密钥备份方法和通信装置制造方法及图纸

本申请提供了一种密钥备份方法和通信装置，实现了密钥的自动备份。该方法包括：在确定第一客户端的密钥为第一密钥之后，确定第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址；通过随机加密密钥加密上述第一密钥，获得该第一密钥的密文；通过该口令密钥加密上述随机加密密钥，获得上述随机加密密钥的密文；向上述第二服务器发送上述第一客户端的第一密钥备份文件，该第一密钥备份文件包括上述第一密钥的密文、上述随机加密密钥的密文、上述第一客户端的标识、口令密钥导出参数和上述密钥管理账号。述密钥管理账号。述密钥管理账号。

【技术实现步骤摘要】
密钥备份方法和通信装置


[0001]本申请涉通信领域，尤其涉及一种密钥备份方法和通信装置。

技术介绍

[0002]在移动边缘计算(mobile edge computing,MEC)场景下，移动边缘计算平台(mobile edge computing platform，MEP)为部署在其上的第三方应用提供密钥管理能力。由于存在租户不信任MEP平台的某些密钥管理能力(例如，随机密钥的生成能力，密钥容灾备份能力)的情况，所以MEP平台为租户提供了相应的密钥自主管理能力。
[0003]租户可以将密钥备份到指定的存储服务器上，以备在需要恢复密钥时，即使MEP平台密钥容灾机制失效，租户也能够通过密钥备份文件自主恢复出密钥。
[0004]但是，在上述密钥自主管理的过程中，密钥的备份需要人为触发，导致存在密钥备份不及时的问题。

技术实现思路

[0005]本申请提供一种密钥备份方法，以实现密钥的自动备份。
[0006]第一方面，提供了一种密钥备份方法，可以由第一服务器执行，也可以由第一服务器中的芯片执行，该方法包括：在确定第一客户端的密钥为第一密钥之后，确定第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址；通过随机加密密钥加密上述第一密钥，获得第一密钥的密文；通过上述口令密钥加密随机加密密钥，获得该随机加密密钥的密文；向上述第二服务器发送上述第一客户端的第一密钥备份文件，该第一密钥备份文件包括上述第一密钥的密文、上述随机加密密钥的密文、上述第一客户端的标识、口令密钥导出参数和上述密钥管理账号。
[0007]在本申请中，第一服务器在确定第一客户端的密钥为第一密钥之后，由于第一服务器确定了第二服务器的地址，所以第一服务器可以直接向第二服务器发送第一客户端的第一密钥备份文件，主动发起对第一密钥的备份，整个备份过程只需第一服务器与第二服务器进行通信，无需人为触发，减少了在密钥备份过程中第一客户端与上述第一服务器和第二服务器之间的交互，降低时延和开销，且实现了密钥的自动备份，避免了人为触发备份存在的不及时的问题，提高了密钥的备份效率。
[0008]结合第一方面，在第一方面的某些实现方式中，上述第一客户端为移动边缘计算平台中的应用的客户端，或者为公有云中的应用的客户端。
[0009]结合第一方面，在第一方面的某些实现方式中，在确定第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址之前，上述方法还包括：接收来自第一客户端的备份参数，该备份参数包括上述密钥管理账号和上述第二服务器的地址；获取上述密钥管理账号和上述第二服务器的地址；基于该密钥管理账号，生成第一客户端的口令；向上述第一客户端发送上述口令；基于口令密钥导出参数和上述口令，获得上述口令密钥；加密口令密钥，获得口令密钥的密文；将上述备份参数、上述口令密钥导出参数、上述口令密钥的密文和上
述第一客户端的标识进行关联存储；确定上述第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址，包括：根据上述第一客户端的标识确定对应的上述备份参数、上述口令密钥导出参数及上述口令密钥的密文；解密该口令密钥的密文，确定口令密钥。
[0010]在本申请中，由于第一服务器将上述备份参数提前将上述备份参数、上述口令密钥导出参数、上述口令密钥的密文和上述第一客户端的标识进行关联存储，使得密钥备份过程中，第一服务器无需向第一客户端发送请求密钥管理账号和第一客户端的口令的消息降低了传输开销，提高了密钥备份效率。
[0011]结合第一方面，在第一方面的某些实现方式中，上述备份参数还包括第一密钥的目标安全强度阈值，该目标安全强度阈值用于确定最小口令长度；基于上述密钥管理账号，生成上述第一客户端的口令，包括：基于上述密钥管理账号和上述目标安全强度阈值，生成第一客户端的口令，该口令的长度大于或等于上述最小口令长度。
[0012]在本申请中，第一服务器可以根据上述第一客户端发送的目标安全强度阈值，生成第一客户端对应的管理员想要的安全强度的口令，即在实现自动生成口令的前提下，还可以满足管理人员对口令的安全强度的需求。
[0013]结合第一方面，在第一方面的某些实现方式中，上述密钥管理账号的数量为n个，n为自然数；上述基于上述密钥管理账号，生成第一客户端的口令，包括：基于n个密钥管理账号，生成第一客户端的n个口令；上述向上述第一客户端发送上述口令，包括：向上述第一客户端发送上述第一客户端的n个口令；上述基于口令密钥导出参数和上述口令，获得上述口令密钥，包括：分别基于n个口令密钥导出参数和上述第一客户端的n个口令，获得n个口令密钥。
[0014]结合第一方面，在第一方面的某些实现方式中，上述口令的长度满足下述公式：F(L,C)*k*log2(k*t)≥P，其中，F(L,C)为上述口令的目标安全强度，L为上述口令的长度，C为上述口令的复杂度，k为恢复上述第一密钥的口令的个数，k为自然数，t为迭代次数，t为自然数，P为上述口令的目标安全强度阈值。
[0015]结合第一方面，在第一方面的某些实现方式中，在向上述第二服务器发送上述第一客户端的第一密钥备份文件之后，上述方法还包括：在上述第一密钥丢失后，接收来自上述第一客户端或上述第二服务器的上述第一密钥备份文件；基于收到的上述第一密钥备份文件，解密收到的上述第一密钥备份文件中所包括的上述第一密钥的密文，获得上述第一密钥。
[0016]在本申请中，由于第二服务器中存储有第一密钥的备份文件，所以即使上述第一服务器中的第一密钥丢失，也可以基于第二服务器中的第一密钥备份文件，恢复出第一密钥。
[0017]结合第一方面，在第一方面的某些实现方式中，上述口令密钥的数量为n个，n为自然数；上述通过上述口令密钥加密上述随机加密密钥，获得上述随机加密密钥的密文，包括：基于阈值参数(n,k)和上述随机加密密钥，获得n个随机加密密钥分割值，上述阈值参数(n,k)可以包括在上述备份文件中，上述n个随机加密密钥分割值中的任意k个随机加密密钥分割值能够用于恢复上述随机加密密钥；k为恢复上述第一密钥的口令的个数，k为自然数，且n大于或等于k；分别通过上述n个口令密钥加密上述n个随机加密密钥分割值，获得上述随机加密密钥的密文，上述随机加密密钥的密文包括上述n个随机加密密钥分割值的密
文。
[0018]进一步地，在上述密钥管理账号以及口令的数量为n个的情况下，上述基于收到的上述第一密钥备份文件，解密收到的上述第一密钥备份文件中所包括的上述第一密钥的密文，获得上述第一密钥，包括：根据k个密钥管理账号，确定上述第一密钥备份文件中与上述k个密钥管理账号对应的k个口令密钥导出参数，该k个密钥管理账号是从上述第一客户端获取的，该k个密钥管理账号属于上述n个密钥管理账号；基于k个口令和上述k个口令密钥导出参数，获得与上述k个口令对应的k个口令密钥，该k个口令是从上述第一客户端获取的，该k个口令和上述k个口令密钥导出参数对应，上述k个密钥管理账号与上述k个口令对应，该k个口令属于上述n个口令；分别利用上述k个本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种密钥备份方法，其特征在于，包括：在确定第一客户端的密钥为第一密钥之后，确定所述第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址；通过随机加密密钥加密所述第一密钥，获得所述第一密钥的密文；通过所述口令密钥加密所述随机加密密钥，获得所述随机加密密钥的密文；向所述第二服务器发送所述第一客户端的第一密钥备份文件，所述第一密钥备份文件包括所述第一密钥的密文、所述随机加密密钥的密文、所述第一客户端的标识、口令密钥导出参数和所述密钥管理账号。2.根据权利要求1所述的方法，所述第一客户端为移动边缘计算平台中的应用的客户端，或者为公有云中的应用的客户端。3.根据权利要求1或2所述的方法，其特征在于，在所述确定所述第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址之前，所述方法还包括：接收来自所述第一客户端的备份参数，所述备份参数包括所述密钥管理账号和所述第二服务器的地址；获取所述密钥管理账号和所述第二服务器的地址；基于所述密钥管理账号，生成所述第一客户端的口令；向所述第一客户端发送所述口令；基于所述口令密钥导出参数和所述口令，获得所述口令密钥；加密所述口令密钥，获得所述口令密钥的密文；将所述备份参数、所述口令密钥导出参数、所述口令密钥的密文和所述第一客户端的标识进行关联存储；所述确定所述第一客户端的口令密钥、密钥管理账号、以及第二服务器的地址，包括：根据所述第一客户端的标识确定对应的所述备份参数、所述口令密钥导出参数及所述口令密钥的密文；解密所述口令密钥的密文，确定所述口令密钥。4.根据权利要求3所述的方法，其特征在于，所述密钥管理账号的数量为n个，n为自然数；所述基于所述密钥管理账号，生成所述第一客户端的口令，包括：基于n个密钥管理账号，生成所述第一客户端的n个口令；所述向所述第一客户端发送所述口令，包括：向所述第一客户端发送所述第一客户端的n个口令；所述基于所述口令密钥导出参数和所述口令，获得所述口令密钥，包括：分别基于n个口令密钥导出参数和所述第一客户端的n个口令，获得n个口令密钥。5.根据权利要求3或4所述的方法，其特征在于，所述口令的长度满足下述公式：F(L,C)*k*log2(k*t)≥P其中，F(L,C)为所述口令的目标安全强度，L为所述口令的长度，C为所述口令的复杂度，k为恢复所述第一密钥的口令的个数，k为自然数，t为迭代次数，t为自然数，P为所述口令的目标安全强度阈值。6.根据权利要求1至5中任一项所述的方法，其特征在于，在向所述第二服务器发送所
述第一客户端的第一密钥备份文件之后，所述方法还包括：在所述第一密钥丢失后，接收来自所述第一客户端或所述第二服务器的所述第一密钥备份文件；基于收到的所述第一密钥备份文件，解密收到的所述第一密钥备份文件中所包括的所述第一密钥的密文，获得所述第一密钥。7.根据权利要求6所述的方法，其特征在于，所述口令密钥的数量为n个，n为自然数；所述通过所述口令密钥加密所述随机加密密钥，获得所述随机加密密钥的密文，包括：基于阈值参数(n,k)和所述随机加密密钥，获得n个随机加密密钥分割值，所述n个随机加密密钥分割值中的任意k个随机加密密钥分割值能够用于恢复所述随机加密密钥，k为恢复所述第一密钥的口令的个数，k为自然数，且n大于或等于k；分别通过所述n个口令密钥加密所述n个随机加密密钥分割值，获得所述随机加密密钥的密文，所述随机加密密钥的密文包括所述n个随机加密密钥分割值的密文；所述密钥管理账号以及口令的数量为n个；所述基于收到的所述第一密钥备份文件，解密收到的所述第一密钥备份文件中所包括的所述第一密钥的密文，获得所述第一密钥，包括：根据k个密钥管理账号，确定所述第一密钥备份文件中与所述k个密钥管理账号对应的k个口令密钥导出参数，所述k个密钥管理账号是从所述第一客户端获取的，所述k个密钥管理账号属于所述n个密钥管理账号；基于k个口令和所述k个口令密钥导出参数，获得与所述k个口令对应的k个口令密钥，所述k个口令是从所述第一客户端获取的，所述k个口令和所述k个口令密钥导出参数对应，所述k个密钥管理账号与所述k个口令对应，所述k个口令属于所述n个口令；分别利用所述k个口令密钥解密所述随机加密密钥的密文，获得k个随机加密密钥分割值；根据所述k个随机加密密钥分割值，获得所述随机加密密钥；通过所述随机加密密钥解密所述第一密钥的密文，获得所述第一密钥。8.根据权利要求6或7所述的方法，其特征在于，在解密所述第一密钥的密文获得所述第一密钥之后，所述方法还包括：加密所述第一密钥得到所述第一密钥的密文；向所述第一客户端发送所述第一密钥的密文。9.一种密钥备份信息获取方法，其特征在于，包括：接收来自所述第一客户端的备份参数，所述备份参数包括所述密钥管理账号和第二服务器的地址；获取所述密钥管理账号和所述第二服务器的地址；基于所述密钥管理账号，生成所述第一客户端的口令；向所述第一客户端发送所述口令；基于口令密钥导出参数和所述口令，获得所述口令密钥；加密所述口令密钥，获得所述口令密钥的密文；将所述备份参数、所述口令密钥导出参数、所述口令密钥的密文和所述第一客户端的标识进行关联存储。
10.根据权利要求9所述的方法，其特征在于，所述备份参数还包括所述第一密钥的目标安全强度阈值，所述目标安全强度阈值用于确定最小口令长度；所述基于所述密钥管理账号，生成所述第一客户端的口令，包括：基于所述密钥管理账号和所述目标安全强度阈值，生成所述第一客户端的口令，所述口令的长度大于或等于所述最小口令长度。11.根据权利要求9或10所述的方法，其特征在于，所述密钥管理账号的数量为n个，n为自然数；所述基于所述密钥管理账号，生成所述第一客户端的口令，包括：基于n个密钥管理账号，生成所述第一客户端的n个口令；所述向所述第一客户端发送所述口令，包括：向所述第一客户端发送所述第一客户端的n个口令；所述基于口令密钥导出参数和所述口令，获得所述口令密钥，包括：分别基于n个口令密钥导出参数和所述第一客户端的n个口令，获得n个口令密钥。12.根据权利要求9至11中任一项所述的方法，其特征在于，所述口令的长度满足下述公式：F(L,C)*k*log2(k*t)≥P其中，F(L,C)为所述口令的目标安全强度，L为所述口令的长度，C为所述口令的复杂度，k为恢复所述第一密钥的口令的个数，k为自然数，t为迭代次数，t为自然数，P为所述口令的目标安全强度阈值。13.一种通信装置，其特征在于，包括：至...

【专利技术属性】
技术研发人员：欧锻灏，蒋刚林，李远，何锋，庞志鸿，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：