CN107733639B - 密钥管理方法、装置及可读存储介质 - Google Patents
密钥管理方法、装置及可读存储介质 Download PDFInfo
- Publication number
- CN107733639B CN107733639B CN201710741118.3A CN201710741118A CN107733639B CN 107733639 B CN107733639 B CN 107733639B CN 201710741118 A CN201710741118 A CN 201710741118A CN 107733639 B CN107733639 B CN 107733639B
- Authority
- CN
- China
- Prior art keywords
- key
- service system
- acquiring
- information
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种密钥管理方法、装置及可读存储介质,所述密钥管理方法包括:当检测到业务***密钥请求时,获取该业务***的属性,基于所述属性获取业务***对应的密钥规则;基于所述密钥规则动态获取密钥;将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密。本发明解决现有各个业务***网络传输信息过程中密钥易泄漏,安全性能低的技术问题。
Description
技术领域
本发明属于密钥领域,尤其涉及一种密钥管理方法、装置及可读存储介质。
背景技术
目前,为确保各个业务***网络传输信息过程的安全,需使用密钥对各个业务***的待传输信息进行加密。然而,现有技术在对待传输信息进行加密时,密钥都是人为通过传统媒介如U盘等方式导入至业务***的本地配置文件中,人为导入密钥至本地配置文件中对密钥的安全性没有保障且操作繁琐,效率较低,如本地的配置文件的丢失会导致密钥的泄漏等问题。
发明内容
本发明的主要目的在于提供一种密钥管理方法、装置及可读存储介质,旨在解决现有各个业务***网络传输信息过程中密钥易泄漏,安全性能低的技术问题。
为实现上述目的,本发明提供一种密钥管理方法,所述密钥管理方法包括:
当检测到业务***密钥请求时,获取该业务***的属性,基于所述属性获取业务***对应的密钥规则;
基于所述密钥规则动态获取密钥;
将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密。
可选地,所述获取该业务***的属性,基于所述属性获取业务***对应的密钥规则步骤包括:
获取业务***的类型,并基于所述类型业务***获取对应待传输信息的配置信息;
基于所述待传输信息的配置信息,获取业务***对应密钥规则。
可选地,所述密钥规则包括密钥算法,所述密钥管理方法应用于密钥存储库,所述基于所述密钥规则动态获取密钥步骤包括:
基于所述密钥规则,检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库;
当不存在匹配的子密钥存储库时,基于所述密钥规则,调用密钥算法,生成具有预设有效期、密钥长度的密钥。
可选地,所述检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库步骤之后包括:
当存在匹配的子密钥存储库时,从所述子密钥存储库中动态获取所述密钥规则相应密钥。
可选地,所述从所述子密钥存储库中动态获取所述密钥规则相应密钥步骤包括:
获取所述子密钥存储库中各密钥的时效信息;
基于所述时效信息获取具有预设有效期的密钥,从所述具有预设有效期的密钥中动态选取所述密钥规则相应密钥。
可选地,所述密钥管理方法还包括:
每间隔预设时间段获取子密钥存储库中各密钥的时效信息;
若检测到任意不具有预设有效期的密钥时,对所述不具有预设有效期的密钥进行删除或者停用处理。
可选地,所述当检测到业务***密钥请求时,获取该业务***的属性步骤包括:
当检测到业务***密钥请求时,对业务***进行身份认证;
当所述身份认证通过时,获取该业务***的属性。
可选地,所述将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密步骤之后包括:
对发送至对应的业务***的密钥,以及该业务***进行关联记录保存,以供后续查询。
此外,为实现上述目的,本发明还提供一种密钥管理装置,所述密钥管理装置包括:存储器、处理器,通信总线以及存储在所述存储器上的密钥管理程序,
所述通信总线用于实现处理器与存储器间的通信连接;
所述处理器用于执行所述背光调节程序,以实现以下步骤:
当检测到业务***密钥请求时,获取该业务***的属性,基于所述属性获取业务***对应的密钥规则;
基于所述密钥规则动态获取密钥;
将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密。
可选地,所述获取该业务***的属性,基于所述属性获取业务***对应的密钥规则步骤包括:
获取业务***的类型,并基于所述类型业务***获取对应待传输信息的配置信息;
基于所述待传输信息的配置信息,获取业务***对应密钥规则。
可选地,所述密钥规则包括密钥算法,所述密钥管理方法应用于密钥存储库,所述基于所述密钥规则动态获取密钥步骤包括:
基于所述密钥规则,检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库;
当不存在匹配的子密钥存储库时,基于所述密钥规则,调用密钥算法,生成具有预设有效期、密钥长度的密钥。
可选地,所述检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库步骤之后包括:
当存在匹配的子密钥存储库时,从所述子密钥存储库中动态获取所述密钥规则相应密钥。
可选地,所述从所述子密钥存储库中动态获取所述密钥规则相应密钥步骤包括:
获取所述子密钥存储库中各密钥的时效信息;
基于所述时效信息获取具有预设有效期的密钥,从所述具有预设有效期的密钥中动态选取所述密钥规则相应密钥。
可选地,所述密钥管理方法还包括:
每间隔预设时间段获取子密钥存储库中各密钥的时效信息;
若检测到任意不具有预设有效期的密钥时,对所述不具有预设有效期的密钥进行删除或者停用处理。
可选地,所述当检测到业务***密钥请求时,获取该业务***的属性步骤包括:
当检测到业务***密钥请求时,对业务***进行身份认证;
当所述身份认证通过时,获取该业务***的属性。
可选地,所述将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密步骤之后包括:
对发送至对应的业务***的密钥,以及该业务***进行关联记录保存,以供后续查询。
此外,为实现上述目的,本发明还提供一种可读存储介质,所述可读存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序可被一个或者一个以上的处理器执行以用于:
当检测到业务***密钥请求时,获取该业务***的属性,基于所述属性获取业务***对应的密钥规则;
基于所述密钥规则动态获取密钥;
将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密。
本发明通过当检测到业务***密钥请求时,获取该业务***的属性,基于所述属性获取业务***对应的密钥规则;基于所述密钥规则动态获取密钥;将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密。由于在本申请中,当检测到业务***密钥请求时,密钥管理***基于该请求获取密钥,将密钥发送至不同的业务***,以供业务***根据所述密钥对业务***的待传输信息进行加密,有效避免了在业务***处泄漏密钥,即在此过程中,调用方即业务***不感知密钥,不落地密钥,因而解决了现有各个业务***网络传输信息过程中密钥易泄漏,安全性能低的技术问题。
附图说明
图1为本发明密钥管理方法第一实施例的流程示意图;
图2为本发明密钥管理方法第二实施例的流程示意图;
图3为本发明实施例方法涉及的硬件运行环境的设备结构示意图;
图4为本发明实施例方法涉及的场景示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种密钥管理方法,在本发明密钥管理方法的第一实施例中,参照图1,所述密钥管理方法包括:
步骤S10,当检测到业务***密钥请求时,获取该业务***的属性,基于所述属性获取业务***对应的密钥规则;
在本申请中,通过密钥管理***对各***的密钥进行统一管理,如集中产生不同密钥、安全存储密钥、将密钥分发至对应的业务***等,如图4所示,密钥管理***与各个业务***通过密钥服务接口进行通信,另外,密钥管理***实现生成的密钥的更新、存储、注销和使用等全生命周期的管理,密钥管理***还存在监控功能,当密钥产生异常时,生成异常通知或者预警。
密钥具有密钥属性,密钥属性包括密钥的预设有效期信息,密钥的长度信息等,另外,密钥以成对的密钥呈现,即密钥可包括对称密钥与非对称密钥,其中,非对称密钥可是公钥与私钥,该公钥与私钥为加解密,以非对称密钥为例进行说明,通过公钥对业务***发送端的待传输信息进行加密后,将其发送给接收端,接收端基于私钥对接收到的传输信息进行解密处理,即在本申请中,业务***获取密钥管理***发送的非对称密钥后,获取待处理业务的接收端与发送端,将非对称密钥中的公钥发送给发送端,以供发送端基于该公钥加密待传输信息,业务***还将私钥发送给接收端,以供接收端基于该私钥解密接收到的传输信息。
当密钥为对称密钥时,该对称密钥可是私钥,即业务***获取密钥管理***发送的私钥后,将该相同私钥分别发送至对应的发送端与接收端,发送端采用该私钥加密待传输信息,接收端采用该私钥解密接收到的传输信息,另外,业务***将该私钥分别发送至对应的发送端与接收端过程之前,由于业务***可能存在多个待处理业务,因而根据待处理业务对应的密钥请求分别发送不同的密钥。
当检测到业务***密钥请求时,获取该业务***的属性,其中,业务***可是定时或者存在业务处理需求时,发送密钥请求,密钥管理***通过密钥服务接口接收该密钥请求,基于密钥生成策略或者算法在生成密钥后定时发送密钥至业务***,或者实时生成密钥后发送密钥至业务***,如图4所示,在发送密钥至业务***之前,密钥管理***基于密钥请求获取该业务***的属性,基于所述属性获取业务***对应的密钥规则。
其中,如图2所示,所述获取该业务***的属性,基于所述属性获取业务***对应的密钥规则步骤包括:
步骤S11,获取业务***的类型,并基于所述类型业务***获取对应待传输信息的配置信息;
业务***的属性包括业务***的类型,不同类型业务***对密钥属性等具有不同的需求,密钥属性包括密钥的类型,如公钥,私钥分属不同类型密钥,用以具体实施例进行说明,如通过公钥加密具有更大的密钥空间(密钥的可能值范围),但是公钥在加密大量数据时会造成加密过程时间的过度延长,而私钥的可能值范围较小,虽然加密过程较为迅速,但是私钥可能因为穷举而被破获,因而,根据业务***待处理业务的类型的不同而采取公钥或者私钥加密待传输信息,当业务***的待处理业务一般为包含大量数据的待传输信息时,为避免传输过程中的延时,可选取私钥对待传输信息进行加密,当业务***的待处理业务的待传输信息数据含量较少时,可选取公钥对其进行加密。
另外,由于业务***类型不同,待处理业务不同,待处理业务不同,对应待传输信息不同,进一步地,对密钥的规则需求信息不同,其中,待处理业务对密钥的规则需求信息可从待处理业务的配置信息中读取,即在获取业务***的类型后,获取该类型业务***的对应待处理业务的待传输信息的配置信息即可获取对应密钥规则。
步骤S12,基于所述待传输信息的配置信息,获取业务***对应密钥规则。
在本申请中,配置信息中包括对密钥的长度需求信息,密钥的实效性需求信息,密钥加密规则信息等,基于所述待传输信息的配置信息,获取业务***对应密钥规则即是从所述类型待传输信息的配置信息,读取业务***对应的密钥规则,该密钥规则包括密钥的长度规则、密钥的算法规则等。
步骤S20,基于所述密钥规则动态获取密钥;
在获取业务***的密钥规则后,基于所述密钥规则动态获取或者生成密钥,该获取过程可是:从符合密钥规则的多个密钥中随机挑选一个密钥即可,即由于密钥可是密钥管理***已经产生并根据密钥不同属性分别将密钥存储在不同的子密钥存储库中的,当符合密钥规则的密钥存在多个,从中随机挑选对应的密钥即可,另外,基于所述密钥规则动态生成密钥过程可是:根据密钥规则,将二进制码0与1进行有序组合,以得到符合密钥规则的密钥,即该密钥也可是根据该密钥规则实时生成的。
步骤S30,将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密。
将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密,用以具体实施例进行说明,当该业务***是A邮件业务***时,密钥管理***获取该A邮件业务***的属性并对应生成该业务***对应的A类密钥后,获取该A邮件业务***的地址信息,基于该地址信息,将A类密钥发送给对应的A邮件业务***,A邮件业务***继续将A类密钥随机分配该待发送的邮件业务,并对该待发送的邮件进行加密,在此过程中,A邮件业务***可不感知密钥,不落地密钥。另外,密钥管理***中的密钥存储库可能存在符合A邮件业务***属性或者要求的密钥,若密钥存储库存在A类密钥时,选取A类密钥,并将A类密钥发送给业务***。
本发明通过本发明通过当检测到业务***密钥请求时,获取该业务***的属性,基于所述属性获取业务***对应的密钥规则;基于所述密钥规则动态获取密钥;将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密。由于在本申请中,当检测到业务***密钥请求时,密钥管理***基于该请求获取密钥,将密钥发送至不同的业务***,以供业务***根据所述密钥对业务***的待传输信息进行加密,有效避免了在业务***处泄漏密钥,即在此过程中,调用方即业务***不感知密钥,不落地密钥,因而解决了现有各个业务***网络传输信息过程中密钥易泄漏,安全性能低的技术问题。
进一步地,在本发明密钥管理方法的第一实施例的基础上,提供密钥管理方法第二实施例,在第二实施例中,所述密钥规则包括密钥算法,所述密钥管理方法应用于密钥存储库,所述基于所述密钥规则动态获取密钥步骤包括:
基于所述密钥规则,检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库;
当不存在匹配的子密钥存储库时,基于所述密钥规则,调用密钥算法,生成具有预设有效期、密钥长度的密钥。
基于所述密钥规则,检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库,其中,在子密钥存储库对应的接口配置中,预存子密钥存储库中存储的密钥的密钥规则,如密钥的长度信息,密钥的构成信息,密钥的算法信息等,或者在密钥管理***配置文件集合中存储各个子密钥存储库对应的密钥规则等,将业务***对应的密钥规则与密钥管理***中子密钥存储库对应的密钥规则进行比对,当密钥规则不一致时,匹配失败,因而需要实时生成密钥,即基于所述密钥规则,调用密钥算法,生成具有预设有效期、密钥长度的密钥,该密钥算法包括公钥密钥的算法,或者私钥密钥的算法,该算法已预先导入至密钥管理***中,当实时生成密钥后,可建立与该密钥匹配的子密钥存储库,在该子密钥存储库中存储对应的密钥。另外,密钥管理***在检测到业务***对应的密钥规则发生更新时,基于更新的密钥规则产生密钥,并发送。
在本实施例中,通过基于所述密钥规则,检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库;当不存在匹配的子密钥存储库时,基于所述密钥规则,调用密钥算法,生成具有预设有效期、密钥长度的密钥。由于密钥管理***可实时生成与对应的业务***对应的密钥,且在该过程中业务***还是不感知密钥,不落地密钥,进而进一步提升了用户体验。
进一步地,在本发明密钥管理方法的第二实施例的基础上,提供密钥管理方法第三实施例,在第三实施例中,所述检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库步骤之后包括:
当存在匹配的子密钥存储库时,从所述子密钥存储库中动态获取所述密钥规则相应密钥。
所述从所述子密钥存储库中动态获取所述密钥规则相应密钥步骤包括:
获取所述子密钥存储库中各密钥的时效信息;
基于所述时效信息获取具有预设有效期的密钥,从所述具有预设有效期的密钥中动态选取所述密钥规则相应密钥。
当存在匹配的子密钥存储库时,从所述子密钥存储库中动态获取相应密钥,具体地,由于密钥具有时效性,因而获取子密钥存储库中的各密钥的时效信息,其中,该子密钥存储库中的各密钥可是预先根据密钥的时效进行分批存储,基于所述时效信息获取具有预设有效期的密钥,从所述具有预设有效期的密钥中动态选取密钥,其中,该动态选取可是随机抽取预设数目的密钥,以供将选取的预设数目的密钥发送给业务***。
在本实施例中,通过当存在匹配的子密钥存储库时,从所述子密钥存储库中动态获取相应密钥。其中,从所述子密钥存储库中动态获取相应密钥步骤包括:获取所述子密钥存储库中各密钥的时效信息;基于所述时效信息获取具有预设有效期的密钥,从所述具有预设有效期的密钥中动态选取密钥。由于本申请获取具有预设有效期的密钥,有效避免了因密钥失效而造成业务***待传输信息发送延误的现象,能够进一步提升用户体验。
进一步地,在本发明密钥管理方法的第一实施例的基础上,提供密钥管理方法第四实施例,在第四实施例中,所述密钥管理方法还包括:
每间隔预设时间段获取子密钥存储库中各密钥的时效信息;
若检测到任意不具有预设有效期的密钥时,对所述不具有预设有效期的密钥进行删除或者停用处理。
密钥管理***每间隔预设时间段获取子密钥存储库中各密钥的时效信息,其中,该子密钥存储库中的各密钥可是预先根据密钥的时效进行分批存储,若检测到任意不具有预设有效期的密钥时,对不具有预设有效期的密钥进行删除或者停用处理,如若子密钥存储库中某B类密钥预设有效期期为1个月,该B类密钥在2017年4月生成,则2017年5月后,该B类密钥为失效密钥,在检测到B类密钥为失效密钥后,对B类密钥进行删除或者停用处理。
在本实施例中,通过每间隔预设时间段获取子密钥存储库中各密钥的时效信息;若检测到任意不具有预设有效期的密钥时,对所述不具有预设有效期的密钥进行删除或者停用处理。由于每间隔预设时间段检测并对不具有预设有效期的密钥进行删除或者停用处理,因而能够有效避免了因密钥失效而造成业务***待传输信息发送延误的现象,能够进一步提升用户体验。
进一步地,在本发明密钥管理方法的第四实施例的基础上,提供密钥管理方法第五实施例,在第五实施例中,所述当所述距离时间大于预设时间时,检测该调节操作的类型步骤包括:
所述当检测到业务***密钥请求时,获取该业务***的属性步骤包括:
当检测到业务***密钥请求时,对业务***进行身份认证;
当所述身份认证通过时,获取该业务***的属性。
当检测到业务***密钥请求时,对业务***进行身份认证,该身份验证包括权限验证,角色验证等,当所述身份认证通过时,获取该业务***的属性,当身份认证未通过时,生成提示信息,以提示业务***身份认证未通过。
在本实施例中,通过当检测到业务***密钥请求时,对业务***进行身份认证;当所述身份认证通过时,获取该业务***的属性,由于密钥管理***对业务***进行身份验证,因而能够有效提升密钥管理***的安全性,因而进一步提升用户体验。
进一步地,在本发明密钥管理方法的第一实施例的基础上,提供密钥管理方法第六实施例,在第六实施例中,所述将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密步骤之后包括:
对发送至对应的业务***的密钥,以及该业务***进行关联记录保存,以供后续查询。
在本实施例中,对发送至对应的业务***的密钥,以及该业务***进行关联记录保存,以供后续查询,用以具体实施例进行说明,密钥管理***将A类密钥发送至M业务***后,密钥管理***中保存A类密钥与M业务***的映射关联关系。
在本实施例中,通过对发送至对应的业务***的密钥,以及该业务***进行关联记录保存,以供后续查询。因而进一步提升用户体验。
参照图3,图3是本发明实施例方法涉及的硬件运行环境的设备结构示意图。
本发明实施例密钥管理装置可以是PC,也可以是智能手机、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)播放器、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、便携计算机等终端设备。
如图3所示,该密钥管理装置可以包括:处理器1001,例如CPU,存储器1005,通信总线1002。其中,通信总线1002用于实现处理器1001和存储器1005之间的连接通信。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,该密钥管理装置还可以包括用户接口、网络接口、摄像头、RF(RadioFrequency,射频)电路,传感器、音频电路、WiFi模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口还可以包括标准的有线接口、无线接口。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。
本领域技术人员可以理解,图3中示出的密钥管理装置结构并不构成对密钥管理装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图3所示,作为一种计算机存储介质的存储器1005中可以包括操作***、网络通信模块以及密钥管理程序。操作***是管理和控制密钥管理装置硬件和软件资源的程序,支持密钥管理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储器1005内部各组件之间的通信,以及与密钥管理装置中其它硬件和软件之间通信。
在图3所示的密钥管理装置中,处理器1001用于执行存储器1005中存储的密钥管理程序,实现以下步骤:
当检测到业务***密钥请求时,获取该业务***的属性,基于所述属性获取业务***对应的密钥规则;
基于所述密钥规则动态获取密钥;
将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密。
进一步地,所述获取该业务***的属性,基于所述属性获取业务***对应的密钥规则步骤包括:
获取业务***的类型,并基于所述类型业务***获取对应待传输信息的配置信息;
基于所述待传输信息的配置信息,获取业务***对应密钥规则。
进一步地,所述密钥规则包括密钥算法,所述密钥管理方法应用于密钥存储库,所述基于所述密钥规则动态获取密钥步骤包括:
基于所述密钥规则,检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库;
当不存在匹配的子密钥存储库时,基于所述密钥规则,调用密钥算法,生成具有预设有效期、密钥长度的密钥。
进一步地,所述检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库步骤之后包括:
当存在匹配的子密钥存储库时,从所述子密钥存储库中动态获取所述密钥规则相应密钥。
进一步地,所述从所述子密钥存储库中动态获取所述密钥规则相应密钥步骤包括:
获取所述子密钥存储库中各密钥的时效信息;
基于所述时效信息获取具有预设有效期的密钥,从所述具有预设有效期的密钥中动态选取所述密钥规则相应密钥。
进一步地,所述密钥管理方法还包括:
每间隔预设时间段获取子密钥存储库中各密钥的时效信息;
若检测到任意不具有预设有效期的密钥时,对所述不具有预设有效期的密钥进行删除或者停用处理。
进一步地,所述当检测到业务***密钥请求时,获取该业务***的属性步骤包括:
当检测到业务***密钥请求时,对业务***进行身份认证;
当所述身份认证通过时,获取该业务***的属性。
进一步地,所述将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密步骤之后包括:
对发送至对应的业务***的密钥,以及该业务***进行关联记录保存,以供后续查询。
本发明密钥管理装置具体实施方式与上述密钥管理方法各实施例基本相同,在此不再赘述。
本发明提供了一种可读存储介质,所述可读存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现以下步骤:
当检测到业务***密钥请求时,获取该业务***的属性,基于所述属性获取业务***对应的密钥规则;
基于所述密钥规则动态获取密钥;
将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密。
进一步地,所述获取该业务***的属性,基于所述属性获取业务***对应的密钥规则步骤包括:
获取业务***的类型,并基于所述类型业务***获取对应待传输信息的配置信息;
基于所述待传输信息的配置信息,获取业务***对应密钥规则。
进一步地,所述密钥规则包括密钥算法,所述密钥管理方法应用于密钥存储库,所述基于所述密钥规则动态获取密钥步骤包括:
基于所述密钥规则,检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库;
当不存在匹配的子密钥存储库时,基于所述密钥规则,调用密钥算法,生成具有预设有效期、密钥长度的密钥。
进一步地,所述检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库步骤之后包括:
当存在匹配的子密钥存储库时,从所述子密钥存储库中动态获取所述密钥规则相应密钥。
进一步地,所述从所述子密钥存储库中动态获取所述密钥规则相应密钥步骤包括:
获取所述子密钥存储库中各密钥的时效信息;
基于所述时效信息获取具有预设有效期的密钥,从所述具有预设有效期的密钥中动态选取所述密钥规则相应密钥。
进一步地,所述密钥管理方法还包括:
每间隔预设时间段获取子密钥存储库中各密钥的时效信息;
若检测到任意不具有预设有效期的密钥时,对所述不具有预设有效期的密钥进行删除或者停用处理。
进一步地,所述当检测到业务***密钥请求时,获取该业务***的属性步骤包括:
当检测到业务***密钥请求时,对业务***进行身份认证;
当所述身份认证通过时,获取该业务***的属性。
进一步地,所述将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密步骤之后包括:
对发送至对应的业务***的密钥,以及该业务***进行关联记录保存,以供后续查询。
本发明可读存储介质具体实施方式与上述密钥管理方法各实施例基本相同,在此不再赘述。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利处理范围内。
Claims (8)
1.一种密钥管理方法,其特征在于,所述密钥管理方法包括:
当检测到业务***密钥请求时,获取该业务***的属性,基于所述属性获取业务***对应的密钥规则;
基于所述密钥规则,检测密钥存储库中是否存在与该密钥规则匹配的子密钥存储库;
当存在匹配的子密钥存储库时,从所述子密钥存储库中动态获取所述密钥规则相应密钥,该子密钥存储库中的各密钥预先根据密钥的时效进行分批存储;
当不存在匹配的子密钥存储库时,基于所述密钥规则,调用密钥算法,生成具有预设有效期、密钥长度的密钥,其中,密钥管理***在检测到业务***对应的密钥规则发生更新时,基于更新的密钥规则产生密钥,并发送;
将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密,其中,所述业务***不存储密钥。
2.如权利要求1所述的密钥管理方法,其特征在于,所述获取该业务***的属性,基于所述属性获取业务***对应的密钥规则步骤包括:
获取业务***的类型,并基于所述类型业务***获取对应待传输信息的配置信息;
基于所述待传输信息的配置信息,获取业务***对应密钥规则。
3.如权利要求1所述的密钥管理方法,其特征在于,所述从所述子密钥存储库中动态获取所述密钥规则相应密钥步骤包括:
获取所述子密钥存储库中各密钥的时效信息;
基于所述时效信息获取具有预设有效期的密钥,从所述具有预设有效期的密钥中动态选取所述密钥规则相应密钥。
4.如权利要求3所述的密钥管理方法,其特征在于,所述密钥管理方法还包括:
每间隔预设时间段获取子密钥存储库中各密钥的时效信息;
若检测到任意不具有预设有效期的密钥时,对所述不具有预设有效期的密钥进行删除或者停用处理。
5.如权利要求1所述的密钥管理方法,其特征在于,所述当检测到业务***密钥请求时,获取该业务***的属性步骤包括:
当检测到业务***密钥请求时,对业务***进行身份认证;
当所述身份认证通过时,获取该业务***的属性。
6.如权利要求1所述的密钥管理方法,其特征在于,所述将所述密钥发送至对应的业务***,以供所述业务***根据所述密钥对业务***的待传输信息进行加密步骤之后包括:
对发送至对应的业务***的密钥,以及该业务***进行关联记录保存,以供后续查询。
7.一种密钥管理装置,其特征在于,所述密钥管理装置包括:存储器、处理器,通信总线以及存储在所述存储器上的密钥管理程序,
所述通信总线用于实现处理器与存储器间的通信连接;
所述处理器用于执行所述密钥管理程序,以实现如权利要求1至6中任一项所述的密钥管理方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有密钥管理程序,所述密钥管理程序被处理器执行时实现如权利要求1-6中任一项所述的密钥管理方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710741118.3A CN107733639B (zh) | 2017-08-24 | 2017-08-24 | 密钥管理方法、装置及可读存储介质 |
| PCT/CN2018/075664 WO2019037395A1 (zh) | 2017-08-24 | 2018-02-07 | 密钥管理方法、装置及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710741118.3A CN107733639B (zh) | 2017-08-24 | 2017-08-24 | 密钥管理方法、装置及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107733639A CN107733639A (zh) | 2018-02-23 |
| CN107733639B true CN107733639B (zh) | 2020-08-04 |
Family
ID=61204829
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710741118.3A Active CN107733639B (zh) | 2017-08-24 | 2017-08-24 | 密钥管理方法、装置及可读存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107733639B (zh) |
| WO (1) | WO2019037395A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019178760A1 (zh) * | 2018-03-21 | 2019-09-26 | 福建联迪商用设备有限公司 | 一种传输密钥的方法及pos终端 |
| CN110351232A (zh) * | 2018-04-08 | 2019-10-18 | 珠海汇金科技股份有限公司 | 摄像头安全加密方法及*** |
| CN112543167B (zh) * | 2019-09-20 | 2023-07-14 | 天翼电子商务有限公司 | 通信加密方法、***、介质及装置 |
| CN113824552B (zh) * | 2020-06-19 | 2024-05-31 | 上海汽车集团股份有限公司 | 车辆应用程序的密钥生成方法、装置、电子设备 |
| CN112995144A (zh) * | 2021-02-05 | 2021-06-18 | 杭州华橙软件技术有限公司 | 文件处理方法、***、可读存储介质及电子设备 |
| CN114679324B (zh) * | 2021-12-15 | 2024-03-12 | 国机工业互联网研究院(河南)有限公司 | 一种数据交换方法、工具、***、设备及介质 |
| CN115412303A (zh) * | 2022-08-05 | 2022-11-29 | 浪潮软件股份有限公司 | 监管数据交换的加密解密***及方法 |
| CN115396885A (zh) * | 2022-08-26 | 2022-11-25 | 中国联合网络通信集团有限公司 | 一种密钥安全管理方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744707A (zh) * | 2004-09-01 | 2006-03-08 | 华为技术有限公司 | 一种保护宽带视音频广播内容的方法及装置 |
| CN101090513A (zh) * | 2006-06-13 | 2007-12-19 | 华为技术有限公司 | 一种获取业务密钥的方法 |
| CN101431409A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 可在不同无线局域网中实现保密通信的方法 |
| CN101719830A (zh) * | 2009-11-27 | 2010-06-02 | 中兴通讯股份有限公司 | Nfc认证方法和*** |
| CN102281139A (zh) * | 2010-06-10 | 2011-12-14 | 中兴通讯股份有限公司 | 基于密钥管理协议的认证***和方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094065B (zh) * | 2006-06-23 | 2011-09-28 | 华为技术有限公司 | 无线通信网络中的密钥分发方法和*** |
| US8321925B1 (en) * | 2009-02-17 | 2012-11-27 | Amazon Technologies, Inc. | Distributed encryption key management |
| CN101583131B (zh) * | 2009-06-10 | 2012-05-09 | 中兴通讯股份有限公司 | 一种业务密钥的传输方法和*** |
| CN102447690B (zh) * | 2010-10-12 | 2015-04-01 | 中兴通讯股份有限公司 | 一种密钥管理方法与网络设备 |
| CN103297224B (zh) * | 2012-02-23 | 2016-05-25 | ***通信集团公司 | 密钥信息分发方法及相关设备 |
| CN106888183A (zh) * | 2015-12-15 | 2017-06-23 | 阿里巴巴集团控股有限公司 | 数据加密、解密、密钥请求处理的方法和装置及*** |
| CN106487505B (zh) * | 2016-09-12 | 2019-10-15 | 北京安御道合科技有限公司 | 密钥管理、获取方法及相关装置和*** |
-
2017
- 2017-08-24 CN CN201710741118.3A patent/CN107733639B/zh active Active
-
2018
- 2018-02-07 WO PCT/CN2018/075664 patent/WO2019037395A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744707A (zh) * | 2004-09-01 | 2006-03-08 | 华为技术有限公司 | 一种保护宽带视音频广播内容的方法及装置 |
| CN101090513A (zh) * | 2006-06-13 | 2007-12-19 | 华为技术有限公司 | 一种获取业务密钥的方法 |
| CN101431409A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 可在不同无线局域网中实现保密通信的方法 |
| CN101719830A (zh) * | 2009-11-27 | 2010-06-02 | 中兴通讯股份有限公司 | Nfc认证方法和*** |
| CN102281139A (zh) * | 2010-06-10 | 2011-12-14 | 中兴通讯股份有限公司 | 基于密钥管理协议的认证***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107733639A (zh) | 2018-02-23 |
| WO2019037395A1 (zh) | 2019-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107733639B (zh) | 密钥管理方法、装置及可读存储介质 | |
| CN110266480B (zh) | 数据传输方法、装置及存储介质 | |
| US10193700B2 (en) | Trust-zone-based end-to-end security | |
| US11076295B2 (en) | Remote management method, and device | |
| US10154018B2 (en) | Method and system for facilitating network joining | |
| US20210056541A1 (en) | Method and system for mobile cryptocurrency wallet connectivity | |
| US8447970B2 (en) | Securing out-of-band messages | |
| CN108833091B (zh) | 一种日志文件的加密方法、解密方法及装置 | |
| WO2019071886A1 (zh) | 软电话加解密方法、装置及计算机可读存储介质 | |
| US20120254622A1 (en) | Secure Access to Electronic Devices | |
| CN103095457A (zh) | 一种应用程序的登录、验证方法 | |
| CN104052742A (zh) | 一种可动态加密的物联网通讯协议 | |
| CN105577379A (zh) | 一种信息处理方法及装置 | |
| CN107948170B (zh) | 接口请求参数加密方法、装置、设备及可读存储介质 | |
| CN110311787B (zh) | 授权管理方法、***、设备及计算机可读存储介质 | |
| CN112823503B (zh) | 一种数据访问方法、数据访问装置及移动终端 | |
| CN107154935B (zh) | 业务请求方法及装置 | |
| CN109194473B (zh) | 一种数据传输方法、***、装置、终端及存储介质 | |
| CN111274611A (zh) | 数据脱敏方法、装置及计算机可读存储介质 | |
| CN109347839B (zh) | 集中式密码管理方法、装置、电子设备及计算机存储介质 | |
| US20210306150A1 (en) | Computer implemented methods and systems for managing a cryptographic service | |
| CN107872315B (zh) | 数据处理方法和智能终端 | |
| CN114553612B (zh) | 数据加密、解密方法、装置、存储介质及电子设备 | |
| CN108881122B (zh) | App信息验证的方法和装置 | |
| US20170200020A1 (en) | Data management system, program recording medium, communication terminal, and data management server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180607 Address after: 518000 Room 201, building A, No. 1, Qian Wan Road, Qianhai Shenzhen Hong Kong cooperation zone, Shenzhen, Guangdong (Shenzhen Qianhai business secretary Co., Ltd.) Applicant after: Shenzhen one ledger Intelligent Technology Co., Ltd. Address before: 200000 Xuhui District, Shanghai Kai Bin Road 166, 9, 10 level. Applicant before: Shanghai Financial Technologies Ltd |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |