公开了一种用于管理和生成加密密钥的系统、方法和介质。在一个实施例中,处理器执行加密密钥处理计算机代码,以从应用程序接收密钥请求。处理器确定发出请求的应用程序是否在被授权接收所请求密钥的机器范围内的节点或服务器上执行。如果被授权,则处理器产生一个密钥映射并将密钥映射发送到应用程序,使应用程序能够访问密钥映射中的一个或多个密钥。根据可指定的调度自动更新密钥。
【技术实现步骤摘要】
本专利技术属于计算机系统内的加密领域。更特别地说,本专利技术涉及计 算系统中的加密密钥管理和生成。
技术介绍
许多不同类型的计算系统已经在世界范围内得到广泛使用。这些计 算系统包括个人计算机、服务器、大型机、各种单机和内置的计算装置。伸展的客户端-服务器系统的存在,使得应用和信息遍布于多个PC网络、大型计算机、小型计算机之上。在一个通过网络连接的分布式系统中,用户可以访问多个应用程序、数据库、网络系统、操:作系统和大型 计算机应用。计算机向个体或企业提供许多软件应用,包括文字处理、 电子制表以及计帐。此外,网络使处在不同地域的人能够通过电子邮件、 网站、即时消息传送以及网上会议进行高速通信。高性能单片机微处理器的普通架构是精简指令集计算机(RISC)架 构,其特征是供快速执行的一小组简化的频繁使用指令。因而,在RISC 架构中,复杂的指令包括一小组分步骤非常快速执行的简单指令。在适 合执行特定筒单指令的执行单元中完成这些步骤。在超标量架构中,这 些执行单元典型地包括并行操作的载入/存储单元、整数算术/逻辑单元、 浮点算术/逻辑单元以及图形逻辑单元。在处理器架构中,操作系统控制 处理器的操作和处理器的外围组件。将可执行的应用程序存储在计算机 硬盘驱动器中。响应于用户输入,计算机处理器使应用程序运行。因而,在现代的系统中,多个计算机一包括服务器一通过网络连接 在一起。每个计算机可以运行用于完成某项功能的应用程序。这些应用 程序可以包括文字处理、电子邮件、图形制作、文档查看和标记、电子 制表、数据库、音乐播放器、因特网浏览器、照片处理(photo-shop)、游戏、反病毒程序,以及由于太多而没有提到的许多其他应用程序。许 多应用程序完成程序数据的加密和/或解密。例如,电子邮件发送器可以 在将电子邮件向接受者发送前加密电子邮件。加密电子邮件的接受者将 需要解密从发送器接收到的加密电子邮件。在另一种应用中,发送器可 以在发送一个文件之前对该文件进行数字签名。数字签名的操作包括加 密。也能够通过加密验证数字签名。通过应用程序使用加密的其他例子 大量存在。为了完成加密和/或解密,应用程序必须具有一个密钥,并必须遵循 使用该密钥完成加密/解密的已知算法。因此,应用程序可以处理要求加 密的敏感数据。例如,应用程序可以加密一个文件。该加密文件防止没 有密钥的人阅读该文件。同样可以对文件中的数据进行签名。在对数据 进行签名后,不能在不被察觉的情况下修改数据。随着因特网的出现和计算机的广泛使用,越来越多的商业事务电子 地发生。为了推动这种电子商务,计算网络采用加密和数字签名。加 密能够使用户隐藏在网络上传输的消息。解密能够从消息的加密副本中 恢复原始消息。数字签名使用户能够电子地给文件签名。形成数字签名 包括公共密钥密码系统中的加密。该系统采用一种算法,该算法使用两 种不同的但在数学上相关的密钥, 一个用于创建数字签名,另一个用 于验证数字签名。经常将利用这两种密钥的计算机设备和软件共同地称 为非对称密码系统。用于数字签名的非对称密码系统的互补密钥称为私人密钥和公共密 钥。签名者使用私人密钥创建数字签名。理论上,只有该签名者能够访 问他的私人密钥。公共密钥通常为更多人所知。依赖于签名的一方使用 公共密钥来验证数字签名。尽管该对密钥在数学上相关,但是从公共密 钥导出私人密钥在计算上是不可行的。因此,尽管很多人可能知道特定 签名者的公共密钥,并且能够使用它验证签名者的签名,但是他们不能 访问签名者的私人密钥,伪造签名者的数字签名。这是不可逆性原 则。用于创建和验证数字签名的基本处理是杂凑函数。杂凑函数是一种算法,它创建一种采用杂凑结果形式的数字表示或指紋。该杂 凑结果通常比消息小很多,然而对消息而言基本是唯一的。使用签名者 私人密钥加密这个杂凑结果,创建数字签名。在使用相同杂凑函数时, 消息的任何改变总是产生不同的杂凑结果。对于一种可靠的杂凑函数, 从它的杂凑值导出原始消息在计算上是不可行的。因此杂凑函数使创建 数字签名的软件能够在更少且可预知数量的数据上操作,同时仍旧提供 与原始消息内容的鲁棒的证据相关性。为了对文档或信息的任何其他项目进行签名,签名者首先要精确地 划定出将要签名的界限。将要签名的已划定界限信息称为消息。然后 签名者的软件中的杂凑函数计算出对该消息唯一 的(对于所有实际目的) 杂凑结果。然后签名者的软件使用签名者的私人密钥将杂凑结果加密成 一个数字签名。因此,得到的数字签名对于该消息和创建数字签名时所 用的私人密钥来说都是唯一的。当签名者发送一个已签名消息时,同样发送一个无签名消息。接受 者通过使用用户的公共密钥解密加密的杂凑来验证该签名。接受者同样 对无签名消息进行杂凑。然后比较两种杂凑结果。只有当两种杂凑结果 相同时,签名才通过验证。杂凑结果相同意味着,经发送者签名的消息 是接受者所接收的那条消息。然后,发送者不能否认他对接受者接收并 验证了的消息进行过签名。数字签名的验证者必须确信该签名是特定人 员做出的。这种保证由值得信任的第三方给出,第三方签发证书,该证 书证明能够使用证书中指定的公共密钥验证的签名属于证书中标明的一 方。因此,许多应用程序必须具有密钥以对文档、文件和数据块进行加 密和签名。需要管理和生成这些密钥的方法。
技术实现思路
本专利技术提供用于管理和生成用于加密的密钥的系统、方法和介质。 在一个实施例中,加密密钥管理系统包括密钥管理器。该密钥管理器确 定是否授权请求一个或多个密钥的应用程序接收所请求的一个或多个密钥,如果授权,那么产生一个发送到应用程序的密钥映射。该系统包括 在可预定的时间对至少一个密钥生成事件进行调度的密钥调度器。密钥 生成器在所调度的密钥生成事件中生成密钥。生成的密钥与密钥集和密 钥集组相关联。密钥集包括一个或多个密钥,密钥集组包括一个或多个 密钥集。密钥存储器存储生成的密钥连同该密钥的属性,使得每个密钥 与该密钥的一组属性相关联。密钥属性可以包括别名、版本和该密钥所 属密钥集的名称。实施例包括一种用于管理和生成密钥的方法。该方法包括从应用程 序接收对提供与密钥集或密钥集组相关联的密钥的调用。 一个密钥集包 括至少一个密钥, 一个密钥集组包括至少一个密钥集。该方法包括确定 应用程序是否在针对关联密钥集或密钥集组指定的范围内。如果应用处 在指定范围内,则产生与该密钥集或密钥集组相关联的密钥的映射。该 方法还包括,根据可指定的调度,生成包含在密钥集或密钥集組中的密 钥。本专利技术的另 一个实施例提供了 一种包括指令的计算机程序产品,该 指令在数据处理系统中执行时,有效地使系统完成一 系列用于管理和生 成加密密钥的操作。这一 系列操作通常包括从应用程序接收提供密钥集 或密钥集组中的 一个或多个密钥的请求。操作还包括确定应用程序是否 在针对密钥集或密钥集组指定的范围内。如果应用在指定范围内,则这 一系列操作包括产生所请求密钥的映射。范围被定义为各种不同的分组,例如进程(Java进程)、节点(在一个特定机器上的所有Java进程)、节 点分组(多于一个节点)、集群(与一个特定应用相关的一组Java进程), 或小区(包括整个环境的一組节点)。指定范围可以是这些中的任何一种。 基于指定范围,本文档来自技高网...
【技术保护点】
一种加密密钥管理系统,包括:密钥管理器,确定是否授权请求一个或多个密钥的应用程序接收所请求的一个或多个密钥,并产生所请求密钥的映射;密钥调度器,在可预定的时间对至少一个密钥生成事件进行调度;密钥生成器,在所调度的密钥生成事件中生成至少一个生成密钥,其中所述生成密钥与密钥集和密钥集组相关联,并且其中密钥集包括一个或多个密钥,密钥集组包括一个或多个密钥集;以及密钥存储器,存储所述至少一个生成密钥以及所述密钥的属性,使得每个密钥与所述密钥的一组属性相关联。
【技术特征摘要】
US 2006-10-26 11/553,2761.一种加密密钥管理系统,包括密钥管理器,确定是否授权请求一个或多个密钥的应用程序接收所请求的一个或多个密钥,并产生所请求密钥的映射;密钥调度器,在可预定的时间对至少一个密钥生成事件进行调度;密钥生成器,在所调度的密钥生成事件中生成至少一个生成密钥,其中所述生成密钥与密钥集和密钥集组相关联,并且其中密钥集包括一个或多个密钥,密钥集组包括一个或多个密钥集;以及密钥存储器,存储所述至少一个生成密钥以及所述密钥的属性,使得每个密钥与所述密钥的一组属性相关联。2. 根据权利要求1所述的系统,其中所述密钥管理器确定所述应 用程序是否在针对所述密钥集指定的范围内。3. 根据权利要求2所述的系统,其中所述密钥管理器确定一个范 围,以指定被授权接收所请求密钥的节点或服务器,在执行期间所述应 用程序必须驻留在所述节点或服务器中。4. 根据权利要求2所述的系统,其中所述密钥管理器确定与密钥 集组相关联的范围,所述范围至少如与所述密钥集组内密钥集相关联的 最小范围一样小。5. 根据权利要求1所述的系统,其中所述密钥存储器存储密钥属 性,所述密钥属性包括密钥集或密钥集组中每个密钥的版本号。6. 根据权利要求1所述的系统,其中所述密钥管理器确定请求一 个或多个密钥的所述应用程序的位置是否在针对所述指定密钥集或密 钥集组所指定的范围内。...
【专利技术属性】
技术研发人员:PD伯克,KD博特朱姆,赵青云,钟显维,A德迈尔斯,U范李,JL伦茨,MA罗西勒斯,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。