[发明专利]密钥处理方法及装置

说明书

本公开实施例公开了一种密钥处理方法及装置，所述密钥处理方法包括：响应于第二节点被启动，向第一节点发送身份认证请求，响应于接收到身份认证请求通过消息，生成第二节点会话密钥；向第一节点发送获取主密钥请求，接收第一节点发送的主密钥密文，主密钥密文是第一节点利用第一节点会话密钥对主密钥进行加密得到的；使用第二节点会话密钥对主密钥密文进行解密，得到主密钥。该技术方案扩展性较强，能够有效控制成本；数据传输的安全性得到了保障，有效降低主密钥泄漏及被恶意节点盗取的风险；能够在节点启动时自动实现主密钥的分享，无需人工的参与，在保障数据传输安全性的前提下，还能够有效提高数据传输效率。

技术领域

本公开涉及密钥处理技术领域，具体涉及一种密钥处理方法及装置。

背景技术

随着互联网技术的发展，对于数据传输的安全性要求也越来越高。现有技术中通常使用密钥处理系统为上层应用提供密钥保护能力，但密钥管理系统自身的根密钥却成为了主要的风险点，传统的解决方案是基于硬件加密机或者传统密码学的纯软件加密机来保护根密钥，其中，硬件加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备，但其与企业内部应用集成效果差，水平扩展能力低下，加密机之间根密钥的共享需要依靠人工导入，存在导出安全风险，无法适应当下应用环境，而且企业内部使用时需要采购硬件设备，成本高昂；虽然基于传统密码学的纯软件加密机的扩展性和可用性能够得到保证，但是无法实现对于根密钥隐私的保护，存在根密钥泄漏以及被恶意节点盗取的风险。因此，亟需一种既具有扩展性，能够实现根密钥的共享，同时还能降低根密钥泄漏及被恶意节点盗取的风险的密钥处理方法。

发明内容

本公开实施例提供一种密钥处理方法及装置。

第一方面，本公开实施例中提供了一种密钥处理方法。

具体的，所述密钥处理方法，包括：

响应于第二节点被启动，向第一节点发送身份认证请求，响应于接收到身份认证请求通过消息，生成第二节点会话密钥，其中，所述第一节点为可信执行环境集群已认证节点，所述第二节点为可信执行环境集群待认证节点；

向第一节点发送获取主密钥请求，接收所述第一节点发送的主密钥密文，其中，所述主密钥密文是第一节点利用第一节点会话密钥加密得到的；

使用所述第二节点会话密钥对于所述主密钥密文进行解密，得到所述主密钥。

结合第一方面，本公开在第一方面的第一种实现方式中，所述响应于接收到身份认证请求通过消息，生成第二节点会话密钥，包括：

响应于接收到身份认证请求通过消息，获取第一节点计算因子，并将本地存储的第二节点计算因子发送给第一节点；

基于所述第一节点计算因子和第二节点计算因子，利用预设会话密钥生成算法生成第二节点会话密钥。

结合第一方面和第一方面的第一种实现方式，本公开实施例在第一方面的第二种实现方式中，还包括：

将所述主密钥存入第一内存中。

结合第一方面、第一方面的第一种实现方式和第一方面的第二种实现方式，本公开实施例在第一方面的第三种实现方式中，还包括：

响应于检测到所述第二节点作为第一节点工作，从所述第一内存中取出所述主密钥。

结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式和第一方面的第三种实现方式，本公开实施例在第一方面的第四种实现方式中，还包括：

对于所述主密钥使用第一密封设备进行第一密封，得到第一主密钥密封密文，并将所述第一主密钥密封密文存放于第一数据备份设备中。

结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式和第一方面的第四种实现方式，本公开实施例在第一方面的第五种实现方式中，还包括：