本發明提供一種保護主密鑰的工具及其工作方法，涉及信息安全領域。所述方法包括：生成原始密鑰流程、生成秘密流程、生成密文主密鑰流程和分割秘密流程；所述工具根據生成的原始密鑰生成明文主密鑰，并使用生成的秘密對明文主密鑰加密得到密文主密鑰，將密文主密鑰提供給用戶，將生成的秘密分割為多個影子秘密并分別發送給多個管理者。本發明中的技術方案，明文主密鑰不落地，保障了明文主密鑰的安全，并且通過對秘密的分散管理，既防止了秘密過于集中而帶來的風險，又能保證秘密的安全性和完整性，從而有效的保護主密鑰。

技術領域

本發明涉及信息安全領域，尤其涉及一種保護主密鑰的工具及其工作方法。

背景技術

不論是由于互聯網的出現，還是由于越來越龐大且需要大量介質的應用軟件的出現，數據量現已呈現出巨大的增長態勢。目前，各行各業中對數據的保護通常是使用明文主密鑰對數據進行加解密，并使用秘密對明文主密鑰加密得到密文主密鑰，將密文主密鑰保存至數據庫，同時將秘密交由管理員進行保管；該數據保護方法中，由于秘密是集中保護的，一旦秘密被竊取便可以對數據庫中的密文主密鑰解密得到明文主密鑰，從而竊取數據；可見，如何有效的保護秘密進而有效的保護主密鑰成為一個急需解決的問題。

發明內容

為解決現有技術的缺陷，本發明提供一種保護主密鑰的工具及其工作方法；

一方面，本發明提供了一種保護主密鑰的工具的工作方法，包括：生成原始密鑰流程、生成秘密流程、生成密文主密鑰流程和分割秘密流程；

所述生成原始密鑰流程，包括：

所述工具生成第一字符，根據所述第一字符生成原始密鑰，將所述原始密鑰保存；

所述生成秘密流程，包括：

所述工具生成第二字符，根據所述第二字符生成秘密，將所述秘密保存；

所述生成密文主密鑰流程，包括：

所述工具獲取與用戶對應的原始密鑰和秘密，根據獲取到的原始密鑰生成主密鑰，并使用獲取到的秘密對生成的主密鑰加密得到密文主密鑰，將所述密文主密鑰提供給所述用戶；

所述分割秘密流程，包括：

所述工具獲取與用戶對應的秘密，將其作為待分割秘密，并接收所述用戶輸入的第一數量和第二數量，所述第二數量小于或者等于所述第一數量；

所述工具根據所述待分割秘密、所述第一數量和所述第二數量，分割所述待分割秘密得到所述第一數量的影子秘密和所述影子秘密的序號，并將所述影子秘密和所述影子秘密的序號對應分別發送給多個分散管理者。

可選地，所述方法還包括：所述工具判斷接收到的來自用戶的觸發信息的類型，如為生成原始密鑰，則執行所述生成原始密鑰流程；如為生成秘密，則執行所述生成秘密流程；如為生成密文主密鑰，則執行所述生成密文主密鑰流程；如為分割秘密，則執行所述分割秘密流程。

其中，所述生成密文主密鑰流程中，所述工具獲取與用戶對應的原始密鑰和秘密之前，還包括：所述工具判斷與用戶對應的原始密鑰和秘密是否均存在，是則獲取與用戶對應的原始密鑰和秘密，否則報錯，結束；

其中，所述分割秘密流程中，所述工具獲取與用戶對應的秘密之前，還包括：所述工具判斷與用戶對應的秘密是否存在，是則獲取與用戶對應的秘密，否則報錯，結束。

可選地，所述方法中，當所述工具接收到來自用戶的觸發信息時，依次執行所述生成原始密鑰流程、生成秘密流程、生成密文主密鑰流程和分割秘密流程。

可選地，所述生成原始密鑰流程中，所述工具生成第一字符，具體為：所述工具依次隨機生成各預設類型的字符，生成的各預設類型的字符的長度為預設長度。