系统密钥管理方法、装置、计算机设备及存储介质与流程

1.本发明涉及密钥管理方法，更具体地说是指系统密钥管理方法、装置、计算机设备及存储介质。


背景技术：

2.在云计算、大数据和物联网等新应用场景下，密钥管理面临一系列挑战，比如应用数量不断扩大、数据量指数级增长、密钥种类和数量不断增加、密钥管理分散等。面对这些挑战，传统的密钥管理模式难以满足新应用场景下各类需求，如大规模化的密钥管理能力、复杂多样的密钥管理模式、云环境下的多租户密钥安全隔离等。
3.密钥管理实际应用过程中，存在很多不合规的地方，如硬件密码设备的主密钥通过在线方式分发获取，容易造成主密钥泄露；密钥生成时采用软随机源；随机数熵值达不到密码安全要求；软密码模块的私钥未采用分割技术，完整私钥出现在通信链路或运行终端上，达不到安全等级要求等。加密密钥在保护敏感数据信息、防止数据泄露和数据应用合规方面发挥着至关重要的作用但存在因密钥丢失或被盗，可能导致系统和数据损失惨重，造成信息安全风险，所以需要有完善的密钥管理机制和执行密钥管理的协议，要在密钥的整个生命周期以内确保数据安全。
4.因此，有必要设计一种新的方法，实现对平台化密钥进行集中统一的管理，帮助用户创建和管理密钥，实现对密钥的全生命周期安全管控。


技术实现要素：

5.本发明的目的在于克服现有技术的缺陷，提供系统密钥管理方法、装置、计算机设备及存储介质。
6.为实现上述目的，本发明采用以下技术方案：系统密钥管理方法，包括：
7.获取系统指纹以及系统密钥；
8.根据所述系统指纹和所述系统密钥生成待加密文本；
9.获取公私钥对；
10.对所述公私钥对内的私钥创建保护密码，以得到加密的用户私钥文件；
11.对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件；
12.导出所述系统密钥加密文件和加密的用户私钥文件至客户端，以使得客户端根据输入私钥保护密码解密加密的用户私钥文件，以获取私钥，利用私钥解密所述系统密钥加密文件，以获取系统密钥。
13.其进一步技术方案为：所述根据所述系统指纹和所述系统密钥生成待加密文本，包括：
14.根据所述系统指纹和所述系统密钥生成密钥内容；
15.将所述密钥内容按照指定格式联接，以生成待加密文本。
16.其进一步技术方案为：所述密钥内容包括系统指纹、密钥有效期、密钥使用次数以及系统密钥。
17.其进一步技术方案为：所述对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件，包括：
18.对所述待加密文本使用所述公私钥对内的公钥进行加密，以得到加密操作结果；
19.将所述加密操作结果存储在内存中，并生成临时文件；
20.将所述临时文件存储至文件系统，以得到系统密钥加密文件。
21.其进一步技术方案为：所述系统指纹包括所在设备网卡mac地址、cpu硬件指纹、主板信息。
22.其进一步技术方案为：所述将所述密钥内容按照指定格式联接，以生成待加密文本，包括：
23.对所述密钥内容按照${系统版本}_${系统指纹}_${用户名}_${有效期}_${使用次数}_${系统密钥(base64编码)}的格式联接，以生成待加密文本。
24.本发明还提供了系统密钥管理装置，包括：
25.第一获取单元，用于获取系统指纹以及系统密钥；
26.文本生成单元，用于根据所述系统指纹和所述系统密钥生成待加密文本；
27.第二获取单元，用于获取公私钥对；
28.密码创建单元，用于对所述公私钥对内的私钥创建保护密码，以得到加密的用户私钥文件；
29.处理单元，用于对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件；
30.导出单元，用于导出所述系统密钥加密文件和加密的用户私钥文件至客户端，以使得客户端根据输入私钥保护密码解密加密的用户私钥文件，以获取私钥，利用私钥解密所述系统密钥加密文件，以获取系统密钥。
31.其进一步技术方案为：所述文本生成单元包括：
32.内容生成子单元，用于根据所述系统指纹和所述系统密钥生成密钥内容；
33.联接子单元，用于将所述密钥内容按照指定格式联接，以生成待加密文本。
34.本发明还提供了一种计算机设备，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法。
35.本发明还提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时可实现上述的方法。
36.本发明与现有技术相比的有益效果是：本发明通过获取系统指纹，利用系统指纹和系统密钥生成待加密文本，对私钥进行加密，利用公钥对待加密文本进行加密，形成系统密钥加密文件，导出系统密钥加密文件和加密后的用户私钥文件，客户端根据输入私钥保护密码解密加密的用户私钥文件，以获取私钥，利用私钥解密所述系统密钥加密文件，以获取系统密钥，实现对平台化密钥进行集中统一的管理，帮助用户创建和管理密钥，实现对密钥的全生命周期安全管控。
37.下面结合附图和具体实施例对本发明作进一步描述。
附图说明
38.为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
39.图1为本发明实施例提供的系统密钥管理方法的应用场景示意图；
40.图2为本发明实施例提供的系统密钥管理方法的流程示意图；
41.图3为本发明实施例提供的系统密钥管理方法的子流程示意图；
42.图4为本发明实施例提供的系统密钥管理方法的子流程示意图；
43.图5为本发明实施例提供的系统密钥管理方法的加解密流程示意图；
44.图6为本发明实施例提供的系统密钥管理装置的示意性框图；
45.图7为本发明实施例提供的系统密钥管理装置的文本生成单元的示意性框图；
46.图8为本发明实施例提供的系统密钥管理装置的处理单元的示意性框图；
47.图9为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
48.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
49.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
50.还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
51.还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。
52.请参阅图1和图2，图1为本发明实施例提供的系统密钥管理方法的应用场景示意图。图2为本发明实施例提供的系统密钥管理方法的示意性流程图。该系统密钥管理方法应用于服务器中。该服务器与客户端进行数据交互，对系统密钥生成、存储、导出、导入全生命周期安全管控及为系统密钥在服务器与客户端传输过程中提供安全保障，有利于降低系统密钥在用户分发管理上的泄露风险；为用户提供集中统一的平台化密钥管理服务，系统密钥的加解密过程如图5所示。
53.图2是本发明实施例提供的系统密钥管理方法的流程示意图。如图2所示，该方法包括以下步骤s110至s160。
54.s110、获取系统指纹以及系统密钥。
55.在本实施例中，系统指纹包括所在设备网卡mac地址、cpu硬件指纹、主板信息。
56.s120、根据所述系统指纹和所述系统密钥生成待加密文本。
57.在本实施例中，待加密文本是指系统指纹和系统密钥按照格式${系统版本}_${系
统指纹}_${用户名}_${有效期}_${使用次数}_${系统密钥(base64编码)}联接生成的文本。
58.在一实施例中，请参阅图3，上述的步骤s120可包括步骤s121～s122。
59.s121、根据所述系统指纹和所述系统密钥生成密钥内容。
60.在本实施例中，所述密钥内容包括系统指纹、密钥有效期、密钥使用次数以及系统密钥。
61.s122、将所述密钥内容按照指定格式联接，以生成待加密文本。
62.在本实施例中，对所述密钥内容按照${系统版本}_${系统指纹}_${用户名}_${有效期}_${使用次数}_${系统密钥(base64编码)}的格式联接，以生成待加密文本。
63.s130、获取公私钥对。
64.在本实施例中，公私钥对是指用户公钥和用户私钥。
65.具体地，系统选择指定用户，并执行公私钥对创建操作，最后将密钥对分配给指定用户。
66.s140、对所述公私钥对内的私钥创建保护密码，以得到加密的用户私钥文件。
67.在本实施例中，加密的用户私钥文件是指创建用户私钥保护密码，使用密码对私钥文件进行加密后形成的文件。
68.保护密码是指用户设定的用于保护用户私钥的密码。
69.s150、对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件。
70.在本实施例中，系统密钥加密文件是指对待加密文本使用公钥进行加密生成的文件。
71.在一实施例中，请参阅图4，上述的步骤s150可包括步骤s151～s152。
72.s151、对所述待加密文本使用所述公私钥对内的公钥进行加密，以得到加密操作结果。
73.在本实施例中，加密操作结果是指待加密文本使用所述公私钥对内的公钥进行加密后形成结果。
74.s152、将所述加密操作结果存储在内存中，并生成临时文件，以得到系统密钥加密文件。
75.s153、将所述临时文件存储至文件系统，以得到系统密钥加密文件。
76.在本实施例中，依据上述临时文件在服务器的文件系统中生成系统密钥加密文件。
77.s160、导出所述系统密钥加密文件和加密的用户私钥文件至客户端，以使得客户端根据输入私钥保护密码解密加密的用户私钥文件，以获取私钥，利用私钥解密所述系统密钥加密文件，以获取系统密钥。
78.在本实施例中，获取保存在服务器的文件系统中的系统密钥加密文件，获取保存在服务器的文件系统中的加密的用户私钥文件，主要用于系统密钥加密文件的解密。在客户端上传用户私钥文件，导入系统密钥加密文件，用户在客户端输入私钥保护密码解密获取用户私钥，使用上述用户私钥对系统密钥加密文件执行解密操作，即利用用户私钥解密系统密钥加密文件，从而获取系统密钥。
79.本实施例的方法实现对系统密钥生成、存储、导出、导入全生命周期安全管控及为系统密钥在服务端与客户端传输过程中提供安全保障，有利于降低系统密钥在用户分发管理上的泄露风险；为用户提供集中统一的平台化密钥管理服务。
80.上述的系统密钥管理方法，通过获取系统指纹，利用系统指纹和系统密钥生成待加密文本，对私钥进行加密，利用公钥对待加密文本进行加密，形成系统密钥加密文件，导出系统密钥加密文件和加密后的用户私钥文件，客户端根据输入私钥保护密码解密加密的用户私钥文件，以获取私钥，利用私钥解密所述系统密钥加密文件，以获取系统密钥，实现对平台化密钥进行集中统一的管理，帮助用户创建和管理密钥，实现对密钥的全生命周期安全管控。
81.图6是本发明实施例提供的一种系统密钥管理装置300的示意性框图。如图6所示，对应于以上系统密钥管理方法，本发明还提供一种系统密钥管理装置300。该系统密钥管理装置300包括用于执行上述系统密钥管理方法的单元，该装置可以被配置于服务器中。具体地，请参阅图6，该系统密钥管理装置300包括第一获取单元301、文本生成单元302、第二获取单元303、密码创建单元304、处理单元305以及导出单元306。
82.第一获取单元301，用于获取系统指纹以及系统密钥；文本生成单元302，用于根据所述系统指纹和所述系统密钥生成待加密文本；第二获取单元303，用于获取公私钥对；密码创建单元304，用于对所述公私钥对内的私钥创建保护密码，以得到加密的用户私钥文件；处理单元305，用于对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件；导出单元306，用于导出所述系统密钥加密文件和加密的用户私钥文件至客户端，以使得客户端根据输入私钥保护密码解密加密的用户私钥文件，以获取私钥，利用私钥解密所述系统密钥加密文件，以获取系统密钥。
83.在一实施例中，如图7所示，所述文本生成单元302包括内容生成子单元3021以及联接子单元3022。
84.内容生成子单元3021，用于根据所述系统指纹和所述系统密钥生成密钥内容；联接子单元3022，用于将所述密钥内容按照指定格式联接，以生成待加密文本。
85.在一实施例中，联接子单元3022，用于对所述密钥内容按照${系统版本}_${系统指纹}_${用户名}_${有效期}_${使用次数}_${系统密钥(base64编码)}的格式联接，以生成待加密文本。
86.在一实施例中，如图8所示，所述处理单元305包括加密子单元3051、第一存储子单元3052以及第二存储子单元3053。
87.加密子单元3051，用于对所述待加密文本使用所述公私钥对内的公钥进行加密，以得到加密操作结果；第一存储子单元3052，用于将所述加密操作结果存储在内存中，并生成临时文件；第二存储子单元3053，用于将所述临时文件存储至文件系统，以得到系统密钥加密文件。
88.需要说明的是，所属领域的技术人员可以清楚地了解到，上述系统密钥管理装置300和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。
89.上述系统密钥管理装置300可以实现为一种计算机程序的形式，该计算机程序可以在如图9所示的计算机设备上运行。
signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
107.本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令，计算机程序可存储于一存储介质中，该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。
108.因此，本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序，其中该计算机程序被处理器执行时使处理器执行如下步骤：
109.获取系统指纹以及系统密钥；根据所述系统指纹和所述系统密钥生成待加密文本；获取公私钥对；对所述公私钥对内的私钥创建保护密码，以得到加密的用户私钥文件；对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件；导出所述系统密钥加密文件和加密的用户私钥文件至客户端，以使得客户端根据输入私钥保护密码解密加密的用户私钥文件，以获取私钥，利用私钥解密所述系统密钥加密文件，以获取系统密钥。
110.其中，所述系统指纹包括所在设备网卡mac地址、cpu硬件指纹、主板信息。
111.在一实施例中，所述处理器在执行所述计算机程序而实现所述根据所述系统指纹和所述系统密钥生成待加密文本步骤时，具体实现如下步骤：
112.根据所述系统指纹和所述系统密钥生成密钥内容；将所述密钥内容按照指定格式联接，以生成待加密文本。
113.其中，所述密钥内容包括系统指纹、密钥有效期、密钥使用次数以及系统密钥。
114.在一实施例中，所述处理器在执行所述计算机程序而实现所述对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件步骤时，具体实现如下步骤：
115.对所述待加密文本使用所述公私钥对内的公钥进行加密，以得到加密操作结果；将所述加密操作结果存储在内存中，并生成临时文件；将所述临时文件存储至文件系统，以得到系统密钥加密文件。
116.在一实施例中，所述处理器在执行所述计算机程序而实现所述将所述密钥内容按照指定格式联接，以生成待加密文本步骤时，具体实现如下步骤：
117.对所述密钥内容按照${系统版本}_${系统指纹}_${用户名}_${有效期}_${使用次数}_${系统密钥(base64编码)}的格式联接，以生成待加密文本。
118.所述存储介质可以是u盘、移动硬盘、只读存储器(read-only memory，rom)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
119.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不
应认为超出本发明的范围。
120.在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。
121.本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元305中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。
122.该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，终端，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
123.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

技术特征：
1.系统密钥管理方法，其特征在于，包括：获取系统指纹以及系统密钥；根据所述系统指纹和所述系统密钥生成待加密文本；获取公私钥对；对所述公私钥对内的私钥创建保护密码，以得到加密的用户私钥文件；对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件；导出所述系统密钥加密文件和加密的用户私钥文件至客户端，以使得客户端根据输入私钥保护密码解密加密的用户私钥文件，以获取私钥，利用私钥解密所述系统密钥加密文件，以获取系统密钥。2.根据权利要求1所述的系统密钥管理方法，其特征在于，所述根据所述系统指纹和所述系统密钥生成待加密文本，包括：根据所述系统指纹和所述系统密钥生成密钥内容；将所述密钥内容按照指定格式联接，以生成待加密文本。3.根据权利要求2所述的系统密钥管理方法，其特征在于，所述密钥内容包括系统指纹、密钥有效期、密钥使用次数以及系统密钥。4.根据权利要求1所述的系统密钥管理方法，其特征在于，所述对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件，包括：对所述待加密文本使用所述公私钥对内的公钥进行加密，以得到加密操作结果；将所述加密操作结果存储在内存中，并生成临时文件；将所述临时文件存储至文件系统，以得到系统密钥加密文件。5.根据权利要求1所述的系统密钥管理方法，其特征在于，所述系统指纹包括所在设备网卡mac地址、cpu硬件指纹、主板信息。6.根据权利要求1所述的系统密钥管理方法，其特征在于，所述将所述密钥内容按照指定格式联接，以生成待加密文本，包括：对所述密钥内容按照${系统版本}_${系统指纹}_${用户名}_${有效期}_${使用次数}_${系统密钥(base64编码)}的格式联接，以生成待加密文本。7.系统密钥管理装置，其特征在于，包括：第一获取单元，用于获取系统指纹以及系统密钥；文本生成单元，用于根据所述系统指纹和所述系统密钥生成待加密文本；第二获取单元，用于获取公私钥对；密码创建单元，用于对所述公私钥对内的私钥创建保护密码，以得到加密的用户私钥文件；处理单元，用于对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件；导出单元，用于导出所述系统密钥加密文件和加密的用户私钥文件至客户端，以使得客户端根据输入私钥保护密码解密加密的用户私钥文件，以获取私钥，利用私钥解密所述系统密钥加密文件，以获取系统密钥。8.根据权利要求7所述的系统密钥管理装置，其特征在于，所述文本生成单元包括：内容生成子单元，用于根据所述系统指纹和所述系统密钥生成密钥内容；
联接子单元，用于将所述密钥内容按照指定格式联接，以生成待加密文本。9.一种计算机设备，其特征在于，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的方法。10.一种存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时可实现如权利要求1至6中任一项所述的方法。

技术总结
本发明实施例公开了系统密钥管理方法、装置、计算机设备及存储介质。所述方法包括：获取系统指纹以及系统密钥；根据所述系统指纹和所述系统密钥生成待加密文本；获取公私钥对；对所述公私钥对内的私钥创建保护密码，以得到加密的用户私钥文件；对所述待加密文本使用所述公私钥对内的公钥进行处理，以得到系统密钥加密文件；导出所述系统密钥加密文件和加密的用户私钥文件至客户端，以使得客户端根据输入私钥保护密码解密加密的用户私钥文件，以获取私钥，利用私钥解密所述系统密钥加密文件，以获取系统密钥。通过实施本发明实施例的方法可实现对平台化密钥进行集中统一的管理，帮助用户创建和管理密钥，实现对密钥的全生命周期安全管控。管控。管控。


技术研发人员：柳遵梁 李志刚 周杰 闻建霞 胡旺 韩雯霞 干忠光
受保护的技术使用者：杭州美创科技股份有限公司
技术研发日：2023.04.11
技术公布日：2023/8/24