CN112311536A - 密钥分级管理方法及系统 - Google Patents
密钥分级管理方法及系统 Download PDFInfo
- Publication number
- CN112311536A CN112311536A CN202011060523.7A CN202011060523A CN112311536A CN 112311536 A CN112311536 A CN 112311536A CN 202011060523 A CN202011060523 A CN 202011060523A CN 112311536 A CN112311536 A CN 112311536A
- Authority
- CN
- China
- Prior art keywords
- key
- cipher
- password
- side device
- index number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了密钥分级管理方法及系统。该方法包括:密钥管理侧装置确定与应用系统标识对应的密钥索引号;密钥管理侧装置在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至密码侧装置;其中,密码侧装置包括密码芯片和密钥存储芯片;密码侧装置根据接收到的所述密钥编号,从密钥存储芯片中获取与所述密钥编号对应的密钥明文;密钥管理侧装置在确定所述密钥索引号记载所述密钥索引号为外部密钥类型时,根据所述密钥索引号的密钥编号从外部存储单元中获取与所述密钥编号对应的密钥密文,将所述密钥密文发送至密码侧装置;密码侧装置根据接收到的所述密钥密文,在密码芯片中将所述密钥密文解密为对应的密钥明文。
Description
技术领域
本发明属于电子密钥技术领域,具体涉及密钥分级管理方法及系统。
背景技术
随着网络信息化安全等级的不断提升,与密码有关的应用市场需求越来越大。目前,密码侧装置提供的密码应用包括密钥生成、密钥使用和密钥销毁等。具体地,密码侧装置提供遵循国密标准的接口和厂家自定义接口,并通过这些接口为服务端应用系统提供密钥管理功能和密码运算功能。
目前,单个密码侧装置所能管理和存储的密钥数量有限。针对海量用户的应用场景,目前大多是通常采用扩展硬件、增加密码侧装置数量、管理多个密码侧装置的途径来扩展密钥的数量进而满足海量用户的使用需求,技术复杂,代价高昂,会降低可靠性。
发明内容
针对现有技术的不足,本发明提供密钥分级管理方法及系统,以解决现有技术中海量用户应用场景时密码管理技术复杂、代价高昂、等问题。
第一方面,本发明提供一种密钥分级管理方法,包括:
密钥管理侧装置从获取的密码运算接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
密钥管理侧装置在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至密码侧装置;其中,密码侧装置包括密码芯片和密钥存储芯片;
密码侧装置根据接收到的所述密钥编号,从密钥存储芯片中获取与所述密钥编号对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算;
密钥管理侧装置在确定所述密钥索引号记载所述密钥索引号为外部密钥类型时,根据所述密钥索引号的密钥编号从外部存储单元中获取与所述密钥编号对应的密钥密文,将所述密钥密文发送至密码侧装置;
密码侧装置根据接收到的所述密钥密文,在密码芯片中将所述密钥密文解密为对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算。
进一步地,在获取密码运算接口调用请求之前,还包括:
密钥管理侧装置从获取的密码分配接口调用请求提取出应用系统标识,确定与应用系统标识对应的分级性能,其中,分级性能为较高级或较低级;
在所述应用系统标识对应的分级性能为较高级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及内部密钥,其中,所述内部密钥包括一存储在密钥存储芯片中的密钥明文;
在所述应用系统标识对应的分级性能为较低级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及外部密钥,其中,所述外部密钥包括一存储在外部存储单元中的密钥密文。
进一步地,所述在所述应用系统标识对应的分级性能为较高级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及内部密钥,包括:
在所述应用系统标识对应的分级性能为较高级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为内部密钥类型及密钥编号;
密钥管理侧装置生成并发送内部密钥生成请求至密码侧装置,所述内部密钥生成请求记载有密钥编号;
密码侧装置根据接收的内部密钥生成请求,在密码芯片中生成一密钥明文,将所述密钥明文保存在所述密钥存储芯片中,并保存所述密钥编号与所述密钥明文之间的对应关系。
进一步地,在所述应用系统标识对应的分级性能为较低级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及外部密钥,包括:
在所述应用系统标识对应的分级性能为较低级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为外部密钥类型及密钥编号;
密钥管理侧装置生成并发送外部密钥生成请求至密码侧装置,所述外部密钥生成请求记载有密钥编号;
密码侧装置根据接收的外部密钥生成请求,在密码芯片中生成一密钥明文,并将所述密钥明文加密成密钥密文,及将所述密钥密文及所述密钥编号作为对所述外部密钥生成请求的响应结果发出;
密钥管理侧装置根据接收的对所述外部密钥生成请求的响应结果,将所述密钥密文保存在外部存储单元,并保存所述密钥编号与所述密钥密文之间的对应关系。
进一步地,还包括:
密钥管理侧装置从获取的密码销毁接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
密钥管理侧装置在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至密码侧装置;
密码侧装置根据接收到的所述密钥编号,从密钥存储芯片中删除与所述密钥编号对应的密钥明文,并解除所述密钥编号与所述密钥明文之间的对应关系;
密钥管理侧装置在确定所述密钥索引号为外部密钥类型时,从外部存储单元中删除与所述密钥索引号的密钥编号对应的密钥密文,并解除所述密钥编号与所述密钥密文之间的对应关系。
第二方面,本发明提供一种密钥分级管理系统,包括:
通信连接的密钥管理侧装置和密码侧装置;
密码侧装置包括密码侧处理器、密码芯片和密钥存储芯片;
密钥管理侧装置包括密钥管理侧处理器和外部存储单元;
所述密钥管理侧处理器用于从获取的密码运算接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
所述密钥管理侧处理器还用于在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至所述密码侧处理器;
所述密码侧处理器用于根据接收到的所述密钥编号,从密钥存储芯片中获取与所述密钥编号对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算;
所述密钥管理侧处理器还用于在确定所述密钥索引号记载所述密钥索引号为外部密钥类型时,根据所述密钥索引号的密钥编号从外部存储单元中获取与所述密钥编号对应的密钥密文,将所述密钥密文发送至所述密码侧处理器;
所述密码侧处理器还用于根据接收到的所述密钥密文,在密码芯片中将所述密钥密文解密为对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算。
进一步地,所述密钥管理侧处理器还用于在获取密码运算接口调用请求之前,从获取的密码分配接口调用请求提取出应用系统标识,确定与应用系统标识对应的分级性能,其中,分级性能为较高级或较低级;
所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较高级时,生成与所述应用系统标识对应的密钥索引号及内部密钥,其中,所述内部密钥包括一存储在密钥存储芯片中的密钥明文;
所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较低级时,生成与所述应用系统标识对应的密钥索引号及外部密钥,其中,所述外部密钥包括一存储在外部存储单元中的密钥密文。
进一步地,所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较高级时,生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为内部密钥类型及密钥编号;
所述密钥管理侧处理器还用于生成并发送内部密钥生成请求至所述密码侧处理器,其中,所述内部密钥生成请求记载有密钥编号;
所述密码侧处理器还用于根据接收的内部密钥生成请求,在密码芯片中生成一密钥明文,将所述密钥明文保存在所述密钥存储芯片中,并保存所述密钥编号与所述密钥明文之间的对应关系。
进一步地,所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较低级时,生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为外部密钥类型及密钥编号;
所述密钥管理侧处理器还用于生成并发送外部密钥生成请求至所述密码侧处理器,所述外部密钥生成请求记载有密钥编号;
所述密码侧处理器还用于根据接收的外部密钥生成请求,在密码芯片中生成一密钥明文,并将所述密钥明文加密成密钥密文,及将所述密钥密文及所述密钥编号作为对所述外部密钥生成请求的响应结果发出;
所述密钥管理侧处理器还用于根据接收的对所述外部密钥生成请求的响应结果,将所述密钥密文保存在外部存储单元,并保存所述密钥编号与所述密钥密文之间的对应关系。
进一步地,所述密钥管理侧处理器还用于从获取的密码销毁接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
所述密钥管理侧处理器还用于在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至所述密码侧处理器;
所述密码侧处理器还用于根据接收到的所述密钥编号,从密钥存储芯片中删除与所述密钥编号对应的密钥明文;并解除所述密钥编号与所述密钥明文之间的对应关系;
所述密钥管理侧处理器还用于在确定所述密钥索引号为外部密钥类型时,从外部存储单元中删除与所述密钥索引号的密钥编号对应的密钥密文,并解除所述密钥编号与所述密钥密文之间的对应关系。
本发明提供的密钥分级管理方法及系统中,密钥管理侧装置利用密码侧装置的密码芯片的加密及解密功能,在大容量的外部存储单元中存储大量的密钥密文,并通过对外部存储单元中存储的密钥密文和密钥存储芯片中存储的密钥明文的分类分级管理,在现有的密钥存储芯片可存储的密钥数量的基础上,极大地扩展了可使用的密钥数量,满足了海量用户不同性能层级的密钥使用需求。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为本发明优选实施方式的密钥分级管理方法的流程示意图;
图2是本发明优选实施方式的密钥分级管理系统的组成示意图;
图3为本发明另一优选实施方式的密钥分级管理系统的组成示意图;
图4为本发明优选实施方式的密钥分级管理方法的密钥生成步骤的示意图;
图5为本发明优选实施方式的密钥分级管理方法的密钥使用步骤的示意图;
图6为本发明优选实施方式的密钥分级管理方法的密钥销毁步骤的示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
加密卡和加密机是常见的密码设备。目前,密码设备向服务端应用系统提供密码服务时,密钥以明文的形式保存在密码设备的密钥存储芯片中;密码运算在密码设备的密码芯片中运行;从而保证了密码设备生成及保存的密钥不得以明文形式出现在密码设备之外,从物理级上将密钥隔离,保证了密钥的安全性。
应该理解为,密码设备设置的密码芯片及密钥存储芯片均为信息安全专用硬件;密码设备采用现有技术中公开的方法实现密钥生成、密钥存储、密钥使用和密钥销毁的全生命周期安全使用规范。
另一方面,作为专用硬件,目前密码设备中密钥存储芯片的存储空间有限,单个密码设备能够提供的密钥数量有限。
本发明实施例的密钥分级管理方法,在保障密钥安全的前提下,基于密码设备为服务端应用系统提供可扩展数量及不同性能的密码服务。
如图1所示,本发明实施例的密钥分级管理方法,包括:
步骤S100:密钥管理侧装置从获取的密码运算接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
步骤S200:密钥管理侧装置在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至密码侧装置;其中,密码侧装置包括密码芯片和密钥存储芯片;
密码侧装置根据接收到的所述密钥编号,从密钥存储芯片中获取与所述密钥编号对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算;
步骤S300:密钥管理侧装置在确定所述密钥索引号记载所述密钥索引号为外部密钥类型时,根据所述密钥索引号的密钥编号从外部存储单元中获取与所述密钥编号对应的密钥密文,将所述密钥密文发送至密码侧装置;
密码侧装置根据接收到的所述密钥密文,在密码芯片中将所述密钥密文解密为对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算。
应该理解为,步骤S100中,密码运算接口调用请求是由服务端应用系统根据其密码运算需求生成的,并发送至密钥管理侧装置的。也即,密钥管理侧装置向服务端应用系统提供密码运算接口,并通过获取密码运算接口调用请求向服务端应用系统提供密码运算服务。
具体地,在密码运算接口调用请求中指定密码运算服务的类型,如利用用户密钥进行签名。密码侧装置在确定了与该请求对应的密钥明文后,在密码芯片中利用密钥明文完成该请求中指定的密码运算。
具体地,密钥管理侧装置与密码侧装置之间具有现有技术中公开的通信接口,如通过密码侧装置对外提供的软件编程接口;经过该通信接口,密钥管理侧装置可以利用密码侧装置的密码芯片的加密及解密功能,在大容量的外部存储单元中存储大量的密钥密文;并通过对外部存储单元中存储的密钥密文(也即密码侧装置的卡外密钥)和密钥存储芯片中存储的密钥明文(也即密码侧装置的卡内密钥)的分类分级管理,在现有的密钥存储芯片可存储的密钥数量的基础上,极大地扩展了可使用的密钥数量,满足了海量用户不同性能层级的密钥使用需求。
使用外部密钥时,根据密钥密文进行密码运算之前,需要先将密钥密文从外部存储单元导入到密码侧装置再进行解密运算;因此,外部密钥比内部密钥多了一个解密运算环节,所以服务端应用系统调用外部密钥进行密码运算比调用内部密钥进行密码运算时需要的处理时间长,实时性能低。
另一方面,密钥管理侧装置管理的密钥根据存储位置分为密码侧装置的存储芯片保存的密钥和密钥管理侧装置的外部存储单元保存的密钥密文;密码侧装置的存储芯片保存的密钥的安全性由密码侧装置的安全机制保障;外部存储单元保存的密钥密文的加密机制由密码侧装置提供,密钥密文本身的安全性由密钥密文所用的加密算法机制和外部存储单元的管理机制保障,该类密钥不会以明文形式出现在密码侧装置之外。
在密钥管理中根据密钥索引号的取值范围和规则为服务端应用系统分配密钥,内部密钥可用于匹配性能需求较高和应用级别较高的服务端应用系统的需求,外部密钥可用于匹配没有特殊需要的服务端应用系统需求。
因此,本发明实施例的密钥分级管理方法提供不同性能层级的密码运算性能和密钥安全性能,可以与不同性能层级的应用需求相匹配,提高了密钥管理的综合效能,拓展了密码侧装置的使用范围和使用场景。
具体地,本发明实施例的密钥分级管理方法,利用密钥索引号对密码侧装置的卡内密钥和卡外密钥进行统一管理,为服务端应用系统提供了大量可扩展的密钥及密码运算性能和密钥安全性能分级的密码服务,具有较大灵活性和可扩展性。
进一步地,在获取密码运算接口调用请求之前,还包括:
步骤S400:密钥管理侧装置从获取的密码分配接口调用请求提取出应用系统标识,确定与应用系统标识对应的分级性能,其中,分级性能为较高级或较低级;
步骤S500:在所述应用系统标识对应的分级性能为较高级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及内部密钥,其中,所述内部密钥包括一存储在密钥存储芯片中的密钥明文;
步骤S600:在所述应用系统标识对应的分级性能为较低级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及外部密钥,其中,所述外部密钥包括一存储在外部存储单元中的密钥密文。
应该理解为,步骤S400中,密码分配接口调用请求是由服务端应用系统根据其密码分配需求生成的,并发送至密钥管理侧装置的。也即,密钥管理侧装置向服务端应用系统提供密码分配接口,并通过获取密码分配接口调用请求向服务端应用系统提供密码分配服务。
具体地,密钥管理侧装置在生成密钥时,为内部密钥和外部密钥统一编制索引号;索引号通过接口参数传递给服务端应用系统或密码侧装置调用;也即,服务端应用系统或密码侧装置通过接口参数中的密钥索引号调用对应的密钥进行密码运算。
从服务端应用系统的角度观察,内部密钥和外部密钥均具有统一编制的密钥索引号,通过接口对密钥索引号的调用是无区别的。
具体实施时,编制统一密钥索引号时,密钥索引号可以采用数字(0,1,2,...);也可以采用字符串如密钥算法与数字的组合(如,SM2_1,SM2_2,SM2_3,...);也可以用在密钥索引号中加入字符标记以区分是内部密钥还是外部密钥,如用前缀字符I表示内部密钥(,如,ISM2_1,ISM2_2,ISM2_3,...);如用前缀字符 E表示外部密钥(,如,ESM2_1,ESM2_2,ESM2_3,...)。
本发明实施例的密钥分级管理方法,利用密钥索引号统一地分配及管理内部密钥和外部密钥,为服务端应用系统提供了大量可扩展的密钥及密码运算性能和密钥安全性能分级的密码服务,具有较大灵活性和可扩展性。
进一步地,所述在所述应用系统标识对应的分级性能为较高级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及内部密钥,包括:
在所述应用系统标识对应的分级性能为较高级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为内部密钥类型及密钥编号;
密钥管理侧装置生成并发送内部密钥生成请求至密码侧装置,所述内部密钥生成请求记载有密钥编号;
密码侧装置根据接收的内部密钥生成请求,在密码芯片中生成一密钥明文,将所述密钥明文保存在所述密钥存储芯片中,并保存所述密钥编号与所述密钥明文之间的对应关系。
本发明实施例的密钥分级管理方法中,内部密钥的密钥明文保存在密钥存储芯片中,密钥编号与密钥明文之间的对应关系保存在密码侧装置中。密钥管理侧装置既不保存也不管理密钥明文或密钥编号与密钥明文之间的对应关系;密钥管理侧装置必须通过密码侧装置才可以使用内部密钥,也即卡内密钥。
进一步地,在所述应用系统标识对应的分级性能为较低级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及外部密钥,包括:
在所述应用系统标识对应的分级性能为较低级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为外部密钥类型及密钥编号;
密钥管理侧装置生成并发送外部密钥生成请求至密码侧装置,所述外部密钥生成请求记载有密钥编号;
密码侧装置根据接收的外部密钥生成请求,在密码芯片中生成一密钥明文,并将所述密钥明文加密成密钥密文,及将所述密钥密文及所述密钥编号作为对所述外部密钥生成请求的响应结果发出;
密钥管理侧装置根据接收的对所述外部密钥生成请求的响应结果,将所述密钥密文保存在外部存储单元,并保存所述密钥编号与所述密钥密文之间的对应关系。
本发明实施例的密钥分级管理方法中,外部密钥的密钥密文保存在外部存储单元,密钥编号与密钥密文之间的对应关系保存在密钥管理侧装置中。密码侧装置既不保存也不管理密钥密文或密钥编号与密钥密文之间的对应关系。但是,密钥管理侧装置必须通过密码侧装置对密钥密文进行解密,并在密码侧装置内完成密码运算。
进一步地,还包括:
步骤S700:密钥管理侧装置从获取的密码销毁接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
步骤S800:密钥管理侧装置在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至密码侧装置;
密码侧装置根据接收到的所述密钥编号,从密钥存储芯片中删除与所述密钥编号对应的密钥明文,并解除所述密钥编号与所述密钥明文之间的对应关系;
步骤S900:密钥管理侧装置在确定所述密钥索引号为外部密钥类型时,从外部存储单元中删除与所述密钥索引号的密钥编号对应的密钥密文,并解除所述密钥编号与所述密钥密文之间的对应关系。
本发明实施例的密钥分级管理方法中,密钥管理侧装置不需要借助密码侧装置就可以直接销毁外部密钥,也即卡外密钥;但是,密钥管理侧装置必须通过密码侧装置才可以销毁内部密钥,也即卡内密钥。
综上,本发明实施例的密钥分级管理方法,包括密钥分配、密钥使用(也即密码运算)和密钥销毁等密钥的全生命周期可以为服务端应用系统提供可扩展数量的密钥;服务端应用系统对于密钥的使用方法是无差别的,扩展后的密钥不会对服务端应用系统原有的密钥使用方法造成影响;扩展的密钥在整个生命周期中不会以明文形式出现在密码侧装置之外,保证了密钥安全。
具体地,密钥管理侧装置管理的密钥根据存储位置分为密码侧装置的存储芯片保存的密钥和外部存储单元保存的密钥密文;密码侧装置的存储芯片保存的密钥的安全性由密码侧装置的安全机制保障;外部存储单元保存的密钥密文的加密机制由密码侧装置提供,密钥密文本身的安全性由密钥密文所用的加密算法机制和外部存储单元的管理机制保障,该类密钥不会以明文形式出现在密码侧装置之外。
密钥管理侧装置为上述两类密钥统一分配指定规则的密钥索引号,可以根据密钥索引号区分两类密钥;上述两类密钥对应的密码运算提供有区别的性能差异,密码侧装置存储芯片保存的密钥提供较高性能的密码运算速度,可用于更高性能需求的服务端应用系统调用。也即,密码侧装置的存储芯片保存的密钥的索引号数量不可扩展;外部存储单元保存的密钥密文的索引号数量可以扩展。
本发明实施例的密钥管理方法,可以在不升级密码侧装置的硬件和不改变服务端应用系统调用接口的情况下,进行密钥数量的扩展,保障原有密钥和扩展后密钥的安全性,满足服务端应用系统不断增长的密钥需求,并且原有密钥和扩展后密钥提供不同的密码运算速度,满足服务端应用系统的不同性能需求。
如图2所示,本发明实施例的密钥分级管理系统,包括:
通信连接的密钥管理侧装置10和密码侧装置20;
密码侧装置20包括密码侧处理器201、密码芯片202和密钥存储芯片203;
密钥管理侧装置10包括密钥管理侧处理器101和外部存储单元102;
所述密钥管理侧处理器用于从获取的密码运算接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
所述密钥管理侧处理器还用于在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至所述密码侧处理器;
所述密码侧处理器用于根据接收到的所述密钥编号,从密钥存储芯片中获取与所述密钥编号对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算;
所述密钥管理侧处理器还用于在确定所述密钥索引号记载所述密钥索引号为外部密钥类型时,根据所述密钥索引号的密钥编号从外部存储单元中获取与所述密钥编号对应的密钥密文,将所述密钥密文发送至所述密码侧处理器;
所述密码侧处理器还用于根据接收到的所述密钥密文,在密码芯片中将所述密钥密文解密为对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算。
进一步地,所述密钥管理侧处理器还用于在获取密码运算接口调用请求之前,从获取的密码分配接口调用请求提取出应用系统标识,确定与应用系统标识对应的分级性能,其中,分级性能为较高级或较低级;
所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较高级时,生成与所述应用系统标识对应的密钥索引号及内部密钥,其中,所述内部密钥包括一存储在密钥存储芯片中的密钥明文;
所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较低级时,生成与所述应用系统标识对应的密钥索引号及外部密钥,其中,所述外部密钥包括一存储在外部存储单元中的密钥密文。
进一步地,所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较高级时,生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为内部密钥类型及密钥编号;
所述密钥管理侧处理器还用于生成并发送内部密钥生成请求至所述密码侧处理器,其中,所述内部密钥生成请求记载有密钥编号;
所述密码侧处理器还用于根据接收的内部密钥生成请求,在密码芯片中生成一密钥明文,将所述密钥明文保存在所述密钥存储芯片中,并保存所述密钥编号与所述密钥明文之间的对应关系。
进一步地,所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较低级时,生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为外部密钥类型及密钥编号;
所述密钥管理侧处理器还用于生成并发送外部密钥生成请求至所述密码侧处理器,所述外部密钥生成请求记载有密钥编号;
所述密码侧处理器还用于根据接收的外部密钥生成请求,在密码芯片中生成一密钥明文,并将所述密钥明文加密成密钥密文,及将所述密钥密文及所述密钥编号作为对所述外部密钥生成请求的响应结果发出;
所述密钥管理侧处理器还用于根据接收的对所述外部密钥生成请求的响应结果,将所述密钥密文保存在外部存储单元,并保存所述密钥编号与所述密钥密文之间的对应关系。
进一步地,所述密钥管理侧处理器还用于从获取的密码销毁接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
所述密钥管理侧处理器还用于在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至所述密码侧处理器;
所述密码侧处理器还用于根据接收到的所述密钥编号,从密钥存储芯片中删除与所述密钥编号对应的密钥明文;并解除所述密钥编号与所述密钥明文之间的对应关系;
所述密钥管理侧处理器还用于在确定所述密钥索引号为外部密钥类型时,从外部存储单元中删除与所述密钥索引号的密钥编号对应的密钥密文,并解除所述密钥编号与所述密钥密文之间的对应关系。
具体实施时,密码侧装置20为软硬件设备,包括用于运行软件代码的密码侧处理器201、密码芯片202和密钥存储芯片203,其中,密码芯片202和密钥存储芯片203分别独立设置,软件代码预先存储在存储单元中,而不是密码芯片202或密钥存储芯片203中;可选地,用于运行软件代码的密码侧处理器201 可以一体化地设置在密码芯片202上。
密钥管理侧装置10为软硬件设备,包括用于运行软件代码的密钥管理侧处理器101和外部存储单元102,其中,软件代码预先存储在存储单元102中或其他的存储单元中。
密钥管理侧装置10的密钥管理侧处理器101运行软件代码,执行相应的密钥管理方法;密码侧装置20的密码侧处理器201运行软件代码,执行相应的密钥管理方法。密钥管理侧装置可以是B/S模式或C/S模式,通过密钥管理侧装置的显示装置上显示浏览器页面或程序页面与密码侧装置20及服务端应用系统通信,实现内部密钥和外部密钥的管理。密码侧装置20可以采用USB接口与密钥管理侧装置10连接。
密钥管理侧处理器101采用现有技术中公开的方法与外部存储单元102连接(如PCI接口、SATA接口等),并采用现有技术中公开的方法访问外部存储单元102。
以下以图3所示的千万级密钥数量的密钥管理系统,对密钥生命周期的整个管理过程,包括密钥索引号取值分配(如图3)、密钥生成(如图4)、密钥使用(如图5)、及密钥销毁(如图6)具体进行说明。
如图3所示,分配密钥索引号时,该密码设备的存储芯片支持的密钥(也即内部密钥)数量是100,并以数字标识各密钥索引号(也即,0-99);通过设置外部存储装置及更新密钥管理方法,该密码管理系统可管理的密钥(包括内部密钥和外部密钥)数量扩展为1千万,其中,外部存储装置存储的密钥(也即外部密钥)数量是9999900个,并以数字标识各密钥索引号(也即,100-1 千万)。
如图4所示,密钥生成步骤包括:
步骤41:收到指定有密钥索引号的密钥生成调用;
步骤42:确定密钥生成调用中指定的密钥索引号的数值大小;若落在取值范围(0-99)内,则为内部密钥,跳转到步骤43;若落在取值范围(100-1千万)内,则为外部密钥,则跳转步骤44;若密钥索引号不在以上取值范围内,则出错返回;
步骤43:调用密码设备接口,并将密钥索引号作为接口参数;
密码设备在其密码芯片中生成与指定的密钥索引号对应的密钥明文,并将密钥明文保存在密码设备的存储芯片中;向密码设备接口返回密钥生成调用结果(也即,密钥生成成功,或密钥生成失败);
步骤44:调用密码设备接口,并将密钥索引号作为接口参数;
密码设备在其密码芯片中生成与指定的密钥索引号对应的密钥明文并在加密后生成密钥密文;
步骤45:将通过密码设备接口调用接收到的密钥密文保存在外部存储单元 (如硬盘,PCI或SaTa接口的硬盘或硬盘阵列);向密码设备接口返回密钥生成调用结果(也即,密钥生成成功,或密钥生成失败);
如图5所示,密钥使用步骤,包括:
步骤51:收到指定有密钥索引号的密码运算调用和待运算的数据;
步骤52:确定密钥索引号的数值大小;若落在取值范围(0-99)内,则跳转步骤53;若落在取值范围(100-1千万)内,则跳转步骤54;若密钥索引号不在以上取值范围内,则出错返回;
步骤53:调用密码设备接口,并将密钥索引号和待运算的数据作为接口参数;
密码设备根据指定的密钥索引号,从其存储芯片中取出对应的密钥明文,并在其密码芯片中使用该密钥对数据进行密码运算,并返回运算结果(也即运算后的数据),作为对密码运算调用的响应结果;
步骤54:根据指定的密钥索引号,从外部存储单元取出对应的密钥密文;
步骤55:调用密码设备接口,并将密钥索引号、密钥密文和待运算的数据作为接口参数;
密码设备在其密码芯片中,对密钥密文进行解密得到对应的密钥明文,再使用该密钥对数据进行密码运算,并返回运算结果(也即运算后的数据),作为对密码运算调用的响应结果;
如图6所示,密钥销毁步骤包括:
步骤61:收到指定有密钥索引号的密码销毁调用;
步骤62:确定密钥索引号的数值大小;若落在取值范围(0-99)内,则跳转步骤63;若落在取值范围(100-1千万)内,则跳转步骤64;若密钥索引号不在以上取值范围内,则出错返回;
步骤63:调用密码设备接口,并将密钥索引号作为接口参数;
密码设备根据指定的密钥索引号,从其存储芯片中销毁对应的密钥明文,并将对应密钥索引号置为空;向密码设备接口返回密钥销毁调用结果(也即,密钥销毁成功,或密钥销毁失败);
步骤64:根据指定的密钥索引号,从外部存储单元查找指定索引号的密钥密文并删除;并将对应密钥索引号置为空;向密码销毁调用返回密钥销毁调用结果(也即,密钥销毁成功,或密钥销毁失败)。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储芯片、 CD-ROM、光学存储芯片等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/ 或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储芯片中,使得存储在该计算机可读存储芯片中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个//该[装置、组件等]”都被开放地解释为装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (10)
1.一种密钥分级管理方法,包括:
密钥管理侧装置从获取的密码运算接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
密钥管理侧装置在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至密码侧装置;其中,密码侧装置包括密码芯片和密钥存储芯片;
密码侧装置根据接收到的所述密钥编号,从密钥存储芯片中获取与所述密钥编号对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算;
密钥管理侧装置在确定所述密钥索引号记载所述密钥索引号为外部密钥类型时,根据所述密钥索引号的密钥编号从外部存储单元中获取与所述密钥编号对应的密钥密文,将所述密钥密文发送至密码侧装置;
密码侧装置根据接收到的所述密钥密文,在密码芯片中将所述密钥密文解密为对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算。
2.根据权利要求1所述的方法,其特征在于,在获取密码运算接口调用请求之前,还包括:
密钥管理侧装置从获取的密码分配接口调用请求提取出应用系统标识,确定与应用系统标识对应的分级性能,其中,分级性能为较高级或较低级;
在所述应用系统标识对应的分级性能为较高级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及内部密钥,其中,所述内部密钥包括一存储在密钥存储芯片中的密钥明文;
在所述应用系统标识对应的分级性能为较低级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及外部密钥,其中,所述外部密钥包括一存储在外部存储单元中的密钥密文。
3.根据权利要求2所述的方法,其特征在于,
所述在所述应用系统标识对应的分级性能为较高级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及内部密钥,包括:
在所述应用系统标识对应的分级性能为较高级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为内部密钥类型及密钥编号;
密钥管理侧装置生成并发送内部密钥生成请求至密码侧装置,所述内部密钥生成请求记载有密钥编号;
密码侧装置根据接收的内部密钥生成请求,在密码芯片中生成一密钥明文,将所述密钥明文保存在所述密钥存储芯片中,并保存所述密钥编号与所述密钥明文之间的对应关系。
4.根据权利要求2所述的方法,其特征在于,
在所述应用系统标识对应的分级性能为较低级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及外部密钥,包括:
在所述应用系统标识对应的分级性能为较低级时,密钥管理侧装置生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为外部密钥类型及密钥编号;
密钥管理侧装置生成并发送外部密钥生成请求至密码侧装置,所述外部密钥生成请求记载有密钥编号;
密码侧装置根据接收的外部密钥生成请求,在密码芯片中生成一密钥明文,并将所述密钥明文加密成密钥密文,及将所述密钥密文及所述密钥编号作为对所述外部密钥生成请求的响应结果发出;
密钥管理侧装置根据接收的对所述外部密钥生成请求的响应结果,将所述密钥密文保存在外部存储单元,并保存所述密钥编号与所述密钥密文之间的对应关系。
5.根据权利要求3所述的方法,其特征在于,还包括:
密钥管理侧装置从获取的密码销毁接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
密钥管理侧装置在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至密码侧装置;
密码侧装置根据接收到的所述密钥编号,从密钥存储芯片中删除与所述密钥编号对应的密钥明文,并解除所述密钥编号与所述密钥明文之间的对应关系;
密钥管理侧装置在确定所述密钥索引号为外部密钥类型时,从外部存储单元中删除与所述密钥索引号的密钥编号对应的密钥密文,并解除所述密钥编号与所述密钥密文之间的对应关系。
6.一种密钥分级管理系统,包括:
通信连接的密钥管理侧装置和密码侧装置;
密码侧装置包括密码侧处理器、密码芯片和密钥存储芯片;
密钥管理侧装置包括密钥管理侧处理器和外部存储单元;
所述密钥管理侧处理器用于从获取的密码运算接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
所述密钥管理侧处理器还用于在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至所述密码侧处理器;
所述密码侧处理器用于根据接收到的所述密钥编号,从密钥存储芯片中获取与所述密钥编号对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算;
所述密钥管理侧处理器还用于在确定所述密钥索引号记载所述密钥索引号为外部密钥类型时,根据所述密钥索引号的密钥编号从外部存储单元中获取与所述密钥编号对应的密钥密文,将所述密钥密文发送至所述密码侧处理器;
所述密码侧处理器还用于根据接收到的所述密钥密文,在密码芯片中将所述密钥密文解密为对应的密钥明文;在获取到密码运算接口调用请求中指定的密码运算后,在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算。
7.根据权利要求6所述的系统,其特征在于,
所述密钥管理侧处理器还用于在获取密码运算接口调用请求之前,从获取的密码分配接口调用请求提取出应用系统标识,确定与应用系统标识对应的分级性能,其中,分级性能为较高级或较低级;
所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较高级时,生成与所述应用系统标识对应的密钥索引号及内部密钥,其中,所述内部密钥包括一存储在密钥存储芯片中的密钥明文;
所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较低级时,生成与所述应用系统标识对应的密钥索引号及外部密钥,其中,所述外部密钥包括一存储在外部存储单元中的密钥密文。
8.根据权利要求7所述的系统,其特征在于,
所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较高级时,生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为内部密钥类型及密钥编号;
所述密钥管理侧处理器还用于生成并发送内部密钥生成请求至所述密码侧处理器,其中,所述内部密钥生成请求记载有密钥编号;
所述密码侧处理器还用于根据接收的内部密钥生成请求,在密码芯片中生成一密钥明文,将所述密钥明文保存在所述密钥存储芯片中,并保存所述密钥编号与所述密钥明文之间的对应关系。
9.根据权利要求7所述的系统,其特征在于,
所述密钥管理侧处理器还用于在所述应用系统标识对应的分级性能为较低级时,生成与所述应用系统标识对应的密钥索引号,所述密钥索引号用于记载所述密钥索引号为外部密钥类型及密钥编号;
所述密钥管理侧处理器还用于生成并发送外部密钥生成请求至所述密码侧处理器,所述外部密钥生成请求记载有密钥编号;
所述密码侧处理器还用于根据接收的外部密钥生成请求,在密码芯片中生成一密钥明文,并将所述密钥明文加密成密钥密文,及将所述密钥密文及所述密钥编号作为对所述外部密钥生成请求的响应结果发出;
所述密钥管理侧处理器还用于根据接收的对所述外部密钥生成请求的响应结果,将所述密钥密文保存在外部存储单元,并保存所述密钥编号与所述密钥密文之间的对应关系。
10.根据权利要求6所述的系统,其特征在于,
所述密钥管理侧处理器还用于从获取的密码销毁接口调用请求中提取出应用系统标识,确定与应用系统标识对应的密钥索引号;
所述密钥管理侧处理器还用于在确定所述密钥索引号为内部密钥类型时,将所述密钥索引号的密钥编号发送至所述密码侧处理器;
所述密码侧处理器还用于根据接收到的所述密钥编号,从密钥存储芯片中删除与所述密钥编号对应的密钥明文;并解除所述密钥编号与所述密钥明文之间的对应关系;
所述密钥管理侧处理器还用于在确定所述密钥索引号为外部密钥类型时,从外部存储单元中删除与所述密钥索引号的密钥编号对应的密钥密文,并解除所述密钥编号与所述密钥密文之间的对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011060523.7A CN112311536B (zh) | 2020-09-30 | 2020-09-30 | 密钥分级管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011060523.7A CN112311536B (zh) | 2020-09-30 | 2020-09-30 | 密钥分级管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112311536A true CN112311536A (zh) | 2021-02-02 |
| CN112311536B CN112311536B (zh) | 2023-01-10 |
Family
ID=74489550
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011060523.7A Active CN112311536B (zh) | 2020-09-30 | 2020-09-30 | 密钥分级管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112311536B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208560A (zh) * | 2022-06-01 | 2022-10-18 | 北京握奇智能科技有限公司 | 一种密钥管理方法和系统 |
| CN117353921A (zh) * | 2023-12-06 | 2024-01-05 | 飞腾信息技术有限公司 | 密钥管理方法、装置、计算设备及计算机可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101430668A (zh) * | 2004-02-12 | 2009-05-13 | 耶德托存取公司 | 用于外部数据存储的方法与系统 |
| US20110087890A1 (en) * | 2009-10-09 | 2011-04-14 | Lsi Corporation | Interlocking plain text passwords to data encryption keys |
| CN102571326A (zh) * | 2010-12-09 | 2012-07-11 | 上海华虹集成电路有限责任公司 | 分级管理模式密钥管理系统的安全性测试方法 |
| CN106453273A (zh) * | 2016-09-22 | 2017-02-22 | 西安莫贝克半导体科技有限公司 | 一种基于云技术的信息保险管理系统和方法 |
-
2020
- 2020-09-30 CN CN202011060523.7A patent/CN112311536B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101430668A (zh) * | 2004-02-12 | 2009-05-13 | 耶德托存取公司 | 用于外部数据存储的方法与系统 |
| US20110087890A1 (en) * | 2009-10-09 | 2011-04-14 | Lsi Corporation | Interlocking plain text passwords to data encryption keys |
| CN102571326A (zh) * | 2010-12-09 | 2012-07-11 | 上海华虹集成电路有限责任公司 | 分级管理模式密钥管理系统的安全性测试方法 |
| CN106453273A (zh) * | 2016-09-22 | 2017-02-22 | 西安莫贝克半导体科技有限公司 | 一种基于云技术的信息保险管理系统和方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208560A (zh) * | 2022-06-01 | 2022-10-18 | 北京握奇智能科技有限公司 | 一种密钥管理方法和系统 |
| CN117353921A (zh) * | 2023-12-06 | 2024-01-05 | 飞腾信息技术有限公司 | 密钥管理方法、装置、计算设备及计算机可读存储介质 |
| CN117353921B (zh) * | 2023-12-06 | 2024-02-13 | 飞腾信息技术有限公司 | 密钥管理方法、装置、计算设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112311536B (zh) | 2023-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI750223B (zh) | 區塊鏈加密射頻晶片存儲設計方法 | |
| CN109033855B (zh) | 一种基于区块链的数据传输方法、装置及存储介质 | |
| CN109040090B (zh) | 一种数据加密方法及装置 | |
| EP1561299B1 (en) | Device keys | |
| KR20190018869A (ko) | 블록체인 기반의 스토리지 서비스 제공 시스템 및 방법 | |
| CN103366132A (zh) | 用于加密数据的设备和方法 | |
| US10027639B2 (en) | IC chip performing access control based on encrypted ID | |
| CN112311536B (zh) | 密钥分级管理方法及系统 | |
| CN113536362B (zh) | 一种基于安全芯片载体的量子密钥管理方法及系统 | |
| CN114640523B (zh) | 一种计算机数据安全加密方法及系统 | |
| CN1322431C (zh) | 基于对称密钥加密保存和检索数据 | |
| CN110221990B (zh) | 数据的存储方法及装置、存储介质、计算机设备 | |
| CN117240625B (zh) | 一种涉及防篡改的数据处理方法、装置及电子设备 | |
| CN116455572B (zh) | 数据加密方法、装置及设备 | |
| CN113722741A (zh) | 数据加密方法及装置、数据解密方法及装置 | |
| JP2002539545A (ja) | 匿名化の方法 | |
| JPH10271107A (ja) | データ暗号化方法及び装置 | |
| CN109598137B (zh) | 一种用于安全处理数据的方法及其系统 | |
| CN112099901B (zh) | 配置虚拟机内存数据加密方式的方法、装置及cpu芯片 | |
| CN115941279A (zh) | 数据中用户标识的加解密方法、系统及设备 | |
| CN100486157C (zh) | 一种分布式数据加密方法 | |
| CN112580061B (zh) | 一种量子加解密应用接口的调用方法及相关设备 | |
| JP2002290395A (ja) | 情報端末装置 | |
| CN111565104B (zh) | 一种刷卡器的密钥管理方法及系统 | |
| US20110288976A1 (en) | Total computer security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |