[发明专利]一种实现软密码模块的方法、系统、存储介质及终端

说明书

本发明属于密码技术领域，公开了一种实现软密码模块的方法、系统、存储介质及终端，所述实现软密码模块的方法包括：利用随机数生成单元进行熵源的管理和随机数生成；利用密钥管理单元生成密钥对、基于PIN码派生函数KDF生成KEK以及对工作密钥等CSP的安全存储以及PSP的MAC校验；利用SSL通信单元与安全服务平台建立SSL安全通道并从安全服务平台获取多种工作密钥；利用密服务单元提供密码数据加解密、MAC计算、签名验签和实体鉴别服务。针对软密码模块面临的2个核心问题，本发明提供的实现软密码模块的方法与SDK，尤其涉及随机数熵源的选择和随机数的产生，密钥安全存储和密码服务等。

技术领域

本发明属于密码技术领域，尤其涉及一种实现软密码模块的方法、系统、存储介质及终端。

背景技术

目前，有关机关和部门站在安全战略的长远角度提出了推广国密算法与加强网络安全建设，并且在大力发展政务云。密码算法是保障信息安全的核心技术，特别是大数据时代，在保护计算机及政务云安全系统的需求下，密码应用的需求日益增强，数据需要密码的保护来防止非授权的访问。密码技术能够实现实体鉴别和不可抵赖等安全服务，但密码的安全性和可靠性直接取决于实现它们的安全密码模块。

在密码应用系统中，如何保护及使用敏感的密钥信息对整个密码应用系统的安全强度有着至关重要的影响。一般由两种方式来使用敏感的密钥信息：软件密码模块在主机内存中使用密钥；硬件密码模块，密钥存储及使用均在扩展板卡或其他嵌入式密码设备中进行，该嵌入式设备要嵌入到服务器中使用。

对于软件的密码模块，存在一些有待完善和不足的地方，软件密码模块缺乏硬件模块那样清晰的安全边界，软件密码模块运行在一个不受控、不可信的环境中，密钥保护措施存在不满足密码应用基本要求的风险。

随着政务云的普及，以及需要处理的业务数据量的飞跃式发展，依赖于硬件密码卡模块的密码计算不能满足数据处理的要求，一是成本不断提高，二是处理效率低。为此，需要能够在云操作系统内安全计算的软密码模块，软密码模块需要解决2个核心问题：

一是随机源和随机数问题。通常的随机数依赖硬件密码模块的随机数芯片产品真随机数，在软件环境中，如何选择熵源并进行伪随机处理，确保熵源的熵值满足要求，在此熵源下实现一种随机数生成方法，产生的随机数满足随机数检测要求；

二是密钥的存储问题。通常设备密钥或根密钥存储在安全存储芯片中，在开放的系统环境下，软密码模块中，如何生成密钥保护密钥KEK，不存储KEK的同时，密钥需要解密时能按期生成相同的KEY。

发明内容

针对现有技术需要解决的问题，本发明提供了一种实现软密码模块的方法、系统、存储介质及终端。

本发明是这样实现的，一种实现软密码模块的方法包括：随机数生成单元为SSL通信单元提供随机数支持，软密码模块从安全服务平台获取工作密钥，由密钥管理单元进行管理保护和存储工作，工作密钥用于密码服务单元，为应用或服务提供密码服务。

具体包括：随机数生成单元生成随机数并且提供给密钥管理单元、SSL通信单元以及密码服务单元使用；SSL通信单元使用随机数与安全服务平台建立SSL通信安全通道从安全服务平台获取工作密钥；

对获取的工作密钥由密钥管理单元进行管理保护和存储，以及利用获取的工作密钥用于密码服务单元，为应用或服务提供密码服务。

进一步，实现软密码模块的方法还包括：随机数生成单元生成随机数以及公私钥对，通过SSL通信单元，从安全服务平台获取工作密钥，密钥管理单元利用PIN码和盐值(随机数生成单元生成的随机数)分别派生出私钥保护密钥和HMAC密钥，前者用来加密工作密钥、私钥和随机数等关键安全参数(CSP)，保证其机密性；后者用来对公钥、盐值和决定性随机比特发生器(DRNG)的阈值等公共安全参数(PSP)做MAC校验，保证其完整性；密码服务单元解密获取工作密钥为应用提供密码服务，随后对私钥保护密钥和HMAC密钥进行销毁。