一种密钥备份恢复方法、系统及其相关设备的制造方法

文档序号:10572474阅读:169来源:国知局
一种密钥备份恢复方法、系统及其相关设备的制造方法
【专利摘要】本发明涉及一种密钥备份恢复方法、系统及其相关设备,其中一种密钥备份方法,其应用于PCI密码卡中,包括:A1,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;A2,将备份密钥进行分割和加密处理,将处理后的备份密钥导入远程管理介质中进行保存。本发明提出新的密钥备份恢复机制,基于密码算法签名验证机制和共享分割算法实现,安全可靠。备份恢复过程中验证角色身份,备份密钥共享分割,密钥信息使用备份密钥加密存储,PCI密码卡内的密钥信息可以安全有保障的备份及恢复。
【专利说明】
一种密钥备份恢复方法、系统及其相关设备
技术领域
[0001]本发明涉及一种密钥备份恢复方法、系统及其相关设备,尤其涉及一种密钥备份方法及系统、恢复备份方法、PCI密码卡和远程管理介质。
【背景技术】
[0002]国产商用密码产品的开发和应用距今已有十多年的历史,国内商用密码技术也有了较大发展,集成电路在密码技术方面的应用也取得了长足的进步。国产密码芯片的出现和发展为商用密码技术硬件化提供了基础和保障,有效提高了密码设备的处理能力和安全性。
[0003]商用对称密码体系方面,我国发布了 SSF33,SM1,SM4等商用密码算法以及相应的算法处理芯片,并且已经得到了广泛的应用。公钥算法基本还是RSA-2048独撑局面,但随着计算机技术的飞速发展,已经有越来越多的人开始担忧RSA-2048算法的安全性问题。
[0004]1985年有人提出了利用椭圆曲线上离散对数代替有限域上离散对数,即椭圆曲线密码体制。椭圆曲线密码体制ECC是基于有限域上椭圆曲线的离散对数计算的困难性,具有较RSA-2048更高的安全强度,并且椭圆曲线算法的实现比RSA-2048算法要快得多。在美国,基于ECC的ECDSA签名算法早在1999年成为ANSI标准,支持国产ECC标准SM2椭圆曲线算法的芯片是在2008年出现,2009年开始有KEY、PCI密码卡、密码机等产品出现,同时国家密码管理局组织相关成员单位搭建CA试验系统。这说明国内ECC应用条件已经逐渐成熟,并且在有些封闭系统中已经开始部署。
[0005]目前PKI已经是密码应用的基础,在许多的行业和领域内都离不开PKI的支持与保障,当前的PKI体系基本正在从RSA-2048算法向SM2公钥算法过渡。PCI密码卡做为最底层的硬件加密模块,这场变革首当其冲。
[0006]目前的PCI密码卡的权限控制大多基于对称算法的体制,基于PCI密码卡硬件连接智能IC卡片或USB key的模式,这种应用模式越发的满足不了客户的应用需求。如:安装PCI密码卡的服务器机房,距离工作岗位较远,每次对PCI密码卡进行管理时,都要过去插接IC卡片或USB key十分的不方便且将来支持虚拟化的PCI密码卡会出现,应用PCI密码卡的用户可能在外地,因此随着技术的不断变革这种基于对称算法管理机制和硬件连接PCI密码卡的权限控制模式将会被淘汰。

【发明内容】

[0007]本发明所要解决的技术问题是提供一种基于密码算法签名验证机制和共享分割算法实现的,安全可靠的密钥备份方法及系统、恢复备份方法、PCI密码卡和远程管理介质。
[0008]本发明解决上述技术问题的技术方案如下:一种密钥备份方法,其应用于PCI密码卡中,包括:
[0009]Al,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;
[0010]A2,将备份密钥进行分割和加密处理,将处理后的备份密钥导入远程管理介质中进行保存。
[0011]本发明的有益效果是:本发明提出新的密钥备份恢复机制,基于密码算法签名验证机制和共享分割算法实现,安全可靠。备份恢复过程中验证角色身份,备份密钥共享分害J,密钥信息使用备份密钥加密存储,PCI密码卡内的密钥信息可以安全有保障的备份及恢复。
[0012]在上述技术方案的基础上,本发明还可以做如下改进。
[0013]进一步,所述备份密钥为PCI密码卡随机生成的多个字节的随机数。
[0014]采用上述进一步方案的有益效果是,通过PCI密码卡随机生成的多个字节的随机数作为备份密钥,使备份密钥更具随机性,更难以破解。
[0015]进一步,所述备份密钥分割采用共享分割算法进行分割,将所述备份密钥分割成三部分,得到三个子备份密钥。
[0016]采用上述进一步方案的有益效果是,分割后得到的多个子备份密钥之间可存在交叉的内容,保证只要得到至少两个子备份密钥就可以恢复全部备份密钥。
[0017]进一步,所述对备份密钥的加密具体包括:采用远程管理介质发送的密钥公钥对所有子备份密钥分别加密。
[0018]采用上述进一步方案的有益效果是,通过远程管理介质发送的密钥对中的公钥对子备份密钥进行加密,可以与远程管理介质建立关联,便于远程管理介质对子备份密钥进行管理。
[0019]本发明解决上述技术问题的技术方案如下:一种密钥备份方法,其应用于远程管理介质中,包括:
[0020]BI,生成包括公钥和私钥的密钥对,将密钥对中的密钥公钥发送到PCI密码卡,私钥保存在远程管理介质中;
[0021 ] B2,接收PCI密码卡发送的所有子备份密钥并保存。
[0022]本发明解决上述技术问题的技术方案如下:一种PCI密码卡,其具有备份功能,包括:备份模块和分割加密模块;
[0023]所述备份模块,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;
[0024]所述分割加密模块,备份密钥经过分割和加密导入远程管理介质中进行保存。
[0025]本发明的有益效果是:本发明提出的具有备份功能的PCI密码卡,当需要对用户密钥备份时,自动生成备份密钥对用户密钥进行加密后导出,而对备份密钥进行处理后导入远程管理介质,使用户密钥的安全得到更妥善的保护,想要得到用于密钥必须结合远程管理介质和PCI密码卡才能解密。
[0026]本发明解决上述技术问题的技术方案如下:一种远程管理介质,包括:公钥发送模块和存储模块;
[0027]所述公钥发送模块,生成包括公钥和私钥的密钥对,将密钥对中的公钥发送到PCI密码卡,私钥保存在远程管理介质中;
[0028]所述存储模块,接收PCI密码卡发送的所有子备份密钥并保存。
[0029]本发明的有益效果是:本发明提出的远程管理介质在密钥备份的过程中一方面提供了加密的公钥,另一个功能是存储加密后的子备份密钥,使密文用户密钥与备份密钥相互分离,加强了对用户密钥的保护。
[0030]本发明解决上述技术问题的技术方案如下:一种恢复备份方法,其应用于PCI密码卡中,具体包括以下步骤:
[0031]Cl:接收密文用户密钥,调用远程管理介质中保存的至少两个子备份密钥,并分别对所述子备份密钥进行解密,得到多个解密后的子备份密钥;
[0032]C2:对解密后的多个子备份密钥进行合成,得到备份密钥;
[0033]C3:根据备份密钥对密文用户密钥进行解密得到用户密钥。
[0034]本发明的有益效果是:本发明提出新的密钥备份恢复机制,基于密码算法签名验证机制和共享分割算法实现,安全可靠。备份恢复过程中验证角色身份,备份密钥共享分害J,密钥信息使用备份密钥加密存储,PCI密码卡内的密钥信息可以安全有保障的备份及恢复。
[0035]在上述技术方案的基础上,本发明还可以做如下改进。
[0036]进一步,所述Cl中采用远程管理介质发送的密钥公钥对所有子备份密钥分别解
LU O
[0037]本发明解决上述技术问题的技术方案如下:一种PCI密码卡,包括:调用模块、合成模块和解密模块;
[0038]所述调用模块,接收密文用户密钥,调用远程管理介质中保存的至少两个子备份密钥,并分别对所述子备份密钥进行解密,得到多个解密后的子备份密钥;
[0039]所述合成模块,对解密后的多个子备份密钥进行合成,得到备份密钥;
[0040]所述解密模块,根据备份密钥对密文用户密钥进行解密得到用户密钥。
[0041]本发明的有益效果是:本发明提出的具有备份恢复功能的PCI密码卡,通过调用远程管理介质中大部分的子备份密钥,即可通过解密和合成得到备份密钥,得到备份密钥即可对密文用户密钥进行解密。
【附图说明】
[0042]图1为本发明实施例1所述的一种密钥备份方法流程图;
[0043]图2为本发明实施例2所述的一种密钥备份方法流程图;
[0044]图3为本发明实施例3所述的一种PCI密码卡结构示意图;
[0045]图4为本发明实施例4所述的一种远程管理介质结构示意图;
[0046]图5为本发明实施例5所述的一种恢复备份方法流程图。
[0047]附图中,各标号所代表的部件列表如下:
[0048]丨、备份模块,2、分割加密模块,3、公钥发送模块,4、存储模块。
【具体实施方式】
[0049]以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
[0050]如图1所示,为本发明实施例1所述的一种密钥备份方法,其应用于PCI密码卡中,包括:
[0051]Al,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;
[0052]A2,将备份密钥进行分割和加密处理,将处理后的备份密钥导入远程管理介质中进行保存。
[0053]所述备份密钥为PCI密码卡随机生成的多个字节的随机数。通过PCI密码卡随机生成的多个字节的随机数作为备份密钥,使备份密钥更具随机性,更难以破解。
[0054]所述备份密钥分割采用共享分割算法进行分割,将所述备份密钥分割成三部分,得到三个子备份密钥。分割后得到的多个子备份密钥之间可存在交叉的内容,保证只要得到两个子备份密钥就可以恢复全部备份密钥。
[0055]本发明中采用的共享分割算法指:准确名称为(2,3)秘密分割门限方案,将备份密钥分成3部分,分割的3部分信息都成为备份密钥影子,只有2个或2个以上密钥影子可以重构备份密钥。重构时没有顺序要求。
[0056]所述对备份密钥的加密具体包括:采用远程管理介质发送的密钥公钥对所有子备份密钥分别加密。通过远程管理介质发送的密钥对中的公钥对子备份密钥进行加密,可以与远程管理介质建立关联,便于远程管理介质对子备份密钥进行管理。
[0057]如图2所示,为本发明实施例2所述的一种密钥备份方法,其应用于远程管理介质中,其特征在于,包括:
[0058]BI,生成包括公钥和私钥的密钥对,将密钥对中的密钥公钥发送到PCI密码卡,私钥保存在远程管理介质中;
[0059]B2,接收PCI密码卡发送的所有子备份密钥并保存。
[0060]如图3所示,为本发明实施例3所述的一种PCI密码卡,其具有备份功能,包括:备份模块I和分割加密模块2;
[0061]所述备份模块I,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;
[0062]所述分割加密模块2,备份密钥经过分割和加密导入远程管理介质中进行保存。
[0063]所述备份密钥为PCI密码卡随机生成的多个字节的随机数。
[0064]所述备份密钥分割采用共享分割算法进行分割,将所述备份密钥分割成三部分,得到三个子备份密钥。
[0065]所述对备份密钥的加密具体包括:采用远程管理介质发送的密钥公钥对所有子备份密钥分别加密。
[0066]如图4所示,为本发明实施例4所述的一种远程管理介质,包括:公钥发送模块3和存储模块4;
[0067]所述公钥发送模块3,生成包括公钥和私钥的密钥对,将密钥对中的公钥发送到PCI密码卡,私钥保存在远程管理介质中,PCI密码卡采用接收的公钥对所有子备份密钥分别加;
[0068]所述存储模块4,接收PCI密码卡加密的所有子备份密钥并保存。
[0069]如图5所示,为本发明实施例5所述的一种恢复备份方法,其应用于PCI密码卡中,具体包括以下步骤:
[0070]Cl:接收密文用户密钥,调用远程管理介质中保存的至少两个子备份密钥,并分别对所述子备份密钥进行解密,得到多个解密后的子备份密钥;
[0071 ] C2:对解密后的多个子备份密钥进行合成,得到备份密钥;
[0072]C3:根据备份密钥对密文用户密钥进行解密得到用户密钥。
[0073]所述Cl中采用远程管理介质发送的密钥公钥对所有子备份密钥分别解密。
[0074]本发明对应恢复备份方法的一种PCI密码卡,包括:调用模块、合成模块和解密模块;
[0075]所述调用模块,接收密文用户密钥,调用远程管理介质中保存的至少两个子备份密钥,并分别对所述子备份密钥进行解密,得到多个解密后的子备份密钥;
[0076]所述合成模块,对解密后的多个子备份密钥进行合成,得到备份密钥;
[0077]所述解密模块,根据备份密钥对密文用户密钥进行解密得到用户密钥。
[0078]本发明提出的具有备份恢复功能的PCI密码卡,通过调用远程管理介质中大部分的子备份密钥,即可通过解密和合成得到备份密钥,得到备份密钥即可对密文用户密钥进行解密。
[0079]在本发明具体示例中,备份时,PCI密码卡内部产生16字节随机数作为备份密钥。备份密钥使用对称算法将用户密钥加密导出PCI密码卡。PCI密码卡采用共享分割算法将备份密钥分割为三部分,得到三个子备份密钥,恢复时使用其中两个子备份密钥就可以恢复备份密钥。在新的备份机制中备份密钥的三个子备份密钥使用远程管理介质导入的SM2密钥公钥加密导出,子备份密钥密文存储在远程管理介质中。远程管理介质标配有三个管理员和一个操作员四个角色,因此可以存放三个子备份密钥。
[0080]恢复时,主要工作是合成备份密钥,解密密文用户密钥并将用户密钥恢复至待恢复的PCI密码卡中。PCI密码卡自身携带签名密钥对,而远程管理介质支持输入PCI密码卡签名密钥公钥将密文备份密钥分量转加密的功能,待恢复的PCI密码卡接收到转加密的子备份密钥后使用签名密钥对私钥解密两个备份密钥分量后合成备份密钥,最后解密用户密钥。
[0081]客户调用应用层接口对PCI密码卡进行管理和访问,管理功能首先是初始化功能,初始化功能为建立通讯协议做准备,主要生成了用来标识PCI密码卡身份的SM2签名密钥对。根据通讯协议要求每个远程管理介质产生一个标明管理身份的SM2密钥对(标配三个管理员和一个操作员),PCI密码卡导入管理员和操作员的SM2密钥对公钥,SM2密钥对私钥由客户管理介质保存及维护。
[0082]初始化工作完成后可以进行正常的PCI密码卡远程管理操作,应用层接口提供了管理员登陆、操作员登陆、权限登出、备份、恢复等一系列的接口供客户调用并管理PCI密码卡。应用层接口与PCI密码卡通讯并根据通讯协议命令格式封装数据包,启动通讯协议并与远程管理介质通讯。远程管理介质由客户选择和操作,主要是根据通讯协议命令格式解析数据包,响应处理并按照通讯协议命令格式封装数据包并发送给PCI密码卡的应用层接口。PCI密码卡应用层接口解析数据包,校验会话身份号、验证SM2签名值等操作通过后,PCI密码卡确定来自远程管理操作可信并执行相应的管理功能。如管理员登陆功能,则设置PCI密码卡为管理员登陆成功状态;如备份功能,则产生备份密钥、共享分割备份密钥、加密备份密钥分量、加密用户密钥等操作。操作完成后PCI密码卡会将会话身份号清零,应用层接口则关闭通讯协议。
[0083]以上实施过程在实际PCI密码卡硬件上进行了验证,并取得成功。本发明的新型PCI密码卡软件系统解决了 PCI密码卡支持虚拟化权限管理及密钥管理安全性问题,可以对PCI密码卡进行远程管理,提供的开发接口开放且灵活客户可以自主实现对PCI密码卡的管理。
[0084]以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种密钥备份方法,其应用于PCI密码卡中,其特征在于,包括: Al,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡; A2,将备份密钥进行分割和加密处理,将处理后的备份密钥导入远程管理介质中进行保存。2.根据权利要求1所述的一种密钥备份方法,其特征在于,所述备份密钥为PCI密码卡随机生成的多个字节的随机数。3.根据权利要求1所述的一种密钥备份方法,其特征在于,所述备份密钥分割采用共享分割算法进行分割,将所述备份密钥分割成三部分,得到三个子备份密钥。4.根据权利要求3所述的一种密钥备份方法,其特征在于,所述对备份密钥的加密具体包括:采用远程管理介质发送的密钥公钥对所有子备份密钥分别加密。5.一种密钥备份方法,其应用于远程管理介质中,其特征在于,包括: BI,生成包括公钥和私钥的密钥对,将密钥对中的密钥公钥发送到PCI密码卡,私钥保存在远程管理介质中; B2,接收PCI密码卡发送的所有子备份密钥并保存。6.一种PCI密码卡,其具有备份功能,其特征在于,包括:备份模块和分割加密模块; 所述备份模块,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡; 所述分割加密模块,备份密钥经过分割和加密导入远程管理介质中进行保存。7.一种远程管理介质,其特征在于,包括:公钥发送模块和存储模块; 所述公钥发送模块,生成包括公钥和私钥的密钥对,将密钥对中的密钥公钥发送到PCI密码卡,私钥保存在远程管理介质中; 所述存储模块,接收PCI密码卡发送的所有子备份密钥并保存。8.一种恢复备份方法,其应用于PCI密码卡中,其特征在于,具体包括以下步骤: Cl:接收密文用户密钥,调用远程管理介质中保存的至少两个子备份密钥,并分别对所述子备份密钥进行解密,得到多个解密后的子备份密钥; C2:对解密后的多个子备份密钥进行合成,得到备份密钥; C3:根据备份密钥对密文用户密钥进行解密得到用户密钥。9.根据权利要求8所述的一种恢复备份方法,其特征在于,所述Cl中采用远程管理介质发送的密钥公钥对所有子备份密钥分别解密。10.一种PCI密码卡,其特征在于,包括:调用模块、合成模块和解密模块; 所述调用模块,接收密文用户密钥,调用远程管理介质中保存的至少两个子备份密钥,并分别对所述子备份密钥进行解密,得到多个解密后的子备份密钥; 所述合成模块,对解密后的多个子备份密钥进行合成,得到备份密钥; 所述解密模块,根据备份密钥对密文用户密钥进行解密得到用户密钥。
【文档编号】H04L29/06GK105933113SQ201610410914
【公开日】2016年9月7日
【申请日】2016年6月13日
【发明人】桑洪波
【申请人】北京三未信安科技发展有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1