[发明专利]密钥管理方法、生成密钥的方法和密钥管理系统

说明书

本公开提供了一种密钥管理方法和系统，由密钥管理系统执行，该方法包括以下步骤：接收启动密钥；验证启动密钥的有效性；当验证通过时，使用启动密钥解密存储在密钥管理系统中的保护密钥，其中保护密钥是预先经启动密钥加密；获取主密钥，主密钥是预先经保护密钥加密；以及使用保护密钥解密主密钥。本公开涉及的方法能够在安全性得到足够保障的情况下，使得密钥管理流程更为简单，更适用于中小规模数据加密场景。本公开还提供了一种生成密钥的方法，能够提高密钥管理系统的可靠性和可恢复性。

技术领域

本公开主要涉及信息安全领域，尤其涉及一种密钥管理方法、生成密钥的方法和密钥管理系统。

背景技术

密钥是加密运算和解密运算的关键，也是密码系统的关键。密码系统的安全取决于密钥的安全，因此密钥管理在信息安全领域中极为重要。

现有的三层密钥管理结构完全依赖密钥管理系统及数据库对数据进行加解密工作。当密钥管理系统发生灾难或出现极端不可用情况时，会导致加密的数据无法被解密使用。三层密钥管理结构的密钥管理系统的密钥管理流程较为复杂，由多方共同管理大量的密钥，不适合在中小规模数据加密场景部署，通常只适用于运营商或大型的多租户数据加密场景。

发明内容

本公开要解决的一个技术问题是提供一种密钥管理方法，可用于在保障密钥管理系统安全性的情况下，使得密钥管理流程更为简单。

本公开要解决的另一技术问题是提供一种生成密钥的方法，可用于在保障密钥管理系统安全性的情况下，使得密钥管理流程更为简单，而且进一步地提高密钥管理系统的可靠性和可恢复性。

为解决上述技术问题，本公开提供了一种密钥管理方法，由密钥管理系统执行，所述方法包括如下步骤：接收启动密钥；验证启动密钥的有效性；当验证通过时，使用启动密钥解密存储在密钥管理系统中的保护密钥，其中保护密钥是预先经启动密钥加密；获取主密钥，主密钥是预先经保护密钥加密；以及使用保护密钥解密主密钥。

可选地，该方法还包括在密钥管理系统中预先生成启动密钥。

可选地，预先经启动密钥加密保护密钥的步骤包括：在密钥管理系统中生成保护密钥；使用启动密钥加密保护密钥；以及将经加密的保护密钥保存在密钥管理系统的非易失性存储器中。

可选地，预先经保护密钥加密主密钥的步骤包括：在密钥管理系统中生成主密钥；使用保护密钥加密主密钥；以及将经加密的主密钥保存到数据库中；获取加密的主密钥的步骤包括：从数据库中获取经加密的主密钥。

可选地，在密钥管理系统中生成主密钥后，还包括将主密钥明文保存到独立于密钥管理系统的介质中。

可选地，不以非易失性方式存储主密钥的明文，而使主密钥的明文在密钥管理系统关闭或重启后消失。

可选地，数据库与密钥管理系统布置在不同的计算机中。

可选地，保护密钥与密钥管理系统的生命周期一致。

可选地，启动密钥包括由不同管理员管理的多个段。

本公开还提供了一种生成密钥的方法，包括以下步骤：在密钥管理系统中生成启动密钥；在密钥管理系统中生成保护密钥，并使用启动密钥加密保护密钥；以及在密钥管理系统中生成主密钥，将主密钥明文保存到独立于密钥管理系统的介质中，且使用保护密钥加密主密钥。

可选地，该方法还包括将经加密的主密钥传送到独立于密钥管理系统的数据库中。

可选地，不以非易失性方式存储主密钥的明文，而使主密钥的明文在密钥管理系统关闭或重启后消失。

本公开还提供了一种密钥管理系统，包括：存储器，用于存储可由处理器执行的指令；以及处理器，用于执行指令以实现如上所述的密钥管理方法。