CN112769805A - 云密码管理方法、***和存储介质 - Google Patents
云密码管理方法、***和存储介质 Download PDFInfo
- Publication number
- CN112769805A CN112769805A CN202011636686.5A CN202011636686A CN112769805A CN 112769805 A CN112769805 A CN 112769805A CN 202011636686 A CN202011636686 A CN 202011636686A CN 112769805 A CN112769805 A CN 112769805A
- Authority
- CN
- China
- Prior art keywords
- key
- management
- cloud
- password
- cloud password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 169
- 230000006378 damage Effects 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 230000003993 interaction Effects 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 4
- 238000004883 computer application Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种云密码管理方法,包括:发出密钥生成请求,云端生成管理密钥,并将管理密钥拆分为多份成分密钥;密钥管理端请求下载成分密钥,通过公钥对各成分密钥加密后分别下载至不同的密钥管理端加密保存;收到密钥使用请求和密钥管理请求,所述多份成分密钥中的任意三份成分密钥上传合成管理密钥;密钥使用时,用管理密钥加密用户密钥,用管理密钥解密用户密钥;密钥销毁时,销毁保存在云密码设备内存中的管理密钥。本发明由用户管理员在终端设备上对云密码设备管理密钥,由终端设备执行密钥安全管理,既方便又安全,也符合密码规范要求,提高了密钥安全性,进而提高了云平台中云密码设备的安全性。
Description
技术领域
本发明涉及计算机安全领域,特别是涉及一种云密码管理方法。本发明还涉及一种云密码管理***,以及一种实现云密码管理方法中的步骤的计算机可读存储介质。
背景技术
密码设备是为计算机应用或设备提供密码运算和应用密钥管理的安全设备,密码设备是保证密码算法安全的基础,在实际应用中采用密码设备保障保证应用密钥管理生成、存储、导入、导出、备份、恢复、更新、销毁生命周期内的安全,密码设备管理密钥是保证应用密钥和设备中敏感信息的安全密钥,是计算机应用或设备安全的源头,计算机应用或设备的安全更是重中之重。传统的密码设备由应用单位安装部署在应用局域网中,计算资源和密码设备都部署在局域网中,并且其设备的初始化、管理操作都是设备管理员通过管理终端直接连接密码设备的管理进行管理,设备都是应用单位自己运行维护,在这种环境下,密码设备管理密钥的传输、存储、使用的安全可以用户自己管控,其实现上不用考虑互联网复杂的环境和管理终端和密码设备传输过程的安全。
随着云计算的广泛应用,越来越多的应用都采用云平台提供计算资源,云应用不能像传统模式使用密码设备,也需要同样的云密码设备方式提供密码服务。租户使用云密码设备时,密码设备都在云端,管理设备时需要通过互联网连接,传统采用微点保护存储密钥、开机箱销毁密钥的安全机制已经不能使用于云密码设备的密钥管理机制。如何保证应用密钥的安全,特别保护应用密钥的管理密钥更是云密码设备需要解决的问题。
针对云密钥的安全管理,国内在该方面已做过一些研究。中国专利CN201510771654.9公开了一种个性化的密钥管理装置,云平台用户密钥管理方法采用云平台用户密钥管理装置来实现独立于云平台之外的用户密钥管理。该方法是将密钥管理部分独立于云平台之外实现密钥的安全性管理。该方法时针对应用***所需要的密钥独立管理,应用需要时可以导进导出,这个不是密码规范中对密码设备密钥管理的方式,不符合密码规范要求,存在安全隐患。
相关解释
密码规范对密码设备密钥结构最少包括管理密钥、应用密钥、会话密钥的三层。
发明内容
在发明内容部分中引入了一系列简化形式的概念,该简化形式的概念均为本领域现有技术简化,这将在具体实施方式部分中进一步详细说明。本发明的发明内容部分并不意味着要试图限定出所要求保护的技术方案的关键特征和必要技术特征,更不意味着试图确定所要求保护的技术方案的保护范围。
本发明要解决的技术问题是提供一种符合密码规范,具有更高安全性,能通过远程管理云密码设备实现管理密钥的云密码管理方法。
相应的,本发明还提供了一种符合密码规范,具有更高安全性,能通过远程管理云密码设备实现管理密钥的云密码管理***;以及,一种实现云密码管理方法中的步骤的计算机可读存储介质。
为解决上述技术问题,本发明提供一种云密码管理方法,包括以下步骤:
密钥生成,发出密钥生成请求,云端生成管理密钥,并将管理密钥拆分为多份成分密钥;
密钥下载,密钥管理端请求下载成分密钥,通过公钥对各成分密钥加密后分别下载至不同的密钥管理端加密保存;
密钥上传,收到密钥使用请求和密钥管理请求,所述多份成分密钥中的任意三份成分密钥上传合成管理密钥;
密钥使用时,用管理密钥加密用户密钥,用管理密钥解密用户密钥;
密钥销毁时,销毁保存在云密码设备内存中的管理密钥。
可选择的,进一步改进所述的云密码管理方法,还包括以下步骤:
密钥销毁,云密码管理退出或密钥管理检测到云密码管理状态在线使用,销毁管理密钥。
可选择的,进一步改进所述的云密码管理方法每台云密码设备只有一对管理密钥。
可选择的,进一步改进所述的云密码管理方法密钥使用包括密钥生成、备份和销毁。
可选择的,进一步改进所述的云密码管理方法密钥管理包括云密码设备启动或云密码恢复。
为解决上述技术问题,本发明提供一种云密码管理***,包括:密钥管理端和云密码设备;
密钥管理端,其设置在移动终端由管理员控制,其通过云密码设备管理工具执行的密钥使用,其通过密码模块与云密码设备进行数据交互;
云密码设备,其设置在云端,其基于云平台中的服务器密码机提供密码和密钥管理,其具有根据云密码设备管理工具密钥使用执行云端密钥管理;
密码机,其设置在云端,其用于提供密码和管理密钥。
可选择的,进一步改进所述的云密码管理***,所述密钥使用包括:密钥生成、备份和销毁。
可选择的,进一步改进所述的云密码管理***,密钥销毁,云密码设备管理工具和密钥管理***检测到云密码管理工具在线使用,销毁管理密钥。
可选择的,进一步改进所述的云密码管理***,所述云密码设备管理工具密钥使用包括:云密码设备启动或云密码恢复。
为解决上述技术问题,本发明提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被终端设备执行时,实现上述任意一项云密码管理方法中的步骤。
本发明的技术方案中,用户在租用云平台中云密码设备时,由用户管理员在终端设备(例如,移动智能终端)上对云密码设备管理密钥,由终端设备执行密钥安全管理,既方便又安全,也符合密码规范要求,提高了密钥安全性,进而提高了云平台中云密码设备的安全性。
附图说明
本发明附图旨在示出根据本发明的特定示例性实施例中所使用的方法、结构和/或材料的一般特性,对说明书中的描述进行补充。然而,本发明附图是未按比例绘制的示意图,因而可能未能够准确反映任何所给出的实施例的精确结构或性能特点,本发明附图不应当被解释为限定或限制由根据本发明的示例性实施例所涵盖的数值或属性的范围。下面结合附图与具体实施方式对本发明作进一步详细的说明:
图1是本发明管理密钥生成和生成流程图。
图2是本发明管理密钥上传流程图。
图3是本发明云密码管理***结构示意图。
图4是本发明云密码管理***工作流程示意图。
图5是本发明云密码管理***的管理密钥安装示意图。
具体实施方式
以下通过特定的具体实施例说明本发明的实施方式,本领域技术人员可由本说明书所公开的内容充分地了解本发明的其他优点与技术效果。本发明还可以通过不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点加以应用,在没有背离发明总的设计思路下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。本发明下述示例性实施例可以多种不同的形式来实施,并且不应当被解释为只限于这里所阐述的具体实施例。应当理解的是,提供这些实施例是为了使得本发明的公开彻底且完整,并且将这些示例性具体实施例的技术方案充分传达给本领域技术人员。
第一实施例;
本发明提供一种云密码管理方法,包括以下步骤:
密钥生成,发出密钥生成请求,云端生成管理密钥,并将管理密钥拆分为多份成分密钥;
示例性的,密钥拆分时使用管理密钥作为某个固定抛物线函数的常数参数,通过该抛物线可以生成3个或3个以上成分密钥。
密钥下载,密钥管理端请求下载成分密钥,通过公钥对各成分密钥加密后分别下载至不同的密钥管理端加密保存;
密钥上传,收到密钥使用请求和密钥管理请求,所述多份成分密钥中的任意三份成分密钥上传合成管理密钥;
示例性的,合成管理密钥时,使用任意3个成分密钥首先恢复抛物线函数,然后求出该抛物线函数的常数参数,即管理密钥。
密钥使用时,用管理密钥加密用户密钥,用管理密钥解密用户密钥;
密钥销毁时,销毁保存在云密码设备内存中的管理密钥。
第二实施例;
如图1、图2所示,本发明提供一种云密码管理方法,包括以下步骤:
密钥生成,用户的密钥管理员在终端设备提出密钥生成请求,云端调用密码机生成一个随机数作为租户的管理密钥,每台云密码设备只有一对管理密钥,并将管理密钥拆分为多份成分密钥;例如生成5份成分密钥;
密钥下载,用户的密钥管理员在终端设备请求下载成分密钥,通过公钥对各成分密钥加密后分别下载至不同的密钥管理端加密保存,即5份成分密钥由5个用户管理员下载;
密钥上传,收到密钥使用请求和密钥管理请求,所述多份成分密钥中的任意三份成分密钥上传合成管理密钥;
密钥使用时,用管理密钥加密用户密钥,用管理密钥解密用户密钥;密钥销毁时,销毁保存在云密码设备内存中的管理密钥。密钥使用包括密钥生成、备份和销毁,密钥销毁包括云密码设备启动或云密码恢复;密钥销毁,云密码管理退出或密钥管理检测到云密码管理状态在线使用,销毁管理密钥。
第三实施例;
本发明提供一种云密码管理***,包括:密钥管理端和云密码设备;
密钥管理端,其设置在移动终端由管理员控制,其通过云密码设备管理工具执行的密钥使用,其通过密码模块与云密码设备进行数据交互;
云密码设备,其设置在云端,其基于云平台中的服务器密码机提供密码和密钥管理,其具有根据云密码设备管理工具密钥使用执行云端密钥管理;
密码机,其设置在云端,其用于提供密码和管理密钥。
第四实施例;
如图3、图5所示,本发明提供一种云密码管理***,包括:密钥管理端和云密码设备;
密钥管理端,其设置在移动终端由管理员控制,其通过云密码设备管理工具执行的密钥使用,其通过密码模块与云密码设备进行数据交互;
云密码设备,其设置在云端,其基于云平台中的服务器密码机提供密码和密钥管理,其具有根据云密码设备管理工具密钥使用执行云端密钥管理;
密码机,其设置在云端,其用于提供密码和管理密钥。
其中,所述密钥使用包括:密钥生成、备份和销毁;密钥销毁,云密码设备管理工具和密钥管理***检测到云密码管理工具在线使用,销毁管理密钥;
所述云密码设备管理工具密钥使用包括:云密码设备启动或云密码恢复。
第五实施例;
本发明提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被终端设备执行时,实现第一实施例或第二实施例任意一项云密码管理方法中的步骤。
除非另有定义,否则这里所使用的全部术语(包括技术术语和科学术语)都具有与本发明所属领域的普通技术人员通常理解的意思相同的意思。还将理解的是,除非这里明确定义,否则诸如在通用字典中定义的术语这类术语应当被解释为具有与它们在相关领域语境中的意思相一致的意思,而不以理想的或过于正式的含义加以解释。
以上通过具体实施方式和实施例对本发明进行了详细的说明,但这些并非构成对本发明的限制。在不脱离本发明原理的情况下,本领域的技术人员还可做出许多变形和改进,这些也应视为本发明的保护范围。
Claims (11)
1.一种云密码管理方法,其特征在于,包括以下步骤:
密钥生成,发出密钥生成请求,云端生成管理密钥,并将管理密钥拆分为多份成分密钥;
密钥下载,密钥管理端请求下载成分密钥,通过公钥对各成分密钥加密后分别下载至不同的密钥管理端加密保存;
密钥上传,收到密钥使用请求和密钥管理请求,所述多份成分密钥中的任意三份成分密钥上传合成管理密钥;
密钥使用时,用管理密钥加密用户密钥,用管理密钥解密用户密钥;
密钥销毁时,销毁保存在云密码设备内存中的管理密钥。
2.如权利要求1所述的云密码管理方法,其特征在于,还包括以下步骤:
密钥销毁,云密码管理退出或密钥管理未检测到设备管理工具在线状态时,销毁管理密钥。
3.如权利要求1所述的云密码管理方法,其特征在于:每台云密码设备只有一对管理密钥。
4.如权利要求2所述的云密码管理方法,其特征在于:密钥使用包括密钥生成、备份和销毁。
5.如权利要求4所述的云密码管理方法,其特征在于:密钥管理包括云密码设备启动或云密码恢复。
6.一种云密码管理***,其特征在于,包括:密钥管理端和云密码设备;
密钥管理端,其设置在移动终端由管理员控制,其通过云密码设备管理工具执行的密钥使用,其通过密码模块与云密码设备进行数据交互;
云密码设备,其设置在云端,其基于云平台中的服务器密码机提供密码和密钥管理,其具有根据云密码设备管理工具密钥使用执行云端密钥管理;
密码机,其设置在云端,其用于提供密码和管理密钥。
7.如权利要求6所述的云密码管理***,其特征在于,所述密钥使用包括:密钥生成、备份和销毁。
8.如权利要求7所述的云密码管理***,其特征在于:密钥销毁,云密码设备管理工具和密钥管理***检测到云密码管理工具在线使用,销毁管理密钥。
9.如权利要求7所述的云密码管理***,其特征在于,所述云密码设备管理工具密钥使用包括:云密码设备启动或云密码恢复。
10.如权利要求9所述的云密码管理***,其特征在于:密钥使用时,用管理密钥加密用户密钥,用管理密钥解密用户密钥;密钥销毁时,销毁保存在云密码设备内存中的管理密钥。
11.一种计算机可读存储介质,其存储有计算机程序,其特征在于:所述计算机程序被终端设备执行时,实现权利要求1-5任意一项云密码管理方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011636686.5A CN112769805A (zh) | 2020-12-31 | 2020-12-31 | 云密码管理方法、***和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011636686.5A CN112769805A (zh) | 2020-12-31 | 2020-12-31 | 云密码管理方法、***和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112769805A true CN112769805A (zh) | 2021-05-07 |
Family
ID=75697968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011636686.5A Pending CN112769805A (zh) | 2020-12-31 | 2020-12-31 | 云密码管理方法、***和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112769805A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105208044A (zh) * | 2015-10-29 | 2015-12-30 | 成都卫士通信息产业股份有限公司 | 一种适用于云计算的密钥管理方法 |
CN105933113A (zh) * | 2016-06-13 | 2016-09-07 | 北京三未信安科技发展有限公司 | 一种密钥备份恢复方法、***及其相关设备 |
US20160315768A1 (en) * | 2015-04-22 | 2016-10-27 | Alibaba Group Holding Limited | Method, apparatus, and system for cloud-based encryption machine key injection |
CN106612173A (zh) * | 2016-06-27 | 2017-05-03 | 四川用联信息技术有限公司 | 云存储中一种可信任密钥的加密方案 |
CN107342862A (zh) * | 2017-08-28 | 2017-11-10 | 北京信任度科技有限公司 | 一种云加端三权分立实现密钥生成和保护的方法及*** |
-
2020
- 2020-12-31 CN CN202011636686.5A patent/CN112769805A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160315768A1 (en) * | 2015-04-22 | 2016-10-27 | Alibaba Group Holding Limited | Method, apparatus, and system for cloud-based encryption machine key injection |
CN105208044A (zh) * | 2015-10-29 | 2015-12-30 | 成都卫士通信息产业股份有限公司 | 一种适用于云计算的密钥管理方法 |
CN105933113A (zh) * | 2016-06-13 | 2016-09-07 | 北京三未信安科技发展有限公司 | 一种密钥备份恢复方法、***及其相关设备 |
CN106612173A (zh) * | 2016-06-27 | 2017-05-03 | 四川用联信息技术有限公司 | 云存储中一种可信任密钥的加密方案 |
CN107342862A (zh) * | 2017-08-28 | 2017-11-10 | 北京信任度科技有限公司 | 一种云加端三权分立实现密钥生成和保护的方法及*** |
Non-Patent Citations (2)
Title |
---|
余宇劲等: "基于多云存储的Android密钥管理技术", 《计算机应用与软件》 * |
闫鸿滨: "密钥管理关键技术研究", 《电子商务》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
USRE49194E1 (en) | Method and apparatus for controlling access to encrypted data | |
CN111565107B (zh) | 基于云服务平台的密钥处理方法、装置和计算机设备 | |
EP3123657A1 (en) | Method and apparatus for cloud-assisted cryptography | |
CN113067699B (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
CN111245597A (zh) | 密钥管理方法、***及设备 | |
US20170094507A1 (en) | Wireless application protocol gateway | |
EP3360069A1 (en) | Device and method for password generation in a user device | |
CN112860791A (zh) | 一种跨网数据同步控制***、方法及存储介质 | |
CN106789014A (zh) | 一种生成及使用用户终端密钥的方法和设备 | |
CN111639357B (zh) | 一种加密网盘***及其认证方法和装置 | |
CN104767766A (zh) | 一种Web Service接口验证方法、Web Service服务器、客户端 | |
CN116015767A (zh) | 一种数据处理方法、装置、设备及介质 | |
CN113726515B (zh) | 一种基于ukey的密钥处理方法、存储介质及电子设备 | |
CN111427860B (zh) | 分布式存储***及其数据处理方法 | |
CN114189337A (zh) | 一种固件烧录方法、装置、设备以及存储介质 | |
CN103856938A (zh) | 一种加密解密的方法、***及设备 | |
CN114553557B (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
CN113836546B (zh) | 一种密钥管理方法、装置、设备及存储介质 | |
US20140033318A1 (en) | Apparatus and method for managing usim data using mobile trusted module | |
CN112769805A (zh) | 云密码管理方法、***和存储介质 | |
CN113468584A (zh) | 一种信息管理方法、装置、电子设备及存储介质 | |
CN110691069A (zh) | 终端高权密码的维护管理方法及*** | |
CN108958771A (zh) | 应用程序的更新方法、装置、服务器及存储介质 | |
KR101474744B1 (ko) | 신뢰 보안 플랫폼 모듈(mtm)을 이용한 usim 데이터 관리 장치 및 그 방법 | |
Jeevitha et al. | Data Storage Security and Privacy in Cloud Computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210507 |