[发明专利]一种设备秘钥安全管理方法及系统

权利要求书

1.一种设备秘钥安全管理方法，其特征在于，所述方法包括：

获取一组一级秘钥；

一级秘钥对至少一组二级秘钥进行加密，并将加密后的二级秘钥存储至数据库中；

每一组二级秘钥对至少一组业务秘钥进行加密，每一组业务秘钥加密至少一组设备秘钥，每一组被加密的设备秘钥与加密该设备秘钥的业务秘钥一起存储至数据库中。

2.如权利要求1所述的一种设备秘钥安全管理方法，其特征在于，所述方法还包括对一级秘钥的管理，包括一级秘钥的创建和移除；

在创建新的一级秘钥时，若存在旧的一级秘钥，删除旧一级秘钥。

3.如权利要求2所述的一种设备秘钥安全管理方法，其特征在于，所述对一级秘钥的管理还包括对一级秘钥的备份、转移和恢复。

4.如权利要求1所述的一种设备秘钥安全管理方法，其特征在于，所述二级秘钥为对称秘钥或非对称秘钥，二级秘钥包括秘钥元数据和秘钥材料。

5.如权利要求4所述的一种设备秘钥安全管理方法，其特征在于，所述二级秘钥执行轮询，具体包括：

每间隔预设时间扫描二级秘钥轮询状态，

若超出有效期，则生成新的秘钥材料，后续加密使用新的秘钥材料参与运算；

若没有超出有效期，后续加密则继续以原秘钥材料参与运算。

6.如权利要求5所述的一种设备秘钥安全管理方法，其特征在于，所述二级秘钥对业务秘钥加密方法具体包括：

对一级秘钥加密的二级秘钥解密，获取用于加密业务秘钥的二级秘钥；

对业务秘钥进行加密；

对附加数据进行加密；

组装加密后的业务秘钥和附加数据获得加密后的业务秘钥。

7.如权利要求6所述的一种设备秘钥安全管理方法，其特征在于，所述业务秘钥的解密方法为：

解密附加数据，获取加密算法和秘钥材料标识；

查询秘钥材料标识获取秘钥材料，解密二级秘钥；

以解密后的二级秘钥对业务秘钥进行解密获得业务秘钥。

8.如权利要求7所述的一种设备秘钥安全管理方法，其特征在于，所述二级秘钥在解密前进行有效期查询，若二级秘钥不在有效期内，则拒绝解密；若二级秘钥在有效期内，则允许解密。

9.一种设备秘钥安全管理系统，其特征在于，包括一级秘钥管理单元、二级秘钥管理单元、设备秘钥管理单元和数据库；其中，

一级秘钥管理单元，管理唯一一组一级秘钥，一级秘钥用于对二级秘钥进行加解密；

二级秘钥管理单元，管理二级秘钥，二级秘钥用于对业务秘钥进行加解密；

设备秘钥管理单元，管理设备秘钥；

二级秘钥加密后存储至数据库中，设备秘钥与加密该设备秘钥的业务秘钥一起存储至数据库中。

10.如权利要求9所述的一种设备秘钥安全管理系统，其特征在于，所述一级秘钥管理单元包括创建子单元、移除子单元、备份子单元、转移子单元和恢复子单元；其中，

创建子单元，用于创建新的一级秘钥；

移除子单元，用于移除一级秘钥；

备份子单元，用于备份一级秘钥；

转移子单元，用于转移一级秘钥；

恢复子单元，用于恢复一级秘钥。