基于密码机资源池的密钥管理方法及装置制造方法及图纸

基于密码机资源池的密钥管理方法和装置，请求根密码机的主机地址，指定根密码机的初始化位置的插槽生成共享工作密钥对；请求子密码机的主机地址，将子密码机的初始化位置插槽的设备公钥导出；将根密码机的初始化位置的插槽生成共享工作密钥对和子密码机的初始化位置插槽的设备公钥作为参数，交由根密码机加密信封转换操作；将共享工作密钥对的共享工作公钥和子密码机公钥加密的共享工作密钥私钥导入子密码机，先将共享工作密钥私钥由子密码机的初始化密钥对解密，得到明文共享密钥私钥，然后将明文共享密钥对导入目标位置

【技术实现步骤摘要】
基于密码机资源池的密钥管理方法及装置


[0001]本专利技术属于密码机
，具体涉及一种基于密码机资源池的密钥管理方法及装置
。

技术介绍

[0002]目前，市场上用于密钥管理和密码运算的核心产品是服务器密码机，该设备采用特殊硬件方式来进行密钥的存储和密码的运算，其安全性通过了相关部门的认证
。
单个服务器密码机能够存储的密钥数量有限，且运算能力受限，无法满足大规模应用环境下对密钥管理和密码运算的需求，因此出现了将多个服务器密码机组成资源池，并在此之上提供一个虚拟设备层对外提供服务的解决方案
。
这种方案能够将多台密码机的密钥存储能力聚合在一起，同时对外提供服务，有效地缓解了单个密码机密钥管理数量不足的问题
。
[0003]但是，现有的解决方案仍然存在很大的不足之处，首先，由于单个密码机能够保存的密钥个数通常在
100
‑
200
个左右，即使是由
10
台密码机组成的资源池能够对外提供的密钥数量也不过在数千个，对于大规模应用要求的上百万个密钥需求来说是远远不够的；其次，现有解决方法通常是将虚拟密钥对应到某一台密码机上的某个实体密钥
(
例如专利
CN114816663A)
，这样做带来的后果就是和该密钥相关的密码运算也被局限在此台密码机上，导致无法实现资源池的负载均衡
。

技术实现思路

[0004]为此，本专利技术提供一种基于密码机资源池的密钥管理方法及装置，使得可管理的密钥数量仅受数据库容量的限制，不受密码机本身密钥插槽数量的限制，实现了密码运算的负载均衡
。
[0005]为了实现上述目的，本专利技术提供如下技术方案：第一方面，提供一种基于密码机资源池的密钥管理方法，包括：
[0006]对所有密码机的指定初始化位置的插槽生成密钥对，所有密码机包括资源池中密码机和资源池的上层密码机，将生成的密钥对作为初始化密钥对；
[0007]将资源池的上层密码机作为根密码机，将所述资源池中的密码机作为子密码机，记录所述根密码机和所述子密码机的主机地址；
[0008]请求所述根密码机的主机地址，指定所述根密码机的初始化位置的插槽生成共享工作密钥对；
[0009]请求所述子密码机的主机地址，将所述子密码机的初始化位置插槽的设备公钥导出；
[0010]将所述根密码机的初始化位置的插槽生成共享工作密钥对和所述子密码机的初始化位置插槽的设备公钥作为参数，交由所述根密码机进行加密信封转换操作，所述加密信封转换操作过程，所述根密码机用初始化位置的初始化密钥对解密共享密钥私钥，再将解密的共享密钥私钥用所述子密码机的设备公钥加密，得到所述子密码机的设备公钥加密
的共享密钥私钥；
[0011]将共享工作密钥对的共享工作公钥和所述子密码机公钥加密的共享工作密钥私钥导入所述子密码机，先将共享工作密钥私钥由所述子密码机的初始化密钥对解密，得到明文共享密钥私钥，然后将明文共享密钥对导入目标位置
。
[0012]作为基于密码机资源池的密钥管理方法优选方案，将指定所述根密码机的初始化位置的插槽生成共享工作密钥对存储到数据库中，并增加一条工作密钥表记录；
[0013]将所述子密码机的初始化位置插槽的设备公钥存储到数据库中，并增加一条设备公钥表记录
。
[0014]作为基于密码机资源池的密钥管理方法优选方案，调用第一接口
f1
，对所有密码机的指定初始化位置的插槽生成密钥对，所有密码机包括资源池中密码机和资源池的上层密码机，将生成的密钥对作为初始化密钥对；
[0015]第一接口
f1
的入参包括密码机地址和端口号和密码机插槽位置，第一接口
f1
的出参包括成功
/
失败消息提示
。
[0016]作为基于密码机资源池的密钥管理方法优选方案，调用第二接口
f2
，请求所述根密码机的主机地址，指定所述根密码机的初始化位置的插槽生成共享工作密钥对；
[0017]第二接口
f2
的入参包括密码机地址
、
端口号及密码机插槽位置；第二接口
f2
的出参包括明文公钥和密文私钥
。
[0018]作为基于密码机资源池的密钥管理方法优选方案，调用第三接口
f3
，请求所述子密码机的主机地址，将所述子密码机的初始化位置插槽的设备公钥导出；
[0019]第三接口
f3
的入参包括密码机地址
、
端口号及密码机插槽位置，第三接口
f3
的出参包括明文公钥
。
[0020]作为基于密码机资源池的密钥管理方法优选方案，调用第四接口
f4
，将所述根密码机的初始化位置的插槽生成共享工作密钥对和所述子密码机的初始化位置插槽的设备公钥作为参数，交由所述根密码机进行加密信封转换操作；
[0021]第四接口
f4
的入参包括密码机地址
、
端口号
、
密码机插槽位置
、
第二接口
f2
生成的加密私钥和子密码机的公钥；第四接口
f4
的出参包括外部公钥加密的私钥
。
[0022]作为基于密码机资源池的密钥管理方法优选方案，调用第五接口
f5
，将所述根密码机的初始化位置的插槽生成共享工作密钥对和所述子密码机的初始化位置插槽的设备公钥导入所述子密码机中；
[0023]第五接口
f5
的入参包括密码机地址
、
端口号
、
用于解密的密码机插槽位置
、
加密后的密钥和导入密钥的插槽位置；第五接口
f5
的出参为成功
/
失败提示
。
[0024]第二方面，提供一种基于密码机资源池的密钥管理装置，包括：
[0025]密钥对初始化模块，用于对所有密码机的指定初始化位置的插槽生成密钥对，所有密码机包括资源池中密码机和资源池的上层密码机，将生成的密钥对作为初始化密钥对；
[0026]密码机划分模块，用于将资源池的上层密码机作为根密码机，将所述资源池中的密码机作为子密码机，记录所述根密码机和所述子密码机的主机地址；
[0027]根密码机处理模块，用于请求所述根密码机的主机地址，指定所述根密码机的初始化位置的插槽生成共享工作密钥对；
[0028]子密码机处理模块，用于请求所述子密码机的主机地址，将所述子密码机的初始化位置插槽的设备公钥导出；
[0029]加密信封转换模块，用于将所述根密码机的初始化位置的插槽生成共享工作密钥对和所述子密码机的初始化位置插槽的设备公钥作为参数，交由所述根密码机进行加密信封转换操作，所述加密信封转换操本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
基于密码机资源池的密钥管理方法，其特征在于，包括：对所有密码机的指定初始化位置的插槽生成密钥对，所有密码机包括资源池中密码机和资源池的上层密码机，将生成的密钥对作为初始化密钥对；将资源池的上层密码机作为根密码机，将所述资源池中的密码机作为子密码机，记录所述根密码机和所述子密码机的主机地址；请求所述根密码机的主机地址，指定所述根密码机的初始化位置的插槽生成共享工作密钥对；请求所述子密码机的主机地址，将所述子密码机的初始化位置插槽的设备公钥导出；将所述根密码机的初始化位置的插槽生成共享工作密钥对和所述子密码机的初始化位置插槽的设备公钥作为参数，交由所述根密码机进行加密信封转换操作，所述加密信封转换操作过程，所述根密码机用初始化位置的初始化密钥对解密共享密钥私钥，再将解密的共享密钥私钥用所述子密码机的设备公钥加密，得到所述子密码机的设备公钥加密的共享密钥私钥；将共享工作密钥对的共享工作公钥和所述子密码机公钥加密的共享工作密钥私钥导入所述子密码机，先将共享工作密钥私钥由所述子密码机的初始化密钥对解密，得到明文共享密钥私钥，然后将明文共享密钥对导入目标位置
。2.
根据权利要求1所述的基于密码机资源池的密钥管理方法，其特征在于，将指定所述根密码机的初始化位置的插槽生成共享工作密钥对存储到数据库中，并增加一条工作密钥表记录；将所述子密码机的初始化位置插槽的设备公钥存储到数据库中，并增加一条设备公钥表记录
。3.
根据权利要求1所述的基于密码机资源池的密钥管理方法，其特征在于，调用第一接口
f1
，对所有密码机的指定初始化位置的插槽生成密钥对，所有密码机包括资源池中密码机和资源池的上层密码机，将生成的密钥对作为初始化密钥对；第一接口
f1
的入参包括密码机地址和端口号和密码机插槽位置，第一接口
f1
的出参包括成功
/
失败消息提示
。4.
根据权利要求3所述的基于密码机资源池的密钥管理方法，其特征在于，调用第二接口
f2
，请求所述根密码机的主机地址，指定所述根密码机的初始化位置的插槽生成共享工作密钥对；第二接口
f2
的入参包括密码机地址
、
端口号及密码机插槽位置；第二接口
f2
的出参包括明文公钥和密文私钥
。5.
根据权利要求4所述的基于密码机资源池的密钥管理方法，其特征在于，调用第三接口
f3
，请求所述子密码机的主机地址，将所述子密码机的初始化位置插槽的设备公钥导出；第三接口
f3
的入参包括密码机地址
、
端口号及密码机插槽位置，第三接口
f3
的出参包括明文公钥
。6.
根据权利要求5所述的基于密码机资源池的密钥管理方法，其特征在于，调用第四接口
f4
，将所述根密码机的初始化位置的插槽生成共享工作密钥对和所述子密码机的初始化位置插槽的设备公钥作为参数，交由所述根密码机进行加密信封转换操作；第四接口
f4
的入参包括密码机地址
、
端口号
、
密码机插槽位置
、
第二接口
f2
生成的加密
私钥和子密码机的公钥；第四接口
f4
的出参包括外部公钥加密的私钥
。7.
根据权利要求6所述的基于密码机资源池的密钥管理方法，其特征在于，调用第五接口
f5
，将所述根密码机的初始化位置的插槽生成共享工作密钥对和所述子密码机的初始化位置插槽的设备公钥导入所述子密码机中；第五接口
f5
的入参包括密码机地址
、
端口号...

【专利技术属性】
技术研发人员：朱鸿宇，白洁，马娜，殷海涛，王潇，白锦龙，徐剑南，
申请(专利权)人：江南信安南京科技有限公司，
类型：发明
国别省市：