CN111510288B - 密钥管理方法、电子设备及存储介质 - Google Patents
密钥管理方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111510288B CN111510288B CN202010272595.1A CN202010272595A CN111510288B CN 111510288 B CN111510288 B CN 111510288B CN 202010272595 A CN202010272595 A CN 202010272595A CN 111510288 B CN111510288 B CN 111510288B
- Authority
- CN
- China
- Prior art keywords
- key
- ciphertext file
- decryption
- shared
- service server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种密钥管理方法、电子设备及存储介质,其中,密钥管理方法,应用于电子设备,包括:对证书私钥进行加密处理,获得第一密文文件和第一解密密钥,第一密文文件储存于密钥管理平台;采用密钥共享算法对第一解密密钥进行加密处理,获得N个共享密钥密码,其中,N个共享密钥密码中的第一共享密钥密码用于供业务服务器进行解密操作;对N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,第二密文文件储存于密钥管理平台,第二解密密钥储存于业务服务器;确定业务服务器发送目标请求至密钥管理平台时携带的查询参数。本发明实施例提供的密钥管理方法能够有效提升证书密钥的安全性。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种密钥管理方法、电子设备及存储介质。
背景技术
众所周知,数字证书(Digital Certificate)是指在互联网通讯中标志通讯各方身份信息的一个数字认证,可以用来验证网站身份,并对访客与网站之间往来传输的信息进行加密,进而可以防止信息盗窃者监视网站和访客之间的交流。
数字证书通常对应有证书私钥与证书公钥,其中证书私钥用于确认网站身份信息,一旦遭窃,就有可能出现伪造的网站,进而导致访客被骗。实际应用中,数字证书的持有者可能需要将数字证书授权给特定的业务方,这使得业务方将会使用到上述证书私钥与证书公钥。现有技术中,证书私钥通常是采用邮件明文发送给业务方,容易导致证书私钥泄露,证书私钥的安全性较低。
发明内容
本发明实施例的目的在于提供一种密钥管理方法、电子设备及存储介质,以实现证书私钥的安全性。具体技术方案如下:
在本发明实施的第一方面,首先提供了一种密钥管理方法,应用于电子设备,包括:
对证书私钥进行加密处理,获得第一密文文件和第一解密密钥,所述第一密文文件储存于密钥管理平台;
采用密钥共享算法对所述第一解密密钥进行加密处理,获得N个共享密钥密码,其中,所述N个共享密钥密码中的第一共享密钥密码用于供业务服务器进行解密操作,N为大于1的整数;
对所述N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,所述第二密文文件储存于密钥管理平台,所述第二解密密钥储存于所述业务服务器;
确定所述业务服务器发送目标请求至所述密钥管理平台时携带的查询参数,所述目标请求为用于查询所述第一密文文件与所述第二密文文件的请求,所述查询参数用于身份认证,且所述查询参数包括所述电子设备依据所述业务服务器的身份信息生成的业务识别码。
在本发明实施的第二方面,还提供了一种电子设备,包括:
第一获取模块,用于对证书私钥进行加密处理,获得第一密文文件和第一解密密钥,所述第一密文文件储存于密钥管理平台;
第二获取模块,用于采用密钥共享算法对所述第一解密密钥进行加密处理,获得N个共享密钥密码,其中,所述N个共享密钥密码中的第一共享密钥密码用于供业务服务器进行解密操作,N为大于1的整数;
第三获取模块,用于对所述N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,所述第二密文文件储存于密钥管理平台,所述第二解密密钥储存于所述业务服务器;
第一确定模块,用于确定所述业务服务器发送目标请求至所述密钥管理平台时携带的查询参数,所述目标请求为用于查询所述第一密文文件与所述第二密文文件的请求,所述查询参数用于身份认证,且所述查询参数包括所述电子设备依据所述业务服务器的身份信息生成的业务识别码。
在本发明实施的又一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述任一所述的密钥管理方法。
在本发明实施的又一方面,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的密钥管理方法。
本发明实施例提供的密钥管理方法,对证书私钥进行了多重加密运算,并将多重加密运算得到的第一密文文件与第二密文文件储存在密钥管理平台;使得业务服务器在拥有通过多重加密运算得到的第一共享密钥密码与第二解密密钥的情况下,仍需从密钥管理平台中查询第一密文文件与第二密文文件,才能解密得到证书私钥,避免了证书私钥明文储存所带来的泄露风险;同时,本发明实施例还确定了业务服务器向密钥管理平台发送用于查询第一密文文件与第二密文文件的请求时,所需携带的查询参数,并将查询参数用于身份认证,使得密钥管理平台仅对通过身份认证的业务服务器开放查询权限,降低了证书私钥失控扩散的可能性,有效提升证书密钥的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例提供的密钥管理方法流程图;
图2为本发明实施例提供的密钥管理方法在一具体应用实施例中的工作原理图;
图3为本发明实施例提供的电子设备的结构示意图;
图4为本发明实施例提供的电子设备的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。
如图1所示,本发明实施例提供的密钥管理方法,应用于电子设备,包括:
步骤101,对证书私钥进行加密处理,获得第一密文文件和第一解密密钥,所述第一密文文件储存于密钥管理平台;
步骤102,采用密钥共享算法对所述第一解密密钥进行加密处理,获得N个共享密钥密码,其中,所述N个共享密钥密码中的第一共享密钥密码用于供业务服务器进行解密操作,N为大于1的整数;
步骤103,对所述N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,所述第二密文文件储存于密钥管理平台,所述第二解密密钥储存于所述业务服务器;
步骤104,确定所述业务服务器发送目标请求至所述密钥管理平台时携带的查询参数,所述目标请求为用于查询所述第一密文文件与所述第二密文文件的请求,所述查询参数用于身份认证,且所述查询参数包括所述电子设备依据所述业务服务器的身份信息生成的业务识别码。
本发明实施例中,电子设备用于对证书私钥进行管理;密钥管理平台可以是一单独的可用于存储第一密文文件等内容的服务器,也可以是位于电子设备所在的一端,用于存储第一密文文件等内容;业务服务器则为需要使用到证书私钥的一端,实际应用中,业务服务器的数量可以是一个或者多个。
可以理解的是,当证书私钥为明文存储时,存在较高的失窃风险。因此,本实施例中,首先对证书私钥进行加密处理,得到第一密文文件和第一解密密钥,采用的加密算法可以是对称加密算法或非对称加密算法等,此处不做具体限定。
然后可以再使用密钥共享算法对第一解密密钥进行加密处理,获得N个共享密钥密码。通常来说,密钥共享算法可以对加密对象进行加密获得多个密钥,当同时拥有这多个密钥中的设定数量的密钥时,即可解密获得上述加密对象。具体到本实施例中,以N=3为例,可以设定为当同时拥有3个共享密钥密码中的两个共享密钥密码时,即可解密得到第一解密密钥。也就是说,当业务服务器同时用于第一共享密钥密码与第二共享密钥密码时,即可解密得到第一解密密钥。当然,在实际应用中,N的数量可以根据需要进行设定。
若第二共享密钥密码直接以明文的形式储存于密钥管理平台,则仍然使得第一解密密钥比较容易被获得,因此,本实施例中,还对第二共享密钥密码进行了加密处理,将加密处理得到的第二密文文件储存于密钥管理平台,而将与第二密文文件匹配的第二解密密钥储存于业务服务器,这样,只有在业务服务器使用第二解密密钥,对第二密文文件进行解密操作后,才能获得第二共享密钥密码。对第二共享密钥密码进行加密处理所采用的加密算法,可以是对称加密算法或者非对称加密算法等,此处不做具体限定。
业务服务器若需要获取到证书私钥,不仅需要拥有上述的第一共享密钥密码与第二解密密钥,还需要查询储存于密钥管理平台的第一密文文件与第二密文文件,这样才能通过第二解密密钥对第二密文文件进行解密得到第二共享密钥密码,通过第一共享密钥密码与第二共享密钥密码解密得到第一解密密钥,通过第一解密密钥对第一密文文件进行解密得到证书私钥。
本实施例中,业务服务器需要向密钥管理平台发送目标请求,以查询第一密文文件与第二密文文件,且目标请求需要携带用于身份认证的查询参数。上述查询参数可以是由电子设备依据业务服务器的身份信息生成的业务识别码(以下简称pincode)。例如,上述业务服务器的身份信息可以是业务服务器的IP地址,电子设备将获取到的业务服务器的IP地址与pincode建立映射关系,每一个pincode可以代表一个业务服务器,并且可以将pincode作为查询参数发送给业务服务器与密钥管理平台,用于业务服务器访问密钥管理平台时的身份认证;这样密钥管理平台将会根据业务服务器的IP地址进行授权访问,换而言之,可以使得只有经电子设备授权的业务服务器才可以访问密钥管理平台。当然,业务服务器的身份信息还可以是业务服务器的物理地址等内容,此处不做具体限定。
本发明实施例提供的密钥管理方法,对证书私钥进行了多重加密运算,并将多重加密运算得到的第一密文文件与第二密文文件储存在密钥管理平台;使得业务服务器在拥有通过多重加密运算得到的第一共享密钥密码与第二解密密钥的情况下,仍需从密钥管理平台中查询第一密文文件与第二密文文件,才能解密得到证书私钥,避免了证书私钥明文储存所带来的泄露风险;同时,本发明实施例还确定了业务服务器向密钥管理平台发送用于查询第一密文文件与第二密文文件的请求时,所需携带的查询参数,并将查询参数用于身份认证,使得密钥管理平台仅对通过身份认证的业务服务器开放查询权限,降低了证书私钥失控扩散的可能性,提升证书密钥的安全性。此外,本发明实施例使得业务服务器能够自动获得证书私钥,相比于邮件发送证书私钥的方式,能够有效提高业务服务器对证书私钥的获取效率。
可选地,所述步骤103,对所述N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,包括:
使用对称加密算法,将所述业务识别码作为加密密钥,对所述第二共享密钥密码进行加密处理,获得所述第二密文文件;
将所述业务识别码作为所述第二解密密钥。
本实施例中,采用对称加密算法对第二解密密钥进行了加密。对于对称加密算法,加密密钥与解密密钥通常一致,而本实施例中,将上述pincode作为了加密密钥与解密密钥。
如上一实施例所述,电子设备确定了查询参数,并将查询参数用于身份验证且查询参数包括pincode,也就是说,当前具有特定身份信息的业务服务器向业务服务器发送目标请求且通过身份认证后,该业务服务器对应的pincode(即存储的第二解密密钥)即可以用于对第二密文文件进行解密,这样可以使得只有被电子设备授权的业务服务器才能对第二密文文件进行解密。
相比于直接将第二共享密钥密码储存于业务服务器中,本实施例使用pincode对第二共享密钥密码再次进行了加密,进而能够提高解密获得证书私钥的难度,提高证书私钥的安全性。
可选地,上述密钥管理方法还包括:
对所述第一共享密钥密码进行加密处理,获得第三密文文件和第三解密密钥;
其中,所述第三密文文件储存于所述业务服务器,所述第三解密密钥用于供所述业务服务器进行解密操作。
第一共享密钥密码是用于供业务服务器进行解密操作,而本实施例中,电子设备对第一共享密钥密码进行加密,获得第三密文文件和第三解密密钥,所使用的加密算法可以是对称加密算法或者非对称加密算法等,此处不做限定。
通过将第一共享密钥密码加密,能够进一步提升证书私钥的安全性。
可选地,所述查询参数还包括所述第三密文文件。
本实施例中,将第三密文文件作为查询参数的组成部分,例如,第三密文文件可以是一串字符,用作身份认证时所使用的密码,从而增强查询参数的强度;此外,将第三密文文件作为查询参数的组成部分,也将第三密文文件限制在了上述业务服务器中,有利提升第三密文文件及证书私钥的安全性。
可选地,上述密钥管理方法,还包括:
使用对称加密算法,将所述业务识别码作为加密密钥,对所述第三解密密钥进行加密处理,获得第四密文文件,所述第四密文文件储存于所述业务服务器;
将所述业务识别码作为与所述第四密文文件匹配的第四解密密钥。
与使用pincode对第二共享密钥密码进行加密的方式相似,本实施例中,同时采用对称加密算法,使用pincode对第三解密密钥进行加密处理,得到第四密文文件,并将第四密文文件存储于业务服务器,而该pincode可以作为第四密文文件的解密密钥。相对直接将第三解密密钥明文储存的方式,本实施例对第三解密密钥再次进行了加密,提高了第三解密密钥存储安全性。
在一个示例中,对第二共享密钥密码与第三解密密钥均采用了对称加密算法进行加密处理,且使用的加密密钥(也可作为解密密钥)均为pincode。由于对称加密算法存在多个种类,例如DES算法(直译为美国数据加密标准算法)、RC算法(直译为罗纳德算法,参数可变的分组密码算法)、BlowFish算法(直译为布鲁斯算法,一种区块加密算法)等,因此,第二共享密钥密码与第三解密密钥分别采用的对称加密算法的种类可以不同,进而可以增加密文文件的破解难度,提升证书私钥的安全性。
当然,在一些可行的实施方式中,第二共享密钥密码与第三解密密钥分别采用的对称加密算法的种类也可以是相同的。
以下结合一具体应用实施例对本发明实施例提供的密钥管理方法进行说明。如图2所示,在本应用实施例中,密钥管理方法包括如下步骤:
1)针对证书私钥使用对称加密算法进行加密,获得第一密文文件和第一解密密钥;
2)将第一密文文件复制到密钥管理平台;
3)将证书公钥复制到密钥管理平台;
4)对业务服务器建立业务识别码(即pincode),一个pincode代表一个业务服务器,实际应用中,一个pincode可以与业务服务器所述的服务器IP地址(对应了上述的身份信息)建立映射关联;后续密钥管理平台将会根据服务器IP地址进行授权访问,也就是只有授权过得业务服务器可以访问密钥管理平台;
5)针对第一解密密钥使用密钥共享算法进行加密,获得三个共享密钥密码(同时拥有其中的两个共享密钥密码,即可恢复第一解密密钥);
6)针对三个共享密钥密码中的第二共享密钥密码使用对称加密算法(加密密钥可以是pincode)进行加密,获得第二密文文件与第二解密密钥(第二解密密钥与此处的加密密钥相同,也可以是pincode);
7)将第二密文文件复制到密钥管理平台;
8)针对三个共享密钥密码中的第一共享密钥密码使用对称加密算法进行加密,获得第三密文文件与第三解密密钥;
9)将pincode与第三密文文件设置为密钥管理平台的数据接口的查询参数;
10)将第一密文文件、第二密文文件以及证书公钥设置为密钥管理平台的数据接口的查询内容(可理解为业务服务器可通过pincode与第三密文文件,可以从密钥管理平台查询到第一密文文件、第二密文文件以及证书公钥);
11)针对第三解密密钥,还可以继续使用对称加密算法进行加密(加密密钥可以是pincode),获得第四密文文件与第四解密密钥(第四解密密钥与此处的加密密钥相同,也可以是pincode),并将第四密文文件复制到业务服务器。
通过以上处理步骤,可以实现对证书私钥的多重加密,并能够确保密钥管理平台与业务服务器单方不可知,且密钥管理平台仅对授权过的业务服务器开放相应的访问权限,有效保证证书私钥的安全性。此外,可选地,可以设置密钥管理平台的数据接口支持安全套接层(Secure Sockets Layer,SSL),密钥管理平台与业务服务器之间的数据传输使用超文本传输安全协议(Hyper Text Transfer Protocol over SecureSocket Layer,HTTPS),确保数据传输过程的安全性。
相应地,业务服务器获取证书私钥的一个可行实施方式如下:
业务服务器持有pincode、第三密文文件与第四密文文件,向密钥管理平台发送目标请求,用于从密钥管理平台查询第一密文文件与第二密文文件(当然,还可以目标请求还可以用于查询证书公钥);目标请求的样式可以如“https://key.xx.com/certificate?key=(第二密文文件)&token=(pincode)”;
查询成功后,业务服务器可以使用pincode与第四密文文件解密获得第三解密密钥,使用第三解密密钥与第三密文文件解密获得第一共享密钥密码,使用pincode与第二密文文件解密获得第二共享密钥密码,使用第一共享密钥密码与第二共享密钥密码解密获得第一解密密钥,最后使用第一解密密钥与第一密文文件解密获得证书私钥。
如图3所示,本发明实施例还提供了一种电子设备,包括:
第一获取模块301,用于对证书私钥进行加密处理,获得第一密文文件和第一解密密钥,所述第一密文文件储存于密钥管理平台;
第二获取模块302,用于采用密钥共享算法对所述第一解密密钥进行加密处理,获得N个共享密钥密码,其中,所述N个共享密钥密码中的第一共享密钥密码用于供业务服务器进行解密操作,N为大于1的整数;
第三获取模块303,用于对所述N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,所述第二密文文件储存于密钥管理平台,所述第二解密密钥储存于所述业务服务器;
第一确定模块304,用于确定所述业务服务器发送目标请求至所述密钥管理平台时携带的查询参数,所述目标请求为用于查询所述第一密文文件与所述第二密文文件的请求,所述查询参数用于身份认证,且所述查询参数包括所述电子设备依据所述业务服务器的身份信息生成的业务识别码。
可选地,所述第三获取模块303,包括:
第一获取单元,用于使用对称加密算法,将所述业务识别码作为加密密钥,对所述第二共享密钥密码进行加密处理,获得所述第二密文文件;
确定单元,用于将所述业务识别码作为所述第二解密密钥。
可选地,其特征在于,上述电子设备还包括:
第四获取模块,用于对所述第一共享密钥密码进行加密处理,获得第三密文文件和第三解密密钥;
其中,所述第三密文文件储存于所述业务服务器,所述第三解密密钥用于供所述业务服务器进行解密操作。
可选地,所述查询参数还包括所述第三密文文件。
可选地,上述电子设备还包括:
第五获取模块,用于使用对称加密算法,将所述业务识别码作为加密密钥,对所述第三解密密钥进行加密处理,获得第四密文文件,所述第四密文文件储存于所述业务服务器;
第二确定模块,用于将所述业务识别码作为与所述第四密文文件匹配的第四解密密钥。
本发明实施例还提供了一种电子设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现如下步骤:
对证书私钥进行加密处理,获得第一密文文件和第一解密密钥,所述第一密文文件储存于密钥管理平台;
采用密钥共享算法对所述第一解密密钥进行加密处理,获得N个共享密钥密码,其中,所述N个共享密钥密码中的第一共享密钥密码用于供业务服务器进行解密操作,N为大于1的整数;
对所述N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,所述第二密文文件储存于密钥管理平台,所述第二解密密钥储存于所述业务服务器;
确定所述业务服务器发送目标请求至所述密钥管理平台时携带的查询参数,所述目标请求为用于查询所述第一密文文件与所述第二密文文件的请求,所述查询参数用于身份认证,且所述查询参数包括所述电子设备依据所述业务服务器的身份信息生成的业务识别码。
可选地,所述对所述N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,包括:
使用对称加密算法,将所述业务识别码作为加密密钥,对所述第二共享密钥密码进行加密处理,获得所述第二密文文件;
将所述业务识别码作为所述第二解密密钥。
可选地,还可以实现如下步骤:
对所述第一共享密钥密码进行加密处理,获得第三密文文件和第三解密密钥;
其中,所述第三密文文件储存于所述业务服务器,所述第三解密密钥用于供所述业务服务器进行解密操作。
可选地,所述查询参数还包括所述第三密文文件。
可选地,还可以实现如下步骤:
使用对称加密算法,将所述业务识别码作为加密密钥,对所述第三解密密钥进行加密处理,获得第四密文文件,所述第四密文文件储存于所述业务服务器;
将所述业务识别码作为与所述第四密文文件匹配的第四解密密钥。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的密钥管理方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的密钥管理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (12)
1.一种密钥管理方法,其特征在于,应用于电子设备,包括:
对证书私钥进行加密处理,获得第一密文文件和第一解密密钥,所述第一密文文件储存于密钥管理平台;
采用密钥共享算法对所述第一解密密钥进行加密处理,获得N个共享密钥密码,其中,所述N个共享密钥密码中的第一共享密钥密码用于供业务服务器进行解密操作,N为大于1的整数;
对所述N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,所述第二密文文件储存于密钥管理平台,所述第二解密密钥储存于所述业务服务器;
确定所述业务服务器发送目标请求至所述密钥管理平台时携带的查询参数,所述目标请求为用于查询所述第一密文文件与所述第二密文文件的请求,所述查询参数用于身份认证,且所述查询参数包括所述电子设备依据所述业务服务器的身份信息生成的业务识别码。
2.根据权利要求1所述的方法,其特征在于,所述对所述N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,包括:
使用对称加密算法,将所述业务识别码作为加密密钥,对所述第二共享密钥密码进行加密处理,获得所述第二密文文件;
将所述业务识别码作为所述第二解密密钥。
3.根据权利要求1所述的方法,其特征在于,还包括:
对所述第一共享密钥密码进行加密处理,获得第三密文文件和第三解密密钥;
其中,所述第三密文文件储存于所述业务服务器,所述第三解密密钥用于供所述业务服务器进行解密操作。
4.根据权利要求3所述的方法,其特征在于,所述查询参数还包括所述第三密文文件。
5.根据权利要求3所述的方法,其特征在于,还包括:
使用对称加密算法,将所述业务识别码作为加密密钥,对所述第三解密密钥进行加密处理,获得第四密文文件,所述第四密文文件储存于所述业务服务器;
将所述业务识别码作为与所述第四密文文件匹配的第四解密密钥。
6.一种电子设备,其特征在于,包括:
第一获取模块,用于对证书私钥进行加密处理,获得第一密文文件和第一解密密钥,所述第一密文文件储存于密钥管理平台;
第二获取模块,用于采用密钥共享算法对所述第一解密密钥进行加密处理,获得N个共享密钥密码,其中,所述N个共享密钥密码中的第一共享密钥密码用于供业务服务器进行解密操作,N为大于1的整数;
第三获取模块,用于对所述N个共享密钥密码中的第二共享密钥密码进行加密处理,获得第二密文文件和第二解密密钥,所述第二密文文件储存于密钥管理平台,所述第二解密密钥储存于所述业务服务器;
第一确定模块,用于确定所述业务服务器发送目标请求至所述密钥管理平台时携带的查询参数,所述目标请求为用于查询所述第一密文文件与所述第二密文文件的请求,所述查询参数用于身份认证,且所述查询参数包括所述电子设备依据所述业务服务器的身份信息生成的业务识别码。
7.根据权利要求6所述的电子设备,其特征在于,所述第三获取模块,包括:
第一获取单元,用于使用对称加密算法,将所述业务识别码作为加密密钥,对所述第二共享密钥密码进行加密处理,获得所述第二密文文件;
确定单元,用于将所述业务识别码作为所述第二解密密钥。
8.根据权利要求6所述的电子设备,其特征在于,还包括:
第四获取模块,用于对所述第一共享密钥密码进行加密处理,获得第三密文文件和第三解密密钥;
其中,所述第三密文文件储存于所述业务服务器,所述第三解密密钥用于供所述业务服务器进行解密操作。
9.根据权利要求8所述的电子设备,其特征在于,所述查询参数还包括所述第三密文文件。
10.根据权利要求8所述的电子设备,其特征在于,还包括:
第五获取模块,用于使用对称加密算法,将所述业务识别码作为加密密钥,对所述第三解密密钥进行加密处理,获得第四密文文件,所述第四密文文件储存于所述业务服务器;
第二确定模块,用于将所述业务识别码作为与所述第四密文文件匹配的第四解密密钥。
11.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-5任一所述的方法步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010272595.1A CN111510288B (zh) | 2020-04-09 | 2020-04-09 | 密钥管理方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010272595.1A CN111510288B (zh) | 2020-04-09 | 2020-04-09 | 密钥管理方法、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111510288A CN111510288A (zh) | 2020-08-07 |
CN111510288B true CN111510288B (zh) | 2022-09-09 |
Family
ID=71874202
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010272595.1A Active CN111510288B (zh) | 2020-04-09 | 2020-04-09 | 密钥管理方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111510288B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112737774B (zh) * | 2020-12-28 | 2023-04-07 | 苏州科达科技股份有限公司 | 网络会议中的数据传输方法、装置及存储介质 |
CN112887087B (zh) * | 2021-01-20 | 2023-04-18 | 成都质数斯达克科技有限公司 | 数据管理方法、装置、电子设备及可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160357980A1 (en) * | 2015-06-04 | 2016-12-08 | Microsoft Technology Licensing, Llc | Secure storage and sharing of data by hybrid encryption using predefined schema |
CN106685646A (zh) * | 2016-11-29 | 2017-05-17 | 北京奇艺世纪科技有限公司 | 一种数字证书密钥管理方法及管理服务器 |
CN107040369A (zh) * | 2016-10-26 | 2017-08-11 | 阿里巴巴集团控股有限公司 | 数据传输方法、装置及系统 |
CN107181589A (zh) * | 2017-04-11 | 2017-09-19 | 北京奇艺世纪科技有限公司 | 一种堡垒机私钥管理方法及装置 |
CN108667605A (zh) * | 2018-04-25 | 2018-10-16 | 拉扎斯网络科技(上海)有限公司 | 一种数据加密、解密方法和装置 |
-
2020
- 2020-04-09 CN CN202010272595.1A patent/CN111510288B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160357980A1 (en) * | 2015-06-04 | 2016-12-08 | Microsoft Technology Licensing, Llc | Secure storage and sharing of data by hybrid encryption using predefined schema |
CN107040369A (zh) * | 2016-10-26 | 2017-08-11 | 阿里巴巴集团控股有限公司 | 数据传输方法、装置及系统 |
CN106685646A (zh) * | 2016-11-29 | 2017-05-17 | 北京奇艺世纪科技有限公司 | 一种数字证书密钥管理方法及管理服务器 |
CN107181589A (zh) * | 2017-04-11 | 2017-09-19 | 北京奇艺世纪科技有限公司 | 一种堡垒机私钥管理方法及装置 |
CN108667605A (zh) * | 2018-04-25 | 2018-10-16 | 拉扎斯网络科技(上海)有限公司 | 一种数据加密、解密方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111510288A (zh) | 2020-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3090520B1 (en) | System and method for securing machine-to-machine communications | |
US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
US20070255960A1 (en) | System and method for validating a network session | |
JP6012888B2 (ja) | 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム | |
US10250589B2 (en) | System and method for protecting access to authentication systems | |
US7266705B2 (en) | Secure transmission of data within a distributed computer system | |
US8397281B2 (en) | Service assisted secret provisioning | |
CN109995739B (zh) | 一种信息传输方法、客户端、服务器及存储介质 | |
DK2414983T3 (en) | Secure computer system | |
CN113225352A (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
CN111510288B (zh) | 密钥管理方法、电子设备及存储介质 | |
CN110035035B (zh) | 一种单点登录的二次认证方法及系统 | |
CN107888548A (zh) | 一种信息验证方法及装置 | |
CN112948857A (zh) | 一种文档处理方法及装置 | |
US10764260B2 (en) | Distributed processing of a product on the basis of centrally encrypted stored data | |
RU2698424C1 (ru) | Способ управления авторизацией | |
CN111541708B (zh) | 一种基于电力配电的身份认证方法 | |
WO2009041804A2 (en) | Secure instant messaging | |
CN112291058A (zh) | 一种管理系统的通讯方法及管理系统 | |
CN116709325B (zh) | 一种基于高速加密算法的移动设备安全认证方法 | |
CN116318899B (zh) | 数据加密解密的处理方法、系统、设备及介质 | |
CN115694882A (zh) | 应用于远程办公的通信方法、装置、电子设备及可读介质 | |
JPH09326789A (ja) | 携帯無線端末間通信における相手認証方法及びシステム | |
CN117294522A (zh) | 基于区块链的金融数据共享方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |