[发明专利]一种用于密钥生成与管理的系统及方法

权利要求书

1.一种用于密钥生成与管理的系统，其特征在于：包括

身份验证装置，用于在系统启动时，利用存储操作者身份信息的安全硬件设备对操作者的身份进行识别；

密钥初始数据生成装置，用于将多组任意且相互独立的数据存储在多台不同的安全硬件设备中，作为生成根密钥的初始数据；

根密钥生成装置，通过用于得到系统根密钥的安全硬件设备，根据密钥计算规则，对初始数据进行运算，生成系统的根密钥，并安全导入用于存储密钥的加密机中；

根密钥备份装置，将加密机中保存的系统根密钥备份到另外的安全硬件设备中；

根密钥恢复装置，将存储在另外的安全硬件设备中的备份根密钥，导入到加密机内部，同时在恢复过程中对该另外的安全硬件设备进行验证，防止非法的备份设备的使用。

2.根据权利要求1所述的用于密钥生成与管理的系统，其中，用于存储操作者身份信息的安全硬件设备，其存储有操作者身份信息；其具备访问控制权限，在读取操作者身份信息之前必须通过校验码的校验；其具有防伪能。

3.根据权利要求1所述的用于密钥生成与管理的系统，其中，用于存储初始数据的安全硬件设备，其存储有初始数据；其具备访问控制权限，在读取初始数据之前必须通过校验码的校验；其具有防伪能力。

4.根据权利要求1所述的用于密钥生成与管理的系统，其中，用于得到系统根密钥的安全硬件设备，其具有输入、输出接口，能够接收传入的初始输入数据；其具备运算功能，能够将接收的输入数据进行运算，得到根密钥；根密钥仅存在于其易失性存储器中；其在导出根密钥时使用密文方式；该设备具有防伪能力。

5.根据权利要求1所述的用于密钥生成与管理的系统，其中，所述身份验证装置，包括：内部认证单元和身份验证单元；所述内部认证单元，用于验证该安全硬件设备是否是属于系统中的设备，其中验证所依据的计算规则，包括计算所需密钥的获取和计算方法；

    所述身份验证单元，用于检测使用相应安全硬件设备的人员的身份是否合法，防止非法人员使用不正确的验证码进入系统，其中验证规则包括验证输入参数和验证计算方法。

6.根据权利要求1所述的用于密钥生成与管理的系统，其中，所述密钥初始数据生成装置，包括：双角色认证单元、初始数据生成单元和初始数据存储单元；

    所述双角色认证单元，用于进行两种不同身份的认证，包括密钥管理员和系统管理员的认证，校验插入的安全硬件设备类型是否合法及输入的校验码是否正确，其中校验参数包括安全硬件设备的PIN值和设备的类型参数；

    所述初始数据生成单元，用于在成功执行完所述双角色认证后，依次输入指定长度M的数据，其中，M为大于等于16的任意值，重复N次，其中，N大于等于3，得到N组互相独立的初始数据，其中的数据包括初始数据参数，初始数据编号；

所述初始数据存储单元，用于将N组数据各自独立保存到N台不同的安全硬件设备内部的特殊区域。