密钥管理方法、装置、计算机设备及存储介质制造方法及图纸

本申请涉及一种密钥管理方法，该方法包括：接收加密请求，所述加密请求中携带有目标密钥标识和待加密信息，获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识，将所述待加密信息和所述原始密钥标识发送至加解密模块，以使所述加解密模块获取与所述原始密钥标识对应的主密钥，采用所述主密钥对所述待加密信息进行加密得到加密数据，接收所述加解密模块返回的所述加密数据。上述密钥管理方法提高了密钥管理的灵活性和安全性。此外，还提出了一种密钥管理装置、计算机设备及存储介质。

【技术实现步骤摘要】
密钥管理方法、装置、计算机设备及存储介质
本申请涉及计算机处理
，特别是涉及一种密钥管理方法、装置、计算机设备及存储介质。
技术介绍
KMS(KeyManagementService，密钥管理服务)是提供密钥安全管理和小包数据加解密的服务。传统的KMS中的云API层(即接入模块)与底层的密钥之间是耦合的，而且是直接把底层的密钥ID暴露给用户的，导致灵活性和安全性都很低。
技术实现思路
基于此，有必要针对上述问题，提出了一种灵活性和安全性都比较高的密钥管理方法、装置、计算机设备及存储介质。一种密钥管理方法，所述方法包括：接收加密请求，所述加密请求中携带有目标密钥标识和待加密信息；获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识；将所述待加密信息和所述原始密钥标识发送至加解密模块，以使所述加解密模块获取与所述原始密钥标识对应的主密钥，采用所述主密钥对所述待加密信息进行加密得到加密数据；接收所述加解密模块返回的所述加密数据。一种密钥管理装置，所述装置包括：加密请求接收模块，用于接收加密请求，所述加密请求中携带有目标密钥标识和待加密信息；第一原始密钥标识获取模块，用于获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识；加密模块，用于将所述待加密信息和所述原始密钥标识发送至加解密模块，以使所述加解密模块获取与所述原始密钥标识对应的主密钥，采用所述主密钥对所述待加密信息进行加密得到加密数据；加密数据接收模块，用于接收所述加解密模块返回的所述加密数据。在其中一个实施例中，所述加密模块还用于将所述待加密信息和所述原始密钥标识以异步请求的方式发送至所述加解密模块。在其中一个实施例中，所述装置还包括：更新模块，用于当更新所述加解密模块中的主密钥以及与主密钥对应的原始密钥标识时，获取新的主密钥以及与所述新的主密钥对应的新的原始密钥标识，根据新的原始密钥标识与更新前的原始密钥标识之间的对应关系、以及更新前的原始密钥标识和目标密钥标识之间的对应关系建立所述目标密钥标识和新的原始密钥标识之间的对应关系。在其中一个实施例中，所述装置还包括：共享内存模块，用于将所述加密请求放入共享内存中，当从所述共享内存中获取到所述加密请求后，则根据所述加密请求对应的业务标识通知原始密钥标识获取模块获取密钥标识映射关系。在其中一个实施例中，所述装置还包括：主密钥创建模块，用于接收创建主密钥的申请请求，将所述申请请求发送至所述加解密模块，以使所述加解密模块创建一个主密钥，并为所述主密钥分配原始密钥标识，接收所述加解密模块返回的原始密钥标识，根据所述原始密钥标识生成一个与所述原始密钥标识对应的目标密钥标识，将所述目标密钥标识返回。在其中一个实施例中，所述待加密信息为明文数据密钥，所述加密数据为密文数据密钥；所述装置还包括：数据加密模块，用于采用所述明文数据密钥对业务数据进行加密，得到密文文件；将所述密文文件和所述密文数据密钥发送给接收端。在其中一个实施例中，所述装置还包括：用户请求接收模块，用于接收终端发送的用户请求，获取所述用户请求中携带的业务标识；调用模块，用于根据所述业务标识采用与所述业务标识对应的业务处理规则对相应的业务进行处理，当需要调用后台模块时，以异步请求的方式向后台发送调用请求。在其中一个实施例中，所述调用模块还用于当一个业务标识需要调用多个后台模块完成一个事务时，则采用状态机实时记录所述业务标识对应的业务当前所处的后台模块。一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行以下步骤：接收加密请求，所述加密请求中携带有目标密钥标识和待加密信息；获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识；将所述待加密信息和所述原始密钥标识发送至加解密模块，以使所述加解密模块获取与所述原始密钥标识对应的主密钥，采用所述主密钥对所述待加密信息进行加密得到加密数据；接收所述加解密模块返回的所述加密数据。一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行以下步骤：接收加密请求，所述加密请求中携带有目标密钥标识和待加密信息；获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识；将所述待加密信息和所述原始密钥标识发送至加解密模块，以使所述加解密模块获取与所述原始密钥标识对应的主密钥，采用所述主密钥对所述待加密信息进行加密得到加密数据；接收所述加解密模块返回的所述加密数据。上述密钥管理方法、装置、计算机设备及存储介质，接收加密请求，加密请求中携带有目标密钥标识和待加密信息，获取密钥标识映射关系，根据密钥标识映射关系获取目标密钥标识对应的原始密钥标识，将待加密信息和原始密钥标识发送至加解密模块，加解密模块根据原始密钥标识查找对应的主密钥，采用主密钥对待加密信息进行加密得到加密数据，接收加解密模块返回的加密数据。上述密钥管理方法，通过设置目标密钥标识和原始密钥标识之间的转化关系，避免了将原始密钥标识直接暴露给用户，提高了密钥管理的安全性。且将接入模块和加解密模块进行了解耦，使得加解密模块能够独立完成对数据的加密，当后续需要对加解密模块中的主密钥进行更新时，可以整体对加解密模块中的内容进行替换，而不需要对接入模块做任何改变，提高了密钥管理的灵活性。一种密钥管理方法，所述方法包括：接收解密请求，所述解密请求中携带有待解密信息；解析所述待解密信息，获取所述待解密信息中包含的目标密钥标识；获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识；将所述待解密信息和所述原始密钥标识发送至加解密模块，以使所述加解密模块获取与所述原始密钥标识对应的主密钥，采用所述主密钥对所述待解密信息进行解密得到解密数据；接收所述加解密模块返回的所述解密数据。一种密钥管理装置，所述装置包括：解密请求接收模块，用于接收解密请求，所述解密请求中携带有待解密信息；解析模块，用于解析所述待解密信息，获取所述待解密信息中包含的目标密钥标识；第二原始密钥标识获取模块，用于获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识；解密模块，用于将所述待解密信息和所述原始密钥标识发送至加解密模块，以使所述加解密模块获取与所述原始密钥标识对应的主密钥，采用所述主密钥对所述待解密信息进行解密得到解密数据；解密数据接收模块，用于接收所述加解密模块返回的所述解密数据。在其中一个实施例中，所述解密模块还用于将所述待解密信息和所述原始密钥标识以异步请求的方式发送给所述加解密模块。一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行以下步骤：接收解密请求，所述解密请求中携带有待解密信息；解析所述待解密信息，获取所述待解密信息中包含的目标密钥标识；获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识；将所述待解密信息和所述原始密钥标识发送至加解密模块，以使所述加解密模块获取与所述原始密钥标识对应的主密钥，采用所述主密钥对所本文档来自技高网...

【技术保护点】
一种密钥管理方法，所述方法包括：接收加密请求，所述加密请求中携带有目标密钥标识和待加密信息；获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识；将所述待加密信息和所述原始密钥标识发送至加解密模块，以使所述加解密模块获取与所述原始密钥标识对应的主密钥，采用所述主密钥对所述待加密信息进行加密得到加密数据；接收所述加解密模块返回的所述加密数据。

【技术特征摘要】
1.一种密钥管理方法，所述方法包括：接收加密请求，所述加密请求中携带有目标密钥标识和待加密信息；获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识；将所述待加密信息和所述原始密钥标识发送至加解密模块，以使所述加解密模块获取与所述原始密钥标识对应的主密钥，采用所述主密钥对所述待加密信息进行加密得到加密数据；接收所述加解密模块返回的所述加密数据。2.根据权利要求1所述的方法，其特征在于，所述将所述待加密信息和所述原始密钥标识发送至加解密模块的步骤包括：将所述待加密信息和所述原始密钥标识以异步请求的方式发送至所述加解密模块。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：当更新所述加解密模块中的主密钥以及与主密钥对应的原始密钥标识时，获取新的主密钥以及与所述新的主密钥对应的新的原始密钥标识；根据新的原始密钥标识与更新前的原始密钥标识之间的对应关系、以及更新前的原始密钥标识和目标密钥标识之间的对应关系建立所述目标密钥标识和新的原始密钥标识之间的对应关系。4.根据权利要求1所述的方法，其特征在于，在所述接收加密请求，所述加密请求中携带有目标密钥标识和待加密信息的步骤之后还包括：将所述加密请求放入共享内存中；当从所述共享内存中获取到所述加密请求后，根据所述加密请求对应的业务标识进入获取密钥标识映射关系，根据所述密钥标识映射关系获取所述目标密钥标识对应的原始密钥标识的步骤。5.根据权利要求1所述的方法，其特征在于，在所述接收加密请求的步骤之前还包括：接收创建主密钥的申请请求；将所述申请请求发送至所述加解密模块，以使所述加解密模块创建一个主密钥，并为所述主密钥分配原始密钥标识；接收所述加解密模块返回的原始密钥标识，根据所述原始密钥标识生成一个与所述原始密钥标识对应的目标密钥标识；将所述目标密钥标识返回。6.根据权利要求1所述的方法，其特征在于，所述待加密信息为明文数据密钥，所述加密数据为密文数据密钥；所述方法还包括：采用所述明文数据密钥对业务数据进行加密，得到密文文件；将所述密文文件和所述密文数据密钥发送给接收端。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收终端发送的用户请求，获取所述用户请求中携带的业务标识；根据所述业务标识采用与所述业务标识对应的业务处理规则对相应的业务进行处理，当需要调用后台模块时，以异步请求的方式向后台发送调用请求。8.根据权利要求7所述的方法，其特征在于，所述以异步请求的方式向后台模块发送调用请求的步骤包括：当一个业务标识需要...

【专利技术属性】
技术研发人员：谢家提，周维跃，张晓宇，
申请(专利权)人：腾讯科技深圳有限公司，腾讯云计算北京有限责任公司，
类型：发明
国别省市：广东,44