专利名称:一种增强对称密钥体系安全性的密钥分散方法
技术领域:
本发明涉及信息安全密码技术领域,尤其涉及一种增强对称密钥体系安全性的密钥分散方法。
背景技术:
密码技术是信息安全的基础技术,密钥则是密码技术安全应用的基础和信息化安全的核心元素。随着我国信息化产业的高速全面发展,基于对称密钥体系的密钥管理系统也进入全面的建设阶段,对称密钥体系中密钥的衍生过程面临着越来越严格的技术要求。当前传统的对称密钥体系中使用的密钥主要是利用密码设备产生若干条密钥数据,并将若干条密钥数据作为系统中使用的密钥数据。上述过程中密钥数据产生过程单一, 没有对密钥数据本身进行衍生变换处理,密钥数据产生过程过于简单,不利于多级密钥管理体系中密钥数据的传递和使用,存在一定的安全隐患。对称密钥体系中较为复杂的密钥分散技术通常采用自行实现密钥分散衍生算法,利用多个分散因子完成密钥分散操作。密钥分散技术相对复杂和繁琐,自身实现的分散衍生算法安全性不能得到保障;分散过程中参与的分散因子数量众多,不利于密钥分散的可操作性。另外,通过上述密钥分散技术,可能会导致相同的密钥和分散因子衍生出不同的密钥,或者不同的密钥和分散因子衍生出相同的密钥,因此存在较大的安全隐患。
发明内容
本发明的目的是提供一种增强对称密钥体系安全性的密钥分散方法,解决上述密钥衍生变换过程中存在的安全风险,提高密钥衍生变换过程的安全性,符合当前对称密钥体系的密钥衍生变换的相关要求。为实现上述目的,本发明采取以下技术方案一种增强对称密钥体系安全性的密钥分散方法,包括以下步骤步骤(I),在一级密钥管理系统中分别注入二级分散因子;步骤(2),一级密钥管理系统利用国家标准算法,用指定的密钥对二级分散因子进行分散运算,得到二级密钥管理系统的密钥数据。优选步骤在所述的步骤(2)后,加入以下步骤
步骤(a),在二级密钥管理系统中注入三级分散因子;
步骤(b),二级密钥管理系统利用国家标准算法,用指定的密钥对三级分散因子进行分散运算,得到三级密钥管理系统的密钥数据。优选步骤步骤(b)后,再加入四级及以上密钥管理系统并注入四级及以上分散因子,执行相应步骤。优选步骤注入各级分散因子的方法为采用码单或者IC卡。优选步骤码单方式直接输入各级分散因子,IC卡方式需要输入IC卡PIN码并读取各级分散因子,完成各级分散因子的注入。优选步骤在得到各级密钥管理系统的密钥数据后,采用门限机制方式对密钥分散后的各级密钥管理系统的密钥数据进行备份。优选步骤各级密钥管理系统将密钥数据分割成5份,并安全存储到5张不同的IC卡中,受IC卡PIN码保护;其中任意3张IC卡即可进行密钥还原操作。综上所述,由于采用了上述技术方案,本发明的具体有益效果是
1、密钥分散方法采用国家标准算法(SMl分组密码算法)进行密钥分散运算,密钥分散运算过程安全性高、可靠性强;
2、密钥分散方法引入分散因子,将分散因子参与到密钥分散过程中,避免了单一密钥数据直接作为密钥的安全隐患,具有较高的实用性;
3、密钥分散方法通过指定密钥,利用不同的分散因子,可以逐层对密钥进行分散运算,得到若干条分散后的密钥数据,分散产生过程层层相扣、过程严密,具有较高的安全性;
4、相同的密钥数据,不同的分散因子,可以分散出若干条不同的密钥数据,满足不同应用系统对密钥数据的不同需求,具有广泛的适应性;
5、密钥分散方法支持多层密钥管理体系,满足逐层保护、专钥专用原则,具有明显的自身优势;
6、分散因子是密钥分散过程中重要参与者,用户可以根据实际情况按照规则自行定义分散因子,并采用码单或IC卡的形式注入分散因子,避免了纯手工方式注入分散因子带来的安全隐患,增强了分散因子注入过程的安全性;
7、采用门限机制(Mof N)5分3合的方式对密钥分散后的密钥数据进行备份,确保了密钥备份过程的安全性,提升了密钥分散方法的整体安全。总而言之,采用本发明技术,可通过指定密钥对不同的分散因子进行分散运算,得到若干条不同的密钥数据。该方法避免了随机数直接作为密钥的单一衍生变换方式,提供了多元化的密钥衍生变换方式,增强了密钥衍生变换过程的安全性,降低了系统设计、开发和使用的难度,提升了系统的易用性和可维护性。
本发明将通过例子并参照附图的方式说明,其中
图I是密钥分散过程示意图。
具体实施例方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。步骤(I),在一级密钥管理系统分散因子管理中,用户采用码单或IC卡的方式分别注入、多份不同的二级分散因子;
步骤(2),码单方式直接输入二级分散因子,IC卡方式需要输入IC卡PIN码并读取二级分散因子,完成二级分散因子注入;
步骤(3),一级密钥管理系统利用国家标准算法(SMl分组密码算法),用指定的密钥对二级分散因子进行分散运算,得到二级密钥管理系统密钥数据;
步骤(4),采用门限机制(M of N)5分3合方式对密钥分散后的二级密钥管理系统密钥数据进行备份。系统将密钥数据分割成5份,并安全存储到5张不同的IC卡中,受IC卡PIN码保护;其中任意3张IC卡即可进行密钥还原操作;
步骤(5),在终极密钥管理系统分散因子管理中,用户采用码单或IC卡的方式分别注入、多份不同的业务分散因子;
步骤¢),终极钥管理系统利用国家标准算法(SMl分组密码算法),用指定的密钥对业务分散因子进行分散运算,得到业务密钥数据;
步骤(7),采用门限机制(M of N) 5分3合方式对密钥分散后的业务密钥数据进行备份。系统将密钥数据分割成5份,并安全存储到5张不同的IC卡中,受IC卡PIN码保护;其中任意3张IC卡即可进行密钥还原操作。·另外,可根据实际应用情况,扩展密钥管理体系的层次和级数。密钥分散过程需要用户输入不同层次或级别的分散因子,系统利用指定的密钥对分散因子进行分散运算,得到不层次或级别的密钥数据。图I是密钥分散过程示意图。各关键过程详细说明如下
1.在一级密钥管理系统分散因子管理中,用户采用码单或IC卡的方式分别注入、多份不同的二级分散因子;
2.码单方式直接输入二级分散因子,IC卡方式需要输入IC卡PIN码并读取二级分散因子,完成二级分散因子注入;
3.—级密钥管理系统利用国家标准算法(SMl分组密码算法),用指定的密钥对二级分散因子进行分散运算,得到二级密钥管理系统密钥数据;
4.采用门限机制(Mof N)5分3合方式对密钥分散后的二级密钥管理系统密钥数据进行备份。系统将密钥数据分割成5份,并安全存储到5张不同的IC卡中,受IC卡PIN码保护;其中任意3张IC卡即可进行密钥还原操作;
5.在二级密钥管理系统分散因子管理中,用户采用码单或IC卡的方式分别注入、多份不同三级分散因子;
6.码单方式直接输入三级分散因子,IC卡方式需要输入IC卡PIN码并读取三级分散因子,完成三级分散因子注入;
7.二级密钥管理系统利用国家标准算法(SMl分组密码算法),用指定的密钥对三级分散因子进行分散运算,得到三级密钥管理系统密钥数据;
8.采用门限机制(Mof N)5分3合方式对密钥分散后的三级密钥管理系统密钥数据进行备份。系统将密钥数据分割成5份,并安全存储到5张不同的IC卡中,受IC卡PIN码保护;其中任意3张IC卡即可进行密钥还原操作;
9.在三级密钥管理系统分散因子管理中,用户采用码单或IC卡的方式分别注入、多份不同的业务分散因子;
10.三级密钥管理系统利用国家标准算法(SMl分组密码算法),用指定的密钥对业务分散因子进行分散运算,得到业务密钥数据(具体业务系统需要使用的密钥数据);
11.采用门限机制(Mof N)5分3合方式对密钥分散后的业务密钥数据进行备份。系统将密钥数据分割成5份,并安全存储到5张不同的IC卡中,受IC卡PIN码保护;其中任意3张IC卡即可进行密钥还原操作;
12.可根据实际应用情况,完成多级密钥管理系统的密钥分散操作。另外,SMl分组密码算法是由国家密码管理局编制的一种商用密码分组标准对称算法。该算法是国家密码管理部门审批的SMl分组密码算法,分组长度和密钥长度都为128比特,算法安全保密强度及相关软硬件实现性能与AES相当,该算法不公开,仅以IP核的形式存在于芯片中。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、力口密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域。分散因子是密钥管理系统的核心元素,密钥的产生均依赖于分散因子与原始密钥进行分散运算。分散因子就是一组与编号对应的规则数据(16位O F的字符,组成8或16 字节的 16 进制数),例如2E14AD956BC78DF6 或 C1925BE14AD4AD9E6D95F14A26D95E4A。分散因子采用不同的分散因子编制规则进行产生,各级分散因子的具体内容可自行定义,·并由专人进行录入和管理。分散因子可以安全的存储在码单或IC卡中,解决了分散因子的安全存储问题。采用码单(密码信封)方式注入分散因子时,需要专人输入码单中的分散因子;采用IC卡方式注入分散因子时,需要输入IC卡PIN码,并从IC卡中读取分散因子,完成分散因子的注入操作。本发明并不局限于前述的具体实施方式
。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
权利要求
1.一种增强对称密钥体系安全性的密钥分散方法,其特征在于,包括以下步骤 步骤(I),在一级密钥管理系统中分别注入二级分散因子; 步骤(2),一级密钥管理系统利用国家标准算法,用指定的密钥对二级分散因子进行分散运算,得到二级密钥管理系统的密钥数据。
2.根据权利要求I所述的一种增强对称密钥体系安全性的密钥分散方法,其特征在于在所述的步骤(2)后,加入以下步骤 步骤(a),在二级密钥管理系统中注入三级分散因子; 步骤(b),二级密钥管理系统利用国家标准算法,用指定的密钥对三级分散因子进行分散运算,得到三级密钥管理系统的密钥数据。
3.根据权利要求2所述的一种增强对称密钥体系安全性的密钥分散方法,其特征在于步骤(b)后,再加入四级及以上密钥管理系统并注入四级及以上分散因子,执行相应步骤。
4.根据权利要求I或2或3所述的一种增强对称密钥体系安全性的密钥分散方法,其特征在于注入各级分散因子的方法为采用码单或者IC卡。
5.根据权利要求4所述的一种增强对称密钥体系安全性的密钥分散方法,其特征在于码单方式直接输入各级分散因子,IC卡方式需要输入IC卡PIN码并读取各级分散因子,完成各级分散因子的注入。
6.根据权利要求I或2或3所述的一种增强对称密钥体系安全性的密钥分散方法,其特征在于在得到各级密钥管理系统的密钥数据后,采用门限机制方式对密钥分散后的各级密钥管理系统的密钥数据进行备份。
7.根据权利要求6所述的一种增强对称密钥体系安全性的密钥分散方法,其特征在于各级密钥管理系统将密钥数据分割成5份,并安全存储到5张不同的IC卡中,受IC卡PIN码保护;其中任意3张IC卡即可进行密钥还原操作。
全文摘要
本发明公开了一种增强对称密钥体系安全性的密钥分散方法,涉及信息安全密码技术领域,包括以下步骤步骤(1),在一级密钥管理系统中分别注入二级分散因子;步骤(2),一级密钥管理系统利用国家标准算法,用指定的密钥对二级分散因子进行分散运算,得到二级密钥管理系统的密钥数据。本发明的有益效果在于采用本发明,可通过指定密钥对不同的分散因子进行分散运算,得到若干条不同的密钥数据。该方法避免了随机数直接作为密钥的单一衍生变换方式,提供了多元化的密钥衍生变换方式,增强了密钥衍生变换过程的安全性。
文档编号H04L9/08GK102946311SQ20121049196
公开日2013年2月27日 申请日期2012年11月28日 优先权日2012年11月28日
发明者李元正, 廖成军, 帅军军 申请人:成都卫士通信息产业股份有限公司