本发明专利技术涉及一种密钥数据安全管理装置及方法,属于信息安全技术领域,该装置系统层包括密钥生成服务模块、密钥服务获取模块、密钥销毁服务模块、算法服务模块、密钥存储管理模块和存储器,应用层包括应用。生成阶段应用调用密钥生成服务模块的API,密钥生成服务模块根据输入的密钥信息生成密钥,通过密钥存储管理模块存储在存储器中,并生成密钥标识返给应用;使用阶段应用调用密钥服务获取模块的API,密钥服务获取模块根据密钥标识获取密钥数据,运算得到输出数据返给应用;销毁阶段应用调用密钥销毁服务模块的API,密钥销毁服务模块根据密钥标识清除密钥数据。本发明专利技术能对安全装置中密钥数据的生成、使用和销毁进行全生命周期管理,保障密钥安全。保障密钥安全。保障密钥安全。
【技术实现步骤摘要】
一种密钥数据安全管理装置和方法
[0001]本专利技术属于信息安全
,具体为一种密钥数据安全管理装置和方法。
技术介绍
[0002]终端设备中的高级别安全核心主要依赖安全装置来完成,而安全装置的安全主要通过高强度的硬件防护和密码算法功能来实现。安全装置的一个重要功能就是安全存储,用来存储密钥、PIN和业务机密数据等敏感信息,支撑业务场景的安全机制。
[0003]密钥数据作为安全机制的核心,一旦被黑客攻击获取,会对整个安全系统造成毁灭性打击,所以密钥数据的管理是重中之重。
[0004]现有技术存在一种安全密钥导出功能(授权公告号为CN 107111728 B),涉及一种虚拟化执行环境,该虚拟化执行环境包括应用层和平台层,安全密钥导出方法过程为:1)应用提供初始化数据给平台层密钥导出模块;2)平台层随机数生成器使用初始化数据做初始化;3)密钥导出模块基于平台层的随机数生成器生成的随机数导出密码密钥(至少部分地基于存储在平台中的主密钥);4)将导出的密钥存储在密码安全存储区中;5)将导出的密钥引用从密钥导出模块返回给应用。该文献中具体限定了使用哪种算法生成密钥,具有较大的局限性,而且没有提到密钥使用及密钥销毁的方法。
技术实现思路
[0005]为解决现有技术存在的缺陷,本专利技术的目的在于提供一种密钥数据安全管理装置和方法,通过该装置及方法能够对安全装置中密钥数据的生成、使用和销毁进行管理,保障密钥的安全,从而实现安全装置及相关系统的安全、稳定及可用。
[0006]为达到以上目的,本专利技术采用的一种技术方案是:
[0007]一种密钥数据安全管理装置,所述装置包括系统层和应用层,所述系统层包括密钥生成服务模块、密钥服务获取模块、密钥销毁服务模块、算法服务模块、密钥存储管理模块和存储器,所述应用层包括各种应用,其中:
[0008]所述密钥生成服务模块根据用户输入的密钥信息,使用要求的算法生成或获得需要的密钥数据,将所述密钥数据通过所述密钥存储管理模块存储在所述存储器中,并根据存储结构生成密钥标识返回给所述应用;
[0009]所述密钥服务获取模块根据用户输入的密钥标识获取存储在所述存储器中的密钥数据,并使用要求的算法服务和所述密钥数据进行算法运算,得到输出数据并返回给所述应用;
[0010]所述密钥销毁服务模块根据用户输入的密钥标识,通过所述密钥存储管理模块将所述密钥标识对应的密钥数据信息清除,并将销毁结果返回给所述应用;
[0011]所述算法服务模块用于为密钥生成/获取/销毁服务模块提供多种用于生成和使用密钥数据的算法;
[0012]所述密钥存储管理模块用于管理密钥数据,具体包括将所述密钥生成服务模块生
成的密钥数据存储在所述存储器中;根据用户输入的密钥标识从所述存储器中读取对应的密钥数据发送给所述密钥服务获取模块;根据用户输入的密钥标识将所述存储器中对应的密钥数据信息清除。
[0013]进一步,如上所述的密钥数据安全管理装置,所述密钥生成服务模块包括密钥生成服务API,用户通过所述密钥生成服务API输入所述密钥信息,所述密钥信息包括密钥生成信息和密钥导入信息两大类,其中:
[0014]所述密钥生成信息包括生成密钥长度;所述密钥导入信息包括原始密钥或密钥派生数据,同时包括算法服务标识。
[0015]进一步,如上所述的密钥数据安全管理装置,所述密钥生成信息还包括密钥类型和/或算法服务标识。
[0016]进一步,如上所述的密钥数据安全管理装置,当密钥信息类型为密钥生成信息时,所述密钥生成服务模块根据所述密钥生成信息,使用要求的算法服务生成需要的密钥数据;
[0017]当密钥信息类型为密钥导入信息时,所述密钥生成服务模块根据所述密钥导入信息,使用要求的算法服务对导入数据进行安全处理,获得密钥数据。
[0018]进一步,如上所述的密钥数据安全管理装置,所述密钥服务获取模块包括密钥服务获取API,用户通过所述密钥服务获取API输入所述密钥标识。
[0019]进一步,如上所述的密钥数据安全管理装置,所述密钥销毁服务模块包括密钥销毁服务API,用户通过所述密钥销毁服务API输入所述密钥标识。
[0020]一种密钥数据安全管理的方法,包括密钥生成、密钥使用和密钥销毁阶段,其中密钥生成阶段包括以下步骤:
[0021]S11、应用调用密钥生成服务模块中的密钥生成服务API,用户通过所述密钥生成服务API输入密钥信息;
[0022]S12、密钥生成服务模块根据输入的密钥信息类型,使用要求的算法服务生成或获得需要的密钥数据;
[0023]S13、所述密钥生成服务模块将获得的所述密钥数据提交给密钥存储管理模块,所述密钥存储管理模块将密钥数据存入存储器,并根据存储结构生成密钥标识返回给所述应用;
[0024]密钥使用阶段包括以下步骤:
[0025]S21、应用调用密钥服务获取模块中的密钥服务获取API,用户通过所述密钥服务获取API输入密钥标识;
[0026]S22、密钥服务获取模块根据输入的所述密钥标识,通过所述密钥存储管理模块获取密钥数据,并使用要求的算法服务和所述密钥数据进行算法运算,得到输出数据;
[0027]S23、所述密钥服务获取模块将所述输出数据返回给所述应用;
[0028]密钥销毁阶段包括以下步骤:
[0029]S31、应用调用密钥销毁服务模块中的密钥销毁服务API,用户通过所述密钥销毁服务API输入密钥标识;
[0030]S32、密钥销毁服务模块根据输入的所述密钥标识,通过所述密钥存储管理模块将所述密钥标识对应的密钥数据信息清除;
[0031]S33、所述密钥销毁服务模块将销毁结果返回给所述应用。
[0032]进一步,如上所述的密钥数据安全管理方法,步骤S11中所述密钥信息包括密钥生成信息和密钥导入信息两大类,其中:
[0033]所述密钥生成信息包括生成密钥长度;所述密钥导入信息包括原始密钥或密钥派生数据,同时包括算法服务标识。
[0034]进一步,如上所述的密钥数据安全管理方法,步骤S11中所述密钥生成信息还包括密钥类型和/或算法服务标识。
[0035]进一步,如上所述的密钥数据安全管理方法,步骤S12中具体为:
[0036]当密钥信息类型为密钥生成信息时,密钥生成服务模块根据密钥生成信息,使用要求的算法服务生成需要的密钥数据;
[0037]当密钥信息类型为密钥导入信息时,密钥生成服务模块根据密钥导入信息,使用要求的算法服务对导入数据进行安全处理,获得密钥数据。
[0038]进一步,如上所述的密钥数据安全管理方法,步骤S12中算法服务包括随机数生成、密钥协商或加解密。
[0039]进一步,如上所述的密钥数据安全管理方法,步骤S21中密钥服务获取API的输入数据还包括业务数据和/或算法服务标识。
[0040]采用本专利技术所述的密钥数据安全管理装置和方法,具有以本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种密钥数据安全管理装置,其特征在于,所述装置包括系统层和应用层,所述系统层包括密钥生成服务模块、密钥服务获取模块、密钥销毁服务模块、算法服务模块、密钥存储管理模块和存储器,所述应用层包括各种应用,其中:所述密钥生成服务模块根据用户输入的密钥信息,使用要求的算法生成或获得需要的密钥数据,将所述密钥数据通过所述密钥存储管理模块存储在所述存储器中,并根据存储结构生成密钥标识返回给所述应用;所述密钥服务获取模块根据用户输入的密钥标识获取存储在所述存储器中的密钥数据,并使用要求的算法服务和所述密钥数据进行算法运算,得到输出数据并返回给所述应用;所述密钥销毁服务模块根据用户输入的密钥标识,通过所述密钥存储管理模块将所述密钥标识对应的密钥数据信息清除,并将销毁结果返回给所述应用;所述算法服务模块用于为密钥生成/获取/销毁服务模块提供多种用于生成和使用密钥数据的算法;所述密钥存储管理模块用于管理密钥数据,具体包括将所述密钥生成服务模块生成的密钥数据存储在所述存储器中;根据用户输入的密钥标识从所述存储器中读取对应的密钥数据发送给所述密钥服务获取模块;根据用户输入的密钥标识将所述存储器中对应的密钥数据信息清除。2.根据权利要求1所述的密钥数据安全管理装置,其特征在于,所述密钥生成服务模块包括密钥生成服务API,用户通过所述密钥生成服务API输入所述密钥信息,所述密钥信息包括密钥生成信息和密钥导入信息两大类,其中:所述密钥生成信息包括生成密钥长度;所述密钥导入信息包括原始密钥或密钥派生数据,同时包括算法服务标识。3.根据权利要求2所述的密钥数据安全管理装置,其特征在于,所述密钥生成信息还包括密钥类型和/或算法服务标识。4.根据权利要求2或3所述的密钥数据安全管理装置,其特征在于,当密钥信息类型为密钥生成信息时,所述密钥生成服务模块根据所述密钥生成信息,使用要求的算法服务生成需要的密钥数据;当密钥信息类型为密钥导入信息时,所述密钥生成服务模块根据所述密钥导入信息,使用要求的算法服务对导入数据进行安全处理,获得密钥数据。5.根据权利要求1所述的密钥数据安全管理装置,其特征在于,所述密钥服务获取模块包括密钥服务获取API,用户通过所述密钥服务获取API输入所述密钥标识。6.根据权利要求1所述的密钥数据安全管理装置,其特征在于,所述密钥销毁服务模块包括密钥销毁服务API,用户通过所述密钥销毁服务API输入...
【专利技术属性】
技术研发人员:刘源杰,徐俊江,郑江东,
申请(专利权)人:北京握奇智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。