[发明专利]密钥分级管理方法及系统

说明书

本发明公开了密钥分级管理方法及系统。该方法包括：密钥管理侧装置确定与应用系统标识对应的密钥索引号；密钥管理侧装置在确定所述密钥索引号为内部密钥类型时，将所述密钥索引号的密钥编号发送至密码侧装置；其中，密码侧装置包括密码芯片和密钥存储芯片；密码侧装置根据接收到的所述密钥编号，从密钥存储芯片中获取与所述密钥编号对应的密钥明文；密钥管理侧装置在确定所述密钥索引号记载所述密钥索引号为外部密钥类型时，根据所述密钥索引号的密钥编号从外部存储单元中获取与所述密钥编号对应的密钥密文，将所述密钥密文发送至密码侧装置；密码侧装置根据接收到的所述密钥密文，在密码芯片中将所述密钥密文解密为对应的密钥明文。

技术领域

本发明属于电子密钥技术领域，具体涉及密钥分级管理方法及系统。

背景技术

随着网络信息化安全等级的不断提升，与密码有关的应用市场需求越来越大。目前，密码侧装置提供的密码应用包括密钥生成、密钥使用和密钥销毁等。具体地，密码侧装置提供遵循国密标准的接口和厂家自定义接口，并通过这些接口为服务端应用系统提供密钥管理功能和密码运算功能。

目前，单个密码侧装置所能管理和存储的密钥数量有限。针对海量用户的应用场景，目前大多是通常采用扩展硬件、增加密码侧装置数量、管理多个密码侧装置的途径来扩展密钥的数量进而满足海量用户的使用需求，技术复杂，代价高昂，会降低可靠性。

发明内容

针对现有技术的不足，本发明提供密钥分级管理方法及系统，以解决现有技术中海量用户应用场景时密码管理技术复杂、代价高昂、等问题。

第一方面，本发明提供一种密钥分级管理方法，包括：

密钥管理侧装置从获取的密码运算接口调用请求中提取出应用系统标识，确定与应用系统标识对应的密钥索引号；

密钥管理侧装置在确定所述密钥索引号为内部密钥类型时，将所述密钥索引号的密钥编号发送至密码侧装置；其中，密码侧装置包括密码芯片和密钥存储芯片；

密码侧装置根据接收到的所述密钥编号，从密钥存储芯片中获取与所述密钥编号对应的密钥明文；在获取到密码运算接口调用请求中指定的密码运算后，在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算；

密钥管理侧装置在确定所述密钥索引号记载所述密钥索引号为外部密钥类型时，根据所述密钥索引号的密钥编号从外部存储单元中获取与所述密钥编号对应的密钥密文，将所述密钥密文发送至密码侧装置；

密码侧装置根据接收到的所述密钥密文，在密码芯片中将所述密钥密文解密为对应的密钥明文；在获取到密码运算接口调用请求中指定的密码运算后，在密码芯片中根据所述密钥明文进行密码运算接口调用请求中指定的密码运算。

进一步地，在获取密码运算接口调用请求之前，还包括：

密钥管理侧装置从获取的密码分配接口调用请求提取出应用系统标识，确定与应用系统标识对应的分级性能，其中，分级性能为较高级或较低级；

在所述应用系统标识对应的分级性能为较高级时，密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及内部密钥，其中，所述内部密钥包括一存储在密钥存储芯片中的密钥明文；

在所述应用系统标识对应的分级性能为较低级时，密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及外部密钥，其中，所述外部密钥包括一存储在外部存储单元中的密钥密文。

进一步地，所述在所述应用系统标识对应的分级性能为较高级时，密钥管理侧装置生成与所述应用系统标识对应的密钥索引号及内部密钥，包括：

在所述应用系统标识对应的分级性能为较高级时，密钥管理侧装置生成与所述应用系统标识对应的密钥索引号，所述密钥索引号用于记载所述密钥索引号为内部密钥类型及密钥编号；