件设备的密钥管理方法 - Google Patents

一种基于硬件设备的密钥管理方法 Download PDF

Info

Publication number
CN111953675B
CN111953675B CN202010796644.1A CN202010796644A CN111953675B CN 111953675 B CN111953675 B CN 111953675B CN 202010796644 A CN202010796644 A CN 202010796644A CN 111953675 B CN111953675 B CN 111953675B
Authority
CN
China
Prior art keywords
key
private key
encryption
asymmetric
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010796644.1A
Other languages
English (en)
Other versions
CN111953675A (zh
Inventor
陈成润泽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Sispro S&t Co ltd
Original Assignee
Sichuan Sispro S&t Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Sispro S&t Co ltd filed Critical Sichuan Sispro S&t Co ltd
Priority to CN202010796644.1A priority Critical patent/CN111953675B/zh
Publication of CN111953675A publication Critical patent/CN111953675A/zh
Application granted granted Critical
Publication of CN111953675B publication Critical patent/CN111953675B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Abstract

本发明涉及数据安全技术领域,公开了一种基于硬件设备的密钥管理方法,用以提升密钥存储和使用的安全性。本发明方案包括:服务器根据烧录客户端的请求生成非对称公钥‑私钥对和对称加密密钥,并使用其生成的非对称加密公钥对生成的对称加密密钥进行非对称加密;服务器将非对称加密私钥按照拆分协议拆分成独立的P1和P2两个私钥分量,并将私钥分量P1保存于服务器,将私钥分量P2和经过非对称加密过的对称加密密钥作为响应发送给烧录客户端;烧录客户端将私钥分量P2和经过非对称加密过的对称加密密钥存储到硬件装置的加密区域内。本发明适用于密钥管理。

Description

一种基于硬件设备的密钥管理方法
技术领域
本发明涉及数据安全技术领域,特别涉及一种基于硬件设备的密钥管理方法。
背景技术
在密码应用领域,加密算法已十分安全,但是密钥存储和管理的安全性显得尤为重要。在密钥存储、传输方式上,通常是基于互联网络进行的,通常的处理方式有以下两种:
1.使用非对称加密(更复杂的加密算法)加密对称加密(一般加密算法)的密钥。非对称加密算法的密钥单独保存在可信装置中。该方式主要通过提供不同的对称加密密钥使用状态,保证其密钥的安全。密钥不使用时以加密状态存储,密钥需要时,再解密使用。(可参见专利《设备通信方法、装置、计算机设备及存储介质》,申请号201911294614.4)。
2.密钥拆分。m个主体分别拥有密钥的一部分,至少n(n<=m)同时存在时,才能恢复密钥。该方式主要解决多个主体之间互相不信任的密钥保存问题。(可参见专利《一种基于运维审计系统的秘密共享方法》申请号:2019109554227,《数据安全授权访问方法、装置、设备及存储介质》申请号:2019108431126)。
但现有技术方案的使用时,仍然存在以下的一些安全隐患:
1.对于使用非对称加密算法加密对称加密算法密钥的方式,凡是加解密问题,都存在密钥保存的问题。非对称加密算法同样会存在丢失其密钥的情况,此时,对称加密密钥的安全性也无法得到保证。
2.对于拆分的密钥的方式,只要获取到n个主体所持有的密钥分子,即可恢复密钥,当存在n个持有密钥分子的主体作弊或不受信任时,密钥同样存在被破解的风险。
3.在使用互联网进行通信的过程中,信息容易受到中间人攻击。
发明内容
本发明要解决的技术问题是:提供一种基于硬件设备的密钥管理方法,用以提升密钥存储和使用的安全性。
为解决上述问题,本发明采用的技术方案是:一种基于硬件设备的密钥管理方法,包括如下步骤:
S1、烧录客户端向服务器请求密钥;
S2、服务器根据烧录客户端的请求生成非对称公钥-私钥对和对称加密密钥,并使用其生成的非对称加密公钥对生成的对称加密密钥进行非对称加密;
S3、服务器将非对称加密私钥按照拆分协议拆分成独立的P1和P2两个私钥分量,并将私钥分量P1保存于服务器,将私钥分量P2和经过非对称加密过的对称加密密钥作为响应发送给烧录客户端;
S4、烧录客户端将私钥分量P2和经过非对称加密过的对称加密密钥存储到硬件装置的加密区域内。
进一步的,当客户端需要加密或者解密文件时,本发明还包括:
S5、客户端向服务器请求存储在其中的非对称加密私钥分量P1,服务器对客户端登录账号的身份及其安全使用环境进行校验后,将私钥分量P1作为响应发送给客户端;
S6、客户端获取到私钥分量P1后,通过近距离传输协议向硬件设备请求非对称加密私钥的P2分量和加密过的对称加密密钥;
S7、客户端获得到非对称加密私钥的P1分量、P2分量以及加密过的对称加密密钥后,通过密钥拆分过程的逆过程,将私钥分量P1和私钥分量P2合成完整的非对称加密私钥,进而用于文件的加密或者解密。
进一步的,所述近距离传输协议可以为蓝牙协议。
进一步的,加密或者解密完成之后,为了保证密钥的安全,客户端需删除非对称加密私钥、加密的对称加密密钥以及解密的对称加密密钥。
本发明的有益效果是:本发明在中,密钥由指定授信设备(即服务器)生成,在授信设备上,采用非对称加密方式加密对称加密密钥的方式,将非对称加密密钥拆分,拆分的其中一部分随经过加密的对称加密密钥烧录到硬件装置中,烧录完成后,其相关数即刻从授信设备上清理;拆分的另外一部分由授信设备保存。
本方法结合了背景技术中方案一的优点,即同样使用非对称加密算法加密对称加密算法的密钥。非对称加密算法更加消耗CPU,但是加密算法更加强大。对称算法,能够满足加密需要,且不需要非对称加密算法那么大的CPU算力。非对称算法加密对称加密密钥,也更加保证了对称加密密钥的安全。硬件装置中,不直接存储对称加密密钥。
同时,本发明还结合了背景技术中方案二的优势,将非对称加密算法的密钥拆分为二,其中一部分随加密的普通加密算法密钥存储在用户手中的硬件装置中的硬件加密保护区域内,另外一部分存储我们指定的授信设备(即硬件设备)中。如此,即使第三方获取到了硬件装置,因缺失一部分非对称加密密钥而无法解密已经加密的对称算法密钥。即使授信设备被攻破,也无法获取对称算法密钥。即时获取了授信设备中的密钥分量和硬件设备中的密钥分量,仍然只能获取到非对称加密密钥,而非真正使用的对称加密密钥。
在通信过程中,本发明采用了需要进行双端验证的https技术+蓝牙通信的方式。授信设备通过基于https的双端验证机制向用户应用设备(手机)发送另外一半的非对称加密密钥。应用设备随后通过蓝牙通信,向硬件设备请求另外一半非对称加密密钥和经过加密的对称加密密钥。最后,在应用设备中,完成密钥合成和对称加密密钥的解密。
附图说明
图1是本发明实施例的原理框图。
具体实施方式
为了提升密钥存储和使用的安全性,实施例公开了一种基于硬件设备的密钥管理方法,该方法涉及到硬件装置、服务器以及一个密钥烧录客户端,该密钥管理方法的使用方为客户端(如手机APP),为了保证硬件装置的安全,硬件装置一般是以便携式结构的形式保存在用户的身上或者周围,其具体形式可以制成钥匙扣、U盘、手环等各种样式;
具体角色定位如下表1所示:
表1
Figure BDA0002625883820000031
结合图1所示,实施例的具体步骤如下:
S1、硬件装置的烧录客户端在烧录固件时,通过双向认证的https请求,向服务器请求密钥。
S2、服务器根据烧录客户端的请求生成非对称私钥对(公钥和私钥)和对称加密密钥,并使用其生成的非对称加密公钥对生成的对称加密密钥进行非对称加密。
S3、服务器将非对称加密私钥按照拆分协议拆分成独立的P1和P2两个私钥分量,并将私钥分量P1保存于服务器,将私钥分量P2和经过非对称加密过的对称加密密钥作为响应发送给烧录客户端。非对称加密私钥的拆分方式有很多,最简单的就是一分为二,还可以采用更加安全的门限签名,亦或者是采用自定义的密钥拆分方法。
S4、烧录客户端将私钥分量P2和经过非对称加密过的对称加密密钥存储到硬件装置的加密区域内。
S5、客户端向服务器请求存储在其中的非对称加密私钥分量P1,服务器对客户端登录账号的身份及其安全使用环境进行校验后,将私钥分量P1作为响应发送给客户端。
S6、客户端获取到私钥分量P1后,通过蓝牙向硬件设备请求非对称加密私钥的P2分量和加密过的对称加密密钥。
S7、客户端获得到非对称加密私钥的P1分量、P2分量以及加密过的对称加密密钥后,通过密钥拆分过程的逆过程,将私钥分量P1和私钥分量P2合成完整的非对称加密私钥,进而用于文件的加密或者解密。
S8、加密或者解密完成之后,为了保证密钥的安全,客户端需删除非对称加密私钥、加密的对称加密密钥以及解密的对称加密密钥。
实施例具有以下特点:
1.使用基于跳频技术的蓝牙通信,近距离传输最敏感数据;采用双端认证的https获取部分非对称加密密钥。
2.非对称加密的私钥拆分,分别存储于我们的授信设备(即服务器)以及用户手中的硬件存储装置内,用户应用设备需要同时获得这二者的授权,才能获取完整的非对称加密的私钥。同时,确保任意一个端无法独立完成解密工作。
3、密钥不使用时,隔离业务存储于硬件装置的加密区域内,使用时,通过鉴权机制,获取到各密钥分量,然后合成非对称加密私钥,对对称加密密钥进行解密使用。所有密钥使用完成之后,立刻从内存中清理,保证密钥安全。
由上可见,实施例结合了背景技术中方案一和二的优势,达成更加安全、可靠的密钥存储、传输、使用环境效果。

