基于密码机资源池的多层密钥生成管理方法及装置与流程

本发明属于密钥处理，具体涉及一种基于密码机资源池的多层密钥生成管理方法及装置。

背景技术：

1、密码机资源池属于密码基础设施，采用虚拟化技术在硬件平台上同时运行多个虚拟化密码机，达到保证功能服务不变，同时降低总体成本及提高服务资源利用率的目的。

2、目前，密码机的密钥管理采用层次化的保护方法，分为设备密钥、用户密钥和工作密钥，设备密钥作为密码机的核心密钥，可用于对用户密钥进行加密保护，用户密钥又可以继续为工作密钥提供加密保护。这种分层密钥管理方案设计的思想就是在密钥的生成和使用之间取得平衡，工作密钥由于使用频繁，泄露风险大，因此需要经常变更，所以在分层密钥管理方案中，工作密钥变更的代价较小；而设备密钥只用于保护其它密钥，泄露风险小，因此不太需要变更，所以在分层密钥管理方案中，其变更导致的代价很大。

3、现有技术中，采用层次化的保护是建立在单个服务器密码机的基础之上，而随着大规模应用环境下对密钥管理和密码运算的需求，单个密码机已经远远不能满足应用的需求，大量密码机集中统一管理已经成为趋势，因此迫切需要设计一种新的密钥管理技术方案来满足基于密码机资源池的密钥管理需求。

技术实现思路

1、为此，本发明提供一种基于密码机资源池的多层密钥生成管理方法及装置，能够实现对海量密钥进行管理，在方便密钥使用和保障密钥安全之间取得平衡，解决密码机池化带来的密钥管理难题。

2、为了实现上述目的，本发明提供如下技术方案：第一方面，提供一种基于密码机资源池的多层密钥生成管理方法，包括：

3、步骤s1、在根密码机上的指定位置生成根密钥对，将生成的根密钥对作为密钥系统的根密钥；

4、步骤s2、生成池主密钥pmk并密文存储，将所述池主密钥pmk和指定密码机资源池建立关联关系；

5、步骤s3、使用根密码机的解密私钥解密所述池主密钥pmk并输出明文密钥对；

6、步骤s4、往密码机资源池中指定密码机中的指定位置导入所述池主密钥pmk的明文密钥对；

7、步骤s5、采用所述池主密钥pmk生成用户主密钥cmk，将生成的所述用户主密钥cmk密文存储；

8、步骤s6、使用所述池主密钥pmk的解密私钥解密所述用户主密钥cmk的密钥对，并输出所述用户主密钥cmk的明文密钥对；

9、步骤s7、往密码机资源池中指定密码机的空闲位置导入所述用户主密钥cmk的明文密钥对；

10、步骤s8、使用密码机资源池中指定密码机的第n位置的所述用户主密钥cmk生成数据加密密钥dek，将生成的数据加密密钥dek密文存储。

11、作为基于密码机资源池的多层密钥生成管理方法优选方案，步骤s1中，调用接口f1，在根密码机上的指定位置生成根密钥对，将生成的根密钥作为密钥系统的根密钥；

12、接口f1的入参包括密码机地址+端口号，密码机插槽位置；接口f1的出参包括成功/失败消息提示。

13、作为基于密码机资源池的多层密钥生成管理方法优选方案，步骤s2中，调用接口f2a，生成池主密钥pmk并密文存储，将所述池主密钥pmk和指定密码机资源池建立关联关系；

14、接口f2a的入参包括密码机地址+端口号，密码机插槽位置；接口f2a的出参包括明文公钥和密文私钥。

15、作为基于密码机资源池的多层密钥生成管理方法优选方案，步骤s3中，调用接口f4a，使用根密码机的解密私钥解密所述池主密钥pmk并输出明文密钥对；

16、接口f4a的入参包括密码机地址+端口号，密码机插槽位置，明文公钥和密文私钥；接口f4a的出参包括明文公钥和明文私钥。

17、作为基于密码机资源池的多层密钥生成管理方法优选方案，步骤s4中，调用接口f3a，往密码机资源池中指定密码机中的指定位置导入所述池主密钥pmk的明文密钥对；

18、接口f3a的入参包括密码机地址+端口号，密码机插槽位置，明文公钥和明文私钥；接口f3a的出参包括成功/失败消息提示。

19、作为基于密码机资源池的多层密钥生成管理方法优选方案，步骤s5中，调用f2a接口/f2b接口，采用所述池主密钥pmk生成用户主密钥cmk，将生成的所述用户主密钥cmk密文存储；

20、f2b接口的入参包括密码机地址+端口号，密码机插槽位置；f2b接口的出参包括加密密钥。

21、作为基于密码机资源池的多层密钥生成管理方法优选方案，步骤s6中，调用f4a接口，使用所述池主密钥pmk的解密私钥解密所述用户主密钥cmk的密钥对，并输出所述用户主密钥cmk的明文密钥对。

22、作为基于密码机资源池的多层密钥生成管理方法优选方案，步骤s7中，调用f3a接口，往密码机资源池中指定密码机的空闲位置导入所述用户主密钥cmk的明文密钥对；

23、步骤s8中，调用f2a接口/f2b接口，使用密码机资源池中指定密码机的第n位置的所述用户主密钥cmk生成数据加密密钥dek，将生成的数据加密密钥dek密文存储。

24、作为基于密码机资源池的多层密钥生成管理方法优选方案，步骤s7中还包括，调用加密/解密、签名/验签接口，并使用第n位置的密钥进行加解密、签名验签操作；

25、步骤s8中还包括使用本地sdk和密钥进行加解密操作。

26、第二方面，本发明提供一种基于密码机资源池的多层密钥生成管理装置，包括：

27、根密钥对生成模块，用于在根密码机上的指定位置生成根密钥对，将生成的根密钥对作为密钥系统的根密钥；

28、池主密钥生成模块，用于生成池主密钥pmk并密文存储；

29、池主密钥关联模块，用于将所述池主密钥pmk和指定密码机资源池建立关联关系；

30、第一解密模块，用于使用根密码机的解密私钥解密所述池主密钥pmk并输出明文密钥对；

31、第一明文密钥导入模块，用于往密码机资源池中指定密码机中的指定位置导入所述池主密钥pmk的明文密钥对；

32、用户主密钥生成模块，用于采用所述池主密钥pmk生成用户主密钥cmk，将生成的所述用户主密钥cmk密文存储；

33、第二解密模块，用于使用所述池主密钥pmk的解密私钥解密所述用户主密钥cmk的密钥对，并输出所述用户主密钥cmk的明文密钥对；

34、第二明文密钥导入模块，用于往密码机资源池中指定密码机的空闲位置导入所述用户主密钥cmk的明文密钥对；

35、数据加密密钥生成模块，用于使用密码机资源池中指定密码机的第n位置的所述用户主密钥cmk生成数据加密密钥dek，将生成的数据加密密钥dek密文存储。

36、本发明第三方面提供一种非暂态计算机可读存储介质，所述计算机可读存储介质中存储有基于密码机资源池的多层密钥生成管理方法的程序代码，所述程序代码包括用于执行第一方面或其任意可能实现方式的基于密码机资源池的多层密钥生成管理方法的指令。

37、本发明第四方面提供一种电子设备，包括：存储器和处理器；所述处理器和所述存储器通过总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行第一方面或其任意可能实现方式的基于密码机资源池的多层密钥生成管理方法。

38、本发明的有益效果如下，本发明更加适配现有密码机资源池化，减轻了根密码机的负担，充分利用了密码机资源池负载均衡的能力，在保障资源损耗和运算性能的同时，不仅增强了密钥生成的高效性、灵活性和可拓展性，满足弹性伸缩、按需分配的应用场景；还进一步提高了根密钥的安全层级，秉持着上一层密钥保护下一层密钥的原则，越低层的密钥支持越频繁的密钥更新，最终形成动态的密钥系统，降低了密钥泄露或被攻击成功的可能性，使密钥的安全性和生成性能之间取得了良好的平衡效果。