CN112839013A - 一种密钥传输方法、装置及计算机可读存储介质 - Google Patents
一种密钥传输方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112839013A CN112839013A CN201911158901.2A CN201911158901A CN112839013A CN 112839013 A CN112839013 A CN 112839013A CN 201911158901 A CN201911158901 A CN 201911158901A CN 112839013 A CN112839013 A CN 112839013A
- Authority
- CN
- China
- Prior art keywords
- key
- client
- file
- encrypted file
- kms server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0625—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种密钥传输方法、装置及计算机可读存储介质,用于解决现有技术中KMS服务端在与客户端交互的过程中,解密后的密钥是以明文的形式传输导致数据安全性低的问题。其中方法包括:KMS服务端响应于第一客户端发送的第一请求,使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥;所述KMS服务端使用预先和所述第一客户端协商好的第一协商密钥对所述第一文件密钥进行加密,生成第二加密文件密钥;所述KMS服务端将所述第二加密文件密钥返回给所述第一客户端。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种密钥传输方法、装置及计算机可读存储介质。
背景技术
密钥管理系统(英文:hadoop key management server,简称:KMS)可以运行在分布式文件系统(英文:hadoop fistributed file system,简称:HDFS)上,用于对密钥的创建、加密、解密等进行管理,其中运行有KMS系统的HDFS系统可以被称为KMS服务端。当客户端读取HDFS系统中数据或者向HDFS系统存数据时,KMS服务端需要将加密的文件密钥进行解密,然后将解密后文件密钥以明文的方式返回给客户端,以使客户端可以使用该文件密钥对文件进行解密或者加密。
由此可见,现有技术中KMS服务端在与客户端交互的过程中,解密后的密钥是以明文的形式传输的,导致密钥传输安全性低,从而导致数据的安全性低。
发明内容
本发明实施例提供一种密钥传输方法、装置及存储介质,用于解决现有技术中KMS服务端在与客户端交互的过程中,解密后的密钥是以明文的形式传输导致数据安全性低的问题。
第一方面,本发明实施例提供一种密钥传输方法,应用于密钥管理系统KMS服务端,所述KMS服务端包含有至少一个加密区,所述至少一个加密区和至少一个客户端一一对应,每个客户端在其对应的加密区中进行文件的读/写操作,每个加密区关联一个区密钥;
所述方法包括:
所述KMS服务端响应于第一客户端发送的第一请求,使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥;其中,所述第一请求中包含所述第一加密文件密钥,所述第一请求用于请求所述KMS服务端对所述第一加密文件密钥进行解密,所述第一加密文件密钥为所述KMS服务端采用所述第一区密钥对所述第一文件密钥加密后生成的加密文件密钥,所述第一区密钥为所述第一客户端对应的第一加密区所关联的区密钥;
所述KMS服务端使用预先和所述第一客户端协商好的第一协商密钥对所述第一文件密钥进行加密,生成第二加密文件密钥;
所述KMS服务端将所述第二加密文件密钥返回给所述第一客户端,以使所述第一客户端使用所述第一协商密钥对所述第二加密文件密钥进行解密获得所述第一文件密钥,并使用所述第一文件密钥对文件进行加密/解密。
本发明实施例中,第一客户端向KMS服务端发送第一请求,KMS服务端响应于第一客户端发送的第一请求,再使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥后,KMS服务端使用预先与客户端协商好的协商密钥将第一文件密钥加密获得第二加密文件密钥,再将第二加密文件密钥返回给第一客户端,这样,客户端就可以在本地使用协商好的密钥对第二加密文件密钥进行解密,获得第一文件密钥并对文件进行加密或解密,该方法KMS服务端通过协商密钥对第一文件密钥进行转加密,以此避免第一文件密钥在KMS服务端和客户端传输过程中以明文传输,可以提高密钥传输的安全性,从而提高分布式文件系统中文件数据的安全性。
可选的,在所述KMS服务端响应于第一客户端发送的第一请求之前,所述方法还包括:所述KMS服务端为所述至少一个客户端创建所述至少一个加密区、为每个加密区创建一个区密钥、以及将每个加密区的区密钥和该加密区相关联,其中所述至少一个客户端包括所述第一客户端。
通过本实施例方式,KMS服务端根据客户端的个数创建相同个数加密区,对客户端的加密文件进行合理的管理,使得KMS服务端管理文件效率提高。
可选的,所述至少一个加密区与分布式文件系统HDFS的至少一个存储区域一一对应。
通过本实施例方式,每个加密区和分布式文件系统HDFS的存储区一一对应,使得KMS服务端管理文件效率提高。
可选的,在所述KMS服务端响应于第一客户端发送的第一请求之前,所述方法还包括:所述KMS服务端接收所述第一客户端发送的第二请求,其中所述第二请求为所述第一客户端在确定需要存储第一文件时发送的请求;所述KMS服务端响应于所述第二请求,创建所述第一文件密钥,并使用所述第一区密钥对所述第一文件密钥进行加密,生成所述第一加密文件密钥,并将所述第一加密文件密钥返回给所述第一客户端,以使所述第一客户端基于所述第一文件密钥发起所述第一请求;在所述KMS服务端将所述第二加密文件密钥返回给所述第一客户端之后,所述方法还包括:所述KMS服务端接收所述第一客户端发送的第一加密文件,并在所述第一加密区存储所述第一加密文件,其中所述第一加密文件为所述第一客户端采用所述第一文件密钥对所述第一文件进行加密生成的加密文件。
通过本实施例方式,客户端在需要存储数据文件时,KMS服务端在对客户端请求解密的第一加密文件密钥解密后,对其使用协商密钥进行转加密后再返回给客户端,既避免了密钥以明文的形式传输,又使得客户端可以通过协商密钥快速获得第一文件密钥,完成数据文件的加密和存储,保证了客户端在分布式文件系统中存储数据文件时数据文件的安全性。
可选的,在所述KMS服务端响应于第一客户端发送的第一请求之前,所述方法还包括:所述KMS服务端接收所述第一客户端发送的第三请求,其中所述第三请求为所述第一客户端在确定需要读取所述第一加密文件时发送的请求;所述KMS服务端响应于所述第三请求,返回所述第一加密文件、所述第一加密文件密钥给所述第一客户端,以使所述第一客户端基于所述第一加密文件密钥发起所述第一请求。
通过本实施例方式,客户端在需要读取数据文件时,KMS服务端在对客户端请求解密的第一加密文件密钥解密后,对其使用协商密钥进行转加密后再返回给客户端,既避免了密钥以明文的形式传输,又使得客户端可以通过协商密快速获得第一文件密钥,完成数据文件的解密和读取,保证了客户端在分布式文件系统中读取数据文件时数据文件的安全性。
第二方面,本发明实施例提供一种密钥传输方法,所述方法包括:
第一客户端向密钥管理系统KMS服务端发送第一请求;其中,所述KMS服务端包含有至少一个加密区,所述至少一个加密区和至少一个客户端一一对应,每个客户端在其对应的加密区中进行文件的读/写操作,每个加密区关联一个区密钥,所述至少一个客户端包括所述第一客户端,所述第一请求中包含第一加密文件密钥,所述第一请求用于请求所述KMS服务端对所述第一加密文件密钥进行解密,所述第一加密文件密钥为所述KMS服务端基于第一区密钥对第一文件密钥进行加密生成的加密文件密钥,所述第一区密钥为所述第一客户端对应的第一加密区所关联的区密钥;
所述第一客户端接收所述KMS服务端返回的第二加密文件密钥,使用预先和所述KMS服务端协商好的第一协商密钥对所述第二加密文件密钥进行解密,获得所述第一文件密钥,并使用所述第一文件密钥对文件进行加密/解密。
可选的,所述至少一个加密区与分布式文件系统HDFS的至少一个存储区域一一对应。
可选的,在第一客户端向KMS服务端发送第一请求之前,所述方法还包括:所述第一客户端在确定需要存储第一文件时,向所述KMS服务端发送的第二请求;所述第一客户端接收所述KMS服务端返回的所述第一加密文件密钥,并基于所述第一加密文件密钥向所述KMS服务端发起所述第一请求;在所述第一客户端获得所述第一文件密钥之后,所述方法还包括:使用所述第一文件密钥对所述第一文件进行加密获得所述第一加密文件;向所述KMS服务端发送的所述第一加密文件,以使所述KMS服务端在所述第一加密区中存储所述第一加密文件。
可选的,在第一客户端向KMS服务端发送第一请求之前,所述方法还包括:所述第一客户端在确定需要读取所述第一加密文件时向所述KMS服务端发送第三请求;所述第一客户端接收所述KMS服务端返回的所述第一加密文件、所述第一加密文件密钥;在所述第一客户端获得所述第一文件密钥之后,所述方法还包括:所述第一客户端使用所述第一文件密钥对所述第一加密文件进行解密获得所述第一文件。
第三方面,发明实施例还提供一种密钥管理系统KMS服务端,所述KMS服务端包含有至少一个加密区,所述至少一个加密区和至少一个客户端一一对应,每个客户端在其对应的加密区中进行文件的读/写操作,每个加密区关联一个区密钥;
所述KMS服务端包括:
处理模块,用于响应第一客户端发送的第一请求,使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥;其中,所述第一请求中包含所述第一加密文件密钥,所述第一请求用于请求所述KMS服务端对所述第一加密文件密钥进行解密,所述第一加密文件密钥为所述KMS服务端采用所述第一区密钥对所述第一文件密钥加密后生成的加密文件密钥,所述第一区密钥为所述第一客户端对应的第一加密区所关联的区密钥;使用预先和所述第一客户端协商好的第一协商密钥对所述第一文件密钥进行加密,生成第二加密文件密钥;
通信模块,用于将所述第二加密文件密钥返回给所述第一客户端,以使所述第一客户端使用所述第一协商密钥对所述第二加密文件密钥进行解密获得所述第一文件密钥,并使用所述第一文件密钥对文件进行加密/解密。
可选的,所述处理模块还用于:在响应第一客户端发送的第一请求之前,为所述至少一个客户端创建所述至少一个加密区、为每个加密区创建一个区密钥、以及将每个加密区的区密钥和该加密区相关联,其中所述至少一个客户端包括所述第一客户端。
可选的,所述至少一个加密区与创建在分布式文件系统HDFS的至少一个存储区域一一对应。
可选的,所述通信模块还用于:在所述处理模块响应于第一客户端发送的第一请求之前,接收所述第一客户端发送的第二请求,其中所述第二请求为所述第一客户端在确定需要存储第一文件时发送的请求;所述处理模块还用于:响应所述第二请求,创建所述第一文件密钥,并使用所述第一区密钥对所述第一文件密钥进行加密,生成所述第一加密文件密钥;所述通信模块还用于:将所述第一加密文件密钥返回给所述第一客户端,以使所述第一客户端基于所述第一文件密钥发起所述第一请求;接收所述第一客户端发送的第一加密文件;所述处理模块还用于:在所述第一加密区存储所述第一加密文件,其中所述第一加密文件为所述第一客户端采用所述第一文件密钥对所述第一文件进行加密生成的加密文件。
可选的,所述通信模块还用于:在所述处理模块响应于第一客户端发送的第一请求之前,接收所述第一客户端发送的第三请求,其中所述第三请求为所述第一客户端在确定需要读取所述第一加密文件时发送的请求;所述通信模块还用于:响应于所述第三请求,返回所述第一加密文件、所述第一加密文件密钥给所述第一客户端,以使所述第一客户端基于所述第一加密文件密钥发起所述第一请求。
第四方面,发明实施例还提供一种客户端,包括:
通信模块,用于向密钥管理系统KMS服务端发送第一请求;其中,所述KMS服务端包含有至少一个加密区,所述至少一个加密区和至少一个客户端一一对应,每个客户端在其对应的加密区中进行文件的读/写操作,每个加密区关联一个区密钥,所述至少一个客户端包括第一客户端,所述第一请求中包含第一加密文件密钥,所述第一请求用于请求所述KMS服务端对所述第一加密文件密钥进行解密,所述第一加密文件密钥为所述KMS服务端基于第一区密钥对第一文件密钥进行加密生成的加密文件密钥,所述第一区密钥为所述第一客户端对应的第一加密区所关联的区密钥;
所述通信模块还用于:接收所述KMS服务端返回的第二加密文件密钥;
处理模块,用于使用预先和所述KMS服务端协商好的第一协商密钥对所述第二加密文件密钥进行解密,获得所述第一文件密钥,并使用所述第一文件密钥对文件进行加密/解密。
可选的,所述至少一个加密区与分布式文件系统HDFS的至少一个存储区域一一对应。
可选的,所述通信模块还用于:在所述通信模块向KMS服务端发送第一请求之前,在所述处理模块确定需要所述存储第一文件时向所述KMS服务端发送的第二请求,其中所述第二请求为所述第一客户端在确定需要存储第一文件时发送的请求;接收所述KMS服务端返回的所述第一加密文件密钥,并基于所述第一加密文件密钥向所述KMS服务端发起所述第一请求;所述处理模块还用于:在所述通信模块获得所述第一文件密钥之后,使用所述第一文件密钥对所述第一文件进行加密获得第一加密文件;所述通信模块还用于:向所述KMS服务端发送的所述第一加密文件,以使所述KMS服务端在所述第一加密区中存储所述第一加密文件。
可选的,所述通信模块还用于:在所述通信模块向KMS服务端发送第一请求之前,在所述处理模块确定需要读取第一加密文件时向所述KMS服务端发送第三请求;接收所述KMS服务端返回的所述第一加密文件、所述第一加密文件密钥;所述处理模块还用于:在所述通信模块获得所述第一文件密钥之后,使用所述第一文件密钥对所述第一加密文件进行解密获得所述第一文件。
第五方面,本发明实施例提供一种密钥传输系统,包括如本发明实施第三方面或第三方面任一种可选的实施方式中所述的KMS服务端、如本发明实施第四方面或第四方面任一种可选的实施方式中所述的客户端。
第六方面,本发明实施例提供一种电子设备,包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器、通信接口;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器用于执行所述存储器中的指令,以在执行所述指令时执行如本发明实施例第一方面或第二方面者中任一种可选的实施方式所述的方法。
第七方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如本发明实施例第一方面或第二方面中任一种可选的实施方式所述的方法。
以上第二方面至第七方面中各实施方式所带来的有益效果可以参见第一方面中对应的实施方式所带来的有益效果,不再一一赘述。
本发明实施例有益效果如下:
第一客户端向KMS服务端发送第一请求,KMS服务端响应于第一客户端发送的第一请求,再使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥后,KMS服务端使用预先与客户端协商好的协商密钥将第一文件密钥加密获得第二加密文件密钥,再将第二加密文件密钥返回给第一客户端,这样,客户端就可以在本地使用协商好的密钥对第二加密文件密钥进行解密,获得第一文件密钥并对文件进行加密或解密,该方法KMS服务端通过协商密钥对第一文件密钥进行转加密,以此避免第一文件密钥在KMS服务端和客户端传输过程中以明文传输,可以提高密钥传输的安全性,从而提高分布式文件系统中文件数据的安全性。
附图说明
图1为本发明实施例中一种密钥传输系统的结构示意图;
图2为本发明实施例中一种密钥传输方法的流程图;
图3为本发明实施例中一种在HDFS中存储数据方法的流程图;
图4为本发明实施例中一种在HDFS中读取数据方法的流程图;
图5为本发明实施例中一种KMS服务端的结构示意图;
图6为本发明实施例中一种客户端的结构示意图;
图7为本发明实施例中一种电子设备的结构示意图。
具体实施方式
本发明实施例提供一种密钥传输方法、装置及计算机可读存储介质,用于解决现有技术中KMS在与客户端交互的过程中,解密后的密钥是以明文的形式传输的,导致密钥传输安全性低从而导致数据的安全性低的问题。
下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
需要理解的是,在本发明实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。在本发明实施例的描述中“多个”,是指两个或两个以上。
本发明实施例中的术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
首先,介绍本发明实施例中的密钥传输系统。参见图1,该系统包括客户端和服务端,其中服务端为由一个主节点和至少一个分节点组成的分布式文件系统(图1中以3个分节点为例,具体实施时分节点的数量可以有更多或者更少,这里不做限制)。客户端是可以在分布式文件系统上执行数据读/写操作的任何电子设备,例如可以是手机、平板电脑、笔记本电脑、服务器、可穿戴式设备、音/视频播放设备等任何具有计算能力的电子设备,或者多个这样的电子设备组成的电子设备系统等。
其中,服务端(也即分布式文件存储系统)上运行有KMS系统,因此在本发明实施例中,所述服务端也可以称为KMS服务端。
应理解,在具体实施时,一个KMS服务端可以对应多个客户端,即为多个客户端提供数据存储服务,图1中仅示出了一个客户端。
KMS系统可以用于对密钥的创建、加密、解密等的管理。其中,客户端和KMS服务端加密或者解密时用的加密算法可为对称算法(英文:data encryption standard,简称:DES)、国际数据加密算法(英文:International Data Encryption Algorithm,简称:IDEA)等,本发明实施例这里不做限制。
图2为本发明实施例中一种密钥传输方法的流程图,该方法可以应用于图1所示的密钥传输系统。该方法包括:
S201、第一客户端向KMS服务端发送第一请求。
如上文所述,KMS服务端包含有至少一个加密区,至少一个加密区和至少一个客户端一一对应,KMS服务端基于每个客户端对应的加密区为该客户端提供文件存储服务,也即每个客户端在其对应的加密区中进行文件的读/写操作。其中,每个加密区中存储的文件均为加密文件,所述第一客户端为至少一个客户端中的一个。
在本发明实施例中,每个加密区关联有一个区密钥,该区密钥用于对该区密钥对应的加密区中加密文件的文件密钥进行加密,使得每个加密区中加密文件的文件密钥以加密的形式存储在KMS服务端。其中,不同加密区关联的区密钥不同。
第一请求中包含第一加密文件密钥,第一请求用于请求KMS服务端对第一加密文件密钥进行解密,其中第一加密文件密钥为KMS服务端基于第一客户端对应的第一加密区所关联的第一区密钥对第一文件密钥进行加密生成的加密文件密钥。
S202、KMS服务端响应于第一客户端发送的第一请求,使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥。
S203、KMS服务端使用预先和第一客户端协商好的第一协商密钥对第一文件密钥进行加密,生成第二加密文件密钥。
具体的,在本发明实施例中,KMS服务端会预先和每个客户端协商好一个协商密钥,并存储在每个客户端对应的加密区内。这里的协商密钥可以是对称密钥,也可以是非对称密钥,本发明实施例这里不做限制。
S204、KMS服务端将第二加密文件密钥返回给第一客户端。
S205、第一客户端接收到KMS服务端返回的第二加密文件密钥后,使用第一协商密钥对第二加密文件密钥进行解密,获得第一文件密钥。
具体的,第一客户端接收到了KMS服务端返回第二加密文件密钥,使用预先和KMS服务端协商好的协商密钥,对所述第二加密文件密钥进行解密,获得到第一文件密钥。第一客户端获得到第一文件密钥后,可以使用第一文件密钥对未加密的文件进行加密,得到加密文件,或者也可以用第一文件密钥对加密文件进行解密,本发明实施例这里不做限制。
在上述方案中,第一客户端向KMS服务端发送第一请求,KMS服务端响应于第一客户端发送的第一请求,再使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥后,KMS服务端使用预先与客户端协商好的协商密钥将第一文件密钥加密获得第二加密文件密钥,再将第二加密文件密钥返回给第一客户端,这样,客户端就可以在本地使用协商好的密钥对第二加密文件密钥进行解密,获得第一文件密钥并对文件进行加密或解密,该方法通过协商密钥对第一文件密钥进行转加密,以此避免第一文件密钥在KMS服务端和客户端传输过程中以明文传输,可以提高密钥传输的安全性。
可选的,不同客户端对应的协商密钥可以不同,这样不同客户端的加密文件只能由对应的该客户端的协商密钥进行解密,使得不同客户端的加密区的区密钥相互独立,私密性更强,进一步提高加密区内加密文件的安全性。
可选的,在第一客户端向KMS服务端发送第一请求之前,KMS服务端还可以执行为第一客户端创建加密区和区密钥的过程。
具体的,KMS服务端为每个客户端划分一个存储区域为加密区,加密区可以是KMS系统中为客户端分配一个目录的方式,使每个客户端可以在其对应的目录下进行数据的读写操作。
进一步的,KMS服务端可以根据系统中加密区的数量,为每个加密区创建一个或者多个的区密钥。另外还可以创建一个表项,来存储至少一个加密区和该加密区对应的至少一个区密钥的映射关系,以实现将每个加密区和该加密区的区密钥关联。
可选的,在本发明实施例中,每个加密区中的加密文件的文件密钥可以是预先创建好的,例如在创建加密区时同时创建,也可以是当客户端有新的存储文件需求时创建的,本发明实施例这里不做限制。
可选的,一个加密区中的不同加密文件可以由同一个文件密钥进行加密,也可以是由多个不同的文件密钥分别进行加密,这里不做限制。示例性地,每个加密区可以进一步地划分为多个子加密区,其中一个子加密区中的加密文件由同一个文件密钥进行加密,不同的子加密区对应的文件密钥不同。
通过本实施例方式,KMS服务端根据客户端的个数创建相同个数加密区以及一个或者多个区密钥,对客户端的加密文件进行合理的管理,使得KMS服务端加密文件管理效率提高。
下面,对第一客户端向分布式文件系统中存储数据的过程进行详细介绍。
参见图3,该方法包括:
S301、第一客户端向KMS服务端发送的第二请求。
示例性地,第一客户端可以需要在KMS系统中存储第一文件时,向KMS服务端发送的第二请求。
S302、KMS服务端接收客户端发送的第二请求,并响应于第二请求,创建第一文件密钥,并使用第一区密钥对第一文件密钥进行加密,生成第一加密文件密钥。
S303、KMS服务端向第一客户端返回第一加密文件密钥。
S304、第一客户端接收到第一加密文件密钥。
S305、第一客户端向KMS服务端发送第一请求。
S306、KMS服务端响应于第一客户端发送的第一请求,使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥。
S307、KMS服务端使用预先和第一客户端协商好的第一协商密钥对第一文件密钥进行加密,生成第二加密文件密钥。
S308、KMS服务端将第二加密文件密钥返回给第一客户端。
S309、第一客户端接收到KMS服务端返回的第二加密文件密钥后,使用第一协商密钥对第二加密文件密钥进行解密,获得第一文件密钥。
S310、第一客户端使用第一文件密钥对第一文件进行加密获得第一加密文件。
S311、第一客户端向KMS服务端发送的第一加密文件。
S312、KMS服务端接收客户端发送的第一加密文件,并在第一加密区存储第一加密文件。
需要说明的是,KMS服务端在执行S301-S303之前,若KMS服务端上没有第一客户端对应的加密区以及区密钥,那么上述第二请求还可以用于指示KMS服务端为第一客户端创建加密区和区密钥,相对应的,KMS服务端在执行步骤S302时具体执行:接收客户端发送的第二请求,并响应于第二请求,为第一客户端创建第一加密区,以及第一区密钥,将第一加密区和第一区密钥相关联(例如存在上文所述的表项中),同时还创建第一文件密钥,使用第一区密钥对第一文件密钥进行加密,生成第一加密文件密钥返回给客户端。
另外,KMS服务端还可以在S301-S303之前预先创建好第一文件密钥,这样在执行上述步骤S302时KMS服务端只需要执行对第一文件密钥加密操作即可。
通过本实施例方式,客户端在需要存储数据文件时,KMS服务端在对客户端请求解密的第一加密文件密钥解密后,对其使用协商密钥进行转加密后再返回给客户端,既避免了密钥以明文的形式传输,又使得客户端可以通过协商密快速获得第一文件密钥,完成数据文件的加密和存储,保证了客户端在分布式文件系统中存储数据文件时数据文件的安全性。
下面,对第一客户端从分布式文件系统中读取数据的过程进行详细介绍。
参见图4,在所述第一客户端向KMS服务端发送第一请求之前,该方法还可以包括:
S401、第一客户端向KMS服务端发送第三请求。
示例性地,当第一客户端在确定需要读取第一文件,向KMS服务端发送的第三请求。
S402、KMS服务端接收第一客户端发送的第三请求,并响应于第三请求,返回第一加密文件、第一加密文件密钥。
S403、第一客户端向KMS服务端发送第一请求。
S404、KMS服务端响应于第一客户端发送的第一请求,使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥。
S405、KMS服务端使用预先和第一客户端协商好的第一协商密钥对第一文件密钥进行加密,生成第二加密文件密钥。
S406、KMS服务端将第二加密文件密钥返回给第一客户端。
S407、第一客户端接收到KMS服务端返回的第二加密文件密钥后,使用第一协商密钥对第二加密文件密钥进行解密,获得第一文件密钥。
S408、第一客户端使用第一文件秘钥对第一加密文件进行解密,获得第一文件。
通过本实施例方式,客户端在需要读取数据文件时,KMS服务端在对客户端请求解密的第一加密文件密钥解密后,对其使用协商密钥进行转加密后再返回给客户端,既避免了密钥以明文的形式传输,又使得客户端可以通过协商密快速获得第一文件密钥,完成数据文件的解密和读取,保证了客户端在分布式文件系统中读取数据文件时数据文件的安全性。
基于同一发明构思,本发明实施例还提供一种KMS服务端500,参照图5,所述KMS服务端包含有至少一个加密区,所述至少一个加密区和至少一个客户端一一对应,每个客户端在其对应的加密区中进行文件的读/写操作,每个加密区关联一个区密钥;包括:
处理模块501,用于响应第一客户端发送的第一请求,使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥;其中,所述第一请求中包含所述第一加密文件密钥,所述第一请求用于请求所述KMS服务端对所述第一加密文件密钥进行解密,所述第一加密文件密钥为所述KMS服务端采用所述第一区密钥对所述第一文件密钥加密后生成的加密文件密钥,所述第一区密钥为所述第一客户端对应的第一加密区所关联的区密钥;使用预先和所述第一客户端协商好的第一协商密钥对所述第一文件密钥进行加密,生成第二加密文件密钥;
通信模块502,用于将所述第二加密文件密钥返回给所述第一客户端,以使所述第一客户端使用所述第一协商密钥对所述第二加密文件密钥进行解密获得所述第一文件密钥,并使用所述第一文件密钥对文件进行加密/解密。
可选的,所述处理模块501还用于:在响应第一客户端发送的第一请求之前,为所述至少一个客户端创建所述至少一个加密区、为每个加密区创建一个区密钥、以及将每个加密区的区密钥和该加密区相关联,其中所述至少一个客户端包括所述第一客户端。
可选的,所述至少一个加密区与创建在分布式文件系统HDFS的至少一个存储区域一一对应。
可选的,所述通信模块502还用于:在所述处理模501块响应于第一客户端发送的第一请求之前,接收所述第一客户端发送的第二请求,其中所述第二请求为所述第一客户端在确定需要存储第一文件时发送的请求;所述处理模块501还用于:响应所述第二请求,创建所述第一文件密钥,并使用所述第一区密钥对所述第一文件密钥进行加密,生成所述第一加密文件密钥;所述通信模块502还用于:将所述第一加密文件密钥返回给所述第一客户端,以使所述第一客户端基于所述第一文件密钥发起所述第一请求;接收所述第一客户端发送的第一加密文件;所述处理模块501还用于:在所述第一加密区存储所述第一加密文件,其中所述第一加密文件为所述第一客户端采用所述第一文件密钥对所述第一文件进行加密生成的加密文件。
可选的,所述通信模块502还用于:在所述处理模块501响应于第一客户端发送的第一请求之前,接收所述第一客户端发送的第三请求,其中所述第三请求为所述第一客户端在确定需要读取所述第一加密文件时发送的请求;所述通信模块502还用于:响应于所述第三请求,返回所述第一加密文件、所述第一加密文件密钥给所述第一客户端,以使所述第一客户端基于所述第一加密文件密钥发起所述第一请求。
装置的各模块执行方法步骤的具体实现方式请参照上述方法实施例中对应方法步骤的具体实施方式,本实施例不再进行详细介绍。
基于同一发明构思,本发明实施例还提供一种客户端600,参照图6,包括:
通信模块601,用于向KMS服务端发送第一请求;其中,所述KMS服务端包含有至少一个加密区,所述至少一个加密区和至少一个客户端一一对应,每个客户端在其对应的加密区中进行文件的读/写操作,每个加密区关联一个区密钥,所述至少一个客户端包括第一客户端,所述第一请求中包含第一加密文件密钥,所述第一请求用于请求所述KMS服务端对所述第一加密文件密钥进行解密,所述第一加密文件密钥为所述KMS服务端基于第一区密钥对第一文件密钥进行加密生成的加密文件密钥,所述第一区密钥为所述第一客户端对应的第一加密区所关联的区密钥;
所述通信模块601还用于:接收所述KMS服务端返回的第二加密文件密钥;
处理模块602,用于使用预先和所述KMS服务端协商好的第一协商密钥对所述第二加密文件密钥进行解密,获得所述第一文件密钥,并使用所述第一文件密钥对文件进行加密/解密。
可选的,所述至少一个加密区与分布式文件系统HDFS的至少一个存储区域一一对应。
可选的,所述通信模块601还用于:在所述通信模块601向KMS服务端发送第一请求之前,向所述KMS服务端发送的第二请求,其中所述第二请求为所述第一客户端在确定需要存储第一文件时发送的请求;接收所述KMS服务端返回的所述第一加密文件密钥,并基于所述第一加密文件密钥向所述KMS服务端发起所述第一请求;所述处理模块602还用于:在所述通信模块601获得所述第一文件密钥之后,使用所述第一文件密钥对所述第一文件进行加密获得第一加密文件;所述通信模块601还用于:向所述KMS服务端发送所述第一加密文件,以使所述KMS服务端在所述第一加密区中存储所述第一加密文件。
可选的,所述通信模块601还用于:在所述通信模块601向KMS服务端发送第一请求之前,在所述处理模块602确定需要读取第一加密文件时向所述KMS服务端发送第三请求;接收所述KMS服务端返回的所述第一加密文件、所述第一加密文件密钥;所述处理模块602还用于:在所述通信模块601获得所述第一文件密钥之后,使用所述第一文件密钥对所述第一加密文件进行解密获得所述第一文件。
装置的各模块执行方法步骤的具体实现方式请参照上述方法实施例中对应方法步骤的具体实施方式,本实施例不再进行详细介绍。
基于同一发明构思,本发明实施例还提供一种电子设备,参照图7,包括:至少一个处理器701,以及与所述至少一个处理器701通信连接的存储器702、通信接口703;其中,所述存储器702存储有可被所述至少一个处理器701执行的指令,所述至少一个处理器701通过执行所述存储器702存储的指令,以在执行所述指令时使所述装置700执行本发明的实施例所述的密钥传输方法。
基于同一发明构思,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行本发明实施例所述的密钥传输方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (20)
1.一种密钥传输方法,其特征在于,应用于密钥管理系统KMS服务端,所述KMS服务端包含有至少一个加密区,所述至少一个加密区和至少一个客户端一一对应,每个客户端在其对应的加密区中进行文件的读/写操作,每个加密区关联一个区密钥;
所述方法包括:
所述KMS服务端响应于第一客户端发送的第一请求,使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥;其中,所述第一请求中包含所述第一加密文件密钥,所述第一请求用于请求所述KMS服务端对所述第一加密文件密钥进行解密,所述第一加密文件密钥为所述KMS服务端采用所述第一区密钥对所述第一文件密钥加密后生成的加密文件密钥,所述第一区密钥为所述第一客户端对应的第一加密区所关联的区密钥;
所述KMS服务端使用预先和所述第一客户端协商好的第一协商密钥对所述第一文件密钥进行加密,生成第二加密文件密钥;
所述KMS服务端将所述第二加密文件密钥返回给所述第一客户端,以使所述第一客户端使用所述第一协商密钥对所述第二加密文件密钥进行解密获得所述第一文件密钥,并使用所述第一文件密钥对文件进行加密/解密。
2.如权利要求1所述的方法,其特征在于,在所述KMS服务端响应于第一客户端发送的第一请求之前,所述方法还包括:
所述KMS服务端为所述至少一个客户端创建所述至少一个加密区、为每个加密区创建一个区密钥、以及将每个加密区的区密钥和该加密区相关联,其中所述至少一个客户端包括所述第一客户端。
3.如权利要求1所述的方法,其特征在于,所述至少一个加密区与分布式文件系统HDFS的至少一个存储区域一一对应。
4.如权利要求1-3任一项所述的方法,其特征在于,在所述KMS服务端响应于第一客户端发送的第一请求之前,所述方法还包括:
所述KMS服务端接收所述第一客户端发送的第二请求,其中所述第二请求为所述第一客户端在确定需要存储第一文件时发送的请求;
所述KMS服务端响应于所述第二请求,创建所述第一文件密钥,并使用所述第一区密钥对所述第一文件密钥进行加密,生成所述第一加密文件密钥,并将所述第一加密文件密钥返回给所述第一客户端,以使所述第一客户端基于所述第一文件密钥发起所述第一请求;
在所述KMS服务端将所述第二加密文件密钥返回给所述第一客户端之后,所述方法还包括:
所述KMS服务端接收所述第一客户端发送的第一加密文件,并在所述第一加密区存储所述第一加密文件,其中所述第一加密文件为所述第一客户端采用所述第一文件密钥对所述第一文件进行加密生成的加密文件。
5.如权利要求1-3任一项所述的方法,其特征在于,在所述KMS服务端响应于第一客户端发送的第一请求之前,所述方法还包括:
所述KMS服务端接收所述第一客户端发送的第三请求,其中所述第三请求为所述第一客户端在确定需要读取所述第一加密文件时发送的请求;
所述KMS服务端响应于所述第三请求,返回所述第一加密文件、所述第一加密文件密钥给所述第一客户端,以使所述第一客户端基于所述第一加密文件密钥发起所述第一请求。
6.一种密钥传输方法,其特征在于,所述方法包括:
第一客户端向密钥管理系统KMS服务端发送第一请求;其中,所述KMS服务端包含有至少一个加密区,所述至少一个加密区和至少一个客户端一一对应,每个客户端在其对应的加密区中进行文件的读/写操作,每个加密区关联一个区密钥,所述至少一个客户端包括所述第一客户端,所述第一请求中包含第一加密文件密钥,所述第一请求用于请求所述KMS服务端对所述第一加密文件密钥进行解密,所述第一加密文件密钥为所述KMS服务端基于第一区密钥对第一文件密钥进行加密生成的加密文件密钥,所述第一区密钥为所述第一客户端对应的第一加密区所关联的区密钥;
所述第一客户端接收所述KMS服务端返回的第二加密文件密钥,使用预先和所述KMS服务端协商好的第一协商密钥对所述第二加密文件密钥进行解密,获得所述第一文件密钥,并使用所述第一文件密钥对文件进行加密/解密。
7.如权利要求6所述的方法,其特征在于,所述至少一个加密区与分布式文件系统HDFS的至少一个存储区域一一对应。
8.如权利要求6或7所述的方法,其特征在于,在第一客户端向KMS服务端发送第一请求之前,所述方法还包括:
所述第一客户端在确定需要存储第一文件时,向所述KMS服务端发送的第二请求;所述第一客户端接收所述KMS服务端返回的所述第一加密文件密钥,并基于所述第一加密文件密钥向所述KMS服务端发起所述第一请求;
在所述第一客户端获得所述第一文件密钥之后,所述方法还包括:
使用所述第一文件密钥对所述第一文件进行加密获得所述第一加密文件;向所述KMS服务端发送的所述第一加密文件,以使所述KMS服务端在所述第一加密区中存储所述第一加密文件。
9.如权利要求6或7所述的方法,其特征在于,在第一客户端向KMS服务端发送第一请求之前,所述方法还包括:
所述第一客户端在确定需要读取所述第一加密文件时向所述KMS服务端发送第三请求;所述第一客户端接收所述KMS服务端返回的所述第一加密文件、所述第一加密文件密钥;
在所述第一客户端获得所述第一文件密钥之后,所述方法还包括:
所述第一客户端使用所述第一文件密钥对所述第一加密文件进行解密获得所述第一文件。
10.一种密钥管理系统KMS服务端,其特征在于,所述KMS服务端包含有至少一个加密区,所述至少一个加密区和至少一个客户端一一对应,每个客户端在其对应的加密区中进行文件的读/写操作,每个加密区关联一个区密钥;
所述KMS服务端包括:
处理模块,用于响应第一客户端发送的第一请求,使用第一区密钥对第一加密文件密钥进行解密,获得第一文件密钥;其中,所述第一请求中包含所述第一加密文件密钥,所述第一请求用于请求所述KMS服务端对所述第一加密文件密钥进行解密,所述第一加密文件密钥为所述KMS服务端采用所述第一区密钥对所述第一文件密钥加密后生成的加密文件密钥,所述第一区密钥为所述第一客户端对应的第一加密区所关联的区密钥;使用预先和所述第一客户端协商好的第一协商密钥对所述第一文件密钥进行加密,生成第二加密文件密钥;
通信模块,用于将所述第二加密文件密钥返回给所述第一客户端,以使所述第一客户端使用所述第一协商密钥对所述第二加密文件密钥进行解密获得所述第一文件密钥,并使用所述第一文件密钥对文件进行加密/解密。
11.如权利要求10所述的KMS服务端,其特征在于,所述处理模块还用于:
在响应第一客户端发送的第一请求之前,为所述至少一个客户端创建所述至少一个加密区、为每个加密区创建一个区密钥、以及将每个加密区的区密钥和该加密区相关联,其中所述至少一个客户端包括所述第一客户端。
12.如权利要求10所述的KMS服务端,其特征在于,所述至少一个加密区与创建在分布式文件系统HDFS的至少一个存储区域一一对应。
13.如权利要求10-12任一项所述的KMS服务端,其特征在于,所述通信模块还用于:
在所述处理模块响应于第一客户端发送的第一请求之前,接收所述第一客户端发送的第二请求,其中所述第二请求为所述第一客户端在确定需要存储第一文件时发送的请求;
所述处理模块还用于:响应所述第二请求,创建所述第一文件密钥,并使用所述第一区密钥对所述第一文件密钥进行加密,生成所述第一加密文件密钥;
所述通信模块还用于:将所述第一加密文件密钥返回给所述第一客户端,以使所述第一客户端基于所述第一文件密钥发起所述第一请求;接收所述第一客户端发送的第一加密文件;
所述处理模块还用于:在所述第一加密区存储所述第一加密文件,其中所述第一加密文件为所述第一客户端采用所述第一文件密钥对所述第一文件进行加密生成的加密文件。
14.如权利要求10-12任一项所述的KMS服务端,其特征在于,所述通信模块还用于:
在所述处理模块响应于第一客户端发送的第一请求之前,接收所述第一客户端发送的第三请求,其中所述第三请求为所述第一客户端在确定需要读取所述第一加密文件时发送的请求;
所述通信模块还用于:响应于所述第三请求,返回所述第一加密文件、所述第一加密文件密钥给所述第一客户端,以使所述第一客户端基于所述第一加密文件密钥发起所述第一请求。
15.一种客户端,其特征在于,包括:
通信模块,用于向密钥管理系统KMS服务端发送第一请求;其中,所述KMS服务端包含有至少一个加密区,所述至少一个加密区和至少一个客户端一一对应,每个客户端在其对应的加密区中进行文件的读/写操作,每个加密区关联一个区密钥,所述至少一个客户端包括第一客户端,所述第一请求中包含第一加密文件密钥,所述第一请求用于请求所述KMS服务端对所述第一加密文件密钥进行解密,所述第一加密文件密钥为所述KMS服务端基于第一区密钥对第一文件密钥进行加密生成的加密文件密钥,所述第一区密钥为所述第一客户端对应的第一加密区所关联的区密钥;
所述通信模块还用于:接收所述KMS服务端返回的第二加密文件密钥;
处理模块,用于使用预先和所述KMS服务端协商好的第一协商密钥对所述第二加密文件密钥进行解密,获得所述第一文件密钥,并使用所述第一文件密钥对文件进行加密/解密。
16.如权利要求15所述的客户端,其特征在于,所述至少一个加密区与分布式文件系统HDFS的至少一个存储区域一一对应。
17.如权利要求15或16所述的客户端,其特征在于,所述通信模块还用于:
在所述通信模块向KMS服务端发送第一请求之前,向所述KMS服务端发送的第二请求,其中所述第二请求为所述第一客户端在确定需要存储第一文件时发送的请求;接收所述KMS服务端返回的所述第一加密文件密钥,并基于所述第一加密文件密钥向所述KMS服务端发起所述第一请求;
所述处理模块还用于:在所述通信模块获得所述第一文件密钥之后,使用所述第一文件密钥对所述第一文件进行加密获得第一加密文件;
所述通信模块还用于:向所述KMS服务端发送所述第一加密文件,以使所述KMS服务端在所述第一加密区中存储所述第一加密文件。
18.如权利要求15或16所述的客户端,其特征在于,所述通信模块还用于:
在所述通信模块向KMS服务端发送第一请求之前,在所述处理模块确定需要读取第一加密文件时向所述KMS服务端发送第三请求;接收所述KMS服务端返回的所述第一加密文件、所述第一加密文件密钥;
所述处理模块还用于:在所述通信模块获得所述第一文件密钥之后,使用所述第一文件密钥对所述第一加密文件进行解密获得所述第一文件。
19.一种电子设备,其特征在于,包括:
至少一个处理器,以及
与所述至少一个处理器通信连接的存储器、通信接口;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器用于执行所述存储器中的指令,以在执行所述指令时,使所述装置执行如权利要求1-5或6-9任一项所述的方法。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如权利要求1-5或6-9任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911158901.2A CN112839013B (zh) | 2019-11-22 | 2019-11-22 | 一种密钥传输方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911158901.2A CN112839013B (zh) | 2019-11-22 | 2019-11-22 | 一种密钥传输方法、装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112839013A true CN112839013A (zh) | 2021-05-25 |
| CN112839013B CN112839013B (zh) | 2022-10-11 |
Family
ID=75921793
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911158901.2A Active CN112839013B (zh) | 2019-11-22 | 2019-11-22 | 一种密钥传输方法、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112839013B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113691495A (zh) * | 2021-07-09 | 2021-11-23 | 沈谷丰 | 一种基于非对称加密的网络账户共享和分发系统及方法 |
| CN113849835A (zh) * | 2021-09-26 | 2021-12-28 | 百度在线网络技术(北京)有限公司 | 一种密钥处理方法、装置、设备及存储介质 |
| CN116090028A (zh) * | 2023-04-07 | 2023-05-09 | 深圳天谷信息科技有限公司 | 可配置保密等级的电子合同管理方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170083716A1 (en) * | 2015-09-22 | 2017-03-23 | Mastercard International Incorporated | Secure computer cluster with encryption |
| CN108111479A (zh) * | 2017-11-10 | 2018-06-01 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop分布式文件系统透明加解密的密钥管理方法 |
| CN108491732A (zh) * | 2018-03-13 | 2018-09-04 | 山东超越数控电子股份有限公司 | 一种基于业务隔离存储的海量存储数据保护系统及方法 |
| WO2018208786A1 (en) * | 2017-05-08 | 2018-11-15 | ZeroDB, Inc. | Method and system for secure delegated access to encrypted data in big data computing clusters |
| CN109981579A (zh) * | 2019-02-25 | 2019-07-05 | 北京工业大学 | 基于SGX的Hadoop秘钥管理服务安全加强方法 |
| US10474831B1 (en) * | 2016-11-28 | 2019-11-12 | Amazon Technologies, Inc. | Large network attached storage encryption |
-
2019
- 2019-11-22 CN CN201911158901.2A patent/CN112839013B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170083716A1 (en) * | 2015-09-22 | 2017-03-23 | Mastercard International Incorporated | Secure computer cluster with encryption |
| US10474831B1 (en) * | 2016-11-28 | 2019-11-12 | Amazon Technologies, Inc. | Large network attached storage encryption |
| WO2018208786A1 (en) * | 2017-05-08 | 2018-11-15 | ZeroDB, Inc. | Method and system for secure delegated access to encrypted data in big data computing clusters |
| CN108111479A (zh) * | 2017-11-10 | 2018-06-01 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop分布式文件系统透明加解密的密钥管理方法 |
| CN108491732A (zh) * | 2018-03-13 | 2018-09-04 | 山东超越数控电子股份有限公司 | 一种基于业务隔离存储的海量存储数据保护系统及方法 |
| CN109981579A (zh) * | 2019-02-25 | 2019-07-05 | 北京工业大学 | 基于SGX的Hadoop秘钥管理服务安全加强方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王冠等: "基于SGX的Hadoop KMS安全增强方案", 《信息安全研究》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113691495A (zh) * | 2021-07-09 | 2021-11-23 | 沈谷丰 | 一种基于非对称加密的网络账户共享和分发系统及方法 |
| CN113691495B (zh) * | 2021-07-09 | 2023-09-01 | 沈谷丰 | 一种基于非对称加密的网络账户共享和分发系统及方法 |
| CN113849835A (zh) * | 2021-09-26 | 2021-12-28 | 百度在线网络技术(北京)有限公司 | 一种密钥处理方法、装置、设备及存储介质 |
| CN116090028A (zh) * | 2023-04-07 | 2023-05-09 | 深圳天谷信息科技有限公司 | 可配置保密等级的电子合同管理方法、装置、设备及介质 |
| CN116090028B (zh) * | 2023-04-07 | 2023-08-04 | 深圳天谷信息科技有限公司 | 可配置保密等级的电子合同管理方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112839013B (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105260668B (zh) | 一种文件加密方法及电子设备 | |
| CN110278078B (zh) | 一种数据处理方法、装置及系统 | |
| US10601801B2 (en) | Identity authentication method and apparatus | |
| CN108833091B (zh) | 一种日志文件的加密方法、解密方法及装置 | |
| CN110661748B (zh) | 一种日志的加密方法、解密方法及装置 | |
| CN112839013B (zh) | 一种密钥传输方法、装置及计算机可读存储介质 | |
| EP3780483A1 (en) | Cryptographic operation method, method for creating work key, and cryptographic service platform and device | |
| JP2016513840A (ja) | データセキュリティを保護するための方法、サーバ、ホスト、およびシステム | |
| CN109347839B (zh) | 集中式密码管理方法、装置、电子设备及计算机存储介质 | |
| CN102377564A (zh) | 私钥的加密方法及装置 | |
| CN111163036B (zh) | 一种数据共享方法、装置、客户端、存储介质及系统 | |
| CN109450620B (zh) | 一种移动终端中共享安全应用的方法及移动终端 | |
| CN111274611A (zh) | 数据脱敏方法、装置及计算机可读存储介质 | |
| CN113242134B (zh) | 数字证书签名方法、装置、系统及存储介质 | |
| CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
| CN105099653A (zh) | 分布式数据处理方法、装置及系统 | |
| CN110717190A (zh) | 一种分布式数据存储方法、装置及数据存储设备 | |
| CN107425959A (zh) | 一种实现加密处理的方法、系统、客户端及服务端 | |
| CN114691034A (zh) | 一种数据存储方法及数据处理设备 | |
| CN103997405A (zh) | 一种密钥生成方法及装置 | |
| CN110995775B (zh) | 一种业务数据处理方法、装置以及系统 | |
| JP4995667B2 (ja) | 情報処理装置、サーバ装置、情報処理プログラム及び方法 | |
| CN103873245A (zh) | 虚拟机系统数据加密方法及设备 | |
| CN110750326A (zh) | 一种虚拟机的磁盘加解密方法以及系统 | |
| CN116155491A (zh) | 安全芯片的对称密钥同步方法及安全芯片装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |