[发明专利]一种密钥管理方法、控制器及系统

说明书

本发明公开一种密钥管理方法，通过在可信执行环境中运行的密钥管理控制器接收用户终端发送的密钥请求；解析密钥请求中的用户信息，根据用户信息验证用户终端是否属于已注册用户终端；若用户终端属于已注册用户终端，执行与操作符相对应的密钥操作，实现将密钥管理控制器在可信执行环境中对密钥进行管理，为用户终端提供一个安全可靠的密钥管理控制器，保证密钥不会被泄露，提高了密钥的安全性。另一方面，本发明还公开了密钥管理控制器以及密钥管理系统。

技术领域

本发明涉及数据安全技术领域，具体涉及一种密钥管理方法、控制器及系统。

背景技术

密钥是许多数据安全技术的基础，例如对电子邮件的签名验证、远程服务器的身份认证以及云端数据的加解密等的过程都需要密钥参与。现有的密钥管理方案众多，目前常用的为本地存储、硬件设备存储和服务器存储。然而，这三个方案存在着各自的局限性，分析如下。

本地存储：将密钥存储于本地设备进行管理的方法。然而这种方法的密钥安全性低，密钥容易被本地设备上恶意软件盗取，从而导致密钥使用过程中出现安全问题。

硬件设备存储：将密钥存储于专用硬件设备(如智能芯片或U盾令牌)内进行管理的方法。但是，专用的硬件设备在外借他人使用时，无法知晓对方是否将存储于专用的硬件设备中的密钥使用到非正当的用途，因而导致密钥的使用不可控，带来一定的安全问题。

服务器存储：将密钥存储于提供密钥存储服务的服务器内进行管理的方法。但是，提供密钥存储服务的服务商不一定可信，带来一定的安全问题。

由上述可知，现有技术中针对密钥管理的方案均存在一定的安全性问题。

发明内容

有鉴于此，本发明实施例提供一种密钥管理方法、控制器及系统，解决了现有技术中针对密钥管理所存在的安全性问题。

为实现上述目的，本发明实施例的一个方面提供一种密钥管理方法，包括：

密钥管理控制器接收用户终端发送的密钥请求；其中，所述密钥管理控制器在可信执行环境中运行；所述密钥请求包括所述用户终端的用户信息和用于指示所述密钥请求的请求类型的操作符；

所述密钥管理控制器解析所述密钥请求中的用户信息，根据所述用户信息验证所述用户终端是否属于已注册用户终端；

若所述用户终端属于已注册用户终端，所述密钥管理控制器执行与所述操作符相对应的密钥操作。

本发明实施例的第二方面提供一种密钥管理控制器，所述控制器在可信执行环境中运行，包括：

接收单元，用于接收用户终端发送的密钥请求；其中，所述密钥请求包括所述用户终端的用户信息和用于指示所述密钥请求的请求类型的操作符；

解析验证单元，用于解析所述密钥请求中的用户信息，根据所述用户信息验证所述用户终端是否属于已注册用户终端；

执行单元，用于若所述用户终端属于已注册用户终端，执行与所述操作符相对应的密钥操作。

本发明实施例的第三方面提供一种密钥管理系统，包括用户终端、密钥管理控制器和用于为所述密钥管理控制器提供通信功能的通信接口；

所述密钥管理控制器，用于在可信执行环境中执行如权利要求1-7所述的任一项密钥管理方法。

上述技术方案通过在可信执行环境中运行的密钥管理控制器接收用户终端发送的密钥请求；解析密钥请求中的用户信息，根据用户信息验证用户终端是否属于已注册用户终端；若用户终端属于已注册用户终端，执行与操作符相对应的密钥操作，实现将密钥管理控制器在可信执行环境中对密钥进行管理，为用户终端提供一个安全可靠的密钥管理控制器，保证密钥不会被泄露，提高了密钥的安全性。

附图说明