[发明专利]密钥管理方法及装置

说明书

本发明公开了一种密钥管理方法及装置，属于信息安全领域。装置：应用密钥管理模块，用于接收明文密钥数据并进行分组，编码模块，用于对各个分组数据进行编码，读写控制模块，用于按照密钥池的器件颗粒度将编码后的分组数据离散存储至密钥池，所述应用密钥管理模块还用于，接收密钥输出请求，读写控制模块还用于，在所述应用密钥管理模块接收所述密钥输出请求后，并行从密钥池中取出编码后的分组数据，解码模块，用于对编码后的分组数据进行解码操作；应用密钥管理模块还用于，基于解码后的分组数据，恢复明文密钥数据；密钥输出模块，用于输出恢复的明文密钥数据。

技术领域

本发明涉及信息安全领域，特别涉及一种密钥管理方法及装置。

背景技术

密钥是在明文转换为密文或将密文转换为明文的算法中输入的参数。以FC(FibreChannel，光纤通道)-SAN(Storage Area Network，存储区域网络)为例，介绍一下现有的密钥管理方式。

由于FC-SAN具有较高的网络性能和较短的延迟，因此国内大部分机关和企事业单位都认定FC-SAN中必须单独布置FC加密设备来加、解密数据，以确保以FC-SAN为架构的大型数据中心的数据安全性。目前大多数FC加密设备使用的加密算法均为国密局下发的标准算法。该标准算法在加密和解密中使用的密钥由密管系统下发，一般为一个大容量的密钥表。FC加密设备收到该密钥表之后，采用备份的方式管理密钥，包括：使用两个完全相同的存储区存储相同的密钥表，当存储数据需要加密时，同时读出两个存储区的密钥信息并进行比对，如果读出的密钥信息相同，则认为读取的密钥是正确的，采用该密钥对数据进行加密。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：备份的方法只能提高加密的正确性，无法确保加密一定正确；同时，两个密钥表就代表需要两个加密的加密引擎，加大了系统的处理资源，从而限制了加密过程的速率和延迟。

发明内容

本发明实施例提供了一种密钥管理方法及装置，能够提高密钥存储的正确性和提高加密过程的速率、且减少延迟。所述技术方案如下：

一方面，提供了一种密钥管理装置，所述装置包括：

应用密钥管理模块，用于接收明文密钥数据并进行分组；

编码模块，用于对各个分组数据进行编码；

读写控制模块，用于按照密钥池的器件颗粒度将编码后的分组数据离散存储至所述密钥池；

所述应用密钥管理模块还用于，接收密钥输出请求；

所述读写控制模块还用于，在所述应用密钥管理模块接收所述密钥输出请求后，并行从所述密钥池中取出所述编码后的分组数据；

解码模块，用于对所述编码后的分组数据进行解码操作；

所述应用密钥管理模块还用于，基于解码后的分组数据，恢复明文密钥数据；

密钥输出模块，用于输出恢复的明文密钥数据。

可选地，所述编码模块用于，确定各个所述分组数据的校验码，基于各个所述分组数据的相应的校验码，对各个所述分组数据进行更新，对更新后的分组数据进行编码，所述更新后的分组数据包括更新前的相应的分组数据和相应的校验码；

所述解码模块还用于，基于解码得到的分组数据的相应的校验码，确定所述解码后的分组数据是否存在误码；

所述密钥输出模块还用于，当各个所述解码后的分组数据无误码时，输出恢复的明文密钥数据。

可选地，所述解码模块还用于，当所述解码后的分组数据有误码时，对相应的所述解码后的分组数据进行纠正，将纠正后的分组数据作为所述解码后的分组数据，当纠正成功时，生成纠正成功标志，当纠正不成功时，生成误码标志；