本發明涉及數據安全技術領域，公開了一種基于硬件設備的密鑰管理方法，用以提升密鑰存儲和使用的安全性。本發明方案包括：服務器根據燒錄客戶端的請求生成非對稱公鑰?私鑰對和對稱加密密鑰，并使用其生成的非對稱加密公鑰對生成的對稱加密密鑰進行非對稱加密；服務器將非對稱加密私鑰按照拆分協議拆分成獨立的P1和P2兩個私鑰分量，并將私鑰分量P1保存于服務器，將私鑰分量P2和經過非對稱加密過的對稱加密密鑰作為響應發送給燒錄客戶端；燒錄客戶端將私鑰分量P2和經過非對稱加密過的對稱加密密鑰存儲到硬件裝置的加密區域內。本發明適用于密鑰管理。

技術領域

本發明涉及數據安全技術領域，特別涉及一種基于硬件設備的密鑰管理方法。

背景技術

在密碼應用領域，加密算法已十分安全，但是密鑰存儲和管理的安全性顯得尤為重要。在密鑰存儲、傳輸方式上，通常是基于互聯網絡進行的，通常的處理方式有以下兩種：

1.使用非對稱加密(更復雜的加密算法)加密對稱加密(一般加密算法)的密鑰。非對稱加密算法的密鑰單獨保存在可信裝置中。該方式主要通過提供不同的對稱加密密鑰使用狀態，保證其密鑰的安全。密鑰不使用時以加密狀態存儲，密鑰需要時，再解密使用。(可參見專利《設備通信方法、裝置、計算機設備及存儲介質》，申請號201911294614.4)。

2.密鑰拆分。m個主體分別擁有密鑰的一部分，至少n(n＝m)同時存在時，才能恢復密鑰。該方式主要解決多個主體之間互相不信任的密鑰保存問題。(可參見專利《一種基于運維審計系統的秘密共享方法》申請號：2019109554227，《數據安全授權訪問方法、裝置、設備及存儲介質》申請號：2019108431126)。

但現有技術方案的使用時，仍然存在以下的一些安全隱患：

1.對于使用非對稱加密算法加密對稱加密算法密鑰的方式，凡是加解密問題，都存在密鑰保存的問題。非對稱加密算法同樣會存在丟失其密鑰的情況，此時，對稱加密密鑰的安全性也無法得到保證。

2.對于拆分的密鑰的方式，只要獲取到n個主體所持有的密鑰分子，即可恢復密鑰，當存在n個持有密鑰分子的主體作弊或不受信任時，密鑰同樣存在被破解的風險。

3.在使用互聯網進行通信的過程中，信息容易受到中間人攻擊。

發明內容

本發明要解決的技術問題是：提供一種基于硬件設備的密鑰管理方法，用以提升密鑰存儲和使用的安全性。

為解決上述問題，本發明采用的技術方案是：一種基于硬件設備的密鑰管理方法，包括如下步驟：

S1、燒錄客戶端向服務器請求密鑰；

S2、服務器根據燒錄客戶端的請求生成非對稱公鑰-私鑰對和對稱加密密鑰，并使用其生成的非對稱加密公鑰對生成的對稱加密密鑰進行非對稱加密；

S3、服務器將非對稱加密私鑰按照拆分協議拆分成獨立的P1和P2兩個私鑰分量，并將私鑰分量P1保存于服務器，將私鑰分量P2和經過非對稱加密過的對稱加密密鑰作為響應發送給燒錄客戶端；

S4、燒錄客戶端將私鑰分量P2和經過非對稱加密過的對稱加密密鑰存儲到硬件裝置的加密區域內。

進一步的，當客戶端需要加密或者解密文件時，本發明還包括：

S5、客戶端向服務器請求存儲在其中的非對稱加密私鑰分量P1，服務器對客戶端登錄賬號的身份及其安全使用環境進行校驗后，將私鑰分量P1作為響應發送給客戶端；

S6、客戶端獲取到私鑰分量P1后，通過近距離傳輸協議向硬件設備請求非對稱加密私鑰的P2分量和加密過的對稱加密密鑰；