CN110572258B - 一种云密码计算平台及计算服务方法 - Google Patents

一种云密码计算平台及计算服务方法 Download PDF

Info

Publication number
CN110572258B
CN110572258B CN201910671174.3A CN201910671174A CN110572258B CN 110572258 B CN110572258 B CN 110572258B CN 201910671174 A CN201910671174 A CN 201910671174A CN 110572258 B CN110572258 B CN 110572258B
Authority
CN
China
Prior art keywords
user
resource management
identity
request
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910671174.3A
Other languages
English (en)
Other versions
CN110572258A (zh
Inventor
林璟锵
王伟
荆继武
郎帆
任良钦
吴鹏一
王琼霄
郑昉昱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Data Assurance and Communication Security Research Center of CAS
Original Assignee
Data Assurance and Communication Security Research Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Data Assurance and Communication Security Research Center of CAS filed Critical Data Assurance and Communication Security Research Center of CAS
Priority to CN201910671174.3A priority Critical patent/CN110572258B/zh
Publication of CN110572258A publication Critical patent/CN110572258A/zh
Application granted granted Critical
Publication of CN110572258B publication Critical patent/CN110572258B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种云密码计算平台及计算服务方法。本方法为:1)将n台物理密码机开机组成密码机集群连接至资源管理模块;2)同步该n台密码机的主密钥,使其共享密码机主密钥Km;3)将收到密钥生成请求发送给一密码机A;4)密码机A用Km对请求中的用户身份处理生成对应的用户主密钥Ki;5)密码机A生成算法密钥AKi,用Ki对AKi加密并将其发送给资源管理模块;6)当用户i请求进行计算服务j时,利用密钥[AKi]Ki其加入用户请求加解密或签名验签的请求中并发送密码机B;7)密码机B根据请求中的身份和Km解密得到Ki,利用Ki对[AKi]Ki进行解密并利用AKi完成计算服务j。

Description

一种云密码计算平台及计算服务方法
技术领域
本发明涉及网络空间安全领域,尤其涉及一种可进行资源管理的云密码计算平台及计算服务方法。
背景技术
云计算:云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源,是分布式计算技术的一种,其最基本的概念,是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大***经搜寻、计算分析之后将处理结果回传给用户。
密码计算设备:为用户提供数据的对称/非对称加解密、数据完整性校验、数字签名和验证以及密钥的生成等密码计算服务的设备。
内存数据库:内存数据库,顾名思义就是将数据放在内存中直接操作的数据库。相对于磁盘,内存的数据读写速度要高出几个数量级,将数据保存在内存中相比从磁盘上访问能够极大地提高应用的性能。通过使用内存数据库,可以实现保持高性能的前提下对流量进行精确控制和资源调度
统一认证架构:统一认证架构是一种通用的架构,它提供了一种通用的鉴权机制,可以将用户接入移动网络时所用的移动认证基础设施用于对新服务的访问授权控制,从而避免为每一种新服务都提供独有的鉴权机制。移动终端和服务提供商都可以通过统一认证架构得到相互之间的最新的可信任信息(即标识符和共享密钥),从而可以相互认证。
云密码服务:云密码服务将密码服务与云计算平台进行结合,通过调度加密机集群动态扩充密码运算能力,使密码运算速度大大提高,***稳定性得到极大增强,更好的为用户提供集中化、虚拟化、透明化的密码运算服务。云密码服务不仅可面向具有高安全性和高性能需求的电子商务、电子政务领域应用,提高了***整体的稳健性、高效性和成熟性;而且可应用于各种“云”、“中心”、“云节点”,解决数据的本地存储、网络传输、身份认证、数据完整性等安全问题,防止网上的各种欺诈行为发生。当前的密码云服务方案,在一台物理密码机上通过虚拟化技术运行多台虚拟密码机,其优势在于灵活地切割了密码运算能力,而缺点在于其单台物理密码机计算能力决定了整个平台的计算上限。
发明内容
本发明公开了一种新型的云密码计算平台及计算服务方法。所述的云密码计算平台,包含物理密码机集群、资源管理模块、接入认证模块和数据存储模块。物理密码机对外提供密码计算能力,主要包括国密sm2、sm3、sm4密码运算并使用自身主密钥、用户主密钥和算法密钥实现三层密钥体制进行保护,接入认证模块主要通过第三方统一认证的方式对密码计算请求方的身份进行确认,数据存储模块则对需要储存的各类信息进行存储,资源管理模块配置于云密码计算平台资源管理服务器中用于将物理密码机抽象为密码计算能力并按照用户申请的计算能力将物理密码机虚拟化为虚拟密码机,结合接入认证模块和数据存储模块对密码计算请求进行资源调度、性能控制、请求转发和负载均衡。
此外,本发明还提供了一种结合物理密码机集群和数据存储模块通过资源管理模块对外提供密码计算服务的方法,其步骤包括:
一.n台物理密码机开机组成物理密码机集群连接至资源管理模块。
二.通过使用密码保护卡同步n个物理密码机的主密钥,使其共享密码机主密钥Km;同时主密钥Km仅存在于密码机密码保护卡内。
三.资源管理服务器收到多个密钥生成请求后发送给空闲的物理密码机A进行运算。
四.在收到由资源管理服务器发送的密钥生成请求后,物理密码机A首先对每一密钥生成请求中的用户身份userid使用主密钥Km,运用sm3Hmac算法进行处理生成对应用户的用户主密钥Ki
五.物理密码机A根据请求中的计算类型生成算法密钥AKi,并使用用户主密钥Ki对算法密钥AKi加密得到[AKi]Ki
六.物理密码机群将生成的密钥[AK1]K1到[AKi]Ki共i个密钥发回给资源管理模块,由其与用户身份对应存储至数据库。
七.当用户i请求加解密或签名验证等功能j时,资源管理模块从数据库中取出该用户i对应的密钥[AKi]Ki,将其加入用户请求加解密或签名验签的请求中并再次通过负载均衡策略发送至空闲物理密码机B进行计算。
八.物理密码机B根据请求中的身份userid和主密钥Km经过sm3Hmac算法生成该用户i的用户主密钥Ki,使用用户主密钥Ki利用sm4算法对请求中的[AKi]Ki进行解密并进行密码计算,完成计算服务j。
此外,本发明还提供了一种资源管理模块协同接入认证模块进行认证的方法,包含以下步骤:
一.云用户向资源管理模块请求密码计算。
二.资源管理模块首先判断当前用户是否拥有合法身份,如没有则向云用户返回身份鉴别数据包,其中身份鉴别数据包中的信息包括:client_id标示资源管理服务器身份,redirect_uri标示资源管理服务器用于接收统一认证***签发的用户身份凭证的地址,response_type标示资源管理服务器请求的统一认证***的响应格式,scope标示资源管理服务器请求用户授权数据的范围,nonce为每次请求中生成的随机数。
三.云用户获取资源管理模块返回的内容再将自身用户名“username”和口令“password”加入其中转发至认证模块进行认证。
四.统一认证模块解析数据包内容并在认证用户的用户名和口令通过后返回token至云用户,token为jwt格式编码的用户数据,其中包括平台身份“audrence”用于标示请求登陆应用的身份、统一认证地址“issuer”用于标识签发该用户凭据***的身份、sub用于标示申请此次用户的身份以及请求中的nonce等信息并附带了对上述信息的数字签名。
五.云用户将token转发至资源管理模块。
六.资源管理模块首先提取token中数字签名并验签,同时检查token与请求中“nonce”的一致性。
七.认证通过,则资源管理模块提取用户名“username”作为id(即userId),以及数据存储模块中所属租户身份“tenantid”等内容作为之后步骤二的输入,用于查询租户身份。
本发明还提供了一种资源管理模块协同数据存储模块对密码请求进行用户状态检查和速度限制的方法。其速度限制子步骤如下:
一.获取密钥生成请求的计算类型“codeRequest”。
二.首先根据统一认证流程得到的请求身份“userId”查询云用户当前状态“云用户身份.status”,并根据“身份.tenantid”查询其租户状态“租户身份.status”。当前状态指当前用户是否可以请求计算,只有是或否两种状态,后面租户的status也只有是或否两种状态,指的是用户所属的租户是否可用。
三.根据统一认证流程得到的请求身份“userId”和计算类型“codeRequest”查询redis数据库获取该云用户此计算类型的总速度配额“算法.limit”和当前已使用速度“算法.used”。
四.如当前使用速度小于该云用户此类型计算的总速度配额,则允许本次请求(请求加解密或签名验证的请求),并更新当前使用速度,否则拒绝本次请求。
五.限速模块同时定期查询速度使用情况期限“算法.timevalid”,一旦发现过期,便将清零所有用户全部类型计算的当前使用速度以便对下一秒的请求进行速度限制。
此外,在实际密码计算服务过程中为保障租户及其下属接入身份的可信性,接入认证模块使用OpenId协议通过第三方统一认证的方式验证身份,资源管理模块还对流量进行负载均衡控制并根据云用户的速度配额进行限速,在收到云用户的请求包后还会对其进行格式转换用于向物理密码机集群请求计算。
本发明的优势在于:
本发明将密码计算设备的密码计算能力虚拟化为资源并对外提供,同时对其进行合理高效的资源管理和调度,使密码计算设备可以在云端使用,满足云计算按需计算、弹性伸缩、多用户的特殊需求,提升了密码计算设备的安全性和可用性。
附图说明
图1是本发明的***结构图。
具体实施方式
下面结合附图对本发明进行进一步详细描述。
如图1所示,本发明的云密码计算平台***,其主要包含物理密码机集群、资源管理模块、接入认证模块和数据存储模块四个部分。
物理密码机对外提供密码计算能力,主要包括国密sm2、sm3、sm4密码运算,并且使用密码机主要保护用户主密钥,使用用户主密钥保护算法密钥,而密码机主密钥则使用密钥保护卡进行保护,从而使计算平台的安全性得到了有效保障。
部署在资源管理服务器上的资源管理模块根据租户事先分配的性能配额对云用户的密码计算请求进行控制、格式转换并通过负载均衡策略转发给物理密码机请求实际的密码计算。
接入认证模块负责以第三方统一认证的方式对接入的云租户及租户下的人员进行身份认证。
数据存储模块主要负责将租户及其下属的信息和密码机的详细信息进行存储,并对资源管理模块提供查询、增加、删除和修改的功能。
本发明提供了一种云密码计算平台提供密码服务运算的方法,包含以下步骤:
一.物理密码机加载密码计算服务。
二.资源管理模块加载资源管理服务并连接物理密码机,对其计算能力进行统计,按照用户申请的计算能力将物理密码机虚拟化为拥有密码计算能力的云密码机。
三.资源管理模块连接数据存储模块的数据库,其中主要为了获取云租户及其下属云用户的个人信息。
四.启动接入认证服务器作为接入认证模块向云密码计算平台提供第三方统一认证功能从而对云用户及其下属租户进行身份的认证。
五.在上述加载工作完成后,资源管理模块作为云平台对外提供密码计算的服务模块,在其他模块的辅助下对云用户根据不同请求提供不同类型和性能的密码计算服务。
六.云用户向资源管理模块请求密码运算服务,首先进入资源管理服务器的统一认证流程。
七.资源管理模块接收云用户的密码计算请求包并对请求进行分析,而后首先进行限速处理。
八.当限速处理通过后,资源管理模块将对请求包进行格式转换,生成用于向物理密码机实际请求密码计算的请求包。
九.在格式转换结束后,资源管理模块将生成的请求包通过负载均衡策略发送至物理密码机。
十.密码机收到请求包后首先利用密码机主密钥和用户身份“userId”通过sm3hmac生成用户主密钥,再使用用户密钥运用sm4解密算法对算法密钥“keyBits”进行解密,之后进行密码计算。
十一.密码机计算完成后将结果返还给资源管理模块,由资源管理服务器将结果发送给云用户。
十二.服务完成。
通过以上***和方法,把提供密码服务的传统密码设备统一管理并虚拟为多个逻辑独立的虚拟密码机,使得密码服务满足了云计算按需分配、多用户的特殊需求,可以在云计算的环境下使用并保障了密码设备的安全性。
需要说明的是,对于前述的方式实施,为了描述简单,故将其都表述为一些列的动作组合,但是本领域的相关技术人员都应当知悉,本申请并不受描述的动作的限制,因为依据本申请,某一步骤可以采用其他顺序或者同时进行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、ROM、RAM等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (9)

1.一种计算服务方法,其步骤包括:
1)将n台物理密码机开机组成物理密码机集群连接至资源管理模块;
2)同步该n台物理密码机的主密钥,使其共享密码机主密钥Km
3)资源管理服务器收到密钥生成请求后,从物理密码机集群中选取一物理密码机A;然后将收到的密钥生成请求发送给物理密码机A进行运算;
4)物理密码机A对每一密钥生成请求中的用户身份userid使用主密钥Km,运用密钥生成算法进行处理生成对应用户的用户主密钥Ki
5)物理密码机A根据密钥生成请求的计算类型生成算法密钥AKi,然后使用用户主密钥Ki对算法密钥AKi加密得到[AKi]Ki并将其发送给资源管理模块;
6)当用户i请求进行计算服务j时,资源管理模块利用该用户i对应的密钥[AKi]Ki,将其加入用户请求加解密或签名验签的请求中并发送至物理密码机集群中的物理密码机B进行计算;
7)物理密码机B根据请求中的身份userid和主密钥Km运用密钥生成算法解密得到该用户i的用户主密钥Ki,使用用户主密钥Ki对请求中的[AKi]Ki进行解密并利用AKi完成计算服务j。
2.如权利要求1所述的方法,其特征在于,步骤3)中,资源管理服务器收到密钥生成请求后,首先对发出该密钥生成请求的用户进行认证,如果认证通过,则从物理密码机集群中选取一物理密码机A。
3.如权利要求2所述的方法,其特征在于,对发出该密钥生成请求的用户进行认证的方法为:
31)资源管理服务器判断当前用户是否拥有合法身份,如没有则向用户返回身份鉴别数据包;其中,身份鉴别数据包中的信息包括:资源管理服务器标识client_id,资源管理服务器用于接收统一认证***签发的用户身份凭证的地址redirect_uri,资源管理服务器请求的统一认证***的响应格式response_type,资源管理服务器请求用户授权数据的范围scope,随机数nonce;
32)用户根据响应格式response_type将自身用户名username和口令password发送给统一认证***进行认证;
33)统一认证***对用户的用户名和口令认证通过后返回token至该用户,token中的信息包括请求登陆应用的身份标识audrence、签发用户凭据***的身份标识issuer、用户的身份标识sub以及随机数nonce,并附带对上述信息的数字签名;
34)用户将token转发至资源管理模块;
35)资源管理模块对token进行验签,并检查token中的随机数nonce与身份鉴别数据包中随机数nonce是否一致;如果一致,则认证通过。
4.如权利要求3所述的方法,其特征在于,认证通过后,资源管理模块提取用户的用户名username查询用户当前状态;以及从统一认证***中获取该用户的租户身份tenantid,根据租户身份tenantid查询租户状态;然后根据用户身份userid和计算类型codeRequest查询该用户此计算类型的总速度配额和当前已使用速度;如当前已使用速度小于该用户此类型计算的总速度配额,则允许本次请求加解密或签名验签的请求,并更新当前已使用速度,然后进行步骤7);否则拒绝本次请求加解密或签名验签的请求。
5.如权利要求1所述的方法,其特征在于,通过使用密码保护卡同步n个物理密码机的主密钥,使其共享密码机主密钥Km;同时主密钥Km仅存在于密码机密码保护卡内。
6.一种云密码计算平台,其特征在于,包括由n台物理密码机组成的物理密码机集群、资源管理模块和资源管理服务器;其中,该n台物理密码机共享密码机主密钥Km
资源管理服务器,用于在收到密钥生成请求后,从物理密码机集群中选取一物理密码机A;然后将收到的密钥生成请求发送给物理密码机A进行运算;
物理密码机,用于对每一密钥生成请求中的用户身份userid使用主密钥Km,运用密钥生成算法进行处理生成对应用户的用户主密钥Ki;以及根据密钥生成请求的计算类型生成算法密钥AKi,然后使用用户主密钥Ki对算法密钥AKi加密得到[AKi]Ki并将其发送给资源管理模块;以及根据请求中的身份userid和主密钥Km运用密钥生成算法解密得到该用户i的用户主密钥Ki,使用用户主密钥Ki对请求中的[AKi]Ki进行解密并利用AKi完成计算服务j;
资源管理模块,用于存储收到的[AKi]Ki;以及当用户i请求进行计算服务j时,利用该用户i对应的密钥[AKi]Ki,将其加入用户请求加解密或签名验签的请求中并发送至物理密码机集群中的一物理密码机B进行计算。
7.如权利要求6所述的云密码计算平台,其特征在于,还包括一认证模块;资源管理服务器收到密钥生成请求后,首先对发出该密钥生成请求的用户进行认证,其方法为:资源管理服务器判断当前用户是否拥有合法身份,如没有则向用户返回身份鉴别数据包;其中,身份鉴别数据包中的信息包括:资源管理服务器标识client_id,资源管理服务器用于接收统一认证***签发的用户身份凭证的地址redirect_uri,资源管理服务器请求的统一认证***的响应格式response_type,资源管理服务器请求用户授权数据的范围scope,随机数nonce;然后接收用户根据响应格式response_type发送的用户名username和口令password;认证模块对用户的用户名和口令认证通过后返回token至该用户,token中的信息包括请求登陆应用的身份标识audrence、签发用户凭据***的身份标识issuer、用户的身份标识sub以及随机数nonce,并附带对上述信息的数字签名;然后资源管理模块接收用户发送的token,并对token验签通过后检查token中的随机数nonce与身份鉴别数据包中随机数nonce是否一致;如果一致,则认证通过。
8.如权利要求7所述的云密码计算平台,其特征在于,还包括一限速模块;认证通过后,资源管理模块提取用户的用户名username查询用户当前状态;限速模块从统一认证***中获取该用户的租户身份tenantid,根据租户身份tenantid查询租户状态;然后根据用户身份userid和计算类型codeRequest查询该用户此计算类型的总速度配额和当前已使用速度;如当前已使用速度小于该用户此类型计算的总速度配额,则允许本次请求加解密或签名验签的请求,并更新当前已使用速度;否则拒绝本次请求加解密或签名验签的请求。
9.如权利要求6所述的云密码计算平台,其特征在于,通过使用密码保护卡同步n个物理密码机的主密钥,使其共享密码机主密钥Km;同时主密钥Km仅存在于密码机密码保护卡内。
CN201910671174.3A 2019-07-24 2019-07-24 一种云密码计算平台及计算服务方法 Active CN110572258B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910671174.3A CN110572258B (zh) 2019-07-24 2019-07-24 一种云密码计算平台及计算服务方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910671174.3A CN110572258B (zh) 2019-07-24 2019-07-24 一种云密码计算平台及计算服务方法

Publications (2)

Publication Number Publication Date
CN110572258A CN110572258A (zh) 2019-12-13
CN110572258B true CN110572258B (zh) 2021-12-14

Family

ID=68773803

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910671174.3A Active CN110572258B (zh) 2019-07-24 2019-07-24 一种云密码计算平台及计算服务方法

Country Status (1)

Country Link
CN (1) CN110572258B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111245813B (zh) * 2020-01-07 2022-04-29 北京数字认证股份有限公司 密码资源池***、加密方法、电子设备及存储介质
CN113821305B (zh) * 2021-09-15 2023-02-10 ***数智科技有限公司 基于Docker的云密码服务调用方法及中间件***
CN114741169B (zh) * 2022-03-30 2024-02-13 天津大学 负荷聚合公共服务平台异构密码计算服务多任务调度方法
CN114866346B (zh) * 2022-07-06 2022-09-13 北京神州安付科技股份有限公司 一种基于分散式的密码服务平台
CN115189896B (zh) * 2022-09-13 2023-01-03 中安网脉(北京)技术股份有限公司 一种虚拟云密码服务***及方法
CN117077123A (zh) * 2023-08-18 2023-11-17 长春吉大正元信息技术股份有限公司 一种多密码卡的业务处理方法、装置及电子设备
CN116893903B (zh) * 2023-09-11 2023-12-08 北京格尔国信科技有限公司 一种加密资源分配方法、***、设备及存储介质

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080253308A1 (en) * 2003-10-22 2008-10-16 Speedus Corp. Wireless Broadband Licensed Networking System for Local and Wide Area Networking
US8862878B2 (en) * 2010-11-19 2014-10-14 International Business Machines Corporation Authentication and authorization of a device by a service using broadcast encryption
WO2013109857A1 (en) * 2012-01-20 2013-07-25 Interdigital Patent Holdings, Inc. Identity management with local functionality
CN103634339A (zh) * 2012-08-22 2014-03-12 ***股份有限公司 虚拟加密机装置、金融加密机及加密报文的方法
CN103297428B (zh) * 2013-05-20 2016-04-27 南京邮电大学 一种云存储***数据保护方法
CN104202421A (zh) * 2014-09-19 2014-12-10 浪潮电子信息产业股份有限公司 一种基于云计算的密码服务***
US10104084B2 (en) * 2015-07-30 2018-10-16 Cisco Technology, Inc. Token scope reduction
CN105072180B (zh) * 2015-08-06 2018-02-09 武汉科技大学 一种有权限时间控制的云存储数据安全共享方法
CN105678156B (zh) * 2016-01-04 2019-06-28 成都卫士通信息产业股份有限公司 一种基于虚拟化技术的云密码服务平台及其工作流程
CN205427860U (zh) * 2016-03-12 2016-08-03 福建博士通信息有限责任公司 一种金融加密机
CN106789080B (zh) * 2016-04-08 2020-05-15 数安时代科技股份有限公司 数字签名生成方法和装置
CN107040589B (zh) * 2017-03-15 2019-10-25 西安电子科技大学 通过虚拟化密码设备集群提供密码服务的***及方法
CN107483191B (zh) * 2017-08-16 2020-04-14 浪潮集团有限公司 一种sm2算法密钥分割签名***及方法
CN108259175B (zh) * 2017-12-28 2020-12-11 成都卫士通信息产业股份有限公司 一种分布式密码服务方法和***
CN108306972A (zh) * 2018-02-06 2018-07-20 山东渔翁信息技术股份有限公司 一种云密码服务方法、平台、***及计算机可读存储介质
CN108429735A (zh) * 2018-02-11 2018-08-21 众算(上海)数据科技有限公司 一种数据加密方法
CN109525544B (zh) * 2018-06-01 2021-08-13 ***后勤保障部信息中心 一种基于密码机集群的业务***访问方法及***

Also Published As

Publication number Publication date
CN110572258A (zh) 2019-12-13

Similar Documents

Publication Publication Date Title
CN110572258B (zh) 一种云密码计算平台及计算服务方法
CN112989415B (zh) 一种基于区块链的隐私数据存储与访问控制方法及***
CN111488598B (zh) 访问控制方法、装置、计算机设备和存储介质
US10516527B1 (en) Split-key based cryptography system for data protection and synchronization across multiple computing devices
CN112580102A (zh) 基于区块链的多维度数字身份鉴别***
CN111212084B (zh) 一种面向边缘计算的属性加密访问控制方法
EP3596680A1 (en) Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication
CN103780607B (zh) 基于不同权限的重复数据删除的方法
CN103259663A (zh) 一种云计算环境下的用户统一认证方法
US8977857B1 (en) System and method for granting access to protected information on a remote server
CN101405759A (zh) 用户中心私人数据管理的方法和设备
CN101834853A (zh) 匿名资源共享方法和***
Liu et al. EMK-ABSE: Efficient multikeyword attribute-based searchable encryption scheme through cloud-edge coordination
Rana et al. Secure and ubiquitous authenticated content distribution framework for IoT enabled DRM system
WO2022242572A1 (zh) 一种个人数字身份管理***与方法
Guo et al. Using blockchain to control access to cloud data
Khan et al. A brief review on cloud computing authentication frameworks
CN111241492A (zh) 一种产品多租户安全授信方法、***及电子设备
Kumar et al. Multi-authentication for cloud security: A framework
Chen et al. A self-sovereign decentralized identity platform based on blockchain
CN115021927B (zh) 一种面向密码机集群的管理员身份管控方法及***
Hammami et al. Security issues in cloud computing and associated alleviation approaches
CN117879819B (zh) 密钥管理方法、装置、存储介质、设备及算力服务***
Xie et al. A blockchain-based proxy oriented cloud storage public audit scheme for low-performance terminal devices
Wu et al. Verified CSAC-based CP-ABE access control of cloud storage in SWIM

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant