(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211264498.3 (22)申请日 2022.10.17 (71)申请人 北京安盟信息技 术股份有限公司 地址 100094 北京市海淀区西北旺镇邓庄 南路南侧、 友谊路西侧的土井村盛景 创业园T01地 块1号楼3A层3A19 (72)发明人 王强　张大伟　 (74)专利代理 机构 北京冠榆知识产权代理事务 所(特殊普通 合伙) 11666 专利代理师 朱亚琦 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 云环境下租户托管密钥更新的方法、 系统、 介质及设备 (57)摘要 本发明公开一种云环境下租户托管密钥更 新的方法、 系统、 介质及设备， 其中， 所述方法为： 在租户通过密钥访问模块向租户管理模块和密 钥托管模块发送密钥请求信息的方式调用托管 密钥时， 密钥托管模块对调用的托管密钥进行解 析并得到所述托管密钥的生成时间属性和密钥 有效期属性， 当所述托管密钥的密钥有效期剩余 时间小于或等于预设阈值， 则将所述托管密钥标 记为待更新托管密钥， 同时触发密钥更新模块对 所述托管密钥进行更新， 密钥更新模块对待更新 托管密钥进行更新并将新的托管密钥及与新的 托管密钥相关的信息加密存储。 本发 明解决了云 计算环境下租户托管密钥的安全 更新的问题， 从 而满足云租户所需要的安全、 便捷、 平滑地对托 管密钥进行 更新的需求。 权利要求书2页 说明书6页 附图4页 CN 115361130 A 2022.11.18 CN 115361130 A 1.云环境下租户托管密钥更新的方法， 其特征在于， 在租户通过密钥访问模块向租户 管理模块和密钥托管模块 发送密钥请求信息的方式调用托管密钥时， 密钥托管模块对调用 的托管密钥进 行解析并得到所述托管密钥的生成时间属性和密钥有效期属性， 当所述托管 密钥的密钥有效期剩余时间小于或等于预设阈值， 则将所述托管密钥标记为待更新托管密 钥， 同时触发密钥更新模块对所述托管密钥进行更新， 密钥更新模块对待更新托管密钥进 行更新并将新的托管密钥 及与新的托管密钥相关的信息加密 存储； 新的托管密钥生成并存 储后， 原有的托管密钥仍留存于密钥存储模块内； 在新的托管密钥产生后， 密钥托管模块使 用与密钥请求信息相匹配的托管密钥对密钥请求信息中的数据密钥 密文信息解密， 获得数 据密钥明文， 并使用新的托管密钥对数据密钥明文加密， 获得数据密钥新密 文， 将数据密钥 明文、 数据密钥新密文以及新的托管密钥的ID值作为密钥应答信息发送给租户端的密钥 访 问模块； 租户发出的密钥请求信息中至少包括租户名称、 租户ID、 托管密钥名称、 托管密钥 ID、 数据密钥类型和数据密钥密文信息 。 2.根据权利要求1所述的云环境下租户托管密钥更新的方法， 其特征在于， 密钥更新模 块生成一个新的托管密钥后， 将新的托管密钥及与新的托管密钥相关的信息加密 存储在密 钥存储模块中的密钥托管容器的新的密钥托管存储区内， 新的密钥托管存储区与原有的密 钥托管存 储区之间相互隔离 。 3.根据权利要求2所述的云环境下租户托管密钥更新的方法， 其特征在于， 同一租户的 托管密钥及与托管密钥相关的信息存放同一个密钥托管容器内。 4.根据权利要求3所述的云环境下租户托管密钥更新的方法， 其特征在于， 不同租户所 用的密钥托管容器之间相互隔离 。 5.根据权利要求4所述的云环境下租户托管密钥更新的方法， 其特征在于， 与托管密钥 相关的管理操作 均在与该托管密钥相关的密钥托管容器内完成。 6.根据权利要求1～5任一所述的云环境下租户托管密钥更新的方法， 其特征在于， 托 管密钥更新的具体步骤为： S1） 密钥更新模块接收密钥托管模块对待更新托管密钥进行更新的指令并对待更新托 管密钥进行 更新， 操作如下： S1‑1） 增加一个新的托管密钥的ID值； S1‑2） 生成一个新的托管密钥； S1‑3） 将新的托管密钥和新的托管密钥的ID值关联并记录映射关系； S1‑4） 将新的托管密钥、 新的托管密钥的ID值、 待更新托管密钥以及新的托管密钥的ID 值与新的托管密钥之间的映射关系返回密钥托管模块； S2） 密钥托管模块将新的托管密钥、 新的托管密钥的ID值以及新的托管密钥的ID值与 新的托管密钥之间的映射关系加密存 储在密钥存储模块内。 7.根据权利要求6所述的云环境下租户托管密钥更新的方法， 其特征在于， 新的托管密 钥的ID值的数值 为待更新 托管密钥ID值的数值加1。 8.云环境下租户托管密钥更新系统， 其特 征在于， 包括： 密钥托管模块， 用于对密钥请求信 息进行解析并与密钥请求信 息相关联的托管密钥是 否需要进行更新进行判别； 密钥更新模块， 用于根据密钥托管模块的指令对待更新 托管密钥进行 更新；权　利　要　求　书 1/2 页 2 CN 115361130 A 2密钥存储模块， 用于存储托管密钥、 托管密钥ID值以及托管密钥与托管密钥DI值之间 的映射关系； 密钥存储模块内设置有 大于或等于1个密钥托管容器， 密钥托管容器内设置有 大于或等于1个存储区， 不同的两个存储区之 间是相互隔离的； 不同租户的托管密钥存放在 不同的密钥托管容器内， 同一租户的不同托管密钥存放在不同的存 储区内； 密钥托管模块分别与密钥更新模块和密钥存 储模块通信连接 。 9.计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被处理 器执行时实现权利要求1～7中任一所述的云环境下租户托管密钥更新的方法。 10.计算机设备， 包括可读存储介质、 处理器以及存储在可读存储介质上并可在处理器 上运行的计算机程序， 其特征在于， 所述计算机程序被处理器执行时实现权利要求1～7中 任一所述的云环境下租户托管密钥更新的方法。权　利　要　求　书 2/2 页 3 CN 115361130 A 3