CN114329605A - 一种密码卡密钥管理方法及装置 - Google Patents

一种密码卡密钥管理方法及装置 Download PDF

Info

Publication number
CN114329605A
CN114329605A CN202111670847.7A CN202111670847A CN114329605A CN 114329605 A CN114329605 A CN 114329605A CN 202111670847 A CN202111670847 A CN 202111670847A CN 114329605 A CN114329605 A CN 114329605A
Authority
CN
China
Prior art keywords
key
server
encryption
card
cryptographic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111670847.7A
Other languages
English (en)
Inventor
黄文博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111670847.7A priority Critical patent/CN114329605A/zh
Publication of CN114329605A publication Critical patent/CN114329605A/zh
Pending legal-status Critical Current

Links

Images

Abstract

本申请提供一种密码卡密钥管理方法及装置,应用于安全存储,其中,应用于服务器的方法可以包括:接收一张密码卡发送的密钥使用请求;基于密钥使用请求查询对应的待使用密钥的状态;若待使用密钥的状态满足使用条件,对待使用密钥进行加密,得到加密密钥;将加密密钥发送给密码卡,以使密码卡根据加密密钥确定待使用密钥。在上述方案中,可以将密码卡的大部分密钥存储在密码卡外部的服务器上,从而实现密钥的大规模存储;同时,通过对密钥进行加密保证密钥存储及使用的安全性。

Description

一种密码卡密钥管理方法及装置
技术领域
本申请涉及安全存储领域,具体而言,涉及一种密码卡密钥管理方法及装置。
背景技术
随着信息技术的不断发展,对于数据安全保障的需求也越来越高。在现有技术中,常常会用到密码卡存储及使用多种密钥,以实现数据的安全保证,但是,现有的密码卡提供的内部存储空间非常有限,难以满足大规模密钥存储及使用的需求。而如果将密钥存储在密码卡之外,又无法保证密钥的安全性。因此,现有技术中的密码卡无法在保证安全性的基础上实现大规模密钥存储及使用。
发明内容
本申请实施例的目的在于提供一种密码卡密钥管理方法及装置,用以解决在保证安全性的基础上实现大规模密钥存储及使用的技术问题。
第一方面,本申请实施例提供一种密码卡密钥管理方法,应用于服务器,所述服务器与多张密码卡连接,所述方法包括:接收一张密码卡发送的密钥使用请求;基于所述密钥使用请求查询对应的待使用密钥的状态;若所述待使用密钥的状态满足使用条件,对所述待使用密钥进行加密,得到加密密钥;将所述加密密钥发送给所述密码卡,以使所述密码卡根据所述加密密钥确定所述待使用密钥。在上述方案中,可以将密码卡的大部分密钥存储在密码卡外部的服务器上,从而实现密钥的大规模存储;同时,通过对密钥进行加密保证密钥存储及使用的安全性。
在可选的实施方式中,若所述密钥的生命周期大于预设生命周期,则所述对所述待使用密钥进行加密,得到加密密钥,包括:利用事先确定的字典字符串对所述待使用密钥进行加密,得到转换密钥;利用事先协商的公钥对所述转换密钥进行加密,得到所述加密密钥。在上述方案中,针对生命周期较大的密钥,由于其存在的时间较长,因此安全性相对较低。因此,在传输该种密钥时,可以先利用字符串对密钥进行第一层的加密,再在此基础上,利用公钥进行第二层的加密,从而保证密钥的安全性。
在可选的实施方式中,若所述密钥的生命周期小于预设生命周期,则所述对所述待使用密钥进行加密,得到加密密钥,包括:利用事先确定的字典字符串对所述待使用密钥进行加密,得到所述加密密钥。在上述方案中,针对生命周期较小的密钥,由于其存在的时间较短,因此安全性相对较高。因此,在传输该种密钥时,可以仅利用字符串对密钥进行一层的加密,从而可以保证密钥的安全性的基础上,提高密钥传输的性能。
在可选的实施方式中,所述方法还包括:在接收到密钥新增请求时,基于所述密钥新增请求中的索引查询对应的待新增密钥的状态;若所述待新增密钥的状态满足新增条件,则向第一密码卡发送密钥生成请求;接收所述第一密码卡发送的第一加密生成密钥;利用与所述第一密码卡对应的公钥对所述第一加密生成密钥进行解密,得到新增转换密钥;利用与所述第二密码卡对应的公钥对所述新增转换密钥进行加密,得到第二加密生成密钥;向所述第二密码卡发送所述第二加密生成密钥。在上述方案中,当服务器中需要新增密钥时,可以由多张密码卡中的一张去生成新的密钥,并对密钥加密后将密钥发送给服务器;而为了实现多张密码卡之间密钥的同步,服务器可以将上述密钥发送给其他密码卡。
第二方面,本申请实施例提供一种密码卡密钥管理方法,应用于密码卡,所述密码卡与服务器连接,所述服务器与多张密码卡连接,所述方法包括:向所述服务器发送密钥使用请求,并接收所述服务器发送的加密密钥;对所述加密密钥进行解密,得到对应的待使用密钥。在上述方案中,可以将密码卡的大部分密钥存储在密码卡外部的服务器上,从而实现密钥的大规模存储;同时,通过对密钥进行加密保证密钥存储及使用的安全性。
在可选的实施方式中,若所述密钥的生命周期大于预设生命周期,则所述对所述加密密钥进行解密,得到对应的待使用密钥,包括:利用事先协商的公钥对所述加密密钥进行解密,得到转换密钥;利用事先确定的字典字符串对所述转换密钥进行解密,得到所述待使用密钥。在上述方案中,针对生命周期较大的密钥,由于其存在的时间较长,因此安全性相对较低。因此,在传输该种密钥时,可以先利用字符串对密钥进行第一层的加密,再在此基础上,利用公钥进行第二层的加密,从而保证密钥的安全性。
在可选的实施方式中,若所述密钥的生命周期小于预设生命周期,则所述对所述加密密钥进行解密,得到对应的待使用密钥,包括:利用事先确定的字典字符串对所述加密密钥进行解密,得到所述待使用密钥。在上述方案中,针对生命周期较小的密钥,由于其存在的时间较短,因此安全性相对较高。因此,在传输该种密钥时,可以仅利用字符串对密钥进行一层的加密,从而可以保证密钥的安全性的基础上,提高密钥传输的性能。
在可选的实施方式中,所述方法还包括:接收所述服务器发送的密钥生成请求;根据所述密钥生成请求生成对应的新的密钥,并利用事先确定的字典字符串对所述新的密钥进行加密,得到新增转换密钥;利用事先协商的公钥对所述新增转换密钥进行加密,得到第一加密生成密钥;向所述服务器发送所述第一加密生成密钥。在上述方案中,当服务器中需要新增密钥时,可以由多张密码卡中的一张去生成新的密钥,并对密钥加密后将密钥发送给服务器;而为了实现多张密码卡之间密钥的同步,服务器可以将上述密钥发送给其他密码卡。
第三方面,本申请实施例提供一种密码卡密钥管理装置,应用于服务器,所述服务器与多张密码卡连接,所述密码卡密钥管理装置包括:第一接收模块,用于接收一张密码卡发送的密钥使用请求;第二查询模块,用于基于所述密钥使用请求查询对应的待使用密钥的状态;第一加密模块,用于若所述待使用密钥的状态满足使用条件,对所述待使用密钥进行加密,得到加密密钥;第一发送模块,用于将所述加密密钥发送给所述密码卡,以使所述密码卡根据所述加密密钥确定所述待使用密钥。在上述方案中,可以将密码卡的大部分密钥存储在密码卡外部的服务器上,从而实现密钥的大规模存储;同时,通过对密钥进行加密保证密钥存储及使用的安全性。
在可选的实施方式中,若所述密钥的生命周期大于预设生命周期,则所述第一加密模块具体用于:利用事先确定的字典字符串对所述待使用密钥进行加密,得到转换密钥;利用事先协商的公钥对所述转换密钥进行加密,得到所述加密密钥。在上述方案中,针对生命周期较大的密钥,由于其存在的时间较长,因此安全性相对较低。因此,在传输该种密钥时,可以先利用字符串对密钥进行第一层的加密,再在此基础上,利用公钥进行第二层的加密,从而保证密钥的安全性。
在可选的实施方式中,若所述密钥的生命周期小于预设生命周期,则所述第一加密模块具体用于:利用事先确定的字典字符串对所述待使用密钥进行加密,得到所述加密密钥。在上述方案中,针对生命周期较小的密钥,由于其存在的时间较短,因此安全性相对较高。因此,在传输该种密钥时,可以仅利用字符串对密钥进行一层的加密,从而可以保证密钥的安全性的基础上,提高密钥传输的性能。
在可选的实施方式中,所述密码卡密钥管理装置还包括:第二查询模块,用于在接收到密钥新增请求时,基于所述密钥新增请求中的索引查询对应的待新增密钥的状态;第三发送模块,用于若所述待新增密钥的状态满足新增条件,则向第一密码卡发送密钥生成请求;接收所述第一密码卡发送的第一加密生成密钥;第二解密模块,用于利用与所述第一密码卡对应的公钥对所述第一加密生成密钥进行解密,得到新增转换密钥;第二加密模块,用于利用与所述第二密码卡对应的公钥对所述新增转换密钥进行加密,得到第二加密生成密钥;第四发送模块,用于向所述第二密码卡发送所述第二加密生成密钥。在上述方案中,当服务器中需要新增密钥时,可以由多张密码卡中的一张去生成新的密钥,并对密钥加密后将密钥发送给服务器;而为了实现多张密码卡之间密钥的同步,服务器可以将上述密钥发送给其他密码卡。
第四方面,本申请实施例提供一种密码卡密钥管理装置,应用于密码卡,所述密码卡与服务器连接,所述服务器与多张密码卡连接,所述密码卡密钥管理装置包括:第二发送模块,用于向所述服务器发送密钥使用请求,并接收所述服务器发送的加密密钥;第一解密模块,用于对所述加密密钥进行解密,得到对应的待使用密钥。在上述方案中,可以将密码卡的大部分密钥存储在密码卡外部的服务器上,从而实现密钥的大规模存储;同时,通过对密钥进行加密保证密钥存储及使用的安全性。
在可选的实施方式中,若所述密钥的生命周期大于预设生命周期,则所述第一解密模块具体用于:利用事先协商的公钥对所述加密密钥进行解密,得到转换密钥;利用事先确定的字典字符串对所述转换密钥进行解密,得到所述待使用密钥。在上述方案中,针对生命周期较大的密钥,由于其存在的时间较长,因此安全性相对较低。因此,在传输该种密钥时,可以先利用字符串对密钥进行第一层的加密,再在此基础上,利用公钥进行第二层的加密,从而保证密钥的安全性。
在可选的实施方式中,若所述密钥的生命周期小于预设生命周期,则所述第一解密模块具体用于:利用事先确定的字典字符串对所述加密密钥进行解密,得到所述待使用密钥。在上述方案中,针对生命周期较小的密钥,由于其存在的时间较短,因此安全性相对较高。因此,在传输该种密钥时,可以仅利用字符串对密钥进行一层的加密,从而可以保证密钥的安全性的基础上,提高密钥传输的性能。
在可选的实施方式中,所述密码卡密钥管理装置还包括:第二接收模块,用于接收所述服务器发送的密钥生成请求;第三加密模块,用于根据所述密钥生成请求生成对应的新的密钥,并利用事先确定的字典字符串对所述新的密钥进行加密,得到新增转换密钥;第四加密模块,用于利用事先协商的公钥对所述新增转换密钥进行加密,得到第一加密生成密钥;第五发送模块,用于向所述服务器发送所述第一加密生成密钥。在上述方案中,当服务器中需要新增密钥时,可以由多张密码卡中的一张去生成新的密钥,并对密钥加密后将密钥发送给服务器;而为了实现多张密码卡之间密钥的同步,服务器可以将上述密钥发送给其他密码卡。
第五方面,本申请实施例提供一种计算机程序产品,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如第一方面及第二方面中任一项所述的方法。
第六方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如第一方面及第二方面中任一项所述的方法。
第七方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如第一方面及第二方面中任一项所述的方法。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举本申请实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种密码卡密钥管理系统的结构框图;
图2为本申请实施例提供的一种密码卡密钥管理方法的交互图;
图3为本申请实施例提供的一种应用于服务器的密码卡密钥管理装置的结构框图;
图4为本申请实施例提供的一种应用于密码卡的密码卡密钥管理装置的结构框图;
图5为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,图1为本申请实施例提供的一种密码卡密钥管理系统的结构框图,该密码卡101密钥管理系统100可以包括服务器102以及多张密码卡101。其中,每张密码卡101均可以与服务器102建立会话通道,且多张密码卡101上的密钥可以存储在密码卡101外部的服务器102上。
具体的,密码卡101中包括多种类型的密钥,例如:密码卡101根密钥、设备密钥、用户密钥、密钥加密密钥、会话密钥以及协商密钥等。在现有技术中,上述多种类型的密钥均存储在密码卡101中;而在本申请实施例中,上述多种类型的密钥可以部分存储在密码卡101中,另一部分存储在服务器102中,或者,上述多种类型的密钥可以均存储在服务器102中。
作为一种实施方式,密码卡101根密钥以及设备密钥可以存储在密码卡101中,而用户密钥、密钥加密密钥、会话密钥以及协商密钥可以存储在服务器102中;作为另一种实施方式,密码卡101根密钥、设备密钥、用户密钥、密钥加密密钥、会话密钥以及协商密钥均存储在服务器102中。
可以理解的是,上述密钥的类型以及密钥的存储方式均为本申请实施例提供的示例,本领域技术人员在上述实施例的基础上,可以结合实际情况进行合适的调整。
结合上述分析,以密码卡101根密钥、设备密钥、用户密钥、密钥加密密钥、会话密钥以及协商密钥均存储在服务器102中为例,服务器102上可以存储有上述所有的密钥以及上述密钥中部分密钥的状态。作为一种实施方式,上述部分密钥可以包括用户密钥、密钥加密密钥、会话密钥以及协商密钥。作为另一种实施方式,上述密钥的状态可以包括未生成、存在未使用、使用中等,本申请实施例对此同样不作具体的限定。
为了保证密钥的安全性,可以采用以下一种或者多种措施:对密钥进行加密,使服务器102中存储的密钥为密钥密文而非密钥明文;在密码卡101与服务器102之间传输密钥的过程中,对密钥进行加密;密钥及参数传输建立在有校验的安全通道之上,且同平台环境相对封闭;通过公私钥的匹配验证确定密码是否篡改等。因此,通过上述措施,可以防止密钥信息的泄露以及防止密钥的内容被篡改,从而可以保证密钥的安全性。
而在保证密钥安全性的基础上,为了提高密钥使用的性能,可以采用以下一种或者多种措施:针对不同类别的密钥采用不同的使用方法;每张密码卡101保留其加密密钥对应密文副本,减少加密转换时间的开销;密码卡101内部使用剩余的空间存储最近使用过的密钥,减少从服务器102上获取密钥的开销;通过维护多张密码卡101之前数据的一致性,减少存储在服务器102上的密钥在密卡内部进行加载的开销等。因此,通过上述措施,可以在在保证密钥安全性的基础上,提高密钥使用的性能。
需要说明的是,上述实施例中的多种措施仅为本申请实施例提供的示例,本领域技术人员在上述实施例的基础上,可以结合实际情况进行合适的调整。此外,后续实施例中将对上述多种措施中的部分措施进行详细的介绍,本领域可以结合现有技术以及本申请实施例的介绍实现上述各种措施。
针对上述实施例中提到的不同类别的密钥,本申请实施例举例说明一种密钥的分类方式。按照密钥的存储特性,可以将密钥分为三个类别:第一类别的密钥生命周期较长,且属于密码卡101内部非易失性存储,例如:密码卡101根密钥、设备密钥等;第二类别的密钥生命周期也较长,但是属于服务器102上非易失性存储,例如:用户密钥、密钥加密密钥等;第三类别的密钥生命周期较短,一般一次一密,且当密码卡101掉电时该种密钥会丢失,例如:会话密钥、协商密钥等。
可以理解的是,上述密钥的分类方式也为本申请实施例提供的示例,本领域技术人员在上述实施例的基础上,可以结合实际情况进行合适的调整。
基于上述密码卡密钥管理系统,本申请实施例还提供一种密码卡密钥管理方法。请参照图2,图2为本申请实施例提供的一种密码卡密钥管理方法的交互图,该密码卡密钥管理方法可以包括如下内容:
步骤S201:密码卡向服务器发送密钥使用请求。
步骤S202:服务器在接收到密码卡发送的密钥使用请求后,基于密钥使用请求查询对应的待使用密钥的状态。
步骤S203:若待使用密钥的状态满足使用条件,则服务器对待使用密钥进行加密,得到加密密钥。
步骤S204:服务器将加密密钥发送给密码卡。
步骤S205:密码卡在接收到加密密钥后,对加密密钥进行解密,得到对应的待使用密钥。
具体的,在与服务器连接的多张密码卡中的某一张密码卡需要使用服务器中存储的密钥时,该张密码卡可以首先向服务器发送密钥使用请求。
作为一种实施方式,密钥使用请求中可以包括待使用密钥对应的索引,其中,服务器中存储的每一个密钥均可以对应一个索引,通过查找索引,便可以找到对应的密钥。
服务器在接收到该张密码卡发送的密钥使用请求之后,可以基于密钥使用请求中的索引查找对应的待使用密钥,并查询待使用密钥的状态。其中,待使用密钥的状态有多种情况,例如:密钥存在/不存在、密钥使用中/空闲等,本申请实施例对此不作具体的限定。
当待使用密钥的状态满足使用条件时,服务器可以对待使用密钥进行加密,并将解密后得到的加密密钥发送给发送密钥使用请求的密码卡。
其中,根据事先配置的待使用密钥状态的不同,上述使用条件也不同。以事先配置的待使用密钥状态包括密钥存在/不存在以及密钥使用中/空闲为例,当密钥存在且空闲时,可以认为该待使用密钥的状态满足上述使用条件;当密钥不存在或者密钥使用中时,可以认为该待使用密钥的状态不满足上述使用条件。
可以理解的是,当待使用密钥的状态不满足使用条件时,说明密码卡当前无法使用该密钥,因此,作为一种实施方式,服务器可以向发送密钥使用请求的密码卡返回密钥无法使用的信息。
而当待使用密钥的状态满足使用条件时,说明密码卡可以使用该密钥,因此,为了保证密钥的安全性,服务器可以对待使用密钥进行加密后再发送给密码卡;相应的,密码卡在接收到加密后得到的加密密钥之后,也需要对加密密钥进行解密后,得到对应的待使用密钥。
需要说明的是,本申请实施例对加密密钥的方式不作具体的限定,举例来说:可以采用公钥私钥的方式对密钥进行加密;或者,可以使用哈希计算的方式对密钥进行加密;或者,可以使用一段字符串对密钥进行加密等。可以理解的是,上述加密方式仅为本申请实施例提供的示例,在实际加密过程中,可以采用一种加密方式对密钥进行加密,也可以采用多种加密方式对密钥进行加密,本领域技术人员可以根据实际情况进行合适的选择。
在上述方案中,可以将密码卡的大部分密钥存储在密码卡外部的服务器上,从而实现密钥的大规模存储;同时,通过对密钥进行加密保证密钥存储及使用的安全性。
进一步的,以上述实施例中对密钥进行分类的分类方式为例,按照密钥的存储特性,可以将密钥分为三个类别:第一类别的密钥生命周期较长,且属于密码卡内部非易失性存储,例如:密码卡根密钥、设备密钥等;第二类别的密钥生命周期也较长,但是属于服务器上非易失性存储,例如:用户密钥、密钥加密密钥等;第三类别的密钥生命周期较短,一般一次一密,且当密码卡掉电时该种密钥会丢失,例如:会话密钥、协商密钥等。
基于上述示例,下面对服务器对密钥进行加密以及密码卡进行解密的具体实施方式进行详细的介绍。
针对上述第一类别以及第二类别的密钥,若密钥的生命周期大于预设生命周期,则上述步骤S203具体可以包括如下内容:
步骤1),服务器利用事先确定的字典字符串对待使用密钥进行加密,得到转换密钥。
步骤2),服务器利用事先协商的公钥对转换密钥进行加密,得到加密密钥。
相应的,上述步骤S205具体可以包括如下内容:
步骤1),密码卡利用事先协商的公钥对加密密钥进行解密,得到转换密钥。
步骤2),密码卡利用事先确定的字典字符串对转换密钥进行解密,得到待使用密钥。
具体的,服务器可以对密钥进行两层加密。首先,服务器可以利用事先确定的字典字符串对待使用进行第一层的加密,得到对应的转换密钥。其中,正如字面意思,字典字符串包括多个字符,可以利用字典字符串对密钥进行异或计算,实现对密钥的加密。
可以理解的是,字典字符串的确定方式有多种,本申请实施例对此不作具体的限定,例如:服务器生成字典字符串、服务器接收其他设备发送的字典字符串等。
然后,服务器可以再利用事先协商的公钥对上述转换密钥进行加密,得到对应的加密密钥。可以理解的是,上述公钥可以是在执行步骤S205之前,服务器与对应的密码卡协商确定的,基于公钥以及与公钥对应的私钥,可以实现对密钥的加密及解密。
作为一种实施方式,当服务器中存储的密钥为密钥明文时,服务器对密钥进行加密的方式可以参考上述步骤1)及上述步骤2);作为另一种实施方式,当服务器中存储的密钥为密钥密文(利用字典字符串加密后的转换密钥)时,服务器对密钥进行加密的方式可以参考上述步骤2);本领域技术人员可以根据实际情况进行合适的调整。
相应的,密码卡接收到服务器发送的加密密钥之后,可以对加密密钥进行两层解密,以得到原始的待使用密钥。首先,密码卡可以利用事先协商的公钥对加密密钥进行第一层的解密,得到对应的转换密钥。
然后,密码卡可以再利用事先确定的字典字符串对转换密钥进行解密,得到待使用密钥。其中,作为一种实施方式,解密的方式可以为:使用密钥根据自定义映射方法找到字典字符串内相应位置完成异或运算,得到待使用密钥。
可以理解的是,密码卡在解密得到待使用密钥之后,还可以向服务器反馈对应的解密结果,告知服务器其成功得到待使用密码。
需要说明的是,对于第一类别的密钥,既可以使用本申请实施例提供的加密解密方法实现密钥的使用,也可以使用现有的密码卡运行方法实现密钥的使用,本申请实施例对此不作具体的限定。
在上述方案中,针对生命周期较大的密钥,由于其存在的时间较长,因此安全性相对较低。因此,在传输该种密钥时,可以先利用字符串对密钥进行第一层的加密,再在此基础上,利用公钥进行第二层的加密,从而保证密钥的安全性。
针对上述第三类别的密钥,若密钥的生命周期小预设生命周期,该类别密钥生命周期短、断电即失,且在实际使用中可能用到多张卡的资源,因此,上述步骤S203具体可以包括如下内容:
步骤1),服务器利用事先确定的字典字符串对待使用密钥进行加密,得到加密密钥。
相应的,上述步骤S205具体可以包括如下内容:
步骤1),密码卡利用事先确定的字典字符串对加密密钥进行解密,得到待使用密钥。
具体的,服务器可以对密钥进行一层加密,也就是说,服务器可以利用事先确定的字典字符串对待使用进行加密,得到对应的加密密钥。其中,与上述实施例类似,字典字符串包括多个字符,可以利用字典字符串对密钥进行异或计算,实现对密钥的加密。
作为一种实施方式,当服务器中存储的密钥为密钥明文时,服务器对密钥进行加密的方式可以参考上述步骤1);作为另一种实施方式,当服务器中存储的密钥为密钥密文(利用字典字符串加密后的转换密钥)时,服务器可以直接将密钥密文发送给密码卡;本领域技术人员可以根据实际情况进行合适的调整。
相应的,密码卡接收到服务器发送的加密密钥之后,可以对加密密钥进行一层解密,以得到原始的待使用密钥,也就是说,密码卡可以利用事先确定的字典字符串对加密密钥进行解密,得到待使用密钥。其中,与上述实施例类似,作为一种实施方式,解密的方式可以为:使用密钥根据自定义映射方法找到字典字符串内相应位置完成异或运算,得到待使用密钥。
可以理解的是,与上述实施例类似,密码卡在解密得到待使用密钥之后,还可以向服务器反馈对应的解密结果,告知服务器其成功得到待使用密码。
在上述方案中,针对生命周期较小的密钥,由于其存在的时间较短,因此安全性相对较高。因此,在传输该种密钥时,可以仅利用字符串对密钥进行一层的加密,从而可以保证密钥的安全性的基础上,提高密钥传输的性能。
进一步的,在上述实施例的基础上,若需要对服务器中存储的密钥进行新增,本申请实施例提供的密码卡密钥管理方法还可以包括如下内容:
步骤1),在接收到密钥新增请求时,服务器基于密钥新增请求中的索引查询对应的待新增密钥的状态。
步骤2),若待新增密钥的状态满足新增条件,则服务器向第一密码卡发送密钥生成请求。
步骤3),第一密码卡在接收到服务器发送的密钥生成请求后,根据密钥生成请求生成对应的新的密钥,并利用事先确定的字典字符串对新的密钥进行加密,得到新增转换密钥。
步骤4),第一密码卡利用事先协商的公钥对新增转换密钥进行加密,得到第一加密生成密钥。
步骤5),第一密码卡向服务器发送第一加密生成密钥。
步骤6),服务器在接收到第一密码卡发送的第一加密生成密钥,利用与所述第一密码卡对应的公钥对第一加密生成密钥进行解密,得到新增转换密钥。
步骤7),服务器利用与第二密码卡对应的公钥对新增转换密钥进行加密,得到第二加密生成密钥。
步骤8),服务器向第二密码卡发送第二加密生成密钥。
步骤9),第二密码卡在接收到服务器发送的第二加密生成密钥后,对第二加密生成密钥进行解密,得到新的密钥。
具体的,在本申请实施例中,密钥的新增可以包括两种情况:第一种,密钥的生成,即生成新的密钥存储在服务器中;第二种,密钥的更新,即生成新的密钥替换服务器中旧的密钥。可以看出,在上述两种情况,均涉及到密钥的新增,因此,同时对上述两种密钥的新增进行介绍。
当服务器中的程序或者服务器外的程序向服务器发送密钥新增请求时,可以开始执行上述步骤1)至步骤9)。首先,服务器可以基于上述密钥新增请求中的索引查询对应的待新增密钥的状态。其中,与上述实施例类似,待新增密钥的状态也有多种情况,例如:密钥存在/不存在、密钥使用中/空闲等,本申请实施例对此同样不作具体的限定。
当待新增密钥的状态满足新增条件时,服务器可以向第一密码卡发送密钥生成请求。
其中,根据事先配置的待新增密钥状态的不同,以及新增的具体情况不同,上述新增条件也不同。以事先配置的待新增密钥状态包括密钥存在/不存在以及密钥使用中/空闲为例,在需要生成密钥的情况下,当密钥不存在时,可以认为该待新增密钥的状态满足上述新增条件;当密钥不存在时,可以认为该待新增密钥的状态不满足上述新增条件。而在需要更新密钥的情况下,当密钥存在且密钥空闲时,可以认为该待新增密钥的状态满足上述新增条件;当密钥不存在或者密钥使用中时,可以认为该待新增密钥的状态不满足上述新增条件。
可以理解的是,当待新增密钥的状态不满足新增条件时,说明服务器中无法更新密钥或者无法生成新的密钥,因此,作为一种实施方式,服务器可以返回密钥无法新增的信息。
而当待新增密钥的状态满足新增条件时,说明服务器中可以更新密钥或者可以生成新的密钥,因此,服务器可以对向第一密码卡发送密钥生成请求。
可以理解的是,上述第一密码卡为多张密码卡中的一张密码卡。作为一种实施方式,第一密码卡可以为多张密码卡中的任意一张密码卡;作为另一种实施方式,第一密码卡可以为多张密码卡中编号最小的一张密码卡。
第一密码卡在接收到服务器发送的密钥生成请求后,可以根据密钥生成请求生成对应的新的密钥,并利用事先确定的字典字符串对新的密钥进行加密,得到新增转换密钥。然后再利用事先协商的公钥对新增转换密钥进行加密,得到第一加密生成密钥,并将第一加密生成密钥回传给服务器。
需要说明的是,上述第一密码卡利用字典字符串对新的密钥进行加密,以及利用公钥对新增转换密钥进行加密的具体实施方式,与上述实施例中服务器利用字典字符串对密钥进行加密,以及利用公钥对转换密钥进行加密的具体实施方式类似,此处不再赘述。
服务器在接收到第一密码卡发送的第一加密生成密钥之后,可以利用与第一密码卡对应的公钥对第一加密生成密钥进行解密,得到新增转换密钥。然后再利用与第二密码卡对应的公钥对新增转换密钥进行加密,得到第二加密生成密钥,并将第二加密生成密钥发送给第二密码卡。
作为一种实施方式,服务器在接收到第一加密生成密钥之后,可以基于与第一密码卡对应的公钥仅对第一加密生成密钥进行一层解密,解密得到的新增转换密钥同样为一个密钥密文;然后以基于与第二密码卡对应的公钥直接对上述新增转换密钥进行一层加密,得到第二加密生成密钥发。
作为另一种实施方式,服务器在接收到第一加密生成密钥之后,可以基于与第一密码卡对应的公钥先对第一加密生成密钥进行第一层解密,然后再利用字典字符串进行第二层解密,解密得到的新增转换密钥为一个密钥明文;然后以字典字符串对上述新增转换密钥进行第一层加密,再基于与第二密码卡对应的公钥进行第二层加密,得到第二加密生成密钥发。
需要说明的是,上述服务器解密加密的具体实施方式,与上述实施例中密码卡及服务器解密加密的具体实施方式类似,此处不再赘述。
可以理解的是,上述第二密码卡为多张密码卡中的除第一密码卡之外的一张或者多张密码卡,第二密码卡在接收到第二加密生成密钥之后,可以对第二加密生成密钥进行解密,得到第一密码卡生成的新的密钥,从而实现第一密码卡与第二密码卡之间的密钥同步。
需要说明的是,上述对第二加密生成密钥进行解密的具体实施方式,与上述实施例中密码卡利用字典字符串以及公钥对加密密钥进行解密的具体实施方式类似,此处不再赘述。
此外,第二密码卡在成功得到新的密钥之后,可以向服务器反馈密钥同步信息,服务器可以存储上述新增转换密钥或者新的密钥;然后,服务器可以反馈密钥生成成功信息。
在上述方案中,当服务器中需要新增密钥时,可以由多张密码卡中的一张去生成新的密钥,并对密钥加密后将密钥发送给服务器;而为了实现多张密码卡之间密钥的同步,服务器可以将上述密钥发送给其他密码卡。
进一步的,在上述实施例的基础上,若需要对服务器中存储的密钥进行查询,本申请实施例提供的密码卡密钥管理方法还可以包括如下内容:
步骤1),在接收到密钥查询请求时,服务器基于密钥查询请求中的索引查询对应的待查询密钥的状态。
步骤2),若待查询密钥的状态满足查询条件,则服务器查询待查询密钥的状态。
具体的,当服务器中的程序或者服务器外的程序向服务器发送密钥查询请求时,可以开始执行上述步骤1)至步骤2)。首先,服务器可以基于上述密钥查询请求中的索引查询对应的待查询密钥的状态。其中,与上述实施例类似,待查询密钥的状态也有多种情况,例如:密钥存在/不存在、密钥使用中/空闲等,本申请实施例对此同样不作具体的限定。
当待查询密钥的状态满足查询条件时,服务器可以查询对应的密钥。其中,根据事先配置的待查询密钥状态的不同,上述查询条件也不同。以事先配置的待查询密钥状态包括密钥存在/不存在以及密钥使用中/空闲为例,当密钥存在时,可以认为该待查询密钥的状态满足上述查询条件;当密钥不存在时,可以认为该待查询密钥的状态不满足上述查询条件。
可以理解的是,当待查询密钥的状态不满足查询条件时,说明服务器无法查询对应的密钥,因此,作为一种实施方式,服务器可以返回密钥无法查询的信息。而当待查询密钥的状态满足查询条件时,说明服务器中可以查询对应的密钥,因此,服务器查询对应的密钥。
进一步的,在上述实施例的基础上,若需要对服务器中存储的密钥进行删除,本申请实施例提供的密码卡密钥管理方法还可以包括如下内容:
步骤1),在接收到密钥删除请求时,服务器基于密钥删除请求中的索引查询对应的待删除密钥的状态。
步骤2),若待删除密钥的状态满足删除条件,则服务器删除待删除密钥。
具体的,当服务器中的程序或者服务器外的程序向服务器发送密钥删除请求时,可以开始执行上述步骤1)至步骤2)。首先,服务器可以基于上述密钥删除请求中的索引删除对应的待删除密钥的状态。其中,与上述实施例类似,待删除密钥的状态也有多种情况,例如:密钥存在/不存在、密钥使用中/空闲等,本申请实施例对此同样不作具体的限定。
当待删除密钥的状态满足删除条件时,服务器可以删除对应的密钥。其中,根据事先配置的待删除密钥状态的不同,上述删除条件也不同。以事先配置的待删除密钥状态包括密钥存在/不存在以及密钥使用中/空闲为例,当密钥存在且密钥空闲时,可以认为该待删除密钥的状态满足上述删除条件;当密钥不存在或者密钥使用中时,可以认为该待删除密钥的状态不满足上述删除条件。
可以理解的是,当待删除密钥的状态不满足删除条件时,说明服务器无法删除对应的密钥,因此,作为一种实施方式,服务器可以返回密钥无法删除的信息。而当待删除密钥的状态满足删除条件时,说明服务器中可以删除对应的密钥,因此,服务器删除对应的密钥。
进一步的,在上述实施例的基础上,在执行本申请实施例提供的密码卡密钥管理方法之前,本申请实施例还可以包括如下内容:
步骤1),服务器启动后,生成字典字符串。
步骤2),服务器与密码卡建立会话通道。
步骤3),服务器对字典字符串进行加密,并向密码卡发送解密后的字典字符串密文及MAC值。
步骤4),密码卡在接收到字典字符串密文及MAC值后,对字典字符串密文进行解密,并校验MAC值。
步骤5),服务器接收密码卡反馈的解密校验情况反馈。
具体的,服务器在启动之后,可以随机生成字典字符串,用于后续密码卡与服务器之间数据传输的加密。其中,作为一种实施方式,每隔一段时间,服务器可以对字典字符串进行更新,从而提高密钥使用及存储的安全性。
然后,服务器可以与每一张密码卡建立会话通道。其中,建立会话通道的过程可以采用数字签名技术的鉴别机制,例如,可以包括如下内容:
步骤1),服务器产生随机数RB,并将该随机数发送到密码卡。
步骤2),密码卡产生TokenAB=RA||RB||Text||sSA(RA||RB||Text),并发送到服务器,其中sSA为生成的签名数据,RA为生成的随机数。
步骤3),服务器收到包含TokenAB的消息,执行验证过程;通过查找存储的对应公钥,校验数字签名,校验随机数RB是否一致。
步骤4),整个校验过程通过,则鉴别通过。
鉴别通过后,便完成了服务器与密码卡之间会话通道建立,因此,服务器可以向密码卡同步生成的字典字符串,也即执行上述步骤3)-步骤5)。在密码卡校验成功后,则密码卡及服务器可以进入工作状态,执行本申请实施例提供的密码卡密钥管理方法。
请参照图3,图3为本申请实施例提供的一种应用于服务器的密码卡密钥管理装置的结构框图,该密码卡密钥管理装置300可以包括:第一接收模块301,用于接收一张密码卡发送的密钥使用请求;第二查询模块302,用于基于所述密钥使用请求查询对应的待使用密钥的状态;第一加密模块303,用于若所述待使用密钥的状态满足使用条件,对所述待使用密钥进行加密,得到加密密钥;第一发送模块304,用于将所述加密密钥发送给所述密码卡,以使所述密码卡根据所述加密密钥确定所述待使用密钥。
在本申请实施例中,可以将密码卡的大部分密钥存储在密码卡外部的服务器上,从而实现密钥的大规模存储;同时,通过对密钥进行加密保证密钥存储及使用的安全性。
进一步的,若所述密钥的生命周期大于预设生命周期,则所述第一加密模块303具体用于:利用事先确定的字典字符串对所述待使用密钥进行加密,得到转换密钥;利用事先协商的公钥对所述转换密钥进行加密,得到所述加密密钥。
在本申请实施例中,针对生命周期较大的密钥,由于其存在的时间较长,因此安全性相对较低。因此,在传输该种密钥时,可以先利用字符串对密钥进行第一层的加密,再在此基础上,利用公钥进行第二层的加密,从而保证密钥的安全性。
进一步的,若所述密钥的生命周期小于预设生命周期,则所述第一加密模块303具体用于:利用事先确定的字典字符串对所述待使用密钥进行加密,得到所述加密密钥。
在本申请实施例中,针对生命周期较小的密钥,由于其存在的时间较短,因此安全性相对较高。因此,在传输该种密钥时,可以仅利用字符串对密钥进行一层的加密,从而可以保证密钥的安全性的基础上,提高密钥传输的性能。
进一步的,所述密码卡密钥管理装置300还包括:第二查询模块,用于在接收到密钥新增请求时,基于所述密钥新增请求中的索引查询对应的待新增密钥的状态;第三发送模块,用于若所述待新增密钥的状态满足新增条件,则向第一密码卡发送密钥生成请求;接收所述第一密码卡发送的第一加密生成密钥;第二解密模块,用于利用与所述第一密码卡对应的公钥对所述第一加密生成密钥进行解密,得到新增转换密钥;第二加密模块,用于利用与所述第二密码卡对应的公钥对所述新增转换密钥进行加密,得到第二加密生成密钥;第四发送模块,用于向所述第二密码卡发送所述第二加密生成密钥。
在本申请实施例中,当服务器中需要新增密钥时,可以由多张密码卡中的一张去生成新的密钥,并对密钥加密后将密钥发送给服务器;而为了实现多张密码卡之间密钥的同步,服务器可以将上述密钥发送给其他密码卡。
请参照图4,图4为本申请实施例提供的一种应用于密码卡的密码卡密钥管理装置的结构框图,该密码卡密钥管理装置400可以包括:第二发送模块401,用于向所述服务器发送密钥使用请求,并接收所述服务器发送的加密密钥;第一解密模块402,用于对所述加密密钥进行解密,得到对应的待使用密钥。
在本申请实施例中,可以将密码卡的大部分密钥存储在密码卡外部的服务器上,从而实现密钥的大规模存储;同时,通过对密钥进行加密保证密钥存储及使用的安全性。
进一步的,若所述密钥的生命周期大于预设生命周期,则所述第一解密模块402具体用于:利用事先协商的公钥对所述加密密钥进行解密,得到转换密钥;利用事先确定的字典字符串对所述转换密钥进行解密,得到所述待使用密钥。
在本申请实施例中,针对生命周期较大的密钥,由于其存在的时间较长,因此安全性相对较低。因此,在传输该种密钥时,可以先利用字符串对密钥进行第一层的加密,再在此基础上,利用公钥进行第二层的加密,从而保证密钥的安全性。
进一步的,若所述密钥的生命周期小于预设生命周期,则所述第一解密模块402具体用于:利用事先确定的字典字符串对所述加密密钥进行解密,得到所述待使用密钥。
在本申请实施例中,针对生命周期较小的密钥,由于其存在的时间较短,因此安全性相对较高。因此,在传输该种密钥时,可以仅利用字符串对密钥进行一层的加密,从而可以保证密钥的安全性的基础上,提高密钥传输的性能。
进一步的,所述密码卡密钥管理装置400还包括:第二接收模块,用于接收所述服务器发送的密钥生成请求;第三加密模块,用于根据所述密钥生成请求生成对应的新的密钥,并利用事先确定的字典字符串对所述新的密钥进行加密,得到新增转换密钥;第四加密模块,用于利用事先协商的公钥对所述新增转换密钥进行加密,得到第一加密生成密钥;第五发送模块,用于向所述服务器发送所述第一加密生成密钥。
在本申请实施例中,当服务器中需要新增密钥时,可以由多张密码卡中的一张去生成新的密钥,并对密钥加密后将密钥发送给服务器;而为了实现多张密码卡之间密钥的同步,服务器可以将上述密钥发送给其他密码卡。
请参照图5,图5为本申请实施例提供的一种电子设备的结构框图,该电子设备500包括:至少一个处理器501,至少一个通信接口502,至少一个存储器503和至少一个通信总线505。其中,通信总线505用于实现这些组件直接的连接通信,通信接口502用于与其他节点设备进行信令或数据的通信,存储器503存储有处理器501可执行的机器可读指令。当电子设备500运行时,处理器501与存储器503之间通过通信总线504通信,机器可读指令被处理器501调用时执行上述密码卡密钥管理方法。
例如,本申请实施例的处理器501通过通信总线504从存储器503读取计算机程序并执行该计算机程序可以实现如下方法:步骤S201:密码卡向服务器发送密钥使用请求。步骤S202:服务器在接收到密码卡发送的密钥使用请求后,基于密钥使用请求查询对应的待使用密钥的状态。步骤S203:若待使用密钥的状态满足使用条件,则服务器对待使用密钥进行加密,得到加密密钥。步骤S204:服务器将加密密钥发送给密码卡。步骤S205:密码卡在接收到加密密钥后,对加密密钥进行解密,得到对应的待使用密钥。
其中,处理器501包括一个或多个,其可以是一种集成电路芯片,具有信号的处理能力。上述的处理器501可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、微控制单元(Micro Controller Unit,简称MCU)、网络处理器(NetworkProcessor,简称NP)或者其他常规处理器;还可以是专用处理器,包括神经网络处理器(Neural-network Processing Unit,简称NPU)、图形处理器(Graphics Processing Unit,简称GPU)、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuits,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。并且,在处理器501为多个时,其中的一部分可以是通用处理器,另一部分可以是专用处理器。
存储器503包括一个或多个,其可以是,但不限于,随机存取存储器(RandomAccess Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),可擦除可编程只读存储器(ErasableProgrammable Read-Only Memory,简称EPROM),电可擦除可编程只读存储器(ElectricErasable Programmable Read-Only Memory,简称EEPROM)等。
可以理解,图5所示的结构仅为示意,电子设备500还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备500可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备500也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。
本申请实施例还提供一种计算机程序产品,包括存储在计算机可读存储介质上的计算机程序,计算机程序包括计算机程序指令,当计算机程序指令被计算机执行时,计算机能够执行上述实施例中密码卡密钥管理方法的步骤,例如包括:接收一张密码卡发送的密钥使用请求;基于所述密钥使用请求查询对应的待使用密钥的状态;若所述待使用密钥的状态满足使用条件,对所述待使用密钥进行加密,得到加密密钥;将所述加密密钥发送给所述密码卡,以使所述密码卡根据所述加密密钥确定所述待使用密钥。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (13)

1.一种密码卡密钥管理方法,其特征在于,应用于服务器,所述服务器与多张密码卡连接,所述方法包括:
接收一张密码卡发送的密钥使用请求;
基于所述密钥使用请求查询对应的待使用密钥的状态;
若所述待使用密钥的状态满足使用条件,对所述待使用密钥进行加密,得到加密密钥;
将所述加密密钥发送给所述密码卡,以使所述密码卡根据所述加密密钥确定所述待使用密钥。
2.根据权利要求1所述的密码卡密钥管理方法,其特征在于,若所述密钥的生命周期大于预设生命周期,则所述对所述待使用密钥进行加密,得到加密密钥,包括:
利用事先确定的字典字符串对所述待使用密钥进行加密,得到转换密钥;
利用事先协商的公钥对所述转换密钥进行加密,得到所述加密密钥。
3.根据权利要求1所述的密码卡密钥管理方法,其特征在于,若所述密钥的生命周期小于预设生命周期,则所述对所述待使用密钥进行加密,得到加密密钥,包括:
利用事先确定的字典字符串对所述待使用密钥进行加密,得到所述加密密钥。
4.根据权利要求1-3任一项所述的密码卡密钥管理方法,其特征在于,所述方法还包括:
在接收到密钥新增请求时,基于所述密钥新增请求中的索引查询对应的待新增密钥的状态;
若所述待新增密钥的状态满足新增条件,则向第一密码卡发送密钥生成请求;
接收所述第一密码卡发送的第一加密生成密钥;
利用与所述第一密码卡对应的公钥对所述第一加密生成密钥进行解密,得到新增转换密钥;
利用与所述第二密码卡对应的公钥对所述新增转换密钥进行加密,得到第二加密生成密钥;
向所述第二密码卡发送所述第二加密生成密钥。
5.一种密码卡密钥管理方法,其特征在于,应用于密码卡,所述密码卡与服务器连接,所述服务器与多张密码卡连接,所述方法包括:
向所述服务器发送密钥使用请求,并接收所述服务器发送的加密密钥;
对所述加密密钥进行解密,得到对应的待使用密钥。
6.根据权利要求5所述的密码卡密钥管理方法,其特征在于,若所述密钥的生命周期大于预设生命周期,则所述对所述加密密钥进行解密,得到对应的待使用密钥,包括:
利用事先协商的公钥对所述加密密钥进行解密,得到转换密钥;
利用事先确定的字典字符串对所述转换密钥进行解密,得到所述待使用密钥。
7.根据权利要求5所述的密码卡密钥管理方法,其特征在于,若所述密钥的生命周期小于预设生命周期,则所述对所述加密密钥进行解密,得到对应的待使用密钥,包括:
利用事先确定的字典字符串对所述加密密钥进行解密,得到所述待使用密钥。
8.根据权利要求5-7任一项所述的密码卡密钥管理方法,其特征在于,所述方法还包括:
接收所述服务器发送的密钥生成请求;
根据所述密钥生成请求生成对应的新的密钥,并利用事先确定的字典字符串对所述新的密钥进行加密,得到新增转换密钥;
利用事先协商的公钥对所述新增转换密钥进行加密,得到第一加密生成密钥;
向所述服务器发送所述第一加密生成密钥。
9.一种密码卡密钥管理装置,其特征在于,应用于服务器,所述服务器与多张密码卡连接,所述装置包括:
第一接收模块,用于接收一张密码卡发送的密钥使用请求;
第一查询模块,用于基于所述密钥使用请求查询对应的待使用密钥的状态;
第一加密模块,用于若所述待使用密钥的状态满足使用条件,对所述待使用密钥进行加密,得到加密密钥;
第一发送模块,用于将所述加密密钥发送给所述密码卡,以使所述密码卡根据所述加密密钥确定所述待使用密钥。
10.一种密码卡密钥管理装置,其特征在于,应用于密码卡,所述密码卡与服务器连接,所述服务器与多张密码卡连接,所述装置包括:
第二发送模块,用于向所述服务器发送密钥使用请求,并接收所述服务器发送的加密密钥;
第一解密模块,用于对所述加密密钥进行解密,得到对应的待使用密钥。
11.一种计算机程序产品,其特征在于,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如权利要求1-8中任一项所述的方法。
12.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如权利要求1-8中任一项所述的方法。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如权利要求1-8中任一项所述的方法。
CN202111670847.7A 2021-12-31 2021-12-31 一种密码卡密钥管理方法及装置 Pending CN114329605A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111670847.7A CN114329605A (zh) 2021-12-31 2021-12-31 一种密码卡密钥管理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111670847.7A CN114329605A (zh) 2021-12-31 2021-12-31 一种密码卡密钥管理方法及装置

Publications (1)

Publication Number Publication Date
CN114329605A true CN114329605A (zh) 2022-04-12

Family

ID=81020359

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111670847.7A Pending CN114329605A (zh) 2021-12-31 2021-12-31 一种密码卡密钥管理方法及装置

Country Status (1)

Country Link
CN (1) CN114329605A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116668026A (zh) * 2023-08-02 2023-08-29 北京国信云是科技有限公司 一种密码卡数据处理方法、装置、设备和存储介质
CN117077123A (zh) * 2023-08-18 2023-11-17 长春吉大正元信息技术股份有限公司 一种多密码卡的业务处理方法、装置及电子设备

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116668026A (zh) * 2023-08-02 2023-08-29 北京国信云是科技有限公司 一种密码卡数据处理方法、装置、设备和存储介质
CN116668026B (zh) * 2023-08-02 2023-10-31 北京国信云是科技有限公司 一种密码卡数据处理方法、装置、设备和存储介质
CN117077123A (zh) * 2023-08-18 2023-11-17 长春吉大正元信息技术股份有限公司 一种多密码卡的业务处理方法、装置及电子设备

Similar Documents

Publication Publication Date Title
CN112929172B (zh) 基于密钥库动态加密数据的系统、方法及装置
US10402571B2 (en) Community-based de-duplication for encrypted data
US6628786B1 (en) Distributed state random number generator and method for utilizing same
US20170195121A1 (en) Token binding using trust module protected keys
CN111565107B (zh) 基于云服务平台的密钥处理方法、装置和计算机设备
US20130028419A1 (en) System and a method for use in a symmetric key cryptographic communications
CN106980794A (zh) 基于TrustZone的文件加解密方法、装置及终端设备
US10937339B2 (en) Digital cryptosystem with re-derivable hybrid keys
CN109800588B (zh) 条码动态加密方法及装置、条码动态解密方法及装置
CN112738051B (zh) 数据信息加密方法、系统及计算机可读存储介质
CN108199847B (zh) 数字安全处理方法、计算机设备及存储介质
CN114329605A (zh) 一种密码卡密钥管理方法及装置
CN106911712B (zh) 一种应用于分布式系统的加密方法及系统
CN113067699A (zh) 基于量子密钥的数据共享方法、装置和计算机设备
CN104243149A (zh) 加、解密方法,装置和服务器
US10063655B2 (en) Information processing method, trusted server, and cloud server
CN112740615A (zh) 多方计算的密钥管理
CN106682521B (zh) 基于驱动层的文件透明加解密系统及方法
JP6599066B1 (ja) 登録装置、サーバ装置、秘匿検索システム、秘匿検索方法、登録プログラムおよびサーバプログラム
CN103731423A (zh) 一种安全的重复数据删除方法
GB2498063A (en) Checking acceptance of a string by automaton
CN115473722A (zh) 数据加密方法、装置、电子设备及存储介质
CN117240625B (zh) 一种涉及防篡改的数据处理方法、装置及电子设备
CN112187767A (zh) 基于区块链的多方合同共识系统、方法及介质
CN110750326B (zh) 一种虚拟机的磁盘加解密方法以及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination