密钥处理方法及装置制造方法及图纸

本公开实施例公开了一种密钥处理方法及装置，所述密钥处理方法包括：响应于第二节点被启动，向第一节点发送身份认证请求，响应于接收到身份认证请求通过消息，生成第二节点会话密钥；向第一节点发送获取主密钥请求，接收第一节点发送的主密钥密文，主密钥密文是第一节点利用第一节点会话密钥对主密钥进行加密得到的；使用第二节点会话密钥对主密钥密文进行解密，得到主密钥。该技术方案扩展性较强，能够有效控制成本；数据传输的安全性得到了保障，有效降低主密钥泄漏及被恶意节点盗取的风险；能够在节点启动时自动实现主密钥的分享，无需人工的参与，在保障数据传输安全性的前提下，还能够有效提高数据传输效率。还能够有效提高数据传输效率。还能够有效提高数据传输效率。

【技术实现步骤摘要】
密钥处理方法及装置


[0001]本公开涉及密钥处理
，具体涉及一种密钥处理方法及装置。

技术介绍

[0002]随着互联网技术的发展，对于数据传输的安全性要求也越来越高。现有技术中通常使用密钥处理系统为上层应用提供密钥保护能力，但密钥管理系统自身的根密钥却成为了主要的风险点，传统的解决方案是基于硬件加密机或者传统密码学的纯软件加密机来保护根密钥，其中，硬件加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，但其与企业内部应用集成效果差，水平扩展能力低下，加密机之间根密钥的共享需要依靠人工导入，存在导出安全风险，无法适应当下应用环境，而且企业内部使用时需要采购硬件设备，成本高昂；虽然基于传统密码学的纯软件加密机的扩展性和可用性能够得到保证，但是无法实现对于根密钥隐私的保护，存在根密钥泄漏以及被恶意节点盗取的风险。因此，亟需一种既具有扩展性，能够实现根密钥的共享，同时还能降低根密钥泄漏及被恶意节点盗取的风险的密钥处理方法。

技术实现思路

[0003]本公开实施例提供一种密钥处理方法及装置。
[0004]第一方面，本公开实施例中提供了一种密钥处理方法。
[0005]具体的，所述密钥处理方法，包括：响应于第二节点被启动，向第一节点发送身份认证请求，响应于接收到身份认证请求通过消息，生成第二节点会话密钥，其中，所述第一节点为可信执行环境集群已认证节点，所述第二节点为可信执行环境集群待认证节点；向第一节点发送获取主密钥请求，接收所述第一节点发送的主密钥密文，其中，所述主密钥密文是第一节点利用第一节点会话密钥加密得到的；使用所述第二节点会话密钥对于所述主密钥密文进行解密，得到所述主密钥。
[0006]结合第一方面，本公开在第一方面的第一种实现方式中，所述响应于接收到身份认证请求通过消息，生成第二节点会话密钥，包括：响应于接收到身份认证请求通过消息，获取第一节点计算因子，并将本地存储的第二节点计算因子发送给第一节点；基于所述第一节点计算因子和第二节点计算因子，利用预设会话密钥生成算法生成第二节点会话密钥。
[0007]结合第一方面和第一方面的第一种实现方式，本公开实施例在第一方面的第二种实现方式中，还包括：将所述主密钥存入第一内存中。
[0008]结合第一方面、第一方面的第一种实现方式和第一方面的第二种实现方式，本公开实施例在第一方面的第三种实现方式中，还包括：
响应于检测到所述第二节点作为第一节点工作，从所述第一内存中取出所述主密钥。
[0009]结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式和第一方面的第三种实现方式，本公开实施例在第一方面的第四种实现方式中，还包括：对于所述主密钥使用第一密封设备进行第一密封，得到第一主密钥密封密文，并将所述第一主密钥密封密文存放于第一数据备份设备中。
[0010]结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式和第一方面的第四种实现方式，本公开实施例在第一方面的第五种实现方式中，还包括：若确定所述第一内存中未存有所述主密钥，从所述第一数据备份设备中取出所述第一主密钥密封密文，使用所述第一密封设备对其进行第一解密封，得到所述主密钥。
[0011]结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式、第一方面的第四种实现方式和第一方面的第五种实现方式，本公开实施例在第一方面的第六种实现方式中，还包括：确定所述第一节点。
[0012]结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式、第一方面的第四种实现方式、第一方面的第五种实现方式和第一方面的第六种实现方式，本公开实施例在第一方面的第七种实现方式中，所述得到所述主密钥之后，还包括：响应于接收到位于可信执行环境集群外部的第三节点发送的获取主密钥请求，生成主节点会话密钥，并使用所述主节点会话密钥对于从所述第一内存中取出的主密钥进行加密，将得到的主密钥密文发送给所述第三节点，以使所述第三节点利用其从节点会话密钥对于所述主密钥密文进行解密，得到所述主密钥。
[0013]第二方面，本公开实施例中提供了一种密钥处理方法。
[0014]具体的，所述密钥处理方法，包括：响应于接收到第二节点发送的身份认证请求，对于所述身份认证请求进行验证，并响应于所述身份认证请求被通过，向所述第二节点发送身份认证请求通过消息，并生成第一节点会话密钥，其中，所述第二节点为可信执行环境集群待认证节点，所述第一节点为可信执行环境集群已认证节点；从第二内存中取出主密钥，并使用所述第一节点会话密钥对于所述主密钥进行加密，得到主密钥密文；响应于接收到所述第二节点发送的获取主密钥请求，将所述主密钥密文发送给所述第二节点。
[0015]结合第二方面，本公开在第二方面的第一种实现方式中，所述响应于所述身份认证请求被通过，向所述第二节点发送身份认证请求通过消息，并生成第一节点会话密钥，包括：响应于所述身份认证请求被通过，向所述第二节点发送身份认证请求通过消息，并将本地存储的第一节点计算因子发送给第二节点；接收第二节点计算因子；
基于所述第一节点计算因子和第二节点计算因子，利用预设会话密钥生成算法生成第一节点会话密钥。
[0016]结合第二方面和第二方面的第一种实现方式，本公开实施例在第二方面的第二种实现方式中，当第一节点为首次启动时，所述从第二内存中取出主密钥，被替换为：利用预设密钥随机生成算法随机生成主密钥。
[0017]结合第二方面、第二方面的第一种实现方式和第二方面的第二种实现方式，本公开实施例在第二方面的第三种实现方式中，所述利用预设密钥随机生成算法随机生成主密钥之后，还包括：将所述主密钥存入所述第二内存中。
[0018]结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式和第二方面的第三种实现方式，本公开实施例在第二方面的第四种实现方式中，所述利用预设密钥随机生成算法随机生成主密钥之后，还包括：对于所述主密钥使用第二密封设备进行第二密封，得到第二主密钥密封密文，并将所述第二主密钥密封密文存放于第二数据备份设备中。
[0019]结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式、第二方面的第三种实现方式和第二方面的第四种实现方式，本公开实施例在第二方面的第五种实现方式中，还包括：若确定所述第二内存中未存有所述主密钥，从第二数据备份设备中取出所述第二主密钥密封密文，使用所述第二密封设备对其进行第二解密封，得到主密钥。
[0020]结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式、第二方面的第三种实现方式、第二方面的第四种实现方式和第二方面的第五种实现方式，本公开实施例在第二方面的第六种实现方式中，还包括：响应于接收到位于可信执行环境集群外部的第三节点发送的获取主密钥请求，生成主节点会话密钥，并使用所述主节点会话密钥对于从所述第二内存中取出的主密钥进行加密，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥处理方法，包括：响应于第二节点被启动，向第一节点发送身份认证请求，响应于接收到身份认证请求通过消息，生成第二节点会话密钥，其中，所述第一节点为可信执行环境集群已认证节点，所述第二节点为可信执行环境集群待认证节点；向第一节点发送获取主密钥请求，接收所述第一节点发送的主密钥密文，其中，所述主密钥密文是第一节点利用第一节点会话密钥对所述主密钥进行加密得到的；使用所述第二节点会话密钥对于所述主密钥密文进行解密，得到所述主密钥。2.根据权利要求1所述的方法，所述响应于接收到身份认证请求通过消息，生成第二节点会话密钥，包括：响应于接收到身份认证请求通过消息，获取第一节点计算因子，并将本地存储的第二节点计算因子发送给第一节点；基于所述第一节点计算因子和第二节点计算因子，利用预设会话密钥生成算法生成第二节点会话密钥。3.根据权利要求1或2所述的方法，还包括：将所述主密钥存入第一内存中。4.根据权利要求3所述的方法，还包括：响应于检测到所述第二节点作为第一节点工作，从所述第一内存中取出所述主密钥。5.根据权利要求4所述的方法，还包括：对于所述主密钥使用第一密封设备进行第一密封，得到第一主密钥密封密文，并将所述第一主密钥密封密文存放于第一数据备份设备中。6.根据权利要求5所述的方法，还包括：若确定所述第一内存中未存有所述主密钥，从所述第一数据备份设备中取出所述第一主密钥密封密文，使用所述第一密封设备对其进行第一解密封，得到所述主密钥。7.根据权利要求1、2、4、5、6中任一所述的方法，所述得到所述主密钥之后，还包括：响应于接收到位于可信执行环境集群外部的第三节点发送的获取主密钥请求，生成主节点会话密钥，并使用所述主节点会话密钥对于从所述第一内存中取出的主密钥进行加密，将得到的主密钥密文发送给所述第三节点，以使所述第三节点利用其从节点会话密钥对于所述主密钥密文进行解密，得到所述主密钥。8.一种密钥处理方法，包括：响应于接收到第二节点发送的身份认证请求，对于所述身份认证请求进行验证，并响应于所述身份认证请求被通过，向所述第二节点发送身份认证请求通过消息，并生成第一节点会话密钥，其中，所述第二节点为可信执行环境集群待认证节点，所述第一节点为可信执行环境集群已认证节点；从第二内存中取出主密钥，并使用所述第一节点会话密钥对于所述主密钥进行加密，得到主密钥密文；响应于接收到所述第二节点发送的获取主密钥请求，将所述主密钥密文发送给所述第二节点。9.根据权利要求8所述的方法，所述响应于所述身份认证请求被通过，向所述第二节点发送身份认证请求通过消息，并生成第一节点会话密钥，包括：
响应于所述身份认证请求被通过，向所述第二节点发送身份认证请求通过消息，并将本地存储的第一节点计算因子发送给第二节点；接收第二节点计算因...

【专利技术属性】
技术研发人员：王帅，段夕华，肖俊贤，
申请(专利权)人：浙江口碑网络技术有限公司，
类型：发明
国别省市：