本发明专利技术提供了一种分权管理方法、加密卡、管理员锁和密码机。所述分权管理方法包括:接收所述N个管理员锁分别生成的N个管理员锁密钥,所述N个管理员锁为从M个管理员锁中的所有N个管理员锁排列组合中的任一N个管理员锁;根据所述N个管理员锁密钥确定目标密钥;利用所述目标密钥加密待存储私钥,得到私钥密文;将所述私钥密文分段存储至所述N个管理员锁。本申请实施例通过接收所述N个管理员锁分别生成的N个管理员锁密钥,并且将所述私钥密文分段存储至所述N个管理员锁,实现了私钥的分权管理,从而提高了保存私钥的可靠性。
A decentralized management method, encryption card, administrator lock and password machine
【技术实现步骤摘要】
一种分权管理方法、加密卡、管理员锁和密码机
本申请实施例涉及计算机领域,特别涉及一种分权管理方法、加密卡、管理员锁和密码机。
技术介绍
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加通信的各方必须有一个可以被验证的标识,这就是数字证书。数字证书认证中心(CertficateAuthority,CA)是整个数字通信的关键环节。它主要负责产生、分配并管理所有参与通信的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构--根认证中心(根CA)。目前常见的国密CA私钥管理方法是将私钥加密存储在移动介质中,需要恢复的时候从移动介质中取出密文到CA服务器密码机里面解密得到私钥明文。但是这种方式仍然存在安全隐患。申请内容本申请提供了一种分权管理方法、加密卡、管理员锁和密码机,能够提供保存私钥的可靠性。为了解决上述技术问题,本申请实施例提供了如下的技术方案:第一方面,提供了一种分权管理方法,应用于能够与N个管理员锁进行加密通信的加密卡,所述方法包括:接收所述N个管理员锁分别生成的N个管理员锁密钥,所述N个管理员锁为从M个管理员锁中的所有N个管理员锁排列组合中的任一N个管理员锁;根据所述N个管理员锁密钥确定目标密钥;利用所述目标密钥加密待存储私钥,得到私钥密文;将所述私钥密文分段存储至所述N个管理员锁。第二方面,提供了一种分权管理方法,应用于能够与加密卡进行加密通信的N个管理员锁,所述N个管理员锁为从M个管理员锁中的所有N个管理员锁排列组合中的任一N个管理员锁,所述方法包括:所述N个管理员锁向所述加密卡提供生成的N个管理员锁密钥;所述N个管理员锁存储所分段分配的私钥密文,其中所述私钥密文是由目标密钥加密的,所述目标密钥是通过所述N个管理员锁的N个管理员锁密钥确定的。第三方面,提供了一种分权管理方法,应用于密码机,所述方法包括:分别为多个管理员分配多个初始化权限口令,使得所述多个管理员与所述多个初始化权限口令对应,所述多个管理员管理多个不同的安全通信部件;在识别出未知安全通信部件的情况下,当接收到输入的初始化权限口令时,判断所述未知安全通信部件与该初始化权限口令对应的管理员管理的安全通信部件是否匹配;如果匹配,则建立与该安全通信部件的安全通信。第四方面,提供了一种加密卡,能够与N个管理员锁进行加密通信,包括:接收所述N个管理员锁分别生成的N个管理员锁密钥,所述N个管理员锁为从M个管理员锁中的所有N个管理员锁排列组合中的任一N个管理员锁,N为大于1的正整数,M为大于N的正整数;根据所述N个管理员锁密钥确定目标密钥;利用所述目标密钥加密待存储私钥,得到私钥密文;将所述私钥密文分段存储至所述N个管理员锁。第五方面,提供了一种管理员锁,为根据第二方面的N个管理员锁中的任一管理员锁。第六方面,提供了一种密码机,包括:分别为多个管理员分配多个初始化权限口令,使得所述多个管理员与所述多个初始化权限口令对应,所述多个管理员管理多个不同的安全通信部件;在识别出未知安全通信部件的情况下,当接收到输入的初始化权限口令时,判断所述未知安全通信部件与该初始化权限口令对应的管理员管理的安全通信部件是否匹配;如果匹配,则建立与该安全通信部件的安全通信。基于上述实施例的公开可以获知,本申请实施例通过接收所述N个管理员锁分别生成的N个管理员锁密钥,并且将所述私钥密文分段存储至所述N个管理员锁,实现了私钥的分权管理,从而提高了保存私钥的可靠性。附图说明图1为根据本专利技术一个实施例的分权管理方法的示意性流程图。图2为根据本专利技术另一实施例的分权管理方法的示意性流程图。图3为根据本专利技术另一实施例的分权管理方法的示意性流程图。图4为根据本专利技术另一实施例的加密卡的示意性框图。图5为根据本专利技术另一实施例的管理员锁的示意性框图。图6为根据本专利技术另一实施例的密码机的示意性框图。具体实施方式下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。下面,结合附图详细的说明本申请实施例。图1为根据本专利技术一个实施例的分权管理方法的示意性流程图。图1的分权管理方法应用于能够与N个管理员锁进行加密通信的加密卡,图1的方法包括:110:接收N个管理员锁分别生成的N个管理员锁密钥,所述N个管理员锁为从M个管理员锁中的所有N个管理员锁排列组合中的任一N个管理员锁,N为大于1的正整数,M为大于N的正整数。120:根据N个管理员锁密钥确定目标密钥。130:利用目标密钥加密待存储私钥,得到私钥密文。140:将私钥密文分段存储至N个管理员锁。本申请实施例利用了N个管理员锁分别生成的N个管理员锁密钥,并且将所述私钥密文分段存储至所述N个管理员锁,实现了私钥的分权管理,从而提高了保存私钥的可靠性。应理解,N为大于1的正整数,M为大于N的正整数。优选地,所述M为5,所述N为3。还应理解,本专利技术实施例的管理员锁和加密卡之间以及加密卡与备份加密卡之间进行安全通信,该安全通信通过DH参数文件来实现。加密机对管理员锁进行初始化,密码机对与就绪加密卡进行初始化。就绪加密卡将私钥分段存储在多个管理员锁中。就绪加密卡对备份加密卡进行备份。当(例如)就绪加密卡丢失或发生故障时,备份加密卡从多个管理员锁中恢复私钥。DH参数文件本文档来自技高网...
【技术保护点】
1.一种分权管理方法,其特征在于,应用于能够与N个管理员锁进行加密通信的加密卡,所述方法包括:/n接收所述N个管理员锁分别生成的N个管理员锁密钥,所述N个管理员锁为从M个管理员锁中的所有N个管理员锁排列组合中的任一N个管理员锁,N为大于1的正整数,M为大于N的正整数;/n根据所述N个管理员锁密钥确定目标密钥;/n利用所述目标密钥加密待存储私钥,得到私钥密文;/n将所述私钥密文分段存储至所述N个管理员锁。/n
【技术特征摘要】
1.一种分权管理方法,其特征在于,应用于能够与N个管理员锁进行加密通信的加密卡,所述方法包括:
接收所述N个管理员锁分别生成的N个管理员锁密钥,所述N个管理员锁为从M个管理员锁中的所有N个管理员锁排列组合中的任一N个管理员锁,N为大于1的正整数,M为大于N的正整数;
根据所述N个管理员锁密钥确定目标密钥;
利用所述目标密钥加密待存储私钥,得到私钥密文;
将所述私钥密文分段存储至所述N个管理员锁。
2.根据权利要求1所述的分权管理方法,其特征在于,所述接收所述N个管理员锁分别生成的N个管理员锁密钥,包括:
通过密钥协商算法分别建立与所述N个管理员锁的多个安全通信;
通过所述多个安全通信从所述N个管理员锁接收所述N个管理员锁密钥。
3.根据权利要求2所述的分权管理方法,其特征在于,所述通过密钥协商算法分别建立与所述N个管理员锁的多个安全通信,包括:
通过所述密钥协商算法协商出协商密钥。
4.根据权利要求3所述的分权管理方法,其特征在于,所述通过所述多个安全通信从所述N个管理员锁接收所述N个管理员锁密钥,包括:
通过所述协商密钥分别向所述N个管理员锁传输本地生成的过程密钥,以便相应管理员锁利用相应协商密钥解密而得到相应过程密钥;
分别接收所述N个管理员锁传输的利用过程密钥和预先存储的会话密钥种子码生成的会话密钥加密的N个管理员锁密钥;
利用所述过程密钥和预先存储的会话密钥种子码生成的会话密钥解密获得所述N个管理员锁密钥。
5.根据权利要求1所述的分权管理方法,其特征在于,所述根据所述N个管理员锁密钥确定所述目标密钥,包括:
通过组合所述N个管理员锁密钥、私钥随机种子码和私钥固定种子码得到目标密钥。
6.根据权利要求1所述的分权管理方法,其特征在于,还包括:
接收所述N个管理员锁发送的多个私钥密文分段;
确定通过组合所述多个私钥密文分段得到的私钥密文为所述私钥密文;
利用所述目标密钥解密所述私钥密文得到私钥明文。
7.根据权利要求1所述的分权管理方法,其特征在于,所述根据所述N个管理员锁密钥确定目标密钥,包括:
利用所述N个管理员锁密钥和生成的私钥随机种子码计算目标密钥,
所述方法还包括:
通过密钥协商算法建立与备份加密卡的安全...
【专利技术属性】
技术研发人员:孙吉平,陈文静,
申请(专利权)人:北京深思数盾科技股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。