This specification provides a method of cryptographic operation, creation of working key, cryptographic service platform and equipment. In the cryptographic module connected by the cryptographic service platform, the key management function is provided by the main cryptographic module. The main cryptographic module is used to generate the key. Both the main cryptographic module and the sub-cryptographic module can provide the cryptographic operation function required by the cryptographic service platform. Each cryptographic module generates its own master key independently, while the working key of the business system is generated by the master cryptographic module. The cryptographic service platform stores the working key ciphertext encrypted by the master key of the master cryptographic module and the working key ciphertext encrypted by the master key of each sub-cryptographic module respectively. As sensitive security parameters, the master key and the working key plaintext will not exceed the boundary of the cryptographic module, and will not lose the security of the key to meet the security requirements of the key. The cryptographic service platform can call any cryptographic module to respond to the cryptographic operation request of the business system. The cryptographic service platform can be compatible with many cryptographic modules.
【技术实现步骤摘要】
密码运算、创建工作密钥的方法、密码服务平台及设备
本说明书涉及密码
,尤其涉及密码运算、创建工作密钥的方法、密码服务平台及设备。
技术介绍
随着互联网技术的发展,各类业务系统层出不穷,给人们的工作、生活带来了极大的便利,也促进了经济的增长和社会的进步。密码技术是保护银行、证券或交易等业务系统在数据存储、传输、访问控制中确保数据机密性、完整性、抗抵赖及可用性的重要技术手段。例如,企业可配置密码服务平台,密码服务平台是基于密码模块提供密钥管理、密码运算服务的系统平台,该平台作为业务系统的服务端,能够为业务系统提供消息验证、数据加密与解密、签名验签等应用层密码服务,保障数据在存储、传输及应用过程中的安全性,防止数据被窃取或恶意篡改。如何提供一个更为稳定的密码服务平台成为亟待解决的技术问题。
技术实现思路
为克服相关技术中存在的问题,本说明书提供了密码运算、创建工作密钥的方法、密码服务平台及设备。根据本说明书实施例的第一方面,提供一种密码服务平台,所述密码服务平台连接有主密码模块和至少一个次密码模块,所述密码模块具有主密钥;所述密码服务平台包括:注册模块,用于:调用所述次密码模块生成包括目标公钥和目标私钥的非对称密钥对,获取所述次密码模块返回的目标公钥后存储;工作密钥创建模块,用于:接收业务系统的工作密钥创建请求,以所述次密码模块的目标公钥为输入,调用所述主密码模块为所述业务系统生成工作密钥,获取所述主密码模块返回的:所述主密码模块的主密钥加密的工作密钥密文,以及所述次密码模块的目标公钥加密的工作密钥密文;以所述次密码模块的目标公钥加密的工作密钥密文为输入,调用...
【技术保护点】
1.一种密码服务平台,所述密码服务平台连接有主密码模块和至少一个次密码模块,各密码模块具有主密钥;所述密码服务平台包括:注册模块,用于:调用所述次密码模块生成包括目标公钥和目标私钥的非对称密钥对,获取所述次密码模块返回的目标公钥后存储;工作密钥创建模块,用于:接收业务系统的工作密钥创建请求,以所述次密码模块的目标公钥为输入,调用所述主密码模块为所述业务系统生成工作密钥,获取所述主密码模块返回的:所述主密码模块的主密钥加密的工作密钥密文,以及所述次密码模块的目标公钥加密的工作密钥密文;以所述次密码模块的目标公钥加密的工作密钥密文为输入,调用所述次密码模块,获取所述次密码模块返回的:以所述目标私钥解密输入的工作密钥密文后,以自身主密钥加密的工作密钥密文;密码运算调用模块,用于:接收业务系统的密码运算请求,所述密码运算请求携带有待运算数据;确定响应所述密码运算请求的目标密码模块;以所述目标密码模块对应的工作密钥密文和所述待运算数据作为输入,调用所述目标密码模块,获得所述目标密码模块的运算结果,所述运算结果由所述目标密码模块利用已存储主密钥对所述工作密钥密文解密得到工作密钥后,利用解密得到的工...
【技术特征摘要】
1.一种密码服务平台,所述密码服务平台连接有主密码模块和至少一个次密码模块,各密码模块具有主密钥;所述密码服务平台包括:注册模块,用于:调用所述次密码模块生成包括目标公钥和目标私钥的非对称密钥对,获取所述次密码模块返回的目标公钥后存储;工作密钥创建模块,用于:接收业务系统的工作密钥创建请求,以所述次密码模块的目标公钥为输入,调用所述主密码模块为所述业务系统生成工作密钥,获取所述主密码模块返回的:所述主密码模块的主密钥加密的工作密钥密文,以及所述次密码模块的目标公钥加密的工作密钥密文;以所述次密码模块的目标公钥加密的工作密钥密文为输入,调用所述次密码模块,获取所述次密码模块返回的:以所述目标私钥解密输入的工作密钥密文后,以自身主密钥加密的工作密钥密文;密码运算调用模块,用于:接收业务系统的密码运算请求,所述密码运算请求携带有待运算数据;确定响应所述密码运算请求的目标密码模块;以所述目标密码模块对应的工作密钥密文和所述待运算数据作为输入,调用所述目标密码模块,获得所述目标密码模块的运算结果,所述运算结果由所述目标密码模块利用已存储主密钥对所述工作密钥密文解密得到工作密钥后,利用解密得到的工作密钥对所述待运算数据进行加密得到。2.根据权利要求1所述的密码服务平台,所述注册模块存储的目标私钥以所述次密码模块的主密钥加密。3.根据权利要求1所述的密码服务平台,所述注册模块还用于:获取所述次密码模块的主密钥加密的目标私钥指示数据;所述工作密钥创建模块在调用所述次密码模块时,还以所述目标私钥指示数据为输入,以供所述次密码模块利用主密钥解密获取目标私钥后,解密输入的工作密钥密文。4.根据权利要求3所述的密码服务平台,所述次密码模块的主密钥加密的目标私钥指示数据,包括:以所述次密码模块的主密钥对所述目标私钥加密的目标私钥密文,或以所述次密码模块的主密钥加密的目标私钥标识。5.根据权利要求1所述的密码服务平台,所述注册模块还用于:以所述目标公钥为输入调用所述主密码模块,由所述主密码模块对所述目标公钥进行认证,获取主密码模块对所述目标公钥进行消息鉴别码值计算得到的密钥校验值;所述密钥校验值由所述工作密钥创建模块在调用所述主密码模块时作为输入,以供所述主密码模块对输入的次密码模块的目标公钥进行校验。6.一种密码运算方法,包括:接收业务系统发起的密码运算请求,所述密码运算请求携带有待运算数据;确定响应所述密码运算请求的目标密码模块,所述目标密码模块为主密码模块或至少一个次密码模块中的一个,所述密码模块具有主密钥;获取与所述目标密码模块的工作密钥密文,所述工作密钥密文预先通过如下方式获得:以所述次密码模块预先生成的目标公钥为输入,调用所述主密码模块为业务系统生成工作密钥,获取所述主密码模块返回的:所述主密码模块的主密钥加密的工作密钥密文,以及所述次密码模块的目标公钥加密的工作密钥密文;以所述次密码模块的目标公钥加密的工作密钥密文为输入,调用所述次密码模块,获取所述次密码模块返回的:以所述目标私钥解密输入的工作密钥密文后,以自身主密钥加密的工作密钥密文;以所述工作密钥密文和所述待运算数据为输入,调用所述目标密码模块,获取所述目标密码模块返回的运算结果并发送给所述业务系统,所述运算结果由所述目标密码模块利用已存储主密钥对所述工作密钥密文解密得到工作密钥后,利用解密得到的工作密钥对所述待运算数据进行加密得到。7.根据...
【专利技术属性】
技术研发人员:肖淑婷,林孝旦,方海峰,谷胜才,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。