CN104980269A - 密钥共享方法、装置与系统 - Google Patents
密钥共享方法、装置与系统 Download PDFInfo
- Publication number
- CN104980269A CN104980269A CN201410133922.XA CN201410133922A CN104980269A CN 104980269 A CN104980269 A CN 104980269A CN 201410133922 A CN201410133922 A CN 201410133922A CN 104980269 A CN104980269 A CN 104980269A
- Authority
- CN
- China
- Prior art keywords
- hardware
- key
- password
- cryptographic
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明提供一种密钥共享方法、装置与系统,该方法包括:第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理,得到第一密文;第一密码硬件向第二密码硬件发送第一密文,以使第二密码硬件根据群组密钥对第一密文进行解密处理,以得到第一密钥;其中,第二密码硬件与第一密码硬件属于同一群组。本发明,通过使用群组密钥进行密钥共享过程中的加密和解密处理,提高了密钥共享效率。
Description
技术领域
本发明涉及计算机密码学,尤其涉及一种基于密码硬件虚拟化的密钥共享方法、装置与系统。
背景技术
密码硬件是专门用于密码计算的一类硬件的统称。密码硬件虚拟化可以提高密码硬件资源的处理效率。在实现多个密码硬件虚拟化时,要对密码硬件计算资源进行合理调度。在密码硬件计算资源进行调度时,一个关键问题就在于密钥共享。如果密钥无法共享或者密钥共享效率太低,无法实现计算资源的合理调度。
现有技术中,密码硬件A和密码硬件B在实现密钥共享时,A和B需要先基于身份建立安全通讯信道,密码硬件A将原密钥用公钥进行加密获得密文,然后通过建立的安全通讯信道将私钥和密文传递到密码硬件B之中,密码硬件B根据私钥对密文进行解密,获得原密钥,所述公钥与所述私钥对应。密钥通过安全通信信道在双方之间共享。
然而,利用上述方法进行密钥共享时,密钥共享只能局限于两方,多方共享时效率会很低。
发明内容
鉴于此,本发明实施例提供一种密钥共享方法、装置与系统,可以解决多方交互时密钥共享效率低的问题。
第一方面,本发明实施例提供一种密钥共享方法,包括:
第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理,得到第一密文;
所述第一密码硬件向第二密码硬件发送所述第一密文,以使所述第二密码硬件根据所述群组密钥对所述第一密文进行解密处理,以得到所述第一密钥;
其中,所述第二密码硬件与所述第一密码硬件属于同一群组。
结合第一方面,在第一方面的第一种可能的实现方式中,所述第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理之前,还包括:
所述第一密码硬件接收第二密码硬件发送的秘密参数;
所述第一密码硬件根据接收到的所述秘密参数以及所述第一密码硬件的秘密参数生成所述群组密钥;
所述第一密码硬件向所述第二密码硬件发送所述群组密钥。
结合第一方面,在第一方面的第二种可能的实现方式中,所述第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理之前,还包括:
所述第一密码硬件向第二密码硬件发送所述第一密码硬件的秘密参数,以使所述第二密码硬件根据接收到的秘密参数和所述第二密码硬件的秘密参数生成所述群组密钥;
所述第一密码硬件接收所述第二密码硬件发送的所述群组密钥。
结合第一方面以及第一方面的第一和第二种可能的实现方式中的任一种,在第一方面的第三种可能的实现方式中,所述第一密码硬件向第二密码硬件发送所述第一密文包括:
所述第一密码硬件接收管理服务器发送的导出请求;
所述第一密码硬件根据所述导出请求向所述管理服务器发送所述第一密文,以使得所述管理服务器将所述第一密文发送给所述第二密码硬件。第二方面,本发明实施例提供一种密钥共享方法,包括:
第二密码硬件获取第一密码硬件发送的第一密文,所述第一密文为所述第一密码硬件根据群组密钥对第一密钥加密处理后得到的;
所述第二密码硬件根据群组密钥对所述第一密文进行解密处理,获得第一密钥;
其中所述第一密码硬件和所述第二密码硬件属于同一群组。
结合第二方面,在第二方面的第一种可能的实现方式中,所述第二密码硬件获取第一密码硬件发送的第一密文,包括:
所述第二密码硬件接收管理服务器发送的导入请求;
所述第二密码硬件根据所述导入请求,从所述管理服务器获取所述第一密文。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述第二密码硬件根据群组密钥对所述第一密文进行解密处理之前,还包括:
所述第二密码硬件将所述第二密码硬件的秘密参数发送到所述第一密码硬件,以使得所述第一密码硬件根据接收到的秘密参数以及所述第一密码硬件的秘密参数生成所述群组密钥,并接收第一密码硬件发送的所述群组密钥。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第三种可能的实现方式中,所述第二密码硬件根据群组密钥对所述第一密文进行解密处理之前,还包括:
所述第二密码硬件接收第一密码硬件发送的秘密参数,并根据接收到的秘密参数以及所述第二密码硬件的秘密参数生成所述群组密钥;
所述第二密码硬件向所述第一密码硬件发送所述群组密钥。
第三方面,本发明实施例提供一种密码硬件,包括:
加密模块,用于根据群组密钥对待发送的第一密钥进行加密处理,得到第一密文;
发送模块,用于向第二密码硬件发送所述第一密文,以使所述第二密码硬件根据所述群组密钥对所述第一密文进行解密处理,以得到所述第一密钥;
其中,所述第二密码硬件与所述第一密码硬件属于同一群组。
结合第三方面,在第三方面的第一种可能的实现方式中,还包括接收模块以及第一密钥生成模块;
所述接收模块,用于接收第二密码硬件发送的秘密参数;
所述第一密钥生成模块,用于根据所述接收模块接收到的所述秘密参数以及所述第一密码硬件的秘密参数生成所述群组密钥;
所述发送模块,还用于向所述第二密码硬件发送所述第一密钥生成模块生成的所述群组密钥;
所述加密模块,具体用于根据所述第一密钥生成模块生成的群组密钥对待发送的第一密钥进行加密处理,得到第一密文。
结合第三方面,在第三方面的第二种可能的实现方式中,还包括接收模块;
所述发送模块,还用于向第二密码硬件发送所述第一密码硬件的秘密参数,以使所述第二密码硬件根据接收到的秘密参数和所述第二密码硬件的秘密参数生成所述群组密钥;
所述接收模块,用于接收所述第二密码硬件发送的所述群组密钥;
所述加密模块,具体用于根据所述接收模块接收到的所述群组密钥对待发送的第一密钥进行加密处理,得到第一密文。
结合第三方面以及第三方面的第一和第二种可能的实现方式中的任一种,在第三方面的第三种可能的实现方式中,所述发送模块,具体用于:
接收管理服务器发送的导出请求;
根据所述导出请求向所述管理服务器发送所述第一密文,以使得所述管理服务器将所述第一密文发送给所述第二密码硬件。
第四方面,本发明实施例提供一种密码硬件,包括:
获取模块,用于获取第一密码硬件发送的第一密文,所述第一密文为所述第一密码硬件根据群组密钥对第一密钥加密处理后得到的;
解密模块,用于根据所述群组密钥对所述第一密文进行解密处理,获得第一密钥;
其中所述第一密码硬件和所述第二密码硬件属于同一群组。
结合第四方面,在第四方面的第一种可能的实现方式中,所述获取模块,具体用于:
接收管理服务器发送的导入请求;
根据所述导入请求从所述管理服务器获取所述第一密文。
结合第四方面或第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,还包括发送模块和接收模块;
所述发送模块,用于将所述第二密码硬件的秘密参数发送到所述第一密码硬件,以使得所述第一密码硬件根据接收到的秘密参数以及所述第一密码硬件的秘密参数生成所述群组密钥;
所述接收模块,用于接收第一密码硬件发送的所述群组密钥;
所述解密模块,具体用于根据所述接收模块接收到的群组密钥对所述第一密文进行解密处理,获得第一密钥。
结合第四方面或第四方面的第一种可能的实现方式,在第四方面的第三种可能的实现方式中,还包括发送模块、接收模块和第二密钥生成模块;
所述接收模块,用于接收第一密码硬件发送的秘密参数;
所述第二密钥生成模块,用于根据所述接收模块接收到的秘密参数以及所述第二密码硬件的秘密参数生成所述群组密钥;
所述发送模块,用于向所述第一密码硬件发送所述第二密钥生成模块生成的所述群组密钥;
所述解密模块,具体用于根据所述第二密钥生成模块生成的群组密钥对所述第一密文进行解密处理,获得第一密钥。
第五方面,本发明实施例提供一种密钥共享系统,包括:
如第三方面和第三方面的第一至第三种可能的实现方式中任一项所述的密码硬件、如第四方面和第四方面的第一至第三种可能的实现方式中任一项所述的密码硬件以及管理服务器。
基于上述方案,本发明实施例,通过使用群组密钥进行密钥共享过程中的加密和解密处理,解决了多方交互时密钥共享效率比较低的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的密钥共享系统的实施例的结构示意图;
图2为本发明提供的密钥共享方法实施例一的流程图;
图3为本发明提供的密钥共享方法实施例二的流程图;
图4为本发明提供的密钥共享方法实施例三的流程图;
图5为本发明提供的密码硬件实施例一的结构示意图;
图6为本发明提供的密码硬件实施例二的结构示意图;
图7为本发明提供的管理服务器实施例的结构示意图;
图8为本发明提供的密码硬件实施例三的结构示意图;
图9为本发明提供的密码硬件实施例四的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明提供的密钥共享系统的实施例的结构示意图,如图1所示,该密钥共享系统100,包括:群组101以及管理服务器102,其中群组101包括N个密码硬件,密码硬件1~N,其中N为不小于2的正整数,N个密码硬件之间互相连接,并且均与管理服务器相连接。管理服务器102用于建立群组101,并且向密码硬件1~N发送群组加入请求,以使密码硬件1~N根据群组加入请求加入群组,加入群组后,各密码硬件自身生成秘密参数,并根据自身生成的秘密参数以及同一群组的其他密码硬件生成的秘密参数生群组密钥,群组密钥为对称密钥,即群组密钥既用来加密也用来解密。在密钥共享时,各密码硬件根据服务器发出的导出请求导出密钥,并根据管理服务器发出的导入请求导入密钥,以实现不同密码硬件之间的密钥迁移,进行合理资源调度。其中,导出的密钥是经过群组密钥加密处理后的,导入的密钥需要经过群组密钥进行解密处理,以得到原密钥。
下面结合图1所示的系统结构图,对各密码硬件以及管理服务器的实施方式进行具体说明。
图2为本发明提供的密钥共享方法实施例一的流程图,如图2所示,该方法实施例,包括如下步骤:
步骤201、第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理,得到第一密文;
步骤202、第一密码硬件向第二密码硬件发送第一密文,以使第二密码硬件根据群组密钥对第一密文进行解密处理,以得到第一密钥;其中,第二密码硬件与第一密码硬件属于同一群组。
进一步地,步骤201之前,还包括:
第一密码硬件接收第二密码硬件发送的秘密参数;
第一密码硬件根据接收到的秘密参数以及第一密码硬件的秘密参数生成群组密钥;
第一密码硬件向第二密码硬件发送该群组密钥。
其中,第一密码硬件在接收上述第二密码硬件发送的秘密参数之前,第一密码硬件会根据管理服务器发送的群组加入请求而加入群组并生成自身的秘密参数,其中,该秘密参数可以是一个数,也可以是一段字符串,可选地,该秘密参数的长度可以与群组密钥的长度相同,例如,若群组密钥的长度为64位,则可以生成“秘密参数”为64位二进制数。
可选的,步骤201之前,还包括:
第一密码硬件向第二密码硬件发送第一密码硬件的秘密参数,以使第二密码硬件根据接收到的秘密参数和第二密码硬件的秘密参数生成群组密钥;
第一密码硬件接收第二密码硬件发送的群组密钥。
进一步地,步骤202中,第一密码硬件将第一密文发送给第二密码硬件,包括:
第一密码硬件接收管理服务器发送的导出请求;
第一密码硬件根据导出请求向管理服务器发送第一密文,以使得管理服务器将第一密文发送给第二密码硬件。
具体来说,第一密码硬件首先接收管理服务器发送的群组加入请求,根据群组加入请求加入群组,并生成自身的秘密参数,然后根据所述第一密码硬件的秘密参数以及接收到的同一群组的第二密码硬件发送的秘密参数,生成群组密钥,并将该群组密钥发送给第二密码硬件,或者将自身的秘密参数发送给第二密码硬件以使第二密码硬件根据接收到的秘密参数和第二密码硬件的密码参数生成群组密钥,并接收第二密码硬件返回的群组密钥,从而使得同一群组中的各密码硬件的群组密钥既可以用来加密也可以用来解密,并且该群组密钥只有群组内部知晓,对于非同一群组的其他密码硬件和管理服务器都是保密的;之后,当接收到管理服务器发送的导出请求时,将待导出的第一密钥采用群组密钥加密处理后得到第一密文,然后将第一密文根据导出请求,发送到管理服务器,以使第二密码硬件根据管理服务器的导入请求,从管理服务器中获取第一密文,并根据群组密钥对第一密文进行解密处理以获得第一密钥,从而实现第一密钥在第一密码硬件和第二密码硬件之间的共享,其中,群组密钥是根据群组中所有硬件密钥的秘密参数获得的。
具体实现时,群组中的各密码硬件生成一个秘密参数,然后,利用多方密钥协商协议计算出各自的群组密钥。下面以群组中有A、B、C三个密码硬件为例,来说明其根据秘密参数生成群组密钥的具体过程,对于群组中包含其他数量的密码硬件,其实现原理是类似的,不再赘述。为方便起见,设定群组密钥是一个一位十进制数,记为q,秘密参数也设定是一个一位的十进制数。
密码硬件A、B、C在根据管理员发送的群组加入请求加入同一群组后,分别生成秘密参数a、b、c,比如说a=2,b=3,c=6,其中,A根据该秘密参数生成群组密钥的过程,包括如下步骤:
步骤I、A生成一个一位十进制数的随机数s,计算该随机数与秘密参数的和,对该和值进行取模运算得到第一模值,比如s=7,取模运算为进行模10运算,则第一模值为:
(s+a)(mod10)=9(mod10)=9;
步骤II、A接收B发送的秘密参数b,计算第一模值与b的和值,对该和值进行取模运算,即模10运算得到第二模值,其中,该第二模值为:
9+b=12(mod10)=2;
步骤III、A接收C发送的秘密参数c,计算第二模值与c的和值,对该和值进行模10运算得到第三模值,其中,该第三模值为:
2+c=8(mod10)=8;
步骤IV、A计算第三模值与随机数s的差值得到群组密钥q,并存储该群组密钥q,其中q=8-s=1。
在密码硬件A生成群组密钥后,A可以将该群组密钥发送给B和C,也可以是B或C采用与密码硬件A生成群组密钥类似的步骤,生成的一随机数,然后根据该随机数,自身的秘密参数以及接收到的群组内其他密码硬件生成的秘密参数,生成群组密钥,该群组密钥与A生成的群组密钥相同,均为q=1,具体不再赘述。
在本发明的一个实施例中,各密码硬件在加入群组并生成自身的秘密参数后,将各自的秘密参数发送给同一群组中的其他密码硬件,使得各密码硬件采用与A相似的步骤各自生成群组密钥,可提高生成群组密钥的效率。
需说明的是,上述随机数的长度具有与群组密钥和秘密参数相同的取值范围,即当群组密钥与秘密参数为10以内的个数时,各密码硬件生成的随机数的大小也为个位数。并且上述取模运算,针对不同的取值范围,该取模运算不同,例如若群组密钥与秘密参数为100以内的两位十进制数时,该取模运算可以为模100运算,若群组密钥与秘密参数为8以内的一位十进制数时,该取模运算可以为模8运算,具体的取值范围,本发明不作限定。
该方法实施例,通过使用群组密钥进行密钥共享过程中的加密和解密处理,克服了现有技术中多方交互时,密钥共享效率低的问题,提高了密钥共享效率,并且群组密钥只有群组内部知晓,增强了密钥共享过程密钥传递的安全性。
图3为本发明提供的密钥共享方法实施例二的流程图,如图3所示,该方法实施例,包括如下步骤:
步骤301、第二密码硬件获取第一密码硬件发送的第一密文,第一密文为第一密码硬件根据群组密钥对第一密钥加密处理后得到的;
步骤302、第二密码硬件根据群组密钥对第一密文进行解密处理,获得第一密钥;其中第一密码硬件和第二密码硬件属于同一群组。
进一步地,步骤301中,第二密码硬件获取第一密码硬件发送的第一密文,包括:
第二密码硬件接收管理服务器发送的导入请求;
第二密码硬件根据导入请求,从管理服务器获取第一密文。
进一步地,步骤302中,第二密码硬件根据群组密钥对第一密文进行解密处理之前,还包括:
第二密码硬件将第二密码硬件的秘密参数发送到第一密码硬件,以使得第一密码硬件根据接收到的秘密参数以及第一密码硬件的秘密参数生成群组密钥,并接收第一密码硬件发送的群组密钥。其中,第二密码硬件在将自身的秘密参数发送到第一密码硬件之前,会根据管理服务器发送的群组加入请求而加入群组并生成自身的秘密参数。该秘密参数,与图2所示方法实施例中相同,具体不再赘述。
可选地,步骤302中,第二密码硬件根据群组密钥对第一密文进行解密处理之前,还包括:
第二密码硬件接收第一密码硬件发送的秘密参数,并根据接收到的秘密参数以及第一密码硬件的秘密参数生成群组密钥;
第二密码硬件向第一密码硬件发送群组密钥。
具体来说,第二密码硬件首先根据管理服务器发送的群组加入请求,加入群组,并生成自身的秘密参数,然后将自身的秘密参数发送给第一密码硬件,以使第一密码硬件生成群组密钥后,接收第一密码硬件发送的群组密钥,或者根据所述第二密码硬件的秘密参数和接收到的同一群组的第一密码硬件发送的秘密参数生成群组密钥,并将该群组密钥发送给第一密码硬件,使得同一群组中各密码硬件的群组密钥既可以用来加密也可以用来解密,并且各密码硬件的群组密钥只有群组内部知晓,对于非同一群组的其他密码硬件和管理服务器都是保密的;之后,接收管理服务器发送的导入请求,根据导入请求从管理服务器中获取第一密文,该第一密文为第一密码硬件根据群组密钥对第一密钥加密处理后根据管理服务器发送的导出请求发送到管理服务器的,然后采用群组密钥对第一密文进行解密处理以获得第一密钥,从而实现第一密钥在第一密码硬件和第二密码硬件之间的共享。
具体实现时,第二密码硬件生成秘密参数以及根据生成的秘密参数与同一群组的其他密码硬件生成的秘密参数生成群组密钥的过程,可采用与图2所示方法实施例中的类似的步骤,具体不再赘述。
值得注意的是,图2所示方法实施例中的第一密码硬件和本方法实施例中的第二密码硬件将各自的群组密钥存储在密码硬件本地,并且仅在密钥导入和导出时使用,从而避免群组密钥泄露。
该方法实施例,通过使用群组密钥进行密钥共享过程中的加密和解密处理,同一群组的各密码硬件的群组密钥互为加解密密钥,克服了现有技术中多方交互时,密钥共享效率低的问题,提高了密钥共享效率,并且通过各密码硬件自身存储群组密钥增强了密钥共享过程中的安全性。
图4为本发明提供的密钥共享方法实施例三的流程图,如图4所示,该方法实施例,包括如下步骤:
步骤401、管理服务器建立群组;
步骤402、管理服务器向待加入群组中的密码硬件发送群组加入请求,以使密码硬件根据群组加入请求加入群组,并且群组内的各密码硬件的群组密钥互为加解密密钥。
其中,管理服务器可以建立多个群组,可根据群组标识(Identifier,简称:ID)区分各群组中的密码硬件,发送群组加入请求的时候,可以携带群组ID,以使各密码硬件可以根据群组加入请求中的群组ID加入到对应的群组中,并且属于不同群组ID的密码硬件的群组密钥是不能互为加解密密钥的,并且是互相保密的。
进一步地,该方法实施例,还包括:
管理服务器向第一密码硬件发送导出请求,以使第一密码硬件根据导出请求,将待导出的第一密钥采用群组密钥加密处理后得到第一密文,并将第一密文发送到管理服务器;
管理服务器向第二密码硬件发送导入请求,以使第二密码硬件根据导入请求,从管理服务器获取第一密文,并采用群组密钥对第一密文进行解密处理以得到第一密钥。
可选地,该第一密文存储于位于管理服务器的一密钥共享域。其中,该密钥共享域是一片存储区域,可以存储多个群组的共享密钥。
管理服务器,在密钥需要导出的时候向需要进行密钥导出的密码硬件发送导出请求,以及在密钥需要导入的时候,向需要进行密钥导入的密码硬件发送导入请求,取决于共享策略。例如,如果采用的共享策略是“所有的密钥都放在密钥共享域中,密码硬件中只存储当前正在使用的密钥”,则每一次新的密钥生成的时候,向需要进行密钥导出的密码硬件发送导出请求,以及向需要进行密钥导入的密码硬件发送导入请求,若同一群组中同时有多个新的密钥生成,则向同一群组中的多个需要进行密钥导出的密码硬件批量发送导出请求,以及向同一群组中的多个需要进行密钥导入的密码硬件批量发送导入请求。
可选地,该方法实施例,还包括:
管理服务器建立密钥管理表,密钥管理表用于维护密钥共享域中的密钥映射关系,密钥映射关系包括第一密文在密钥共享域中的位置,第一密文在第一密码硬件中的位置,以及第一密文在第二密码硬件中的位置之间的映射关系。其中,若存在多个群组,则密钥管理表,还要包括第一密文所在的群组标识。
具体来说,管理服务器建立群组后向密码硬件发送群组加入请求,以使各密码硬件加入群组,之后在需要进行密钥导出或导入的时候,向群组内的密码硬件发送导出请求或导入请求,以将一个密码硬件中的待导出的密钥根据导出请求导出到密钥共享域,然后另一个密码硬件根据导入请求从密钥共享域中获取待导入的密钥。其中,导入导出过程中,管理服务器还建立并维护一个密钥管理表,用于管理密钥共享域中的密钥映射关系,比如在密钥共享域中的第20个密钥从密码硬件2导入,是密码硬件2中的第123个密钥,根据虚拟化系统调度,要导入密码硬件8中成为第10个密玥进行处理,则密钥管理表中要记录该密钥在密钥共享域中的编号20,密码硬件2的信息以及在原密码硬件中的编号123,密码硬件8的信息以及在密码硬件8中的编号10,从而实现管理服务器根据密钥管理表对密钥共享域中的密钥进行管理和资源调度。
该方法实施例,通过管理服务器建立和维护群组,使得密码硬件可以根据群组加入请求加入群组,进行群组密钥生成,通过密钥共享域管理共享密钥,可以批量向密码硬件发送密钥导入导出请求,进一步提高群组密码硬件密钥共享的效率,并且通过密钥管理表对密钥共享域中的密钥进行维护,可以实现密码硬件虚拟化环境下的资源调度,提高密码硬件虚拟化处理效率。
图5为本发明提供的密码硬件实施例一的结构示意图,如图5所示,该密码硬件500,包括:加密模块501,发送模块502,其中,
加密模块501,用于根据群组密钥对待发送的第一密钥进行加密处理,得到第一密文;
发送模块502,用于向第二密码硬件发送第一密文,以使第二密码硬件根据群组密钥对第一密文进行解密处理,以得到第一密钥;其中,第二密码硬件与第一密码硬件属于同一群组。
进一步地,该密码硬件500,还包括接收模块503以及第一密钥生成模块504,其中,
接收模块503,用于接收第二密码硬件发送的秘密参数;
第一密钥生成模块504,用于第一密钥生成模块,用于根据接收模块接收到的秘密参数以及第一密码硬件的秘密参数生成群组密钥;
相应地,发送模块502,还用于向第二密码硬件发送第一密钥生成模块504生成的群组密钥;
加密模块501,具体用于根据第一密钥生成模块504生成的群组密钥对待发送的第一密钥进行加密处理,得到第一密文;
发送模块502,具体用于向第二密码硬件发送第一密文,以使第二密码硬件根据接收到的群组密钥对第一密文进行解密处理,以得到第一密钥。
可选地,该密码硬件500中的组成模块还用于;
发送模块502,还用于向第二密码硬件发送第一密码硬件的秘密参数,以使第二密码硬件根据接收到的秘密参数和第二密码硬件的秘密参数生成群组密钥;
接收模块503,用于接收第二密码硬件发送的群组密钥;
加密模块501,具体用于根据接收模块接收到的群组密钥对待发送的第一密钥进行加密处理,得到第一密文。
进一步地,发送模块502,具体用于:
接收管理服务器发送的导出请求;
根据导出请求向管理服务器发送第一密文,以使得管理服务器将第一密文发送给第二密码硬件。
该实施例中的密码硬件可以用于执行图2所示方法实施例中的技术方案,其实现原理和技术效果类似,具体不再赘述。
图6为本发明提供的密码硬件实施例二的结构示意图,如图6所示,该密码硬件600,包括:获取模块601、解密模块602,其中,
获取模块601,用于获取第一密码硬件发送的第一密文,第一密文为第一密码硬件根据群组密钥对第一密钥加密处理后得到的;
解密模块602,用于根据群组密钥对第一密文进行解密处理,获得第一密钥,其中第一密码硬件和第二密码硬件属于同一群组。
进一步地,获取模块601,具体用于:
接收管理服务器发送的导入请求;
根据导入请求从管理服务器获取第一密文。
进一步地,该密码硬件600,还包括:发送模块603和接收模块604,其中,
发送模块603,用于将第二密码硬件的秘密参数发送到第一密码硬件,以使得第一密码硬件根据接收到的秘密参数以及第一密码硬件的秘密参数生成群组密钥;
接收模块604,用于接收第一密码硬件发送的群组密钥;
解密模块602,具体用于根据接收模块接收到的群组密钥对第一密文进行解密处理,获得第一密钥。
可选地,该密码硬件600,还包括发送模块603、接收模块604和第二密钥生成模块605;
接收模块604,用于接收第一密码硬件发送的秘密参数;
第二密钥生成模块605,用于根据接收模块接收到的秘密参数以及第二密码硬件的秘密参数生成群组密钥;
发送模块603,用于向第一密码硬件发送第二密钥生成模块生成的群组密钥;
解密模块602,具体用于根据第二密钥生成模块生成的群组密钥对第一密文进行解密处理,获得第一密钥。
该实施例中的密码硬件可以用于执行图3所示方法实施例中的技术方案,其实现原理和技术效果类似,具体不再赘述。
值得注意的是,本发明实施例还提供一种密码硬件,包括图5所示的密码硬件和图6所示的密码硬件中的加密模块,解密模块,发送模块,接收模块,第一或第二密文生成模块,和获取模块,可以用于执行图2和图3所示方法实施例中的技术方案,其实现原理和技术效果类似,不再赘述。
图7为本发明提供的管理服务器实施例的结构示意图,如图7所示,该管理服务器700,包括:群组建立模块701、密钥管理模块702,其中
群组建立模块701,向待加入群组中的密码硬件发送群组加入请求,以使密码硬件根据群组加入请求加入群组。
密钥管理模块702,用于向第一密码硬件发送导出请求,以使第一密码硬件根据导出请求,将待导出的第一密钥采用群组密钥加密处理后得到第一密文,并将第一密文发送到管理服务器;以及,向第一密文硬件发送导入请求,以使第二密码硬件根据导入请求,从管理服务器中获取第一密文,并采用群组密钥对第一密文进行解密处理以得到第一密钥。
在本发明的一个实施例中,上述密钥管理模块702将第一密文存储于位于管理服务器的一密钥共享域。
进一步地,密钥管理模块702,还用于:建立密钥管理表,密钥管理表用于维护密钥共享域中的密钥映射关系,密钥映射关系包括第一密文在密钥共享域中的位置,第一密文在第一密码硬件中的位置,以及第一密文在第二密码硬件中的位置之间的映射关系。
该实施例提供的管理服务器,可以用于执行图4所示方法实施例中的技术方案,其实现原理和技术效果类似,具体不再赘述。
本发明实施例还提供一种密钥共享系统,具有与图1所示密钥共享系统类似的结构,需说明的是,其中密码硬件1~N,可以是图5所示的密码硬件,也可以是图6所示的密码硬件,还可以是集合了图5和图6所示密码硬件的功能的一个密码硬件,管理服务器可以是图7所示的管理服务器,可以分别用于执行图2~4所示方法实施例中的技术方案,其实现原理和技术效果类似,具体不再赘述。
图8为本发明提供的密码硬件实施例三的结构示意图,如图8所示,该密码硬件800,包括第一处理器801,以及与第一处理器801相连的第一存储器802,其中该第一存储器802可用于存储第一密钥,第一密文,群组密钥,以及一组程序代码,第一处理器801可执行该组程序代码,以实现如图2所示方法实施例中的技术方案,其实现原理和技术效果是类似的,具体不再赘述。
图9为本发明提供的密码硬件实施例四的结构示意图,该密码硬件900,包括第二处理器901,以及与第二处理器901相连的第二存储器902,其中该第二存储器902可用于存储第一密钥,第一密文,群组密钥,以及一组程序代码,第二处理器901可执行该组程序代码,以实现如图3所示方法实施例中的技术方案,其实现原理和技术效果是类似的,具体不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:只读存储器(Read Only Memory,简称:ROM)、随机访问存储器(Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (17)
1.一种密钥共享方法,其特征在于,包括:
第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理,得到第一密文;
所述第一密码硬件向第二密码硬件发送所述第一密文,以使所述第二密码硬件根据所述群组密钥对所述第一密文进行解密处理,以得到所述第一密钥;
其中,所述第二密码硬件与所述第一密码硬件属于同一群组。
2.根据权利要求1所述的方法,其特征在于,所述第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理之前,还包括:
所述第一密码硬件接收所述第二密码硬件发送的秘密参数;
所述第一密码硬件根据接收到的所述秘密参数以及所述第一密码硬件的秘密参数生成所述群组密钥;
所述第一密码硬件向所述第二密码硬件发送所述群组密钥。
3.根据权利要求1所述的方法,其特征在于,所述第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理之前,还包括:
所述第一密码硬件向所述第二密码硬件发送所述第一密码硬件的秘密参数,以使所述第二密码硬件根据接收到的秘密参数和所述第二密码硬件的秘密参数生成所述群组密钥;
所述第一密码硬件接收所述第二密码硬件发送的所述群组密钥。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述第一密码硬件向第二密码硬件发送所述第一密文,包括:
所述第一密码硬件接收管理服务器发送的导出请求;
所述第一密码硬件根据所述导出请求向所述管理服务器发送所述第一密文,以使得所述管理服务器将所述第一密文发送给所述第二密码硬件。
5.一种密钥共享方法,其特征在于,包括:
第二密码硬件获取第一密码硬件发送的第一密文,所述第一密文为所述第一密码硬件根据群组密钥对第一密钥加密处理后得到的;
所述第二密码硬件根据所述群组密钥对所述第一密文进行解密处理,获得第一密钥;
其中所述第一密码硬件和所述第二密码硬件属于同一群组。
6.根据权利要求5所述的方法,其特征在于,所述第二密码硬件获取第一密码硬件发送的第一密文,包括:
所述第二密码硬件接收管理服务器发送的导入请求;
所述第二密码硬件根据所述导入请求,从所述管理服务器获取所述第一密文。
7.根据权利要求5或6所述的方法,其特征在于,所述第二密码硬件根据群组密钥对所述第一密文进行解密处理之前,还包括:
所述第二密码硬件将所述第二密码硬件的秘密参数发送到所述第一密码硬件,以使得所述第一密码硬件根据接收到的秘密参数以及所述第一密码硬件的秘密参数生成所述群组密钥,并接收第一密码硬件发送的所述群组密钥。
8.根据权利要求5或6所述的方法,其特征在于,所述第二密码硬件根据群组密钥对所述第一密文进行解密处理之前,还包括:
所述第二密码硬件接收所述第一密码硬件发送的秘密参数,并根据接收到的秘密参数以及所述第二密码硬件的秘密参数生成所述群组密钥;
所述第二密码硬件向所述第一密码硬件发送所述群组密钥。
9.一种密码硬件,其特征在于,包括:
加密模块,用于根据群组密钥对待发送的第一密钥进行加密处理,得到第一密文;
发送模块,用于向第二密码硬件发送所述第一密文,以使所述第二密码硬件根据所述群组密钥对所述第一密文进行解密处理,以得到所述第一密钥;
其中,所述第二密码硬件与所述第一密码硬件属于同一群组。
10.根据权利要求9所述的密码硬件,其特征在于,还包括接收模块以及第一密钥生成模块;
所述接收模块,用于接收第二密码硬件发送的秘密参数;
所述第一密钥生成模块,用于根据所述接收模块接收到的所述秘密参数以及所述第一密码硬件秘密参数生成所述群组密钥;
所述发送模块,还用于向所述第二密码硬件发送所述第一密钥生成模块生成的所述群组密钥;
所述加密模块,具体用于根据所述第一密钥生成模块生成的群组密钥对待发送的第一密钥进行加密处理,得到第一密文。
11.根据权利要求9所述的密码硬件,其特征在于,还包括接收模块;
所述发送模块,还用于向第二密码硬件发送所述第一密码硬件的秘密参数,以使所述第二密码硬件根据接收到的秘密参数和所述第二密码硬件的秘密参数生成所述群组密钥;
所述接收模块,用于接收所述第二密码硬件发送的所述群组密钥;
所述加密模块,具体用于根据所述接收模块接收到的所述群组密钥对待发送的第一密钥进行加密处理,得到第一密文。
12.根据权利要求9至11任一项所述的密码硬件,其特征在于,所述发送模块,具体用于:
接收管理服务器发送的导出请求;
根据所述导出请求向所述管理服务器发送所述第一密文,以使得所述管理服务器将所述第一密文发送给所述第二密码硬件。
13.一种密码硬件,其特征在于,包括:
获取模块,用于获取第一密码硬件发送的第一密文,所述第一密文为所述第一密码硬件根据群组密钥对第一密钥加密处理后得到的;
解密模块,用于根据所述群组密钥对所述第一密文进行解密处理,获得第一密钥;
其中所述第一密码硬件和所述第二密码硬件属于同一群组。
14.根据权利要求13所述的密码硬件,其特征在于,所述获取模块,具体用于:
接收管理服务器发送的导入请求;
根据所述导入请求从所述管理服务器获取所述第一密文。
15.根据权利要求13或14所述的密码硬件,其特征在于,还包括发送模块和接收模块;
所述发送模块,用于将所述第二密码硬件的秘密参数发送到所述第一密码硬件,以使得所述第一密码硬件根据接收到的秘密参数以及所述第一密码硬件的秘密参数生成所述群组密钥;
所述接收模块,用于接收所述第一密码硬件发送的所述群组密钥;
所述解密模块,具体用于根据所述接收模块接收到的群组密钥对所述第一密文进行解密处理,获得第一密钥。
16.根据权利要求13或14所述的密码硬件,其特征在于,还包括发送模块、接收模块和第二密钥生成模块;
所述接收模块,用于接收所述第一密码硬件发送的秘密参数;
所述第二密钥生成模块,用于根据所述接收模块接收到的秘密参数以及所述第二密码硬件的秘密参数生成所述群组密钥;
所述发送模块,用于向所述第一密码硬件发送所述第二密钥生成模块生成的所述群组密钥;
所述解密模块,具体用于根据所述第二密钥生成模块生成的群组密钥对所述第一密文进行解密处理,获得第一密钥。
17.一共密钥共享系统,其特征在于,包括:如权利要求9-12任一项所述的密码硬件、如权利要求13-16任一项所述的密码硬件以及管理服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410133922.XA CN104980269A (zh) | 2014-04-03 | 2014-04-03 | 密钥共享方法、装置与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410133922.XA CN104980269A (zh) | 2014-04-03 | 2014-04-03 | 密钥共享方法、装置与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104980269A true CN104980269A (zh) | 2015-10-14 |
Family
ID=54276403
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410133922.XA Pending CN104980269A (zh) | 2014-04-03 | 2014-04-03 | 密钥共享方法、装置与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104980269A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108282334A (zh) * | 2018-04-13 | 2018-07-13 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链的多方密钥协商装置、方法及系统 |
| CN109525612A (zh) * | 2019-01-15 | 2019-03-26 | 北京云中融信网络科技有限公司 | 多端消息加密传输方法及系统 |
| CN110140124A (zh) * | 2017-12-29 | 2019-08-16 | 华为技术有限公司 | 分组应用使用同一密钥共享数据 |
| CN110704856A (zh) * | 2019-10-09 | 2020-01-17 | 成都安恒信息技术有限公司 | 一种基于运维审计系统的秘密共享方法 |
| CN113609498A (zh) * | 2021-07-15 | 2021-11-05 | 荣耀终端有限公司 | 数据保护方法及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1599484A (zh) * | 2003-09-19 | 2005-03-23 | 华为技术有限公司 | 一种集群系统组密钥管理方法 |
| CN1620005A (zh) * | 2003-11-18 | 2005-05-25 | 华为技术有限公司 | 一种安全发送传输密钥的方法 |
| US20050187966A1 (en) * | 2004-02-23 | 2005-08-25 | Sony Corporation | Data communicating apparatus, data communicating method, and program |
| CN101136742A (zh) * | 2007-04-09 | 2008-03-05 | 中兴通讯股份有限公司 | 群组密钥同步、更新、及校验方法 |
| CN102572818A (zh) * | 2010-12-08 | 2012-07-11 | 中兴通讯股份有限公司 | 一种mtc组设备的应用密钥管理方法及系统 |
| CN103220141A (zh) * | 2012-01-18 | 2013-07-24 | 中国移动通信集团辽宁有限公司 | 一种基于组密钥策略的敏感数据保护方法和系统 |
| CN104917787A (zh) * | 2014-03-11 | 2015-09-16 | 中国电信股份有限公司 | 基于群组密钥的文件安全共享方法和系统 |
-
2014
- 2014-04-03 CN CN201410133922.XA patent/CN104980269A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1599484A (zh) * | 2003-09-19 | 2005-03-23 | 华为技术有限公司 | 一种集群系统组密钥管理方法 |
| CN1620005A (zh) * | 2003-11-18 | 2005-05-25 | 华为技术有限公司 | 一种安全发送传输密钥的方法 |
| US20050187966A1 (en) * | 2004-02-23 | 2005-08-25 | Sony Corporation | Data communicating apparatus, data communicating method, and program |
| CN101136742A (zh) * | 2007-04-09 | 2008-03-05 | 中兴通讯股份有限公司 | 群组密钥同步、更新、及校验方法 |
| CN102572818A (zh) * | 2010-12-08 | 2012-07-11 | 中兴通讯股份有限公司 | 一种mtc组设备的应用密钥管理方法及系统 |
| CN103220141A (zh) * | 2012-01-18 | 2013-07-24 | 中国移动通信集团辽宁有限公司 | 一种基于组密钥策略的敏感数据保护方法和系统 |
| CN104917787A (zh) * | 2014-03-11 | 2015-09-16 | 中国电信股份有限公司 | 基于群组密钥的文件安全共享方法和系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110140124A (zh) * | 2017-12-29 | 2019-08-16 | 华为技术有限公司 | 分组应用使用同一密钥共享数据 |
| CN110140124B (zh) * | 2017-12-29 | 2021-04-20 | 华为技术有限公司 | 分组应用使用同一密钥共享数据 |
| CN108282334A (zh) * | 2018-04-13 | 2018-07-13 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链的多方密钥协商装置、方法及系统 |
| CN109525612A (zh) * | 2019-01-15 | 2019-03-26 | 北京云中融信网络科技有限公司 | 多端消息加密传输方法及系统 |
| CN109525612B (zh) * | 2019-01-15 | 2021-06-04 | 北京云中融信网络科技有限公司 | 多端消息加密传输方法及系统 |
| CN110704856A (zh) * | 2019-10-09 | 2020-01-17 | 成都安恒信息技术有限公司 | 一种基于运维审计系统的秘密共享方法 |
| CN110704856B (zh) * | 2019-10-09 | 2021-08-20 | 成都安恒信息技术有限公司 | 一种基于运维审计系统的秘密共享方法 |
| CN113609498A (zh) * | 2021-07-15 | 2021-11-05 | 荣耀终端有限公司 | 数据保护方法及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102624522B (zh) | 一种基于文件属性的密钥加密方法 | |
| CN103618728B (zh) | 一种多机构中心的属性加密方法 | |
| WO2019214070A1 (zh) | 区块链上用户通信加密方法、装置、终端设备及存储介质 | |
| CN109274503A (zh) | 分布式协同签名方法及分布式协同签名装置、软盾系统 | |
| CN108347404B (zh) | 一种身份认证方法及装置 | |
| CN108418686A (zh) | 一种多分布式的sm9解密方法与介质及密钥生成方法 | |
| CN105553951A (zh) | 数据传输方法和装置 | |
| CN104158880B (zh) | 一种用户端云数据共享解决方法 | |
| CN103248476B (zh) | 数据加密密钥的管理方法、系统及终端 | |
| CN107196926A (zh) | 一种云外包隐私集合比较方法与装置 | |
| CN106411515B (zh) | 利用密码机对密钥进行分割提升密钥安全的方法及系统 | |
| CN105072107A (zh) | 增强数据传输及存储安全的系统和方法 | |
| CN109194474A (zh) | 一种数据传输方法及装置 | |
| Zhou et al. | EverSSDI: blockchain-based framework for verification, authorisation and recovery of self-sovereign identity using smart contracts | |
| CN104980269A (zh) | 密钥共享方法、装置与系统 | |
| CN112740615A (zh) | 多方计算的密钥管理 | |
| CN108111295A (zh) | 一种基于类模运算的同态加密算法 | |
| CN105306194A (zh) | 供加密档案和/或通讯协定的多重加密方法与系统 | |
| CN103916248A (zh) | 一种全同态加密公钥空间压缩方法 | |
| CN103607278A (zh) | 一种安全的数据云存储方法 | |
| Upadhyay et al. | An efficient key management and multi-layered security framework for SCADA systems | |
| CN102984273A (zh) | 虚拟磁盘加密方法、解密方法、装置及云服务器 | |
| CN109688143A (zh) | 一种面向云环境中隐私保护的聚类数据挖掘方法 | |
| Morales-Sandoval et al. | DET-ABE: A Java API for data confidentiality and fine-grained access control from attribute based encryption | |
| Sekar et al. | Comparative study of encryption algorithm over big data in cloud systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151014 |
|
| RJ01 | Rejection of invention patent application after publication |