【技术实现步骤摘要】
密钥管理方法、装置、系统及存储介质
[0001]本专利技术涉及信息安全领域,尤其涉及一种密钥管理方法、装置、系统及存储介质。
技术介绍
[0002]相关技术中,如果用户隐私数据以明文状态存储于数据库中,一旦被拖库,将直接威胁用户隐私数据。数据加密存储技术是一种能够有效保护隐私数据的技术,其原理是将用户数据中的敏感信息加密后存储在数据库或文件系统,当需要读取时进行解密。即使被攻击者实现拖库攻击,只要密钥不泄露,攻击者亦无法获取用户隐私数据。
[0003]密钥管理是加密存储技术的核心,如果密钥被泄露,被加密的数据也就不再安全。传统解决方案是通过软件或硬件的方式实现。软件方式是将密钥保存在配置文件或数据库中,需要解密时直接读取密钥进行解密操作,这种方式存在安全隐患。硬件方式是将密钥保存在硬件介质中,例如,U盘(USB flash disk),需要解密数据时插入U盘读取密钥进行解密操作,解密完成后拔走U盘,这种方式的安全性可以得到保证,但易用性较差。
技术实现思路
[0004]有鉴于此,本专利技术实施例提供了...
【技术保护点】
【技术特征摘要】
1.一种密钥管理方法,其特征在于,应用于数据存储服务器,所述方法包括:基于数据服务终端发送的数据服务请求,对第一密钥生成算法进行混淆,得到混淆后的第二密钥生成算法;发送所述第二密钥生成算法给密钥服务器;与所述密钥服务器基于所述第二密钥生成算法、所述数据存储服务器存储的第一密钥分片、所述密钥服务器存储的第二密钥分片进行协同计算,对协同计算的计算结果进行反混淆,得到所述数据服务请求对应的密钥。2.根据权利要求1所述的方法,其特征在于,所述基于数据服务终端发送的数据服务请求,对第一密钥生成算法进行混淆,包括:对数据服务终端发送的数据服务请求进行验证;确定验证通过,对第一密钥生成算法进行混淆。3.根据权利要求2所述的方法,其特征在于,所述对数据服务终端发送的数据服务请求进行验证,包括以下至少之一:基于所述数据服务请求中携带的身份标识进行身份有效性验证;基于所述数据服务请求中携带的时间戳进行时间有效性验证。4.根据权利要求2所述的方法,其特征在于,所述数据服务请求携带基于第一共享密钥加密的验证信息,所述第一共享密钥为所述数据服务终端与所述密钥服务器之间的共享密钥,所述方法还包括:发送密钥协同计算请求给所述密钥服务器,所述密钥协同计算请求携带所述验证信息;接收所述密钥服务器基于所述密钥协同计算请求进行验证的验证结果;所述对第一密钥生成算法进行混淆,包括:确定来自所述密钥服务器的验证结果为验证通过,对所述第一密钥生成算法进行混淆。5.根据权利要求1所述的方法,其特征在于,所述对第一密钥生成算法进行混淆,包括:对所述第一密钥生成算法基于随机数进行编码,生成所述第二密钥生成算法;所述对协同计算的计算结果进行反混淆,包括:对所述协同计算的计算结果基于所述随机数进行解码,生成所述数据服务请求对应的密钥。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:确定所述数据服务请求处理结束,销毁所述数据服务请求对应的密钥。7.一种密钥管理方法,其特征在于,应用于密钥服务器,所述方法包括:接收数据存储服务器发送的第二密钥生成算法;与所述数据存储服务器基于所述第二密钥生成算法、所述数据存储服务器存储的第一密钥分片、所述密钥服务器存储的第二密钥分片进行协同计算;其中,所述第二密钥生成算法是所述数据存储服务器对第一密...
【专利技术属性】
技术研发人员:耿慧拯,张星,米婧,张恒,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。