CN113836546B - 一种密钥管理方法、装置、设备及存储介质 - Google Patents
一种密钥管理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113836546B CN113836546B CN202111007038.8A CN202111007038A CN113836546B CN 113836546 B CN113836546 B CN 113836546B CN 202111007038 A CN202111007038 A CN 202111007038A CN 113836546 B CN113836546 B CN 113836546B
- Authority
- CN
- China
- Prior art keywords
- key
- managed
- encryption
- encrypted
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 56
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 25
- 238000013507 mapping Methods 0.000 claims abstract description 23
- 238000000605 extraction Methods 0.000 claims abstract description 21
- 238000012545 processing Methods 0.000 claims abstract description 21
- 238000004590 computer program Methods 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 description 11
- 238000004364 calculation method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 239000000284 extract Substances 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 3
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种密钥管理方法、装置、设备及存储介质,应用于客户端,包括:获取待管理密钥;按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略;当获取到密钥提取指令,利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。本申请利用表征待管理密钥、加密因子及与加密因子存在映射关系的加密算法之间的组合运算方式的自定义加密策略对待管理密钥进行加密处理,实现客户端层面的密钥安全防护与灵活应用。
Description
技术领域
本发明涉及安全存储技术领域,特别涉及一种密钥管理方法、装置、设备及存储介质。
背景技术
随着网络空间安全要求的不断增强,数据安全和个人隐私保护需求的不断提升,密码技术正在朝着大众化、普及化方向发展,密钥的使用也将面临爆发式增长,随之会在密钥安全管理、灵活应用领域带来极大挑战。尤其新型数字技术快速发展阶段,密钥担任越来越重要的角色。例如,区块链领域的密钥在数字签名、资产隐私保护、匿名认证等方面中的重要作用;人工智能领域的密钥在访问控制、数据安全、个人隐私保护等方面的关键作用。
目前,对于密钥的安全管理和灵活应用大多是面向企业级的专业密钥管理系统,均由专业人士负责对专业设备与系统进行操作、管理和使用,如密钥管理服务器等。对密钥的管理与使用通常使用密码机、密钥管理服务器或密码系统等专业装备进行操作,并且需要专业的培训和学习。然而,未来将会有更多的密钥应用面向非专业领域的大众客户端,专业级别的设备和管理将面临严峻的实用性挑战,同时密钥的安全管理也势必会遭到极大威胁和挑战。
因此,如何使得非专业领域中面向手机、电脑等通用客户端的密钥管理技术满足安全性、灵活性、实用性和简便性要求是本领域技术人员亟待解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种密钥管理方法、装置、设备及存储介质,能够实现客户端层面的密钥安全防护与灵活应用,满足安全性、灵活性、实用性和简便性的密钥管理要求。其具体方案如下:
本申请的第一方面提供了一种密钥管理方法,应用于客户端,包括:
获取待管理密钥;
按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;其中,所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略;
当获取到密钥提取指令,利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。
可选的,所述获取待管理密钥,包括:
触发密钥申请指令,以便服务端根据所述密钥申请指令生成相应的待管理密钥并利用第二加密策略对所述待管理密钥进行第二加密处理;
接收所述服务端通过预设分发途径返回的第二加密后的所述待管理密钥,并利用与所述第二加密策略对应的第二解密策略对第二加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。
可选的,服务端利用第二加密策略对所述待管理密钥进行第二加密处理,包括:
服务端利用所述客户端预先配置的加密密钥对所述待管理密钥进行第二加密处理;
相应的,所述客户端接收所述服务端通过预设分发途径返回的第二加密后的所述待管理密钥,并利用与所述第二加密策略对应的第二解密策略对第二加密后的所述待管理密钥进行解密处理,包括:
所述客户端接收所述服务端通过邮件附件途径、网页链接途径或介质邮寄途径返回的第二加密后的所述待管理密钥,并利用所述加密密钥对第二加密后的所述待管理密钥进行解密处理。
可选的,所述按照第一加密策略对所述待管理密钥进行第一加密处理,包括:
利用与所述加密因子存在映射关系的所述加密算法对所述加密因子进行加密,并根据所述组合运算方式对所述待管理密钥和加密后的所述加密因子进行运算,以得到第一加密后的所述待管理密钥;
相应的,所述利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,包括:
根据所述组合运算方式对所述待管理密钥和加密后的所述加密因子进行逆运算。
可选的,所述加密因子包括动态口令、生物特征、所述客户端中的存储信息中的任意一种或多种。
可选的,所述按照第一加密策略对所述待管理密钥进行第一加密处理之前,还包括:
通过外置设备输入动态口令和/或利用指纹提取器提取生物特征。
可选的,所述利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥之后,还包括:
获取密钥删除指令和/或密钥归档指令,并根据所述密钥删除指令对所述待管理密钥及相关条目进行删除操作和/或根据所述密钥归档指令授权所述服务端对所述待管理密钥进行归档操作。
本申请的第二方面提供了一种密钥管理装置,应用于客户端,包括:
获取模块,用于获取待管理密钥;
加密存储模块,用于按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;其中,所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略;
解密模块,用于当获取到密钥提取指令,利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。
本申请的第三方面提供了一种电子设备,所述电子设备包括处理器和存储器;其中所述存储器用于存储计算机程序,所述计算机程序由所述处理器加载并执行以实现前述密钥管理方法。
本申请的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现前述密钥管理方法。
本申请中,先获取待管理密钥,然后按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;其中,所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略。最后当获取到密钥提取指令,利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。可见,本申请利用表征待管理密钥、加密因子及与加密因子存在映射关系的加密算法之间的组合运算方式的自定义加密策略对待管理密钥进行加密处理并存储加密密钥,当获取到密钥提取指令时,进一步利用相应的解密策略从存储的加密密钥中解密提取待管理密钥,实现客户端层面的密钥安全防护与灵活应用,满足安全性、灵活性、实用性和简便性的密钥管理要求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种密钥管理方法流程图;
图2为本申请提供的一种密钥使用示意图;
图3为本申请提供的一种加密因子类型示意图;
图4为本申请提供的一种多技术融合的密钥保护机制示意图;
图5为本申请提供的一种多密钥应用框架示意图;
图6为本申请提供的一种密钥管理装置结构示意图;
图7为本申请提供的一种密钥管理电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,对于密钥的安全管理和灵活应用大多是面向企业级的专业密钥管理系统,均由专业人士负责对专业设备与系统进行操作、管理和使用,如密钥管理服务器等。对密钥的管理与使用通常使用密码机、密钥管理服务器或密码系统等专业装备进行操作,并且需要专业的培训和学习。然而,未来将会有更多的密钥应用面向非专业领域的大众客户端,专业级别的设备和管理将面临严峻的实用性挑战,同时密钥的安全管理也势必会遭到极大威胁和挑战。针对上述技术缺陷,本申请提供一种密钥管理方案,利用表征待管理密钥、加密因子及与加密因子存在映射关系的加密算法之间的组合运算方式的自定义加密策略对待管理密钥进行加密处理并存储加密密钥,当获取到密钥提取指令时,进一步利用相应的解密策略从存储的加密密钥中解密提取待管理密钥,实现客户端层面的密钥安全防护与灵活应用,满足安全性、灵活性、实用性和简便性的密钥管理要求。
图1为本申请实施例提供的一种密钥管理方法流程图。参见图1所示,该密钥管理方法应用于客户端,包括:
S11:获取待管理密钥。
本实施例中,首先获取待管理密钥,所述待管理密钥为存储于面向非专业领域的通用客户端的密钥,例如应用在非专业领域的手机、电脑等通用客户端上的满足大众化、普及化的密钥管理,解决企业级密钥安全管理与应用在非专业领域的安全、灵活应用问题。所述待管理密钥是指密码技术中的秘密密钥、私有密钥(私钥)。所述待管理密钥的使用过程如图2所示,数据X(明文或密文)在所述待管理密钥下进行操作(加密或解密)获得数据Z(密文或明文)。
本实施例中,所述待管理密钥可以通过所述客户端的触发指令控制相应的服务端生成,具体的,所述客户端触发密钥申请指令,以便服务端根据所述密钥申请指令生成相应的待管理密钥并利用第二加密策略对所述待管理密钥进行第二加密处理。相应的,所述服务端利用所述客户端预先配置的加密密钥对所述待管理密钥进行第二加密处理。所述服务端生成相应的所述待管理密钥后,为了保证密钥的安全性,需要将所述待管理密钥进行加密传输至所述客户端,所述客户端可以预先指定初始保护策略以及分发途径(传输形式),所述初始保护策略包含但不限于自定义口令、生成密钥或指定服务器提供保护等,所述传输形式包括但不限于邮件附件、网页链接、介质邮寄、现场领取等。
在此基础上,所述客户端接收所述服务端通过预设分发途径返回的第二加密后的所述待管理密钥,并利用与所述第二加密策略对应的第二解密策略对第二加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。不难理解,所述客户端接收所述服务端通过邮件附件途径、网页链接途径或介质邮寄途径返回的第二加密后的所述待管理密钥,并利用所述加密密钥对第二加密后的所述待管理密钥进行解密处理。上述过程概括来说,首先由所述客户端发起密钥申请,并指定密钥的初始保护策略也即所述第二加密策略及密钥分发途径。然后所述服务端收到所述客户请求后,根据系统密钥生成方法(密钥生成方法与具体应用绑定)为所述客户生成所需密钥key(所述待管理密钥),密钥类型包括但不限于对称密钥、非对称密钥等。进一步的,所述服务端根据客户指定的所述初始保护策略对所述待管理密钥进行加密保护,并通过客户指定的途径向所述客户发送加密的所述待管理密钥。所述客户收到所述服务端发送的密钥后,由所述客户端根据中密钥申请阶段指定的策略恢复(解密)所述待管理密钥。
S12:按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;其中,所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略。
本实施例中,所述客户端获取到所述待管理密钥后,按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;其中,所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略。具体的,利用与所述加密因子存在映射关系的所述加密算法对所述加密因子进行加密,并根据所述组合运算方式对所述待管理密钥和加密后的所述加密因子进行运算,以得到第一加密后的所述待管理密钥。所述第一加密策略为基于知识记忆、生物特征、智能设备等多因子组合形式对所述待管理密钥进行加密保护,同时结合多密码技术融合的密钥保护机制构建基于多防护因子的自定义防护策略,实现了密钥在非专业领域通用客户端的安全防护与灵活使用。
本实施例中基于多种加密因子形成多因子组合防护,所述加密因子包括动态口令、生物特征、所述客户端中的存储信息中的任意一种或多种。更进一步的,本实施例利用知识记忆(包含但不限于动态口令等记忆的知识)、生物特征(包含但不限于指纹等固有的特征)、智能设备(包含但不限于智能卡、智能手机等存储的证书、密钥等信息)等多种防护因子的灵活组合形式提供保护资源,如图3所示。因此,在按照第一加密策略对所述待管理密钥进行第一加密处理之前,还需通过外置设备输入动态口令和/或利用指纹提取器提取生物特征。在此基础上,结合多密码技术支持,如图4所示,针对不同加密因子设置自定义的密码技术,如哈希函数、生物特征模糊提取器、对称加密、非对称加密等密码技术及其与所述加密因子的映射关系。然后自定义密钥防护策略也即多加密因子与多密码技术组合形成的算法,最终形成如图5所示的面向非专业领域通用客户端基于密码技术的多密钥框架应用,为密钥使用提供安全、灵活的使用形式。
本实施例中,所述客户端指定密钥存储的安全保护策略也即所述第一加密策略,该策略具有可逆性,以便后续使用时恢复提取密钥,其中必须包含使用的加密因子、密码加密及防护策略。例如,使用口令的哈希值与密钥进行异或操作、使用生物特征的提取值与存储信息的哈希值进行矩阵操作等,通用表示如下:
Ckey=F(key,M,B,D,O,Hash,Enc,Bio,...)
其中,Ckey是指加密防护的待管理密钥,F是指防护策略算法,M(Memory的缩写,即记忆的知识)、B(Biometric的缩写,即生物特征)、D(Device的缩写,即具备存储、计算等功能的智能设备)、O(Others的缩写,即其他类型认证因子)是指加密因子,具体应用某些因子可缺省或新增,Hash、Enc、Bio是指密码技术,具体应用某些技术可缺省或新增。特别的,计算过程中所有值均为相同数据格式,例如为固定长度的二进制,特殊情况可以通过哈希函数、填充补位、格式转换等方式使数据格式保持一致,以便于计算。所述客户端执行上述步骤中设置的密钥存储安全防护策略,对密钥进行安全防护,该过程涉及所述加密因子的输入,如键盘输入口令、指纹提取器提取生物特征等。所述客户端根据设置的防护策略、输入的防护因子,执行计算对密钥进行安全防护(加密)以及对防护(加密)的密钥进行存储。
S13:当获取到密钥提取指令,利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。
本实施例中,当获取到密钥提取指令,所述客户端利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。具体的,所述客户端根据所述组合运算方式对所述待管理密钥和加密后的所述加密因子进行逆运算。所述客户端通过密钥防护策略的可逆性执行密钥提取,与上述步骤对应,该步骤同样涉及防护因子的输入、防护策略的计算执行,提取密钥key,通用表示如下:
key=F-1(Ckey,M,B,D,O,Hash,Enc,Bio,...)
其中,F-1是指防护策略的可逆算法。
密钥提取结束后,即可利用所述待管理密钥执行签名、加密、认证等关键密码应用以及密钥更新等密钥管理应用。获取密钥删除指令和/或密钥归档指令,并根据所述密钥删除指令对所述待管理密钥及相关条目进行删除操作和/或根据所述密钥归档指令授权所述服务端对所述待管理密钥进行归档操作。其中,更新密钥时需要执行上述步骤中获取新待管理密钥及其防护(加密)的密钥,替换旧密钥。密钥删除包括密钥销毁与密钥撤销,分别由所述客户端删除密钥及相关条目,所述服务端删除密钥条目或标记密钥无效。密钥归档时需由所述客户端授权所述服务端对密钥进行归档。
可见,本申请实施例先获取待管理密钥,然后按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;其中,所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略。最后当获取到密钥提取指令,利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。本申请实施例利用表征待管理密钥、加密因子及与加密因子存在映射关系的加密算法之间的组合运算方式的自定义加密策略对待管理密钥进行加密处理并存储加密密钥,当获取到密钥提取指令时,进一步利用相应的解密策略从存储的加密密钥中解密提取待管理密钥,实现客户端层面的密钥安全防护与灵活应用,满足安全性、灵活性、实用性和简便性的密钥管理要求。
本申请实施例结合具体场景中的密钥防护对上述实施例进行具体说明。如图5所示,所述客户端中包含4个应用密钥,分别为key_1、key_2、key_3、key_4,假设key_1为深度学习隐私推理使用的密钥,key_2为区块链隐私计算使用的密钥,key_3为保密通信使用的密钥,key_4为自动驾驶汽车认证所需密钥,下面以应用标识#111中key_3为例对具体实施过程进行方案说明,包括密钥生成阶段、密钥存储阶段、密钥使用阶段。
在密钥生成阶段,由所述客户端发起密钥申请,并指定密钥的初始保护策略为服务器提供保护,密钥分发途径为邮件附件,邮件正文需包含初始加密策略对应的解密方法,例如基于口令的加密压缩方法等。所述服务端收到客户请求后,根据系统密钥生成方法为所述客户生成所需密钥key_3,用于保密通信,设置密钥key_3为512bit二进制数值。所述服务端对密钥进行加密保护,加密保护方式为随机生成口令password,对密钥进行加密压缩形成附件,并通过邮件以附件形式向所述客户发送加密压缩形成的密钥文件及相应的解密方法和口令password。所述客户收到所述服务端发送的密钥后,从邮件附件下载密钥文件,通过给定的口令password和解密方法,输入口令对下载的密钥文件进行解压缩获取密钥文件,并通过指定方式获取的密钥值。
在密钥存储阶段,所述客户端指定密钥存储的安全保护策略为选择口令M为记忆的知识、指纹B为具备的特征、存储D为智能手机,密码技术及其与防护因子的映射关系定义为Hash函数处理口令M、模糊特征提取器Extract函数处理指纹B、对称加密Encrypt函数处理存储的信息D,计算过程定义为:
Ckey_3=Hash(M)+Extract(B)+Encrypt(D)+key_3
设置Hash、Extract和Encrypt输出值均为512bit二进制,“+”定义为异或运算。所述客户端获取键盘输入口令M、指纹提取器提取生物特征B、读取智能手机存储的信息D,执行上方计算对密钥key_3进行安全防护,对加密的密钥Ckey_3进行存储。
在密钥使用阶段,所述客户端通过密钥防护策略的可逆算法执行密钥提取,提取密钥的计算过程定义为:
key_3=Ckey_3+Hash(M)+Extract(B)+Encrypt(D)
密钥提取结束后,应用于保密通信系统。基于此,还可以执行上述实施例中的密钥更新、密钥删除及密钥归档等操作,本实施例对此不再进行赘述。
可见,本申请中利用知识记忆、生物特征、智能设备等多种防护因子的灵活组合形式提供保护资源,结合多密码技术支持,针对不同防护因子自定义设置不同加密技术及密钥防护策略,为密钥使用提供安全保障机制。由此形成的多密钥应用框架,面向基于密码技术的应用,为密钥使用提供安全、灵活的使用形式。能够应用于服务器管理应用、手机app应用等需要密钥应用的产品,为产品提供安全、灵活的密钥使用形式,尤其适用于非专业领域中密钥安全管理与灵活应用,有助于提高产品安全性、可用性。
参见图6所示,本申请实施例还相应公开了一种密钥管理装置,应用于客户端,包括:
获取模块11,用于获取待管理密钥;
加密存储模块12,用于按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;其中,所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略;
解密模块13,用于当获取到密钥提取指令,利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。
可见,本申请实施例先获取待管理密钥,然后按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;其中,所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略。最后当获取到密钥提取指令,利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。本申请实施例利用表征待管理密钥、加密因子及与加密因子存在映射关系的加密算法之间的组合运算方式的自定义加密策略对待管理密钥进行加密处理并存储加密密钥,当获取到密钥提取指令时,进一步利用相应的解密策略从存储的加密密钥中解密提取待管理密钥,实现客户端层面的密钥安全防护与灵活应用,满足安全性、灵活性、实用性和简便性的密钥管理要求。
在一些具体实施例中,所述获取模块11,具体包括:
触发单元,用于触发密钥申请指令,以便服务端根据所述密钥申请指令生成相应的待管理密钥并利用第二加密策略对所述待管理密钥进行第二加密处理;
接收单元,用于接收所述服务端通过预设分发途径返回的第二加密后的所述待管理密钥,并利用与所述第二加密策略对应的第二解密策略对第二加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。
在一些具体实施例中,所述加密存储模块12,具体用于利用与所述加密因子存在映射关系的所述加密算法对所述加密因子进行加密,并根据所述组合运算方式对所述待管理密钥和加密后的所述加密因子进行运算,以得到第一加密后的所述待管理密钥;
相应的,所述解密模块13,具体用于根据所述组合运算方式对所述待管理密钥和加密后的所述加密因子进行逆运算。
在一些具体实施例中,所述密钥管理装置还包括:
采集模块,用于通过外置设备输入动态口令和/或利用指纹提取器提取生物特征;
密钥删除模块,用于获取密钥删除指令,并根据所述密钥删除指令对所述待管理密钥及相关条目进行删除操作;
密钥归档模块,用于获取密钥归档指令,并根据所述密钥归档指令授权所述服务端对所述待管理密钥进行归档操作。
进一步的,本申请实施例还提供了一种电子设备。图7是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图7为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的密钥管理方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222及数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的密钥管理方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223可以包括电子设备20收集到的待管理密钥。
进一步的,本申请实施例还公开了一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器加载并执行时,实现前述任一实施例公开的密钥管理方法步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的密钥管理方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种密钥管理方法,其特征在于,应用于客户端,包括:
获取待管理密钥;
按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;其中,所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略;
当获取到密钥提取指令,利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥;
所述按照第一加密策略对所述待管理密钥进行第一加密处理,包括:
利用与所述加密因子存在映射关系的所述加密算法对所述加密因子进行加密,并根据所述组合运算方式对所述待管理密钥和加密后的所述加密因子进行运算,以得到第一加密后的所述待管理密钥;
相应的,所述利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,包括:
根据所述组合运算方式对所述待管理密钥和加密后的所述加密因子进行逆运算。
2.根据权利要求1所述的密钥管理方法,其特征在于,所述获取待管理密钥,包括:
触发密钥申请指令,以便服务端根据所述密钥申请指令生成相应的待管理密钥并利用第二加密策略对所述待管理密钥进行第二加密处理;
接收所述服务端通过预设分发途径返回的第二加密后的所述待管理密钥,并利用与所述第二加密策略对应的第二解密策略对第二加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥。
3.根据权利要求2所述的密钥管理方法,其特征在于,服务端利用第二加密策略对所述待管理密钥进行第二加密处理,包括:
服务端利用所述客户端预先配置的加密密钥对所述待管理密钥进行第二加密处理;
相应的,所述客户端接收所述服务端通过预设分发途径返回的第二加密后的所述待管理密钥,并利用与所述第二加密策略对应的第二解密策略对第二加密后的所述待管理密钥进行解密处理,包括:
所述客户端接收所述服务端通过邮件附件途径、网页链接途径或介质邮寄途径返回的第二加密后的所述待管理密钥,并利用所述加密密钥对第二加密后的所述待管理密钥进行解密处理。
4.根据权利要求1至3任一项所述的密钥管理方法,其特征在于,所述加密因子包括动态口令、生物特征、所述客户端中的存储信息中的任意一种或多种。
5.根据权利要求4所述的密钥管理方法,其特征在于,所述按照第一加密策略对所述待管理密钥进行第一加密处理之前,还包括:
通过外置设备输入动态口令和/或利用指纹提取器提取生物特征。
6.根据权利要求1所述的密钥管理方法,其特征在于,所述利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥之后,还包括:
获取密钥删除指令和/或密钥归档指令,并根据所述密钥删除指令对所述待管理密钥及相关条目进行删除操作和/或根据所述密钥归档指令授权服务端对所述待管理密钥进行归档操作。
7.一种密钥管理装置,其特征在于,应用于客户端,包括:
获取模块,用于获取待管理密钥;
加密存储模块,用于按照第一加密策略对所述待管理密钥进行第一加密处理,并存储第一加密后的所述待管理密钥;其中,所述第一加密策略为所述客户端预先配置的表征所述待管理密钥、加密因子及与所述加密因子存在映射关系的加密算法之间的组合运算方式的策略;
解密模块,用于当获取到密钥提取指令,利用与所述第一加密策略对应的第一解密策略对第一加密后的所述待管理密钥进行解密处理,以得到所述待管理密钥;
所述加密存储模块,具体用于利用与所述加密因子存在映射关系的所述加密算法对所述加密因子进行加密,并根据所述组合运算方式对所述待管理密钥和加密后的所述加密因子进行运算,以得到第一加密后的所述待管理密钥;
所述解密模块,具体用于根据所述组合运算方式对所述待管理密钥和加密后的所述加密因子进行逆运算。
8.一种电子设备,其特征在于,所述电子设备包括处理器和存储器;其中所述存储器用于存储计算机程序,所述计算机程序由所述处理器加载并执行以实现如权利要求1至6任一项所述的密钥管理方法。
9.一种计算机可读存储介质,其特征在于,用于存储计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至6任一项所述的密钥管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111007038.8A CN113836546B (zh) | 2021-08-30 | 2021-08-30 | 一种密钥管理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111007038.8A CN113836546B (zh) | 2021-08-30 | 2021-08-30 | 一种密钥管理方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113836546A CN113836546A (zh) | 2021-12-24 |
| CN113836546B true CN113836546B (zh) | 2024-02-13 |
Family
ID=78961592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111007038.8A Active CN113836546B (zh) | 2021-08-30 | 2021-08-30 | 一种密钥管理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113836546B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115118523B (zh) * | 2022-08-22 | 2022-11-08 | 广州万协通信息技术有限公司 | 终端设备调整加密策略的安全芯片加密处理方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080077500A (ko) * | 2007-02-20 | 2008-08-25 | 고려대학교 산학협력단 | 가시검증 가능한 키 교환 장치, 신뢰된 인증 기관을 이용한가시검증 가능한 키 교환 시스템, 그 방법 및 기록매체 |
| CN101777977A (zh) * | 2009-01-08 | 2010-07-14 | 李虹 | 基于生物特征点拓扑结构的非对称加解密方法 |
| CN104410616A (zh) * | 2014-11-20 | 2015-03-11 | 广州日滨科技发展有限公司 | 数据加密、解密、传输方法和系统 |
| CN105306437A (zh) * | 2015-09-17 | 2016-02-03 | 成都索贝数码科技股份有限公司 | 一种网络安全加密及校验方法 |
| WO2017091959A1 (zh) * | 2015-11-30 | 2017-06-08 | 华为技术有限公司 | 一种数据传输方法、用户设备和网络侧设备 |
| CN108959978A (zh) * | 2018-06-28 | 2018-12-07 | 北京海泰方圆科技股份有限公司 | 设备中密钥的生成与获取方法及装置 |
| CN111079128A (zh) * | 2019-12-11 | 2020-04-28 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置、电子设备以及存储介质 |
| CN111132150A (zh) * | 2019-12-31 | 2020-05-08 | 中科曙光国际信息产业有限公司 | 一种保护数据的方法、装置、存储介质和电子设备 |
| CN111193740A (zh) * | 2019-12-31 | 2020-05-22 | 苏宁金融科技(南京)有限公司 | 加密方法、装置、解密方法、计算机设备和存储介质 |
-
2021
- 2021-08-30 CN CN202111007038.8A patent/CN113836546B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080077500A (ko) * | 2007-02-20 | 2008-08-25 | 고려대학교 산학협력단 | 가시검증 가능한 키 교환 장치, 신뢰된 인증 기관을 이용한가시검증 가능한 키 교환 시스템, 그 방법 및 기록매체 |
| CN101777977A (zh) * | 2009-01-08 | 2010-07-14 | 李虹 | 基于生物特征点拓扑结构的非对称加解密方法 |
| CN104410616A (zh) * | 2014-11-20 | 2015-03-11 | 广州日滨科技发展有限公司 | 数据加密、解密、传输方法和系统 |
| CN105306437A (zh) * | 2015-09-17 | 2016-02-03 | 成都索贝数码科技股份有限公司 | 一种网络安全加密及校验方法 |
| WO2017091959A1 (zh) * | 2015-11-30 | 2017-06-08 | 华为技术有限公司 | 一种数据传输方法、用户设备和网络侧设备 |
| CN108959978A (zh) * | 2018-06-28 | 2018-12-07 | 北京海泰方圆科技股份有限公司 | 设备中密钥的生成与获取方法及装置 |
| CN111079128A (zh) * | 2019-12-11 | 2020-04-28 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、装置、电子设备以及存储介质 |
| CN111132150A (zh) * | 2019-12-31 | 2020-05-08 | 中科曙光国际信息产业有限公司 | 一种保护数据的方法、装置、存储介质和电子设备 |
| CN111193740A (zh) * | 2019-12-31 | 2020-05-22 | 苏宁金融科技(南京)有限公司 | 加密方法、装置、解密方法、计算机设备和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 一种基于动态口令的异构机制身份认证方案;陈如;傅明;;计算技术与自动化(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113836546A (zh) | 2021-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109471844B (zh) | 文件共享方法、装置、计算机设备和存储介质 | |
| CN106664202B (zh) | 提供多个设备上的加密的方法、系统和计算机可读介质 | |
| CN108200172B (zh) | 一种支持安全数据去重与删除的云存储系统及方法 | |
| US10057060B2 (en) | Password-based generation and management of secret cryptographic keys | |
| CN113067699B (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
| CN105245328A (zh) | 一种基于第三方的用户及文件的密钥产生管理方法 | |
| CN103546547A (zh) | 一种云存储文件加密系统 | |
| CN109525388B (zh) | 一种密钥分离的组合加密方法及系统 | |
| CA3066701A1 (en) | Controlling access to data | |
| Xiong et al. | A secure document self-destruction scheme: an ABE approach | |
| Chao et al. | An Improved Key-Management Scheme for Hierarchical Access Control. | |
| CN113836546B (zh) | 一种密钥管理方法、装置、设备及存储介质 | |
| Davies et al. | Security analysis of the whatsapp end-to-end encrypted backup protocol | |
| US8195959B2 (en) | Encrypting a credential store with a lockbox | |
| CN109934013A (zh) | 一种数据保护方法及装置 | |
| Grover et al. | A framework for cloud data security | |
| CN109412788B (zh) | 基于公共密钥池的抗量子计算代理云存储安全控制方法和系统 | |
| KR101793528B1 (ko) | 무인증서 공개키 암호 시스템 | |
| US10892892B1 (en) | Method and apparatus for end-to-end secure sharing of information with multiple recipients without maintaining a key directory | |
| Chennam et al. | Cloud security in crypt database server using fine grained access control | |
| CN113779629A (zh) | 密钥文件共享方法、装置、处理器芯片及服务器 | |
| Nusrat et al. | Simplified FADE with sharing feature (SFADE+): A overlay approach for cloud storage system | |
| KR101936955B1 (ko) | 디피헬만 알고리즘과 타원곡선 디피헬만 알고리즘의 비대칭 응용을 이용한 가용성이 보장되는 안전한 비밀정보 백업 및 복원 방법 | |
| Shete et al. | Ranked multi-keyword search data using cloud | |
| Awang et al. | Multi-agent integrated password management (MIPM) application secured with encryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |