CN107851165B - 一种密钥系统,密钥客户端,以及密钥管理方法 - Google Patents
一种密钥系统,密钥客户端,以及密钥管理方法 Download PDFInfo
- Publication number
- CN107851165B CN107851165B CN201580081508.1A CN201580081508A CN107851165B CN 107851165 B CN107851165 B CN 107851165B CN 201580081508 A CN201580081508 A CN 201580081508A CN 107851165 B CN107851165 B CN 107851165B
- Authority
- CN
- China
- Prior art keywords
- key
- client
- server
- key server
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 24
- 230000003993 interaction Effects 0.000 claims abstract description 41
- 238000001514 detection method Methods 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims description 22
- 238000000034 method Methods 0.000 claims description 10
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 238000011161 development Methods 0.000 abstract description 4
- 238000012423 maintenance Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 5
- 239000000523 sample Substances 0.000 description 5
- 210000001503 joint Anatomy 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种密钥系统,密钥客户端,以及密钥管理方法。其中,密钥系统包括密钥客户端和密钥服务器,所述密钥客户端可以向所述密钥服务器发起操作能力探测,接收并记录所述密钥服务器返回的操作能力,形成所述密钥服务器的操作能力位图,根据所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图,得到所述密钥客户端与所述密钥服务器的操作能力位图,以及根据预置规则集,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则。从而不需要使用密钥管理服务的设备针对不同的密钥服务器开发不同的密钥客户端,就可以实现密钥服务器与密钥客户端的对接;而且不需要技术服务人员现场选择密钥客户端,降低了开发和维护成本。
Description
技术领域
本发明涉及通信领域,具体涉及一种密钥系统,密钥客户端,以及密钥管理方法。
背景技术
静态数据加密对于大型企业来说尤其重要。企业用户在不同的业务应用上通常要使用不同的密钥系统,导致目前市场上的产品和技术很多,难以统一。
密钥管理互操作协议(Key Management Interoperability Protocol,KMIP)是解决密钥管理“孤岛”问题,实现多密钥管理服务器生产商(Key Management Server Vendor,KMS vendor)生产的密钥服务器(server)之间对接的主流技术标准,其目的是为多密钥服务器提供统一的通信协议,以实现各密钥服务器之间的互操作性。密钥管理服务器生产商也可以简称为密钥服务器生产商。
但是各KMS vendor在该标准的实现上存在以下问题:各KMS vendor选择对KMIP标准进行部分支持,导致各生产商的密钥服务器(server)支持了不同的KMIP操作子集。现有技术中为了解决对接的问题,通常会在使用密钥管理服务的设备中集成多个客户端(client),每个client与各自对应的密钥服务器(server)对接。在安装部署现场,技术服务人员根据Server厂商、型号、以及版本,选择正确的client,以完成对接。由于使用密钥管理服务的设备需要针对不同的server开发不同的client版本,而且需要技术服务人员现场选择client版本,开发和维护成本很高。
发明内容
为解决上述现有技术的问题,本发明实施例的第一方面提供了一种密钥客户端,所述密钥客户端包括处理器,存储器,通信接口和总线,其中,所述处理器、所述存储器和所述通信接口通过所述总线通信。
所述通信接口,用于在所述处理器的控制下,向密钥服务器发起操作能力探测,接收所述密钥服务器返回的操作能力;所述存储器,用于在所述处理器的控制下,记录所述密钥服务器返回的操作能力,并形成所述密钥服务器的操作能力位图;所述处理器,用于根据所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图,得到所述密钥客户端与所述密钥服务器的操作能力位图;还用于根据所述密钥客户端与所述密钥服务器的操作能力位图,以及预置规则集,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则;所述通信接口,还用于在所述处理器的控制下,根据所述选取的规则,与所述密钥服务器进行密钥交互。
结合第一方面,在第一方面的第一种实现方式中,所述通信接口具体用于通过密钥管理互操作协议KMIP向所述密钥服务器发起操作能力探测。
结合第一方面和第一方面的第一种实现方式,在第一方面的第二种实现方式中,所述通信接口具体用于依据多个操作之间的依赖关系向所述密钥服务器发起对所述多个操作的能力探测。
结合第一方面和第一方面的第一、第二种实现方式,在第一方面的第三种实现方式中,所述处理器具体用于将所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图作逻辑与操作,得到所述密钥客户端与所述密钥服务器的操作能力位图。
结合第一方面和第一方面的第一、第二、第三种实现方式,在第一方面的第四种实现方式中,所述处理器具体用于将所述密钥客户端与所述密钥服务器的操作能力位图,和所述预置规则集作逻辑与操作,得到操作能力位图与规则集的匹配结果,从所述匹配结果中,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则。
结合第一方面的第四种实现方式中,在第一方面的第五种实现方式中,所述处理器具体用于,根据所述预置规则集中各规则的优先级,选取优先级最高的规则作为所述密钥客户端与所述密钥服务器进行密钥交互的规则。
结合第一方面的第四种实现方式中,在第一方面的第六种实现方式中,所述处理器具体用于,根据所述匹配结果,选取支持操作最多的规则,作为所述密钥客户端与所述密钥服务器进行密钥交互的规则。
本发明实施例的第二方面提供了一种密钥系统,包括密钥客户端和密钥服务器。所述密钥客户端,用于向所述密钥服务器发起操作能力探测;所述密钥服务器,用于向所述密钥客户端返回所述密钥服务器的操作能力;所述密钥客户端,还用于记录所述密钥服务器返回的操作能力,并形成所述密钥服务器的操作能力位图,根据所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图,得到所述密钥客户端与所述密钥服务器的操作能力位图;还用于根据所述密钥客户端与所述密钥服务器的操作能力位图,以及预置规则集,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则,根据所述选取的规则,与所述密钥服务器进行密钥交互。
本发明实施例的第三方面提供了一种密钥管理方法,应用于包括密钥客户端和密钥服务器的密钥系统。所述密钥客户端向所述密钥服务器发起操作能力探测,接收所述密钥服务器返回的所述密钥服务器的操作能力;所述密钥客户端记录所述密钥服务器返回的操作能力,并形成所述密钥服务器的操作能力位图,根据所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图,得到所述密钥客户端与所述密钥服务器的操作能力位图;根据所述密钥客户端与所述密钥服务器的操作能力位图,以及预置规则集,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则,根据所述选取的规则,与所述密钥服务器进行密钥交互。
本发明实施例公开的密钥系统,密钥客户端,以及密钥管理方法,密钥客户端,可以向密钥服务器发起操作能力探测,接收并记录所述密钥服务器返回的所述密钥服务器的操作能力,形成所述密钥服务器的操作能力位图,根据所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图,得到所述密钥服务器与所述密钥服务器的操作能力位图,以及根据预置规则集,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则,根据所述选取的规则,与所述密钥服务器进行密钥交互。从而不需要使用密钥管理服务的设备针对不同的密钥服务器开发不同的密钥客户端,就可以实现密钥服务器与密钥客户端的对接(例如,密钥交互);而且不需要技术服务人员现场选择密钥客户端,降低了开发和维护成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作以简单地介绍,显而易见的,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例密钥系统的组成结构示意图;
图2为本发明实施例密钥客户端结构示意图;
图3为本发明实施例KMIP示意图;
图4为本发明方法实施例流程示意图;
图5为本发明另一方法实施例流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例密钥系统100的组成结构示意图。密钥系统100包括密钥客户端(client)110,以及多个密钥服务器(server)120,122,124。图1以一个client,以及三个server为例说明,当然实际实现时,并不局限于此,可能包括多个client,包括两个或者更多个server。client与server之间采用密钥管理互操作协议(Key ManagementInteroperability Protocol,KMIP)通信。client可以单独布置,或者集成于使用密钥管理服务的设备中,当然也可以集成于存储阵列中。使用密钥管理服务的设备,也可以称为加密设备,或者密码设备。类似的,server可以单独布置,或者集成于通用服务器中,当然也可以集成于存储阵列中。本发明实施例对此不做限定。而且,图1仅是示例性说明,并不限定本发明实施例应用的场景。
如图2所示,为本发明实施例提供的密钥客户端结构示意图。在图2所示的示意图中,client 110包括处理器202、存储器204、通信接口206和总线208。其中,处理器202、存储器204和通信接口206通过总线208实现彼此之间的通信连接。
处理器202可以采用通用的中央处理器(Central Processing Unit,CPU),微处理器,应用专用集成电路(Application Specific Integrated Circuit,ASIC),或者一个或多个集成电路,用于执行相关程序,以实现本发明实施例所提供的技术方案。进一步地,处理器202不但可以包括一个或者多个集成电路,也可以包括一个或者多个处理器核。当包括多个集成电路或多个处理器核时,可以是同构的处理器系统,也可以是异构的处理器系统,本发明对此不用限定。
存储器204可以是只读存储器(Read Only Memory,ROM),静态存储设备,动态存储设备或者随机存取存储器(Random Access Memory,RAM)。存储器204可以存储操作系统和其他应用程序,在本发明实施例中,存储器204可以用来存储client的操作能力位图,以及server的操作能力位图。在通过软件或者固件来实现本发明实施例提供的技术方案时,用于实现本发明实施例提供的技术方案的程序代码保存在存储器204中,并由处理器202来执行。
通信接口206用以与server通信,以获取server的操作能力位图(bitmap)。通信接口,例如可以是网卡,用于提供与server进行通信的接口。
总线208可包括一通路,在client 110各个部件(例如处理器202、存储器204和通信接口206)之间传送信息。
client 110还可以包括I/O接口210(图中未示出),比如说包括键盘或者打印机等等,以方便用户输入或者输出。
可选的,还可以包括显示器212(图中未示出),方便向用户展示信息。
在详细描述本发明实施例的流程之前,先对KMIP进行介绍。如图3所示,KMIP包括三个主要的元素(element):对象300,对对象进行的操作302(简称操作),以及对象的属性304(简称属性)。
操作302主要包括,如表1所示:
表1
操作的对象300主要包括,如表2所示:
表2
| 序号 | 对象 | 描述 |
| 1 | certificates | 证书 |
| 2 | symmetric keys | 对称密钥 |
| 3 | asymmetric keys | 非对称密钥 |
| 4 | ... | ... |
对象的属性304可以包括,如表3所示,表3只是示例性说明,还可以包括其他的对象属性:
表3
| 序号 | 对象 | 描述 |
| 1 | identifier | 对象的标识 |
| 2 | name | 对象的名称 |
| 3 | algorithm | 算法 |
| 4 | algorithm name | 算法的名称 |
| 5 | ... | ... |
Client能够与server进行密钥交互之前,client需要获得server支持哪一种或者哪几种操作302,即server的操作能力图(capability map),以s_cmap表示。具体的,server的操作能力图可以以位图(bitmap)的形式表示。相应地,client的存储器也保存client的操作能力图,即client支持哪一种或者哪几种操作302,以c_cmap表示。当然也可以采用其他的形式,如字符串,数组,或表等等。本发明对此不作限定。下面以位图为例详细说明。
如图4所示,为本发明方法实施例流程示意图。其中,
400,client 110向server 120发起操作能力探测,探测server 120的操作能力。具体的操作能力探测下面会结合图5详细说明。
具体地,可以由client 110的通信接口206,在处理器202的控制下,向server 120发起操作能力探测。
410,server 120向client 110返回所述server 120的操作能力。
415,client 110接收所述server 120返回的操作能力,并记录,形成所述server120的操作能力位图(s_cmap)。
具体地,可以由client 110的通信接口206,在处理器202的控制下,接收所述server 120返回的操作能力。并在处理器202的控制下,存储器204记录所述server 120返回的操作能力,并形成所述server 120的操作能力位图。
420,client 110根据所述client 110的操作能力位图和所述server 120的操作能力位图,得到所述client 110与所述server 120的操作能力位图,以cs_cmap表示。
具体地,可以由client 110的处理器202根据c_cmap和s_cmap,得到cs_cmap。
425,client 110(具体可以是client 110的处理器202)根据client 110与所述server 120的操作能力位图,即cs_cmap,以及预置规则集,选取所述client 110与所述server 120进行密钥交互的规则;
430,client 110根据所述选取的规则,与所述server 120进行密钥交互。
具体地,可以由client 110的通信接口206,在处理器202的控制下,根据所述选取的规则,与所述server 120进行密钥交互。
Client 110可以采用类似的方式,探测server 122的操作能力。步骤500-530与400-430类似,不再详述。而且可以理解的是,步骤500-530与400-430之间,没有先后顺序的区分。
下面结合图5详细介绍client 110向server 120发起操作能力探测,探测server120的操作能力。
实际实现的时候,client可以结合自身的能力,选择向server发起哪些种操作能力的探测。Client当然也可以根据用户实际的需求,来确定向server发起哪些种操作能力的探测。以下以client选择了9种操作(如create,create key pair,register,re-key,re-key key pair,certify,re-certify,locate,get)探测server的操作能力说明。
Client对这9种操作的支持情况如表4所示:
表4
表4中,以“1”代表支持,以“0”代表不支持。当然也可以反过来,以“0”代表支持,以“1”代表不支持。支持就代表具有某种操作能力。如表4所示,Client除了不具有re-certify操作能力外,其他8种操作能力都具有。Client对上述9种操作的能力位图(c_cmap)为(1,1,1,1,1,1,0,1,1)。
一些操作之间有依赖关系,比如说先有create操作,才有location和get操作。因此,client需要依据多个操作之间的依赖关系向server发起对所述多个操作的能力探测。如果没有依赖关系,则发起能力探测也就没有先后顺序的限制。
而且具体的,client可以通过KMIP向server发起对所述多个操作的能力探测。
600,client探测server支持create操作吗?
610,server支持create操作,向client回复数字1表示支持。即server具有create操作能力。
615,client记录server支持create操作,以1表示。
表5
620,client探测server支持create key pair操作吗?
625,server不支持create key pair操作,向client回复数字0表示不支持。即server不具有create key pair操作能力。
630,client记录server不支持create key pair操作,以0表示。
表6
对register,re-key,re-key key pair,certify,re-certify,locate,get也进行类似操作,最终形成如表7所示的server的操作能力位图(s_camp)。可以将s_camp记录在存储器204中。
表7
即经过操作能力探测,server具有create,register,re-key,re-key key pair,certify和get操作能力,但是不具有create key pair,re-certify和locate的操作能力。
800,client(具体可以是client的处理器)可以将client的操作能力位图(c_camp)和server的操作能力位图(s_camp)作逻辑与操作,得到client与server的操作能力位图(cs_camp)。如表8所示:
表8
805,client(具体可以是client的处理器)将所述client与server的操作能力位图(cs_cmap),和预置规则集作逻辑与操作,得到操作能力位图与规则集的匹配结果。匹配结果可以保存在存储器204中。
假如预置规则集如表9所示:
表9
表9只是示例性说明,当然可以有更多个规则,而且规则可以取不同值。
cs_camp与预置规则集作逻辑与操作,得到的匹配结果如表10所示:
表10
810,client(具体可以是client的处理器)从所述匹配结果中,选取client与server进行密钥交互的规则。
如果所述预置规则集中设置了各规则的优先级,比如说规则1的优先级高于规则2的优先级,则以cs_camp与规则1匹配结果,作为client与server进行密钥交互的规则。如果预置规则集中以优先级的顺序把各规则顺序,则只需要匹配第一个规则,即可以得到client与server进行密钥交互的规则。只要在第一规则不满足要求的情况下,才顺序匹配后面的规则。
如果所述预置规则集中没有设置各规则的优先级,可以从所述匹配结果中,选取“1”或“0”个数最多的规则,作为client与server进行密钥交互的规则。由于本例中以“1”代表具有某种操作能力,因此在上述表10中,选取“1”个数最多的规则。cs_camp与规则2匹配结果包括6个“1”,因此以cs_camp与规则2匹配结果,作为client与server进行密钥交互的规则。
815,根据所述选取的规则,与server进行密钥交互。
图4和图5所示的方法流程,具体可以由图1的密钥系统和图2的密钥客户端完成。
本发明实施例公开了一种密钥系统,密钥客户端,以及密钥管理方法。其中,密钥客户端,可以向密钥服务器发起操作能力探测,接收并记录所述密钥服务器返回的所述密钥服务器的操作能力,形成所述密钥服务器的操作能力位图,根据所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图,得到所述密钥服务器与所述密钥服务器的操作能力位图,以及根据预置规则集,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则,根据所述选取的规则,与所述密钥服务器进行密钥交互。从而不需要使用密钥管理服务的设备针对不同的密钥服务器开发不同的密钥客户端,就可以实现密钥服务器与密钥客户端的对接(例如,密钥交互);而且不需要技术服务人员现场选择密钥客户端,降低了开发和维护成本。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (21)
1.一种密钥客户端,其特征在于,所述密钥客户端包括处理器,存储器,通信接口和总线,其中,所述处理器、所述存储器和所述通信接口通过所述总线通信;
所述通信接口,用于在所述处理器的控制下,向密钥服务器发起操作能力探测,接收所述密钥服务器返回的操作能力;
所述存储器,用于在所述处理器的控制下,记录所述密钥服务器返回的操作能力,并形成所述密钥服务器的操作能力位图;
所述处理器,用于根据所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图,得到所述密钥客户端与所述密钥服务器的操作能力位图;还用于根据所述密钥客户端与所述密钥服务器的操作能力位图,以及预置规则集,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则;
所述通信接口,还用于在所述处理器的控制下,根据选取的所述规则,与所述密钥服务器进行密钥交互。
2.如权利要求1所述的客户端,其特征在于,所述通信接口具体用于通过密钥管理互操作协议KMIP向所述密钥服务器发起操作能力探测。
3.如权利要求1或2所述的客户端,其特征在于,所述通信接口具体用于依据多个操作之间的依赖关系向所述密钥服务器发起对所述多个操作的能力探测。
4.如权利要求1或2所述的客户端,其特征在于,所述处理器具体用于将所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图作逻辑与操作,得到所述密钥客户端与所述密钥服务器的操作能力位图。
5.如权利要求1或2所述的客户端,其特征在于,所述处理器具体用于将所述密钥客户端与所述密钥服务器的操作能力位图,和所述预置规则集作逻辑与操作,得到操作能力位图与规则集的匹配结果,从所述匹配结果中,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则。
6.如权利要求5所述的客户端,其特征在于,所述处理器具体用于,根据所述预置规则集中各规则的优先级,选取优先级最高的规则作为所述密钥客户端与所述密钥服务器进行密钥交互的规则。
7.如权利要求5所述的客户端,其特征在于,所述处理器具体用于,根据所述匹配结果,选取支持操作最多的规则,作为所述密钥客户端与所述密钥服务器进行密钥交互的规则。
8.一种密钥系统,包括密钥客户端和密钥服务器,其特征在于,
所述密钥客户端,用于向所述密钥服务器发起操作能力探测;
所述密钥服务器,用于向所述密钥客户端返回所述密钥服务器的操作能力;
所述密钥客户端,还用于记录所述密钥服务器返回的操作能力,并形成所述密钥服务器的操作能力位图,根据所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图,得到所述密钥客户端与所述密钥服务器的操作能力位图;还用于根据所述密钥客户端与所述密钥服务器的操作能力位图,以及预置规则集,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则,根据选取的所述规则,与所述密钥服务器进行密钥交互。
9.如权利要求8所述的系统,其特征在于,所述密钥客户端具体用于通过密钥管理互操作协议KMIP向所述密钥服务器发起操作能力探测。
10.如权利要求8或9所述的系统,其特征在于,所述密钥客户端具体用于依据多个操作之间的依赖关系向所述密钥服务器发起对所述多个操作的能力探测。
11.如权利要求8或9所述的系统,其特征在于,所述密钥客户端具体用于将所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图作逻辑与操作,得到所述密钥客户端与所述密钥服务器的操作能力位图。
12.如权利要求8或9所述的系统,其特征在于,所述密钥客户端具体用于将所述密钥客户端与所述密钥服务器的操作能力位图,和所述预置规则集作逻辑与操作,得到操作能力位图与规则集的匹配结果,从所述匹配结果中,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则。
13.如权利要求12所述的系统,其特征在于,所述密钥客户端具体用于,根据所述预置规则集中各规则的优先级,选取优先级最高的规则作为所述密钥客户端与所述密钥服务器进行密钥交互的规则。
14.如权利要求12所述的系统,其特征在于,所述密钥客户端具体用于,根据所述匹配结果,选取支持操作最多的规则,作为所述密钥客户端与所述密钥服务器进行密钥交互的规则。
15.一种密钥管理方法,应用于包括密钥客户端和密钥服务器的密钥系统,其特征在于,
所述密钥客户端向所述密钥服务器发起操作能力探测,接收所述密钥服务器返回的所述密钥服务器的操作能力;
所述密钥客户端记录所述密钥服务器返回的操作能力,并形成所述密钥服务器的操作能力位图,根据所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图,得到所述密钥客户端与所述密钥服务器的操作能力位图;根据所述密钥客户端与所述密钥服务器的操作能力位图,以及预置规则集,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则,根据所述选取的规则,与所述密钥服务器进行密钥交互。
16.如权利要求15所述的方法,其特征在于,所述密钥客户端具体通过密钥管理互操作协议(KMIP)向所述密钥服务器发起操作能力探测。
17.如权利要求15或16所述的方法,其特征在于,所述密钥客户端具体依据多个操作之间的依赖关系向所述密钥服务器发起对所述多个操作的能力探测。
18.如权利要求15或16所述的方法,其特征在于,所述密钥客户端具体将所述密钥客户端的操作能力位图和所述密钥服务器的操作能力位图作逻辑与操作,得到所述密钥客户端与所述密钥服务器的操作能力位图。
19.如权利要求15或16所述的方法,其特征在于,所述密钥客户端具体将所述密钥客户端与所述密钥服务器的操作能力位图,和所述预置规则集作逻辑与操作,得到操作能力位图与规则集的匹配结果,从所述匹配结果中,选取所述密钥客户端与所述密钥服务器进行密钥交互的规则。
20.如权利要求19所述的方法,其特征在于,所述密钥客户端具体,根据所述预置规则集中各规则的优先级,选取优先级最高的规则作为所述密钥客户端与所述密钥服务器进行密钥交互的规则。
21.如权利要求19所述的方法,其特征在于,所述密钥客户端具体,根据所述匹配结果,选取支持操作最多的规则,作为所述密钥客户端与所述密钥服务器进行密钥交互的规则。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2015/084818 WO2017012097A1 (zh) | 2015-07-22 | 2015-07-22 | 一种密钥系统,密钥客户端,以及密钥管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107851165A CN107851165A (zh) | 2018-03-27 |
| CN107851165B true CN107851165B (zh) | 2020-02-21 |
Family
ID=57833737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580081508.1A Active CN107851165B (zh) | 2015-07-22 | 2015-07-22 | 一种密钥系统,密钥客户端,以及密钥管理方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107851165B (zh) |
| WO (1) | WO2017012097A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111191261B (zh) * | 2019-12-26 | 2022-06-24 | 三未信安科技股份有限公司 | 一种大数据安全保护方法、系统、介质及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546824A (zh) * | 2012-02-20 | 2012-07-04 | 沈文策 | Flash数据传输方法及系统、服务器和客户端 |
| CN104486307A (zh) * | 2014-12-03 | 2015-04-01 | 中国电子科技集团公司第三十研究所 | 一种基于同态加密的分权密钥管理方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101179573B (zh) * | 2007-10-24 | 2010-08-18 | 中兴通讯股份有限公司 | 一种在线动态更新服务器软件配置信息的实现方法 |
| US8331568B2 (en) * | 2009-05-28 | 2012-12-11 | Microsoft Corporation | Efficient distribution of computation in key agreement |
| US20130044882A1 (en) * | 2011-08-19 | 2013-02-21 | International Business Machines Corporation | Enhancing provisioning for keygroups using key management interoperability protocol (KMIP) |
-
2015
- 2015-07-22 WO PCT/CN2015/084818 patent/WO2017012097A1/zh active Application Filing
- 2015-07-22 CN CN201580081508.1A patent/CN107851165B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546824A (zh) * | 2012-02-20 | 2012-07-04 | 沈文策 | Flash数据传输方法及系统、服务器和客户端 |
| CN104486307A (zh) * | 2014-12-03 | 2015-04-01 | 中国电子科技集团公司第三十研究所 | 一种基于同态加密的分权密钥管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017012097A1 (zh) | 2017-01-26 |
| CN107851165A (zh) | 2018-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3563243B1 (en) | Determining application test results using screenshot metadata | |
| CN108153670B (zh) | 一种接口测试方法、装置及电子设备 | |
| US20200067726A1 (en) | Iot provisioning service | |
| CN108470298B (zh) | 资源数值转移的方法、装置和系统 | |
| US9104803B2 (en) | On-demand software test environment generation | |
| CN104081713B (zh) | 云计算环境中的服务器和客户机的远程信任认证和地理位置 | |
| US9087156B2 (en) | Application version release management | |
| JP2020503616A (ja) | クラウド・サービス・マーケットプレースのクラウドサービスapiを安全に拡張する技術 | |
| EP3817333B1 (en) | Method and system for processing requests in a consortium blockchain | |
| US10223397B1 (en) | Social graph based co-location of network users | |
| US20130179798A1 (en) | Application dissemination and feedback | |
| CN107092634A (zh) | 页面预览的实现方法和装置 | |
| CN111767144A (zh) | 交易数据的交易路由确定方法、装置、设备及系统 | |
| WO2017165252A1 (en) | Device provisioning | |
| US20140316828A1 (en) | System and method for exchanging an electronic ticket | |
| CN108809896A (zh) | 一种信息校验方法、装置和电子设备 | |
| CN107851165B (zh) | 一种密钥系统,密钥客户端,以及密钥管理方法 | |
| US20210034345A1 (en) | Technologies for creating and distributing integration connectors in a cloud service brokerage system | |
| US20180218419A1 (en) | Method and apparatus for providing digital product using user account synchronization | |
| CN110008261B (zh) | 外部变化检测 | |
| CN107038051B (zh) | 一种bios配置项推荐方法及装置 | |
| JP2016177659A (ja) | 検証プログラム、検証装置及び検証方法 | |
| CN113486025A (zh) | 数据存储方法、数据查询方法及装置 | |
| CN108319679B (zh) | 一种主键的生成方法及装置 | |
| CN107526530A (zh) | 数据处理方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211227 Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province Patentee after: xFusion Digital Technologies Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |