【密码产品篇】服务器密码机密钥体系结构

news2024/12/28 3:26:05

【密码产品篇】服务器密码机密钥体系结构

标准GM/T 0030-2014中规定服务器密码机必须至少支持三层密码体系结构,包括:管理密钥、用户密钥/设备密钥/密钥加密密钥、会话密钥。除"管理密钥"外,其他密钥可被用户使用,提供数据加解密等服务—【蘇小沐】

在这里插入图片描述

1.服务器密码机密钥体系结构

服务器密码机密钥体系结构:管理密钥、用户密钥/设备密钥/密钥加密密钥、会话密钥。

服务器密码机密钥体系结构作用
管理密钥管理员密钥、与管理工具建立安全管理通道的密钥、保护其他各层次密钥的密钥加密密钥、保护设备固件完整性的密钥、保护设备日志完整性等的密钥等。
用户密钥用户密钥是用户的身份密钥,包括签名密钥对和加密密钥对。"签名密钥对"由服务器密码机生成或安装,用于实现用户签名、验证、身份鉴别等,代表用户或应用者的身份;而"加密密钥对"则由密钥管理系统下发到设备中,主要用于对会话密钥的保护和数据的加解密等。用户密钥存储在服务器密码机内部的安全存储区域。
设备密钥与用户密钥类似,设备密钥是服务器密码机的身份密钥,包括签名密钥对和加密密钥对,用于设备管理,代表服务器密码机的身份。设备密钥的签名密钥对在设备初始化时通过管理工具生成或者安装,加密密钥由密钥管理系统下发到设备中,设备密钥对存储在服务器密码机内部的安全存储区域。事实上,设备密钥和用户密钥存储在同一区域,设备密钥可以视作表征设备身份的特殊"用户密钥"。
密钥加密密钥密钥加密密钥是定期更换的"对称密钥",用于在预分配密钥情况下,对会话密钥的保护。密钥加密密钥通过密码设备管理工具生成或安装,与用户密钥和设备密钥存储在不同的存储区。
会话密钥会话密钥是"对称密钥",一般直接用于数据的加解密。会话密钥使用服务器密码机的接口生成或导入,使用时利用句柄检索。为了保证会话密钥的安全,它不能以明文形态进出密码机,服务器密码机的接口采用数字信封、密钥加密密钥加密传输或者密钥协商等方式进行会话密钥的导入/导出。

2.服务器密码机接口类型

服务器密码机接口类型包括:“设备管理类、密钥管理类、非对称算法运算类函数、对称算法运行类函数、杂凑运算类函数、文件类函数”。

服务器密码机接口类型作用
设备管理类主要是对于密码设备、会话、私钥权限的管理、包括打开/关闭设备、创建/关闭会话、获取/释放私钥使用权限等
密钥管理类主要涉及会话密钥生成、密钥的导入/导出、密钥销毁等密码生命周期管理
非对称算法运算类函数主要包括数字签名的计算、公钥加密操作
对称算法运算类函数主要包括对称加解密、MAC的计算
杂凑运算类函数主要支持杂凑的多包运算
文件类函数对内存存储的文件进行管理

3.服务器密码机的密钥管理要求

◎管理密钥的使用不对应用系统开放
除公钥外,所有密钥均不能以明文形式出现在服务器密码机外
◎服务器密码机内部存储的密钥应具备有效的防止解剖、探测和非法读取密钥保护机制;
◎服务器密码机内部存储的密钥应具备防止非法使用和导出的权限控制机制;
◎服务器密码机内部存储的密钥应具备安全销毁功能

4.服务器密码机的接口使用

服务器密码机的接口使用是一个有状态的过程,需要遵循一定的顺序,并且需要维持上下文。以下介绍服务器密码机两类典型应用的操作流程:

客户端调用服务器密码机存储的用户密钥进行签名的一般顺序为:

1SDF_OpenDevice:打开设备,获得设备句柄
2SDF_OpenSession:创建会话,获得会话句柄
3SDF_GetPrivateKeyAccessRight:获取内部私钥使用权限
4SDF_Internalsign ECC:使用内部存储的私钥进行签名
5SDF_ReleasePrivateKeyAccessRight:释放私钥权限
6SDF_CloseSession:关闭会话,销毁会话句柄
7SDF_CloseDevice:关闭设备,销毁设备句柄

完成签名后,其他应用可以使用对应的公钥/公钥证书来验证签名的正确性。

客户端调用服务器密码机使用会话密钥加密数据的一般顺序为:

1SDF_OpenDevice:打开设备,获得设备句柄
2SDF_OpenSession:创建会话,获得会话句柄
3SDF_GenerateKeyWithEPK_ECC:生成会话密钥,并利用外部公钥加密形成数字信封
4SDF_Encrypt:利用会话密钥加密数据
5SDF_CloseSession:关闭会话,销毁会话句柄
6SDF_CloseDevice:关闭设备,销毁设备句柄

完成数据加密后,持有外部公钥所对应私钥的用户可以打开数字信封,获得会话密钥句柄,并利用该会话密钥解密获得数据明文。

总结

书写片面,纯粹做个记录,有错漏之处欢迎指正。

著作所有权归作者 [蘇小沐] 所有,转载请注明文章出处

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/543507.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

在图片上添加水印的四个方法

如何在图片上添加水印?在当今开放的互联网环境中,平时对于图片的使用已经变成非常广泛,越来越多的人开始关注图片的版权问题。如今,人们越来越注重防盗意识,这是因为我们在网上发布的图片很容易被别有用心之人盗用&…

Maven仓库

1、仓库 仓库:用于存储资源,主要是各种jar包 关于仓库,我们前面讲到了有三种:本地仓库,私服,中央仓库,其中私服和中央仓库都属于远程仓库 中央仓库:maven团队自身维护的仓库&#…

Java面试知识点(全)- Java并发-多线程JUC一

Java面试知识点(全) 导航: https://nanxiang.blog.csdn.net/article/details/130640392 注:随时更新 JUC框架 五个部分: 主要包含: (注意: 网上找的图,主体上可以看出其分类关系也够了) Lock框架和Tools类(把图中这两个放到一起…

一起Linux操作系统部署的Mysql数据库服务器/目录空间占用异常的分析事例

一台Linux操作系统部署的Mysql数据库服务器平时“/"目录占用很低,但每个小时都会出现一次根目录空间占用高的情况,本文系从OS侧对异常事件进行分析排查的过程。 1、初步分析 主机已进行监控,分析监控图表 可见该数据库服务器日常根目录…

王炸功能ChatGPT 联网插件功能放开,视频文章一键变思维导图

就在上周5月13日,Open AI 发文称:“我们将在下周向所有ChatGPT Plus 用户开放联网功能和众多插件”。 这意味着什么? 首先联网功能将使得ChatGPT不再局限于回答2021年9月之前的信息,能直接联网查询最新消息。 而插件功能就可以在…

基于LT6911UXC的LVDS视频接口调试经验

项目方案采用龙讯半导体LT6911系列。 该方案采用HDMI输出转LVDS接口。在本方案中有两种显示屏;一个是10.4寸,一个是15.6寸。分别应 单LVDS与双LVDS接口。 10.4寸屏幕的分辨率为1024*768;单八LVDS信号; 15.6寸的屏幕的分辨率为19…

SSD202D-MIPI屏点亮

调试mipi 点屏参考 - SigmaStarDocs Panel开发参考 - SigmaStarDocs 1.首先要看点屏参考,看懂硬件接线这些原理,然后依据实际的接线配置屏参 和RGB是复用的,所以不一样, 然后配置内核,我是直接编译mipi的内核 2.配置屏参,

如何进行测试分析与设计-HTSM启发式测试策略模型 | 京东云技术团队

测试,没有分析与设计就失去了灵魂; 测试人员在编写用例之前,该如何进行测试分析与设计呢?上次在《测试的底层逻辑》中讲到了【输入输出测试模型】,还讲到了【2W1H测试分析法】,但2W1H分析法是初步的分析方…

Sharding-JDBC分库分表

Sharding-JDBC分库分表 一 分库分表概述 ​ 分库分表,就是为了解决由于数据量过大而导致数据库性能降低的问题,将原来独立的数据库拆分成若干数据库组成,将数据大表拆分为若干数据表组成,使得单一数据库,单一数据表的…

深度学习在语音识别方面的应用

前言 语音识别是一项非常重要的技术,它可以将人类的语音转化为计算机可以理解的形式。深度学习是一种非常强大的机器学习技术,它在语音识别方面也有广泛的应用。本文将详细介绍深度学习在语音识别方面的应用。 语音识别的基本步骤 语音识别的基本步骤包…

KDZD5550系列电压击穿试验仪系统组成

一、产品概述 KDZD5550系列电压击穿试验仪根据国家GB1408.1-2006《绝缘材料电气强度试验方法》其作用可称为电气绝缘强度试验仪、介质强度测试仪等。其工作原理是:把一个高于正常工作的电压加在被测设备的绝缘体上,持续一段规定的时间,加在上…

《软技能:代码以外的生存指南》阅读总结

文章收录: 个人网址:http://linglan01.cn/Github仓库:https://github.com/CatsAndMice/blog/issues 推荐一篇蛮有营养的文章速读《软技能 代码之外的生存指南》。 我比较喜欢实体书籍,所以自己干脆买一本《软技能:代码…

2023年5月DAMA-CDGA/CDGP数据治理认证考试报名

DAMA认证为数据管理专业人士提供职业目标晋升规划,彰显了职业发展里程碑及发展阶梯定义,帮助数据管理从业人士获得企业数字化转型战略下的必备职业能力,促进开展工作实践应用及实际问题解决,形成企业所需的新数字经济下的核心职业…

c++(类和对象下)

本节目标 1. 再谈构造函数 2. Static成员 3. 友元 4. 内部类 5.匿名对象 6.拷贝对象时的一些编译器优化 7. 再次理解封装 目录 1、再谈构造函数 1.1构造函数体赋值 1.2初始化列表 2 static 成员 2.1概念 2.2特性 3.友元 3.1友元函数 3.2友元类 4.内部类 5匿名对…

甘特图控件DHTMLX Gantt教程:用PHP:Laravel实现Gantt(上)

DHTMLX Gantt是用于跨浏览器和跨平台应用程序的功能齐全的Gantt图表。可满足项目管理应用程序的大部分开发需求,具备完善的甘特图图表库,功能强大,价格便宜,提供丰富而灵活的JavaScript API接口,与各种服务器端技术&am…

国考省考行测:资料分析:增量减量计算公式,百分数化分数

国考省考行测:增量减量计算公式 2022找工作是学历、能力和运气的超强结合体! 公务员特招重点就是专业技能,附带行测和申论,而常规国考省考最重要的还是申论和行测,所以大家认真准备吧,我讲一起屡屡申论和行测的重要知…

医院安全(不良)事件管理系统源码,PHP语言开发

医院不良事件上报系统源码 医院安全(不良)事件管理系统 ,是以提高医院医疗服务质量为目的,收集、处理医院内发生的医院安全不良相关事件,进行统计分析,并持续整改,完成闭环管理;为医院医疗服务质量的提升提供信息支撑…

Minio有了这篇文章,比SDK要好入门多了

想学minio,看小编这边文章可以解决你很多问题 一、安装minio1.1、创建文件夹,并在指定文件夹中下载minio文件1.2、赋予minio文件执行权限1.3、启动minio1.4、修改环境变量1.5、指定端口启动minio服务1.6、访问界面 二、Springboot整合Minio2.1、引入mave…

NTBackup 是什么?Windows中如何使用?

NTBackup 已不是 Windows 的内置实用程序,在较新的系统中可以使用他吗?如何才能在 Windows 11/10 或 Windows 7 中恢复BKF文件呢? 什么是 NTBackup?其优势是什么? NTBackup是Windows早期的一个内置实用程序&#xf…

【开源项目】AOP框架Nepxion Matrix原理拆解

项目地址 项目地址:https://toscode.gitee.com/nepxion/Matrix 原理分析 Spring AutoProxy机制 它统一封装接口(Spring)代理和类代理(CGLIB),注解无论在接口和类的头部或者方法上,都可以让业务…