本发明属于数据安全的,尤其是涉及一种可控频率的密钥更新方法与系统。
背景技术:
1、目前随着互联网的发展,互联网与金融行业结合的领域也越来越多,由于金融行业对数据比较敏感,对数据安全要求比较高,银行与外部系统的通讯很多都涉及加密。比如第三方快捷支付中,银联或网联与银行的交易数据是加密传输的。目前行业内密钥管理存在如下问题:(1)当密钥过期时,手工替换密钥,服务重新部署,操作繁琐,而且会影响服务使用;(2)密钥过期才替换,长时间使用同个密钥存在被破解风险;(3)使用密钥的多个服务使用同一对公私钥,安全性不高;(4)密钥过期前通过通知人工方式去替换,存在人为引入未替换密钥的风险。
2、本申请针对以上技术问题,提出了一种可控频率的密钥更新方法与系统,旨在不停止应用的情况下动态更换公钥证书和私钥,且能通过调节配置改变公私钥更换频率,用于提高金融行业密钥管理的便捷性和安全性。
技术实现思路
1、为解决现有状况的不足,本发明针对以上背景技术的缺陷,本发明提出了一种可控频率的密钥更新方法与系统。包括:
2、本申请第一方面提出了一种可控频率的密钥更新方法,其特征在于,包括:
3、s1、判断是否满足第一密钥更新条件,如果满足第一密钥更新条件,则基于第一业务系统版本号、第一私钥版本号、第一私钥更新时间三个因素生成第一更新私钥;
4、s2、基于第一更新私钥生成对应的第一更新公钥,令第一私钥版本号等于异化处理后的第一私钥版本号,所述异化处理即第一私钥版本号改变为与历史第一私钥版本号不同的信息。
5、进一步的,所述第一密钥更新条件包括所述第一密钥有效期小于阈值或第一业务系统版本号更新,所述阈值可配置,所述第一密钥包括公钥与私钥,所述第一业务系统数量大于等于1。
6、进一步的,所述s1判断是否满足第一密钥更新条件包括:s101、定时获取第一业务系统版本号,判断所述第一业务系统版本号与上一时间存储的第一业务系统版本号是否相同;s102、如果不同,则满足第一密钥更新条件,将获取的第一业务系统版本号进行存储,或
7、s111、定时获取第一密钥有效期,如果第一密钥有效期小于阈值,则满足第一密钥更新条件,将第一密钥有效期小于阈值的时间作为第一私钥更新时间。
8、进一步的,所述异化处理包括令第一版本号=第一版本号+1。
9、进一步的,所述方法还包括步骤s3:
10、将所述第一更新私钥与\或第一更新公钥通过kafka发送给上游系统或第一业务系统或密码管理系统或数据库。
11、进一步的,所述基于第一业务系统版本号、第一私钥版本号、第一私钥更新时间三个因素生成第一更新私钥包括将第一业务系统版本号、第一私钥版本号、第一私钥更新时间拼接生成第一更新私钥或将第一业务系统版本号、第一私钥版本号、第一私钥更新时间作为三元组加密生成第一更新私钥。
12、本申请第二方面提出了一种可控频率的密钥更新装置,其特征在于,包括:
13、判断更新模块,用于判断是否满足第一密钥更新条件,如果满足第一密钥更新条件,则基于第一业务系统版本号、第一私钥版本号、第一私钥更新时间三个因素生成第一更新私钥;
14、公钥生成模块,用于基于第一更新私钥生成对应的第一更新公钥,令第一私钥版本号等于异化处理后的第一私钥版本号,所述异化处理即第一私钥版本号改变为与历史第一私钥版本号不同的信息。
15、本申请第三方面提出了一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
16、所述存储器存储计算机执行指令;
17、所述处理器执行所述存储器存储的计算机执行指令,以实现可控频率的密钥更新的方法。
18、本申请第四方面提出了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现可控频率的密钥更新方法。
19、本申请第五方面提出了一种计算机程序产品,其特征在于,包括计算机程序,该计算机程序被处理器执行时实现可控频率的密钥更新方法。
20、本发明的有益效果为:本发明提供了新的密钥生成算法,引入影响因子来得到各业务系统对应私钥,将各业务系统版本号、私钥版本号、第一私钥更新时间作为三元组通过加密生成新的私钥,并且在密钥有效期到期或业务系统版本号变化时触发生成新的私钥,阈值可配置化,实现控制公私钥的更换频率,保障了公私钥安全。
1.一种可控频率的密钥更新方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述第一密钥更新条件包括所述第一密钥有效期小于阈值或第一业务系统版本号更新,所述阈值可配置,所述第一密钥包括公钥与私钥,所述第一业务系统数量大于等于1。
3.根据权利要求2所述的方法,其特征在于,所述s1判断是否满足第一密钥更新条件包括:s101、定时获取第一业务系统版本号,判断所述第一业务系统版本号与上一时间存储的第一业务系统版本号是否相同;s102、如果不同,则满足第一密钥更新条件,将获取的第一业务系统版本号进行存储,或
4.根据权利要求1所述的方法,其特征在于,所述异化处理包括令第一版本号=第一版本号+1。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括步骤s3:将所述第一更新私钥与\或第一更新公钥通过kafka发送给上游系统或第一业务系统或密码管理系统或数据库。
6.根据权利要求1所述的方法,其特征在于,所述基于第一业务系统版本号、第一私钥版本号、第一私钥更新时间三个因素生成第一更新私钥包括将第一业务系统版本号、第一私钥版本号、第一私钥更新时间拼接生成第一更新私钥或将第一业务系统版本号、第一私钥版本号、第一私钥更新时间作为三元组加密生成第一更新私钥。
7.一种可控频率的密钥更新装置,其特征在于,包括:
8.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-6中任一项所述的方法。
10.一种计算机程序产品,其特征在于,包括计算机程序,该计算机程序被处理器执行时实现权利要求1-6中任一项所述的方法。