一种加密卡内加密信息可恢复的实现方法.pdf

摘要
申请专利号：	CN201010536191.5	申请日：	2010.11.04
公开号：	CN102004873A	公开日：	2011.04.06
当前法律状态：	授权	有效性：	有权
法律详情：	专利权人的姓名或者名称、地址的变更 IPC(主分类):G06F 21/34变更事项:专利权人变更前:曙光云计算技术有限公司变更后:曙光云计算集团有限公司变更事项:地址变更前:100193 北京市海淀区东北旺西路8号院36号楼5层变更后:100193 北京市海淀区东北旺西路8号院36号楼5层\|\|\|授权\|\|\|著录事项变更IPC(主分类):G06F 21/00变更事项:申请人变更前:北京曙光天演信息技术有限公司变更后:曙光云计算技术有限公司变更事项:地址变更前:100193 北京市海淀区东北旺西路8号院36号楼5层变更后:100193 北京市海淀区东北旺西路8号院36号楼5层\|\|\|著录事项变更IPC(主分类):G06F 21/00变更事项:申请人变更前:北京曙光天演信息技术有限公司变更后:北京曙光天演信息技术有限公司变更事项:地址变更前:100084 北京市海淀区水磨西街64号办公楼西楼变更后:100193 北京市海淀区东北旺西路8号院36号楼5层\|\|\|实质审查的生效IPC(主分类):G06F 21/00申请日:20101104\|\|\|公开
IPC分类号：	G06F21/00; G06F11/14	主分类号：	G06F21/00
申请人：	北京曙光天演信息技术有限公司
发明人：	唐焕焕; 孙国忠; 石旭; 黄亮; 曹连雨
地址：	100084 北京市海淀区水磨西街64号办公楼西楼
优先权：
专利代理机构：	北京安博达知识产权代理有限公司 11271	代理人：	徐国文
PDF下载：	PDF下载

内容摘要

本发明提供了一种加密卡内加密信息可恢复的实现方法。以备份机制为基础，保证了在多管理员的环境下，一个管理员更新了卡内的保护密钥，其他没有更新保护密钥的管理员仍能解密敏感数据，启动加密卡服务功能，保证加密卡仍能正常工作。

权利要求书

1.一种加密卡内加密信息可以恢复的实现方法，其特征在于：包括以下步骤：A、管理员a启动更新保护密钥操作，将敏感密文文件sen进行备份，生成senbak备份文件；B、管理员a用自己IC卡或USB KEY内现有保护密钥PK1将sen解密得到敏感明文数据，将新生成的保护密钥PK2保存于IC卡或USB KEY中，并使用PK2对敏感明文加密，加密后写回sen，覆盖原sen同时在文件属性中标示是a更新了该文件；C、管理员b要解密敏感密文，首先用自己IC卡或USB KEY中的现有保护密钥PK1解密sen文件，如果无法解密该文件管理员b可知密钥已被其他管理员更新，管理员可继续解密senbak。D、管理员b通过读取sen文件属性可知管理员a更新了保护密钥，管理员b可联系管理员a同步自己的保护密钥。

说明书

一种加密卡内加密信息可恢复的实现方法

技术领域

本发明涉及加密卡领域，具体涉及一种加密卡内加密信息可恢复的实现方法。

背景技术

目前，加密卡普遍应用于信息安全领域，用于认证用户身份和保障用户数据安全。其安全体系一般采用三级密钥结构，即会话密钥(SK)、密钥加密密钥(KEK)和保护密钥(PK)，SK用于通信数据加解密，保证通信安全；KEK用于实现会话密钥的分配和交换等；PK用于保护加密卡内各种敏感信息。加密卡内的敏感信息包括KEK和用于管理加密卡的用户信息等，由于这些信息对于加密卡的安全和管理工作起着至关重要的作用，所以这些信息都是用PK加密后存放在加密卡中的，而PK是单独存放在IC卡或USB Key内的，每个管理员拥有一个IC卡或USB Key，在卡启动时需由卡的管理员，将PK导入加密卡，并使用PK解密相应的密文信息，得到明文数据。为了保证安全性管理员会不定期的更新PK，即用原PK解密敏感数据密文，用新生成的PK加密敏感数据明文，并用新的敏感数据密文代替原密文保存在加密卡中。在多管理员情况下，管理员A更新了PK，管理员B未及时更新PK，那么管理员B就无法解密敏感数据，也就无法使用这些数据，这可能导致管理员无法登陆启动加密卡，应用无法使用加密卡内密钥等严重后果。

发明内容

针对上述问题，本发明提供了一种加密卡内加密信息可恢复的实现方法。

一种加密卡内加密信息可以恢复的实现方法，包括以下步骤：

A、管理员a启动更新保护密钥操作，将敏感密文文件sen进行备份，生成senbak备份文件；

B、管理员a用自己IC卡或USB KEY内现有保护密钥PK1将sen解密得到敏感明文数据，将新生成的保护密钥PK2保存于IC卡或USB KEY中，并使用PK2对敏感明文加密，加密后写回sen，覆盖原sen同时在文件属性中标示是a更新了该文件；

C、管理员b要解密敏感密文，首先用自己IC卡或USB KEY中的现有保护密钥PK1解密sen文件，如果无法解密该文件管理员b可知密钥已被其他管理员更新，管理员可继续解密senbak。

D、管理员b通过读取sen文件属性可知管理员a更新了保护密钥，管理员b可联系管理员a同步自己的保护密钥。

本发明以备份机制为基础，保证了一个管理员更新了保护密钥，其他没有更新保护密钥的管理员仍能解密敏感数据，保证加密卡仍能正常工作。

附图说明

图1为管理员A备份敏感密文文件sen示意图。

图2是为管理员A更新保护密钥过程示意图。

图3是管理员B恢复卡内敏感密文信息示意图。

具体实施方案

下面结合附图和具体实施方式对本发明的方法进行说明。

如图1所示，管理员A要更新保护密钥，首先要创建卡内敏感密文信息sen的备份文件senbak；其次，如图2所示，管理员A将sen文件内容读入内存我们用S1标识，用原保护密钥PK1解密S1，得到明文数据D1，接下来管理员A将新生成的保护密钥PK2保存于IC卡或USB Key中，并用PK2加密D1，得到新的密文S2，管理员A将S2写入文件sen中，覆盖sen原有内容，并在文件属性中标识自己更新了该文件，至此管理员A完成了保护密钥的更新工作。管理员B要用自己IC卡或USB Key内的原保护密钥解密卡内敏感数据，如图3所示，管理员B首先用原保护密钥解密sen文件，由于sen是用管理员A的新PK加密的，所以管理员B解密该文件失败，接下来管理员B解密senbak文件，由于该文件是管理员A更新保护密钥前备份的，所以管理员B解密成功。管理员B从sen文件属性知道管理员A更新了保护密钥，所以管理员B与管理员A联系，使自己的保护密钥与最新的保护密钥同步。

资源描述

《一种加密卡内加密信息可恢复的实现方法.pdf》由会员分享，可在线阅读，更多相关《一种加密卡内加密信息可恢复的实现方法.pdf（5页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN102004873A43申请公布日20110406CN102004873ACN102004873A21申请号201010536191522申请日20101104G06F21/00200601G06F11/1420060171申请人北京曙光天演信息技术有限公司地址100084北京市海淀区水磨西街64号办公楼西楼72发明人唐焕焕孙国忠石旭黄亮曹连雨74专利代理机构北京安博达知识产权代理有限公司11271代理人徐国文54发明名称一种加密卡内加密信息可恢复的实现方法57摘要本发明提供了一种加密卡内加密信息可恢复的实现方法。以备份机制为基础，保证了在多管理员的环境下，一个管理员更新了卡。

2、内的保护密钥，其他没有更新保护密钥的管理员仍能解密敏感数据，启动加密卡服务功能，保证加密卡仍能正常工作。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书2页附图1页CN102004886A1/1页21一种加密卡内加密信息可以恢复的实现方法，其特征在于包括以下步骤A、管理员A启动更新保护密钥操作，将敏感密文文件SEN进行备份，生成SENBAK备份文件；B、管理员A用自己IC卡或USBKEY内现有保护密钥PK1将SEN解密得到敏感明文数据，将新生成的保护密钥PK2保存于IC卡或USBKEY中，并使用PK2对敏感明文加密，加密后写回SEN，覆盖原SEN同时在文件属性。

3、中标示是A更新了该文件；C、管理员B要解密敏感密文，首先用自己IC卡或USBKEY中的现有保护密钥PK1解密SEN文件，如果无法解密该文件管理员B可知密钥已被其他管理员更新，管理员可继续解密SENBAK。D、管理员B通过读取SEN文件属性可知管理员A更新了保护密钥，管理员B可联系管理员A同步自己的保护密钥。权利要求书CN102004873ACN102004886A1/2页3一种加密卡内加密信息可恢复的实现方法技术领域0001本发明涉及加密卡领域，具体涉及一种加密卡内加密信息可恢复的实现方法。背景技术0002目前，加密卡普遍应用于信息安全领域，用于认证用户身份和保障用户数据安全。其安全体系一般采。

4、用三级密钥结构，即会话密钥SK、密钥加密密钥KEK和保护密钥PK，SK用于通信数据加解密，保证通信安全；KEK用于实现会话密钥的分配和交换等；PK用于保护加密卡内各种敏感信息。加密卡内的敏感信息包括KEK和用于管理加密卡的用户信息等，由于这些信息对于加密卡的安全和管理工作起着至关重要的作用，所以这些信息都是用PK加密后存放在加密卡中的，而PK是单独存放在IC卡或USBKEY内的，每个管理员拥有一个IC卡或USBKEY，在卡启动时需由卡的管理员，将PK导入加密卡，并使用PK解密相应的密文信息，得到明文数据。为了保证安全性管理员会不定期的更新PK，即用原PK解密敏感数据密文，用新生成的PK加密敏感。

5、数据明文，并用新的敏感数据密文代替原密文保存在加密卡中。在多管理员情况下，管理员A更新了PK，管理员B未及时更新PK，那么管理员B就无法解密敏感数据，也就无法使用这些数据，这可能导致管理员无法登陆启动加密卡，应用无法使用加密卡内密钥等严重后果。发明内容0003针对上述问题，本发明提供了一种加密卡内加密信息可恢复的实现方法。0004一种加密卡内加密信息可以恢复的实现方法，包括以下步骤0005A、管理员A启动更新保护密钥操作，将敏感密文文件SEN进行备份，生成SENBAK备份文件；0006B、管理员A用自己IC卡或USBKEY内现有保护密钥PK1将SEN解密得到敏感明文数据，将新生成的保护密钥PK。

6、2保存于IC卡或USBKEY中，并使用PK2对敏感明文加密，加密后写回SEN，覆盖原SEN同时在文件属性中标示是A更新了该文件；0007C、管理员B要解密敏感密文，首先用自己IC卡或USBKEY中的现有保护密钥PK1解密SEN文件，如果无法解密该文件管理员B可知密钥已被其他管理员更新，管理员可继续解密SENBAK。0008D、管理员B通过读取SEN文件属性可知管理员A更新了保护密钥，管理员B可联系管理员A同步自己的保护密钥。0009本发明以备份机制为基础，保证了一个管理员更新了保护密钥，其他没有更新保护密钥的管理员仍能解密敏感数据，保证加密卡仍能正常工作。附图说明0010图1为管理员A备份敏感。

7、密文文件SEN示意图。0011图2是为管理员A更新保护密钥过程示意图。说明书CN102004873ACN102004886A2/2页40012图3是管理员B恢复卡内敏感密文信息示意图。具体实施方案0013下面结合附图和具体实施方式对本发明的方法进行说明。0014如图1所示，管理员A要更新保护密钥，首先要创建卡内敏感密文信息SEN的备份文件SENBAK；其次，如图2所示，管理员A将SEN文件内容读入内存我们用S1标识，用原保护密钥PK1解密S1，得到明文数据D1，接下来管理员A将新生成的保护密钥PK2保存于IC卡或USBKEY中，并用PK2加密D1，得到新的密文S2，管理员A将S2写入文件SEN。

8、中，覆盖SEN原有内容，并在文件属性中标识自己更新了该文件，至此管理员A完成了保护密钥的更新工作。管理员B要用自己IC卡或USBKEY内的原保护密钥解密卡内敏感数据，如图3所示，管理员B首先用原保护密钥解密SEN文件，由于SEN是用管理员A的新PK加密的，所以管理员B解密该文件失败，接下来管理员B解密SENBAK文件，由于该文件是管理员A更新保护密钥前备份的，所以管理员B解密成功。管理员B从SEN文件属性知道管理员A更新了保护密钥，所以管理员B与管理员A联系，使自己的保护密钥与最新的保护密钥同步。说明书CN102004873ACN102004886A1/1页5图1图2图3说明书附图CN102004873A。

展开阅读全文