【技术实现步骤摘要】
一种密钥管理方法及应用
本专利技术涉及密钥领域,特别涉及一种密钥管理方法及应用。
技术介绍
HSM(HardwareSecurityModule硬件安全模块)是一种加固的、防篡改的专用硬件设备,具备密钥创建、数据加密和解密、数据签名和验签等各种安全相关功能,通过在设备内部执行以阻断外部威胁,对金融、通信等各种业务场景下的数据机密性、完整性和有效性提供支持。由于HSM内部存储空间较小,如Thales的nSiheldConnect,其NVRAM(Non-VolatileRandomAccessMemory非易失性随机访问存储器)空间只有1M左右,可存储的密钥数量极为有限,而许多应用系统需要对千万级的密钥进行管理,如电力数据采集系统、银行金融系统或移动通信应用等。因此现有的密钥管理方法常设计如下:一、密钥存储设计一个MK(MasterKey主密钥),用于加密保护其它子密钥,MK存储在HSM的NVRAM区域;其余密钥存储在HSM设备之外,如计算机的数据库或磁盘文件中,因此子密钥的数量可以不受HSM的存...
【技术保护点】
1.一种密钥管理方法,其特征在于:包括以下步骤:/n步骤1、在HSM内部创建一个密钥,该密钥作为根密钥(RK),并将该根密钥(RK)存储在HSM的NVRAM区域中,同时在HSM中设置该根密钥(RK)的安全策略,用于保证根密钥(RK)不离开HSM;/n步骤2、应用程序根据设备或用户的唯一标识和密钥版本号,从而发送信息请求HSM创建应用密钥(AK);/n步骤3、HSM内部使用派生算法生成应用密钥(AK),并将应用密钥(AK)存储在HSM或计算机的RAM区域中;/n步骤4、在HSM内部对生成的应用密钥(AK)进行加密,得到应用密钥(AK)的密文;/n步骤5、HSM将应用密钥(AK...
【技术特征摘要】
1.一种密钥管理方法,其特征在于:包括以下步骤:
步骤1、在HSM内部创建一个密钥,该密钥作为根密钥(RK),并将该根密钥(RK)存储在HSM的NVRAM区域中,同时在HSM中设置该根密钥(RK)的安全策略,用于保证根密钥(RK)不离开HSM;
步骤2、应用程序根据设备或用户的唯一标识和密钥版本号,从而发送信息请求HSM创建应用密钥(AK);
步骤3、HSM内部使用派生算法生成应用密钥(AK),并将应用密钥(AK)存储在HSM或计算机的RAM区域中;
步骤4、在HSM内部对生成的应用密钥(AK)进行加密,得到应用密钥(AK)的密文;
步骤5、HSM将应用密钥(AK)的密文发送给应用程序;
步骤6、应用程序获得应用密钥(AK)的密文后,对该应用密钥(AK)的密文进行解密,得到解密后的应用密钥(AK);
步骤7、应用程序根据解密后的应用密钥(AK)对应用数据进行加密和解密,即完成应用程序与设备或用户的安全交互。
2.根据权利要求1所述的密钥管理方法,其特征在于:所述步骤1中还包括以下步骤:使用HSM配套的专用媒介对根密钥(RK)进行备份,并通过备份媒介将根密钥(RK)同步到集群环境中的其他HSM中。
3.根据权利要求1所述的密钥管理方法,其特征在于:所述步骤1中在HSM内部创建根密钥(RK)的方法为:通过随机数生成器创建根密钥(...
【专利技术属性】
技术研发人员:黄俊耿,
申请(专利权)人:宁波三星医疗电气股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。