【技術實現步驟摘要】
本申請涉及云計算,特別是涉及密鑰處理方法、裝置及相關設備。
技術介紹
1、在當前的業務場景中,存在對安全需求較高的數據進行加密的需求。數據加密的場景例如為,存儲數據、傳輸數據、身份認證、數據完整性保護等業務場景。對于具有高安全性以及高性能加密需求的業務場景,通常使用密碼設備實現密鑰管理以及密碼運算。密碼設備例如為密碼卡、密碼機、簽名驗簽服務器等硬件設備。
2、目前,通常是由密碼設備對設備內的存儲的密鑰進行管理。但是,在大規模的加密的業務場景中,涉及的密鑰的數量較多,難以實現跨設備的密鑰管理。目前的設備維度的密鑰管理的方法難以滿足大規模的加密的業務場景的需要。
技術實現思路
1、本申請實施例提供密鑰處理方法、裝置及相關設備,能夠應用于與業務系統連接的管理系統,管理系統能夠利用密鑰索引對密碼設備進行管理,實現跨設備的密鑰管理,能夠滿足大規模的加密的業務場景下對密鑰統一管理的需求。
2、第一方面,本申請提供了一種應用于管理系統的密鑰處理方法。管理系統與業務系統連接。管理系統根據密鑰索引對密碼設備進行管理。管理系統獲取第一業務系統發送的第一密鑰操作指令。第一業務系統是與管理系統連接的業務系統中的一個。第一密鑰操作指令包括第一密鑰信息和第一操作類型。第一密鑰信息用于確定需要處理的第一密鑰。第一操作類型為對第一密鑰進行操作的操作類型。管理系統根據第一密鑰信息生成第二密鑰操作指令。第二密鑰操作指令包括第一密鑰索引以及第一操作類型。第一密鑰索引是第一密鑰信息所對應的第一密鑰
3、管理系統利用密鑰索引對密碼設備進行管理,能夠實現跨設備和跨集群的密碼設備的管理。并且,利用與密鑰唯一對應的密鑰索引,能夠實現密鑰全局感知和管理,滿足大規模場景下密鑰使用和管理的需求。
4、在一些可能的實現方式中,與管理系統連接的業務系統的數量為多個。也就是說,管理系統與業務系統的數量關系為一對一,或者一對多。與管理系統連接的業務系統包括第二業務系統。管理系統獲取第二業務系統發送的第三密鑰操作指令。第三密鑰操作指令包括第二密鑰信息和第二操作類型。管理系統根據第二密鑰信息,向第二密碼設備發送第四密鑰操作指令。第四密鑰操作指令包括第二密鑰索引以及第二操作類型。第二密鑰索引為第二密鑰信息所對應的第二密鑰的索引。第四密鑰操作指令用于指示第二密碼設備對第二密鑰執行第二操作類型的操作。其中,第二密碼設備是管理系統所管理的密碼設備中的一個。第二密碼設備能夠是管理系統基于第二密鑰操作指令確定的,或者是基于第一密鑰信息包括的密碼設備標識確定的。管理系統獲取第二密碼設備反饋的第二密鑰操作結果,實現基于第二密鑰操作結果對第二密鑰和第二密碼設備進行后續管理。
5、在一些可能的實現方式中,在管理系統獲取第一密碼設備反饋的第一密鑰操作結果后,根據第一密鑰操作,對密鑰索引的密鑰管理信息更新。密鑰管理信息包括與密鑰相關的信息。密鑰管理信息包括密鑰id、密鑰算法名稱、密鑰類型和密鑰版本中的一種或者多種。管理系統基于密鑰管理信息能夠對密鑰的生命周期進行管理。
6、在一些可能的實現方式中,第一操作類型包括創建類型、查詢類型、更新類型以及刪除類型中的一種或者多種。
7、在一些可能的實現方式中,第一操作類型為創建類型。也就是說,第二密鑰操作指令用于指示第一密碼設備創建第一密鑰索引對應的第一密鑰。管理系統在獲取第一密碼設備反饋的第一密鑰操作結果后,將生成的第一密鑰索引記錄到密鑰索引的密鑰管理信息中。如此實現密鑰管理信息的及時更新,便于管理系統基于密鑰管理信息確定密鑰狀態,也便于管理系統對密鑰進行管理。
8、在一些可能的實現方式中,管理系統控制第一密碼設備同步第一密鑰。管理系統向第一密碼設備發送密鑰同步指令。密鑰同步指令包括第一密鑰索引。密鑰同步指令用于指示第一密碼設備將第一密鑰索引對應的第一密鑰同步至第三密碼設備。如此能夠實現第一密鑰在密碼設備之間的同步。
9、在另一些可能的實現方式中,管理系統能夠實現密鑰的備份。管理系統獲取第四密碼設備發送的包括第一密鑰索引的密鑰備份指令。管理系統從第一密碼設備中獲取第一密鑰索引對應的第一密鑰,并向第四密碼設備發送第一密鑰。本申請不限定管理系統從第一密碼設備中獲取第一密鑰索引對應的第一密鑰的方式。作為一種示例,管理系統在第一密碼設備創建第一密鑰后,從第一密碼設備發送的第一密鑰操作結果中獲取第一密鑰。作為另一種示例,管理系統在獲取到密鑰備份指令后,查詢第一密鑰索引對應的第一密鑰由第一密碼設備創建。管理系統從第一密碼設備獲取第一密鑰。
10、密鑰同步和密鑰備份能夠滿足應用遷移、增加新密碼設備等需要遷移密鑰的場景需求,實現業務應用與存儲密鑰的本地硬件解耦,擴大適用場景的范圍。并且,同步密鑰或者備份密鑰能夠提升密鑰的可靠性,確保密鑰可恢復。并且能夠減少其他密碼設備創建相同密鑰的執行過程,簡化密鑰管理的復雜程度。
11、在一些可能的實現方式中,密碼設備為物理功能設備。密碼設備包括虛擬化處理后得到的多個虛擬功能設備。密鑰索引對應的多個密鑰通過歸屬索引與多個虛擬功能設備關聯。如此,基于歸屬索引能夠判斷密鑰所關聯的虛擬功能設備,實現虛擬功能設備對關聯的密鑰的調用。無需在不同的虛擬功能設備內存儲相同的密鑰,節省密鑰的存儲空間,提升密鑰管理效率,節約空間成本。
12、在一些可能的實現方式中,管理系統還能夠對密碼設備中密鑰所對應的虛擬功能設備進行調整。管理系統向第一密碼設備發送密鑰調整指令。密鑰調整指令用于指示第一密碼設備調整第一密鑰在第一密碼設備的虛擬功能設備中的分布,并更新第一密鑰關聯的歸屬索引。利用歸屬索引能夠對密鑰與虛擬功能設備的關聯關系進行動態調整,并且避免在不同的虛擬功能設備中存儲相同的密鑰,降低密鑰的占用空間,節約成本。
13、第二方面,本申請提供一種密鑰處理裝置,所述裝置應用于管理系統,所述管理系統與業務系統連接,所述管理系統根據密鑰索引對密碼設備進行管理,所述裝置包括:獲取模塊,用于獲取所述業務系統中的第一業務系統發送的第一密鑰操作指令,所述第一密鑰操作指令包括第一密鑰信息以及第一操作類型;發送模塊,用于根據所述第一密鑰信息,向第一密碼設備發送第二密鑰操作指令,所述第二密鑰操作指令包括第一密鑰索引以及所述第一操作類型,所述第一密鑰索引為所述第一密鑰信息所對應的第一密鑰的索引,所述第二密鑰操作指令用于指本文檔來自技高網...
【技術保護點】
1.一種密鑰處理方法,所述方法應用于管理系統,所述管理系統與業務系統連接,所述管理系統根據密鑰索引對密碼設備進行管理,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述方法包括:
3.根據權利要求1或2所述的方法,其特征在于,所述獲取所述第一密碼設備反饋的第一密鑰操作結果之后,所述方法還包括:
4.根據權利要求1至3任一項所述的方法,其特征在于,所述第一操作類型包括下述的一種或多種:
5.根據權利要求1至4任一項所述的方法,其特征在于,所述第一操作類型為所述創建類型,所述獲取所述第一密碼設備反饋的第一密鑰操作結果之后,所述方法還包括:
6.根據權利要求1所述的方法,其特征在于,所述方法包括:
7.根據權利要求1所述的方法,其特征在于,所述方法包括:
8.根據權利要求1至7任一項所述的方法,其特征在于,所述密碼設備為物理功能設備,所述密碼設備包括多個虛擬功能設備,所述密鑰索引對應的多個密鑰通過歸屬索引與所述多個虛擬功能設備關聯。
9.根據權利要求1至8任一項所述的方法,其特征
10.一種密鑰處理裝置,所述裝置應用于管理系統,所述管理系統與業務系統連接,所述管理系統根據密鑰索引對密碼設備進行管理,所述裝置包括:
11.根據權利要求10所述的裝置,其特征在于,所述獲取模塊,還用于獲取所述業務系統中的第二業務系統發送的第三密鑰操作指令,所述第三密鑰操作指令包括第二密鑰信息以及第二操作類型;
12.根據權利要求10或11所述的裝置,其特征在于,所述裝置還包括:
13.根據權利要求10至12任一項所述的裝置,其特征在于,所述第一操作類型包括下述的一種或多種:
14.根據權利要求10至13任一項所述的裝置,其特征在于,所述第一操作類型為所述創建類型,所述裝置還包括:
15.根據權利要求10所述的裝置,其特征在于,所述發送模塊,還用于向所述第一密碼設備發送密鑰同步指令,所述密鑰同步指令包括所述第一密鑰索引,所述密鑰同步指令用于將所述第一密鑰索引對應的第一密鑰同步至第三密碼設備。
16.根據權利要求10所述的裝置,其特征在于,所述獲取模塊,還用于獲取第四密碼設備的密鑰備份指令,所述密鑰備份指令包括所述第一密鑰索引;
17.根據權利要求10至16任一項所述的裝置,其特征在于,所述密碼設備為物理功能設備,所述密碼設備包括多個虛擬功能設備,所述密鑰索引對應的多個密鑰通過歸屬索引與所述多個虛擬功能設備關聯。
18.根據權利要求10至17任一項所述的裝置,其特征在于,所述發送模塊,還用于向所述第一密碼設備發送密鑰調整指令,所述密鑰調整指令用于指示所述第一密碼設備調整所述第一密鑰在所述第一密碼設備的虛擬功能設備中的分布,并更新所述第一密鑰關聯的歸屬索引。
19.一種計算設備集群,其特征在于,包括至少一個計算設備,每個計算設備包括處理器和存儲器;
20.一種計算機可讀存儲介質,其特征在于,包括計算機程序指令,當所述計算機程序指令由計算設備集群執行時,所述計算設備集群執行如權利要求1至9任一項所述的方法。
21.一種包含指令的計算機程序產品,其特征在于,當所述指令被計算設備集群運行時,使得所述計算設備集群執行如權利要求的1至9任一項所述的方法。
...【技術特征摘要】
1.一種密鑰處理方法,所述方法應用于管理系統,所述管理系統與業務系統連接,所述管理系統根據密鑰索引對密碼設備進行管理,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述方法包括:
3.根據權利要求1或2所述的方法,其特征在于,所述獲取所述第一密碼設備反饋的第一密鑰操作結果之后,所述方法還包括:
4.根據權利要求1至3任一項所述的方法,其特征在于,所述第一操作類型包括下述的一種或多種:
5.根據權利要求1至4任一項所述的方法,其特征在于,所述第一操作類型為所述創建類型,所述獲取所述第一密碼設備反饋的第一密鑰操作結果之后,所述方法還包括:
6.根據權利要求1所述的方法,其特征在于,所述方法包括:
7.根據權利要求1所述的方法,其特征在于,所述方法包括:
8.根據權利要求1至7任一項所述的方法,其特征在于,所述密碼設備為物理功能設備,所述密碼設備包括多個虛擬功能設備,所述密鑰索引對應的多個密鑰通過歸屬索引與所述多個虛擬功能設備關聯。
9.根據權利要求1至8任一項所述的方法,其特征在于,所述方法包括:
10.一種密鑰處理裝置,所述裝置應用于管理系統,所述管理系統與業務系統連接,所述管理系統根據密鑰索引對密碼設備進行管理,所述裝置包括:
11.根據權利要求10所述的裝置,其特征在于,所述獲取模塊,還用于獲取所述業務系統中的第二業務系統發送的第三密鑰操作指令,所述第三密鑰操作指令包括第二密鑰信息以及第二操作類型;
12.根據權利要求10或11所述的裝置,其特征在于,所述裝置還包括:
13.根據權利要求...
【專利技術屬性】
技術研發人員:魏玉科,鄧藝,張振宇,
申請(專利權)人:華為云計算技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。