CN109525396B - 一种身份秘钥的处理方法、装置和服务器 - Google Patents

一种身份秘钥的处理方法、装置和服务器 Download PDF

Info

Publication number
CN109525396B
CN109525396B CN201811163445.6A CN201811163445A CN109525396B CN 109525396 B CN109525396 B CN 109525396B CN 201811163445 A CN201811163445 A CN 201811163445A CN 109525396 B CN109525396 B CN 109525396B
Authority
CN
China
Prior art keywords
key
identity
identity key
server
storage area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811163445.6A
Other languages
English (en)
Other versions
CN109525396A (zh
Inventor
殷鑫
蔡恒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201811163445.6A priority Critical patent/CN109525396B/zh
Publication of CN109525396A publication Critical patent/CN109525396A/zh
Application granted granted Critical
Publication of CN109525396B publication Critical patent/CN109525396B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

一种身份秘钥的处理方法、装置和服务器,包括:身份秘钥的处理装置获取虚拟机的第一身份秘钥,第一身份秘钥用于对虚拟机进行身份鉴权,该处理装置通过高速串行计算机扩展总线标准PCIe接入服务器中,虚拟机部署于服务器中;利用设备秘钥对第一身份秘钥进行加密,获得第二身份秘钥,设备秘钥为根据处理装置的标识生成的全局唯一秘钥,设备秘钥存储于处理装置的存储区域;处理装置将第二身份秘钥存储于第一存储区域;处理装置根据第二身份秘钥对虚拟机的访问请求进行签名,以此能够解决身份秘钥的安全性较低的问题。

Description

一种身份秘钥的处理方法、装置和服务器
技术领域
本申请涉及计算机技术领域,尤其涉及一种身份秘钥的处理方法、装置和服务器。
背景技术
随着云计算技术的发展,尤其是在公有云的快速发展,运营商对企业提供各种类型的云服务,以满足企业用户的需求。而对于部署有多个虚拟机(virtual machine,VM)的服务器,在某一VM访问云服务时,该服务器需要利用该VM的身份秘钥对访问请求进行签名,以确定该访问请求的合法性。因此,VM的身份秘钥的安全性至关重要。
传统技术中,部署有多个VM的服务器在获取到每一VM的身份秘钥时,均直接将该VM的身份秘钥存储于其内存中。当某一VM访问云服务时,该服务器从内存中获取该VM的身份秘钥,并利用该VM的身份秘钥对访问请求进行签名。但是,由于公有云***复杂,可被攻击的对象较多,一旦服务器被攻击者进行恶意攻击,可以获取其存储于内存中的身份秘钥,进而通过任何设备冒充该服务器的用户读取数据,无法保证身份秘钥的安全性,存在安全问题。
发明内容
本申请提供一种身份秘钥的处理方法、装置和服务器,能够解决传统技术中存在的安全问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供一种身份秘钥的处理方法。具体的,第一设备在获取到用于对虚拟机进行身份鉴权的第一身份秘钥后,利用设备秘钥对第一身份秘钥进行加密,以获得第二身份秘钥,并将该第二身份秘钥存储于第一存储区域。这里的设备秘钥为根据第一设备的标识生成的全局唯一秘钥,且设备秘钥存储于第一设备的存储区域,这样,后续在虚拟机发送访问请求的场景中,第一设备可根据该第二身份秘钥对虚拟机的访问请求进行签名。本申请的第一设备通过高速串行计算机扩展总线标准(peripheral componentinterconnect express,PCIe)总线接入服务器中,上述虚拟机为服务器中的任意一个虚拟机。
第一设备通过PCIe总线接入服务器,其内部的硬件资源以及存储地址对服务器中的其他组件不可见,也就是说,服务器中的其他组件与第一设备相互隔离,其他组件无法直接访问该第一设备,第一设备提供了一个安全的环境,这样,即使攻击者恶意攻击了服务器,该攻击者也无法获取到第一设备中存储的数据。
由于设备秘钥为根据该第一设备的标识生成的全局唯一秘钥,设备秘钥存储于第一设备的存储空间中,且第一设备的存储地址对其他组件不可见,因此,只有第一设备能够获取到设备秘钥,也就是说,设备秘钥的安全性较高。本申请中的第一设备存储的是第二身份秘钥,该第二身份秘钥为第一设备利用设备秘钥加密过的身份秘钥,即使攻击者恶意攻击了服务器,该攻击者最多也只能获取到第二身份秘钥,而无法获取到设备秘钥,进而,攻击者无法获取到第一身份秘钥,第一身份秘钥的安全性得到有效的保证,也就是说,本申请提供的身份秘钥的处理方法能够有效的提高身份秘钥的安全性。
在一种可能的实现方式中,上述第一存储区域为服务器的内存中的存储区域,或者为第一设备中的存储区域。由于第二身份秘钥是根据设备秘钥加密的,因此,不论第一设备将第二身份秘钥存储于服务器的内存,亦或将第二身份秘钥存储于第一设备的存储区域中,均可有效的提高虚拟机的身份秘钥的安全性。
在另一种可能的实现方式中,当上述第一存储区域为服务器的内存中的存储区域时,上述“第一设备将第二身份秘钥存储于第一存储区域”的方法为:第一设备经由服务器中用于管理身份秘钥的处理器将第二身份秘钥写入内存。相应的,上述“第一设备根据第二身份秘钥对虚拟机的访问请求进行签名”,具体包括:第一设备在获取到虚拟机发送的访问请求后,通过处理器从内存中获取第二身份秘钥,并利用设备秘钥对第二身份秘钥解密,得到第一身份秘钥,进而,第一设备根据解密得到的第一身份秘钥,对访问请求进行签名。
由于设备秘钥存储于第一设备,且只有第一设备能够获取到,因此,本申请提供的处理方法中,只有第一设备能够对第二身份秘钥进行解密。在第二身份秘钥存储于服务器的内存的场景中,第一设备需要从内存中读取第二身份秘钥,并对该第二身份秘钥解密,进而对访问请求进行签名。在第二身份秘钥存储于服务器的内存的场景中,即使攻击者恶意攻击了服务器,该攻击者也只能获取到第二身份秘钥,而无法获取到设备秘钥,进而,攻击者无法获取到第一身份秘钥,第一身份秘钥的安全性得到有效的保证。
在另一种可能的实现方式中,在上述第一存储区域为第一设备中的存储区域的情况下,上述“第一设备根据第二身份秘钥对虚拟机的访问请求进行签名”的方法为:第一设备在获取到虚拟机发送的访问请求后,获取第二身份秘钥,并利用设备秘钥对第二身份秘钥解密,得到第一身份秘钥,进而,第一设备根据第一身份秘钥,对访问请求进行签名。
由于设备秘钥存储于第一设备,且只有第一设备能够获取到,因此,本申请提供的方法中,只有第一设备能够对第二身份秘钥进行解密。在第二身份秘钥存储于第一设备的存储空间的场景中,第一设备可直接读取第二身份秘钥,并对该第二身份秘钥解密,进而对访问请求进行签名。在第二身份秘钥存储于第一设备的存储空间的场景中,即使攻击者恶意攻击了服务器,该攻击者也无法获取到第二身份秘钥和设备秘钥,进而,攻击者无法获取到第一身份秘钥,第一身份秘钥的安全性得到有效的保证。
在另一种可能的实现方式中,本申请中的第一设备预先根据第一设备的标识,采用预设算法计算得到设备秘钥。
该预设算法可以为哈希消息认证码(hash-based message authenticationcode,HMAC)算法。
第二方面,提供一种身份秘钥的处理方法。在服务器中独立部署的第一设备,该第一设备通过PCIe总线接入服务器中,其内部的硬件资源以及存储地址对服务器中的其他组件不可见,即服务器中的其他组件与第一设备相互隔离,其他组件无法直接访问该第一设备,第一设备提供了一个安全的环境。第一设备在获取到用于对虚拟机进行身份鉴权的第一身份秘钥后,将该第一身份秘钥存储于第一设备的存储区域。
由于服务器中的其他组件与第一设备相互隔离,其他组件无法直接访问第一设备,因此,即使攻击者恶意攻击了服务器,该攻击者也无法获取到第一设备中存储的第一身份秘钥,这样,第一身份秘钥的安全性得到有效的保证,也就是说,本申请提供的身份秘钥的处理方法能够有效的提高身份秘钥的安全性。
第三方面,提供一种身份秘钥的处理装置,所述处理装置包括用于执行第一方面、第二方面、或第一方面任一种可能实现方式所述的处理方法的各个模块。
在一种可能的实现方式中,可以根据上述第一方面、第二方面或第一方面中任意一种可能的实现方式所提供的处理方法对该处理装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。
第四方面,提供一种服务器,所述服务器包括第一设备、处理器、存储器、通信接口、总线,其中,处理器、存储器和通信接口之间通过总线连接并完成相互间的通信,所述第一设备存储有计算机执行指令,所述服务器运行时,所述第一设备执行其存储的计算机执行指令以利用所述服务器中的硬件资源执行第一方面、第二方面或第一方面任一种可能实现方式所述的处理方法的操作步骤。
第五方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第六方面,本申请提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
本申请在上述各方面提供的实现方式的基础上,还可以进行进一步组合以提供更多实现方式。
附图说明
图1为本申请实施例中通信***的结构示意图;
图2为本申请实施例中服务器的硬件结构示意图;
图3为本申请实施例中第一设备的硬件结构示意图;
图4为本申请实施例中身份秘钥的处理方法的流程示意图一;
图5为本申请实施例中身份秘钥的处理方法的流程示意图二;
图6为本申请实施例中身份秘钥的处理装置的结构示意图一。
具体实施方式
下面结合附图详细介绍本申请实施例提供的身份秘钥的处理方法。
图1为本申请实施例提供的身份秘钥的处理方法适用于的通信***的结构示意图。如图所示,通信***包括服务器20、身份管理服务器21和终端22。其中,服务器20和身份管理服务器21的组合也可以被称为云平台。用户通过终端22远程登录云平台,在用户的身份通过认证后,则可以使用服务器20上的虚拟机的功能。
终端22可以为计算机,如台式机、笔记本电脑、平板电脑等,也可以为不包括中央处理器(center process unit,CPU)、内存和硬盘而仅包括用户交互和操作接口(如键盘、鼠标、显示器、音频设备等)、通用串行总线(universal serial bus,USB)闪存接口和通信接口的设备。
服务器20可以为网络侧为终端22提供存储空间、软件和其他计算机功能的服务器,该服务器20上可以部署多个虚拟机,也可以用于对每一个虚拟机发出的访问请求进行签名,也可以获取每一虚拟机的身份秘钥,并利用设备秘钥对获取到的身份秘钥进行加密。
身份管理服务器21用于提供用户管理、秘钥管理等服务,能够为服务器20中的每个虚拟机配置身份秘钥。虚拟机的身份秘钥的生成方法本申请不做限制,例如,可以是根据虚拟机的标识按照预设规则生成。
需要说明的是,图1所示的通信***仅为一个示例,其不对本申请实施例提供的身份秘钥的处理方法所适用的***架构构成限定。例如,通信***可以包含多个服务器20,每个服务器均与身份管理服务器21连接。又如,通信***可以包含多个终端22。再如,服务器20与身份管理服务器21可以是同一服务器,也可以是独立的两个服务器。下文中均以服务器20与身份管理服务器21是独立设置的两个服务器为例进行说明。
图2为上述图1中服务器20的一种结构示意图。如图2所示,服务器20包括处理器201、DDR控制器202、内存203以及第一设备204。需要说明的是,服务器20可以包括至少一个第一设备204,每一第一设备均与处理器201连接。第一设备204可以是一个带有处理器的芯片,该处理器可以为多核或单核处理器,本申请不作限制。
处理器201可以是任何计算器件,可以是通用CPU,微处理器,可编程控制器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制以上方案程序执行的集成电路。处理器201是服务器20的控制中心。处理器201利用各种接口和线路连接服务器20的各个部分,通过运行或执行软件程序和/或应用模块,执行服务器20的各种功能和处理数据,从而对服务器20进行整体监控。示例性的,处理器201可以具备统一身份管理(uniform identity management,UIM)的功能,处理器201还可以运行虚拟机。
DDR控制器202与内存203连接,能够从内存203中读写数据。
第一设备204通过PCIe总线接入服务器20中,用于利用设备秘钥对从身份管理服务器21获取到的身份秘钥进行加密,并将加密后的身份秘钥存储于第一存储区域,还可以用于对虚拟机发出的访问请求进行签名。其中,设备秘钥为根据第一设备的标识生成的全局唯一秘钥,且该设备秘钥存储于第一设备的存储区域。该第一设备的标识可以为第一设备的编号或名称或其他可以唯一标识第一设备的内容,也可以为其他能够唯一用于标识第一设备的标识,本申请实施例对此不作具体限定。
第一设备204内部的硬件资源以及存储地址对服务器20中的其他组件(如处理器201、DDR控制器202)不可见,也就是说,服务器20中的其他组件与第一设204备相互隔离。
第一存储区域可以为服务器20的内存中的存储区域,也可以为第一设备204中的存储区域。也就是说,第一存储区域可以为服务器20的内存的部分存储区域,也可以为第一设备的部分存储区域。
示例性的,第一设备204用于:获取第一身份秘钥;利用设备秘钥对第一身份秘钥进行加密,获得第二身份秘钥;将第二身份秘钥存储于第一存储区域;根据第二身份秘钥对第一虚拟机的访问请求进行签名。
可选的,第一设备204还可以在获取到身份秘钥后,直接将该身份秘钥存储于第一设备的存储区域,后续,利用存储于第一设备的身份秘钥对第一虚拟机的访问请求进行签名。
示例性的,第一设备204用于:获取第一身份秘钥;将第一身份秘钥存储于第一设备的存储区域;根据第一设备的存储区域中的第一身份秘钥对第一虚拟机的访问请求进行签名。
图3为上述图2所示服务器20中第一设备204的结构示意图。如图3所示,本申请实施例中的第一设备204包括:通信接口30、处理器31、内存32和非易失性存储器33。通信接口30、处理器31内存32和非易失性存储器33可以通过***总线34连接。
通信接口30用于支持第一设备204与其他设备通信,如处理器201。
处理器31用于利用设备秘钥对虚拟机(如第一虚拟机)的身份秘钥进行加密,也可以用于根据加密后的身份秘钥,对该虚拟机的访问请求进行签名。
处理器31可能是CPU,或者是ASIC,或者是被配置成实施本申请实施例的一个或多个集成电路。在本申请实施例中,处理器31可以用于利用设备秘钥对虚拟机(如第一虚拟机)的身份秘钥进行加密,也可以用于根据加密后的身份秘钥,对该虚拟机的访问请求进行签名。
处理器31还可以包括缓存(图3中未示出),该缓存可以采用高速缓冲存储器cache体现,该缓存用于存储各种程序指令。
内存32用于缓存从外设接收的数据或从非易失性存储器33读取的数据。内存32只读存储器(read-only memory,ROM)或闪存(Flash)等各种可以存储数据的非短暂性的(non-transitory)机器可读介质,在此不做限定。
可选的,处理器31中的缓存和内存32可以集成设置或者独立设置,本申请实施例对此不做限定。
非易失性存储器33用于存储软件程序以及应用模块,如第一设备执行的固件、引导程序(如bootrom代码)等,也可以用于存储加密后的身份秘钥,或者直接存储身份秘钥。。该非易失性存储器33可以是静态随机存储器(static RAM,SRAM)。
当本申请实施例的第一存储区域为第一设备的存储区域时,该第一存储区域可以为SRAM的存储区域。
***总线34可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。
***总线33可以分为地址总线、数据总线、控制总线等。本申请实施例中为清楚说明,在图3中将各种总线都示意为***总线33。
接下来,结合图1-图3,对本申请实施例提供的身份秘钥的处理方法进行说明。
为了便于理解,本申请实施例以服务器中一台虚拟机的启动过程为例进行描述,并将该虚拟机简称为第一虚拟机,第一设备获取第一虚拟机的第一身份秘钥,并利用设备秘钥对第一身份秘钥进行加密,以获得第二身份秘钥为例进行说明。相应的,第一设备将第二身份秘钥存储于第一存储空间,后续,利用该第二身份秘钥对第一虚拟机的访问请求进行签名。也就是说,本申请实施例中的第二身份秘钥为加密后的第一身份秘钥。
具体的,在第一设备启动时,第一设备需要生成设备秘钥,并与服务器的处理器通信协商第一通信秘钥,以便于后续在第一设备与服务器的处理器之间传输数据时,使用第一通信秘钥对传输的数据进行加密,以保证该数据的安全性。例如:第一设备使用第一通信秘钥对第二身份秘钥进行加密,并向服务器的处理器发送加密后的第二身份秘钥。这一过程为:在第一设备启动时,对该第一设备进行初始化处理。
在第一虚拟机启动时,第一设备与身份管理服务器通信,以获取第一身份秘钥。为了保证第一身份秘钥的安全性,第一设备与身份管理服务器之间需要通信协商第二通信秘钥,以便于身份管理服务器与第一设备之间传输第一身份秘钥时,使用第二通信秘钥对第一身份秘钥进行加密。
图4示出了本申请实施例提供的身份秘钥的处理方法的流程。本申请实施例以图1中任意一个服务器20中第一设备实现安全校验过程为例进行描述,如图4所示,本申请实施例提供的身份秘钥的处理方法包括:
S400、第一设备在启动时进行初始化处理。
第一设备的初始化处理过程包括设备秘钥的确定以及第一通信秘钥的确定。从上面描述可知,该第一通信秘钥用于对第一设备与服务器的处理器之间传输的数据进行加密,以保证该数据的安全性。
具体的,在启动时,第一设备的处理器从引导程序开始执行,后续从非易失性存储器中获取第一设备的固件和该第一设备的标识(如第一设备的编号或名称,或其他可以唯一标识第一设备的内容),并对该第一设备的固件进行校验。在确定第一设备的固件的校验成功后,执行该第一设备的固件。
进一步地,第一设备根据该第一设备的标识和预设数值,采用第一预设算法(如HMAC算法)计算得到设备秘钥和签名秘钥,并根据该签名秘钥采用第二预设算法(如错误检查和纠正(error correcting code,ECC)算法)生成签名公钥。后续内容采用PRI_KEY标识设备秘钥,采用UDI_PRI标识签名秘钥,采用UDI_PUB标识签名公钥。本申请实施例中的设备秘钥用于对第一设备获取到的第一身份秘钥进行加密,签名秘钥用于在协商第一通信秘钥和第二通信秘钥的过程中,对传输数据进行签名。签名公钥用于验证签名。
在确定出PRI_KEY后,第一设备与服务器的处理器通信协商第一通信秘钥。可选的,第一设备与服务器的处理器之间可以采用椭圆曲线迪菲-赫尔曼秘钥交换(ellipticcurves Diffie-Hellman key exchange,ECDHE)算法确定第一通信秘钥,也可以采用RSA算法(RSA algorithm)确定第一通信秘钥,还可以采用椭圆曲线迪菲-赫尔曼(ellipticcurves Diffie-Hellman,ECDH)算法确定第一通信秘钥,本申请实施例对此不作具体限定。
现以第一通信秘钥采用UIM_KST_KEY表示,第一设备与服务器的处理器之间采用ECDHE算法确定UIM_KST_KEY为例进行说明。
首先,第一设备与服务器的处理器约定椭圆曲线上的基点G值,G(x,y)为公认的某个椭圆曲线算法的基点;然后,服务器的处理器生成随机数a和nonce_a,并根据ECC椭圆曲线计算得到公钥A,其中,A=aG,以及向第一设备发送A和nonce_a;相应的,第一设备生成随机数b和nonce_b,并根据ECC椭圆曲线计算得到B,其中,B=bG,以及根据A和b,采用ECC算法计算得到P1,并对P1采用HMAC算法进行计算,以得到UIM_KST_KEY,进而根据UIM_KST_KEY对(nonce_a,nonce_b)做AES加密;之后,第一设备利用UDI_PRI对(B,nonce_a,nonce_b,Enc(nonce_a,nonce_b))进行签名,并向服务器的处理器发送签名后的(B,nonce_a,nonce_b,Enc(nonce_a,nonce_b));对应的,服务器的处理器检查“签名后的(B,nonce_a,nonce_b,Enc(nonce_a,nonce_b))”的签名,并根据a和B,采用ECC算法计算得到P2,并对P2采用HMAC算法计算,以得到UIM_KST_KEY,进而根据UIM_KST_KEY对Enc(nonce_a,nonce_b)进行解密。此时,第一设备与服务器的处理器之间协商确定出UIM_KST_KEY,二者之间的链接建立成功。
S401、在服务器中的第一虚拟机启动时,服务器的处理器向身份管理服务器发送包括第一虚拟机的标识的身份秘钥请求。
从上面描述可知,由于服务器的处理器可以用于统一管理服务器中虚拟机的身份秘钥,身份管理服务器用于管理网络中每一虚拟机的身份秘钥,因此,在第一虚拟机启动时,该处理器向身份管理服务器发送包括第一虚拟机的标识的身份秘钥请求,用于请求获取第一虚拟机的身份秘钥。
S402、在接收到身份秘钥请求后,身份管理服务器与第一设备通信协商,确定第二通信秘钥。
从上面描述可知,第二通信秘钥用于对第一设备与身份管理服务器之间传输的数据进行加密,以保证该数据的安全性。
具体的,身份管理服务器通过处理器与第一设备通信协商,以确定第二通信秘钥。
可选的,身份管理服务器与第一设备之间可以采用ECDHE算法确定第二通信秘钥,也可以采用RSA算法确定第二通信秘钥,还可以采用ECDH算法确定第二通信秘钥,本申请实施例对此不作具体限定。
现以第二通信秘钥采用IAM_KST_KEY表示,身份管理服务器与第一设备之间采用ECDHE算法确定IAM_KST_KEY为例进行说明。
首先,身份管理服务器与服务器的处理器约定椭圆曲线上的基点G值,G(x,y)为公认的某个椭圆曲线算法的基点;然后,身份管理服务器生成随机数c和nonce_c,并根据ECC椭圆曲线计算得到公钥C,其中,C=cG,以及向服务器的处理器发送C、nonce_c和IAM_KST_KEY的协商请求;再然后,服务器的处理器基于第一通信秘钥UIM_KST_KEY对C和nonce_c进行加密,并向第一设备发送IAM_KST_KEY的协商请求,以及加密后的C和nonce_c;第一设备收到IAM_KST_KEY的协商请求后,生成随机数d和nonce_d,并根据ECC椭圆曲线计算得到D,其中,D=dG,同时,第一设备根据C和a,采用ECC算法计算得到P3,并对P3采用HMAC算法进行计算,以得到IAM_KST_KEY,并利用IAM_KST_KEY对(nonce_c,nonce_d)做AES加密,之后,第一设备利用UDI_PRI对(D,nonce_c,nonce_d,Enc(nonce_c,nonce_d))进行签名,并向服务器的处理器发送签名后的用签名后的(D,nonce_c,nonce_d,Enc(nonce_c,nonce_d));再然后,服务器的处理器向身份管理服务器发送签名后的(D,nonce_c,nonce_d,Enc(nonce_c,nonce_d))、UDI_PRI以及UDI_PUB证书(第一设备根据UDI_PUB生成的);后续,身份管理服务器校验UDI_PUB证书,再根据UDI_PUB证书中的UDI_PUB对(D,nonce_c,nonce_d,Enc(nonce_c,nonce_d))进行验签,如果验证通过,则根据c和D,采用ECC算法计算得到P4,并对P4采用HMAC算法进行计算,以得到IAM_KST_KEY,进而根据IAM_KST_KEY对Enc(nonce_c,nonce_d)解密。此时,第一设备与身份管理服务器之间协商确定出IAM_KST_KEY。
S403、在确定出第二通信秘钥后,身份管理服务器向第一设备发送身份秘钥1。
具体的,身份管理服务器利用第二通信秘钥对第一身份秘钥进行加密,以得到身份秘钥1。在得到身份秘钥1后,身份管理服务器向第一设备发送身份秘钥1。
S404、第一设备利用第二通信秘钥对身份秘钥1进行解密,以获得第一身份秘钥。
S405、第一设备利用设备秘钥对第一身份秘钥进行加密,以获得第二身份秘钥。
可选的,第一设备将设备秘钥作为HMAC算法的键(key)值,对第一身份秘钥做HMAC签名。
S406、第一设备将第二身份秘钥存储于第一存储区域。
可选的,第一存储区域为第一设备中的存储区域,或者为服务器的内存中的存储区域。
在第一存储区域为第一设备中的存储区域的情况下,即第一存储区域为上述图3中的非易失性存储器33的存储区域的情况下,第一设备在获得到第二身份秘钥后,直接将该第二身份秘钥存储于非易失性存储器33中即可。由于第一设备不支持服务器20中其他组件的访问,因此,服务器20中的其他组件无法获取该第二身份秘钥,进而无法获取到第一身份秘钥。即使攻击者恶意攻击了服务器,该攻击者也无法获取到第二身份秘钥和设备秘钥,进而,攻击者无法获取到第一身份秘钥,第一身份秘钥的安全性得到有效的保证。
在第一存储区域为服务器的内存中的存储区域的情况下,第一设备利用第一通信秘钥对第二身份秘钥进行加密,并向服务器的处理器发送加密后的第二身份秘钥。相应的,服务器的处理器利用第一通信秘钥对加密后的第二身份秘钥进行解密,以获得第二身份秘钥,进而,处理器将第二身份秘钥存储于内存中。后续,服务器的处理器能够直接获取到内存中的第二身份秘钥,但是,第二身份秘钥为经过设备秘钥加密后的第一身份秘钥,设备秘钥为全局唯一秘钥,且设备秘钥存储于第一设备中,而服务器的处理器和第一设备相互隔离,服务器的处理器无法访问第一设备,因此,服务器的处理器无法获取到设备秘钥。这样,即使攻击者恶意攻击了服务器,该攻击者也只能获取到第二身份秘钥,而无法获取到设备秘钥,进而,攻击者无法获取到第一身份秘钥,第一身份秘钥的安全性得到有效的保证。
在将第二身份秘钥存储于第一存储区域后,第一虚拟机可能会访问云服务。此时,第一虚拟机发出访问请求。在第一虚拟机发出访问请求时,处理器需要对该访问请求进行签名。
在上述第一存储区域为服务器的内存中的存储区域的情况下,由于服务器的处理器只能获取到第二身份秘钥,第二身份秘钥是经过设备秘钥加密后的第一身份秘钥,而服务器的处理器无法获取到设备秘钥,因此,服务器的处理器无法对该访问请求进行签名。这样,服务器的处理器需要向第一设备发送包括该访问请求的签名请求。
在上述第一存储区域为第一设备中的存储区域的情况下,由于服务器的处理器无法访问第一设备,因此,服务器的处理器无法获取到身份秘钥,相应的,该服务器的处理器无法对该访问请求进行签名。这样,服务器的处理器需要向第一设备发送包括该访问请求的签名请求。
可以看出,不论上述第一存储区域是计算机的内存中的存储区域,亦或是第一设备中的存储区域,在第一虚拟机发出访问请求时,服务器的处理器均需要向第一设备发送签名请求,即执行S407。
S407、在第一虚拟机发送访问请求时,服务器的处理器向第一设备发送包括该访问请求的签名请求。
S408、第一设备对第二身份秘钥进行解密,获取到第一身份秘钥,并根据第一身份秘钥对访问请求进行签名。
具体的,第一设备在接收到签名请求后,获取第二身份秘钥,并利用设备秘钥对第二身份秘钥进行解密,以获得第一身份秘钥。进而,第一设备根据第一身份秘钥对访问请求进行签名,以证实该访问请求的合法性。
其中,在上述第一存储区域为服务器的内存中的存储区域的情况下,第一设备获取第二身份秘钥的方法为:第一设备在接收到签名请求后,向服务器处理器发送获取请求,用于请求获取第二身份秘钥;相应的,服务器处理器向第一设备发送的为经过第一通信秘钥加密后的第二身份秘钥,第一设备在接收到经过第一通信秘钥加密后的第二身份秘钥后,利用第一通信秘钥对加密后的第二身份秘钥进行解密,以获得第二身份秘钥。
作为一种可能的实施方式,第一设备在获得第一身份秘钥后,还可以直接将该第一身份秘钥存储于第一设备的存储区域中。从上面描述可知,由于第一设备内部的硬件资源以及存储地址对服务器中的其他组件不可见,即第一设备与服务器中的其他组件相互隔离,因此,在第一设备将第一身份秘钥存储于第一设备的存储区域后,其他组件也无法获取到该第一身份秘钥,有效的保障了该第一身份秘钥的安全性。
具体的,结合上述图4,如图5所示,本申请实施例提供的身份秘钥的处理方法中,上述S405-S406可以替换为下述S500,上述S408可以替换为下述S501。S500和S501分别为:
S500、第一设备将第一身份秘钥存储于第一设备的存储区域中。
S501、第一设备利用第一身份秘钥对访问请求进行签名。
综上所述,第一设备内部的硬件资源以及存储地址对服务器中的其他组件不可见,也就是说,服务器中的其他组件与第一设备相互隔离,其他组件无法直接访问该第一设备,第一设备提供了一个安全的环境,这样,即使攻击者恶意攻击了服务器,该攻击者也无法获取到第一设备中存储的数据。
由于设备秘钥为根据该第一设备的标识生成的全局唯一秘钥,设备秘钥存储于第一设备的存储空间中,且第一设备的存储地址对其他组件不可见,因此,只有第一设备能够获取到设备秘钥,也就是说,设备秘钥的安全性较高。本申请中的第一设备存储的是第二身份秘钥,该第二身份秘钥为第一设备利用设备秘钥加密过的身份秘钥,即使攻击者恶意攻击了服务器,该攻击者最多也只能获取到第二身份秘钥,而无法获取到设备秘钥,进而,攻击者无法获取到第一身份秘钥,第一身份秘钥的安全性得到有效的保证,也就是说,本申请提供的身份秘钥的处理方法能够有效的提高身份秘钥的安全性。
上述主要从方法的角度对本申请实施例提供的方案进行了介绍。为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对处理装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
上文中结合图4-图5,详细描述了根据本申请实施例所提供的身份秘钥的处理方法,下面将结合图6,描述根据本申请实施例所提供的身份秘钥的处理装置。
图6为本申请实施例提供的一种处理装置6的结构示意图。处理装置6可以用于执行图4-图5中任一附图所示的处理方法。处理装置6包括:存储单元60、获取单元61、加密单元62、签名单元63。
其中,存储单元60,用于存储设备秘钥,设备秘钥为根据处理装置的标识生成的全局唯一秘钥。获取单元61,用于获取虚拟机的第一身份秘钥,第一身份秘钥用于对该虚拟机进行身份鉴权,该虚拟机部署于服务器中。加密单元62,用于利用设备秘钥对获取单元61获取到的第一身份秘钥进行加密,获得第二身份秘钥。存储单元60,还用于将加密单元62获取到的第二身份秘钥存储于第一存储区域。签名单元63,用于根据存储单元60存储的第二身份秘钥对虚拟机的访问请求进行签名。
作为一个示例,处理装置6可以是服务器中的一个逻辑模块或物理器件(如安全芯片)。作为一个示例,处理装置6可以是该服务器。
示例性的,结合图4-图5,存储单元60可以用于存储该身份秘钥的处理装置6的程序代码,也可以用于执行S406、S500等;获取单元61可以执行上述S403、S407等;加密单元62可以执行上述S405等;签名单元63可以执行上述S408、S501等。
在一种可能的实现方式中,上述第一存储区域为服务器的内存中的存储区域,或者为处理装置中的存储区域。
在一种可能的实现方式中,获取单元61,还用于当第一存储区域为服务器的内存中的存储区域时,获取虚拟机发送的访问请求,以及通过服务器的处理器从内存中获取第二身份秘钥,处理器用于管理身份秘钥。相应的,处理装置6还包括解密单元64,该解密单元64用于利用设备秘钥对获取单元61获取到的第二身份秘钥解密,得到第一身份秘钥。签名单元63,还用于根据解密单元64得到的第一身份秘钥,对获取单元61获取到的访问请求进行签名。
在一种可能的实现方式中,上述获取单元61,还用于当第一存储区域为处理装置中的存储区域时,获取虚拟机发送的访问请求,以及获取第二身份秘钥。相应的,解密单元64,用于利用设备秘钥对获取单元61获取到的第二身份秘钥解密,得到第一身份秘钥。签名单元63,还用于根据解密单元64得到的第一身份秘钥,对获取单元61获取到的访问请求进行签名。
示例性的,结合图4-图5,解密单元64可用于执行上述S404等。
在一种可能的实现方式中,处理装置6还包括计算单元65,该计算单元65用于根据处理装置6的标识,采用预设算法计算得到设备秘钥。
示例性的,结合图4-图5,计算单元65可用于执行“计算设备秘钥”等操作。
本实施例中相关内容的解释以及有益效果的描述等均可参考上述方法实施例,此处不再赘述。作为一个示例,结合图2,本实施例中的处理装置6可以是图2中的服务器20。作为一个示例,结合图2,实施例中的处理装置6可以是图2中的第一设备204。上述获取单元61、加密单元62、签名单元63、解密单元64和计算单元65中的部分或全部也可以通过第一设备204实现。
应理解的是,本申请实施例的处理装置6可以通过ASIC实现,或可编程逻辑器件(programmable logic device,PLD)实现,上述PLD可以是复杂程序逻辑器件(complexprogrammable logical device,CPLD),现场可编程门阵列(field-programmable gatearray,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。也可以通过软件实现图4-图5所示的身份秘钥的处理方法时,处理装置6及其各个模块也可以为软件模块。
在上述实施例中,可以全部或部分的通过软件,硬件,固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式出现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘(solid state drive,SSD)。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述,仅为本发明的具体实施方式。熟悉本技术领域的技术人员根据本发明提供的具体实施方式,可想到变化或替换,都应涵盖在本发明的保护范围之内。

Claims (11)

1.一种身份秘钥的处理方法,其特征在于,包括:
第一设备获取虚拟机的第一身份秘钥,所述第一身份秘钥用于对所述虚拟机进行身份鉴权,所述第一设备通过高速串行计算机扩展总线标准PCIe总线接入服务器中,所述虚拟机部署于所述服务器中;
所述第一设备利用设备秘钥对所述第一身份秘钥进行加密,获得第二身份秘钥,所述设备秘钥为根据所述第一设备的标识生成的全局唯一秘钥,所述设备秘钥存储于所述第一设备的存储区域,所述服务器中所述第一设备和其他组件相互隔离;
所述第一设备将所述第二身份秘钥存储于第一存储区域;
所述第一设备根据所述第二身份秘钥对所述虚拟机的访问请求进行签名。
2.根据权利要求1所述的处理方法,其特征在于,
所述第一存储区域为所述服务器的内存中的存储区域,或者为所述第一设备中的存储区域。
3.根据权利要求2所述的处理方法,其特征在于,当所述第一存储区域为所述服务器的内存中的存储区域时,所述第一设备根据所述第二身份秘钥对所述虚拟机的访问请求进行签名,包括:
所述第一设备获取所述虚拟机发送的访问请求;
所述第一设备通过所述服务器的处理器从所述内存中获取所述第二身份秘钥,所述处理器用于管理身份秘钥;
所述第一设备利用所述设备秘钥对所述第二身份秘钥解密,得到所述第一身份秘钥;
所述第一设备根据所述第一身份秘钥,对所述访问请求进行签名。
4.根据权利要求2所述的处理方法,其特征在于,当所述第一存储区域为所述身份秘钥的处理装置中的存储区域时,所述第一设备根据所述第二身份秘钥对所述虚拟机的访问请求进行签名,包括:
所述第一设备获取所述虚拟机发送的访问请求;
所述第一设备获取所述第二身份秘钥;
所述第一设备利用所述设备秘钥对所述第二身份秘钥解密,得到所述第一身份秘钥;
所述第一设备根据所述第一身份秘钥,对所述访问请求进行签名。
5.根据权利要求1-4中任意一项所述的处理方法,其特征在于,所述身份秘钥的处理方法还包括:
所述第一设备根据所述第一设备的标识,采用预设算法计算得到所述设备秘钥。
6.一种身份秘钥的处理装置,其特征在于,所述处理装置通过高速串行计算机扩展总线标准PCIe总线接入服务器中,所述处理装置与所述服务器中其他组件相互隔离,所述处理装置包括:
存储单元,用于存储设备秘钥,所述设备秘钥为根据所述处理装置的标识生成的全局唯一秘钥;
获取单元,用于获取虚拟机的第一身份秘钥,所述第一身份秘钥用于对所述虚拟机进行身份鉴权,所述虚拟机部署于所述服务器中;
加密单元,用于利用所述设备秘钥对所述获取单元获取到的所述第一身份秘钥进行加密,获得第二身份秘钥;
存储单元,还用于将所述加密单元获取到的所述第二身份秘钥存储于第一存储区域;
签名单元,用于根据所述存储单元存储的所述第二身份秘钥对所述虚拟机的访问请求进行签名。
7.根据权利要求6所述的处理装置,其特征在于,
所述第一存储区域为所述服务器的内存中的存储区域,或者为所述处理装置中的存储区域。
8.根据权利要求7所述的处理装置,其特征在于,
所述获取单元,还用于当所述第一存储区域为所述服务器的内存中的存储区域时,获取所述虚拟机发送的访问请求,以及通过所述服务器的处理器从所述内存中获取所述第二身份秘钥,所述处理器用于管理身份秘钥;
所述装置还包括解密单元;
所述解密单元,用于利用所述设备秘钥对所述获取单元获取到的所述第二身份秘钥解密,得到所述第一身份秘钥;
所述签名单元,还用于根据所述解密单元得到的所述第一身份秘钥,对所述获取单元获取到的所述访问请求进行签名。
9.根据权利要求7所述的处理装置,其特征在于,
所述获取单元,还用于当所述第一存储区域为所述处理装置中的存储区域时,获取所述虚拟机发送的访问请求,以及获取所述第二身份秘钥;
所述处理装置还包括解密单元;
所述解密单元,用于利用所述设备秘钥对所述获取单元获取到的所述第二身份秘钥解密,得到所述第一身份秘钥;
所述签名单元,用于根据所述解密单元得到的所述第一身份秘钥,对所述获取单元获取到的所述访问请求进行签名。
10.根据权利要求6-7中任意一项所述的处理装置,其特征在于,所述处理装置还包括计算单元;
所述计算单元,用于根据所述处理装置的标识,采用预设算法计算得到所述设备秘钥。
11.一种服务器,其特征在于,所述服务器包括第一设备,所述第一设备中存储有计算机执行指令,所述服务器运行时,所述第一设备执行其存储的计算机执行指令以利用所述服务器中的硬件资源执行权利要求1-5中任一所述身份秘钥的处理方法的操作步骤。
CN201811163445.6A 2018-09-30 2018-09-30 一种身份秘钥的处理方法、装置和服务器 Active CN109525396B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811163445.6A CN109525396B (zh) 2018-09-30 2018-09-30 一种身份秘钥的处理方法、装置和服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811163445.6A CN109525396B (zh) 2018-09-30 2018-09-30 一种身份秘钥的处理方法、装置和服务器

Publications (2)

Publication Number Publication Date
CN109525396A CN109525396A (zh) 2019-03-26
CN109525396B true CN109525396B (zh) 2021-02-23

Family

ID=65771741

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811163445.6A Active CN109525396B (zh) 2018-09-30 2018-09-30 一种身份秘钥的处理方法、装置和服务器

Country Status (1)

Country Link
CN (1) CN109525396B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111414640B (zh) * 2020-02-14 2022-07-22 华为技术有限公司 秘钥访问控制方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103679037A (zh) * 2013-12-05 2014-03-26 长城信息产业股份有限公司 非对称加密认证方法和基于非对称加密认证的嵌入式设备
CN104618096A (zh) * 2014-12-30 2015-05-13 华为技术有限公司 保护密钥授权数据的方法、设备和tpm密钥管理中心
CN106789037A (zh) * 2017-01-24 2017-05-31 山东渔翁信息技术股份有限公司 一种pkcs#11接口调用密码设备的签名方法及装置
CN108429719A (zh) * 2017-02-14 2018-08-21 华为技术有限公司 密钥保护方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101778381B (zh) * 2009-12-31 2012-07-04 卓望数码技术(深圳)有限公司 数字证书生成方法、用户密钥获取方法、移动终端及设备
CN102377564B (zh) * 2011-11-15 2015-03-11 华为技术有限公司 私钥的加密方法及装置
CN103023920B (zh) * 2012-12-27 2016-04-13 华为技术有限公司 虚拟机安全保护方法及装置
US10348500B2 (en) * 2016-05-05 2019-07-09 Adventium Enterprises, Llc Key material management
CN106453313A (zh) * 2016-10-15 2017-02-22 成都育芽科技有限公司 基于云计算平台的虚拟机安全验证***及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103679037A (zh) * 2013-12-05 2014-03-26 长城信息产业股份有限公司 非对称加密认证方法和基于非对称加密认证的嵌入式设备
CN104618096A (zh) * 2014-12-30 2015-05-13 华为技术有限公司 保护密钥授权数据的方法、设备和tpm密钥管理中心
CN106789037A (zh) * 2017-01-24 2017-05-31 山东渔翁信息技术股份有限公司 一种pkcs#11接口调用密码设备的签名方法及装置
CN108429719A (zh) * 2017-02-14 2018-08-21 华为技术有限公司 密钥保护方法及装置

Also Published As

Publication number Publication date
CN109525396A (zh) 2019-03-26

Similar Documents

Publication Publication Date Title
US10601596B2 (en) Techniques to secure computation data in a computing environment
JP7416775B2 (ja) 周辺デバイス
US10116645B1 (en) Controlling use of encryption keys
US20160028551A1 (en) Systems and methods for hardware security module as certificate authority for network-enabled devices
US9396335B2 (en) Arbitrary code execution and restricted protected storage access to trusted code
US20150220709A1 (en) Security-enhanced device based on virtualization and the method thereof
US10003467B1 (en) Controlling digital certificate use
CN111641630B (zh) 一种加密传输方法、装置、电子设备和存储介质
US20200127850A1 (en) Certifying a trusted platform module without privacy certification authority infrastructure
US11936784B2 (en) Attested end-to-end encryption for transporting sensitive data
CN113342473B (zh) 数据处理方法、安全虚拟机的迁移方法及相关装置、架构
WO2022251987A1 (zh) 一种数据加解密方法和装置
CN111200593A (zh) 应用登录方法、装置和电子设备
US11909882B2 (en) Systems and methods to cryptographically verify an identity of an information handling system
EP2863329A1 (en) Establishing physical locality between secure execution environments
WO2019120231A1 (zh) 确定tpm可信状态的方法、装置及存储介质
US11997192B2 (en) Technologies for establishing device locality
CN109525396B (zh) 一种身份秘钥的处理方法、装置和服务器
EP4198780A1 (en) Distributed attestation in heterogenous computing clusters
KR20220162609A (ko) 저장 디바이스와 호스트 디바이스 사이의 데이터 전송을 인증하는 모듈 및 방법
US20230403138A1 (en) Agentless single sign-on techniques
JP5908131B1 (ja) 通信システム及び通信方法及び端末装置及び端末プログラム
WO2024079438A1 (en) A device and a method for performing a cryptographic operation
CN116167060A (zh) 可信只读存储器***及可信基板管理控制器***
CN116614241A (zh) 一种认证方法,计算装置和实例管理装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant