[发明专利]秘钥管理方法、装置、设备及存储介质

权利要求书

1.一种秘钥管理方法，其特征在于，所述方法包括：

获取用于对任一目标秘钥进行加密的第一秘钥组，所述第一秘钥组包含多个本地主密钥；

利用所述第一秘钥组的各本地主密钥在KMS系统内对所述目标秘钥进行轮替加密，得到所述目标秘钥的秘钥密文并存储在KMS系统内。

2.根据权利要求1所述的秘钥管理方法，其特征在于，所述获取用于对任一目标秘钥进行加密的第一秘钥组，所述第一秘钥组包含多个本地主密钥包括：

响应于种子秘钥生成请求，生成与第一字符长度对应的种子秘钥；

利用秘钥导出函数根据所述种子秘钥导出与第二字符长度对应的多个本地主密钥，得到所述第一秘钥组。

3.根据权利要求2所述的秘钥管理方法，其特征在于，所述利用秘钥导出函数根据所述种子秘钥导出与第二字符长度对应的多个本地主密钥，得到所述第一秘钥组包括：

利用所述秘钥导出函数根据所述种子秘钥导出所述第一秘钥组的第一主秘钥；

利用所述秘钥导出函数根据所述第一主秘钥，导出所述第一秘钥组的第二主秘钥；

重复上述本地主密钥生成步骤，基于上一个本地主密钥迭代得到包含预设数量秘钥的所述第一秘钥组。

4.根据权利要求1所述的秘钥管理方法，其特征在于，所述利用所述第一秘钥组的各本地主密钥在KMS系统内对所述目标秘钥进行轮替加密，得到所述目标秘钥的秘钥密文并存储在KMS系统内包括：

获取利用多个本地主密钥对所述目标秘钥进行加密的轮替规则；

根据所述轮替规则从所述第一秘钥组调取新的本地主密钥作为第一目标主密钥，利用所述目标主密钥对所述目标秘钥重新加密，重新得到所述目标秘钥的秘钥密文并继续存储在KMS系统。

5.根据权利要求4所述的秘钥管理方法，其特征在于，所述根据所述轮替规则从所述第一秘钥组调取新的本地主密钥作为第一目标主密钥，利用所述目标主密钥对所述目标秘钥重新加密，重新得到所述目标秘钥的秘钥密文并继续存储在KMS系统包括：

根据所述轮替规则，利用随机函数从所述第一秘钥组调取所述第一目标主密钥；

利用所述第一目标主密钥对明文状态的所述目标秘钥加密，重新得到所述目标秘钥的秘钥密文并继续存储在KMS系统。

6.根据权利要求1至5任一项所述的秘钥管理方法，其特征在于，还包括多个所述本地主秘钥的版本迭代：

响应于本地主密钥的版本迭代指令生成第二秘钥组，所述第二秘钥组包含与所述第一秘钥组同等数量的本地主密钥；

利用所述第二秘钥组的本地主密钥对所述第一秘钥组的本地主密钥进行替换，同时更新数据库的秘钥版本信息。

7.根据权利要求6所述的秘钥管理方法，其特征在于，所述利用所述第二秘钥组的本地主密钥对所述第一秘钥组的本地主密钥进行替换，同时更新数据库的秘钥版本信息包括：

获取所述目标秘钥对应的秘钥表；

根据所述秘钥表，得到与所述目标秘钥关联的所述第一秘钥组的各本地主密钥；

利用所述第二秘钥组的各本地主密钥替换所述第一秘钥组的各本地主密钥，并更新所述目标秘钥的所述秘钥表。

8.一种秘钥管理装置，其特征在于，包括：

秘钥获取模块：用于获取用于对任一目标秘钥进行加密的第一秘钥组，所述第一秘钥组包含多个本地主密钥；

轮替加密模块：用于利用所述第一秘钥组的各本地主密钥在KMS系统内对所述目标秘钥进行轮替加密，得到所述目标秘钥的秘钥密文并存储在KMS系统内。

9.一种电子设备，其特征在于，包括：至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令，当所述计算机程序指令被所述处理器执行时实现如权利要求1-7中任一项所述的方法。

10.一种存储介质，其上存储有计算机程序指令，其特征在于，当所述计算机程序指令被处理器执行时实现如权利要求1-7中任一项所述的方法。