[发明专利]安全存储资源保护方法、密钥发送端主机和可信根装置

说明书

本发明提供一种安全存储资源保护方法、密钥发送端主机和可信根装置，包括：密钥发送端主机接收可信根装置发送的第一密钥；所述密钥发送端主机对所述第一密钥使用传输密钥进行解密获取唯一加解密密钥；其中，所述第一密钥为所述可信根装置使用所述传输密钥对所述唯一加解密密钥进行加密得到的，一个可信根装置与一个密钥发送端主机对应且不同的可信根装置与不同的密钥发送端主机对应。本发明提供的方法、密钥发送端主机和可信根装置，降低了密钥对泄漏风险，且密钥对的获取分发流程更简单。

技术领域

本发明涉及存储资源技术领域，尤其涉及一种安全存储资源保护方法、密钥发送端主机和可信根装置。

背景技术

目前数据传输过程中的加密方法大都是采用对称加密算法。在使用对称加密算法时，密钥是算法的核心，因此应保证生成及传输过程中密钥的完全保密。目前常用的保障密钥安全的方法有使用数字证书和非对称加密技术。其中数字证书也是一种非对称密钥加密，而且一个组织可以使用证书并通过数字签名将一组公钥和私钥与其拥有者相关联。非对称加密技术是使用一组公私钥，加密时使用公钥，解密时使用私钥，公钥可以广泛共享。非对称加密算法有SM2、SM9等。

数字证书由认证中心(Certificate Authority，CA)颁发，密钥发送端需向CA进行注册生成数字证书。密钥传输前需要先传输此数字证书，此方式维护成本较高。

若采用非对称加密技术中的SM2算法，也需要先在发送端和接收端灌入密钥对，同时对所有数据加密的结果是相同的，一旦一个密钥被泄露将带来较大的安全风险。

因此，如何避免传统的密钥对一对多的被多个密钥接收端使用导致泄漏概率激增的情况，且向统一的CA获取密钥对时需要提前传输数字证书的复杂流程，仍然是本领域技术人员亟待解决的问题。

发明内容

本发明提供一种安全存储资源保护方法、密钥发送端主机和可信根装置，用以解决现有的传统的密钥对一对多的被多个密钥接收端使用导致泄漏概率激增的情况，且向统一的CA获取密钥对时需要提前传输数字证书的复杂流程的问题，通过为每个密钥发送端主机都配置一个可信根装置，每个可信根装置都采用加密的方式将生成的唯一加解密密钥发送给密钥发送端主机使用，如此，每一个密钥发送端主机都有自己唯一的加解密密钥可以使用，而不是多个密钥发送端主机都向同一CA获取同样的密钥对使用，避免密钥泄漏风险，而且可信根和密钥发送端主机的对应关系只需要在布设可信根装置时进行初始设置即可。

本发明提供一种安全存储资源保护方法，该方法的执行主体为密钥发送端主机，包括：

密钥发送端主机接收可信根装置发送的第一密钥；

所述密钥发送端主机对所述第一密钥使用传输密钥进行解密获取唯一加解密密钥；

其中，所述第一密钥为所述可信根装置对所述唯一加解密密钥使用所述传输密钥进行加密得到的，一个可信根装置与一个密钥发送端主机对应且不同的可信根装置与不同的密钥发送端主机对应。

根据本发明提供的一种安全存储资源保护方法，在所述密钥发送端主机接收可信根装置发送的第一密钥之前，还包括：

所述密钥发送端主机将所述传输密钥采用公钥进行加密得到第二密钥；

所述密钥发送端主机将所述第二密钥发送至所述可信根装置，以供所述可信根装置接收所述第二密钥后使用私钥进行解密得到所述传输密钥，所述公钥与所述私钥对应。

根据本发明提供的一种安全存储资源保护方法，所述密钥发送端主机将所述传输密钥采用公钥进行加密得到第二密钥，具体包括：

所述密钥发送端主机将所述传输密钥和密钥发送端主机ID采用公钥进行加密得到第二密钥；

对应地，所述可信根装置接收所述第二密钥后使用私钥进行解密得到所述传输密钥，具体包括：