本公开提供一种基于密钥加密密钥(KEK)的授权管理方法及系统,方法包括:第一设备利用预设的加密规则,生成第二设备的KEK;所述第一设备利用所述KEK,对所述第二设备的加密密钥进行加密,得到加密后的加密密钥;其中,所述加密密钥用于对所述第二设备的数据进行加密,得到加密数据;所述加密密钥包括数据加密密钥(DEK)或内容加密密钥(CEK)。本公开提供的方案,能够提高数据管理的安全性。能够提高数据管理的安全性。能够提高数据管理的安全性。
【技术实现步骤摘要】
基于密钥加密密钥(KEK)的授权管理方法及系统
[0001]本公开涉及数据管理领域,尤其涉及一种基于密钥加密密钥(KEK,Key Encryption Key)的授权管理方法及系统。
技术介绍
[0002]数据生产者将产生的数据托管至数据管理者处进行存储、管理运营,并通过对数据使用者进行授权,使数据使用者可以从数据管理者处获取到相关数据,推动数据的社会化开发和利用。现有技术中,为了保证数据安全,数据往往需要经过加密处理后再进行存储。然而,数据管理者对大量数据的加密密钥进行存储和管理,不仅会大大的增加了管理和存储成本,还增加了在传递加密数据私钥过程中的安全风险。
技术实现思路
[0003]本公开提供一种基于KEK的授权管理方法及系统,以解决相关技术中的问题,提高数据管理的安全性。
[0004]本公开提出了一种基于KEK的授权管理方法,该方法包括:第一设备利用预设的加密规则,生成第二设备的KEK;所述第一设备利用所述KEK,对所述第二设备的加密密钥进行加密,得到加密后的加密密钥;其中,所述加密密钥用于对所述第二设备的数据进行加密,得到加密数据;所述加密密钥包括数据加密密钥(DEK,Data Encryption Key)或内容加密密钥(CEK,Content Encryption Key)。
[0005]进一步地,所述方法还包括:第三设备获取所述加密规则和所述加密后的加密密钥;利用所述加密规则,生成所述第二设备的KEK;利用所述KEK解密所述加密后的加密密钥,得到所述加密密钥;利用所述加密密钥解密所述加密数据。
[0006]进一步地,所述加密规则包括随机(salt)值,第一设备利用预设的加密规则,生成第二设备的KEK,包括:所述第一设备利用伪随机数生成器生成salt值,并在安全管理平台存储所述salt值;利用所述salt值和所述第二设备的加密口令,生成所述第二设备的KEK。
[0007]进一步地,所述方法还包括:所述第三设备从所述安全管理平台获取所述salt值;根据所述salt值和所述第二设备的加密口令,生成所述第二设备的KEK。
[0008]进一步地,所述方法还包括:所述第三设备向所述安全管理平台发送第一请求;所述第一请求用于请求获取所述salt值;
所述安全管理平台基于注册信息,对所述第三设备进行安全验证;在安全验证通过的情况下,向所述第三设备发送所述salt值。
[0009]进一步地,所述第二设备的数据包括多个等级的数据;所述第一设备利用预设的加密规则,生成第二设备的KEK,包括:所述第一设备利用预设的加密规则,生成第二设备的多个salt值;其中,不同salt值对应的第二设备的数据等级不同所述第一设备利用所述KEK,对所述第二设备的加密密钥进行加密,得到加密后的加密密钥,包括:所述第一设备利用每个salt值,生成对应的KEK,并利用每个KEK对所述第二设备的加密密钥进行加密,得到多个加密后的加密密钥;其中,每个加密后的加密密钥用于对所述第二设备中对应等级的数据进行加密。
[0010]进一步地,所述安全验证包括身份验证和等级验证;所述在安全验证通过的情况下,向所述第三设备发送所述salt值,包括:基于所述等级验证确定的所述第三设备的等级和第三设备与第二设备数据等级的对应关系,确定所述第三设备对应的第二设备数据等级;向所述第三设备发送对应数据等级的salt值。
[0011]进一步地,所述方法还包括:所述第三设备获取所述伪随机数生成器的生成规律;基于所述生成规律,确定所述salt值。
[0012]本公开还提出一种基于KEK的授权管理系统,所述系统包括第一设备;所述第一设备用于:利用预设的加密规则,生成第二设备的KEK;利用所述KEK,对所述第二设备的加密密钥进行加密,得到加密后的加密密钥;其中,所述加密密钥用于对所述第二设备的数据进行加密,得到加密数据进一步地,所述系统还包括所述第三设备;所述第三设备用于:获取所述加密规则和所述加密后的加密密钥;利用所述加密规则,生成所述第二设备的KEK;利用所述KEK解密所述加密后的加密密钥,得到所述加密密钥;利用所述加密密钥解密所述加密数据。
[0013]综上,本公开提出的基于KEK的授权管理方法及系统,通过利用KEK对用于加密设备数据的加密密钥进行加密,提高加密密钥的安全性,从而提高数据管理的安全性,同时,由于数据管理者只需要保管用于生成KEK的salt值和加密后的加密密钥,因此,能够减少密钥管理者对大量数据加密密钥的管理和存储成本。
附图说明
[0014]图1为本公开实施例提供的一种基于KEK的授权管理方法的流程示意图;图2为本公开应用实施例中基于KEK的加密流程示意图;图3为本公开应用实施例中基于KEK的解密流程示意图;图4为本公开实施例提供的一种基于KEK的授权管理系统结构示意图。
具体实施方式
[0015]下面详细描述本公开的实施例。
[0016]图1为本公开实施例提供的一种基于KEK的授权管理方法。如图1所示,该方法可以包括:步骤101:第一设备利用预设的加密规则,生成第二设备的KEK。
[0017]步骤202:所述第一设备利用所述KEK,对所述第二设备的加密密钥进行加密,得到加密后的加密密钥;其中,所述加密密钥用于对所述第二设备的数据进行加密,得到加密数据;所述加密密钥包括DEK或CEK。
[0018]在一实施例中,所述方法还可以包括:所述第一设备利用所述加密密钥对所述第二设备的数据进行加密。
[0019]实际应用时,所述第一设备可以是数据管理者,具体地,所述第一设备可以是数据管理端设备;所述第二设备可以是数据拥有者,具体的,所述第二设备可以是数据拥有端设备,即产生数据的设备。
[0020]其中,步骤101中,所述加密规则可以包括用于生成KEK的salt。
[0021]基于此,在一实施例中,所述加密规则包括随机salt值,第一设备利用预设的加密规则,生成第二设备的KEK,可以包括:所述第一设备利用伪随机数生成器生成salt值,并在安全管理平台存储所述salt值;利用所述salt值和所述第二设备的加密口令,生成所述第二设备的KEK。
[0022]实际应用时,所述第一设备可以将生成的salt值和加密后的加密密钥存储在安全管理平台;其中,所述安全管理平台也可以称为数据管理平台,可以是所述第一设备搭建的用于对第二设备数据进行安全管理(比如存储、运营等)的平台。
[0023]实际应用时,当所述第一设备对所述第二设备的数据进行加密后,其他设备可以从安全管理平台获取加密后的数据,并利用加密密钥对获取的加密数据进行解密。
[0024]基于此,在一实施例中,所述方法还可以包括:第三设备获取所述加密规则和所述加密后的加密密钥;利用所述加密规则,生成所述第二设备的KEK;利用所述KEK解密所述加密后的加密密钥,得到所述加密密钥;利用所述加密密钥解密所述加密数据。
[0025]其中,所述第二设备的加密口令,可以由本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于密钥加密密钥KEK的授权管理方法,其特征在于,所述方法包括:第一设备利用预设的加密规则,生成第二设备的KEK;所述第一设备利用所述KEK,对所述第二设备的加密密钥进行加密,得到加密后的加密密钥;其中,所述加密密钥用于对所述第二设备的数据进行加密,得到加密数据;所述加密密钥包括数据加密密钥DEK或内容加密密钥CEK。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:第三设备获取所述加密规则和所述加密后的加密密钥;利用所述加密规则,生成所述第二设备的KEK;利用所述KEK解密所述加密后的加密密钥,得到所述加密密钥;利用所述加密密钥解密所述加密数据。3.根据权利要求2所述的方法,其特征在于,所述加密规则包括随机salt值,第一设备利用预设的加密规则,生成第二设备的KEK,包括:所述第一设备利用伪随机数生成器生成salt值,并在安全管理平台存储所述salt值;利用所述salt值和所述第二设备的加密口令,生成所述第二设备的KEK。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:所述第三设备从所述安全管理平台获取所述salt值;根据所述salt值和所述第二设备的加密口令,生成所述第二设备的KEK。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:所述第三设备向所述安全管理平台发送第一请求;所述第一请求用于请求获取所述salt值;所述安全管理平台基于注册信息,对所述第三设备进行安全验证;在安全验证通过的情况下,向所述第三设备发送所述salt值。6.根据权利要求3至5中任一项所述的方法,其特征在于,所述第二设备的数据包括多个等级的数据;所述第一设备利用预设的加密规则,生成第二设备...
【专利技术属性】
技术研发人员:万象,汪一飞,王玥,卢利凯,邵培森,
申请(专利权)人:河南省信息化集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。