数据加密密钥的管理方法、系统及终端的制作方法

文档序号:7555773阅读:136来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:数据加密密钥的管理方法、系统及终端的制作方法
技术领域
本发明实施例涉及信息安全领域,并且更具体地,涉及一种数据加密密钥的管理方法及系统、加密业务管理系统和终端。
背景技术
云计算是信息技术发展历程的一次革命,其特点是计算和存储资源动态可配,提高了资源的使用效率,同时便于资源的统一管理。但是,在云计算场景中,用户将计算和存储资源搬迁到运营商提供的云计算服务器上,丧失了对其数据的安全控制,会导致数据安全问题的产生。例如,管理员可以挂接任意用户的虚拟磁盘,偷窥用户隐私。

为提高云中数据的安全性,运营商提供了对云中数据的加密方案。该加密方案使用对称加密方式对用户数据进行加密,同时使用电子密钥(例如,可以是Ukey)对数据加密密钥进行保护。电子密钥采用的是非对称加密方式,即通过电子密钥证书中的公私钥对数据加密密钥加密进行加解密,可增强数据加密密钥的安全性。证书颁发机构(CA, Certificate Authority)中存储了电子密钥证书的公私钥。当用户的电子密钥丢失时,用户首先需要向CA申请新电子密钥;在CA验证用户身份后,用户的加密系统通过与CA之间的定制接口取回丢失的电子密钥证书以及CA颁发的新电子密钥的证书,接着使用丢失的电子密钥证书中的私钥解密数据加密密钥(该数据加密密钥通过丢失的电子密钥证书的公钥进行了加密保护),再通过新电子密钥证书的公钥对该数据加密密钥重新进行加密保护。利用上述加密方案,企业需修改企业已有CA的接口以便与上述数据加密系统对接,或者重新购买满足上述功能的CA,会出现CA重复投资问题,且加密业务独立性差,云服务提供商需要跟各个企业的CA进行对接。

发明内容
本发明实施例提供了一种数据加密密钥的管理方法、系统及终端,以避免CA的重复投资问题,并增强加密业务的独立性。第一方面,提供一种数据加密密钥的管理方法,包括:接收第一终端发送的数据加密密钥托管请求,其中所述数据加密密钥托管请求携带第一密钥,所述第一密钥通过使用第二公钥加密第三密钥而获得,所述第二公钥为加密机的公钥,所述第三密钥为所述第一终端的数据的加密密钥;存储所述第一密钥。结合第一方面,在第一方面的一种实现方式中,还包括:接收请求所述数据的加密密钥的终端发送的请求,所述请求包括所述终端的电子密钥证书的公钥;通过所述加密机使用所述电子密钥证书的公钥对所述第三密钥进行加密;将加密后的所述第三密钥发送给所述终端。结合第一方面或其上述实现方式,在第一方面的另一种实现方式中,在接收第一终端发送的数据加密密钥托管请求之前,还包括:接收所述第一终端发送的数据加密密钥请求,其中所述数据加密密钥请求携带第四公钥,所述第四公钥为所述第一终端的电子密钥证书的公钥;向所述加密机发送所述第四公钥;接收所述加密机发送的第五密钥,所述第五密钥通过所述加密机生成所述第三密钥后使用所述第四公钥加密所述第三密钥而获得;向所述第一终端发送所述第五密钥,以便所述第一终端使用第四私钥解密所述第五密钥得到所述第三密钥,其中所述第四私钥为所述第一终端的电子密钥证书的私钥。结合第一方面或其上述实现方式中的任一种,在第一方面的另一种实现方式中,所述接收请求所述数据的加密密钥的终端发送的请求,包括:接收第二终端发送的用于访问所述第一终端数据的访问请求,其中所述访问请求中携带第六公钥,所述第六公钥为所述第二终端的电子密钥证书的公钥,所述数据为共享数据;所述通过所述加密机使用所述电子密钥证书的公钥对所述第三密钥进行加密,包括:向所述加密机发送所述第一密钥以及所述第六公钥,以便所述加密机使用第二私钥解密所述第一密钥以获得所述第三密钥,并使用所述第六公钥加密所述第三密钥生成第七密钥,其中所述第二私钥为所述加密机的私钥;接收所述加密机发送的所述第七密钥;所述将加密后的所述第三密钥发送给所述终端,包括:向所述第二终端发送所述第七密钥,以便所述第二终端使用第六私钥解密所述第七密钥而获得所述第三密钥,其中所述第六私钥为所述第二终端的电子密钥证书的私钥。结合第一方面或其上述实现方式中的任一种,在第一方面的另一种实现方式中,当所述第一终端的电子密钥丢失时,所述方法还包括:接收所述第一终端发送的数据加密密钥恢复请求,其中所述数据加密密钥恢复请求携带第八公钥,所述第八公钥为所述第一终端的新电子密钥证书的公钥;向所述加密机发送所述第一密钥以及所述第八公钥,以便所述加密机使用第二私钥解密所述第一密钥以获得所述第三密钥,并使用所述第八公钥加密所述第三密钥以获得第九密钥,其中所述第二私钥为所述加密机的私钥;接收所述加密机发送的所述第九密钥;向所述第一终端发送所述第九密钥而获得所述第三密钥,以便所述第一终端根据第八私钥解密所述第九密钥,其中所述第八私钥为所述新电子密钥证书的私钥。结合第一方面或其上述实现方式中的任一种,在第一方面的另一种实现方式中,当所述第一终端的电子密钥丢失时,所述接收请求所述数据的加密密钥的终端发送的请求,包括:接收所述第一终端发送的数据加密密钥恢复请求,其中所述数据加密密钥恢复请求携带第八公钥,所述第八公钥为所述第一终端的新电子密钥证书的公钥;所述通过所述加密机使用所述电子密钥证书的公钥对所述第三密钥进行加密,包括:向所述加密机发送所述第一密钥以及所述第八公钥,以便所述加密机使用第二私钥解密所述第一密钥以获得所述第三密钥,并使用所述第八公钥加密所述第三密钥以获得第九密钥,其中所述第二私钥为所述加密机的私钥;接收所述加密机发送的所述第九密钥;所述将加密后的所述第三密钥发送给所述终端,包括:向所述第一终端发送所述第九密钥,以便所述第一终端根据第八私钥解密所述第九密钥而获得所述第三密钥,其中所述第八私钥为所述新电子密钥证书的私钥。第二方面,提供一种数据加密密钥的管理方法,包括:第一终端使用第二公钥加密第三密钥以获得第一密钥,所述第二公钥为加密机的公钥,所述第三密钥为所述第一终端的数据的加密密钥;所述第一 终端向加密业务管理系统发送携带所述第一密钥的数据加密密钥托管请求,以便所述加密业务管理系统存储所述第一密钥。
结合第二方面,在第二方面的一种实现方式中,在所述第一终端使用第二公钥加密第三密钥以获得第一密钥之前,还包括:所述第一终端向所述加密业务管理系统发送数据加密密钥请求,其中所述数据加密密钥请求携带第四公钥,所述第四公钥为所述第一终端的电子密钥证书的公钥;所述第一终端接收所述加密业务管理系统发送的第五密钥;所述第一终端使用第四私钥解密所述第五密钥,以获取所述第三密钥,其中所述第四私钥为所述第一终端的电子密钥证书的私钥。结合第二方面或其上述实现方式中的任一种,在第二方面的另一种实现方式中,第二终端的数据为共享数据,所述方法还包括:所述第一终端向所述加密业务管理系统发送用于访问所述第二终端的数据的访问请求,所述访问请求中携带所述第四公钥,其中所述第二终端的数据为共享数据;所述第一终端接收所述加密业务管理系统发送的第十密钥,以便所述第一终端使用所述第四私钥解密所述第十密钥以获得第十一密钥,其中所述第十一密钥为所述第二终端的数据的加密密钥;所述第一终端利用所述第十一密钥解密所述第二终端的数据。结合第二方面或其上述实现方式,在第二方面的另一种实现方式中,当所述第一终端的电子密钥丢失时,所述方法还包括:所述第一终端读取第八公钥,所述第八公钥为所述第一终端的新电子密钥证书的公钥;所述第一终端向所述加密业务管理系统发送数据加密密钥恢复请求,所述数据加密密钥恢复请求携带所述第八公钥,以便所述加密业务管理系统通过所述加密机获得第九密钥,其中所述第九密钥通过所述第八公钥加密所述第三密钥而获得;所述第一终端接收所述加密业务管理系统发送的所述第九密钥,以便所述第一终端使用第八私钥解密所述第九密钥而得到所述第三密钥,其中所述第八私钥为所述第一终端的新电子密钥证书的私钥。第三方面,提供一种数据加密密钥的管理方法,包括:第一终端向加密业务管理系统发送用于访问第二终端数据的访问请求,其中所述访问请求中携带第四公钥,所述第四公钥为所述第一终端的电子密钥证书的公钥,所述第二终端的数据为共享数据;所述第一终端接收所述加密业务管理系统发送的第十密钥,以便所述第一终端通过第四私钥解密所述第十密钥而获得第十一密钥,其中所述第四私钥为所述第一终端的电子密钥证书的私钥,所述第十一密 钥为所述第二终端的数据的加密密钥。第四方面,提供一种加密业务管理系统,包括:接收单元,用于接收第一终端发送的数据加密密钥托管请求,其中所述数据加密密钥托管请求携带第一密钥,所述第一密钥通过使用第二公钥加密第三密钥而获得,所述第二公钥为加密机的公钥,所述第三密钥为所述第一终端的数据的加密密钥;存储单元,用于存储所述第一密钥。结合第四方面,在第四方面的一种实现方式中,所述接收单元还用于接收所述第一终端发送的数据加密密钥请求,其中所述数据加密密钥请求携带第四公钥,所述第四公钥为所述第一终端的电子密钥证书的公钥;所述加密业务管理系统还包括:第一发送单元,用于向所述加密机发送所述第四公钥;所述接收单元还用于接收所述加密机发送的第五密钥,所述第五密钥通过所述加密机生成所述第三密钥后使用所述第四公钥加密所述第三密钥而获得;所述加密业务管理系统还包括:第二发送单元,用于向所述第一终端发送所述第五密钥得到所述第三密钥,以便所述第一终端使用第四私钥解密所述第五密钥,其中所述第四私钥为所述第一终端的电子密钥证书的私钥。
结合第四方面或其上述实现方式,在第四方面的另一种实现方式中,所述第一终端的数据为共享数据,所述接收单元还用于接收第二终端发送的用于访问所述第一终端数据的访问请求,其中所述访问请求中携带第六公钥,所述第六公钥为所述第二终端的电子密钥证书的公钥;所述加密业务管理系统还包括:第三发送单元,用于向所述加密机发送所述第一密钥以及所述第六公钥,以便所述加密机使用第二私钥解密所述第一密钥以获得所述第三密钥,并使用所述第六公钥加密所述第三密钥生成第七密钥,其中所述第二私钥为所述加密机的私钥;所述接收单元还用于接收所述加密机发送的所述第七密钥,其中所述第七密钥通过所述加密机使用所述第六公钥加密所述第三密钥而获得;所述加密业务管理系统还包括:第四发送单元,用于向所述第二终端发送所述第七密钥,以便所述第二终端使用第六私钥解密所述第七密钥而获得所述第三密钥,其中所述第六私钥为所述第二终端的电子密钥证书的私钥。结合第四方面或其上述实现方式中的任一种,在第四方面的另一种实现方式中,当所述第一终端的电子密钥丢失时,所述接收单元还用于接收所述第一终端发送的数据加密密钥恢复请求,其中所述数据加密密钥恢复请求携带第八公钥,所述第八公钥为所述第一终端的新电子密钥证书的公钥;所述加密业务管理系统还包括:第五发送单元,用于向所述加密机发送所述第一密钥以及所述第八公钥,以便所述加密机使用第二私钥解密所述第一密钥以获得所述第三密钥,并使用所述第八公钥加密所述第三密钥以获得第九密钥,其中所述第二私钥为所述加密机的私钥;所述接收单元还用于接收所述加密机发送的所述第九密钥;所述加密业务管理系统还包括:第六发送单元,用于向所述第一终端发送所述第九密钥,以便所述第一终端根据第八私钥解密所述第九密钥而获得所述第三密钥,其中所述第八私钥为所述新电子密钥证书的私钥。第五方面,提供·一种终端,包括:加解密单元,用于使用第二公钥加密第三密钥以获得第一密钥,所述第二公钥为加密机的公钥,所述第三密钥为所述终端的数据的加密密钥;发送单元,用于向加密业务管理系统发送携带所述第一密钥的数据加密密钥托管请求,以便所述加密业务管理系统存储所述第一密钥。结合第五方面,在第五方面的一种实现方式中,所述发送单元还用于向所述加密业务管理系统发送数据加密密钥请求,其中所述数据加密密钥请求携带第四公钥,所述第四公钥为所述终端的电子密钥证书的公钥;所述终端还包括:第一接收单元,用于接收所述加密业务管理系统发送的第五密钥;所述加解密单元还用于使用第四私钥解密所述第五密钥,以获取所述第三密钥,其中所述第四私钥为所述终端的电子密钥证书的私钥。结合第五方面或其上述实现方式,在第五方面的另一种实现方式中,第二终端的数据为共享数据,所述发送单元还用于向所述加密业务管理系统发送用于访问所述第二终端数据的访问请求,所述访问请求中携带所述第四公钥,其中所述第二终端的数据为共享数据;所述终端还包括:第二接收单元,用于接收所述加密业务管理系统发送的第十密钥,以便所述终端使用所述第四私钥解密所述第十密钥以获得第十一密钥,其中所述第十一密钥为所述第二终端的数据的加密密钥;所述加解密单元利用所述第十一密钥解密所述第二终端的数据。结合第五方面或其上述实现方式中的任一种,在第五方面的另一种实现方式中,当所述终端的电子密钥丢失时,所述终端还包括:读取单元,用于读取第八公钥,所述第八公钥为所述终端的新电子密钥证书的公钥;所述发送单元还用于向所述加密业务管理系统发送数据加密密钥恢复请求,所述数据加密密钥恢复请求携带所述第八公钥,以便所述加密业务管理系统通过所述加密机获得第九密钥,其中所述第九密钥通过所述第八公钥加密所述第三密钥而获得;所述终端还包括:第三接收单元,用于接收所述加密业务管理系统发送的所述第九密钥,以便所述终端使用第八私钥解密所述第九密钥而得到所述第三密钥,其中所述第八私钥为所述终端的新电子密钥证书的私钥。第六方面,提供一种终端,包括:发送单元,用于向加密业务管理系统发送用于访问第二终端数据的访问请求,其中所述访问请求中携带第四公钥,所述第四公钥为所述终端的电子密钥证书的公钥,所述第二终端的数据为共享数据;接收单元,用于接收所述加密业务管理系统发送的第十密钥,以便所述终端通过第四私钥解密所述第十密钥而获得第十一密钥,其中所述第四私钥为所述终端的电子密钥证书的私钥,所述第十一密钥为所述第二终端的数据的加密密钥。本发明实施例中,可以通过使用加密机的公钥对终端的数据的加密密钥进行加密,将终端的数据加密密钥托管至加密业务管理系统中,便于企业内终端的数据加密密钥的统一管理,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。


为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本发明一个实施例的数据加密密钥管理系统的结构示意图。图2是本发明一个实施例的数据加密密钥的管理方法的示意性流程图。图3是本发明另一个实 施例的数据加密密钥的管理方法的示意性流程图。图4是本发明另一个实施例的数据加密密钥的管理方法的示意性流程图。图5是本发明一个实施例的数据加密密钥的托管流程的示意性流程图。图6是本发明另一个实施例的数据加密密钥的托管流程的示意性流程图。图7是本发明一个实施例的电子密钥丢失时的密钥恢复流程的示意性流程图。图8是本发明一个实施例的多用户共享加密数据流程的示意性流程图。图9是本发明一个实施例的加密业务管理系统的框图。图10是本发明一个实施例的终端的框图。图11是本发明另一个实施例的终端的框图。图12是本发明另一个实施例的加密业务管理系统的框图。图13是本发明另一个实施例的终端的框图。图14是本发明另一个实施例的终端的框图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。图1是本发明一个实施例的数据加密密钥管理系统的结构示意图。图1的数据加密密钥管理系统包括加密业务管理系统110、终端A120和终端B130。上述终端采用电子密钥对数据加密密钥进行加密保护,而电子密钥的证书由CA颁发。应理解,图1以数据加密密钥管理系统100中包含两个终端(终端A120和终端B130)为例进行说明,本发明实施例并不限于此,可以是任意数目的终端。终端A120与终端B130均将各自的数据加密密钥托管至加密业务管理系统110,托管时,终端A和终端B均通过加密机140的公钥对各自托管的密钥进行加密保护。以终端A120的电子密钥I丢失为例说明该管理系统100的密钥恢复流程:当终端A120的电子密钥I丢失时,终端A120首先申请新电子密钥,然后向加密业务管理系统110发送密钥恢复请求,并将该新电子密钥证书的公钥携带在该请求中,此时,加密业务管理系统110通过加密机140完成终端A120的数据加密密钥的解密(使用加密机140的私钥解密)和重新加密(使用上述新电子密钥证书的公钥),并将重新加密后的密钥传回终端A120。从上述密钥恢复流程可以看出,整个过程完全与CA解耦,避免了 CA重复投资,增强了加密业务的独立性。同时,加密业务管理系统并没有得到终端的数据加密密钥的明文,终端的明文形式的数据加密密钥仅在加密机中出现,保障了终端的数据加密密钥的安全性和隐私性。可选地,数据加密密钥管理系统100还可包括密钥备份系统150,将托管的密钥备份至该密钥备份系统150并定期进行更新,以便加密业务管理系统110被破坏时,对托管其中的密钥进行恢复。上述加密机140可以是一个独立`的第三方实体,可选地,也可以在加密业务管理系统110中增加一个加密单元来实现上述加密机140的功能。图2是本发明一个实施例的数据加密密钥的管理方法的示意性流程图。图2的方法可以由图1中的加密业务管理系统110执行。210、接收第一终端发送的数据加密密钥托管请求,其中数据加密密钥托管请求携带第一密钥,第一密钥通过使用第二公钥加密第三密钥而获得,第二公钥为加密机的公钥,第三密钥为第一终端的数据的加密密钥。220、存储第一密钥。本发明实施例中,通过将终端的数据加密密钥托管至加密业务管理系统中,便于企业内终端的数据加密密钥的统一管理,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。上述第三密钥可以由第一终端自己生成(如利用第一终端中的加密单元),也可以由上述加密机生成,当该数据加密密钥由加密机生成时,图2的方法还可包括:接收第一终端发送的数据加密密钥请求,其中数据加密密钥请求携带第四公钥,第四公钥为第一终端的电子密钥证书的公钥;向加密机发送第四公钥;接收加密机发送的第五密钥,第五密钥通过加密机生成第三密钥后使用第四公钥加密第三密钥而获得;向第一终端发送第五密钥,以便第一终端使用第四私钥解密第五密钥得到第三密钥,其中第四私钥为第一终端的电子密钥证书的私钥。可选地,图2的方法还可包括:接收请求数据的加密密钥的终端发送的请求,所述请求包括该终端的电子密钥证书的公钥;通过加密机使用该电子密钥证书的公钥对上述第三密钥进行加密;将加密后的所述第三密钥发送给所述终端。应理解,该终端可以是第一终端,如第一终端的电子密钥丢失,请求数据加密密钥恢复;该终端也可以是第二终端,如第一终端的数据为共享数据,第二终端获取第一终端的数据加密密钥后可以访问第一终端的数据。根据本发明的实施例,当终端的电子密钥丢失或其它终端需要共享该终端的数据时,可通过加密业务管理系统恢复或获取该终端的数据加密密钥,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。另外,在现有技术中,CA颁发的证书具有唯一性,所以利用电子密钥证书的公钥保护的密钥只有电子密钥的拥有 者可以解密,这样多用户无法共享数据资源。可选地,第一终端的数据为共享数据,上述接收请求所述数据的加密密钥的终端发送的请求可包括:接收第二终端发送的用于访问第一终端数据的访问请求,其中访问请求中携带第六公钥,第六公钥为第二终端的电子密钥证书的公钥,该数据为共享数据;向加密机发送第一密钥以及第六公钥,以便加密机使用第二私钥解密第一密钥以获得第三密钥,并使用第六公钥加密第三密钥生成第七密钥,其中第二私钥为加密机的私钥;接收加密机发送的第七密钥;所述将加密后的所述第三密钥发送给所述终端,包括:向第二终端发送第七密钥,以便第二终端使用第六私钥解密第七密钥而获得第三密钥,其中第六私钥为第二终端的电子密钥证书的私钥。本发明实施例通过加密业务管理系统托管终端的数据加密密钥,当该终端的数据为可共享数据时,其他终端可通过数据加密业务管理系统获得该终端的数据加密密钥,从而实现了多用户共享加密数据。可选地,作为另一个实施例,当第一终端的电子密钥丢失时,接收请求数据的加密密钥的终端发送的请求可包括:接收第一终端发送的数据加密密钥恢复请求,其中数据加密密钥恢复请求携带第八公钥,第八公钥为第一终端的新电子密钥证书的公钥;通过加密机使用电子密钥证书的公钥对第三密钥进行加密,包括:向加密机发送第一密钥以及第八公钥,以便加密机使用第二私钥解密第一密钥以获得第三密钥,并使用第八公钥加密第三密钥以获得第九密钥,其中第二私钥为加密机的私钥;接收加密机发送的第九密钥;将加密后的第三密钥发送给终端,包括:向第一终端发送第九密钥,以便第一终端根据第八私钥解密第九密钥而获得第三密钥,其中第八私钥为新电子密钥证书的私钥。可选地,作为一个实施例,当第一终端的电子密钥丢失时,图2的方法还可包括:接收第一终端发送的数据加密密钥恢复请求,其中数据加密密钥恢复请求携带第八公钥,第八公钥为第一终端的新电子密钥证书的公钥;向加密机发送第一密钥以及第八公钥,以便加密机使用第二私钥解密第一密钥以获得第三密钥,并使用第八公钥加密第三密钥以获得第九密钥,其中第二私钥为加密机的私钥;接收加密机发送的第九密钥;向第一终端发送第九密钥,以便第一终端根据第八私钥解密第九密钥,其中第八私钥为新电子密钥证书的私钥。上文中结合图2,从加密业务管理系统的角度详细描述了根据本发明实施例的数据加密密钥的管理方法,下面将结合图3和图4,从终端的角度描述根据本发明实施例的数据加密密钥的管理方法。应理解,终端侧描述的加密业务管理系统与终端的交互及相关特性、功能与加密业务管理系统侧的描述相应,为了简洁,适当省略重复的描述。图3是本发明另一个实施例的数据加密密钥的管理方法的示意性流程图。图3的方法可以由第一终端执行,第一终端可以是图1中的终端A120或终端B130执行。310、第一终端使用第二公钥加密第三密钥以获得第一密钥,第二公钥为加密机的公钥,第三密钥为第一终端的数据的加密密钥。320、第一终端向加密业务管理系统发送携带第一密钥的数据加密密钥托管请求,以便加密业务管理系统存储第一密钥。本发明实施例中,通过将终端的数据加密密钥托管至加密业务管理系统中,便于企业内终端的数据加密密钥的统一管理,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。需要说明的是,本发明实施例对终端获取上述第二公钥的具体方式不作限定,例如,加密业务管理系统在检测到有新的终端上线时,就将加密机的公钥发送至该新上线的终端;也可以是当终端需要对数据进行加密时,加密业务管理系统将加密机的公钥发送至该终端。加密业务管理系统可以直接从从加密机读取该加密机的公钥。应理解,本发明实施例对步骤310中的第三密钥的获取方式不作限定,可选地,可以第一终端自己生成上述第三密钥。

可选地,作为另一实施例,图3的方法还包括:向加密业务管理系统发送用于请求数据的加密密钥的请求,该请求包括终端的电子密钥证书的公钥,其中加密业务管理系统通过加密机使用电子密钥证书的公钥对第三密钥进行加密;并且从加密业务管理系统接收加密后的所述第三密钥。。应理解,该终端可以是第一终端,如第一终端的电子密钥丢失,请求数据加密密钥恢复;该终端也可以是第二终端,如第一终端的数据为共享数据,第二终端获取第一终端的数据加密密钥后可以访问第一终端的数据。根据本发明的实施例,当终端的电子密钥丢失或其它终端需要共享该终端的数据时,可通过加密业务管理系统恢复或获取该终端的数据加密密钥,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。可选地,作为另外一个实施例,第一终端向加密业务管理系统发送数据加密密钥请求,其中数据加密密钥请求携带第四公钥,第四公钥为第一终端的电子密钥证书的公钥;第一终端接收加密业务管理系统发送的第五密钥;第一终端使用第四私钥解密第五密钥,以获取第三密钥,其中第四私钥为第一终端的电子密钥证书的私钥。第一终端还可获取第二终端的可共享数据(第一终端为图1中终端A120执行,第二终端为图1中的终端B130,且第二终端的数据为可共享数据),具体步骤可包括:第一终端向加密业务管理系统发送用于访问第二终端数据的访问请求,访问请求中携带第四公钥;第一终端接收加密业务管理系统发送的第十密钥,以便第一终端使用第四私钥解密第十密钥以获得第十一密钥,其中第十一密钥为第二终端的数据的加密密钥;第一终端利用第十一密钥解密第二终端的数据。本发明实施例通过加密业务管理系统托管终端的数据加密密钥,当该终端的数据为可共享数据时,其他终端可通过数据加密业务管理系统获得该终端的数据加密密钥,从而实现了多用户共享加密数据。当第一终端的电子密钥丢失时,图3的方法还包括:第一终端读取第八公钥,第八公钥为第一终端的新电子密钥证书的公钥;第一终端向加密业务管理系统发送数据加密密钥恢复请求,数据加密密钥恢复请求携带第八公钥,以便加密业务管理系统通过加密机获得第九密钥,其中第九密钥通过第八公钥加密第三密钥而获得;第一终端接收加密业务管理系统发送的第九密钥,以便第一终端使用第八私钥解密第九密钥而得到所述第三密钥,其中第八私钥为第一终端的新电子密钥证书的私钥。图4是本发明另一个实施例的数据加密密钥的管理方法的示意性流程图。图4的方法可以由第一终端执行,例如可以是图1中的终端A120或终端B130。图4的方法包括如下步骤。410、第一终端向加密业务管理系统发送用于访问第二终端数据的访问请求,其中访问请求中携带第四公钥,第四公钥为第一终端的电子密钥证书的公钥,第二终端的数据为共享数据。420、第一终端接收加密业务管理系统发送的第十密钥,以便第一终端通过第四私钥解密第十密钥而获得第十一密钥,其中第四私钥为第一终端的电子密钥证书的私钥,第i^一密钥为第二终端的数据的加密密钥。本发明实施例通过加密业务管理系统托管终端的数据加密密钥,当该终端的数据为可共享数据时,其他终端可通过数据加密业务管理系统获得该终端的数据加密密钥,从而实现了多用户共享加密数据。下面结合具体例子,更加详细地描述本发明实施例。应注意,图5至图8的例子仅仅是为了帮助本领域技术人员理解本发明实施例,而非要将本发明实施例限于所例示的具体数值或具体场景。本领域技术人员根据所给出的图5至图8的例子,显然可以进行各种等价的修改或变化,这样的·修改或变化也落入本发明实施例的范围内。图5是本发明一个实施例的数据加密密钥的托管流程的示意性流程图。图5的流程包括:510、终端生成数据加密密钥。例如,可以通过上述终端的加密单元生成数据加密密钥。上述终端可以为图2-图4中的第一终端。520、终端使用加密机的公钥加密该数据加密密钥。加密机的公钥的获取方式可以是:当加密业务管理系统检测到该终端上线时,向该终端发送加密机的公钥;也可以是当该终端需要加密数据时,该终端向加密业务管理系统请求加密机的公钥。530、终端向加密业务管理系统数据加密密钥托管请求,该请求中携带了上述经加密机的公钥加密后的数据加密密钥。可选地,上述托管请求以及加密机的公钥加密后的数据加密密钥也可分开发送。540、加密业务管理系统存储该经加密机的公钥加密后的数据加密密钥。本发明实施例中,通过将终端的数据加密密钥托管至加密业务管理系统中,便于企业内终端的数据加密密钥的统一管理。进一步地,当终端的电子密钥丢失时,可通过加密业务管理系统恢复该终端的数据加密密钥,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。图6是本发明另一个实施例的数据加密密钥的托管流程的示意性流程图。图6的流程包括:610、终端向加密业务管理系统发送数据加密密钥请求,该请求中携带该终端电子密钥的公钥。上述终端可以为图2-图4中的第一终端。620、加密业务管理系统向加密机发送该终端电子密钥的公钥。630、加密机生成该终端的数据加密密钥,并通过该终端的电子密钥的公钥对该数据加密密钥进行加密。640、加密机向加密业务管理系统发送经该终端的电子密钥的公钥加密后的数据加密密钥。650、加密业务管理系统向该终端发送经该终端的电子密钥的公钥加密后的数据加密密钥。本发明实施例中,通过将终端的数据加密密钥托管至加密业务管理系统中,便于企业内终端的数据加密密钥的统一管理。进一步地,当终端的电子密钥丢失时,可通过加密业务管理系统恢复该终端的数据加密密钥,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。图7是本发明一个实施例的电子密钥丢失时的密钥恢复流程的示意性流程图。图7的流程包括:
710、终端向加密业务管理系统发送密钥恢复请求,该请求中携带终端的新电子密钥的公钥。上述终端可以为图2-图4中的第一终端。720、加密业务管理系统向加密机发送该终端托管的经加密机公钥加密后的数据加密密钥以及新电子密钥的公钥。730、加密机使用该加密机的私钥解密上述经加密机公钥加密后的数据加密密钥以获得该终端的数据加密密钥,并使用该终端的新电子密钥的公钥重新加密该数据加密密钥。740、加密机向加密业务管理系统发送经新电子密钥的公钥重新加密后的数据加密密钥。750、加密业务管理系统向该终端发送该经新电子密钥的公钥重新加密后的数据加密密钥。本发明实施例中,通过将终端的数据加密密钥托管至加密业务管理系统中,便于企业内终端的数据加密密钥的统一管理。进一步地,当终端的电子密钥丢失时,可通过加密业务管理系统恢复该终端的数据加密密钥,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。图8是本发明一个实施例的多用户共享加密数据流程的示意性流程图。图8的流程包括:810、终端I向加密业务管理系统发送用于访问终端2数据的访问请求,该访问请求中携带终端I的电子密钥证书的公钥。需要说明的是,上述终端2的数据为共享数据。上述终端I可以为图2-图4中的弟一终端;上述终端2可以为图2-图4中的弟_.终端820、加密业务管理系统向加密机发送终端2托管的经加密机公钥加密的数据加密密钥以及终端I的电子密钥证书的公钥。830、加密机使用该加密机的私钥解密上述经加密机公钥加密的数据以获得终端2的数据加密密钥,并使用终端I的电子密钥证书的公钥重新加密终端2的数据加密密钥。840、加密机向加密业务管理系统发送经终端I的电子密钥证书的公钥重新加密的终端2的数据加密密钥。850、加密业务管理系统向终端I发送上述经终端I的电子密钥证书的公钥重新加密的终端2的数据加密密钥。本发明实施例通过加密业务管理系统托管终端的数据加密密钥,当该终端的数据为可共享数据时,其他终端可通过数据加密业务管理系统获得该终端的数据加密密钥,从而实现了多用户共享加密数据。上文中结合图1至图8,详细描述了根据本发明实施例的数据加密密钥的管理方法,下面将结合图9至图14,详细描述根据本发明实施例的加密业务管理系统和终端。图9是本发明一个实施例的加密业务管理系统的框图。图9的加密业务管理系统900包括:接收单元910和存储单元920。加密业务管理系统900能够实现图1至图8中由加密业务管理系统执行的各个步骤,为避免重复,不再详细描述。接收单元910,用于接收第一终端发送的数据加密密钥托管请求,其中数据加密密钥托管请求携带第一密钥,第一密钥通过使用第二公钥加密第三密钥而获得,第二公钥为加密机的公钥,第三密钥为第一终端的数据的加密密钥。存储单元920,用于存储第一密钥。本发明实施例中,通过将终端的数据加密密钥托管至加密业务管理系统中,便于企业内终端的数据加密密钥的统一管理,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。可选地,接收单元910还接收请求数据的加密密钥的终端发送的请求,所述请求包括该终端的电子密钥证书的公钥;通过加密机使用该电子密钥证书的公钥对上述第三密钥进行加密,其中加密业务管理系统还包括:发送单元,用于将加密后的所述第三密钥发送给所述终端。应理解,该终端可以是第一终端,如第一终端的电子密钥丢失,请求数据加密密钥恢复;该终端也可以是第二终端,如第一终端的数据为共享数据,第二终端获取第一终端的数据加密密钥后可以访问第一终端的数据。根据本发明的实施例,当终端的电子密钥丢失或其它终端需要共享该终端的数据时,可通过加密业务管理系统恢复或获取该终端的数据加密密钥,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。可选地,作为一个实施例,接收单元910还用于接收第一终端发送的数据加密密钥请求,其中数据 加密密钥请求携带第四公钥,第四公钥为第一终端的电子密钥证书的公钥;加密业务管理系统900还包括:第一发送单元,用于向加密机发送第四公钥;接收单元910还用于接收加密机发送的第五密钥,第五密钥通过加密机生成第三密钥后使用第四公钥加密第三密钥而获得;加密业务管理系统900还包括:第二发送单元,用于向第一终端发送第五密钥,以便第一终端使用第四私钥解密第五密钥得到所述第三密钥,其中第四私钥为第一终端的电子密钥证书的私钥。可选地,作为另一个实施例,第一终端的数据为共享数据,接收单元910还用于接收第二终端发送的用于访问第一终端数据的访问请求,其中访问请求中携带第六公钥,第六公钥为第二终端的电子密钥证书的公钥;加密业务管理系统900还包括:第三发送单元,用于向加密机发送第一密钥以及第六公钥,以便加密机使用第二私钥解密第一密钥以获得第三密钥,并使用第六公钥加密第三密钥生成第七密钥,其中第二私钥为加密机的私钥;接收单元910还用于接收加密机发送的第七密钥,其中第七密钥通过加密机使用第六公钥加密第三密钥而获得;加密业务管理系统900还包括:第四发送单元,用于向第二终端发送第七密钥,以便第二终端使用第六私钥解密第七密钥而获得第三密钥,其中第六私钥为第二终端的电子密钥证书的私钥。本发明实施例通过加密业务管理系统托管终端的数据加密密钥,当该终端的数据为可共享数据时,其他终端可通过数据加密业务管理系统获得该终端的数据加密密钥,从而实现了多用户共享加密数据。可选地,作为另一个实施例,当第一终端的电子密钥丢失时,接收单元910还用于接收第一终端发送的数据加密密钥恢复请求,其中数据加密密钥恢复请求携带第八公钥,第八公钥为第一终端的新电子密钥证书的公钥;加密业务管理系统900还包括:第五发送单元,用于向加密机发送第一密钥以及第八公钥,以便加密机使用第二私钥解密第一密钥以获得第三密钥,并使用第八公钥加密第三密钥以获得第九密钥,其中第二私钥为加密机的私钥;接收单元910还用于接收加密机发送的第九密钥;加密业务管理系统900还包括:第六发送单元,用于向第一终端发送第九密钥,以便第一终端根据第八私钥解密第九密钥,其中第八私钥为新电子密钥证书的私钥。

图10是本发明一个实施例的终端的框图。图10的终端1000包括加解密单元1010和发送单元1020。终端1000能够实现图1至图8中由终端执行的各个步骤,为避免重复,不再详细描述。加解密单元1010,用于使用第二公钥加密第三密钥以获得第一密钥,第二公钥为加密机的公钥,第三密钥为终端的数据的加密密钥。发送单元1020,用于向加密业务管理系统发送携带第一密钥的数据加密密钥托管请求,以便加密业务管理系统存储第一密钥。本发明实施例中,通过将终端的数据加密密钥托管至加密业务管理系统中,便于企业内终端的数据加密密钥的统一管理,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。可选地,作为另一实施例,发送单元1020还向加密业务管理系统发送用于请求数据的加密密钥的请求,该请求包括终端的电子密钥证书的公钥,其中加解密单元1010通过加密机使用电子密钥证书的公钥对第三密钥进行加密,其中终端1000还包括:接收单元,用于从加密业务管理系统接收加密后的所述第三密钥。应理解,该终端可以是第一终端,如第一终端的电子密钥丢失,请求数据加密密钥恢复;该终端也可以是第二终端,如第一终端的数据为共享数据,第二终端获取第一终端的数据加密密钥后可以访问第一终端的数据。
根据本发明的实施例,当终端的电子密钥丢失或其它终端需要共享该终端的数据时,可通过加密业务管理系统恢复或获取该终端的数据加密密钥,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。可选地,作为一个实施例,发送单元1020还用于向加密业务管理系统发送数据加密密钥请求,其中数据加密密钥请求携带第四公钥,第四公钥为终端的电子密钥证书的公钥;终端1000还包括:第一接收单元,用于接收加密业务管理系统发送的第五密钥;加解密单元1010还用于使用第四私钥解密第五密钥,以获取第三密钥,其中第四私钥为终端的电子密钥证书的私钥。可选地,作为另一个实施例,第二终端的数据为共享数据,发送单元1020还用于向加密业务管理系统发送用于访问第二终端数据的访问请求,访问请求中携带第四公钥;终端1000还包括:第二接收单元,用于接收加密业务管理系统发送的第十密钥,以便终端使用第四私钥解密第十密钥以获得第十一密钥,其中第十一密钥为第二终端的数据的加密密钥;加解密单元1010利用第十一密钥解密第二终端的数据。本发明实施例通过加密业务管理系统托管终端的数据加密密钥,当该终端的数据为可共享数据时,其他终端可通过数据加密业务管理系统获得该终端的数据加密密钥,从而实现了多用户共享加密数据。

可选地,作为另一个实施例,当终端1000的电子密钥丢失时,终端1000还包括:读取单元,用于读取第八公钥,第八公钥为终端的新电子密钥证书的公钥;发送单元1020还用于向加密业务管理系统发送数据加密密钥恢复请求,数据加密密钥恢复请求携带第八公钥,以便加密业务管理系统通过加密机获得第九密钥,其中第九密钥通过第八公钥加密第三密钥而获得;终端1000还包括:第三接收单元,用于接收加密业务管理系统发送的第九密钥,以便终端使用第八私钥解密第九密钥而得到所述第三密钥,其中第八私钥为终端的新电子密钥证书的私钥。图11是本发明另一个实施例的终端的框图。图11的终端1100包括发送单元1110和接收单元1120。发送单元1110,用于向加密业务管理系统发送用于访问第二终端的数据的访问请求,其中访问请求中携带第四公钥,第四公钥为终端的电子密钥证书的公钥,第二终端的数据为共享数据;接收单元1120,用于接收加密业务管理系统发送的第十密钥,以便加解密单元通过第四私钥解密第十密钥而获得第十一密钥,其中第四私钥为终端的电子密钥证书的私钥,第i^一密钥为第二终端的数据的加密密钥。图12是本发明另一个实施例的加密业务管理系统的框图。图12的加密业务管理系统1200包括:处理器1210、接收器1220和存储器1230。加密业务管理系统1200能够实现图1至图8中由加密业务管理系统执行的各个步骤,为避免重复,不再详细描述。接收器1220,用于根据处理器1210的指示接收第一终端发送的数据加密密钥托管请求,其中数据加密密钥托管请求携带第一密钥,第一密钥通过使用第二公钥加密第三密钥而获得,第二公钥为加密机的公钥,第三密钥为第一终端的数据的加密密钥。存储器1230,用于根据处理器1210的指示存储第一密钥。本发明实施例中,通过将终端的数据加密密钥托管至加密业务管理系统中,便于企业内终端的数据加密密钥的统一管理。进一步地,当终端的电子密钥丢失时,可通过加密业务管理系统恢复该终端的数据加密密钥,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。可选地,作为一个实施例,接收器1220还用于接收第一终端发送的数据加密密钥请求,其中数据加密密钥请求携带第四公钥,第四公钥为第一终端的电子密钥证书的公钥;加密业务管理系统1200还包括:第一发送单元,用于向加密机发送第四公钥;接收器1220还用于接收加密机发送的第五密钥,第五密钥通过加密机生成第三密钥后使用第四公钥加密第三密钥而获得;加密业务管理系统1200还包括:第二发送单元,用于向第一终端发送第五密钥,以便第一终端使用第四私钥解密第五密钥得到所述第三密钥,其中第四私钥为第一终端的电子密钥证书的私钥。可选地,作为另一个实施例,第一终端的数据为共享数据,接收器1220还用于接收第二终端发送的用于访问第一终端数据的访问请求,其中访问请求中携带第六公钥,第六公钥为第二终端的电子密钥证书的公钥;加密业务管理系统1200还包括:第三发送单元,用于向加密机发送第一密钥以及第六公钥,以便加密机使用第二私钥解密第一密钥以获得第三密钥,并使用第六公钥加密第三密钥生成第七密钥,其中第二私钥为加密机的私钥;接收器1220还用于接收加密机发送的第七密钥,其中第七密钥通过加密机使用第六公钥加密第三密钥而获得;加密业务管 理系统1200还包括:第四发送单元,用于向第二终端发送第七密钥,以便第二终端使用第六私钥解密第七密钥而获得第三密钥,其中第六私钥为第二终端的电子密钥证书的私钥。本发明实施例通过加密业务管理系统托管终端的数据加密密钥,当该终端的数据为可共享数据时,其他终端可通过数据加密业务管理系统获得该终端的数据加密密钥,从而实现了多用户共享加密数据。可选地,作为另一个实施例,当第一终端的电子密钥丢失时,接收器1220还用于接收第一终端发送的数据加密密钥恢复请求,其中数据加密密钥恢复请求携带第八公钥,第八公钥为第一终端的新电子密钥证书的公钥;加密业务管理系统1200还包括:第五发送单元,用于向加密机发送第一密钥以及第八公钥,以便加密机使用第二私钥解密第一密钥以获得第三密钥,并使用第八公钥加密第三密钥以获得第九密钥,其中第二私钥为加密机的私钥;接收器1220还用于接收加密机发送的第九密钥;加密业务管理系统1200还包括:第六发送单元,用于向第一终端发送第九密钥,以便第一终端根据第八私钥解密第九密钥,其中第八私钥为新电子密钥证书的私钥。图13是本发明另一个实施例的终端的框图。图13的终端1300包括处理器1310和发送器1320。终端1300能够实现图1至图8中由终端执行的各个步骤,为避免重复,不再详细描述。处理器1310,用于使用第二公钥加密第三密钥以获得第一密钥,第二公钥为加密机的公钥,第三密钥为终端的数据的加密密钥。发送器1320,用于向加密业务管理系统发送携带第一密钥的数据加密密钥托管请求,以便加密业务管理系统存储第一密钥。本发明实施例中,通过将终端的数据加密密钥托管至加密业务管理系统中,当终端的电子密钥丢失时,可通过加密业务管理系统恢复该终端的数据加密密钥,从而使得终端的加密系统与CA解耦,避免了 CA的重复投资问题,增强了加密业务的独立性。可选地,作为一个实施例,发送器1320还用于向加密业务管理系统发送数据加密密钥请求,其中数据加密密钥请求携带第四公钥,第四公钥为终端的电子密钥证书的公钥;终端1300还包括:第一接收单元,用于接收加密业务管理系统发送的第五密钥;处理器1310还用于使用第四私钥解密第五密钥,以获取第三密钥,其中第四私钥为终端的电子密钥证书的私钥。可选地,作为另一个实施例,第二终端的数据为共享数据,发送器1320还用于向加密业务管理系统发送用于访问第二终端数据的访问请求,访问请求中携带第四公钥;终端1300还包括:第二接收单元,用于接收加密业务管理系统发送的第十密钥,以便终端使用第四私钥解密第十密钥以获得第十一密钥,其中第十一密钥为第二终端的数据的加密密钥;处理器1310利用第十一密钥解密第二终端的数据。本发明实施例通过加密业务管理系统托管终端的数据加密密钥,当该终端的数据为可共享数据时,其他终端可通过数据加密业务管理系统获得该终端的数据加密密钥,从而实现了多用户共享加密数据。可选地,作为另一个实施例,当终端1300的电子密钥丢失时,处理器1310还用于读取第八公钥,第八公钥为终端的新电子密钥证书的公钥;发送器1320还用于向加密业务管理系统发送数据加密密钥恢复请求,数据加密密钥恢复请求携带第八公钥,以便加密业务管理系统通过加密机获得第九密钥,其中第九密钥通过第八公钥加密第三密钥而获得;终端1300还包括:第三接收单元,用于接收加密业务管理系统发送的第九密钥,以便终端使用第八私钥解密第九密钥而得到所述第三密钥,其中第八私钥为终端的新电子密钥证书的私钥。

图14是本发明另一个实施例的终端的框图。图14的终端1400包括处理器1410、发送器1420和接收器1430。发送器1420,用于根据处理器1410的指示向加密业务管理系统发送用于访问第二终端的数据的访问请求,其中访问请求中携带第四公钥,第四公钥为终端的电子密钥证书的公钥,第二终端的数据为共享数据;接收器1430,用于根据处理器1410的指示接收加密业务管理系统发送的第十密钥,以便加解密单元通过第四私钥解密第十密钥而获得第十一密钥,其中第四私钥为终端的电子密钥证书的私钥,第i^一密钥为第二终端的数据的加密密钥。本发明实施例通过加密业务管理系统托管终端的数据加密密钥,当该终端的数据为可共享数据时,其他终端可通过数据加密业务管理系统获得该终端的数据加密密钥,从而实现了多用户共享加密数据。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的 保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
权利要求
1.一种数据加密密钥的管理方法,其特征在于,包括: 接收第一终端发送的数据加密密钥托管请求,其中所述数据加密密钥托管请求携带第一密钥,所述第一密钥通过使用第二公钥加密第三密钥而获得,所述第二公钥为加密机的公钥,所述第三密钥为所述第一终端的数据的加密密钥; 存储所述第一密钥。
2.如权利要求1所述的方法,其特征在于,还包括: 接收请求所述数据的加密密钥的终端发送的请求,所述请求包括所述终端的电子密钥证书的公钥; 通过所述加密机使用所述电子密钥证书的公钥对所述第三密钥进行加密; 将加密后的所述第三密钥发送给所述终端。
3.如权利要求1或2所述的方法,其特征在于,在接收第一终端发送的数据加密密钥托管请求之前,还包括: 接收所述第一终端发送的数据加密密钥请求,其中所述数据加密密钥请求携带第四公钥,所述第四公钥为所述第一终端的电子密钥证书的公钥; 向所述加密机发送所述第四公钥; 接收所述加密机发送的第五密钥,所述第五密钥通过所述加密机生成所述第三密钥后使用所述第四公钥加密所述第三密钥而获得; 向所述第一终端发送所述第五密钥,以便所述第一终端使用第四私钥解密所述第五密钥得到所述第三密钥,其中所 述第四私钥为所述第一终端的电子密钥证书的私钥。
4.如权利要求2所述的方法,其特征在于,所述接收请求所述数据的加密密钥的终端发送的请求,包括: 接收第二终端发送的用于访问所述第一终端的数据的访问请求,其中所述访问请求中携带第六公钥,所述第六公钥为所述第二终端的电子密钥证书的公钥,所述数据为共享数据, 其中所述通过所述加密机使用所述电子密钥证书的公钥对所述第三密钥进行加密,包括: 向所述加密机发送所述第一密钥以及所述第六公钥,以便所述加密机使用第二私钥解密所述第一密钥以获得所述第三密钥,并使用所述第六公钥加密所述第三密钥生成第七密钥,其中所述第二私钥为所述加密机的私钥; 接收所述加密机发送的所述第七密钥, 其中所述将加密后的所述第三密钥发送给所述终端,包括: 向所述第二终端发送所述第七密钥,以便所述第二终端使用第六私钥解密所述第七密钥而获得所述第三密钥,其中所述第六私钥为所述第二终端的电子密钥证书的私钥。
5.如权利要求4所述的方法,其特征在于,当所述第一终端的电子密钥丢失时,所述方法还包括: 接收所述第一终端发送的数据加密密钥恢复请求,其中所述数据加密密钥恢复请求携带第八公钥,所述第八公钥为所述第一终端的新电子密钥证书的公钥; 向所述加密机发送所述第一密钥以及所述第八公钥,以便所述加密机使用第二私钥解密所述第一密钥以获得所述第三密钥,并使用所述第八公钥加密所述第三密钥以获得第九密钥,其中所述第二私钥为所述加密机的私钥; 接收所述加密机发送的所述第九密钥; 向所述第一终端发送所述第九密钥而获得所述第三密钥,以便所述第一终端根据第八私钥解密所述第九密钥,其中所述第八私钥为所述新电子密钥证书的私钥。
6.如权利要求2所述的方法,其特征在于,当所述第一终端的电子密钥丢失时,所述接收请求所述数据的加密密钥的终端发送的请求,包括: 接收所述第一终端发送的数据加密密钥恢复请求,其中所述数据加密密钥恢复请求携带第八公钥,所述第八公钥为所述第一终端的新电子密钥证书的公钥, 其中所述通过所述加密机使用所述电子密钥证书的公钥对所述第三密钥进行加密,包括: 向所述加密机发送所述第一密钥以及所述第八公钥,以便所述加密机使用第二私钥解密所述第一密钥以获得所述第三密钥,并使用所述第八公钥加密所述第三密钥以获得第九密钥,其中所述第二私钥为所述加密机的私钥; 接收所述加密机发送的所述第九密钥, 其中所述将加密后的所述第三密钥发送给所述终端,包括: 向所述第一终端发送 所述第九密钥,以便所述第一终端根据第八私钥解密所述第九密钥而获得所述第三密钥,其中所述第八私钥为所述新电子密钥证书的私钥。
7.一种数据加密密钥的管理方法,其特征在于,包括: 第一终端使用第二公钥加密第三密钥以获得第一密钥,所述第二公钥为加密机的公钥,所述第三密钥为所述第一终端的数据的加密密钥; 所述第一终端向加密业务管理系统发送携带所述第一密钥的数据加密密钥托管请求,以便所述加密业务管理系统存储所述第一密钥。
8.如权利要求7所述的方法,其特征在于,在所述第一终端使用第二公钥加密第三密钥以获得第一密钥之前,还包括: 所述第一终端向所述加密业务管理系统发送数据加密密钥请求,其中所述数据加密密钥请求携带第四公钥,所述第四公钥为所述第一终端的电子密钥证书的公钥; 所述第一终端接收所述加密业务管理系统发送的第五密钥; 所述第一终端使用第四私钥解密所述第五密钥,以获取所述第三密钥,其中所述第四私钥为所述第一终端的电子密钥证书的私钥。
9.如权利要求7或8所述的方法,其特征在于,所述方法还包括: 所述第一终端向所述加密业务管理系统发送用于访问第二终端的数据的访问请求,所述访问请求中携带所述第四公钥,其中所述第二终端的数据为共享数据; 所述第一终端接收所述加密业务管理系统发送的第十密钥,以便所述第一终端使用所述第四私钥解密所述第十密钥以获得第十一密钥,其中所述第十一密钥为所述第二终端的数据的加密密钥; 所述第一终端利用所述第十一密钥解密所述第二终端的数据。
10.如权利要求7-9中任一项所述的方法,其特征在于,当所述第一终端的电子密钥丢失时,所述方法还包括: 所述第一终端读取第八公钥,所述第八公钥为所述第一终端的新电子密钥证书的公钥; 所述第一终端向所述加密业务管理系统发送数据加密密钥恢复请求,所述数据加密密钥恢复请求携带所述第八公钥,以便所述加密业务管理系统通过所述加密机获得第九密钥,其中所述第九密钥通过所述第八公钥加密所述第三密钥而获得; 所述第一终端接收所述加密业务管理系统发送的所述第九密钥,以便所述第一终端使用第八私钥解密所述第九密钥而得到所述第三密钥,其中所述第八私钥为所述第一终端的新电子密钥证书的私钥。
11.一种数据加密密钥的管理方法,其特征在于,包括: 第一终端向加密业务管理系统发送用于访问第二终端数据的访问请求,其中所述访问请求中携带第四公钥,所述第四公钥为所述第一终端的电子密钥证书的公钥,所述第二终端的数据为共享数据; 所述第一终端接收所述加密业务管理系统发送的第十密钥,以便所述第一终端通过第四私钥解密所述第十密钥而获得第十一密钥,其中所述第四私钥为所述第一终端的电子密钥证书的私钥,所述第十一密钥为所述第二终端的数据的加密密钥。
12.—种加密业务管理系统,其特征在于,包括: 接收单元,用于接收第一终端发送的数据加密密钥托管请求,其中所述数据加密密钥托管请求携带第一密钥,所述第一密钥通过使用第二公钥加密第三密钥而获得,所述第二公钥为加密机的公钥,所述第三密钥为所述第一终端的数据的加密密钥; 存储单元,用于存储所述第 一密钥。
13.如权利要求12所述的加密业务管理系统,其特征在于, 所述接收单元还用于接收所述第一终端发送的数据加密密钥请求,其中所述数据加密密钥请求携带第四公钥,所述第四公钥为所述第一终端的电子密钥证书的公钥; 所述加密业务管理系统还包括: 第一发送单元,用于向所述加密机发送所述第四公钥; 所述接收单元还用于接收所述加密机发送的第五密钥,所述第五密钥通过所述加密机生成所述第三密钥后使用所述第四公钥加密所述第三密钥而获得; 所述加密业务管理系统还包括: 第二发送单元,用于向所述第一终端发送所述第五密钥,以便所述第一终端使用第四私钥解密所述第五密钥得到所述第三密钥,其中所述第四私钥为所述第一终端的电子密钥证书的私钥。
14.如权利要求12或13所述的加密业务管理系统,其特征在于,所述第一终端的数据为共享数据, 所述接收单元还用于接收第二终端发送的用于访问所述第一终端数据的访问请求,其中所述访问请求中携带第六公钥,所述第六公钥为所述第二终端的电子密钥证书的公钥;所述加密业务管理系统还包括: 第三发送单元,用于向所述加密机发送所述第一密钥以及所述第六公钥,以便所述加密机使用第二私钥解密所述第一密钥以获得所述第三密钥,并使用所述第六公钥加密所述第三密钥生成第七密钥,其中所述第二私钥为所述加密机的私钥; 所述接收单元还用于接收所述加密机发送的所述第七密钥,其中所述第七密钥通过所述加密机使用所述第六公钥加密所述第三密钥而获得; 所述加密业务管理系统还包括: 第四发送单元,用于向所述第二终端发送所述第七密钥,以便所述第二终端使用第六私钥解密所述第七密钥而获得所述第三密钥,其中所述第六私钥为所述第二终端的电子密钥证书的私钥。
15.如权利要求12-14中任一项所述的加密业务管理系统,其特征在于,当所述第一终端的电子密钥丢失时, 所述接收单元还用于接收所述第一终端发送的数据加密密钥恢复请求,其中所述数据加密密钥恢复请求携带第八公钥,所述第八公钥为所述第一终端的新电子密钥证书的公钥; 所述加密业务管理系统还包括: 第五发送单元,用于向所述加密机发送所述第一密钥以及所述第八公钥,以便所述加密机使用第二私钥解密所述第一密钥以获得所述第三密钥,并使用所述第八公钥加密所述第三密钥以获得第九密钥,其中所述第二 私钥为所述加密机的私钥; 所述接收单元还用于接收所述加密机发送的所述第九密钥; 所述加密业务管理系统还包括: 第六发送单元,用于向所述第一终端发送所述第九密钥,以便所述第一终端根据第八私钥解密所述第九密钥而获得所述第三密钥,其中所述第八私钥为所述新电子密钥证书的私钥。
16.一种终端,其特征在于,包括: 加解密单元,用于使用第二公钥加密第三密钥以获得第一密钥,所述第二公钥为加密机的公钥,所述第三密钥为所述终端的数据的加密密钥; 发送单元,用于向加密业务管理系统发送携带所述第一密钥的数据加密密钥托管请求,以便所述加密业务管理系统存储所述第一密钥。
17.如权利要求16所述的终端,其特征在于, 所述发送单元还用于向所述加密业务管理系统发送数据加密密钥请求,其中所述数据加密密钥请求携带第四公钥,所述第四公钥为所述终端的电子密钥证书的公钥; 所述终端还包括: 第一接收单元,用于接收所述加密业务管理系统发送的第五密钥; 所述加解密单元还用于使用第四私钥解密所述第五密钥,以获取所述第三密钥,其中所述第四私钥为所述终端的电子密钥证书的私钥。
18.如权利要求16或17所述的终端,其特征在于,所述发送单元还用于向所述加密业务管理系统发送用于访问第二终端数据的访问请求,所述访问请求中携带所述第四公钥,其中所述第二终端的数据为共享数据; 所述终端还包括: 第二接收单元,用于接收所述加密业务管理系统发送的第十密钥,以便所述终端使用所述第四私钥解密所述第十密钥以获得第十一密钥,其中所述第十一密钥为所述第二终端的数据的加密密钥; 所述加解密单元利用所述第十一密钥解密所述第二终端的数据。
19.如权利要求16-18中任一项所述的终端,其特征在于,当所述终端的电子密钥丢失时, 所述终端还包括: 读取单元,用于读取第八公钥,所述第八公钥为所述终端的新电子密钥证书的公钥;所述发送单元还用于向所述加密业务管理系统发送数据加密密钥恢复请求,所述数据加密密钥恢复请求携带所述第八公钥,以便所述加密业务管理系统通过所述加密机获得第九密钥,其中所述第九密钥通过所述第八公钥加密所述第三密钥而获得; 所述终端还包括: 第三接收单元,用于接收所述加密业务管理系统发送的所述第九密钥,以便所述终端使用第八私钥解密所述第九密钥而得到所述第三密钥,其中所述第八私钥为所述终端的新电子密钥证书的私钥。
20.一种终端,其特征在于,包括: 发送单元,用于向加密业务管理系统发送用于访问第二终端的数据的访问请求,其中所述访问请求中携带第四公钥,所述第四公钥为所述终端的电子密钥证书的公钥,所述第二终端的数据为共享数据; 接收单元,用于接收所述加密业务管理系统发送的第十密钥,以便所述终端通过第四私钥解密所述第十密钥而获得第十一密钥,其中所述第四私钥为所述终端的电子密钥证书的私钥,所述第十一密钥为所述第二终端的数据的加密密钥。
21.一种数据加密密钥的管理系统,其特征在于,包括: 如权利要求12-15中任一项所述的加密业务管理系统; 如权利要求16-19中任一项所述的终端; 加密机,包括第二公钥和第二私钥,用于根据所述加密业务管理系统的指示进行加解密运算。
22.如权利要求21所述的管理系统,其特征在于,还包括: 如权利要求20所述的终端。
23.如权利要求21或22所述的管理系统,其特征在于,还包括: 密钥备份系统,用 于定期备份所述加密业务管理系统中托管的密钥。
全文摘要
本发明实施例提供一种数据加密密钥的管理方法、系统及终端。该方法包括接收第一终端发送的数据加密密钥托管请求,其中该数据加密密钥托管请求携带第一密钥,该第一密钥通过使用第二公钥加密第三密钥而获得,该第二公钥为加密机的公钥,该第三密钥为该第一终端的数据的加密密钥;存储该第一密钥。本发明实施例中,通过将终端的数据加密密钥托管至加密业务管理系统中,当终端的电子密钥丢失时,可通过加密业务管理系统恢复该终端的数据加密密钥,从而使得终端的加密系统与CA解耦,避免了CA的重复投资问题,增强了加密业务的独立性。
文档编号H04L9/30GK103248476SQ201310157240
公开日2013年8月14日 申请日期2013年5月2日 优先权日2013年5月2日
发明者王鹏, 苏延刚 申请人:华为数字技术(苏州)有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:王鹏;苏延刚
  • 技术所有人:华为数字技术(苏州)有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
xp系统u盘加密方法相关技术
xp系统硬盘加密方法相关技术
加密密钥相关技术
公开密钥加密相关技术
对称密钥加密相关技术
des加密密钥长度相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2