一种数据安全管理的方法、装置及系统制造方法及图纸

本发明专利技术公开了一种数据安全管理的方法，包括：密钥管理装置接收网络设备发送的密钥请求，所述密钥请求中携带应用的标识；为所述应用生成密钥，并向所述网络设备发送所述密钥，所述密钥用于所述网络设备加密所述应用产生的敏感数据，所述敏感数据为安全性要求超过预置阈值的数据；对应存储所述密钥和所述应用的标识的对应关系。本发明专利技术实施例提供的数据安全管理的方法，密钥不在网络设备上保存，可以保证恶意攻击者无法获取到密钥，从而保证无线网络设备上数据的安全性。

【技术实现步骤摘要】

本专利技术涉及通信
，具体涉及一种数据安全管理的方法、装置及系统。
技术介绍
无线网络设备(例如：基站控制器、无线网络控制器和演进基站等)上会存储有终端的用户信息，这些用户信息都属于比较敏感的数据，是不能被泄漏的，尤其是在某些国家和地区运营商、设备商对个人数据的不当使用存在违规风险。个人数据不当使用的情况包括：个人数据的滥用和泄密等。因此需要有一种机制在所有场景里保证这些比较敏感的个人数据的安全性，比如：维修场景下，这些信息如何不被滥用或泄密。现有技术中，通常对安全性需求比较高的个人数据进行加密，然后通过硬件efuse或硬件封装等技术，保证密钥的安全，从而保证恶意者难以获取到密钥，从而加密数据的安全性。但是如果硬件被破解，则密钥存在被破解的风险。
技术实现思路
为解决现有技术中无线网络设备上的个人数据的安全性较差的问题，本发明实施例提供一种数据安全管理的方法，可以保证恶意攻击者无法获取到密钥，从而保证无线网络设备上数据的安全性。本专利技术实施例还提供了相应的装置及系统。本专利技术第一方面提供一种数据安全管理的方法，包括：密钥管理装置接收网络设备发送的密钥请求，所述密钥请求中携带应用的标识；所述密钥管理装置为所述应用生成密钥，并向所述网络设备发送所述密钥，所述密钥用于所述网络设备加密所述应用产生的敏感数据，所述敏感数据为安全性要求超过预置阈值的数据；所述密钥管理装置对应存储所述密钥和所述应用的标识的对应关系。本专利技术第一方面密钥不在网络设备上保存，可以保证恶意攻击者无法获取到密钥，从而保证无线网络设备上数据的安全性。结合第一方面，在第一种可能的实现方式中，所述方法还包括：所述密钥管理装置接收所述网络设备发送的所述应用的待加密数据；所述密钥管理装置使用所述应用对应的密钥对所述待加密数据进行加密，得到加密后的数据；所述密钥管理装置向所述网络设备返回所述加密后的数据。第一方面第一种可能的实现方式，可以由密钥管理装置进行加密，避免了密钥传输，进一步提高了安全性。结合第一方面或第一方面第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括：所述密钥管理装置接收所述网络设备发送的所述应用的待解密数据；所述密钥管理装置使用所述应用对应的密钥，解密所述待解密数据，得到解密后的数据；所述密钥管理装置向所述网络设备发送所述解密后的数据。第一方面第二种可能的实现方式，可以由密钥管理装置进行解密，避免了密钥传输，进一步提高了安全性。本专利技术第二方面提供一种数据安全管理的方法，包括：网络设备向密钥管理装置发送密钥请求，所述密钥请求中携带应用的标识，所述密钥请求用于所述密钥管理装置为所述应用生成对应的密钥；所述网络设备接收所述密钥管理装置发送来的所述密钥；所述网络设备用所述密钥加密所述应用产生的敏感数据，所述敏感数据为安全性要求超过预置阈值的数据。本专利技术第二方面网络设备不需要保存密钥，需要用时到密钥管理装置去获取即可，可以保证恶意攻击者无法获取到密钥，从而保证无线网络设备上数据的安全性。结合第二方面，在第一种可能的实现方式中，所述方法还包括：当所述网络设备掉电时，所述网络设备删除所述密钥。掉电时，删除密钥，可以进一步提高安全性。结合第二方面或第二方面第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括：所述网络设备向所述密钥管理装置发送所述应用的待加密数据；所述网络设备接收所述密钥管理装置返回的加密后的数据。结合第二方面或第二方面第一种可能的实现方式，在第三种可能的实现方式中，所述方法还包括：所述网络设备向所述密钥管理装置发送所述应用的待解密数据；所述网络设备接收所述密钥管理装置返回的解密后的数据。本专利技术第三方面提供一种密钥管理装置，包括：接收单元，用于接收网络设备发送的密钥请求，所述密钥请求中携带应用的标识；处理单元，用于为所述接收单元接收的所述标识对应的应用生成密钥，所述密钥用于所述网络设备加密所述应用产生的敏感数据，所述敏感数据为安全性要求超过预置阈值的数据；发送单元，用于向所述网络设备发送所述处理单元生成的所述密钥；存储单元，用于对应存储所述处理单元生成的密钥和所述接收单元接收的所述应用的标识的对应关系。结合第三方面，在第一种可能的实现方式中，所述接收单元，还用于接收所述网络设备发送的所述应用的待加密数据；所述处理单元，还用于使用所述应用对应的密钥对所述接收单元接收的所述待加密数据进行加密，得到加密后的数据；所述发送单元，还用于向所述网络设备返回所述处理单元加密后的数据。结合第三方面或第三方面第一种可能的实现方式，在第二种可能的实现方式中，所述接收单元，还用于接收所述网络设备发送的所述应用的待解密数据；所述处理单元，还用于使用所述应用对应的密钥，解密所述接收单元接收的所述待解密数据，得到解密后的数据；所述发送单元，还用于向所述网络设备发送所述处理单元解密后的数据。本专利技术第四方面提供一种网络设备，包括：发送单元，用于向密钥管理装置发送密钥请求，所述密钥请求中携带应用的标识，所述密钥请求用于所述密钥管理装置为所述应用生成对应的密钥；接收单元，用于接收所述密钥管理装置发送来的所述密钥；处理单元，用于用所述接收单元接收的所述密钥加密所述应用产生的敏感数据，所述敏感数据为安全性要求超过预置阈值的数据。结合第四方面，在第一种可能的实现方式中，所述处理单元，还用于当所述网络设备掉电时，删除所述密钥。结合第四方面或第四方面第一种可能的实现方式，在第二种可能的实现方式中，所述发送单元，还用于向所述密钥管理装置发送所述应用的待加密数据；所述接收单元，还用于接收所述密钥管理装置返回的加密后的数据。结合第四方面或第四方面第一种可能的实现方式，在第三种可能的实现方式中，所述发送单元，还用于向所述密钥管理装置发送所述应用的待解密数据；所述接收单元，还用于接收所述密钥管理装置返回的解密后的数据。本专利技术第五方面提供一种数据安全管理的系统，包括：密钥管理装置和网络设备，所述密钥管理装置为上述第三方面或第三方面任一可能的实现方式所述的密钥管理装置；所述网络设备为上述第四方面或第四方面任一可能的实现方式所述的网络设备。本专利技术第六方面提供一种密钥管理装置，包括：输入/输出设备、存储器和处理器，所述存储器用于存储所述第本文档来自技高网...

【技术保护点】
一种数据安全管理的方法，其特征在于，包括：密钥管理装置接收网络设备发送的密钥请求，所述密钥请求中携带应用的标识；所述密钥管理装置为所述应用生成密钥，并向所述网络设备发送所述密钥，所述密钥用于所述网络设备加密所述应用产生的敏感数据，所述敏感数据为安全性要求超过预置阈值的数据；所述密钥管理装置对应存储所述密钥和所述应用的标识的对应关系。

【技术特征摘要】
1.一种数据安全管理的方法，其特征在于，包括：
密钥管理装置接收网络设备发送的密钥请求，所述密钥请求中携带应用的
标识；
所述密钥管理装置为所述应用生成密钥，并向所述网络设备发送所述密
钥，所述密钥用于所述网络设备加密所述应用产生的敏感数据，所述敏感数据
为安全性要求超过预置阈值的数据；
所述密钥管理装置对应存储所述密钥和所述应用的标识的对应关系。
2.根据权利要求1所述的方法，其特征在于，所述方法还包括：
所述密钥管理装置接收所述网络设备发送的所述应用的待加密数据；
所述密钥管理装置使用所述应用对应的密钥对所述待加密数据进行加密，
得到加密后的数据；
所述密钥管理装置向所述网络设备返回所述加密后的数据。
3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：
所述密钥管理装置接收所述网络设备发送的所述应用的待解密数据；
所述密钥管理装置使用所述应用对应的密钥，解密所述待解密数据，得到
解密后的数据；
所述密钥管理装置向所述网络设备发送所述解密后的数据。
4.一种数据安全管理的方法，其特征在于，包括：
网络设备向密钥管理装置发送密钥请求，所述密钥请求中携带应用的标
识，所述密钥请求用于所述密钥管理装置为所述应用生成对应的密钥；
所述网络设备接收所述密钥管理装置发送来的所述密钥；
所述网络设备用所述密钥加密所述应用产生的敏感数据，所述敏感数据为
安全性要求超过预置阈值的数据。
5.根据权利要求4所述的方法，其特征在于，所述方法还包括：
当所述网络设备掉电时，所述网络设备删除所述密钥。
6.根据权利要求4或5所述的方法，其特征在于，所述方法还包括：
所述网络设备向所述密钥管理装置发送所述应用的待加密数据；
所述网络设备接收所述密钥管理装置返回的加密后的数据。
7.根据权利要求4或5所述的方法，其特征在于，所述方法还包括：
所述网络设备向所述密钥管理装置发送所述应用的待解密数据；
所述网络设备接收所述密钥管理装置返回的解密后的数据。
8.一种密钥管理装置，其特征在于，包括：
接收单元，用于接收网络设备发送的密钥请求，所述密钥请求中携带应用
的标识；
处理单元，用于为所述接收单元接收的所述标识对应的应用生成密钥，所
述...

【专利技术属性】
技术研发人员：曾信，
申请(专利权)人：上海华为技术有限公司，
类型：发明
国别省市：上海;31