[发明专利]一种在异构冗余系统中存储秘钥的装置及方法

说明书

本发明涉及异构冗余系统以及加密技术秘钥存储领域，特别涉及一种在异构冗余系统中存储秘钥的装置及方法，该装置包括：秘钥切分模块，用于将一定长度的秘钥切分为m份等长的秘钥块，并为每份秘钥块打上数据标签1,2，…，m；秘钥分配模块，用于按照既定策略，将(k‑1)*m份秘钥块分配给k个秘钥存储单元；秘钥存储模块，用于妥善保存分配给每个秘钥存储单元的n个秘钥块，各个秘钥存储单元分布在不同的异构执行体中；以及秘钥组合模块，用于从秘钥存储单元获取秘钥块，并根据数据标签，将其组合成完整的秘钥。由于将秘钥分段，并存储到不同的秘钥存储单元中，可以在系统出现单点攻破的情况下，不至于丢失全部秘钥，避免给系统通信造成威胁。

技术领域

本发明涉及对系统安全可靠性要求较高的异构冗余系统以及加密技术秘钥存储领域，特别涉及一种在异构冗余系统中存储秘钥的装置及方法。

背景技术

近年来，异构冗余技术在信息系统安全中得到越来越多的应用，其具有高安全和高可靠的特性，结合动态异构，择多判决等技术，能有效防御多种攻击方式。加密技术在异构冗余系统中的应用，能进一步提高系统安全性。在异构冗余系统中，存在单点攻破的可能性，如果攻击者破解了一个执行体的加密算法，基于等价原则，就可能猜到其他执行体上的加密算法及秘钥。

如何基于异构冗余架构，设计一个安全的秘钥存储方式，能解决单点攻破导致多点攻破的问题，是一个全新的领域。

发明内容

本发明的目的是提供一种在异构冗余系统中存储秘钥的装置及方法，解决现有技术中单点攻破导致多点攻破的技术问题。

为解决上述技术问题，本发明采用以下的技术方案：

本发明提供了一种在异构冗余系统中存储秘钥的装置，该装置包括：

秘钥切分模块，用于将一定长度的秘钥切分为m份等长的秘钥块，并为每份秘钥块打上数据标签1,2，…，m；

秘钥分配模块，用于按照既定策略，将(k-1)*m份秘钥块分配给k个秘钥存储单元；

秘钥存储模块，用于妥善保存分配给每个秘钥存储单元的n个秘钥块，各个秘钥存储单元分布在不同的异构执行体中；以及

秘钥组合模块，用于从秘钥存储单元获取秘钥块，并根据数据标签，将其组合成完整的秘钥。

优选地，m、n和k满足如下约定：

k≥3，

m＝2*k，

n＝(k–1)*m/k＝(k–1)*2。

优选地，所述既定策略具体为：

秘钥存储单元存储的秘钥块，后一个秘钥块的数据标签为前一个秘钥块的数据标签加1后取m的模；第一个秘钥存储单元存放数据标签可以从[1,m]中的任意一个数开始；后一个秘钥存储单元的第一个秘钥块的数据标签为前一个秘钥存储单元的最后一个秘钥块的数据标签加1后取m的模。

本发明还提供了一种基于上述的在异构冗余系统中存储秘钥装置实现的方法，该方法包含以下步骤：

根据秘钥存储单元的数目k，以及m、n和k之间的约束关系，计算m和n的值；

将秘钥均分为m份，并为每份秘钥块打上数据标签1,2，…，m；

按照既定策略，将(k-1)*m份秘钥块依次存入k个秘钥存储单元中，每个秘钥存储单元中保存n个秘钥块；

要使用秘钥时，从任意两个秘钥存储单元中取出秘钥块，根据数据标签进行组合，获取最终秘钥。

与现有技术相比，本发明具有以下优点：