CN117914489A - 一种基于密码处理器的云平台密钥配用分发方法及*** - Google Patents

一种基于密码处理器的云平台密钥配用分发方法及*** Download PDF

Info

Publication number
CN117914489A
CN117914489A CN202410133452.0A CN202410133452A CN117914489A CN 117914489 A CN117914489 A CN 117914489A CN 202410133452 A CN202410133452 A CN 202410133452A CN 117914489 A CN117914489 A CN 117914489A
Authority
CN
China
Prior art keywords
key
cloud platform
server
management module
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410133452.0A
Other languages
English (en)
Inventor
顾达晟
张名扬
苏年乐
李大为
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dingchain Digital Technology Shenzhen Co ltd
Original Assignee
Dingchain Digital Technology Shenzhen Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dingchain Digital Technology Shenzhen Co ltd filed Critical Dingchain Digital Technology Shenzhen Co ltd
Priority to CN202410133452.0A priority Critical patent/CN117914489A/zh
Publication of CN117914489A publication Critical patent/CN117914489A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于密码处理器的云平台密钥配用分发方法及***,方法包括:分别对云平台、服务器群进行初始化;云平台管理模块与服务器设备采用SM2算法进行身份认证,认证成功后,对要分发的密钥进行加密,云平台管理模块将密钥密文发送给每台服务器设备,服务器设备对密钥密文进行解密后进行本地存储;云平台管理模块将虚拟机的密钥配用配置信息发送给服务器设备,服务器设备再将密钥配用配置信息推送给自身上的虚拟机。通过构建基于云平台‑服务器设备、服务器设备‑虚拟机的两段式密钥分发流程,减少了云平台一次性分发的数量,出现虚拟机故障的情况下,不会对其他虚拟机的密钥使用造成影响。

Description

一种基于密码处理器的云平台密钥配用分发方法及***
技术领域
本发明涉及密钥分发技术领域,特别涉及一种基于密码处理器的云平台密钥配用分发方法及***。
背景技术
现有场景下,各个云服务提供厂商都提供了基于云平台的国产服务器资源以及国产算法云密码运算服务。其中云密码运算服务能够为应用提供密码运算接口,实现密码能力使用。在当今一些应用数量较大,对密码运算服务性能需求较大的场景下,云平台存在提供多个密码运算服务的需求。在此场景下,应用***需要调用不同密码运算服务并使用相同的密钥。因此存在将同一个密钥统一分发至每台服务器资源内,并最终分发到每台虚拟机内,提供给用户直接使用的需求。
目前主流云服务商提供密码能力,主要通过云服务器上提供密码运算服务接口。服务器与服务器之间无法共用内部密钥,只能通过外部密钥管理***存储,使用时再从外部密钥管理***获取密钥调用,无法使用统一的内部密钥进行业务运算。
发明内容
现有技术场景中,主要通过云服务器提供密码运算服务接口,服务器与服务器之间无法共用内部密钥,无法使用统一的内部密钥进行业务运算。
针对上述问题,提出一种基于密码处理器的云平台密钥配用分发方法及***,通过在云平台和服务器设备上配置密码处理器,增强了密码运算性能,保证密钥能够安全高效的分发到服务器设备上;构建了基于云平台-服务器设备,服务器设备-虚拟机的两段式密钥分发流程,减少了云平台一次性分发的数量,控制在一次性最多分发实体服务器设备的数量;虚拟机的分发则交由服务器设备宿主机分发,减少了分发过程中数据丢失以及遗漏带来的影响,同时每台虚拟机最终都能接收到密钥;每台虚拟机各自管理自己的密钥,出现虚拟机故障的情况下,对其他虚拟机的密钥使用影响为零,出现虚拟机飘移的情况下,飘移后的虚拟机可以继续使用导入的密钥,对密钥的使用影响为零。
第一方面,一种基于密码处理器的云平台密钥配用分发方法,包括:
步骤100、分别对云平台、服务器群进行初始化,其中,所述云平台与所述服务器群通信连接,所述云平台包括云平台管理模块及第一密码处理器,所述服务器群包括多个服务器设备,所述服务器设备包括高速缓存及第二密码处理器;
步骤200、所述云平台管理模块与所述服务器设备采用SM2算法进行身份认证,认证成功后,对要分发的密钥进行加密,所述云平台管理模块将密钥密文发送给每台所述服务器设备,所述服务器设备对所述密钥密文进行解密后进行本地存储;
步骤300、所述云平台管理模块将虚拟机的密钥配用配置信息发送给服务器设备,所述服务器设备再将所述密钥配用配置信息推送给自身上的虚拟机。
结合本发明第一方面所述的基于密码处理器的云平台密钥配用分发方法,第一种可能的实施方式中,所述步骤100包括:
步骤110、所述云平台管理模块利用所述第一密码处理器生成国密签名密钥以及加密密钥,并将签发证书进行导入;
步骤120、所述服务器设备利用第二密码处理器生成国密设备密钥、签名证书以及加密证书;
步骤130、将所述服务器设备信息录入所述云平台管理模块,所述云平台管理模块根据所述服务器设备信息将签发证书发送给所述服务器设备。
结合本发明第一方面第一种可能的实施方式,第二种可能的实施方式中,所述步骤200包括:
步骤210、所述云平台管理模块与服务器设备协商,对要分发的密钥进行加密和解密。
结合本发明第一方面第二种可能的实施方式,第三种可能的实施方式中,所述步骤210包括:
步骤211、所述云平台管理模块与所述服务器设备在身份认证成功后基于双方各自发送的随机数协商出保护密钥;
步骤212、所述服务器设备收到所述密钥密文后分别使用与云平台协商出的保护密钥进行解密。
结合本发明第一方面第一种可能的实施方式,第四种可能的实施方式中,所述步骤200还包括:
步骤220、所述云平台管理模块选择任一所述服务器设备作为主服务器设备进行身份认证,身份认证成功后,利用所述主服务器设备对要分发的密钥进行加密;
步骤230、每台所述服务器设备采用加密私钥对收到的加密密文进行解密。
结合本发明第一方面第四种可能的实施方式,第五种可能的实施方式中,所述步骤220包括:
步骤221、所述主服务器设备内部生成签名私钥、加密私钥以及证书申请文件;
步骤222、所述云平台管理模块将要分发密钥的设备加密证书发送给所述主服务器设备;
步骤223、所述主服务器设备将签名私钥以及加密私钥通过加密证书进行加密,返回给云平台管理模块。
结合本发明第一方面第二种或者第四种可能的实施方式,第六种可能的实施方式中,所述步骤300包括:
步骤310、所述虚拟机通过所述第二密码处理器的虚拟化技术获取虚拟处理器;
步骤320、所述云平台管理模块将所述虚拟机的密钥配用配置信息发送所述服务器设备;
步骤330、所述服务器设备将所述密钥配用配置信息推送给所述虚拟机;
步骤340、所述虚拟机将所述配用配置信息进行本地内部存储。
结合本发明第一方面第六种可能的实施方式,第七种可能的实施方式中,所述方法还包括:
步骤400、所述虚拟机通过所述虚拟密码处理器的密码接口调用所述服务器设备的密码处理器进行密码运算;
步骤500、密码运算完成,通过所述虚拟密码处理器将运算结果返回给所述虚拟机的应用。
结合本发明第一方面第七种可能的实施方式,第八种可能的实施方式中,所述步骤400包括:
步骤410、所述虚拟机内读取本地密钥配用信息获取密钥号或者密钥标识;
步骤420、将所述密钥号或者密钥标识通过虚拟化技术传输到第二密码处理器的密码接口;
步骤430、通过所述密码接口调用所述第二密码处理器进行运算。
第二方面,一种基于密码处理器的云平台密钥配用分发***,采用第一方面所述的方法,包括:
云平台;
服务器群;
所述云平台与所述服务器群通信连接;
所述云平台包括云平台管理模块、第一密码处理器,所述服务器群包括多个相互通信连接的服务器设备,所述服务器设备包括第二密码处理器;
所述云平台管理模块与所述服务器设备采用SM2算法进行身份认证,认证成功后,对要分发的密钥进行加密,所述云平台管理模块将密钥密文发送给每台所述服务器设备,所述服务器设备对所述密钥密文进行解密后进行本地存储;
所述云平台管理模块还用于将虚拟机的密钥配用配置信息发送给所述服务器设备,所述服务器设备再推送给自身上的虚拟机。
实施本发明所述的基于密码处理器的云平台密钥配用分发方法及***,通过在云平台和服务器设备上配置密码处理器,增强了密码运算性能,保证密钥能够安全高效的分发到服务器设备上;构建了基于云平台-服务器设备,服务器设备-虚拟机的两段式密钥分发流程,减少了云平台一次性分发的数量,控制在一次性最多分发实体服务器设备的数量;虚拟机的分发则交由服务器设备宿主机分发,减少了分发过程中数据丢失以及遗漏带来的影响,同时每台虚拟机最终都能接收到密钥;每台虚拟机各自管理自己的密钥,出现虚拟机故障的情况下,对其他虚拟机的密钥使用影响为零,出现虚拟机飘移的情况下,飘移后的虚拟机可以继续使用导入的密钥,对密钥的使用影响为零。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第一流程示意图;
图2为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第二流程示意图;
图3为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第三流程示意图;
图4为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第四流程示意图;
图5为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第五流程示意图;
图6为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第六流程示意图;
图7为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第七流程示意图;
图8为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第八流程示意图;
图9为本发明所述的一种基于密码处理器的云平台密钥配用分发***示意图。
具体实施方式
下面将结合发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的其他实施例,都属于本发明保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
需要说明的是,当元件被称为“固定于”或“设置于”另一个元件,它可以直接在另一个元件上或者间接在该另一个元件上。当一个元件被称为是“连接于”另一个元件,它可以是直接连接到另一个元件或间接连接至该另一个元件上。
需要理解的是,术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
现有技术场景中,主要通过云服务器提供密码运算服务接口,服务器与服务器之间无法共用内部密钥,无法使用统一的内部密钥进行业务运算。
针对上述问题,提出一种基于密码处理器的云平台密钥配用分发方法及***。
实施例1对称式密钥分发配用
第一方面,如图1,图1为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第一流程示意图;一种基于密码处理器的云平台密钥配用分发方法,包括:
步骤100、分别对云平台、服务器群进行初始化,其中,云平台与服务器群通信连接,云平台包括云平台管理模块及第一密码处理器,服务器群包括多个服务器设备,服务器设备包括高速缓存及第二密码处理器。
优选地,如图2,图2为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第二流程示意图;步骤100包括:步骤110、云平台管理模块利用第一密码处理器生成国密签名密钥以及加密密钥,并将签发证书进行导入;步骤120、服务器设备利用第二密码处理器生成国密设备密钥、签名证书以及加密证书;步骤130、将服务器设备信息录入云平台管理模块,云平台管理模块根据服务器设备信息将签发证书发送给服务器设备。
密钥:密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。加密/解密:通过密码运算将明文信息变为密文,使之在缺少特殊信息时不可读;解密为通过密码运算将密文信息进行还原,得到加密前的原数据。
第一密码处理器、第二密码处理器基于普通处理器增加了密码协处理器,由密码协处理器支撑完成各类基础密码运算,特点是高性能以及安全性,涉及密钥相关运算以及密钥的存储都在处理器内部。
云平台进行初始化,使用自身处理器(第一密码处理器)的密码能力生成管理平台的国密签名密钥以及加密密钥,并签发证书进行导入;实体服务器设备资源进行初始化,使用自身处理器(第二密码处理器)的密码能力生成国密算法的设备密钥以及签名证书以及加密证书;实体服务器信息录入云管理平台***,包括服务器设备(也就是宿主机)ip,名称,通讯端口等;云平台根据录入的服务器设备信息将自身的证书发送给服务器设备。
步骤200、云平台管理模块与服务器设备采用SM2算法进行身份认证,认证成功后,对要分发的密钥进行加密,云平台管理模块将密钥密文发送给每台服务器设备,服务器设备对密钥密文进行解密后进行本地存储。
SM2:是国家密码管理局发布的椭圆曲线公钥密码算法,属于公钥密码算法,性能高,密码复杂度高,处理速度块。
优选地,步骤200包括:
步骤210、云平台管理模块与服务器设备协商,对要分发的密钥进行加密和解密。
优选地,如图3,图3为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第三流程示意图;步骤210包括:步骤211、云平台管理模块与服务器设备在身份认证成功后基于双方各自发送的随机数协商出保护密钥;步骤212、服务器设备收到密钥密文后分别使用与云平台协商出的保护密钥进行解密。
云平台管理模块首先与各个服务器设备协商保护密钥,该过程基于国密SM2算法进行身份认证,认证身份成功后基于双方各自发送的随机数协商出保护密钥。
云平台管理模块使用保护密钥对将要分发的密钥进行加密,将密钥密文发送给每台服务器设备,同时发送给每台服务器设备的虚拟机信息,每台服务器设备分别使用与云平台协商出的保护密钥进行解密,并保存在设备本地。
云平台初始化后录入服务器设备信息,将服务器设备的证书导入,录入成功后将平台自身的证书发送给服务器设备。
首先由云平台管理***进行密钥分发,使用服务器设备(也就是宿主机)的加密证书将密钥进行加密后分发给服务器设备。
服务器设备解密密钥后存储到本地密码处理器内部。
步骤300、云平台管理模块将虚拟机的密钥配用配置信息发送给服务器设备,服务器设备再将密钥配用配置信息推送给自身上的虚拟机。
优选地,如图4,图4为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第四流程示意图;步骤300包括:步骤310、虚拟机通过第二密码处理器的虚拟化技术获取虚拟处理器;步骤320、云平台管理模块将虚拟机的密钥配用配置信息发送服务器设备;步骤330、服务器设备将密钥配用配置信息推送给虚拟机;步骤340、虚拟机将配用配置信息进行本地内部存储。
服务器设备自身上的虚拟机,通过第二密码处理器的虚拟化技术,生成虚拟处理器,每个虚拟处理器里都包含分发的密钥。
云平台管理模块将虚拟机的密钥配用配置信息发送给服务器设备,服务器设备再推送给自身上的虚拟机;
虚拟机将密钥配用信息导入到自身内部进行存储。
优选地,如图5,图5为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第五流程示意图,方法还包括:
步骤400、虚拟机通过虚拟密码处理器的密码接口调用服务器设备的密码处理器进行密码运算;步骤500、密码运算完成,通过虚拟密码处理器将运算结果返回给虚拟机的应用。
优选地,如图6,图6为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第六流程示意图;步骤400包括:步骤410、所述虚拟机内读取本地密钥配用信息获取密钥号或者密钥标识;步骤420、将所述密钥号或者密钥标识通过虚拟化技术传输到第二密码处理器的密码接口;步骤430、通过所述密码接口调用所述第二密码处理器进行运算。
虚拟机内的应用调用密码运算时,读取本地密钥配用信息,将获取到的密钥号或者密钥标识传入密码处理器提供的密码运算接口。
虚拟机内的密码处理器通过虚拟化技术,调用到服务器设备(宿主机)上的密码处理器(第二密码处理器),进行密码运算;
虚拟机内的虚拟密码处理器通过服务器设备(宿主机)的第二密码处理器完成密码运算,将结果返回给虚拟机的应用,实现云平台内密钥的统一分发以及高性能使用。
实施2非对称式密钥分发配用
优选地,如图7,图7为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第七流程示意图;步骤200还包括:步骤220、云平台管理模块选择任一服务器设备作为主服务器设备进行身份认证,身份认证成功后,利用主服务器设备对要分发的密钥进行加密;步骤230、每台服务器设备采用加密私钥对收到的加密密文进行解密。
优选地,如图8,图8为本发明所述的一种基于密码处理器的云平台密钥配用分发方法第八流程示意图;步骤220包括:步骤221、主服务器设备内部生成签名私钥、加密私钥以及证书申请文件;步骤222、云平台管理模块将要分发密钥的设备加密证书发送给主服务器设备;步骤223、主服务器设备将签名私钥以及加密私钥通过加密证书进行加密,返回给云平台管理模块。
实施2与实施1不同的是,在身份认证、密钥加密和解密等步骤不同,其他步骤则与实施例1同理。
云平台管理模块首先随机选中一台主要服务器设备进行互认,该过程基于国密SM2算法进行身份认证,认证身份成功后进行证书申请,这台主要服务器设备内部生成签名私钥、加密私钥以及证书申请文件,最后将双证书导入。
管理模块将其他要分发的设备加密证书发送给这一台主要服务器设备。
这台主要设备将需要分发的签名私钥以及加密私钥通过加密证书进行加密,返回给云平台管理模块。
云平台管理模块将密钥密文发送给每台服务器设备,同时发送给每台服务器设备的虚拟机信息,每台服务器设备分别使用自己加密私钥进行解密,并保存在设备本地。通过在云平台和服务器设备上配置密码处理器,增强了密码运算性能,保证密钥能够安全高效的分发到服务器设备上;构建了基于云平台-服务器设备,服务器设备-虚拟机的两段式密钥分发流程,减少了云平台一次性分发的数量,控制在一次性最多分发实体服务器设备的数量;虚拟机的分发则交由服务器设备宿主机分发,减少了分发过程中数据丢失以及遗漏带来的影响,同时每台虚拟机最终都能接收到密钥;每台虚拟机各自管理自己的密钥,出现虚拟机故障的情况下,对其他虚拟机的密钥使用影响为零,出现虚拟机飘移的情况下,飘移后的虚拟机可以继续使用导入的密钥,对密钥的使用影响为零。
实施例3
第二方面,如图9,图9为本发明所述的一种基于密码处理器的云平台密钥配用分发***示意图。一种基于密码处理器的云平台密钥配用分发***,采用第一方面的方法,包括云平台、服务器群;云平台与服务器群通信连接;云平台包括云平台管理模块、第一密码处理器,服务器群包括多个相互通信连接的服务器设备,服务器设备包括第二密码处理器;云平台管理模块与服务器设备采用SM2算法进行身份认证,认证成功后,对要分发的密钥进行加密,云平台管理模块将密钥密文发送给每台服务器设备,服务器设备对密钥密文进行解密后进行本地存储;云平台管理模块还用于将虚拟机的密钥配用配置信息发送给服务器设备,服务器设备再推送给自身上的虚拟机。
服务器群可以包括服务器设备1、服务器设备2、…、服务器设备n。
其中云管平台云平台作为管理***,对接服务器设备(也就是实体服务器或者宿主机),同时分配服务器设备资源,生成并管理虚拟机。其中每台服务器设备内置了具有密码能力的处理器(第二密码处理器),并通过虚拟化技术使得基于该服务器设备生成的虚拟机也能使用到密码处理器接口的能力。
每一服务器设备还包括高速缓存、密钥管理服务模块,其可以生成多个虚拟机以及对应的虚拟密钥管理服务模块和虚拟密码处理器。
实施本发明的基于密码处理器的云平台密钥配用分发方法及***,通过在云平台和服务器设备上配置密码处理器,增强了密码运算性能,保证密钥能够安全高效的分发到服务器设备上;构建了基于云平台-服务器设备,服务器设备-虚拟机的两段式密钥分发流程,减少了云平台一次性分发的数量,控制在一次性最多分发实体服务器设备的数量;虚拟机的分发则交由服务器设备宿主机分发,减少了分发过程中数据丢失以及遗漏带来的影响,同时每台虚拟机最终都能接收到密钥;每台虚拟机各自管理自己的密钥,出现虚拟机故障的情况下,对其他虚拟机的密钥使用影响为零,出现虚拟机飘移的情况下,飘移后的虚拟机可以继续使用导入的密钥,对密钥的使用影响为零。
以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于密码处理器的云平台密钥配用分发方法,特征在于,包括:
步骤100、分别对云平台、服务器群进行初始化,其中,所述云平台与所述服务器群通信连接,所述云平台包括云平台管理模块及第一密码处理器,所述服务器群包括多个服务器设备,所述服务器设备包括高速缓存及第二密码处理器;
步骤200、所述云平台管理模块与所述服务器设备采用SM2算法进行身份认证,认证成功后,对要分发的密钥进行加密,所述云平台管理模块将密钥密文发送给每台所述服务器设备,所述服务器设备对所述密钥密文进行解密后进行本地存储;
步骤300、所述云平台管理模块将虚拟机的密钥配用配置信息发送给服务器设备,所述服务器设备再将所述密钥配用配置信息推送给自身上的虚拟机。
2.根据权利要求1所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤100包括:
步骤110、所述云平台管理模块利用所述第一密码处理器生成国密签名密钥以及加密密钥,并将签发证书进行导入;
步骤120、所述服务器设备利用第二密码处理器生成国密设备密钥、签名证书以及加密证书;
步骤130、将所述服务器设备信息录入所述云平台管理模块,所述云平台管理模块根据所述服务器设备信息将签发证书发送给所述服务器设备。
3.根据权利要求1所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤200包括:
步骤210、所述云平台管理模块与服务器设备协商,对要分发的密钥进行加密和解密。
4.根据权利要求3所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤210包括:
步骤211、所述云平台管理模块与所述服务器设备在身份认证成功后基于双方各自发送的随机数协商出保护密钥;
步骤212、所述服务器设备收到所述密钥密文后分别使用与云平台协商出的保护密钥进行解密。
5.根据权利要求2所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤200还包括:
步骤220、所述云平台管理模块选择任一所述服务器设备作为主服务器设备进行身份认证,身份认证成功后,利用所述主服务器设备对要分发的密钥进行加密;
步骤230、每台所述服务器设备采用加密私钥对收到的加密密文进行解密。
6.根据权利要求5所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤220包括:
步骤221、所述主服务器设备内部生成签名私钥、加密私钥以及证书申请文件;
步骤222、所述云平台管理模块将要分发密钥的设备加密证书发送给所述主服务器设备;
步骤223、所述主服务器设备将签名私钥以及加密私钥通过加密证书进行加密,返回给云平台管理模块。
7.根据权利要求3或5所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤300包括:
步骤310、所述虚拟机通过所述第二密码处理器的虚拟化技术获取虚拟处理器;
步骤320、所述云平台管理模块将所述虚拟机的密钥配用配置信息发送所述服务器设备;
步骤330、所述服务器设备将所述密钥配用配置信息推送给所述虚拟机;
步骤340、所述虚拟机将所述配用配置信息进行本地内部存储。
8.根据权利要求7所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述方法还包括:
步骤400、所述虚拟机通过所述虚拟密码处理器的密码接口调用所述服务器设备的密码处理器进行密码运算;
步骤500、密码运算完成,通过所述虚拟密码处理器将运算结果返回给所述虚拟机的应用。
9.根据权利要求8所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤400包括:
步骤410、所述虚拟机内读取本地密钥配用信息获取密钥号或者密钥标识;
步骤420、将所述密钥号或者密钥标识通过虚拟化技术传输到第二密码处理器的密码接口;
步骤430、通过所述密码接口调用所述第二密码处理器进行运算。
10.一种基于密码处理器的云平台密钥配用分发***,采用权利要求1-9任一项所述的方法,其特征在于,包括:
云平台;
服务器群;
所述云平台与所述服务器群通信连接;
所述云平台包括云平台管理模块、第一密码处理器,所述服务器群包括多个相互通信连接的服务器设备,所述服务器设备包括第二密码处理器;
所述云平台管理模块与所述服务器设备采用SM2算法进行身份认证,认证成功后,对要分发的密钥进行加密,所述云平台管理模块将密钥密文发送给每台所述服务器设备,所述服务器设备对所述密钥密文进行解密后进行本地存储;
所述云平台管理模块还用于将虚拟机的密钥配用配置信息发送给所述服务器设备,所述服务器设备再推送给自身上的虚拟机。
CN202410133452.0A 2024-01-31 2024-01-31 一种基于密码处理器的云平台密钥配用分发方法及*** Pending CN117914489A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410133452.0A CN117914489A (zh) 2024-01-31 2024-01-31 一种基于密码处理器的云平台密钥配用分发方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410133452.0A CN117914489A (zh) 2024-01-31 2024-01-31 一种基于密码处理器的云平台密钥配用分发方法及***

Publications (1)

Publication Number Publication Date
CN117914489A true CN117914489A (zh) 2024-04-19

Family

ID=90685855

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410133452.0A Pending CN117914489A (zh) 2024-01-31 2024-01-31 一种基于密码处理器的云平台密钥配用分发方法及***

Country Status (1)

Country Link
CN (1) CN117914489A (zh)

Similar Documents

Publication Publication Date Title
JP7119040B2 (ja) データ伝送方法、装置およびシステム
US10243742B2 (en) Method and system for accessing a device by a user
US8499156B2 (en) Method for implementing encryption and transmission of information and system thereof
EP2767029B1 (en) Secure communication
CN109800588B (zh) 条码动态加密方法及装置、条码动态解密方法及装置
CN103986723B (zh) 一种保密通信控制、保密通信方法及装置
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
CN112766962A (zh) 证书的接收、发送方法及交易***、存储介质、电子装置
CN111901335B (zh) 基于中台的区块链数据传输管理方法及***
CN110266483A (zh) 基于非对称密钥池对和qkd的量子通信服务站密钥协商方法、***、设备
CN113422753B (zh) 数据处理方法、装置、电子设备及计算机存储介质
CN112054905B (zh) 一种移动终端的安全通信方法及***
CN117914489A (zh) 一种基于密码处理器的云平台密钥配用分发方法及***
Yoon et al. Security enhancement scheme for mobile device using H/W cryptographic module
KR100401063B1 (ko) 패스워드 기반 키교환 방법 및 그 시스템
CN105791301A (zh) 一种面向多用户组群信密分离的密钥分发管理方法
CN109347735A (zh) 一种基于应用集成插件的安全数据交换方法
CN114205170B (zh) 跨接口平台组网通信及服务加密调用方法
CN113676468B (zh) 一种基于消息验证技术的三方增强认证***设计方法
CN113411347B (zh) 交易报文的处理方法及处理装置
CN115001705B (zh) 一种基于加密设备的网络协议安全提升方法
Scholar et al. Easy and Secure Smart SMS Protocol on M-Health Environment in Mobile Computing
CN112866209B (zh) 透析数据安全管理***及方法
Yeun et al. Secure software download for programmable mobile user equipment
CN112800456A (zh) 电子健康卡加密前置服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination