本发明专利技术提供了一种敏感信息的托管方法、应用系统和密钥中心系统。该敏感信息的托管方法包括:应用系统在密钥中心系统进行注册,以由密钥中心系统基于所述应用系统的注册信息为所述应用系统生成注册标识并选择加密算法;应用系统将待托管的敏感信息传送至密钥中心系统,以由密钥中心系统基于所选择的加密算法对所述敏感信息进行加密并存储;以及应用系统从密钥中心系统接收所述注册标识和相应的密钥,以在需要使用所述敏感信息时基于所述注册标识从所述密钥中心系统获取经加密的敏感信息,并基于所述密钥解密得到所述敏感信息。本发明专利技术提供的敏感信息的托管方法能够统一管理各类应用系统的敏感信息,应用系统无需保存任何敏感数据,泄密风险较低。
Escrow Method, Application System and Key Center System of Sensitive Information
【技术实现步骤摘要】
敏感信息的托管方法、应用系统和密钥中心系统
本专利技术涉及信息安全
,更具体地涉及一种敏感信息的托管方法、应用系统和密钥中心系统。
技术介绍
随着企业业务蓬勃发展,各类应用系统服务数量都随着生长,大部分应用系统中初始化启动时都会需要依赖一些敏感配置信息,例如各类数据库、消息队列、轻量目录访问协议(LDAP)账号信息等等,经常的做法是将它们直接作为简单文本配置在应用系统本地的文件中,或者是将明文存储在远程系统中,这些都有较大可能性导致敏感信息泄露,容易给企业带来较大的损失。现有方法存在的缺陷主要包括如下几个方面:(1)现有应用系统各类配置写在本地文件时,不够安全,有泄密的风险;(2)现有应用系统各类配置从远端读取回来时,没有做高强度加密,也不够安全,有泄密的风险;(3)现有各类敏感配置信息无法统一到一个平台上管理,维护成本高;(4)现有敏感信息无法按照安全等级设置不同的加密算法,供应用系统使用。
技术实现思路
为了解决上述问题中的至少一个而提出了本专利技术。根据本专利技术一方面,提供了一种敏感信息的托管方法,所述方法包括:应用系统在密钥中心系统进行注册,以由密钥中心系统基于所述应用系统的注册信息为所述应用系统生成注册标识并选择加密算法;应用系统将待托管的敏感信息传送至密钥中心系统,以由密钥中心系统基于所选择的加密算法对所述敏感信息进行加密并存储;以及应用系统从密钥中心系统接收所述注册标识和相应的密钥,以在需要使用所述敏感信息时基于所述注册标识从所述密钥中心系统获取经加密的敏感信息,并基于所述密钥解密得到所述敏感信息。在本专利技术的一个实施例中,所述方法还包括:所述应用系统将访问白名单和/或访问黑名单传送至所述密钥中心系统,以由所述密钥中心系统在确定尝试获取所述经加密的敏感信息的访问者是被允许访问的访问者后才允许本次获取。在本专利技术的一个实施例中,所述敏感信息是所述应用系统的敏感配置信息,所述应用系统在初始化启动时从所述密钥中心系统获取所述经加密的敏感信息。在本专利技术的一个实施例中,所述应用系统与所述密钥中心系统部署在同一私有网络中。根据本专利技术另一方面,提供了一种应用系统,所述应用系统包括:注册模块,用于在密钥中心系统为所述应用系统进行注册,以由密钥中心系统基于所述应用系统的注册信息为所述应用系统生成注册标识并选择加密算法;通信模块,用于将所述应用系统的待托管的敏感信息传送至密钥中心系统,以由密钥中心系统基于所选择的加密算法对所述敏感信息进行加密并存储;所述通信模块还用于从密钥中心系统接收所述注册标识和相应的密钥,以在需要使用所述敏感信息时基于所述注册标识从所述密钥中心系统获取经加密的敏感信息;以及解密模块,用于基于所述密钥对所述通信模块所获取的经加密的敏感信息进行解密得到所述敏感信息。根据本专利技术再一方面,提供了一种应用系统,所述应用系统包括存储装置和处理器,所述存储装置上存储有由所述处理器运行的计算机程序,所述计算机程序在被所述处理器运行时执行上述的敏感信息的托管方法。根据本专利技术又一方面,提供了一种敏感信息的托管方法,所述方法包括:密钥中心系统接收应用系统的注册信息,并基于所述注册信息为所述应用系统生成注册标识并选择加密算法;密钥中心系统接收所述应用系统的待托管的敏感信息,并基于所选择的加密算法对所述敏感信息进行加密并存储;以及密钥中心系统将所述注册标识和相应的密钥传送至所述应用系统,以由所述应用系统在需要使用所述敏感信息时基于所述注册标识从所述密钥中心系统获取并解密得到所述敏感信息。在本专利技术的一个实施例中,所述方法还包括:密钥中心系统从所述应用系统接收访问白名单和/或访问黑名单,以在接收到尝试获取所述经加密的敏感信息的请求时确定访问者是被允许访问的访问者后才允许本次获取。在本专利技术的一个实施例中,所述应用系统与所述密钥中心系统部署在同一私有网络中。根据本专利技术再一方面,提供了一种密钥中心系统,所述密钥中心系统包括:通信模块,用于接收应用系统的注册信息和所述应用系统的待托管的敏感信息;生成模块,用于基于所述注册信息为所述应用系统生成注册标识并选择加密算法;加密模块,用于基于所选择的加密算法对所述敏感信息进行加密并存储;以及所述通信模块还用于将所述注册标识和相应的密钥传送至所述应用系统,以由所述应用系统在需要使用所述敏感信息时基于所述注册标识从所述密钥中心系统获取并解密得到所述敏感信息。根据本专利技术再一方面,提供了一种密钥中心系统,所述密钥中心系统包括存储装置和处理器,所述存储装置上存储有由所述处理器运行的计算机程序,所述计算机程序在被所述处理器运行时执行上述任一项所述的敏感信息的托管方法。根据本专利技术又一方面,提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序在运行时执行上述的敏感信息的托管方法。根据本专利技术实施例的敏感信息的托管方法、应用系统和密钥中心系统基于密钥中心系统对各类应用系统的敏感信息进行适应性加密、存储和统一管理,应用系统无需保存任何敏感数据,且应用系统从密钥中心系统获取敏感信息时敏感信息经过了加密,降低了应用系统的敏感信息的泄密风险,且降低了敏感信息的维护成本。附图说明通过结合附图对本专利技术实施例进行更详细的描述,本专利技术的上述以及其它目的、特征和优势将变得更加明显。附图用来提供对本专利技术实施例的进一步理解,并且构成说明书的一部分,与本专利技术实施例一起用于解释本专利技术,并不构成对本专利技术的限制。在附图中,相同的参考标号通常代表相同部件或步骤。图1示出用于实现根据本专利技术实施例的敏感信息的托管方法、应用系统和密钥中心系统的示例电子设备的示意性框图;图2示出根据本专利技术实施例的敏感信息的托管方法的示意性流程图;图3示出用于实现图2所示方法的应用系统的示意性框图;图4示出根据本专利技术实施例的应用系统的示意性框图;图5示出根据本专利技术另一实施例的敏感信息的托管方法的示意性流程图;图6示出用于实现图5所示方法的密钥中心系统的示意性框图;以及图7示出本专利技术实施例的密钥中心系统的示意性框图。具体实施方式为了使得本专利技术的目的、技术方案和优点更为明显,下面将参照附图详细描述根据本专利技术的示例实施例。显然,所描述的实施例仅仅是本专利技术的一部分实施例,而不是本专利技术的全部实施例,应理解,本专利技术不受这里描述的示例实施例的限制。基于本专利技术中描述的本专利技术实施例,本领域技术人员在没有付出创造性劳动的情况下所得到的所有其它实施例都应落入本专利技术的保护范围之内。首先,参照图1来描述用于实现本专利技术实施例的敏感信息的托管方法、应用系统和密钥中心系统的示例电子设备100。如图1所示,电子设备100包括一个或多个处理器102、一个或多个存储装置104、输入装置106以及输出装置108,这些组件通过总线系统110和/或其它形式的连接机构(未示出)互连。应当注意,图1所示的电子设备100的组件和结构只是示例性的,而非限制性的,根据需要,所述电子设备可以不包括上述组件的全部,也可以具有其他组件和结构。所述处理器102可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元,并且可以控制所述电子设备100中的其它组件以执行期望的功能。所述存储装置104可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储本文档来自技高网...
【技术保护点】
1.一种敏感信息的托管方法,其特征在于,所述方法包括:应用系统在密钥中心系统进行注册,以由密钥中心系统基于所述应用系统的注册信息为所述应用系统生成注册标识并选择加密算法;应用系统将待托管的敏感信息传送至密钥中心系统,以由密钥中心系统基于所选择的加密算法对所述敏感信息进行加密并存储;以及应用系统从密钥中心系统接收所述注册标识和相应的密钥,以在需要使用所述敏感信息时基于所述注册标识从所述密钥中心系统获取经加密的敏感信息,并基于所述密钥解密得到所述敏感信息。
【技术特征摘要】
1.一种敏感信息的托管方法,其特征在于,所述方法包括:应用系统在密钥中心系统进行注册,以由密钥中心系统基于所述应用系统的注册信息为所述应用系统生成注册标识并选择加密算法;应用系统将待托管的敏感信息传送至密钥中心系统,以由密钥中心系统基于所选择的加密算法对所述敏感信息进行加密并存储;以及应用系统从密钥中心系统接收所述注册标识和相应的密钥,以在需要使用所述敏感信息时基于所述注册标识从所述密钥中心系统获取经加密的敏感信息,并基于所述密钥解密得到所述敏感信息。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述应用系统将访问白名单和/或访问黑名单传送至所述密钥中心系统,以由所述密钥中心系统在确定尝试获取所述经加密的敏感信息的访问者是被允许访问的访问者后才允许本次获取。3.根据权利要求1所述的方法,其特征在于,所述敏感信息是所述应用系统的敏感配置信息,所述应用系统在初始化启动时从所述密钥中心系统获取所述经加密的敏感信息。4.根据权利要求1-3中的任一项所述的方法,其特征在于,所述应用系统与所述密钥中心系统部署在同一私有网络中。5.一种应用系统,其特征在于,所述应用系统包括:注册模块,用于在密钥中心系统为所述应用系统进行注册,以由密钥中心系统基于所述应用系统的注册信息为所述应用系统生成注册标识并选择加密算法;通信模块,用于将所述应用系统的待托管的敏感信息传送至密钥中心系统,以由密钥中心系统基于所选择的加密算法对所述敏感信息进行加密并存储;所述通信模块还用于从密钥中心系统接收所述注册标识和相应的密钥,以在需要使用所述敏感信息时基于所述注册标识从所述密钥中心系统获取经加密的敏感信息;以及解密模块,用于基于所述密钥对所述通信模块所获取的经加密的敏感信息进行解密得到所述敏感信息。6.一种应用系统,其特征在于,所述应用系统包括存储装置和处理器,所述存储装置上存储有由所述处理器运行的计算机程序...
【专利技术属性】
技术研发人员:李标,
申请(专利权)人:北京旷视科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。