CN114650131A - 一种密钥管理方法及系统 - Google Patents
一种密钥管理方法及系统 Download PDFInfo
- Publication number
- CN114650131A CN114650131A CN202210265466.9A CN202210265466A CN114650131A CN 114650131 A CN114650131 A CN 114650131A CN 202210265466 A CN202210265466 A CN 202210265466A CN 114650131 A CN114650131 A CN 114650131A
- Authority
- CN
- China
- Prior art keywords
- key
- data
- interface
- client
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 43
- 238000012545 processing Methods 0.000 claims abstract description 36
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000012795 verification Methods 0.000 claims abstract description 26
- 238000012544 monitoring process Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000004083 survival effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种密钥管理方法及系统,包括:客户端调用数据密钥的获取接口;服务端对数据密钥的接口调用信息进行验证,若验证通过,返回接口加密后的数据密钥密文以及加密算法;客户端接收接口加密后的数据密钥密文以及加密算法,并通过对应的解密算法以及接口密钥进行反解得到数据密钥明文;客户端根据加密算法生成统一的数据处理模板,采用数据处理模板对业务数据进行加密处理;且采集本地基础信息以及密钥使用统计信息,将采集的数据上报给服务端;服务端根据密钥使用统计信息监控安装的客户端的状态。根据该密钥管理方法,能将采用的加密算法传输到客户端,还能统计密钥的使用信息,方便对各客户端进行监控,且能进一步提高系统的安全性。
Description
技术领域
本发明涉及数据加密技术领域,特别涉及一种密钥管理方法及系统。
背景技术
随着互联网技术的快速发展,各种业务逐渐实现信息化和网络化。互联网技术给各种业务的开展带来方便的同时,也带来了安全隐患,这些安全隐患可能会导致用户的敏感数据遭到泄露和篡改。由此可知,在现今的网络化时代里,数据的安全性是一个不可轻易忽视的重要问题。
因此,如何基于密钥对数据进行加密,是本领域技术人员重点解决的技术问题。
发明内容
本申请实施例提供了一种密钥管理方法及系统。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
第一方面,本申请实施例提供了一种密钥管理方法,用于服务端,包括:
生成数据密钥;
接收客户端对数据密钥的接口调用信息;
对接口调用信息进行验证,若验证通过,将接口加密后的数据密钥密文以及加密算法发送到客户端。
在一个实施例中,生成数据密钥包括:
根据预设的密钥生成算法以及根密钥生成主密钥;
根据主密钥生成数据密钥。
在一个实施例中,生成数据密钥之后,还包括:
采用安全插件的方式将数据密钥存储于数据库中;
将系统代码数据以及配置数据存储于服务器中。
在一个实施例中,对接口调用信息进行验证,包括:
对接口调用信息中客户端的名称信息以及IP地址信息进行权限校验;
若权限校验通过,确定接口调用信息中的接口密钥的私钥与本地存储的接口密钥的公钥是否匹配;
若匹配,则确定验证通过。
在一个实施例中,还包括:
接收客户端上报的本地基础信息以及密钥使用统计信息;
根据本地基础信息以及密钥使用统计信息监控安装的客户端的状态,并对密钥使用统计信息进行处理展示。
第二方面,本申请实施例提供了一种密钥管理方法,用于客户端,包括:
调用数据密钥的获取接口;
接收服务端返回的接口加密后的数据密钥密文以及加密算法;
根据对应的解密算法以及接口密钥对数据密钥密文进行反解得到数据密钥明文。
在一个实施例中,调用数据密钥的获取接口之前,还包括:
开通密钥管理服务系统账号并上传访问黑白名单;
根据密钥管理服务系统账号查询客户端对应的接口密钥。
在一个实施例中,接收服务端返回的接口加密后的数据密钥密文以及加密算法之后,还包括:
基于加密算法生成统一的数据处理模板;
采用数据处理模板对业务数据进行加密处理。
在一个实施例中,还包括:
每隔预设周期采集本地基础信息以及密钥使用统计信息;
将采集的本地基础信息以及密钥使用统计信息上报给服务端。
第三方面,本申请实施例提供了一种密钥管理系统,包括客户端和服务端,客户端用于调用数据密钥的获取接口;
服务端用于对数据密钥的接口调用信息进行验证,若验证通过,返回接口加密后的数据密钥密文以及加密算法;
客户端用于接收接口加密后的数据密钥密文以及加密算法,并通过对应的解密算法以及接口密钥对数据密钥密文进行反解得到数据密钥明文;
客户端用于根据加密算法生成统一的数据处理模板,采用数据处理模板对业务数据进行加密处理;
客户端用于每隔预设周期采集本地基础信息以及密钥使用统计信息,将采集的本地基础信息以及密钥使用统计信息上报给服务端;
服务端用于根据本地基础信息以及密钥使用统计信息监控安装的客户端的状态,并对密钥使用统计信息进行处理展示。
本申请实施例提供的技术方案可以包括以下有益效果:
根据本申请实施例提供的密钥管理方法,可以对敏感数据进行加密,并使用密钥管理服务(KeyManagement Service,KMS)系统管理密钥,密钥管理服务器生成密钥明文,并对密钥明文进行加密得到密钥密文,将密钥密文以及加密算法一同发送到客户端。通过将加密算法一同发送到客户端,可以提供一种透明的数据加解密的处理方法,忽略了密钥算法的复杂度,可以直接使用。
进一步地,本申请实施例提供的密钥管理方法,在插件化基础上增加代码、配置、密钥三方分离存储机制,提高了密钥保管的安全性;客户端还能定时上报基础信息和密钥使用统计信息,可帮助租户对各接入客户端进行实时监控。租户可使用平台对数据进行可视化处理,帮助租户在线处理数据及系统接入后问题辅助排查等。系统还支持黑白名单安全策略,可对接入的客户端SDK访问进行限制,以阻断异常IP的访问,提高系统的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据一示例性实施例示出的一种密钥管理方法的流程示意图;
图2是根据一示例性实施例示出的一种用于服务端的密钥管理方法的示意图;
图3是根据一示例性实施例示出的一种用于客户端的密钥管理方法的示意图;
图4是根据一示例性实施例示出的一种密钥管理方法的示意图;
图5是根据一示例性实施例示出的一种客户端的密钥管理方法的示意图;
图6是根据一示例性实施例示出的一种密钥管理设备的结构示意图。
具体实施方式
以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是如所附权利要求书中所详述的、本发明的一些方面相一致的系统和方法的例子。
本申请实施例的密钥管理系统,提供了一套密钥生成、密钥保管、密钥使用、审计、监控的云解决方案。租户在密钥管理服务系统申请KMS账号和安装客户端SDK(软件开发工具包)后,可安全的下载托管密钥并进行数据处理,同时客户端安装的软件开发工具包会自动采集包含基础信息、密钥使用统计信息等数据上报服务端,服务端通过存活策略研判客户端在线状态,并且基于上报数据可实现对各接入客户端的整体监控。
在一种可能的实现方式中,密钥管理系统,包括客户端和服务端。其中,客户端用于调用数据密钥的获取接口;服务端用于对数据密钥的接口调用信息进行验证,若验证通过,返回接口加密后的数据密钥密文以及加密算法;客户端用于接收接口加密后的数据密钥密文以及加密算法,并通过对应的解密算法以及接口密钥对数据密钥密文进行反解得到数据密钥明文;客户端用于根据加密算法生成统一的数据处理模板,采用数据处理模板对业务数据进行加密处理;客户端用于每隔预设周期采集本地基础信息以及密钥使用统计信息,将采集的本地基础信息以及密钥使用统计信息上报给服务端;服务端用于根据本地基础信息以及密钥使用统计信息监控安装的客户端的状态,并对密钥使用统计信息进行处理展示。
其具体的管理方法如图1所示。
S101客户端调用数据密钥的获取接口。
在一种可能的实现方式中,客户端在获取数据密钥之前,可在密钥管理服务系统申请开通KMS账号,并提供访问黑白名单。KMS系统为租户创建账号之后,租户可登陆系统查看给各个客户端分配的接口密钥。
进一步地,客户端可调用数据密钥的获取接口,请求获取数据密钥。
S102服务端对数据密钥的接口调用信息进行验证,若验证通过,返回接口加密后的数据密钥密文以及加密算法。
在一种可能的实现方式中,服务端接收到客户端的调用信息之后,服务端会获取客户端的接口签名以及IP地址,基于配置的账号安全策略进行权限校验,并基于接口密钥进行接口校验。若权限校验通过后,将客户端发送过来的接口调用信息中的接口密钥的私钥与本地存储的接口密钥的公钥进行配对,若为正确的密钥对则验证成功。
服务端再将数据密钥发送给客户端之前,还包括生成数据密钥。
具体地,密钥管理服务端使用内置的算法库,例如DES加密算法、AES加密算法、SM4加密算法、RSA加密算法或SM2加密算法生成主密钥,并且保证密钥生成具备随机性,使用根密钥加密后保存用户主密钥,并返回客户端主密钥ID。
客户端保存返回的主密钥ID,并且使用主密钥ID调用数据密钥服务生成数据密钥,服务端根据主密钥ID获取主密钥后,基于主密钥生成数据密钥。
进一步地,服务端在创建数据密钥后系统基于安全插件方式保存数据密钥,同时在生成密钥时候也以密钥、代码、配置三者分离的方式,将数据密钥存储在数据库,将系统代码数据以及配置数据存储在服务器,进一步提高了密钥存储的安全级别,保证密钥存储的安全性。其中,数据库可位于其他服务器中。进一步地,服务端将接口加密后的数据密钥密文以及加密算法发送到客户端。例如,将加密后的数据密钥密文以及采用的SM4加密算法的名称一起发送到客户端。
S103客户端接收接口加密后的数据密钥密文以及加密算法,并通过对应的解密算法以及接口密钥对数据密钥密文进行反解得到数据密钥明文。
具体地,客户端SDK对返回的数据密钥密文,使用接口密钥,以及对应的解密算法进行反解得到密钥明文长驻内存,保证传输环节密钥安全。传输环节通过SSL传输用以保证数据传输的安全性,同时会使用接口密钥对数据密钥进行加密操作,确保整个传输环节的安全性。
S104客户端根据加密算法生成统一的数据处理模板,采用数据处理模板对业务数据进行加密处理。
在一种可能的实现方式中,客户端不仅收到服务端发送过来的数据密钥加密后的密文,还能收到加密采用的加密算法。这样客户端SDK无需对密文进行复杂的分析,就可以得到加密采用的加密算法。客户端根据采用的加密算法直接进行解密即可。忽略密钥算法的复杂度,这样也方便租户快速接入。
进一步地,客户端还可以采用接收到的加密算法生成统一的数据处理模板,根据生成的数据处理模板对其他客户端上的数据采用相同的加密算法进行加密。例如,客户端上安装的软件开发工具包接收到返回的密文以及SM4加密算法之后,不仅可以直接采用对应的SM4解密算法进行解密,还能根据该加密算法生成统一的数据处理模板,可直接对其他业务数据采用相同的加密算法进行加密,返回加密后的业务数据。屏蔽了当前密钥算法实现的具体细节,可实现拿来就用,提高了数据处理的便捷度。
S105客户端每隔预设周期采集本地基础信息以及密钥使用统计信息,将采集的本地基础信息以及密钥使用统计信息上报给服务端。
在一种可能的实现方式中,在创建客户端时,默认开启心跳和上报机制。根据预设周期定时采集本地基础信息和密钥使用统计信息,并定期上报服务端采集数据。
具体地,客户端定期采集服务名称、服务器地址、当前版本号等基础数据上报给服务端,定期采集本地驻存的密钥加解密使用情况上报服务端,例如,本地服务器驻存的各个密钥分别作了多少次加解密操作等统计数据上报给服务端。
S106服务端根据本地基础信息以及密钥使用统计信息监控安装的客户端的状态,并对密钥使用统计信息进行处理展示。
在一种可能的实现方式中,服务端根据预设的存活策略分析客户端的在线状态。例如,某个客户端在预设时间段内未上报数据,则该客户端可能离线,或被攻击。帮助管理人员监测客户端的状态。
进一步地,服务端对接收到的上报数据进行处理展示,以帮助各租户对数据处理进行整体把控,为数据安全决策提供数据依据。提高整个系统的安全性和可控性。
进一步地,系统解决了跨租户数据处理问题,可在上传黑白名单时,上传跨租户调用的次数限制和时间限制,例如,某个客户端规定只能被调用5次,只能在某个时间段进行调用,来保证跨租户数据调用的可控性。
进一步地,系统提供了在线可视化数据处理的方法,提供了在线数据处理接口。用户可在线通过接口直接对数据进行上传操作、加解密操作、下载操作等。整个处理过程,可以做到权限控制和审批控制,以保证数据安全可控。
本申请实施例还提供了一种用于服务端的密钥管理方法,如图2所示,方法包括:
S201生成数据密钥。
在一个可选地实施方式中,生成数据密钥包括:根据预设的密钥生成算法以及根密钥生成主密钥;根据主密钥生成数据密钥。
S202接收客户端对数据密钥的接口调用信息。
S203对接口调用信息进行验证,若验证通过,将接口加密后的数据密钥密文以及加密算法发送到客户端。
具体地,服务端接收到客户端的调用信息之后,服务端会获取客户端的接口签名以及IP地址,基于配置的账号安全策略进行权限校验,并基于接口密钥进行接口校验。若权限校验通过后,将客户端发送过来的接口调用信息中的接口密钥的私钥与本地存储的接口密钥的公钥进行配对,若为正确的密钥对则验证成功。
在一个可选地实施方式中,生成数据密钥之后,还包括:采用安全插件的方式将数据密钥存储于数据库中,将系统代码数据以及配置数据存储于服务器中。进一步提高了密钥存储的安全级别,保证密钥存储的安全性。
在一个可选地实施方式中,服务端还用于:接收客户端上报的本地基础信息以及密钥使用统计信息;根据本地基础信息以及密钥使用统计信息监控安装的客户端的状态,并对密钥使用统计信息进行处理展示。
本申请实施例还提供了一种用于客户端的密钥管理方法,如图3所示,方法包括:
S301调用数据密钥的获取接口;
S302接收服务端返回的接口加密后的数据密钥密文以及加密算法;
S303根据对应的解密算法以及接口密钥对数据密钥密文进行反解得到数据密钥明文。
在一种可选地实施方式中,调用数据密钥的获取接口之前,客户端还用于开通KMS账号并上传访问黑白名单,根据KMS账号查询客户端对应的接口密钥。
在一种可选地实施方式中,接收服务端返回的接口加密后的数据密钥密文以及加密算法之后,还包括:根据加密算法生成统一的数据处理模板,采用数据处理模板对业务数据进行加密处理。
在一种可选地实施方式中,还包括:根据预设周期采集本地基础信息以及密钥使用统计信息,将采集的本地基础信息以及密钥使用统计信息上报给服务端。
具体地,客户端定期采集服务名称、服务器地址、当前版本号等基础数据上报给服务端,定期采集本地驻存的密钥加解密使用情况上报服务端,例如,本地服务器驻存的各个密钥分别作了多少次加解密操作等统计数据上报给服务端。
本申请实施例提供的密钥生成、密钥保管、密钥使用、审计、监控的管理方法,安装客户端SDK(软件开发工具包)后,可安全的下载托管密钥并进行数据处理,同时客户端安装的软件开发工具包会自动采集包含基础信息、密钥使用统计信息等数据上报服务端,服务端通过存活策略研判客户端在线状态,并且基于上报数据可实现对各接入客户端的整体监控。
为了便于理解本申请实施例提供的密钥管理方法,下面结合附图4进行说明。
如图4所示,租户首先在KMS密钥管理系统申请开通KMS账号,给各个客户端配置KMS账号后,生成各个客户端的接口密钥。可登录系统查看接口密钥。
进一步地,客户端可调用数据密钥的获取接口,服务端接收到密钥获取请求后,先对客户端的权限进行校验,并对接口进行校验,将客户端发送过来的接口调用信息中的接口密钥的私钥与本地存储的接口密钥的公钥进行配对,若为正确的密钥对则验证成功。然后在服务层进行密钥生成服务,先生成主密钥,再基于主密钥加密密钥,得到数据密钥。将数据密钥存储在存储层。在存储时,基于安全插件的方式存储。
进一步地,若客户端请求接口验证通过,将接口加密后的数据密钥密文以及加密算法发送到客户端。客户端利用接口密钥以及对应的解密算法反解得到数据密钥明文。
图5是客户端的使用流程,如图5所示,客户端SDK可以从服务端获取数据密钥,并接受KMS密钥管理服务端返回的数据密钥。将返回的数据密钥缓存到本地。
进一步地,客户端可以调用SDK进行业务数据加密,SDK获取本地缓存的数据密钥,根据数据密钥类型得到对应加密算法,使用对应加密算法和密钥对业务数据进行加密,返回加密后的密文。
根据本申请实施例提供的密钥管理方法,客户端不仅可以接收到数据密钥密文,还能接收到加密算法,采用接收到的加密算法对其余业务数据进行加密处理,忽略了算法的复杂度。同时客户端安装的软件开发工具包会自动采集包含基础信息、密钥使用统计信息等数据上报服务端,服务端通过存活策略研判客户端在线状态,并且基于上报数据可实现对各接入客户端的整体监控。
本申请实施例还提供一种与前述实施例所提供的密钥管理方法对应的电子设备,以执行上述密钥管理方法。
请参考图6,其示出了本申请的一些实施例所提供的一种电子设备的示意图。如图6所示,电子设备包括:处理器600,存储器601,总线602和通信接口603,处理器600、通信接口603和存储器601通过总线602连接;存储器601中存储有可在处理器600上运行的计算机程序,处理器600运行计算机程序时执行本申请前述任一实施例所提供的密钥管理方法。
其中,存储器601可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口603(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线602可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。其中,存储器601用于存储程序,处理器600在接收到执行指令后,执行程序,前述本申请实施例任一实施方式揭示的密钥管理方法可以应用于处理器600中,或者由处理器600实现。
处理器600可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器600中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器600可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器601,处理器600读取存储器601中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的密钥管理方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种密钥管理方法,其特征在于,用于服务端,包括:
生成数据密钥;
接收客户端对数据密钥的接口调用信息;
对所述接口调用信息进行验证,若验证通过,将接口加密后的数据密钥密文以及加密算法发送到客户端。
2.根据权利要求1所述的方法,其特征在于,生成数据密钥包括:
根据预设的密钥生成算法以及根密钥生成主密钥;
根据所述主密钥生成数据密钥。
3.根据权利要求1所述的方法,其特征在于,生成数据密钥之后,还包括:
采用安全插件的方式将所述数据密钥存储于数据库中;
将系统代码数据以及配置数据存储于服务器中。
4.根据权利要求1所述的方法,其特征在于,对所述接口调用信息进行验证,包括:
对所述接口调用信息中所述客户端的名称信息以及IP地址信息进行权限校验;
若权限校验通过,确定所述接口调用信息中的接口密钥的私钥与本地存储的接口密钥的公钥是否匹配;
若匹配,则确定验证通过。
5.根据权利要求1所述的方法,其特征在于,还包括:
接收客户端上报的本地基础信息以及密钥使用统计信息;
根据所述本地基础信息以及密钥使用统计信息监控安装的客户端的状态,并对所述密钥使用统计信息进行处理展示。
6.一种密钥管理方法,其特征在于,用于客户端,包括:
调用数据密钥的获取接口;
接收服务端返回的接口加密后的数据密钥密文以及加密算法;
根据对应的解密算法以及接口密钥对所述数据密钥密文进行反解得到数据密钥明文。
7.根据权利要求6所述的方法,其特征在于,调用数据密钥的获取接口之前,还包括:
开通密钥管理服务系统账号并上传访问黑白名单;
根据所述密钥管理服务系统账号查询客户端对应的接口密钥。
8.根据权利要求6所述的方法,其特征在于,接收服务端返回的接口加密后的数据密钥密文以及加密算法之后,还包括:
基于所述加密算法生成统一的数据处理模板;
采用所述数据处理模板对业务数据进行加密处理。
9.根据权利要求6所述的方法,其特征在于,还包括:
每隔预设周期采集本地基础信息以及密钥使用统计信息;
将采集的所述本地基础信息以及密钥使用统计信息上报给服务端。
10.一种密钥管理系统,其特征在于,包括客户端和服务端,
其中,客户端用于调用数据密钥的获取接口;
服务端用于对数据密钥的接口调用信息进行验证,若验证通过,返回接口加密后的数据密钥密文以及加密算法;
客户端用于接收所述接口加密后的数据密钥密文以及加密算法,并通过对应的解密算法以及接口密钥对数据密钥密文进行反解得到数据密钥明文;
客户端用于根据所述加密算法生成统一的数据处理模板,采用所述数据处理模板对业务数据进行加密处理;
客户端用于每隔预设周期采集本地基础信息以及密钥使用统计信息,将采集的所述本地基础信息以及密钥使用统计信息上报给服务端;
服务端用于根据所述本地基础信息以及密钥使用统计信息监控安装的客户端的状态,并对所述密钥使用统计信息进行处理展示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210265466.9A CN114650131A (zh) | 2022-03-17 | 2022-03-17 | 一种密钥管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210265466.9A CN114650131A (zh) | 2022-03-17 | 2022-03-17 | 一种密钥管理方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114650131A true CN114650131A (zh) | 2022-06-21 |
Family
ID=81996338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210265466.9A Pending CN114650131A (zh) | 2022-03-17 | 2022-03-17 | 一种密钥管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114650131A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101563882A (zh) * | 2006-10-17 | 2009-10-21 | 塞姆泰克创新解决方案公司 | 用于安全交易的系统和方法 |
| CN110120869A (zh) * | 2019-03-27 | 2019-08-13 | 上海隔镜信息科技有限公司 | 密钥管理系统及密钥服务节点 |
| CN111818032A (zh) * | 2020-06-30 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 基于云平台的数据处理方法、装置及计算机程序 |
| CN112672098A (zh) * | 2020-12-30 | 2021-04-16 | 北京弈天诚达科技有限公司 | 一种云视频会议加密方法、装置及系统 |
| CN113179240A (zh) * | 2020-09-28 | 2021-07-27 | 深圳华智融科技股份有限公司 | 密钥保护方法、装置、设备及存储介质 |
-
2022
- 2022-03-17 CN CN202210265466.9A patent/CN114650131A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101563882A (zh) * | 2006-10-17 | 2009-10-21 | 塞姆泰克创新解决方案公司 | 用于安全交易的系统和方法 |
| CN110120869A (zh) * | 2019-03-27 | 2019-08-13 | 上海隔镜信息科技有限公司 | 密钥管理系统及密钥服务节点 |
| CN111818032A (zh) * | 2020-06-30 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 基于云平台的数据处理方法、装置及计算机程序 |
| CN113179240A (zh) * | 2020-09-28 | 2021-07-27 | 深圳华智融科技股份有限公司 | 密钥保护方法、装置、设备及存储介质 |
| CN112672098A (zh) * | 2020-12-30 | 2021-04-16 | 北京弈天诚达科技有限公司 | 一种云视频会议加密方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108241517B (zh) | 一种软件升级方法、客户端及电子设备 | |
| CN106936577B (zh) | 一种用于证书申请的方法、终端和系统 | |
| US11356425B2 (en) | Techniques for improving security of encrypted vehicle software updates | |
| US20130036301A1 (en) | Distributed Cryptographic Management for Computer Systems | |
| CN114900338B (zh) | 一种加密解密方法、装置、设备和介质 | |
| CN110855699B (zh) | 一种流量审计方法、装置、服务器及审计设备 | |
| US20220029820A1 (en) | Validated payload execution | |
| CN111538977B (zh) | 云api密钥的管理、云平台的访问方法、装置及服务器 | |
| US11032267B2 (en) | Securing sensitive historian configuration information | |
| CN112511295B (zh) | 接口调用的认证方法、装置、微服务应用和密钥管理中心 | |
| CN111475823A (zh) | 一种数据共享方法、设备、服务器及可读存储介质 | |
| CN111404892B (zh) | 数据监管方法、装置和服务器 | |
| CN115002203A (zh) | 数据包抓取方法、装置、设备及计算机可读介质 | |
| CN110839035A (zh) | 路径访问控制的方法、装置、计算机设备及存储介质 | |
| Junghanns et al. | Engineering of secure multi-cloud storage | |
| CN113259100B (zh) | 基于tee的联邦推荐方法、装置、设备及介质 | |
| CN115001865B (zh) | 通信处理方法及系统、客户端、通信服务端和监管服务端 | |
| CN114650131A (zh) | 一种密钥管理方法及系统 | |
| CN113259436B (zh) | 网络请求的处理方法和装置 | |
| WO2022252356A1 (zh) | 数据处理方法、装置、电子设备及介质 | |
| CN115348054A (zh) | 基于ipfs的区块链数据代理重加密模型 | |
| CN113922969A (zh) | Intel SGX可信服务集群化部署的实现方法、系统及电子设备 | |
| CN114128207A (zh) | 数据分发系统、数据处理装置及程序 | |
| CN114629671B (zh) | 一种数据检测系统 | |
| CN114301685B (zh) | 一种系统授权验证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |