一种密码设备安全管理方法技术

本发明专利技术公开了一种密码设备安全管理方法，本发明专利技术采用两级权限管理机制和四级密钥管理机制保证设备内数据的安全性，两级权限管理机制：用户权限分为管理员权限和操作员权限。管理员权限可以对密码设备进行管理配置；而操作员权限只能对密码卡提供的标准接口进行调用操作。本安全管理方法支持3个管理员，只有在2个以上管理员登陆的情况下，才能获取管理员权限；四级密钥管理机制：保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥。为了保护私钥的安全性，使用私钥访问控制码控制对私钥的访问。为了保证密钥备份、恢复的安全性，使用了备份恢复密钥。本发明专利技术采用两级权限管理机制和四级密钥管理机制保证设备内数据的安全性。

【技术实现步骤摘要】

本专利技术涉及一种密码设备安全管理方法。
技术介绍
目前有众多的硬件厂商生产了各种密码设备，通过提供加解密功能来帮助用户提升用户信息数据的安全性。但是加密解密的密钥如何管理直接关系到用户数据的安全性。因此，现有技术有待于改进。
技术实现思路
本专利技术为了解决现有技术的不足，提供一种密码设备安全管理方法，实现一种设备的安全管理方法来保证用户数据的安全性。为解决上述技术问题，本专利技术实施例提供的一种密码设备安全管理方法，采用如下技术方案：一种密码设备安全管理方法，其特征在于，包括如下步骤：S1：采用两级权限管理机制和四级密钥管理机制；S2：用户权限分为管理员权限和操作员权限，四级密钥管理机制分为保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥；S3：复位密码设备密钥存储区和用户数据存储区，置密码卡为出厂状态；S4：检查密码设备是否处于出厂状态，不是就做密码设备复位；S5：初始化管理员，建立管理员和密码设备的认证关系。根据提示连续创建三个管理员；S6：登陆两个管理员获取管理员权限，创建至少一个操作员；S7：在管理员权限下，创建设备密钥。在密码设备内部ram中生成保护密钥，用保护密钥加密设备密钥后，保存设备密钥到密码设备中；使用（2,3）门限算法，分散保护密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；S8：在管理员权限下创建用户密钥和密钥加密密钥，使用设备密钥加密后，保存到密码设备中；S9：密钥备份，在管理员权限下使用（2,3）门限算法恢复保护密钥，解密出设备密钥，再使用设备密钥解密出用户密钥和密钥加密密钥，生成备份恢复密钥，加密设备密钥、用户密钥和密钥加密密钥，再导出给用户，使用（2,3）门限分散备份恢复密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；S10：密钥恢复，在管理员权限下依次读取两个管理员KEY中备份恢复密钥分量，使用(2,3)门限算法恢复出备份恢复密钥，并使用备份恢复密钥解密解密出密文状态的设备密钥、用户密钥和密钥加密密钥，使用设备密钥加密用户密钥和密钥加密密钥，并保存到设备中，使用（2,3）计算出保护密钥，使用保护密钥加密设备密钥，并保存到设备中。具体地，设备密钥对分为加密密钥对和签名密钥对两对SM2密钥对，用于实现数字签名验证、数据加密解密等功能，其中私钥受私钥访问控制码的控制。具体地，每一组用户密钥分为一对加密密钥和一对签名密钥，其中私钥必须受私钥访问控制码的控制，用户密钥受设备密钥加密保护。具体地，密钥加密密钥KEY用于实现对会话密钥的保护，KEY受设备密钥加密保护。具体地，会话密钥只存储在密码卡内存中，掉电会丢失。具体地，设备密钥、用户密钥及密钥加密密钥备份时，需要使用备份恢复密钥加密后导出；设备密钥、用户密钥及密钥加密密钥恢复时，需要使用备份恢复密钥导入后解密。本专利技术提供的一种密码设备安全管理方法，采用两级权限管理机制和四级密钥管理机制保证设备内数据的安全性。附图说明图1为本专利技术实施例所述的一种密码设备安全管理方法的步骤示意图。具体实施方式下面结合附图对本专利技术实施例提供给的密码设备安全管理方法进行详细描述。如图1所示，本专利技术实施例提供的一种密码设备安全管理方法，其特征在于，包括如下步骤：S1：采用两级权限管理机制和四级密钥管理机制；S2：用户权限分为管理员权限和操作员权限，四级密钥管理机制分为保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥；S3：复位密码设备密钥存储区和用户数据存储区，置密码卡为出厂状态；S4：检查密码设备是否处于出厂状态，不是就做密码设备复位；S5：初始化管理员，建立管理员和密码设备的认证关系。根据提示连续创建三个管理员；S6：登陆两个管理员获取管理员权限，创建至少一个操作员；S7：在管理员权限下，创建设备密钥。在密码设备内部ram中生成保护密钥，用保护密钥加密设备密钥后，保存设备密钥到密码设备中；使用（2,3）门限算法，分散保护密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；S8：在管理员权限下创建用户密钥和密钥加密密钥，使用设备密钥加密后，保存到密码设备中；S9：密钥备份，在管理员权限下使用（2,3）门限算法恢复保护密钥，解密出设备密钥，再使用设备密钥解密出用户密钥和密钥加密密钥，生成备份恢复密钥，加密设备密钥、用户密钥和密钥加密密钥，再导出给用户，使用（2,3）门限分散备份恢复密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；S10：密钥恢复，在管理员权限下依次读取两个管理员KEY中备份恢复密钥分量，使用(2,3)门限算法恢复出备份恢复密钥，并使用备份恢复密钥解密解密出密文状态的设备密钥、用户密钥和密钥加密密钥，使用设备密钥加密用户密钥和密钥加密密钥，并保存到设备中，使用（2,3）计算出保护密钥，使用保护密钥加密设备密钥，并保存到设备中。具体地，设备密钥对分为加密密钥对和签名密钥对两对SM2密钥对，用于实现数字签名验证、数据加密解密等功能，其中私钥受私钥访问控制码的控制。具体地，每一组用户密钥分为一对加密密钥和一对签名密钥，其中私钥必须受私钥访问控制码的控制，用户密钥受设备密钥加密保护。具体地，密钥加密密钥KEY用于实现对会话密钥的保护，KEY受设备密钥加密保护。具体地，会话密钥只存储在密码卡内存中，掉电会丢失。具体地，设备密钥、用户密钥及密钥加密密钥备份时，需要使用备份恢复密钥加密后导出；设备密钥、用户密钥及密钥加密密钥恢复时，需要使用备份恢复密钥导入后解密。本专利技术提供的一种密码设备安全管理方法，采用两级权限管理机制和四级密钥管理机制保证设备内数据的安全性。以上所述，仅为本专利技术的具体实施方式，但本专利技术的保护范围并不局限于此，任何熟悉本
的技术人员在本专利技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本专利技术的保护范围之内。因此，本专利技术的保护范围应所述以权利要求的保护范围为准。本文档来自技高网...

【技术保护点】
一种密码设备安全管理方法，其特征在于，包括如下步骤：S1：采用两级权限管理机制和四级密钥管理机制；S2：用户权限分为管理员权限和操作员权限，四级密钥管理机制分为保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥；S3：复位密码设备密钥存储区和用户数据存储区，置密码卡为出厂状态；S4：检查密码设备是否处于出厂状态，不是就做密码设备复位；S5：初始化管理员，建立管理员和密码设备的认证关系，根据提示连续创建三个管理员；S6：登陆两个管理员获取管理员权限，创建至少一个操作员；S7：在管理员权限下，创建设备密钥，在密码设备内部ram中生成保护密钥，用保护密钥加密设备密钥后，保存设备密钥到密码设备中；使用（2,3）门限算法，分散保护密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；S8：在管理员权限下创建用户密钥和密钥加密密钥，使用设备密钥加密后，保存到密码设备中；S9：密钥备份，在管理员权限下使用（2,3）门限算法恢复保护密钥，解密出设备密钥，再使用设备密钥解密出用户密钥和密钥加密密钥，生成备份恢复密钥，加密设备密钥、用户密钥和密钥加密密钥，再导出给用户，使用（2,3）门限分散备份恢复密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；S10：密钥恢复，在管理员权限下依次读取两个管理员KEY中备份恢复密钥分量，使用(2,3)门限算法恢复出备份恢复密钥，并使用备份恢复密钥解密解密出密文状态的设备密钥、用户密钥和密钥加密密钥，使用设备密钥加密用户密钥和密钥加密密钥，并保存到设备中，使用（2,3）计算出保护密钥，使用保护密钥加密设备密钥，并保存到设备中。...

【技术特征摘要】
1.一种密码设备安全管理方法，其特征在于，包括如下步骤：
S1：采用两级权限管理机制和四级密钥管理机制；
S2：用户权限分为管理员权限和操作员权限，四级密钥管理机制分为保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥；
S3：复位密码设备密钥存储区和用户数据存储区，置密码卡为出厂状态；
S4：检查密码设备是否处于出厂状态，不是就做密码设备复位；
S5：初始化管理员，建立管理员和密码设备的认证关系，根据提示连续创建三个管理员；
S6：登陆两个管理员获取管理员权限，创建至少一个操作员；
S7：在管理员权限下，创建设备密钥，在密码设备内部ram中生成保护密钥，用保护密钥加密设备密钥后，保存设备密钥到密码设备中；使用（2,3）门限算法，分散保护密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；
S8：在管理员权限下创建用户密钥和密钥加密密钥，使用设备密钥加密后，保存到密码设备中；
S9：密钥备份，在管理员权限下使用（2,3）门限算法恢复保护密钥，解密出设备密钥，再使用设备密钥解密出用户密钥和密钥加密密钥，生成备份恢复密钥，加密设备密钥、用户密钥和密钥加密密钥，再导出给用户，使用（2,3）门限分散备份恢复密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；
S10：密...

【专利技术属性】
技术研发人员：蒋斐，刘海刚，
申请(专利权)人：江苏威盾网络科技有限公司，
类型：发明
国别省市：江苏;32