一种面向安全存储的密钥管理协议设计方法及系统技术方案

本发明专利技术公开了一种面向安全存储的密钥管理协议设计方法及系统，该方法包括：通过密钥管理客户端构造密钥请求消息并发送给密钥管理中心，接收并解析密钥管理中心的应答消息，向应用程序提供请求消息的处理结果；当密钥管理客户端得到密钥时，将密钥加载到密码卡中实现密码运算；通过密钥管理中心提供集中式密码管理，提供包括密钥注册、查询、撤销在内的服务，对密钥资源池进行分区、配置与管理，并提供管理员访问以及日志记录和审计跟踪；通过密钥资源池中密钥产生器和密钥存储中心分别产生和存储密钥。本发明专利技术可保障存储环境下密钥产生、分发、保存、更新、销毁的全生命周期安全。销毁的全生命周期安全。销毁的全生命周期安全。

【技术实现步骤摘要】
一种面向安全存储的密钥管理协议设计方法及系统


[0001]本专利技术涉及密钥管理
，尤其涉及一种面向安全存储的密钥管理协议设计方法及系统。

技术介绍

[0002]云计算和大数据兴起，数据存储迅速发展，但相关安全问题未很好解决。存储安全的核心是利用现代密码学算法保护数据信息在存储过程中的机密性和完整性并为用户应用提供良好的可用性保证，现在主流的密码学算法主要是基于密钥的，密钥的安全是保证数据安全的前提和基础，密钥管理也成为存储安全的核心。因此，密钥管理协议的设计尤为重要，其安全性和高效性关系到整个存储系统的安全和性能。
[0003]目前，相同或相近
公开专利如下：
[0004]“分布式存储系统及其数据处理方法”(专利申请号：CN201910020649.2)公开了：客户端获取写操作对应的数据和密钥信息；客户端基于密钥信息对写操作对应的数据进行加密，得到加密数据；客户端将加密数据发送至数据存储节点。该申请解决了相关技术中的分布式存储系统的数据处理方法处理效率低且占用内存大的技术问题。
[0005]“密钥数据管理的方法及装置”(专利申请号：CN202010111906.6)公开了：在第一门锁中采集用户的密钥信息；在所述第一门锁中采用加密算法对所述密钥信息进行加密，生成加密密钥数据包，并将所述加密密钥数据包通过无线方式发送到手机密钥APP，所述手机密钥APP对所述加密密钥数据包存储在本地，并生成对应所述加密密钥数据包的解密密匙；所述手机密钥APP通过无线方式将所述加密密钥数据包发送给第二门锁；在所述第二门锁中输入对应所述加密密钥数据包的解密密匙进行解密，并将解密后的密钥信息存储在所述第二门锁中。
[0006]“一种量子三级密钥体系实现方法及系统”(专利申请号：CN201811606589.4)涉及量子通信
，技术方案为：包括用于管理三级密钥的密码设备，所述三级密钥分别为：主密钥、密钥加密密钥和量子密钥；其中，所述主密钥作为一级密钥；所述密钥加密密钥作为二级密钥；所述量子密钥作为三级密钥。该专利技术解决了传统三级密钥体系会话密钥由于基于算法生成会话密钥的安全隐患，解决了量子密钥体系中量子密钥存储的安全隐患，同时去掉了两端密钥加密密钥对称性的要求，降低了密钥加密密钥更新的复杂度。

技术实现思路

[0007]本专利技术提出一种面向安全存储的密钥管理协议设计方法及系统，以安全存储的密钥管理应用需求为牵引，设计了高安全、高可靠、可扩展的密钥管理协议簇，并构建了密钥管理系统保障安全存储环境下密钥的全生命周期安全，本专利技术可以有效满足安全性和高效性等要求。
[0008]本专利技术的一种面向安全存储的密钥管理协议设计方法，包括：
[0009]通过密钥管理客户端构造密钥请求消息并发送给密钥管理中心，接收并解析所述
密钥管理中心的应答消息，向应用程序提供请求消息的处理结果；当所述密钥管理客户端得到密钥时，将密钥加载到密码卡中实现密码运算；
[0010]通过所述密钥管理中心提供集中式密码管理，提供包括密钥注册、查询、撤销在内的服务，对密钥资源池进行分区、配置与管理，并提供管理员访问以及日志记录和审计跟踪；
[0011]通过所述密钥资源池中密钥产生器和密钥存储中心分别产生和存储密钥，所述密钥产生器采用量子噪声源产生密钥，所述密钥存储中心由硬件安全模块的集群构成；所述硬件安全模块能够作为整个加密基础设施的信任根，并能分成多个加密隔离的分区，每个分区能够作为独立保护多个独立密钥全生命周期的信任根。
[0012]进一步的，该密钥管理协议设计方法还包括密钥交换子协议：
[0013]用户在打开所述密钥管理客户端用户界面时，或者所述密钥管理客户端在过去的设定时间内没有和服务器有任何数据交互，触发密钥协商；所述密钥管理客户端与所述密钥管理中心基于椭圆曲线公钥密码算法，用各自的私钥和对方的公钥商定密钥加密密钥。
[0014]进一步的，密钥加密密钥自启用至设定时间后，如链路未传输数据，则更新密钥加密密钥；本地、异地的所述密钥存储中心在进行密钥备份时，也能够采用所述密钥交换子协议生成密钥加密密钥，进行链路加密保护。
[0015]进一步的，该密钥管理协议设计方法还包括密钥协商子协议：
[0016]选择量子密钥分发对密钥加密密钥进行密钥协商；单光子量子密钥分发系统采用BB84协议和Cascade协调算法实现两点之间的无条件安全密钥协商；连续变量量子密钥分发系统采用GG02协议和LDPC协商算法实现两点之间的无条件安全密钥协商。
[0017]进一步的，该密钥管理协议设计方法还包括密钥生成子协议：
[0018]主密钥采用人工离线的方式进行密钥注入生成，所述主密钥主要用于对密钥加密密钥和数据加密密钥进行加密保护；密钥加密密钥在所述主密钥控制下由安全算法生成；数据加密密钥的生成包括：逻辑卷创建时，所述密钥管理客户端接收到块存储客户端发送的数据加密密钥请求消息，向所述密钥管理中心发出密钥生成申请以生成数据加密密钥。
[0019]进一步的，该密钥管理协议设计方法还包括密钥分发子协议：
[0020]在逻辑卷进行读写操作时，所述密钥管理客户端向所述密钥管理中心申请获得密钥；当所述密钥管理中心同时收到所述密钥管理客户端发起的大量数据加密密钥申请时，建立请求/应答消息队列，解决密钥分配的优先接入与推迟接入；所述密钥管理中心评判用户等级强度；在同一线程内，安全性、可靠性强度越低，优先级越高，优先获得密钥分配的发送机会TXOP，所述TXOP表示所述密钥管理客户端的数据加密密钥分配传输的时间间隔，且满足：
[0021]TXOP＝CW
max
‑
CW
min
[0022]其中，CW
max
为最大竞争窗口，表示所述密钥管理客户端等待密钥分配的最大时间门限；CW
min
为最小竞争窗口，表示所述密钥管理客户端等待密钥分配的最小时间门限；优先级越高，CW
min
值越小；优先级越低，则所述TXOP值越大，CW
max
值越大。
[0023]进一步的，该密钥管理协议设计方法还包括密钥存储子协议：
[0024]数据加密密钥生成后存储于所述密钥资源池中，并存储于本地和异地的多个所述密钥存储中心；当所述密钥存储中心接收到所述密钥管理中心向其发送的数据加密密钥或
分量生成响应后，所述密钥存储中心生成并存储密钥，向本地与异地的所述密钥存储中心发送数据加密密钥或分量存储请求。
[0025]进一步的，该密钥管理协议设计方法还包括密钥更换子协议：
[0026]按照数据安全存储的保密管理方法，定期对数据加密密钥进行更换，生成新的密钥分量，密钥更新由用户需求驱动；所述密钥存储中心需先向所述密钥管理中心发送原密钥分量，再发送新密钥分量。
[0027]进一步的，该密钥管理协议设计方法还包括密钥销毁子协议：
[0028]块存储客户端完成数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向安全存储的密钥管理协议设计方法，其特征在于，包括：通过密钥管理客户端构造密钥请求消息并发送给密钥管理中心，接收并解析所述密钥管理中心的应答消息，向应用程序提供请求消息的处理结果；当所述密钥管理客户端得到密钥时，将密钥加载到密码卡中实现密码运算；通过所述密钥管理中心提供集中式密码管理，提供包括密钥注册、查询、撤销在内的服务，对密钥资源池进行分区、配置与管理，并提供管理员访问以及日志记录和审计跟踪；通过所述密钥资源池中密钥产生器和密钥存储中心分别产生和存储密钥，所述密钥产生器采用量子噪声源产生密钥，所述密钥存储中心由硬件安全模块的集群构成；所述硬件安全模块能够作为整个加密基础设施的信任根，并能分成多个加密隔离的分区，每个分区能够作为独立保护多个独立密钥全生命周期的信任根。2.根据权利要求1所述的一种面向安全存储的密钥管理协议设计方法，其特征在于，包括密钥交换子协议：用户在打开所述密钥管理客户端用户界面时，或者所述密钥管理客户端在过去的设定时间内没有和服务器有任何数据交互，触发密钥协商；所述密钥管理客户端与所述密钥管理中心基于椭圆曲线公钥密码算法，用各自的私钥和对方的公钥商定密钥加密密钥。3.根据权利要求2所述的一种面向安全存储的密钥管理协议设计方法，其特征在于，密钥加密密钥自启用至设定时间后，如链路未传输数据，则更新密钥加密密钥；本地、异地的所述密钥存储中心在进行密钥备份时，也能够采用所述密钥交换子协议生成密钥加密密钥，进行链路加密保护。4.根据权利要求1所述的一种面向安全存储的密钥管理协议设计方法，其特征在于，包括密钥协商子协议：选择量子密钥分发对密钥加密密钥进行密钥协商；单光子量子密钥分发系统采用BB84协议和Cascade协调算法实现两点之间的无条件安全密钥协商；连续变量量子密钥分发系统采用GG02协议和LDPC协商算法实现两点之间的无条件安全密钥协商。5.根据权利要求1所述的一种面向安全存储的密钥管理协议设计方法，其特征在于，包括密钥生成子协议：主密钥采用人工离线的方式进行密钥注入生成，所述主密钥主要用于对密钥加密密钥和数据加密密钥进行加密保护；密钥加密密钥在所述主密钥控制下由安全算法生成；数据加密密钥的生成包括：逻辑卷创建时，所述密钥管理客户端接收到块存储客户端发送的数据加密密钥请求消息，向所述密钥管理中心发出密钥生成申请以生成数据加密密钥。6.根据权利要求1所述的一种面向安全存储的密钥管理协议设计方法，其特征在于，包括密钥分发子协议：在逻辑卷进行读写操作时，所述密钥管理客户端向所述密钥管理中心申请获得密钥；当所述密钥管理中心同时收到所述密钥管理客户端发起的大量数据加密密钥申请时，建立请求/应答消息队列，解决密钥分配的优先接入与推迟接入；所述密钥管理中心评判用户等级强度；在同一线程内，安全性、可靠性强度越低，优先级越高，优先获得密钥分配的发送机会TXOP，所述TXOP表示所述密钥管理客户端的数据加密密钥分配传输的时间间隔，且满足：TXOP＝CW
max
‑
CW
min
其中，CW
max
为最大竞争窗口，表示所述密钥管理客户端等待密钥分配的最大时间门限；
CW
min
为最小竞争窗口，表示所述密钥管理客户端等待密钥分配的最小时间门限；优先级越高，CW
...

【专利技术属性】
技术研发人员：赵越，易仲强，苏宏，郝尧，陈宇翔，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：