CN114124352A - 一种秘钥轮转方法、装置及计算机介质 - Google Patents
一种秘钥轮转方法、装置及计算机介质 Download PDFInfo
- Publication number
- CN114124352A CN114124352A CN202111374083.7A CN202111374083A CN114124352A CN 114124352 A CN114124352 A CN 114124352A CN 202111374083 A CN202111374083 A CN 202111374083A CN 114124352 A CN114124352 A CN 114124352A
- Authority
- CN
- China
- Prior art keywords
- key
- barbican
- xxl
- handler
- plaintext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000006870 function Effects 0.000 claims description 9
- 230000009471 action Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 4
- 238000002955 isolation Methods 0.000 abstract description 2
- 238000012545 processing Methods 0.000 abstract description 2
- 238000007616 round robin method Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及计算机领域,具体提供了一种秘钥轮转方法,使用openstack的Barbican组件进行秘钥管理,生成可靠的随机秘钥,并通过xxl平台定时任务,指定执行策略,完成对加密内容的密钥自动轮转。与现有技术相比,本发明秘钥管理使用openstack的Barbican组件,实现了秘钥与后端的隔离,保证了秘钥的安全性;通过xxl定时任务平台和Barbican组件与后端的通信,实现了秘钥轮转的自动化处理,减少了秘钥管理后端手动进行秘钥轮转的开销。
Description
技术领域
本发明涉及计算机领域,具体提供一种秘钥轮转方法、装置及计算机介质。
背景技术
随着互联网行业的发展,信息安全这个问题也变得越来越重要,如何保护数据的安全,防止信息泄露,也成为众多互联网厂商正在研究的方向。作为数据加密的手段,秘钥是加密动作的核心,秘钥安全才能保证加密数据的安全性。
以云平台中需要加密服务的对象存储为例,按照传统模式,对象存储所使用的加密秘钥为对象存储本身提供,秘钥生成效率低,在出于安全考虑的前提下,若要对已加密文件进行一次密钥轮转,需要手动获得加密文件明文,生成新的秘钥再进行加密,在需要加密的文件数据量较大的情况下,传统模式的效率极低。
发明内容
本发明是针对上述现有技术的不足,提供一种实用性强的秘钥轮转方法,
本发明进一步的技术任务是提供一种设计合理,安全适用的秘钥轮转装置。
第三方面的技术任务是提供一种计算机介质。
本发明解决其技术问题所采用的技术方案是:
一种秘钥轮转方法,使用openstack的Barbican组件进行秘钥管理,生成可靠的随机秘钥,并通过xxl平台定时任务,指定执行策略,完成对加密内容的密钥自动轮转。
进一步的,具有如下步骤:
S1、在openstack中部署Barbican组件,初次部署的Barbican组件的核心功能仅对openstack中admin用户开放,只有管理员可使用order和secret的创建功能;
S2、设置秘钥管理执行器,所述秘钥管理执行器包括Barbican接入模块、xxl定时任务handler和秘钥替换模块。
S3、在进行若干次秘钥轮转迭代后,仅有最新的若干版本秘钥能够完成解密动作。
进一步的,在步骤S1中,若租户正常使用order和secret功能,改变Barbican的policy文件,将orders:post与secrets:post属性从rule:admin_or_creator改为对所有用户开放的@。
进一步的,在步骤S2中,所述Barbican接入模块用于与Barbican之间的通信,创建秘钥,所述秘钥存放于Barbican组件的某一order中,可通过调用特定接口获取秘钥明文。
进一步的,所述xxl定时任务handler与xxl定时任务平台通信,创建定时任务;
当后端收到指令秘钥开启秘钥轮时,handler即调用xxl定时任务平台接口,根据cron表达式,设置定时任务执行周期,在到达预先设置的执行时间后,xxl定时任务平台回调handler,后端即开始执行加解密及秘钥替换动作。
进一步的,所述秘钥替换模块中,在handler收到xxl定时任务平台回调的消息后,秘钥替换模块会获取当前版本密文及秘钥进行密文解密,获取加密明文,同时,获取明文中设置的秘钥id标识符,完成这一动作后,秘钥替换模块将删除该标识符,将Barbican接入模块生成的新秘钥id作为新的标识符添加进秘钥明文中,以新生成的明文使用新秘钥进行加密,并进行保存,至此,秘钥完成替换。
进一步的,在步骤S3中,在进行若干次轮转迭代后,删除在Barbican和数据库中早期版本的秘钥及密文。
一种秘钥轮转装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行一种秘钥轮转方法。
一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行一种秘钥轮转方法。
本发明的一种秘钥轮转方法、装置及计算机介质和现有技术相比,具有以下突出的有益效果:
本发明的秘钥管理使用openstack的Barbican组件,实现了秘钥与后端的隔离,保证了秘钥的安全性;通过xxl定时任务平台和Barbican组件与后端的通信,实现了秘钥轮转的自动化处理,减少了秘钥管理后端手动进行秘钥轮转的开销。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
附图1是一种秘钥轮转方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好的理解本发明的方案,下面结合具体的实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例都属于本发明保护的范围。
下面给出一个最佳实施例:
如图1所示,本实施例中的一种秘钥轮转方法,使用openstack的Barbican组件进行秘钥管理,生成可靠的随机秘钥,并通过xxl平台定时任务,指定执行策略,完成对加密内容的密钥自动轮转。
具体有以下步骤:
S1、首先需要在openstack中部署Barbican组件,初次部署的Barbican组件的核心功能仅对openstack中admin用户开放,只有管理员可使用order和secret的创建功能。
要使租户能够正常使用order和secret功能,需改变Barbican的policy文件,将“orders:post”与“secrets:post”属性从“rule:admin_or_creator”改为对所有用户开放的“@”。
S2、设置秘钥管理执行器。此执行器分为三部分,第一部分为Barbican接入模块,第二部分为xxl定时任务handler,第三部分为秘钥替换模块。
Barbican接入模块与Barbican之间的通信,主要任务为创建秘钥。以AES_256秘钥为例,接入模块可通过调用Barbican的openAPI:POST/v1/orders,在body体中设置“algorithm”属性为“AES”,“bit_length”为“256”。
通过此方法,即可创建一个类型为“AES_256”的秘钥,此秘钥存放于Barbican组件的某一order中,可通过调用特定接口获取秘钥明文。
定时任务handler负责后端与xxl定时任务平台通信,主要负责创建定时任务。当后端收到指令为某一秘钥开启秘钥轮转时,handler即调用xxl定时任务平台接口,根据cron表达式,设置定时任务执行周期,如:“0 0 12?*1”代表每周一中午12点执行。在到达预先设置的执行时间后,xxl定时任务平台回调handler,后端即开始执行加解密及秘钥替换动作。
秘钥替换模块保证被不同版本秘钥加密过的密文能被顺利解密。
为使不同版本的密文能顺利被某一特定主密钥解密,密文需添加一段用于表明Barbican中实际秘钥id的特定标识符。在handler收到xxl定时任务平台回调的消息后,秘钥替换模块会获取当前版本密文及秘钥进行密文解密,获取加密明文,同时,获取明文中设置的秘钥id标识符,完成这一动作后,秘钥替换模块将删除该标识符,将Barbican接入模块生成的新秘钥id作为新的标识符添加进秘钥明文中,以新生成的明文使用新秘钥进行加密,并进行保存,至此,秘钥完成替换,不同版本的密文将使用不同版本的秘钥进行解密。
S3、在进行若干次轮转迭代后,需删除早期版本的秘钥及密文,如设定最大轮转次数为5次,则当某一主密钥为秘钥轮转生成第6个秘钥时,应在Barbican删除第1个秘钥,并在数据库中删除第一次加密生成的密文。通过此途径,可防止因前面生成的某一秘钥泄露导致的安全问题,保证了数据安全的时效性。
在进行数据解密时,先读取密文的标识符区域以此来识别时通过哪个Barbican中秘钥进行加密的,再进行解密操作,这样就能使旧版本秘钥沿用,至此秘钥轮转完成。
一种秘钥轮转装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行一种秘钥轮转方法。
一种计算机可读介质,计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行一种秘钥轮转方法。
上述具体的实施方式仅是本发明具体的个案,本发明的专利保护范围包括但不限于上述具体的实施方式,任何符合本发明的一种秘钥轮转方法、装置及计算机介质权利要求书的且任何所述技术领域普通技术人员对其做出的适当变化或者替换,皆应落入本发明的专利保护范围。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (9)
1.一种秘钥轮转方法,其特征在于,使用openstack的Barbican组件进行秘钥管理,生成可靠的随机秘钥,并通过xxl平台定时任务,指定执行策略,完成对加密内容的密钥自动轮转。
2.根据权利要求1所述的一种秘钥轮转方法,其特征在于,具有如下步骤:
S1、在openstack中部署Barbican组件,初次部署的Barbican组件的核心功能仅对openstack中admin用户开放,只有管理员可使用order和secret的创建功能;
S2、设置秘钥管理执行器,所述秘钥管理执行器包括Barbican接入模块、xxl定时任务handler和秘钥替换模块。
S3、在进行若干次秘钥轮转迭代后,仅有最新的若干版本秘钥能够完成解密动作。
3.根据权利要求2所述的一种秘钥轮转方法,其特征在于,在步骤S1中,若租户正常使用order和secret功能,改变Barbican的policy文件,将orders:post与secrets:post属性从rule:admin_or_creator改为对所有用户开放的@。
4.根据权利要求3所述的一种秘钥轮转方法,其特征在于,在步骤S2中,所述Barbican接入模块用于与Barbican之间的通信,创建秘钥,所述秘钥存放于Barbican组件的某一order中,可通过调用特定接口获取秘钥明文。
5.根据权利要求4所述的一种秘钥轮转方法,其特征在于,所述xxl定时任务handler与xxl定时任务平台通信,创建定时任务;
当后端收到指令秘钥开启秘钥轮时,handler即调用xxl定时任务平台接口,根据cron表达式,设置定时任务执行周期,在到达预先设置的执行时间后,xxl定时任务平台回调handler,后端即开始执行加解密及秘钥替换动作。
6.根据权利要求5所述的一种秘钥轮转方法,其特征在于,所述秘钥替换模块中,在handler收到xxl定时任务平台回调的消息后,秘钥替换模块会获取当前版本密文及秘钥进行密文解密,获取加密明文,同时,获取明文中设置的秘钥id标识符,完成这一动作后,秘钥替换模块将删除该标识符,将Barbican接入模块生成的新秘钥id作为新的标识符添加进秘钥明文中,以新生成的明文使用新秘钥进行加密,并进行保存,至此,秘钥完成替换。
7.根据权利要求5所述的一种秘钥轮转方法,其特征在于,在步骤S3中,在进行若干次轮转迭代后,删除在Barbican和数据库中早期版本的秘钥及密文。
8.一种秘钥轮转装置,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1至7中任一所述的方法。
9.一种计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1至7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111374083.7A CN114124352A (zh) | 2021-11-19 | 2021-11-19 | 一种秘钥轮转方法、装置及计算机介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111374083.7A CN114124352A (zh) | 2021-11-19 | 2021-11-19 | 一种秘钥轮转方法、装置及计算机介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114124352A true CN114124352A (zh) | 2022-03-01 |
Family
ID=80397927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111374083.7A Pending CN114124352A (zh) | 2021-11-19 | 2021-11-19 | 一种秘钥轮转方法、装置及计算机介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124352A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150236850A1 (en) * | 2012-08-30 | 2015-08-20 | Nec Corporation | Re-encryption system, re-encryption method and re-encryption program |
| CN106658493A (zh) * | 2016-10-17 | 2017-05-10 | 东软集团股份有限公司 | 密钥管理方法、装置和*** |
| CN106936794A (zh) * | 2015-12-30 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 一种用于更改秘钥的方法、装置及设置秘钥的方法、装置 |
| CN108650676A (zh) * | 2018-08-13 | 2018-10-12 | 青岛海信电器股份有限公司 | 一种蓝牙自组网中的密钥更新方法及装置 |
| US20190273613A1 (en) * | 2018-03-05 | 2019-09-05 | International Business Machines Corporation | Distributed encryption keys for tokens in a cloud environment |
| CN110602132A (zh) * | 2019-09-24 | 2019-12-20 | 苏州浪潮智能科技有限公司 | 一种数据加解密处理方法 |
| CN111666558A (zh) * | 2020-04-30 | 2020-09-15 | 平安科技(深圳)有限公司 | 密钥轮换方法、装置、计算机设备及存储介质 |
| CN111769950A (zh) * | 2020-06-24 | 2020-10-13 | 苏州浪潮智能科技有限公司 | 一种openstack***中token认证的秘钥管理方法及*** |
| CN113656814A (zh) * | 2021-07-30 | 2021-11-16 | 成都长城开发科技有限公司 | 一种设备秘钥安全管理方法及*** |
-
2021
- 2021-11-19 CN CN202111374083.7A patent/CN114124352A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150236850A1 (en) * | 2012-08-30 | 2015-08-20 | Nec Corporation | Re-encryption system, re-encryption method and re-encryption program |
| CN106936794A (zh) * | 2015-12-30 | 2017-07-07 | 阿里巴巴集团控股有限公司 | 一种用于更改秘钥的方法、装置及设置秘钥的方法、装置 |
| CN106658493A (zh) * | 2016-10-17 | 2017-05-10 | 东软集团股份有限公司 | 密钥管理方法、装置和*** |
| US20190273613A1 (en) * | 2018-03-05 | 2019-09-05 | International Business Machines Corporation | Distributed encryption keys for tokens in a cloud environment |
| CN108650676A (zh) * | 2018-08-13 | 2018-10-12 | 青岛海信电器股份有限公司 | 一种蓝牙自组网中的密钥更新方法及装置 |
| CN110602132A (zh) * | 2019-09-24 | 2019-12-20 | 苏州浪潮智能科技有限公司 | 一种数据加解密处理方法 |
| CN111666558A (zh) * | 2020-04-30 | 2020-09-15 | 平安科技(深圳)有限公司 | 密钥轮换方法、装置、计算机设备及存储介质 |
| CN111769950A (zh) * | 2020-06-24 | 2020-10-13 | 苏州浪潮智能科技有限公司 | 一种openstack***中token认证的秘钥管理方法及*** |
| CN113656814A (zh) * | 2021-07-30 | 2021-11-16 | 成都长城开发科技有限公司 | 一种设备秘钥安全管理方法及*** |
Non-Patent Citations (2)
| Title |
|---|
| WEIXIN_30765475: "OpenStack-理论2.barbican 简介", Retrieved from the Internet <URL:https://blog.csdn.net/weixin_30765475/article/details/101113801?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522170306064416800186566882%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=170306064416800186566882&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~so***end~default-1-101113801-null-null.142^v96^pc_search_result_base7&utm_term=OpenStack-%E7%90%86%E8%AE%BA2.barbican%20%E7%AE%80%E4%BB%8B&spm=1018.2226.3001.4187> * |
| 机智的豆子: "分布式定时任务—XXLJOB", Retrieved from the Internet <URL:https://blog.csdn.net/qq_39380737/article/details/107308551?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522170306052616800182790310%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=170306052616800182790310&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-5-107308551-null-null.142^v96^pc_search_result_base7&utm_term=%E5%88%86%E5%B8%83%E5%BC%8F%E5%AE%9A%E6%97%B6%E4%BB%BB%E5%8A%A1-XXLJOB&spm=1018.2226.3001.4187> * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10439804B2 (en) | Data encrypting system with encryption service module and supporting infrastructure for transparently providing encryption services to encryption service consumer processes across encryption service state changes | |
| US10127401B2 (en) | Redacting restricted content in files | |
| US11184164B2 (en) | Secure crypto system attributes | |
| US11546348B2 (en) | Data service system | |
| CN109347625B (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| CN109271798A (zh) | 敏感数据处理方法及*** | |
| CN111884986B (zh) | 一种数据加密处理方法、装置及存储介质 | |
| CN111654367A (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| WO2021164462A1 (zh) | 一种数据加密方法、数据解密方法、计算机设备和介质 | |
| CN109697370A (zh) | 数据库数据加解密方法、装置、计算机设备和存储介质 | |
| CN107995147B (zh) | 基于分布式文件***的元数据加解密方法和*** | |
| WO2023046207A1 (zh) | 一种数据传输方法、装置及计算机非易失性可读存储介质 | |
| CN108763401A (zh) | 一种文件的读写方法及设备 | |
| CN117113423B (zh) | 一种数据库透明加密方法、装置、设备及存储介质 | |
| CN114036538A (zh) | 一种基于虚拟块设备的数据库透明加解密实现方法及*** | |
| CN103532709A (zh) | 一种ibe密码装置及数据加解密方法 | |
| CN115221183A (zh) | 数据处理方法及装置 | |
| CN113315750A (zh) | 一种Kafka消息发布方法、装置及存储介质 | |
| CN116975926A (zh) | 一种基于可信执行环境的数据库代理加密*** | |
| US20230041862A1 (en) | Cloud-side collaborative multi-mode private data circulation method based on smart contract | |
| CN114124352A (zh) | 一种秘钥轮转方法、装置及计算机介质 | |
| CN116049783A (zh) | 一种基于安全硬件载体的企业票据管理方法及*** | |
| CN116248253A (zh) | 一种基于国产密码机对数据库表密钥进行派生的方法及*** | |
| CN110737910B (zh) | 一种Android log解密管理方法、装置、设备和介质 | |
| CN113886014A (zh) | 中间件加载动态密钥方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |