本发明专利技术涉及一种密钥备份恢复方法、系统及其相关设备,其中一种密钥备份方法,其应用于PCI密码卡中,包括:A1,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;A2,将备份密钥进行分割和加密处理,将处理后的备份密钥导入远程管理介质中进行保存。本发明专利技术提出新的密钥备份恢复机制,基于密码算法签名验证机制和共享分割算法实现,安全可靠。备份恢复过程中验证角色身份,备份密钥共享分割,密钥信息使用备份密钥加密存储,PCI密码卡内的密钥信息可以安全有保障的备份及恢复。
【技术实现步骤摘要】
本专利技术涉及一种密钥备份恢复方法、系统及其相关设备,尤其涉及一种密钥备份方法及系统、恢复备份方法、PCI密码卡和远程管理介质。
技术介绍
国产商用密码产品的开发和应用距今已有十多年的历史,国内商用密码技术也有了较大发展,集成电路在密码技术方面的应用也取得了长足的进步。国产密码芯片的出现和发展为商用密码技术硬件化提供了基础和保障,有效提高了密码设备的处理能力和安全性。商用对称密码体系方面,我国发布了SSF33,SM1,SM4等商用密码算法以及相应的算法处理芯片,并且已经得到了广泛的应用。公钥算法基本还是RSA-2048独撑局面,但随着计算机技术的飞速发展,已经有越来越多的人开始担忧RSA-2048算法的安全性问题。1985年有人提出了利用椭圆曲线上离散对数代替有限域上离散对数,即椭圆曲线密码体制。椭圆曲线密码体制ECC是基于有限域上椭圆曲线的离散对数计算的困难性,具有较RSA-2048更高的安全强度,并且椭圆曲线算法的实现比RSA-2048算法要快得多。在美国,基于ECC的ECDSA签名算法早在1999年成为ANSI标准,支持国产ECC标准SM2椭圆曲线算法的芯片是在2008年出现,2009年开始有KEY、PCI密码卡、密码机等产品出现,同时国家密码管理局组织相关成员单位搭建CA试验系统。这说明国内ECC应用条件已经逐渐成熟,并且在有些封闭系统中已经开始部署。目前PKI已经是密码应用的基础,在许多的行业和领域内都离不开PKI
的支持与保障,当前的PKI体系基本正在从RSA-2048算法向SM2公钥算法过渡。PCI密码卡做为最底层的硬件加密模块,这场变革首当其冲。目前的PCI密码卡的权限控制大多基于对称算法的体制,基于PCI密码卡硬件连接智能IC卡片或USB key的模式,这种应用模式越发的满足不了客户的应用需求。如:安装PCI密码卡的服务器机房,距离工作岗位较远,每次对PCI密码卡进行管理时,都要过去插接IC卡片或USB key十分的不方便且将来支持虚拟化的PCI密码卡会出现,应用PCI密码卡的用户可能在外地,因此随着技术的不断变革这种基于对称算法管理机制和硬件连接PCI密码卡的权限控制模式将会被淘汰。
技术实现思路
本专利技术所要解决的技术问题是提供一种基于密码算法签名验证机制和共享分割算法实现的,安全可靠的密钥备份方法及系统、恢复备份方法、PCI密码卡和远程管理介质。本专利技术解决上述技术问题的技术方案如下:一种密钥备份方法,其应用于PCI密码卡中,包括:A1,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;A2,将备份密钥进行分割和加密处理,将处理后的备份密钥导入远程管理介质中进行保存。本专利技术的有益效果是:本专利技术提出新的密钥备份恢复机制,基于密码算法签名验证机制和共享分割算法实现,安全可靠。备份恢复过程中验证角色身份,备份密钥共享分割,密钥信息使用备份密钥加密存储,PCI密码卡内的密钥信息可以安全有保障的备份及恢复。在上述技术方案的基础上,本专利技术还可以做如下改进。进一步,所述备份密钥为PCI密码卡随机生成的多个字节的随机数。采用上述进一步方案的有益效果是,通过PCI密码卡随机生成的多个字节的随机数作为备份密钥,使备份密钥更具随机性,更难以破解。进一步,所述备份密钥分割采用共享分割算法进行分割,将所述备份密钥分割成三部分,得到三个子备份密钥。采用上述进一步方案的有益效果是,分割后得到的多个子备份密钥之间可存在交叉的内容,保证只要得到至少两个子备份密钥就可以恢复全部备份密钥。进一步,所述对备份密钥的加密具体包括:采用远程管理介质发送的密钥公钥对所有子备份密钥分别加密。采用上述进一步方案的有益效果是,通过远程管理介质发送的密钥对中的公钥对子备份密钥进行加密,可以与远程管理介质建立关联,便于远程管理介质对子备份密钥进行管理。本专利技术解决上述技术问题的技术方案如下:一种密钥备份方法,其应用于远程管理介质中,包括:B1,生成包括公钥和私钥的密钥对,将密钥对中的密钥公钥发送到PCI密码卡,私钥保存在远程管理介质中;B2,接收PCI密码卡发送的所有子备份密钥并保存。本专利技术解决上述技术问题的技术方案如下:一种PCI密码卡,其具有备份功能,包括:备份模块和分割加密模块;所述备份模块,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;所述分割加密模块,备份密钥经过分割和加密导入远程管理介质中进行保存。本专利技术的有益效果是:本专利技术提出的具有备份功能的PCI密码卡,当需
要对用户密钥备份时,自动生成备份密钥对用户密钥进行加密后导出,而对备份密钥进行处理后导入远程管理介质,使用户密钥的安全得到更妥善的保护,想要得到用于密钥必须结合远程管理介质和PCI密码卡才能解密。本专利技术解决上述技术问题的技术方案如下:一种远程管理介质,包括:公钥发送模块和存储模块;所述公钥发送模块,生成包括公钥和私钥的密钥对,将密钥对中的公钥发送到PCI密码卡,私钥保存在远程管理介质中;所述存储模块,接收PCI密码卡发送的所有子备份密钥并保存。本专利技术的有益效果是:本专利技术提出的远程管理介质在密钥备份的过程中一方面提供了加密的公钥,另一个功能是存储加密后的子备份密钥,使密文用户密钥与备份密钥相互分离,加强了对用户密钥的保护。本专利技术解决上述技术问题的技术方案如下:一种恢复备份方法,其应用于PCI密码卡中,具体包括以下步骤:C1:接收密文用户密钥,调用远程管理介质中保存的至少两个子备份密钥,并分别对所述子备份密钥进行解密,得到多个解密后的子备份密钥;C2:对解密后的多个子备份密钥进行合成,得到备份密钥;C3:根据备份密钥对密文用户密钥进行解密得到用户密钥。本专利技术的有益效果是:本专利技术提出新的密钥备份恢复机制,基于密码算法签名验证机制和共享分割算法实现,安全可靠。备份恢复过程中验证角色身份,备份密钥共享分割,密钥信息使用备份密钥加密存储,PCI密码卡内的密钥信息可以安全有保障的备份及恢复。在上述技术方案的基础上,本专利技术还可以做如下改进。进一步,所述C1中采用远程管理介质发送的密钥公钥对所有子备份密钥分别解密。本专利技术解决上述技术问题的技术方案如下:一种PCI密码卡,包括:调
用模块、合成模块和解密模块;所述调用模块,接收密文用户密钥,调用远程管理介质中保存的至少两个子备份密钥,并分别对所述子备份密钥进行解密,得到多个解密后的子备份密钥;所述合成模块,对解密后的多个子备份密钥进行合成,得到备份密钥;所述解密模块,根据备份密钥对密文用户密钥进行解密得到用户密钥。本专利技术的有益效果是:本专利技术提出的具有备份恢复功能的PCI密码卡,通过调用远程管理介质中大部分的子备份密钥,即可通过解密和合成得到备份密钥,得到备份密钥即可对密文用户密钥进行解密。附图说明图1为本专利技术实施例1所述的一种密钥备份方法流程图;图2为本专利技术实施例2所述的一种密钥备份方法流程图;图3为本专利技术实施例3所述的一种PCI密码卡结构示意图;图4为本专利技术实施例4所述的一种远程管理介质结构示意图;图5为本专利技术实施例5所述的一种恢复备份方法流程图。附图中,各标号所代表的部件列表如下:1、备份模块,2、分割加密模块,3本文档来自技高网...
【技术保护点】
一种密钥备份方法,其应用于PCI密码卡中,其特征在于,包括:A1,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;A2,将备份密钥进行分割和加密处理,将处理后的备份密钥导入远程管理介质中进行保存。
【技术特征摘要】
1.一种密钥备份方法,其应用于PCI密码卡中,其特征在于,包括:A1,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;A2,将备份密钥进行分割和加密处理,将处理后的备份密钥导入远程管理介质中进行保存。2.根据权利要求1所述的一种密钥备份方法,其特征在于,所述备份密钥为PCI密码卡随机生成的多个字节的随机数。3.根据权利要求1所述的一种密钥备份方法,其特征在于,所述备份密钥分割采用共享分割算法进行分割,将所述备份密钥分割成三部分,得到三个子备份密钥。4.根据权利要求3所述的一种密钥备份方法,其特征在于,所述对备份密钥的加密具体包括:采用远程管理介质发送的密钥公钥对所有子备份密钥分别加密。5.一种密钥备份方法,其应用于远程管理介质中,其特征在于,包括:B1,生成包括公钥和私钥的密钥对,将密钥对中的密钥公钥发送到PCI密码卡,私钥保存在远程管理介质中;B2,接收PCI密码卡发送的所有子备份密钥并保存。6.一种PCI密码卡,其具有备份功能,其特征在于,包括:备份模块和分割加密模块;所述备份模块,通过备份密钥对需备份的用户密钥进行加密得到密文用户密钥,并将密文用户密钥导出PCI密码卡;所述分割加密模块...
【专利技术属性】
技术研发人员:桑洪波,
申请(专利权)人:北京三未信安科技发展有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。