本申請實施例提供了一種密鑰管理方法和相關裝置，系統密鑰是通過密鑰管理系統調用加密機，在加密機內部由專用硬件設備生成的，相較于軟算法生成的隨機數，其隨機性更強，被破解和復現的難度更大，提高了系統密鑰的安全性。另外，在應用系統向密鑰管理系統請求密鑰的過程中，利用公私鑰對和會話密鑰對密鑰令牌進行加密，提高了數據傳輸過程中的安全性。并且，密鑰管理系統下發給應用系統的系統密鑰進行加密后再下發，進一步提高了系統密鑰在系統之間傳輸的安全性。此外，利用密鑰管理系統統一管理不同系統的系統密鑰，保障了系統密鑰安全的同時，又節約率各系統設計密鑰保管方案的人力和設備成本。

技術領域

本申請涉及信息安全技術領域，尤其涉及一種密鑰管理方法和相關裝置。

背景技術

密鑰是一種明文轉換為密文或密文轉換為明文的算法輸入參數，可以用于對私密信息進行加密處理，以提高信息的安全性。例如，對系統與系統之間傳輸的敏感數據進行加密、對系統留檔存儲的文件進行加密等。

為了防止信息傳輸或保存過程中泄露，可以通過密鑰利用已知的算法對信息加密后再進行傳輸和存儲。但是由于算法是公開的，因此，密鑰的安全性和保密性直接決定了加密后數據的安全性和保密性。

由于條件有限，系統加密的密鑰大多是由軟算法偽隨機生成的，生成的密鑰也是在本地配置文件或數據庫中明文存儲或經簡單變換后存儲，密鑰被破解的風險較高。存儲在本地的密鑰一旦泄露系統將面臨嚴重的安全風險，密鑰管理不當一旦密鑰丟失，則會造成已加密文件無法恢復而對用戶或企業造成巨大損失。因此，密鑰的生成、傳輸以及妥善保存，即如何安全地管理密鑰一直是加解密過程中的重要問題。

發明內容

為了解決現有技術存在的上述技術問題，本申請提供了一種密鑰管理方法和相關裝置，實現了對于密鑰的安全管理。

一方面，本申請實施例提供了一種密鑰管理方法，所述方法包括：

獲取目標系統發送的第一密鑰請求；所述第一密鑰請求中的密鑰令牌是通過密鑰管理系統調用加密機生成的；

利用會話密鑰和所述密鑰管理系統發送的公鑰對所述密鑰令牌進行加密，生成令牌密文；

向所述密鑰管理系統發送第二密鑰請求，以便所述密鑰管理系統利用與所述公鑰對應的私鑰對所述令牌密文進行解密后，根據解密后的密鑰令牌確定所述目標系統是否合法；

獲取所述密鑰管理系統確認所述目標系統合法時發送的密鑰密文；所述密鑰密文加密前的密鑰是通過所述密鑰管理系統調用加密機生成的；

對所述密鑰管理系統發送的密鑰密文進行解密，生成解密后的系統密鑰；

向所述目標系統發送所述解密后的系統密鑰。

在一種可能的實現方式中，在所述獲取目標系統發送的第一密鑰請求之后，所述方法還包括：

根據所述第一密鑰請求中所述目標系統的應用代碼和所述密鑰令牌，確定所述目標系統是否合法；

若是，執行所述利用會話密鑰和所述密鑰管理系統發送的公鑰對所述密鑰令牌進行加密，生成令牌密文的步驟。

在一種可能的實現方式中，所述利用會話密鑰和所述密鑰管理系統發送的公鑰對所述密鑰令牌進行加密，生成令牌密文包括：

利用所述密鑰管理系統發送的公鑰對所述會話密鑰進行加密，生成會話密文；

利用所述會話密鑰對所述會話密文和所述密鑰令牌進行加密，生成所述令牌密文。

在一種可能的實現方式中，所述公鑰是根據所述第一密鑰請求中的系統代碼，從所述密鑰管理系統中獲取的；所述會話密鑰是隨機生成的。