CN116633544B - 硬件密码模组内多核密钥分级存储与同步方法及装置 - Google Patents
硬件密码模组内多核密钥分级存储与同步方法及装置 Download PDFInfo
- Publication number
- CN116633544B CN116633544B CN202310905122.4A CN202310905122A CN116633544B CN 116633544 B CN116633544 B CN 116633544B CN 202310905122 A CN202310905122 A CN 202310905122A CN 116633544 B CN116633544 B CN 116633544B
- Authority
- CN
- China
- Prior art keywords
- key
- operation core
- secondary key
- local
- cipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000012545 processing Methods 0.000 claims abstract description 29
- 230000001960 triggered effect Effects 0.000 claims abstract description 9
- 238000012795 verification Methods 0.000 claims description 6
- 230000001360 synchronised effect Effects 0.000 claims description 2
- 239000000758 substrate Substances 0.000 claims 1
- 238000011084 recovery Methods 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
Abstract
本实施例提供硬件密码模组内多核密钥分级存储与同步方法及装置。通过将低成本的密码运算核心单元组织在同一板卡形成硬件密码模组,并新引入保护密钥来对在各密码运算核心单元之间传输的二级密钥进行加密保护,实现在密码运算处理时既兼顾低成本又兼顾密码运算处理正常运行;同时,通过驱动校验出至少两个密码运算核心单元的保护密钥不一致触发第一密码运算核心单元重新生成保护密钥并将保护密钥同步至其它各密码运算核心单元,以及校验出至少两个密码运算核心单元的二级密钥不一致触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元,实现各个密码运算核心单元之间保护密钥和二级密钥的相互备份与恢复。
Description
技术领域
本申请涉及信息安全领域,尤其涉及硬件密码模组内多核密钥分级存储与同步方法及装置。
背景技术
在信息安全应用中,用于密码运算处理的密码运算核心单元有很多,比如微控制单元(MCU:Microcontroller Unit)等。在具体应用中,性能较高的密码运算核心单元,往往售价高,而低成本的密码运算核心单元,虽然成本低,但性能较为低下,很难保证密码运算处理。基于此,既兼顾低成本又兼顾密码运算处理正常运行的密码运算处理方法,是当前亟待解决的技术问题。
发明内容
本申请实施例提供硬件密码模组内多核密钥分级存储与同步方法及装置,以实现在密码运算处理时既兼顾低成本又兼顾密码运算处理正常运行。
本申请实施例提供一种硬件密码模组内多核密钥分级存储与同步方法,该方法应用于服务器,服务器至少包括:驱动和硬件密码模组,硬件密码模组是通过将至少两个低成本的密码运算核心单元安装在同一板卡上得到;所述方法包括:
通过硬件密码模组中的第一密码运算核心单元生成保护密钥,并将保护密钥同步至所述硬件密码模组中其它各密码运算核心单元;所述保护密钥处于已有的三级密钥分级体系中的一级密钥和二级密钥之间,其中,任一密码运算核心单元在获得保护密钥后利用本地一级密钥加密所述保护密钥并存储,任一密码运算核心单元在存储保护密钥时进一步存储保护密钥对应的保护密钥存储参数,所述保护密钥存储参数是指对所述保护密钥进行完整性校验所需的参数;
通过所述驱动获得密码运算核心单元上送的本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数;二级密钥存储参数至少包括:对本地二级密钥进行完整性校验所需的参数、以及二级密钥更新记录;
通过所述驱动校验出至少两个密码运算核心单元上送的保护密钥存储参数不一致,则触发所述第一密码运算核心单元重新生成保护密钥并将所述保护密钥同步至所述硬件密码模组中其它各密码运算核心单元;
通过所述驱动校验出至少两个密码运算核心单元上送的二级密钥存储参数不一致,则基于二级密钥存储参数中的二级密钥更新记录,从各密码运算核心单元上送的二级密钥存储参数中选择目标二级密钥存储参数,触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元;第二密码运算核心单元是指具有所述目标二级密钥存储参数的密码运算核心单元,所述目标二级密钥存储参数对应的二级密钥的更新时间晚于二级密钥存储参数对应的二级密钥。
本申请实施例提供一种硬件密码模组内多核密钥分级存储与同步装置,该装置作为服务器,至少包括:驱动和硬件密码模组,硬件密码模组是通过将至少两个低成本的密码运算核心单元安装在同一板卡上得到;硬件密码模组包括第一密码运算核心单元以及其它密码运算核心单元;
第一密码运算核心单元用于生成保护密钥,并将保护密钥同步至所述硬件密码模组中其它各密码运算核心单元;所述保护密钥处于已有的三级密钥分级体系中的一级密钥和二级密钥之间,其中,任一密码运算核心单元在获得保护密钥后利用本地一级密钥加密所述保护密钥并存储,任一密码运算核心单元在存储保护密钥时进一步存储保护密钥对应的保护密钥存储参数,所述保护密钥存储参数是指对所述保护密钥进行完整性校验所需的参数;
所述驱动,用于获得密码运算核心单元上送的本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数;二级密钥存储参数至少包括:对本地二级密钥进行完整性校验所需的参数、以及二级密钥更新记录;
以及,
用于校验出至少两个密码运算核心单元上送的保护密钥存储参数不一致,则触发所述第一密码运算核心单元重新生成保护密钥并将所述保护密钥同步至所述硬件密码模组中其它各密码运算核心单元;以及,用于校验出至少两个密码运算核心单元上送的二级密钥存储参数不一致,则基于二级密钥存储参数中的二级密钥更新记录,从各密码运算核心单元上送的二级密钥存储参数中选择目标二级密钥存储参数,触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元;第二密码运算核心单元是指具有所述目标二级密钥存储参数的密码运算核心单元,所述目标二级密钥存储参数对应的二级密钥的更新时间晚于二级密钥存储参数对应的二级密钥。
本申请实施例提供一种电子设备,电子设备包括:处理器和存储器;其中,所述存储器,用于存储机器可执行指令;所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所述的方法。
本申请实施例提供一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现如上所述的方法。
综上可以看出,本实施例通过将至少两个低成本的密码运算核心单元安装在同一板卡上组织成硬件密码模组,并在现有三级密钥体系的基础上引入保护密钥,保护密钥位于一级密钥(如设备根密钥)与二级密钥(如用户密钥)之间,其用于对在各密码运算核心单元之间传输的二级密钥如用户密钥进行加密保护,以做到二级密钥的安全同步,保障了硬件密码模组中各密码运算核心单元的密码运算处理,实现在密码运算处理时既兼顾低成本又兼顾密码运算处理正常运行;
进一步地,本实施例中,通过驱动校验出至少两个密码运算核心单元上送的保护密钥存储参数不一致,触发第一密码运算核心单元重新生成保护密钥并将保护密钥同步至所述硬件密码模组中其它各密码运算核心单元,这相当于各个密码运算核心单元之间保护密钥的相互备份与恢复功能,提升了保护密钥存储的安全性;以及通过驱动校验出至少两个密码运算核心单元上送的二级密钥存储参数不一致触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元,这相当于各个密码运算核心单元之间二级密钥的相互备份与恢复功能,提升了二级密钥存储的安全性。
附图说明
图1是本申请实施例示出的硬件密码模组的结构图;
图2是本申请实施例示出的分级密钥体系的结构图;
图3是本申请实施例示出的保护密钥的同步示意图;
图4是本申请实施例示出的方法流程图;
图5是本申请实施例示出的装置结构图;
图6是本申请实施例示出的电子设备结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例中,为了在兼顾低成本的同时又兼顾密码运算处理正常运行,本实施例可将多个低成本的密码运算核心单元安装在同一板卡上,组建成一套多核硬件密码模组板卡(以下简称硬件密码模组)。图1举例示出了硬件密码模组的结构。
对于硬件密码模组,为保证硬件密码模组中各密码运算核心单元的密码运算处理,需要保证硬件密码模组中各个密码运算核心单元之间的密钥比如二级密钥(如用户密钥)保持一致。
本实施例为保证硬件密码模组中各个密码运算核心单元之间的密钥比如二级密钥(如用户密钥)保持一致,对传统的三级密钥分级体系进行了改进,具体为:在传统三级密钥分级体系的基础上,引入保护密钥,保护密钥的层级位于传统三级密钥分级体系中的一级密钥(如设备根密钥)和二级密钥(如用户密钥)之间。图2举例示出了本申请实施例提供的改进后的密钥分级体系结构图。
在本实施例中,硬件密码模组中各个密码运算核心单元都配备独立的存储空间。各密码运算核心单元通过被配备的独立的存储空间存储如图2所示的各分级密钥。
需要说明的是,在本实施例中,如图2所示的各分级密钥,其生成方式与存储方式会有不同,表1举例示出了各分级密钥的生成方式与存储方式:
表1
下面对表1所示的各分级密钥进行描述:
作为一个实施例,在本实施例中,各密码运算核心单元的一级密钥,如表1所示,是由各密码运算核心单元各自独立生成并存储至各密码运算核心单元的非易失性存储区。之所以由各密码运算核心单元各自独立生成并存储一级密钥,其目的是保证任何一个密码运算核心单元的一级密钥不会流出至该密码运算核心单元之外,作为密钥保护的根本底线。
作为一个实施例,在本实施例中,如图1所示的硬件密码模组内各个密码运算核心单元之间存在硬件物理连接,可选地,各个密码运算核心单元通过硬件物理连接进行级联。基于此,作为一个实施例,本实施例可指定第一个密码运算核心单元(最后一个密码运算核心单元也可以)单独生成保护密钥。第一个密码运算核心单元复制一份保护密钥,一方面利用本地一级密钥对其中一份保护密钥进行加密并存储至非易失性存储区,另一方面利用设定加密方式(比如哈希等)对另一份保护密钥加密(当然也可不加密,本实施例以加密为例)得到保护密钥密文并通过硬件物理连接将保护密钥密文传递给第二个密码运算核心单元,第二个密码运算核心单元接收到保护密钥密文,复制该保护密钥密文,之后一方面继续通过硬件物理连接将其中一份保护密钥密文传递给第三个密码运算核心单元,另一方面利用设定加密方式对应的设定解密方式对另一份保护密钥密文进行解密得到保护密钥,利用本地一级密钥对该保护密钥进行加密并存储至非易失性存储区。依次类推,直接最后一个密码运算核心单元获得保护密钥,利用本地一级密钥对该保护密钥进行加密并存储至非易失性存储区。最终实现了保护密钥在各密码运算核心单元之间保持一致。图3举例示出了各个密码运算核心单元之间传递保护密钥的结构。这里,图3以保护密钥通过硬件物理连接在各个密码运算核心单元之间进行依次级联安全传递为例描述。之所以依次级联安全传递保护密钥,其好处是:(1)减少硬件引脚资源的使用;(2)各密码运算核心单元不区分主次,可共用一套源程序。当然,需要说明的是,图3只是以保护密钥通过硬件物理连接在各个密码运算核心单元之间进行依次级联安全传递为例描述,并非用于限定。
作为一个实施例,如表1所示,在本实施例中,可指定任一个密码运算核心单元单独生成二级密钥比如用户密钥。该被指定的密码运算核心单元在生成二级密钥比如用户密钥后,可将该生成的二级密钥同步至其它密码运算核心单元。考虑到二级密钥比如用户密钥的数量往往较大,通常可以多达数千组,如果采用与保护密钥一样的内部级联传递,就会严重影响传输效率,基于此,本实施例通过驱动中转来完成用户密钥的同步。
可选地,考虑到需要将二级密钥导出至驱动(相当于将用户密钥导出至硬件密码模组之外),很容易导致用户密码泄露,本实施例中,上述被指定的密码运算核心单元会首先通过本地的保护密钥对该二级密钥进行加密保护得到二级密钥密文,将二级密钥密文导出至驱动。驱动收到二级密钥密文后,将该二级密钥密文转发同步至其它密码运算核心单元。其它密码运算核心单元收到二级密钥密文后,利用本地的保护密钥对该二级密钥密文进行解密得到二级密钥并存储至非易失性存储区。最终实现了二级密钥在各密码运算核心单元之间保持一致。图3举例示出了二级密钥同步的实施例。
需要说明的是,在本实施例中,触发二级密钥同步的时机有很多,比如,二级密钥生成时触发二级密钥同步,或者下文描述的保护密钥和/或二级密钥校验不一致、二级密钥导入等情况也会触发密钥同步。
作为一个实施例,对于如表1所示的会话密钥,可指定任一个密码运算核心单元单独生成三级密钥比如会话密钥。三级密钥比如会话密钥是临时密钥,保存在上位机内存中,在需要使用时通过驱动下发,各密码运算核心单元不缓存和存储三级密钥比如会话密钥,因此本实施例不考虑三级密钥比如会话密钥的同步。
以上对表1所示的各分级密钥进行了描述。
基于如上描述,下面对本申请实施例提供的方法进行描述:
参见图4,图4为本申请实施例提供的方法流程图。该方法应用于服务器,服务器至少包括:驱动和如上描述的硬件密码模组。
如图4所示,该流程可包括以下步骤:
步骤401,通过硬件密码模组中的第一密码运算核心单元生成保护密钥,并将保护密钥同步至所述硬件密码模组中其它各密码运算核心单元。
如上描述的保护密钥,在硬件密码模组中各密码运算核心单元通过硬件物理连接级联的前提下,本步骤401中第一密码运算核心单元为所述硬件密码模组中的第一个密码运算核心单元或者最后一个密码运算核心单元。第一密码运算核心单元生成保护密钥后,会利用本地一级密钥加密该保护密钥并存储至本地非易失性存储区。同样,其它任一密码运算核心单元在获得被同步的保护密钥后,会利用本地一级密钥加密该保护密钥并存储至本地非易失性存储区。
作为一个实施例,在上述第一密码运算核心单元或者其它任一密码运算核心单元存储加密的保护密钥时,为防止因某些异常情况导致非易失性存储区存储的保护密钥发生突变,本实施例可要求上述第一密码运算核心单元或者其它任一密码运算核心单元存储加密的保护密钥时,先确定保护密钥对应的保护密钥存储参数。这里,保护密钥存储参数是指对保护密钥进行完整性校验所需的参数,比如对保护密钥或者被加密的保护密钥使用哈希算法计算出的哈希值等;之后将保护密钥存储参数和被加密的保护密钥一同存储至本地非易失性存储区。
步骤402,通过上述驱动获得密码运算核心单元上送的本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数。
作为一个实施例,硬件密码模组中的各密码运算核心单元可定时或者外部触发或者周期等上送本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数。
作为另一个实施例,硬件密码模组中的各密码运算核心单元会基于本地完整性校验上送本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数。具体地,硬件密码模组中的每一密码运算核心单元对本地的保护密钥和二级密钥分别进行完整性校验,若本地保护密钥通过完整性校验,则将本地保护密钥对应的保护密钥存储参数上送至上述驱动,若本地二级密钥通过完整性校验,则将本地二级密钥对应的二级密钥存储参数上送至上述驱动。
在本实施例中,硬件密码模组中的各密码运算核心单元会定时、周期或者基于外部触发等对本地的保护密钥和二级密钥分别进行完整性校验。
这里,保护密钥存储参数如上描述,其至少包括:对保护密钥进行第一指定算法处理比如哈希算法得到的算法结果比如哈希值。作为一个实施例,如上描述,保护密钥对应的保护密钥存储参数至少包括:对保护密钥进行第一指定算法处理比如哈希算法得到的算法结果比如哈希值。基于此,上述硬件密码模组中的每一密码运算核心单元对本地的保护密钥进行完整性校验包括:硬件密码模组中的每一密码运算核心单元对本地的保护密钥进行第一指定算法处理(比如哈希算法)得到第一结果(比如哈希值),校验该第一结果是否与该保护密钥对应的保护密钥存储参数中的算法结果满足设定的第一匹配条件,如果是,确定本地保护密钥通过完整性校验,如果否,确定本地保护密钥未通过完整性校验。
在本实施例中,二级密钥存储参数,其至少包括:对本地二级密钥进行完整性校验所需的参数比如对二级密钥进行第二指定算法(如哈希算法)处理得到的算法结果(如哈希值)、以及二级密钥更新记录。二级密钥的更新记录可记录二级密钥的更新时间、或者更新次数等,本实施例并不具体限定。
这里,二级密钥存储参数之所以包括二级密钥更新记录,其原因是:由于保护密钥和二级密钥在多个密码运算核心单元同步存储,密码运算核心单元仅仅对本地二级密钥进行完整性校验所需的参数比如对二级密钥进行第二指定算法(如哈希算法)处理得到的算法结果(如哈希值)进行完整性校验,并不能保证各个密码运算核心单元之间存储的二级密钥是一致的,其也有可能出现各个密码运算核心单元之间存储的二级密钥不一致,而该不一致会导致密码运算异常的情况,造成巨大损失。
在具体实现时,造成上述不一致的原因有很多。比如,在二级密钥导入过程中忽然掉电,其会产生以下情况:其中一部分密码运算核心单元的二级密钥以及对该本地二级密钥进行完整性校验所需的参数比如哈希值(这里以哈希值为例)已经更新,而另一部分密码运算核心单元的二级密钥以及对该本地二级密钥进行完整性校验所需的参数比如哈希值(这里以哈希值为例)尚未更新。该情况发生后,如果下次重新上电,各密码运算核心单元在基于哈希值校验二级密钥时会发现二级密钥通过完整性校验,但实际上至少两个密码运算核心单元之间的二级密钥是存在差异的。为防止该种情况的发生,本实施例会在各密码运算核心单元的二级密钥通过完整性校验后,由驱动统一判别各个密码运算核心单元之间的哈希值是否一致,在不一致的情况下,会基于二级密钥更新记录查找到目标二级密钥存储参数,目标二级密钥存储参数对应的二级密钥的更新时间晚于二级密钥存储参数对应的二级密钥,以便将目标二级密钥存储参数对应的二级密钥同步至其它各个密码运算核心单元,实现各个密码运算核心单元之间的二级密钥同步。
作为一个实施例,如上描述二级密钥对应的二级密钥存储参数至少包括:对二级密钥进行第二指定算法处理比如哈希算法得到的算法结果比如哈希值、以及二级密钥的更新记录。基于此,上述硬件密码模组中的每一密码运算核心单元对本地的二级密钥进行完整性校验包括:硬件密码模组中的每一密码运算核心单元对本地的二级密钥进行第二指定算法处理(比如哈希算法)得到第二结果(比如哈希值),校验该第二一结果是否与该二级密钥对应的二级密钥存储参数中的算法结果满足设定的第二匹配条件,如果是,确定本地二级密钥通过完整性校验,如果否,确定本地二级密钥未通过完整性校验。
