CN115021927B - 一种面向密码机集群的管理员身份管控方法及系统 - Google Patents

一种面向密码机集群的管理员身份管控方法及系统 Download PDF

Info

Publication number
CN115021927B
CN115021927B CN202210517940.2A CN202210517940A CN115021927B CN 115021927 B CN115021927 B CN 115021927B CN 202210517940 A CN202210517940 A CN 202210517940A CN 115021927 B CN115021927 B CN 115021927B
Authority
CN
China
Prior art keywords
administrator
key
cipher
management system
machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210517940.2A
Other languages
English (en)
Other versions
CN115021927A (zh
Inventor
王伟
林璟锵
李凯轩
郎帆
鲁琳俪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202210517940.2A priority Critical patent/CN115021927B/zh
Publication of CN115021927A publication Critical patent/CN115021927A/zh
Application granted granted Critical
Publication of CN115021927B publication Critical patent/CN115021927B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种面向密码机集群的管理员身份管控方法及系统。本系统包括密钥管理系统、密码机集群,每台密码机下配有多个智能密码钥匙。本方法为:密钥管理系统下发密码机密钥、对密码机管理员的身份进行统一鉴别和管理;密码机向密钥管理系统发送创建管理员申请;智能密码钥匙作为管理员身份凭证协同密码机进行管理员的创建申请;密钥管理系统平台管理员审核密码机的管理员创建请求。同时也公布了创建管理员的权限管理策略,密钥管理系统根据此前存储的集群范围内管理员角色信息,结合权限管理策略对管理员创建请求进行审核。本发明解决了单一人员权限过大的问题,提高了密码设备的安全性。

Description

一种面向密码机集群的管理员身份管控方法及系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种面向密码机集群的管理员身份管控方法及系统。
背景技术
密码机可为各类应用提供非对称/对称数据加解密运算、完整性校验、真随机数生成、密钥生成和管理等服务,确保用户数据的机密性、真实性、完整性和有效性。密码机除了对外提供密码计算服务外,自身还要完成包括设备配置、密钥操作、审计等多种任务。通常密码机需要设置多个管理员角色进行管理,每个角色拥有不同权限,共同管理密码机。密码机还具有密码机标识ID和主密钥MK,密码机标识ID是唯一标识密码机身份的一个数据项序列,主密钥MK为GM/T 0030标准《服务器密码机技术规范》里规定的密码机的三层密钥结构的顶层密钥。
本发明涉及的密码机集群至少包括两台密码机,每台密码机都具有上文所述密码机基本功能及配置多个管理员角色进行管理。
根据GM/T 0086标准《基于SM9标识密码算法的密钥管理系统技术规范》,密钥管理系统可以创建和管理密钥,保护密钥的机密性、完整性和可用性。此外,密钥管理系统还具有主签名密钥对(ks,Ppub-s)、主加密密钥对(ke,Ppub-e)。主签名密钥对用于数字签名、验签和为用户生成用户签名密钥,主加密密钥对用于数字加密解密和为用户生成加密密钥。
本发明涉及的智能密码钥匙作为密码机对管理员身份鉴别的介质,具有身份认证、数字加解密、数字签名及认证、信息安全存储等功能,可作为管理员的身份凭证,利用挑战-响应等机制完成对于管理员的鉴别需求。
面向密码机集群工作时,理论上需要为每台密码机单独配置多个管理员,实际应用场景中,由于缺乏监管,单一人员可能会在多台密码机上担任管理员。单一人员在密码机集群内同时拥有对同一主密钥的使用和分发权限以及查看密码机日志权限,从而会导致其权限过大,影响密码机自身安全。
发明内容
本发明公开了一种面向密码机集群的管理员身份管控方法及系统。满足面向密码机集群时对管理员身份统一监管需求,解决了单一人员同时拥有对同一主密钥的使用和分发权限以及查看密码机日志权限,导致其权限过大的问题。
本发明公开一种面向密码机集群的管理员身份管控系统,该管控系统包括密钥管理系统(KM)、多台密码机(HSM)组成的密码机集群、每台密码机下配有多个智能密码钥匙的管理员(admin)以及密钥管理系统平台管理员。
密钥管理系统功能包括下发密码机密钥、对密码机管理员的身份创建进行统一鉴别和管理。密码机功能包括向密钥管理系统发送创建管理员申请。智能密码钥匙主要作为管理员创建和登录时的身份凭证。密钥管理系统根据存储的集群范围内管理员角色信息,由密钥管理系统平台管理员审核的方式监管密码机管理员身份创建。
本发明公开一种面向密码机集群的管理员身份管控方法。根据该方法,初始化状态的密码机在密钥管理系统的协同下完成本密码机管理员角色创建。其中,申请创建密码机A管理员之前密钥管理系统已存在的信息有:密码机A的标识IDA,IDA是唯一标识密码机身份的一个数据项序列;密码机A的主密钥MK,主密钥MK为密码机的三层密钥结构的顶层密钥;密钥管理系统的主加密密钥对(ke,Ppub-e),用于数字加密解密和为用户生成加密密钥;主签名密钥对(ks,Ppub-s),用于数字签名、验签和为用户生成用户签名密钥。具体步骤如下:
一.密码机A向密钥管理系统申请下发密钥。
二.密钥管理系统利用自身硬件安全模块根据IDA生成密钥(SKA,PKA),将(SKA,PKA)、Ppub-s、Ppub-e下发给密码机A,并存储SKA的哈希值H(SKA);其中,SKA为密码机A的私钥,PKA为密码机A的公钥,Ppub-s为密钥管理系统的主签名密钥对中的公钥,Ppub-e为密钥管理系统的主加密密钥对中的公钥。
三.密码机A存储密钥管理系统下发的密钥(SKA,PKA)、Ppub-s和Ppub-e
四.具有智能密码钥匙的管理员a申请成为密码机A的管理员时,管理员a选取管理员类型信息并利用智能密码钥匙产生身份密钥对/>,向密码机A发送身份密钥对中公钥/>
五.密码机A产生随机数r,使用Ppub-e对r、申请管理员类型信息/>H(SKA)、密码机A的主密钥MKA的哈希值H(MKA)、IDA采用SM2算法加密得到密文C1
六.密码机A向密钥管理系统发送管理员创建申请并发送C1
七.密钥管理系统使用主加密密钥对中的私钥ke对C1进行解密,
八.密钥管理系统根据H(SKA)和IDA确定密码机A身份。利用在密钥管理系统数据库中进行查询,得到管理员a目前在密码机集群中已担任的角色身份信息。
九.密钥管理系统平台管理员根据本发明公开的面向密码机集群时系统创建管理员的权限管理策略作出批准或拒绝该管理员创建申请的决定Mcheck
十.密钥管理系统使用主签名密钥对中的私钥ks对Mcheck、r的哈希值采用SM2算法签名得到
十一.密钥管理系统将Mcheck、r使用PKA采用SM2算法加密得到C2
十二.密钥管理系统将sig1、C2发送给密码机A。
十三.如果密钥管理系统批准创建管理员,则密钥管理系统将IDA以及H(MKA)按表1格式存入数据库。
表1
十四.密码机A使用SKA对C2进行解密,
十五.密码机A使用Ppub-s对sig1验签,验签成功后,根据解密得到的信息判断是否被允许创建管理员,如果密码机A未被批准创建管理员则密码机相应的管理员功能不对配有智能密码钥匙的管理员a开放;如果批准则将密码机A相应的管理员功能配有所述智能密码钥匙的管理员a开放。
本发明公开了一种面向密码机集群时系统创建管理员的权限管理策略,密钥管理系统平台管理员根据本策略对密码机管理员创建申请进行审核。安全管理员负责主密钥MK的创建和恢复;设备管理员负责主密钥的使用;审计管理员负责密码机运行期间包括主密钥在内的所有行为操作的监管。为避免单一人员同时拥有对同一主密钥的使用和分发权限以及查看密码机日志权限,具体规则如下:当满足以下条件之一时,管理员创建请求应被拒绝:
1)申请成为密码机A的管理员时,其已经成为“同一台密码机”的其他管理员。
2)申请成为密码机A的安全管理员时,其已经成为其他“不同密码机”的安全管理员。
3)申请成为密码机A的安全管理员时,其已经成为其他“主密钥相同的不同密码机”的设备管理员。
4)申请成为密码机A的设备管理员时,其已经成为其他“主密钥相同的不同密码机”的安全管理员。
本策略规定密码机间关系如下:当两密码机的主密钥MK和两密码机的标识ID都相同时可以确定两密码机为“同一台密码机”;当两密码机的主密钥MK相同、ID不同时确定两密码机为“主密钥相同的不同密码机”;当两密码机的主密钥MK不相等时确定两密码机为“不同密码机”。
此外,密钥管理系统平台管理员可以根据实际使用场景修改管理员权限管理策略以适应不同需求。
本发明的优点如下:
面向密码机集群时,密钥管理系统可以查询单一人员在系统中担任的所有管理员情况、灵活的对系统中管理员的创建进行控制。满足了面向密码机集群时对管理员身份统一监管需求,解决了单一人员同时拥有对同一主密钥的使用和分发权限以及查看密码机日志权限导致其权限过大的问题。提高了密码设备的安全性。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合附图对本发明进行进一步详细描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
本发明提供的一种面向密码机集群的管理员身份管控系统及方法,管控系统包含密钥管理系统(KM)、多台密码机(HSM)组成的密码机集群、每台密码机下配有多个智能密码钥匙的管理员(admin)以及密钥管理系统平台管理员。密码机管理员的创建需要密钥管理系统平台管理员根据密钥管理系统储存的该管理员在密码机集群中的身份信息结合管理员创建时的权限管理策略进行审核。
下面结合附图及实例对本发明做进一步详细描述,请参阅图1。具体实施方法为创建管理员adminA的过程,已存在的信息有:密码机A的标识IDA,IDA是唯一标识密码机身份的一个数据项序列;密码机A的主密钥MK,主密钥MK为密码机的三层密钥结构的顶层密钥;密钥管理系统的主加密密钥对(ke,Ppub-e),用于数字加密解密和为用户生成加密密钥;主签名密钥对(ks,Ppub-s),用于数字签名、验签和为用户生成用户签名密钥。
步骤一:密码机A向密钥管理系统申请下发密钥。
步骤二:密钥管理系统利用自身硬件安全模块根据IDA生成加密密钥对(SKA,PKA)并将密钥(SKA,PKA)和Ppub-s、Ppub-e下发给密码机A,并存储H(SKA)。
步骤三:密码机A收到并存储密钥(SKA,PKA)和Ppub-s、Ppub-e
步骤四:分配给管理员a的智能密码钥匙产生身份密钥对,向密码机A发送身份密钥对中公钥/>
步骤五:密码机A产生随机数r,密码机A使用Ppub-e对r、H(SKA)、密码机A的主密钥MKA的哈希值H(MKA)、IDA采用SM2算法加密得到密文C1,/>
步骤六:密码机A向密钥管理系统发送管理员创建申请并发送C1
步骤七:密钥管理系统使用主加密密钥对中的私钥ke对C1进行解密,
步骤八:密钥管理系统根据H(SKA)和IDA确定密码机A身份。
步骤九:密钥管理系统利用在密钥管理系统数据库中进行查询,得到管理员a目前在密码机集群中已担任的角色身份信息。
步骤十:密钥管理系统平台管理员审核根据本发明公开的面向密码机集群时系统创建管理员的权限管理策略作出批准或拒绝该管理员创建申请决定Mcheck,密钥管理系统将Mcheck、r使用密钥管理系统主签名密钥对中的私钥ks签名后得到密钥管理系统将Mcheck、r使用密码机A的加密公钥PKA加密后得到C2,/>并将签名sig1、C2发送给密码机A。
步骤十一:密钥管理系统批准后将H(MKA)、以及管理员类型信息/>按表1格式存入数据库。
步骤十二:密码机A使用加密私钥SKA对C2进行解密,得到Mcheck、r,使用Ppub-s对sig1验签,验签成功后,根据解密得到的信息判断是否被允许创建管理员,。
步骤十三:密码机A收到密钥管理系统批准创建管理员反馈后,开始创建管理员。
步骤十四:智能密码钥匙验证PIN码正确后向密码机发送卡ID和身份公钥。
步骤十五:密码机A将管理员类型、卡ID以及存储于本地,管理员adminA创建成功。
步骤十六:管理员adminA尝试登录,正确输入智能密码钥匙PIN码。
步骤十七:智能密码钥匙在PIN码验证正确后向密码机发送卡ID。
步骤十八:密码机检查卡ID是否存在,存在则发送256位随机数Mtemp
步骤十九:智能密码钥匙对收到的随机数进行签名,并将签名发送给密码机A。
步骤二十:密码机使用验证该签名。
步骤二十一:验签通过后登陆成功。
最后应说明的是:对于前述的方式实施,为了描述简单,故将其都表述为一系列的动作组合,但是本领域的相关技术人员都应当知悉,本申请并不受描述的动作的限制,因为依据本申请,某一步骤可以采用其他顺序或者同时进行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、ROM、RAM等。
以上仅为本发明的具体实施例,并非因此限制本发明的专利范围。凡在本发明的说明书及附图内容范围之内,所做的任何等效修改、替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种面向密码机集群的管理员身份管控方法,其步骤包括:
1)具有智能密码钥匙的管理员a申请成为密码机A的管理员时,管理员a选取管理员类型信息并利用所述智能密码钥匙产生身份密钥对/>并将公钥发送给密码机A;其中,密码机A中存储有密钥对(SKA,PKA),以及密钥管理系统的主加密密钥对(ke,Ppub-e)中的公钥Ppub-e、密钥管理系统的主签名密钥对(ks,Ppub-s)中的公钥Ppub-s,SKA为密码机A的私钥,PKA为密码机A的公钥;
2)密码机A产生随机数r,使用Ppub-e对r、管理员类型信息/>H(SKA)、密码机A的主密钥MKA的哈希值H(MKA)、IDA进行加密得到密文C1;其中,H(SKA)为SKA的哈希值;
3)密码机A向密钥管理系统发送管理员创建申请并发送C1
4)密钥管理系统使用主加密密钥对中的私钥ke对C1进行解密;
5)密钥管理系统根据解密所得H(SKA)和IDA确定密码机A身份;然后利用解密所得在密钥管理系统数据库中进行查询,得到管理员a在密码机集群中已担任的角色身份信息;
6)密钥管理系统平台根据设定的权限管理策略作出批准或拒绝该管理员创建申请的决定Mcheck;如果批准该管理员创建申请,则密钥管理系统将IDA以及H(MKA)作为一条记录存入所述密钥管理系统数据库;
7)密钥管理系统使用主签名密钥对中的私钥ks对Mcheck、r的哈希值进行签名得到sig1;以及用PKA对Mcheck、r加密得到C2;然后将sig1、C2发送给密码机A;
8)密码机A使用SKA对C2进行解密,得到Mcheck和r;密码机A使用Ppub-s对sig1验签,验签成功后,根据解密得到的信息判断是否被允许创建管理员,如果密码机A未被批准创建管理员则密码机A相应的管理员功能不对配有所述智能密码钥匙的管理员a开放,如果批准则将密码机A相应的管理员功能配有所述智能密码钥匙的管理员a开放。
2.根据权利要求1所述的方法,其特征在于,步骤6)中,当满足以下条件之一时,拒绝管理员创建申请:
a)管理员a申请成为密码机A的管理员时,管理员a已经成为密码机A的其他管理员;
b)管理员a申请成为密码机A的安全管理员时,管理员a已经成为其他密码机的安全管理员;
c)管理员a申请成为密码机A的安全管理员时,管理员a已经成为与密码机A具有相同主密钥的其他密码机的设备管理员;
d)管理员a申请成为密码机A的设备管理员时,管理员a已经成为与密码机A具有相同主密钥的其他密码机的安全管理员。
3.根据权利要求2所述的方法,其特征在于,当两密码机的主密钥MK和两密码机的标识ID都相同时确定两密码机为“同一台密码机”;当两密码机的主密钥MK相同、ID不同时确定两密码机为“主密钥相同的不同密码机”;当两密码机的主密钥MK不相等时确定两密码机为“不同密码机”。
4.根据权利要求1或2或3所述的方法,其特征在于,密钥管理系统根据密码机A的标识IDA生成密钥(SKA,PKA)。
5.根据权利要求1或2或3所述的方法,其特征在于,所述密钥管理系统数据库中的记录格式为:
6.根据权利要求1所述的方法,其特征在于,密码机A使用Ppub-e对r、申请管理员类型信息/>H(SKA)、密码机A的主密钥MKA的哈希值H(MKA)、IDA采用SM2算法加密得到密文C1;密钥管理系统使用主签名密钥对中的私钥ks对Mcheck、r的哈希值采用SM2算法签名得到sig1
7.一种面向密码机集群的管理员身份管控系统,其特征在于,包括密钥管理系统、多台密码机组成的密码机集群,每台密码机配有若干个智能密码钥匙;其中,
所述智能密码钥匙,用于当其持有者管理员a申请成为密码机A的管理员时,接收管理员a选取管理员类型信息并产生身份密钥对/>将公钥/>发送给密码机A;密码机A中存储有密钥对(SKA,PKA),以及密钥管理系统的主加密密钥对(ke,Ppub-e)中的公钥Ppub-e、密钥管理系统的主签名密钥对(ks,Ppub-s)中的公钥Ppub-s,SKA为密码机A的私钥,PKA为密码机A的公钥;
所述密码机A,用于产生随机数r,使用Ppub-e对r、管理员类型信息/>H(SKA)、密码机A的主密钥MKA的哈希值H(MKA)、IDA进行加密得到密文C1;其中,H(SKA)为SKA的哈希值;向密钥管理系统发送管理员创建申请并发送C1
所述密钥管理系统,用于使用主加密密钥对中的私钥ke对C1进行解密;根据解密所得H(SKA)和IDA确定密码机A身份;然后利用解密所得在密钥管理系统数据库中进行查询,得到管理员a在密码机集群中已担任的角色身份信息;然后根据设定的权限管理策略作出批准或拒绝该管理员创建申请的决定Mcheck;如果批准该管理员创建申请,则密钥管理系统将IDA、/>以及H(MKA)作为一条记录存入所述密钥管理系统数据库;使用主签名密钥对中的私钥ks对Mcheck、r的哈希值进行签名得到sig1;以及用PKA对Mcheck、r加密得到C2;然后将sig1、C2发送给密码机A;
所述密码机A使用SKA对C2进行解密,得到Mcheck和r;密码机A使用Ppub-s对sig1验签,验签成功后,根据解密得到的信息判断是否被允许创建管理员,如果密码机A未被批准创建管理员则密码机A相应的管理员功能不对配有所述智能密码钥匙的管理员a开放,如果批准则将密码机A相应的管理员功能配有所述智能密码钥匙的管理员a开放。
CN202210517940.2A 2022-05-12 2022-05-12 一种面向密码机集群的管理员身份管控方法及系统 Active CN115021927B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210517940.2A CN115021927B (zh) 2022-05-12 2022-05-12 一种面向密码机集群的管理员身份管控方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210517940.2A CN115021927B (zh) 2022-05-12 2022-05-12 一种面向密码机集群的管理员身份管控方法及系统

Publications (2)

Publication Number Publication Date
CN115021927A CN115021927A (zh) 2022-09-06
CN115021927B true CN115021927B (zh) 2024-04-16

Family

ID=83068330

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210517940.2A Active CN115021927B (zh) 2022-05-12 2022-05-12 一种面向密码机集群的管理员身份管控方法及系统

Country Status (1)

Country Link
CN (1) CN115021927B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117319092B (zh) * 2023-11-29 2024-02-09 杭州海康威视数字技术股份有限公司 分布式密钥管理方法、装置、密码卡及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007017882A1 (en) * 2005-08-05 2007-02-15 Hewlett-Packard Development Company L.P. System, method and apparatus for cryptography key management for mobile devices
CA2864347A1 (en) * 2013-12-16 2015-06-16 Stephan Brenner Cloud-based key management
CN109510708A (zh) * 2018-10-24 2019-03-22 中国科学院信息工程研究所 一种基于Intel SGX机制的公钥密码计算方法和系统
CN111835510A (zh) * 2020-05-28 2020-10-27 无锡航天江南数据系统科技有限公司 一种etc安全管理方法
CN112989320A (zh) * 2021-04-02 2021-06-18 郑州信大捷安信息技术股份有限公司 一种用于密码设备的用户状态管理系统及方法
JP2021111925A (ja) * 2020-01-15 2021-08-02 啓介 木戸 電子署名システム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007017882A1 (en) * 2005-08-05 2007-02-15 Hewlett-Packard Development Company L.P. System, method and apparatus for cryptography key management for mobile devices
CA2864347A1 (en) * 2013-12-16 2015-06-16 Stephan Brenner Cloud-based key management
CN109510708A (zh) * 2018-10-24 2019-03-22 中国科学院信息工程研究所 一种基于Intel SGX机制的公钥密码计算方法和系统
JP2021111925A (ja) * 2020-01-15 2021-08-02 啓介 木戸 電子署名システム
CN111835510A (zh) * 2020-05-28 2020-10-27 无锡航天江南数据系统科技有限公司 一种etc安全管理方法
CN112989320A (zh) * 2021-04-02 2021-06-18 郑州信大捷安信息技术股份有限公司 一种用于密码设备的用户状态管理系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
任良钦等.一种新型云密码计算平台架构及实现.知网.全文. *

Also Published As

Publication number Publication date
CN115021927A (zh) 2022-09-06

Similar Documents

Publication Publication Date Title
US10554393B2 (en) Universal secure messaging for cryptographic modules
US7925023B2 (en) Method and apparatus for managing cryptographic keys
CN106888084B (zh) 一种量子堡垒机系统及其认证方法
WO2021139338A1 (zh) 一种数据访问权限验证方法、装置、计算机设备及存储介质
US20060129824A1 (en) Systems, methods, and media for accessing TPM keys
US20100005318A1 (en) Process for securing data in a storage unit
US20020062451A1 (en) System and method of providing communication security
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
KR102179497B1 (ko) 멀티 클라우드 기반의 데이터 저장 및 관리 시스템 및 그 구동방법
CN101515319B (zh) 密钥处理方法、密钥密码学服务系统和密钥协商方法
CN111954211B (zh) 一种移动终端新型认证密钥协商系统
CN112383391B (zh) 基于数据属性授权的数据安全保护方法、存储介质及终端
CN111010430B (zh) 一种基于双链结构的云计算安全数据共享方法
CN113420319A (zh) 一种基于区块链和权限合约的数据隐私保护的方法和系统
CN110572258A (zh) 一种云密码计算平台及计算服务方法
KR101817152B1 (ko) 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법
CN113676334B (zh) 基于区块链的分布式边缘设备身份认证系统及认证方法
CN113726733B (zh) 一种基于可信执行环境的加密智能合约隐私保护方法
WO2022148182A1 (zh) 一种密钥管理方法及相关设备
CN114267100A (zh) 开锁认证方法、装置、安全芯片及电子钥匙管理系统
TWI476629B (zh) Data security and security systems and methods
CN116192481A (zh) 云计算服务器模型间安全通信机制分析方法
CN115021927B (zh) 一种面向密码机集群的管理员身份管控方法及系统
US8307098B1 (en) System, method, and program for managing a user key used to sign a message for a data processing system
Surya et al. Single sign on mechanism using attribute based encryption in distributed computer networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant