[发明专利]密钥管理方法、装置及系统

说明书

本申请实施例公开了密钥管理方法、装置及系统，所述方法包括：密钥管理网元响应于密钥操作请求，从N个密文存储地址中选择出M个密文存储地址，根据M个密文存储地址从M密文存储地址所对应的密钥分量管理网元获取相应的M个密钥分量的密文，使用密钥管理网元的私钥对M个密钥分量的密文进行解密得到M个密钥分量的明文，基于M个密钥分量的明文生成第一密钥，使用第一密钥以及第一密钥的ID执行相应的密钥操作。本申请方案可用于安全技术领域等领域。

技术领域

本申请实施例涉及加密技术领域，尤其涉及密钥管理方法、装置及系统。

背景技术

业务系统中，为了保证业务敏感数据存储、传输的机密性以及一致性，通常会使用加密技术对业务敏感数据进行加密处理，如客户证件信息的加密存储、交易金额的加密传输、客户账户余额的签名防篡改等。加密技术中，通常会使用到加密算法、解密算法以及密钥。

由于算法(如加密算法、解密算法)本身是公开的，业务系统必须保证密钥的安全，如果密钥泄露，则在得到业务敏感数据的密文的情况下，就可以根据解密算法解密业务敏感数据的密文得到业务敏感数据的原文，从而泄露业务敏感数据，因此，为了不泄露业务敏感数据，则必须保证密钥的安全，以免密钥被泄露。

发明内容

本申请实施例提供一种密钥管理方法、装置及系统，以解决密钥被泄露的问题。

为达到上述目的，本申请实施例采用如下技术方案：

第一方面，本申请实施例提供一种密钥管理方法，该方法由密钥管理网元执行，该方法可以包括：密钥管理网元响应于密钥操作请求，在N个密钥存储地址中选择出M个密钥存储地址，一个密钥存储地址可以用于从一个密钥分量管理网元获取一个密钥分量的密文，根据M个密钥存储地址获取M个密钥分量的密文，使用密钥管理网元的私钥对M个密钥分量的密文进行解密得到M个密钥分量的明文，基于M个密钥分量的明文生成第一密钥，使用第一密钥以及第一密钥的标识(identifier，ID)执行相应的密钥操作。

基于第一方面所述的方法，可以将密钥分量加密后成密钥分量的密文后分布式存储在密钥分量管理网元上，并触发密钥管理网元将存储密钥分量的密文对应的密文存储地址保存在密钥管理网元上，以便在接收到密钥操作请求后，密钥管理网元从已存在密文存储地址中选择密文存储地址，根据选择的密钥存储地址获取M个密钥分量的密文，使用密钥管理网元的私钥对M个密钥分量的密文进行解密得到M个密钥分量的明文，基于M个密钥分量的明文生成第一密钥，使用第一密钥执行相应的密钥操作。由于密钥分量管理网元较多，且密钥分量以密文的形式分布式存在较多的密钥分量管理网元，使得攻击者/不法分子从数量较多的密钥分量管理网元获取密钥分量的难度较大，保证密钥分量存储的安全性，进而保证根据密钥分量所生成的密钥的安全。同时，不需要量子密钥分发设备、加密机等专业硬件设备来保证密钥分量存储安全，降低硬件资源需求。

一种可能的设计中，所述方法还包括：接收N个密钥分量管理网元发送的用于指示密钥分量管理网元存储有密钥分量的密文的注册请求，响应于N个密钥分量管理网元发送的注册请求，将N个密钥分量管理网元的地址信息作为N个密文存储地址存储起来；或者，将N个密钥分量的密文的序号作为N个密文存储地址，将N个密钥分量的密文的序号与N个密钥分量管理网元的地址信息对应存储起来。

基于该可能的设计，密钥管理网元可以通过现有注册流程获知密钥分量管理网元生成有密钥分量的密文，降低信令开销；同时，密钥管理网元可以将密钥分量管理网元的地址信息作为密文存储地址存储起来，也可以对密钥分量的密文进行编号，将密钥分量的密文的序号作为存储地址存储起来，增加存储灵活性以及存储压力。

一种可能的设计中，每一个密钥分量管理网元的地址信息包括在密钥分量管理网元发送的注册请求中。基于该可能的设计，可以通过现有注册流程将密钥分量管理网元的地址信息显式指示给密钥管理网元，降低信令开销。