CN1365214A - 一种基于公开密钥体制的密钥管理方法 - Google Patents
一种基于公开密钥体制的密钥管理方法 Download PDFInfo
- Publication number
- CN1365214A CN1365214A CN 01107422 CN01107422A CN1365214A CN 1365214 A CN1365214 A CN 1365214A CN 01107422 CN01107422 CN 01107422 CN 01107422 A CN01107422 A CN 01107422A CN 1365214 A CN1365214 A CN 1365214A
- Authority
- CN
- China
- Prior art keywords
- key
- safe
- accelerator card
- private key
- cipher key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Lock And Its Accessories (AREA)
Abstract
一种基于公开密钥体制的密钥管理方法,在任一安全加速卡中产生随机密钥对,将私钥分布式存储在n块安全加速卡内,再将各安全加速卡内的分私钥按照秘密共享密码体制中的门限规则和算法,通过密钥交换协议共享存储到其它n-1块安全加速卡中。本发明通过密钥共享机制,多方同时管理同一密钥,使得密钥安全得到保障;而且多块加速卡同时运行安全加速***,任何一块安全加速板卡的故障都不会影响整个加密***运行,从而提高了***的可靠性。
Description
本发明涉及信息安全的密码技术,尤其是一种提高密钥管理安全性和可靠性的方法。
在信息安全领域中,采用RSA(一种公开密钥算法)算法的PKI是信息安全运作的基本框架。但一直以来,采用RSA算法中RSA签名运算需要大量的多精度大数运算,运算速度的缓慢制约了RSA算法广泛应用。随着建立在公开密钥框架安全平台下的电子商务和VPN(VirtualPrivate Net:虚拟专用网)***应用在这几年的迅猛发展,基于硬件实现的RSA模幂运算安全加速产品大量出现。在这些安全加速产品中,硬件PCI(Peripheral Component Interconnect)、ISA(一种计算机通讯总路线)加密板卡是主要形式,其安全性的保证一般是通过下列方式来实现的:(1)板卡只是实现硬件加速,通过计算机主机软件处理实现密钥管理;(2)密钥通过计算机USB(Universal Serial Bus)口或串口存贮在可移动的设备上;(3)板卡自动产生密钥,密钥不以明文方式出现在计算机板卡外,而是通过IC卡等设备维护板卡中密钥。其可靠性一般是通过下列方式来实现的:(1)提高板卡上软件的容错性;(2)安全加速卡备份和密钥备份实现热备份机制。
在安全性方面:上述三种密钥管理方式中,虽然第三种是较安全的密钥管理模式,但仍还存在一定的安全缺陷:通过一些特殊手段——如动态跟踪板卡程序,分析板卡算法等手段,可以从板卡中获得密钥信息。
在可靠性方面:采用热备份机制,把密钥同时放在两个板卡上,增加了密钥安全管理的难度,使得安全性进一步降低。
本发明的目的意在克服上述现有技术的不足,提出一种安全性好、可靠性高的密钥管理方法。
实现上述目的的技术方案:一种基于公开密钥体制的密钥管理方法,是将密钥分布式存储在各安全加速卡内,其分布式存储方法包括如下步骤:
(1)在任一安全加速卡中产生随机密钥对,将公钥公布出去;
(2)将密钥对中的私钥d按照安全加速卡的块数随机分成n个分私钥d=d1+d2+…+dn(n≥3);
(3)删除私钥d;
(4)通过密钥交换协议,把分私钥di(i=1,2,...,n)存储到第i块安全加速卡中;
(5)将分私钥di(i=1,2,...,n)按照秘密共享密码体制中的门限规则(k,n)(其中n≥2k-1)和算法,通过密钥交换协议共享存储到除第i块安全加速卡以外的其它n-1块安全加速卡中。
当n=3时,k=2,所述步骤(5)包括如下步骤:
a、将分私钥d1、d2、d3随机分割成d1=d11+d12,d2=d21+22,d3=d31+d32;
b、通过密钥交换协议,把分私钥d21d31共享存储到安全加速卡1中,把分私钥d11d32共享存储到安全加速卡2中;把分私钥d12d22共享存储到安全加速卡3中。
采用上述技术方案,本发明显著的技术进步在于:1)由于将密钥进行分布式存储,任何一块安全加速卡内任何时候都不会出现全部密钥明文,通过密钥共享机制,多方同时管理同一密钥,使得密钥安全得到保障;2)通过模幂签名运算中性质,使得计算签名时,不用直接恢复私钥明文,就可计算出密钥的运算结果;3)由于可在缺少任何一块安全加速卡时,能从其它安全加速卡中恢复密钥信息,因此,多块安全加速卡同时运行安全加速***,任何一块板卡的故障都不会影响整个加密***运行,从而提高了***的可靠性;4)将密钥分布式存储在各块安全加速卡中,本身就意味着实现了自动密钥备份;5)从运行安全加速卡中恢复密钥信息,实现了自动密钥恢复。
下面通过实施例并结合附图,对本发明作进一步详细的说明:
图1是本发明采用三块安全加速卡的密钥拆分流程图。
实施例:一种基于公开密钥体制的密钥管理方法,将密钥分布式存储在3块安全加速卡内:参照图1,在密钥管理中,安全加速卡1内部产生密钥对后,公钥可以公布出去,私钥d则随机性分成d=d1+d2+d3,然后删除私钥d,得到分私钥d1、d2、d3后,再按照秘密共享密码体制中的门限规则(2,3),其中一种特殊的形式是按d1=d11+d12,d2=d21+22,d3=d31+d32,再随机分割,然后通过密钥交换协议,把分私钥d2、d11、d32送到安全加速卡2中,把分私钥d3、d12、d22送到安全加速卡3中,安全加速卡1只保留d1、d21、d31信息。通过这样的密钥分割后,任何一块安全加速卡都没有整个私钥的信息,而同时任何两块安全加速卡都可以得到私钥的信息。***在计算模幂运算时S=sdmodN,根据三块安全加速卡运算负担,选择相对空闲的两块安全加速卡,假设为加速卡1和加速卡3,则分别计算模幂S1=sd1+d21modN和S3=sd3+d22modN,根据d=d1+d21+d22+d3,得到S=S1.S3modN,从而不需恢复私钥d的信息,得到模幂运算结果。
不失一般性,将本实施例扩展到一般情形的基于公开密钥体制的密钥管理方法,包括如下步骤:
(1)在任一安全加速卡中产生随机密钥对,将公钥公布出去;
(2)将密钥对中的私钥d按照安全加速卡的块数随机分成n个分私钥d=d1+d2+…+dn(n>=3);
(3)删除私钥d;
(4)按照密钥交换协议,把分私钥di(i=1,2,...,n)存储到第i块安全加速卡中;
(5)将分私钥di(i=1,2,...,n)按照秘密共享密码体制中的门限规则(k,n)(其中n≥2k-1)和算法,通过密钥交换协议共享存储到除第i块安全加速卡以外的其它n-1块安全加速卡中。
按照上述方法,保证从任何k块安全加速卡中都可得到所有密钥信息,从而保证在缺少任何n-k块安全加速卡时***都可正常运行。
综上所述,在加密***中,采用本发明多块安全加速卡分布式存储私钥的方法,使得私钥分开存储到各个分私钥存储单元,即使获取了k-1块安全加速卡中分私钥信息,也不能得到整个私钥信息,保证了密钥的安全性;而且,任何n-k块安全加速卡出现故障时,能从其它安全加速卡中恢复密钥信息,不影响***正常运转,保证了***运行的可靠性。
Claims (2)
1、一种基于公开密钥体制的密钥管理方法,其特征在于:将密钥分布式存储在各安全加速卡内,其分布式存储方法包括如下步骤:
(1)在任一安全加速卡中产生随机密钥对,将公钥公布出去;
(2)将密钥对中的私钥d按照安全加速卡的块数n随机分成n个分私钥d=d1+d2+…+dn(n≥3):
(3)删除私钥d;
(4)通过密钥交换协议,把分私钥di(i=1,2,...,n)存储到第i块安全加速卡中;
(5)将分私钥di(i=1,2,...,n)按照秘密共享密码体制中的门限规则(k,n)(其中n≥2k-1)和算法,通过密钥交换协议共享存储到除第i块安全加速卡以外的其它n-1块安全加速卡中。
2、根据权利要求1所述的一种基于公开密钥体制的密钥管理方法,其特征在于当n=3时,k=2,所述步骤(5)包括如下步骤:
(1)将分私钥d1、d2、d3随机分割成d1=d11+d12,d2=d21+22,d3=d31+d32;
(2)通过密钥交换协议,把分私钥d21d31共享存储到安全加速卡1中,把分私钥d11d32共享存储到安全加速卡2中,把分私钥d12d22共享存储到安全加速卡3中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01107422 CN1365214A (zh) | 2001-01-09 | 2001-01-09 | 一种基于公开密钥体制的密钥管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01107422 CN1365214A (zh) | 2001-01-09 | 2001-01-09 | 一种基于公开密钥体制的密钥管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1365214A true CN1365214A (zh) | 2002-08-21 |
Family
ID=4656350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 01107422 Pending CN1365214A (zh) | 2001-01-09 | 2001-01-09 | 一种基于公开密钥体制的密钥管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1365214A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100456669C (zh) * | 2003-09-22 | 2009-01-28 | 华为技术有限公司 | 一种进行组密钥分发的方法 |
| CN100466514C (zh) * | 2003-10-08 | 2009-03-04 | 三星电子株式会社 | 加权密钥共享和重构方法 |
| WO2010078825A1 (en) * | 2009-01-06 | 2010-07-15 | Shanghai Onbest Electronics Technology Co., Ltd. | Secure key system |
| CN101099327B (zh) * | 2004-11-11 | 2011-08-24 | 塞尔蒂卡姆公司 | 用于通用密钥导出函数支持的安全接口 |
| CN101478538B (zh) * | 2008-12-31 | 2012-06-06 | 成都市华为赛门铁克科技有限公司 | 管理安全设备的存储方法、装置或*** |
| CN102957534A (zh) * | 2011-08-19 | 2013-03-06 | 国民技术股份有限公司 | 一种多终端统一身份认证的方法及*** |
| CN103312494A (zh) * | 2012-03-14 | 2013-09-18 | 中国人民银行印制科学技术研究所 | 数据分散存储方法、数据还原方法及数据卡 |
| CN106341226A (zh) * | 2016-10-11 | 2017-01-18 | 山东渔翁信息技术股份有限公司 | 一种数据加解密方法及*** |
| CN106357401A (zh) * | 2016-11-11 | 2017-01-25 | 武汉理工大学 | 一种私钥存储及使用方法 |
| CN108471352A (zh) * | 2018-03-16 | 2018-08-31 | 数安时代科技股份有限公司 | 基于分布式私钥的处理方法、***、计算机设备及存储介质 |
| CN109760942A (zh) * | 2018-11-29 | 2019-05-17 | 四川商通实业有限公司 | 一种可显示动态防伪码的酒瓶盖及其动态防伪方法 |
| CN113656806A (zh) * | 2020-07-08 | 2021-11-16 | 支付宝(杭州)信息技术有限公司 | 区块链一体机的可信启动方法及装置 |
-
2001
- 2001-01-09 CN CN 01107422 patent/CN1365214A/zh active Pending
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100456669C (zh) * | 2003-09-22 | 2009-01-28 | 华为技术有限公司 | 一种进行组密钥分发的方法 |
| CN100466514C (zh) * | 2003-10-08 | 2009-03-04 | 三星电子株式会社 | 加权密钥共享和重构方法 |
| CN101099327B (zh) * | 2004-11-11 | 2011-08-24 | 塞尔蒂卡姆公司 | 用于通用密钥导出函数支持的安全接口 |
| CN101478538B (zh) * | 2008-12-31 | 2012-06-06 | 成都市华为赛门铁克科技有限公司 | 管理安全设备的存储方法、装置或*** |
| WO2010078825A1 (en) * | 2009-01-06 | 2010-07-15 | Shanghai Onbest Electronics Technology Co., Ltd. | Secure key system |
| CN102957534A (zh) * | 2011-08-19 | 2013-03-06 | 国民技术股份有限公司 | 一种多终端统一身份认证的方法及*** |
| CN102957534B (zh) * | 2011-08-19 | 2016-02-03 | 国民技术股份有限公司 | 一种多终端统一身份认证的方法及*** |
| CN103312494A (zh) * | 2012-03-14 | 2013-09-18 | 中国人民银行印制科学技术研究所 | 数据分散存储方法、数据还原方法及数据卡 |
| CN106341226A (zh) * | 2016-10-11 | 2017-01-18 | 山东渔翁信息技术股份有限公司 | 一种数据加解密方法及*** |
| CN106341226B (zh) * | 2016-10-11 | 2018-12-18 | 山东渔翁信息技术股份有限公司 | 一种数据加解密方法及*** |
| CN106357401A (zh) * | 2016-11-11 | 2017-01-25 | 武汉理工大学 | 一种私钥存储及使用方法 |
| CN106357401B (zh) * | 2016-11-11 | 2019-09-10 | 武汉理工大学 | 一种私钥存储及使用方法 |
| CN108471352A (zh) * | 2018-03-16 | 2018-08-31 | 数安时代科技股份有限公司 | 基于分布式私钥的处理方法、***、计算机设备及存储介质 |
| CN109760942A (zh) * | 2018-11-29 | 2019-05-17 | 四川商通实业有限公司 | 一种可显示动态防伪码的酒瓶盖及其动态防伪方法 |
| CN113656806A (zh) * | 2020-07-08 | 2021-11-16 | 支付宝(杭州)信息技术有限公司 | 区块链一体机的可信启动方法及装置 |
| CN113656806B (zh) * | 2020-07-08 | 2024-05-03 | 支付宝(杭州)信息技术有限公司 | 区块链一体机的可信启动方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110825349B (zh) | 随机数生成方法、区块链节点、***及介质 | |
| CN109299336B (zh) | 数据备份方法、装置、存储介质及计算设备 | |
| CN109474423B (zh) | 数据加解密方法、服务器及存储介质 | |
| CN1365214A (zh) | 一种基于公开密钥体制的密钥管理方法 | |
| EP3454519A1 (en) | Block generation method and device, and blockchain network | |
| CN112732297B (zh) | 联邦学习模型的更新方法、装置、电子设备及存储介质 | |
| CN111045855A (zh) | 备份数据的方法、装置和计算机程序产品 | |
| EP3267652A1 (en) | Information sharing system, computer, and information sharing method | |
| CN111526009A (zh) | 一种适用于联盟链的前向安全可编辑区块链构造方法 | |
| US20030059043A1 (en) | Elliptic curve signature verification method and apparatus and a storage medium for implementing the same | |
| CN106603729A (zh) | 一种分布式文件***多客户端同步方法及*** | |
| CN103270546B (zh) | 签名生成装置、签名生成方法以及记录介质 | |
| CN112492048B (zh) | 消息同步方法、装置、电子设备及可读存储介质 | |
| Tadayon et al. | Dynamic and verifiable multi‐secret sharing scheme based on Hermite interpolation and bilinear maps | |
| CN111611311B (zh) | 去中心化分布式数据库的形成方法及***、电子设备及计算机可读存储介质 | |
| CN110737725A (zh) | 电子信息检验方法、装置、设备、介质及*** | |
| CN114172659A (zh) | 区块链***中的消息传输方法、装置、设备及存储介质 | |
| CN104660399A (zh) | 一种rsa模幂运算方法和装置 | |
| CN114760073B (zh) | 基于区块链的仓储商品配送方法、装置、电子设备及介质 | |
| CN113592656B (zh) | 联盟链交易同步优化方法、计算机可读介质和电子设备 | |
| CN116010360A (zh) | 基于相似度的电力文本数据存储方法及装置 | |
| CN112751675B (zh) | 一种基于区块链的信息监控方法、***、设备及存储介质 | |
| CN112182598A (zh) | 公有样本id识别方法、装置、服务器及可读存储介质 | |
| CN112732193A (zh) | 一种基于大数据的信息安全存储*** | |
| CN113965314B (zh) | 同态加密处理方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| ASS | Succession or assignment of patent right |
Owner name: ZTE CO., LTD. Free format text: FORMER OWNER: ZHONGXING INTEGRATED CIRCUIT DESIGN CO. LTD., SHENZHEN CITY Effective date: 20040423 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20040423 Address after: 518057 Department of law, Zhongxing building, South hi tech Industrial Park, Nanshan District hi tech Industrial Park, Guangdong, Shenzhen Applicant after: ZTE Corporation Address before: 518058, Nanshan District 1, Kirin Road, Guangdong, Shenzhen science and Technology Service Center, building nine Applicant before: Zhongxing Integrated Circuit Design Co., Ltd., Shenzhen City |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |