[发明专利]一种密码设备安全管理方法

说明书

技术领域

本发明涉及一种密码设备安全管理方法。

背景技术

目前有众多的硬件厂商生产了各种密码设备，通过提供加解密功能来帮助用户提升用户信息数据的安全性。但是加密解密的密钥如何管理直接关系到用户数据的安全性。

因此，现有技术有待于改进。

发明内容

本发明为了解决现有技术的不足，提供一种密码设备安全管理方法，实现一种设备的安全管理方法来保证用户数据的安全性。

为解决上述技术问题，本发明实施例提供的一种密码设备安全管理方法，采用如下技术方案：

一种密码设备安全管理方法，其特征在于，包括如下步骤：

S1：采用两级权限管理机制和四级密钥管理机制；

S2：用户权限分为管理员权限和操作员权限，四级密钥管理机制分为保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥；

S3：复位密码设备密钥存储区和用户数据存储区，置密码卡为出厂状态；

S4：检查密码设备是否处于出厂状态，不是就做密码设备复位；

S5：初始化管理员，建立管理员和密码设备的认证关系。根据提示连续创建三个管理员；

S6：登陆两个管理员获取管理员权限，创建至少一个操作员；

S7：在管理员权限下，创建设备密钥。在密码设备内部ram中生成保护密钥，用保护密钥加密设备密钥后，保存设备密钥到密码设备中；使用（2,3）门限算法，分散保护密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；

S8：在管理员权限下创建用户密钥和密钥加密密钥，使用设备密钥加密后，保存到密码设备中；

S9：密钥备份，在管理员权限下使用（2,3）门限算法恢复保护密钥，解密出设备密钥，再使用设备密钥解密出用户密钥和密钥加密密钥，生成备份恢复密钥，加密设备密钥、用户密钥和密钥加密密钥，再导出给用户，使用（2,3）门限分散备份恢复密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；

S10：密钥恢复，在管理员权限下依次读取两个管理员KEY中备份恢复密钥分量，使用(2,3)门限算法恢复出备份恢复密钥，并使用备份恢复密钥解密解密出密文状态的设备密钥、用户密钥和密钥加密密钥，使用设备密钥加密用户密钥和密钥加密密钥，并保存到设备中，使用（2,3）计算出保护密钥，使用保护密钥加密设备密钥，并保存到设备中。

具体地，设备密钥对分为加密密钥对和签名密钥对两对SM2密钥对，用于实现数字签名验证、数据加密解密等功能，其中私钥受私钥访问控制码的控制。

具体地，每一组用户密钥分为一对加密密钥和一对签名密钥，其中私钥必须受私钥访问控制码的控制，用户密钥受设备密钥加密保护。

具体地，密钥加密密钥KEY用于实现对会话密钥的保护，KEY受设备密钥加密保护。

具体地，会话密钥只存储在密码卡内存中，掉电会丢失。

具体地，设备密钥、用户密钥及密钥加密密钥备份时，需要使用备份恢复密钥加密后导出；设备密钥、用户密钥及密钥加密密钥恢复时，需要使用备份恢复密钥导入后解密。

本发明提供的一种密码设备安全管理方法，采用两级权限管理机制和四级密钥管理机制保证设备内数据的安全性。

附图说明

图1为本发明实施例所述的一种密码设备安全管理方法的步骤示意图。

具体实施方式

下面结合附图对本发明实施例提供给的密码设备安全管理方法进行详细描述。

如图1所示，本发明实施例提供的一种密码设备安全管理方法，其特征在于，包括如下步骤：

S1：采用两级权限管理机制和四级密钥管理机制；

S2：用户权限分为管理员权限和操作员权限，四级密钥管理机制分为保护密钥、设备密钥、用户密钥和密钥加密密钥、会话密钥；

S3：复位密码设备密钥存储区和用户数据存储区，置密码卡为出厂状态；

S4：检查密码设备是否处于出厂状态，不是就做密码设备复位；

S5：初始化管理员，建立管理员和密码设备的认证关系。根据提示连续创建三个管理员；

S6：登陆两个管理员获取管理员权限，创建至少一个操作员；

S7：在管理员权限下，创建设备密钥。在密码设备内部ram中生成保护密钥，用保护密钥加密设备密钥后，保存设备密钥到密码设备中；使用（2,3）门限算法，分散保护密钥为3个密钥碎片，分别保存到三个管理员对应的KEY中；