A method, device and electronic device for processing a key under a multi data center are disclosed in this paper. The method of processing a key under the multi-data center is applied to a data center, including: receiving a request message for a temporary key obtained by the end user; generating an encryption key by performing a first function operation of the root key and the first parameter, and generating a temporary key according to the encryption key and the first parameter; and the temporary key including a secret. Key identification and key content, the key identification carrying information of the first parameter, the key content being generated by performing a second function operation of the key identification and the encryption key, and returning the temporary key to the end user. The technical scheme in this paper can realize that the key generated by one data center can be quickly identified by other data centers without relying on key synchronization between data centers.
【技术实现步骤摘要】
一种多数据中心下处理密钥的方法、装置及电子设备
本专利技术涉及通信技术,尤指一种多数据中心下处理密钥的方法、装置及电子设备。
技术介绍
云计算技术和服务提供商(比如,阿里云)可以通过分发密钥的方式向租用计算资源的云客户开放各种云服务。云计算技术和服务提供商分发给用户的密钥包括长期密钥和临时密钥。长期密钥一般由云客户的服务器端(管理员)使用,临时密钥一般由云客户的客户端(终端用户)使用。云计算技术和服务提供商通常会为云客户提供多个数据中心,这些数据中心可能分布于不同的地区。如图1所示,终端用户从一个数据中心(比如,位于中国的数据中心)获取一个临时密钥后希望立刻使用该临时密钥访问其他的数据中心(比如,位于美国的数据中心),这就要求在一个数据中心刚刚生成的临时密钥必须立刻同步给其他各个数据中心,如果未能及时同步,则会导致用户访问其他数据中心失败。其中,终端用户向数据中心发送访问请求前,首先使用临时密钥的密钥内容对发送的明文信息进行数字签名,然后在所述访问请求中携带所述数字签名和临时密钥的密钥标识。数据中心接收到终端用户的访问请求后,如果所述终端用户的临时密钥不是本数据中心生成的,则需要通过数据中心之间的数据同步从其他数据中心处获得所述临时密钥的密钥标识和密钥内容,然后根据接收到的密钥标识去找到对应的密钥内容,利用所述密钥内容对接收到的访问请求中的明文信息重新进行数字签名,如果所述重新生成的数字签名与接收到的数字签名一致,则判定所述终端用户为合法用户,如果所述重新生成的数字签名与接收到的数字签名不一致,则判定所述终端用户为非法用户。由于各个数据中心在地理分布上的分 ...
【技术保护点】
1.一种多数据中心下处理密钥的方法,应用于数据中心,包括:接收终端用户获取临时密钥的请求消息;将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;向所述终端用户返回所述临时密钥。
【技术特征摘要】
1.一种多数据中心下处理密钥的方法,应用于数据中心,包括:接收终端用户获取临时密钥的请求消息;将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的;向所述终端用户返回所述临时密钥。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收终端用户的访问请求消息,所述访问请求消息中携带临时密钥的密钥标识;从所述密钥标识中提取出第一参数,将根密钥和所述第一参数进行所述第一函数运算生成加密密钥,将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容。3.根据权利要求2所述的方法,其特征在于:所述密钥标识还携带第一信息密文,所述第一信息密文与所述第一参数拼接在一起;所述第一信息密文是将所述加密密钥对第一信息进行加密运算生成的。4.根据权利要求3所述的方法,其特征在于,接收到终端用户的访问请求消息后,所述方法还包括:从所述密钥标识中提取出第一信息密文;采用所述加密密钥对所述第一信息密文进行解密运算,获得所述第一信息。5.根据权利要求1-4中任一项所述的方法,其特征在于:所述第一函数是单向不可逆函数;所述第二函数是单向不可逆函数;所述第一参数是随机数。6.根据权利要求5所述的方法,其特征在于:所述第一函数是单向哈希函数;所述第二函数是单向哈希函数。7.根据权利要求3或4所述的方法,其特征在于:所述第一信息包括:终端用户的身份信息,或者终端用户的身份信息和临时密钥的过期时间信息。8.根据权利要求1-4中任一项所述的方法,其特征在于:所述根密钥保存在每一个数据中心的硬件加密机中,各个数据中心保存的根密钥相同。9.一种多数据中心下处理密钥的装置,应用于数据中心,包括:信息接收模块,用于接收终端用户获取临时密钥的请求消息;密钥生成模块,用于将根密钥和第一参数进行第一函数运算生成加密密钥,根据所述加密密钥和所述第一参数生成临时密钥;所述临时密钥包括密钥标识和密钥内容,所述密钥标识携带所述第一参数的信息,所...
【专利技术属性】
技术研发人员:刘博洋,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。