CN112054901B - 一种支持多种密钥体系的密钥管理方法及系统 - Google Patents

一种支持多种密钥体系的密钥管理方法及系统 Download PDF

Info

Publication number
CN112054901B
CN112054901B CN202010903336.4A CN202010903336A CN112054901B CN 112054901 B CN112054901 B CN 112054901B CN 202010903336 A CN202010903336 A CN 202010903336A CN 112054901 B CN112054901 B CN 112054901B
Authority
CN
China
Prior art keywords
key
level
symmetric
user
key management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010903336.4A
Other languages
English (en)
Other versions
CN112054901A (zh
Inventor
彭金辉
何骏
刘武忠
乔绍虎
廖正赟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Jiean Information Technology Co Ltd
Original Assignee
Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Jiean Information Technology Co Ltd filed Critical Zhengzhou Xinda Jiean Information Technology Co Ltd
Priority to CN202010903336.4A priority Critical patent/CN112054901B/zh
Publication of CN112054901A publication Critical patent/CN112054901A/zh
Application granted granted Critical
Publication of CN112054901B publication Critical patent/CN112054901B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出一种支持多种密钥体系的密钥管理方法及系统,其中方法包括初始化过程:通过密码设备随机产生根主密钥,同时将根主密钥门限备份至全部根主密钥母卡中;通过密码设备生成一级公私钥,通过自签名生成一级证书;通过密码设备生成根标识密钥;对称密钥管理包括:通过对根主密钥进行分散后获得一级对称密钥;通过对上一级对称密钥依次进行分散后获得二级至N级对称密钥;通过对N级对称密钥进行分散后获得用户对称密钥;非对称密钥管理包括:通过密码设备依次生成二级至N级公私钥、用户公私钥;通过上一级私钥签发依次生成二级至N级证书、用户证书;标识密钥管理包括:通过对包括用户标识和根标识密钥的参数信息计算生成用户密钥。

Description

一种支持多种密钥体系的密钥管理方法及系统
技术领域
本发明涉及密钥管理技术领域,具体涉及一种支持多种密钥体系的密钥管理方法及系统。
背景技术
一切秘密寓于密钥之中,是现在密码学的一个基本原则。加密算法可以公开、密码设备可以丢失,但是密钥不能泄露,一旦密钥泄露则加密信息就可完全被获知,无保密性可言;此外,窃取密钥的途径比破译密码算法的代价要小很多,在众多的网络攻击事件中,密钥的安全管理是攻击的一个主要环节。
常见的密钥管理体系主要包括有对称密钥管理、非对称密钥管理和标识密钥管理等,非对称密钥管理中通常包括公钥和私钥,公钥通常用于加密会话密钥、验证数字签名或者加密可以用相应的私钥解密的数据,通常密钥对是唯一的;目前,不同的密钥管理体系是分开进行管理的,这样会导致对称密钥、非对称密钥、标识密钥等均需要设置一套密钥管理体系,无法实现通过一个密钥管理系统来使用不同的密钥管理体系;此外,密钥管理体系中各级密钥的安全性也是尤为重要的。因此如何使用户可以通过一个密钥管理系统来使用不同的密钥管理体系,且保证密钥的安全性是目前急需解决的问题。
发明内容
本发明针对上述问题,有必要提供一种支持多种密钥体系的密钥管理方法及系统,能够使用户可以通过一个密钥管理系统来使用不同的密钥管理体系,且保证密钥的安全性。
本发明第一方面提出一种支持多种密钥体系的密钥管理方法,包括:初始化过程和密钥管理过程;所述密钥管理过程包括对称密钥管理、非对称密钥管理和标识密钥管理;
初始化过程:
通过密码设备随机产生根主密钥,同时将所述根主密钥门限备份至全部根主密钥母卡中;
通过密码设备生成非对称密钥管理中的一级公私钥,通过自签名生成一级证书;
通过密码设备生成标识密钥管理中的根标识密钥;
密钥管理过程:
对称密钥管理包括:
通过对所述根主密钥进行分散后获得一级对称密钥;通过对上一级对称密钥依次进行分散后获得二级至N级对称密钥;通过对N级对称密钥进行分散后获得用户对称密钥;每一级对称密钥由上一级密钥加密存储,用户对称密钥由N级对称密钥加密存储;
非对称密钥管理包括:
通过密码设备依次生成二级至N级公私钥、用户公私钥;通过上一级私钥签发依次生成二级至N级证书、用户证书;每一级私钥由上一级公钥加密存储,用户私钥由N级公钥加密存储;
标识密钥管理包括:
通过对包括用户标识和所述根标识密钥的参数信息计算生成用户密钥;所述根标识密钥由所述根主密钥加密存储。
基于上述,所述对称密钥管理中,每一级对称密钥和用户对称密钥的个数至少为一个;所述非对称密钥管理中,每一级公私钥、证书个数和用户公私钥、用户证书的个数至少为一个;所述标识密钥管理中,所述用户密钥的个数至少为一个。
基于上述,所述根主密钥通过插入门限以上根主密钥母卡进行恢复,通过插入全部根主密钥母卡进行备份;
所述对称密钥管理中,各级对称密钥通过重新分散计算进行恢复,无需备份;
所述非对称密钥管理中,一级私钥由所述根主密钥进行备份和恢复,二级至N级私钥由上一级公钥加密备份,所有公钥和证书明文备份,二级至N级私钥由上一级私钥解密恢复,所有公钥和证书明文恢复;
所述标识密钥管理中,根标识密钥由所述根主密钥加密备份和解密恢复,用户密钥通过重新计算进行恢复无需备份。
基于上述,所述对称密钥管理至少支持国密算法SM1、SM4、SM6和国际算法AES、DES、3DES;所述非对称密钥管理至少支持国密算法SM2和国际算法RSA、ECC;所述标识密钥管理至少支持国密算法SM9和国际算法IBC算法。
基于上述,对应所述对称密钥管理、所述非对称密钥管理和所述标识密钥管理,对外提供不同的接口,用户通过接口调用进行密钥的使用。
本发明第二方面提供一种支持多种密钥体系的密钥管理系统,所述密钥管理系统包括:根主密钥生成模块、密钥生成模块、证书生成模块、密钥分散模块、加密模块;
在初始化过程中:
所述根主密钥生成模块,用于通过密码设备随机产生根主密钥,同时将所述根主密钥门限备份至全部根主密钥母卡中;
所述密钥生成模块,用于通过密码设备生成非对称管理中的一级公私钥和标识密钥管理中的根标识密钥;
所述证书生成模块,用于通过自签名生成非对称密钥管理中的一级证书;
在密钥管理过程中:
所述密钥分散模块,用于在对称密钥管理时,通过对所述根主密钥进行分散后获得一级对称密钥,通过对上一级对称密钥依次进行分散后获得二级至N级对称密钥,以及通过对N级对称密钥进行分散后获得用户对称密钥;
所述加密模块,用于在对称密钥管理时,通过上一级密钥对本级密钥进行加密存储,通过N级对称密钥对用户对称密钥进行加密存储;
所述密钥生成模块,用于在非对称密钥管理时,通过密码设备依次生成二级至N级公私钥、用户公私钥;
所述证书生成模块,用于通过上一级私钥签发依次生成二级至N级证书、用户证书;
所述加密模块,还用于在非对称密钥管理时,通过上一级公钥对本级私钥进行加密存储,通过N级公钥对用户私钥进行加密存储;
所述密钥生成模块,还用于在标识密钥管理时,通过对包括用户标识和所述根标识密钥的参数信息计算生成用户密钥;
所述加密模块,还用于在标识密钥管理时,通过所述根主密钥对所述根标识密钥进行加密存储。
基于上述,在对称密钥管理时,获得的每一级对称密钥和用户对称密钥的个数至少为一个;在非对称密钥管理时,获得的每一级公私钥、证书个数和用户公私钥、用户证书的个数至少为一个;在标识密钥管理时,获得的用户密钥的个数至少为一个。
基于上述,还包括密钥备份恢复模块,
用于通过插入门限以上的根主密钥母卡进行所述根主密钥恢复,以及通过插入全部根主密钥母卡进行所述根主密钥备份;
用于通过重新分散计算进行所述对称密钥管理中的各级对称密钥恢复,无需备份;
用于通过所述根主密钥进行所述非对称密钥管理中一级私钥的加密备份和解密恢复,通过上一级公钥进行所述非对称密钥管理中二级至N级私钥的加密备份,所有公钥和证书明文备份,通过上一级私钥进行所述非对称管理中二级至N级私钥的解密恢复,所有公钥和证书明文恢复;
用于通过所述根主密钥进行所述标识密钥管理中根标识密钥的加密备份和解密恢复,通过重新计算进行用户密钥恢复无需备份。
基于上述,所述对称密钥管理至少支持国密算法SM1、SM4、SM6和国际算法AES、DES、3DES;所述非对称密钥管理至少支持国密算法SM2和国际算法RSA、ECC;所述标识密钥管理至少支持国密算法SM9和国际算法IBC算法。
基于上述,对应所述对称密钥管理、所述非对称密钥管理和所述标识密钥管理,对外提供不同的接口,用户通过接口调用进行密钥的使用。
本发明具有突出的实质性特点和显著的进步,具体的说:
(1)本发明通过支持对称密钥、非对称密钥和标识密钥三种密钥管理体系,使得用户可以通过一个密钥管理系统来使用不同的密钥管理体系进行相应的密钥获取和运算处理;
(2)本发明通过密码设备随机产生根主密钥,同时将所述根主密钥门限备份至全部根主密钥母卡中,能够有效保证根主密钥的安全性,防止根主密钥被窃取和篡改;
(3)本发明对称密钥管理体系中每一级对称密钥和用户密钥均加密存储;非对称密钥管理体系中每一级私钥和用户私钥均加密存储;标识密钥管理体系中的根标识密钥加密保存;能够有效保证各个密钥管理体系中各级密钥的安全性,从而提升整个系统的安全性;
(4)本发明根主密钥通过插入门限以上根主密钥母卡进行恢复、通过插入全部根主密钥母卡进行备份;对称密钥管理中的各级对称密钥通过重新分散计算进行恢复,且无需备份;非对称密钥管理中的一级私钥由根主密钥进行备份和恢复;二级至N级私钥由上一级公钥加密备份,公钥和证书明文备份;非对称管理中的二级至N级私钥由上一级私钥解密恢复,公钥和证书明文恢复;标识密钥管理中的根标识密钥由所述根主密钥加密备份和解密恢复,用户密钥无需备份,且通过重新计算进行恢复;能够有效地对不同密钥体系中密钥进行备份、恢复管理。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出本发明支持多种密钥体系的密钥管理方法流程图。
图2示出本发明支持多种密钥体系的密钥管理结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中组件。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
如图1所示,本发明第一方面提出一种支持多种密钥体系的密钥管理方法,包括:初始化过程和密钥管理过程;所述密钥管理过程包括对称密钥管理、非对称密钥管理和标识密钥管理;
初始化过程:
通过密码设备随机产生根主密钥,同时将所述根主密钥门限备份至全部根主密钥母卡中;
通过密码设备生成非对称密钥管理中的一级公私钥,通过自签名生成一级证书;
通过密码设备生成标识密钥管理中的根标识密钥;
密钥管理过程:
对称密钥管理包括:
通过对所述根主密钥进行分散后获得一级对称密钥;通过对上一级对称密钥依次进行分散后获得二级至N级对称密钥;通过对N级对称密钥进行分散后获得用户对称密钥;每一级对称密钥由上一级密钥加密存储,用户对称密钥由N级对称密钥加密存储;
非对称密钥管理包括:
通过密码设备依次生成二级至N级公私钥、用户公私钥;通过上一级私钥签发依次生成二级至N级证书、用户证书;每一级私钥由上一级公钥加密存储,用户私钥由N级公钥加密存储;
标识密钥管理包括:
通过对包括用户标识和所述根标识密钥的参数信息计算生成用户密钥;所述根标识密钥由所述根主密钥加密存储。
具体的,所述对称密钥管理中,每一级对称密钥由上一级密钥加密存储具体包括:所述一级对称密钥由所述根主密钥加密存储,所述二级至N级对称密钥依次由上一级对称密钥加密存储;
所述非对称密钥管理中,每一级私钥由上一级密钥加密存储具体包括:所述一级私钥由所述根主密钥加密存储,所述二级至N级私钥依次由上一级公钥加密存储。
具体的,所述对称密钥管理中,每一级对称密钥和用户对称密钥的个数至少为一个;所述非对称密钥管理中,每一级公私钥、证书个数和用户公私钥、用户证书的个数至少为一个;所述标识密钥管理中,所述用户密钥的个数至少为一个。
在实际的应用中,管理对称密钥时,分散出的各级对称密钥可以是不同接口的密码设备的主密钥和各类应用的主密钥等等;管理非对称密钥时,每一级密钥根据安全平台、安全应用等可分成多个;管理标识密钥时,根据用户的不同可生成多个不同的用户密钥。
具体的,所述根主密钥通过插入门限以上根主密钥母卡进行恢复,通过插入全部根主密钥母卡进行备份;
所述对称密钥管理中,各级对称密钥通过重新分散计算进行恢复,无需备份;
所述非对称密钥管理中,一级私钥由所述根主密钥进行备份和恢复,二级至N级私钥由上一级公钥加密备份,所有公钥和证书明文备份,二级至N级私钥由上一级私钥解密恢复,所有公钥和证书明文恢复;
所述标识密钥管理中,根标识密钥由所述根主密钥加密备份和解密恢复,用户密钥通过重新计算进行恢复无需备份。
具体的,所述对称密钥管理至少支持国密算法SM1、SM4、SM6和国际算法AES、DES、3DES;所述非对称密钥管理至少支持国密算法SM2和国际算法RSA、ECC;所述标识密钥管理至少支持国密算法SM9和国际算法IBC算法;
对应所述对称密钥管理、所述非对称密钥管理和所述标识密钥管理,对外提供不同的接口,用户通过接口调用不同的密钥体系进行密钥的使用;所述根标识密钥包括根加密密钥和根签名密钥,所述用户密钥包括用户加密密钥和用户签名密钥;非对称密钥管理中仅包括加密公私钥,不包括签名公私钥。
如图2所示,本发明第二方面还提出一种支持多种密钥体系的密钥管理系统,所述密钥管理系统包括:根主密钥生成模块、密钥生成模块、证书生成模块、密钥分散模块、加密模块;
在初始化过程中:
所述根主密钥生成模块,用于通过密码设备随机产生根主密钥,同时将所述根主密钥门限备份至全部根主密钥母卡中;
所述密钥生成模块,用于通过密码设备生成非对称管理中的一级公私钥和标识密钥管理中的根标识密钥;
所述证书生成模块,用于通过自签名生成非对称密钥管理中的一级证书;
在密钥管理过程中:
所述密钥分散模块,用于在对称密钥管理时,通过对所述根主密钥进行分散后获得一级对称密钥,通过对上一级对称密钥依次进行分散后获得二级至N级对称密钥,以及通过对N级对称密钥进行分散后获得用户对称密钥;
所述加密模块,用于在对称密钥管理时,通过上一级密钥对本级密钥进行加密存储,通过N级对称密钥对用户对称密钥进行加密存储;
所述密钥生成模块,用于在非对称密钥管理时,通过密码设备依次生成二级至N级公私钥、用户公私钥;
所述证书生成模块,用于通过上一级私钥签发依次生成二级至N级证书、用户证书;
所述加密模块,还用于在非对称密钥管理时,通过上一级公钥对本级私钥进行加密存储,通过N级公钥对用户私钥进行加密存储;
所述密钥生成模块,还用于在标识密钥管理时,通过对包括用户标识和所述根标识密钥的参数信息计算生成用户密钥;
所述加密模块,还用于在标识密钥管理时,通过所述根主密钥对所述根标识密钥进行加密存储。
在实际的应用中,可以通过本发明设计的密钥管理系统使用不同体系的密钥信息来进行密钥混合运用;根主密钥可以是对称密钥也可以是公私钥对。
具体的,所述加密模块,用于在对称密钥管理时,通过上一级密钥对该级密钥进行加密存储具体包括:所述一级对称密钥由所述根主密钥加密存储,所述二级至N级对称密钥依次由上一级对称密钥加密存储;
所述加密模块,还用于在非对称密钥管理时,通过上一级密钥对该级私钥进行加密存储具体包括:所述一级私钥由所述根主密钥加密存储,所述二级至N级私钥依次由上一级公钥加密存储。
具体的,所述对称密钥管理中,每一级对称密钥和用户对称密钥的个数至少为一个;所述非对称密钥管理中,每一级公私钥、证书个数和用户公私钥、用户证书的个数至少为一个;所述标识密钥管理中,所述用户密钥的个数至少为一个。
具体的,还包括密钥备份恢复模块,
用于通过插入门限以上的根主密钥母卡进行所述根主密钥恢复,以及通过插入全部根主密钥母卡进行所述根主密钥备份;
用于通过重新分散计算进行所述对称密钥管理中的各级对称密钥恢复,无需备份;
用于通过所述根主密钥进行所述非对称密钥管理中一级私钥的加密备份和解密恢复,通过上一级公钥进行所述非对称密钥管理中二级至N级私钥的加密备份,所有公钥和证书明文备份,通过上一级私钥进行所述非对称管理中二级至N级私钥的解密恢复,所有公钥和证书明文恢复;
用于通过所述根主密钥进行所述标识密钥管理中根标识密钥的加密备份和解密恢复,通过重新计算进行用户密钥恢复无需备份。
需要说明的是,系统用户分根主密钥母卡、管理员、审计员三种角色,每种角色职责权限划分情况如下:凑齐全部根主密钥母卡拥有所有权限,根主密钥初始完成后存放在加密机中,同时分散到根主密钥母卡,以便系统根主密钥的更新、恢复。门限以下根主密钥母卡不具有密钥管理和日志查询的功能。根主密钥的恢复、更新、撤销需要凑齐至少门限以上根主密钥母卡,其他所有密钥都由根主密钥加密存储在数据库中。门限以上根主密钥母卡可以签发管理员卡,管理员有新增管理员和审计员的功能;管理员卡拥有密钥管理的功能,但没有根主密钥管理的功能。管理员还有用户管理的权限,管理员不能删除自身。审计员的职责是日志管理。审计员不具有管理密钥的功能。
具体的,所述对称密钥管理至少支持国密算法SM1、SM4、SM6和国际算法AES、DES、3DES;所述非对称密钥管理至少支持国密算法SM2和国际算法RSA、ECC;所述标识密钥管理至少支持国密算法SM9和国际算法IBC算法;所述对称密钥管理、所述非对称密钥管理和所述标识密钥管理三种密钥体系对外提供的接口不同,用户可通过接口调用不同的密钥体系进行密钥的使用;所述根标识密钥包括根加密密钥和根签名密钥,所述用户密钥包括用户加密密钥和用户签名密钥。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种支持多种密钥体系的密钥管理方法,其特征在于,包括:初始化过程和密钥管理过程;所述密钥管理过程包括对称密钥管理、非对称密钥管理和标识密钥管理;
初始化过程:
通过密码设备随机产生根主密钥,同时将所述根主密钥门限备份至全部根主密钥母卡中;
通过密码设备生成非对称密钥管理中的一级公私钥,通过自签名生成一级证书;
通过密码设备生成标识密钥管理中的根标识密钥;
密钥管理过程:
对称密钥管理包括:
通过对所述根主密钥进行分散后获得一级对称密钥;通过对上一级对称密钥依次进行分散后获得二级至N级对称密钥;通过对N级对称密钥进行分散后获得用户对称密钥;每一级对称密钥由上一级密钥加密存储,用户对称密钥由N级对称密钥加密存储;
非对称密钥管理包括:
通过密码设备依次生成二级至N级公私钥、用户公私钥;通过上一级私钥签发依次生成二级至N级证书、用户证书;每一级私钥由上一级公钥加密存储,用户私钥由N级公钥加密存储;
标识密钥管理包括:
通过对包括用户标识和所述根标识密钥的参数信息计算生成用户密钥;所述根标识密钥由所述根主密钥加密存储。
2.根据权利要求1所述的密钥管理方法,其特征在于,所述对称密钥管理中,每一级对称密钥和用户对称密钥的个数至少为一个;所述非对称密钥管理中,每一级公私钥、证书个数和用户公私钥、用户证书的个数至少为一个;所述标识密钥管理中,所述用户密钥的个数至少为一个。
3.根据权利要求1所述的密钥管理方法,其特征在于,所述根主密钥通过插入门限以上根主密钥母卡进行恢复,通过插入全部根主密钥母卡进行备份;
所述对称密钥管理中,各级对称密钥通过重新分散计算进行恢复,无需备份;
所述非对称密钥管理中,一级私钥由所述根主密钥进行备份和恢复,二级至N级私钥由上一级公钥加密备份,所有公钥和证书明文备份,二级至N级私钥由上一级私钥解密恢复,所有公钥和证书明文恢复;
所述标识密钥管理中,根标识密钥由所述根主密钥加密备份和解密恢复,用户密钥通过重新计算进行恢复无需备份。
4.根据权利要求1所述的密钥管理方法,其特征在于,所述对称密钥管理至少支持国密算法SM1、SM4、SM6和国际算法AES、DES、3DES;所述非对称密钥管理至少支持国密算法SM2和国际算法RSA、ECC;所述标识密钥管理至少支持国密算法SM9和国际算法IBC算法。
5.根据权利要求1所述的密钥管理方法,其特征在于,对应所述对称密钥管理、所述非对称密钥管理和所述标识密钥管理,对外提供不同的接口,用户通过接口调用进行密钥的使用。
6.一种支持多种密钥体系的密钥管理系统,其特征在于,所述密钥管理系统包括:根主密钥生成模块、密钥生成模块、证书生成模块、密钥分散模块、加密模块;
在初始化过程中:
所述根主密钥生成模块,用于通过密码设备随机产生根主密钥,同时将所述根主密钥门限备份至全部根主密钥母卡中;
所述密钥生成模块,用于通过密码设备生成非对称管理中的一级公私钥和标识密钥管理中的根标识密钥;
所述证书生成模块,用于通过自签名生成非对称密钥管理中的一级证书;
在密钥管理过程中:
所述密钥分散模块,用于在对称密钥管理时,通过对所述根主密钥进行分散后获得一级对称密钥,通过对上一级对称密钥依次进行分散后获得二级至N级对称密钥,以及通过对N级对称密钥进行分散后获得用户对称密钥;
所述加密模块,用于在对称密钥管理时,通过上一级密钥对本级密钥进行加密存储,通过N级对称密钥对用户对称密钥进行加密存储;
所述密钥生成模块,用于在非对称密钥管理时,通过密码设备依次生成二级至N级公私钥、用户公私钥;
所述证书生成模块,用于通过上一级私钥签发依次生成二级至N级证书、用户证书;
所述加密模块,还用于在非对称密钥管理时,通过上一级公钥对本级私钥进行加密存储,通过N级公钥对用户私钥进行加密存储;
所述密钥生成模块,还用于在标识密钥管理时,通过对包括用户标识和所述根标识密钥的参数信息计算生成用户密钥;
所述加密模块,还用于在标识密钥管理时,通过所述根主密钥对所述根标识密钥进行加密存储。
7.根据权利要求6所述的密钥管理系统,其特征在于,在对称密钥管理时,获得的每一级对称密钥和用户对称密钥的个数至少为一个;在非对称密钥管理时,获得的每一级公私钥、证书个数和用户公私钥、用户证书的个数至少为一个;在标识密钥管理时,获得的用户密钥的个数至少为一个。
8.根据权利要求6所述的密钥管理系统,其特征在于,还包括密钥备份恢复模块,
用于通过插入门限以上的根主密钥母卡进行所述根主密钥恢复,以及通过插入全部根主密钥母卡进行所述根主密钥备份;
用于通过重新分散计算进行所述对称密钥管理中的各级对称密钥恢复,无需备份;
用于通过所述根主密钥进行所述非对称密钥管理中一级私钥的加密备份和解密恢复,通过上一级公钥进行所述非对称密钥管理中二级至N级私钥的加密备份,所有公钥和证书明文备份,通过上一级私钥进行所述非对称管理中二级至N级私钥的解密恢复,所有公钥和证书明文恢复;
用于通过所述根主密钥进行所述标识密钥管理中根标识密钥的加密备份和解密恢复,通过重新计算进行用户密钥恢复无需备份。
9.根据权利要求6所述的密钥管理系统,其特征在于,所述对称密钥管理至少支持国密算法SM1、SM4、SM6和国际算法AES、DES、3DES;所述非对称密钥管理至少支持国密算法SM2和国际算法RSA、ECC;所述标识密钥管理至少支持国密算法SM9和国际算法IBC算法。
10.根据权利要求6所述的密钥管理系统,其特征在于,对应所述对称密钥管理、所述非对称密钥管理和所述标识密钥管理,对外提供不同的接口,用户通过接口调用进行密钥的使用。
CN202010903336.4A 2020-09-01 2020-09-01 一种支持多种密钥体系的密钥管理方法及系统 Active CN112054901B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010903336.4A CN112054901B (zh) 2020-09-01 2020-09-01 一种支持多种密钥体系的密钥管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010903336.4A CN112054901B (zh) 2020-09-01 2020-09-01 一种支持多种密钥体系的密钥管理方法及系统

Publications (2)

Publication Number Publication Date
CN112054901A CN112054901A (zh) 2020-12-08
CN112054901B true CN112054901B (zh) 2022-02-25

Family

ID=73606819

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010903336.4A Active CN112054901B (zh) 2020-09-01 2020-09-01 一种支持多种密钥体系的密钥管理方法及系统

Country Status (1)

Country Link
CN (1) CN112054901B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112713994A (zh) * 2020-12-30 2021-04-27 北京数盾信息科技有限公司 复杂网络下分布式密钥分级管理系统
CN114826620B (zh) * 2022-05-16 2024-02-06 深圳指芯物联技术有限公司 一种安全的绑定智能门锁的方法、系统及智能门锁

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070014399A1 (en) * 2005-07-15 2007-01-18 Scheidt Edward M High assurance key management overlay
EP1946481B1 (de) * 2005-11-09 2011-01-12 xyzmo Software GmbH Verfahren zur erzeugung einer fortgeschrittenen elektronischen signatur eines elektronischen dokuments
CN102946311B (zh) * 2012-11-28 2016-05-11 成都卫士通信息产业股份有限公司 一种增强对称密钥体系安全性的密钥分散方法
GB2536509A (en) * 2015-05-06 2016-09-21 Vodafone Ip Licensing Ltd Efficient cellular network security configuration
WO2017166118A1 (zh) * 2016-03-30 2017-10-05 李昕光 密钥管理方法
CN110460563A (zh) * 2018-05-08 2019-11-15 北京京东尚科信息技术有限公司 数据加密、解密方法及装置、系统、可读介质和电子设备
CN108847942A (zh) * 2018-06-03 2018-11-20 李维刚 一种基于标识公钥的认证方法及系统

Also Published As

Publication number Publication date
CN112054901A (zh) 2020-12-08

Similar Documents

Publication Publication Date Title
CN111130757B (zh) 一种基于区块链的多云cp-abe访问控制方法
CN109495274B (zh) 一种去中心化智能锁电子钥匙分发方法及系统
CN106548345B (zh) 基于密钥分割实现区块链私钥保护的方法及系统
EP0725512B1 (en) Data communication system using public keys
EP1059761B1 (en) Cryptographic key, or other secret material, recovery
US20100005318A1 (en) Process for securing data in a storage unit
US20090097657A1 (en) Constructive Channel Key
US20140006806A1 (en) Effective data protection for mobile devices
US11870891B2 (en) Certificateless public key encryption using pairings
CN101515319B (zh) 密钥处理方法、密钥密码学服务系统和密钥协商方法
CN107733654B (zh) 一种基于组合密钥的智能设备固件更新和正式用户证书分发方法
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
CN101986596A (zh) 密钥管理机制
CN104363215A (zh) 一种基于属性的加密方法和系统
US11831753B2 (en) Secure distributed key management system
CN112054901B (zh) 一种支持多种密钥体系的密钥管理方法及系统
CN114826696A (zh) 文件内容分级共享方法、装置、设备及介质
CN110233729B (zh) 一种基于puf的加密固态盘密钥管理方法
CN116340331A (zh) 一种基于区块链的大型仪器实验结果存证方法和系统
CN104734847A (zh) 面向公钥密码应用的共享对称密钥数据加密和解密方法
CN112787996B (zh) 一种密码设备管理方法及系统
CN106953917B (zh) 数据同步方法及系统
CN106713256A (zh) 一种税控专用计算机软硬件绑定的认证方法
Abo-Alian et al. Auditing-as-a-service for cloud storage
CN112187456B (zh) 一种密钥分层管理与协同恢复系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Key Management Method and System Supporting Multiple Key Systems

Granted publication date: 20220225

Pledgee: Bank of Zhengzhou Co.,Ltd. Zhongyuan Science and Technology City Sub branch

Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd.

Registration number: Y2024980007004

PE01 Entry into force of the registration of the contract for pledge of patent right