一种密钥管理系统技术方案

本发明专利技术公开了一种密钥管理系统，包括：密钥模板管理模块、预激活密钥管理模块、密钥管理模块、密钥归档管理模块、司法取证模块。本发明专利技术实现了密钥的全生命周期的管理，广泛地适用于各类需要对密钥进行管理的应用场景。于各类需要对密钥进行管理的应用场景。

【技术实现步骤摘要】
一种密钥管理系统


[0001]本专利技术涉及计算机
，特别涉及一种密钥管理系统。

技术介绍

[0002]目前，密码技术被越来越广泛地应用至各行各业，产生了大量的密钥。如何对这些密钥进行高效管理，同时保证安全性，现有技术还没有相应的解决方案。

技术实现思路

[0003]为了解决上述技术问题中的至少一个，本公开提供了一种密钥管理系统。
[0004]本专利技术实施例提供了一种密钥管理系统，包括：
[0005]密钥模板管理模块、预激活密钥管理模块、密钥管理模块、密钥归档管理模块、司法取证模块。
[0006]可选地，所述密钥模板管理模块用于：
[0007]在密钥模板中定义创建密钥对象的产生策略信息，创建应用所需密钥对象，其中包括新增密钥模板、修改密钥模板、删除密钥模板和查询密钥模板功能。
[0008]可选地，所述预激活密钥管理模块用于：
[0009]批量产生对称密钥或非对称密钥，应用可以直接绑定或提取使用；其中包括即时产生密钥、定时产生密钥、预激活密钥统计、预激活密钥销毁功能。
[0010]可选地，所述密钥管理模块用于：
[0011]创建密钥，及密钥的全生命证书管理；
[0012]密钥的全生命证书管理包括密钥对象的生成、存储、激活、更新、归档、注销、销毁等，以及密钥的加密导入和导出。
[0013]可选地，所述密钥归档管理模块用于：
[0014]对过期密钥或确定不用的密钥数据进行归档操作。
[0015]可选地，所述司法取证模块用于：
[0016]验证司法取证员的密钥后，在密钥管理系统中提取应用的密钥数据。
[0017]可选地，所述还司法取证模块用于：
[0018]为所述司法取证员创建密钥。
[0019]可选地，所述密钥包括：
[0020]KEK密钥和DEK密钥。
[0021]可选地，所述密钥包括：
[0022]对称密钥和非对称密钥。
[0023]可选地，所述密钥采用国产密钥算法。
[0024]与现有技术相比，本专利技术至少具有以下有益效果：
[0025]提供了密钥的全生命周期的管理，广泛地适用于各类需要对密钥进行管理的应用场景。。
具体实施方式
[0026]下面对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例，基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0027]根据本专利技术实施例，提供一种密钥管理系统，包括：
[0028]密钥模板管理模块、预激活密钥管理模块、密钥管理模块、密钥归档管理模块、司法取证模块。
[0029]可选地，所述密钥模板管理模块用于：
[0030]在密钥模板中支持定义创建密钥对象的产生策略信息，用于简单快速的创建应用所需密钥对象，密钥模板管理功能包括新增密钥模板、修改密钥模板、删除密钥模板和查询密钥模板。密钥模板中支持配置模板名称、模板标识、密钥类型、密钥算法、算法参数、密钥长度、密钥用途、密钥有效期，以及支持配置密钥是否运行导出和生成方式等相关策略。
[0031]可选地，所述预激活密钥管理模块用于：
[0032]批量产生对称密钥或非对称密钥，应用可以直接绑定或提取使用；其中包括即时产生密钥、定时产生密钥、预激活密钥统计、预激活密钥销毁功能。
[0033]预激活密钥管理可以理解为在应用使用密钥之前，批量产生各类对称密钥或非对称密钥，在应用需要使用相关类型和策略密钥的时候可以直接绑定或提取使用。预激活密钥管理功能包括即时产生密钥、定时产生密钥、预激活密钥统计、预激活密钥销毁等功能。
[0034]可选地，所述密钥管理模块用于：
[0035]创建密钥，及密钥的全生命证书管理；
[0036]密钥的全生命证书管理包括密钥对象的生成、存储、激活、更新、归档、注销、销毁等，以及密钥的加密导入和导出。
[0037]从密钥类型角度划分，密钥管理支持对称密钥管理和非对称密钥管理；从密钥业务角度划分，密钥管理包括KEK密钥和DEK密钥。在密码服务系统管理界面中可按需选择类型进行创建密钥，及密钥的全生命证书管理操作，包括密钥状态管理和密钥属性策略管理等；将密钥管理服务授权给应用后，应用系统也可以进行远程密钥管理，调用接口实现对应用所用密钥进行全生命管理。密钥生命周期管理包括密钥对象的生成、存储、激活、更新、归档、注销、销毁等，以及密钥的加密导入和导出，保障密钥可以安全传输。
[0038]可选地，所述密钥归档管理模块用于：
[0039]对过期密钥或确定不用的密钥数据进行归档操作。
[0040]通过支持对过期密钥或某些确定不用的密钥数据进行归档操作，以减轻密钥管理系统的管理负担。密钥归档支持对称密钥和非对称密钥按密钥过期状态和密钥管理状态进行归档操作。密钥归档后进入单独的密钥归档数据表中，作为历史数据备存储，同时支持密钥归档查询功能。
[0041]可选地，所述司法取证模块用于：
[0042]验证司法取证员的密钥后，在密钥管理系统中提取应用的密钥数据。
[0043]可选地，所述还司法取证模块用于：
[0044]为所述司法取证员创建密钥。
[0045]当在某些特定情况下，需要在密钥管理系统中提取某个应用的某个密钥数据时，
系统支持对KEK和DEK的司法取证操作。司法取证操作时，需要多个司法取证操作员在场，根据系统配置的司法取证认证策略，验证MofN 数量的司法取证员身份，验证通过后可以经对应的密钥数据以密文的形式安全导出。再进一步根据业务需要对提取出的密钥数据进行相关应用。
[0046]司法取证员是用于对密钥进行司法取证的操作人员角色，司法取证员需要多人到场才能进行。本专利技术实施例提供的系统支持司法取证员的创建、查询和删除功能。
[0047]可选地，所述密钥包括：
[0048]KEK密钥和DEK密钥。
[0049]可选地，所述密钥包括：
[0050]对称密钥和非对称密钥。
[0051]应当理解，这里描述的各种技术可结合硬件或软件，或者它们的组合一起实现。从而，本专利技术的方法和设备，或者本专利技术的方法和设备的某些方面或部分可采取嵌入有形媒介，例如软盘、CD
‑
ROM、硬盘驱动器或者其它任意机器可读的存储介质中的程序代码(即指令)的形式，其中当程序被载入诸如计算机之类的机器，并被该机器执行时，该机器变成实践本专利技术的设备。
[0052]在程序代码在可编程计算机上执行的情况下，计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件)，至少一个输入装置，和至少一个输出装置。其中，存储器被配置用于存储程序代码；处理器被配置用于根据该存储器中存储的该程序代码中的指令，执行本专利技术的各种方法。
[本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥管理系统，其特征在于，包括：密钥模板管理模块、预激活密钥管理模块、密钥管理模块、密钥归档管理模块、司法取证模块。2.如权利要求1所述的系统，其特征在于，所述密钥模板管理模块用于：在密钥模板中定义创建密钥对象的产生策略信息，创建应用所需密钥对象，其中包括新增密钥模板、修改密钥模板、删除密钥模板和查询密钥模板功能。3.如权利要求1所述的系统，其特征在于，所述预激活密钥管理模块用于：批量产生对称密钥或非对称密钥，应用可以直接绑定或提取使用；其中包括即时产生密钥、定时产生密钥、预激活密钥统计、预激活密钥销毁功能。4.如权利要求1所述的系统，其特征在于，所述密钥管理模块用于：创建密钥，及密钥的全生命证书管理；密钥的全生命证书管理包...

【专利技术属性】
技术研发人员：陈锋，王斌，张佳发，刘欣，叶婉琦，王浩然，
申请(专利权)人：南方电网数字电网研究院有限公司，
类型：发明
国别省市：