一种面向海量密钥管理的集群实现方法和装置与流程

本发明密钥集群管理，具体涉及一种面向海量密钥管理的集群实现方法和装置。

背景技术：

1、随着移动互联网和云计算技术的迅猛发展，越来越多的数据在云计算环境下进行处理，密码技术是保障网络安全的核心技术，通过保护数据的机密性、完整性和可用性来保护信息以及信息传递的安全性。

2、密码云服务是一种全新的密码功能交付模式，是云计算技术与身份认证、授权访问、传输加密、存储加密等密码技术的深度融合。密码服务提供商按照云计算技术架构的要求整合密码产品、密码使用策略、密码服务接口和服务流程，将密码系统设计、部署、运维、管理、计费等组合成一种服务，来解决用户的密码应用需求。用户不再购买密码硬件或密码系统等密码产品，而是以租用的方式使用云中提供的各种密码功能。密码云服务面向的场景有密钥托管、密钥快速计算等。

3、在这种场景下，面临着海量密钥难以管理、难以快速查询，密码运算效率降低等技术问题，且传统基于云密码机的方案也逐渐面临弹性扩展难、成本高、维护难、效率低等技术问题，因此，迫切需要一种新技术方案以解决这些技术问题。

4、公开号为cn116781248a的专利文献公开了一种加密方法、装置及密钥管理系统，应用于第一计算节点，包括：获取一个或多个密钥因子；使用加密密钥对明文数据进行加密得到密文数据，其中，所述加密密钥基于所述一个或多个密钥因子和所述第一计算节点的标识得到，所述标识为所述第一计算节点的标识或第一计算节点所在设备的标识或所述目标处理器的标识；将所述密文数据和所述第一计算节点的标识发送至第二计算节点。公开号为cn115549898a的专利文献公开了一种多级跨域环境下的对称密钥管理方法，包括：包括多级跨域密钥管理层次体系、多级跨域对称密钥生成与存储机制、多级跨域对称密钥分发机制和多级跨域对称密钥更新机制。这两个技术方案不能同时解决上述记载的技术问题。

技术实现思路

1、鉴于上述，本发明的目的是提供一种面向海量密钥管理的集群实现方法和装置，通过对密码运算集群和密钥管理集群解耦，同时设置跨集群通信机制和缓存和多层级分级存储机制，同时解决了现有技术中通信延迟高、海量密钥管理难、密码运算效率低、弹性扩展难等技术问题。

2、为实现上述发明目的，本发明实施例提供了一种面向海量密钥管理的集群实现方法，包括以下步骤：

3、基于密钥管理集群的密钥管理过程，包括：向密钥管理进程发起密钥管理请求，调用密钥管理集群的服务，基于密钥管理请求进行用户身份和权限验证后，对密钥管理请求进行第一解析，并基于第一解析结果进行密钥的缓存和多层级分级存储更新；

4、基于密码运算集群和密钥管理集群的密码运算过程，包括：向密码运算集群的密码运算进程发送密码运算请求，基于密码运算请求进行用户身份和权限验证后，通过rdma协议调用密钥管理集群的服务，对密码运算请求进行第二解析，并基于第二解析结果从缓存或多层级分级存储中获得密文密钥，并将密文密钥或对密文密钥解密得到的明文密钥通过rdma协议返回给密码运算集群完成数据的加密或解密。

5、优选地，所述密钥管理集群的服务，包括：

6、客户端api服务，其对外提供统一调用接口，并进行请求的解析得到解析结果；

7、海量密钥管理服务，其提供统一密钥管理接口，具有基于智能密码钥匙的身份认证和访问控制策略、对海量密钥文件快速读写的目录结构和索引结构，并创建密钥缓存层进行数据缓存，处理密钥相关业务；

8、安全密钥存储服务，其提供海量密钥的存储和查询接口，具有密钥的多层次分级存储，主密钥保存在硬件安全模块中，密钥管理集群生成的加密密钥、用户密钥保存在数据库中，用户的托管文件加密保存在分布式文件系统中，其中，数据库包括结构化数据库、非结构化数据库、以及分布式数据库，托管文件包括海量密钥文件和敏感文件；

9、硬件安全模块，其保存主密钥，生成真随机数，并提供用户密文密钥安全加解密的运行环境。

10、优选地，调用密钥管理集群的服务，基于密钥管理请求进行用户身份和权限验证后，对密钥管理请求进行第一解析，并基于第一解析结果进行密钥的缓存和多层级分级存储更新，包括：

11、基于海量密钥管理服务具有的身份认证和访问控制策略对密钥管理请求进行用户身份和权限验证后，进行调用流向的负载均衡分发，然后调用客户端api服务接口，对密钥管理请求进行第一解析，当为密钥修改或查询类时进行统一密钥索引解析，得到包含密钥索引的第一解析结果；

12、调用海量密钥管理服务和安全密钥存储服务，基于密钥索引在缓存层或多层次分级存储中进行查找得到索引指定的密文密钥并进行更新，其中，更新包括删除、替换。

13、优选地，还包括：对密钥管理请求进行第一解析，当为密钥新增类时进行目录/文件索引的解析，得到包含目录/文件索引的第一解析结果；

14、调用海量密钥管理服务和安全密钥存储服务，基于对海量密钥文件快速读写的目录结构和索引结构为目录/文件索引创建托管文件的索引，并存储到缓存层和分布式文件系统。

15、优选地，还包括：在基于密钥索引的密文密钥更新、基于目录/文件索引的托管文件的新增存储后，在缓存层中逐层删除安全密钥存储服务密钥缓存、海量密钥管理服务密钥缓存，确保缓存和存储数据一致，最终完成本次密钥管理任务。

16、优选地，密码运算时，通过rdma协议调用密钥管理集群的服务，对密码运算请求进行第二解析，并基于第二解析结果从缓存或多层级分级存储中获得密文密钥，包括：

17、基于密钥管理线程解析用户指定的统一索引，并按照统一索引的定义，解析出指定用户的密钥索引或托管文件索引，并依据密钥索引或托管文件索引在缓存中查询对应的密钥或托管文件后，得到密文密钥。

18、优选地，当依据密钥索引或托管文件索引在缓存中不能查询对应的密钥或托管文件时，则调用客户端api服务，并将密钥索引或托管文件索引传输到客户端api服务接口，重新解析获得关键的索引解析信息，其中，索引解析信息包括数据库编码、数据库表编码、密钥索引编码或对应目录索引编码、文件索引编码；

19、调用海量密钥管理服务，并基于索引解析信息调用安全密钥存储服务从多层级分级存储中搜索得到对应的密钥或托管文件后，得到密文密钥。

20、优选地，还包括：密码运算进程启动时同步创建密钥管理线程，在密钥管理线程中通过rdma协议远程调用密钥管理集群的服务接口。

21、优选地，密钥管理集群定义了统一32位长度的密钥索引，0位为统一索引版本号，1-10位为具体的密钥索引值或托管文件索引值，11-15位为存储数据库表编码或目录索引编码，16-19位为存储数据库类型编码或目录索引编码，20-21位为索引类型编码，22-27位为用户编码，其它位为预留扩展字段。

22、为实现上述发明目的，本发明实施例提供了一种面向海量密钥管理的集群实现装置，包括：

23、密钥管理模块，其用于基于密钥管理集群的密钥管理过程，包括：向密钥管理进程发起密钥管理请求，调用密钥管理集群的服务，基于密钥管理请求进行用户身份和权限验证后，对密钥管理请求进行第一解析，并基于第一解析结果进行密钥的缓存和多层级分级存储更新；

24、密码运算模块，其用于基于密码运算集群和密钥管理集群的密码运算过程，包括：向密码运算集群的密码运算进程发送密码运算请求，基于密码运算请求进行用户身份和权限验证后，通过rdma协议调用密钥管理集群的服务，对密码运算请求进行第二解析，并基于第二解析结果从缓存或多层级分级存储中获得密文密钥，并将密文密钥或对密文密钥解密得到的明文密钥通过rdma协议返回给密码运算集群完成数据的加密或解密。

25、与现有技术相比，本发明具有的有益效果至少包括：

26、本发明通过将密码云服务的密钥管理集群和密码运算集群解耦，通过多层级分级存储体系和基于rdma协议的跨集群通信机制，降低通信延迟，提升集群中密码运算的性能和效率，可以实现更加安全的密钥管理策略，进行更加海量的密钥资源管理，提供更好的可靠性、稳定性；

27、本发明可以充分利用软硬件资源，提高密钥管理集群中硬件安全模块的利用率，尤其在海量密码相关业务请求的场景下，提升了密码运算效率低。

28、本发明中密码云服务的密钥管理集群系统性能指标显著优于传统软硬一体的密码机所采用的资源固定，弹性增减困难的方案，具有很强的扩展性和伸缩性。