[发明专利]一种基于身份的封闭式密钥管理方法及系统

权利要求书

1.一种基于身份的封闭式密钥管理方法，其特征在于，包括如下步骤：

步骤1.用户登录时向身份认证服务器提交身份认证请求，身份认证通过后，返回用户令牌；

步骤2.当用户需要加解密服务时，向加解密服务模块提交用户令牌及用户数据；

步骤3.加解密服务模块向密钥管理服务器提交用户令牌，并请求用户数据密钥；

步骤4.密钥管理服务器向身份认证服务器请求验证用户令牌的有效性，验证通过后，密钥管理服务器通过用户ID查找用户数据密钥密文；

步骤5.密钥管理服务器解密出用户数据密钥明文，并返回给加解密服务模块；

步骤6.加解密服务模块通过用户数据密钥，对用户数据进行加解密操作，并返回结果；

上述整个密钥管理的网络通信过程，全程采用SSL/TLS协议会话进行加密通信；

步骤4中，密钥管理服务器判断是否存在用户ID对应的用户数据密钥密文：如果是，则继续执行步骤5；如果否，则通过用户主密钥自动生成用户数据密钥，并加密保存，再继续执行步骤5；

上述步骤1中，首次注册用户时，身份认证服务器自动生成用户ID，用户上传用户主密钥到密钥管理服务器中与用户ID绑定；

或者步骤1中，密钥管理服务器调用硬件安全模块采用根密钥加密自动生成用户主密钥，保存在密钥管理服务器中，并绑定用户ID；

此时，步骤5中，密钥管理服务器通过用户ID查找到用户数据密钥密文后，首先通过硬件安全模块解密出用户主密钥明文，再用用户主密钥解密出用户数据密钥明文。

2.一种基于身份的封闭式密钥管理系统，其特征在于，包括身份认证服务器(1)、密钥管理服务器(2)、硬件安全模块(3)和加解密服务模块(4)；

身份认证服务器(1)，用于用户身份认证，发放用户令牌，验证用户令牌的有效性；身份认证服务器(1)，至少包括用户管理模块(1.1)和令牌管理模块(1.2)；

用户管理模块(1.1)，用于注册新用户，以及对用户进行身份认证；

令牌管理模块(1.2)，用于生成用户对资源访问权限的用户令牌，验证用户令牌的有效性；

密钥管理服务器(2)，用于用户主密钥和用户数据密钥的密钥生命周期管理，密钥生命周期管理包括密钥的生成、存储及分发；密钥管理服务器(2)包括身份验证模块(2.1)、第一密码模块(2.2)、密钥存储模块(2.3)及密钥分发模块(2.4)；

身份验证模块(2.1)，接收加解密服务模块(4)对指定的用户数据密钥的请求，并向身份认证服务器(1)请求验证用户令牌的有效性，并控制是否响应加解密服务模块(4)的请求；

第一密码模块(2.2)，调用硬件安全模块(3)生成密钥及对密钥数据进行加解密；

密钥存储模块(2.3)，根据用户ID存储用户主密钥密文及用户数据密钥密文，并提供查询功能；

密钥分发模块(2.4)，用于向加解密服务模块(4)返回用户数据密钥明文；

硬件安全模块(3)，是密钥管理服务器的后端硬件密码设备，保存根密钥，为密钥管理服务器提供密钥生成、数据加解密服务，是密钥管理系统的信任根；硬件安全模块(3)至少包括根密钥存储模块(3.1)和第二密码模块(3.2)；

根密钥存储模块(3.1)，保存根密钥；

第二密码模块(3.2)，对外提供采用根密钥进行加解密的服务；

加解密服务模块(4)，根据用户令牌请求用户数据密钥，并为用户数据提供加解密服务；加解密服务模块(4)，至少包括加解密请求处理子模块(4.1)和加解密计算子模块(4.2)；

加解密请求处理子模块(4.1)，用于接收用户数据加解密请求，通过用户令牌向密钥管理服务器(2)请求用户数据密钥，并调用加解密计算子模块(4.2)对用户数据进行加解密，向用户返回数据密文；

加解密计算子模块(4.2)，用于实现用户加解密的计算功能。