步骤403,若校验出至少两个密码运算核心单元上送的保护密钥存储参数不一致,则执行步骤404,若校验出至少两个密码运算核心单元上送的二级密钥存储参数不一致,则执行步骤405。
在本实施例中,上述驱动会先校验各密码运算核心单元上送的保护密钥存储参数是否一致,如果各密码运算核心单元上送的保护密钥存储参数一致,则继续执行本步骤403中的校验各密码运算核心单元上送的二级密钥存储参数是否一致;而如果各密码运算核心单元上送的保护密钥存储参数不一致,则执行步骤404,之后再执行本步骤403中校验各密码运算核心单元上送的二级密钥存储参数是否一致。
另外,在本实施例中,假若驱动获得的各保护密钥存储参数是各密码运算核心单元在本地的保护密钥通过完整性校验时上送的,则执行到本步骤403时,若校验出各密码运算核心单元上送的保护密钥存储参数一致,则本步骤403可进一步识别未上送保护密钥存储参数的密码运算核心单元(记为单元a),触发与单元a相邻的其它密码运算核心单元(与上述单元a最相邻、且本地的保护密钥通过完整性校验并上送保护密钥存储参数至驱动的密码运算核心单元)将本地保护密钥发送给上述单元a,最终各密码运算核心单元实现保护密钥同步。
类似地,在本实施例中,假若驱动获得的各二级密钥存储参数是各密码运算核心单元在本地的二级密钥通过完整性校验时上送的,则执行到本步骤403时,若校验出各密码运算核心单元上送的二级密钥存储参数一致,则本步骤403可进一步识别未上送二级密钥存储参数的密码运算核心单元(记为单元b),触发其它密码运算核心单元(本地的二级密钥通过完整性校验、且上送二级密钥存储参数至驱动的密码运算核心单元)利用本地保护密钥对本地二级密钥进行加密并上送至驱动,由驱动将二级密钥密文发送给上述单元b,最终各密码运算核心单元实现二级密钥同步。
步骤404,触发第一密码运算核心单元重新生成保护密钥并将保护密钥同步至所述硬件密码模组中其它各密码运算核心单元。
本步骤404是在上述驱动校验出至少两个密码运算核心单元上送的保护密钥存储参数不一致的前提下执行的。针对此种情况,本实施例可直接触发硬件密码模组中的第一密码运算核心单元重新生成保护密钥,并将保护密钥同步至硬件密码模组中其它各密码运算核心单元。同步的方式如上描述。
通过步骤404可以看出,本实施例这种保护密钥同步的方法,也可以起到各密码运算核心单元之间保护密钥相互备份和恢复的作用,即使其中某些密码运算核心单元的保护密钥发生丢失,也可通过其他的密码运算核心单元完成恢复。
步骤405,基于二级密钥存储参数中的二级密钥更新记录,从各密码运算核心单元上送的二级密钥存储参数中选择目标二级密钥存储参数,触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元;第二密码运算核心单元是指具有所述目标二级密钥存储参数的密码运算核心单元,目标二级密钥存储参数对应的二级密钥的更新时间晚于二级密钥存储参数对应的二级密钥。
本实施例中,通过在二级密钥存储参数中增加二级密钥更新记录,其目的是为了区分出哪些密码运算核心单元的二级密钥是新的,哪些运算核心的密钥是旧的,以便如步骤405描述,从各密码运算核心单元中选择出具有最新的二级密钥的第二密码运算核心单元。
作为一个实施例,这里的二级密钥更新记录可为二级密钥写入次数。基于此,本步骤405中,从各密码运算核心单元上送的二级密钥存储参数中选择目标二级密钥存储参数可包括:依据各密码运算核心单元上送的二级密钥存储参数中的更新次数,选择具有最大更新次数的二级密钥存储参数,将该选择出的二级密钥存储参数确定为所述目标二级密钥存储参数。
作为一个实施例,在本步骤405中,触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元包括:触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并发送至上述驱动,通过上述驱动将二级密钥密文同步至其它密码运算核心单元。最终实现了触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元。
通过步骤405可以看出,本实施例这种二级密钥同步的方法,也可以起到各密码运算核心单元之间二级密钥相互备份和恢复的作用,即使其中某些密码运算核心单元的二级密钥发生丢失,也可通过其他的密码运算核心单元完成恢复。
至此,完成图4所示流程。
通过图4所示流程可以看出,本实施例通过将至少两个低成本的密码运算核心单元安装在同一板卡上组织成硬件密码模组,并在现有三级密钥体系的基础上引入保护密钥,保护密钥位于一级密钥(如设备根密钥)与二级密钥(如用户密钥)之间,其用于对在各密码运算核心单元之间传输的二级密钥如用户密钥进行加密保护,以做到二级密钥的安全同步,保障了硬件密码模组中各密码运算核心单元的密码运算处理,实现在密码运算处理时既兼顾低成本又兼顾密码运算处理正常运行;
进一步地,本实施例中,通过驱动校验出至少两个密码运算核心单元上送的保护密钥存储参数不一致,触发第一密码运算核心单元重新生成保护密钥并将保护密钥同步至所述硬件密码模组中其它各密码运算核心单元,这相当于各个密码运算核心单元之间保护密钥的相互备份与恢复功能,提升了保护密钥存储的安全性;以及通过驱动校验出至少两个密码运算核心单元上送的二级密钥存储参数不一致触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元,这相当于各个密码运算核心单元之间二级密钥的相互备份与恢复功能,提升了二级密钥存储的安全性。
以上对本申请实施例提供的方法进行了描述,下面对本申请实施例提供的装置进行描述:
参见图5,图5为本申请实施例提供的装置结构图。该装置作为服务器,至少包括:驱动和硬件密码模组,硬件密码模组是通过将至少两个低成本的密码运算核心单元安装在同一板卡上得到;硬件密码模组包括第一密码运算核心单元以及其它密码运算核心单元;
第一密码运算核心单元用于生成保护密钥,并将保护密钥同步至所述硬件密码模组中其它各密码运算核心单元;所述保护密钥处于已有的三级密钥分级体系中的一级密钥和二级密钥之间,其中,任一密码运算核心单元在获得保护密钥后利用本地一级密钥加密所述保护密钥并存储,任一密码运算核心单元在存储保护密钥时进一步存储保护密钥对应的保护密钥存储参数,所述保护密钥存储参数是指对所述保护密钥进行完整性校验所需的参数;
所述驱动,用于获得密码运算核心单元上送的本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数;二级密钥存储参数至少包括:对本地二级密钥进行完整性校验所需的参数、以及二级密钥更新记录;
以及,
用于校验出至少两个密码运算核心单元上送的保护密钥存储参数不一致,则触发所述第一密码运算核心单元重新生成保护密钥并将所述保护密钥同步至所述硬件密码模组中其它各密码运算核心单元;以及,用于校验出至少两个密码运算核心单元上送的二级密钥存储参数不一致,则基于二级密钥存储参数中的二级密钥更新记录,从各密码运算核心单元上送的二级密钥存储参数中选择目标二级密钥存储参数,触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元;第二密码运算核心单元是指具有所述目标二级密钥存储参数的密码运算核心单元,所述目标二级密钥存储参数对应的二级密钥的更新时间晚于二级密钥存储参数对应的二级密钥。
可选地,所述硬件密码模组中各密码运算核心单元通过硬件物理连接级联;所述第一密码运算核心单元为所述硬件密码模组中的第一个密码运算核心单元或者最后一个密码运算核心单元;所述保护密钥从所述第一密码运算核心单元开始沿着级联的硬件物理连接传输的,以同步至所述硬件密码模组中其它各密码运算核心单元。
可选地,所述驱动获得密码运算核心单元上送的本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数包括:接收所述硬件密码模组中任一密码运算核心单元在本地的保护密钥通过完整性校验后上送的本地保护密钥对应的保护密钥存储参数;接收所述硬件密码模组中任一密码运算核心单元在本地的二级密钥通过完整性校验后上送的本地二级密钥对应的二级密钥存储参数。
可选地,所述对保护密钥进行完整性校验所需的参数至少包括:对所述保护密钥进行第一指定算法处理得到的算法结果;密码运算核心单元对本地的保护密钥进行完整性校验包括:对本地的保护密钥进行第一指定算法处理得到第一结果,校验该第一结果是否与该保护密钥对应的保护密钥存储参数中的算法结果满足设定的第一匹配条件,如果是,确定本地保护密钥通过完整性校验,如果否,确定本地保护密钥未通过完整性校验。
可选地,所述对本地二级密钥进行完整性校验所需的参数至少包括:对所述二级密钥进行第二指定算法处理得到的算法结果;密码运算核心单元对本地的二级密钥进行完整性校验包括:对本地的二级密钥进行第二指定算法处理得到第二结果,校验该第二结果是否与该二级密钥对应的二级密钥存储参数中的算法结果满足设定的第二匹配条件,如果是,确定本地二级密钥通过完整性校验,如果否,确定本地二级密钥未通过完整性校验。
可选地,二级密钥更新记录至少包括:二级密钥的更新次数;所述基于二级密钥存储参数中的二级密钥更新记录,从各密码运算核心单元上送的二级密钥存储参数中选择目标二级密钥存储参数包括:依据各密码运算核心单元上送的二级密钥存储参数中的更新次数,选择具有最大更新次数的二级密钥存储参数,将该选择出的二级密钥存储参数确定为所述目标二级密钥存储参数。
可选地,硬件密码模组中的第三密码运算核心单元生成二级密钥,并由第三密码运算核心单元利用本地保护密钥对所述二级密钥进行加密得到二级密钥密文上送至所述驱动;所述第三密码运算核心单元为第一密码运算核心单元或者第二密码运算核心单元或者其它密码运算核心单元;
所述驱动,进一步用于将所述二级密钥密文同步至所述硬件密码模组中其它各密码运算核心单元,任一密码运算核心单元在存储二级密钥时进一步存储二级密钥对应的二级密钥存储参数。
可选地,所述触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元包括:触发第三密码运算核心单元利用本地保护密钥对本地二级密钥进行加密得到二级密钥密文上送至所述驱动;通过所述驱动将所述二级密钥密文同步至所述硬件密码模组中其它各密码运算核心单元。
至此,完成图5所示装置结构描述。
对应地,本申请实施例还提供了图5所示装置的硬件结构图,具体如图6所示,该电子设备可以为上述实施方法的设备。如图6所示,该硬件结构包括:处理器和存储器。
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所示的方法实施例。
作为一个实施例,存储器可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,存储器可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
基于同样的发明构思,本实施例还提供了计算机可读存储介质。该计算机可读存储介质,用于存储计算机程序;该计算机程序被处理器执行时实现如上所述的方法实施例。
上述对本申请特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (11)
1.一种硬件密码模组内多核密钥分级存储与同步方法,其特征在于,该方法应用于服务器,服务器至少包括:驱动和硬件密码模组,硬件密码模组是通过将至少两个密码运算核心单元安装在同一板卡上得到;所述方法包括:
通过硬件密码模组中的第一密码运算核心单元生成保护密钥,并将保护密钥同步至所述硬件密码模组中其它各密码运算核心单元;所述保护密钥处于已有的三级密钥分级体系中的一级密钥和二级密钥之间,其中,任一密码运算核心单元在获得保护密钥后利用本地一级密钥加密所述保护密钥并存储,任一密码运算核心单元在存储保护密钥时进一步存储保护密钥对应的保护密钥存储参数,所述保护密钥存储参数是指对所述保护密钥进行完整性校验所需的参数;
通过所述驱动获得密码运算核心单元上送的本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数;二级密钥存储参数至少包括:对本地二级密钥进行完整性校验所需的参数、以及二级密钥更新记录;
通过所述驱动校验出至少两个密码运算核心单元上送的保护密钥存储参数不一致,则触发所述第一密码运算核心单元重新生成保护密钥并将所述保护密钥同步至所述硬件密码模组中其它各密码运算核心单元;
通过所述驱动校验出至少两个密码运算核心单元上送的二级密钥存储参数不一致,则基于二级密钥存储参数中的二级密钥更新记录,从各密码运算核心单元上送的二级密钥存储参数中选择目标二级密钥存储参数,触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元;第二密码运算核心单元是指具有所述目标二级密钥存储参数的密码运算核心单元,所述目标二级密钥存储参数对应的二级密钥的更新时间晚于二级密钥存储参数对应的二级密钥。
2.根据权利要求1所述的方法,其特征在于,
所述硬件密码模组中各密码运算核心单元通过硬件物理连接级联;
所述第一密码运算核心单元为所述硬件密码模组中的第一个密码运算核心单元或者最后一个密码运算核心单元;
所述保护密钥从所述第一密码运算核心单元开始沿着级联的硬件物理连接传输的,以同步至所述硬件密码模组中其它各密码运算核心单元。
3.根据权利要求1所述的方法,其特征在于,通过所述驱动获得密码运算核心单元上送的本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数包括:
通过所述驱动接收所述硬件密码模组中任一密码运算核心单元在本地的保护密钥通过完整性校验后上送的本地保护密钥对应的保护密钥存储参数;
通过所述驱动接收所述硬件密码模组中任一密码运算核心单元在本地的二级密钥通过完整性校验后上送的本地二级密钥对应的二级密钥存储参数。
4.根据权利要求3所述的方法,其特征在于,所述对保护密钥进行完整性校验所需的参数至少包括:对所述保护密钥进行第一指定算法处理得到的算法结果;
密码运算核心单元对本地的保护密钥进行完整性校验包括:对本地的保护密钥进行第一指定算法处理得到第一结果,校验该第一结果是否与该保护密钥对应的保护密钥存储参数中的算法结果满足设定的第一匹配条件,如果是,确定本地保护密钥通过完整性校验,如果否,确定本地保护密钥未通过完整性校验。
5.根据权利要求3所述的方法,其特征在于,所述对本地二级密钥进行完整性校验所需的参数至少包括:对所述二级密钥进行第二指定算法处理得到的算法结果;
密码运算核心单元对本地的二级密钥进行完整性校验包括:对本地的二级密钥进行第二指定算法处理得到第二结果,校验该第二结果是否与该二级密钥对应的二级密钥存储参数中的算法结果满足设定的第二匹配条件,如果是,确定本地二级密钥通过完整性校验,如果否,确定本地二级密钥未通过完整性校验。
6.根据权利要求1所述的方法,其特征在于,二级密钥更新记录至少包括:二级密钥的更新次数;
所述基于二级密钥存储参数中的二级密钥更新记录,从各密码运算核心单元上送的二级密钥存储参数中选择目标二级密钥存储参数包括:依据各密码运算核心单元上送的二级密钥存储参数中的更新次数,选择具有最大更新次数的二级密钥存储参数,将该选择出的二级密钥存储参数确定为所述目标二级密钥存储参数。
7.根据权利要求1所述的方法,其特征在于,通过所述驱动获得密码运算核心单元上送的二级密钥存储参数之前,该方法还包括:
通过硬件密码模组中的第三密码运算核心单元生成二级密钥,并由第三密码运算核心单元利用本地保护密钥对所述二级密钥进行加密得到二级密钥密文上送至所述驱动;所述第三密码运算核心单元为第一密码运算核心单元或者第二密码运算核心单元或者其它密码运算核心单元;
通过所述驱动将所述二级密钥密文同步至所述硬件密码模组中其它各密码运算核心单元,任一密码运算核心单元在存储二级密钥时进一步存储二级密钥对应的二级密钥存储参数。
8.根据权利要求1所述的方法,其特征在于,所述触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元包括:触发第三密码运算核心单元利用本地保护密钥对本地二级密钥进行加密得到二级密钥密文上送至所述驱动;通过所述驱动将所述二级密钥密文同步至所述硬件密码模组中其它各密码运算核心单元。
9.一种硬件密码模组内多核密钥分级存储与同步装置,其特征在于,该装置作为服务器,至少包括:驱动和硬件密码模组,硬件密码模组是通过将至少两个密码运算核心单元安装在同一板卡上得到;硬件密码模组包括第一密码运算核心单元以及其它密码运算核心单元;
第一密码运算核心单元用于生成保护密钥,并将保护密钥同步至所述硬件密码模组中其它各密码运算核心单元;所述保护密钥处于已有的三级密钥分级体系中的一级密钥和二级密钥之间,其中,任一密码运算核心单元在获得保护密钥后利用本地一级密钥加密所述保护密钥并存储,任一密码运算核心单元在存储保护密钥时进一步存储保护密钥对应的保护密钥存储参数,所述保护密钥存储参数是指对所述保护密钥进行完整性校验所需的参数;
所述驱动,用于获得密码运算核心单元上送的本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数;二级密钥存储参数至少包括:对本地二级密钥进行完整性校验所需的参数、以及二级密钥更新记录;
以及,
用于校验出至少两个密码运算核心单元上送的保护密钥存储参数不一致,则触发所述第一密码运算核心单元重新生成保护密钥并将所述保护密钥同步至所述硬件密码模组中其它各密码运算核心单元;以及,用于校验出至少两个密码运算核心单元上送的二级密钥存储参数不一致,则基于二级密钥存储参数中的二级密钥更新记录,从各密码运算核心单元上送的二级密钥存储参数中选择目标二级密钥存储参数,触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元;第二密码运算核心单元是指具有所述目标二级密钥存储参数的密码运算核心单元,所述目标二级密钥存储参数对应的二级密钥的更新时间晚于二级密钥存储参数对应的二级密钥。
10.根据权利要求9所述的装置,其特征在于,
所述硬件密码模组中各密码运算核心单元通过硬件物理连接级联;所述第一密码运算核心单元为所述硬件密码模组中的第一个密码运算核心单元或者最后一个密码运算核心单元;所述保护密钥从所述第一密码运算核心单元开始沿着级联的硬件物理连接传输的,以同步至所述硬件密码模组中其它各密码运算核心单元;和/或,
所述驱动获得密码运算核心单元上送的本地保护密钥对应的保护密钥存储参数、以及本地二级密钥对应的二级密钥存储参数包括:接收所述硬件密码模组中任一密码运算核心单元在本地的保护密钥通过完整性校验后上送的本地保护密钥对应的保护密钥存储参数;接收所述硬件密码模组中任一密码运算核心单元在本地的二级密钥通过完整性校验后上送的本地二级密钥对应的二级密钥存储参数;和/或,
所述对保护密钥进行完整性校验所需的参数至少包括:对所述保护密钥进行第一指定算法处理得到的算法结果;密码运算核心单元对本地的保护密钥进行完整性校验包括:对本地的保护密钥进行第一指定算法处理得到第一结果,校验该第一结果是否与该保护密钥对应的保护密钥存储参数中的算法结果满足设定的第一匹配条件,如果是,确定本地保护密钥通过完整性校验,如果否,确定本地保护密钥未通过完整性校验;和/或,
所述对本地二级密钥进行完整性校验所需的参数至少包括:对所述二级密钥进行第二指定算法处理得到的算法结果;密码运算核心单元对本地的二级密钥进行完整性校验包括:对本地的二级密钥进行第二指定算法处理得到第二结果,校验该第二结果是否与该二级密钥对应的二级密钥存储参数中的算法结果满足设定的第二匹配条件,如果是,确定本地二级密钥通过完整性校验,如果否,确定本地二级密钥未通过完整性校验;和/或,
二级密钥更新记录至少包括:二级密钥的更新次数;所述基于二级密钥存储参数中的二级密钥更新记录,从各密码运算核心单元上送的二级密钥存储参数中选择目标二级密钥存储参数包括:依据各密码运算核心单元上送的二级密钥存储参数中的更新次数,选择具有最大更新次数的二级密钥存储参数,将该选择出的二级密钥存储参数确定为所述目标二级密钥存储参数;和/或,
硬件密码模组中的第三密码运算核心单元生成二级密钥,并由第三密码运算核心单元利用本地保护密钥对所述二级密钥进行加密得到二级密钥密文上送至所述驱动;所述第三密码运算核心单元为第一密码运算核心单元或者第二密码运算核心单元或者其它密码运算核心单元;
所述驱动,进一步用于将所述二级密钥密文同步至所述硬件密码模组中其它各密码运算核心单元,任一密码运算核心单元在存储二级密钥时进一步存储二级密钥对应的二级密钥存储参数;和/或,
所述触发第二密码运算核心单元利用本地保护密钥对本地二级密钥加密并同步至其它密码运算核心单元包括:触发第三密码运算核心单元利用本地保护密钥对本地二级密钥进行加密得到二级密钥密文上送至所述驱动;通过所述驱动将所述二级密钥密文同步至所述硬件密码模组中其它各密码运算核心单元。
11.一种电子设备,其特征在于,电子设备包括:处理器和存储器;
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如权利要求1至8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310905122.4A CN116633544B (zh) | 2023-07-21 | 2023-07-21 | 硬件密码模组内多核密钥分级存储与同步方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310905122.4A CN116633544B (zh) | 2023-07-21 | 2023-07-21 | 硬件密码模组内多核密钥分级存储与同步方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116633544A CN116633544A (zh) | 2023-08-22 |
CN116633544B true CN116633544B (zh) | 2023-10-10 |
Family
ID=87590580
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310905122.4A Active CN116633544B (zh) | 2023-07-21 | 2023-07-21 | 硬件密码模组内多核密钥分级存储与同步方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116633544B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104639561A (zh) * | 2015-02-27 | 2015-05-20 | 飞天诚信科技股份有限公司 | 一种安全获取密钥的方法 |
CN107210914A (zh) * | 2015-01-27 | 2017-09-26 | 维萨国际服务协会 | 用于安全凭证供应的方法 |
CN207938293U (zh) * | 2018-03-19 | 2018-10-02 | 南京信息工程大学 | 一种基于fpga的全彩led阵列驱动装置 |
CN111082926A (zh) * | 2019-11-06 | 2020-04-28 | 深圳市东进技术股份有限公司 | 密钥同步方法及系统 |
EP3724799A1 (fr) * | 2017-12-15 | 2020-10-21 | Orange | Technique de protection d'une clé cryptographique au moyen d'un mot de passe utilisateur |
CN115426104A (zh) * | 2022-07-08 | 2022-12-02 | 北京邮电大学 | 量子密钥供应的专有、共享保护方法及相关设备 |
CN115694813A (zh) * | 2022-12-30 | 2023-02-03 | 三未信安科技股份有限公司 | 一种多芯片密钥管理系统 |
CN115809459A (zh) * | 2023-01-18 | 2023-03-17 | 成都卫士通信息产业股份有限公司 | 软件密码模块的数据保护及解密方法、系统、设备及介质 |
CN116232593A (zh) * | 2023-05-05 | 2023-06-06 | 杭州海康威视数字技术股份有限公司 | 多密码模组敏感数据分类分级与保护方法、设备及系统 |
CN116418544A (zh) * | 2021-12-30 | 2023-07-11 | 科大国盾量子技术股份有限公司 | 一种高速加解密引擎及加解密实现方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130028419A1 (en) * | 2011-07-26 | 2013-01-31 | Debabrata Das | System and a method for use in a symmetric key cryptographic communications |
-
2023
- 2023-07-21 CN CN202310905122.4A patent/CN116633544B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107210914A (zh) * | 2015-01-27 | 2017-09-26 | 维萨国际服务协会 | 用于安全凭证供应的方法 |
CN104639561A (zh) * | 2015-02-27 | 2015-05-20 | 飞天诚信科技股份有限公司 | 一种安全获取密钥的方法 |
EP3724799A1 (fr) * | 2017-12-15 | 2020-10-21 | Orange | Technique de protection d'une clé cryptographique au moyen d'un mot de passe utilisateur |
CN207938293U (zh) * | 2018-03-19 | 2018-10-02 | 南京信息工程大学 | 一种基于fpga的全彩led阵列驱动装置 |
CN111082926A (zh) * | 2019-11-06 | 2020-04-28 | 深圳市东进技术股份有限公司 | 密钥同步方法及系统 |
CN116418544A (zh) * | 2021-12-30 | 2023-07-11 | 科大国盾量子技术股份有限公司 | 一种高速加解密引擎及加解密实现方法 |
CN115426104A (zh) * | 2022-07-08 | 2022-12-02 | 北京邮电大学 | 量子密钥供应的专有、共享保护方法及相关设备 |
CN115694813A (zh) * | 2022-12-30 | 2023-02-03 | 三未信安科技股份有限公司 | 一种多芯片密钥管理系统 |
CN115809459A (zh) * | 2023-01-18 | 2023-03-17 | 成都卫士通信息产业股份有限公司 | 软件密码模块的数据保护及解密方法、系统、设备及介质 |
CN116232593A (zh) * | 2023-05-05 | 2023-06-06 | 杭州海康威视数字技术股份有限公司 | 多密码模组敏感数据分类分级与保护方法、设备及系统 |
Non-Patent Citations (1)
Title |
---|
支持高并发的Hadoop高性能加密方法研究;金伟;余铭洁;李凤华;杨正坤;耿魁;;通信学报(12);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116633544A (zh) | 2023-08-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20160036789A1 (en) | Secure host authentication using symmetric key crytography | |
US6240184B1 (en) | Password synchronization | |
AU2014347184B2 (en) | Data protection in a storage system using external secrets | |
US10721062B2 (en) | Utilizing error correction for secure secret sharing | |
CN102138300B (zh) | 消息认证码预计算在安全存储器中的应用 | |
US8555088B2 (en) | Method and apparatus for implementing secure and selectively deniable file storage | |
US10536266B2 (en) | Cryptographically securing entropy for later use | |
US11171774B2 (en) | System for synchronizing a cryptographic key state through a blockchain | |
Miller et al. | Strong security for distributed file systems | |
US11658808B2 (en) | Re-encryption following an OTP update event | |
US20170366527A1 (en) | Method and System for an Efficient Shared-Derived Secret Provisioning Mechanism | |
CN1763684A (zh) | 用于对上下文加密密钥进行备份和恢复的方法和系统 | |
US11803366B2 (en) | Firmware updating system and method | |
WO2020192285A1 (zh) | 一种密钥管理方法、安全芯片、业务服务器及信息系统 | |
CN111737770A (zh) | 一种密钥管理方法及应用 | |
Chamani et al. | Multi-user dynamic searchable symmetric encryption with corrupted participants | |
US20200396054A1 (en) | Secure Memory Read | |
US20140173280A1 (en) | Device authentication | |
CN116633544B (zh) | 硬件密码模组内多核密钥分级存储与同步方法及装置 | |
CN110569669B (zh) | 一种面向云存储的数据可信销毁方法及其系统 | |
GB2596585A (en) | Integrity tree for memory security | |
CN116011041A (zh) | 密钥管理方法、数据保护方法、系统、芯片及计算机设备 | |
CN110457924A (zh) | 存储数据保护方法及装置 | |
CN114448794B (zh) | 一种基于芯片可信根对固件进行安全升级的方法及装置 | |
CN113383335A (zh) | 数据存储设备事件的安全日志记录 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |