本发明专利技术提供一种智能终端密钥管理方法和分层管理系统,所述移动终端的密钥管理系统分为三层:主密钥、存储密钥和数据加密密钥,主密钥对存储密钥和数据加密密钥提供保护和维护,三层密钥之间不相互共享。本发明专利技术的有益效果是:解决Android智能终端密钥的安全管理,提升密钥的管理效率和安全性,将智能终端内置安全芯片的生命周期与各类密钥的生命周期关联,并对密钥进行分级管理,在密钥生成、存储、更新和销毁环节保护密钥安全,实现密钥的高效管理。实现密钥的高效管理。实现密钥的高效管理。
【技术实现步骤摘要】
一种智能终端密钥管理方法和分层管理系统
[0001]本专利技术涉及数据安全
,具体地,涉及一种智能终端密钥管理方法和分层管理系统。
技术介绍
[0002]随着信息技术的快速发展,数据信息化已成为当前社会发展主流,伴随而来的是信息安全问题愈加突出,也引起人们对信息安全的关注。数字安全阻碍了信息化快速发展的进程,当前公认有效解决信息安全问题的是密码技术。当前移动智能终端已成人们日常生活工作的必备设备,终端涉及用户各种信息数据,成为数据安全问题的主要来源,通过将密码技术及密码产品应用于智能终端将更好的保护终端业务及用户数据安全。密钥安全管理是密码技术应用的基础支撑,是保障密码算法的安全基础,若密钥泄露将对整个信息系统造成致命威胁,因此如何对密钥进行安全管理是有关技术人员关注的重点。
[0003]现有技术涉及Android智能终端的密钥管理,主要是在终端的应用层进行管控,以明文或简单加密后存储在终端存储器中保存,密钥容易被非法盗用、泄露。一旦密钥泄露,将对整个终端数据安全造成严重危害。针对现有的技术的不足,本专利技术提供一种智能终端密钥管理方法,在智能终端内置安全芯片,通过安全芯片加解密用户数据,而终端上的密钥按照实用范围和应用不同,划分为不同体系和类别,对相关密钥进行分层管理,实现智能终端密钥的安全管理,以此保证密码技术在智能终端上应用的安全,保护用户数据。通过零散的密钥管理机制,未形成对智能终端密钥规范有效的管理,导致密钥的安全性较差,管理效率不高。
技术实现思路
[0004]针对现有技术的缺陷,本专利技术是将安全芯片的生命周期与密钥的生命周期结合,同时利用安全芯片作为密钥保护的核心,对关联密钥进行有效保护。密钥得到有效保护和高效管理的同时,也保障了智能终端业务的安全和执行效率。是通过如下技术方案实现的。
[0005]一种智能终端密钥分层管理系统,密钥分为三层:主密钥、存储密钥和数据加密密钥,主密钥对存储密钥和数据加密密钥提供保护和维护,三层密钥之间不相互共享,其中:
[0006]主密钥,在芯片生命周期的出厂前阶段,系统主密钥通过安全芯片内真随机数发生器随机产生;或在芯片生命周期的用户阶段,系统主密钥由用户安全导入,产生后的系统主密钥用于存储密钥的派生;
[0007]存储密钥,通过系统主密钥根据密码派生算法KDF运算后生成存储在安全芯片中;
[0008]数据加密密钥Kbs通过存储密钥派生,根据不同的加密应用业务ID作为派生因子(Kbs生成因子),通过密钥派生算法KDF产生最终的业务密钥。
[0009]一种智能终端密钥管理方法,将智能终端的密钥与安全芯片关联,包括以下阶段,每个阶段的跃迁操作不可逆:
[0010]平台就绪阶段,在安全芯片内不产生密钥;
[0011]初始化阶段,通过随机数发生器产生系统主密钥,所述主密钥为初始密钥;
[0012]个人化阶段,用户可对系统密钥进行更新操作;
[0013]在安全芯片终止状态,触发安全芯片密钥销毁机制,对安全芯片内的所有密钥进行安全擦除;
[0014]提示用户更新设备认证密钥,MAC密钥不做更新,存储密钥更新后,安全芯片每次上电时通过存储密钥派生的数据加密密钥同步更新。
[0015]进一步的,通过修改设备认证密钥触发主密钥更新机制,主密钥由用户输入,通过输入的主密钥和生成因子派生出存储密钥,同时随机产生密钥保护密钥对存储密钥进行加密。
[0016]本专利技术的有益效果是:本专利专利技术的目的在于解决Android智能终端密钥的安全管理,提升密钥的管理效率和安全性。为保证密钥的运算和存储安全,方案通过将智能终端内置安全芯片的生命周期与各类密钥的生命周期关联,并对密钥进行分级管理,在密钥生成、存储、更新和销毁环节保护密钥安全,实现密钥的高效管理。以此保障智能终端业务数据的安全。
附图说明
[0017]图1是本专利技术具体实施例的智能终端的密钥类型结构图。
[0018]图2是本专利技术具体实施例的智能终端的密钥层级关系图。
[0019]图3是本专利技术具体实施例的智能终端的文件加密密钥生成方法框图。
[0020]图4是本专利技术具体实施例的智能终端的图库、相机加密密钥生成方法框图。
[0021]图5是本专利技术具体实施例的智能终端的数据库加密密钥生成方法框图。
[0022]图6是本专利技术具体实施例的安全芯片生命周期与密钥的关系流程图。
具体实施方式
[0023]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0024]如图1~2所示,一种智能终端密钥分层管理系统,密钥分为三层:主密钥、存储密钥和数据加密密钥,主密钥对存储密钥和数据加密密钥提供保护和维护,三层密钥之间不相互共享,其中:
[0025]智能终端密钥管理采用三级密钥体系,在这种系统中下级密钥的安全性由上级密钥保护,而系统主密钥正是这一密钥体系的源头。系统主密钥不在安全芯片内存储,根据安全芯片生命周期不同有两种生成方式:在芯片生命周期的出厂前阶段,系统主密钥通过安全芯片内真随机数发生器随机产生;在芯片生命周期的用户阶段,系统主密钥由用户安全导入,产生后的系统主密钥用于存储密钥的派生。
[0026]存储密钥通过系统主密钥根据密码派生算法KDF运算后生成存储在安全芯片中,作为数据加密密钥的上一级密钥,存储密钥的安全性关系到数据加密密钥的安全,存储密钥Kstore通过密钥保护密钥Ks加密后,以密文形式存储在安全芯片中。
[0027]数据加密密钥Kbs通过存储密钥派生,根据不同的加密应用业务ID作为派生因子(Kbs生成因子),通过密钥派生算法KDF产生最终的业务密钥,每个业务的业务密钥均不相同。
[0028]如图1所示,图1是一种智能终端的密钥类型结构图;智能终端的密钥类型包括系统密钥、安全通道密钥、数据加密密钥构成。系统密钥由系统主密钥、存储密钥、密钥保护密钥组成,系统主密钥是存储密钥的根密钥,是终端设备的一级密钥,密钥类型为SM4(128bit)或AES(256bit)对称密钥,该密钥是构成终端密码管理的关键;存储密钥是派生具体业务密钥的密钥,密钥类型为SM4(128bit)或AES(256bit)对称密钥,是终端设备的二级密钥,存储密钥通过系统主密钥派生,派生后存储在终端安全芯片中,并受到密钥保护密钥的保护,通过存储密钥派生出的数据加密密钥将用于终端个安全业务场景的加解密;密钥保护密钥是对存储密钥进行加密保护的密钥,密钥类型为SM4(128bit)或AES(256bit)对称密钥。
[0029]安全通道密钥,为与安全芯片的数据链路提供保护的密钥,安全通道密钥是独立于密钥分层,主要包含设备认证密钥、传输密钥、MAC密钥、会话密钥。设备认证密钥,密钥类型为SM本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种智能终端密钥的分层管理系统,其特征在于,所述移动终端的密钥分为三层:主密钥、存储密钥和数据加密密钥,主密钥对存储密钥和数据加密密钥提供保护和维护,三层密钥之间不相互共享,其中:主密钥,在安全芯片的生命周期的出厂前阶段,系统主密钥通过安全芯片内真随机数发生器随机产生;或在芯片生命周期的用户阶段,系统主密钥由用户安全导入,产生后的系统主密钥用于存储密钥的派生;存储密钥,通过系统主密钥根据密码派生算法KDF运算后生成存储在安全芯片中;数据加密密钥,通过存储密钥派生,根据不同的加密应用业务ID作为派生因子(Kbs生成因子),通过密钥派生算法KDF产生最终的业务密钥。2.根据权利要求1所述的分层管理系统,其特征在于,所述存储密钥通过密钥保护密钥Ks加密后,以密文形式存储在安全芯片中。3.一种智能终端的密钥管理方法,其特征在于,将智能终端的密钥与安全芯片关联,包括安全芯片的每个阶段与密钥进行关联,每个阶段的跃迁操...
【专利技术属性】
技术研发人员:刘永康,刘俊,裴龙,荆鸿远,
申请(专利权)人:深圳市中易通安全芯科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。