本發明實施例公開了一種密鑰系統，密鑰客戶端，以及密鑰管理方法。其中，密鑰系統包括密鑰客戶端和密鑰服務器，所述密鑰客戶端可以向所述密鑰服務器發起操作能力探測，接收并記錄所述密鑰服務器返回的操作能力，形成所述密鑰服務器的操作能力位圖，根據所述密鑰客戶端的操作能力位圖和所述密鑰服務器的操作能力位圖，得到所述密鑰客戶端與所述密鑰服務器的操作能力位圖，以及根據預置規則集，選取所述密鑰客戶端與所述密鑰服務器進行密鑰交互的規則。從而不需要使用密鑰管理服務的設備針對不同的密鑰服務器開發不同的密鑰客戶端，就可以實現密鑰服務器與密鑰客戶端的對接；而且不需要技術服務人員現場選擇密鑰客戶端，降低了開發和維護成本。

技術領域

本發明涉及通信領域，具體涉及一種密鑰系統，密鑰客戶端，以及密鑰管理方法。

背景技術

靜態數據加密對于大型企業來說尤其重要。企業用戶在不同的業務應用上通常要使用不同的密鑰系統，導致目前市場上的產品和技術很多，難以統一。

密鑰管理互操作協議(Key Management Interoperability Protocol，KMIP)是解決密鑰管理“孤島”問題，實現多密鑰管理服務器生產商(Key Management Server Vendor，KMS vendor)生產的密鑰服務器(server)之間對接的主流技術標準，其目的是為多密鑰服務器提供統一的通信協議，以實現各密鑰服務器之間的互操作性。密鑰管理服務器生產商也可以簡稱為密鑰服務器生產商。

但是各KMS vendor在該標準的實現上存在以下問題：各KMS vendor選擇對KMIP標準進行部分支持，導致各生產商的密鑰服務器(server)支持了不同的KMIP操作子集。現有技術中為了解決對接的問題，通常會在使用密鑰管理服務的設備中集成多個客戶端(client)，每個client與各自對應的密鑰服務器(server)對接。在安裝部署現場，技術服務人員根據Server廠商、型號、以及版本，選擇正確的client，以完成對接。由于使用密鑰管理服務的設備需要針對不同的server開發不同的client版本，而且需要技術服務人員現場選擇client版本，開發和維護成本很高。

發明內容

為解決上述現有技術的問題，本發明實施例的第一方面提供了一種密鑰客戶端，所述密鑰客戶端包括處理器，存儲器，通信接口和總線，其中，所述處理器、所述存儲器和所述通信接口通過所述總線通信。

所述通信接口，用于在所述處理器的控制下，向密鑰服務器發起操作能力探測，接收所述密鑰服務器返回的操作能力；所述存儲器，用于在所述處理器的控制下，記錄所述密鑰服務器返回的操作能力，并形成所述密鑰服務器的操作能力位圖；所述處理器，用于根據所述密鑰客戶端的操作能力位圖和所述密鑰服務器的操作能力位圖，得到所述密鑰客戶端與所述密鑰服務器的操作能力位圖；還用于根據所述密鑰客戶端與所述密鑰服務器的操作能力位圖，以及預置規則集，選取所述密鑰客戶端與所述密鑰服務器進行密鑰交互的規則；所述通信接口，還用于在所述處理器的控制下，根據所述選取的規則，與所述密鑰服務器進行密鑰交互。

結合第一方面，在第一方面的第一種實現方式中，所述通信接口具體用于通過密鑰管理互操作協議KMIP向所述密鑰服務器發起操作能力探測。

結合第一方面和第一方面的第一種實現方式，在第一方面的第二種實現方式中，所述通信接口具體用于依據多個操作之間的依賴關系向所述密鑰服務器發起對所述多個操作的能力探測。

結合第一方面和第一方面的第一、第二種實現方式，在第一方面的第三種實現方式中，所述處理器具體用于將所述密鑰客戶端的操作能力位圖和所述密鑰服務器的操作能力位圖作邏輯與操作，得到所述密鑰客戶端與所述密鑰服務器的操作能力位圖。