密钥处理方法、装置和系统及电子设备制造方法及图纸

本发明专利技术提供一种密钥处理方法：当密码模块接收到用户发送的操作指令时，触发所述安全芯片使用预设的第一密钥分量和第二密钥分量进行运算，获得密钥加密密钥，并使用密钥加密密钥执行与所述操作指令对应的操作类型，通过应用密钥加密密钥对用户密钥进行操作，将用户密钥以密文的形式进行保存，降低了用户密钥泄露后被直接使用的风险；与本发明专利技术提供的密钥处理方法对应的密钥处理系统，通过所述密钥处理系统中的保护涂层避免所述密码模块中的安全芯片和导电单元遭到破坏。通过应用本发明专利技术提供的方法和所述方法相对应的密钥处理系统，保护了保存在密码模块中的用户密钥，降低了用户密钥泄露后被直接使用的风险，提高了保密系统的健壮性和稳定性。

Key Processing Method, Device and System and Electronic Equipment

【技术实现步骤摘要】
密钥处理方法、装置和系统及电子设备
本专利技术涉及信息安全
，特别涉及一种密钥处理方法、装置和系统及电子设备。
技术介绍
随着互联网的快速发展和信息化程度的不断提高，数字化产业在中国乃至于全世界都在迅速的发展，社会中的各行各业逐步借助互联网进行信息的传递、交换资料和洽谈贸易等等。互联网是把双刃剑，在为我们的生活带来极大便利的同时，互联网传输的数据和信息时刻面临着被不法分子窃取以及修改的安全风险，因此人们对于传输的数据和信息的保密性以及安全性日益看重。为避免传输的信息和数据被不法分子修改和窃取，用户通常使用加密系统中保存在密码模块的安全芯片中的密钥对传输的数据与信息进行加密过后以密文的形式进行传输，在用户接收到密文之后再使用保存在安全芯片中对应的密钥对密文进行解密，从而降低了数据泄露的可能性，以及不法分子窃取数据的风险。用户密钥是数据进行传输的核心，而用户密钥通常以明文的形式保存在加密系统的安全芯片中，密码模块是整个加密系统的核心部分，不法分子一旦破解得到保存在安全芯片中的用户密钥，将引起用户的数据泄露，直接破坏整个加密系统的稳定性和健壮性。
技术实现思路
有鉴于此，本专利技术实施例提供一种密钥处理方法，能够对保存在所述安全芯片中的密钥进行处理，实现对用户密钥的加密保存，降低了用户密钥泄露的概率，提高整个加密系统的稳定性和健壮性。本专利技术还提供了一种密钥处理装置，用以保证上述方法在实际中的实际及应用。为实现上述目的，本专利技术实施例提供如下技术方案：一种密钥处理方法，应用于安全芯片，包括：当密码模块接收到用户发送的操作指令时，获取预设在所述安全芯片中的第一密钥分量和第二密钥分量，将所述第一密钥分量和所述第二密钥分量按照预设的算法进行运算，生成密钥加密密钥；获取所述操作指令中的操作信息，依据所述操作信息确定所述操作指令对应的操作类型；若所述操作指令对应的操作类型为加密操作时，确定所述操作指令中的第一用户密钥，并使用所述密钥加密密钥对所述第一用户密钥进行加密，生成第一密钥密文，将所述第一密钥密文输入所述密码模块进行保存；若所述操作指令对应的操作类型为解密操作时，确定所述密码模块中与所述操作指令对应的第二密钥密文，并使用所述密钥加密密钥对所述第二密钥密文进行解密，获得所述第二密钥密文中的第二用户密钥，并向所述密码模块输出所述第二用户密钥。上述的方法，可选的，所述第一密钥分量和第二密钥分量的设置过程，包括：当所述密码模块初始化时，接收所述密码模块发送的密钥生成指令，运用预设的生成算法，生成密钥加密密钥；使用预设的函数对所述密钥加密密钥进行运算，生成三个密钥分量，并将所述三个密钥分量分别保存至预先建立的外部存储模块及所述安全芯片中的第一存储模块和第二存储模块中；其中，保存至所述第一存储模块的密钥分量为第一密钥分量，保存至所述第二存储模块的密钥分量为第二密钥分量，保存至所述外部存储模块的密钥分量为第三密钥分量。上述的方法，可选的，还包括：当所述安全芯片掉电后，重新启动时，判断保存至所述第一存储模块中的密钥分量是否存在；当所述第一存储模块中的密钥分量不存在时，确定是否需要获取所述外部模块中的密钥分量；当需要获取所述外部模块中的密钥分量时，触发所述密码模块与所述外部存储模块进行通信，以获取所述外部存储模块中保存的密钥分量；将获取的所述外部存储模块中保存的密钥分量保存至所述第一存储模块中，作为新的第一密钥分量。上述的方法，可选的，所述将所述三个密钥分量分别保存至预先建立的外部存储模块及所述安全芯片中的第一存储模块和第二存储模块中，包括：随机选取所述三个密钥分量中的两个密钥分量，并将选取的所述两个密钥分量发送至所述安全芯片，触发所述安全芯片将所述两个密钥分量分别随机保存至所述第一存储模块和第二存储模块中；将剩余的密钥分量发送至预先建立的外部存储模块中，触发所述外部存储模块保存接收到的密钥分量。一种密钥处理装置，包括：运算单元，用于当密码模块接收到用户发送的操作指令时，获取预设在所述安全芯片中的第一密钥分量和第二密钥分量，将所述第一密钥分量和所述第二密钥分量按照预设的算法进行运算，生成密钥加密密钥；获取单元，用于获取所述操作指令中的操作信息，依据所述操作信息确定所述操作指令对应的操作类型；加密单元，用于若所述操作指令对应的操作类型为加密操作时，确定所述操作指令中的第一用户密钥，并使用所述密钥加密密钥对所述第一用户密钥进行加密，生成第一密钥密文，将所述第一密钥密文输入所述密码模块进行保存；解密单元，用于若所述操作指令对应的操作类型为解密操作时，确定所述密码模块中与所述操作指令对应的第二密钥密文，并使用所述密钥加密密钥对所述第二密钥密文进行解密，获得所述第二密钥密文中的第二用户密钥，并向所述密码模块输出所述第二用户密钥。上述的装置，可选的，还包括：生成单元，用于当所述密码模块初始化时，接收所述密码模块发送的密钥生成指令，运用预设的生成算法，生成密钥加密密钥；第一保存单元，用于使用预设的函数对所述密钥加密密钥进行运算，生成三个密钥分量，并将所述三个密钥分量分别保存至预先建立的外部存储模块及所述安全芯片中的第一存储模块和第二存储模块中；其中，保存至所述第一存储模块的密钥分量为第一密钥分量，保存至所述第二存储模块的密钥分量为第二密钥分量，保存至所述外部存储模块的密钥分量为第三密钥分量。上述的装置，可选的，还包括：判断单元，用于当所述安全芯片掉电后，重新启动时，判断保存至所述第一存储模块中的密钥分量是否存在；确定单元，用于当所述第一存储模块中的密钥分量不存在时，确定是否需要获取所述外部模块中的密钥；通信单元，用于当需要获取所述外部模块中的密钥分量时，触发所述密码模块与所述外部存储模块进行通信，以获取所述外部存储模块中保存的密钥分量；第二保存单元，用于将获取的所述外部存储模块中保存的密钥分量保存至所述第一存储模块中，作为新的第一密钥分量。上述的装置，可选的，所述第一保存单元，包括：第一保存子单元，用于随机选取所述三个密钥分量中的两个密钥分量，并将选取的所述两个密钥分量发送至所述安全芯片，触发所述安全芯片将所述两个密钥分量分别随机保存至所述第一存储模块和第二存储模块中；第二保存子单元，用于将剩余的密钥分量发送至预先建立的外部存储模块中，触发所述外部存储模块保存接收到的密钥分量。一种密钥处理系统，包括：密码模块和外部存储模块；所述密码模块包括：安全芯片，电源切换电路，保护涂层和导电单元；所述安全芯片用于执行如上所述的密钥处理方法；所述电源切换电路，用于为所述安全芯片选择供电电源，当主电源掉电时，切换至外部电源，以保证对所述安全芯片的正常供电；所述导电单元，用于将所述安全芯片与供电电源连通；所述保护涂层，用于保护所述导电单元与所述安全芯片，当所述保护涂层被破坏时，所述导电单元被破坏，则所述安全芯片处于掉电状态，保存在所述安全芯片中的第一存储模块的密钥分量丢失。一种电子设备，其特征在于，包括存储器，以及一个或者一个以上的指令，其中一个或者一个以上指令存储于存储器中，且经配置以由一个或者一个以上处理器执行如上所述的密钥处理方法。与现有技术相比，本专利技术包括以下优点：本专利技术提供了一种密钥处理方法：当密码模块接收到用户发送的操作指令时，获取预设在所述安本文档来自技高网...

【技术保护点】
1.一种密钥处理方法，其特征在于，所述方法，应用于安全芯片，包括：当密码模块接收到用户发送的操作指令时，获取预设在所述安全芯片中的第一密钥分量和第二密钥分量，将所述第一密钥分量和所述第二密钥分量按照预设的算法进行运算，生成密钥加密密钥；获取所述操作指令中的操作信息，依据所述操作信息确定所述操作指令对应的操作类型；若所述操作指令对应的操作类型为加密操作时，确定所述操作指令中的第一用户密钥，并使用所述密钥加密密钥对所述第一用户密钥进行加密，生成第一密钥密文，将所述第一密钥密文输入所述密码模块进行保存；若所述操作指令对应的操作类型为解密操作时，确定所述密码模块中与所述操作指令对应的第二密钥密文，并使用所述密钥加密密钥对所述第二密钥密文进行解密，获得所述第二密钥密文中的第二用户密钥，并向所述密码模块输出所述第二用户密钥。

【技术特征摘要】
1.一种密钥处理方法，其特征在于，所述方法，应用于安全芯片，包括：当密码模块接收到用户发送的操作指令时，获取预设在所述安全芯片中的第一密钥分量和第二密钥分量，将所述第一密钥分量和所述第二密钥分量按照预设的算法进行运算，生成密钥加密密钥；获取所述操作指令中的操作信息，依据所述操作信息确定所述操作指令对应的操作类型；若所述操作指令对应的操作类型为加密操作时，确定所述操作指令中的第一用户密钥，并使用所述密钥加密密钥对所述第一用户密钥进行加密，生成第一密钥密文，将所述第一密钥密文输入所述密码模块进行保存；若所述操作指令对应的操作类型为解密操作时，确定所述密码模块中与所述操作指令对应的第二密钥密文，并使用所述密钥加密密钥对所述第二密钥密文进行解密，获得所述第二密钥密文中的第二用户密钥，并向所述密码模块输出所述第二用户密钥。2.根据权利要求1所述的方法，其特征在于，所述第一密钥分量和第二密钥分量的设置过程，包括：当所述密码模块初始化时，接收所述密码模块发送的密钥生成指令，运用预设的生成算法，生成密钥加密密钥；使用预设的函数对所述密钥加密密钥进行运算，生成三个密钥分量，并将所述三个密钥分量分别保存至预先建立的外部存储模块及所述安全芯片中的第一存储模块和第二存储模块中；其中，保存至所述第一存储模块的密钥分量为第一密钥分量，保存至所述第二存储模块的密钥分量为第二密钥分量，保存至所述外部存储模块的密钥分量为第三密钥分量。3.根据权利要求2所述的方法，其特征在于，还包括：当所述安全芯片掉电后，重新启动时，判断保存至所述第一存储模块中的密钥分量是否存在；当所述第一存储模块中的密钥分量不存在时，确定是否需要获取所述外部模块中的密钥分量；当需要获取所述外部模块中的密钥分量时，触发所述密码模块与所述外部存储模块进行通信，以获取所述外部存储模块中保存的密钥分量；将获取的所述外部存储模块中保存的密钥分量保存至所述第一存储模块中，作为新的第一密钥分量。4.根据权利要求2所述的方法，其特征在于，所述将所述三个密钥分量分别保存至预先建立的外部存储模块及所述安全芯片中的第一存储模块和第二存储模块中，包括：随机选取所述三个密钥分量中的两个密钥分量，并将选取的所述两个密钥分量发送至所述安全芯片，触发所述安全芯片将所述两个密钥分量分别随机保存至所述第一存储模块和第二存储模块中；将剩余的密钥分量发送至预先建立的外部存储模块中，触发所述外部存储模块保存接收到的密钥分量。5.一种密钥处理装置，其特征在于，包括：运算单元，用于当密码模块接收到用户发送的操作指令时，获取预设在所述安全芯片中的第一密钥分量和第二密钥分量，将所述第一密钥分量和所述第二密钥分量按照预设的算法进行运算，生成密钥加密密钥；获取单元，用于获取所述操作指令中的操作信息，依据所述操作信息确定所述操作指令对应的操作类型；加密单元，用于若所述操作指令对应的操作类型为加密操作时，确定...

【专利技术属性】
技术研发人员：赵波，林峰，姜晓新，
申请(专利权)人：北京中金国信科技有限公司，
类型：发明
国别省市：北京,11