Claims (3)

1.一种基于硬件设备的密钥管理方法,其特征在于,包括如下步骤:
S1、烧录客户端向服务器请求密钥;
S2、服务器根据烧录客户端的请求生成非对称公钥-私钥对和对称加密密钥,并使用其生成的非对称加密公钥对生成的对称加密密钥进行非对称加密;
S3、服务器将非对称加密私钥按照拆分协议拆分成独立的P1和P2两个私钥分量,并将私钥分量P1保存于服务器,将私钥分量P2和经过非对称加密过的对称加密密钥作为响应发送给烧录客户端;
S4、烧录客户端将私钥分量P2和经过非对称加密过的对称加密密钥存储到硬件装置的加密区域内;
S5、应用客户端向服务器请求存储在其中的非对称加密私钥分量P1,服务器对应用客户端登录账号的身份及其安全使用环境进行校验后,将私钥分量P1作为响应发送给应用客户端;
S6、应用客户端获取到私钥分量P1后,通过近距离传输协议向硬件设备请求非对称加密私钥的私钥分量P2和加密过的对称加密密钥;
S7、应用客户端获得到非对称加密私钥的私钥分量P1、私钥分量P2以及加密过的对称加密密钥后,通过密钥拆分过程的逆过程,将私钥分量P1和私钥分量P2合成完整的非对称加密私钥,进而用于文件的加密或者解密。
2.如权利要求1所述的一种基于硬件设备的密钥管理方法,其特征在于,所述近距离传输协议为蓝牙协议。
3.如权利要求1所述的一种基于硬件设备的密钥管理方法,其特征在于,加密或者解密完成之后,应用客户端需删除非对称加密私钥、加密的对称加密密钥以及解密的对称加密密钥。
CN202010796644.1A 2020-08-10 2020-08-10 一种基于硬件设备的密钥管理方法 Active CN111953675B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010796644.1A CN111953675B (zh) 2020-08-10 2020-08-10 一种基于硬件设备的密钥管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010796644.1A CN111953675B (zh) 2020-08-10 2020-08-10 一种基于硬件设备的密钥管理方法

Publications (2)

Publication Number Publication Date
CN111953675A CN111953675A (zh) 2020-11-17
CN111953675B true CN111953675B (zh) 2022-10-25

Family

ID=73332042

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010796644.1A Active CN111953675B (zh) 2020-08-10 2020-08-10 一种基于硬件设备的密钥管理方法

Country Status (1)

Country Link
CN (1) CN111953675B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113595727B (zh) * 2021-09-26 2021-12-21 南京慧链和信数字信息科技研究院有限公司 一种基于密钥分存与硬件绑定的密钥安全系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2442483A2 (en) * 2010-10-15 2012-04-18 Certicom Corp. Elliptic curve Pinstov Vanstone signature scheme with authenticated message recovery
CN103200007A (zh) * 2013-02-21 2013-07-10 无锡众志和达存储技术股份有限公司 基于fpga的sata数据不对称加密硬件实现系统
CN103618607A (zh) * 2013-11-29 2014-03-05 北京易国信科技发展有限公司 一种数据安全传输和密钥交换方法
CN103716168A (zh) * 2013-03-15 2014-04-09 福建联迪商用设备有限公司 密钥管理方法及系统
CN106603577A (zh) * 2017-02-13 2017-04-26 沃通电子认证服务有限公司 邮件加密的方法及系统
CN106961336A (zh) * 2017-04-18 2017-07-18 北京百旺信安科技有限公司 一种基于sm2算法的密钥分量托管方法和系统
WO2019013886A1 (en) * 2017-07-13 2019-01-17 Microsoft Technology Licensing, Llc GENERATION OF KEY CERTIFICATION DECLARATION PROVIDING DEVICE ANONYMAT
CN110138548A (zh) * 2019-04-22 2019-08-16 如般量子科技有限公司 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统
CN110932850A (zh) * 2019-11-29 2020-03-27 杭州安恒信息技术股份有限公司 通信加密方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0705494D0 (en) * 2007-03-22 2007-05-02 Ibm A method and system for a subscription to a symmetric key

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2442483A2 (en) * 2010-10-15 2012-04-18 Certicom Corp. Elliptic curve Pinstov Vanstone signature scheme with authenticated message recovery
CN103200007A (zh) * 2013-02-21 2013-07-10 无锡众志和达存储技术股份有限公司 基于fpga的sata数据不对称加密硬件实现系统
CN103716168A (zh) * 2013-03-15 2014-04-09 福建联迪商用设备有限公司 密钥管理方法及系统
CN103618607A (zh) * 2013-11-29 2014-03-05 北京易国信科技发展有限公司 一种数据安全传输和密钥交换方法
CN106603577A (zh) * 2017-02-13 2017-04-26 沃通电子认证服务有限公司 邮件加密的方法及系统
CN106961336A (zh) * 2017-04-18 2017-07-18 北京百旺信安科技有限公司 一种基于sm2算法的密钥分量托管方法和系统
WO2019013886A1 (en) * 2017-07-13 2019-01-17 Microsoft Technology Licensing, Llc GENERATION OF KEY CERTIFICATION DECLARATION PROVIDING DEVICE ANONYMAT
CN110138548A (zh) * 2019-04-22 2019-08-16 如般量子科技有限公司 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统
CN110932850A (zh) * 2019-11-29 2020-03-27 杭州安恒信息技术股份有限公司 通信加密方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Deepika Parashar ; Satyabrata Roy ; Vipin Jain."A novel symmetric key encryption technique using Cellular Automata".《2015 International Conference on Green Computing and Internet of Things (ICGCIoT)》.2016,全文. *
刘海峰 ; 刘洋 ; 梁星亮."一种结合优化后AES与RSA算法的二维码加密算法".《陕西科技大学学报》.2019,全文. *

Also Published As

Publication number Publication date
CN111953675A (zh) 2020-11-17

Similar Documents

Publication Publication Date Title
US11233653B2 (en) Dongle for ciphering data
EP2060056B1 (en) Method and apparatus for transmitting data using authentication
US20030196084A1 (en) System and method for secure wireless communications using PKI
CN110932851B (zh) 一种基于pki的多方协同运算的密钥保护方法
CN108809633B (zh) 一种身份认证的方法、装置及系统
JP2008533882A (ja) 暗号化キーをバックアップ及び復元する方法
US11316671B2 (en) Accelerated encryption and decryption of files with shared secret and method therefor
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
WO2019165571A1 (zh) 一种传输数据的方法及系统
KR101246818B1 (ko) 금융 거래데이터의 암호화 방법
CN111953675B (zh) 一种基于硬件设备的密钥管理方法
Sathyan et al. Multi-layered collaborative approach to address enterprise mobile security challenges
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
CN110912857B (zh) 移动应用间共享登录的方法、存储介质
KR101327193B1 (ko) 사용자 접근추적이 가능한 이동식 저장매체 보안 방법
JP2008048166A (ja) 認証システム
CN106972928A (zh) 一种堡垒机私钥管理方法、装置及系统
CN103312671A (zh) 校验服务器的方法和系统
JP4034946B2 (ja) 通信システム、通信方法、および記録媒体
CN111064978A (zh) 一种图片加密传输方法、装置和系统
CN111447060A (zh) 一种基于代理重加密的电子文档分发方法
CN1480871A (zh) 一种非生物物理特征的数字身份认证方法
JP2004048336A (ja) データの暗号化,復号機能有する入出力装置、記憶装置及びこれらを含むデータ管理システム
CN114531235A (zh) 一种端对端加密的通信方法及系统
CN116827538A (zh) 一种基于量子密码云的Ukey加密系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant