本发明专利技术实施例涉及数据安全技术领域,尤其涉及一种密钥保存方法及装置,包括:根据密钥和n个不同的备份参数,计算出不同的n个备份片段;将所述n个备份片段分别发送给n个备份设备;若所述密钥无法获得,则从所述n个备份设备中任选k个备份设备;获取所述k个备份设备中存储的k个备份片段及所述k个备份片段对应的k个备份参数;根据所述k个备份片段和所述k个备份参数,计算出所述密钥;其中,n>0,1≤k<n。本发明专利技术实施例用以解决若密钥的部分备份片段无法获取,则不能恢复完整密钥的问题。
【技术实现步骤摘要】
一种密钥保存方法及装置
本专利技术涉及数据安全
,尤其涉及一种密钥保存方法及装置。
技术介绍
为了实现信息的安全保密,一般采用加密手段来对信息加以保护,而加密信息所使用的密钥往往比密文信息本身更为重要。如果因为保管不善或者其他不可抗力原因导致密钥被毁坏,将直接导致已加密的信息无法被解密,甚至引起当前系统不可用的后果,可见其安全管理与存储十分重要。目前对密钥的管理与保存方式为,将密钥按照存储长度直接等分为几等份,分别将这几个等份发送给备份设备进行备份,在需要恢复时获取所有设备中的备份片段完成恢复。这种保存与恢复密钥方式的问题在于,若备份的设备中有任一个设备出现故障损坏失效而相应的备份片段无法获得,则无法通过其余的备份片段获得完整的密钥。
技术实现思路
本申请提供一种密钥保存方法及装置,用以解决若密钥的部分备份片段无法获取,则不能恢复完整密钥的问题。本专利技术实施例提供一种密钥保存方法,包括以下步骤:根据密钥和n个不同的备份参数,计算出不同的n个备份片段;将所述n个备份片段分别发送给n个备份设备;若所述密钥无法获得,则从所述n个备份设备中任选k个备份设备;获取所述k个备份设备中存储的k个备份片段及所述k个备份片段对应的k个备份参数;根据所述k个备份片段和所述k个备份参数,计算出所述密钥;其中,n>0,1≤k<n。可选的,所述根据密钥和n个不同的备份参数,计算出不同的n个备份片段,包括:任选一个有限域GF(p)上的k-1次多项式,其中,p为大于所述密钥的素数,所述多项式的常数项等于所述密钥;针对n个备份设备,分别从所述有限域GF(p)中任选出n个有限域元素作为所述n个不同的备份参数,其中,每个有限域元素均不为零且互不相等;利用所述多项式以及选出的n个有限域元素,计算出每个有限域元素对应的备份片段。可选的,所述有限域GF(p)上的多项式为:f(x)=(a0+a1x+...+ak-1xk-1)modp其中,p为大于所述密钥的素数,x为有限域元素,a0的值等于所述密钥,a1、a2...ak-1∈GF(p);根据以下公式计算每个有限域元素对应的备份片段:sm=f(xm),1≤m≤n其中,xm为对应于第m个备份设备的有限域元素,sm为对应于第m个备份设备的备份片段。可选的,根据以下公式计算出所述密钥:其中,s为所述密钥,si为对应于第i个备份设备的备份片段,x为有限域元素,p为大于所述密钥的素数,1≤i≤n,1≤j≤k,1≤k<n。可选的,所述将所述n个备份片段分别发送给n个备份设备,包括:针对每个备份片段,对所述备份片段加密,将加密后的备份片段和所述备份片段对应的备份参数发送给对应的备份设备。一种密钥保存装置,包括:计算模块,用于根据密钥和n个不同的备份参数,计算出不同的n个备份片段;收发模块,用于将所述n个备份片段分别发送给n个备份设备;选择模块,用于若所述密钥无法获得,则从所述n个备份设备中任选k个备份设备;所述收发模块,还用于获取所述k个备份设备中存储的k个备份片段及所述k个备份片段对应的k个备份参数;所述计算模块,还用于根据所述k个备份片段和所述k个备份参数,计算出所述密钥;其中,n>0,1≤k<n。可选的,所述计算模块,具体用于:任选一个有限域GF(p)上的多项式,其中,p为大于所述密钥的素数,所述多项式的常数项等于所述密钥;针对n个备份设备,分别从所述有限域GF(p)中任选出n个有限域元素作为所述n个不同的备份参数,其中,每个有限域元素均不为零且互不相等;利用所述多项式以及选出的n个有限域元素,计算出每个有限域元素对应的备份片段。可选的,所述有限域GF(p)上的多项式为:f(x)=(a0+a1x+...+ak-1xk-1)modp其中,p为大于所述密钥的素数,x为有限域元素,a0的值等于所述密钥,a1、a2...ak-1∈GF(p);所述计算模块,具体用于根据以下公式计算每个有限域元素对应的备份片段:sm=f(xm),1≤m≤n其中,xm为对应于第m个备份设备的有限域元素,sm为对应于第m个备份设备的备份片段。可选的,所述计算模块,具体用于根据以下公式计算出所述密钥:其中,s为所述密钥,si为对应于第i个备份设备的备份片段,x为有限域元素,p为大于所述密钥的素数,1≤i≤n,1≤j≤k,1≤k<n。可选的,所述收发模块,具体用于:针对每个备份片段,对所述备份片段加密,将加密后的备份片段和所述备份片段对应的备份参数发送给对应的备份设备。本专利技术实施例中,针对需要备份的密钥,确定出n个不同的备份参数,并利用该密钥以及对应的n个不同的备份参数,计算出不同的n个备份片段,然后将每个备份片段分别发送给相应的备份设备进行存储。之后,若由于设备损坏等原因导致密钥无法直接获取,则从存储了备份片段的n个备份设备中任选出k个备份设备,获取这k个备份设备中存储的k个备份片段以及对应的k个备份参数,根据k个备份片段和相应的k个备份参数计算出密钥。本专利技术实施例中,k的值小于n的值,也就是说,从根据密钥计算得出的所有备份片段中,只需获取其中部分备份片段,即可以根据选出的备份片段以及相应的备份参数计算出密钥。这样,在原始密钥无法获得时,即使存储了备份片段的部分备份设备丢失了备份片段,或出现故障损坏失效,只要完好的备份片段个数大于或等于k个,则可以利用其余完好的备份设备重新计算得出密钥,从而降低了密钥恢复失败的风险。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例适用的一种系统架构示意图;图2为本专利技术实施例提供的一种密钥保存方法的流程示意图;图3为本专利技术具体实施例中密钥保存方法的流程示意图;图4为本专利技术实施例提供的一种密钥保存装置的结构示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述,显然,所描述的实施例仅仅是本专利技术一部份实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。如图1所示,本专利技术实施例所适用的一种系统架构,包括主设备101和多个备份设备102,其中,主设备101和备份设备102可以是计算机等网络设备。优选地,主设备101和备份设备102可以采用云计算技术进行信息处理。主设备101中设置有安全存储区,将密钥存储在安全存储区中,其它未授权的程序或设备不得随读取。当需要将密钥进行备份时,主设备101选出n个备份参数,通过计算得出n个备份片段,然后将每个备份片段发送给相应的备份设备102进行备份。备份设备102的数量为n个,每个备份设备102均接收到主设备101发送的备份片段,并将接收到的备份片段进行存储。若因主设备101损毁或丢失密钥而无法获取原始密钥,则需要从n个备份设备102中选出k个,从选出的k个备份设备中获取备份片段,从而计算出原始的密钥。主设备101和备份设备102之间通过安全的网络进行通信,如通过SSL(SecureSo本文档来自技高网...
【技术保护点】
一种密钥保存方法,其特征在于,包括:根据密钥和n个不同的备份参数,计算出不同的n个备份片段;将所述n个备份片段分别发送给n个备份设备;若所述密钥无法获得,则从所述n个备份设备中任选k个备份设备;获取所述k个备份设备中存储的k个备份片段及所述k个备份片段对应的k个备份参数;根据所述k个备份片段和所述k个备份参数,计算出所述密钥;其中,n>0,1≤k<n。
【技术特征摘要】
1.一种密钥保存方法,其特征在于,包括:根据密钥和n个不同的备份参数,计算出不同的n个备份片段;将所述n个备份片段分别发送给n个备份设备;若所述密钥无法获得,则从所述n个备份设备中任选k个备份设备;获取所述k个备份设备中存储的k个备份片段及所述k个备份片段对应的k个备份参数;根据所述k个备份片段和所述k个备份参数,计算出所述密钥;其中,n>0,1≤k<n。2.如权利要求1所述的方法,其特征在于,所述根据密钥和n个不同的备份参数,计算出不同的n个备份片段,包括:任选一个有限域GF(p)上的k-1次多项式,其中,p为大于所述密钥的素数,所述多项式的常数项等于所述密钥;针对n个备份设备,分别从所述有限域GF(p)中任选出n个有限域元素作为所述n个不同的备份参数,其中,每个有限域元素均不为零且互不相等;利用所述多项式以及选出的n个有限域元素,计算出每个有限域元素对应的备份片段。3.如权利要求2所述的方法,其特征在于,所述有限域GF(p)上的多项式为:f(x)=(a0+a1x+...+ak-1xk-1)modp其中,p为大于所述密钥的素数,x为有限域元素,a0的值等于所述密钥,a1、a2...ak-1∈GF(p);根据以下公式计算每个有限域元素对应的备份片段:sm=f(xm),1≤m≤n其中,xm为对应于第m个备份设备的有限域元素,sm为对应于第m个备份设备的备份片段。4.如权利要求3所述的方法,其特征在于,根据以下公式计算出所述密钥:其中,s为所述密钥,si为对应于第i个备份设备的备份片段,x为有限域元素,p为大于所述密钥的素数,1≤i≤n,1≤j≤k,1≤k<n。5.如权利要求1至4任一所述的方法,其特征在于,所述将所述n个备份片段分别发送给n个备份设备,包括:针对每个备份片段,对所述备份片段加密,将加密后的备份片段和所述备份片段对应的备份参数发送给对应的备份设备。6.一种密钥保存装置,其...
【专利技术属性】
技术研发人员:胡景秀,杨阳,尹亚伟,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。