[发明专利]密钥管理方法、装置、电子设备及可读存储介质

说明书

本发明实施例提供一种密钥管理方法、装置、电子设备及可读存储介质，旨在提高密钥管理的安全性。其中，所述密钥管理方法包括：获得密钥种子；在内存的配合下，根据所述密钥种子生成第一密钥，并对所述第一密钥进行加密，得到第一密钥密文；从内存中读出所述第一密钥密文，并持久化存储所述第一密钥密文，以及在内存中删除所述密钥种子和所述第一密钥；获得密钥轮替请求，该密钥轮替请求中携带有用户在请求轮替密钥时输入的原始密钥种子；在内存的配合下，根据所述密钥轮替请求携带的原始密钥种子生成第二密钥，并根据所述第二密钥和所述第一密钥密文，确定所述用户是否具有对所述第一密钥密文进行轮替的权限。

技术领域

本发明涉及信息技术领域，特别是涉及一种密钥管理方法、装置、电子设备及可读存储介质。

背景技术

相关技术中，用户在注册新账户期间，通常需要向系统输入密钥种子。系统根据用户输入的密钥种子生成密钥，并持久化存储该密钥。该密钥可用于加密其他密钥，也可以在开展业务期间，对业务数据进行签名或加解密。以金融系统为例，当某一商户(例如银行、证券公司或者保险公司等)需要在金融系统中注册商户级账户时，该商户的一个或多个管理员向金融系统输入密钥种子。金融系统根据各个管理员输入的密钥种子，生成密钥，并持久化存储该密钥。

此外，系统在生成密钥后，还会保存生成该密钥的密钥种子。保存的密钥种子至少用于支持后续可能发生的密钥轮替流程。然而，当保存密钥种子的数据库受到攻击，导致密钥种子泄露时，会对密钥安全性造成损害。

发明内容

本发明实施例的目的在于提供一种密钥管理方法、装置、电子设备及可读存储介质，旨在提高密钥管理的安全性。具体技术方案如下：

在本发明实施例的第一方面，提供一种密钥管理方法，所述方法包括：

获得密钥种子；

在内存的配合下，根据所述密钥种子生成第一密钥，并对所述第一密钥进行加密，得到第一密钥密文；

从内存中读出所述第一密钥密文，并持久化存储所述第一密钥密文，以及在内存中删除所述密钥种子和所述第一密钥；

获得密钥轮替请求，该密钥轮替请求中携带有用户在请求轮替密钥时输入的原始密钥种子；

在内存的配合下，根据所述密钥轮替请求携带的原始密钥种子生成第二密钥，并根据所述第二密钥和所述第一密钥密文，确定所述用户是否具有对所述第一密钥密文进行轮替的权限。

在本发明实施例的第二方面，提供一种密钥管理装置，所述装置包括：

密钥种子获得模块，用于获得密钥种子；

第一密钥生成模块，用于在内存的配合下，根据所述密钥种子生成第一密钥，并对所述第一密钥进行加密，得到第一密钥密文；

第一持久化存储模块，用于从内存中读出所述第一密钥密文，并持久化存储所述第一密钥密文，以及在内存中删除所述密钥种子和所述第一密钥；

密钥轮替请求获得模块，用于获得密钥轮替请求，该密钥轮替请求中携带有用户在请求轮替密钥时输入的原始密钥种子；

权限确定模块，用于在内存的配合下，根据所述密钥轮替请求携带的原始密钥种子生成第二密钥，并根据所述第二密钥和所述第一密钥密文，确定所述用户是否具有对所述第一密钥密文进行轮替的权限。

在本发明实施例的第三方面，提供一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

所述存储器，用于存放计算机程序；

所述处理器，用于在执行存储器上所存放的程序时，实现本发明任一实施例所提供的密钥管理方法。