[发明专利]密钥管理机制

摘要

本发明涉及计算机信息安全领域，公开了安全、方便的密钥管理机制，首先对处于初始状态下的密码设备进行原始初始化，再生成设备签名密钥和管理员签名密钥，签发出所有管理员证书，再生成密钥备份密钥、备份设备密钥、存储设备密钥，完成原始初始化，再就处于就绪状态的密码设备进行上电初始化，按照本发明的技术方案，确保密钥的安全管理，通过密钥的各类初始化说明初始化的方式及过程，确保密钥的安全使用，从而解决密码设备在密钥管理及使用上到达安全可靠的难题。

主权项

密钥管理机制，其特征在于：所述密钥管理的步骤如下：第一步骤：对处于初始状态下的密码设备进行原始初始化，即清除密码设备密钥存储区的所有密钥，生成2个128位的称为成分1和成分2的对称密钥，将成分1存放于密码设备的密钥存储区，成分2暂存于内存中；第二步骤：再生成设备签名密钥，即生成一对公私钥作为设备的签名密钥存入到该密钥的签名密钥存储区，将设备签名密钥复制到设备加密密钥存储区，让密码设备处于就绪状态；第三步骤：再生成管理员签名密钥，即在支持非对称密码算法的密码介质上产生一对公私钥作为管理员签名密钥，其公钥由设备签名私钥签发成管理员证书，将管理员证书和保护密钥的成分2下载到管理员密码介质中；第四步骤：重复第三步骤，签发出所有的管理员证书，然后清除内存中的密钥保护密钥成分2；第五步骤：再生成密钥备份密钥，即清除密码设备的用户工作密钥存储区，然后生成128位对称密钥作为密钥备份密钥，存放于该密钥的存储区，用秘密共享机制将该密钥分割为三份，将三个密钥成份分别用三个保管者的口令各自加密，密文交三个保管者保存；第六步骤：进行备份设备密钥，即调出管理员密码介质中的密钥保护密钥的成分2，与密钥备份密钥模二加，其结果作为对称算法的密钥，加密设备密钥，加密结果另行保存；第七步骤：再进行存储设备密钥，即调出管理员密码介质中的密钥保护密钥的成分2，与密码设备存储区中的密钥保护密钥成分1模二加，其结果作为对称算法的密钥，加密设备密钥和密钥备份密钥，对密文做校验和，连同密文存入密码设备密钥存储区，至此原始初始化完成；第八步骤：让已完成上述步骤，处于就绪状态的密码设备进行上电初始化，首先要检查密码设备密钥存储区中的设备密钥和密钥备份密钥的校验和，若校验和错误，则重复上述1‑7步骤进行恢复初始化，若校验和正确，则调出管理员密码介质中的密钥保护密钥的成分2，与密钥存储区中的密钥保护密钥成分1模二加，其结果作为对称算法的密钥，解密密钥存储区中的所有密钥到内存，至此完成上电初始化。