CN113411287B - 密钥管理系统、方法、装置及设备 - Google Patents
密钥管理系统、方法、装置及设备 Download PDFInfo
- Publication number
- CN113411287B CN113411287B CN202010183599.2A CN202010183599A CN113411287B CN 113411287 B CN113411287 B CN 113411287B CN 202010183599 A CN202010183599 A CN 202010183599A CN 113411287 B CN113411287 B CN 113411287B
- Authority
- CN
- China
- Prior art keywords
- key
- migratable
- client
- application
- root key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种密钥管理系统、方法、装置及设备。系统包括:服务器,用于获取待处理应用,并基于待处理应用生成可迁移根密钥,将可迁移根密钥发送至与待处理应用相对应的至少一个客户端;至少一个客户端,与服务器通信连接,用于获取可迁移根密钥,确定与所述可迁移根密钥相对应的待处理应用,并基于可迁移根密钥对待处理应用的数据密钥进行加密管理。本实施例提供的技术方案,不需要在系统上增加硬件,通过软件模块实现密钥管理,有效地降低了密钥管理的成本;另外,该系统的使用方式灵活、可靠,可以支持各种不同的密钥管理信息,使得该系统具有可扩展性,且便于对系统进行维护和管理,有效地保证了密钥管理的质量和效率。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种密钥管理系统、方法、装置及设备。
背景技术
密码技术是保护信息系统安全、稳定、高效运行的重要技术基础,密钥管理的密码技术的核心技术之一。现有技术中,一般需要使用硬件密码模块来实现密钥管理,这种密码管理的方式安全性虽然高,但是,密码管理的成本也很高,可维护性较差。
发明内容
本发明实施例提供了一种密钥管理系统、方法、装置及设备,能够保证密码管理的质量和效率,并且还具有成本较低、兼容性好、可维护性高的特点。
第一方面,本发明实施例提供一种密钥管理系统,包括:
服务器,用于获取待处理应用,并基于待处理应用生成可迁移根密钥,将所述可迁移根密钥发送至与所述待处理应用相对应的至少一个客户端;
至少一个客户端,与所述服务器通信连接,用于获取所述可迁移根密钥,确定与所述可迁移根密钥相对应的待处理应用,并基于所述可迁移根密钥对所述待处理应用的数据密钥进行加密管理。
第二方面,本发明实施例提供一种密钥管理方法,包括:
获取待处理应用;
生成与所述待处理应用相对应的可迁移根密钥;
将所述可迁移根密钥发送至与所述待处理应用相对应的至少一个客户端,以使所述至少一个客户端利用所述可迁移根密钥对所述待处理应用的数据密钥进行加密管理。
第三方面,本发明实施例提供一种密钥管理装置,包括:
第一获取模块,用于获取待处理应用;
第一生成模块,用于生成与所述待处理应用相对应的可迁移根密钥;
第一发送模块,用于将所述可迁移根密钥发送至与所述待处理应用相对应的至少一个客户端,以使所述至少一个客户端利用所述可迁移根密钥对所述待处理应用的数据密钥进行加密管理。
第四方面,本发明实施例提供一种电子设备,包括:存储器、处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现上述第二方面中的密钥管理方法。
第五方面,本发明实施例提供了一种计算机存储介质,用于储存计算机程序,所述计算机程序使计算机执行时实现上述第二方面中的密钥管理方法。
第六方面,本发明实施例提供了一种密钥管理方法,包括:
获取可迁移根密钥;
确定与所述可迁移根密钥相对应的待处理应用;
基于所述可迁移根密钥对待处理应用的数据密钥进行加密管理。
第七方面,本发明实施例提供了一种密钥管理装置,包括:
第二获取模块,用于获取可迁移根密钥;
第二确定模块,用于确定与所述可迁移根密钥相对应的待处理应用;
第二处理模块,用于基于所述可迁移根密钥对待处理应用的数据密钥进行加密管理。
第八方面,本发明实施例提供一种电子设备,包括:存储器、处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现上述第六方面中的密钥管理方法。
第九方面,本发明实施例提供了一种计算机存储介质,用于储存计算机程序,所述计算机程序使计算机执行时实现上述第六方面中的密钥管理方法。
本实施例提供的密钥管理系统、方法、装置及设备,不需要在系统上增加硬件,通过软件模块实现密钥管理,有效地降低了密钥管理的成本;另外,该系统的使用方式灵活、可靠,可以支持各种不同的密钥管理信息,使得该系统具有可扩展性,且便于对系统进行维护和管理;该系统还不需要在线的服务,有效地保证了密钥管理的质量和效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种密钥管理系统的结构示意图一;
图2为本发明实施例提供的一种密钥管理系统的结构示意图二;
图3为本发明实施例提供的一种密钥管理系统的结构示意图三;
图4为本发明实施例提供的一种密钥管理方法的流程图一;
图5为本发明实施例提供的一种密钥管理方法的流程图二;
图6为本发明实施例提供的一种密钥管理装置的结构示意图一;
图7为与图6所示实施例提供的密钥管理装置对应的电子设备的结构示意图;
图8为本发明实施例提供的一种密钥管理装置的结构示意图二;
图9为与图8所示实施例提供的密钥管理装置对应的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种,但是不排除包含至少一种的情况。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
术语解释:
密码模块,是指实现密码运算、密钥管理和其他密码服务功能的模块。密码模块被划分为硬件密码模块、软件密码模块、固件密码模块、混合软件密码模块和混合固件密码模块。其中,软件密码模块是指运行在可修改的运行环境下的代码的集合,可修改的运行环境可以包括Linux环境、Windows环境等等。
为了便于理解本申请的技术方案,下面对现有技术进行简要说明:
现有的密码管理技术可以包括硬件密码模块管理技术和云密钥管理技术,其中,硬件密码模块管理技术一般是通过以下方案来实现:(1)通过应用程序接口(ApplicationProgramming Interface,简称API)向硬件密码模块申请密钥;(2)获取硬件密码模块返回的密钥,基于密钥进行加解密操作。然而,上述硬件密码模块管理技术包括如下缺陷:(1)硬件成本高;(2)需要增加硬件,使用不灵活;(3)不同品牌的硬件密码模块之间的密钥迁移困难。
而对于云密钥管理技术而言,其实现步骤包括:(1)通过API接口向云服务器申请密钥;(2)获取云服务器返回的密钥,基于密钥进行加解密操作。然而,上述云密钥管理技术包括如下缺陷:(1)增加了额外的云服务成本;(2)需要能访问到云服务器才能够实现密钥管理技术;(3)密钥由云服务器端控制,无法保证密钥信息使用的安全可靠性。
下面结合附图,对本发明的一些实施方式作详细说明。在各实施例之间不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
图1为本发明实施例提供的一种密钥管理系统的结构示意图一;为了解决上述技术问题,参考附图1所示,本实施例提供了一种密钥管理系统,该密钥管理系统可以基于软件密码模块技术实现一种密钥管理方法;具体的,该系统可以包括:
服务器101,用于获取待处理应用,并基于待处理应用生成可迁移根密钥,将可迁移根密钥发送至与待处理应用相对应的至少一个客户端;
至少一个客户端(包括:第一客户端102a、第二客户端102b、第三客户端102c等等),与服务器101通信连接,用于获取可迁移根密钥,确定与可迁移根密钥相对应的待处理应用,并基于可迁移根密钥对待处理应用的数据密钥进行加密管理。
其中,服务器101是指可以在网络虚拟环境中提供计算处理服务的设备,通常是指利用网络进行信息规划的服务器。在物理实现上,服务器101可以是任何能够提供计算服务,响应服务请求,并进行处理的设备,例如可以是常规服务器、云服务器、云主机、虚拟中心等。服务器101的构成主要包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似。
客户端可以是任何具有一定计算能力的计算设备。客户端的基本结构可以包括:至少一个处理器。处理器的数量取决于客户端的配置和类型。客户端也可以包括存储器,该存储器可以为易失性的,例如RAM,也可以为非易失性的,例如只读存储器(Read-OnlyMemory,ROM)、闪存等,或者也可以同时包括两种类型。存储器内通常存储有操作系统(Operating System,OS)、一个或多个应用程序,也可以存储有程序数据等。除了处理单元和存储器之外,客户端还包括一些基本配置,例如网卡芯片、IO总线、显示组件以及一些外围设备等。可选地,一些外围设备可以包括,例如键盘、鼠标、输入笔、打印机等。其它外围设备在本领域中是众所周知的,在此不做赘述。可选地,客户端可以为PC(personalcomputer)终端等。
具体的,服务器101可以获取需要进行密钥管理的待处理应用,该待处理应用的个数可以为一个或多个,在获取到待处理应用之后,可以基于待处理应用生成可迁移根密钥,可以理解的是,一个待处理应用可以对应一个或多个可迁移根密钥,例如:同一个待处理应用可以包括一个或多个应用功能,在多个应用包括第一应用功能和第二应用功能时,第一应用功能可以对应一个可迁移根密钥,第二应用功能可以对应另一个可迁移根密钥。另外,不同的待处理应用可以对应有相同或者不同的可迁移根密钥。
在获取到可迁移密钥之后,可以将可迁移根密钥发送至至少一个客户端,上述的至少一个客户端中的每个客户端中均配置有上述待处理应用,并且,至少一个客户端所获取到的可迁移根密钥相同。在至少一个客户端获取到可迁移根密钥之后,可以将基于可迁移根密钥,在预设的多个处理应用中确定与可迁移根密钥相对应的待处理应用,而后,可以利用可迁移根密钥对待处理应用的数据密钥进行加密管理。
在一些实例中,服务器101与至少一个客户端可以处于网络隔离环境中。在服务器101与至少一个客户端处于网络隔离环境中,例如:服务器101与至少一个客户端可以为医院环境下的应用系统、工厂环境下的应用系统、矿场环境下的应用系统、野外作业的应用系统、海上作业的应用系统、企业的应用系统等不需要连接网络的环境中;此时的可迁移根密钥保存在不需要连接网络的服务器101中,从而有效地可迁移根密钥应用的安全可靠性;并且,实现了不需要在系统上增加硬件,通过纯软件管理技术即可实现密钥管理操作,有效地降低了管理成本。
在另一些实例中,服务器101与至少一个客户端也可以处于网络环境中,网络环境包括正常的网络环境、异常的网络环境、低速的网络环境或者限速的网络环境等等,当服务器101与至少一个客户端处于非正常的网络环境(包括:异常的网络环境、低速的网络环境或者限速的网络环境等等)中时,其实现原理和实现效果与其在网络隔离环境中的实现原理和实现效果相类似。在网络环境为正常的网络环境时,实施例提供的密钥管理系统同样实现了不需要在系统上增加硬件,通过纯软件管理技术即可实现密钥管理的操作,有效地降低了管理成本。
本实施例提供的密钥管理系统,通过服务器101获取待处理应用,并基于待处理应用生成可迁移根密钥,将可迁移根密钥发送至与待处理应用相对应的至少一个客户端;在至少一个客户端获取到可迁移根密钥之后,可以基于可迁移根密钥对待处理应用的数据密钥进行加密管理,从而实现了不需要在系统上增加硬件,通过纯软件管理技术来实现密钥管理操作,有效地降低了管理成本,有效地提高了利用可迁移根密钥进行密钥管理的质量和效率,进一步保证了该密钥管理系统的实用性。
在上述实施例的基础上,继续参考附图1所示,本实施例中的服务器101,还用于获取至少一个客户端各自所对应的客户端信息,将客户端信息与可迁移根密钥进行关联存储,并将可迁移根密钥发送至相对应的客户端。
在服务器101获取到可迁移根密钥之后,为了能够保证可迁移根密钥可以准确地发送到至少一个客户端,服务器101可以获取到至少一个客户端各自所对应的客户端信息,具体实现时,客户端信息可以是用户输入至服务器101中,例如:服务器101可以以在线文件或者离线文件提交客户端信息。或者,至少一个客户端中可以安装有与服务器101相对应的应用程序,通过应用程序上传客户端信息至服务器101;或者,服务器101可以向客户端发送信息获取请求,客户端根据信息获取请求向服务器101发送客户端信息。当然的,本领域技术人员也可以采用其他的方式来获取至少一个客户端各自所对应的客户端信息,只要能够保证客户端信息获取的准确可靠性即可。
在获取到客户端信息之后,可以将客户端信息与可迁移根密钥进行关联存储,并将可迁移根密钥发送至相对应的客户端,这样可以有效地保证可迁移根密钥传输的安全可靠性。举例来说:如图1所示,客户端包括第一客户端102a、第二客户端102b和第三客户端102c,其中,与待处理应用相对应的客户端包括第一客户端102a和第二客户端102b,此时,服务器101可以获取到与第一客户端102a和第二客户端102b相对应的第一客户端信息和第二客户端信息,而后将第一客户端信息与可迁移根密钥进行关联存储,第二客户端信息与可迁移根密钥进行关联存储,而后可以利用上述关联存储的关系将可迁移根密钥发送至第一客户端102a和第二客户端102b,从而有效地保证了第一客户端102a和第二客户端102b能够稳定地获取到可迁移根密钥,并基于可迁移根密钥进行密钥管理操作,而第三客户端102c不会获得可迁移根密钥,进而节省了数据传输资源。
在上述实施例的基础上,继续参考附图1所示,本实施例中的服务器101,还用于获取至少一个客户端各自所对应的客户端信息,确定与至少一个客户端各自对应的密钥管理信息,密钥管理信息中包括所示可迁移根密钥的应用信息和/或与待处理应用相对应的数据密钥的应用信息,将密钥管理信息发送至至少一个客户端;
至少一个客户端,用于获取密钥管理信息,并基于密钥管理信息和可迁移根密钥对与待处理应用相对应的数据密钥进行加密管理。
在一些实例中,在至少一个客户端基于密钥管理信息和可迁移根密钥对与待处理应用相对应的数据密钥进行管理时,至少一个客户端,还用于执行以下至少之一:根据密钥管理信息,确定可迁移根密钥的应用范围;或者,根据密钥管理信息,确定与待处理应用相对应的数据密钥的应用范围;或者,根据密钥管理信息,利用可迁移根密钥对数据密钥进行加密处理;或者,根据密钥管理信息对数据密钥进行更新。
举例来说,在服务器101获取到待处理应用之后,可以生成与待处理应用相对应的可迁移根密钥之后,获取与至少一个客户端各自所对应的客户端信息,而后基于客户端信息确定与至少一个客户端各自对应的密钥管理信息,该密钥管理信息中包括有可迁移根密钥的应用范围,例如:可迁移根密钥在第一客户端102a和第二客户端102b中进行应用,在第三客户端102c中不进行应用,此时,服务器101则可以根据密钥管理信息将可迁移根密钥发送至第一客户端102a和第二客户端102b,以使得第一客户端102a和第二客户端102b根据可迁移根密钥进行密钥管理操作。
可以理解的是,每个客户端上均可以配置有多个应用程序,而每个应用程序可以对应有一个或多个应用功能,此时,在密钥管理信息中还可以包括与待处理应用相对应的数据密钥的应用范围,例如:待处理应用包括第一应用功能、第二应用功能和第三应用功能,而基于密钥管理信息可以确定与待处理应用相对应的数据密钥的应用范围为第二应用功能和第三应用功能,因此,则可以利用数据密钥对第二应用功能和第三应用功能进行加密处理,而后可以利用可迁移根密钥对数据密钥进行加密处理;而对于第一应用功能则无需利用数据密钥进行加密处理,从而实现了基于密钥管理信息对待处理应用的数据密钥进行加密管理操作。
进一步的,为了提高密钥管理的质量和效率,密钥管理信息中还可以包括对数据密钥进行更新处理的策略,例如:数据密钥的更新周期为1周,在满足上述更新周期之后,则可以自动对数据密钥进行更新操作,而后可以利用可迁移根密钥对更新后的数据密钥进行加密处理,从而提高了对待处理应用进行管理的质量和效率。相类似的,密钥管理信息中还可以包括对可迁移根密钥进行更新处理的策略,例如:可迁移根密钥的更新周期为2周,在满足上述更新周期之后,则可以自动对可迁移根密钥进行更新操作,而后可以利用更新后的可迁移根密钥对数据密钥进行加密处理,从而提高了对待处理应用进行管理的质量和效率。
可以理解的是,密钥管理信息的内容并不限于上述举例说明的内容,本领域技术人员还可以根据具体的应用场景和应用需求设置其他的密钥管理信息,只要能够实现基于密钥管理信息实现对与待处理应用进行加密管理即可,在此不再赘述。
图2为本发明实施例提供的一种密钥管理系统的结构示意图二;在上述实施例的基础上,继续参考附图2所示,本实施例中的服务器101和至少一个客户端还用于执行以下步骤:
服务器101,用于基于待处理应用生成不可迁移根密钥,将不可迁移根密钥发送至至少一个客户端;
至少一个客户端,用于获取不可迁移根密钥,并基于不可迁移根密钥和可迁移根密钥对待处理应用的数据密钥进行管理。
为了满足不同客户端的密钥管理需求,服务器101还可以基于待处理应用生成不可迁移根密钥,上述的待处理应用的个数可以为一个或多个。可以理解的是,一个待处理应用可以对应一个或多个不可迁移根密钥,不同的待处理应用可以对应有相同或者不同的不可迁移根密钥,一般情况下,不同客户端所对应的不可迁移根密钥不同。在获取到不可迁移密钥之后,可以将不可迁移根密钥发送至至少一个客户端,上述的至少一个客户端中的每个客户端中均配置有上述待处理应用,并且,至少一个客户端所获取到的不可迁移根密钥不同。
举例来说,在至少一个客户端包括第一客户端102a、第二客户端102b和第三客户端102c时,服务器101可以生成与第一客户端102a相对应的不可迁移根密钥1、与第二客户端102b相对应的不可迁移根密钥2、与第三客户端102c相对应的不可迁移根密钥3,而后可以将不可迁移根密钥1发送至第一客户端102a、不可迁移根密钥2发送至第二客户端102b、不可迁移根密钥3发送至第三客户端102c,从而使得不同的客户端可以获取到各自相对应的不同的不可迁移根密钥。
在至少一个客户端获取到不可迁移根密钥之后,可以在预设的多个处理应用中确定与可迁移根密钥相对应的待处理应用,并基于可迁移根密钥和不可迁移根密钥,对待处理应用的数据密钥进行加密管理,从而实现了不同的客户端可以对待处理应用进行不同的密钥管理操作,进一步提高了该密钥管理系统使用的灵活可靠性。
图3为本发明实施例提供的一种密钥管理系统的结构示意图三;在上述任意一个实施例的基础上,参考附图3所示,在至少一个客户端包括第一客户端102a和第二客户端102b时,本实施例中的第一客户端102a和第二客户端102b还可以用于执行以下步骤:
第一客户端102a,用于在可迁移根密钥发生异常时,向第二客户端102b发送密钥获取请求;
第二客户端102b,用于获取密钥获取请求,并基于密钥获取请求向第一客户端102a发送可迁移根密钥。
具体的,在服务器101向第一客户端102a和第二客户端102b发送可迁移根密钥时,对于客户端而言,可迁移根密钥可能会发生异常,例如:服务器101未成功将可迁移根密钥发送至第一客户端102a时,此时,对于第一客户端102a而言,可迁移根密钥发生异常。或者,在第一客户端102a获取到可迁移根密钥之后,对可迁移根密钥进行使用的过程中,可迁移根密钥丢失或者应用异常,此时,对于第一客户端102a而言,可迁移根密钥发生异常。
由于不同客户端的针对同一待处理应用的可迁移根密钥是相同的,因此,在第一客户端102a的可迁移根密钥发生异常时,则向第二客户端102b发送密钥获取请求,在第二客户端102b获取到密钥获取请求,可以确定与密钥获取请求相对应的可迁移根密钥,具体的,密钥获取请求中包括有应用标识信息,根据应用标识信息可以确定相对应的可迁移根密钥,而后可以向第一客户端102a发送可迁移根密钥,从而使得第一客户端102a可以稳定地获取到可迁移根密钥,进而保证了第一客户端102a基于可迁移根密钥进行密钥管理的质量和效率。
具体应用时,以服务器和至少一个客户端处于网络隔离环境中为例,本应用实施例提供了一种密钥管理系统,该密钥管理系统的操作过程包括如下步骤:
步骤一:系统管理员可以访问密钥管理系统,并向服务器申请下载密钥管理的应用程序,而后客户端上可以安装密钥管理的应用程序。
例如,系统管理员可以同时为多个客户端申请下载密钥管理的应用程序,而后,多个客户端可以基于服务器发送的软件安装信息安装密钥管理的应用程序。
步骤二:服务器获取客户端信息。
其中,客户端信息可以包括以下至少之一:IP地址、操作系统的标识信息、媒体存取控制位址(Media Access Control Address,简称MAC地址)等等。具体的,客户端信息可以存储在预设的配置管理数据库中,通过访问配置管理数据库可以获取到客户端信息。或者,系统管理员可以以在线或离线的形式将客户端信息发送至服务器。或者,在客户端安装密钥管理的应用程序之后,可以通过密钥管理的应用程序将客户端信息上传至服务器。
步骤三:服务器可以获取系统管理员申请的密钥申请请求,该密钥申请请求中包括待处理应用的应用标识信息,而后可以为待处理应用生成可迁移存储根密钥和不可迁移存储根密钥,并将可迁移存储根密钥、不可迁移存储根密钥与上述的客户端之间建立密钥对应关系。
步骤四:获取与客户端相对应的密钥管理信息。
密钥管理信息中可以包括以下至少之一:可迁移根密钥的应用范围、数据密钥的应用范围、对可迁移根密钥的更新操作信息、对数据密钥的更新操作信息等等。
步骤五:将密钥管理信息和可迁移存储根密钥、不可迁移存储根密钥发送至客户端。
具体的,服务器可以通过公开信道下发或拷贝密钥对应关系(可迁移存储根密钥、不可迁移存储根密钥与上述的客户端建立对应关系)和密钥管理信息至相对应的客户端,客户端在接收到密钥对应关系和密钥管理信息之后,可以对上述的密钥对应关系和密钥管理信息进行备份。
步骤六:客户端可以根据密钥管理信息和可迁移存储根密钥、不可迁移存储根密钥进行密钥管理操作。
具体的,客户端可以基于密钥管理信息使用可迁移存储根密钥、不可迁移存储根密钥进行密钥管理操作。
本应用实施例提供的密钥管理系统,不需要在系统上增加硬件,通过软件模块实现密钥管理,有效地降低了密钥管理的成本;另外,该系统的使用方式灵活、可靠,可以支持各种不同的密钥管理信息,使得该系统具有可扩展性,并且,便于对系统进行维护和管理;此外,该系统还不需要进行在线网络的服务,有效地保证了密钥管理的质量和效率,进一步提高了该系统使用的稳定可靠性。
图4为本发明实施例提供的一种密钥管理方法的流程图一;参考附图4所示,本实施例提供了一种密钥管理方法,该密钥管理方法的执行主体是密钥管理装置,可以理解的是,该密钥管理装置可以为服务器,且该服务器可以实现为软件、或者软件和硬件的组合;在一些实例中,密钥管理方法应用于网络隔离环境。或者,该密钥管理方法也可以应用于非网络隔离环境中。
具体的,该密钥管理方法可以包括:
S401:获取待处理应用。
S402:生成与待处理应用相对应的可迁移根密钥。
S403:将可迁移根密钥发送至与待处理应用相对应的至少一个客户端,以使至少一个客户端利用可迁移根密钥对待处理应用的数据密钥进行加密管理。
以下针对上述步骤进行详细阐述:
S401:获取待处理应用。
其中,待处理应用可以是用户预先指定或者配置的需要进行密钥管理的应用程序,可以理解的是,该待处理应用的个数可以为一个或多个。
S402:生成与待处理应用相对应的可迁移根密钥。
在服务器获取待处理应用之后,可以生成与待处理应用相对应的可迁移根密钥。具体实现时,可以通过随机数生成器来生成与待处理应用相对应的可迁移根密钥,可以理解的是,一个待处理应用可以对应一个或多个可迁移根密钥,不同的待处理应用可以对应有相同或者不同的可迁移根密钥,一般情况下,针对同一个待处理应用的可迁移根密钥相同。
S403:将可迁移根密钥发送至与待处理应用相对应的至少一个客户端,以使至少一个客户端利用可迁移根密钥对待处理应用的数据密钥进行加密管理。
在一些实例中,将可迁移根密钥发送至与待处理应用相对应的至少一个客户端,包括:获取至少一个客户端各自对应的客户端信息;将客户端信息与可迁移根密钥进行关联存储,并将可迁移根密钥发送至相对应的客户端。
具体的,在获取到可迁移密钥之后,可以将可迁移根密钥发送至至少一个客户端,上述的至少一个客户端中的每个客户端中均配置有上述待处理应用,并且,至少一个客户端所获取到的可迁移根密钥相同。在至少一个客户端获取到可迁移根密钥之后,可以将基于可迁移根密钥,在预设的多个处理应用中确定与可迁移根密钥相对应的待处理应用,而后,可以利用可迁移根密钥对待处理应用的数据密钥进行加密管理。
本实施例提供的密钥管理方法,通过获取待处理应用,生成与待处理应用相对应的可迁移根密钥,而后将可迁移根密钥发送至与待处理应用相对应的至少一个客户端,以使至少一个客户端利用可迁移根密钥对待处理应用的数据密钥进行加密管理,从而有效地实现了不需要增加硬件,通过纯软件管理技术来实现密钥管理操作,有效地降低了管理成本,有效地提高了利用可迁移根密钥进行密钥管理的质量和效率,进一步保证了该密钥管理方法的实用性。
在一些实例中,方法还包括:获取至少一个客户端各自所对应的客户端信息,确定与至少一个客户端各自对应的密钥管理信息,密钥管理信息中包括所示可迁移根密钥的应用信息和/或与待处理应用相对应的数据密钥的应用信息;将密钥管理信息发送至至少一个客户端,以使至少一个客户端基于密钥管理信息和可迁移根密钥对与待处理应用相对应的数据密钥进行加密管理。
在一些实例中,方法还包括:根据待处理应用生成不可迁移根密钥;将不可迁移根密钥发送至与待处理应用相对应的至少一个客户端,以使至少一个客户端利用可迁移根密钥和不可迁移根密钥对待处理应用进行加密管理。
本实施例中上述的方法步骤的实现过程、实现效果和实现原理与上述图1-图3中服务器所对应的执行步骤的实现过程、实现效果和实现原理相类似,具体可参考对图1-图3所示实施例的相关说明,在此不再赘述。
图5为本发明实施例提供的一种密钥管理方法的流程图二;参考附图5所示,本实施例提供了一种密钥管理方法,该密钥管理方法的执行主体是密钥管理装置,可以理解的是,该密钥管理装置可以为客户端,且该客户端可以实现为软件、或者软件和硬件的组合;在一些实例中,密钥管理方法应用于网络隔离环境。或者,该密钥管理方法也可以应用于非网络隔离环境中。
具体的,该密钥管理方法可以包括:
S501:获取可迁移根密钥。
S502:确定与可迁移根密钥相对应的待处理应用。
S503:基于可迁移根密钥对待处理应用的数据密钥进行加密管理。
以下针对上述步骤进行详细阐述:
S501:获取可迁移根密钥。
在服务器生成可迁移根密钥之后,可以将可迁移根密钥发送至对应的客户端,从而使得客户端可以获取到可迁移根密钥,该可迁移根密钥与客户端上的待处理应用相对应。
S502:确定与可迁移根密钥相对应的待处理应用。
在获取到可迁移根密钥之后,可以根据可迁移根密钥在多个应用程序中,确定与可迁移根密钥相对应的待处理应用。具体的,预先存储有可迁移根密钥与待应用程序之间存在对应关系,因此,在获取到可迁移根密钥之后,则可以确定与可迁移根密钥相对应的待处理应用。
S503:基于可迁移根密钥对待处理应用的数据密钥进行加密管理。
在获取到可迁移根密钥之后,可以利用可迁移根密钥对待处理应用的数据密钥进行加密管理,从而有效地保证了密钥管理的质量和效率。
本实施例提供的密钥管理方法,通过获取可迁移根密钥,确定与可迁移根密钥相对应的待处理应用,基于可迁移根密钥对待处理应用的数据密钥进行加密管理;从而有效地实现了不需要增加硬件,通过纯软件管理技术来实现密钥管理操作,有效地降低了管理成本,有效地提高了利用可迁移根密钥进行密钥管理的质量和效率,进一步保证了该密钥管理方法的实用性。
在一些实例中,本实施来中的方法还包括:获取密钥管理信息,密钥管理信息中包括所示可迁移根密钥的应用信息和/或与待处理应用相对应的数据密钥的应用信息;基于密钥管理信息和可迁移根密钥对与待处理应用相对应的数据密钥进行管理。
在一些实例中,基于密钥管理信息和可迁移根密钥对与待处理应用相对应的数据密钥进行管理,包括以下至少之一:根据密钥管理信息,确定可迁移根密钥的应用范围;或者,根据密钥管理信息,确定与待处理应用相对应的数据密钥的应用范围;或者,根据密钥管理信息,利用可迁移根密钥对数据密钥进行加密处理;或者,根据密钥管理信息对数据密钥进行更新。
在一些实例中,本实施例中的方法还包括:获取不可迁移根密钥;基于不可迁移根密钥和可迁移根密钥对待处理应用的数据密钥进行管理。
本实施例中上述的方法步骤的实现过程、实现效果和实现原理与上述图1-图3中客户端所对应的执行步骤的实现过程、实现效果和实现原理相类似,具体可参考对图1-图3所示实施例的相关说明,在此不再赘述。
图6为本发明实施例提供的一种密钥管理装置的结构示意图一;参考附图6所示,本实施例提供了一种密钥管理装置,该密钥管理装置可以为服务器,且该服务器可以实现为软件、或者软件和硬件的组合;该密钥管理装置可以执行上述图4所示的密钥管理方法。具体的,该密钥管理装置可以包括:
第一获取模块11,用于获取待处理应用;
第一生成模块12,用于生成与待处理应用相对应的可迁移根密钥;
第一发送模块13,用于将可迁移根密钥发送至与待处理应用相对应的至少一个客户端,以使至少一个客户端利用可迁移根密钥对待处理应用的数据密钥进行加密管理。
在一些实例中,密钥管理装置应用于网络隔离环境。
在一些实例中,在第一发送模块13将可迁移根密钥发送至与待处理应用相对应的至少一个客户端时,该第一发送模块13可以用于执行:获取至少一个客户端各自对应的客户端信息;将客户端信息与可迁移根密钥进行关联存储,并将可迁移根密钥发送至相对应的客户端。
在一些实例中,本实例中的第一获取模块11和第一发送模块13还可以用于执行以下步骤:
第一获取模块11,用于获取至少一个客户端各自所对应的客户端信息,确定与至少一个客户端各自对应的密钥管理信息,密钥管理信息中包括所示可迁移根密钥的应用信息和/或与待处理应用相对应的数据密钥的应用信息;
第一发送模块13,用于将密钥管理信息发送至至少一个客户端,以使至少一个客户端基于密钥管理信息和可迁移根密钥对与待处理应用相对应的数据密钥进行加密管理。
在一些实例中,本实例中的第一生成模块12和第一发送模块13还可以用于执行以下步骤:
第一生成模块12,用于根据待处理应用生成不可迁移根密钥;
第一发送模块13,用于将不可迁移根密钥发送至与待处理应用相对应的至少一个客户端,以使至少一个客户端利用可迁移根密钥和不可迁移根密钥对待处理应用进行加密管理。
图6所示装置可以执行图4所示实施例的方法,本实施例未详细描述的部分,可参考对图4所示实施例的相关说明。该技术方案的执行过程和技术效果参见图4所示实施例中的描述,在此不再赘述。
在一个可能的设计中,图6所示密钥管理装置的结构可实现为一电子设备,该电子设备可以是手机、平板电脑、服务器等各种设备。如图7所示,该电子设备可以包括:第一处理器21和第一存储器22。其中,第一存储器22用于存储相对应电子设备执行上述图4所示实施例中提供的密钥管理方法的程序,第一处理器21被配置为用于执行第一存储器22中存储的程序。
程序包括一条或多条计算机指令,其中,一条或多条计算机指令被第一处理器21执行时能够实现如下步骤:
获取待处理应用;
生成与待处理应用相对应的可迁移根密钥;
将可迁移根密钥发送至与待处理应用相对应的至少一个客户端,以使至少一个客户端利用可迁移根密钥对待处理应用的数据密钥进行加密管理。
进一步的,第一处理器21还用于执行前述图4所示实施例中的全部或部分步骤。
其中,电子设备的结构中还可以包括第一通信接口23,用于电子设备与其他设备或通信网络通信。
另外,本发明实施例提供了一种计算机存储介质,用于储存电子设备所用的计算机软件指令,其包含用于执行上述图4所示方法实施例中密钥管理方法所涉及的程序。
图8为本发明实施例提供的一种密钥管理装置的结构示意图二;参考附图8所示,本实施例提供了一种密钥管理装置,该密钥管理装置可以为客户端,且该服务器可以实现为软件、或者软件和硬件的组合;该密钥管理装置可以执行上述图5所示的密钥管理方法。具体的,该密钥管理装置可以包括:
第二获取模块31,用于获取可迁移根密钥;
第二确定模块32,用于确定与可迁移根密钥相对应的待处理应用;
第二处理模块33,用于基于可迁移根密钥对待处理应用的数据密钥进行加密管理。
在一些实例中,密钥管理装置应用于网络隔离环境。
在一些实例中,本实施例中的第二获取模块31和第二处理模块33还可以用于执行:
第二获取模块31,用于获取密钥管理信息,密钥管理信息中包括所示可迁移根密钥的应用信息和/或与待处理应用相对应的数据密钥的应用信息;
第二处理模块33,用于基于密钥管理信息和可迁移根密钥对与待处理应用相对应的数据密钥进行管理。
在一些实例中,在第二处理模块33基于密钥管理信息和可迁移根密钥对与待处理应用相对应的数据密钥进行管理时,该第二处理模块22可以用于执行以下至少之一:根据密钥管理信息,确定可迁移根密钥的应用范围;或者,根据密钥管理信息,确定与待处理应用相对应的数据密钥的应用范围;或者,根据密钥管理信息,利用可迁移根密钥对数据密钥进行加密处理;或者,根据密钥管理信息对数据密钥进行更新。
在一些实例中,本实施例中的第二获取模块31和第二处理模块33可以用于执行以下步骤:
第二获取模块31,用于获取不可迁移根密钥;
第二处理模块33,用于基于不可迁移根密钥和可迁移根密钥对待处理应用的数据密钥进行管理。
图8所示装置可以执行图5所示实施例的方法,本实施例未详细描述的部分,可参考对图5所示实施例的相关说明。该技术方案的执行过程和技术效果参见图5所示实施例中的描述,在此不再赘述。
在一个可能的设计中,图8所示密钥管理装置的结构可实现为一电子设备,该电子设备可以是手机、平板电脑、服务器等各种设备。如图9所示,该电子设备可以包括:第二处理器41和第二存储器42。其中,第二存储器42用于存储相对应电子设备执行上述图5所示实施例中提供的密钥管理方法的程序,第二处理器41被配置为用于执行第二存储器42中存储的程序。
程序包括一条或多条计算机指令,其中,一条或多条计算机指令被第二处理器41执行时能够实现如下步骤:
获取可迁移根密钥;
确定与可迁移根密钥相对应的待处理应用;
基于可迁移根密钥对待处理应用的数据密钥进行加密管理。
进一步的,第二处理器41还用于执行前述图5所示实施例中的全部或部分步骤。
其中,电子设备的结构中还可以包括第二通信接口43,用于电子设备与其他设备或通信网络通信。
另外,本发明实施例提供了一种计算机存储介质,用于储存电子设备所用的计算机软件指令,其包含用于执行上述图5所示方法实施例中密钥管理方法所涉及的程序。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程设备的处理器以产生一个机器,使得通过计算机或其他可编程设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (18)
1.一种密钥管理系统,其特征在于,包括:
服务器,用于获取待处理应用,并基于待处理应用生成可迁移根密钥,将所述可迁移根密钥发送至与所述待处理应用相对应的至少一个客户端;
至少一个客户端,与所述服务器通信连接,用于获取所述可迁移根密钥,确定与所述可迁移根密钥相对应的待处理应用,并基于所述可迁移根密钥对所述待处理应用的数据密钥进行加密管理;
所述服务器,用于基于所述待处理应用生成不可迁移根密钥,将所述不可迁移根密钥发送至所述至少一个客户端;
所述至少一个客户端,用于获取所述不可迁移根密钥,并基于所述不可迁移根密钥和所述可迁移根密钥对所述待处理应用的数据密钥进行加密管理。
2.根据权利要求1所述的系统,其特征在于,所述服务器与所述至少一个客户端处于网络隔离环境中。
3.根据权利要求1所述的系统,其特征在于,
所述服务器,还用于获取所述至少一个客户端各自所对应的客户端信息,将所述客户端信息与所述可迁移根密钥进行关联存储,并将所述可迁移根密钥发送至相对应的客户端。
4.根据权利要求1所述的系统,其特征在于,
所述服务器,还用于获取所述至少一个客户端各自所对应的客户端信息,确定与所述至少一个客户端各自对应的密钥管理信息,所述密钥管理信息中包括所示可迁移根密钥的应用信息和/或与所述待处理应用相对应的数据密钥的应用信息,将所述密钥管理信息发送至所述至少一个客户端;
所述至少一个客户端,用于获取所述密钥管理信息,并基于所述密钥管理信息和所述可迁移根密钥对与所述待处理应用相对应的数据密钥进行加密管理。
5.根据权利要求4所述的系统,其特征在于,在所述至少一个客户端基于所述密钥管理信息和所述可迁移根密钥对与所述待处理应用相对应的数据密钥进行管理时,所述至少一个客户端,还用于执行以下至少之一:
根据所述密钥管理信息,确定所述可迁移根密钥的应用范围;或者,
根据所述密钥管理信息,确定与所述待处理应用相对应的数据密钥的应用范围;或者,
根据所述密钥管理信息,利用所述可迁移根密钥对所述数据密钥进行加密处理;或者,
根据所述密钥管理信息对所述数据密钥进行更新。
6.根据权利要求1-5中任意一项所述的系统,其特征在于,所述至少一个客户端包括第一客户端和第二客户端;
所述第一客户端,用于在所述可迁移根密钥发生异常时,向所述第二客户端发送密钥获取请求;
所述第二客户端,用于获取所述密钥获取请求,并基于所述密钥获取请求向所述第一客户端发送所述可迁移根密钥。
7.一种密钥管理方法,其特征在于,应用于服务器,所述方法包括:
获取待处理应用;
生成与所述待处理应用相对应的可迁移根密钥;
将所述可迁移根密钥发送至与所述待处理应用相对应的至少一个客户端,以使所述至少一个客户端利用所述可迁移根密钥对所述待处理应用的数据密钥进行加密管理;
所述方法还包括:
根据所述待处理应用生成不可迁移根密钥;
将所述不可迁移根密钥发送至与所述待处理应用相对应的至少一个客户端,以使所述至少一个客户端利用所述可迁移根密钥和不可迁移根密钥对所述待处理应用进行加密管理。
8.根据权利要求7所述的方法,其特征在于,所述密钥管理方法应用于网络隔离环境。
9.根据权利要求7所述的方法,其特征在于,将所述可迁移根密钥发送至与所述待处理应用相对应的至少一个客户端,包括:
获取所述至少一个客户端各自对应的客户端信息;
将所述客户端信息与所述可迁移根密钥进行关联存储,并将所述可迁移根密钥发送至相对应的客户端。
10.根据权利要求7所述的方法,其特征在于,所述方法还包括:
获取所述至少一个客户端各自所对应的客户端信息,确定与所述至少一个客户端各自对应的密钥管理信息,所述密钥管理信息中包括所示可迁移根密钥的应用信息和/或与所述待处理应用相对应的数据密钥的应用信息;
将所述密钥管理信息发送至所述至少一个客户端,以使所述至少一个客户端基于所述密钥管理信息和所述可迁移根密钥对与所述待处理应用相对应的数据密钥进行加密管理。
11.一种密钥管理方法,其特征在于,应用于客户端,所述方法包括:
获取可迁移根密钥;
确定与所述可迁移根密钥相对应的待处理应用;
基于所述可迁移根密钥对待处理应用的数据密钥进行加密管理;
所述方法还包括:
获取不可迁移根密钥;
基于所述不可迁移根密钥和所述可迁移根密钥对所述待处理应用的数据密钥进行加密管理。
12.根据权利要求11所述的方法,其特征在于,所述密钥管理方法应用于网络隔离环境。
13.根据权利要求11所述的方法,其特征在于,所述方法还包括:
获取密钥管理信息,所述密钥管理信息中包括所示可迁移根密钥的应用信息和/或与所述待处理应用相对应的数据密钥的应用信息;
基于所述密钥管理信息和所述可迁移根密钥对与所述待处理应用相对应的数据密钥进行管理。
14.根据权利要求13所述的方法,其特征在于,基于所述密钥管理信息和所述可迁移根密钥对与所述待处理应用相对应的数据密钥进行管理,包括以下至少之一:
根据所述密钥管理信息,确定所述可迁移根密钥的应用范围;或者,
根据所述密钥管理信息,确定与所述待处理应用相对应的数据密钥的应用范围;或者,
根据所述密钥管理信息,利用所述可迁移根密钥对所述数据密钥进行加密处理;或者,
根据所述密钥管理信息对所述数据密钥进行更新。
15.一种密钥管理装置,其特征在于,应用于服务器,所述装置包括:
第一获取模块,用于获取待处理应用;
第一生成模块,用于生成与所述待处理应用相对应的可迁移根密钥;
第一发送模块,用于将所述可迁移根密钥发送至与所述待处理应用相对应的至少一个客户端,以使所述至少一个客户端利用所述可迁移根密钥对所述待处理应用的数据密钥进行加密管理;
所述第一生成模块,还用于根据所述待处理应用生成不可迁移根密钥;
所述第一发送模块,还用于将所述不可迁移根密钥发送至与所述待处理应用相对应的至少一个客户端,以使所述至少一个客户端利用所述可迁移根密钥和不可迁移根密钥对所述待处理应用进行加密管理。
16.一种电子设备,其特征在于,包括:存储器、处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如权利要求7-10中任意一项所述的密钥管理方法。
17.一种密钥管理装置,其特征在于,应用于客户端,所述装置包括:
第二获取模块,用于获取可迁移根密钥;
第二确定模块,用于确定与所述可迁移根密钥相对应的待处理应用;
第二处理模块,用于基于所述可迁移根密钥对待处理应用的数据密钥进行加密管理;
所述第二获取模块,还用于获取不可迁移根密钥;
所述第二处理模块,还用于基于所述不可迁移根密钥和所述可迁移根密钥对所述待处理应用的数据密钥进行加密管理。
18.一种电子设备,其特征在于,包括:存储器、处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如权利要求11-14中任意一项所述的密钥管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010183599.2A CN113411287B (zh) | 2020-03-16 | 2020-03-16 | 密钥管理系统、方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010183599.2A CN113411287B (zh) | 2020-03-16 | 2020-03-16 | 密钥管理系统、方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113411287A CN113411287A (zh) | 2021-09-17 |
| CN113411287B true CN113411287B (zh) | 2023-05-26 |
Family
ID=77676809
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010183599.2A Active CN113411287B (zh) | 2020-03-16 | 2020-03-16 | 密钥管理系统、方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113411287B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101946536A (zh) * | 2008-02-15 | 2011-01-12 | 艾利森电话股份有限公司 | 演进网络中的应用特定的主密钥选择 |
| CN102081716A (zh) * | 2007-09-27 | 2011-06-01 | 英特尔公司 | 向受信任平台模块提供可更新密钥绑定的方法和装置 |
| CN103236931A (zh) * | 2013-05-02 | 2013-08-07 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于tpm的身份验证方法及系统以及相关设备 |
| CN103534976A (zh) * | 2013-06-05 | 2014-01-22 | 华为技术有限公司 | 数据安全的保护方法、服务器、主机及系统 |
| CN103812648A (zh) * | 2014-03-13 | 2014-05-21 | 深圳数字电视国家工程实验室股份有限公司 | Rsa密钥生成方法及装置 |
| CN104052592A (zh) * | 2011-07-21 | 2014-09-17 | 华为技术有限公司 | 一种基于可信计算的密钥备份和迁移方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7095859B2 (en) * | 2002-03-18 | 2006-08-22 | Lenovo (Singapore) Pte. Ltd. | Managing private keys in a free seating environment |
-
2020
- 2020-03-16 CN CN202010183599.2A patent/CN113411287B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102081716A (zh) * | 2007-09-27 | 2011-06-01 | 英特尔公司 | 向受信任平台模块提供可更新密钥绑定的方法和装置 |
| CN101946536A (zh) * | 2008-02-15 | 2011-01-12 | 艾利森电话股份有限公司 | 演进网络中的应用特定的主密钥选择 |
| CN104052592A (zh) * | 2011-07-21 | 2014-09-17 | 华为技术有限公司 | 一种基于可信计算的密钥备份和迁移方法及系统 |
| CN103236931A (zh) * | 2013-05-02 | 2013-08-07 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于tpm的身份验证方法及系统以及相关设备 |
| CN103534976A (zh) * | 2013-06-05 | 2014-01-22 | 华为技术有限公司 | 数据安全的保护方法、服务器、主机及系统 |
| CN103812648A (zh) * | 2014-03-13 | 2014-05-21 | 深圳数字电视国家工程实验室股份有限公司 | Rsa密钥生成方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| TPM可迁移密钥安全性分析与研究;张倩颖等;《小型微型计算机系统》;20121015(第10期);第78-83页 * |
| 可信计算技术安全协议与密钥管理研究;许丽京;《数据通信》;20070428(第02期);第45-49页 * |
| 基于可信计算的多租户隐私数据保护;裴华艳等;《计算机系统应用》;20151015(第10期);第250-254页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113411287A (zh) | 2021-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10936735B2 (en) | Provisioning of a shippable storage device and ingesting data from the shippable storage device | |
| US9317316B2 (en) | Host virtual machine assisting booting of a fully-encrypted user virtual machine on a cloud environment | |
| US11157630B2 (en) | Migrating data between databases | |
| US9998464B2 (en) | Storage device security system | |
| US8713300B2 (en) | System and method for netbackup data decryption in a high latency low bandwidth environment | |
| US9887998B2 (en) | Security model for data transfer using a shippable storage device | |
| US10754954B2 (en) | Securely exchanging information during application startup | |
| US11632285B2 (en) | Dynamically accessing and configuring secured systems | |
| WO2017128720A1 (zh) | 基于vtpm对虚拟机进行安全保护的方法及系统 | |
| CN107181591B (zh) | 用于系统密码生成的方法与设备 | |
| CN106295386B (zh) | 数据文件的保护方法、装置及终端设备 | |
| CN113411287B (zh) | 密钥管理系统、方法、装置及设备 | |
| CN111158857A (zh) | 数据加密方法、装置、设备及存储介质 | |
| WO2023035742A1 (en) | Open-source container data management | |
| US11265156B2 (en) | Secrets management using key agreement | |
| CN114586032B (zh) | 安全的工作负载配置 | |
| CN110808943B (zh) | 客户端连接应急管理方法、客户端及计算机可读存储介质 | |
| CN112115437B (zh) | 通过Linux设备远程修改Windows设备密码的方法与设备 | |
| WO2023005704A1 (en) | Sensitive data encryption | |
| US11620399B2 (en) | End-to-end encryption with data deduplication | |
| AU2021235526B2 (en) | Secure private key distribution between endpoint instances | |
| US20220311616A1 (en) | Connection resilient multi-factor authentication | |
| CN117056943A (zh) | 数据处理方法、系统、设备及可读存储介质 | |
| CN113656820A (zh) | 数据的加密方法及装置、远程桌面系统 | |
| CN112380548A (zh) | 一种数据存储的方法、系统、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |