本發明提出一種支持多種密鑰體系的密鑰管理方法及系統，其中方法包括初始化過程：通過密碼設備隨機產生根主密鑰，同時將根主密鑰門限備份至全部根主密鑰母卡中；通過密碼設備生成一級公私鑰，通過自簽名生成一級證書；通過密碼設備生成根標識密鑰；對稱密鑰管理包括：通過對根主密鑰進行分散后獲得一級對稱密鑰；通過對上一級對稱密鑰依次進行分散后獲得二級至N級對稱密鑰；通過對N級對稱密鑰進行分散后獲得用戶對稱密鑰；非對稱密鑰管理包括：通過密碼設備依次生成二級至N級公私鑰、用戶公私鑰；通過上一級私鑰簽發依次生成二級至N級證書、用戶證書；標識密鑰管理包括：通過對包括用戶標識和根標識密鑰的參數信息計算生成用戶密鑰。

技術領域

本發明涉及密鑰管理技術領域，具體涉及一種支持多種密鑰體系的密鑰管理方法及系統。

背景技術

一切秘密寓于密鑰之中，是現在密碼學的一個基本原則。加密算法可以公開、密碼設備可以丟失，但是密鑰不能泄露，一旦密鑰泄露則加密信息就可完全被獲知，無保密性可言；此外，竊取密鑰的途徑比破譯密碼算法的代價要小很多，在眾多的網絡攻擊事件中，密鑰的安全管理是攻擊的一個主要環節。

常見的密鑰管理體系主要包括有對稱密鑰管理、非對稱密鑰管理和標識密鑰管理等，非對稱密鑰管理中通常包括公鑰和私鑰，公鑰通常用于加密會話密鑰、驗證數字簽名或者加密可以用相應的私鑰解密的數據，通常密鑰對是唯一的；目前，不同的密鑰管理體系是分開進行管理的，這樣會導致對稱密鑰、非對稱密鑰、標識密鑰等均需要設置一套密鑰管理體系，無法實現通過一個密鑰管理系統來使用不同的密鑰管理體系；此外，密鑰管理體系中各級密鑰的安全性也是尤為重要的。因此如何使用戶可以通過一個密鑰管理系統來使用不同的密鑰管理體系，且保證密鑰的安全性是目前急需解決的問題。

發明內容

本發明針對上述問題，有必要提供一種支持多種密鑰體系的密鑰管理方法及系統，能夠使用戶可以通過一個密鑰管理系統來使用不同的密鑰管理體系，且保證密鑰的安全性。

本發明第一方面提出一種支持多種密鑰體系的密鑰管理方法，包括：初始化過程和密鑰管理過程；所述密鑰管理過程包括對稱密鑰管理、非對稱密鑰管理和標識密鑰管理；

初始化過程：

通過密碼設備隨機產生根主密鑰，同時將所述根主密鑰門限備份至全部根主密鑰母卡中；

通過密碼設備生成非對稱密鑰管理中的一級公私鑰，通過自簽名生成一級證書；

通過密碼設備生成標識密鑰管理中的根標識密鑰；

密鑰管理過程：

對稱密鑰管理包括：

通過對所述根主密鑰進行分散后獲得一級對稱密鑰；通過對上一級對稱密鑰依次進行分散后獲得二級至N級對稱密鑰；通過對N級對稱密鑰進行分散后獲得用戶對稱密鑰；每一級對稱密鑰由上一級密鑰加密存儲，用戶對稱密鑰由N級對稱密鑰加密存儲；

非對稱密鑰管理包括：

通過密碼設備依次生成二級至N級公私鑰、用戶公私鑰；通過上一級私鑰簽發依次生成二級至N級證書、用戶證書；每一級私鑰由上一級公鑰加密存儲，用戶私鑰由N級公鑰加密存儲；

標識密鑰管理包括：

通過對包括用戶標識和所述根標識密鑰的參數信息計算生成用戶密鑰；所述根標識密鑰由所述根主密鑰加密存儲。

基于上述，所述對稱密鑰管理中，每一級對稱密鑰和用戶對稱密鑰的個數至少為一個；所述非對稱密鑰管理中，每一級公私鑰、證書個數和用戶公私鑰、用戶證書的個數至少為一個；所述標識密鑰管理中，所述用戶密鑰的個數至少為一個。

基于上述，所述根主密鑰通過插入門限以上根主密鑰母卡進行恢復，通過插入全部根主密鑰母卡進行備份；