专利名称:一种根密钥的产生方法
技术领域:
本发明属于信息安全密码技术领域,其涉及一种满足电力行业用电信息密钥管理系统需求的根密钥产生方法。
背景技术:
密码技术是信息安全的基础技术,密钥则是密码技术安全应用的基础和信息化安全的核心元素。随着我国信息化产业的高速全面发展,电力行业用电信息采集系统也进入全面的建设阶段,密钥管理系统中根密钥的产生过程面临着越来越严格的技术要求。当前传统的密钥管理系统中根密钥的产生过程主要是利用密码设备产生一组随机数,并将随机数作为系统的根密钥。上述过程中随机数数量单一,没有对随机数本身进行变换处理,根密钥产生过程过于简单,存在一定的安全隐患。另外,此过程没有考虑密钥的备份与恢复机制,缺乏一定的实用性,在实际应用中不能满足用户的真正需求。
发明内容
为了解决根密钥产生过程中存在的安全风险,提高根密钥产生过程的安全性,充分考虑密钥产生、备份与恢复等生命周期的全过程管理要求,结合电力公司用电信息密钥系统根密钥产生、备份与恢复的重要性,本发明提出了一种满足电力行业用电信息密钥管理系统需求的根密钥产生方法(1)采用多个真随机数分量循环加密的方式产生最终的根密钥,其实现过程如下第一次加密过程^k(P1) = C1其中E为加密算法;K为密钥,即1#随机数A为明文,即2#随机数K1为密文,即加密运算的结果;循环加密过程(Pn) = Cn其中E为加密算法;Cfrl)为本次运算的密钥,即第N-I次加密运算的结果);PN为明文,即爾随机数;CN为密文,即第N次加密运算的结果);以最后一次加密运算的结果,也即密文作为最终的根密钥;(2)采用伪随机数参与和M of N(M<N)编码技术,进行密钥的备份与恢复;所述 M of N编码技术是采用插值定理将需要保护的信息隐藏在N份数据中,其中任意取出M份数据即可恢复原隐藏的信息。其中,还包括(1)使用密码机硬件随机数发生器产生N组真随机数,SP 1#随机数、2#随机数.....■随机数;(2) 1#随机数采用逻辑运算与数据加密方式对2#随机数进行加密,得到密文 Datal ;
(3)使用密文Datal采用逻辑运算与数据加密方式对2#随机数进行加密,得到密 JC Data2 ;(4)采用步骤3的方式循环重复进行N次,产生密文数据DataN-I ;(5)使用密文DataN-I采用逻辑运算与数据加密方式对N#随机数进行加密,得到密文DataN ;(6)密文DataN最后被保存在密码机中作为根密钥。其中,还包括(I)N组随机数均为密码机硬件随机数发生器产生的N组真随机数,这N组真随机数作为根密钥产生的密钥数据满足根密钥产生的要求;(2)这N组随机数在产生根密钥的整个过程中均在密码机中进行,明文数据和运算过程数据均不出密码机,满足根密钥的安全性要求。其中,还包括分别由用户输入N组伪随机数,分别用于对密码机产生的N组真随机数进行加密备份,将密文数据存储在密钥介质中,便于密钥的恢复;其中,还包括(1)采用M of N编码技术对产生的根密钥进行分段保护与备份,并将这N段密文数据备份到N个密钥介质中进行存储;(2)当需要进行密钥恢复时,只需要将这N份密钥介质中凑足任何M份密文数据就可恢复该密钥;(3)该密钥备份与恢复机制为异地密钥备份与恢复机制,即将这N份密钥介质分别保存在N个地市进行保存,当需要恢复时,凑足任意M份即可恢复该密钥。其中,还包括(1)用户输入1#伪随机数,调用密码机随机数发生器产生1#真随机数;(2)用1#伪随机数加密保护1#真随机数,备份产生1#备份密钥分量保存到密钥介质中进行保存;(3)用户输入2#伪随机数,调用密码机随机数发生器产生2#真随机数;(4)用2#伪随机数加密保护2#真随机数,备份产生2#备份密钥分量保存到密钥介质中进行保存;(5)用1#真随机数与2#真随机数进行逻辑运算与数据加密的方法产生密文数据 Datal ;(6)用户输入3#伪随机数,调用密码机随机数发生器产生3#真随机数;(7)用3#伪随机数加密保护3#真随机数,备份产生3#备份密钥分量保存到密钥介质中进行保存;(8)用密文数据Datal与3#真随机数进行逻辑运算与数据加密的方法产生密文数据 Data2 ;(9)采用步骤6 8的方式,重复进行N次,产生N#备份密钥分量和密文数据 DataN-Ι,其中N为自然数;(10)用户输入·伪随机数,调用密码机随机数发生器产生■真随机数;(11)用N#伪随机数加密保护N#真随机数,备份产生N#备份密钥分量保存到密钥介质中进行保存;(12)用密文数据DataN-I与爾真随机数进行逻辑运算与数据加密的方法产生密文数据作为根密钥;(13)对根密钥采用M of N编码技术将根密钥进行片段编码分为N份,分段保存在 N份密钥介质中保存;(14)当需要密钥恢复时,使用N份编码中的任意M段即可以恢复该根密钥。本发明的有益效果是1.根密钥产生过程中涉及多个密钥数据(真随机数),避免了单一密钥数据作为根密钥的安全隐患,具有较高的实用性;2.根密钥产生采用逻辑运算与循环加密方式产生最终的根密钥,产生过程环环相扣、层次严密,具有较高的安全性;3.根密钥产生过程中,密钥分量及密钥分量的运算均在密码机内部进行,提高了密钥密钥的安全性,降低了密钥泄露风险;4.采用伪随机数加密保护真随机数,进行密钥分量的备份与保护,提供密钥的本地备份与恢复机制;5.采用M of N编码技术,对最后产生的根密钥进行分散备份保护,提供密钥的异地备份与恢复机制;6.根密钥产生方法符合当前主流的密钥管理系统根密钥产生方式,具有广泛的适应性;7.该根密钥的产生过程,用户参与性强,采用了多种密钥保护、备份与恢复机制, 具有更广泛的实用性,能够真正的满足电力行业用电信息密钥管理系统需求的根密钥产生要求。
为了使本发明的内容被更清楚的理解,并便于具体实施方式
的描述,下面给出与本发明相关的
如下图1是根密钥产生过程示意图。根密钥产生的来源是N个密钥分量(真随机数), 利用逻辑运算与数据加密的方法对N个密钥分量(真随机数)进行循环加密操作,得到最终的根密钥数据。在根密钥的产生过程中使用伪随机数对每个密钥分量(真随机数)进行逻辑运算与加密保护,进行密钥分量的备份;同时又采用M of N编码技术对产生的根密钥进行分段备份保护,进行根密钥的备份。
具体实施例方式根密钥的产生过程需要用户输入伪随机数与密码机产生真随机数交互进行,生成根密钥的同时进行密钥分量的备份,采用逻辑运算与循环加密的方式得到最终的根密钥, 最后再将得到的根密钥采用M of N编码技术对产生的根密钥进行分段备份保护,最终完成根密钥产生过程。根密钥产生关键过程详细说明如下
1.用户输入1#伪随机数,调用密码机随机数发生器产生1#真随机数;2.用1#伪随机数加密保护1#真随机数,备份产生1#备份密钥分量保存到密钥介质中进行保存。3.用户输入2#伪随机数,调用密码机随机数发生器产生2#真随机数;4.用2#伪随机数加密保护2#真随机数,备份产生2#备份密钥分量保存到密钥介质中进行保存。5.用1#真随机数与2#真随机数进行逻辑运算与数据加密的方法产生密文数据 Datal ;6.用户输入3#伪随机数,调用密码机随机数发生器产生3#真随机数;7.用3#伪随机数加密保护3#真随机数,备份产生3#备份密钥分量保存到密钥介质中进行保存。8.用密文数据Datal与3#真随机数进行逻辑运算与数据加密的方法产生密文数据 Data2 ;9.采用步骤6 8的方式,重复进行N次,产生■备份密钥分量和密文数据 DataN-Ι,其中N为自然数。10.用户输入·伪随机数,调用密码机随机数发生器产生■真随机数;11.用N#伪随机数加密保护N#真随机数,备份产生N#备份密钥分量保存到密钥介质中进行保存。12.用密文数据DataN-I与■真随机数进行逻辑运算与数据加密的方法产生密文数据作为根密钥;13.对根密钥采用M of N编码技术将根密钥进行片段编码分为N份,分段保存在 N份密钥介质中保存。14.当需要密钥恢复时,使用N份编码中的任意M段即可以恢复该根密钥。 上面通过详细的图文内容描述了本发明,但是本领域技术人员还可意识到变型和可选的实施例的多种可能性,例如,通过组合和/或改变单个实施例的特征。因此,可以理解的是这些变型和可选的实施例将被认为是包括在本发明中,本发明的范围仅仅被附上的专利权利要求书及其同等物限制。
权利要求
1.一种根密钥的产生方法,其特征在于(1)采用多个真随机数分量循环加密的方式产生最终的根密钥,其实现过程如下第一次加密过程^k(P1) = C1其中E为加密算法;K为密钥,即1#随机数A为明文,即2#随机数K1为密文,即加密运算的结果;循环加密过程=Ec^1) (Pn) = Cn其中E为加密算法;Cfrl)为本次运算的密钥,即第N-I次加密运算的结果)为明文, 即爾随机数;CN为密文,即第N次加密运算的结果);以最后一次加密运算的结果,也即密文作为最终的根密钥;(2)采用伪随机数参与和Mof N(M<N)编码技术,进行密钥的备份与恢复;所述M of N编码技术是采用插值定理将需要保护的信息隐藏在N份数据中,其中任意取出M份数据即可恢复原隐藏的信息。
2.如权利要求1所述的方法,其特征在于(1)使用密码机硬件随机数发生器产生N组真随机数,即1#随机数、姊随机数.....N#随机数;(2)1#随机数采用逻辑运算与数据加密方式对2#随机数进行加密,得到密文Datal ;(3)使用密文Datal采用逻辑运算与数据加密方式对2#随机数进行加密,得到密文 Data2 ;(4)采用步骤3的方式循环重复进行N次,产生密文数据DataN-I;(5)使用密文DataN-I采用逻辑运算与数据加密方式对爾随机数进行加密,得到密文 DataN ;(6)密文DataN最后被保存在密码机中作为根密钥。
3.如权利要求2所述的方法,其特征在于(1)N组随机数均为密码机硬件随机数发生器产生的N组真随机数,这N组真随机数作为根密钥产生的密钥数据满足根密钥产生的要求;(2)这N组随机数在产生根密钥的整个过程中均在密码机中进行,明文数据和运算过程数据均不出密码机,满足根密钥的安全性要求。
4.如权利要求3所述的方法,其特征在于分别由用户输入N组伪随机数,分别用于对密码机产生的N组真随机数进行加密备份, 将密文数据存储在密钥介质中,便于密钥的恢复;
5.如权利要求1-4任一所述的方法,其特征在于(1)采用Mof N编码技术对产生的根密钥进行分段保护与备份,并将这N段密文数据备份到N个密钥介质中进行存储;(2)当需要进行密钥恢复时,只需要将这N份密钥介质中凑足任何M份密文数据就可恢复该密钥;(3)该密钥备份与恢复机制为异地密钥备份与恢复机制,即将这N份密钥介质分别保存在N个地市进行保存,当需要恢复时,凑足任意M份即可恢复该密钥。
6.如权利要求5所述的方法,其特征在于包括以下步骤(1)用户输入1#伪随机数,调用密码机随机数发生器产生1#真随机数;(2)用1#伪随机数加密保护1#真随机数,备份产生1#备份密钥分量保存到密钥介质中进行保存;(3)用户输入2#伪随机数,调用密码机随机数发生器产生2#真随机数;(4)用2#伪随机数加密保护2#真随机数,备份产生2#备份密钥分量保存到密钥介质中进行保存;(5)用1#真随机数与姊真随机数进行逻辑运算与数据加密的方法产生密文数据 Datal ;(6)用户输入3#伪随机数,调用密码机随机数发生器产生3#真随机数;(7)用3#伪随机数加密保护3#真随机数,备份产生3#备份密钥分量保存到密钥介质中进行保存;(8)用密文数据Datal与3#真随机数进行逻辑运算与数据加密的方法产生密文数据 Data2 ;(9)采用步骤6 8的方式,重复进行N次,产生·备份密钥分量和密文数据DataN-I, 其中N为自然数;(10)用户输入爾伪随机数,调用密码机随机数发生器产生爾真随机数;(11)用N#伪随机数加密保护N#真随机数,备份产生N#备份密钥分量保存到密钥介质中进行保存;(12)用密文数据DataN-I与N#真随机数进行逻辑运算与数据加密的方法产生密文数据作为根密钥;(13)对根密钥采用Mof N编码技术将根密钥进行片段编码分为N份,分段保存在N份密钥介质中保存;(14)当需要密钥恢复时,使用N份编码中的任意M段即可以恢复该根密钥。
全文摘要
本发明涉及一种满足电力行业用电信息密钥管理系统需求的根密钥产生方法。在根密钥的产生过程中,使用真随机数分量与伪随机数分量混合运算,循环加密的方式产生电力行业用电信息密钥管理系统需求的根密钥,采用密钥分量本地备份与恢复机制和M of N编码技术进行密钥异地备份与恢复机制两种方式,这两种密钥备份与恢复机制互为补充,既方便用户进行密钥的备份与恢复,又可以有效抵制火灾、地震等对用电信息采集系统根密钥造成的灾难性破坏。该发明符合当前主流的密钥管理系统根密钥产生方式,具有广泛的适应性;用户参与性强,密钥的备份与恢复机制考虑全面,能够真正满足用户使用需求。
文档编号H04L9/14GK102238003SQ20111006550
公开日2011年11月9日 申请日期2011年3月17日 优先权日2011年3月17日
发明者付义伦, 冯占成, 刘鹰, 吕英杰, 吴春亮, 翟峰, 赵兵 申请人:中国电力科学研究院