一种多数据中心下处理密钥的方法、装置及电子设备制造方法及图纸

本文公开了一种多数据中心下处理密钥的方法、装置及电子设备。所述多数据中心下处理密钥的方法应用于数据中心，包括：接收终端用户获取临时密钥的请求消息；将根密钥和第一参数进行第一函数运算生成加密密钥，根据所述加密密钥和所述第一参数生成临时密钥；所述临时密钥包括密钥标识和密钥内容，所述密钥标识携带所述第一参数的信息，所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的；向所述终端用户返回所述临时密钥。本文的技术方案能够不依赖数据中心之间的密钥同步而实现一个数据中心生成的密钥迅速被其他数据中心识别。

Method, device and electronic device for processing key under multi data center

A method, device and electronic device for processing a key under a multi data center are disclosed in this paper. The method of processing a key under the multi-data center is applied to a data center, including: receiving a request message for a temporary key obtained by the end user; generating an encryption key by performing a first function operation of the root key and the first parameter, and generating a temporary key according to the encryption key and the first parameter; and the temporary key including a secret. Key identification and key content, the key identification carrying information of the first parameter, the key content being generated by performing a second function operation of the key identification and the encryption key, and returning the temporary key to the end user. The technical scheme in this paper can realize that the key generated by one data center can be quickly identified by other data centers without relying on key synchronization between data centers.

【技术实现步骤摘要】
一种多数据中心下处理密钥的方法、装置及电子设备
本专利技术涉及通信技术，尤指一种多数据中心下处理密钥的方法、装置及电子设备。
技术介绍
云计算技术和服务提供商(比如，阿里云)可以通过分发密钥的方式向租用计算资源的云客户开放各种云服务。云计算技术和服务提供商分发给用户的密钥包括长期密钥和临时密钥。长期密钥一般由云客户的服务器端(管理员)使用，临时密钥一般由云客户的客户端(终端用户)使用。云计算技术和服务提供商通常会为云客户提供多个数据中心，这些数据中心可能分布于不同的地区。如图1所示，终端用户从一个数据中心(比如，位于中国的数据中心)获取一个临时密钥后希望立刻使用该临时密钥访问其他的数据中心(比如，位于美国的数据中心)，这就要求在一个数据中心刚刚生成的临时密钥必须立刻同步给其他各个数据中心，如果未能及时同步，则会导致用户访问其他数据中心失败。其中，终端用户向数据中心发送访问请求前，首先使用临时密钥的密钥内容对发送的明文信息进行数字签名，然后在所述访问请求中携带所述数字签名和临时密钥的密钥标识。数据中心接收到终端用户的访问请求后，如果所述终端用户的临时密钥不是本数据中心生成的，则需要通过数据中心之间的数据同步从其他数据中心处获得所述临时密钥的密钥标识和密钥内容，然后根据接收到的密钥标识去找到对应的密钥内容，利用所述密钥内容对接收到的访问请求中的明文信息重新进行数字签名，如果所述重新生成的数字签名与接收到的数字签名一致，则判定所述终端用户为合法用户，如果所述重新生成的数字签名与接收到的数字签名不一致，则判定所述终端用户为非法用户。由于各个数据中心在地理分布上的分散性，所以各个数据中心之间的密钥同步可能存在延迟现象并且高度依赖网络的可靠性和稳定性，因此一个数据中心产生的临时密钥，可能不被其他数据中心所识别，影响到用户对其他数据中心的访问。
技术实现思路
本申请提供了一种多数据中心下处理密钥的方法、装置及电子设备，能够不依赖数据中心之间的密钥同步而实现一个数据中心生成的密钥迅速被其他数据中心识别。本申请采用如下技术方案：本申请实施例提供一种多数据中心下处理密钥的方法，应用于数据中心，包括：接收终端用户获取临时密钥的请求消息；将根密钥和第一参数进行第一函数运算生成加密密钥，根据所述加密密钥和所述第一参数生成临时密钥；所述临时密钥包括密钥标识和密钥内容，所述密钥标识携带所述第一参数的信息，所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的；向所述终端用户返回所述临时密钥。可选地，所述方法还包括：接收终端用户的访问请求消息，所述访问请求消息中携带临时密钥的密钥标识；从所述密钥标识中提取出第一参数，将根密钥和所述第一参数进行所述第一函数运算生成加密密钥，将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容。可选地，所述密钥标识还携带第一信息密文，所述第一信息密文与所述第一参数拼接在一起；所述第一信息密文是将所述加密密钥对第一信息进行加密运算生成的。可选地，接收到终端用户的访问请求消息后，所述方法还包括：从所述密钥标识中提取出第一信息密文；采用所述加密密钥对所述第一信息密文进行解密运算，获得所述第一信息。可选地，所述第一函数是单向不可逆函数；所述第二函数是单向不可逆函数；所述第一参数是随机数。可选地，所述第一函数是单向哈希函数；所述第二函数是单向哈希函数。可选地，所述第一信息包括：终端用户的身份信息，或者终端用户的身份信息和临时密钥的过期时间信息。可选地，所述根密钥保存在每一个数据中心的硬件加密机中，各个数据中心保存的根密钥相同。本申请实施例提供一种多数据中心下处理密钥的装置，应用于数据中心，包括：信息接收模块，用于接收终端用户获取临时密钥的请求消息；密钥生成模块，用于将根密钥和第一参数进行第一函数运算生成加密密钥，根据所述加密密钥和所述第一参数生成临时密钥；所述临时密钥包括密钥标识和密钥内容，所述密钥标识携带所述第一参数的信息，所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的；信息发送模块，用于向所述终端用户返回所述临时密钥。可选地，所述装置还包括密钥识别模块：信息接收模块，还用于接收终端用户的访问请求消息，所述访问请求消息中携带临时密钥的密钥标识；密钥识别模块，用于从所述密钥标识中提取出第一参数，将根密钥和所述第一参数进行所述第一函数运算生成加密密钥，将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容。可选地，所述密钥标识还携带第一信息密文，所述第一信息密文与所述第一参数拼接在一起；所述第一信息密文是将所述加密密钥对第一信息进行加密运算生成的。可选地，密钥识别模块，还用于从所述密钥标识中提取出第一信息密文；采用所述加密密钥对所述第一信息密文进行解密运算，获得所述第一信息。可选地，所述第一函数是单向不可逆函数；所述第二函数是单向不可逆函数；所述第一参数是随机数。可选地，所述第一函数是单向哈希函数；所述第二函数是单向哈希函数。可选地，所述第一信息包括：终端用户的身份信息，或者终端用户的身份信息和临时密钥的过期时间信息。可选地，所述根密钥保存在每一个数据中心的硬件加密机中，各个数据中心保存的根密钥相同。本申请实施例提供一种用于数据库读写的电子设备，包括：存储器和处理器；所述存储器用于保存用于多数据中心下处理密钥的程序，所述用于多数据中心下处理密钥的程序在被所述处理器读取执行时，执行以下操作：接收终端用户获取临时密钥的请求消息；将根密钥和第一参数进行第一函数运算生成加密密钥，根据所述加密密钥和所述第一参数生成临时密钥；所述临时密钥包括密钥标识和密钥内容，所述密钥标识携带所述第一参数的信息，所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的；向所述终端用户返回临时密钥。本申请包括以下优点：本申请至少一个实施例可以不依赖数据中心之间的密钥同步而实现一个数据中心生成的密钥迅速被其他数据中心识别。当然，实施本申请的任一产品不一定需要同时达到以上所述的所有优点。附图说明附图用来提供对本专利技术技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本专利技术的技术方案，并不构成对本专利技术技术方案的限制。图1为现有技术中不同数据中心之间密钥同步的示意图；图2为本专利技术实施例一的一种多数据中心下处理密钥的方法的流程图；图3为本专利技术应用示例1的多数据中心的示意图；图4为本专利技术应用示例1的多数据中心下第一数据中心为终端用户生成临时密钥的方法的流程图；图5为本专利技术应用示例1的多数据中心下第二数据中心识别临时密钥的方法的流程图；图6为本专利技术实施例二的一种多数据中心下处理密钥的装置的示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。实施例一如图2所示，一种多数据中心下处理密钥的方法，应用于数据中心，包括：S210，接收终端用户获取临时密本文档来自技高网...

【技术保护点】
1.一种多数据中心下处理密钥的方法，应用于数据中心，包括：接收终端用户获取临时密钥的请求消息；将根密钥和第一参数进行第一函数运算生成加密密钥，根据所述加密密钥和所述第一参数生成临时密钥；所述临时密钥包括密钥标识和密钥内容，所述密钥标识携带所述第一参数的信息，所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的；向所述终端用户返回所述临时密钥。

【技术特征摘要】
1.一种多数据中心下处理密钥的方法，应用于数据中心，包括：接收终端用户获取临时密钥的请求消息；将根密钥和第一参数进行第一函数运算生成加密密钥，根据所述加密密钥和所述第一参数生成临时密钥；所述临时密钥包括密钥标识和密钥内容，所述密钥标识携带所述第一参数的信息，所述密钥内容是将所述密钥标识和所述加密密钥进行第二函数运算生成的；向所述终端用户返回所述临时密钥。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收终端用户的访问请求消息，所述访问请求消息中携带临时密钥的密钥标识；从所述密钥标识中提取出第一参数，将根密钥和所述第一参数进行所述第一函数运算生成加密密钥，将所述密钥标识和所述加密密钥进行所述第二函数运算生成所述临时密钥的密钥内容。3.根据权利要求2所述的方法，其特征在于：所述密钥标识还携带第一信息密文，所述第一信息密文与所述第一参数拼接在一起；所述第一信息密文是将所述加密密钥对第一信息进行加密运算生成的。4.根据权利要求3所述的方法，其特征在于，接收到终端用户的访问请求消息后，所述方法还包括：从所述密钥标识中提取出第一信息密文；采用所述加密密钥对所述第一信息密文进行解密运算，获得所述第一信息。5.根据权利要求1-4中任一项所述的方法，其特征在于：所述第一函数是单向不可逆函数；所述第二函数是单向不可逆函数；所述第一参数是随机数。6.根据权利要求5所述的方法，其特征在于：所述第一函数是单向哈希函数；所述第二函数是单向哈希函数。7.根据权利要求3或4所述的方法，其特征在于：所述第一信息包括：终端用户的身份信息，或者终端用户的身份信息和临时密钥的过期时间信息。8.根据权利要求1-4中任一项所述的方法，其特征在于：所述根密钥保存在每一个数据中心的硬件加密机中，各个数据中心保存的根密钥相同。9.一种多数据中心下处理密钥的装置，应用于数据中心，包括：信息接收模块，用于接收终端用户获取临时密钥的请求消息；密钥生成模块，用于将根密钥和第一参数进行第一函数运算生成加密密钥，根据所述加密密钥和所述第一参数生成临时密钥；所述临时密钥包括密钥标识和密钥内容，所述密钥标识携带所述第一参数的信息，所...

【专利技术属性】
技术研发人员：刘博洋，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY