用於管理和自動生成加密密鑰的系統和方法

2023-05-20 19:34:51

專利名稱：用於管理和自動生成加密密鑰的系統和方法
技術領域：
本發明屬於計算機系統內的加密領域。更特別地說，本發明涉及計 算系統中的加密密鑰管理和生成。
背景技術：
許多不同類型的計算系統已經在世界範圍內得到廣泛使用。這些計 算系統包括個人計算機、伺服器、大型機、各種單機和內置的計算裝置。
伸展的客戶端-伺服器系統的存在，使得應用和信息遍布於多個PC網
絡、大型計算機、小型計算機之上。在一個通過網絡連接的分布式系統
中，用戶可以訪問多個應用程式、資料庫、網絡系統、操:作系統和大型 計算機應用。計算機向個體或企業提供許多軟體應用，包括文字處理、 電子製表以及計帳。此外，網絡使處在不同地域的人能夠通過電子郵件、 網站、即時消息傳送以及網上會議進行高速通信。
高性能單片機微處理器的普通架構是精簡指令集計算機(RISC)架 構，其特徵是供快速執行的一小組簡化的頻繁使用指令。因而，在RISC 架構中，複雜的指令包括一小組分步驟非常快速執行的簡單指令。在適 合執行特定筒單指令的執行單元中完成這些步驟。在超標量架構中，這 些執行單元典型地包括並行操作的載入/存儲單元、整數算術/邏輯單元、 浮點算術/邏輯單元以及圖形邏輯單元。在處理器架構中，作業系統控制 處理器的操作和處理器的外圍組件。將可執行的應用程式存儲在計算機 硬碟驅動器中。響應於用戶輸入，計算機處理器使應用程式運行。
因而，在現代的系統中，多個計算機一包括伺服器一通過網絡連接 在一起。每個計算機可以運行用於完成某項功能的應用程式。這些應用 程序可以包括文字處理、電子郵件、圖形製作、文檔查看和標記、電子 制表、資料庫、音樂播放器、網際網路瀏覽器、照片處理(photo-shop)、
遊戲、反病毒程序，以及由於太多而沒有提到的許多其他應用程式。許 多應用程式完成程序數據的加密和/或解密。例如，電子郵件發送器可以 在將電子郵件向接受者發送前加密電子郵件。加密電子郵件的接受者將 需要解密從發送器接收到的加密電子郵件。在另一種應用中，發送器可 以在發送一個文件之前對該文件進行數字籤名。數字籤名的操作包括加 密。也能夠通過加密驗證數字籤名。通過應用程式使用加密的其他例子 大量存在。
為了完成加密和/或解密，應用程式必須具有一個密鑰，並必須遵循 使用該密鑰完成加密/解密的已知算法。因此，應用程式可以處理要求加 密的敏感數據。例如，應用程式可以加密一個文件。該加密文件防止沒 有密鑰的人閱讀該文件。同樣可以對文件中的數據進行籤名。在對數據 進行籤名後，不能在不被察覺的情況下修改數據。
隨著網際網路的出現和計算機的廣泛使用，越來越多的商業事務電子 地發生。為了推動這種"電子商務"，計算網絡採用加密和數字籤名。加 密能夠使用戶隱藏在網絡上傳輸的消息。解密能夠從消息的加密副本中 恢復原始消息。數字籤名使用戶能夠電子地給文件籤名。形成數字籤名 包括公共密鑰密碼系統中的加密。該系統採用一種算法，該算法使用兩 種不同的但在數學上相關的"密鑰"， 一個用於創建數字籤名，另一個用 於驗證數字籤名。經常將利用這兩種密鑰的計算機設備和軟體共同地稱 為"非對稱密碼系統"。
用於數字籤名的非對稱密碼系統的互補密鑰稱為私人密鑰和公共密 鑰。籤名者使用私人密鑰創建數字籤名。理論上，只有該籤名者能夠訪 問他的私人密鑰。公共密鑰通常為更多人所知。依賴於籤名的一方使用 公共密鑰來驗證數字籤名。儘管該對密鑰在數學上相關，但是從公共密 鑰導出私人密鑰在計算上是不可行的。因此，儘管很多人可能知道特定 籤名者的公共密鑰，並且能夠使用它驗證籤名者的籤名，但是他們不能 訪問籤名者的私人密鑰，偽造籤名者的數字籤名。這是"不可逆性"原 則。
用於創建和驗證數字籤名的基本處理是"雜湊函數"。雜湊函數是一
種算法，它創建一種採用"雜湊結果"形式的數字表示或"指紋"。該雜 湊結果通常比消息小很多，然而對消息而言基本是唯一的。使用籤名者 私人密鑰加密這個雜湊結果，創建數字籤名。在使用相同雜湊函數時， 消息的任何改變總是產生不同的雜湊結果。對於一種可靠的雜湊函數， 從它的雜湊值導出原始消息在計算上是不可行的。因此雜湊函數使創建 數字籤名的軟體能夠在更少且可預知數量的數據上操作，同時仍舊提供 與原始消息內容的魯棒的證據相關性。
為了對文檔或信息的任何其他項目進行籤名，籤名者首先要精確地 劃定出將要籤名的界限。將要籤名的已劃定界限信息稱為"消息"。然後 籤名者的軟體中的雜湊函數計算出對該消息唯一 的(對於所有實際目的) 雜湊結果。然後籤名者的軟體使用籤名者的私人密鑰將雜湊結果加密成 一個數字籤名。因此，得到的數字籤名對於該消息和創建數字籤名時所 用的私人密鑰來說都是唯一的。
當籤名者發送一個已籤名消息時，同樣發送一個無籤名消息。接受 者通過使用用戶的公共密鑰解密加密的雜湊來驗證該籤名。接受者同樣 對無籤名消息進行雜湊。然後比較兩種雜湊結果。只有當兩種雜湊結果 相同時，籤名才通過驗證。雜湊結果相同意味著，經發送者籤名的消息 是接受者所接收的那條消息。然後，發送者不能否認他對接受者接收並 驗證了的消息進行過籤名。數字籤名的驗證者必須確信該籤名是特定人 員做出的。這種保證由值得信任的第三方給出，第三方籤發證書，該證 書證明能夠使用證書中指定的公共密鑰驗證的籤名屬於證書中標明的一 方。
因此，許多應用程式必須具有密鑰以對文檔、文件和數據塊進行加 密和籤名。需要管理和生成這些密鑰的方法。

發明內容
本發明提供用於管理和生成用於加密的密鑰的系統、方法和介質。 在一個實施例中，加密密鑰管理系統包括密鑰管理器。該密鑰管理器確 定是否授權請求一個或多個密鑰的應用程式接收所請求的一個或多個密
鑰，如果授權，那麼產生一個發送到應用程式的密鑰映射。該系統包括 在可預定的時間對至少一個密鑰生成事件進行調度的密鑰調度器。密鑰 生成器在所調度的密鑰生成事件中生成密鑰。生成的密鑰與密鑰集和密 鑰集組相關聯。密鑰集包括一個或多個密鑰，密鑰集組包括一個或多個 密鑰集。密鑰存儲器存儲生成的密鑰連同該密鑰的屬性，使得每個密鑰 與該密鑰的一組屬性相關聯。密鑰屬性可以包括別名、版本和該密鑰所 屬密鑰集的名稱。
實施例包括一種用於管理和生成密鑰的方法。該方法包括從應用程 序接收對提供與密鑰集或密鑰集組相關聯的密鑰的調用。 一個密鑰集包 括至少一個密鑰， 一個密鑰集組包括至少一個密鑰集。該方法包括確定 應用程式是否在針對關聯密鑰集或密鑰集組指定的範圍內。如果應用處 在指定範圍內，則產生與該密鑰集或密鑰集組相關聯的密鑰的映射。該 方法還包括，根據可指定的調度，生成包含在密鑰集或密鑰集組中的密 鑰。
本發明的另 一個實施例提供了 一種包括指令的電腦程式產品，該 指令在數據處理系統中執行時，有效地使系統完成一 系列用於管理和生 成加密密鑰的操作。這一 系列操作通常包括從應用程式接收提供密鑰集 或密鑰集組中的 一個或多個密鑰的請求。操作還包括確定應用程式是否 在針對密鑰集或密鑰集組指定的範圍內。如果應用在指定範圍內，則這 一系列操作包括產生所請求密鑰的映射。範圍被定義為各種不同的分組，
例如進程(Java進程)、節點(在一個特定機器上的所有Java進程)、節 點分組(多於一個節點)、集群(與一個特定應用相關的一組Java進程)， 或小區(包括整個環境的一組節點)。指定範圍可以是這些中的任何一種。 基於指定範圍，這確定密鑰集或密鑰集組的用於隔離目的的可見性。該 才喿作還包括根據預定調度生成密鑰集的新密鑰。相應地，映射可以包括 最新生成的密鑰和較舊的密鑰。


通過閱讀下列詳細描述和參考附圖，本發明的優點將變得很明顯，
附圖中相似的參考標號可以指示相似的單元。
圖1描述了網絡中的數字系統的實施例；該數字系統能夠執行加密 密鑰管理軟體。
圖2描述了與接口模塊通信的加密密鑰處理器的實施例。 圖2A描述了密鑰管理器的框圖。
圖3描述了用於獲取應用程式所請求密鑰的實施例的流程圖。 圖4描述了用於調用和選擇密鑰的接口模塊的操作的實施例的流 程圖。
圖5描述了根據調度生成新密鑰的實施例的流程圖。
具體實施例方式
下面是對附圖中所述的本發明示例性實施例的詳細描述。如此詳細 的示例性實施例是為了清楚地揭示本發明。然而，提出大量詳細描述的 意圖不是要限制實施例的預期變化；而正相反，這樣做的意圖是覆蓋落 入由所附權利要求定義的本發明的精神和範圍內的所有修改、等效形式 以及替代方案。為了將不同實施例清楚地呈現給本領域普通技術人員， 設計了下面的詳細描述。
公開了用於管理和生成加密密鑰的系統、方法和介質。在一個實施 例中，處理器執行加密密鑰處理計算機代碼，以接收來自應用程式的密 鑰請求。處理器確定發出請求的應用程式是否在經授權接收所請求密鑰 的機器範圍內的節點或伺服器上執行。如果是這樣，處理器產生一個密 鑰映射並將密鑰映射發送到應用程式，使應用程式能夠獲得密鑰映射中 的一個或多個密鑰。根據可指定的調度自動更新密鑰。因此，應用程式 可以接收最新和/或較舊的密鑰。可以根據調度生成密鑰，以確保密鑰足 夠新，使得沒有暴力攻擊可以將它們計算出來。這種4乘作也允許系統更 有規律地改變密鑰，這可以實現更短的密鑰長度，改進加密性能，並仍 維持高安全級別。
圖1示出了一種數字系統116 (本文中有時稱為機器)，例如根據本 發明一種實施例實現的計算機或伺服器。數字系統116包括處理器100,該處理器能夠根據BIOS(基本輸入/輸出系統)代碼104和，作業系統(OS ) 代碼106進行操作。將BIOS代碼和OS代碼存儲在存儲器108中。BIOS 代碼典型地存儲在只讀存儲器(ROM)上，OS代碼典型地存儲在計算 機系統116的硬碟驅動器上。數字系統116包括物理地接近處理器100 而定位的二級(L2)高速緩衝存儲器102。存儲器108也存儲供處理器 100執行的其他程序，並存儲數據109。
在一個實施例中，存儲器108存儲用以管理和生成加密密鑰的計算 機代碼107,下文將對其進行描述。這種計算機代碼引起處理器執行指 令，完成多種加密密鑰管理和加密密鑰生成功能。例如，處理器100執 行代碼，以產生密鑰集或密鑰集組中的一組密鑰。處理器100也執行代 碼，以將密鑰和它的各種屬性相關聯。處理器100也執行代碼，以確定 調用密鑰的應用是否在指定範圍內。處理器100也確定密鑰生成事件的 時間。
處理器100包括片上一級(Ll)高速緩衝存儲器190、指令獲取程 序130、控制電路160以及執行單元150。 一級高速緩沖存儲器190接收 並存儲接近執行時間的指令。指令獲取程序130從存儲器中獲取指令。 執行單元150完成指令調用的操作。在一個實施例中，這些指令包括用 於識別接口模塊所命名密鑰集或密鑰集組的指令。這些指令引起處理器 100確定是否授權發出請求的應用程式接收所請求的密鑰。這些指令還 S1起處理器100從密鑰存儲器中獲取所請求密鑰並由此產生密鑰映射。
執行單元150可以包括載入/存儲單元、整數算術/邏輯單元、浮點 算術/邏輯單元以及圖形邏輯單元。每個執行單元包括完成指令獲取程序 130所獲取指令的執行中各步驟的各級。在超標量架構中，不同執行單 元並行地操作。因此，執行單元150包括一組不同類型的才喿作單元，這 些操作單元並行地執行指令，實現加密密鑰管理處理。
控制電路160控制指令獲取程序130和執行單元150。控制電路160 也從執行單元150接收與控制決定相關的信息。例如，在執行管道 (pipeline )中發生數據高速緩衝存儲器丟失的情況下，通報控制電路160 處理暫停。 數字系統116還典型地包括其他沒有示出的組件和子系統，例如 可信平臺模塊、存儲器控制器、隨機訪問存儲器(RAM)、外圍設備驅 動器、系統監視器、鍵盤、彩色視頻監視器、 一個或多個軟盤驅動器、 一個或多個可移動非易失性介質驅動器例如硬碟硬體驅動器、CD和 DVD驅動器、指針設備例如滑鼠以及網絡接口適配器等等。數字系統 116可以包括個人計算機、工作站、伺服器、大型計算機、筆記本計算 機或膝上式計算機、桌上型計算機，等等。處理器100還可以經由輸入/ 輸出裝置IIO與伺服器112通信。伺服器112連接系統U6與其他計算 機和伺服器114。因此，數字系統116可以在一個計算機網絡中，例如 網際網路和/或局域內部網。此外，伺服器112可以控制對其他存儲器的訪 問，包括磁帶驅動器存儲器、硬碟陣列、RAM、 ROM,等等。
因此，在數字系統116的一種操作模式中，L2高速緩衝存儲器從存 儲器108中接收數據和指令，準備在處理器100的處理器管道中處理這 些數據和指令。L2高速緩沖存儲器102是快速存儲器，物理地接近處理 器100以獲得更快的速度。L2高速緩沖存儲器從存儲器108中接收用於 多個指令線程的指令。這種指令可以包括載入和存儲指令、分支指令、 算術邏輯指令、浮點指令，等等。Ll高速緩衝存儲器190位於處理器中， 包含優選地從L2高速緩衝存儲器102中接收的數據和指令。理論上， 隨著時間接近程序指令的執行時間，將連同數據(如果存在) 一起傳遞 指令，首先傳遞到L2高速緩衝存儲器，然後隨著執行時間的臨近，傳 遞到Ll高速緩衝存儲器。
執行單元150執行從L1高速緩沖存儲器190中接收到的指令。執 行單元150的每個單元適合執行一組指定指令。將指令提交到並行執行 的不同執行單元。可在整數寄存器文件和浮點寄存器文件(沒有示出) 中存儲和存取執行單元150處理的數據。存儲在這些寄存器文件中的數 據也可以來自或被傳送到板上Ll高速緩衝存儲器190或者外部高速緩 沖存儲器或存儲器。處理器可以通過執行載入指令將數據從存儲器例如 Ll高速緩衝存儲器中載入到處理器寄存器。處理器可以通過執行存儲指 令將數據從寄存器存儲到存儲器。
數字系統116將具有它自己的存儲器，用於存儲它的作業系統、 BIOS、執行應用程式代碼、加密密鑰處理代碼以及文件和數據。計算機 的存儲器包括只讀存儲器(ROM)、以DRAM和SRAM實現的高速緩 衝存儲器、硬碟驅動器、CD驅動器和DVD驅動器。伺服器也具有它自 己的存儲器，並可以控制對其他存儲器例如磁帶驅動器和硬碟陣列的訪 問。每個計算機可以存儲和執行它自己的應用程式。 一些應用程式，例 如資料庫，可以駐留在伺服器中。因此，每個計算機可以訪問存儲在服
務器中的同一資料庫。另外，每個計算機可以經由伺服器訪問其他存儲 器。
機器116可以存儲用於管理和生成密鑰的計算機代碼107。處理器 100執行這些計算機代碼，以生成、指定和提供對根據調度所生成的加 密密鑰的限制訪問。圖2示出了用於管理、生成，和傳送密鑰的實施例 的框圖。這裡有一個用於管理和生成加密密鑰的加密密鑰處理器200。 還有一個與加密密鑰處理器200通信的接口模塊250。加密密鑰處理器 是這樣一個處理器，它執行用於管理和生成加密密鑰並將這些密鑰傳送 到發出請求的接口模塊的計算機代碼。接口模塊是由處理器執行以在運 行中的應用程式和系統的剩餘部分之間提供接口的計算機代碼。在操作 期間，使用接口模塊的應用程式可以從加密密鑰處理器中請求用於加密 和/或數字籤名的加密密鑰。
在一個實施例中，由執行接口模塊軟體的同 一處理器執行加密密鑰 處理軟體。加密密鑰處理器在後臺操:作。在另一個實施例中，加密密鑰 處理軟體在一個數字系統的處理器上運行，而接口模塊軟體在另一個數 字系統的處理器上運行。因此，加密密鑰處理器能夠管理多個其他計算 機和伺服器的密鑰並確定將所請求的密鑰授予哪些計算機和伺服器。
加密密鑰處理器200包括密鑰管理器202。密鑰管理器202完成涉 及生成和管理密鑰的多個功能。密鑰管理器202的 一 項功能是根據系統 管理員的規定將密鑰與它們各自的屬性相關聯。密鑰屬性包括密鑰所屬 密鑰集的名稱、密鑰的別名、密鑰口令、跟蹤的密鑰參考(key reference) 的數量、密鑰的訪問範圍，等等。通過接口模塊從應用中接收對一個或
多個密鑰的請求時，調用由密鑰管理器202執行的方法，以產生指定密 鑰集或密鑰集組中的可用密鑰的映射。但是首先，密鑰管理器202確定 是否授權發出請求的機器接收一個或多個所請求的密鑰。如果是這樣， 那麼產生可用密鑰映射。然後接口模塊250在映射中識別出它所需的密 鑰。如果發出請求的機器不在請求密鑰的指定範圍內，那麼密鑰管理器 202將"請求未授權"的消息發送到發出請求的接口模塊。
密鑰存儲器204存儲密鑰和密鑰別名。密鑰存儲器204可以存儲至 少兩類密鑰。 一類是用於加密和解密數據的單一密鑰。這類密鑰這裡稱 為秘密密鑰。密鑰存儲器204也存儲公共/私人加密系統的密鑰對。在這 樣一個系統中，密鑰對中的一個密鑰是私人密鑰，密鑰對中的另一個密 鑰是公共密鑰。私人密鑰的擁有者秘密保存私人密鑰並使用它對數據進 行加密和/或籤名。公共密鑰比私人密鑰更廣泛地為人所知並能夠用於解 密數據和驗證籤名。密鑰存儲器204也存儲由密鑰管理器202關聯到每 個密鑰的屬性。這些屬性包括密鑰別名、密鑰集名稱，和密鑰集組名稱。 應該注意，密鑰存儲器204可以是執行加密密鑰軟體的同 一機器中的存 儲器，如圖2中示出的那樣，或者密鑰存儲器可以是位於另一個機器中 的存儲器。如果是遠程的密鑰存儲器，密鑰管理器具有密鑰存儲器所處 遠程機器的相關信息，以進行對密鑰存儲器的遠程調用，並獲取所需密 鑰。
密鑰管理器202能夠調用對一個秘密密鑰或一個公共/私人密鑰對 的生成。通過密鑰生成器206完成密鑰或密鑰對的生成。根據調度器208 實現的調度，通過調用密鑰生成器206生成新的密鑰。根據從密鑰管理 器202中接收的頻率說明，調度器208確定下一次密鑰生成事件的時間。 當到達密鑰生成事件的時間時，調度器208引起密鑰生成器206生成新 的密鑰並將這個事件通報密鑰管理器202。
密鑰生成器206可以包括生成秘密密鑰的第一密鑰生成器，和生成 公共/私人密鑰對的第二密鑰生成器。換句話說，秘密密鑰和公共/私人 密鑰對是由兩種不同算法生成的。密鑰存儲器204從密鑰生成器206中 接收密鑰並存儲它們。根據由被授權人指定的參數所確定的調度，密鑰
管理器202定期地調用密鑰生成器206。因此，在一個實施例中，^皮4受 權人能夠指定頻率(密鑰生成事件間隔多少天)，並在該周該天該時生成 新的密鑰。
如上所述，加密密鑰處理200能夠在完成接口模塊處理250的同一 機器中完成，或者在不同的機器中完成。接口模塊250的處理通過例如 圖1中所示的處理器完成。接口模塊250.包括密鑰集助手252和密鑰集 組助手254。密鑰集助手252是用於獲得對密鑰集中密鑰的訪問的處理。 密鑰集組助手254是用於獲得對密鑰集組中密鑰的訪問的處理。例如， 密鑰集助手254可以代表上層(overlaying)應用程式請求秘密密鑰的最 新版本。接口模塊250將這個請求發送到加密密鑰處理器200。密鑰管 理器202確定是否授權發出請求的應用程式接收所請求的密鑰。然後密 鑰管理器202可以獲取所請求密鑰的最新版本。在一個實施例中，接口 模塊能夠請求較早版本的密鑰，密鑰管理器能夠傳送較早版本的密鑰。 被授權人指定加密密鑰處理所跟蹤的較早版本號。這樣使得應用程式可 以解密利用舊密鑰加密的數據。
因此，加密密鑰處理器管理加密密鑰。加密密鑰處理器從應用程式 中接收對得到密鑰方法的調用。對得到密鑰方法的調用指定了密鑰集或 密鑰集組的名稱。每個密鑰集具有至少一個密鑰，每個密鑰集組具有至 少一個密鑰集。在執行得到密鑰方法之前，加密密鑰處理器確定發出請 求的應用程式是否在針對命名密鑰集或密鑰集組所指定的範圍內。如果 應用程式在指定範圍內，那麼加密密鑰處理器產生所請求密鑰的映射。 例如， 一個得到密鑰方法調用一個密鑰集組中的所有密鑰。加密密鑰處 理器將因此產生該密鑰集組中所有密鑰的映射。將這種映射通過接口模 塊發送到應用程式。然後應用程式能夠在映射中選擇任何一個或多個密 鑰。
密鑰集由密鑰參考組成。密鑰參考(key reference)使用別名指代實 際加密密鑰。別名是密鑰的速記名稱。每個密鑰具有指代它的別名。將 實際密鑰存儲在密鑰存儲器中，並通過調用密鑰別名獲取密鑰。下列代 碼塊指定了密鑰對密鑰集。
〈keySets
這個代碼塊創建或指定一個密鑰集並通過名稱標識該密鑰集。該代 碼也指定一個別名前綴。將別名前綴加在密鑰別名前。因此，密鑰集中 的密鑰將與指定前綴相關聯。
下列塊指定了口令，所跟蹤的密鑰參考的最大數量，以及指示是否 刪除舊密鑰的屬性。
password:" {xor} HRYNFAtrbxEwOzpvbhw6MzM="
maxKeyReferences="2"
delete01dKeys="true"
可以在KeySet級別上指定口令，然後該密鑰集中所有密鑰具有相同 的口令，或者在KeyReference級別上指定口令，然後每個密鑰具有與之 關聯的口令。maxKeyReferences屬性指定任何給定時間所跟蹤的密鑰參 考的最大數量。這個變量存儲需要跟蹤的密鑰的數量。 一旦達到需要跟 蹤的密鑰的最大數量，則在下一次密鑰生成事件上，移除最舊的密鑰參 考並增加一個新的密鑰參考。例如，在maxKeyReference是2時，在任 何時間點上密鑰集將只有兩個密鑰參考。如果deleteOldKeys屬性是真， 則將從KeyStore屬性涉及的KeyStore中移除舊密鑰。KeyStore屬性指 定密鑰存儲的密鑰存儲器。
下列塊指定了密鑰類型，確定密鑰集的密鑰存儲器位置。
keyGenerationClass-"com.ibm.ws.security.ltpa.LTPAKeyPairGenerator"
keyStore="KeyStore—BIRKT40Node0 1 一3"
keyGenerationClass屬性涉及的應用特定類生成密鑰。取決於 isKeyPair屬性是真或假，該類實現KeyGenerator或KeyPairGenerator接。
下列塊指定了管理範圍。
〈managementScopes
scopeName="(cell):BIRKT40NodeO 1 Cell:(node):BIRKT40NodeO 1"
scopeType="node'V>
通過KeySet指定的管理範圍指向KeySet對其可見的節點的小區名 稱和節點名稱。這個可見性具有繼承特性以使節點的任何成員(應用服 務器)能夠查看這些密鑰。但是，其他節點的成員不能查看這些密鑰。 在一個實施例中，管理範圍能夠設置為一個單一伺服器。
下列塊指定了涉及別名的密鑰
〈keyReference version="87>
〈keyReference/>
這兩個代碼塊分別通過指定密鑰參考、密鑰別名和密鑰版本指定密 鑰。當生成一個新密鑰時，密鑰參考中的版本#遞增，aliasPrefix屬性將 存儲在KeyStore中此處的密鑰別名加上前綴。因此，密鑰集由密鑰參考 組成。密鑰參考使用別名指代實際加密密鑰。別名是密鑰的速記名稱。 每個密鑰具有指代它的別名。將實際密鑰存儲在密鑰存儲器中，並通過 調用密鑰別名獲取密鑰。
</keySets〉
這使指定密鑰對集的代碼塊結束。 下列代碼塊指定了秘密密鑰密鑰集。
〈keySetsxmi:icN"KeySet一BIRKT40Node01一2"
keyGenerationClass="com.ibm.ws.security.ltpa.LTPAKeyGenerator"> 〈keyReference
version="8'V>
〈keyReference
version="97>

能夠將密鑰集分組到一起並將其當作一個單個實體管理。將其稱為 KeySetGroup,由下列代碼塊定義
<keySetGroupsxmi:id="KeySetGroup—BIRKT40Node01」"
name="NodeLTPAKeySetGroup"
autoGenerate-"true"
這個代碼創建或指定一個密鑰集組並通過名稱標識該密鑰集組。 autoGenerate屬性指定是否根據調度生成一個取代密鑰以取代某個密鑰。 下列塊指定了涉及調度對象的屬性。 下列塊指定了哪些密鑰集屬於這個組。
keySet="KeySet—BIRKT40Node01—lKeySet一BIRKT權ode01一2"
下列塊指定了密鑰集組中密鑰的訪問範圍。
managementScope="ManagementScope—BIRKT40NodeO 1—1 7>
因此，上面定義的KeySetGroup本身具有範圍，但必須至少與其組 內的KeySet相同或比其更特定(例如，節點範圍內的KeySetGroup不能 包含伺服器範圍內的KeySet)。在一個實施例中，為了配置自動密鑰生 成，KeySet必須是KeySetGroup的一個成員。KeySetGroup可以包含一 個或多個KeySet。
wsSchedule屬性涉及調度對象，調度對象確定開始下一次密鑰生成 事件的時間。KeySetGroup的密鑰生成事件調用每個密鑰集 keyGenerationClass的generateKey或generateKeyPair方法。這才羊將只t每 個KeySet產生一個新版本密鑰(潛在地，最舊的版本不再是密鑰集的一 部分)。下面示出了一個調度例子
〈wsSchedules name-"LTPAKeySetGenerationSchedule"
ftequency="90"
nextGenerationTime=" 1136174401335"/>
這能夠用於生成下一次密鑰生成事件發生的將來日期。在 nextGenerationTime屬性中這個日期持續存在。 一旦這個日期和時間逝 去，則基於頻率 一周中的哪天、小時和分鐘，生成一個新的日期和時 間。
當isKeyPair的屬性是"真"，keyGenerationClass實現KeyPair生成 接口。這用來生成典型地用於籤名的公共/私人密鑰對。該密鑰對能夠是 一個java.security.PublicKey和一個java.security.Private key。 或者該密鑰 -寸能句多是^個java.security.cert.Certificate (包含java.security.PublicKey ) 和一個java.security.PrivateKey。因此，存在一個密鑰對生成方法
generateKeyPair;
無論是根據調度時間還是手動請求，必須生成密鑰對時，密鑰管理 器執行這個方法。類似地，存在一個秘密密鑰生成方法 generateKey(》 一種關聯的方法是
void init(java.util.Properties customProps).
密鑰管理器執行這個方法，將為密鑰集配置的任何定製特性傳遞到 接口模塊。下列代碼行是指定定製特性的例子

properties/>
這些例子中第 一個特性說明將密鑰長度特性指定具有密鑰長度值 1024。第二特性說明指定生成密鑰所用的算法，在這種情況中是RSA (RSA是一種按發明人Rivest， Shamir,和Adleman命名的算法)。required 屬性指出是否必須指定數值。
圖2A示出了密鑰管理器202的框圖，它包括上述的生成密鑰224 和生成密鑰對222方法。密鑰管理器202還包括從密鑰存儲器中取回所 請求密鑰的方法。因此，密鑰集組助手將調用下列方法，密鑰管理器將 執行下列方法，以獲得密鑰集組中所有密鑰的密鑰映射
getAllKeysForKeySetGroup (element 226);
其通過下列調用實現
public java,util.Map getAllKeysForKeySetGroup(java,lang.String keySetGroupName) throws KeyException， java.lang.SecurityException
再次強調，密鑰集組包含一個或多個密鑰集中每個密鑰集的密鑰。 每個密鑰集具有一個或多個密鑰。在這個方法的調用中，密鑰集組助手 必須指定密鑰集組名稱。加密密鑰管理器確定調用該方法的接口模塊是 否在指定密鑰集組的管理範圍內。
指定組中的密鑰是秘密密鑰和/或公共/私人密鑰對。當 一個秘密密 鑰返回到接口模塊時，接口模塊不識別密鑰類型或算法。它只將密鑰從 密鑰管理器傳遞到應用程式。應用程式了解密鑰類型和算法以便使用。
根據版本分類的映射中的密鑰例子為
{version—2={ LTPASecret—2=javax.crypto,spec,SecretKeySpec@16833, LTPAKeyPair—2=com.ibm.websphere,crypto.KeyPair@5e225e22}， version—3={ LTPASecret_3=javax,crypto.spec.SecretKeySpec@ffie8b59，
LTPAKeyPair—3=com.ibm.websphere,crypto.KeyPair@lceclcec}， version—4= { LTPAKeyPair—4=com.ibm.websphere.crypto.KeyPair@5bd45bd 4， LTPASecret—4=javax,crypto.spec.SecretKeySpec@1781d}}
該方法返回密鑰集組內密鑰集中密鑰的密鑰參考的映射。每個條目
具有一個密鑰別名(例如LTPAKeyPai匸2)，和一個密鑰。在一個實施例 中，雜湊別名以產生一個雜湊對象。將該映射發送到接口模塊，接口模 塊將映射傳輸到運行在與接口模塊相同處理器上的上層應用程式。在接 收到該映射後，應用程式能夠搜索這種映射，選擇出想要的密鑰。例如， 如果應用程式想要組中最舊的秘密密鑰，而目錄是按照時間次序列出的， 那麼它將簡單地選擇目錄中第一個秘密密鑰條目。
密鑰集組助手將調用下列方法，密鑰管理器將執行下列方法，以獲 取密鑰集組中最新密鑰。
getLatestKeysForKeySetGroup (dement 228); 密鑰集組具有組內密鑰的最新版本，還可以保留組內密鑰的較早版
本。這種方法只返回最新密鑰的密鑰參考的映射。這些參考的例子是 {LTPAKeyPair4=com. ibm .websphere .crypto .KeyPair@5 bd4 5 bd4， LTPASecret_4=javax.crypto.spec.SecretKeySpec@l 781 密鑰集助手將調用下列方法，密鑰管理器將執行下列方法，以獲取
密鑰集中所有密鑰。
getAUKeysForKeySet (element 230》 這種方法返回密鑰集中所有密鑰的映射。名為"CellLTPASecret"的 KeySet中密鑰的例子是
{LTPA Secret—2=j avax crypto. spec S ecretKey Spec@ 16833， LTPASecret—3=javax.crypto.spec.SecretKeySpec@fffe8b59，} 名為"CellLTPAKeyPair"的KeySet中密鑰的例子是 {LTPAKeyPair—4=com.ibm.websphere.crypto.KeyPair@5bd45bd4， LTPAKeyPair—2=com.ibm.websphere.crypto.KeyPair@5e225e22， LTPAKeyPair—3=com.ibm.websphere.crypto.KeyPair@lceclcec} 密鑰集組助手將調用下列方法，密鑰管理器將執行下列方法，以得 到密鑰集組中最新密鑰。
getLatestKeyForKeySet (element 232); 取決於KeySet類型，這種方法返回一個包含Java安全密鑰實例或 IBMwebsphere.crypto密鑰對實例的對象。因此，該方法能夠返回一個秘 密密鑰或一個密鑰對。密鑰對可以是一個公共密鑰和一個私人密鑰或一 張證書和一個私人密鑰。這種方法返回的對象格式可以取決於密鑰類型。 名為"CellLTPASecret"的KeySet中最新密鑰的例子是
javax.crypto.spec.SecretKeySpec@1781 d
名為"CellLTPAKeyPair"的KeySet中最新密鑰的例子是 com.ibm.websphere.crypto.KeyPair@5bd45bd4
圖3示出了如上述加密密鑰處理器操作的流程圖300的實施例。加 密密鑰處理器從接口模塊接收對得到密鑰集或密鑰集組中密鑰方法的調 用(單元 302 )。 例如，接口模塊可以調用方法 getLatestKeysForKeySetGroup以得到密鑰集組中的最新密鑰。當激活 Java2安全時，調用這種方法的訪問要求許可(單元304)。如果沒有授 予許可，密鑰管理器將一個錯誤返回到發出請求的接口模塊(單元308 )。 如果授予許可，密鑰管理器確定發出請求的機器是否在訪問所請求密鑰 的機器的指定管理範圍內(單元306)。因此，例如， 一個執行應用程式 的伺服器可以是節點的一部分，在所請求密鑰的管理範圍屬性中指定了 該節點。如果是這樣，加密密鑰處理器將進入4丸行所調用的得到密鑰方 法的步驟(單元310)。如果不是這樣，密鑰管理器將一個錯誤返回到接 口模塊(單元308)。
將要執行(單元310)的所調用的得到密鑰方法可以是多個得到密 鑰方法中的一個，包括上述那些方法。執行所調用的得到密鑰方法，產 生該得到密鑰方法所指定密鑰集或密鑰集組中的密鑰的映射。在一個實 施例中，對這種映射的元素一 包含所請求密鑰的密鑰參考一進行雜湊， 以產生雜湊映射(單元312)。加密密鑰管理器將該映射發送到接口模塊 (單元314)，接口模塊將該映射傳遞給應用程式。然後應用程式從該映 射中選擇一個或多個想要的密鑰。例如，應用程式從該映射中選擇一個 給定別名的密鑰。或者應用在該映射中搜索一個秘密密鑰或公共/私人密 鑰對的特定版本。
圖4示出了接口模塊和使用該接口模塊的應用程式的操作的流程圖 400的實施例。當應用程式需要一個密鑰時，應用程式指定密鑰所屬的 密鑰集或密鑰集組的名稱(單元402)。接口模塊的密鑰集組助手或密鑰 集助手將調用一個得到密鑰方法，它傳送指定密鑰集組或密鑰集或者指 定密鑰集組或密鑰集的子集的映射(單元404)。響應於調用的得到密鑰 方法，密鑰管理器將傳送一個結果，接口模塊將接收一個結果，在一個
實施例中，該結果可以是一個錯誤或所請求的密鑰映射(單元406)。
如果密鑰管理器返回一個錯誤(單元408 )，應用程式處理該錯誤(單 元410)。處理錯誤可以包括在視頻監視器上顯示一個窗口，窗口包含一 個消息例如"拒絕許可"。如果密鑰管理器返回一種映射，密鑰集助手或 密鑰集組助手將該映射傳遞到應用程式。應用程式在密鑰管理器提供的 映射中查找想要的密鑰(單元412)。然後，應用程式從映射中選出想要 的一個或多個密鑰(單元414)。例如，應用程式可以首先選擇最舊的秘 密密鑰以解密一個文件。然後，應用程式可以選擇最新的密鑰對以對一 個文檔進行數字籤名。
圖5示出了調度密鑰生成的流程圖500的實施例。在加密密鑰處理 器軟體執行的開始，接收並執行密鑰生成頻率語句，確定生成新密鑰的 指定頻率(單元502)。利用這個信息，加密密鑰處理器計劃下一次密鑰 生成事件(單元504)。系統監控時間(單元506)以確定現在是否到了 發生密鑰生成事件的時間(單元508)。如果不是，系統繼續監控時間(單 元506)。否則，密鑰管理器調用生成密鑰方法(單元510)。密鑰管理器 將新生成的密鑰連同它們的屬性存儲到密鑰存儲器中(單元512)。
因此，幾個並發和相關的處理發生在操作期間。在操作的一方面， 處理器接收得到密鑰的調用，確定是否授權提出調用的應用程式接收密 鑰，生成密鑰映射，並將該映射傳輸到提出調用的應用程式。在操作的 另一方面，接口模塊調用一個得到密鑰方法並接收密鑰映射。然後應用 程序在密鑰映射中選擇一個或多個想要的密鑰。在操作的第三方面，處 理器調度密鑰生成事件並監控時間，確定密鑰生成事件將要發生的時間。 在一次密鑰生成事件中，可以為一個或多個密鑰集中的每一個密鑰集生 成新密鑰。
本發明能夠利用完全硬體實施例的形式、完全軟體實施例的形式或 者包括硬體單元和軟體單元的實施例的形式。在一個實施例中，本發明 用包括但不限於固件、常駐軟體、微代碼等軟體來實施。另外，實施例 能夠採用機器可訪問讀取介質中獲取的電腦程式產品的形式，該介質 提供用於由如圖1所示計算機或者任何指令執行系統使用或者與該計算
機或者指令執行系統結合使用的程序代碼。出於本說明書考慮，機器可 訪問或計算機可用或者計算機可讀介質能夠是任何如下有形裝置，該有 形裝置能夠包含、存儲、通信、傳播或者傳送用於由指令執行系統、裝 置或者設備使用或者與該指令執行系統、裝置或者設備結合使用的程序。 介質能夠是電、磁、光、電磁、紅外線或者半導體系統(或者裝置或者 設備)或者傳播介質。計算機可讀介質的例子包括半導體或者固態存儲
器、磁帶、可移動計算機盤、隨機存取存儲器(RAM)、只讀存儲器 (ROM)、剛性磁碟和光碟。光碟的當前例子包括光碟只讀存儲器 (CD-ROM )、光碟讀/寫(CD-R/W)和DVD。
適合於存儲和/或執行程序代碼的數據處理系統將包括直接地或者 通過系統總線間接地耦合到存儲器單元的至少一個處理器。存儲器單元 能夠包含在程序代碼的實際執行期間利用的本地存儲器108、大容量存 儲器和高速緩存存儲器102、 190，這些高速緩存存儲器提供對至少一些 程序代碼的臨時存儲以便減少在執行期間必須從大容量存儲器獲取代碼 的次數。輸入/輸出或者I/0設備(包括但不限於鍵盤、顯示器、指示設 備等)能直接地或者通過居間I/O控制器耦合到系統。網絡適配器也可 以耦合到系統以使數據處理系統能夠變為通過居間專用或者公共網絡耦 合到其它數據處理系統或者遠程印表機或者存儲設備。數據機、有 線數據機和乙太網卡只是當前可用網絡適配器類型的數個例子而 已。因此，本發明的另一個實施例提供了一種包含有效指令的計算機程 序產品，該指令在數據處理系統中執行時，引起系統完成一系列用於管 理加密密鑰的操作。這系列操作通常包括從應用程式中接收對提供密鑰 集或密鑰集組中一個或多個密鑰的請求。一個密鑰集包括至少一個密鑰， 一個密鑰集組包括至少一個密鑰集。操作包括確定應用程式是否在針對 密鑰集或密鑰集組指定的範圍內。如果應用在指定範圍內，那麼這一系 列操作包括產生所請求密鑰映射。這一 系列操作還包括根據預定調度為 密鑰集生成新密鑰。
操作還可以包括存儲每個密鑰的版本號並將密鑰的版本號與密鑰相 關聯。因此，可以通過別名前綴和版本號識別密鑰。操作還可以包括從
應用程式指定的密鑰集或密鑰集組中得到最新密鑰。該範圍可以指定一 個授權接收所請求密鑰的節點或伺服器，在操作期間應用程式必須常駐 其中。在一些實施例中，與密鑰集組相關聯的範圍至少如與密鑰集組內 密鑰集相關聯的最小範圍 一樣小。
儘管根據一些實施例詳細描述了本發明及其優勢，但是應該明白在 不脫離如所附權利要求所定義的本發明精神和範圍的情況下，在這裡能 夠做出不同的改變、替代和改造。儘管本發明的一個實施例可以達到多 重目標，但是不是每一個落在所附權利要求範圍內的實施例都能達到每 一個目標。此外，本發明應用範圍並不意圖限於說明書中所述的處理、 機器、製造、合成物、裝置、方法和步驟的特定實施例。本領域普通技 術人員從本發明公開內容中將容易地明白，根據本發明可以利用現有的 或以後將開發出來的處理、機器、製造、合成物、裝置、方法和步驟， 它們完成與這裡所述相應實施例基本上相同的功能或達到與這裡所述相 應實施例基本上相同的結果。因此，所附權利要求意圖在其範圍內包括 這些處理、機器、製造、合成物、裝置，方法和步驟。
權利要求
1.一種加密密鑰管理系統，包括密鑰管理器，確定是否授權請求一個或多個密鑰的應用程式接收所請求的一個或多個密鑰，並產生所請求密鑰的映射；密鑰調度器，在可預定的時間對至少一個密鑰生成事件進行調度；密鑰生成器，在所調度的密鑰生成事件中生成至少一個生成密鑰，其中所述生成密鑰與密鑰集和密鑰集組相關聯，並且其中密鑰集包括一個或多個密鑰，密鑰集組包括一個或多個密鑰集；以及密鑰存儲器，存儲所述至少一個生成密鑰以及所述密鑰的屬性，使得每個密鑰與所述密鑰的一組屬性相關聯。
2. 根據權利要求1所述的系統，其中所述密鑰管理器確定所述應 用程序是否在針對所述密鑰集指定的範圍內。
3. 根據權利要求2所述的系統，其中所述密鑰管理器確定一個範 圍，以指定被授權接收所請求密鑰的節點或伺服器，在執行期間所述應 用程序必須駐留在所述節點或伺服器中。
4. 根據權利要求2所述的系統，其中所述密鑰管理器確定與密鑰 集組相關聯的範圍，所述範圍至少如與所述密鑰集組內密鑰集相關聯的 最小範圍一樣小。
5. 根據權利要求1所述的系統，其中所述密鑰存儲器存儲密鑰屬 性，所述密鑰屬性包括密鑰集或密鑰集組中每個密鑰的版本號。
6. 根據權利要求1所述的系統，其中所述密鑰管理器確定請求一 個或多個密鑰的所述應用程式的位置是否在針對所述指定密鑰集或密 鑰集組所指定的範圍內。
7. 根據權利要求1所述的系統，其中所述密鑰管理器執行獲取密 鑰集或密鑰集組中所有密鑰的方法。
8. 根據權利要求1所述的系統，其中所述密鑰管理器執行只獲取 密鑰集或密鑰集組中最新密鑰的方法。
9. 一種用於管理加密密鑰的方法，包括 從應用程式接收對提供與密鑰集或密鑰集組相關聯的至少 一個密 鑰的調用，其中一個密鑰集包括至少一個密鑰， 一個密鑰集組包括至少一個密鑰集；確定所述應用程式是否在針對所述關聯密鑰集或密鑰集組所指定 的範圍內；如果所述應用在所述關聯範圍內，那麼產生與所述密鑰集或密鑰集 組相關聯的至少一個密鑰的映射；以及根據可指定的調度，生成至少一個包括在所述密鑰集或密鑰集組中 的密鑰。
10. 根據權利要求9所述的方法，還包括將密鑰與具有版本號的別 名相關聯，其中密鑰集中密鑰的最新版本是根據所述調度最新生成的密 鑰的版本。
11. 根據權利要求IO所述的方法，其中相同密鑰的所有版本具有相 同的別名前綴。
12. 根據權利要求9所述的方法，其中來自應用程式的對提供與密 鑰集組相關聯的密鑰的調用可以是只用以產生密鑰集中最新密鑰的映 射的特定調用。
13. 根據權利要求9所述的方法，其中所述範圍可以指定一個被授 權接收所請求密鑰的節點或伺服器，所述應用程式在請求密鑰時必須駐 留在所述節點或伺服器中。
14. 根據權利要求9所述的方法，其中與密鑰集組相關聯的範圍至 少如與所述密鑰集組內的密鑰集相關聯的最小範圍 一樣小。
全文摘要
公開了一種用於管理和生成加密密鑰的系統、方法和介質。在一個實施例中，處理器執行加密密鑰處理計算機代碼，以從應用程式接收密鑰請求。處理器確定發出請求的應用程式是否在被授權接收所請求密鑰的機器範圍內的節點或伺服器上執行。如果被授權，則處理器產生一個密鑰映射並將密鑰映射發送到應用程式，使應用程式能夠訪問密鑰映射中的一個或多個密鑰。根據可指定的調度自動更新密鑰。
文檔編號G06F21/00GK101169814SQ20071015333
公開日2008年4月30日 申請日期2007年9月17日 優先權日2006年10月26日
發明者A·德邁爾斯, J·L·倫茨, K·D·博特朱姆, M·A·羅西勒斯, P·D·伯克, U·范李, 趙青雲, 鍾顯維 申請人:國際商業機器公司