[发明专利]一种密钥管理方法、装置及电子设备和存储介质

说明书

本申请公开了一种密钥管理方法、装置及设备和介质，应用于密钥管理架构包括多级级联的多个密钥管理系统，每个上级密钥管理系统对应多个下级密钥管理系统；该方法包括：上级密钥管理系统为对应的下级密钥管理系统分别生成对应的互通主密钥下发至对应的下级密钥管理系统；上级密钥管理系统为对应的下级密钥管理系统分别生成对应的互通密钥，通过对应的互通主密钥加密保护后下发至对应的下级密钥管理系统；互通密钥用于对上级密钥管理系统与对应的下级密钥管理系统之间的数据加密密钥进行传输保护，数据加密密钥用于对上级密钥管理系统与对应的下级密钥管理系统之间的业务数据进行传输保护，实现了上级密钥管理系统对下级密钥管理系统的控制和管理。

技术领域

本申请涉及信息安全技术领域，更具体地说，涉及一种密钥管理方法、装置及一种电子设备和一种计算机可读存储介质。

背景技术

随着信息产业技术的发证，信息系统的云化，商用密码应用已经呈现多元化、融合化、泛在化的特点。商用密码也开始在各个重要行业进行探索，密码应用在合规的前提下，商用密码技术全面铺开，为信息系统提供统一的密码服务，满足密码泛在化的应用发展趋势，又满足系统“合规、正确、有效”使用密码的安全需求。

在测绘、交通、电力等领域，在信息化的过程中有明显的管理层级关系，比如中心管理各省的信息，省管理市、公司的信息，管理上呈现“单中心、多下级、层层管理”的树状特点。针对该类行业应用的密码改造，要求独立的在各个下级进行密钥管理系统的建设，以统一管理该下级区域内的密钥资源，但对上下级之间、同一层级的兄弟下级之间的密钥级联管理及加密信息互通管理，没有统一要求，一般密钥管理上相互隔离，信息跨域继续沿用明文传输，到达目标下级后重新加密的方式解决信息跨域访问的问题，或采用线下同步明文密钥的方式提前同步数据加密密钥，又或采用VPN设备构建虚拟专用网进行传输。

在相关技术中，中心端及各个地方端的密钥管理系统相互独立，建设独立、使用独立、管理独立，中心端无法对各个下级密管进行统一管理，下级密管也不感知上级或中心密管的存在，造成业务上的统属管理关系，在密钥管理体系中失效。上级密钥管理系统无法感知和控制下级密钥管理系统的互通关系，会造成加密数据的流通管理混乱，缺乏集中管理下级的互通性手段，无法应对常规化的数据流通管理需求。

因此，如何实现上级密钥管理系统对下级密钥管理系统的控制和管理是本领域技术人员需要解决的技术问题。

发明内容

本申请的目的在于提供一种密钥管理方法、装置及一种电子设备和一种计算机可读存储介质，实现了上级密钥管理系统对下级密钥管理系统的控制和管理。

为实现上述目的，本申请提供了一种密钥管理方法，应用于密钥管理架构，所述密钥管理架构包括多级级联的多个密钥管理系统，每个上级密钥管理系统对应多个下级密钥管理系统；所述方法包括：

上级密钥管理系统为对应的下级密钥管理系统分别生成对应的互通主密钥，并下发至对应的下级密钥管理系统；

上级密钥管理系统为对应的下级密钥管理系统分别生成对应的互通密钥，并通过对应的互通主密钥加密保护后下发至对应的下级密钥管理系统；其中，所述互通密钥用于对所述上级密钥管理系统与对应的下级密钥管理系统之间的数据加密密钥进行传输保护，所述数据加密密钥用于对所述上级密钥管理系统与对应的下级密钥管理系统之间的业务数据进行传输保护。

其中，所述上级密钥管理系统为对应的下级密钥管理系统分别生成对应的互通主密钥，并下发至对应的下级密钥管理系统，包括：

当上级密钥管理系统接收到下级密钥管理系统发送的申请互通主密钥的请求时，为所述下级密钥管理系统生成对应的互通主密钥；

利用所述下级密钥管理系统的公钥对所述互通主密钥进行加密后，通过离线的方式下发至所述下级密钥管理系统。