CN113824553B 密钥管理方法、装置及系统 （华为技术有限公司）

址所对应的密钥分量管理网元获取相应的M个密钥分量的密文，使用密钥管理网元的私钥对M个密钥分量的密文进行解密得到M个密钥分量的明第一密钥以及第一密钥的ID执行相应的密钥操2的密文为用所述密钥管理网元的公钥对相应密钥分量网元生成的密钥分量的明文加密得根据所述M个密文存储地址获取相应的M个密钥分量的密文，使接收N个密钥分量管理网元发送的注册请求，每一个密钥分量管理网元发送的注册请所述N个密文存储地址，将所述N个密钥分量的密文的序号与所述N个密钥分量管理网元的4.根据权利要求2或3所述的方法，其特征在于，所述密存储所述M个密文存储地址与所述第一密钥的ID之间的根据所述K个密文存储地址获取相应的K个密钥分量的密文，使使用所述第二密钥更新第一密文，所述第一密文为根据所述第所述K与所述M相同或不同，所述K个密钥分量的密文的密文存储地址与所所述K与所述M相同或不同，所述K个密钥分量的密文的密文存储地址与所3量的密文的密文存储地址部分或全部相同，同一密文存储地址对应的密钥分量的密文不8.根据权利要求6或7所述的方法，其特征在于，根据所述M个密文存储地址获取相应的M个密钥分量的密文，使当所有所述第一密文被更新后，将所述M个密文存储地址与所述第一密钥的ID之间的对应关系更新为所述K个密文存储地址与所述第二密钥的ID之间的对应关系，所述第一密使用下述任一种算法对所述M个密钥分量的明文进行计算得到所述第一密钥：基于密一个密钥分量的密文为用所述密钥管理网元的公钥对相应密钥分量网元生成的密钥分量所述处理单元，还用于根据所述M个密文存储地址获取相应的M个4所述处理单元，还用于响应于所述N个密钥分量管理网元发送的注册分量的密文的序号作为所述N个密文存储地址，将所述N个密钥分量的密文的序号与所述N址信息包括在所述密钥分量管理网元发送的注册所述密钥分量管理网元的文件传输协议FTP中任述M个密文存储地址与所述第一密钥的ID之间的对应根据所述K个密文存储地址获取相应的K个密钥分量的密文，使使用所述第二密钥更新第一密文，所述第一密文为根据所述第20.根据权利要求19所述的密钥管理网元，其特所述K与所述M相同或不同，所述K个密钥分量的密文的密文存储地址与所所述K与所述M相同或不同，所述K个密钥分量的密文的密文存储地址与所量的密文的密文存储地址部分或全部相同，同一密文存储地址对应的密钥分量的密文不根据所述第一密文包括的所述第一密钥的ID、以及所述M个密文存储地址与所述第一密钥根据所述M个密文存储地址获取相应的M个密钥分量的密文，使所述第一密文被更新后，将所述M个密文存储地址与所述第一密钥的ID之间的对应关系更5新为所述K个密文存储地址与所述第二密钥的ID之间的对应关系，所述第一密钥的ID与所述任一种算法对所述M个密钥分量的明文进行计算得到所述第一密钥：基于密码的密钥衍根据所述M个密文存储地址获取相应的M个密钥分量的密文，使分量的明文生成第一密钥，使用所述第一密钥以及所述第一密钥的ID执行相应的密钥操30.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括计算机指6钥。存储地址，一个密钥存储地址可以用于从一个密钥分量管理网元获取一个密钥分量的密管理网元的私钥对M个密钥分量的密文进行解密得到M个密钥分量的明文，基于M个密钥分且密钥分量以密文的形式分布式存在较多的密钥分量管理网元，使得攻击者/不法分子从密钥分量管理网元存储有密钥分量的密文的注册请求，响应于N个密钥分量管理网元发送7[0011]一种可能的设计中，密钥分量管理网元的地址信息包括密钥分量管理网元的ID、元的文件传输协议(filetransferprotocol，FTP)中任一种地址信息。基于该可能的设的对应关系，以便于后续密钥管理网元根据该对应关系得到/追溯用于生成第一密钥的密据M个密文存储地址获取相应的M个密钥分量的密文，使用密钥管理网元的私钥分别对M个密钥分量的密文进行解密得到M个密钥分量的明文，基于M个密钥分量的明文生成第一密基于M个密文存储地址与第一密钥的ID之间的对应关系确定密文存储地址，根据密文存储8地址与第一密钥的ID之间的对应关系更新为K个密文存储地址与第二密钥的ID之间的对应触发条件下及时更新密钥，保证业务系统中密钥以及利用密钥所加密的密文的持续安全全哈希算法(securehashalgorithm，SHA)256、散列信息认证码(hash-basedmessage装置可以实现上述第一方面或者各可能的设计中密钥管理网元所执行的功能。一种设计中，该装置可以包括执行第一方面中所描述的方法/操作/步骤/动作所一一对应的模块单9达到与第一方面或者第一方面的任一可能的设计相同的有应的M个密钥分量的密文，使用密钥管理网元的私钥分别对M个密钥分量的密文进行解密，令，以使该装置执行上述第一方面或者第一方面的任一种可能的设计所述的密钥管理方统可以用于实现上述第一方面或第一方面的任一可能的设计中密钥管理网元所执行的功根据M个密文存储地址获取相应的M个密钥分量的密文，使用密钥管理网元的私钥分别对M传输类工作密钥可以包括数据加密传输密钥。过密钥特征码来标识KEK对应的加密场景。鉴权类密钥加密密钥可以为鉴权类工作密钥提密密钥或者工作密钥)提供机密性保护，使用根密钥加密后的密钥加密密钥的密文存储在密钥管理网元生成的密钥分量以及终端设备生成的这三个密钥分量进行合成得到根密钥，中选择出M个密文存储地址，根据M个密文存储地址从密钥分量管理网元获取M个密钥分量量更新第一密钥得到第二密钥。为例，如图3所示，密钥管理网元、密钥分量管理网元可以部署在一个设备的应用程序以称为业务网元，如密钥分量管理网元可以为APP上的前台操作(frontendportal)网元、后台操作(backendportal)网元、文档服务(documentservice)网元、日志服务(logservice)网元、定时任务服务(taskjobservice)网元、通知服务(notification(securehashalgorithm，SHA)256或者散列信息认证码(hash-basedmessage越安全。密钥分量管理网元可以使用安全随机算法或者密钥派生算法生成密钥分量的明[0062]执行步骤401之前，可以由密钥管理网元生成密钥管理网元的公钥与密钥管理网应于密钥分量管理网元发送的请求消息，将密钥管理网元的公钥发送给密钥分量管理网向密钥管理网元发送注册请求，该注册请求可以用于指示密钥分量管理网元存储有/生成他新增消息或者现有消息将密钥分量管理网元存储有/生成有密码分量的密文通知给密钥理网元可以通过密钥分量管理网元与密钥管理网元之间的传输隧道向密钥管理网元发送钥分量管理网元的ID可以为密钥分量管理网元在业务系统中的编号或者索引(index)等。密钥分量管理网元的URL/FTP与密钥分量管理网元的ID之间存在对者，采用下述URL：/1/part1.cred、/2/对应标识密钥分量管理网元1～密钥分量管理网元4，或者，采用下述FTP：ftp://一个密文存储地址用于从一个密钥分量管理网元获取一个密文的序号与N个密钥分量管理网元的地址信息对应存储起来，如可以以列表或者数组形1234分量的密文的序号作为N个密文存储地址，将N个密钥分量的密文的序号与N个密钥分量管元可以通过其与N个密钥分量管理网元之间的传输隧道接收N个密钥分量管理网元发送的密文的序号作为N个密文存储地址，将N个密钥分量的密文的序号与N个传输隧道的标识信钥管理网元在N个密文存储地址中随机选择M个密文存储地址，或者顺序选择M个密文存储请求获取密钥分量的密文，M个密钥分量管理网元中每一个密钥分量管理网元接收到获取文的序号，密钥管理网元将选择的M个序号对应的M个地址信息作为M个密钥分量管理网元密钥管理网元的私钥以及密钥分量的密文作为输入参数输入到哈希算法(如SHA256或者[0086]示例性的，密钥管理网元可以使用下述任一种算法对M个密钥分量的明文进行计密钥分量的明文作为输入参数输入到HMAC算法得到第一ID拼接在一起可以包括：将第一密钥的ID排列在安全随机数之后。如假设安全随机数为便在接收到密钥操作请求后，密钥管理网元从已存在密文存储地址中选择密文存储地址，根据选择的密钥存储地址获取M个密钥分量的密文，对M个密钥分量的密文进行解密得到M[0092]示例性的，密钥管理网元存储M个密文存储地址与第一密钥的ID之间的对应关系1234[0098]密钥管理网元确定更新第一密钥，从N个密文存储地址中选择根据K个密文存储地址获取相应的K个密钥分量的密文，使用密钥管理网元的私钥分别对K储地址与M个密钥分量的密文的密文存储地址部分或全部相同，同一密文存储地址对应的[0105]例如，M个密文存储地址对应的M个密钥分量管理网元中量进行加密得到新的密钥分量的密文，该第一密钥分量管理网元向密钥管理网元指示信密钥的密钥分量，密钥管理网元可以将K个密文存储地址与第二密钥的ID之间的对应关系第一密钥的ID之间的对应关系处于history状态时，密钥管理网元可以使用第一密钥对利存储地址与第二密钥的ID之间的对应关系，根据K个密文存储地址与第一密钥的ID之间的方法中根据选择出的M个密文存储地址进一步的获取M个密钥分量的明文，根据M个密文分分量的密文给密钥管理网元，而是通知密钥管理网元该业务网元生成有/持有密钥分量的[0117]步骤502：密钥管理网元响应于各个业务网元发送的注册请求，记录密文存储地[0121]示例性的，密钥管理网元可以随机从记录的密文存储地址中选择M个密文存储地量记录表中被选中的M个密文存储地址对应标志钥管理网元针对每个加密场景生成一个KEK或者WK，为每个密钥分配业务系统内唯一的密10004则是针对业务系统对用户敏感数据加密存储的场景使用，这样就定义了不同加密场WK_10001WK_10002WK_10003WK_10004KEK_10002管理网元的私钥分别对M个密钥分量的密文进行解密得到M个密钥分量的密文，根据M个密[0131]示例性的，密钥管理网元可以基于哈希算法对第一根密钥以及KEK的原文进行加[0135]步骤507：密钥管理网元根据KEK的原文以及KEK的密钥ID对WK的原文执行加密操[0138]例如，以用KEK_10002加密WK_10004为例，密钥管理网元生成安全随机数文为：“23465346553454210002HSHGHrete45HFDGDSFggygertGDSFtrewtjjKkjhKJKarawWQsdfgerGewrtJDwW”。管理网元可以将密钥ID为10004的WK的相关信息记录在密钥记录表中，如下表五所示。其[0142]由上可知，上述表五中密钥ID为10004的WK的密文由下述表六中的安全随机数、WK_10004携带在加密请求中发送给密钥管理553454210002HSHGHrete45HFDGDSFggygertGDSFtrewtjjKkjhKJKarawWQsdf用密钥管理网元的私钥对M个密钥分量的密文解密得到M个密钥分量的明文，根据M个密钥[0158]示例性的，密钥管理网元可以使用安全随机数生成器生成16字节的安全随机数假定预先配置了用户敏感数据的加密算法为高级加密标准(advancedencryption分量的密文的密文存储地址供后续合成根密钥时使用，借助大规模集群系统抗攻击的优K个密文存储地址获取K个密钥分量的密文，利用密钥管理网元的私钥分别对M个密钥分量[0173]其中，第一KEK的原文可以为图5所示步骤504中生成的部分或者全部KEK的原[0175]步骤603：密钥管理网元利用第二根密钥对第一KEK的原文加密得到第一KEK的密KEK的相关信息记录在如下表八所示的密钥密钥ID为10002的相关记录中的状态更改为h管理网元可以用状态为effective所对应的KEK的密钥ID对第一钥ID为10004的相关记录中的状态更改为hist一步的，可以根据更新密文后的WK的原文对业务数据重新进行加密来更新业务数据的密453456324789910004HGASDGrwetarw23423hfdsGSDFHsdfsdSHAFSDTYhjgdSGDHG录表，从密钥记录表中查找得到WK的密钥ID为10004的WK的相关记录：密钥特征码WK_个密钥分量的密文的序号记录获取M个密钥分量的明文，合成第一根密钥，根据第一根密务数据的密文中携带WK/业务数据加密使用的KEK/WK密钥ID，解密时基于密钥的密文得到[0207]本申请实施例可以根据上述方法示例对密钥管理网元进行功能模块的划分，例个密钥分量的明文生成第一密钥，使用第一密钥以及第一密钥的ID执行相应的密钥操作。管理网元发送的注册请求用于指示密钥分量管理网元存号作为N个密文存储地址，将N个密钥分量的密文的序号与N个密钥分量管理网元的地址信[0214]具体的，上述图4-图6所示方法实施例涉及的各步骤的所有相关内容均可以援引[0215]在本实施例中，该装置70还可以采用集成的方式划分各个功能模块的形式来呈现。这里的“功能模块”可