密钥管理方法、装置、计算机设备及存储介质与流程

文档序号:34917223发布日期:2023-07-28 00:26阅读:39来源:国知局
密钥管理方法、装置、计算机设备及存储介质与流程

本发明实施例涉及加密,具体涉及一种密钥管理方法、密钥管理装置、计算机设备及计算机可读存储介质。


背景技术:

1、目前,在软件开发过程中,不可避免的需要用到密码来连接数据库,缓存或者需要做鉴权的接口,应用使用加密成密文的密码已经成为各个行业尤其金融行业的标准操作。

2、对于需要采用了大量外购应用系统来对接数据库时、缓存或者做鉴权接口时,应用系统如果做了加密,通常采用如下方法:

3、1、采用基本的base64对密码对做编码,使得密码不可读,该编码可以轻松破解。2、采用对称加密,密钥采用一个密钥加密,在应用端配置写明该密钥或者直接将密钥以文件形式存放于应用部署的服务器进行解密来使用密码,厂商可能直接提供加密后的密钥密文或者厂商会直接提供一个黑盒的加密工具对密码加密,加密过程不可见。3、采用非对称加密,密钥采用公钥加密,在应用端配置写明私钥或者直接将私钥以文件形式存放于应用部署的服务器,厂商可能直接提供加密后的密钥密文或者厂商会直接提供一个黑盒的加密工具对密码加密,加密公钥以及加密过程不可见。

4、然而本申请的发明人发现,以上的加密方法存在如下缺点:

5、1、密文获取的过程不可控,密码是否得到安全加密存在不确定性。2、即使采用了安全的加密方式,加密的方式不统一,加密的工具也是五花八门,加密的密钥无法被统一管理,密钥如果放在应用端以配置或者文件形式存放均存在泄露的风险。3、解密过程因为加密过程的五花八门而导致无法统一。4、整个加解密流程未被统一管理,存在第三方厂商介入,企业对加解密过程无法自主控制。


技术实现思路

1、鉴于上述问题,本发明实施例提供了一种密钥管理方法、密钥管理装置、计算机设备及计算机可读存储介质,用于解决现有技术中存在的加解密过程不能自主可控、安全性低的问题。

2、根据本发明实施例的一个方面,提供了一种密钥管理方法,所述方法包括:

3、接收用户发送的对目标应用的加密请求;所述加密请求中包括密钥对id;

4、根据所述密钥对id从密钥管理平台中匹配对应的密钥对的公钥;所述密钥管理平台中预先存储有与所述密钥对id对应的密钥对;

5、获取用户输入的需要加密的密码明文;

6、使用所述公钥根据预设的加密算法加密所述密码明文,得到加密后的密文;

7、将加密后的密文替换目标应用对应的加密配置文件中的占位符标识,得到目标应用对应的加密后的配置文件。

8、在一种可选的方式中,所述加密请求中还包括用户id、应用名称和/或组件名称;所述根据所述密钥对id从密钥管理平台中匹配对应的密钥对的公钥之前,所述方法还包括:根据用户id、应用名称和/或组件名称,对所述用户进行人员校验及权限鉴权。

9、在一种可选的方式中,所述根据用户id、应用名称和/或组件名称,对所述用户进行人员校验及权限鉴权,包括:根据用户id调用单点登录系统对所述用户进行校验;若校验通过,通过rbac权限模型对用户进行密钥对权限验证。

10、在一种可选的方式中,所述接收用户发送的对目标应用的加密请求之前,所述方法还包括:通过所述密钥管理平台获取用户发送的密钥录入请求;所述密钥录入请求中包括密钥对、用户选定的目标应用和/或目标组件;通过所述密钥管理平台根据所述密钥录入请求,生成所述密钥对对应的密钥对id;通过所述密钥管理平台将所述密钥对、所述密钥对id与所述目标应用和/或目标组件的id进行关联存储。

11、在一种可选的方式中,所述通过所述密钥管理平台根据所述密钥录入请求,为所述密钥对生成密钥对id之前,所述方法包括:对所述密钥对进行唯一性校验,以确定所述密钥对的唯一性;所述根据所述密钥录入请求,生成所述密钥对对应的密钥对id,包括:当确定所述密钥对唯一时,以所述密钥对取md5值,生成所述密钥对id。

12、在一种可选的方式中,所述将加密后的密文替换加密配置文件中的占位符标识,得到目标应用对应的加密后的配置文件之后,所述方法还包括:在检测到所述目标应用启动时,根据所述目标应用对应的密钥对id,从所述密钥管理平台获取对应的所述密钥对的私钥;使用所述私钥,根据预设的解密算法对所述加密后的配置文件进行解密,得到解密后的密码明文;将所述密码明文存储在所述目标应用的内存中。

13、在一种可选的方式中,所述接收用户发送的加密请求之前,所述方法还包括:配置目标应用对应的加密配置文件,所述加密配置文件中包括表征需加密密码的占位符标识以及密钥对id;将所述加密配置文件存储在加密配置文件路径中。

14、根据本发明实施例的另一方面,提供了一种密钥管理装置,包括:

15、接收模块,用于接收用户发送的对目标应用的加密请求;所述加密请求中包括密钥对id;

16、匹配模块,用于根据所述密钥对id从密钥管理平台中匹配对应的密钥对的公钥;所述密钥管理平台中预先存储有与所述密钥对id对应的密钥对;

17、获取模块,用于获取用户输入的需要加密的密码明文;

18、加密模块,用于使用所述公钥根据预设的加密算法加密所述密码明文,得到加密后的密文;

19、替换模块,用于将加密后的密文替换目标应用对应的加密配置文件中的占位符标识,得到目标应用对应的加密后的配置文件。

20、根据本发明实施例的另一方面,提供了一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;

21、所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行所述的密钥管理方法的操作。

22、根据本发明实施例的又一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令在计算机设备上运行时,使得计算机设备执行所述的密钥管理方法的操作。

23、本发明实施例通过接收用户发送的对目标应用的加密请求;所述加密请求中包括密钥对id;根据所述密钥对id从密钥管理平台中匹配对应的密钥对的公钥;获取用户输入的需要加密的密码明文;使用所述公钥根据预设的加密算法加密所述密码明文,得到加密后的密文;将加密后的密文替换目标应用对应的加密配置文件中的占位符标识,得到目标应用对应的加密后的配置文件,能够有效提高密钥的安全性,使得加解密过程自主可控。

24、上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。



技术特征:

1.一种密钥管理方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述加密请求中还包括用户id、应用名称和/或组件名称;

3.根据权利要求2所述的方法,其特征在于,所述根据用户id、应用名称和/或组件名称,对所述用户进行人员校验及权限鉴权,包括:

4.根据权利要求1所述的方法,其特征在于,所述接收用户发送的对目标应用的加密请求之前,所述方法还包括:

5.根据权利要求4所述的方法,其特征在于,所述通过所述密钥管理平台根据所述密钥录入请求,为所述密钥对生成密钥对id之前,所述方法包括:

6.根据权利要求1-5任一项所述的方法,其特征在于,所述将加密后的密文替换加密配置文件中的占位符标识,得到目标应用对应的加密后的配置文件之后,所述方法还包括:

7.根据权利要求1-5任一项所述的方法,其特征在于,所述接收用户发送的加密请求之前,所述方法还包括:

8.一种密钥管理装置,其特征在于,所述装置包括:

9.一种计算机设备,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;

10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令在计算机设备上运行时,使得计算机设备执行如权利要求1-7任意一项所述的密钥管理方法的操作。


技术总结
本发明实施例涉及加密技术领域,公开了一种密钥管理方法,该方法包括:接收用户发送的对目标应用的加密请求;所述加密请求中包括密钥对ID;根据所述密钥对ID从密钥管理平台中匹配对应的密钥对的公钥;所述密钥管理平台中预先存储有与所述密钥对ID对应的密钥对;获取用户输入的需要加密的密码明文;使用所述公钥根据预设的加密算法加密所述密码明文,得到加密后的密文;将加密后的密文替换目标应用对应的加密配置文件中的占位符标识,得到目标应用对应的加密后的配置文件。通过上述方式,本发明实施例实现了提高密钥的安全性,加解密过程自主可控。

技术研发人员:张亚辉,杨阳,关平,李全,韦义,邹得杰,苏开沛
受保护的技术使用者:国信证券股份有限公司
技术研发日:
技术公布日:2024/1/13
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1