【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及互聯(lián)網(wǎng),特別是一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng)及應(yīng)用方法。
技術(shù)介紹
1、?密鑰管理是指處理密鑰從產(chǎn)生到最終銷毀的整個過程中的相關(guān)問題,包括系統(tǒng)的初始化及密鑰的產(chǎn)生、存儲、備份/恢復(fù)、裝入、分配、保護(hù)、更新、控制、丟失、撤銷和銷毀等內(nèi)容?。密鑰管理在保密系統(tǒng)中尤為重要,因?yàn)槊荑€是保密系統(tǒng)中最脆弱的環(huán)節(jié),密鑰的分配和存儲直接影響到系統(tǒng)整體的安全性。
2、傳統(tǒng)的密鑰管理系統(tǒng)一般采用靜態(tài)密鑰管理方法,即密鑰一旦生成和分發(fā)后將長期使用,這種方式雖然簡單,但帶來了一些如下缺陷,安全風(fēng)險高:如果密鑰泄露,攻擊者可以長時間訪問加密數(shù)據(jù);難以防止重放攻擊:密鑰不定期更換,容易被攻擊者攔截并多次利用;難于合規(guī):許多現(xiàn)代安全標(biāo)準(zhǔn)(如?pci-dss支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))要求定期更新密鑰以降低泄露風(fēng)險,對于系統(tǒng)的應(yīng)用帶來了不利影響。密鑰輪轉(zhuǎn)機(jī)制,指的是在一段固定時間后自動替換加密密鑰,從而提高系統(tǒng)的安全性,目前的密鑰輪轉(zhuǎn)(密鑰輪轉(zhuǎn)?是一種安全措施,通過定期更換加密密鑰來增強(qiáng)系統(tǒng)的安全性)技術(shù)通常分為以下幾類,(1)定時密鑰輪轉(zhuǎn):具體的,一些系統(tǒng)會在預(yù)設(shè)的時間間隔后自動替換密鑰,例如每?24?小時或每周輪換一次密鑰,上述方式的優(yōu)點(diǎn)是能有效降低密鑰泄露后的風(fēng)險,缺點(diǎn)是存在管理負(fù)擔(dān),且輪轉(zhuǎn)頻率設(shè)置不合理可能導(dǎo)致性能問題;(2)隨機(jī)密鑰輪轉(zhuǎn):隨機(jī)密鑰輪轉(zhuǎn)基于系統(tǒng)或事件的觸發(fā)條件(例如達(dá)到特定訪問次數(shù))來更新密鑰,其優(yōu)點(diǎn)是易預(yù)測的輪轉(zhuǎn)頻率可以增加安全性,缺點(diǎn)是難于監(jiān)控和調(diào)試,對系統(tǒng)資源有較大需求;(3)密鑰分級和層級管理:密鑰分級管理中,頂
技術(shù)實(shí)現(xiàn)思路
1、為了克服現(xiàn)有密鑰管理系統(tǒng)的密鑰輪轉(zhuǎn)機(jī)制,由于技術(shù)所限,存在如
技術(shù)介紹
所述弊端,本專利技術(shù)提供了在相關(guān)單元及流程共同作用下,降低了密鑰泄露風(fēng)險、能防止重復(fù)攻擊、滿足了合規(guī)要求、提升了加密強(qiáng)度、能應(yīng)對設(shè)備失竊或被攻破,通過本地密鑰輪轉(zhuǎn),尤其是在分布式系統(tǒng)或客戶端環(huán)境中,可以提高系統(tǒng)的整體安全性并增強(qiáng)了對數(shù)據(jù)的保護(hù),解決了密鑰的輪轉(zhuǎn)問題,還提高了密鑰讀取解析速度,為互聯(lián)網(wǎng)安全起到了有力技術(shù)支持的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng)及應(yīng)用方法。
2、本專利技術(shù)解決其技術(shù)問題所采用的技術(shù)方案是:
3、一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng),包括云端的連接密鑰管理、密鑰生成與管理、密鑰存儲應(yīng)用軟件單元,所述連接密鑰管理單元還具有分層密鑰架構(gòu)子單元,密鑰生成與管理單元還具有密鑰版本控制子單元、自動化密鑰輪轉(zhuǎn)與密鑰管理子單元、舊密鑰的安全處理子單元、密鑰輪轉(zhuǎn)備份與恢復(fù)機(jī)制子單元;所述分層密鑰架構(gòu)子單元能實(shí)現(xiàn)主密鑰與數(shù)據(jù)密鑰的分離管理,密鑰版本控制子單元具有密鑰版本化管理、多版本密鑰解密支持功能,密鑰版本化管理應(yīng)用中,每個密鑰輪換周期生成一個新密鑰,并分配版本號,多版本密鑰解密應(yīng)用中,解密時,密鑰版本控制子單元據(jù)數(shù)據(jù)的密鑰版本號選擇對應(yīng)的密鑰,保證數(shù)據(jù)解密的連續(xù)性和兼容性;所述自動化密鑰輪轉(zhuǎn)與密鑰管理子單元具有自動化密鑰輪轉(zhuǎn)、集應(yīng)用中式密鑰管理功能,自動化密鑰輪轉(zhuǎn)應(yīng)用中,能設(shè)置密鑰輪轉(zhuǎn)頻率、并在系統(tǒng)中實(shí)現(xiàn)自動化輪轉(zhuǎn)流程,集應(yīng)用中式密鑰管理應(yīng)用中,密鑰由ksp密鑰管理系統(tǒng)生成;所述舊密鑰的安全處理子單元具有密鑰淘汰機(jī)制、銷毀過期密鑰功能,密鑰淘汰機(jī)制應(yīng)用中,能設(shè)定密鑰的有效期和廢棄期,到期后自動禁用舊密鑰的加密權(quán)限,但仍保留解密權(quán)限,銷毀過期密鑰中,當(dāng)所有數(shù)據(jù)更新為新密鑰后將舊密鑰從存儲中徹底銷毀、防止被惡意恢復(fù)利用;所述密鑰輪轉(zhuǎn)備份與恢復(fù)機(jī)制子單元具有輪轉(zhuǎn)密鑰前的備份和快照功能、輪轉(zhuǎn)回滾機(jī)制功能,輪轉(zhuǎn)前的備份和快照應(yīng)用中,在大規(guī)模密鑰輪轉(zhuǎn)操作前能創(chuàng)建密鑰和數(shù)據(jù)的備份或快照、以便在出現(xiàn)問題時快速恢復(fù)到穩(wěn)定狀態(tài),輪轉(zhuǎn)回滾機(jī)制應(yīng)用中,當(dāng)輪轉(zhuǎn)發(fā)生故障或新密鑰無法正常解密數(shù)據(jù)時,系統(tǒng)能迅速切換回舊密鑰、保持業(yè)務(wù)連續(xù)性。
4、進(jìn)一步地,所述分層密鑰架構(gòu)子單元采用分層密鑰架構(gòu),主密鑰用于派生或加密數(shù)據(jù)密鑰,數(shù)據(jù)加密使用數(shù)據(jù)密鑰,而不是主密鑰,確保輪換時無需解密所有數(shù)據(jù)。
5、進(jìn)一步地,所述密鑰版本化管理中,具體的,加密時記錄密鑰版本信息,用于標(biāo)識數(shù)據(jù)是用哪個密鑰版本加密的;多版本密鑰解密中,舊版本密鑰可以設(shè)置為僅用于解密,確保新數(shù)據(jù)始終使用最新密鑰版本。
6、進(jìn)一步地,所述自動化密鑰輪轉(zhuǎn)中,密鑰輪轉(zhuǎn)頻率是定期或在特定事件后自動觸發(fā)輪轉(zhuǎn)。
7、進(jìn)一步地,所述集中式密鑰管理中,密鑰密文傳遞給加密組件通過keystore統(tǒng)一管理密鑰的存儲、輪轉(zhuǎn)、銷毀,保障輪轉(zhuǎn)過程的安全性,減少人工干預(yù),提升輪轉(zhuǎn)效率。
8、一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng)的應(yīng)用方法,包括如下步驟:步驟a:通過密鑰生成與管理單元初始化生成rsa密鑰對,獲取本機(jī)mac、ip、系統(tǒng)版本與認(rèn)證令牌發(fā)送http請求,ksp密鑰管理平臺認(rèn)證成功后返回token,開啟執(zhí)行輪轉(zhuǎn)任務(wù)調(diào)度器,能保證密鑰生成與輪轉(zhuǎn)的持續(xù)性;步驟b:通過連接密鑰管理單元,經(jīng)ksp密鑰管理平臺下發(fā)的token獲取到rsa公鑰加密的密鑰密文,使用私鑰解密后創(chuàng)建keystore文件存儲密鑰關(guān)聯(lián)的密鑰標(biāo)簽、密鑰版本、密鑰過期時間、密鑰密文信息,完成注冊輪轉(zhuǎn)定時任務(wù);步驟c:通過密鑰存儲單元,存儲步驟b數(shù)據(jù)后,完成后任務(wù)調(diào)度器定時檢查密鑰過期時間,過期后任務(wù)調(diào)度器向ksp密鑰管理平臺重復(fù)步驟b下單密鑰,在keystore通過密鑰標(biāo)簽進(jìn)行輪轉(zhuǎn)更新密鑰密文信息、密鑰版本、過期時間,保證了密鑰安全性;步驟d:?通過密鑰生成與管理單元進(jìn)行數(shù)據(jù)加密,具體的,經(jīng)http連接發(fā)送token、rsa公鑰、密鑰標(biāo)簽、密鑰長度,向ksp密鑰管理平臺獲取密鑰,ksp密鑰管理平臺驗(yàn)證token后,標(biāo)簽與版本匹配到密鑰進(jìn)行數(shù)據(jù)加密,經(jīng)密鑰長度生成密鑰標(biāo)簽對應(yīng)的密鑰,用公鑰加密密鑰后返回密文,生成rsa密鑰對;步驟e:解密數(shù)據(jù),從密文中提取出密鑰版本標(biāo)識,通過標(biāo)簽與版本匹配密鑰進(jìn)行數(shù)據(jù)解密。
9、進(jìn)一步地,所述步驟a中,本機(jī)mac、ip、系統(tǒng)版本與認(rèn)證令牌由ksp密鑰管理平臺頁面下發(fā)。
10、進(jìn)一步地,所述步驟c中,在密鑰存儲時間過期后,能再次重復(fù)步驟c執(zhí)行輪轉(zhuǎn)任務(wù)本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
1.一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng),其特征在于,包括云端的連接密鑰管理、密鑰生成與管理、密鑰存儲應(yīng)用軟件單元,所述連接密鑰管理單元還具有分層密鑰架構(gòu)子單元,密鑰生成與管理單元還具有密鑰版本控制子單元、自動化密鑰輪轉(zhuǎn)與密鑰管理子單元、舊密鑰的安全處理子單元、密鑰輪轉(zhuǎn)備份與恢復(fù)機(jī)制子單元;所述分層密鑰架構(gòu)子單元能實(shí)現(xiàn)主密鑰與數(shù)據(jù)密鑰的分離管理,密鑰版本控制子單元具有密鑰版本化管理、多版本密鑰解密支持功能,密鑰版本化管理應(yīng)用中,每個密鑰輪換周期生成一個新密鑰,并分配版本號,多版本密鑰解密應(yīng)用中,解密時,密鑰版本控制子單元據(jù)數(shù)據(jù)的密鑰版本號選擇對應(yīng)的密鑰,保證數(shù)據(jù)解密的連續(xù)性和兼容性;所述自動化密鑰輪轉(zhuǎn)與密鑰管理子單元具有自動化密鑰輪轉(zhuǎn)、集應(yīng)用中式密鑰管理功能,自動化密鑰輪轉(zhuǎn)應(yīng)用中,能設(shè)置密鑰輪轉(zhuǎn)頻率、并在系統(tǒng)中實(shí)現(xiàn)自動化輪轉(zhuǎn)流程,集應(yīng)用中式密鑰管理應(yīng)用中,密鑰由KSP密鑰管理系統(tǒng)生成;所述舊密鑰的安全處理子單元具有密鑰淘汰機(jī)制、銷毀過期密鑰功能,密鑰淘汰機(jī)制應(yīng)用中,能設(shè)定密鑰的有效期和廢棄期,到期后自動禁用舊密鑰的加密權(quán)限,但仍保留解密權(quán)限,銷毀過期密鑰中,當(dāng)所有數(shù)據(jù)更新為新密鑰后將舊密鑰從
2.根據(jù)權(quán)利要求1所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng),其特征在于,分層密鑰架構(gòu)子單元采用分層密鑰架構(gòu),主密鑰用于派生或加密數(shù)據(jù)密鑰,數(shù)據(jù)加密使用數(shù)據(jù)密鑰,而不是主密鑰,確保輪換時無需解密所有數(shù)據(jù)。
3.根據(jù)權(quán)利要求1所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng),其特征在于,密鑰版本化管理中,具體的,加密時記錄密鑰版本信息,用于標(biāo)識數(shù)據(jù)是用哪個密鑰版本加密的;多版本密鑰解密中,舊版本密鑰可以設(shè)置為僅用于解密,確保新數(shù)據(jù)始終使用最新密鑰版本。
4.根據(jù)權(quán)利要求1所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng),其特征在于,自動化密鑰輪轉(zhuǎn)中,密鑰輪轉(zhuǎn)頻率是定期或在特定事件后自動觸發(fā)輪轉(zhuǎn)。
5.根據(jù)權(quán)利要求1所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng)設(shè)備,其特征在于,集中式密鑰管理中,密鑰密文傳遞給加密組件通過Keystore統(tǒng)一管理密鑰的存儲、輪轉(zhuǎn)、銷毀,保障輪轉(zhuǎn)過程的安全性,減少人工干預(yù),提升輪轉(zhuǎn)效率。
6.根據(jù)權(quán)利要求1~5任一所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng)的應(yīng)用方法,其特征在于,包括如下步驟:步驟A:通過密鑰生成與管理單元初始化生成RSA密鑰對,獲取本機(jī)MAC、IP、系統(tǒng)版本與認(rèn)證令牌發(fā)送HTTP請求,KSP密鑰管理平臺認(rèn)證成功后返回TOKEN,開啟執(zhí)行輪轉(zhuǎn)任務(wù)調(diào)度器,能保證密鑰生成與輪轉(zhuǎn)的持續(xù)性;步驟B:通過連接密鑰管理單元,經(jīng)KSP密鑰管理平臺下發(fā)的TOKEN獲取到RSA公鑰加密的密鑰密文,使用私鑰解密后創(chuàng)建keystore文件存儲密鑰關(guān)聯(lián)的密鑰標(biāo)簽、密鑰版本、密鑰過期時間、密鑰密文信息,完成注冊輪轉(zhuǎn)定時任務(wù);步驟C:通過密鑰存儲單元,存儲步驟B數(shù)據(jù)后,完成后任務(wù)調(diào)度器定時檢查密鑰過期時間,過期后任務(wù)調(diào)度器向KSP密鑰管理平臺重復(fù)步驟B下單密鑰,在keystore通過密鑰標(biāo)簽進(jìn)行輪轉(zhuǎn)更新密鑰密文信息、密鑰版本、過期時間,保證了密鑰安全性;步驟D:?通過密鑰生成與管理單元進(jìn)行數(shù)據(jù)加密,具體的,經(jīng)HTTP連接發(fā)送TOKEN、RSA公鑰、密鑰標(biāo)簽、密鑰長度,向KSP密鑰管理平臺獲取密鑰,KSP密鑰管理平臺驗(yàn)證TOKEN后,標(biāo)簽與版本匹配到密鑰進(jìn)行數(shù)據(jù)加密,經(jīng)密鑰長度生成密鑰標(biāo)簽對應(yīng)的密鑰,用公鑰加密密鑰后返回密文,生成RSA密鑰對;步驟E:解密數(shù)據(jù),從密文中提取出密鑰版本標(biāo)識,通過標(biāo)簽與版本匹配密鑰進(jìn)行數(shù)據(jù)解密。
7.根據(jù)權(quán)利要求6所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng)的應(yīng)用方法,其特征在于,步驟A中,本機(jī)MAC、IP、系統(tǒng)版本與認(rèn)證令牌由KSP密鑰管理平臺頁面下發(fā)。
8.根據(jù)權(quán)利要求6所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng)的應(yīng)用方法,其特征在于,步驟C中,在密鑰存儲時間過期后,能再次重復(fù)步驟C執(zhí)行輪轉(zhuǎn)任務(wù)、再次下單向KSP密鑰管理平臺獲取密鑰,并再次重復(fù)步驟D,在keystore存儲密鑰、版本、過期時間,本次密鑰輪轉(zhuǎn)結(jié)束。
9.根據(jù)權(quán)利要求6所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng)的應(yīng)用方法,其特征在于,步驟D中,進(jìn)行加密數(shù)據(jù)時,具體通過標(biāo)簽與版本匹配到密鑰進(jìn)行數(shù)據(jù)加密,生成密文。
...【技術(shù)特征摘要】
1.一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng),其特征在于,包括云端的連接密鑰管理、密鑰生成與管理、密鑰存儲應(yīng)用軟件單元,所述連接密鑰管理單元還具有分層密鑰架構(gòu)子單元,密鑰生成與管理單元還具有密鑰版本控制子單元、自動化密鑰輪轉(zhuǎn)與密鑰管理子單元、舊密鑰的安全處理子單元、密鑰輪轉(zhuǎn)備份與恢復(fù)機(jī)制子單元;所述分層密鑰架構(gòu)子單元能實(shí)現(xiàn)主密鑰與數(shù)據(jù)密鑰的分離管理,密鑰版本控制子單元具有密鑰版本化管理、多版本密鑰解密支持功能,密鑰版本化管理應(yīng)用中,每個密鑰輪換周期生成一個新密鑰,并分配版本號,多版本密鑰解密應(yīng)用中,解密時,密鑰版本控制子單元據(jù)數(shù)據(jù)的密鑰版本號選擇對應(yīng)的密鑰,保證數(shù)據(jù)解密的連續(xù)性和兼容性;所述自動化密鑰輪轉(zhuǎn)與密鑰管理子單元具有自動化密鑰輪轉(zhuǎn)、集應(yīng)用中式密鑰管理功能,自動化密鑰輪轉(zhuǎn)應(yīng)用中,能設(shè)置密鑰輪轉(zhuǎn)頻率、并在系統(tǒng)中實(shí)現(xiàn)自動化輪轉(zhuǎn)流程,集應(yīng)用中式密鑰管理應(yīng)用中,密鑰由ksp密鑰管理系統(tǒng)生成;所述舊密鑰的安全處理子單元具有密鑰淘汰機(jī)制、銷毀過期密鑰功能,密鑰淘汰機(jī)制應(yīng)用中,能設(shè)定密鑰的有效期和廢棄期,到期后自動禁用舊密鑰的加密權(quán)限,但仍保留解密權(quán)限,銷毀過期密鑰中,當(dāng)所有數(shù)據(jù)更新為新密鑰后將舊密鑰從存儲中徹底銷毀、防止被惡意恢復(fù)利用;所述密鑰輪轉(zhuǎn)備份與恢復(fù)機(jī)制子單元具有輪轉(zhuǎn)密鑰前的備份和快照功能、輪轉(zhuǎn)回滾機(jī)制功能,輪轉(zhuǎn)前的備份和快照應(yīng)用中,在大規(guī)模密鑰輪轉(zhuǎn)操作前能創(chuàng)建密鑰和數(shù)據(jù)的備份或快照、以便在出現(xiàn)問題時快速恢復(fù)到穩(wěn)定狀態(tài),輪轉(zhuǎn)回滾機(jī)制應(yīng)用中,當(dāng)輪轉(zhuǎn)發(fā)生故障或新密鑰無法正常解密數(shù)據(jù)時,系統(tǒng)能迅速切換回舊密鑰、保持業(yè)務(wù)連續(xù)性。
2.根據(jù)權(quán)利要求1所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng),其特征在于,分層密鑰架構(gòu)子單元采用分層密鑰架構(gòu),主密鑰用于派生或加密數(shù)據(jù)密鑰,數(shù)據(jù)加密使用數(shù)據(jù)密鑰,而不是主密鑰,確保輪換時無需解密所有數(shù)據(jù)。
3.根據(jù)權(quán)利要求1所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng),其特征在于,密鑰版本化管理中,具體的,加密時記錄密鑰版本信息,用于標(biāo)識數(shù)據(jù)是用哪個密鑰版本加密的;多版本密鑰解密中,舊版本密鑰可以設(shè)置為僅用于解密,確保新數(shù)據(jù)始終使用最新密鑰版本。
4.根據(jù)權(quán)利要求1所述的一種密鑰輪轉(zhuǎn)數(shù)據(jù)加密系統(tǒng),其特征在于,自動化密鑰輪轉(zhuǎn)中,密鑰輪轉(zhuǎn)頻率是定期或在特定事件后自動觸發(fā)輪轉(zhuǎn)。
5.根據(jù)...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:呂鵬東,張鑫,劉志宏,
申請(專利權(quán))人:上海安當(dāng)技術(shù)有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。