[发明专利]一种基于共享技术的UsbKey密钥管理方法

摘要

本发明提供一种基于共享技术的UsbKey秘钥管理方案，应用于需要进行密钥分割以及权限分配的安全领域，其过程在于密码设备的初始化，包括生成管理员密钥与设备密钥、生成设备主密钥、备份密钥、生成密钥保护密钥以及用户密钥；保护密钥的备份与恢复等环节，再就是处于就绪状态下的密码设备的上电初始化。本发明的方法可以避免密钥的泄露以及密钥权限单一的问题，确保密钥的安全管理与透明使用，保证密码设备在使用以及密钥管理方面的安全性和可靠性。

主权项

基于共享技术的UsbKey密钥管理方法，应用于信息安全领域，其特征在于，包括下列步骤：S1：清空密码设备的所有存储空间，完成密码设备出厂的原始初始化，在管理员UsbKey中生成管理员密钥对，将公钥从管理员UsbKey中导入到密码设备密码存储区，并在密码设备内做好管理员UsbKey的序列号与公钥的一一对应；S2：在密码设备中生成设备密钥，保存在密码设备对应的密码存储区，并签发管理员证书，完成管理员UsbKey的制作，并用PIN码保护，让密码设备处于就绪状态，S3：生成密码设备的主密钥，暂时存储在密码设备内存中，掉电会丢失；S4：通过密管中心生成备份密钥、用户密钥对与密钥加密保护密钥，并用设备主密钥加密所有生成的用户密钥对与密钥加密保护密钥，存储在密码设备密码对应存储区；S5：制作操作员UsbKey，在操作员UsbKey中生成密钥对，将公钥从操作员UsbKey中导入到密码设备的密码存储区，并用PIN码保护，以便实现操作员与加密设备的认证，完成设备主密钥的分割与对密钥份额的加密，通过设备密钥的公钥加密后导入到操作员UsbKey中，至此完成初始化工作；S6：通过操作员UsbKey与密码设备的双向认证后，密码设备通过解密获得密钥份额，恢复出设备主密钥，解密出存储在密码设备存储区的用户密钥对与密钥加密保护密钥，完成后续的密码操作，至此密码设备上电初始化工作完成；该密钥管理方法所运用的非对称密钥算法均是基于SM2椭圆ECC密码算法，且管理员密钥UsbKey的签发，必须在密码设备处于原始初始化状态下，按下列步骤进行：A：清空密码设备的所有存储空间，在UsbKey中生成并存储ECC管理员密钥对，将公钥从UsbKey中导出，导入到密码设备加密密码存储区；B：在密码设备中生成设备密钥，包括密钥加密密钥对、密钥签名密钥对，保存在密码设备对应的密码存储区；C：管理员UsbKey的制作，在密码设备上插上UsbKey，密码设备产生一个随机数列，发送给管理员UsbKey，UsbKey使用已生成的ECC私钥签名随机数，回传给密码设备做验证，验证通过作后续操作；D：利用密码设备签名私钥将存储在加密存储区的管理员公钥签发成管理员证书，将管理员证书下载到管理员UsbKey中，并用PIN码校验保护；E：重复步骤C、D，签发出所有的管理员证书；所述S5的操作员UsbKey的制作，必须在密码设备处于就绪化的情况下，完成对操作员UsbKey的操作，包括：S5.1：生成密码设备的主密钥，暂时存储在密码设备内存中，掉电会丢失；S5.2：通过密管中心在密码设备内生成备份密钥、用户密钥对与密钥加密保护密钥，并用设备主密钥加密所有生成的用户密钥对与签名密钥对，存储在密码设备密码对应存储区；S5.3：插入管理员UsbKey，PIN码校验通过后，通过UsbKey中的数字证书，完成管理员与密码设备的身份识别的验证，验证通过作后续操作；S5.4：制作操作员UsbKey，保持管理员UsbKey在的情况下，在空UsbKey中生成密钥对，将公钥从UsbKey中导入到密码设备的加密密码存储区，利用密码设备签名私钥将操作员UsbKey的公钥签发成操作员证书，并下载到操作员UsbKey中，并设置PIN码保护；以便实现后续操作员与加密设备的认证；S5.5：完成设备主密钥的分割与密钥份额的加密，通过设备密钥的加密公钥加密后导入到不同的操作员UsbKey中；所述S6的上电初始化，必须在密码设备处于初始化工作下，必须有满足预先设定的满足密钥共享技术的(k，n)门限下的k个操作员密钥UsbKey共同参与才能执行，且按下列步骤进行：S6.1：密码设备重新上电后，插上操作员UsbKey，PIN码校验后，通过UsbKey内部的签名证书，完成与密码设备的交互认证，通过作后续操作；S6.2：利用设备密钥的私钥解密出设备主密钥的密钥份额，带入到特征多项式中，恢复出设备主密钥；S6.3：利用恢复的设备主密钥解密出用户密钥对以及密钥加密保护密钥，完成密码设备的上电初始化，开始进行对密码设备的操作。