[发明专利]密钥轮换不影响原密码加解密的方法

说明书

本发明公开了一种密钥轮换不影响原密码加解密的方法，包括：客户端进行初始化，将客户端信息和当前组的密钥信息发送至服务端；服务端查询对应当前组的所有密钥信息，并判断服务端的最新组版本号与客户端的组版本号是否一致，一致则完成请求，不一致则将最新组的全量密钥信息同步至客户端；在接收到密文解密操作请求时，查询客户端中对应的密钥信息，若能够正常查询到，则获取密钥进行解密，若查询不到，则向服务端发起解密请求；服务端根据密钥参数，将对应密钥信息返回至客户端进行解密，并针对解密后的密钥的权重进行优先级滑动操作。通过本发明的技术方案，在密钥发生轮换后依然能够实现成功解密，保证了数据安全。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种密钥轮换不影响原密码加解密的方法。

背景技术

根据网络安全等级保护制度的规定，信息系统的密钥，需要定期或者不定期进行密钥更换。

但是传统的密钥更换，会导致使用过往密钥加密数据无法在密钥更换之后完成解密，导致大量的数据迁移工作、同时也存在应用修改的工作量，而且无法有效做到统一管控，无法判断是否密钥已经更换完成。

发明内容

针对上述问题，本发明提供了一种密钥轮换不影响原密码加解密的方法，通过客户端与服务端的通信，在密钥发生轮换后，将服务端的密钥变化信息同步至客户端，使得密钥轮换后使用密钥加密的密文依然能够实现成功解密，保证了数据安全。

为实现上述目的，本发明提供了一种密钥轮换不影响原密码加解密的方法，包括：客户端在接收到加解密请求时进行初始化，将客户端信息和当前组的密钥信息发送至服务端；所述服务端查询对应当前组的所有密钥信息，并根据所述密钥信息判断所述服务端的最新组版本号与所述客户端的组版本号是否一致，若一致，则返回此次请求，若不一致，则将所述服务端中最新组的全量密钥信息同步至所述客户端；在所述客户端接收到密文解密操作请求时，根据密文查询所述客户端中对应的密钥信息，若能够正常查询到，则直接获取密钥进行解密处理，若查询不到，则向所述服务端发起解密请求；所述服务端根据所述解密请求中的密钥参数，将对应的密钥信息返回至所述客户端进行解密处理，并针对解密处理后的密钥的权重进行优先级滑动操作。

在上述技术方案中，优选地，所述客户端在初始化时开启心跳，在心跳内实现密钥信息中组版本号与服务端最新组版本号的一致性判断。

在上述技术方案中，优选地，所述客户端在初始化过程中向所述服务端发送的密钥信息包括组名称和组版本号，所述组版本号由当前组下的所有密钥的版本号叠加而成。

在上述技术方案中，优选地，所述服务端查询对应当前组的所有密钥信息，并根据所述密钥信息判断所述服务端的最新组版本号与所述客户端的组版本号是否一致的具体操作包括：

所述服务端根据所述客户端发送来的密钥信息中的组名称，在缓存中查询与当前组名称对应的所有密钥信息；将查询到的所有密钥的版本号叠加，形成最新组版本号；将所述最新组版本号与所述客户端发送来的密钥信息中的组版本号相对比，判断是否一致。

在上述技术方案中，优选地，所述全量密钥信息中包括组名称、Hash信息和密钥ID，所述Hash信息为密钥ID与对应密钥版本组合而成的密钥，所述密钥ID为对应当前最新版本的密钥。

在上述技术方案中，优选地，所述客户端接收到密文解密操作请求时，根据所述密文解析所述客户端中由所述服务端同步来的全量密钥信息；若在所述全量密钥信息中能够查询到与所述密文相对应的Hash信息，则以所述Hash信息的密钥进行解密处理，若无法查询到相对应的Hash信息，则依据对应的客户端信息、组名称和Hash信息向所述服务端发起解密请求。

在上述技术方案中，优选地，所述服务端设置有密钥权重滑动表，包括密钥标识及对应密钥的密钥版本、密钥值、Hash信息、权重和滑动时间，所述密钥权重滑动表用于根据密钥的权重和滑动时间实现不同版本密钥的使用频率调整。