CN112653552B - 采用分组方式的密钥管理系统和方法 - Google Patents
采用分组方式的密钥管理系统和方法 Download PDFInfo
- Publication number
- CN112653552B CN112653552B CN202011321631.5A CN202011321631A CN112653552B CN 112653552 B CN112653552 B CN 112653552B CN 202011321631 A CN202011321631 A CN 202011321631A CN 112653552 B CN112653552 B CN 112653552B
- Authority
- CN
- China
- Prior art keywords
- key
- grouping
- group
- keys
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种采用分组方式的密钥管理系统和方法,系统包括密钥分组管理模块;密钥分组管理模块用于管理和配置不同的密钥分组,每个密钥分组分别对应预设数量的客户端,每个密钥分组配置和管理有与所对应的客户端相应的预设数量个密钥;密钥的密钥关键信息一旦发生变化,则修改对应的密钥分组的密钥分组版本号,每个客户端中保存有对应的密钥分组的密钥分组版本号。通过本发明的技术方案,提升了心跳检测的高效性,保证了密钥分发和推送的安全性。
Description
技术领域
本发明涉及密钥管理技术领域,尤其涉及一种采用分组方式的密钥管理系统和一种采用分组方式的密钥管理方法。
背景技术
信息安全性在当前企业品牌影响力影响巨大,而且随着相关法律法规、安全等保条例发布,信息加密、脱敏势在必行。企业信息化进程中,应用架构越来越复杂、应用种类、开发语言、部署环境差异化,带来了密钥管理、替换的挑战。
但在现有技术中,当前常见的密钥替换还有较多不足之处,比如:
(1)服务端的密钥信息变更后无法以合适的粒度推送给客户端。要么全部同步,要么单个高频同步;
(2)密钥的分发和推送无法最小化授权(信息安全三原则之首即最小化原则),从而无法保证密钥使用的安全性。
总之,在传统密钥管理系统中,会面临客户端如何适量\高效获取服务端的配置;面临管理大量密钥的时候的管理问题;面临密钥暴露的安全原则等问题。
发明内容
针对上述问题,本发明提供了一种采用分组方式的密钥管理系统和方法,通过对各客户端的密钥进行分配,以密钥分组对密钥进行配置和管理,形成密钥—密钥分组—客户端的配置关系。通过这种分组方式,在利用心跳技术进行密钥检测时,单次心跳只对密钥分组内的密钥进行检测,提升了心跳检测的高效性,此外,密钥分组管理模块根据客户端归属的密钥分组进行密钥转发,其最小暴露原则保证了密钥分发和推送的安全性。
为实现上述目的,本发明提供了一种采用分组方式的密钥管理系统,包括密钥分组管理模块;所述密钥分组管理模块用于管理和配置不同的密钥分组,每个所述密钥分组分别对应预设数量的客户端,每个所述密钥分组配置和管理有与所对应的客户端相应的预设数量个密钥;所述密钥的密钥关键信息一旦发生变化,则修改对应的所述密钥分组的密钥分组版本号,每个所述客户端中保存有对应的所述密钥分组的所述密钥分组版本号。
在上述技术方案中,优选地,所述密钥分组管理模块采用CS架构下的短轮询心跳机制,实现所述客户端与所述密钥分组之间的通信。
在上述技术方案中,优选地,每个所述密钥分组对应配置有不同业务逻辑因子维度客户端的密钥。
本发明还提出一种采用分组方式的密钥管理方法,应用于上述技术方案中任一项所述的采用分组方式的密钥管理系统,包括:构建密钥分组,每个所述密钥分组分别对应预设数量的客户端,每个所述密钥分组分别预设配置和管理有与所对应的客户端相应的预设数量个密钥;通过心跳机制获取所述密钥分组的密钥分组版本号;将获取的所述密钥分组的密钥分组版本号与对应客户端中的密钥分组版本号进行比对,若不一致,则获取所述密钥分组的所有密钥的版本信息;根据所述密钥分组的所有密钥的版本信息,重新写入对应客户端的分组密钥信息。
在上述技术方案中,优选地,判断通过心跳机制获取所述密钥分组的密钥分组版本号过程是否超时,若超出预设时间则重新发起心跳,若未超时则将获取到的密钥分组版本号与所述客户端中的密钥分组版本号进行比对;判断获取所述密钥分组的所有密钥的版本信息过程是否超时,若超出预设时间则重新发起心跳,若未超时则重新写入对应客户端的分组密钥信息,并发起下一次心跳。
在上述技术方案中,优选地,所述密钥分组管理模块采用CS架构下的短轮询心跳机制,实现所述客户端与所述密钥分组之间的通信。
在上述技术方案中,优选地,所述密钥分组根据不同业务逻辑因子维度进行构建,每个所述密钥分组均包括不同业务逻辑因子维度的密钥,所述不同业务逻辑因子维度包括系统中心、应用、厂商、数据机房、集群、租户、应用和灰度环境。
与现有技术相比,本发明的有益效果为:通过对各客户端的密钥进行分配,以密钥分组对密钥进行配置和管理,形成密钥—密钥分组—客户端的配置关系。通过这种分组方式,在利用心跳技术进行密钥检测时,单次心跳只对密钥分组内的密钥进行检测,提升了心跳检测的高效性,此外,密钥分组管理模块根据客户端归属的密钥分组进行密钥转发,其最小暴露原则保证了密钥分发和推送的安全性。
附图说明
图1为本发明一种实施例公开的采用分组方式的密钥管理系统的逻辑示意图;
图2为本发明一种实施例公开的采用分组方式的密钥管理方法的流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明做进一步的详细描述:
如图1所示,根据本发明提供的一种采用分组方式的密钥管理系统,包括密钥分组管理模块;密钥分组管理模块用于管理和配置不同的密钥分组,每个密钥分组分别对应预设数量的客户端,每个密钥分组配置和管理有与所对应的客户端相应的预设数量个密钥;密钥的密钥关键信息一旦发生变化,则修改对应的密钥分组的密钥分组版本号,每个客户端中保存有对应的密钥分组的密钥分组版本号。
在该实施例中,通过对各客户端的密钥进行分配,以密钥分组对密钥进行配置和管理,形成密钥—密钥分组—客户端的配置关系。通过这种分组方式,在利用心跳技术进行密钥检测时,单次心跳只对密钥分组内的密钥进行检测,提升了心跳检测的高效性,此外,密钥分组管理模块根据客户端归属的密钥分组进行密钥转发,其最小暴露原则保证了密钥分发和推送的安全性。
具体地,由于心跳技术检测内容的局限性,不可能同时比对成千上万的最小粒度的密钥版本变化,因此为追求CS心跳检测的高效性,本发明对密钥进行分组,每个分组内的密钥的数量一般处于适量的中等数量,既不会很多,导致分组版本的频繁变化;也不会很少,导致分组数量很大,从而导致CS心跳检测版本量过大。在这种分组管理模式下,基于最小暴露原则,密钥分组管理模块可管控发送至不同客户端的密钥是否一样,是根据前期客户端所归属分组进行指定分发,即密钥不会滥发至所有客户端,保证了密钥分发管理的安全性。
其中,如图1所示,一个分组可以由(1,n)个系统/中心组成,同时,在配置客户端或申请客户端的时候,必须有配置所归属的分组,这样就把“密钥—分组—客户端”串联打通了,三者之间的关系为:一个分组内有多个密钥,一个密钥只能隶属于一个分组;一个分组对应多个客户端机器,一个客户端可对应多个分组或一个分组。当密钥变化,通知密钥分组变化,进而同步给密钥分组对应的所有的客户端。
在上述实施例中,优选地,密钥分组管理模块采用CS架构下的短轮询心跳机制,实现客户端与密钥分组之间的通信。具体地,短轮询的心跳时间的影响因素包括:
(1)一个客户端单位时间t内消耗服务端的连接数N;
假设密钥组在单位时间t内发生通信的概率次数为P(a),则N=t/i+P(a);
(2)有多少个客户端;设为m;
(3)集群中每个客户端的起步时间是否同步。
在满足需求的前提下,N越小越好,m也越小越好,目的是为了减轻服务端连接资源的占用。在一般P(a)也较低的情况下,心跳时间i的设置和客户端数量m成正比。同时,要注意避开集群中每个客户端发起心跳起步的时间,避免同时共振。
在上述实施例中,优选地,每个密钥分组对应配置有不同业务逻辑因子维度客户端的密钥,不同业务逻辑因子维度包括系统中心、应用、厂商、数据机房、集群、租户、应用和灰度环境。
具体地,密钥分组的配置原则一般是按业务安全实际需求而来,密钥的分组是逻辑上的概念,要本着最小化、涉及谁包括谁的分配原则而用。例如,在电信BSS领域常见的分组举例有:
(1)“AB分组”--“A系统/中心、B系统/中心”【按中心】,用以AB之间经常加解密通信;
(2)“客户关键数据加密分组”--“客户中心”【按中心】,用以存储客户关键信息的加密存储,如客户证件号码、地址、客户联系方式等;
(3)“开户缴费密钥组”--“crm10001开户、hb20001缴费”【按应用】,用以管理开户过程中和计费交互的密钥;
(4)“思特奇-华为分组”--“思特奇、华为”【按厂商】,用以管理两个厂商之间的加密通信密钥,等等。
此外,还可按照数据机房、集群、租户、灰度环境等维度进行分组,也可以组合维度进行分组。
如图2所示,本发明还提出一种采用分组方式的密钥管理方法,应用于上述实施例中任一项的采用分组方式的密钥管理系统,包括:构建密钥分组,每个密钥分组分别对应预设数量的客户端,每个密钥分组分别预设配置和管理有与所对应的客户端相应的预设数量个密钥;通过心跳机制获取密钥分组的密钥分组版本号;将获取的密钥分组的密钥分组版本号与对应客户端中的密钥分组版本号进行比对,若不一致,则获取密钥分组的所有密钥的版本信息;根据密钥分组的所有密钥的版本信息,重新写入对应客户端的分组密钥信息。
具体地,该实施例中的采用分组方式的密钥管理方法应用于上述实施例的密钥管理系统,通过对各客户端的密钥进行分配,以密钥分组对密钥进行配置和管理,形成密钥—密钥分组—客户端的配置关系。通过这种分组方式,在利用心跳技术进行密钥检测时,单次心跳只对密钥分组内的密钥进行检测,提升了心跳检测的高效性,此外,密钥分组管理模块根据客户端归属的密钥分组进行密钥转发,其最小暴露原则保证了密钥分发和推送的安全性。
在上述实施例中,优选地,判断通过心跳机制获取密钥分组的密钥分组版本号过程是否超时,若超出预设时间则重新发起心跳,若未超时则将获取到的密钥分组版本号与客户端中的密钥分组版本号进行比对;判断获取密钥分组的所有密钥的版本信息过程是否超时,若超出预设时间则重新发起心跳,若未超时则重新写入对应客户端的分组密钥信息,并发起下一次心跳。
具体地,由于心跳技术检测内容的局限性,不可能同时比对成千上万的最小粒度的密钥版本变化,因此为追求CS心跳检测的高效性,本发明对密钥进行分组,每个分组内的密钥的数量一般处于适量的中等数量,既不会很多,导致分组版本的频繁变化;也不会很少,导致分组数量很大,从而导致CS心跳检测版本量过大。在这种分组管理模式下,基于最小暴露原则,密钥分组管理模块可管控发送至不同客户端的密钥是否一样,是根据前期客户端所归属分组进行指定分发,即密钥不会滥发至所有客户端,保证了密钥分发管理的安全性。
在上述实施例中,优选地,密钥分组管理模块采用CS架构下的短轮询心跳机制,实现客户端与密钥分组之间的通信。短轮询机制能够降低心跳技术的心跳时间,以CS架构下的最小通信间隔时间保证实时性,最少通信以保证通信效率和有效检测,减轻了服务器端连接资源的占用。
在上述实施例中,优选地,密钥分组根据不同业务逻辑因子维度进行构建,每个密钥分组均包括不同业务逻辑因子维度的密钥,不同业务逻辑因子维度包括系统中心、应用、厂商、数据机房、集群、租户、应用和灰度环境。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种采用分组方式的密钥管理系统,其特征在于,包括密钥分组管理模块;
所述密钥分组管理模块用于管理和配置不同的密钥分组,每个所述密钥分组分别对应预设数量的客户端,每个所述密钥分组配置和管理有与所对应的客户端相应的预设数量个密钥;
所述密钥的密钥关键信息一旦发生变化,则修改对应的所述密钥分组的密钥分组版本号,每个所述客户端中保存有对应的所述密钥分组的所述密钥分组版本号。
2.根据权利要求1所述的采用分组方式的密钥管理系统,其特征在于,所述密钥分组管理模块采用CS架构下的短轮询心跳机制,实现所述客户端与所述密钥分组之间的通信。
3.根据权利要求1所述的采用分组方式的密钥管理系统,其特征在于,每个所述密钥分组对应配置有不同业务逻辑因子维度客户端的密钥。
4.一种采用分组方式的密钥管理方法,应用于权利要求1至3中任一项所述的采用分组方式的密钥管理系统,其特征在于,包括:
构建密钥分组,每个所述密钥分组分别对应预设数量的客户端,每个所述密钥分组分别预设配置和管理有与所对应的客户端相应的预设数量个密钥;
通过心跳机制获取所述密钥分组的密钥分组版本号;
将获取的所述密钥分组的密钥分组版本号与对应客户端中的密钥分组版本号进行比对,若不一致,则获取所述密钥分组的所有密钥的版本信息;
根据所述密钥分组的所有密钥的版本信息,重新写入对应客户端的分组密钥信息。
5.根据权利要求4所述的采用分组方式的密钥管理方法,其特征在于,判断通过心跳机制获取所述密钥分组的密钥分组版本号过程是否超时,若超出预设时间则重新发起心跳,若未超时则将获取到的密钥分组版本号与所述客户端中的密钥分组版本号进行比对;
判断获取所述密钥分组的所有密钥的版本信息过程是否超时,若超出预设时间则重新发起心跳,若未超时则重新写入对应客户端的分组密钥信息,并发起下一次心跳。
6.根据权利要求4所述的采用分组方式的密钥管理方法,其特征在于,所述密钥分组管理模块采用CS架构下的短轮询心跳机制,实现所述客户端与所述密钥分组之间的通信。
7.根据权利要求4所述的采用分组方式的密钥管理方法,其特征在于,所述密钥分组根据不同业务逻辑因子维度进行构建,每个所述密钥分组均包括不同业务逻辑因子维度的密钥,所述不同业务逻辑因子维度包括系统中心、应用、厂商、数据机房、集群和租户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011321631.5A CN112653552B (zh) | 2020-11-23 | 2020-11-23 | 采用分组方式的密钥管理系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011321631.5A CN112653552B (zh) | 2020-11-23 | 2020-11-23 | 采用分组方式的密钥管理系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112653552A CN112653552A (zh) | 2021-04-13 |
| CN112653552B true CN112653552B (zh) | 2023-01-10 |
Family
ID=75349323
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011321631.5A Active CN112653552B (zh) | 2020-11-23 | 2020-11-23 | 采用分组方式的密钥管理系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112653552B (zh) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136742B (zh) * | 2007-04-09 | 2011-01-19 | 中兴通讯股份有限公司 | 群组密钥同步、更新、及校验方法 |
| CN101511082B (zh) * | 2008-02-15 | 2011-01-05 | 中国移动通信集团公司 | 组密钥的更新方法、设备及系统 |
| US8391492B1 (en) * | 2008-06-25 | 2013-03-05 | Cisco Technology, Inc. | Secure resource reservation protocol (RSVP) with dynamic group keying |
| KR101808188B1 (ko) * | 2011-07-04 | 2017-12-13 | 삼성전자주식회사 | 이동 기기에 대한 그룹 키 관리를 위한 방법 및 장치 |
| CN102238183B (zh) * | 2011-07-07 | 2014-04-09 | 广州杰赛科技股份有限公司 | 一种系统客户密钥分发及验证方法 |
| CN107395348B (zh) * | 2017-08-14 | 2021-05-14 | 华南理工大学 | 一种密钥分组散乱管理的方法及装置 |
-
2020
- 2020-11-23 CN CN202011321631.5A patent/CN112653552B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112653552A (zh) | 2021-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7818370B2 (en) | Event server using clustering | |
| US9485202B2 (en) | Alerting recipients to errors occurring when accessing external services | |
| US20070088825A1 (en) | System and method of distributed license management | |
| CN112154434A (zh) | 区块链上智能合约组的自动数据投影 | |
| CN105119966A (zh) | 一种公众号管理方法及装置 | |
| CN113806786B (zh) | 一种软件授权管理方法、系统、设备及存储介质 | |
| US20170278070A1 (en) | Content access based on location or time | |
| US20150032710A1 (en) | Method Of Communicating Changes In A Main Database To A Client Application | |
| CN116760705A (zh) | 基于综合能源管理系统的多租户平台隔离管理系统及方法 | |
| CN109583615B (zh) | 会议室的预订方法、系统及服务器、计算机可读存储介质 | |
| US20080028075A1 (en) | Method and system to generate execution-based scheduling signature for an application | |
| CN112653552B (zh) | 采用分组方式的密钥管理系统和方法 | |
| CN109885431A (zh) | 用于备份数据的方法和装置 | |
| CN108121730B (zh) | 一种将数据更新快速同步到业务系统的装置及方法 | |
| CN115964436A (zh) | 一种数据库集群管理的方法和装置 | |
| US11818264B2 (en) | Zero-knowledge key escrow | |
| CN108989418A (zh) | 一种混合云对象存储通用认证的资源额度方法 | |
| US11271920B2 (en) | Method and system for account security of recycled phone numbers | |
| CN110311949A (zh) | 一种跨云管理平台的资源管理方法 | |
| CN110572430A (zh) | 一种基于定时任务的身份数据同步系统及方法 | |
| CN115801833B (zh) | 一种企业级公有云资源管理方法及系统 | |
| US20230291589A1 (en) | Integration of oem endpoint management and unified endpoint management | |
| CN116361016B (zh) | 一种网络控制器消息处理方法、系统 | |
| CN114860390B (zh) | 容器数据管理方法、装置、程序产品、介质及电子设备 | |
| Lakshmanan et al. | A secure and highly available distributed store for meeting diverse data storage needs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |