CN109936446A - 分布式环境下的秘钥管理方法、装置及计算机设备 - Google Patents
分布式环境下的秘钥管理方法、装置及计算机设备 Download PDFInfo
- Publication number
- CN109936446A CN109936446A CN201910040190.2A CN201910040190A CN109936446A CN 109936446 A CN109936446 A CN 109936446A CN 201910040190 A CN201910040190 A CN 201910040190A CN 109936446 A CN109936446 A CN 109936446A
- Authority
- CN
- China
- Prior art keywords
- code key
- encrypted
- key
- distributed environment
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开一种分布式环境下的秘钥管理方法,包括:获取第一部分秘钥及第二部分秘钥;将所述第一部分秘钥及所述第二部分秘钥进行合成处理,生成主秘钥;通过所述主秘钥分别对预置通讯秘钥及预置存储秘钥进行加密处理,对应生成加密后的通讯秘钥及加密后的存储秘钥;将所述加密后的通讯秘钥及所述加密后的存储秘钥存储于数据库。本发明可解决现有技术针对不能同时具备分布式配置管理和秘钥管理的问题,可实现对分布式配置及秘钥的统一管理,且可更好的保证分布式环境下的安全性。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种分布式环境下的秘钥管理方法、装置及计算机设备。
背景技术
随着计算机技术的深入发展,秘钥管理服务(KMS,Key Management Service)和分布式配置管理系统的应用越来越广泛,目前较为常用的比如Vault(一种密码/证书集中式管理工具)、Cyberark(一种特权账号安全产品)等秘钥管理服务,比如Etcd(一种高可用的分布式键值数据库)、Disconf(一种分布式配置管理平台)、Apollo(一种分布式配置中心)等分布式配置管理系统。
其中,Vault、Cyberark仅支持单机部署而无法在分布式环境下使用,而Etcd、Disconf、Apollo只能提供分布式配置而无法提供针对敏感信息等内容的加密功能,也就是说,上述相关产品都不能同时具备分布式配置管理和秘钥管理的功能。
相关技术中针对不能同时具备分布式配置管理和秘钥管理的问题,目前尚未提出有效的解决方案。
发明内容
本发明的目的在于提供一种分布式环境下的秘钥管理方法、装置、计算机设备及可读存储介质,进而在一定程度上克服上述现有技术中存在的问题,可实现对分布式配置及秘钥的统一管理,且可更好的保证分布式环境下的安全性。
本发明是通过下述技术方案来解决上述技术问题:
根据本发明的一个方面,提供了一种分布式环境下的秘钥管理方法,包括如下步骤:
S01,获取第一部分秘钥及第二部分秘钥;
S02,将所述第一部分秘钥及所述第二部分秘钥进行合成处理,生成主秘钥;
S03,通过所述主秘钥分别对预置通讯秘钥及预置存储秘钥进行加密处理,对应生成加密后的通讯秘钥及加密后的存储秘钥;
S04,将所述加密后的通讯秘钥及所述加密后的存储秘钥存储于数据库。
进一步的,预先生成用于对预置秘钥管理系统进行启封的第一部分秘钥及第二部分秘钥,并分别分发至开发人员及运维人员;
所述方法还包括:向开发人员提供用于输入第一部分秘钥的第一输入选项,且向运维人员提供用于输入第二部分秘钥的第二输入选项;
S01获取第一部分秘钥及第二部分秘钥,包括:
通过所述第一输入选项接收开发人员输入的所述第一部分秘钥;
通过所述第二输入选项接收运维人员输入的所述第二部分秘钥;
根据接收到的所述第一部分秘钥及所述第二部分秘钥对所述预置秘钥管理系统进行启封。
进一步的,所述预置秘钥管理系统为Vault系统。
进一步的,S02将所述第一部分秘钥及所述第二部分秘钥进行合成处理,生成主秘钥,包括:
基于Shamir秘密共享算法将所述第一部分秘钥及所述第二部分秘钥进行合成处理以生成所述主秘钥。
进一步的,所述方法还包括:
在对需要进行网络传输的第一秘钥进行网络传输处理之前,通过所述加密后的通讯秘钥对所述第一秘钥进行加密处理。
进一步的,所述方法还包括:
在对需要进行存储的第二秘钥进行存储处理之前,通过所述加密后的存储秘钥对所述第二秘钥进行加密处理。
进一步的,所述分布式环境为基于Apollo分布式配置中心系统下的分布式环境。
为了实现上述目的,本发明还提供一种分布式环境下的秘钥管理装置,包括:
秘钥获取模块,用于获取第一部分秘钥及第二部分秘钥;
主秘钥生成模块,用于将所述第一部分秘钥及所述第二部分秘钥进行合成处理,生成主秘钥;
主秘钥加密模块,用于通过所述主秘钥分别对预置通讯秘钥及预置存储秘钥进行加密处理,对应生成加密后的通讯秘钥及加密后的存储秘钥;
加密秘钥存储模块,用于所述将加密后的通讯秘钥及所述加密后的存储秘钥存储于数据库。
进一步的,所述装置还包括:秘钥分发模块,用于预先生成用于对预置秘钥管理系统进行启封的第一部分秘钥及第二部分秘钥,并分别分发至开发人员及运维人员。
且所述装置,还包括:
第一输入选项提供模块,用于向开发人员提供用于输入第一部分秘钥的第一输入选项;
第二输入选项提供模块,用于向运维人员提供用于输入第二部分秘钥的第二输入选项;
基于此,所述秘钥获取模块,具体包括:
第一部分秘钥接收单元,用于通过所述第一输入选项接收开发人员输入的所述第一部分秘钥;
第二部分秘钥接收单元,用于通过所述第二输入选项接收运维人员输入的所述第二部分秘钥;
启封单元,用于根据接收到的所述第一部分秘钥及所述第二部分秘钥对预置秘钥管理系统进行启封。
进一步的,所述预置秘钥管理系统为Vault系统。
进一步的,主秘钥生成模块,具体用于:
基于Shamir秘密共享算法将所述第一部分秘钥及所述第二部分秘钥进行合成处理以生成所述主秘钥。
进一步的,所述装置还包括:
第一秘钥加密模块,用于在对需要进行网络传输的第一秘钥进行网络传输处理之前,通过所述加密后的通讯秘钥对所述第一秘钥进行加密处理。
进一步的,所述装置还包括:
第二秘钥加密模块,用于在对需要进行存储的第二秘钥进行存储处理之前,通过所述加密后的存储秘钥对所述第二秘钥进行加密处理。
进一步的,所述分布式环境为基于Apollo分布式配置中心系统下的分布式环境。
为了实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法的步骤。
为了实现上述目的,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述方法的步骤。
本发明提供的分布式环境下的秘钥管理方法、装置、计算机设备及可读存储介质,在分布式环境(比如Apollo分布式配置中心)的基础上借鉴秘钥管理服务(比如Vault系统)的思想,可先获取用于对预置秘钥管理系统进行启封的第一部分秘钥及第二部分秘钥,再将第一部分秘钥及第二部分秘钥进行合成处理以生成主秘钥,然后通过主秘钥分别对预置通讯秘钥及预置存储秘钥进行加密处理,并将对应生成的加密后的通讯秘钥及加密后的存储秘钥存储于数据库。通过此方案,可实现在分布式环境的基础上,添加针对秘钥的管理功能,以使得分布式环境与秘钥管理相结合,以此,一方面,可实现对分布式配置及秘钥的统一管理,不但可使得系统的管理功能更为全面,还可提高系统管理效率,另一方面,可有效提高分布式环境下的安全性。
附图说明
图1是根据本发明实施例的分布式环境下的秘钥管理方法的一种可选的流程示意图;
图2是根据本发明实施例的分布式环境下的秘钥管理装置的一种可选的程序模块示意图;
图3是根据本发明实施例的分布式环境下的秘钥管理装置的另一种可选的程序模块示意图;
图4是根据本发明实施例的计算机设备的一种可选的硬件架构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
下面结合附图对本发明提供的分布式环境下的秘钥管理方法进行说明。
图1为本发明分布式环境下的秘钥管理方法的一种可选的流程示意图。
在本实施例中,分布式环境可为基于Apollo分布式配置中心系统下的分布式环境,为了实现对分布式配置及秘钥的统一管理,可借鉴秘钥管理服务(比如Vault系统)的思想,以实现可在上述Apollo分布式配置中心的基础上添加针对秘钥的管理功能。
在本实施例中,如图1所示,该分布式环境下的秘钥管理方法可包括如下步骤:
S01,获取第一部分秘钥及第二部分秘钥。
在本实施例中,可预先设置所涉及的预置秘钥管理系统需要由两部分秘钥进行启封(比如可称为第一部分密钥、第二部分密钥),且在预置秘钥管理系统被启封后,上述第一部分秘钥、第二部分秘钥还可参与主秘钥的生成等后续步骤。
在具体实现时,可预先生成用于对预置秘钥管理系统进行启封的第一部分秘钥及第二部分秘钥,并可分别分发至预置秘钥管理系统的开发人员及运维人员,也就是说,第一部分秘钥、第二部分秘钥可分别由上述开发人员、运维人员持有,以便在系统需要时由开发人员、运维人员分别提供第一部分密钥、第二部分密钥。
其中,预置秘钥管理系统可采用Vault系统,Vault系统为一种密码/证书集中式管理工具,通过HTTP-API对外提供统一的密码访问入口,并且提供权限控制、日志审计等功能。通常情况下,在Vault系统启动后,是处于封闭状态的,若想对Vault系统进行操作,需要先对Vault系统进行启封,而对Vault系统进行启封,则需要系统初始化时生成的多个秘钥,在本实施例中,该多个秘钥可对应为上述第一部分秘钥、第二部分秘钥。
在具体实现时,可向开发人员提供用于输入第一部分秘钥的第一输入选项(比如,可包括输入框及用于确定提交输入框中所输入的第一部分秘钥的“提交”按钮等),且向运维人员提供用于输入第二部分秘钥的第二输入选项(比如输入框及用于确定提交输入框中所输入的第二部分秘钥的“提交”按钮等)。
由此,针对获取第一部分秘钥及第二部分秘钥的具体实现方式,可为通过第一输入选项接收开发人员输入的第一部分秘钥,通过第二输入选项接收运维人员输入的第二部分秘钥,并可在接收到第一部分秘钥及第二部分秘钥后,根据第一部分秘钥及第二部分秘钥对预置秘钥管理系统进行启封,进而实现对启封后的预置秘钥管理系统进行相关操作。
S02,将第一部分秘钥及第二部分秘钥进行合成处理,生成主秘钥。
在本实施例中,在S01获取到第一部分秘钥及第二部分秘钥后,可基于Shamir秘密共享算法(Shamir’s secret sharing algorithm)将第一部分秘钥及第二部分秘钥进行合成处理以生成主秘钥(Master Key)。
其中,Shamir秘密共享算法,可理解为秘密分发者把秘密S分为n个影子秘密并分发给持有者,其中任意不少于t个影子秘密均能恢复秘密S,少于t个影子秘密则得不到秘密S的任何信息。在本实施例中,秘密S可对应为主密钥;n个影子秘密可对应为2个部分的秘钥(即第一部分秘钥、第二部分秘钥);持有者则可对应为开发人员、运维人员;任意不少于t个影子秘密均能恢复秘密S,t可设置为与n相同,可对应为需要2个部分的秘钥(即第一部分秘钥、第二部分秘钥)才能合成主秘钥。
在得到主秘钥后,则可将主秘钥存储数据库中,以便后续步骤需要时可从数据库中获取主秘钥。
S03,通过主秘钥分别对预置通讯秘钥及预置存储秘钥进行加密处理,对应生成加密后的通讯秘钥及加密后的存储秘钥。
在本实施例中,可预先设置通讯密钥、存储密钥,其中,通讯密钥可理解为由系统自动生成或相关人员手动生成的,且能够保证通讯过程中通讯内容不被盗取并可破解通讯内容的秘钥,通常包括加密部分和解密部分;存储密钥可理解为由系统自动生成或相关人员手动生成的,且能够保证存储过程中存储内容不被盗取并可破解存储内容的秘钥,通常可包括加密部分和解密部分。
在S02生成主秘钥之后,可通过主秘钥对上述预置的通讯秘钥及预置的存储秘钥进行加密处理,并对应生成加密后的通讯秘钥及加密后的存储秘钥,以进一步保证通讯秘钥及存储秘钥的安全性,从而提高系统在通讯及存储过程中的安全性。
在本实施例中,比如可借鉴对称加密算法(如:数据加密标准(DES,DataEncryption Standard)、三重数据加密算法(3DES,Triple Data Encryption Algorithm)等),以上述主秘钥作为加密秘钥,对上述通讯秘钥进行加密处理,以得到加密后的通讯秘钥。此后,在需要对加密后的通讯秘钥进行解密时,则可从数据库中获取主秘钥,并采用与加密算法相逆的算法,以主秘钥作为解密秘钥对加密后的通讯秘钥进行解密处理。
同样的,可借鉴上述对称加密算法的方式,以上述主秘钥作为加密秘钥对上述存储密钥进行加密处理,以得到加密后的存储密钥,此后,在需要对加密后的存储密钥进行解密时,则可从数据库中获取主秘钥,并采用与加密算法相逆的的算法,以主秘钥作为解密秘钥对加密后的存储密钥进行解密处理。
S04,将加密后的通讯秘钥及加密后的存储秘钥存储于数据库。
在S03生成加密后的通讯秘钥及加密后的存储秘钥后,可将该加密后的通讯秘钥及加密后的存储秘钥存储于数据库中,以便在后续步骤中基于加密后的通讯秘钥及加密后的存储秘钥进一步对相关秘钥、相关内容等进行加密处理,以提高系统整体的安全性。
以此,可在分布式环境(比如Apollo分布式配置中心)的基础上借鉴秘钥管理服务(比如Vault系统)的思想,以实现在分布式环境的基础上,添加针对秘钥的管理功能,以使得分布式环境与秘钥管理相结合,一方面,可实现对分布式配置及秘钥的统一管理,不但可使得系统的管理功能更为全面,还可提高系统管理效率,另一方面,可有效提高分布式环境下的安全性。
此外,在实际应用中,可预先设置需要进行网络传输的秘钥,在本实施例中,比如可称为第一秘钥。基于此,在对上述需要进行网络传输的第一秘钥进行网络传输处理之前,还可从数据库中获取加密后的通讯秘钥,并可借鉴对称加密算法的方式,以该加密后的通讯秘钥作为加密秘钥,对第一秘钥进行加密处理,以生成加密后的第一秘钥,以便可使用该加密后的第一秘钥进行网络传输,以此,可提高需要进行网络传输的第一秘钥的安全性,进而可提高系统中网络传输过程的安全性。此后,比如在网络传输后,若需要对加密后的第一秘钥进行解密时,则可从数据库中获取加密后的通讯秘钥,并采用与加密算法相逆的算法,以加密后的通讯秘钥作为解密秘钥,对加密后的第一秘钥进行解密处理。
此外,在实际应用中,还可预先设置需要进行存储的秘钥,在本实施例中,比如可称为第二秘钥。基于此,在对上述需要进行存储的第二秘钥进行存储处理之前,还可从数据库中获取加密后的存储秘钥,并可借鉴对称加密算法的方式,以该加密后的存储秘钥作为加密秘钥,对第二秘钥进行加密处理,以生成加密后的第二秘钥,以便可使用该加密后的第二秘钥进行存储,以此,可提高需要进行存储的第二秘钥的安全性,进而可提高系统中存储过程的安全性。此后,比如在存储处理后,若需要对加密后的第二秘钥进行解密时,则可从数据库中获取加密后的存储秘钥,并采用与加密算法相逆的算法,以加密后的存储秘钥作为解密秘钥,对加密后的第二秘钥进行解密处理。
根据本实施例的各个实施方式,在分布式环境(比如Apollo分布式配置中心)的基础上借鉴秘钥管理服务(比如Vault系统)的思想,可先获取用于对预置秘钥管理系统进行启封的第一部分秘钥及第二部分秘钥,再将第一部分秘钥及第二部分秘钥进行合成处理以生成主秘钥,然后通过主秘钥分别对预置通讯秘钥及预置存储秘钥进行加密处理,并将对应生成的加密后的通讯秘钥及加密后的存储秘钥存储于数据库。通过此方案,可实现在分布式环境的基础上,添加针对秘钥的管理功能,以使得分布式环境与秘钥管理相结合,以此,一方面,可实现对分布式配置及秘钥的统一管理,不但可使得系统的管理功能更为全面,还可提高系统管理效率,另一方面,可有效提高分布式环境下的安全性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
实施例二
基于上述实施例一中提供的分布式环境下的秘钥管理方法,本实施例中还提供了一种分布式环境下的秘钥管理装置,具体地,图2示出了该分布式环境下的秘钥管理装置的可选的结构框图,该分布式环境下的秘钥管理装置被分割成一个或多个程序模块,一个或者多个程序模块被存储于存储介质中,并由一个或多个处理器所执行,以完成本发明。本发明所称的程序模块是指能够完成特定功能的一系列计算机程序指令段,比程序本身更适合描述分布式环境下的秘钥管理装置在存储介质中的执行过程,以下描述将具体介绍本实施例各程序模块的功能。
如图2所示,该分布式环境下的秘钥管理装置20可包括:
秘钥获取模块21,可用于获取第一部分秘钥及第二部分秘钥;
主秘钥生成模块22,可用于将第一部分秘钥及第二部分秘钥进行合成处理,生成主秘钥;
主秘钥加密模块23,可用于通过主秘钥分别对预置通讯秘钥及预置存储秘钥进行加密处理,对应生成加密后的通讯秘钥及加密后的存储秘钥;
加密秘钥存储模块24,可用于将加密后的通讯秘钥及加密后的存储秘钥存储于数据库。
进一步的,所述装置还可包括:秘钥分发模块,可用于预先生成用于对预置秘钥管理系统进行启封的第一部分秘钥及第二部分秘钥,并分别分发至开发人员及运维人员。
同时,该装置还可包括:
第一输入选项提供模块,可用于向开发人员提供用于输入第一部分秘钥的第一输入选项;
第二输入选项提供模块,可用于向运维人员提供用于输入第二部分秘钥的第二输入选项。
基于此,参看图3所示,秘钥获取模块21,可具体包括:
第一部分秘钥接收单元211,可用于通过第一输入选项接收开发人员输入的第一部分秘钥;
第二部分秘钥接收单元212,可用于通过第二输入选项接收运维人员输入的第二部分秘钥;
启封单元213,可用于根据接收到的第一部分秘钥及第二部分秘钥对预置秘钥管理系统进行启封。
在本实施例中,上述预置秘钥管理系统可为Vault系统。
在具体实现时,主秘钥生成模块22,可具体用于:
基于Shamir秘密共享算法将第一部分秘钥及第二部分秘钥进行合成处理以生成主秘钥。
此外,在本实施例中,该装置还可包括:
第一秘钥加密模块,可用于在对需要进行网络传输的第一秘钥进行网络传输处理之前,通过加密后的通讯秘钥对第一秘钥进行加密处理。
进一步的,该装置还可包括:
第二秘钥加密模块,可用于在对需要进行存储的第二秘钥进行存储处理之前,通过加密后的存储秘钥对第二秘钥进行加密处理。
在本实施例中,上述分布式环境为基于Apollo分布式配置中心系统下的分布式环境。
关于上述实施例中的装置,其中各个单元、模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
通过本实施例的各个实施方式,在分布式环境(比如Apollo分布式配置中心)的基础上借鉴秘钥管理服务(比如Vault系统)的思想,可先获取用于对预置秘钥管理系统进行启封的第一部分秘钥及第二部分秘钥,再将第一部分秘钥及第二部分秘钥进行合成处理以生成主秘钥,然后通过主秘钥分别对预置通讯秘钥及预置存储秘钥进行加密处理,并将对应生成的加密后的通讯秘钥及加密后的存储秘钥存储于数据库。通过此方案,可实现在分布式环境的基础上,添加针对秘钥的管理功能,以使得分布式环境与秘钥管理相结合,以此,一方面,可实现对分布式配置及秘钥的统一管理,不但可使得系统的管理功能更为全面,还可提高系统管理效率,另一方面,可有效提高分布式环境下的安全性。
实施例三
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图4所示,本实施例的计算机设备40至少包括但不限于:可通过系统总线相互通信连接的存储器41、处理器42,如图4所示。需要指出的是,图4仅示出了具有组件41-42的计算机设备40,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器41(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器41可以是计算机设备40的内部存储单元,例如该计算机设备40的硬盘或内存。在另一些实施例中,存储器41也可以是计算机设备40的外部存储设备,例如该计算机设备40上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器41还可以既包括计算机设备40的内部存储单元也包括其外部存储设备。本实施例中,存储器41通常用于存储安装于计算机设备40的操作系统和各类应用软件,例如实施例二的分布式环境下的秘钥管理装置的程序代码等。此外,存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器42在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制计算机设备40的总体操作。本实施例中,处理器42用于运行存储器41中存储的程序代码或者处理数据,例如分布式环境下的秘钥管理装置等。
实施例四
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于分布式环境下的秘钥管理装置,被处理器执行时实现实施例一的分布式环境下的秘钥管理方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种分布式环境下的秘钥管理方法,其特征在于,包括如下步骤:
S01,获取第一部分秘钥及第二部分秘钥;
S02,将所述第一部分秘钥及所述第二部分秘钥进行合成处理,生成主秘钥;
S03,通过所述主秘钥分别对预置通讯秘钥及预置存储秘钥进行加密处理,对应生成加密后的通讯秘钥及加密后的存储秘钥;
S04,将所述加密后的通讯秘钥及所述加密后的存储秘钥存储于数据库。
2.根据权利要求1所述的分布式环境下的秘钥管理方法,其特征在于,预先生成用于对预置秘钥管理系统进行启封的第一部分秘钥及第二部分秘钥,并分别分发至开发人员及运维人员;
所述方法还包括:向开发人员提供用于输入第一部分秘钥的第一输入选项,且向运维人员提供用于输入第二部分秘钥的第二输入选项;
S01获取第一部分秘钥及第二部分秘钥,包括:
通过所述第一输入选项接收开发人员输入的所述第一部分秘钥;
通过所述第二输入选项接收运维人员输入的所述第二部分秘钥;
根据接收到的所述第一部分秘钥及所述第二部分秘钥对所述预置秘钥管理系统进行启封。
3.根据权利要求2所述的分布式环境下的秘钥管理方法,其特征在于,所述预置秘钥管理系统为Vault系统。
4.根据权利要求1所述的分布式环境下的秘钥管理方法,其特征在于,S02将所述第一部分秘钥及所述第二部分秘钥进行合成处理,生成主秘钥,包括:
基于Shamir秘密共享算法将所述第一部分秘钥及所述第二部分秘钥进行合成处理以生成所述主秘钥。
5.根据权利要求1所述的分布式环境下的秘钥管理方法,其特征在于,还包括:
在对需要进行网络传输的第一秘钥进行网络传输处理之前,通过所述加密后的通讯秘钥对所述第一秘钥进行加密处理。
6.根据权利要求1所述的分布式环境下的秘钥管理方法,其特征在于,还包括:
在对需要进行存储的第二秘钥进行存储处理之前,通过所述加密后的存储秘钥对所述第二秘钥进行加密处理。
7.根据权利要求1至6任一项所述的分布式环境下的秘钥管理方法,其特征在于,所述分布式环境为基于Apollo分布式配置中心系统下的分布式环境。
8.一种分布式环境下的秘钥管理装置,其特征在于,包括:
秘钥获取模块,用于获取第一部分秘钥及第二部分秘钥;
主秘钥生成模块,用于将所述第一部分秘钥及所述第二部分秘钥进行合成处理,生成主秘钥;
主秘钥加密模块,用于通过所述主秘钥分别对预置通讯秘钥及预置存储秘钥进行加密处理,对应生成加密后的通讯秘钥及加密后的存储秘钥;
加密秘钥存储模块,用于将所述加密后的通讯秘钥及所述加密后的存储秘钥存储于数据库。
9.一种计算机设备,所述计算机设备包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910040190.2A CN109936446A (zh) | 2019-01-16 | 2019-01-16 | 分布式环境下的秘钥管理方法、装置及计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910040190.2A CN109936446A (zh) | 2019-01-16 | 2019-01-16 | 分布式环境下的秘钥管理方法、装置及计算机设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109936446A true CN109936446A (zh) | 2019-06-25 |
Family
ID=66985073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910040190.2A Pending CN109936446A (zh) | 2019-01-16 | 2019-01-16 | 分布式环境下的秘钥管理方法、装置及计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109936446A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112653539A (zh) * | 2020-12-29 | 2021-04-13 | 杭州趣链科技有限公司 | 一种待存储数据的存储方法、装置以及设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004048479A (ja) * | 2002-07-12 | 2004-02-12 | Kddi Corp | 共有化された暗号化情報の暗号鍵管理方法 |
WO2017041603A1 (zh) * | 2015-09-10 | 2017-03-16 | 深圳市中兴微电子技术有限公司 | 数据加密方法、装置及移动终端、计算机存储介质 |
CN107359990A (zh) * | 2017-08-03 | 2017-11-17 | 北京奇艺世纪科技有限公司 | 一种秘密信息处理方法、装置及系统 |
-
2019
- 2019-01-16 CN CN201910040190.2A patent/CN109936446A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004048479A (ja) * | 2002-07-12 | 2004-02-12 | Kddi Corp | 共有化された暗号化情報の暗号鍵管理方法 |
WO2017041603A1 (zh) * | 2015-09-10 | 2017-03-16 | 深圳市中兴微电子技术有限公司 | 数据加密方法、装置及移动终端、计算机存储介质 |
CN107359990A (zh) * | 2017-08-03 | 2017-11-17 | 北京奇艺世纪科技有限公司 | 一种秘密信息处理方法、装置及系统 |
Non-Patent Citations (2)
Title |
---|
KKSRIRAM: "Support a Vault based KMS provider for envelope encryption of resources in a cluster #49817", 《HTTPS://SHADOW-SOFT.COM/VAULT-AUTO-UNSEAL/》 * |
VAULT ENTERPRISE AUTO UNSEAL: WHAT IS IT? HOW CAN IT HELP?: "Vault Enterprise Auto Unseal: What is it? How can it help?", 《HTTPS://SHADOW-SOFT.COM/VAULT-AUTO-UNSEAL/》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112653539A (zh) * | 2020-12-29 | 2021-04-13 | 杭州趣链科技有限公司 | 一种待存储数据的存储方法、装置以及设备 |
CN112653539B (zh) * | 2020-12-29 | 2023-06-20 | 杭州趣链科技有限公司 | 一种待存储数据的存储方法、装置以及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110278078B (zh) | 一种数据处理方法、装置及系统 | |
US20190260716A1 (en) | Managed securitized containers and container communications | |
CN103026347B (zh) | 多核架构中的虚拟机内存划分 | |
CN100456200C (zh) | 多令牌密封和解封 | |
US10122713B2 (en) | Method and device for the secure authentication and execution of programs | |
US8892868B1 (en) | Hardening tokenization security and key rotation | |
JP2016181936A (ja) | グローバルプラットフォーム仕様を使用した発行元セキュリティドメインの鍵管理のためのシステム及び方法 | |
CN103488958A (zh) | 管理具有隔离组件的现场可编程门阵列的使用 | |
CN103714633A (zh) | 一种安全生成传输密钥的方法及pos终端 | |
CN103544417A (zh) | 用可重新编程的密码操作来管理对现场可编程门阵列的使用 | |
EP4096146B1 (en) | Information processing system, information processing device, information processing method, and information processing program | |
CN106471766A (zh) | 密码芯片和相关方法 | |
CN113886862B (zh) | 一种可信计算系统及基于可信计算系统的资源处理方法 | |
CN112953974B (zh) | 数据碰撞方法、装置、设备及计算机可读存储介质 | |
CN110891062A (zh) | 密码更改方法、服务器及存储介质 | |
CN111435396A (zh) | 智能安全主控 | |
CN107920060A (zh) | 基于账号的数据访问方法和装置 | |
Singh et al. | A Review on Cloud Data Security Challenges and existing Countermeasures in Cloud Computing | |
CN109936446A (zh) | 分布式环境下的秘钥管理方法、装置及计算机设备 | |
Kamaraju et al. | Best practices for cloud data protection and key management | |
CN114254343A (zh) | 一种面向云虚拟机密文信息流控制方法以及相关装置 | |
CN114866228A (zh) | 一种实现软密码模块的方法、系统、存储介质及终端 | |
WO2019133298A1 (en) | Managed securitized containers and container communications | |
EP3193274B1 (en) | Secure memory storage | |
CN116886356B (zh) | 一种芯片级透明文件加密存储系统、方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |