[go: up one dir, main page]

CN112887273B - 一种密钥管理方法及相关设备 - Google Patents

一种密钥管理方法及相关设备 Download PDF

Info

Publication number
CN112887273B
CN112887273B CN202110034124.1A CN202110034124A CN112887273B CN 112887273 B CN112887273 B CN 112887273B CN 202110034124 A CN202110034124 A CN 202110034124A CN 112887273 B CN112887273 B CN 112887273B
Authority
CN
China
Prior art keywords
key
information
attribute
request information
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110034124.1A
Other languages
English (en)
Other versions
CN112887273A (zh
Inventor
麻付强
王瑾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202110034124.1A priority Critical patent/CN112887273B/zh
Publication of CN112887273A publication Critical patent/CN112887273A/zh
Priority to US18/036,388 priority patent/US11943345B2/en
Priority to PCT/CN2021/134331 priority patent/WO2022148182A1/zh
Application granted granted Critical
Publication of CN112887273B publication Critical patent/CN112887273B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种密钥管理方法及相关设备,属于网络安全技术领域,解决了现有方案中不能有效针对每一个密钥实施访问控制的问题,用户自己不便于灵活管理密钥。所述方法包括:接收密钥生成请求信息;基于所述密钥生成请求信息生成属性访问策略信息,其中,所述属性访问策略信息为用来加密数据密钥的属性集合;基于所述用来加密数据密钥的属性集合加密数据密钥;接收密钥获取请求信息;基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合;若所述密钥获取请求信息的属性信息包含于所述用来加密数据密钥的属性集合,则基于密钥获取请求信息的属性信息获取目的数据密钥。

Description

一种密钥管理方法及相关设备
技术领域
本申请实施例涉及网络安全技术领域,尤其是涉及一种密钥管理方法及相关设备。
背景技术
在云计算环境中,用户不再直接拥有基础设施的硬件资源,而是直接使用云计算环境中的服务,即,用户不能对硬件资源进行直接控制,因此在云计算环境中,用户数据安全性越来越突出。为了保障云计算环境中数据传输、数据存储、用户访问、业务操作等安全,密码技术作为保证云计算平台安全的核心技术在云计算环境中发挥着越来越重要的作用。与密码技术相关的密钥管理系统(KMS)是保证云计算平台安全的基础,提供密钥的安全托管及密码运算等服务。用户可以通过密钥管理系统,更加专注于云计算环境中的数据加解密、数据传输、电子签名等业务功能,而无需花费大量成本保证自身密钥的安全性。随着云计算系统的快速发展,使得密钥管理系统得到广泛应用。而密钥是整个密钥管理系统的核心,一旦密钥泄露或者密钥管理系统沦陷,云计算环境中数据传输、数据存储、用户访问、业务操作将都受到安全威胁。
现有的密钥管理系统大多数是基于RBAC的访问控制策略,不能有效实现细粒度的密钥产生与使用。RBAC的访问控制策略分为核心RBAC、层次RBAC、静态职责分离RBAC、动态职责分离RBAC。但是目前的四种RBAC的访问控制属于粗粒度访问控制,只能对一类用户的访问请求进行控制,不能有效针对每一个密钥实施访问控制。
发明内容
本申请实施例的目的在于提供一种密钥管理方法及相关设备,解决了现有技术中无法针对每一个密钥实施访问控制的技术问题。
第一方面,本申请实施例提供一种密钥管理方法,采用三级访问控制验证策略;根据上述密钥管理方法,逐级对用户进行权限验证,其中包括身份验证、基于角色访问控制策略、基于属性访问控制策略,包括:
接收密钥生成请求信息;
基于所述密钥生成请求信息生成属性访问策略信息,其中,所述属性访问策略信息为用来加密数据密钥的属性集合;
基于所述用来加密数据密钥的属性集合加密数据密钥;
接收密钥获取请求信息;
基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合;
若所述密钥获取请求信息的属性信息包含于所述用来加密数据密钥的属性集合,则基于密钥获取请求信息的属性信息获取目的数据密钥。
可选的,在上述根据上述密钥生成请求信息生成属性访问策略信息的步骤之前,还包括:
根据请求生成密钥用户的角色信息和身份信息判断所述密钥生成请求信息是否正确。
可选的,所述根据请求生成密钥用户的角色信息和身份信息判断所述密钥生成请求信息是否正确的步骤,包括:
根据请求生成密钥用户的身份信息和第一预设身份信息验证所述密钥生成请求信息是否合法,其中,所述第一预设身份信息为能够生成密钥的身份信息;
若所述密钥生成请求信息合法,则根据请求生成密钥用户的角色信息和第一预设角色访问控制信息判断所述密钥生成请求信息是否正确,其中,所述第一预设角色访问控制信息为能够生成密钥的角色权限信息;
若所述密钥生成请求信息正确,则进行所述生成密钥的步骤;
若所述密钥生成请求信息不正确,则不进行所述生成密钥的步骤。
可选的,上述基于所述用来加密数据密钥的属性集合加密数据密钥的步骤之前,包括:
根据上述允许加密待生成密钥的属性集合创建访问控制策略矩阵;
根据所述密钥生成请求信息生成初始数据密钥;
根据上述密钥生成请求信息生成项目密钥,其中,上述项目密钥若存在,则直接使用,上述项目密钥采用系统根密钥加密。
根据所述密钥生成请求信息生成初始数据密钥;
根据所述密钥生成请求信息生成项目密钥,其中,所述项目密钥若存在,则直接使用,所述项目密钥采用系统根密钥加密;
根据所述项目密钥加密所述初始数据密钥,获得第一加密数据密钥。
可选的,上述基于所述用来加密数据密钥的属性集合加密数据密钥的步骤,包括:
利用布尔函数将所述用来加密数据密钥的属性集合的字符串属性转换为所述访问控制策略矩阵;
根据所述访问控制策略矩阵加密所述第一加密数据密钥得到第二加密数据密钥。
可选的,上述基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述所述用来加密数据密钥的属性集合的步骤,包括:
根据请求获取密钥用户的身份信息和第二预设身份信息验证所述密钥获取请求信息是否合法,其中,所述第二预设身份信息为能够获取密钥的身份信息;
若所述密钥获取请求信息合法,根据请求获取密钥用户的角色信息和第二预设角色访问控制信息验证所述密钥获取请求信息是否正确,其中,所述第二预设角色访问控制信息为能够获取密钥的角色权限信息;
若所述密钥获取请求信息正确,则验证所述密钥获取请求信息的属性信息是否包含于所述所述用来加密数据密钥的属性集合。
可选的,基于密钥获取请求信息的属性信息获取目的数据密钥的步骤,包括:
获取对应所述密钥获取请求信息的第二加密数据密钥;
根据对应所述用来加密数据密钥的属性集合的最小属性集合的访问控制策略矩阵解密所述第二加密数据密钥,获得第一加密数据密钥;
利用系统根密钥对第一加密数据密钥对应的加密项目密钥进行解密,获得项目密钥;
根据所述项目密钥对第一加密数据密钥进行解密,获得对应所述密钥获取请求信息的所述初始数据密钥,将所述初始数据密钥作为所述目的数据密钥。
第二方面,本申请实施例提供了一种密钥管理装置,包括:
数据获取模块,用于接收密钥生成请求信息;
属性访问策略信息生成模块,用于基于所述密钥生成请求信息生成属性访问策略信息,其中,所述属性访问策略信息为用来加密数据密钥的属性集合;
数据密钥生成模块,用于基于所述用来加密数据密钥的属性集合加密数据密钥;
数据接收模块,用于接收密钥获取请求信息;
验证模块,用于基于基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合;
密钥获取模块,用于若所述密钥获取请求信息的属性信息包含于所述用来加密数据密钥的属性集合,则基于密钥获取请求信息的属性信息获取目的数据密钥。
第三方面,本申请实施例提供了一种电子设备,包括:存储器、处理器以及存储在上述存储器中并可在上述处理器上运行的计算机程序,上述处理器用于执行存储器中存储的计算机程序时实现如上述的密钥管理方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序:上述计算机程序被处理器执行时实现如上述的密钥管理方法的步骤。
本申请实施例提供的密钥管理方法,通过接收密钥生成请求信息;基于所述密钥生成请求信息生成属性访问策略信息,其中,所述属性访问策略信息为用来加密数据密钥的属性集合;基于所述用来加密数据密钥的属性集合加密数据密钥;接收密钥获取请求信息;基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合;若所述密钥获取请求信息的属性信息包含于所述用来加密数据密钥的属性集合,则基于密钥获取请求信息的属性信息获取目的数据密钥。通过根据上述密钥生成请求信息与允许加密待生成密钥的属性集合生成数据密钥,当上述密钥获取请求信息请求获取对应密钥时,通过允许加密待生成密钥的属性集合对上述密钥获取请求信息请求进行验证,从而实现针对每一个密钥实施访问控制。
相应地,本申请实施例提供的计算机可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请实施例的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种密钥管理方法流程图;
图2为本申请实施例提供的一种数据密钥加密过程流程图;
图3为本申请实施例提供的一种数据密钥加密过程中生成项目密钥的过程流程图;
图4为本申请实施例提供的一种密钥管理系统的运行流程图;
图5为本申请实施例提供的一种密钥管理装置结构示意图;
图6为本申请实施例提供的一种存储电子设备结构示意图;
图7为本申请实施例提供的一种计算机可读存储介质结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施例的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请实施例一部分实施例,而不是全部的实施例。基于本申请实施例中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
本申请实施例中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例提供的一种密钥管理方法,参考图1,采用三级访问控制验证策略;根据上述密钥管理方法,逐级对用户进行权限验证,其中包括身份验证、基于角色访问控制策略、基于属性访问控制策略,包括以下步骤:
S101、接收密钥生成请求信息;
S102、基于所述密钥生成请求信息生成属性访问策略信息,其中,所述属性访问策略信息为用来加密数据密钥的属性集合;
S103、基于基于所述用来加密数据密钥的属性集合加密数据密钥;
示例性的,基于第一级身份验证模块和第二级基于RBAC的访问控制模块完成对上述待生成密钥的粗粒度访问控制,根据上述预设属性访问策略信息生成密钥,其中,上述属性访问策略信息为允许加密待生成密钥的属性集合,对特定用户进行授权,为相应用户设置相应属性,以便上述特定用户对上述待生成密钥拥有相应的访问权限,完成对上述待生成密钥的细粒度访问控制;
示例性的,将上述预设属性访问策略信息绑定在密钥管理系统的每个密钥上。
S104、接收密钥获取请求信息;
S105、基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合;
示例性的,为了区分属性级别,每个用户属性分为自身授权属性,和被授权属性;上述被授权属性只能由创建上述密钥的用户进行更新与撤销。自身授权属性可以由用户自身更新和撤销。
示例性的,用户在创建密钥时可以授权自身只有自身操作的属性信息,以实现其他用户禁止访问。也可以授权其他用户只读属性信息。创建密钥的用户有权限撤销授权用户的访问属性权限,同时创建密钥的用户也有权限更新密钥管理系统中的属性访问策略;
基于上述预设属性访问策略信息验证上述密钥获取请求信息的属性信息是否包含于上述属性访问策略信息,即,为验证上述密钥获取请求信息的属性信息中是否包含在根据上述密钥生成请求信息与预设属性访问策略信息生成密钥时的允许加密待生成密钥的属性集合中的属性信息。
S106、若所述密钥获取请求信息的属性信息包含于所述用来加密数据密钥的属性集合,则基于密钥获取请求信息的属性信息获取目的数据密钥。
通过接收密钥生成请求信息;基于所述密钥生成请求信息生成属性访问策略信息,其中,所述属性访问策略信息为用来加密数据密钥的属性集合;基于所述用来加密数据密钥的属性集合加密数据密钥;接收密钥获取请求信息;基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合;若所述密钥获取请求信息的属性信息包含于所述用来加密数据密钥的属性集合,则基于密钥获取请求信息的属性信息获取目的数据密钥。通过根据上述密钥生成请求信息与允许加密待生成密钥的属性集合生成密钥,当上述密钥获取请求信息请求获取对应密钥时,通过允许加密待生成密钥的属性集合对上述密钥获取请求信息请求进行验证,从而针对每一个密钥实施访问控制。
在一种可能的实施方式中,在所述基于所述密钥生成请求信息生成属性访问策略信息的步骤之前,还包括:
根据请求生成密钥用户的角色信息和身份信息判断所述密钥生成请求信息是否正确。
示例性的,根据请求生成密钥用户的身份信息和第一预设身份信息验证所述密钥生成请求信息是否合法,其中,所述第一预设身份信息为能够生成密钥的身份信息;
若所述密钥生成请求信息合法,则根据请求生成密钥用户的角色信息和第一预设角色访问控制信息判断所述密钥生成请求信息是否正确,其中,所述第一预设角色访问控制信息为能够生成密钥的角色权限信息;
若所述密钥生成请求信息正确,则进行所述生成密钥的步骤;
若所述密钥生成请求信息不正确,则不进行所述生成密钥的步骤。
根据预设合法信息和第一预设权限信息验证上述密钥生成请求信息是否正确,保证了根据上述密钥生成请求信息与预设属性访问策略信息生成的密钥为合理密钥,避免了上述密钥为恶意访问用户创建,对服务器与其他用户产生影响。
在一种可能的实施方式中,所述基于所述用来加密数据密钥的属性集合加密数据密钥的步骤之前,包括:
根据所述密钥生成请求信息生成初始数据密钥;
根据所述密钥生成请求信息生成项目密钥,其中,所述项目密钥若存在,则直接使用,所述项目密钥采用系统根密钥加密;
根据所述项目密钥加密所述初始数据密钥,获得第一加密数据密钥。
完成对所述初始数据密钥的粗粒度加密,实现了对对所述初始数据密钥的粗粒度保护。
在一种可能的实施方式中,所述基于所述用来加密数据密钥的属性集合加密数据密钥的步骤,包括:
利用布尔函数将所述用来加密数据密钥的属性集合的字符串属性转换为所述访问控制策略矩阵;
根据所述访问控制策略矩阵加密所述第一加密数据密钥得到第二加密数据密钥。
示例性的,采用线性秘密共享方案生成基于ABE的访问属性结构策略,利用布尔函数实现字符串属性到线性秘密共享访问控制策略的自动转换,生成访问控制策略矩阵。
示例性的,请参考图2,密钥管理系统组件生成相应类型的数据密钥,采用项目密钥对数据密钥进行加密,获得第一加密数据密钥。利用访问控制策略矩阵对第一加密数据密钥进行加密,获得第二加密数据密钥。存储第二加密数据密钥,并返回数据密钥,上述数据密钥为上述密钥。
在一种可能的实施方式中,所述基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述所述用来加密数据密钥的属性集合的步骤,包括:
根据请求获取密钥用户的身份信息和第二预设身份信息验证所述密钥获取请求信息是否合法,其中,所述第二预设身份信息为能够获取密钥的身份信息;
若所述密钥获取请求信息合法,根据请求获取密钥用户的角色信息和第二预设角色访问控制信息验证所述密钥获取请求信息是否正确,其中,所述第二预设角色访问控制信息为能够获取密钥的角色权限信息;
若所述密钥获取请求信息正确,则验证所述密钥获取请求信息的属性信息是否包含于所述所述用来加密数据密钥的属性集合。
若上述请求信息的属性信息包含于上述属性访问策略信息,构建最小属性集合的访问控制策略矩阵。
在一种可能的实施方式中,所述基于密钥获取请求信息的属性信息获取目的数据密钥的步骤,包括:
获取对应上述密钥获取请求信息的第二加密数据密钥;
根据对应所述用来加密数据密钥的属性集合的最小属性集合的访问控制策略矩阵解密所述第二加密数据密钥,获得第一加密数据密钥;
利用系统根密钥对第一加密数据密钥对应的加密项目密钥进行解密,获得项目密钥;
根据所述项目密钥对第一加密数据密钥进行解密,获得对应所述密钥获取请求信息的所述初始数据密钥,将所述初始数据密钥作为所述目的数据密钥。
示例性的,请参考图2和图3,第二加密数据密钥利用线性秘密共享方案和最小属性集合的访问控制策略矩阵恢复出第一加密数据密钥,利用系统根密钥对密钥对应的加密项目密钥进行解密,获得项目密钥,利用项目密钥对第一加密数据密钥进行解密,获得数据密钥,并将数据密钥返回给用户。
请参考图4,上述密钥管理系统包括身份认证与访问控制组件、密钥管理系统组件、资源服务组件;
其中,上述身份认证与访问控制组件在用户初次登录系统时,需要进行用户注册,并分配到相应的项目中,同时授予相应的角色权限。最后验证用户提交的属性信息,验证并分配相应的用户属性。当已注册用户登录系统时,身份认证与访问控制组件对用户进行身份认证,并授权访问令牌。用户可以通过访问令牌安全合法访问云计算平台中其他组件。具体访问令牌包括:用户的角色权限、可访问的服务组件、用户属性集合。
密钥管理系统组件:负责密钥的生成、存储与分配,对云计算平台中的其他资源服务组件提供密钥管理功能。其中密钥管理系统组件包括第一级身份验证模块、第二级基于RBAC的访问控制模块、第三级基于ABE的访问控制模块、密钥管理模块等。上述密钥管理系统组件主要包括三个功能:用户访问密钥管理组件时,三级访问控制功能;密钥的生成与存储功能;密钥的使用功能;
资源服务组件,以供用户访问资源;
用户通过上述身份认证与访问控制组件获得调用上述资源服务组件的权限,用户基于调用上述资源服务组件的权限通过上述密钥管理系统组件获得密钥,根据上述密钥访问资源服务组件。
当用户需要访问密钥管理系统时,首先在身份认证与访问控制组件处获得授权令牌。密钥管理系统的第一级身份验证模块对用户的授权令牌进行验证,确认用户的合法性。然后第二级基于RBAC的访问控制模块对用户的授权令牌进行粗粒度的角色权限验证,确保用户具有访问密钥管理系统的权限。然后第三级基于ABE的访问控制模块对用户要访问的密钥的属性进行验证。
在一种可能的实施方式中,请参考图5,本申请实施例提供了一种密钥管理装置,包括:
数据获取模块201,用于接收密钥生成请求信息;
属性访问策略信息生成模块202,用于基于所述密钥生成请求信息生成属性访问策略信息,其中,所述属性访问策略信息为用来加密数据密钥的属性集合;
数据密钥生成模块203,用于基于所述用来加密数据密钥的属性集合加密数据密钥;
数据接收模块204,用于接收密钥获取请求信息;
验证模块205,用于基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合;
密钥获取模块206,用于若所述密钥获取请求信息的属性信息包含于所述用来加密数据密钥的属性集合,则基于密钥获取请求信息的属性信息获取目的数据密钥。
在一种可能的实施方式中,请参考图6,本申请实施例提供了一种电子设备,包括存储器310、处理器320及存储在存储器320上并可在处理器320上运行的计算机程序311,处理器320执行计算机程序311时,实现如上述的密钥管理方法的步骤。
在一种可能的实施方式中,请参考图7,一种计算机可读存储介质400,其上存储有计算机程序411,该计算机程序411被处理器执行时实现如下密钥管理方法的步骤。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请实施例的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,上述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
又例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,再例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请实施例提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
上述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请实施例各个实施例上述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上上述实施例,仅为本申请实施例的具体实施方式,用以说明本申请实施例的技术方案,而非对其限制,本申请实施例的保护范围并不局限于此,尽管参照前述实施例对本申请实施例进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的范围。都应涵盖在本申请实施例的保护范围之内。因此,本申请实施例的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种密钥管理方法,其特征在于,包括:
接收密钥生成请求信息;
基于所述密钥生成请求信息生成属性访问策略信息,其中,所述属性访问策略信息为用来加密数据密钥的属性集合;
基于所述用来加密数据密钥的属性集合加密数据密钥;
接收密钥获取请求信息;
基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合;
若所述密钥获取请求信息的属性信息包含于所述用来加密数据密钥的属性集合,则基于密钥获取请求信息的属性信息获取目的数据密钥。
2.根据权利要求1所述的密钥管理方法,其特征在于,在所述基于所述密钥生成请求信息生成属性访问策略信息的步骤之前,还包括:
根据请求生成密钥用户的角色信息和身份信息判断所述密钥生成请求信息是否正确。
3.根据权利要求2所述的密钥管理方法,其特征在于,所述根据请求生成密钥用户的角色信息和身份信息判断所述密钥生成请求信息是否正确的步骤,包括:
根据请求生成密钥用户的身份信息和第一预设身份信息验证所述密钥生成请求信息是否合法,其中,所述第一预设身份信息为能够生成密钥的身份信息;
若所述密钥生成请求信息合法,则根据请求生成密钥用户的角色信息和第一预设角色访问控制信息判断所述密钥生成请求信息是否正确,其中,所述第一预设角色访问控制信息为能够生成密钥的角色权限信息;
若所述密钥生成请求信息正确,则进行所述生成密钥的步骤;
若所述密钥生成请求信息不正确,则不进行所述生成密钥的步骤。
4.根据权利要求1所述的密钥管理方法,其特征在于,所述基于所述用来加密数据密钥的属性集合加密数据密钥的步骤之前,包括:
根据所述密钥生成请求信息生成初始数据密钥;
根据所述密钥生成请求信息生成项目密钥,其中,所述项目密钥若存在,则直接使用,所述项目密钥采用系统根密钥加密;
根据所述项目密钥加密所述初始数据密钥,获得第一加密数据密钥。
5.根据权利要求4所述的密钥管理方法,其特征在于,所述基于所述用来加密数据密钥的属性集合加密数据密钥的步骤,包括:
利用布尔函数将所述用来加密数据密钥的属性集合的字符串属性转换为访问控制策略矩阵;
根据所述访问控制策略矩阵加密所述第一加密数据密钥得到第二加密数据密钥。
6.根据权利要求1所述的密钥管理方法,其特征在于,所述基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合的步骤,包括:
根据请求获取密钥用户的身份信息和第二预设身份信息验证所述密钥获取请求信息是否合法,其中,所述第二预设身份信息为能够获取密钥的身份信息;
若所述密钥获取请求信息合法,根据请求获取密钥用户的角色信息和第二预设角色访问控制信息验证所述密钥获取请求信息是否正确,其中,所述第二预设角色访问控制信息为能够获取密钥的角色权限信息;
若所述密钥获取请求信息正确,则验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合。
7.根据权利要求5所述的密钥管理方法,其特征在于,所述基于密钥获取请求信息的属性信息获取目的数据密钥的步骤,包括:
获取对应所述密钥获取请求信息的第二加密数据密钥;
根据对应所述用来加密数据密钥的属性集合的最小属性集合的访问控制策略矩阵解密所述第二加密数据密钥,获得第一加密数据密钥;
利用系统根密钥对第一加密数据密钥对应的加密项目密钥进行解密,获得项目密钥;
根据所述项目密钥对第一加密数据密钥进行解密,获得对应所述密钥获取请求信息的所述初始数据密钥,将所述初始数据密钥作为所述目的数据密钥。
8.一种密钥管理装置,其特征在于,包括:
数据获取模块,用于接收密钥生成请求信息;
属性访问策略信息生成模块,用于基于所述密钥生成请求信息生成属性访问策略信息,其中,所述属性访问策略信息为用来加密数据密钥的属性集合;
数据密钥生成模块,用于基于所述用来加密数据密钥的属性集合加密数据密钥;
数据接收模块,用于接收密钥获取请求信息;
验证模块,用于基于所述用来加密数据密钥的属性集合验证所述密钥获取请求信息的属性信息是否包含于所述用来加密数据密钥的属性集合;
密钥获取模块,用于若所述密钥获取请求信息的属性信息包含于所述用来加密数据密钥的属性集合,则基于密钥获取请求信息的属性信息获取目的数据密钥。
9.一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1至7中任一项所述的密钥管理方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的密钥管理方法的步骤。
CN202110034124.1A 2021-01-11 2021-01-11 一种密钥管理方法及相关设备 Active CN112887273B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202110034124.1A CN112887273B (zh) 2021-01-11 2021-01-11 一种密钥管理方法及相关设备
US18/036,388 US11943345B2 (en) 2021-01-11 2021-11-30 Key management method and related device
PCT/CN2021/134331 WO2022148182A1 (zh) 2021-01-11 2021-11-30 一种密钥管理方法及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110034124.1A CN112887273B (zh) 2021-01-11 2021-01-11 一种密钥管理方法及相关设备

Publications (2)

Publication Number Publication Date
CN112887273A CN112887273A (zh) 2021-06-01
CN112887273B true CN112887273B (zh) 2022-05-20

Family

ID=76045007

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110034124.1A Active CN112887273B (zh) 2021-01-11 2021-01-11 一种密钥管理方法及相关设备

Country Status (3)

Country Link
US (1) US11943345B2 (zh)
CN (1) CN112887273B (zh)
WO (1) WO2022148182A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112887273B (zh) 2021-01-11 2022-05-20 苏州浪潮智能科技有限公司 一种密钥管理方法及相关设备
CN113824688B (zh) * 2021-08-24 2023-04-25 广州市瑞立德信息系统有限公司 加密通信方法、网络控制器以及门禁控制系统
CN113821835B (zh) * 2021-11-24 2022-02-08 飞腾信息技术有限公司 密钥管理方法、密钥管理装置和计算设备
CN115695035B (zh) * 2022-11-10 2024-04-19 山东云科汉威软件有限公司 基于云存储的油气田业务数据授权方法、装置、电子设备及可读介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009187140A (ja) * 2008-02-04 2009-08-20 Kddi Corp アクセス制御装置、アクセス制御方法およびプログラム
CN103327002A (zh) * 2013-03-06 2013-09-25 西安电子科技大学 基于属性的云存储访问控制系统
CN109711184A (zh) * 2018-12-28 2019-05-03 国网电子商务有限公司 一种基于属性加密的区块链数据访问控制方法及装置
CN111064701A (zh) * 2019-11-08 2020-04-24 浪潮电子信息产业股份有限公司 一种共享数据安全访问控制方法、装置、设备、介质
CN111783075A (zh) * 2020-06-28 2020-10-16 平安普惠企业管理有限公司 基于密钥的权限管理方法、装置、介质及电子设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9774577B2 (en) * 2014-06-24 2017-09-26 Tata Consultancy Services Limited Device, system and method providing data security and attribute based data access in participatory sensing
US10454940B2 (en) 2016-05-11 2019-10-22 Oracle International Corporation Identity cloud service authorization model
CN107426162B (zh) 2017-05-10 2018-06-22 北京理工大学 一种基于属性基加密实施核心角色访问控制的方法
US11347882B2 (en) * 2020-06-02 2022-05-31 Huawei Technologies Co., Ltd. Methods and systems for secure data sharing with granular access control
CN111800440B (zh) 2020-09-08 2020-12-18 平安国际智慧城市科技股份有限公司 多策略访问控制登录方法、装置、计算机设备及存储介质
CN112887273B (zh) 2021-01-11 2022-05-20 苏州浪潮智能科技有限公司 一种密钥管理方法及相关设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009187140A (ja) * 2008-02-04 2009-08-20 Kddi Corp アクセス制御装置、アクセス制御方法およびプログラム
CN103327002A (zh) * 2013-03-06 2013-09-25 西安电子科技大学 基于属性的云存储访问控制系统
CN109711184A (zh) * 2018-12-28 2019-05-03 国网电子商务有限公司 一种基于属性加密的区块链数据访问控制方法及装置
CN111064701A (zh) * 2019-11-08 2020-04-24 浪潮电子信息产业股份有限公司 一种共享数据安全访问控制方法、装置、设备、介质
CN111783075A (zh) * 2020-06-28 2020-10-16 平安普惠企业管理有限公司 基于密钥的权限管理方法、装置、介质及电子设备

Also Published As

Publication number Publication date
US20230308269A1 (en) 2023-09-28
US11943345B2 (en) 2024-03-26
CN112887273A (zh) 2021-06-01
WO2022148182A1 (zh) 2022-07-14

Similar Documents

Publication Publication Date Title
CN112887273B (zh) 一种密钥管理方法及相关设备
RU2352985C2 (ru) Способ и устройство для санкционирования операций с контентом
CN101872399B (zh) 基于双重身份认证的动态数字版权保护方法
RU2501081C2 (ru) Многофакторная защита контента
EP3412001B1 (en) A method of data transfer and cryptographic devices
US8140843B2 (en) Content control method using certificate chains
KR101238490B1 (ko) 컨텐츠 라이센스의 휴대용 저장 장치에의 바인딩
CN101490689B (zh) 用于由存储装置验证实体的方法及使用该方法的存储装置
US8245031B2 (en) Content control method using certificate revocation lists
US8266711B2 (en) Method for controlling information supplied from memory device
JP4857283B2 (ja) パーティション化による多目的コンテンツ制御
CN109587101B (zh) 一种数字证书管理方法、装置及存储介质
CN109818757A (zh) 云存储数据访问控制方法、属性证书颁发方法及系统
US20140112470A1 (en) Method and system for key generation, backup, and migration based on trusted computing
US20080010449A1 (en) Content Control System Using Certificate Chains
US20080010452A1 (en) Content Control System Using Certificate Revocation Lists
US20080010455A1 (en) Control Method Using Identity Objects
US20080022395A1 (en) System for Controlling Information Supplied From Memory Device
US20240039709A1 (en) Method and apparatus for sharing encrypted data, and device and readable medium
CN110650139B (zh) 云平台的资源访问控制方法以及系统
WO2007086015A2 (en) Secure transfer of content ownership
KR20230041971A (ko) 분산적 컴퓨터 네트워크 상에서 안전한 데이터 전송을 위한 방법, 장치 및 컴퓨터 판독가능 매체
EP2038800A2 (en) System and method for controlling information supplied from memory device
WO2008013656A2 (en) Content control system and method using certificate chains
EP2038804A2 (en) Content control system and method using versatile control structure

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant