密钥恢复的智能化实现方法及装置与流程

本发明涉及信息技术安全，尤其涉及一种密钥恢复的智能化实现方法及装置。

背景技术：

1、密钥恢复是一种在密钥丢失、损坏或被盗的情况下，恢复密钥的技术。在数据加密中，如果密钥丢失或损坏，那么加密的数据也将无法访问，导致信息的永久丢失。为了防止这种情况，或者为了满足法律和监管要求，密钥恢复机制被设计来恢复或重新构造密钥。这种机制对于维护数据的可用性和合规性至关重要，尤其是在企业和政府环境中，这些环境中数据恢复的需求可能由于法律调查、合规审计或数据备份的原因而变得尤为重要。

2、在业界，一种常见的密钥恢复方法是将密钥备份文件通过强密码进行加密后存储，并对访问该加密的密钥备份文件设置身份验证。然而，随着计算机计算能力的日渐强大，强密码也面临被破解的风险，从而导致密钥备份文件被泄露和篡改，将篡改后的密钥备份文件注入到密钥管理系统中进行恢复，会造成密钥所保护的数据被非法访问和数据泄露。

技术实现思路

1、本发明提供了一种密钥恢复的智能化实现方法及装置，能够降低用非授权密钥恢复文件成功恢复密钥的几率，降低数据被非法访问和泄露的风险。

2、为了解决上述技术问题，本发明第一方面公开了一种密钥恢复的智能化实现方法，所述方法包括：

3、读取密钥恢复信息，所述密钥恢复信息包括待验证受保护密钥信息集、被安全密钥加密后的待验证密钥加密密钥、待验证归档记录，所述待验证受保护密钥信息集中包括所有待恢复密钥的密钥记录，每条所述密钥记录中包括一个加密后的所述待恢复密钥，所述待验证归档记录中包括加密后的密钥加密密钥散列值，所述安全密钥指仅能在保护区域内访问的密钥；

4、计算所述待验证归档记录的散列值，得到待验证归档记录散列值，判断所述待验证归档记录散列值与预先存储的归档记录散列值是否相等，所述归档记录散列值指归档记录的散列值；

5、若所述待验证归档记录散列值与所述归档记录散列值相等，则对加密后的待验证密钥加密密钥利用所述安全密钥进行解密得到待验证密钥加密密钥，计算所述待验证密钥加密密钥的散列值得到待验证密钥加密密钥散列值，在所述保护区域内对所述加密后的密钥加密密钥散列值使用安全验证私钥进行解密得到密钥加密密钥散列值，比较所述密钥加密密钥散列值与所述待验证密钥加密密钥散列值是否相等，所述安全验证私钥为在所述保护区域生成的非对称密钥中的私钥；

6、若所述密钥加密密钥散列值与所述待验证密钥加密密钥散列值相等，则根据所述密钥恢复信息对所有所述待恢复密钥进行恢复，所述待验证密钥加密密钥被恢复后得到密钥加密密钥，所述待恢复密钥被恢复后得到存储密钥。

7、作为一种可选的实施方式，在本发明第一方面中，根据所述密钥恢复信息对所有所述待恢复密钥进行恢复，所述待验证密钥加密密钥被恢复后得到密钥加密密钥，所述待恢复密钥被恢复后得到存储密钥，包括：

8、在所述保护区域内使用所述待验证密钥加密密钥对所有所述密钥记录中的加密后的所述待恢复密钥进行解密，得到所有所述待恢复密钥；

9、以所述待验证密钥加密密钥作为密钥加密密钥，以所述待恢复密钥作为存储密钥；

10、将所述密钥加密密钥与所有所述存储密钥保存在所述保护区域，对于预先确定需要保存在开放区域的所述存储密钥，使用所述密钥加密密钥进行加密后保存在开放区域，将所有所述存储密钥使用所述密钥加密密钥进行加密后存储在数据库。

11、作为一种可选的实施方式，在本发明第一方面中，在所述根据所述密钥恢复信息对所有所述待恢复密钥进行恢复之前，所述密钥恢复的智能化实现方法还包括：

12、在所述保护区域内使用所述待验证密钥加密密钥对所有所述密钥记录中的加密后的所述待恢复密钥进行解密，得到的所有所述待恢复密钥作为待遍历密钥集合；

13、遍历所述待遍历密钥集合，查找预先存储的测试密钥集中的每个测试密钥，若所述测试密钥集中的所有所述测试密钥均查找到，则触发所述根据所述密钥恢复信息对所有所述待恢复密钥进行恢复的操作。

14、作为一种可选的实施方式，在本发明第一方面中，所述测试密钥集预先存储于所述保护区域中；

15、以及，在所述保护区域内使用所述待验证密钥加密密钥对所有所述密钥记录中的加密后的所述待恢复密钥进行解密，得到的所有所述待恢复密钥作为待遍历密钥集合，具体包括：

16、在所述保护区域中使用所述待验证密钥加密密钥对所有附带验证标识的密钥记录中的加密后的所述待恢复密钥进行解密，得到的所有所述待恢复密钥作为待遍历密钥集合。

17、作为一种可选的实施方式，在本发明第一方面中，所述待验证密钥加密密钥指在所述保护区域，根据预定义的不同的业务规则基于所述安全密钥与不同的量子随机数生成的多个密钥；每个所述待恢复密钥根据预定义的业务规则选取策略对应一个所述待验证密钥加密密钥。

18、作为一种可选的实施方式，在本发明第一方面中，所述根据所述密钥恢复信息对所有所述待恢复密钥进行恢复之后，所述密钥恢复的智能化实现方法还包括：

19、查找出业务规则与预定义的待废弃业务规则相同的所有所述密钥加密密钥作为待删除密钥加密密钥；

20、删除保护区域中所有的所述待删除密钥加密密钥；

21、删除保护区域与数据库中与所述待删除密钥加密密钥对应的所述存储密钥。

22、作为一种可选的实施方式，在本发明第一方面中，在所述根据所述密钥恢复信息对所有所述待恢复密钥进行恢复之前，所述密钥恢复的智能化实现方法还包括：

23、接收来自不同管理员的m个不同的密钥分量，根据沙米尔秘密共享协议基于m个所述密钥分量恢复系统管理加密私钥，一个所述密钥分量指所述系统管理加密私钥按照沙米尔秘密共享协议拆分为n个密钥分量中的一个，1<m≤n，m代表恢复所述系统管理加密私钥所需的最小密钥分量数；

24、使用所述系统管理加密私钥对开放区域中的使用系统管理加密公钥加密后的待验证加密系统管理密码进行解密，得到所述待验证加密系统管理密码，所述系统管理加密公钥与所述系统管理加密私钥为一对预先生成的非对称密钥；

25、对比所述待验证加密系统管理密码与保护区域中保存的加密系统管理密码，若两者相等，则触发执行所述所述密钥恢复信息对所有所述待恢复密钥进行恢复的操作。

26、本发明第二方面公开了一种密钥恢复的智能化实现装置，所述装置包括：

27、读取模块，用于读取密钥恢复信息，所述密钥恢复信息包括待验证受保护密钥信息集、被安全密钥加密后的待验证密钥加密密钥、待验证归档记录，所述待验证受保护密钥信息集中包括所有待恢复密钥的密钥记录，每条所述密钥记录中包括一个加密后的所述待恢复密钥，所述待验证归档记录中包括加密后的密钥加密密钥散列值，所述安全密钥指仅能在保护区域内访问的密钥；

28、判断模块，用于计算所述待验证归档记录的散列值，得到待验证归档记录散列值，判断所述待验证归档记录散列值与预先存储的归档记录散列值是否相等，所述归档记录散列值指归档记录的散列值；

29、第二判断模块，用于在所述判断模块判断出所述待验证归档记录散列值与所述归档记录散列值相等时，对加密后的待验证密钥加密密钥利用所述安全密钥进行解密得到待验证密钥加密密钥，计算所述待验证密钥加密密钥的散列值得到待验证密钥加密密钥散列值，在所述保护区域内对所述加密后的密钥加密密钥散列值使用安全验证私钥进行解密得到密钥加密密钥散列值，比较所述密钥加密密钥散列值与所述待验证密钥加密密钥散列值是否相等，所述安全验证私钥为在所述保护区域生成的非对称密钥中的私钥；

30、恢复模块，用于在所述第二判断模块判断出所述密钥加密密钥散列值与所述待验证密钥加密密钥散列值相等时，根据所述密钥恢复信息对所有所述待恢复密钥进行恢复，所述待验证密钥加密密钥被恢复后得到密钥加密密钥，所述待恢复密钥被恢复后得到存储密钥。

31、作为一种可选的实施方式，在本发明第二方面中，根据所述密钥恢复信息对所有所述待恢复密钥进行恢复，所述待验证密钥加密密钥被恢复后得到密钥加密密钥，所述待恢复密钥被恢复后得到存储密钥，包括：

32、在所述保护区域内使用所述待验证密钥加密密钥对所有所述密钥记录中的加密后的所述待恢复密钥进行解密，得到所有所述待恢复密钥；

33、以所述待验证密钥加密密钥作为密钥加密密钥，以所述待恢复密钥作为存储密钥；

34、将所述密钥加密密钥与所有所述存储密钥保存在所述保护区域，对于预先确定需要保存在开放区域的所述存储密钥，使用所述密钥加密密钥进行加密后保存在开放区域，将所有所述存储密钥使用所述密钥加密密钥进行加密后存储在数据库。

35、作为一种可选的实施方式，在本发明第二方面中，所述密钥恢复的智能化实现装置还包括：

36、查找模块，用于在所述根据所述密钥恢复信息对所有所述待恢复密钥进行恢复之前，在所述保护区域内使用所述待验证密钥加密密钥对所有所述密钥记录中的加密后的所述待恢复密钥进行解密，得到的所有所述待恢复密钥作为待遍历密钥集合；

37、以及，遍历所述待遍历密钥集合，查找预先存储的测试密钥集中的每个测试密钥，若所述测试密钥集中的所有所述测试密钥均查找到，则触发所述根据所述密钥恢复信息对所有所述待恢复密钥进行恢复的操作。

38、作为一种可选的实施方式，在本发明第二方面中，所述测试密钥集预先存储于所述保护区域中；

39、以及，在所述保护区域内使用所述待验证密钥加密密钥对所有所述密钥记录中的加密后的所述待恢复密钥进行解密，得到的所有所述待恢复密钥作为待遍历密钥集合，具体包括：

40、在所述保护区域中使用所述待验证密钥加密密钥对所有附带验证标识的密钥记录中的加密后的所述待恢复密钥进行解密，得到的所有所述待恢复密钥作为待遍历密钥集合。

41、作为一种可选的实施方式，在本发明第二方面中，所述待验证密钥加密密钥指在所述保护区域，根据预定义的不同的业务规则基于所述安全密钥与不同的量子随机数生成的多个密钥；每个所述待恢复密钥根据预定义的业务规则选取策略对应一个所述待验证密钥加密密钥。

42、作为一种可选的实施方式，在本发明第二方面中，所述密钥恢复的智能化实现装置还包括：

43、删除模块，用于在所述根据所述密钥恢复信息对所有所述待恢复密钥进行恢复之后，查找出业务规则与预定义的待废弃业务规则相同的所有所述密钥加密密钥作为待删除密钥加密密钥；

44、删除保护区域中所有的所述待删除密钥加密密钥；

45、删除保护区域与数据库中与所述待删除密钥加密密钥对应的所述存储密钥。

46、作为一种可选的实施方式，在本发明第二方面中，所述密钥恢复的智能化实现装置还包括：

47、第二恢复模块，用于在所述根据所述密钥恢复信息对所有所述待恢复密钥进行恢复之前，接收来自不同管理员的m个不同的密钥分量，根据沙米尔秘密共享协议基于m个所述密钥分量恢复系统管理加密私钥，一个所述密钥分量指所述系统管理加密私钥按照沙米尔秘密共享协议拆分为n个密钥分量中的一个，1<m≤n，m代表恢复所述系统管理加密私钥所需的最小密钥分量数；

48、解密模块，用于使用所述系统管理加密私钥对开放区域中的使用系统管理加密公钥加密后的待验证加密系统管理密码进行解密，得到所述待验证加密系统管理密码，所述系统管理加密公钥与所述系统管理加密私钥为一对预先生成的非对称密钥；

49、第三判断模块，用于对比所述待验证加密系统管理密码与保护区域中保存的加密系统管理密码，若两者相等，则触发执行所述所述密钥恢复信息对所有所述待恢复密钥进行恢复的操作。

50、本发明第三方面公开了另一种密钥恢复的智能化实现装置，所述装置包括：

51、存储有可执行程序代码的存储器；

52、与所述存储器耦合的处理器；

53、所述处理器调用所述存储器中存储的所述可执行程序代码，执行本发明第一方面公开的密钥恢复的智能化实现方法。

54、本发明第四方面公开了一种计算机存储介质，所述计算机存储介质存储有计算机指令，所述计算机指令被调用时，用于执行本发明第一方面公开的密钥恢复的智能化实现方法。

55、与现有技术相比，本发明实施例具有以下有益效果：

56、本发明通过对待验证归档记录的散列值与预存的归档记录散列值进行比对，拿到可信的归档记录；对可信的归档记录中的加密后的密钥加密密钥散列值在安全区域中进行解密，拿到可信的密钥加密密钥散列值，通过密钥加密密钥散列值的比对，拿到可信的密钥加密密钥；基于可信的密钥加密密钥恢复待恢复密钥，降低非法密钥被错误恢复到内存和数据库的几率，有效地降低了用非授权密钥恢复文件恢复密钥的几率，并进一步降低数据被非法访问和泄露的风险。