[发明专利]一种适用于零信任网络的密钥管理方法及系统

说明书

本发明涉及信息安全技术领域，且公开了一种适用于零信任网络的密钥管理方法及系统，私钥生成时，通过随机数发生模块生成公私钥对，通过“三二门限”将私钥分割成第一份密钥分量、第二份密钥分量和第三份密钥分量，第一份密钥分量使用客户端口令、客户端环境因子、系统预置信息经过密码运算合成密钥加密密钥，第二份密钥分量使用客户端环境因子、系统预置信息经过密码运算合成密钥加密密钥，第三份密钥分量用零信任网络内部因子、访问者信息因子和客户端环境因子混合运算后保护，通过传输密钥加密传输，存储在服务端中。该适用于零信任网络的密钥管理方法及系统，通过环境因子，确保私钥离开运行环境无法还原。

技术领域

本发明涉及信息安全技术领域，具体为一种适用于零信任网络的密钥管理方法及系统。

背景技术

零信任是面向数字时代的新型安全防护理念，是一种以资源保护为核心的网络安全范式，是以身份为中心进行动态访问控制。零信任对访问主体与访问客体之间的数据访问和认证验证进行处理，其将一般的访问行为分解为作用于网络通信控制的控制平面及作用于应用程序通信的数据平面。访问主体通过控制平面发起访问请求，经由信任评估引擎、访问控制引擎实施身份认证、获得许可后，才能访问业务应用，从而建立一次可信的安全访问链接。

零信任网络中的每个访问请求都需要经过强身份认证，PKI是零信任模型身份认证的基石，大多数零信任网络都采用PKI来证明身份的真实性，面对海量用户如何自动签发证书，如何保证终端失控状态下私钥不被破解，如何保证用户在忘记密码的时候能够安全还原私钥，是保证零信任系统健壮性和易用性的关键，本发明提供一种面向零信任网络对用户公私钥进行安全管理的方法及系统，进一步提升私钥的安全性。

发明内容

本发明的目的在于提供一种适用于零信任网络的密钥管理方法及系统，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种适用于零信任网络的密钥管理方法，包括私钥和私钥分割，包括以下步骤：

S1、私钥的产生

私钥生成时，通过随机数发生生成公私钥对，通过“三二门限”将私钥分割成第一份密钥分量、第二份密钥分量和第三份密钥分量。

S2、私钥的加密

第一份密钥分量使用客户端口令、客户端环境因子、系统预置信息经过密码运算合成密钥加密密钥，使用密钥加密密钥对密钥分量进行机密性和完整性保护，第二份密钥分量使用客户端环境因子、系统预置信息经过密码运算合成密钥加密密钥，使用密钥加密密钥对密钥分量进行机密性和完整性保护，第三份密钥分量使用客户端环境因子、系统预置信息经过密码运算合成密钥加密密钥，使用密钥加密密钥对密钥分量进行机密性和完整性保护。

S3、私钥的存储

第一份密钥分量、第二份密钥分量存储在客户端，第三份密钥分量存储在服务端。

S4、私钥的使用

访问者通过输入口令，系统根据口令、客户端环境因子、系统预置信息经过密码运算合成密钥加密密钥，从而解密得到第一部分密钥分量，系统根据客户端环境因子、系统预置信息自动解密第二部分密钥分量，通过两部分密钥分量合成私钥。

S5、私钥的还原

访问者使用访问者身份信息、系统预置信息和随机数经过密码运算合成传输保护密钥，从服务端获得加密后第三部分密钥分量，其中随机数通过邮件、短消息等其他安全通道发送给访问者，系统根据客户端环境因子、系统预置信息自动解密第二部分密钥分量和第三部分密钥分量，通过两部分密钥分量合成私钥，进行后续操作，获取私钥后，使用门限算法和相同的盐可以重新生成第一部分分量。