密钥管理服务系统、密钥管理方法、网关及设备技术方案

本发明专利技术实施例提供了一种密钥管理服务系统、密钥管理方法、网关及设备，系统包括：密钥管理服务KMS网关和与KMS网关通信连接的至少一个专属KMS；KMS网关用于获取密钥管理请求，在密钥管理请求对应一专属KMS时，则将密钥管理请求转发至专属KMS；专属KMS用于接收密钥管理请求，基于密钥管理请求调用与专属KMS相对应的专属密码机资源池，并利用专属密码机资源池进行密钥管理操作。本实施例提供的技术方案，在密钥管理请求与专属KMS对应时，通过KMS网关将密钥管理请求转发至专属KMS，而后通过专属密码机资源池进行密钥管理操作，确保了密钥计算和存储的整个操作都是独享的，提高了密钥存储和运算的安全性和合规性。钥存储和运算的安全性和合规性。钥存储和运算的安全性和合规性。

【技术实现步骤摘要】
密钥管理服务系统、密钥管理方法、网关及设备


[0001]本专利技术涉及数据安全
，尤其涉及一种密钥管理服务系统、密钥管理方法、网关及设备。

技术介绍

[0002]密钥管理服务(Key Management Service，简称KMS)是一站式密钥管理和数据加密服务平台，由于其能够提供简单、可靠、安全、合规的数据加密保护能力，因此，KMS能够帮助用户极大地降低在密码基础设施和数据加解密产品上的采购、运维、研发开销，以便用户只需关注数据处理操作本身。
[0003]随着大数据时代的到来，云上的企业级用户对自身数据安全和数据合规性需求日趋明确，为了能够满足用户的数据安全需求和数据合规性需求，相关技术提供了一种密码管理服务的实现方式，其主要是通过共享KMS网关直接访问用户的云上加密机实例。
[0004]然而，在利用上述系统进行密钥存储和密钥运算的过程中，密钥运算的一部分可能会在共享KMS网关进行，这样对于用户而言，密钥运算的部分是共享的，对于密钥安全和合规敏感的用户而言，其可能会质疑密钥存储与密钥运算的安全性和合规性。另外，为了能够访问用户的云上加密机实例，需要使用特定的软件开发工具包(Software Development Kit，简称SDK)，而上述用于访问云上加密机实例的SDK往往无法与通过共享KMS网关直接访问云上加密机实例的SDK相统一，此时，可能会出现同一应用下使用两种SDK的情况，进而用户需要在一个应用维护两个SDK，这样会增加用户的密钥服务维护和管理成本。

技术实现思路

[0005]本专利技术实施例提供了一种密钥管理服务系统、密钥管理方法、网关及设备，能够确保密钥计算和存储的整个操作都是独享的，提高了密钥存储和运算的安全性和合规性。
[0006]第一方面，本专利技术实施例提供一种密钥管理服务系统，包括：密钥管理服务KMS网关和与所述KMS网关通信连接的至少一个专属KMS；其中，
[0007]所述KMS网关，用于获取密钥管理请求，在所述密钥管理请求对应一专属KMS时，则将所述密钥管理请求转发至所述专属KMS；
[0008]所述专属KMS，用于接收所述密钥管理请求，基于所述密钥管理请求调用与所述专属KMS相对应的专属密码机资源池，并利用所述专属密码机资源池进行密钥管理操作。
[0009]第二方面，本专利技术实施例提供一种密钥管理方法，应用于密钥管理服务KMS网关，所述KMS网关通信连接有共享KMS和至少一个专属KMS；所述方法包括：
[0010]获取密钥管理请求；
[0011]通过所述共享KMS识别所述密钥管理请求是否对应一专属KMS；
[0012]在所述密钥管理请求对应一专属KMS时，则将所述密钥管理请求转发至所对应的专属KMS。
[0013]第三方面，本专利技术实施例提供一种密钥管理服务网关，所述密钥管理服务KMS网关
通信连接有共享KMS和至少一个专属KMS；所述KMS网关包括：
[0014]第一获取模块，用于获取密钥管理请求；
[0015]第一识别模块，用于通过所述共享KMS识别所述密钥管理请求是否对应一专属KMS；
[0016]第一处理模块，用于在所述密钥管理请求对应一专属KMS时，则将所述密钥管理请求转发至所对应的专属KMS。
[0017]第四方面，本专利技术实施例提供一种电子设备，包括：存储器、处理器；其中，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行时实现上述第二方面中的密钥管理方法。
[0018]第五方面，本专利技术实施例提供了一种计算机存储介质，用于储存计算机程序，所述计算机程序使计算机执行时实现上述第二方面中的密钥管理方法。
[0019]第六方面，本专利技术实施例提供了一种计算机程序产品，包括：计算机程序，当所述计算机程序被电子设备的处理器执行时，使所述处理器执行上述第二方面中的密钥管理方法中的步骤。
[0020]第七方面，本专利技术实施例提供了一种密钥管理方法，应用于专属密钥管理服务KMS，所述专属KMS网关通信连接有KMS网关；所述方法包括：
[0021]接收所述KMS网关发送的密钥管理请求；
[0022]基于所述密钥管理请求调用与所述专属KMS相对应的专属密码机资源池；
[0023]利用所述专属密码机资源池进行密钥管理操作。
[0024]第八方面，本专利技术实施例提供了一种专属密钥管理服务设备，所述专属密钥管理服务设备通信连接有密钥管理服务KMS网关；所述专属密钥管理服务设备包括：
[0025]第二获取模块，用于接收所述KMS网关发送的密钥管理请求；
[0026]第二调用模块，用于基于所述密钥管理请求调用与所述专属KMS相对应的专属密码机资源池；
[0027]第二处理模块，用于利用所述专属密码机资源池进行密钥管理操作。
[0028]第九方面，本专利技术实施例提供一种电子设备，包括：存储器、处理器；其中，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行时实现上述第七方面中的密钥管理方法。
[0029]第十方面，本专利技术实施例提供了一种计算机存储介质，用于储存计算机程序，所述计算机程序使计算机执行时实现上述第七方面中的密钥管理方法。
[0030]第十一方面，本专利技术实施例提供了一种计算机程序产品，包括：计算机程序，当所述计算机程序被电子设备的处理器执行时，使所述处理器执行上述第七方面中的密钥管理方法中的步骤。
[0031]第十二方面，本专利技术实施例提供了一种密钥管理方法，应用于共享密钥管理服务KMS，其中，共享KMS通信连接有KMS网关；所述方法包括：
[0032]通过KMS网关获取密钥管理请求；
[0033]确定与所述密钥管理请求相对应的用户主密钥；
[0034]将所述用户主密钥发送至所述KMS网关，以使所述KMS网关基于所述用户主密钥识别所述密钥管理请求是否对应一专属KMS。
[0035]第十三方面，本专利技术实施例提供了一种共享密钥管理服务设备，其中，共享密钥管理服务设备通信连接有KMS网关；所述共享KMS包括：
[0036]第三获取模块，用于通过KMS网关获取密钥管理请求；
[0037]第三确定模块，用于确定与所述密钥管理请求相对应的用户主密钥；
[0038]第三处理模块，用于将所述用户主密钥发送至所述KMS网关，以使所述KMS网关基于所述用户主密钥识别所述密钥管理请求是否对应一专属KMS。
[0039]第十四方面，本专利技术实施例提供一种电子设备，包括：存储器、处理器；其中，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行时实现上述第十二方面中的密钥管理方法。
[0040]第十五方面，本专利技术实施例提供了一种计算机存储介质，用于储存计算机程序，所述计算机程序使计算机执行时实现上述第十二方面中的密钥管理方法。
[0041]第十六本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥管理服务系统，其特征在于，包括：密钥管理服务KMS网关和与所述KMS网关通信连接的至少一个专属KMS；其中，所述KMS网关，用于获取密钥管理请求，在所述密钥管理请求对应一专属KMS时，则将所述密钥管理请求转发至所述专属KMS；所述专属KMS，用于接收所述密钥管理请求，基于所述密钥管理请求调用与所述专属KMS相对应的专属密码机资源池，并利用所述专属密码机资源池进行密钥管理操作。2.根据权利要求1所述的系统，其特征在于，所述专属KMS通信连接有专有网络的专有网关，所述专属KMS，还用于：通过所述专有网关获取数据加解密请求；基于所述数据加解密请求，调用所述专属密码机资源池生成与所述数据加解密请求相对应的数据密钥；基于所述数据密钥进行数据的加解密操作。3.根据权利要求1所述的系统，其特征在于，在所述KMS网关获取密钥管理请求之后，所述KMS网关还用于：确定所述密钥管理请求所对应的请求类型以及请求所在网络；在所述请求类型为预设管控请求，且所述请求所在网络为预设合法网络，则允许将所述密钥管理请求发送至所述专属KMS；在所述请求类型为预设的密钥运算请求或密钥存储请求，或者，所述请求所在网络为非法网络时，则禁止将所述密钥管理请求发送至所述专属KMS。4.根据权利要求1所述的系统，其特征在于，所述系统还包括与所述KMS网关通信连接的共享KMS；所述KMS网关，还用于在获取密钥管理请求之后，将所述密钥管理请求发送至共享KMS；所述共享KMS，用于接收所述密钥管理请求，并确定与所述密钥管理请求相对应的用户主密钥，将所述用户主密钥发送至所述KMS网关；所述KMS网关，用于获取所述用户主密钥，并基于所述用户主密钥识别所述密钥管理请求是否对应一专属KMS。5.根据权利要求4所述的系统，其特征在于，所述KMS网关，具体用于：获取所述用户主密钥中的密钥元数据；基于所述密钥元数据，确定所述密钥管理请求是否对应一专属KMS，且在所述密钥管理请求对应一专属KMS时，则基于所述密钥元数据确定与所述密钥管理请求相对应的专属KMS。6.根据权利要求2所述的系统，其特征在于，在所述专属KMS通过所述专有网关获取数据加解密请求之前，或者，在所述专属KMS接收所述密钥管理请求之前，所述专属KMS还用于：获取用户输入的与所述专属KMS相对应的凭证配置信息；基于所述凭证配置信息，生成与所述专属KMS相对应的授权凭证；对所述授权凭证进行保存，以对所述数据加解密请求或者所述密钥管理请求进行合法性识别。7.根据权利要求2所述的系统，其特征在于，在所述专属KMS通过所述专有网关获取数
据加解密请求之前，或者，在所述专属KMS接收所述密钥管理请求之前，所述专属K...

【专利技术属性】
技术研发人员：李海滨，彭忠泓，侯永福，王翾旻，范煜，陈俊朴，
申请(专利权)人：阿里云计算有限公司，
类型：发明
国别省市：