CN105553661B - 密钥管理方法和装置 - Google Patents
密钥管理方法和装置 Download PDFInfo
- Publication number
- CN105553661B CN105553661B CN201410594104.XA CN201410594104A CN105553661B CN 105553661 B CN105553661 B CN 105553661B CN 201410594104 A CN201410594104 A CN 201410594104A CN 105553661 B CN105553661 B CN 105553661B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- user key
- assignments
- kernel state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种密钥管理方法和装置。该方法主要包括:在服务器的存储单元中存储用户密钥密文数据,在内核态内存中存储用户密钥明文数据,用户密钥键值和密钥句柄之间的绑定关系;服务器接收输入的密钥句柄,根据所述密钥句柄查询内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述用户密钥键值在内核态内存中查找到对应的用户密钥;将所述用户密钥和所述参数数据传输到所述服务器连接的加密卡中进行运算。本发明实施例为签名验签服务器等服务器提供了一种安全高效的支持海量用户密钥的密钥管理方案,该方案可扩展性高,具有比较高的实用价值。
Description
技术领域
本发明涉及密钥管理技术领域,尤其涉及一种密钥管理方法和装置。
背景技术
随着社会信息化的发展,越来越多的传统业务逐渐迈入到以计算机、互联网为代表的“电子化”时代。在“电子化”的业务活动中,为了保证系统安全,各参与方通过对应用系统中关键业务信息进行签名,来确保这些业务活动的完整性与抗抵赖性。PKI(Public KeyInfrastructure,公钥基础设施)技术是实现电子签名的主要手段,PKI作为一套目前比较成熟可靠的技术框架,有效的保障了网络安全中完整性、真实性与抗抵赖性等多种特性。
随着电子签名需求的增多以及PKI技术的深入发展,将分散在各应用系统中实现电子签名的模块独立出来形成公用的电子签名服务平台,逐渐成为各级管理人员、开发人员的共识,签名验签服务器就是这样一个针对业务数据进行签名验签公用的电子签名服务平台。
由于目前电子商务、电子政务等应用环境下业务需求的不断扩大,签名验签服务器从原先面向服务器的应用场景,逐渐转向为支持面向用户的应用场景,用户通过身份认证服务器、安全网关等访问签名验签服务器,使用保存其中的用户密钥进行签名。这样就带来一个问题如何满足支持大量密钥的新需求。
目前,现有技术中的签名验签服务器中的密钥管理方案为:将各种密钥基于加密卡或加密芯片硬盘保存,使用时,直接通过相关接口调用加密卡或加密芯片内运算。上述密钥管理方案的缺点为:具有局限性,密钥数量受加密卡或加密芯片的限制,只能管理有限数量的密钥,其扩展性及实用性受到很大的约束。
发明内容
本发明的实施例提供了一种密钥管理方法和装置,以实现对服务器中的密钥进行有效的管理。
本发明提供了如下方案:
一种密钥管理方法,在服务器的存储单元中存储用户密钥密文数据,所述方法具体包括:
在内核态内存解密所述用户密钥密文数据得到用户密钥明文数据,生成每个用户密钥对应的用户密钥键值,在所述内核态内存中存储用户密钥明文数据,用户密钥键值和密钥句柄之间的绑定关系;
所述服务器接收输入的密钥句柄,根据所述密钥句柄查询所述内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述用户密钥键值在内核态内存中查找到对应的用户密钥;
将所述用户密钥和所述参数数据传输到所述服务器连接的加密卡中进行运算。
所述的在服务器的存储单元中存储用户密钥数据,包括:
在加密卡中根据设定的密钥算法创建设定长度的系统公私钥对,将所述系统公私钥对存储在所述加密卡中的指定位置;
在所述加密卡中创建明文的用户密钥明文数据,使用所述系统公私钥对中的系统公钥加密所述用户密钥明文数据,得到用户密钥密文数据,将所述用户密钥密文数据存储在服务器的存储单元中。
所述的在所述存储单元中存储用户密钥键值和密钥句柄之间的绑定关系,包括:
所述服务器系统启动后,读取存储单元中存储所有的用户密钥密文数据,将读取的所述用户密钥密文数据存储在服务器的内核态内存中,使用所述加密卡中存储的所述系统公私钥对中的系统私钥解密用户密钥密文数据,得到用户密钥明文数据;
生成每个用户密钥明文数据对应的用户密钥键值,对每个用户密钥键值依次做HASH运算,生成每个用户密钥键值对应的密钥句柄,在所述服务器的内核态内存中存储用户密钥键值和密钥句柄之间的绑定关系。
所述的生成每个用户密钥数据对应的用户密钥键值,包括:
将用户密钥的使用用户的用户标识作为内核态内存中存储的用户密钥的文件名,将所述用户标识作为用户密钥键值,或者;将内核态内存中存储的用户密钥的存储地址作为用户密钥键值。
所述的服务器接收输入的密钥句柄,根据所述密钥句柄查询所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述密钥句柄对应的用户密钥键值在所述存储单元中查找到对应的用户密钥,包括:
当用户需要使用用户密钥时,向内核态内存输入密钥句柄及参数数据,根据所述密钥句柄查询内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值;
在内核态内存中根据用户密钥键值查找对应的密钥数据,当所述用户密钥键值为用户标识时,在所述内核态内存中查找以所述用户密钥键值为文件名的用户密钥明文数据;当所述用户密钥键值为存储地址时,在所述内核态内存中查找存储在所述存储地址上的用户密钥明文数据;
所述服务器将所述参数数据和查找到的用户密钥明文数据传输给加密卡。
一种密钥管理装置,包括:服务器和加密卡;
所述的服务器,用于在内核态内存解密所述用户密钥密文数据得到用户密钥明文数据,生成每个用户密钥对应的用户密钥键值,在所述内核态内存中存储用户密钥明文数据,用户密钥键值和密钥句柄之间的绑定关系;接收输入的密钥句柄,根据所述密钥句柄查询所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述密钥句柄对应的用户密钥键值在内核态内存中查找到对应的用户密钥;将所述用户密钥和所述参数数据传输给所述的加密卡;
所述的加密卡,用于和所述服务器连接,利用所述用户密钥对所述参数数据进行运算。
所述的加密卡,用于根据设定的密钥算法创建设定长度的系统公私钥对,将所述系统公私钥对存储在所述加密卡中的指定位置;创建用户密钥明文数据,使用所述系统公私钥对中的系统公钥加密所述用户密钥明文数据,得到用户密钥密文数据,将所述用户密钥密文数据传输给所述服务器;
所述服务器,用于在存储单元中存储用户密钥数据。
所述的服务器,用于在启动后,读取所述存储单元中存储的所有用户密钥密文数据,将读取的所述用户密钥密文数据存储在服务器的内核态内存中,使用所述加密卡中存储的所述系统公私钥对中的系统私钥解密用户密钥数据,得到用户密钥明文数据;
生成每个用户密钥明文数据对应的用户密钥键值,对每个用户密钥键值依次做HASH运算,生成每个用户密钥键值对应的密钥句柄,在所述内核态内存中存储用户密钥键值和密钥句柄之间的绑定关系。
所述的服务器,用于将用户密钥的使用用户的用户标识作为内核态内存中存储的用户密钥的文件名,将所述用户标识作为用户密钥键值,或者;将内核态内存中存储的用户密钥的存储地址作为用户密钥键值。
所述的服务器,用于当用户需要使用用户密钥时,通过内核态内存接收用户输入密钥句柄及参数数据,根据所述密钥句柄查询内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值;
在内核态内存中根据用户密钥键值查找对应的密钥数据,当所述用户密钥键值为用户标识时,在所述内核态内存中查找以所述用户密钥键值为文件名的用户密钥明文数据;当所述用户密钥键值为存储地址时,在所述内核态内存中查找存储在所述存储地址上的用户密钥明文数据;
将所述参数数据和查找到的用户密钥明文数据传输给加密卡。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例的密钥安全管理方案形成了一整套主密钥管理机制、用户密钥管理机制以及用户密钥使用机制,将用户密钥通过加密卡内主密钥加密保护,存储在服务器的硬盘中。使用时在内核态内存中使用主密钥解密并导入加密卡中执行密码运算,对外以密钥句柄方式访问。为签名验签服务器等服务器提供了一种安全高效的支持海量用户密钥的密钥管理方案,该方案可扩展性高,具有比较高的实用价值。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种密钥管理方法的处理流程图;
图2为本发明实施例二提供的一种密钥管理装置的具体结构示意图,图中,服务器21和加密卡22。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
本发明实施例提供了一种密钥管理方法和装置,以通过硬盘加密存储用户密钥,加密卡中卡内运算的方式,能够支持大量服务器非临时密钥。该方案运行安全,效率高,无密钥数量限制,扩展性好等特点。
本发明实施例中的服务器可以提供密钥服务的各种服务器,比如为签名验签服务器和加密机等。服务器和加密卡连接,加密卡可以采用外接或者外插的方式和服务器连接。
该实施例提供了一种密钥管理方法的处理流程如图1所示,包括如下的处理步骤:
步骤S110、在加密卡中根据设定的密钥算法创建设定长度的系统公私钥对,将所述系统公私钥对存储在所述加密卡中的指定位置。上述系统公私钥对也叫主密钥,该主密钥用来加密用户密钥,并将数据保存在服务器的硬盘中。
在加密卡0号位置创建SM2算法,利用SM2算法创建密钥长度256比特的系统公私钥对,并将系统公私钥对设置为不可导出。
当主密钥过期,需要更新主密钥,需要进行以下操作:
1,从服务器中的硬盘中加载所有密文的用户密钥数据至内核态内存中;
2,查找加密卡0号位上存储的系统公私钥对,使用系统公私钥对中的系统私钥解密用户密钥数据得到明文的用户密钥,将明文的用户密钥保存在内核态内存中;
3,在加密卡1号位创建SM2算法,利用SM2算法创建密钥长度256比特的新的系统公私钥对,并将新的系统公私钥对设置为不可导出;
4,使用存储在加密卡1号位的系统公钥加密内核态内存中的明文的用户密钥,得到密文的用户密钥数据,并将密文的用户密钥数据保存在服务器中的硬盘中;
5,将加密卡1号位中存储的系统公私钥对复制到加密卡0号位中存储。
步骤S120、所述加密卡中创建用户密钥明文数据,在服务器的存储单元中存储用户密钥密文数据,上述存储单元可以为系统的硬盘。
在所述加密卡中创建明文的用户密钥,该用户密钥可以为SM2密钥对,使用加密卡0号位中存储的系统公钥加密所述用户密钥,得到密文的用户密钥数据,将所述用户密钥数据存储在服务器的存储单元中。
当用户密钥过期或丢失,需要更新用户密钥,需要进行以下操作:
1,在加密卡中创建临时SM2密钥对,即创建临时用户密钥,并将临时用户密钥导出到内核态内存中,替换内核态内存中存储的原用户密钥;
2,查找加密卡0号位中存储的系统公钥,使用系统公钥加密临时用户密钥,得到密文的用户密钥数据;
3,将密文的用户密钥数据保存到硬盘中。
当用户密钥不再使用时,需要删除用户密钥,需进行以下操作:
1,在内核态内存中MAP容器中查找需要删除的用户密钥并删除;
2,在服务器的硬盘中删除用户密钥对应的密文的用户密钥数据。
步骤S130、在服务器中存储用户密钥键值和密钥句柄之间的绑定关系。
每次系统启动后,需要将用户密钥密文数据加载到服务器的内核态内存中,以供用户密钥使用时效率更高,需进行以下操作:
遍历硬盘中所有密文的用户密钥数据,读取并存储到服务器的内核态内存中,插入到MAP容器中,遍历该密钥MAP容器,使用加密卡0号位中存储的系统私钥解密用户密钥密文数据,得到用户密钥明文数据。
本发明实施例为每个用户密钥明文数据生成一个用户密钥键值,各个用户密钥对应的用户密钥键值互不相同,通过用户密钥键值可以唯一地查找到一个用户密钥。
用户密钥键值的生成方式可以为两种:
第一种方式:将用户密钥的使用用户的用户标识作为内核态内存中存储的用户密钥的文件名,将所述用户标识作为用户密钥键值。上述用户标识可以为用户名加ID。
第二种方式:将内核态内存中存储的用户密钥的存储地址作为用户密钥键值。
遍历MAP容器中的所有用户密钥键值,对每个用户密钥键值依次做HASH运算,生成每个用户密钥键值对应的密钥句柄,在服务器的内核态内存中存储用户密钥键值和密钥句柄之间的绑定关系。
将用户密钥键值对应的密钥句柄传输给用户密钥键值对应的用户密钥的使用用户。
步骤S140、所述服务器接收输入的密钥句柄,根据所述密钥句柄查询所述绑定关系,获取所述密钥句柄对应的用户密钥键值。根据所述用户密钥键值查找到对应的用户密钥数据。
当用户需要使用用户密钥时,通过密钥句柄进行访问,需进行以下操作:
1、向内核态内存传入密钥句柄及参数数据;
2、根据所述密钥句柄查询内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值;
3、在内核态内存中根据用户密钥键值查找对应的密钥数据,当所述用户密钥键值为用户标识时,在所述内核态内存中查找以所述用户密钥键值为文件名的用户密钥明文数据;当所述用户密钥键值为存储地址时,在所述内核态内存中查找存储在所述存储地址上的用户密钥明文数据。
步骤S150、服务器将查找到的用户密钥明文数据与参数数据传入加密卡中进行运算,加密卡将运算结果返回给服务器,服务器再将运算结果返回给用户。
实施例二
该实施例提供了一种密钥管理装置,其具体结构如图2所示,包括如下的模块:服务器21和加密卡22;
所述的服务器21,用于在内核态内存解密所述用户密钥密文数据得到用户密钥明文数据,生成每个用户密钥对应的用户密钥键值,在所述内核态内存中存储用户密钥明文数据,用户密钥键值和密钥句柄之间的绑定关系;接收输入的密钥句柄,根据所述密钥句柄查询所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述密钥句柄对应的用户密钥键值在所述存储单元中查找到对应的用户密钥;将所述用户密钥和所述参数数据传输给所述的加密卡;
所述的加密卡22,用于和所述服务器连接,利用所述用户密钥对所述参数数据进行运算。
进一步地,所述的加密卡22,用于根据设定的密钥算法创建设定长度的系统公私钥对,将所述系统公私钥对存储在所述加密卡中的指定位置;创建明文的用户密钥明文数据,使用所述系统公钥加密所述用户密钥明文数据,得到用户密钥密文数据,将所述用户密钥密文数据传输给所述服务器;
所述服务器,用于在存储单元中存储用户密钥密文数据。
进一步地,所述的服务器21,用于在启动后,读取所述存储单元中存储所有用户密钥密文数据,将所述用户密钥密文数据存储在服务器的内核态内存中,使用所述加密卡中存储的系统私钥解密用户密钥密文数据,得到用户密钥明文数据;
生成每个用户密钥明文数据对应的用户密钥键值,对每个用户密钥键值依次做HASH运算,生成每个用户密钥键值对应的密钥句柄,在所述内核态内存中存储用户密钥键值和密钥句柄之间的绑定关系。
进一步地,所述的服务器21,用于将用户密钥的使用用户的用户标识作为内核态内存中存储的用户密钥的文件名,将所述用户标识作为用户密钥键值,或者;将内核态内存中存储的用户密钥的存储地址作为用户密钥键值。
进一步地,所述的服务器21,用于当用户需要使用用户密钥时,通过内核态内存接收用户输入密钥句柄及参数数据,根据所述密钥句柄查询内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值;
在内核态内存中根据用户密钥键值查找对应的密钥数据,当所述用户密钥键值为用户标识时,在所述内核态内存中查找以所述用户密钥键值为文件名的用户密钥明文数据;当所述用户密钥键值为存储地址时,在所述内核态内存中查找存储在所述存储地址上的用户密钥明文数据;
将所述参数数据和查找到的用户密钥明文数据传输给加密卡。
用本发明实施例的装置进行密钥管理的具体过程与前述方法实施例类似,此处不再赘述。
综上所述,本发明实施例的密钥安全管理方案形成了一整套主密钥管理机制、用户密钥管理机制以及用户密钥使用机制,将用户密钥通过加密卡内主密钥加密保护,存储在服务器的硬盘中。使用时在内核态内存中使用主密钥解密并导入加密卡中执行密码运算,对外以密钥句柄方式访问。为签名验签服务器等服务器提供了一种安全高效的支持海量用户密钥的密钥管理方案,该方案可扩展性高,具有比较高的实用价值。
本发明实施例能够支持大量签名验签服务器的非临时密钥管理。该方案运行安全,效率高,无密钥数量限制,具有扩展性及实用性好等特点。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬盘平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (7)
1.一种密钥管理方法,其特征在于,在服务器的存储单元中存储用户密钥密文数据,所述方法具体包括:
在内核态内存解密所述用户密钥密文数据得到用户密钥明文数据,生成每个用户密钥对应的用户密钥键值,在所述内核态内存中存储用户密钥明文数据,用户密钥键值和密钥句柄之间的绑定关系;
所述服务器接收输入的密钥句柄,根据所述密钥句柄查询所述内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述用户密钥键值在内核态内存中查找到对应的用户密钥;
将所述用户密钥和参数数据传输到所述服务器连接的加密卡中进行运算;
在加密卡中根据设定的密钥算法创建设定长度的系统公私钥对,将所述系统公私钥对存储在所述加密卡中的指定位置;
在所述加密卡中创建明文的用户密钥明文数据,使用所述系统公私钥对中的系统公钥加密所述用户密钥明文数据,得到用户密钥密文数据,将所述用户密钥密文数据存储在服务器的存储单元中;其中所述的生成每个用户密钥对应的用户密钥键值包括:
将用户密钥的使用用户的用户标识作为内核态内存中存储的用户密钥的文件名,将所述用户标识作为用户密钥键值,或者;将内核态内存中存储的用户密钥的存储地址作为用户密钥键值。
2.根据权利要求1所述的密钥管理方法,其特征在于,所述的在所述存储单元中存储用户密钥键值和密钥句柄之间的绑定关系,包括:
所述服务器系统启动后,读取存储单元中存储所有的用户密钥密文数据,将读取的所述用户密钥密文数据存储在服务器的内核态内存中,使用所述加密卡中存储的所述系统公私钥对中的系统私钥解密用户密钥密文数据,得到用户密钥明文数据;
生成每个用户密钥明文数据对应的用户密钥键值,对每个用户密钥键值依次做HASH运算,生成每个用户密钥键值对应的密钥句柄,在所述服务器的内核态内存中存储用户密钥键值和密钥句柄之间的绑定关系。
3.根据权利要求1或2所述的密钥管理方法,其特征在于,所述的服务器接收输入的密钥句柄,根据所述密钥句柄查询所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述密钥句柄对应的用户密钥键值在所述存储单元中查找到对应的用户密钥,包括:
当用户需要使用用户密钥时,向内核态内存输入密钥句柄及参数数据,根据所述密钥句柄查询内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值;
在内核态内存中根据用户密钥键值查找对应的密钥数据,当所述用户密钥键值为用户标识时,在所述内核态内存中查找以所述用户密钥键值为文件名的用户密钥明文数据;当所述用户密钥键值为存储地址时,在所述内核态内存中查找存储在所述存储地址上的用户密钥明文数据;
所述服务器将所述参数数据和查找到的用户密钥明文数据传输给加密卡。
4.一种密钥管理装置,其特征在于,包括:服务器和加密卡;
所述的服务器,用于在内核态内存解密用户密钥密文数据得到用户密钥明文数据,生成每个用户密钥对应的用户密钥键值,在所述内核态内存中存储用户密钥明文数据,用户密钥键值和密钥句柄之间的绑定关系;接收输入的密钥句柄,根据所述密钥句柄查询所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述密钥句柄对应的用户密钥键值在内核态内存中查找到对应的用户密钥;将所述用户密钥和参数数据传输给所述的加密卡;
所述的加密卡,用于和所述服务器连接,利用所述用户密钥对所述参数数据进行运算;
其中,所述的生成每个用户密钥对应的用户密钥键值包括:
用于将用户密钥的使用用户的用户标识作为内核态内存中存储的用户密钥的文件名,将所述用户标识作为用户密钥键值,或者;将内核态内存中存储的用户密钥的存储地址作为用户密钥键值。
5.根据权利要求4所述的密钥管理装置,其特征在于:
所述的加密卡,用于根据设定的密钥算法创建设定长度的系统公私钥对,将所述系统公私钥对存储在所述加密卡中的指定位置;创建用户密钥明文数据,使用所述系统公私钥对中的系统公钥加密所述用户密钥明文数据,得到用户密钥密文数据,将所述用户密钥密文数据传输给所述服务器;
所述服务器,用于在存储单元中存储用户密钥数据。
6.根据权利要求5所述的密钥管理装置,其特征在于:
所述的服务器,用于在启动后,读取所述存储单元中存储的所有用户密钥密文数据,将读取的所述用户密钥密文数据存储在服务器的内核态内存中,使用所述加密卡中存储的所述系统公私钥对中的系统私钥解密用户密钥数据,得到用户密钥明文数据;
生成每个用户密钥明文数据对应的用户密钥键值,对每个用户密钥键值依次做HASH运算,生成每个用户密钥键值对应的密钥句柄,在所述内核态内存中存储用户密钥键值和密钥句柄之间的绑定关系。
7.根据权利要求4或6所述的密钥管理装置,其特征在于:
所述的服务器,用于当用户需要使用用户密钥时,通过内核态内存接收用户输入密钥句柄及参数数据,根据所述密钥句柄查询内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值;
在内核态内存中根据用户密钥键值查找对应的密钥数据,当所述用户密钥键值为用户标识时,在所述内核态内存中查找以所述用户密钥键值为文件名的用户密钥明文数据;当所述用户密钥键值为存储地址时,在所述内核态内存中查找存储在所述存储地址上的用户密钥明文数据;
将所述参数数据和查找到的用户密钥明文数据传输给加密卡。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410594104.XA CN105553661B (zh) | 2014-10-29 | 2014-10-29 | 密钥管理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410594104.XA CN105553661B (zh) | 2014-10-29 | 2014-10-29 | 密钥管理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105553661A CN105553661A (zh) | 2016-05-04 |
| CN105553661B true CN105553661B (zh) | 2019-09-17 |
Family
ID=55832604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410594104.XA Active CN105553661B (zh) | 2014-10-29 | 2014-10-29 | 密钥管理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105553661B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107317677B (zh) * | 2017-05-25 | 2020-02-07 | 苏州科达科技股份有限公司 | 密钥存储及设备身份认证方法、装置 |
| CN108600182B (zh) * | 2018-03-29 | 2021-03-19 | 深圳前海微众银行股份有限公司 | 区块链密钥管理方法、系统及密钥管理设备、存储介质 |
| CN108959943B (zh) * | 2018-06-29 | 2020-06-05 | 北京百度网讯科技有限公司 | 用于管理加密密钥的方法、装置、设备、存储介质以及相应车辆 |
| CN112671530B (zh) * | 2019-11-21 | 2023-04-07 | 华控清交信息科技(北京)有限公司 | 一种数据处理方法、装置和用于数据处理的装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1703000A (zh) * | 2005-03-31 | 2005-11-30 | 联想(北京)有限公司 | 用于实现应用系统与安全芯片进行交互的装置及方法 |
| CN1859088A (zh) * | 2005-05-08 | 2006-11-08 | 联想(北京)有限公司 | 一种提供加密服务的方法以及使用该方法的系统 |
| CN101483518A (zh) * | 2009-02-20 | 2009-07-15 | 北京天威诚信电子商务服务有限公司 | 一种用户数字证书私钥管理方法和系统 |
| CN101986596A (zh) * | 2010-10-21 | 2011-03-16 | 无锡江南信息安全工程技术中心 | 密钥管理机制 |
| US8245053B2 (en) * | 2009-03-10 | 2012-08-14 | Dell Products, Inc. | Methods and systems for binding a removable trusted platform module to an information handling system |
| CN102833075A (zh) * | 2012-09-05 | 2012-12-19 | 北京市科学技术情报研究所 | 基于三层叠加式密钥管理技术的身份认证和数字签名方法 |
| CN103138939A (zh) * | 2013-03-28 | 2013-06-05 | 武汉大学 | 云存储模式下基于可信平台模块的密钥使用次数管理方法 |
| CN103534976A (zh) * | 2013-06-05 | 2014-01-22 | 华为技术有限公司 | 数据安全的保护方法、服务器、主机及系统 |
-
2014
- 2014-10-29 CN CN201410594104.XA patent/CN105553661B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1703000A (zh) * | 2005-03-31 | 2005-11-30 | 联想(北京)有限公司 | 用于实现应用系统与安全芯片进行交互的装置及方法 |
| CN1859088A (zh) * | 2005-05-08 | 2006-11-08 | 联想(北京)有限公司 | 一种提供加密服务的方法以及使用该方法的系统 |
| CN101483518A (zh) * | 2009-02-20 | 2009-07-15 | 北京天威诚信电子商务服务有限公司 | 一种用户数字证书私钥管理方法和系统 |
| US8245053B2 (en) * | 2009-03-10 | 2012-08-14 | Dell Products, Inc. | Methods and systems for binding a removable trusted platform module to an information handling system |
| CN101986596A (zh) * | 2010-10-21 | 2011-03-16 | 无锡江南信息安全工程技术中心 | 密钥管理机制 |
| CN102833075A (zh) * | 2012-09-05 | 2012-12-19 | 北京市科学技术情报研究所 | 基于三层叠加式密钥管理技术的身份认证和数字签名方法 |
| CN103138939A (zh) * | 2013-03-28 | 2013-06-05 | 武汉大学 | 云存储模式下基于可信平台模块的密钥使用次数管理方法 |
| CN103534976A (zh) * | 2013-06-05 | 2014-01-22 | 华为技术有限公司 | 数据安全的保护方法、服务器、主机及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105553661A (zh) | 2016-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11381398B2 (en) | Method for re-keying an encrypted data file | |
| US11108753B2 (en) | Securing files using per-file key encryption | |
| US9767299B2 (en) | Secure cloud data sharing | |
| CN104618096B (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| US20220014367A1 (en) | Decentralized computing systems and methods for performing actions using stored private data | |
| Kumar et al. | A systematic review of the security in cloud computing: data integrity, confidentiality and availability | |
| CN105553661B (zh) | 密钥管理方法和装置 | |
| Koletka et al. | An architecture for secure searchable cloud storage | |
| CN107113314A (zh) | 用于云计算中的异构数据存储管理的方法和装置 | |
| Virvilis et al. | A cloud provider-agnostic secure storage protocol | |
| Agarkhed et al. | An efficient auditing scheme for data storage security in cloud | |
| Thilakanathan et al. | Secure multiparty data sharing in the cloud using hardware-based TPM devices | |
| CN108494724A (zh) | 基于多授权机构属性加密算法的云存储加密系统及方法 | |
| Gohel et al. | A new data integrity checking protocol with public verifiability in cloud storage | |
| Nusrat et al. | Simplified FADE with sharing feature (SFADE+): A overlay approach for cloud storage system | |
| CN113553611A (zh) | 文件加密存储方法和系统、用户终端、云平台和存储介质 | |
| Kumari et al. | A Review on Challenges of Security for Secure Data Storage in Cloud | |
| Sude et al. | Authenticated CRF based improved ranked multi-keyword search for multi-owner model in cloud computing | |
| JP2020155801A (ja) | 情報管理システム及びその方法 | |
| CN116737704B (zh) | 面向文旅消费数据在密文状态下的降重去冗余系统和方法 | |
| Vanitha et al. | Secured data destruction in cloud based multi-tenant database architecture | |
| CN108234436A (zh) | 一种基于OpenStack 对象存储的加密方法和系统 | |
| Khurana et al. | A hybrid model on cloud security | |
| TWI638271B (zh) | Cloud server system with encrypted file keyword fuzzy search function | |
| Guo et al. | High Efficient Secure Data Deduplication Method for Cloud Computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |