(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111374083.7 (22)申请日 2021.11.19 (71)申请人 浪潮云信息技 术股份公司 地址 250100 山东省济南市高新区浪潮路 1036号浪潮科技园S01号楼 (72)发明人 刘李豪　田雨　蒋善坤　张栋梁　 高传集　 (74)专利代理 机构 济南信达专利事务所有限公 司 37100 代理人 姜丽洁 (51)Int.Cl. H04L 9/06(2006.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种秘钥轮转方法、 装置及计算机介质 (57)摘要 本发明涉及计算机领域， 具体提供了一种秘 钥轮转方法， 使用openstack 的Barbican组件进 行秘钥管理， 生成可靠的随机秘钥， 并通过xxl平 台定时任务， 指定执行策略， 完成对加密内容的 密钥自动轮转。 与现有技术相比， 本发明秘钥管 理使用openstack 的Barbican组件， 实现了秘钥 与后端的隔离， 保证了秘钥的安全性； 通过xxl定 时任务平台和Barbican组件与后端的通信， 实现 了秘钥轮转的自动化处理， 减少了秘钥管理后端 手动进行秘钥轮转的开销。 权利要求书1页 说明书3页 附图1页 CN 114124352 A 2022.03.01 CN 114124352 A 1.一种秘钥轮转方法， 其特征在于， 使用openstack的Barbican组件进行秘钥管理， 生 成可靠的随机秘钥， 并通过xxl平台定时任务， 指定执行策略， 完成对加密内容的密钥自动 轮转。 2.根据权利要求1所述的一种秘钥轮转方法， 其特 征在于， 具有如下步骤： S1、 在openstack中部署Barbican组件， 初次部署的Barbican组件的核心功能仅对 openstack中 admin用户开放， 只有管理员可使用order和secret的创建功能； S2、 设置秘钥管理执行器， 所述秘钥管理执行器包括Barbican接入模块、 xxl定时任务 handler和秘钥替换模块。 S3、 在进行若干次秘钥轮转迭代后， 仅有最 新的若干版本 秘钥能够完成解密动作。 3.根据权利要求2所述的一种秘钥轮转方法， 其特征在于， 在步骤S1中， 若租户正常使 用order和secret功能， 改变Barbican的policy文件， 将orders:post与secrets:post属性 从rule:admi n_or_creator改为对所有用户开 放的@。 4.根据权利要求3所述的一种秘钥轮转方法， 其特征在于， 在步骤S2中， 所述Barbican 接入模块用于与Barbican之间的通信， 创建秘钥， 所述秘钥存放于Barbican组件的某一 order中， 可通过调用特定 接口获取秘钥明文。 5.根据权利要求4所述的一种秘钥轮转方法， 其特征在于， 所述xxl定时任务handler与 xxl定时任务平台通信， 创建定时任务； 当后端收到指令秘钥开启秘钥轮时， handler即调用xxl定时任务平台接口， 根据cron 表达式， 设置定时任务执行周期， 在到达预先设置的执行时间后， xxl定时任务平台回调 handler， 后端即开始执 行加解密 及秘钥替换动作。 6.根据权利要求5所述的一种秘钥轮转方法， 其特征在于， 所述秘钥替换模块中， 在 handler收到xxl定时任务平台回调的消息后， 秘钥替换模块会获取当前版本密文及秘钥进 行密文解密， 获取加密明文， 同时， 获取明文中设置的秘钥id标识符， 完成这一动作后， 秘钥 替换模块将删除该标识符， 将Barbican接入模块生 成的新秘钥id作为新的标识符添加进秘 钥明文中， 以新 生成的明文 使用新秘钥进行加密， 并进行保存， 至此， 秘钥完成替换。 7.根据权利要求5所述的一种秘钥轮转方法， 其特征在于， 在步骤S3中， 在进行若干次 轮转迭代后， 删除在 Barbican和数据库中早期版本的秘钥及 密文。 8.一种秘钥轮转装置， 其特 征在于， 包括： 至少一个存 储器和至少一个处 理器； 所述至少一个存 储器， 用于存 储机器可读程序； 所述至少一个处理器， 用于调用所述机器可读程序， 执行权利要求1至7中任一所述的 方法。 9.一种计算机可读介质， 其特征在于， 所述计算机可读介质上存储有计算机指令， 所述 计算机指令在被处 理器执行时， 使所述处 理器执行权利要求1至7任一所述的方法。权　利　要　求　书 1/1 页 2 CN 114124352 A 2一种秘钥轮转方 法、 装置及计算机介质 技术领域 [0001]本发明涉及计算机领域， 具体提供一种秘钥轮转方法、 装置及计算机介质。 背景技术 [0002]随着互联网行业的发展,信息安全这个问题也变得越来越重要,如何保护数据的 安全,防止信息泄露,也成为众多互联网厂商正在研究的方向。 作为数据加密的手段， 秘钥 是加密动作的核心， 秘钥安全 才能保证加密数据的安全性。 [0003]以云平台中需要加密服务的对象存储为例， 按照传统模式， 对象存储所使用的加 密秘钥为对象存储本身提供， 秘钥生成效率低， 在出于安全考虑的前提下， 若要对已加密 文 件进行一次密钥轮转， 需要手动获得加密 文件明文， 生成新的秘钥再进 行加密， 在需要加密 的文件数据量较大的情况 下， 传统模式的效率极低。 发明内容 [0004]本发明是针对上述现有技 术的不足， 提供一种实用性强的秘钥轮转方法， [0005]本发明进一 步的技术任务是提供一种设计合理， 安全适用的秘钥轮转装置 。 [0006]第三方面的技 术任务是提供一种计算机介质。 [0007]本发明解决其 技术问题所采用的技 术方案是： [0008]一种秘钥轮转方法， 使用openstack的Barbican组件进行秘钥管理， 生成可靠的随 机秘钥， 并通过x xl平台定时任务， 指定执 行策略， 完成对加密内容的密钥自动轮转。 [0009]进一步的， 具有如下步骤： [0010]S1、 在openstack中部署Barbican组件， 初次部署的Barbican组件的核心功能仅对 openstack中 admin用户开放， 只有管理员可使用order和secret的创建功能； [0011]S2、 设置秘钥管理执行器， 所述秘钥管理执行器包括Barbican接入模块、 xxl定时 任务handler和秘钥替换模块。 [0012]S3、 在进行若干次秘钥轮转迭代后， 仅有最 新的若干版本 秘钥能够完成解密动作。 [0013]进一步的， 在步骤S1中， 若租户正常使用order和secret功能， 改变Barbican的 policy文件， 将orders:post与secrets:po st属性从ru le:admin_or _creator改为对所有用 户开放的@。 [0014]进一步的， 在步骤S2中， 所述Barbican接入模块用于与Barbican之间的通信， 创建 秘钥， 所述秘钥存放于Barbican组件的某一 order中， 可通过调用特定 接口获取秘钥明文。 [0015]进一步的， 所述x xl定时任务handler与x xl定时任务平台通信， 创建定时任务； [0016]当后端收到指令秘钥开启秘钥轮时， handler即调用xxl定时任务平台接口， 根据 cron表达式， 设置定时任务执行周期， 在到达预先设置的执行时间后， xxl定时任务平 台回 调handler， 后端即开始执 行加解密 及秘钥替换动作。 [0017]进一步的， 所述秘钥替换模块中， 在 handler收到xxl定时任务平台回调的消息后， 秘钥替换模块会获取当前版本密文及秘钥进 行密文解密， 获取加密明文， 同时， 获取明文中说　明　书 1/3 页 3 CN 114124352 A 3