密钥管理机制制造技术

本发明专利技术涉及计算机信息安全领域，公开了安全、方便的密钥管理机制，首先对处于初始状态下的密码设备进行原始初始化，再生成设备签名密钥和管理员签名密钥，签发出所有管理员证书，再生成密钥备份密钥、备份设备密钥、存储设备密钥，完成原始初始化，再就处于就绪状态的密码设备进行上电初始化，按照本发明专利技术的技术方案，确保密钥的安全管理，通过密钥的各类初始化说明初始化的方式及过程，确保密钥的安全使用，从而解决密码设备在密钥管理及使用上到达安全可靠的难题。

【技术实现步骤摘要】

本专利技术涉及计算机信息安全领域，尤其涉及一种应用于以PKI技术为基础的信息 安全设备中，以确保该设备中密钥管理的安全、方便的密钥管理机制。
技术介绍
目前，在以PKI技术为基础的信息安全设备中，长出现密钥管理不符合要求，出现 设备密钥的使用无法达到符合不对应用系统开放的要求，密钥没有用安全的方法产生并存 储；除公钥外的密钥常会出现以明文形式出现在密码设备外；密码设备内部存储的密钥不 具备有效的密钥保护机制，会出现外人解剖、探测和非法读取的现象；同时密码设备内部存 储的密钥不具备权限控制机制，经常出现非法使用和非法导出的情况；总之，无法有一种密 钥管理的有效策略。
技术实现思路
本专利技术针对现有技术中存在的设备密钥的使用无法符合客户要求，无法解决密码 设备在密钥管理及使用上安全性的问题，提供了一种安全、方便的密钥管理机制。为了解决上述技术问题，本专利技术通过下述技术方案得以解决一、先阐述下密钥的分类和作用一般，系统中有五类密钥，其中1 4为管理用的密钥，主要用于密钥管理，5为工 作用的密钥，主要为外部应用提供密码服务1、设备密钥非对称算法的密钥，是密码设备的身份密钥，用于与管理中心的本文档来自技高网...

【技术保护点】
密钥管理机制，其特征在于：所述密钥管理的步骤如下：第一步骤：对处于初始状态下的密码设备进行原始初始化，即清除密码设备密钥存储区的所有密钥，生成２个１２８位的称为成分１和成分２的对称密钥，将成分１存放于密码设备的密钥存储区，成分２暂存于内存中；第二步骤：再生成设备签名密钥，即生成一对公私钥作为设备的签名密钥存入到该密钥的签名密钥存储区，将设备签名密钥复制到设备加密密钥存储区，让密码设备处于就绪状态；第三步骤：再生成管理员签名密钥，即在支持非对称密码算法的密码介质上产生一对公私钥作为管理员签名密钥，其公钥由设备签名私钥签发成管理员证书，将管理员证书和保护密钥的成分２下载到管理员密码介质中；第四步骤...

【技术特征摘要】
密钥管理机制，其特征在于所述密钥管理的步骤如下第一步骤对处于初始状态下的密码设备进行原始初始化，即清除密码设备密钥存储区的所有密钥，生成2个128位的称为成分1和成分2的对称密钥，将成分1存放于密码设备的密钥存储区，成分2暂存于内存中；第二步骤再生成设备签名密钥，即生成一对公私钥作为设备的签名密钥存入到该密钥的签名密钥存储区，将设备签名密钥复制到设备加密密钥存储区，让密码设备处于就绪状态；第三步骤再生成管理员签名密钥，即在支持非对称密码算法的密码介质上产生一对公私钥作为管理员签名密钥，其公钥由设备签名私钥签发成管理员证书，将管理员证书和保护密钥的成分2下载到管理员密码介质中；第四步骤重复第三步骤，签发出所有的管理员证书，然后清除内存中的密钥保护密钥成分2；第五步骤再生成密钥备份密钥，即清除密码设备的用户工作密钥存储区，然后生成128位对称密钥作为密钥备份密钥，存放于该密钥的存储区，用秘密共享机制将该密钥分割为三份，将三个密钥成份分别用三个保管者的口令各自加密，密文交三个保管者保存；第六步骤进行备份设备密钥，即调出管理员密码介质中的密钥保护密钥的成分2，与密钥备份密钥模二加，其结果作为对称算法的密钥，加密设备密钥，加密结果另行保存；第七步骤再进行存储设备密钥，即调出管理员密码介质中的密钥保护密钥的成分2，与密码设备存储区中的密钥保护密钥成分1模二加，其结果作为对称算法的密钥，加密设备密钥和密钥备份密钥，对密文做校验和，连同密文存入密码设备密钥存储区，至此原始初始...

【专利技术属性】
技术研发人员：刘平，徐强，
申请(专利权)人：无锡江南信息安全工程技术中心，
类型：发明
国别省市：32[中国|江苏]