本發(fā)明公開(kāi)了一種基于密碼策略的密鑰管理方法，包括：預(yù)處理階段，構(gòu)建基于主流密碼學(xué)算法的密鑰管理策略倉(cāng)庫(kù)；實(shí)際應(yīng)用階段：明確某個(gè)具體場(chǎng)景下的密鑰管理需求；根據(jù)需求，從策略倉(cāng)庫(kù)中選取恰當(dāng)策略，或者制定所需密鑰管理策略并補(bǔ)充到策略倉(cāng)庫(kù)。本發(fā)明通過(guò)在密鑰生命周期的各個(gè)階段嵌入由本發(fā)明制定的可執(zhí)行策略，將復(fù)雜的密鑰管理需求和實(shí)踐細(xì)節(jié)進(jìn)行分離，實(shí)現(xiàn)了透明、靈活的密鑰管理，提高了密鑰管理的效率。

技術(shù)領(lǐng)域

本發(fā)明屬于信息安全領(lǐng)域，特別涉及一種基于密碼策略的密鑰管理方法。

背景技術(shù)

在密碼安全體系中，密鑰是保密的關(guān)鍵，密鑰安全是密碼系統(tǒng)安全的關(guān)鍵前提。很多密鑰管理系統(tǒng)因?yàn)楣芾矸爆崳僮魇д`等帶來(lái)的安全風(fēng)險(xiǎn)造成了業(yè)務(wù)中斷、資金損失、無(wú)法滿足相關(guān)法律法規(guī)要求等問(wèn)題。密鑰管理是指對(duì)密鑰從產(chǎn)生到最終銷毀的整個(gè)過(guò)程中所有相關(guān)問(wèn)題的統(tǒng)一處理。一個(gè)典型的密鑰管理生命周期包括密鑰生成、密鑰分發(fā)、密鑰使用、密鑰更新、密鑰備份以及密鑰銷毀。為保證密鑰的安全性，密鑰生命過(guò)程中涉及的所有環(huán)節(jié)都必須得到合適的管理。這一系列活動(dòng)過(guò)程的每個(gè)階段都會(huì)涉及深?yuàn)W的密碼學(xué)原理，需要具備相關(guān)知識(shí)的密碼安全專家才能做出準(zhǔn)確的判斷和正確的操作，從而保證密碼系統(tǒng)的安全。

不同類型的密鑰在管理過(guò)程中需要處理的細(xì)節(jié)會(huì)有所不同，如何精準(zhǔn)高效管理種類繁多的密鑰是密鑰管理系統(tǒng)面臨的一個(gè)難題。除了密鑰本身，密鑰還具有非常多的元信息，例如密鑰的算法、長(zhǎng)度、初始向量等。密鑰附帶的元信息和密鑰一樣，也是需要進(jìn)行安全有效的管理。密鑰選擇和使用需要根據(jù)應(yīng)用場(chǎng)景，選擇合適的密鑰算法和密鑰長(zhǎng)度，這是保證信息安全的基礎(chǔ)。另外，不同的密鑰在管理的過(guò)程中涉及的具體操作也會(huì)有所不同。密鑰的備份策略、密鑰泄漏后的處置流程、密鑰的使用方式等都會(huì)根據(jù)密鑰類型和用途有所不同。無(wú)論是密鑰的選擇和使用，還是密鑰管理的具體流程都需要專業(yè)的密碼知識(shí)。要面對(duì)復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用場(chǎng)景，即使是密碼安全方面的專家，管理其中繁瑣的密鑰也難以保證所的有操作都是規(guī)范的。因此，如何提高密鑰管理系統(tǒng)的易用性，降低密鑰管理的復(fù)雜性，保證密鑰安全的透明性是密鑰管理難點(diǎn)。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于密碼策略的密鑰管理方法，透明和簡(jiǎn)化復(fù)雜的密鑰管理流程，提高密鑰管理安全性和效率。

實(shí)現(xiàn)本發(fā)明目的的具體技術(shù)方案是：

一種基于密碼策略的密鑰管理方法，包括如下階段和步驟：

步驟A：預(yù)處理階段，構(gòu)建基于主流密碼學(xué)算法的密鑰管理策略倉(cāng)庫(kù)：

根據(jù)密鑰生命周期，將主流密碼學(xué)算法中的密鑰算法劃分為密鑰創(chuàng)建、分發(fā)、使用、更新、備份、銷毀算法；利用所劃分的密鑰算法分別構(gòu)建密鑰創(chuàng)建、分發(fā)、使用、更新、備份、銷毀策略，得到密鑰管理策略倉(cāng)庫(kù)；其中，每條密鑰策略由兩部分組成，通過(guò)IF-THEN語(yǔ)句表示；一是條件語(yǔ)句，表示執(zhí)行本策略行為語(yǔ)句時(shí)必須滿足的條件；該條件是一個(gè)或者數(shù)個(gè)，數(shù)個(gè)條件之間通過(guò)邏輯運(yùn)算符與、或非連接；二是行為語(yǔ)句，表示滿足本策略條件語(yǔ)句時(shí)需要執(zhí)行的動(dòng)作；該動(dòng)作是指系統(tǒng)定義好的方法函數(shù)，包括密鑰生成函數(shù)、密鑰分發(fā)函數(shù)、密鑰使用函數(shù)、密鑰更新函數(shù)、密鑰備份函數(shù)以及密鑰銷毀函數(shù)；

步驟B：實(shí)際應(yīng)用階段，包括以下步驟：

步驟B1：明確某個(gè)具體場(chǎng)景下的密鑰管理需求；

步驟B2：根據(jù)需求，從所述策略倉(cāng)庫(kù)中選取對(duì)應(yīng)策略，或者構(gòu)建新的即所需密鑰策略并補(bǔ)充到密鑰管理策略倉(cāng)庫(kù)。

步驟A中所述主流密碼學(xué)算法，包括：國(guó)產(chǎn)密碼算法SM1、SM2、SM4、SM9和國(guó)際密碼算法ECC、AES、RSA、SHA256。

步驟B1中所述密鑰管理需求，指的是用戶對(duì)于當(dāng)前系統(tǒng)所使用密鑰的生成策略、分發(fā)策略、使用策略、更新策略、備份策略以及銷毀策略的要求。

步驟B2所述選取對(duì)應(yīng)策略，即選擇符合用戶密鑰管理需求的密鑰生成策略、分發(fā)策略、使用策略、更新策略、備份策略以及銷毀策略。