1.一种密钥管理方法,其特征在于,包括:
接收密钥请求,所述密钥请求包括请求端的公钥和所请求业务密钥的业务标识;
根据所述业务标识,从分布式存储网络中获取与所述业务标识对应的多个密文密钥分片;
根据多个所述密文密钥分片确定与所述业务标识对应的密文密钥,所述密文密钥基于根密钥的公钥加密;
采用重加密密钥,对所述密文密钥进行重加密,所述重加密密钥是在可信执行环境中根据根密钥的私钥和所述请求端的公钥确定,所述根密钥的私钥存储于所述可信执行环境中;
将重加密后的密文密钥发送至请求端,以使请求端根据请求端的私钥对重加密后的密文密钥进行解密,获取所请求的业务密钥。
2.如权利要求1所述的方法,其特征在于,所述根据所述业务标识,从分布式存储网络中获取与所述业务标识对应的多个密文密钥分片,包括:
根据所述业务标识,通过密钥索引获取存储地址,所述密钥索引包括业务标识和与业务标识对应的密文密钥分片在分布式存储网络中的存储地址之间的映射关系;
根据所述存储地址,从分布式存储网络中获取与所述业务标识对应的多个密文密钥分片。
3.如权利要求2所述的方法,其特征在于,若所述密钥索引中不包括所述业务标识,则所述通过密钥索引获取存储地址之前,所述方法还包括:
通过密钥生成函数生成与所述业务标识对应的业务密钥;
采用根密钥的公钥对所述业务密钥进行加密,得到相应的密文密钥;
使用(t,n)门限算法将所述密文密钥分为n个密文密钥分片;
将n个所述密文密钥分片存储于所述分布式存储网络中,并更新所述密钥索引。
4.如权利要求1所述的方法,其特征在于,所述分布式存储网络基于分布式哈希表构建。
5.如权利要求1所述的方法,其特征在于,所述采用重加密密钥,对所述密文密钥进行重加密之后,所述方法还包括:
销毁所述重加密密钥。
6.如权利要求1-5中任一项所述的方法,其特征在于,所述密钥请求还包括请求端的身份标识和/或至少一个签名信息;所述根据所述业务标识,从分布式存储网络中获取与所述业务标识对应的多个密文密钥分片之前,所述方法还包括:根据所述身份标识进行身份鉴权,和/或,根据所述签名信息进行签名验证。
7.一种密钥管理系统,其特征在于,包括:核心系统模块、tee模块和存储模块;
所述tee模块用于存储根密钥的私钥,并根据所述根密钥的私钥和请求端的公钥确定重加密密钥;
所述存储模块包括分布式存储网络,用于存储密文密钥分片;
所述核心系统模块用于,
根据请求端所请求业务密钥的业务标识,从所述存储模块中获取与所述业务标识对应的多个密文密钥分片;
根据多个所述密文密钥分片确定与所述业务标识对应的密文密钥;
采用所述tee模块确定的重加密密钥对所述密文密钥进行重加密。
8.如权利要求7所述的系统,其特征在于,所述核心系统模块还用于:
通过密钥生成函数生成业务密钥;
采用根密钥的公钥对所述业务密钥进行加密,得到相应的密文密钥;
使用(t,n)门限算法将所述密文密钥分为n个密文密钥分片;
将n个所述密文密钥分片存储于所述存储模块中。
9.一种密钥管理设备,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1-6任一项所述的密钥管理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-6任一项所述的密钥管理方法。