[发明专利]一种支持多端异构模式下的秘钥管理架构

说明书

本发明提供了一种支持多端异构模式下的秘钥管理架构，包括秘钥生成模块、数据解析模块、异构MCU、以及数据发送接口，所述秘钥生成模块接收来自异构MCU的加密秘钥请求，生成秘钥，并通过数据解析模块将秘钥发送给异构MCU，异构MCU完成对明文加密，通过数据发送接口将秘文下发给用户。本发明通过支持动态异构MCU处理器向秘钥生成模块索取相同的秘钥，保持了秘钥数据一致性；同时MCU请求中加入时间戳信息，引入索引向量中，可以高效的满足动态异构冗余架构秘钥的数据一致性。

技术领域

本发明属于数据安全技术领域，尤其是涉及一种支持多端异构模式下的秘钥管理架构。

背景技术

在实际应用中，随着数据安全性被倍加重视，支持异构冗余架构下的加密秘钥管理定成为以后的发展趋势。

目前，如图1所示，现有应用技术主要为单一客户端向秘钥管理系统申请秘钥，由秘钥管理系统的管理终端识别秘钥请求，对请求关键字采用局部敏感哈希函数建立所述明文文件的秘钥索引，秘钥生成模块通过索引，生成秘钥，返回给客户端。该方法并不适应于异构冗余架构下的加密秘钥管理。

1.传统的秘钥管理方案，不能支持多端索取相同秘钥，在一次索取秘钥后，秘钥管理模块就会将其删除，无法支持多端索取，同时也无法保证多端索取秘钥的数据一致性。

2.传统的秘钥管理方案，不能满足支持多端索取相同秘钥，若任意异构端索取的秘钥匹配条目不存在，则生成该条目秘钥，此后其余异构端也可调用该相同秘钥，并能够配置该条目秘钥生存周期。

3.传统的秘钥管理方案，不能支持多端同时索取秘钥请求，当秘钥请求冲突时，会造成丢失请求的风险。

4.对于多端动态异构CPU索取秘钥，没有加入时间戳信息，无法阻止时间攻击，不具备高安全性。

5.支持多端动态异构CPU索取秘钥一致性，排除因为单个MCU可能由于外部攻击或内部漏洞导致计算结果错误或失效的现象。

发明内容

有鉴于此，本发明旨在提出一种支持多端异构模式下的秘钥管理架构，通过支持动态异构MCU处理器向秘钥生成模块索取相同的秘钥，保持了秘钥数据一致性；同时MCU请求中加入时间戳信息，引入索引向量中，可以高效的满足动态异构冗余架构秘钥的数据一致性。

为达到上述目的，本发明的技术方案是这样实现的：

一种支持多端异构模式下的秘钥管理架构，包括秘钥生成模块、数据解析模块、异构MCU、以及数据发送接口，所述秘钥生成模块接收来自异构MCU的加密秘钥请求，生成秘钥，并通过数据解析模块将秘钥发送给异构MCU，异构MCU完成对明文加密，通过数据发送接口将秘文下发给用户。

进一步的，所述秘钥生成模块内部包括三个模块，分别为控制模块、随机数产生模块和RAM存储模块；其中，

控制模块实现对秘钥索引的解析和秘钥产生的控制、存储功能；

RAM模块用于存储备份产生的秘钥；

随机数产生模块用于产生随机数列，作为秘钥。

进一步的，控制模块接收秘钥请求信号，对请求进行解析，将产生的随机数作为秘钥发送至MCU通路，同时控制模块根据请求信号的APP和消息序列号信息特征，将产生的秘钥存储至RAM处，作为秘钥日志，便于后期对秘钥的查询。

进一步的，若多个MCU同时向秘钥生成模块索取秘钥，控制模块会根据配置的MCU优先级进行仲裁，仲裁获胜的MCU被解析识别秘钥请求，各模块的优先级可动态配置，默认各MCU优先级均为零，仲裁结果为轮询判决。