CN117155567A - 基于密码机资源池的多层密钥生成管理方法及装置 - Google Patents

基于密码机资源池的多层密钥生成管理方法及装置 Download PDF

Info

Publication number
CN117155567A
CN117155567A CN202311208921.2A CN202311208921A CN117155567A CN 117155567 A CN117155567 A CN 117155567A CN 202311208921 A CN202311208921 A CN 202311208921A CN 117155567 A CN117155567 A CN 117155567A
Authority
CN
China
Prior art keywords
key
pool
master key
interface
plaintext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311208921.2A
Other languages
English (en)
Other versions
CN117155567B (zh
Inventor
朱鸿宇
马娜
白洁
王潇
白锦龙
徐剑南
李海亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangnan Xinan Nanjing Technology Co ltd
Original Assignee
Jiangnan Xinan Nanjing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangnan Xinan Nanjing Technology Co ltd filed Critical Jiangnan Xinan Nanjing Technology Co ltd
Priority to CN202311208921.2A priority Critical patent/CN117155567B/zh
Priority claimed from CN202311208921.2A external-priority patent/CN117155567B/zh
Publication of CN117155567A publication Critical patent/CN117155567A/zh
Application granted granted Critical
Publication of CN117155567B publication Critical patent/CN117155567B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

基于密码机资源池的多层密钥生成管理方法及装置,在根密码机上的指定位置生成根密钥对作为密钥系统的根密钥;生成池主密钥并密文存储,将池主密钥和指定密码机资源池建立关联关系;使用根密码机的解密私钥解密池主密钥并输出明文密钥对;往密码机资源池中指定密码机中的指定位置导入池主密钥的明文密钥对;使用池主密钥的解密私钥解密用户主密钥的密钥对,并输出用户主密钥的明文密钥对;往密码机资源池中指定密码机的空闲位置导入用户主密钥的明文密钥对;使用密码机资源池中指定密码机的第N位置的用户主密钥生成数据加密密钥。本发明更加适配现有密码机资源池化,减轻了根密码机的负担,使密钥的安全性和生成性能之间取得了良好的平衡效果。

Description

基于密码机资源池的多层密钥生成管理方法及装置
技术领域
本发明属于密钥处理技术领域,具体涉及一种基于密码机资源池的多层密钥生成管理方法及装置。
背景技术
密码机资源池属于密码基础设施,采用虚拟化技术在硬件平台上同时运行多个虚拟化密码机,达到保证功能服务不变,同时降低总体成本及提高服务资源利用率的目的。
目前,密码机的密钥管理采用层次化的保护方法,分为设备密钥、用户密钥和工作密钥,设备密钥作为密码机的核心密钥,可用于对用户密钥进行加密保护,用户密钥又可以继续为工作密钥提供加密保护。这种分层密钥管理方案设计的思想就是在密钥的生成和使用之间取得平衡,工作密钥由于使用频繁,泄露风险大,因此需要经常变更,所以在分层密钥管理方案中,工作密钥变更的代价较小;而设备密钥只用于保护其它密钥,泄露风险小,因此不太需要变更,所以在分层密钥管理方案中,其变更导致的代价很大。
现有技术中,采用层次化的保护是建立在单个服务器密码机的基础之上,而随着大规模应用环境下对密钥管理和密码运算的需求,单个密码机已经远远不能满足应用的需求,大量密码机集中统一管理已经成为趋势,因此迫切需要设计一种新的密钥管理技术方案来满足基于密码机资源池的密钥管理需求。
发明内容
为此,本发明提供一种基于密码机资源池的多层密钥生成管理方法及装置,能够实现对海量密钥进行管理,在方便密钥使用和保障密钥安全之间取得平衡,解决密码机池化带来的密钥管理难题。
为了实现上述目的,本发明提供如下技术方案:第一方面,提供一种基于密码机资源池的多层密钥生成管理方法,包括:
步骤S1、在根密码机上的指定位置生成根密钥对,将生成的根密钥对作为密钥系统的根密钥;
步骤S2、生成池主密钥PMK并密文存储,将所述池主密钥PMK和指定密码机资源池建立关联关系;
步骤S3、使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;
步骤S4、往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;
步骤S5、采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;
步骤S6、使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对;
步骤S7、往密码机资源池中指定密码机的空闲位置导入所述用户主密钥CMK的明文密钥对;
步骤S8、使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储。
作为基于密码机资源池的多层密钥生成管理方法优选方案,步骤S1中,调用接口f1,在根密码机上的指定位置生成根密钥对,将生成的根密钥作为密钥系统的根密钥;
接口f1的入参包括密码机地址+端口号,密码机插槽位置;接口f1的出参包括成功/失败消息提示。
作为基于密码机资源池的多层密钥生成管理方法优选方案,步骤S2中,调用接口f2a,生成池主密钥PMK并密文存储,将所述池主密钥PMK和指定密码机资源池建立关联关系;
接口f2a的入参包括密码机地址+端口号,密码机插槽位置;接口f2a的出参包括明文公钥和密文私钥。
作为基于密码机资源池的多层密钥生成管理方法优选方案,步骤S3中,调用接口f4a,使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;
接口f4a的入参包括密码机地址+端口号,密码机插槽位置,明文公钥和密文私钥;接口f4a的出参包括明文公钥和明文私钥。
作为基于密码机资源池的多层密钥生成管理方法优选方案,步骤S4中,调用接口f3a,往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;
接口f3a的入参包括密码机地址+端口号,密码机插槽位置,明文公钥和明文私钥;接口f3a的出参包括成功/失败消息提示。
作为基于密码机资源池的多层密钥生成管理方法优选方案,步骤S5中,调用f2a接口/f2b接口,采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;
f2b接口的入参包括密码机地址+端口号,密码机插槽位置;f2b接口的出参包括加密密钥。
作为基于密码机资源池的多层密钥生成管理方法优选方案,步骤S6中,调用f4a接口,使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对。
作为基于密码机资源池的多层密钥生成管理方法优选方案,步骤S7中,调用f3a接口,往密码机资源池中指定密码机的空闲位置导入所述用户主密钥CMK的明文密钥对;
步骤S8中,调用f2a接口/f2b接口,使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储。
作为基于密码机资源池的多层密钥生成管理方法优选方案,步骤S7中还包括,调用加密/解密、签名/验签接口,并使用第N位置的密钥进行加解密、签名验签操作;
步骤S8中还包括使用本地SDK和密钥进行加解密操作。
第二方面,本发明提供一种基于密码机资源池的多层密钥生成管理装置,包括:
根密钥对生成模块,用于在根密码机上的指定位置生成根密钥对,将生成的根密钥对作为密钥系统的根密钥;
池主密钥生成模块,用于生成池主密钥PMK并密文存储;
池主密钥关联模块,用于将所述池主密钥PMK和指定密码机资源池建立关联关系;
第一解密模块,用于使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;
第一明文密钥导入模块,用于往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;
用户主密钥生成模块,用于采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;
第二解密模块,用于使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对;
第二明文密钥导入模块,用于往密码机资源池中指定密码机的空闲位置导入所述用户主密钥CMK的明文密钥对;
数据加密密钥生成模块,用于使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储。
本发明第三方面提供一种非暂态计算机可读存储介质,所述计算机可读存储介质中存储有基于密码机资源池的多层密钥生成管理方法的程序代码,所述程序代码包括用于执行第一方面或其任意可能实现方式的基于密码机资源池的多层密钥生成管理方法的指令。
本发明第四方面提供一种电子设备,包括:存储器和处理器;所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面或其任意可能实现方式的基于密码机资源池的多层密钥生成管理方法。
本发明的有益效果如下,本发明更加适配现有密码机资源池化,减轻了根密码机的负担,充分利用了密码机资源池负载均衡的能力,在保障资源损耗和运算性能的同时,不仅增强了密钥生成的高效性、灵活性和可拓展性,满足弹性伸缩、按需分配的应用场景;还进一步提高了根密钥的安全层级,秉持着上一层密钥保护下一层密钥的原则,越低层的密钥支持越频繁的密钥更新,最终形成动态的密钥系统,降低了密钥泄露或被攻击成功的可能性,使密钥的安全性和生成性能之间取得了良好的平衡效果。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其他的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例提供的基于密码机资源池的多层密钥生成管理方法流程示意图;
图2为本发明实施例提供的基于密码机资源池的多层密钥生成管理方法中根密钥、池主密钥、用户主密钥、数据加密密钥关系示意图;
图3为本发明实施例提供的基于密码机资源池的多层密钥生成管理方法实施路线示意图;
图4为本发明实施例提供的基于密码机资源池的多层密钥生成管理方法中生成根密钥示意图;
图5为本发明实施例提供的基于密码机资源池的多层密钥生成管理方法中生成PMK示意图;
图6为本发明实施例提供的基于密码机资源池的多层密钥生成管理方法中生成CMK示意图;
图7为本发明实施例提供的基于密码机资源池的多层密钥生成管理方法中生成DEK示意图;
图8为本发明实施例提供的基于密码机资源池的多层密钥生成管理装置示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
参见图1、图2和图3,本发明实施例1提供一种基于密码机资源池的多层密钥生成管理方法,包括以下步骤:
步骤S1、在根密码机上的指定位置生成根密钥对,将生成的根密钥对作为密钥系统的根密钥;
步骤S2、生成池主密钥PMK并密文存储,将所述池主密钥PMK和指定密码机资源池建立关联关系;
步骤S3、使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;
步骤S4、往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;
步骤S5、采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;
步骤S6、使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对;
步骤S7、往密码机资源池中指定密码机的空闲位置导入所述用户主密钥CMK的明文密钥对;
步骤S8、使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储。
再次参见图2,本实施例中采用四层密钥管理结构,四层密钥管理结构包括:
根密钥层,根密钥是整个密钥管理层次结构的最高层,是所有其他密钥的起点,根密钥层通常由在根密码机上的1号位置生成;
池主密钥PMK(pool masterkey),池主密钥由根密钥生成,和指定的密码机资源池建立关联关系,用来生成和管理下一级密钥;
用户主密钥CMK(custommasterkey),用户主密钥由池密钥生成,是用来保护通信过程中的数据安全的密钥,也可以用来生成数据加密密钥,用户主密钥支持非对称和对称两种形态;
数据加密密钥DEK(data encryptkey),数据加密密钥由用户主密钥生成的。数据加密密钥通常用于对大数据量的数据进行本地化的加解密,因此其密钥的安全性最弱,需要进行定期的密钥轮转。
参见图4,本实施例中,步骤S1中,调用接口f1,在根密码机上的指定位置生成根密钥对,将生成的根密钥作为密钥系统的根密钥;接口f1的入参包括密码机地址+端口号,密码机插槽位置;接口f1的出参包括成功/失败消息提示。
其中,调用接口f1的实现代码如下:
f1:“generateMachineKeyPair(hsm,position)=>success/fail”。
接口f1用于在根密码机指定1号位置生成用户密钥对;
接口f1入参为:hsm-密码机地址+端口号,如http://10.2.0.10:8100;
position-密码机插槽位置;
接口f1出参为:成功/失败。
参见图5,本实施例中,步骤S2中,调用接口f2a,生成池主密钥PMK并密文存储,将所述池主密钥PMK和指定密码机资源池建立关联关系;接口f2a的入参包括密码机地址+端口号,密码机插槽位置;接口f2a的出参包括明文公钥和密文私钥。
其中,调用接口f2a的实现代码如下:
f2a:“generateKeyPairWithIPK(hsm,position)=>(pub,enc_priv)
/generateKeyPairWithKEK(hsm,position)=>(pub,enc_priv)”。
接口f2a用于使用指定位置的密钥生成密钥对并输出;
接口f2a入参为:hsm-密码机地址+端口号,如http://10.2.0.10:8100;
position-密码机插槽位置;
接口f2a出参为:pub-明文公钥;
enc_priv-密文私钥。
本实施例中,步骤S3中,调用接口f4a,使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;接口f4a的入参包括密码机地址+端口号,密码机插槽位置,明文公钥和密文私钥;接口f4a的出参包括明文公钥和明文私钥。
其中,调用接口f4a的实现代码如下:
f4a:“decryptKeyPairWithISK(hsm,position,pub,enc_priv)=>(pub,priv)”。
接口f4a使用指定位置的解密私钥解密密钥对并输出;
接口f4a入参为:hsm-密码机地址+端口号,如http://10.2.0.10:8100;
position-密码机插槽位置;
pub-明文公钥;
enc_priv-密文私钥;
接口f4a出参为:pub-明文公钥;
priv-明文私钥。
本实施例中,步骤S4中,调用接口f3a,往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;至此,密码机资源池拥有池主密钥PMK并安全存储在HSM中。
其中,接口f3a的入参包括密码机地址+端口号,密码机插槽位置,明文公钥和明文私钥;接口f3a的出参包括成功/失败消息提示。
具体的,调用接口f3a的实现代码如下:
f3a:“importKeyPair(hsm,position,pub,priv)=>success/fail”。
接口f3a用于导入明文密钥对,接口f3a的入参为:
hsm-密码机地址+端口号,如http://10.2.0.10:8100;
position-密码机插槽位置;
pub-明文公钥;
priv-明文私钥;
接口f3a的出参为:成功/失败。
参见图6,本实施例中,步骤S5中,调用f2a接口/f2b接口,采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;f2b接口的入参包括密码机地址+端口号,密码机插槽位置;f2b接口的出参包括加密密钥。
其中,调用f2b接口的实现代码如下:
f2b:“generateKeyWithIPK(hsm,position)=>enc_key
/generateKeyWithKEK(hsm,position)=>enc_ke”。
f2b接口用于使用指定位置的加密密钥生成加密密钥并输出。
f2b接口的入参为:hsm-密码机地址+端口号,如http://10.2.0.10:8100;
position-密码机插槽位置;
f2b接口的出参为:enc_key-加密密钥。
参见图7,本实施例中,步骤S6中,调用f4a接口,使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对;步骤S7中,调用f3a接口,往密码机资源池中指定密码机的空闲位置N(N≠1)导入所述用户主密钥CMK的明文密钥对;此时可调用加密/解密、签名/验签接口,并使用第N位置的密钥进行加解密、签名验签操作;步骤S8中,调用f2a接口/f2b接口,使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储,此时可使用本地SDK+key进行加解密操作(本地内存操作)。本实施例中提出的根密钥、池主密钥、用户主密钥、数据加密密钥四层密钥管理结构,每个层次的密钥都是由上一级密钥生成的,下一级密钥的生成和管理都依赖于上一级的密钥,这种层次结构的设计既可以解决密码机池化带来的密钥管理难题,又可以有效地保护密钥的安全性,防止密钥泄露带来的风险。
综上所述,本发明实施例在根密码机上的指定位置生成根密钥对,将生成的根密钥对作为密钥系统的根密钥;生成池主密钥PMK并密文存储,将所述池主密钥PMK和指定密码机资源池建立关联关系;使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对;往密码机资源池中指定密码机的空闲位置导入所述用户主密钥CMK的明文密钥对;使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储。本发明更加适配现有密码机资源池化,减轻了根密码机的负担,充分利用了密码机资源池负载均衡的能力,在保障资源损耗和运算性能的同时,不仅增强了密钥生成的高效性、灵活性和可拓展性,满足弹性伸缩、按需分配的应用场景;还进一步提高了根密钥的安全层级,秉持着上一层密钥保护下一层密钥的原则,越低层的密钥支持越频繁的密钥更新,最终形成动态的密钥系统,降低了密钥泄露或被攻击成功的可能性,使密钥的安全性和生成性能之间取得了良好的平衡效果。
需要说明的是,本公开实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
实施例2
参见图8,本发明实施例2提供一种基于密码机资源池的多层密钥生成管理装置,包括:
根密钥对生成模块1,用于在根密码机上的指定位置生成根密钥对,将生成的根密钥对作为密钥系统的根密钥;
池主密钥生成模块2,用于生成池主密钥PMK并密文存储;
池主密钥关联模块3,用于将所述池主密钥PMK和指定密码机资源池建立关联关系;
第一解密模块4,用于使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;
第一明文密钥导入模块5,用于往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;
用户主密钥生成模块6,用于采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;
第二解密模块7,用于使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对;
第二明文密钥导入模块8,用于往密码机资源池中指定密码机的空闲位置导入所述用户主密钥CMK的明文密钥对;
数据加密密钥生成模块9,用于使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储。
本实施例中,根密钥对生成模块1中,调用接口f1,在根密码机上的指定位置生成根密钥对,将生成的根密钥作为密钥系统的根密钥;
接口f1的入参包括密码机地址+端口号,密码机插槽位置;接口f1的出参包括成功/失败消息提示。
本实施例中,池主密钥生成模块2中,调用接口f2a,生成池主密钥PMK并密文存储,将所述池主密钥PMK和指定密码机资源池建立关联关系;
接口f2a的入参包括密码机地址+端口号,密码机插槽位置;接口f2a的出参包括明文公钥和密文私钥。
本实施例中,第一解密模块4中,调用接口f4a,使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;
接口f4a的入参包括密码机地址+端口号,密码机插槽位置,明文公钥和密文私钥;接口f4a的出参包括明文公钥和明文私钥。
本实施例中,第一明文密钥导入模块5中,调用接口f3a,往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;
接口f3a的入参包括密码机地址+端口号,密码机插槽位置,明文公钥和明文私钥;接口f3a的出参包括成功/失败消息提示。
本实施例中,用户主密钥生成模块6中,调用f2a接口/f2b接口,采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;
f2b接口的入参包括密码机地址+端口号,密码机插槽位置;f2b接口的出参包括加密密钥。
本实施例中,第二解密模块7中,调用f4a接口,使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对。
本实施例中,第二明文密钥导入模块8中,调用f3a接口,往密码机资源池中指定密码机的空闲位置导入所述用户主密钥CMK的明文密钥对;
数据加密密钥生成模块9中,调用f2a接口/f2b接口,使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储。
需要说明的是,上述装置各模块之间的信息交互、执行过程等内容,由于与本申请实施例1中的方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
实施例3
本发明实施例3提供一种非暂态计算机可读存储介质,所述计算机可读存储介质中存储有基于密码机资源池的多层密钥生成管理方法的程序代码,所述程序代码包括用于执行实施例1或其任意可能实现方式的基于密码机资源池的多层密钥生成管理方法的指令。
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidState Disk、SSD))等。
实施例4
本发明实施例4提供一种电子设备,包括:存储器和处理器;
所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行实施例1或其任意可能实现方式的基于密码机资源池的多层密钥生成管理方法。
具体的,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于所述处理器之外,独立存在。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (10)

1.基于密码机资源池的多层密钥生成管理方法,其特征在于,包括:
步骤S1、在根密码机上的指定位置生成根密钥对,将生成的根密钥对作为密钥系统的根密钥;
步骤S2、生成池主密钥PMK并密文存储,将所述池主密钥PMK和指定密码机资源池建立关联关系;
步骤S3、使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;
步骤S4、往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;
步骤S5、采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;
步骤S6、使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对;
步骤S7、往密码机资源池中指定密码机的空闲位置导入所述用户主密钥CMK的明文密钥对;
步骤S8、使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储。
2.根据权利要求1所述的基于密码机资源池的多层密钥生成管理方法,其特征在于,步骤S1中,调用接口f1,在根密码机上的指定位置生成根密钥对,将生成的根密钥作为密钥系统的根密钥;
接口f1的入参包括密码机地址+端口号,密码机插槽位置;接口f1的出参包括成功/失败消息提示。
3.根据权利要求2所述的基于密码机资源池的多层密钥生成管理方法,其特征在于,步骤S2中,调用接口f2a,生成池主密钥PMK并密文存储,将所述池主密钥PMK和指定密码机资源池建立关联关系;
接口f2a的入参包括密码机地址+端口号,密码机插槽位置;接口f2a的出参包括明文公钥和密文私钥。
4.根据权利要求3所述的基于密码机资源池的多层密钥生成管理方法,其特征在于,步骤S3中,调用接口f4a,使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;
接口f4a的入参包括密码机地址+端口号,密码机插槽位置,明文公钥和密文私钥;接口f4a的出参包括明文公钥和明文私钥。
5.根据权利要求4所述的基于密码机资源池的多层密钥生成管理方法,其特征在于,步骤S4中,调用接口f3a,往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;
接口f3a的入参包括密码机地址+端口号,密码机插槽位置,明文公钥和明文私钥;接口f3a的出参包括成功/失败消息提示。
6.根据权利要求5所述的基于密码机资源池的多层密钥生成管理方法,其特征在于,步骤S5中,调用f2a接口/f2b接口,采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;
f2b接口的入参包括密码机地址+端口号,密码机插槽位置;f2b接口的出参包括加密密钥。
7.根据权利要求6所述的基于密码机资源池的多层密钥生成管理方法,其特征在于,步骤S6中,调用f4a接口,使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对。
8.根据权利要求7所述的基于密码机资源池的多层密钥生成管理方法,其特征在于,步骤S7中,调用f3a接口,往密码机资源池中指定密码机的空闲位置导入所述用户主密钥CMK的明文密钥对;
步骤S8中,调用f2a接口/f2b接口,使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储。
9.根据权利要求8所述的基于密码机资源池的多层密钥生成管理方法,其特征在于,步骤S7中还包括,调用加密/解密、签名/验签接口,并使用第N位置的密钥进行加解密、签名验签操作;
步骤S8中还包括使用本地SDK和密钥进行加解密操作。
10.基于密码机资源池的多层密钥生成管理装置,其特征在于,包括:
根密钥对生成模块,用于在根密码机上的指定位置生成根密钥对,将生成的根密钥对作为密钥系统的根密钥;
池主密钥生成模块,用于生成池主密钥PMK并密文存储;
池主密钥关联模块,用于将所述池主密钥PMK和指定密码机资源池建立关联关系;
第一解密模块,用于使用根密码机的解密私钥解密所述池主密钥PMK并输出明文密钥对;
第一明文密钥导入模块,用于往密码机资源池中指定密码机中的指定位置导入所述池主密钥PMK的明文密钥对;
用户主密钥生成模块,用于采用所述池主密钥PMK生成用户主密钥CMK,将生成的所述用户主密钥CMK密文存储;
第二解密模块,用于使用所述池主密钥PMK的解密私钥解密所述用户主密钥CMK的密钥对,并输出所述用户主密钥CMK的明文密钥对;
第二明文密钥导入模块,用于往密码机资源池中指定密码机的空闲位置导入所述用户主密钥CMK的明文密钥对;
数据加密密钥生成模块,用于使用密码机资源池中指定密码机的第N位置的所述用户主密钥CMK生成数据加密密钥DEK,将生成的数据加密密钥DEK密文存储。
CN202311208921.2A 2023-09-19 基于密码机资源池的多层密钥生成管理方法及装置 Active CN117155567B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311208921.2A CN117155567B (zh) 2023-09-19 基于密码机资源池的多层密钥生成管理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311208921.2A CN117155567B (zh) 2023-09-19 基于密码机资源池的多层密钥生成管理方法及装置

Publications (2)

Publication Number Publication Date
CN117155567A true CN117155567A (zh) 2023-12-01
CN117155567B CN117155567B (zh) 2024-05-31

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1788784A1 (en) * 2005-11-21 2007-05-23 Accenture Global Services GmbH Unified directory and presence system
CN111245813A (zh) * 2020-01-07 2020-06-05 北京数字认证股份有限公司 密码资源池系统、加密方法、电子设备及存储介质
WO2020238694A1 (zh) * 2019-05-27 2020-12-03 腾讯科技(深圳)有限公司 一种密钥管理方法及相关设备
US20210067325A1 (en) * 2019-08-27 2021-03-04 EMC IP Holding Company LLC Generating shared authentication keys using network connection characteristics
CN113972985A (zh) * 2021-09-02 2022-01-25 北京电子科技学院 一种基于云密码机密钥管理的私有云加密存储方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1788784A1 (en) * 2005-11-21 2007-05-23 Accenture Global Services GmbH Unified directory and presence system
WO2020238694A1 (zh) * 2019-05-27 2020-12-03 腾讯科技(深圳)有限公司 一种密钥管理方法及相关设备
US20210067325A1 (en) * 2019-08-27 2021-03-04 EMC IP Holding Company LLC Generating shared authentication keys using network connection characteristics
CN111245813A (zh) * 2020-01-07 2020-06-05 北京数字认证股份有限公司 密码资源池系统、加密方法、电子设备及存储介质
CN113972985A (zh) * 2021-09-02 2022-01-25 北京电子科技学院 一种基于云密码机密钥管理的私有云加密存储方法

Similar Documents

Publication Publication Date Title
US10903994B2 (en) Many-to-many symmetric cryptographic system and method
GB2555961B (en) System of enclaves
Kaur et al. Analysis of security algorithms in cloud computing
CN110417726B (zh) 一种密钥管理方法及相关设备
CN110391900A (zh) 基于sm2算法的私钥处理方法、终端及密钥中心
WO2021239008A1 (zh) 一种基于隐私保护的加密方法和系统
CN110880972A (zh) 一种基于安全多方计算的区块链密钥管理系统
CN107948212A (zh) 一种日志的处理方法及装置
CN114584307B (zh) 一种可信密钥管理方法、装置、电子设备和存储介质
JP2022531593A (ja) Aesカウンタモード暗号化において準群演算によって暗号化された整数を加算および比較するシステムおよび方法
CA3056814A1 (en) Symmetric cryptographic method and system and applications thereof
CN117081740B (zh) 基于密码机资源池的密钥管理方法及装置
US11290277B2 (en) Data processing system
CN113645235A (zh) 分布式数据加解密系统及加解密方法
CN117155567B (zh) 基于密码机资源池的多层密钥生成管理方法及装置
CN117155567A (zh) 基于密码机资源池的多层密钥生成管理方法及装置
KR20210017396A (ko) 신뢰 서버의 준동형 암호 기반 확장 가능한 그룹 키 생성 방법 및 시스템
Balasubramaniam et al. A survey on data encryption tecniques in cloud computing
CN114691034A (zh) 一种数据存储方法及数据处理设备
Basu et al. Secured cloud storage scheme using ECC based key management in user hierarchy
CN110289954B (zh) 一种密钥处理方法及装置
US11743039B2 (en) System and method for data encryption using key derivation
CN114884655B (zh) 数据处理方法、装置、电子设备及可读存储介质
CN109787773A (zh) 基于私钥池和Elgamal的抗量子计算签密方法和系统
CN108040068B (zh) 基于云安全平台的快速访问控制系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant