[发明专利]密钥管理服务系统、密钥管理方法、网关及设备

权利要求书

1.一种密钥管理服务系统，其特征在于，包括：密钥管理服务KMS网关和与所述KMS网关通信连接的至少一个专属KMS；其中，

所述KMS网关，用于获取密钥管理请求，在所述密钥管理请求对应一专属KMS时，则将所述密钥管理请求转发至所述专属KMS；

所述专属KMS，用于接收所述密钥管理请求，基于所述密钥管理请求调用与所述专属KMS相对应的专属密码机资源池，并利用所述专属密码机资源池进行密钥管理操作。

2.根据权利要求1所述的系统，其特征在于，所述专属KMS通信连接有专有网络的专有网关，所述专属KMS，还用于：

通过所述专有网关获取数据加解密请求；

基于所述数据加解密请求，调用所述专属密码机资源池生成与所述数据加解密请求相对应的数据密钥；

基于所述数据密钥进行数据的加解密操作。

3.根据权利要求1所述的系统，其特征在于，在所述KMS网关获取密钥管理请求之后，所述KMS网关还用于：

确定所述密钥管理请求所对应的请求类型以及请求所在网络；

在所述请求类型为预设管控请求，且所述请求所在网络为预设合法网络，则允许将所述密钥管理请求发送至所述专属KMS；

在所述请求类型为预设的密钥运算请求或密钥存储请求，或者，所述请求所在网络为非法网络时，则禁止将所述密钥管理请求发送至所述专属KMS。

4.根据权利要求1所述的系统，其特征在于，所述系统还包括与所述KMS网关通信连接的共享KMS；

所述KMS网关，还用于在获取密钥管理请求之后，将所述密钥管理请求发送至共享KMS；

所述共享KMS，用于接收所述密钥管理请求，并确定与所述密钥管理请求相对应的用户主密钥，将所述用户主密钥发送至所述KMS网关；

所述KMS网关，用于获取所述用户主密钥，并基于所述用户主密钥识别所述密钥管理请求是否对应一专属KMS。

5.根据权利要求4所述的系统，其特征在于，所述KMS网关，具体用于：

获取所述用户主密钥中的密钥元数据；

基于所述密钥元数据，确定所述密钥管理请求是否对应一专属KMS，且在所述密钥管理请求对应一专属KMS时，则基于所述密钥元数据确定与所述密钥管理请求相对应的专属KMS。

6.根据权利要求2所述的系统，其特征在于，在所述专属KMS通过所述专有网关获取数据加解密请求之前，或者，在所述专属KMS接收所述密钥管理请求之前，所述专属KMS还用于：

获取用户输入的与所述专属KMS相对应的凭证配置信息；

基于所述凭证配置信息，生成与所述专属KMS相对应的授权凭证；

对所述授权凭证进行保存，以对所述数据加解密请求或者所述密钥管理请求进行合法性识别。

7.根据权利要求2所述的系统，其特征在于，在所述专属KMS通过所述专有网关获取数据加解密请求之前，或者，在所述专属KMS接收所述密钥管理请求之前，所述专属KMS还用于：

获取用户输入的所述专属密码机资源池的配置信息；

基于所述配置信息，生成所述专属密码机资源池。

8.一种密钥管理方法，其特征在于，应用于密钥管理服务KMS网关，所述KMS网关通信连接有共享KMS和至少一个专属KMS；所述方法包括：

获取密钥管理请求；

通过所述共享KMS识别所述密钥管理请求是否对应一专属KMS；

在所述密钥管理请求对应一专属KMS时，则将所述密钥管理请求转发至所对应的专属KMS。