【技术实现步骤摘要】
密钥备份方法和通信装置
[0001]本申请涉通信领域,尤其涉及一种密钥备份方法和通信装置。
技术介绍
[0002]在移动边缘计算(mobile edge computing,MEC)场景下,移动边缘计算平台(mobile edge computing platform,MEP)为部署在其上的第三方应用提供密钥管理能力。由于存在租户不信任MEP平台的某些密钥管理能力(例如,随机密钥的生成能力,密钥容灾备份能力)的情况,所以MEP平台为租户提供了相应的密钥自主管理能力。
[0003]租户可以将密钥备份到指定的存储服务器上,以备在需要恢复密钥时,即使MEP平台密钥容灾机制失效,租户也能够通过密钥备份文件自主恢复出密钥。
[0004]但是,在上述密钥自主管理的过程中,密钥的备份需要人为触发,导致存在密钥备份不及时的问题。
技术实现思路
[0005]本申请提供一种密钥备份方法,以实现密钥的自动备份。
[0006]第一方面,提供了一种密钥备份方法,可以由第一服务器执行,也可以由第一服务器中的芯片执行,该方法包括:在确定第一客户端的密钥为第一密钥之后,确定第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址;通过随机加密密钥加密上述第一密钥,获得第一密钥的密文;通过上述口令密钥加密随机加密密钥,获得该随机加密密钥的密文;向上述第二服务器发送上述第一客户端的第一密钥备份文件,该第一密钥备份文件包括上述第一密钥的密文、上述随机加密密钥的密文、上述第一客户端的标识、口令密钥导出参数和上述密钥管 ...
【技术保护点】
【技术特征摘要】
1.一种密钥备份方法,其特征在于,包括:在确定第一客户端的密钥为第一密钥之后,确定所述第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址;通过随机加密密钥加密所述第一密钥,获得所述第一密钥的密文;通过所述口令密钥加密所述随机加密密钥,获得所述随机加密密钥的密文;向所述第二服务器发送所述第一客户端的第一密钥备份文件,所述第一密钥备份文件包括所述第一密钥的密文、所述随机加密密钥的密文、所述第一客户端的标识、口令密钥导出参数和所述密钥管理账号。2.根据权利要求1所述的方法,所述第一客户端为移动边缘计算平台中的应用的客户端,或者为公有云中的应用的客户端。3.根据权利要求1或2所述的方法,其特征在于,在所述确定所述第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址之前,所述方法还包括:接收来自所述第一客户端的备份参数,所述备份参数包括所述密钥管理账号和所述第二服务器的地址;获取所述密钥管理账号和所述第二服务器的地址;基于所述密钥管理账号,生成所述第一客户端的口令;向所述第一客户端发送所述口令;基于所述口令密钥导出参数和所述口令,获得所述口令密钥;加密所述口令密钥,获得所述口令密钥的密文;将所述备份参数、所述口令密钥导出参数、所述口令密钥的密文和所述第一客户端的标识进行关联存储;所述确定所述第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址,包括:根据所述第一客户端的标识确定对应的所述备份参数、所述口令密钥导出参数及所述口令密钥的密文;解密所述口令密钥的密文,确定所述口令密钥。4.根据权利要求3所述的方法,其特征在于,所述密钥管理账号的数量为n个,n为自然数;所述基于所述密钥管理账号,生成所述第一客户端的口令,包括:基于n个密钥管理账号,生成所述第一客户端的n个口令;所述向所述第一客户端发送所述口令,包括:向所述第一客户端发送所述第一客户端的n个口令;所述基于所述口令密钥导出参数和所述口令,获得所述口令密钥,包括:分别基于n个口令密钥导出参数和所述第一客户端的n个口令,获得n个口令密钥。5.根据权利要求3或4所述的方法,其特征在于,所述口令的长度满足下述公式:F(L,C)*k*log2(k*t)≥P其中,F(L,C)为所述口令的目标安全强度,L为所述口令的长度,C为所述口令的复杂度,k为恢复所述第一密钥的口令的个数,k为自然数,t为迭代次数,t为自然数,P为所述口令的目标安全强度阈值。6.根据权利要求1至5中任一项所述的方法,其特征在于,在向所述第二服务器发送所
述第一客户端的第一密钥备份文件之后,所述方法还包括:在所述第一密钥丢失后,接收来自所述第一客户端或所述第二服务器的所述第一密钥备份文件;基于收到的所述第一密钥备份文件,解密收到的所述第一密钥备份文件中所包括的所述第一密钥的密文,获得所述第一密钥。7.根据权利要求6所述的方法,其特征在于,所述口令密钥的数量为n个,n为自然数;所述通过所述口令密钥加密所述随机加密密钥,获得所述随机加密密钥的密文,包括:基于阈值参数(n,k)和所述随机加密密钥,获得n个随机加密密钥分割值,所述n个随机加密密钥分割值中的任意k个随机加密密钥分割值能够用于恢复所述随机加密密钥,k为恢复所述第一密钥的口令的个数,k为自然数,且n大于或等于k;分别通过所述n个口令密钥加密所述n个随机加密密钥分割值,获得所述随机加密密钥的密文,所述随机加密密钥的密文包括所述n个随机加密密钥分割值的密文;所述密钥管理账号以及口令的数量为n个;所述基于收到的所述第一密钥备份文件,解密收到的所述第一密钥备份文件中所包括的所述第一密钥的密文,获得所述第一密钥,包括:根据k个密钥管理账号,确定所述第一密钥备份文件中与所述k个密钥管理账号对应的k个口令密钥导出参数,所述k个密钥管理账号是从所述第一客户端获取的,所述k个密钥管理账号属于所述n个密钥管理账号;基于k个口令和所述k个口令密钥导出参数,获得与所述k个口令对应的k个口令密钥,所述k个口令是从所述第一客户端获取的,所述k个口令和所述k个口令密钥导出参数对应,所述k个密钥管理账号与所述k个口令对应,所述k个口令属于所述n个口令;分别利用所述k个口令密钥解密所述随机加密密钥的密文,获得k个随机加密密钥分割值;根据所述k个随机加密密钥分割值,获得所述随机加密密钥;通过所述随机加密密钥解密所述第一密钥的密文,获得所述第一密钥。8.根据权利要求6或7所述的方法,其特征在于,在解密所述第一密钥的密文获得所述第一密钥之后,所述方法还包括:加密所述第一密钥得到所述第一密钥的密文;向所述第一客户端发送所述第一密钥的密文。9.一种密钥备份信息获取方法,其特征在于,包括:接收来自所述第一客户端的备份参数,所述备份参数包括所述密钥管理账号和第二服务器的地址;获取所述密钥管理账号和所述第二服务器的地址;基于所述密钥管理账号,生成所述第一客户端的口令;向所述第一客户端发送所述口令;基于口令密钥导出参数和所述口令,获得所述口令密钥;加密所述口令密钥,获得所述口令密钥的密文;将所述备份参数、所述口令密钥导出参数、所述口令密钥的密文和所述第一客户端的标识进行关联存储。
10.根据权利要求9所述的方法,其特征在于,所述备份参数还包括所述第一密钥的目标安全强度阈值,所述目标安全强度阈值用于确定最小口令长度;所述基于所述密钥管理账号,生成所述第一客户端的口令,包括:基于所述密钥管理账号和所述目标安全强度阈值,生成所述第一客户端的口令,所述口令的长度大于或等于所述最小口令长度。11.根据权利要求9或10所述的方法,其特征在于,所述密钥管理账号的数量为n个,n为自然数;所述基于所述密钥管理账号,生成所述第一客户端的口令,包括:基于n个密钥管理账号,生成所述第一客户端的n个口令;所述向所述第一客户端发送所述口令,包括:向所述第一客户端发送所述第一客户端的n个口令;所述基于口令密钥导出参数和所述口令,获得所述口令密钥,包括:分别基于n个口令密钥导出参数和所述第一客户端的n个口令,获得n个口令密钥。12.根据权利要求9至11中任一项所述的方法,其特征在于,所述口令的长度满足下述公式:F(L,C)*k*log2(k*t)≥P其中,F(L,C)为所述口令的目标安全强度,L为所述口令的长度,C为所述口令的复杂度,k为恢复所述第一密钥的口令的个数,k为自然数,t为迭代次数,t为自然数,P为所述口令的目标安全强度阈值。13.一种通信装置,其特征在于,包括:至...
【专利技术属性】
技术研发人员:欧锻灏,蒋刚林,李远,何锋,庞志鸿,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。