技术特征:
1.一种密钥数据安全管理装置,其特征在于,所述装置包括系统层和应用层,所述系统层包括密钥生成服务模块、密钥服务获取模块、密钥销毁服务模块、算法服务模块、密钥存储管理模块和存储器,所述应用层包括各种应用,其中:所述密钥生成服务模块根据用户输入的密钥信息,使用要求的算法生成或获得需要的密钥数据,将所述密钥数据通过所述密钥存储管理模块存储在所述存储器中,并根据存储结构生成密钥标识返回给所述应用;所述密钥服务获取模块根据用户输入的密钥标识获取存储在所述存储器中的密钥数据,并使用要求的算法服务和所述密钥数据进行算法运算,得到输出数据并返回给所述应用;所述密钥销毁服务模块根据用户输入的密钥标识,通过所述密钥存储管理模块将所述密钥标识对应的密钥数据信息清除,并将销毁结果返回给所述应用;所述算法服务模块用于为密钥生成/获取/销毁服务模块提供多种用于生成和使用密钥数据的算法;所述密钥存储管理模块用于管理密钥数据,具体包括将所述密钥生成服务模块生成的密钥数据存储在所述存储器中;根据用户输入的密钥标识从所述存储器中读取对应的密钥数据发送给所述密钥服务获取模块;根据用户输入的密钥标识将所述存储器中对应的密钥数据信息清除。2.根据权利要求1所述的密钥数据安全管理装置,其特征在于,所述密钥生成服务模块包括密钥生成服务api,用户通过所述密钥生成服务api输入所述密钥信息,所述密钥信息包括密钥生成信息和密钥导入信息两大类,其中:所述密钥生成信息包括生成密钥长度;所述密钥导入信息包括原始密钥或密钥派生数据,同时包括算法服务标识。3.根据权利要求2所述的密钥数据安全管理装置,其特征在于,所述密钥生成信息还包括密钥类型和/或算法服务标识。4.根据权利要求2或3所述的密钥数据安全管理装置,其特征在于,当密钥信息类型为密钥生成信息时,所述密钥生成服务模块根据所述密钥生成信息,使用要求的算法服务生成需要的密钥数据;当密钥信息类型为密钥导入信息时,所述密钥生成服务模块根据所述密钥导入信息,使用要求的算法服务对导入数据进行安全处理,获得密钥数据。5.根据权利要求1所述的密钥数据安全管理装置,其特征在于,所述密钥服务获取模块包括密钥服务获取api,用户通过所述密钥服务获取api输入所述密钥标识。6.根据权利要求1所述的密钥数据安全管理装置,其特征在于,所述密钥销毁服务模块包括密钥销毁服务api,用户通过所述密钥销毁服务api输入所述密钥标识。7.一种密钥数据安全管理的方法,包括密钥生成、密钥使用和密钥销毁阶段,其中密钥生成阶段包括以下步骤:s11、应用调用密钥生成服务模块中的密钥生成服务api,用户通过所述密钥生成服务api输入密钥信息;s12、密钥生成服务模块根据输入的密钥信息类型,使用要求的算法服务生成或获得需要的密钥数据;
s13、所述密钥生成服务模块将获得的所述密钥数据提交给密钥存储管理模块,所述密钥存储管理模块将密钥数据存入存储器,并根据存储结构生成密钥标识返回给所述应用;密钥使用阶段包括以下步骤:s21、应用调用密钥服务获取模块中的密钥服务获取api,用户通过所述密钥服务获取api输入密钥标识;s22、密钥服务获取模块根据输入的所述密钥标识,通过所述密钥存储管理模块获取密钥数据,并使用要求的算法服务和所述密钥数据进行算法运算,得到输出数据;s23、所述密钥服务获取模块将所述输出数据返回给所述应用;密钥销毁阶段包括以下步骤:s31、应用调用密钥销毁服务模块中的密钥销毁服务api,用户通过所述密钥销毁服务api输入密钥标识;s32、密钥销毁服务模块根据输入的所述密钥标识,通过所述密钥存储管理模块将所述密钥标识对应的密钥数据信息清除;s33、所述密钥销毁服务模块将销毁结果返回给所述应用。8.根据权利要求7所述的密钥数据安全管理方法,其特征在于,步骤s11中所述密钥信息包括密钥生成信息和密钥导入信息两大类,其中:所述密钥生成信息包括生成密钥长度;所述密钥导入信息包括原始密钥或密钥派生数据,同时包括算法服务标识。9.根据权利要求8所述的密钥数据安全管理方法,其特征在于,步骤s11中所述密钥生成信息还包括密钥类型和/或算法服务标识。10.根据权利要求8或9所述的密钥数据安全管理方法,其特征在于,步骤s12中具体为:当密钥信息类型为密钥生成信息时,密钥生成服务模块根据密钥生成信息,使用要求的算法服务生成需要的密钥数据;当密钥信息类型为密钥导入信息时,密钥生成服务模块根据密钥导入信息,使用要求的算法服务对导入数据进行安全处理,获得密钥数据。11.根据权利要求7所述的密钥数据安全管理方法,其特征在于,步骤s12中算法服务包括随机数生成、密钥协商或加解密。12.根据权利要求7所述的密钥数据安全管理方法,其特征在于,步骤s21中密钥服务获取api的输入数据还包括业务数据和/或算法服务标识。
技术总结
本发明涉及一种密钥数据安全管理装置及方法,属于信息安全技术领域,该装置系统层包括密钥生成服务模块、密钥服务获取模块、密钥销毁服务模块、算法服务模块、密钥存储管理模块和存储器,应用层包括应用。生成阶段应用调用密钥生成服务模块的API,密钥生成服务模块根据输入的密钥信息生成密钥,通过密钥存储管理模块存储在存储器中,并生成密钥标识返给应用;使用阶段应用调用密钥服务获取模块的API,密钥服务获取模块根据密钥标识获取密钥数据,运算得到输出数据返给应用;销毁阶段应用调用密钥销毁服务模块的API,密钥销毁服务模块根据密钥标识清除密钥数据。本发明能对安全装置中密钥数据的生成、使用和销毁进行全生命周期管理,保障密钥安全。保障密钥安全。保障密钥安全。
技术研发人员:刘源杰 徐俊江 郑江东
受保护的技术使用者:北京握奇智能科技有限公司
技术研发日:2022.03.31
技术公布日:2022/8/22