CN115378592A - 密码服务调用方法和*** - Google Patents

密码服务调用方法和*** Download PDF

Info

Publication number
CN115378592A
CN115378592A CN202211004678.8A CN202211004678A CN115378592A CN 115378592 A CN115378592 A CN 115378592A CN 202211004678 A CN202211004678 A CN 202211004678A CN 115378592 A CN115378592 A CN 115378592A
Authority
CN
China
Prior art keywords
key
working
user
ciphertext
cipher machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211004678.8A
Other languages
English (en)
Inventor
郑培钿
李平
周建平
何春芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202211004678.8A priority Critical patent/CN115378592A/zh
Publication of CN115378592A publication Critical patent/CN115378592A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种密码服务调用方法和***,涉及密码机技术领域,方法包括:根据服务调用方发出的密码服务调用请求中的用户密钥标识获得用户密钥明文;选取一台工作密码机信息,工作密码机信息包含工作密码机标识和对应主密钥密文,调用第一密码机的第一密钥解密主密钥密文,得到主密钥;用主密钥将用户密钥明文加密成第一用户密钥密文,并将第一用户密钥密文发送给对应工作密码机,由对应工作密码机使用自身主密钥将第一用户密文解密成用户密钥,并根据密码服务标识用用户密钥对待操作数据进行相应操作。本申请无需保持相同的主密钥,而仅存储自身主密钥即可,可以做一机一密,极大提高工作密码机密钥的安全性,进而提高整套密码服务的安全性。

Description

密码服务调用方法和***
技术领域
本发明涉及密码机技术领域,可用于金融领域,尤其涉及一种密码服务调用方法和***。
背景技术
密码机是用于确保数据安全的密码设备,主要可以实现数据加密、转加密、解密、媒体访问控制(Media Access Control,MAC)产生和校验、签名验证等密码服务功能。
目前,密码机存储主密钥,由主密钥保护工作密钥,再由工作密钥保护用户密钥,从而组成以密码机为主的三层密钥体系。由于安全***的需求,一般需要由多型号且多台密码机组成密码机集群,但由于密码机存储主密钥的要求,导致所有的密码机需保持相同的主密钥。这样如果一种型号或一台密钥机的主密钥被技术破解或人为管理上存在问题,该密码机的主密钥暴露,就会造成所有密码机的主密钥都暴露,使密钥管理的安全度强依赖于密码机的安全性,造成整个加密机集群的密钥安全问题。
发明内容
有鉴于此,本发明提供一种密码服务调用方法和***,以解决上述提及的至少一个问题。
为了实现上述目的,本发明采用以下方案:
根据本发明的第一方面,提供一种密码服务调用方法,所述方法包括:接收密码服务调用方发出的密码服务调用请求,所述密码服务调用请求中包含用户密钥标识、密码服务标识和待操作数据;根据所述用户密钥标识获得用户密钥明文;从所述密钥存储子模块中选取一台工作密码机信息,所述工作密码机信息包含工作密码机标识和对应主密钥密文,调用第一密码机,用所述第一密码机的第一密钥解密所述主密钥密文,得到主密钥;用所述主密钥将所述用户密钥明文加密成第一用户密钥密文,并根据所述工作密码机标识将所述第一用户密钥密文发送给对应工作密码机,由对应工作密码机使用自身主密钥将所述第一用户密文解密成用户密钥,并根据所述密码服务标识用所述用户密钥对待操作数据进行相应操作。
根据本发明的第二方面,提供一种密码服务调用***,所述***包括:密码服务调度模块、密钥管理模块和工作密码机集群,其中密钥管理模块还包括一密钥存储子模块,所述密码服务调度模块,用于接收密码服务调用方发出的密码服务调用请求,所述密码服务调用请求中包含用户密钥标识、密码服务标识和待操作数据;以及用于接收所述密钥管理模块发送的第一用户密钥密文,并根据工作密码机标识将第一用户密钥密文发送给对应工作密码机;所述密钥管理模块,用于根据所述用户密钥标识获得用户密钥明文;从所述密钥存储子模块中选取一台工作密码机信息,所述工作密码机信息包含工作密码机标识和对应主密钥密文,调用第一密码机,用所述第一密码机的第一密钥解密所述主密钥密文,得到主密钥;以及用所述主密钥将所述用户密钥明文加密成第一用户密钥密文,最后将所述第一用户密钥密文发送给所述密码服务调度模块;所述工作密码机集群中的工作密码机用于接收所述密码服务调度模块发送的第一用户密钥密文,使用自身主密钥将所述第一用户密文解密成用户密钥,并根据所述密码服务标识用所述用户密钥对待操作数据进行相应操作。
根据本发明的第三方面,提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,处理器执行所述计算机程序时实现上述方法的步骤。
根据本发明的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
根据本发明的第五方面,提供一种计算机程序产品,包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现上述方法的步骤。
由上述技术方案可知,本申请提供的密码服务调用方法,无需保持相同的主密钥,而仅存储自身主密钥即可,可以做一机一密,极大提高工作密码机密钥的安全性,进而提高整套密码服务的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本申请实施例提供的一种密码服务调用方法的流程示意图;
图2是本申请另一实施例提供的一种密码服务调用方法的流程示意图;
图3是本申请实施例提供的工作密码机标识和主密钥密文的存储过程示意图;
图4是本申请实施例提供的工作密钥标识和工作密钥密文的存储过程示意图;
图5是本申请实施例提供的用户密钥标识、第二用户密钥密文和工作密钥标识的存储过程示意图;
图6是本申请实施例提供的一种密码服务调用***的结构示意图;
图7是本申请另一实施例提供的一种密码服务调用***的结构示意图;
图8是本申请实施例提供的电子设备的***构成示意框图。
具体实施方式
本发明实施例提供的密码服务调用方法和***,可用于金融领域及其他领域,需要说明的是,本发明的密码服务调用方法和***可用于金融领域,也可用于除金融领域之外的任意领域,本发明对密码服务调用方法和***的应用领域不做限定。
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
如图1所示为本申请实施例提供的一种密码服务调用方法的流程示意图,该方法包括如下步骤:
步骤S101:接收密码服务调用方发出的密码服务调用请求,所述密码服务调用请求中包含用户密钥标识、密码服务标识和待操作数据。
步骤S102:根据所述用户密钥标识获得用户密钥明文。
步骤S103:从密钥存储子模块中选取一台工作密码机信息,所述工作密码机信息包含工作密码机标识和对应主密钥密文,调用第一密码机,用所述第一密码机的第一密钥解密所述主密钥密文,得到主密钥。
在本实施例中,密钥存储子模块中预先存储有每台工作密码机的密码机信息,工作密码机的主密钥被第一密码机加密后成为主密钥密文,并存储于密钥存储子模块之中,每台工作密码机的主密钥都不相同,通过工作密码机标识和主密钥密文的对应关系来区分每台工作密码机的主密钥。
工作密码机的选取可以根据密码机的当前负载来决定,可以选取当前时刻闲置的工作密码机。
步骤S104:用所述主密钥将所述用户密钥明文加密成第一用户密钥密文,并根据所述工作密码机标识将所述第一用户密钥密文发送给对应工作密码机,由对应工作密码机使用自身主密钥将所述第一用户密文解密成用户密钥,并根据所述密码服务标识用所述用户密钥对待操作数据进行相应操作。
通过步骤S103将选定的工作密码机的主密钥解密出来后,就利用该主密钥对通过步骤S102获得的用户密钥明文加密成第一用户密钥密文,并将该第一用户密文发送给对应的工作密码机。
上述对应的工作密码机在收到第一用户密文后,会利用其本身的主密钥将第一用户密文解密成用户密钥,再利用用户密钥对待操作数据进行后续相应操作。
由上述可知,本申请实施例提供的密码服务调用方法,无需保持相同的主密钥,而仅存储自身主密钥即可,可以做一机一密,极大提高工作密码机密钥的安全性,进而提高整套密码服务的安全性。
如图2所示为本申请另一实施例提供的一种密码服务调用方法的流程示意图,该方法包括如下步骤:
步骤S201:接收密码服务调用方发出的密码服务调用请求,所述密码服务调用请求中包含用户密钥标识、密码服务标识和待操作数据。
步骤S202:根据所述用户密钥标识从密钥存储子模块中获取对应的第二用户密钥密文和工作密钥标识。
在本实施例中,密钥存储子模块中预先存储有用户密钥标识、第二用户密钥密文和工作密钥标识,这三者在密钥存储子模块中以“用户密钥标识+第二用户密钥密文+工作密钥标识”的关联格式进行存储。
步骤S203:根据所述工作密钥标识从所述密钥存储子模块中获取工作密钥密文,并调用第二密码机,用所述第二密码机的第二密钥解密所述工作密钥密文,得到工作密钥明文。
步骤S204:继续调用第二密码机,用所述工作密钥明文对所述第二用户密钥密文进行解密得到用户密钥明文。
在本实施例中,上述第二用户密钥密文是由工作密钥明文对用户密钥明文加密获得的,而工作密钥密文是由第二密码机的第二密钥对工作密钥加密而成的,因此为了解密第二用户密钥密文得到用户密钥明文,首先需要通过步骤S203得到工作密钥明文,再利用该工作密钥明文解密第二用户密钥密文来得到用户密钥明文。
步骤S205:从所述密钥存储子模块中选取一台工作密码机信息,所述工作密码机信息包含工作密码机标识和对应主密钥密文,调用第一密码机,用所述第一密码机的第一密钥解密所述主密钥密文,得到主密钥。
步骤S206:用所述主密钥将所述用户密钥明文加密成第一用户密钥密文,并根据所述工作密码机标识将所述第一用户密钥密文发送给对应工作密码机。
步骤S207:对应工作密码机使用自身主密钥将所述第一用户密文解密成用户密钥,并根据所述密码服务标识用所述用户密钥对待操作数据进行相应操作。
由上述步骤可知,本实施例中密钥存储子模块之中预先存储有如下三部分数据:
1、工作密码机标识和主密钥密文以及它们的对应关系;
2、工作密钥标识和工作密钥密文以及它们的对应关系;
3、用户密钥标识、第二用户密钥密文和工作密钥标识以及它们的对应关系。
优选的,如图3所示,上述工作密码机标识和主密钥密文可以通过如下方式存储于所述密钥存储子模块之中:
步骤S301:针对每台工作密码机分别调用密码机主密钥保护子模块以随机生成对应主密钥,保证每台工作密码机的主密钥均不相同。
步骤S302:调用第一密码机,用第一密钥对主密钥进行加密成主密钥密文。
步骤S303:将每台工作密码机的工作密码机标识和主密钥密文形成对应关系并存储至所述密钥存储子模块之中,具体来说可以通过“工作密码机标识+主密钥密文”的关联格式来进行存储。
优选的,如图4所示,上述工作密钥标识和工作密钥密文可以通过如下方式存储于所述密钥存储子模块之中:
步骤S401:调用密钥管理主密钥保护子模块随机生成工作密钥。
步骤S402:调用第二密码机,用第二密钥对所述工作密钥加密成工作密钥密文。
步骤S403:将工作密钥标识和所述工作密钥密文形成对应关系并存储于所述密钥存储子模块之中,具体来说可以通过“工作密钥标识+工作密钥密文”的关联格式来进行存储。
优选的,如图5所示,上述用户密钥标识、第二用户密钥密文和工作密钥标识可以通过如下方式存储于所述密钥存储子模块之中:
步骤S501:密钥管理主密钥保护子模块根据工作密钥标识从密钥存储子模块中获取工作密钥密文。
步骤S502:调用第二密码机,用第二密钥对所述工作密钥密文解密成工作密钥明文。
步骤S503:密钥管理主密钥保护子模块随机生成用户密钥,并调用所述第二密码机,用所述工作密钥明文对所述用户密钥加密成第二用户密钥密文。
步骤S504:将用户密钥标识、第二用户密钥密文和工作密钥标识形成对应关系并存储于所述密钥存储子模块之中,具体来说可以通过“用户密钥标识+第二用户密钥密文+工作密钥标识”的关联格式来进行存储。
步骤S505:将所述用户密钥标识返回给所述密码服务调用方。
由上述可知,本申请实施例提供的密码服务调用方法,无需保持相同的主密钥,而仅存储自身主密钥即可,可以做一机一密,极大提高工作密码机密钥的安全性,进而提高整套密码服务的安全性。
如图6所示为本申请实施例提供的一种密码服务调用***的结构示意图,该***包括:密码服务调度模块100、密钥管理模块200和工作密码机集群300,密钥管理模块200包括密钥存储子模块201,其中密码服务调度模块100分别和密钥管理模块200及工作密码机集群300相连。
密码服务调度模块100用于接收密码服务调用方发出的密码服务调用请求,该密码服务调用请求中包含用户密钥标识、密码服务标识和待操作数据,还用于接收密钥管理模块200发送的第一用户密钥密文,并根据工作密码机标识将第一用户密钥密文发送给对应工作密码机。
密钥管理模块200用于根据用户密钥标识获得用户密钥明文;从密钥存储子模块201中选取一台工作密码机信息,该工作密码机信息包含工作密码机标识和对应主密钥密文;调用第一密码机,用第一密码机的第一密钥解密所述主密钥密文,得到主密钥;以及用该主密钥将用户密钥明文加密成第一用户密钥密文,最后将第一用户密钥密文发送给所述密码服务调度模块100;
工作密码机集群300中的工作密码机用于接收密码服务调度模块100发送的第一用户密钥密文,使用自身主密钥将所述第一用户密文解密成用户密钥,并根据所述密码服务标识用所述用户密钥对待操作数据进行相应操作。
由上述可知,本申请实施例提供的密码服务调用***,无需保持相同的主密钥,而仅存储自身主密钥即可,可以做一机一密,极大提高工作密码机密钥的安全性,进而提高整套密码服务的安全性。
如图7所示为本申请另一实施例提供的一种密码服务调用***的结构示意图,该***包括:密码服务调度模块100、密钥管理模块200和工作密码机集群300,其中密码服务调度模块100包括密钥调度子模块101和密码服务调度子模块102,密钥管理模块200包括密钥存储子模块201、密钥管理主密钥保护子模块202和密码机主密钥保护子模块203。
在本实施例中,密钥存储子模块201之中预先存储有如下三部分数据:
1、工作密码机标识和主密钥密文以及它们的对应关系;
2、工作密钥标识和工作密钥密文以及它们的对应关系;
3、用户密钥标识、第二用户密钥密文和工作密钥标识以及它们的对应关系。
对于上述第1部分数据,其生成和存储过程如下:
针对每台工作密码机,密钥调度子模块101分别调用密码机主密钥保护子模块203以随机生成对应主密钥,并保证每台工作密码机的主密钥均不相同。然后密码机主密钥保护子模块203会调用第一密码机,用第一密钥对主密钥进行加密成主密钥密文。接着密码机主密钥保护子模块203会将每台工作密码机的工作密码机标识和主密钥密文形成对应关系并存储至密钥存储子模块201之中,具体来说可以通过“工作密码机标识+主密钥密文”的关联格式来进行存储,同时密码机主密钥保护子模块203也会将生成的主密钥发送给工作密码机集群300中对应的工作密码机。
对于上述第2部分数据,其生成和存储过程如下:
密钥调度子模块101调用密钥管理主密钥保护子模块202以随机生成工作密钥,然后调用第二密码机,用第二密钥对该工作密钥加密成工作密钥密文,接着将工作密钥标识和工作密钥密文形成对应关系并存储于密钥存储子模块201之中,具体来说可以通过“工作密钥标识+工作密钥密文”的关联格式来进行存储。最后将工作密钥标识返回给密钥调度子模块101。
对于上述第3部分数据,其生成和存储过程如下:
密钥调度子模块101调用密钥管理主密钥保护子模块202,送入工作密钥标识,密钥管理主密钥保护子模块202根据工作密钥标识从密钥存储子模块201中获取工作密钥密文。密钥管理主密钥保护子模块202调用第二密码机,用第二密钥对上述工作密钥密文解密成工作密钥明文。密钥管理主密钥保护子模块202随机生成用户密钥,并调用第二密码机,用工作密钥明文对用户密钥加密成第二用户密钥密文。然后密钥管理主密钥保护子模块202将用户密钥标识、第二用户密钥密文和工作密钥标识形成对应关系并存储于所述密钥存储子模块之中,具体来说可以通过“用户密钥标识+第二用户密钥密文+工作密钥标识”的关联格式来进行存储。最后密钥管理主密钥保护子模块202将用户密钥标识通过密码服务调度模块100返回给密码服务调用方。
下面对该利用该***进行密码调用服务的流程进行进一步的描述:
密码服务调用方向密码服务调度模块100发出密码服务调用请求,该密码服务调用请求中包含用户密钥标识、密码服务标识和待操作数据。密码服务调度模块100收到密码服务调用请求后,随即调用密钥管理模块200。
密钥管理主密钥保护子模块202根据用户密钥标识从密钥存储子模块201中获取对应的第二用户密钥密文和工作密钥标识。
密钥管理主密钥保护子模块202根据工作密钥标识从密钥存储子模块201中获取工作密钥密文,并调用第二密码机,用第二密码机的第二密钥解密该工作密钥密文,得到工作密钥明文。
密钥管理主密钥保护子模块202继续调用第二密码机,用工作密钥明文对第二用户密钥密文进行解密得到用户密钥明文。
密码机主密钥保护子模块203从密钥存储子模块中201选取一台工作密码机信息,该工作密码机信息包含工作密码机标识和对应主密钥密文,然后调用第一密码机,用第一密码机的第一密钥解密所述主密钥密文,得到主密钥。
密码机主密钥保护子模块203用主密钥将用户密钥明文加密成第一用户密钥密文,并将该第一用户密钥密文发送给密码服务调度子模块102,密码服务调度子模块102根据工作密码机标识将该第一用户密钥密文发送给工作密码机集群300中那个对应的工作密码机,比如工作密码机01。
工作密码机01使用自身主密钥将第一用户密文解密成用户密钥,并根据密码服务标识用该用户密钥对待操作数据进行相应操作。
由上述可知,本申请实施例提供的密码服务调用***,无需保持相同的主密钥,而仅存储自身主密钥即可,可以做一机一密,极大提高工作密码机密钥的安全性,进而提高整套密码服务的安全性。
本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行所述程序时实现上述方法。
本发明实施例还提供一种计算机程序产品,包括计算机程序/指令,计算机程序/指令被处理器执行时实现上述方法的步骤。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质存储有执行上述方法的计算机程序。
如图8所示,该电子设备600还可以包括:通信模块110、输入单元120、音频处理器130、显示器160、电源170。值得注意的是,电子设备600也并不是必须要包括图8中所示的所有部件;此外,电子设备600还可以包括图8中没有示出的部件,可以参考现有技术。
如图8所示,中央处理器100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器100接收输入并控制电子设备600的各个部件的操作。
其中,存储器140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序,以实现信息存储或处理等。
输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向电子设备600提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142,该应用/功能存储部142用于存储应用程序和功能程序或用于通过中央处理器100执行电子设备600的操作的流程。
存储器140还可以包括数据存储部143,该数据存储部143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器140的驱动程序存储部144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块110即为经由天线111发送和接收信号的发送机/接收机110。通信模块(发送机/接收机)110耦合到中央处理器100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)110还经由音频处理器130耦合到扬声器131和麦克风132,以经由扬声器131提供音频输出,并接收来自麦克风132的音频输入,从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器130还耦合到中央处理器100,从而使得可以通过麦克风132能够在本机上录音,且使得可以通过扬声器131来播放本机上存储的声音。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种密码服务调用方法,其特征在于,所述方法包括:
接收密码服务调用方发出的密码服务调用请求,所述密码服务调用请求中包含用户密钥标识、密码服务标识和待操作数据;
根据所述用户密钥标识获得用户密钥明文;
从密钥存储子模块中选取一台工作密码机信息,所述工作密码机信息包含工作密码机标识和对应主密钥密文,调用第一密码机,用所述第一密码机的第一密钥解密所述主密钥密文,得到主密钥;
用所述主密钥将所述用户密钥明文加密成第一用户密钥密文,并根据所述工作密码机标识将所述第一用户密钥密文发送给对应工作密码机,由对应工作密码机使用自身主密钥将所述第一用户密文解密成用户密钥,并根据所述密码服务标识用所述用户密钥对待操作数据进行相应操作。
2.如权利要求1所述的一种密码服务调用方法,其特征在于,所述根据所述用户密钥标识获得用户密钥明文包括:
根据所述用户密钥标识从密钥存储子模块中获取对应的第二用户密钥密文和工作密钥标识;
根据所述工作密钥标识从所述密钥存储子模块中获取工作密钥密文,并调用第二密码机,用所述第二密码机的第二密钥解密所述工作密钥密文,得到工作密钥明文;
继续调用第二密码机,用所述工作密钥明文对所述第二用户密钥密文进行解密得到用户密钥明文。
3.如权利要求1所述的一种密码服务调用方法,其特征在于,所述工作密码机信息通过如下方式存储于所述密钥存储子模块之中:
针对每台工作密码机分别调用密码机主密钥保护子模块以随机生成对应主密钥,保证每台工作密码机的主密钥均不相同;
调用第一密码机,用第一密钥对主密钥进行加密成主密钥密文;
将每台工作密码机的工作密码机标识和主密钥密文形成对应关系并存储至所述密钥存储子模块之中。
4.如权利要求2所述的一种密码服务调用方法,其特征在于,所述工作密钥标识和所述工作密钥密文通过如下方式存储于所述密钥存储子模块之中:
调用密钥管理主密钥保护子模块随机生成工作密钥;
调用第二密码机,用第二密钥对所述工作密钥加密成工作密钥密文;
将工作密钥标识和所述工作密钥密文形成对应关系并存储于所述密钥存储子模块之中。
5.如权利要求4所述的一种密码服务调用方法,其特征在于,所述用户密钥标识、第二用户密钥密文和工作密钥标识通过如下方式存储于所述密钥存储子模块之中:
密钥管理主密钥保护子模块根据所述工作密钥标识从所述密钥存储子模块中获取所述工作密钥密文;
调用第二密码机,用第二密钥对所述工作密钥密文解密成工作密钥明文;
密钥管理主密钥保护子模块随机生成用户密钥,并调用所述第二密码机,用所述工作密钥明文对所述用户密钥加密成第二用户密钥密文;
将用户密钥标识、第二用户密钥密文和工作密钥标识形成对应关系并存储于所述密钥存储子模块之中。
6.如权利要求5所述的一种密码服务调用方法,其特征在于,所述将用户密钥标识、第一用户密钥密文和工作密钥标识形成对应关系并存储于所述密钥存储子模块之中后还包括:将所述用户密钥标识返回给所述密码服务调用方。
7.一种密码服务调用***,其特征在于,所述***包括:密码服务调度模块、密钥管理模块和工作密码机集群,其中密钥管理模块还包括一密钥存储子模块,
所述密码服务调度模块,用于接收密码服务调用方发出的密码服务调用请求,所述密码服务调用请求中包含用户密钥标识、密码服务标识和待操作数据;以及用于接收所述密钥管理模块发送的第一用户密钥密文,并根据工作密码机标识将第一用户密钥密文发送给对应工作密码机;
所述密钥管理模块,用于根据所述用户密钥标识获得用户密钥明文;从密钥存储子模块中选取一台工作密码机信息,所述工作密码机信息包含工作密码机标识和对应主密钥密文,调用第一密码机,用所述第一密码机的第一密钥解密所述主密钥密文,得到主密钥;以及用所述主密钥将所述用户密钥明文加密成第一用户密钥密文,最后将所述第一用户密钥密文发送给所述密码服务调度模块;
所述工作密码机集群中的工作密码机用于接收所述密码服务调度模块发送的第一用户密钥密文,使用自身主密钥将所述第一用户密文解密成用户密钥,并根据所述密码服务标识用所述用户密钥对待操作数据进行相应操作。
8.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6任一项所述密码服务调用方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6任一项所述密码服务调用方法的步骤。
10.一种计算机程序产品,包括计算机程序/指令,其特征在于,所述计算机程序/指令被处理器执行时实现权利要求1至6任一项所述密码服务调用方法的步骤。
CN202211004678.8A 2022-08-22 2022-08-22 密码服务调用方法和*** Pending CN115378592A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211004678.8A CN115378592A (zh) 2022-08-22 2022-08-22 密码服务调用方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211004678.8A CN115378592A (zh) 2022-08-22 2022-08-22 密码服务调用方法和***

Publications (1)

Publication Number Publication Date
CN115378592A true CN115378592A (zh) 2022-11-22

Family

ID=84066977

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211004678.8A Pending CN115378592A (zh) 2022-08-22 2022-08-22 密码服务调用方法和***

Country Status (1)

Country Link
CN (1) CN115378592A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117319092A (zh) * 2023-11-29 2023-12-29 杭州海康威视数字技术股份有限公司 分布式密钥管理方法、装置、密码卡及***

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117319092A (zh) * 2023-11-29 2023-12-29 杭州海康威视数字技术股份有限公司 分布式密钥管理方法、装置、密码卡及***
CN117319092B (zh) * 2023-11-29 2024-02-09 杭州海康威视数字技术股份有限公司 分布式密钥管理方法、装置、密码卡及***

Similar Documents

Publication Publication Date Title
CN106301774B (zh) 安全芯片、其加密密钥生成方法和加密方法
CN1871809B (zh) 产生可重现会话密钥的***和方法
US11128447B2 (en) Cryptographic operation method, working key creation method, cryptographic service platform, and cryptographic service device
CN109840436A (zh) 数据处理方法、可信用户界面资源数据的应用方法及装置
CN109168162B (zh) 蓝牙通信加密方法、装置和智能安防设备
JPH11285080A (ja) 加入者識別モジュ―ルと無線通信移動端末との間の情報転送方法、および対応する加入者識別モジュ―ルおよび移動端末
CN103067160A (zh) 一种加密sd卡的动态密钥生成的方法及***
CN111178884A (zh) 信息处理方法、装置、设备及可读存储介质
CN115459909A (zh) 密钥数据处理方法及装置
CN105208028A (zh) 一种数据传输方法和相关装置及设备
CN112003697B (zh) 密码模块加解密方法、装置、电子设备及计算机存储介质
CN104125071A (zh) 通信方法、***和通信终端
CN113987584A (zh) 一种隐匿查询方法及***
CN115208697A (zh) 基于攻击行为的自适应数据加密方法及装置
CN112118098A (zh) 后量子安全增强数字信封方法、装置及***
CN113242134A (zh) 数字证书签名方法、装置、***及存储介质
CN112839013B (zh) 一种密钥传输方法、装置及计算机可读存储介质
CN111431922A (zh) 物联网数据加密传输方法及***
CN115378592A (zh) 密码服务调用方法和***
CN103997405A (zh) 一种密钥生成方法及装置
CN109120576B (zh) 数据分享方法及装置、计算机设备及存储介质
CN113612746A (zh) 基于Android***的敏感信息存储方法及***
CN105022965A (zh) 一种数据加密方法及装置
CN115567297A (zh) 跨站请求数据处理方法及装置
CN105451201A (zh) 移动终端及其远程控制方法、装置及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination