多级跨域环境下的对称密钥管理方法技术

本发明专利技术涉及一种多级跨域环境下实现对称密钥管理的方法，包括多级跨域密钥管理层次体系、多级跨域对称密钥生成与存储机制、多级跨域对称密钥分发机制和多级跨域对称密钥更新机制。本发明专利技术还涉及一种多级跨域环境下实现对称密钥管理的系统、装置、处理器及其存储介质。采用了本发明专利技术的多级跨域环境下实现对称密钥管理的方法、系统、装置、处理器及其计算机可读存储介质，实现多级网络、跨安全域复杂环境下的安全便捷地对称密钥管理和使用，能够解决现有技术存在的系统间密钥耦合性过高、不适应多应用复杂业务场景应用需求、密钥更新速度慢且成本高等难点问题，有效提升了多级跨域环境下对称密钥管理和使用的安全性、可靠性、便捷性。便捷性。便捷性。

【技术实现步骤摘要】
多级跨域环境下的对称密钥管理方法


[0001]本专利技术涉及信息网络安全
，尤其涉及密码
，具体是指一种多级跨域环境下实现对称密钥管理的方法、系统、装置、处理器及其计算机可读存储介质。

技术介绍

[0002]对称密钥管理是密码系统安全的关键，包括对称密钥的生成、存储、备份、分发、加载、使用、更新、归档、销毁和恢复等各个阶段。单一信息系统及单一网域中的对称密钥管理技术较为成熟，由密码设备提供标准密钥管理指令接口，建立密钥管理系统以实现对称密钥的生成、分发等各项管理功能，并可根据需要实现多级管理。其中主要问题在于，多级密钥管理系统间的对称密钥具有强耦合性，单个系统对称密钥泄露将导致所有系统受到威胁，难以适应多级跨域应用需求；缺乏适用于多应用复杂业务场景的对称密钥管理机制，往往需要每个应用自行记录和管理其密钥操作，影响了密钥的正确、有效使用；多级密钥管理系统的密钥更新操作繁复，导致更新速度慢且成本很高。

技术实现思路

[0003]本专利技术的目的是克服了上述现有技术的缺点，提供了一种满足更新速度快、成本低、适用范围较为广泛的多级跨域环境下实现对称密钥管理的方法、系统、装置、处理器及其计算机可读存储介质。
[0004]为了实现上述目的，本专利技术的多级跨域环境下实现对称密钥管理的方法、系统、装置、处理器及其计算机可读存储介质如下：
[0005]该多级跨域环境下实现对称密钥管理的方法，其主要特点是，所述的方法包括多级跨域对称密钥生成与存储机制，具体包括以下步骤：
[0006](1
‑
1)生成并存储根对称密钥；
[0007](1
‑
2)生成并存储专用加密对称密钥；
[0008](1
‑
3)生成并存储应用模块对称密钥；
[0009](1
‑
4)生成数据处理对称密钥；
[0010](1
‑
5)生成数据传输对称密钥。
[0011]较佳地，所述的方法还包括多级跨域对称密钥分发机制，具体包括以下步骤：
[0012](2
‑
1)分发源点读取分发目标数字证书；
[0013](2
‑
2)使用分发目标数字证书中的公钥对待分发对称密钥进行加密；
[0014](2
‑
3)分发源点与分发目标基于各自数字证书进行相互认证后，使用硬件安全模块随机生成数据传输对称密钥；
[0015](2
‑
4)分发源点通过握手协议实现与分发目标间数据传输对称密钥共享；
[0016](2
‑
5)分发源点使用数据传输对称密钥对公钥加密后的待分发对称密钥进行加密；
[0017](2
‑
6)分发源点将加密结果传输给分发目标。
[0018]较佳地，所述的方法还包括多级跨域对称密钥更新机制，具体包括以下步骤：
[0019](3
‑
1)密钥管理系统按照多级跨域对称密钥生成与存储机制生成新的根对称密钥与专用加密对称密钥；
[0020](3
‑
2)密钥管理系统采用多级跨域对称密钥分发机制的在线分发方式将新专用加密对称密钥分发到管理范围内所有的密钥管理代理；
[0021](3
‑
3)密钥管理代理模块将新专用加密对称密钥存储到硬件安全模块；
[0022](3
‑
4)密钥管理代理模块使用旧专用加密对称密钥解密其所有应用模块对称密钥；
[0023](3
‑
5)密钥管理代理模块用新专用加密对称密钥重新加密其所有应用模块对称密钥；
[0024](3
‑
6)密钥管理代理模块销毁旧专用加密对称密钥；
[0025](3
‑
7)密钥管理代理模块通知密钥管理系统专用加密对称密钥更新结果；
[0026](3
‑
8)密钥管理系统将旧根对称密钥归档。
[0027]较佳地，所述的步骤(1
‑
1)具体为：
[0028]密钥管理系统通过硬件安全模块产生其根对称密钥，并将根对称密钥生成信息通过基于系统数字证书建立的安全通道向密钥管理中心备案。
[0029]较佳地，所述的步骤(1
‑
2)具体为：
[0030]密钥管理系统针对管理范围内的某个密钥管理代理，通过硬件安全模块使用根对称密钥根据密钥管理代理标识分散生成专用加密对称密钥。
[0031]较佳地，所述的步骤(1
‑
3)具体为：
[0032]密钥管理系统针对管理范围内的某个安全域或信息系统，通过硬件安全模块生成应用模块对称密钥，并建立应用模块对称密钥生成电子档案。
[0033]较佳地，所述的步骤(1
‑
4)具体为：
[0034]密钥管理代理模块使用应用模块对称密钥根据信息系统标识信息和时间戳信息进行密钥分散，生成数据处理对称密钥。
[0035]较佳地，所述的步骤(1
‑
5)具体为：
[0036]密钥管理中心、密钥管理系统、密钥管理代理、密码应用模块之间在数据通信时基于数字证书相互认证，使用硬件安全模块随机生成数据传输对称密钥。
[0037]该实现上述方法的多级跨域环境下实现对称密钥管理的系统，其特征在于，所述的系统包括：
[0038]密钥管理中心，用于对整个多级跨域环境下所有密钥管理系统进行管理；
[0039]密钥管理系统，与所述的密钥管理中心相连接，用于生成系统根非对称密钥，并向密钥管理中心提交系统注册信息和申请系统数字证书，并接收审核通过后签发的系统数字证书；
[0040]密钥管理代理模块，与所述的密钥管理系统相连接，用于对一个或多个安全域的对称密钥进行管理与服务；
[0041]密码应用模块，与所述的密钥管理代理模块和密钥管理系统相连接，用于向一个或多个信息系统提供密码服务。
[0042]该用于实现多级跨域环境下的对称密钥管理的装置，其主要特点是，所述的装置
包括：
[0043]处理器，被配置成执行计算机可执行指令；
[0044]存储器，存储一个或多个计算机可执行指令，所述的计算机可执行指令被所述的处理器执行时，实现上述的多级跨域环境下实现对称密钥管理的方法的各个步骤。
[0045]该用于实现多级跨域环境下的对称密钥管理的处理器，其主要特点是，所述的处理器被配置成执行计算机可执行指令，所述的计算机可执行指令被所述的处理器执行时，实现上述的多级跨域环境下实现对称密钥管理的方法的各个步骤。
[0046]该计算机可读存储介质，其主要特点是，其上存储有计算机程序，所述的计算机程序可被处理器执行以实现上述的多级跨域环境下实现对称密钥管理的方法的各个步骤。
[0047]采用了本专利技术的多级跨域环境下实现对称密钥管理的方法、系统本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多级跨域环境下实现对称密钥管理的方法，其特征在于，所述的方法包括多级跨域对称密钥生成与存储机制，具体包括以下步骤：(1
‑
1)生成并存储根对称密钥；(1
‑
2)生成并存储专用加密对称密钥；(1
‑
3)生成并存储应用模块对称密钥；(1
‑
4)生成数据处理对称密钥；(1
‑
5)生成数据传输对称密钥。2.根据权利要求1所述的多级跨域环境下实现对称密钥管理的方法，其特征在于，所述的方法还包括多级跨域对称密钥分发机制，具体包括以下步骤：(2
‑
1)分发源点读取分发目标数字证书；(2
‑
2)使用分发目标数字证书中的公钥对待分发对称密钥进行加密；(2
‑
3)分发源点与分发目标基于各自数字证书进行相互认证后，使用硬件安全模块随机生成数据传输对称密钥；(2
‑
4)分发源点通过握手协议实现与分发目标间数据传输对称密钥共享；(2
‑
5)分发源点使用数据传输对称密钥对公钥加密后的待分发对称密钥进行加密；(2
‑
6)分发源点将加密结果传输给分发目标。3.根据权利要求1所述的多级跨域环境下实现对称密钥管理的方法，其特征在于，所述的方法还包括多级跨域对称密钥更新机制，具体包括以下步骤：(3
‑
1)密钥管理系统按照多级跨域对称密钥生成与存储机制生成新的根对称密钥与专用加密对称密钥；(3
‑
2)密钥管理系统采用多级跨域对称密钥分发机制的在线分发方式将新专用加密对称密钥分发到管理范围内所有的密钥管理代理；(3
‑
3)密钥管理代理模块将新专用加密对称密钥存储到硬件安全模块；(3
‑
4)密钥管理代理模块使用旧专用加密对称密钥解密其所有应用模块对称密钥；(3
‑
5)密钥管理代理模块用新专用加密对称密钥重新加密其所有应用模块对称密钥；(3
‑
6)密钥管理代理模块销毁旧专用加密对称密钥；(3
‑
7)密钥管理代理模块通知密钥管理系统专用加密对称密钥更新结果；(3
‑
8)密钥管理系统将旧根对称密钥归档。4.根据权利要求1所述的多级跨域环境下实现对称密钥管理的方法，其特征在于，所述的步骤(1
‑
1)具体为：密钥管理系统通过硬件安全模块产生其根对称密钥，并将根对称密钥生成信息通过基于系统...

【专利技术属性】
技术研发人员：邹翔，倪力舜，梁皓，陈兵，张琳琳，
申请(专利权)人：公安部第三研究所，
类型：发明
国别省市：