[发明专利]秘钥管理方法、装置、设备及存储介质

说明书

本发明属于区块链技术领域，解决了现有技术中如何增强提高秘钥在KMS系统存储的安全问题，提供了一种秘钥管理方法、装置、设备及存储介质。包括KMS系统建立用于任一目标秘钥加密的第一秘钥组，第一秘钥组包括多个本地主密钥；各本地主密钥对目标秘钥加密具有同等效果，利用各本地主密钥按照轮替加密规则，对目标秘钥进行轮替加密存储在KMS系统内，从而通过增加时间维度来提高目标秘钥在KMS系统的加密存储安全性，本发明的轮替加密方式从时间维度提高LMK的安全性，即使有LMK被暴力破解或泄露时，也能及时轮替为其他LMK进行重新加密存储，大大减小了LMK被攻破的风险，提高秘钥在KMS系统加密存储的安全性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种秘钥管理方法、装置、设备及存储介质。

背景技术

区块链技术构建在传输网络(也可称为区块链网络)之上，传输网络中的分布式节点设备(以下简称为节点)通过运行区块链程序，实现以预设共识策略生成区块数据，并利用链式数据结构验证与存储区块数据，最终实现了数据防篡改机制，为业务开展提供了安全可信的技术新思路。

密钥管理系统(英文：key management server，简称：KMS)可以运行在分布式文件系统(英文：hadoop Distributed file system，简称：HDFS)上，用于对密钥的创建、加密、解密等进行管理，其中运行有KMS系统的HDFS系统可以被称为KMS服务端，KMS服务端采用本地主密钥(local master key，简称：LMK)本地主密钥对私钥进行加密储存，从而提高私钥的安全性；由此，如何保证LMK的安全性是秘钥管理亟需解决的问题。

发明内容

有鉴于此，本发明实施例提供了一种秘钥管理方法、装置、设备及存储介质，用以解决现有技术中如何提高秘钥在KMS系统存储的安全问题。

本发明采用的技术方案是：

一方面，本发明提供了一种秘钥管理方法，所述方法包括：

获取用于对任一目标秘钥进行加密的第一秘钥组，所述第一秘钥组包含多个本地主密钥；

利用所述第一秘钥组的各本地主密钥在KMS系统内对所述目标秘钥进行轮替加密，得到所述目标秘钥的秘钥密文并存储在KMS系统内。

优选地，所述获取用于对任一目标秘钥进行加密的第一秘钥组，所述第一秘钥组包含多个本地主密钥包括：

响应于种子秘钥生成请求，生成与第一字符长度对应的种子秘钥；

利用秘钥导出函数根据所述种子秘钥导出与第二字符长度对应的多个本地主密钥，得到所述第一秘钥组。

优选地，所述利用秘钥导出函数根据所述种子秘钥导出与第二字符长度对应的多个本地主密钥，得到所述第一秘钥组包括：

利用所述秘钥导出函数根据所述种子秘钥导出所述第一秘钥组的第一主秘钥；

利用所述秘钥导出函数根据所述第一主秘钥，导出所述第一秘钥组的第二主秘钥；

重复上述本地主密钥生成步骤，基于上一个本地主密钥迭代得到包含预设数量秘钥的所述第一秘钥组。

优选地，所述利用所述第一秘钥组的各本地主密钥在KMS系统内对所述目标秘钥进行轮替加密，得到所述目标秘钥的秘钥密文并存储在KMS系统内包括：

获取利用多个本地主密钥对所述目标秘钥进行加密的轮替规则；

根据所述轮替规则从所述第一秘钥组调取新的本地主密钥作为第一目标主密钥，利用所述目标主密钥对所述目标秘钥重新加密，重新得到所述目标秘钥的秘钥密文并继续存储在KMS系统。