本发明专利技术公开一种云环境下租户托管密钥更新的方法、系统、介质及设备,其中,所述方法为:在租户通过密钥访问模块向租户管理模块和密钥托管模块发送密钥请求信息的方式调用托管密钥时,密钥托管模块对调用的托管密钥进行解析并得到所述托管密钥的生成时间属性和密钥有效期属性,当所述托管密钥的密钥有效期剩余时间小于或等于预设阈值,则将所述托管密钥标记为待更新托管密钥,同时触发密钥更新模块对所述托管密钥进行更新,密钥更新模块对待更新托管密钥进行更新并将新的托管密钥及与新的托管密钥相关的信息加密存储。本发明专利技术解决了云计算环境下租户托管密钥的安全更新的问题,从而满足云租户所需要的安全、便捷、平滑地对托管密钥进行更新的需求。管密钥进行更新的需求。管密钥进行更新的需求。
【技术实现步骤摘要】
云环境下租户托管密钥更新的方法、系统、介质及设备
[0001]本专利技术涉及密钥管理
,具体地说是一种云环境下租户托管密钥更新方法、系统、介质及设备。
技术介绍
[0002]随着云计算技术的快速发展,政企上云迅猛发展带动了云上应用数量的急剧增加,应用和数据的安全防护已成为云上安全防护的核心要求之一。在云环境下,租户单位在云上建设有各类的应用系统,同时会产生和处理各类数据,进行存储。租户在云上存储的数据,有许多是重要数据和敏感数据,这类数据在存储环节,有着机密性和完整性的要求,需要采用密码技术进行加密保护,而加密所用的数据加密密钥,需要有安全可靠的存放机制。此时,这些租户的应用系统通常采用密钥托管的方式,将自己需要存放的密钥托管至可信的服务端。
[0003]在云环境下,租户为了对数据存储加密所用到的密钥进行托管,通常传统的托管方式是直接托管数据密钥,即直接将加密数据所使用的数据密钥托管在服务端。这样带来的问题是当数据密钥数量巨大时,租户端的存储数据和服务端对应的数据密钥的映射关系管理会异常困难和复杂,而且托管的数据密钥和海量数据直接关联,存放在服务端的数据密钥的更新难度极大。
[0004]目前也存在着一类改良的密钥托管方法,即不托管数据密钥,而是增加一层密钥保护关系,采用一种称为“密钥保护密钥”的密钥,对数据密钥进行加密,得到数据密钥密文,租户将数据密钥密文存放在租户端,甚至和数据密文存放在一起,租户将“密钥保护密钥”托管在服务端。但目前这类托管方法又普遍带来其它各种问题,例如:托管密钥的生成和存放缺乏安全机制;托管密钥往往长期使用,不提供更新机制,带来安全隐患;服务端即使可以提供托管密钥的更新功能,但更新过程对租户端使用极其不友好,不能实现平滑安全、便捷地更新。
[0005]由于这些各种问题的存在,当前的这些密钥托管和更新方式无法满足云租户想要安全、便捷、平滑地对托管密钥进行更新的需求。
技术实现思路
[0006]为此,本专利技术所要解决的技术问题在于提供一种云环境下租户托管密钥更新的方法、装置、介质及设备,使用密钥更新平滑迁移技术、新旧密钥隔离保护技术、新旧数据保护迁移技术相结合的办法,解决了云计算环境下租户托管密钥的安全更新的问题,从而满足云租户所需要的安全、便捷、平滑地对托管密钥进行更新的需求。
[0007]为解决上述技术问题,本专利技术提供如下技术方案:云环境下租户托管密钥更新的方法,在租户通过密钥访问模块向租户管理模块和密钥托管模块发送密钥请求信息的方式调用托管密钥时,密钥托管模块对调用的托管密钥进行解析并得到所述托管密钥的生成时间属性和密钥有效期属性,当所述托管密钥的密钥
有效期剩余时间小于或等于预设阈值,则将所述托管密钥标记为待更新托管密钥,同时触发密钥更新模块对所述托管密钥进行更新,密钥更新模块对待更新托管密钥进行更新并将新的托管密钥及与新的托管密钥相关的信息加密存储;新的托管密钥生成并存储后,原有的托管密钥仍留存于密钥存储模块内;在新的托管密钥产生后,密钥托管模块使用与密钥请求信息相匹配的托管密钥对密钥请求信息中的数据密钥密文信息解密,获得数据密钥明文,并使用新的托管密钥对数据密钥明文加密,获得数据密钥新密文,将数据密钥明文、数据密钥新密文以及新的托管密钥的ID值作为密钥应答信息发送给租户端的密钥访问模块;租户发出的密钥请求信息中至少包括租户名称、租户ID、托管密钥名称、托管密钥ID、数据密钥类型和数据密钥密文信息。
[0008]上述云环境下租户托管密钥更新的方法,密钥更新模块生成一个新的托管密钥后,将新的托管密钥及与新的托管密钥相关的信息加密存储在密钥存储模块中的密钥托管容器的新的密钥托管存储区内,新的密钥托管存储区与原有的密钥托管存储区之间相互隔离。
[0009]上述云环境下租户托管密钥更新的方法,同一租户的托管密钥及与托管密钥相关的信息存放同一个密钥托管容器内。
[0010]上述云环境下租户托管密钥更新的方法,不同租户所用的密钥托管容器之间相互隔离。
[0011]上述云环境下租户托管密钥更新的方法,与托管密钥相关的管理操作均在与该托管密钥相关的密钥托管容器内完成。
[0012]上述云环境下租户托管密钥更新的方法,托管密钥更新的具体步骤为:S1)密钥更新模块接收密钥托管模块对待更新托管密钥进行更新的指令并对待更新托管密钥进行更新,操作如下:S1
‑
1)增加一个新的托管密钥的ID值;S1
‑
2)生成一个新的托管密钥;S1
‑
3)将新的托管密钥和新的托管密钥的ID值关联并记录映射关系;S1
‑
4)将新的托管密钥、新的托管密钥的ID值、待更新托管密钥以及新的托管密钥的ID值与新的托管密钥之间的映射关系返回密钥托管模块;S2)密钥托管模块将新的托管密钥、新的托管密钥的ID值以及新的托管密钥的ID值与新的托管密钥之间的映射关系加密存储在密钥存储模块内。
[0013]上述云环境下租户托管密钥更新的方法,新的托管密钥的ID值的数值为待更新托管密钥ID值的数值加1。
[0014]云环境下租户托管密钥更新系统,包括:密钥托管模块,用于对密钥请求信息进行解析并与密钥请求信息相关联的托管密钥是否需要进行更新进行判别;密钥更新模块,用于根据密钥托管模块的指令对待更新托管密钥进行更新;密钥存储模块,用于存储托管密钥、托管密钥ID值以及托管密钥与托管密钥DI值之间的映射关系;密钥存储模块内设置有大于或等于1个密钥托管容器,密钥托管容器内设置有大于或等于1个存储区,不同的两个存储区之间是相互隔离的;不同租户的托管密钥存放在不同的密钥托管容器内,同一租户的不同托管密钥存放在不同的存储区内;
密钥托管模块分别与密钥更新模块和密钥存储模块通信连接。
[0015]计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述云环境下租户托管密钥更新的方法。
[0016]计算机设备,包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,所述计算机程序被处理器执行时实现上述云环境下租户托管密钥更新的方法。
[0017]本专利技术的技术方案取得了如下有益的技术效果:1.本专利技术采用密钥名称映射技术,保证了租户可安全、便捷地托管多组密钥并能进行更新。
[0018]2.本专利技术采用了租户密钥安全隔离技术,保证了不同租户之间的托管密钥和存储信息的安全隔离。
[0019]3.本专利技术采用了新旧密钥隔离保护技术,对已过期托管密钥和当前更新后托管密钥的分类加密保护,实现了逻辑分类加密隔离保护。
[0020]4.本专利技术采用密钥更新平滑迁移技术,保证了租户在密钥更新后的应用业务的连续性。
[0021]5.本专利技术采用了新旧数据保护迁移技术,保证了租户端在托管密钥发生更新的情况下,也可以安全顺畅地处理新加密数据和解密旧密文数据。
附图说明
[0022]图1为本专利技术中云环境下租户托管密钥更新系统的工作原理图本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.云环境下租户托管密钥更新的方法,其特征在于,在租户通过密钥访问模块向租户管理模块和密钥托管模块发送密钥请求信息的方式调用托管密钥时,密钥托管模块对调用的托管密钥进行解析并得到所述托管密钥的生成时间属性和密钥有效期属性,当所述托管密钥的密钥有效期剩余时间小于或等于预设阈值,则将所述托管密钥标记为待更新托管密钥,同时触发密钥更新模块对所述托管密钥进行更新,密钥更新模块对待更新托管密钥进行更新并将新的托管密钥及与新的托管密钥相关的信息加密存储;新的托管密钥生成并存储后,原有的托管密钥仍留存于密钥存储模块内;在新的托管密钥产生后,密钥托管模块使用与密钥请求信息相匹配的托管密钥对密钥请求信息中的数据密钥密文信息解密,获得数据密钥明文,并使用新的托管密钥对数据密钥明文加密,获得数据密钥新密文,将数据密钥明文、数据密钥新密文以及新的托管密钥的ID值作为密钥应答信息发送给租户端的密钥访问模块;租户发出的密钥请求信息中至少包括租户名称、租户ID、托管密钥名称、托管密钥ID、数据密钥类型和数据密钥密文信息。2.根据权利要求1所述的云环境下租户托管密钥更新的方法,其特征在于,密钥更新模块生成一个新的托管密钥后,将新的托管密钥及与新的托管密钥相关的信息加密存储在密钥存储模块中的密钥托管容器的新的密钥托管存储区内,新的密钥托管存储区与原有的密钥托管存储区之间相互隔离。3.根据权利要求2所述的云环境下租户托管密钥更新的方法,其特征在于,同一租户的托管密钥及与托管密钥相关的信息存放同一个密钥托管容器内。4.根据权利要求3所述的云环境下租户托管密钥更新的方法,其特征在于,不同租户所用的密钥托管容器之间相互隔离。5.根据权利要求4所述的云环境下租户托管密钥更新的方法,其特征在于,与托管密钥相关的管理操作均在与该托管密钥相关的密钥托管容器内完成。6.根据权利要求1~5任一所述的云环境下租户托管密钥更新的方法,其特征在于,托管密钥更新的具体步骤为:S1)密钥更新模块接收密钥...
【专利技术属性】
技术研发人员:王强,张大伟,
申请(专利权)人:北京安盟信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。