[发明专利]一种设备秘钥安全管理方法及系统

说明书

本发明公开了一种设备秘钥安全管理方法及系统，该方法包括：获取一组一级秘钥；一级秘钥对至少一组二级秘钥进行加密，并将加密后的二级秘钥存储至数据库中；每一组二级秘钥对至少一组业务秘钥进行加密，每一组业务秘钥加密至少一组设备秘钥，每一组被加密的设备秘钥与加密该设备秘钥的业务秘钥一起存储至数据库中。本发明对秘钥进行管理，隔离开与使用秘钥无关的人员或系统，在对设备秘钥的加密解密时需要用到一级秘钥的参与，而一级秘钥安全的存储在物理加密机中，极大的提高了设备秘钥的安全性。

技术领域

本发明属于信息安全技术领域，尤其涉及一种设备秘钥安全管理方法及系统。

背景技术

设备有通用设备、专用设备，通用设备包括机械设备、电气设备、特种设备、办公设备、运输车辆、仪器仪表、计算机及网络设备等，专用设备包括矿山专用设备、化工专用设备、航空航天专用设备、公安消防专用设备等。

以电力设备为例，电力系统及其设备作为一个国家或地区的基础设施，在国民生活中有着举足轻重的影响。尤其是计量设备如智能电表，与电力运营以及终端用户有着密切的联系，其最直观的体现则是电量电费。在现代智能电表设计中，使用的每一种通讯技术，都会考虑其传输过程中的数据安全问题，其一般通过使用秘钥加密原始数据来达到其安全目的。通信过程中的数据加密保证了传输过程的安全性，但另一方面秘钥的安全存储则是一个非常重要的问题。传统的系统厂商在处理设备秘钥的安全存储过程中使用加密储存，如将加密后的设备秘钥存储在数据库中，在需要使用时再取出解密。这样做虽然做到了设备秘钥的加密存储，但用于加密设备秘钥的秘钥本身缺缺乏良好的管理，有的甚至直接存在于其代码文件，极大的降低了设备秘钥的安全性。

发明内容

本发明的目的在于，为克服现有技术缺陷，提供了一种设备秘钥安全管理方法及系统，对秘钥进行管理，隔离开与使用秘钥无关的人员或系统，在对设备秘钥的加密解密时需要用到一级秘钥的参与，而一级秘钥安全的存储在物理加密机中，极大的提高了设备秘钥的安全性。

本发明目的通过下述技术方案来实现：

一种设备秘钥安全管理方法，所述方法包括：

获取一组一级秘钥；

一级秘钥对至少一组二级秘钥进行加密，并将加密后的二级秘钥存储至数据库中；

每一组二级秘钥对至少一组业务秘钥进行加密，每一组业务秘钥加密至少一组设备秘钥，每一组被加密的设备秘钥与加密该设备秘钥的业务秘钥一起存储至数据库中。

进一步的，所述方法还包括对一级秘钥的管理，包括一级秘钥的创建和移除；

在创建新的一级秘钥时，若存在旧的一级秘钥，删除旧一级秘钥。

进一步的，所述对一级秘钥的管理还包括对一级秘钥的备份、转移和恢复。

进一步的，所述二级秘钥为对称秘钥或非对称秘钥，二级秘钥包括秘钥元数据和秘钥材料。

进一步的，所述二级秘钥执行轮询，具体包括：

每间隔预设时间扫描二级秘钥轮询状态，

若超出有效期，则生成新的秘钥材料，后续加密使用新的秘钥材料参与运算；

若没有超出有效期，后续加密则继续以原秘钥材料参与运算。

进一步的，所述二级秘钥对业务秘钥加密方法具体包括：

对一级秘钥加密的二级秘钥解密，获取用于加密业务秘钥的二级秘钥；

对业务秘钥进行加密；

对附加数据进行加密；

组装加密后的业务秘钥和附加数据获得加密后的业务秘钥。