[发明专利]密钥共享方法、装置与系统

说明书

技术领域

本发明涉及计算机密码学，尤其涉及一种基于密码硬件虚拟化的密钥共享方法、装置与系统。

背景技术

密码硬件是专门用于密码计算的一类硬件的统称。密码硬件虚拟化可以提高密码硬件资源的处理效率。在实现多个密码硬件虚拟化时，要对密码硬件计算资源进行合理调度。在密码硬件计算资源进行调度时，一个关键问题就在于密钥共享。如果密钥无法共享或者密钥共享效率太低，无法实现计算资源的合理调度。

现有技术中，密码硬件A和密码硬件B在实现密钥共享时，A和B需要先基于身份建立安全通讯信道，密码硬件A将原密钥用公钥进行加密获得密文，然后通过建立的安全通讯信道将私钥和密文传递到密码硬件B之中，密码硬件B根据私钥对密文进行解密，获得原密钥，所述公钥与所述私钥对应。密钥通过安全通信信道在双方之间共享。

然而，利用上述方法进行密钥共享时，密钥共享只能局限于两方，多方共享时效率会很低。

发明内容

鉴于此，本发明实施例提供一种密钥共享方法、装置与系统，可以解决多方交互时密钥共享效率低的问题。

第一方面，本发明实施例提供一种密钥共享方法，包括：

第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理，得到第一密文；

所述第一密码硬件向第二密码硬件发送所述第一密文，以使所述第二密码硬件根据所述群组密钥对所述第一密文进行解密处理，以得到所述第一密钥；

其中，所述第二密码硬件与所述第一密码硬件属于同一群组。

结合第一方面，在第一方面的第一种可能的实现方式中，所述第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理之前，还包括：

所述第一密码硬件接收第二密码硬件发送的秘密参数；

所述第一密码硬件根据接收到的所述秘密参数以及所述第一密码硬件的秘密参数生成所述群组密钥；

所述第一密码硬件向所述第二密码硬件发送所述群组密钥。

结合第一方面，在第一方面的第二种可能的实现方式中，所述第一密码硬件根据群组密钥对待发送的第一密钥进行加密处理之前，还包括：

所述第一密码硬件向第二密码硬件发送所述第一密码硬件的秘密参数，以使所述第二密码硬件根据接收到的秘密参数和所述第二密码硬件的秘密参数生成所述群组密钥；

所述第一密码硬件接收所述第二密码硬件发送的所述群组密钥。

结合第一方面以及第一方面的第一和第二种可能的实现方式中的任一种，在第一方面的第三种可能的实现方式中，所述第一密码硬件向第二密码硬件发送所述第一密文包括：

所述第一密码硬件接收管理服务器发送的导出请求；

所述第一密码硬件根据所述导出请求向所述管理服务器发送所述第一密文，以使得所述管理服务器将所述第一密文发送给所述第二密码硬件。第二方面，本发明实施例提供一种密钥共享方法，包括：

第二密码硬件获取第一密码硬件发送的第一密文，所述第一密文为所述第一密码硬件根据群组密钥对第一密钥加密处理后得到的；

所述第二密码硬件根据群组密钥对所述第一密文进行解密处理，获得第一密钥；

其中所述第一密码硬件和所述第二密码硬件属于同一群组。

结合第二方面，在第二方面的第一种可能的实现方式中，所述第二密码硬件获取第一密码硬件发送的第一密文，包括：

所述第二密码硬件接收管理服务器发送的导入请求；

所述第二密码硬件根据所述导入请求，从所述管理服务器获取所述第一密文。

结合第二方面或第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述第二密码硬件根据群组密钥对所述第一密文进行解密处理之前，还包括：

所述第二密码硬件将所述第二密码硬件的秘密参数发送到所述第一密码硬件，以使得所述第一密码硬件根据接收到的秘密参数以及所述第一密码硬件的秘密参数生成所述群组密钥，并接收第一密码硬件发送的所述群组密钥。

结合第二方面或第二方面的第一种可能的实现方式，在第二方面的第三种可能的实现方式中，所述第二密码硬件根据群组密钥对所述第一密文进行解密处理之前，还包括：

所述第二密码硬件接收第一密码硬件发送的秘密参数，并根据接收到的秘密参数以及所述第二密码硬件的秘密参数生成所述群组密钥；

所述第二密码硬件向所述第一密码硬件发送所述群组密钥。

第三方面，本发明实施例提供一种密码硬件，包括：

加密模块，用于根据群组密钥对待发送的第一密钥进行加密处理，得到第一密文；