CN112636927B - 一种基于kpi双证书的云平台密码化方法 - Google Patents

一种基于kpi双证书的云平台密码化方法 Download PDF

Info

Publication number
CN112636927B
CN112636927B CN202011578370.5A CN202011578370A CN112636927B CN 112636927 B CN112636927 B CN 112636927B CN 202011578370 A CN202011578370 A CN 202011578370A CN 112636927 B CN112636927 B CN 112636927B
Authority
CN
China
Prior art keywords
key
certificate
user
password
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011578370.5A
Other languages
English (en)
Other versions
CN112636927A (zh
Inventor
贾小松
宋星
董安琪
张路路
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Xinda Institute of Advanced Technology
Original Assignee
Zhengzhou Xinda Institute of Advanced Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Xinda Institute of Advanced Technology filed Critical Zhengzhou Xinda Institute of Advanced Technology
Priority to CN202011578370.5A priority Critical patent/CN112636927B/zh
Publication of CN112636927A publication Critical patent/CN112636927A/zh
Application granted granted Critical
Publication of CN112636927B publication Critical patent/CN112636927B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种基于KPI双证书的云平台密码化方法,包括以下步骤:当用户合法登录云管理平台后,所述云管理平台接收用户提交的密码虚机申请单,根据所述密码虚机申请单创建密码虚机,并生成密码虚机配置文件申请资源启动所述密码虚机;用户登录所述密码虚机,接收所述密码虚机返回的加密密钥使用申请单,并通过所述云管理平台发送给所述密钥管理中心;所述密钥管理中心,通过所述云管理平台向用户返回加密密钥对;用户登录所述密码虚机,将所述加密密钥对发送给所述密码虚机,执行密钥注入程序。

Description

一种基于KPI双证书的云平台密码化方法
技术领域
本发明涉及一种云平台密码化方法,具体的说,涉及了一种基于KPI双证书的云平台密码化方法。
背景技术
现阶段数字证书在云环境下的使用情况。在商业应用上阿里和亚马逊在国内外市场占有率比较高,使用的都是单证书的使用模式,用户保管唯一的一对非对称秘钥,使用时把这对密钥注入到申请的虚拟密码机中去,进行签名验签和密码运算操作,如果私钥丢了,将无法恢复之前加密的信息。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供了一种基于KPI双证书的云平台密码化方法。
为了实现上述目的,本发明所采用的技术方案是:一种基于KPI双证书的云平台密码化方法,包括以下步骤:
密码虚机的创建和启动
用户通过自持的内含有签名证书和签名私钥的密码设备,在云平台签名验签通过,登录云平台;
所述云管理平台接收用户提交的密码虚机申请单,依据控制的IP地址范围和使用情况动态分配IP地址给所述密码虚机,并随机生成所述密码虚机的登录密码;综合所述密码虚机申请单、所述密码虚机的IP地址和所述登录密码生成密码虚机配置文件,按照所述密码虚机配置文件申请资源生成并启动所述密码虚机,给用户登录使用;
密码虚机的密钥申请
用户登录所述密码虚机,通过所述云管理平台生成加密密钥使用申请单转发给密钥管理中心;
所述密钥管理中心接收所述加密密钥使用申请单后,获取加密密钥对,并通过所述云管理平台将所述加密密钥对返回给用户;
密码虚机的密钥注入
用户登录所述密码虚机,将所述加密密钥对发送给所述密码虚机;
所述密码虚机执行密钥注入程序,将所述加密密钥对注入所述密码虚机。
基于上述,所述密码虚机申请单包括用户信息以及对算法密钥强度、密码资源以及通用的CPU资源、内存资源、硬盘资源的需求。
基于上述,所述云管理平台接收用户提交的所述密码虚机申请单后,根据所述用户信息对用户权限进行审核,并在用户权限审核通过后,按照所述密码虚机配置文件申请资源生成并启动所述密码虚机。
基于上述,用户通过自持的内含有签名证书和签名私钥的密码设备,在云管理平台签名验签通过,登录云管理平台的具体步骤如下:用户通过自持的内含有签名证书和签名私钥的密码设备连接登录终端,调用所述签名私钥生成签名,并将所述签名和所述签名证书发送至所述云管理平台;所述云管理平台从所述签名证书获取签名公钥,调用所述签名公钥验证所述签名,并在签名验证通过后向用户返回合法登录信息。
基于上述,在用户通过自持的内含有签名证书和签名私钥的密码设备连接登录终端之前,还包括签名证书签发步骤:
用户进行注册,并填写用户信息;
用户调用自持的密码设备生成签名证书的密钥对,将所述签名证书的公钥和所述用户信息发送给第三方证书认证中心CA;
所述第三方证书认证中心CA根据所述签名证书的公钥和所述用户信息生成用户证书,调用所述第三方证书认证中心CA的私钥给所述用户证书进行签名,生成签名证书,并将所述签名证书返回给用户进行安装。
基于上述,在进行签名证书签发后,所述第三方证书认证中心CA向所述密钥管理中心请求加密密钥对,根据获取的所述加密密钥对的公钥和所述用户信息生成用户证书,调用所述第三方证书认证中心CA的私钥给所述用户证书进行签名,生成加密证书;将所述加密证书和所述加密密钥对绑定存储在所述LDAP密钥管理库中,并将所述加密证书的证书号返回给用户。
基于上述,密码虚机的密钥申请阶段,所述密码虚机在用户登录后,生成临时密钥对,调用所述密钥管理中心的公钥加密所述用户信息和所述临时密钥对的公钥,并与所述用户信息拼接组成所述加密密钥使用申请单,所述用户信息包括所述加密证书的证书号。
基于上述,所述密钥管理中心接收所述加密密钥使用申请单后,获取加密密钥对,并通过所述云管理平台将所述加密密钥对返回给用户,具体包括:
所述密钥管理中心,接收到所述加密密钥使用申请单后,调用所述密钥管理中心的私钥解密所述加密密钥使用申请单,获取所述用户信息和所述临时密钥对的公钥;根据所述用户信息里的所述加密证书的证书号在所述LDAP密钥管理库中检索用户保存的加密证书和加密密钥对,调用所述临时密钥对的公钥加密所述加密密钥对,调用所述密钥管理中心的私钥加密所述用户信息以及所述加密密钥对的密文,并与所述用户信息拼接成密钥申请结果返回给所述云管理平台,经由所述云管理平台发送给用户。
基于上述,密码虚机的密钥注入阶段,所述密码虚机接收到所述密钥申请结果后,调用所述密钥管理中心的公钥解密所述密钥申请结果,获得所述用户信息、所述加密证书以及所述加密密钥对的密文,调用所述临时密钥对的私钥解密所述加密密钥对的密文,获取所述加密密钥对,并执行密钥注入程序,将所述加密密钥对注入所述密码虚机。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,本发明构建了一种基于PKI双证书体系的云平台密码化方法,在用户的密码设备上设置签名证书,通过在云平台上构建密码虚机并将加密证书设置在密码虚机上,从而使得用户加密和签名得以在逻辑上区分开来,当加密密钥遗失后,可以从第三方获取备份进行解密,安全性高,尤其适合于政务云平台。
同时由于密码虚机在密码服务结束后会进行分配回收,也使得每次执行密码服务时均需要生成密码虚机,并从所述密钥管理中心获取所述加密证书,从而减少了加密证书丢失的风险,确保了所述加密证书存储的安全性。
同时,在密钥申请和注入过程,还设置有密码虚机的临时公私要对和所述密钥管理中心的公私钥对,从而实现了所述密码虚机vcm的密钥申请阶段和密钥注入阶段所述加密证书的公私钥对pub/pri的安全性。
附图说明
图1是本发明的流程示意图。
图2是本发明密钥申请和密钥注入的流程示意图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
如图1所示,一种基于KPI双证书的云平台密码化方法,包括以下步骤:
密码虚机vcm的创建和启动
用户通过自持的内含有签名证书和签名私钥的密码设备,在云管理平台签名验签通过,登录云管理平台;
在具体实施时,上述过程的具体步骤如下:用户通过自持的内含有签名证书和签名私钥的密码设备连接登录终端,调用所述签名私钥生成签名,并将所述签名和所述签名证书发送至所述云管理平台;所述云管理平台从所述签名证书获取签名公钥,调用所述签名公钥验证所述签名,并在签名验证通过后向用户返回合法登录信息。
所述云管理平台接收用户提交的密码虚机申请单,依据控制的IP地址范围和使用情况动态分配IP地址给所述密码虚机vcm,并随机生成所述密码虚机vcm的登录密码;综合所述密码虚机申请单、所述密码虚机vcm的IP地址和所述登录密码生成密码虚机vcm配置文件,按照所述密码虚机vcm配置文件申请资源生成并启动所述密码虚机vcm,供用户登录。优选的,所述密码虚机申请单包括用户信息以及对算法密钥强度、密码资源以及通用的CPU资源、内存资源、硬盘资源的需求。
可以理解,在所述云管理平台接收用户提交的所述密码虚机申请单后,还可以根据所述用户信息对用户权限进行审核,并在用户权限审核通过后,依据所述密码虚机申请单的内容创建所述密码虚机vcm,从而确保只有特定权限的用户才能创建所述密码虚机vcm。
正常情况下,用户申请到的密码虚机vcm是一台具备基本密码功能的裸机,必须进行必要的配置才能正常使用,而配置的核心就是注入所述密码虚机vcm的密钥。完整的密钥申请和注入过程涉及四个参与方,四个参与方分别是用户申请的已经部署完成的密码虚机vcm、密钥管理中心KMC、云管理平台和用户,其中,所述密钥管理中心KMC管理管理证书资源池,能为所述密码虚机vcm分配证书和私钥:所述云管理平台是云平台得管理前端;用户是申请和注入密钥的发起者,是将密钥从所述密钥管理中心KMC传递到所述密码虚机vcm的中介。
整个密钥申请和注入过程就是将加密密钥从密钥管理中心KMC传输到所述密码虚机vcm的过程;具体步骤如下:
密码虚机vcm的密钥申请
用户登录所述密码虚机vcm,通过所述云管理平台生成加密密钥使用申请单转发给密钥管理中心KMC;
所述密钥管理中心KMC接收所述加密密钥使用申请单后,获取加密密钥对pub/pri,并通过所述云管理平台将所述加密密钥对pub/pri返回给用户;
密码虚机vcm的密钥注入
用户登录所述密码虚机vcm,将所述加密密钥对pub/pri发送给所述密码虚机vcm;
所述密码虚机vcm执行密钥注入程序,将所述加密密钥对pub/pri注入所述密码虚机vcm。
具体的,如图2所示,密码虚机vcm的密钥申请的具体步骤为:
所述密码虚机vcm在用户登录后,生成临时密钥对,调用所述密钥管理中心KMC的公钥加密所述用户信息和所述临时密钥对的公钥,并与所述用户信息拼接成所述加密密钥使用申请单返回给用户,并通过所述云管理平台转发给密钥管理中心KMC,其中,所述用户信息包括所述加密证书的证书号。
所述密钥管理中心KMC,接收到所述加密密钥使用申请单后,调用所述密钥管理中心KMC的私钥解密所述加密密钥使用申请单,获取所述用户信息和所述临时密钥对的公钥;根据所述用户信息里的所述加密证书的证书号在所述LDAP密钥管理库中检索用户保存的加密证书和加密密钥对pub/pri,调用所述临时密钥对的公钥加密所述加密密钥对pub/pri,调用所述密钥管理中心KMC的私钥加密所述用户信息以及所述加密密钥对pub/pri的密文,并与所述用户信息拼接成密钥申请结果返回给所述云管理平台,经由所述云管理平台发送给用户。
具体的,如图2所示,所述密码虚机vcm的密钥注入的具体步骤为:
用户登录所述密码虚机vcm,将所述密钥申请结果发送给所述密码虚机vcm;
所述密码虚机vcm接收到所述密钥申请结果后,调用所述密钥管理中心KMC的公钥解密所述密钥申请结果,获得所述用户信息以及所述加密密钥对pub/pri的密文,调用所述临时密钥对的私钥解密所述加密密钥对pub/pri的密文,获取所述加密密钥对pub/pri,并执行密钥注入程序,将所述加密密钥对pub/pri注入所述密码虚机vcm。
显然,为了确保所述密码虚机vcm的密钥申请阶段和密钥注入阶段所述加密密钥对pub/pri的安全性,在该过程还涉及了两组公私钥对,这两组公私钥对分别是:
tempPub/tempPri:由所述密码虚机vcm生成的临时密钥对,所述临时密钥对的私钥tempPri由所述密码虚机vcm保存,对用户不可见;所述临时密钥对的公钥tempPub用于加密传输从所述密钥管理中心KMC申请到的所述加密密钥对pub/pri。
BarPub/BarPri:所述密钥管理中心KMC的公私钥对,所述公私钥对的公钥BarPub以证书的形式保存在所述密码虚机vcm中,所述公私钥对的私钥BarPri由所述密钥管理中心KMC密存。
整个申请注入过程就是将所述加密密钥对pub/pri从所述密钥管理中心KMC传输到所述密码虚机vcm的过程。
初始状态时,所述密钥管理中心KMC拥有BarPri、pub/pri,所述密码虚机vcm拥有BarPub、tempPub/tempPri以及所述用户信息。注入过程结束后,所述密码虚机vcm将获得从所述密钥管理中心KMC传输过来的pub/pri。
可以理解,在密钥虚机的创建和启动阶段之前,用户通过自持的内含有签名证书和签名私钥的密码设备连接登录终端,调用所述签名私钥生成签名,并将所述签名和所述签名证书发送至所述云管理平台;所述云管理平台从所述签名证书获取签名公钥,调用所述签名公钥验证所述签名,并在签名验证通过后向用户返回合法登录信息。
进一步的,在用户通过自持的内含有签名证书和签名私钥的密码设备连接登录终端之前,还包括签名证书签发步骤:
用户进行注册,并填写用户信息;
用户调用自持的密码设备生成签名证书的密钥对,将所述签名证书的公钥和所述用户信息发送给第三方证书认证中心CA;
所述第三方证书认证中心CA根据所述签名证书的公钥和所述用户信息生成用户证书,调用所述第三方证书认证中心CA的私钥给所述用户证书进行签名,生成签名证书,并将所述签名证书返回给用户进行安装。
在进行签名证书签发后,所述第三方证书认证中心CA向所述密钥管理中心KMC请求加密密钥对,根据获取的所述加密密钥对的公钥和所述用户信息生成用户证书,调用所述第三方证书认证中心CA的私钥给所述用户证书进行签名,生成加密证书;将所述加密证书、所述加密密钥对以及对应的所述用户信息一起保存在所述LDAP密钥管理库中,以便于后期在密码虚机vcm的申请阶段,所述密钥管理中心KMC进行加密证书的查询和下载。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。

Claims (9)

1.一种基于KPI双证书的云平台密码化方法,其特征在于,包括以下步骤:
密码虚机的创建和启动
用户通过自持的内含有签名证书和签名私钥的密码设备,在云管理平台签名验签通过,登录云管理平台;
所述云管理平台接收用户提交的密码虚机申请单,依据控制的IP地址范围和使用情况动态分配IP地址给所述密码虚机,并随机生成所述密码虚机的登录密码;综合所述密码虚机申请单、所述密码虚机的IP地址和所述登录密码生成密码虚机配置文件,按照所述密码虚机配置文件申请资源生成并启动所述密码虚机,给用户登录使用;
密码虚机的密钥申请
用户登录所述密码虚机,通过所述云管理平台生成加密密钥使用申请单转发给密钥管理中心;
所述密钥管理中心接收所述加密密钥使用申请单后,获取加密密钥对,并通过所述云管理平台将所述加密密钥对返回给用户;
密码虚机的密钥注入
用户登录所述密码虚机,将所述加密密钥对发送给所述密码虚机;
所述密码虚机执行密钥注入程序,将所述加密密钥对注入所述密码虚机。
2.根据权利要求1所述的一种基于KPI双证书的云平台密码化方法,其特征在于:所述密码虚机申请单包括用户信息以及对算法密钥强度、密码资源以及通用的CPU资源、内存资源、硬盘资源的需求。
3.根据权利要求2所述的一种基于KPI双证书的云平台密码化方法,其特征在于:所述云管理平台接收用户提交的所述密码虚机申请单后,根据所述用户信息对用户权限进行审核,并在用户权限审核通过后,按照所述密码虚机配置文件申请资源生成并启动所述密码虚机。
4.根据权利要求1所述的一种基于KPI双证书的云平台密码化方法,其特征在于,用户通过自持的内含有签名证书和签名私钥的密码设备,在云管理平台签名验签通过,登录云管理平台的具体步骤如下:用户通过自持的内含有签名证书和签名私钥的密码设备连接登录终端,调用所述签名私钥生成签名,并将所述签名和所述签名证书发送至所述云管理平台;所述云管理平台从所述签名证书获取签名公钥,调用所述签名公钥验证所述签名,并在签名验证通过后向用户返回合法登录信息。
5.根据权利要求4所述的一种基于KPI双证书的云平台密码化方法,其特征在于,在用户通过自持的内含有签名证书和签名私钥的密码设备连接登录终端之前,还包括签名证书签发步骤:
用户进行注册,并填写用户信息;
用户调用自持的密码设备生成签名证书的密钥对,将所述签名证书的公钥和所述用户信息发送给第三方证书认证中心CA;
所述第三方证书认证中心CA根据所述签名证书的公钥和所述用户信息生成用户证书,调用所述第三方证书认证中心CA的私钥给所述用户证书进行签名,生成签名证书,并将所述签名证书返回给用户进行安装。
6.根据权利要求5所述的一种基于KPI双证书的云平台密码化方法,其特征在于,在进行签名证书签发后,所述第三方证书认证中心CA向所述密钥管理中心请求加密密钥对,根据获取的所述加密密钥对的公钥和所述用户信息生成用户证书,调用所述第三方证书认证中心CA的私钥给所述用户证书进行签名,生成加密证书;将所述加密证书和所述加密密钥对绑定存储在LDAP密钥管理库中,并将所述加密证书的证书号返回给用户。
7.根据权利要求6所述的一种基于KPI双证书的云平台密码化方法,其特征在于:密码虚机的密钥申请阶段,所述密码虚机在用户登录后,生成临时密钥对,调用所述密钥管理中心的公钥加密所述用户信息和所述临时密钥对的公钥,并与所述用户信息拼接组成所述加密密钥使用申请单,其中,所述用户信息包括所述加密证书的证书号。
8.根据权利要求7所述的一种基于KPI双证书的云平台密码化方法,其特征在于,所述密钥管理中心接收所述加密密钥使用申请单后,获取加密密钥对,并通过所述云管理平台将所述加密密钥对返回给用户,具体包括:
所述密钥管理中心,接收到所述加密密钥使用申请单后,调用所述密钥管理中心的私钥解密所述加密密钥使用申请单,获取所述用户信息和所述临时密钥对的公钥;根据所述用户信息里的所述加密证书的证书号在所述LDAP密钥管理库中检索用户保存的加密证书和加密密钥对,调用所述临时密钥对的公钥加密所述加密密钥对,调用所述密钥管理中心的私钥加密所述用户信息以及所述加密密钥对的密文,并与所述用户信息拼接成密钥申请结果返回给所述云管理平台,经由所述云管理平台发送给用户。
9.根据权利要求8所述的一种基于KPI双证书的云平台密码化方法,其特征在于:密码虚机的密钥注入阶段,所述密码虚机接收到所述密钥申请结果后,调用所述密钥管理中心的公钥解密所述密钥申请结果,获得所述用户信息以及所述加密密钥对的密文,调用所述临时密钥对的私钥解密所述加密密钥对的密文,获取所述加密密钥对,并执行密钥注入程序,将所述加密密钥对注入所述密码虚机。
CN202011578370.5A 2020-12-28 2020-12-28 一种基于kpi双证书的云平台密码化方法 Active CN112636927B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011578370.5A CN112636927B (zh) 2020-12-28 2020-12-28 一种基于kpi双证书的云平台密码化方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011578370.5A CN112636927B (zh) 2020-12-28 2020-12-28 一种基于kpi双证书的云平台密码化方法

Publications (2)

Publication Number Publication Date
CN112636927A CN112636927A (zh) 2021-04-09
CN112636927B true CN112636927B (zh) 2022-08-16

Family

ID=75326069

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011578370.5A Active CN112636927B (zh) 2020-12-28 2020-12-28 一种基于kpi双证书的云平台密码化方法

Country Status (1)

Country Link
CN (1) CN112636927B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113791872B (zh) * 2021-11-11 2022-03-22 北京信安世纪科技股份有限公司 基于云计算的认证方法及***
CN114244565B (zh) * 2021-11-16 2023-09-19 广东电网有限责任公司 密钥分发方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103975567A (zh) * 2012-11-14 2014-08-06 华为技术有限公司 双因素认证方法及虚拟机设备
CN104184743A (zh) * 2014-09-10 2014-12-03 西安电子科技大学 面向云计算平台的三层认证***及认证方法
CN104811455A (zh) * 2015-05-18 2015-07-29 成都卫士通信息产业股份有限公司 一种云计算身份认证方法
CN104954137A (zh) * 2015-06-18 2015-09-30 浪潮集团有限公司 一种基于国产密码技术的虚拟机安全认证的方法
CN110321695A (zh) * 2019-07-11 2019-10-11 成都卫士通信息产业股份有限公司 大数据***密码服务方法、装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916237B (zh) * 2012-12-30 2017-02-15 航天信息股份有限公司 对用户加密密钥恢复进行管理的方法和***
CN105184154B (zh) * 2015-09-15 2017-06-20 中国科学院信息工程研究所 一种在虚拟化环境中提供密码运算服务的***和方法
EP3435270B1 (de) * 2017-07-27 2020-09-23 Siemens Aktiengesellschaft Vorrichtung und verfahren zum kryptographisch geschützten betrieb einer virtuellen maschine

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103975567A (zh) * 2012-11-14 2014-08-06 华为技术有限公司 双因素认证方法及虚拟机设备
CN104184743A (zh) * 2014-09-10 2014-12-03 西安电子科技大学 面向云计算平台的三层认证***及认证方法
CN104811455A (zh) * 2015-05-18 2015-07-29 成都卫士通信息产业股份有限公司 一种云计算身份认证方法
CN104954137A (zh) * 2015-06-18 2015-09-30 浪潮集团有限公司 一种基于国产密码技术的虚拟机安全认证的方法
CN110321695A (zh) * 2019-07-11 2019-10-11 成都卫士通信息产业股份有限公司 大数据***密码服务方法、装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
政务云平台国密应用技术研究;焦少波等;《网络安全技术与应用》;20201015;57-60页 *

Also Published As

Publication number Publication date
CN112636927A (zh) 2021-04-09

Similar Documents

Publication Publication Date Title
EP3661120B1 (en) Method and apparatus for security authentication
US10142107B2 (en) Token binding using trust module protected keys
RU2325693C2 (ru) Способы аутентификации потенциальных членов, приглашенных присоединиться к группе
US8196186B2 (en) Security architecture for peer-to-peer storage system
US7395549B1 (en) Method and apparatus for providing a key distribution center without storing long-term server secrets
CN111464301B (zh) 一种密钥管理方法及***
CN105873031B (zh) 基于可信平台的分布式无人机密钥协商方法
CN101051904B (zh) 一种保护网络应用程序使用账号密码进行登录的方法
CN114584307B (zh) 一种可信密钥管理方法、装置、电子设备和存储介质
CN102404347A (zh) 一种基于公钥基础设施的移动互联网接入认证方法
CN109525565B (zh) 一种针对短信拦截攻击的防御方法及***
CN112636927B (zh) 一种基于kpi双证书的云平台密码化方法
CN113992346B (zh) 一种基于国密加固的安全云桌面的实现方法
CN111865609A (zh) 一种基于国密算法的私有云平台数据加解密***
CN109921902A (zh) 一种密钥管理方法、安全芯片、业务服务器及信息***
JP2022540653A (ja) データ保護及び回復システム及び方法
WO2023174038A1 (zh) 数据传输方法及相关设备
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
JP2024501326A (ja) アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード
WO2023174350A1 (zh) 身份认证方法、装置、设备及存储介质
CN113727059B (zh) 多媒体会议终端入网认证方法、装置、设备及存储介质
CN114553557B (zh) 密钥调用方法、装置、计算机设备和存储介质
CN114329395A (zh) 一种基于区块链的供应链金融隐私保护方法和***
CN115348077A (zh) 一种虚拟机加密方法、装置、设备、存储介质
Shin et al. A secure public cloud storage system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant