一种实现终端设备一机一密的方法技术

本发明专利技术公开了一种实现终端设备一机一密的方法，可支持多个初始密钥ITMK；任意两台终端设备传输密钥TMK和工作密钥WK均不相同；传输密钥TMK和工作密钥WK都由密码机随机产生并输出密钥密文，密钥使用中，密钥明文不以任何形式输出到密码机外部，极大保障密钥的安全性；传输密钥TMK和工作密钥WK存储在系统数据库中，可满足更新频率较高和终端数量大的需求，同时，结合密码机设备密钥LMK的切换技术，在需要进行多机热备的情况下，使得密钥同步简单易行，在保障安全性的同时，有效减少密码机多机热备下密钥同步带来的极大开销甚至不可操作。

【技术实现步骤摘要】

【技术保护点】
一种实现终端设备一机一密的方法，其特征在于：包括如下步骤：步骤一、密码机随机产生一个密码机设备密钥的n个分量LMK1‑LMKn；步骤二、在密码机中注入LMK1‑LMKn，密码机根据密钥合成算法计算并保存密码机设备密钥LMK；步骤三、密码机根据设备密钥LMK和密钥扩展算法计算并保存密码机设备密钥集LMKs；步骤四、密码机随机产生一个传输密钥的n个分量，并输出密钥分量明文ITMK1‑ITMKn；步骤五、分别在设备端和密码机中注入ITMK1‑ITMKn，，设备端和密码机根据设定的密钥合成算法计算得到初始密钥ITMK；步骤六、设备端向服务端申请密钥；步骤七、服务端查询该设备是否有传输密钥TMK：如果有，则服务端直接申请工作密钥，然后跳到步骤十一；如果无，则服务端先向密码机申请传输密钥TMK，然后进入步骤八；步骤八、密码机随机产生传输密钥TMK，根据密钥类型从密码机设备密钥集LMKs选取一对LMK，并将用密码机设备密钥LMK和初始密钥ITMK加密的传输密钥密文CTMK1和CTMK2返回给服务端；步骤九、服务端保存传输密钥密文CTMK1；步骤十、服务端将用初始密钥加密的传输密钥密文CTMK2发送给设备端；步骤十一、服务端向密码机申请不同类型的工作密钥WK1‑WKn；步骤十二、密码机随机产生工作密钥WK1‑WKn，根据密钥类型从密码机设备密钥集LMKs选取一对LMK，并将用密码机设备密钥LMK和传输密钥TMK加密的工作密钥密文CWK1和CWK2返回给服务端；步骤十三、服务端保存密码机设备密钥LMK加密的工作密钥密文CWK1；步骤十四、服务端将传输密钥加密的工作密钥密文CWK2发送给设备端；步骤十五、设备端保存收到的下发密钥传输密钥TMK和工作密钥WK。...

【技术特征摘要】

【专利技术属性】
技术研发人员：黄锦，
申请(专利权)人：成都卫士通信息产业股份有限公司，
类型：发明
国别省市：四川;51