CN102868521B - 一种增强对称密钥体系的密钥传输方法 - Google Patents
一种增强对称密钥体系的密钥传输方法 Download PDFInfo
- Publication number
- CN102868521B CN102868521B CN201210335845.7A CN201210335845A CN102868521B CN 102868521 B CN102868521 B CN 102868521B CN 201210335845 A CN201210335845 A CN 201210335845A CN 102868521 B CN102868521 B CN 102868521B
- Authority
- CN
- China
- Prior art keywords
- key
- machine
- secret key
- card
- cipher machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Lock And Its Accessories (AREA)
Abstract
本发明公开了一种增强对称密钥体系的密钥传输方法,包括以下步骤:(1)密钥管理***通过网络分别与主密码机和目标密码机连接;(2)密钥管理***通过网络调用主密码机随机产生共享的保护密钥;(3)主密码机利用自身的读卡器将保护密钥写入保护密钥IC卡中;(4)将保护密钥IC卡中的密钥数据导入目标密码机中,实现主密码机与目标密码机之间保护密钥的共享。本发明的有益效果是:可通过密钥管理***对密码机直接完成所有密钥发行操作,确保密钥传输过程(导入和导出)的安全。该技术不会因为需要借助本地读卡器、IC卡以及数据线执行相关操作而泄露IC卡中的敏感信息,导致对称密钥体系整体安全性下降后引发严重的后果。
Description
技术领域
本发明涉及信息安全密码技术领域,尤其是一种增强对称密钥体系的密钥传输方法。
背景技术
密码技术是信息安全的基础技术,密钥则是密码技术安全应用的基础和信息化安全的核心元素。随着我国信息化产业的高速全面发展,基于对称密钥体系的密钥管理***也进入全面的建设阶段,***中涉及的密钥传输过程面临着越来越严格安全性要求。
传统的密钥传输通常采用IC卡导入密码机的方式,完成IC卡到密码机之间的密钥传输过程。工作时在密钥管理***中输入相关信息和配置所需要的参数,比如:IC卡类型、IC卡口令等信息,密钥管理***利用读卡器读取IC卡中的敏感数据并封装格式,通过网络传输给密码机;密码机接收到指令、敏感数据和配置参数解析并执行后,将结果返回密钥管理***,完成密钥传输操作。
密钥管理***通常在本地利用读卡器将IC卡中的敏感数据进行读取,此过程存在安全风险。密钥管理***在本地读取的敏感数据容易被木马、病毒等后门程序截获而泄露,导致敏感数据被篡改。同时,IC卡片个体较小,在卡片传递过程中极易造成卡片丢失,给相关管理部门带来了安全隐患。非法人员对丢失的卡片进行破解攻击和分析,极易造成敏感数据的泄露,从而引发严重的后果。
发明内容
本发明的目的是提供一种增强对称密钥体系的密钥传输方法,该方法直接对密码机进行密钥发行操作,能解决上述密钥传输过程中存在的安全风险,提
高密钥传输的安全性。
为了达到上述目的,本发明采用的技术方案为:一种增强对称密钥体系的密钥传输方法,包括以下步骤:
(1)密钥管理***通过网络分别与主密码机和目标密码机连接;
(2)密钥管理***通过网络调用主密码机随机产生共享的保护密钥;
(3)主密码机利用自身的读卡器将保护密钥写入保护密钥IC卡中;
(4)将保护密钥IC卡中的密钥数据导入目标密码机中,实现主密码机与目标密码机之间保护密钥的共享;
(5)利用主密码机产生密钥授权控制IC卡1,目标密码机产生密钥授权控制IC卡2;
(6)密钥管理***利用主密码机的保护密钥对主密码机内部需要发行的密钥数据进行加密并导出到密钥管理***,密钥导出过程受到密钥授权控制IC卡1的控制;
(7)密钥管理***再将从主密码机获取的密钥导入到目标密码机,目标密码机利用自身的保护密钥进行解密数据,密钥导入过程受到密钥授权控制IC卡2的控制。
优选步骤:主密码机和目标密码机的内部进行密钥区域划分。
优选步骤:所述密钥区域划分的划分方法为:主密码机和目标密码机的内部均划分为三个区域即A区域、B区域和C区域。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1. 密钥传输采用点对点的方式进行传输,传输过程始终处于密态;
2. 密钥明文不出密码机,只有密码机内部才能出现明文密钥;
3. 密钥发行双方须共享保护密钥,增强密钥导入的安全性;
4. 对密码机内部存储的密钥区域进行划分,不同区域范围内的密钥具有不同的密钥保护导出功能,增强密钥导出的安全性;
5. 密钥管理***发行密码机时,必须在密码机中***密钥授权控制IC卡,该卡完成密钥导入(发行)操作的授权控制,确保在合法的授权控制范围内完成密钥导入过程;
6. 该技术具有简单、安全、快捷的优点,在增强密钥传输过程的安全性上具有明显的自身优势;
采用本发明的技术方法,不但能在实际应用时彻底避免因本地借助读卡器操作IC卡带来的安全风险,而且增强了密钥传输过程的安全,提高了对称密钥体系的整体安全。同时,密钥管理***采用直接发行密码机的操作方式,避免因IC卡管理不善造成敏感信息泄露的安全隐患,降低了用户实际使用时的技术要求,减少了用户的人力和设施等实际投入成本,简化了密码机机密钥发行操作的难度,极大提升了用户使用和维护的效率。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是传统的密钥传输方式示意图;
图2是本发明的密钥传输方式示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
图1是当前传统的密钥传输方式(IC卡导入密码机),密钥管理***在本地借助读卡器读取IC卡中的敏感信息,并通过网络方式将敏感信息导入到密码机中进行存储。此过程没有进行密钥保护,没有对密钥进行分区管理,没有完善的授权控制机制,因此存在较大的安全隐患。
图2是采用本发明方法增强密钥传输安全性的示意图。密钥管理***和密码机共享保护密钥,密钥管理***将保护后的密钥利用网络导入到密码机中,密码机利用自身的保护密钥解密密钥数据,获取真正的密钥数据,并存储在密码机中,增强了密钥传输过程的安全。密钥导入过程中,受到严格的密钥授权卡的权限控制,确保密钥导入操作的合法性。
密码机内部进行密钥区域划分,实现密钥分区管理,保证密钥保护导出过程的安全。密码机内部根据密钥索引号范围(0--999)进行密钥区域划分(例如:A区(0--300)、B区(301--600)、C区(601--999)),具体的区域划分数量可以根据实际的应用情况进行定义。密码机将不同属性的密钥分别导入或存储到不同的密钥区域中,根据不同密钥区域定义的使用权限,控制不同密钥区域中密钥的使用范围(如:允许导入、允许导出;允许导入,禁止导出;允许导出、禁止导入等操作限制)。通过密钥区域划分机制实现了密钥传输使用范围的安全控制,确保了密码机内部密钥的使用安全,此处的不同属性为自定义,除了划分为三个区域外,还可以划分为四个区域,六个区域,八个区域等。
另外,本发明方法免去了本地借助读卡器操作IC的方式,避免因IC卡操作不当或管理不善造成敏感信息泄露的安全隐患。
各关键过程详细说明如下:
(1)密钥管理***通过网络分别与主密码机和目标密码机连接;
(2)密钥管理***通过网络调用主密码机随机产生共享的保护密钥;
(3)主密码机利用自身的读卡器将保护密钥写入保护密钥IC卡中;
(4)将保护密钥IC卡中的密钥数据导入目标密码机中,实现主密码机与目标密码机之间保护密钥的共享;
(5)利用主密码机产生密钥授权控制IC卡1,目标密码机产生密钥授权控制IC卡2;
(6)密钥管理***利用主密码机的保护密钥对主密码机内部需要发行的密钥数据进行加密并导出到密钥管理***,密钥导出过程受到密钥授权控制IC卡1的控制;
(7)密钥管理***再将从主密码机获取的密钥导入到目标密码机,目标密码机利用自身的保护密钥进行解密数据,密钥导入过程受到密钥授权控制IC卡2的控制。
密钥授权控制卡是由密码机产生,负责密码机密钥导入授权控制操作。当密钥管理***对密码机进行密钥传输操作时,需要将密钥授权控制卡***到密码机中,由密钥授权控制卡进行密钥导入操作的权限控制,配置密钥管理***完成密码机之间的密钥发行和传输。
主密码机和目标密码机的内部均划分为三个区域即A区域、B区域和C区域。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (3)
1.一种增强对称密钥体系的密钥传输方法,其特征在于:包括以下步骤:
(1)密钥管理***通过网络分别与主密码机和目标密码机连接;
(2)密钥管理***通过网络调用主密码机随机产生共享的保护密钥;
(3)主密码机利用自身的读卡器将保护密钥写入保护密钥IC卡中;
(4)将保护密钥IC卡中的密钥数据导入目标密码机中,实现主密码机与目标密码机之间保护密钥的共享;
(5)利用主密码机产生密钥授权控制IC卡1,目标密码机产生密钥授权控制IC卡2;
(6)密钥管理***利用主密码机的保护密钥对主密码机内部需要发行的密钥数据进行加密并导出到密钥管理***,密钥导出过程受到密钥授权控制IC卡1的控制;
(7)密钥管理***再将从主密码机获取的密钥导入到目标密码机,目标密码机利用自身的保护密钥进行解密数据,密钥导入过程受到密钥授权控制IC卡2的控制。
2.根据权利要求1所述的一种增强对称密钥体系的密钥传输方法,其特征在于:主密码机和目标密码机的内部进行密钥区域划分。
3.根据权利要求2所述的一种增强对称密钥体系的密钥传输方法,其特征在于:所述密钥区域划分的划分方法为:主密码机和目标密码机的内部均划分为三个区域即A区域、B区域和C区域。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210335845.7A CN102868521B (zh) | 2012-09-12 | 2012-09-12 | 一种增强对称密钥体系的密钥传输方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210335845.7A CN102868521B (zh) | 2012-09-12 | 2012-09-12 | 一种增强对称密钥体系的密钥传输方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102868521A CN102868521A (zh) | 2013-01-09 |
CN102868521B true CN102868521B (zh) | 2015-03-04 |
Family
ID=47447128
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210335845.7A Active CN102868521B (zh) | 2012-09-12 | 2012-09-12 | 一种增强对称密钥体系的密钥传输方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102868521B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103729942B (zh) * | 2013-03-15 | 2016-01-13 | 福建联迪商用设备有限公司 | 将传输密钥从终端服务器传输到密钥服务器的方法及*** |
CN104363090A (zh) * | 2014-11-19 | 2015-02-18 | 成都卫士通信息产业股份有限公司 | 一种增强银行终端设备安全性的密钥分发装置和方法 |
CN107070642B (zh) * | 2016-12-26 | 2020-07-21 | 贵州银行股份有限公司 | 多品牌密码机异构资源池复用技术 |
CN112115514A (zh) * | 2020-09-27 | 2020-12-22 | 浪潮云信息技术股份公司 | 一种金融ic卡的在线请求合法性验证方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101281585A (zh) * | 2008-05-07 | 2008-10-08 | 北京知安信科技有限公司 | 智能密码钥匙以及智能ic卡的管理口令之管理方法 |
CN101945099A (zh) * | 2010-07-27 | 2011-01-12 | 公安部第三研究所 | 一种智能卡外部认证方法 |
-
2012
- 2012-09-12 CN CN201210335845.7A patent/CN102868521B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101281585A (zh) * | 2008-05-07 | 2008-10-08 | 北京知安信科技有限公司 | 智能密码钥匙以及智能ic卡的管理口令之管理方法 |
CN101945099A (zh) * | 2010-07-27 | 2011-01-12 | 公安部第三研究所 | 一种智能卡外部认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102868521A (zh) | 2013-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106301774B (zh) | 安全芯片、其加密密钥生成方法和加密方法 | |
CN103580855B (zh) | 一种基于共享技术的UsbKey密钥管理方法 | |
CN105871558B (zh) | 一种基于u盘物理序列号的数控***权限管理方法 | |
CN101815291A (zh) | 一种自动登录客户端的方法和*** | |
CN104376631B (zh) | 一种基于商用密码算法的安全门禁***的实现方法 | |
CN104463016B (zh) | 一种适用于ic卡及二维码的数据安全存储方法 | |
WO2014149490A4 (en) | Secure end-to-end permitting system for device operations | |
CN106452764A (zh) | 一种标识私钥自动更新的方法及密码*** | |
CN103077467A (zh) | 一种验证产品真伪的方法和*** | |
CN102868521B (zh) | 一种增强对称密钥体系的密钥传输方法 | |
CN103186723B (zh) | 数字内容安全协作的方法和*** | |
CN101894235A (zh) | 一种智能卡安全会话*** | |
CN107784207A (zh) | 金融app界面的显示方法、装置、设备及存储介质 | |
CN102663317A (zh) | 业务单据及关键数据流转过程安全加固*** | |
CN109064596A (zh) | 密码管理方法、装置及电子设备 | |
CN104954137A (zh) | 一种基于国产密码技术的虚拟机安全认证的方法 | |
CN103093137A (zh) | 一种基于u盘的文件安全分发方法 | |
CN104363090A (zh) | 一种增强银行终端设备安全性的密钥分发装置和方法 | |
CN102831335A (zh) | 一种Windows操作***的安全保护方法和*** | |
CN102983969B (zh) | 一种操作***的安全登录***及安全登录方法 | |
CN105516210A (zh) | 终端安全接入认证的***及方法 | |
CN102801743B (zh) | 基于多方授权和动态密码的sap安全敏感信息*** | |
CN102622621B (zh) | 提高射频识别***安全性的通信方法 | |
CN104378356A (zh) | 基于角色的需求响应事件安全管理方法及*** | |
CN104636662A (zh) | 一种数据处理方法和终端设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: No. 333, Yunhua Road, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: 610041, No. 8, pioneering Road, hi tech Zone, Sichuan, Chengdu Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |
|
CP03 | Change of name, title or address |