用户密钥通过加密卡内主密钥加密保护,存储在服务器的硬盘中。使用时在内核态内存中使用主密钥解密并导入加密卡中执行密码运算,对外以密钥句柄方式访问。为签名验签服务器等服务器提供了一种安全高效的支持海量用户密钥的密钥管理方案,该方案可扩展性高,具有比较高的实用价值。
[0090]本发明实施例能够支持大量签名验签服务器的非临时密钥管理。该方案运行安全,效率高,无密钥数量限制,具有扩展性及实用性好等特点。
[0091]本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0092]通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬盘平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0093]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0094]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【主权项】
1.一种密钥管理方法,其特征在于,在服务器的存储单元中存储用户密钥密文数据,所述方法具体包括: 在内核态内存解密所述用户密钥密文数据得到用户密钥明文数据,生成每个用户密钥对应的用户密钥键值,在所述内核态内存中存储用户密钥明文数据,用户密钥键值和密钥句柄之间的绑定关系; 所述服务器接收输入的密钥句柄,根据所述密钥句柄查询所述内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述用户密钥键值在内核态内存中查找到对应的用户密钥; 将所述用户密钥和所述参数数据传输到所述服务器连接的加密卡中进行运算。2.根据权利要求1所述的密钥管理方法,其特征在于,所述的在服务器的存储单元中存储用户密钥数据,包括: 在加密卡中根据设定的密钥算法创建设定长度的系统公私钥对,将所述系统公私钥对存储在所述加密卡中的指定位置; 在所述加密卡中创建明文的用户密钥明文数据,使用所述系统公私钥对中的系统公钥加密所述用户密钥明文数据,得到用户密钥密文数据,将所述用户密钥密文数据存储在服务器的存储单元中。3.根据权利要求2所述的密钥管理方法,其特征在于,所述的在所述存储单元中存储用户密钥键值和密钥句柄之间的绑定关系,包括: 所述服务器系统启动后,读取存储单元中存储所有的用户密钥密文数据,将读取的所述用户密钥密文数据存储在服务器的内核态内存中,使用所述加密卡中存储的所述系统公私钥对中的系统私钥解密用户密钥密文数据,得到用户密钥明文数据; 生成每个用户密钥明文数据对应的用户密钥键值,对每个用户密钥键值依次做HASH运算,生成每个用户密钥键值对应的密钥句柄,在所述服务器的内核态内存中存储用户密钥键值和密钥句柄之间的绑定关系。4.根据权利要求3所述的密钥管理方法,其特征在于,所述的生成每个用户密钥数据对应的用户密钥键值,包括: 将用户密钥的使用用户的用户标识作为内核态内存中存储的用户密钥的文件名,将所述用户标识作为用户密钥键值,或者;将内核态内存中存储的用户密钥的存储地址作为用户密钥键值。5.根据权利要求3或4所述的密钥管理方法,其特征在于,所述的服务器接收输入的密钥句柄,根据所述密钥句柄查询所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述密钥句柄对应的用户密钥键值在所述存储单元中查找到对应的用户密钥,包括: 当用户需要使用用户密钥时,向内核态内存输入密钥句柄及参数数据,根据所述密钥句柄查询内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值; 在内核态内存中根据用户密钥键值查找对应的密钥数据,当所述用户密钥键值为用户标识时,在所述内核态内存中查找以所述用户密钥键值为文件名的用户密钥明文数据;当所述用户密钥键值为存储地址时,在所述内核态内存中查找存储在所述存储地址上的用户密钥明文数据; 所述服务器将所述参数数据和查找到的用户密钥明文数据传输给加密卡。6.一种密钥管理装置,其特征在于,包括:服务器和加密卡; 所述的服务器,用于在内核态内存解密所述用户密钥密文数据得到用户密钥明文数据,生成每个用户密钥对应的用户密钥键值,在所述内核态内存中存储用户密钥明文数据,用户密钥键值和密钥句柄之间的绑定关系;接收输入的密钥句柄,根据所述密钥句柄查询所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述密钥句柄对应的用户密钥键值在内核态内存中查找到对应的用户密钥;将所述用户密钥和所述参数数据传输给所述的加密卡; 所述的加密卡,用于和所述服务器连接,利用所述用户密钥对所述参数数据进行运算。7.根据权利要求6所述的密钥管理装置,其特征在于: 所述的加密卡,用于根据设定的密钥算法创建设定长度的系统公私钥对,将所述系统公私钥对存储在所述加密卡中的指定位置;创建用户密钥明文数据,使用所述系统公私钥对中的系统公钥加密所述用户密钥明文数据,得到用户密钥密文数据,将所述用户密钥密文数据传输给所述服务器; 所述服务器,用于在存储单元中存储用户密钥数据。8.根据权利要求7所述的密钥管理装置,其特征在于: 所述的服务器,用于在启动后,读取所述存储单元中存储的所有用户密钥密文数据,将读取的所述用户密钥密文数据存储在服务器的内核态内存中,使用所述加密卡中存储的所述系统公私钥对中的系统私钥解密用户密钥数据,得到用户密钥明文数据; 生成每个用户密钥明文数据对应的用户密钥键值,对每个用户密钥键值依次做HASH运算,生成每个用户密钥键值对应的密钥句柄,在所述内核态内存中存储用户密钥键值和密钥句柄之间的绑定关系。9.根据权利要求8所述的密钥管理装置,其特征在于: 所述的服务器,用于将用户密钥的使用用户的用户标识作为内核态内存中存储的用户密钥的文件名,将所述用户标识作为用户密钥键值,或者;将内核态内存中存储的用户密钥的存储地址作为用户密钥键值。10.根据权利要求8或9所述的密钥管理装置,其特征在于: 所述的服务器,用于当用户需要使用用户密钥时,通过内核态内存接收用户输入密钥句柄及参数数据,根据所述密钥句柄查询内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值; 在内核态内存中根据用户密钥键值查找对应的密钥数据,当所述用户密钥键值为用户标识时,在所述内核态内存中查找以所述用户密钥键值为文件名的用户密钥明文数据;当所述用户密钥键值为存储地址时,在所述内核态内存中查找存储在所述存储地址上的用户密钥明文数据; 将所述参数数据和查找到的用户密钥明文数据传输给加密卡。
【专利摘要】本发明实施例提供了一种密钥管理方法和装置。该方法主要包括:在服务器的存储单元中存储用户密钥密文数据,在内核态内存中存储用户密钥明文数据,用户密钥键值和密钥句柄之间的绑定关系;服务器接收输入的密钥句柄,根据所述密钥句柄查询内核态内存中存储的所述绑定关系,获取所述密钥句柄对应的用户密钥键值,根据所述用户密钥键值在内核态内存中查找到对应的用户密钥;将所述用户密钥和所述参数数据传输到所述服务器连接的加密卡中进行运算。本发明实施例为签名验签服务器等服务器提供了一种安全高效的支持海量用户密钥的密钥管理方案,该方案可扩展性高,具有比较高的实用价值。
【IPC分类】H04L9/32
【公开号】CN105553661
【申请号】CN201410594104
【发明人】王申, 郭向国
【申请人】航天信息股份有限公司
【公开日】2016年5月4日
【申请日】2014年10月29日