This application discloses a key security management system, method, computer readable storage medium and computer program. The key security management system includes a secure host and a hardware security device. The secure host is configured to receive the first operation request, verify the first operation request, and generate a second operation request based on the first operation request when the authentication is passed. The first operation request and the second operation request both include identity identification. The hardware security device is configured to connect from the secure host. Receive the second operation request, validate the second operation request, and parse the type of the second operation request when the validation passes, and perform operations related to the key pair associated with the identity based on the type of the second operation request, where the key pair includes a public key and a private key specific to the identity.
【技术实现步骤摘要】
密钥安全管理系统和方法、介质和计算机程序
本申请涉及密钥管理领域,特别涉及一种密钥安全管理系统和方法、一种非易失性存储介质和一种计算机程序。
技术介绍
随着电子商务的快速发展,交易安全问题日益受到重视。交易过程涉及到使用密钥对数据进行加密、解密和签名等过程,因此,密钥的管理安全程度的高低决定了交易过程的安全程度。密钥的管理通常包括密钥的生成、使用和销毁等方面。现行的加密算法可以分为对称加密算法和非对称加密算法两大类。在对称加密体制中,数据加密和解密使用相同的密钥。而在非对称加密体制中,数据的加密和解密使用不同的两个密钥,这两个密钥相互依存,组成一个密钥对,分别称为公钥和私钥。公钥可以对外公开,并且可以通过安全或非安全通道发送,而私钥则为非公开部分,除了持有者之外无人知道。假设用户A拥有一个密钥对,其包括用户的公钥Pk和私钥Sk。用户A将其公钥Pk发送给另一用户B。如果用户B想要向用户A传输数据,则他可以利用用户A的公钥Pk对该数据进行加密,并传输给用户A。用户A在接收到加密数据之后,利用其私钥Sk对加密数据进行解密,以恢复出用户B想要传输给他的数据(明文)。另一方...
【技术保护点】
1.一种密钥安全管理系统,其特征在于,所述密钥安全管理系统包括:安全主机,其被配置为接收第一操作请求,对所述第一操作请求进行验证,并在验证通过时基于所述第一操作请求生成第二操作请求,所述第一操作请求和所述第二操作请求都包括身份标识,以及硬件安全设备,其被配置为从所述安全主机接收所述第二操作请求,对所述第二操作请求进行验证,并且在验证通过时解析所述第二操作请求的类型,以及基于所述第二操作请求的类型执行和关联于所述身份标识的一个密钥对有关的操作,所述密钥对包括特定于所述身份标识的一个公钥和一个私钥。
【技术特征摘要】
1.一种密钥安全管理系统,其特征在于,所述密钥安全管理系统包括:安全主机,其被配置为接收第一操作请求,对所述第一操作请求进行验证,并在验证通过时基于所述第一操作请求生成第二操作请求,所述第一操作请求和所述第二操作请求都包括身份标识,以及硬件安全设备,其被配置为从所述安全主机接收所述第二操作请求,对所述第二操作请求进行验证,并且在验证通过时解析所述第二操作请求的类型,以及基于所述第二操作请求的类型执行和关联于所述身份标识的一个密钥对有关的操作,所述密钥对包括特定于所述身份标识的一个公钥和一个私钥。2.根据权利要求1所述的密钥安全管理系统,其特征在于,所述身份标识包括组织的身份标识,其中,基于所述第二操作请求的类型执行和关联于所述身份标识的一个密钥对有关的操作包括:响应于所述第二操作请求的类型是请求生成所述组织的主根密钥对,产生随机的密钥种子,并且使用所述密钥种子产生所述组织的主根密钥对。3.根据权利要求2所述的密钥安全管理系统,其特征在于,在使用所述密钥种子产生所述组织的主根密钥对之后,所述硬件安全设备被进一步配置为:存储所述组织的主根密钥对;以及销毁所述密钥种子。4.根据权利要求1所述的密钥安全管理系统,其特征在于,所述身份标识包括用户的身份标识和与所述用户关联的组织的身份标识,所述密钥安全管理系统存储有所述组织的主根密钥对,其中,基于所述第二操作请求的类型执行和关联于所述身份标识的一个密钥对有关的操作包括:响应于所述第二操作请求的类型是请求获取所述用户的公钥,根据所述组织的身份标识确定所述组织的主根密钥对;基于所述用户的身份标识和分层确定性规则确定所述用户的密钥对生成路径;基于所述用户的密钥对生成路径和所述组织的主根密钥对派生出所述用户的密钥对;以及将所述用户的密钥对中的公钥发送给所述安全主机。5.根据权利要求1所述的密钥安全管理系统,其特征在于,所述身份标识包括用户的身份标识和与所述用户关联的组织的身份标识,所述硬件安全设备存储有所述组织的主根密钥对,所述第二操作请求还包括所述用户的待签名数据,其中,基于所述第二操作请求的类型执行和关联于所述身份标识的一个密钥对有关的操作包括:响应于所述第二操作请求的类型是请求对所述待签名数据进行签名,根据所述组织的身份标识确定所述组织的主根密钥对;基于所述用户的身份标识和分层确定性规则确定所述用户的密钥对生成路径;基于所述用户的密钥对生成路径和所述组织的主根密钥对派生出所述用户的密钥对;利用所述用户的密钥对中的私钥对所述待签名数据进行签名以得到签名数据;以及将所述签名数据发送给所述安全主机。6.根据权利要求4或5所述的密钥安全管理系统,其特征在于,基于所述用户的身份标识确定所述用户的密钥对生成路径包括:对所述用户的身份标识和所述组织的身份标识的组合执行哈希运算以得到哈希值;以及基于所述哈希值和所述分层确定性规则确定所述用户的密钥对生成路径。7.根据权利要求5所述的密钥安全管理系统,在利用所述用户的密钥对中的私钥对所述待签名数据进行签名之后,所述硬件安全设备还被配置为:销毁所述用户的密钥对中的私钥。8.根据权利要求1所述的密钥安全管理系统,其特征在于,所述密钥安全管理系统还包括:应用服务器,其被配置为根据外部节点的请求生成所述第一操作请求,并且向所述安全主机发送所述第一操作请求,其中,所述硬件安全设备与所述安全主机位于同一安全网域内,由所述安全主机作为所述应用服务器访问所述硬件安全设备的网关。9.根据权利要求1所述的密钥安全管理系统,其中对所述第一操作请求进行验证包括:解析所述第一操作请求以获取其中包含的应用服务器证书和应用服务器签名,所述应用服务器证书包含所述应用服务器的身份标识、所述应用服务器的允许业务类型列表和所述应用服务器证书的有效期;利用所述应用服务器的公钥对所述应用服务器签名进行解密,以获取所述第一操作请求所请求的业务类型;将所述第一操作请求所请求的业务类型与所述应用服务器证书中所包含的允许业务类型列表进行比较以确定是否允许所述第一操作请求所请求的业务类型;验证所述应用服务器证书是否处于所述应用服务器证书的有效期内;以及从区块链获取所述应用服务器证书的状态以验证所述应用服务器证书的状态。10.根据权利要求1所述的密钥安全管理系统,其中对所述第二操作请求进行验证包括:解析所述第二操作请求以获取其中包含的安全主机证书和安全主机签名,所述安全主机证书包含所述安全主机的身份标识、所述安全主机的允许业务类型列表和所述安全主机证书的有效期;利用所述安全主机的公钥对所述安全主机签名进行解密,以确定所述第二操作请求是否由所述安全主机签名;验证所述安全主机证书是否处于所述安全主机证书的有效期内。11.一种密钥安全管理方法,其特征在于,所述方法包括...
【专利技术属性】
技术研发人员:顾建良,马帮亚,
申请(专利权)人:上海唯链信息科技有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。