CN108418679A - 一种多数据中心下处理密钥的方法、装置及电子设备 - Google Patents

一种多数据中心下处理密钥的方法、装置及电子设备 Download PDF

Info

Publication number
CN108418679A
CN108418679A CN201710074091.7A CN201710074091A CN108418679A CN 108418679 A CN108418679 A CN 108418679A CN 201710074091 A CN201710074091 A CN 201710074091A CN 108418679 A CN108418679 A CN 108418679A
Authority
CN
China
Prior art keywords
key
information
parameter
function
temporary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710074091.7A
Other languages
English (en)
Other versions
CN108418679B (zh
Inventor
刘博洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201710074091.7A priority Critical patent/CN108418679B/zh
Publication of CN108418679A publication Critical patent/CN108418679A/zh
Application granted granted Critical
Publication of CN108418679B publication Critical patent/CN108418679B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本文公开了一种多数据中心下处理密钥的方法、装置及电子设备。所述多数据中心下处理密钥的方法应用于数据中心,包括:接收终端用户获取临时密钥的请求消息;将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;向所述终端用户返回所述临时密钥。本文的技术方案能够不依赖数据中心之间的密钥同步而实现一个数据中心生成的密钥迅速被其他数据中心识别。

Description

一种多数据中心下处理密钥的方法、装置及电子设备
技术领域
本发明涉及通信技术,尤指一种多数据中心下处理密钥的方法、装置及电子设备。
背景技术
云计算技术和服务提供商(比如,阿里云)可以通过分发密钥的方式向租用计算资源的云客户开放各种云服务。云计算技术和服务提供商分发给用户的密钥包括长期密钥和临时密钥。长期密钥一般由云客户的服务器端(管理员)使用,临时密钥一般由云客户的客户端(终端用户)使用。云计算技术和服务提供商通常会为云客户提供多个数据中心,这些数据中心可能分布于不同的地区。
如图1所示,终端用户从一个数据中心(比如,位于中国的数据中心)获取一个临时密钥后希望立刻使用该临时密钥访问其他的数据中心(比如,位于美国的数据中心),这就要求在一个数据中心刚刚生成的临时密钥必须立刻同步给其他各个数据中心,如果未能及时同步,则会导致用户访问其他数据中心失败。其中,终端用户向数据中心发送访问请求前,首先使用临时密钥的密钥内容对发送的明文信息进行数字签名,然后在所述访问请求中携带所述数字签名和临时密钥的密钥标识。数据中心接收到终端用户的访问请求后,如果所述终端用户的临时密钥不是本数据中心生成的,则需要通过数据中心之间的数据同步从其他数据中心处获得所述临时密钥的密钥标识和密钥内容,然后根据接收到的密钥标识去找到对应的密钥内容,利用所述密钥内容对接收到的访问请求中的明文信息重新进行数字签名,如果所述重新生成的数字签名与接收到的数字签名一致,则判定所述终端用户为合法用户,如果所述重新生成的数字签名与接收到的数字签名不一致,则判定所述终端用户为非法用户。
由于各个数据中心在地理分布上的分散性,所以各个数据中心之间的密钥同步可能存在延迟现象并且高度依赖网络的可靠性和稳定性,因此一个数据中心产生的临时密钥,可能不被其他数据中心所识别,影响到用户对其他数据中心的访问。
发明内容
本申请提供了一种多数据中心下处理密钥的方法、装置及电子设备,能够不依赖数据中心之间的密钥同步而实现一个数据中心生成的密钥迅速被其他数据中心识别。
本申请采用如下技术方案:
本申请实施例提供一种多数据中心下处理密钥的方法,应用于数据中心,包括:
接收终端用户获取临时密钥的请求消息;
将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;
向所述终端用户返回所述临时密钥。
可选地,所述方法还包括:
接收终端用户的访问请求消息,所述访问请求消息中携带临时密钥的密钥标识;
从所述密钥标识中提取出第一参数,将根密钥和所述第一参数进行所述第一函数运算生成加密密钥,将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容。
可选地,所述密钥标识还携带第一信息密文,所述第一信息密文与所述第一参数拼接在一起;
所述第一信息密文是将所述加密密钥对第一信息进行加密运算生成的。
可选地,接收到终端用户的访问请求消息后,所述方法还包括:
从所述密钥标识中提取出第一信息密文;
采用所述加密密钥对所述第一信息密文进行解密运算,获得所述第一信息。
可选地,所述第一函数是单向不可逆函数;所述第二函数是单向不可逆函数;所述第一参数是随机数。
可选地,所述第一函数是单向哈希函数;所述第二函数是单向哈希函数。
可选地,所述第一信息包括:终端用户的身份信息,或者终端用户的身份信息和临时密钥的过期时间信息。
可选地,所述根密钥保存在每一个数据中心的硬件加密机中,各个数据中心保存的根密钥相同。
本申请实施例提供一种多数据中心下处理密钥的装置,应用于数据中心,包括:
信息接收模块,用于接收终端用户获取临时密钥的请求消息;
密钥生成模块,用于将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;
信息发送模块,用于向所述终端用户返回所述临时密钥。
可选地,所述装置还包括密钥识别模块:
信息接收模块,还用于接收终端用户的访问请求消息,所述访问请求消息中携带临时密钥的密钥标识;
密钥识别模块,用于从所述密钥标识中提取出第一参数,将根密钥和所述第一参数进行所述第一函数运算生成加密密钥,将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容。
可选地,所述密钥标识还携带第一信息密文,所述第一信息密文与所述第一参数拼接在一起;
所述第一信息密文是将所述加密密钥对第一信息进行加密运算生成的。
可选地,密钥识别模块,还用于从所述密钥标识中提取出第一信息密文;采用所述加密密钥对所述第一信息密文进行解密运算,获得所述第一信息。
可选地,所述第一函数是单向不可逆函数;所述第二函数是单向不可逆函数;所述第一参数是随机数。
可选地,所述第一函数是单向哈希函数;所述第二函数是单向哈希函数。
可选地,所述第一信息包括:终端用户的身份信息,或者终端用户的身份信息和临时密钥的过期时间信息。
可选地,所述根密钥保存在每一个数据中心的硬件加密机中,各个数据中心保存的根密钥相同。
本申请实施例提供一种用于数据库读写的电子设备,包括:存储器和处理器;
所述存储器用于保存用于多数据中心下处理密钥的程序,所述用于多数据中心下处理密钥的程序在被所述处理器读取执行时,执行以下操作:
接收终端用户获取临时密钥的请求消息;
将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;
向所述终端用户返回临时密钥。
本申请包括以下优点:
本申请至少一个实施例可以不依赖数据中心之间的密钥同步而实现一个数据中心生成的密钥迅速被其他数据中心识别。
当然,实施本申请的任一产品不一定需要同时达到以上所述的所有优点。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为现有技术中不同数据中心之间密钥同步的示意图;
图2为本发明实施例一的一种多数据中心下处理密钥的方法的流程图;
图3为本发明应用示例1的多数据中心的示意图;
图4为本发明应用示例1的多数据中心下第一数据中心为终端用户生成临时密钥的方法的流程图;
图5为本发明应用示例1的多数据中心下第二数据中心识别临时密钥的方法的流程图;
图6为本发明实施例二的一种多数据中心下处理密钥的装置的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例一
如图2所示,一种多数据中心下处理密钥的方法,应用于数据中心,包括:
S210,接收终端用户获取临时密钥的请求消息;
S220,将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;
S230,向所述终端用户返回临时密钥;
所述方法还包括:
接收终端用户的访问请求消息,所述访问请求消息中携带临时密钥的密钥标识;
从所述密钥标识中提取出第一参数,将根密钥和所述第一参数进行所述第一函数运算生成加密密钥,将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容;
在本实施例中,所述根密钥是各个数据中心均已知的密钥;
在一种实施方式中,为了保障根密钥的安全性,防止根密钥从数据中心流传出去,可以将所述根密钥采用硬件加密机来保存,在每一个数据中心均部署一台保存有相同根密钥的硬件加密机;
在本实施例中,所述第一函数是单向不可逆函数;所述单向不可逆函数可以例如单向哈希函数;
其中,所述单向哈希函数可以是密钥相关的哈希运算消息认证码(Hash-basedMessage Authentication Code,HMAC)-安全散列算法Secure Hash Algorithm,SHA)函数;所述HMAC-SHA函数可以例如:HMAC-SHA256函数等。
在本实施例中,所述第一参数是随机数;
在其他实施方式中,所述第一参数还可以是其他用于区分出不同终端用户的参数;
在本实施例中,所述密钥标识还携带第一信息密文,所述第一信息密文与所述第一参数拼接在一起;
所述第一信息密文是将所述加密密钥对第一信息进行加密运算生成的。
其中,所述第一信息包括:终端用户的身份信息,或者终端用户的身份信息和临时密钥的过期时间信息。
其中,终端用户的身份信息可以是终端用户的云客户身份标识;
在本实施例中,所述第二函数是单向不可逆函数;所述单向不可逆函数可以例如单向哈希函数;
其中,所述单向哈希函数可以是HMAC-SHA函数;所述HMAC-SHA函数可以例如:HMAC-SHA256函数等。
在本实施例中,在接收到终端用户的访问请求消息后,所述方法还包括:
从所述密钥标识中提取出第一信息密文;采用所述加密密钥对所述第一信息密文进行解密运算,获得所述第一信息;
其中,在获得所述第一信息后,如果所述第一信息中包含所述临时密钥的过期时间,则可以根据所述过期时间判断接收到的终端用户的临时密钥是否过期;
其中,在获得所述第一信息后,可以根据所述第一信息中包含的终端用户的云客户身份标识为终端用户提供相应的云服务。
下面用一个例子(应用示例1)说明本实施例。如图3所示,本例子中,假设XX公司是云计算技术和服务提供商(比如,阿里云)的客户,该公司的客户端是各个终端用户。该公司需要使用的云服务部署在多个数据中心上,不同的数据中心可能分布在不同的地区,附图3中示意性地用第一数据中心和第二数据中心表示不同的数据中心。
如图4所示,假设终端用户向第一数据中心请求获取临时密钥,则第一数据中心为所述终端用户生成临时密钥的方法,包括以下步骤S401~S406:
步骤S401,第一数据中心接收到终端用户获取临时密钥的请求消息;
步骤S402,第一数据中心从硬件加密机中得到根密钥,将所述根密钥和第一参数进行第一函数运算生成加密密钥;
其中,在每一个数据中心均部署一台保存有相同根密钥的硬件加密机;
其中,所述第一函数是HMAC-SHA256函数,所述第一参数是随机数,用Random表示随机数,RootKey表示根密钥,用HMAC-SHA256函数生成加密密钥EncKey的方式可以见下述公式(1-1)
EncKey=HMAC_SHA256(Random,RootKey)(1-1)
步骤S403,第一数据中心使用所述加密密钥对第一信息进行加密运算生成第一信息密文;
其中,所述第一信息可以包括:终端用户的身份信息和临时密钥的过期时间信息;
其中,终端用户的身份信息可以是所述终端用户的云客户身份标识;
UserID表示终端用户的身份信息,Expires表示临时密钥的过期时间信息,将终端用户的身份信息和临时密钥的过期时间信息拼接在一起生成第一信息Msg的方式可以见下述公式(1-2)
Msg=UserID||Expires (1-2)
上述公式中,“||”表示将两个字段拼接在一起;
用EncKey表示加密密钥,“Encrypt()”是加密函数,用所述加密密钥对第一信息Msg进行加密运算生成第一信息密文Enc_Msg的方式可以见下述公式(1-3)
Enc_Msg=Encrypt(EncKey,Msg) (1-3)
步骤S404,第一数据中心将所述第一参数和所述第一信息密文拼接在一起生成临时密钥的密钥标识;
其中,用随机数Random表示第一参数,用Enc_Msg表示第一信息密文,将所述第一参数和所述第一信息密文拼接在一起生成临时密钥的密钥标识AccessKeyID的方式可以见下述公式(1-4)
AccessKeyID=Random||Enc_Msg (1-4)
步骤S405,第一数据中心将所述密钥标识和所述加密密钥进行第二函数运算生成临时密钥的密钥内容;
其中,用EncKey表示加密密钥,AccessKeyID表示临时密钥的密钥标识,第二函数是HMAC-SHA256函数,用HMAC-SHA256函数生成临时密钥的密钥内容的方式可以见下述公式(1-5)
AccessKeySecret=HMAC_SHA256(EncKey,AccessKeyID) (1-5)
步骤S406,第一数据中心将临时密钥发送给终端用户,所述临时密钥包括密钥标识和密钥内容;
如图5所示,假设终端用户已经获取到第一数据中心分配的临时密钥,想要使用所述临时密钥访问第二数据中心,则第二数据中心对终端用户的临时密钥进行识别的方法,包括以下步骤S501~S507:
步骤S501,第二数据中心接收到终端用户的访问请求,从所述访问请求携带的临时密钥的密钥标识中获取第一参数和第一信息密文;
其中,临时密钥的密钥标识AccessKeyID是采用上述公式(1-4)的方式将所述第一参数和所述第一信息密文拼接在一起生成的;第一信息密文是采用上述公式(1-3)的方式使用所述加密密钥对第一信息进行加密运算生成的;第一信息是采用上述公式(1-2)的方式将用户的身份信息和临时密钥的过期时间信息拼接在一起生成的;
其中,第一参数是随机数;
其中,用户的身份信息可以是所述终端用户的云客户身份标识;
步骤S502,第二数据中心从硬件加密机中得到根密钥,将所述根密钥和第一参数进行第一函数运算生成加密密钥;
其中,在每一个数据中心均部署一台保存有相同根密钥的硬件加密机;
其中,所述第一函数是HMAC-SHA256函数,所述第一参数是随机数,用Random表示随机数,RootKey表示根密钥,用HMAC-SHA256函数生成加密密钥EncKey的方式可以见下述公式(2-1)
EncKey=HMAC_SHA256(Random,RootKey) (2-1)
步骤S503,第二数据中心将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容;
其中,用EncKey表示加密密钥,AccessKeyID表示临时密钥的密钥标识,第二函数是HMAC-SHA256函数,用HMAC-SHA256函数生成临时密钥的密钥内容的方式可以见下述公式(2-2)
AccessKeySecret=HMAC_SHA256(EncKey,AccessKeyID) (2-2)
步骤S504,第二数据中心采用所述加密密钥对所述第一信息密文进行解密运算,获得所述第一信息;
其中,用EncKey表示加密密钥,“Decrypt()”是解密函数,用所述加密密钥对第一信息密文EncKey进行解密运算生成第一信息Msg的方式可以见下述公式(2-3)
Msg=Decrypt(EncKey,Enc_Msg) (2-3)
步骤S505,第二数据中心从所述第一信息中提取出用户的身份信息和临时密钥的过期时间信息;
其中,第二数据中心可以根据所述过期时间判断接收到的终端用户的临时密钥是否过期;第二数据中心可以根据所述第一信息中包含的终端用户的云客户身份标识,为终端用户提供相应的云服务。
实施例二
如图6所示,一种多数据中心下处理密钥的装置,应用于数据中心,包括:
信息接收模块601,用于接收终端用户获取临时密钥的请求消息;
密钥生成模块602,用于将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;
信息发送模块603,用于向所述终端用户返回临时密钥。
在一种实施方式中,为了保障根密钥的安全性,防止根密钥从数据中心流传出去,可以将所述根密钥采用硬件加密机来保存,在每一个数据中心均部署一台保存有相同根密钥的硬件加密机;
一种实施方式中,所述装置还包括密钥识别模块604:
信息接收模块,还用于接收终端用户的访问请求消息,所述访问请求消息中携带临时密钥的密钥标识;
密钥识别模块,用于从所述密钥标识中提取出第一参数,将根密钥和所述第一参数进行所述第一函数运算生成加密密钥,将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容。
一种实施方式中,所述密钥标识还携带第一信息密文,所述第一信息密文与所述第一参数拼接在一起;
所述第一信息密文是将所述加密密钥对第一信息进行加密运算生成的。
密钥识别模块,还用于从所述密钥标识中提取出第一信息密文;采用所述加密密钥对所述第一信息密文进行解密运算,获得所述第一信息。
在本实施例中,所述第一函数是单向不可逆函数;所述单向不可逆函数可以例如单向哈希函数;
在本实施例中,所述第二函数是单向不可逆函数;所述单向不可逆函数可以例如单向哈希函数;
在本实施例中,所述第一参数是随机数。
在其他实施方式中,所述第一参数还可以是其他用于区分出不同终端用户的参数;
其中,所述单向哈希函数可以是HMAC-SHA函数;所述HMAC-SHA函数可以例如:HMAC-SHA256函数等。
在本实施例中,所述第一信息包括:终端用户的身份信息,或者终端用户的身份信息和临时密钥的过期时间信息。
其中,所述终端用户的身份信息可以是终端用户的云客户身份标识;
其中,在获得所述第一信息后,如果所述第一信息中包含所述临时密钥的过期时间,则可以根据所述过期时间判断接收到的终端用户的临时密钥是否过期;
其中,在获得所述第一信息后,可以根据所述第一信息中包含的终端用户的云客户身份标识为终端用户提供相应的云服务。
实施例三
一种用于多数据中心下处理密钥的电子设备,包括:存储器和处理器;
所述存储器用于保存用于多数据中心下处理密钥的程序,所述用于多数据中心下处理密钥的程序在被所述处理器读取执行时,执行以下操作:
接收终端用户获取临时密钥的请求消息;
将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;
向所述终端用户返回临时密钥。
本实施例中用于多数据中心下处理密钥的程序在被处理器读取执行时,所执行的操作对应于实施例一的步骤S210~S230;该程序所执行的操作的其它细节可参见实施例一。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。

Claims (17)

1.一种多数据中心下处理密钥的方法,应用于数据中心,包括:
接收终端用户获取临时密钥的请求消息;
将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;
向所述终端用户返回所述临时密钥。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收终端用户的访问请求消息,所述访问请求消息中携带临时密钥的密钥标识;
从所述密钥标识中提取出第一参数,将根密钥和所述第一参数进行所述第一函数运算生成加密密钥,将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容。
3.根据权利要求2所述的方法,其特征在于:
所述密钥标识还携带第一信息密文,所述第一信息密文与所述第一参数拼接在一起;
所述第一信息密文是将所述加密密钥对第一信息进行加密运算生成的。
4.根据权利要求3所述的方法,其特征在于,接收到终端用户的访问请求消息后,所述方法还包括:
从所述密钥标识中提取出第一信息密文;
采用所述加密密钥对所述第一信息密文进行解密运算,获得所述第一信息。
5.根据权利要求1-4中任一项所述的方法,其特征在于:
所述第一函数是单向不可逆函数;所述第二函数是单向不可逆函数;所述第一参数是随机数。
6.根据权利要求5所述的方法,其特征在于:
所述第一函数是单向哈希函数;所述第二函数是单向哈希函数。
7.根据权利要求3或4所述的方法,其特征在于:
所述第一信息包括:终端用户的身份信息,或者终端用户的身份信息和临时密钥的过期时间信息。
8.根据权利要求1-4中任一项所述的方法,其特征在于:
所述根密钥保存在每一个数据中心的硬件加密机中,各个数据中心保存的根密钥相同。
9.一种多数据中心下处理密钥的装置,应用于数据中心,包括:
信息接收模块,用于接收终端用户获取临时密钥的请求消息;
密钥生成模块,用于将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;
信息发送模块,用于向所述终端用户返回所述临时密钥。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括密钥识别模块:
信息接收模块,还用于接收终端用户的访问请求消息,所述访问请求消息中携带临时密钥的密钥标识;
密钥识别模块,用于从所述密钥标识中提取出第一参数,将根密钥和所述第一参数进行所述第一函数运算生成加密密钥,将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容。
11.根据权利要求10所述的装置,其特征在于:
所述密钥标识还携带第一信息密文,所述第一信息密文与所述第一参数拼接在一起;
所述第一信息密文是将所述加密密钥对第一信息进行加密运算生成的。
12.根据权利要求11所述的装置,其特征在于:
密钥识别模块,还用于从所述密钥标识中提取出第一信息密文;采用所述加密密钥对所述第一信息密文进行解密运算,获得所述第一信息。
13.根据权利要求9-12中任一项所述的装置,其特征在于:
所述第一函数是单向不可逆函数;所述第二函数是单向不可逆函数;所述第一参数是随机数。
14.根据权利要求13所述的装置,其特征在于:
所述第一函数是单向哈希函数;所述第二函数是单向哈希函数。
15.根据权利要求11或12所述的装置,其特征在于:
所述第一信息包括:终端用户的身份信息,或者终端用户的身份信息和临时密钥的过期时间信息。
16.根据权利要求9-12中任一项所述的装置,其特征在于:
所述根密钥保存在每一个数据中心的硬件加密机中,各个数据中心保存的根密钥相同。
17.一种用于数据库读写的电子设备,包括:存储器和处理器;
其特征在于:
所述存储器用于保存用于多数据中心下处理密钥的程序,所述用于多数据中心下处理密钥的程序在被所述处理器读取执行时,执行以下操作:
接收终端用户获取临时密钥的请求消息;
将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;
向所述终端用户返回临时密钥。
CN201710074091.7A 2017-02-10 2017-02-10 一种多数据中心下处理密钥的方法、装置及电子设备 Active CN108418679B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710074091.7A CN108418679B (zh) 2017-02-10 2017-02-10 一种多数据中心下处理密钥的方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710074091.7A CN108418679B (zh) 2017-02-10 2017-02-10 一种多数据中心下处理密钥的方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN108418679A true CN108418679A (zh) 2018-08-17
CN108418679B CN108418679B (zh) 2021-06-29

Family

ID=63125141

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710074091.7A Active CN108418679B (zh) 2017-02-10 2017-02-10 一种多数据中心下处理密钥的方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN108418679B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111130784A (zh) * 2019-12-25 2020-05-08 成都海光集成电路设计有限公司 一种密钥生成方法、装置、cpu芯片及服务器
CN112187460A (zh) * 2020-10-27 2021-01-05 清创网御(合肥)科技有限公司 一种面向主从网络的根密钥隐藏对称加密算法
CN114302258A (zh) * 2021-12-21 2022-04-08 广东纬德信息科技股份有限公司 一种智能燃气表安全抄表方法及***
CN116743461A (zh) * 2023-06-15 2023-09-12 上海银满仓数字科技有限公司 基于时间戳的商品数据加密方法和装置

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1658549A (zh) * 2004-02-17 2005-08-24 国际商业机器公司 服务器设备和服务方法
CN1975777A (zh) * 2006-12-22 2007-06-06 中国建设银行股份有限公司 分布式数据中心逻辑统一的实现方法及***
US20070189534A1 (en) * 2001-03-30 2007-08-16 Wood Matthew D Encrypting message for secure transmission
CN101511084A (zh) * 2008-02-15 2009-08-19 ***通信集团公司 一种移动通信***的鉴权和密钥协商方法
US20130010957A1 (en) * 2011-07-07 2013-01-10 Verayo, Inc. Cryptographic security using fuzzy credentials for device and server communications
CN103178949A (zh) * 2011-09-20 2013-06-26 *** 相对同步认证方法、同步参数更新方法、认证***及装置
CN103229450A (zh) * 2010-08-11 2013-07-31 安全第一公司 用于安全多租户数据存储的***和方法
CN103795534A (zh) * 2012-10-31 2014-05-14 三星Sds株式会社 基于口令的认证方法及用于执行该方法的装置
CN104092551A (zh) * 2014-07-24 2014-10-08 福建升腾资讯有限公司 一种基于rsa算法的安全密钥传输方法
CN104852891A (zh) * 2014-02-19 2015-08-19 华为技术有限公司 一种密钥生成的方法、设备及***
US20150304286A1 (en) * 2007-12-14 2015-10-22 Intel Corporation Symmetric key distribution framework for the internet

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070189534A1 (en) * 2001-03-30 2007-08-16 Wood Matthew D Encrypting message for secure transmission
CN1658549A (zh) * 2004-02-17 2005-08-24 国际商业机器公司 服务器设备和服务方法
CN1975777A (zh) * 2006-12-22 2007-06-06 中国建设银行股份有限公司 分布式数据中心逻辑统一的实现方法及***
US20150304286A1 (en) * 2007-12-14 2015-10-22 Intel Corporation Symmetric key distribution framework for the internet
CN101511084A (zh) * 2008-02-15 2009-08-19 ***通信集团公司 一种移动通信***的鉴权和密钥协商方法
CN103229450A (zh) * 2010-08-11 2013-07-31 安全第一公司 用于安全多租户数据存储的***和方法
US20130010957A1 (en) * 2011-07-07 2013-01-10 Verayo, Inc. Cryptographic security using fuzzy credentials for device and server communications
CN103178949A (zh) * 2011-09-20 2013-06-26 *** 相对同步认证方法、同步参数更新方法、认证***及装置
CN103795534A (zh) * 2012-10-31 2014-05-14 三星Sds株式会社 基于口令的认证方法及用于执行该方法的装置
CN104852891A (zh) * 2014-02-19 2015-08-19 华为技术有限公司 一种密钥生成的方法、设备及***
CN104092551A (zh) * 2014-07-24 2014-10-08 福建升腾资讯有限公司 一种基于rsa算法的安全密钥传输方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111130784A (zh) * 2019-12-25 2020-05-08 成都海光集成电路设计有限公司 一种密钥生成方法、装置、cpu芯片及服务器
CN111130784B (zh) * 2019-12-25 2023-08-08 成都海光集成电路设计有限公司 一种密钥生成方法、装置、cpu芯片及服务器
CN112187460A (zh) * 2020-10-27 2021-01-05 清创网御(合肥)科技有限公司 一种面向主从网络的根密钥隐藏对称加密算法
CN114302258A (zh) * 2021-12-21 2022-04-08 广东纬德信息科技股份有限公司 一种智能燃气表安全抄表方法及***
CN116743461A (zh) * 2023-06-15 2023-09-12 上海银满仓数字科技有限公司 基于时间戳的商品数据加密方法和装置
CN116743461B (zh) * 2023-06-15 2023-12-22 上海银满仓数字科技有限公司 基于时间戳的商品数据加密方法和装置

Also Published As

Publication number Publication date
CN108418679B (zh) 2021-06-29

Similar Documents

Publication Publication Date Title
CN110324143B (zh) 数据传输方法、电子设备及存储介质
US20220312208A1 (en) Access method and system of internet of things equipment based on 5g, and storage medium
US10003582B2 (en) Technologies for synchronizing and restoring reference templates
US20200068394A1 (en) Authentication of phone caller identity
EP3337088B1 (en) Data encryption method, decryption method, apparatus, and system
JP4240297B2 (ja) 端末機器、認証端末プログラム、機器認証サーバ、機器認証プログラム
JP2020058042A (ja) 部分的に信頼できる第三者機関を通しての鍵交換
CN109714176B (zh) 口令认证方法、装置及存储介质
US10103888B2 (en) Method of performing keyed-hash message authentication code (HMAC) using multi-party computation without Boolean gates
US8745394B1 (en) Methods and systems for secure electronic communication
US20180341556A1 (en) Data backup method and device, storage medium and server
WO2016173724A1 (en) Encryption system, encryption key wallet and method
CN103124269A (zh) 云环境下基于动态口令与生物特征的双向身份认证方法
CN108418679A (zh) 一种多数据中心下处理密钥的方法、装置及电子设备
CN106685645A (zh) 一种用于安全芯片业务密钥的密钥备份与恢复方法及***
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
CN110839240B (zh) 一种建立连接的方法及装置
CN114244508B (zh) 数据加密方法、装置、设备及存储介质
CN110362984B (zh) 多设备运行业务***的方法及装置
CN112966287B (zh) 获取用户数据的方法、***、设备和计算机可读介质
CN112751868A (zh) 一种异构加密传输方法、存储介质及***
CN108574573A (zh) 为虚拟vpn提供密码服务的方法、密码设备及虚拟vpn服务***
US11463251B2 (en) Method for secure management of secrets in a hierarchical multi-tenant environment
CN107222453A (zh) 一种文件传输方法及装置
CN113722726B (zh) 基于软硬件协同的加解密方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant