CN109274646B - 基于kmip协议的密钥管理客户端服务端方法和系统及介质 - Google Patents
基于kmip协议的密钥管理客户端服务端方法和系统及介质 Download PDFInfo
- Publication number
- CN109274646B CN109274646B CN201810962729.5A CN201810962729A CN109274646B CN 109274646 B CN109274646 B CN 109274646B CN 201810962729 A CN201810962729 A CN 201810962729A CN 109274646 B CN109274646 B CN 109274646B
- Authority
- CN
- China
- Prior art keywords
- key
- client
- kmip
- server
- mirror image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000008569 process Effects 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 13
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于KMIP协议的密钥管理客户端服务端方法和系统及介质,包括Libvirt密钥分发模块、客户端、服务端、KMIP协议通信模块;Libvirt密钥分发模块驱动客户端连接到服务端,客户端访问服务端获取密钥,服务端管理密钥、分发密钥,KMIP协议通信模块基于KMIP协议实现客户端与服务端之间的通讯信息交换。实现密钥与被保护对象之间的分离存储,确保密钥和对象不被同时窃取;用高强度密钥生成算法,避免原生Libvirt使用简单的口令作为密钥;使用KMIP协议作为通信协议,实现对密钥生命周期的统一操作,有效解决开源Libvirt不能满足国家保密要求的密钥管理问题。
Description
技术领域
本发明涉及数据中心的数据安全领域,具体地,涉及一种基于KMIP协议的密钥管理客户端、服务端方法和系统及介质。
背景技术
Libvirt是用于管理虚拟化平台的开源的API,后台程序和管理工具。它可以用于管理KVM、Xen、VMware ESX,QEMU和其他虚拟化技术。这些API在云计算的解决方案中广泛使用。开源的Libvirt实现提供了一个简单的虚拟机密钥管理机制。这套机制使用宿主系统提供的开源的加解密算法对用户输入的口令进行计算,然后生成密钥;并以文本方式保存在本地。这种机制造成密钥的强度不高且密钥的安全性低,不满足国家的保密要求。
KMIP(Key Management Interoperability Protocol)是一种通信协议,该协议定义了在密钥管理服务器上操作加密密钥的消息格式。密钥可能在服务器上被创建、和检索,可能被其他密钥封装,KMIP定义了用于在服务器上执行加密、解密操作的消息格式。通过KIMP通讯协议对Libvirt产生的虚拟机密钥进行二次封装,形成强度高且安全性高的密钥研究具有很大现实意义。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种基于KMIP协议的密钥管理客户端服务端方法和系统及介质。
根据本发明提供的一种基于KMIP协议的密钥管理客户端方法,包括:
与服务端建立连接步骤:接收由QEMU创建的镜像标识,接收由Libvirt发送的密钥请求,通过终端证书、配置服务端IP地址和端口,与服务端建立连接;
向服务端发起密钥协商请求步骤:接收到服务端发送对的身份认证成功消息之后,向服务端发起密钥协商请求;
接收服务端保护密钥步骤:接收服务端生成的会话密钥、第二保护密钥;
向服务端发送镜像标识步骤:使用会话密钥解密第二保护密钥,获得第一保护密钥,使用会话密钥加密第一镜像标识,获得第二镜像标识,向服务端发送第二镜像标识;
接收服务端密钥步骤:接收服务端发送的镜像加密密钥,将所述镜像加密密钥发送给Libvirt进行密钥分发。
根据本发明提供的一种基于KMIP协议的密钥管理服务端方法,包括:
验证客户端身份步骤:对客户端发起的连接请求,进行身份验证,将身份验证结果发送给客户端;
密钥协商步骤:接收客户端发起的密钥协商请求,对密钥协商生成会话密钥,将密钥协商结果发送给客户端;
保护密钥检索步骤:在服务端数据库中进行检索客户端的保护密钥,获得第一保护密钥,使用会话密钥对第一保护密钥进行加密,获得第二保护密钥,将第二保护密钥发送给客户端;
检索镜像标识步骤:接收客户端发送的第二镜像标识,使用会话密钥对第二镜像标识进行解密,获得第一镜像标识,在数据库中检索第一镜像标识,并检索与第一镜像标识对应的镜像密钥,获得第一镜像加密密钥,将所述第一镜像加密密钥发送给客户端。
优选地,所述身份验证结果为验证通过或验证不通过,当所述身份验证结果为验证通过时,将身份验证成功消息发送给客户端,当所述身份验证结果为验证不通过时,将身份验证结果记录到系统日志文件,终止连接;
优选地,所述密钥协商结果为协商成功或协商不成功,当所述密钥协商结果为协商成功时,将密钥协商成功消息发送给客户端,当所述密钥协商结果为协商不成功时,将密钥协商结果记录到系统日志文件,终止连接。
优选地,所述保护密钥检索步骤中,当未获得第一保护密钥时,终止连接,销毁会话密钥,将检索结果记录到系统日志文件。
优选地,所述检索镜像标识步骤中,当未检索到第一镜像标识时,判定客户端请求是否为启动过程,当客户端请求为启动过程时,则发送启动过程无需镜像密钥消息给客户端;当客户端请求不是启动过程时,则生成第二镜像加密密钥,保存第一镜像标识与第二镜像加密密钥的对应关系,将所述镜像加密密钥发送给客户端。
优选地,所述检索镜像标识步骤中,当未检索到第一镜像加密密钥时,判定客户端请求是否为启动过程,当客户端请求为启动过程时,则发送启动过程无需镜像密钥消息给客户端;当客户端请求不是启动过程时,则生成第二镜像加密密钥,更新第一镜像标识与第二镜像加密密钥的对应关系,将所述镜像加密密钥发送给客户端;
优选地,基于KMIP协议的密钥管理服务端方法还包括镜像加密密钥生成步骤:
生成新的密钥,记为第一密钥;
使用保护密钥加密第一密钥,将加密后的密钥记为第二密钥;
使用会话密钥加密第二密钥,将加密后的密钥记为第三密钥;
保存第三密钥与第一镜像标识的对应关系,将第三密钥作为新生成的镜像加密密钥;
根据本发明提供的一种基于KMIP协议的密钥管理系统,包括Libvirt密钥分发模块、客户端、服务端、KMIP协议通信模块;
Libvirt密钥分发模块驱动客户端连接到服务端;
客户端访问服务端获取密钥;
服务端管理密钥、分发密钥;
KMIP协议通信模块基于KMIP协议实现客户端与服务端之间的通讯信息交换。
根据本发明提供的一种存储有计算机程序的计算机可读存储介质,所述计算机程序被处理器执行时实现以上任一项所述的方法的步骤。
与现有技术相比,本发明具有如下的有益效果:
1、实现密钥与被保护对象之间的分离存储,确保密钥和对象不被同时窃取;
2、使用高强度密钥生成算法,避免原生Libvirt使用简单的口令作为密钥;
3、使用KMIP协议作为通信协议,实现对密钥生命周期的统一操作。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为基于KMIP协议的密钥管理系统的原理框架图;
图2为基于KMIP协议的密钥管理系统的业务流程图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
针对目前开源Libvirt不能满足国家保密要求的密钥管理部分,基于KMIP协议对密钥管理模块的功能进行必要的重新开发和实现。本发明使用具备国家保密资质的硬件加密算法产生高强度的密钥;使用保护密钥对产生密钥进行保护存放;对密钥与被保护对象进行隔离,并单独存放,以避免两者同时被泄漏。
如图1所示,本发明公开了一种基于KMIP协议的密钥管理系统,包括Libvirt密钥分发模块、客户端、服务端、KMIP协议通信模块;Libvirt密钥分发模块驱动客户端连接到服务端,Libvirt密钥分发模块是一个驱动程序,是Libvirt的一个组成部分,使用KMIP协议与客户端交互;客户端访问服务端获取密钥;服务端管理密钥、分发密钥,服务端主要包括密钥管理、虚拟机管理、密钥与虚拟机对管理,服务端基于KMIP协议实现对密钥的全生命周期进行管理以及密钥的分发;KMIP协议通信模块基于KMIP协议实现客户端与服务端之间的通讯信息交换,提供一套处理KMIP协议的共享库,客户端和服务端使用它来完成彼此之间的信息交换。
所述系统中的客户端是通过基于KMIP协议的密钥管理客户端方法实现,所述方法包括:与服务端建立连接步骤:接收由QEMU创建的镜像标识,接收由Libvirt发送的密钥请求,通过终端证书、配置服务端IP地址和端口,与服务端建立连接;向服务端发起密钥协商请求步骤:接收到服务端发送对的身份认证成功消息之后,向服务端发起密钥协商请求;接收服务端保护密钥步骤:接收服务端生成的会话密钥、第二保护密钥;向服务端发送镜像标识步骤:使用会话密钥解密第二保护密钥,获得第一保护密钥,使用会话密钥加密第一镜像标识,获得第二镜像标识,向服务端发送第二镜像标识;接收服务端密钥步骤:接收服务端发送的镜像加密密钥,将所述镜像加密密钥发送给Libvirt进行密钥分发。在客户端请求与服务端建立连接之前,服务端给客户端分配终端证书、保护密钥,终端证书存放在客户端,终端证书对应的保护密钥存放在服务端。
所述系统中的服务端端是通过基于KMIP协议的密钥管理服务端方法实现,所述方法包括:验证客户端身份步骤:对客户端发起的连接请求,进行身份验证,将身份验证结果发送给客户端;密钥协商步骤:接收客户端发起的密钥协商请求,对密钥协商生成会话密钥,将密钥协商结果发送给客户端;保护密钥检索步骤:在服务端数据库中进行检索客户端的保护密钥,获得第一保护密钥,使用会话密钥对第一保护密钥进行加密,获得第二保护密钥,将第二保护密钥发送给客户端;检索镜像标识步骤:接收客户端发送的第二镜像标识,使用会话密钥对第二镜像标识进行解密,获得第一镜像标识,在数据库中检索第一镜像标识,并检索与第一镜像标识对应的镜像密钥,获得第一镜像加密密钥,将所述第一镜像加密密钥发送给客户端。
具体地,所述身份验证结果为验证通过或验证不通过,当所述身份验证结果为验证通过时,将身份验证成功消息发送给客户端,当所述身份验证结果为验证不通过时,将身份验证结果记录到系统日志文件,终止连接。
具体地,所述密钥协商结果为协商成功或协商不成功,当所述密钥协商结果为协商成功时,将密钥协商成功消息发送给客户端,当所述密钥协商结果为协商不成功时,将密钥协商结果记录到系统日志文件,终止连接。
具体地,所述保护密钥检索步骤中,当未获得第一保护密钥时,终止连接,销毁会话密钥,将检索结果记录到系统日志文件。
具体地,所述检索镜像标识步骤中,当未检索到第一镜像标识时,判定客户端请求是否为启动过程,当客户端请求为启动过程时,则发送启动过程无需镜像密钥消息给客户端;当客户端请求不是启动过程时,即当客户端请求是加密过程时,则生成第二镜像加密密钥,保存第一镜像标识与第二镜像加密密钥的对应关系,将所述镜像加密密钥发送给客户端;
具体地,所述检索镜像标识步骤中,当未检索到第一镜像加密密钥时,判定客户端请求是否为启动过程,当客户端请求为启动过程时,则发送启动过程无需镜像密钥消息给客户端;当客户端请求不是启动过程时,即当客户端请求是加密过程时,则生成第二镜像加密密钥,更新第一镜像标识与第二镜像加密密钥的对应关系,将所述镜像加密密钥发送给客户端;
具体地,还包括镜像加密密钥生成步骤:生成新的密钥,记为第一密钥;使用保护密钥加密第一密钥,将加密后的密钥记为第二密钥;使用会话密钥加密第二密钥,将加密后的密钥记为第三密钥;保存第三密钥与第一镜像标识的对应关系,将第三密钥作为新生成的镜像加密密钥。
本发明公开了一种存储有计算机程序的计算机可读存储介质,所述计算机程序被处理器执行时实现上述的方法的步骤。
在具体的实施中首先通过开源的Libvirt实现密钥分发模块,其次通过开源的PyKMIP实现KMIP协议,再次实现基于KMIP协议的密钥管理服务器。
以下对整个系统的业务流程如下:
1)KMIP客户端向服务端申请一个客户端的终端证书;
2)在KMIP客户端一侧配置服务端的IP地址和端口;
3)KMIP服务器为一个KMIP客户端生成证书的同时,为这个客户端生成一个KEK(保护密钥);
4)使用QEMU创建一个镜像;
5)Libvirt密钥分发模块驱动KMIP客户端使用证书连接到服务端;
6)服务端验证KMIP客户端的身份;
7)如果6)的验证结果为成功,则KMIP客户端的身份被服务端接受,它将向转到9)继续执行;
8)如果6)的验证结果为失败,则:
a)服务端将拒绝KMIP客户端的连接请求,
b)记录到系统日志中
c)退出请求处理。
9)在收到服务端接受消息后,客户端发起密钥协商请求;
10)如果9)的请求结果为成功,则密钥协商成功,客户端和服务器同时拥有了一个相同的SK(会话密钥);并转入12;
11)如果9)的请求结果为失败,则:
a)服务端将终止与客户端的连接,
b)记录系统日志;
12)服务端从数据库中检索出KMIP客户端的KEK;
13)如果12)的检索结果为成功,则返回KEK;并转入15;
14)如果12)的检索结果为不成功,则:
a)服务端将终止与KMIP客户端的连接,
b)销毁会话密钥
c)记录日志
15)服务端使用协商出来的会话密钥加密这个KEK;
16)服务端将加密后的KEK发送给KMIP客户端;
17)KMIP客户端使用在第10步协商出来的会话密钥还原这个KEK;
18)然后,KMIP客户端向服务端发送将被加密的镜像的标识;
19)服务端接收到请求后,将在数据库中检索与镜像标识对应的密钥;
20)如果在第19步中检索到密钥,将转入22
21)如果在第19步中没有检索密钥,
a)如果是启动过程
i.服务端将直接通知KMIP客户端;
ii.KMIP客户端将错误返回Libvirt密钥分发模块;
iii.Libvirt密钥分发模块通知Libvirt终止镜像的启动过程;
b)如果是加密过程
i.服务端检索密钥库中,
1.有未被使用且未过期的密钥,
2.如果没有可用的密钥,服务器生成新的密钥;
3.将这个密钥与第18步客户端提供的镜像标识绑定;
22)通过第20、21两步,服务端最终获取一个用于镜像加密的密钥;
23)服务端使用KMIP客户端的KEK将这个密钥进行加密;
24)之后,将加密后的密钥使用会话密钥加密;
25)经过第23、24后,将密钥传递到KMIP客户端;
26)KMIP客户端将获取的密钥返回给libvirt密钥分发模块;Libvirt密钥分发模块返回密钥给Libvirt的加密算法。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
Claims (9)
1.一种基于KMIP协议的密钥管理客户端方法,其特征在于,包括:
与服务端建立连接步骤:通过KMIP客户端向KMIP服务端申请一个KMIP客户端的终端证书,KMIP客户端一侧配置KMIP服务端的IP地址和端口,KMIP服务器为一个KMIP客户端生成证书的同时,为这个KMIP客户端生成一个保护密钥KEK,使用QEMU创建一个镜像即第一镜像标识,Libvirt密钥分发模块驱动KMIP客户端使用证书连接到KMIP服务端;向服务端发起密钥协商请求步骤:在收到KMIP服务端接受消息后,KMIP客户端发起密钥协商请求,如果请求结果为成功,则密钥协商成功,KMIP客户端和KMIP服务器同时拥有了一个相同的会话密钥,KMIP服务端从数据库中检索出KMIP客户端的KEK,如果检索结果为成功,则返回KEK,服务端使用协商出来的会话密钥加密这个KEK,服务端将加密后的KEK即第二保护密钥发送给KMIP客户端;
接收服务端保护密钥步骤:KMIP客户端接收KMIP服务端生成的会话密钥、第二保护密钥;
向服务端发送镜像标识步骤:KMIP客户端使用会话密钥解密第二保护密钥,获得第一保护密钥,使用会话密钥加密第一镜像标识,获得第二镜像标识,向服务端发送第二镜像标识;
接收服务端密钥步骤:KMIP客户端向KMIP服务端发送镜像标识后,KMIP服务端检索出与第二镜像标识对应的会话密钥,利用第一保护密钥以及会话密钥加密后得到的第二镜像标识加密密钥发送给Libvirt密钥分发模块进行密钥分发。
2.一种基于KMIP协议的密钥管理服务端方法,其特征在于,包括:
验证客户端身份步骤:对客户端发起的连接请求,进行身份验证,将身份验证结果发送给客户端;
密钥协商步骤:接收客户端发起的密钥协商请求,对密钥协商生成会话密钥,将密钥协商结果发送给客户端;
保护密钥检索步骤:在服务端数据库中进行检索客户端的保护密钥,获得第一保护密钥,使用会话密钥对第一保护密钥进行加密,获得第二保护密钥,将第二保护密钥发送给客户端;
检索镜像标识步骤:接收客户端发送的第二镜像标识,使用第二镜像标识加密密钥对第二镜像标识进行解密,获得第一镜像标识,在数据库中检索第一镜像标识,并检索与第一镜像标识对应的镜像标识加密密钥,获得第一镜像标识加密密钥,将所述第一镜像加密密钥发送给客户端。
3.根据权利要求2所述的基于KMIP协议的密钥管理服务端方法,其特征在于,所述身份验证结果为验证通过或验证不通过,当所述身份验证结果为验证通过时,将身份验证成功消息发送给客户端,当所述身份验证结果为验证不通过时,将身份验证结果记录到系统日志文件,终止连接。
4.根据权利要求2所述的基于KMIP协议的密钥管理服务端方法,其特征在于,所述密钥协商结果为协商成功或协商不成功,当所述密钥协商结果为协商成功时,将密钥协商成功消息发送给客户端,当所述密钥协商结果为协商不成功时,将密钥协商结果记录到系统日志文件,终止连接。
5.根据权利要求2所述的基于KMIP协议的密钥管理服务端方法,其特征在于,所述保护密钥检索步骤中,当未获得第一保护密钥时,终止连接,销毁会话密钥,将检索结果记录到系统日志文件。
6.根据权利要求2所述的基于KMIP协议的密钥管理服务端方法,其特征在于,所述检索镜像标识步骤中,当未检索到第一镜像标识时,判定客户端请求是否为启动过程,当客户端请求为启动过程时,则发送启动过程无需镜像密钥消息给客户端;当客户端请求不是启动过程时,则生成第二镜像加密密钥,保存第一镜像标识与第二镜像加密密钥的对应关系,将所述镜像加密密钥发送给客户端。
7.根据权利要求2所述的基于KMIP协议的密钥管理服务端方法,其特征在于,所述检索镜像标识步骤中,当未检索到第一镜像加密密钥时,判定客户端请求是否为启动过程,当客户端请求为启动过程时,则发送启动过程无需镜像密钥消息给客户端;当客户端请求不是启动过程时,则生成第二镜像加密密钥,更新第一镜像标识与第二镜像加密密钥的对应关系,将所述镜像加密密钥发送给客户端。
8.根据权利要求2所述的基于KMIP协议的密钥管理服务端方法,其特征在于,还包括镜像加密密钥生成步骤:
生成新的密钥,记为第一密钥;
使用保护密钥加密第一密钥,将加密后的密钥记为第二密钥;
使用会话密钥加密第二密钥,将加密后的密钥记为第三密钥;
保存第三密钥与第一镜像标识的对应关系,将第三密钥作为新生成的镜像加密密钥。
9.一种存储有计算机程序的计算机可读存储介质,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810962729.5A CN109274646B (zh) | 2018-08-22 | 2018-08-22 | 基于kmip协议的密钥管理客户端服务端方法和系统及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810962729.5A CN109274646B (zh) | 2018-08-22 | 2018-08-22 | 基于kmip协议的密钥管理客户端服务端方法和系统及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109274646A CN109274646A (zh) | 2019-01-25 |
CN109274646B true CN109274646B (zh) | 2020-12-22 |
Family
ID=65154268
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810962729.5A Active CN109274646B (zh) | 2018-08-22 | 2018-08-22 | 基于kmip协议的密钥管理客户端服务端方法和系统及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109274646B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109831433B (zh) * | 2019-01-30 | 2021-05-11 | 重庆农村商业银行股份有限公司 | 基于第三方的用户与服务方之间的请求加密方法及系统 |
CN111625843A (zh) * | 2019-07-23 | 2020-09-04 | 方盈金泰科技(北京)有限公司 | 一种适用于大数据平台的数据透明加解密系统 |
CN111130773A (zh) * | 2019-12-26 | 2020-05-08 | 北京三未信安科技发展有限公司 | 基于kmip协议的密钥管理服务器、客户端及系统 |
CN112800439B (zh) * | 2020-12-02 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 一种面向安全存储的密钥管理协议设计方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101908962A (zh) * | 2009-12-24 | 2010-12-08 | 中国航空工业集团公司第六三一研究所 | 综合化航空电子系统密钥管理方法 |
CN102461060A (zh) * | 2009-06-11 | 2012-05-16 | 微软公司 | 安全网络包围区中的密钥管理 |
CN103414558A (zh) * | 2013-07-17 | 2013-11-27 | 电子科技大学 | 一种基于xen云平台的虚拟机块设备隔离方法 |
CN104486307A (zh) * | 2014-12-03 | 2015-04-01 | 中国电子科技集团公司第三十研究所 | 一种基于同态加密的分权密钥管理方法 |
CN105184154A (zh) * | 2015-09-15 | 2015-12-23 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码运算服务的系统和方法 |
CN105337955A (zh) * | 2015-09-22 | 2016-02-17 | 电子科技大学 | 一种虚拟桌面的管理控制系统和方法 |
CN107943556A (zh) * | 2017-11-10 | 2018-04-20 | 中国电子科技集团公司第三十二研究所 | 基于kmip和加密卡的虚拟化数据安全方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10122693B2 (en) * | 2010-10-25 | 2018-11-06 | International Business Machines Corporation | Protocol based key management |
US20130044882A1 (en) * | 2011-08-19 | 2013-02-21 | International Business Machines Corporation | Enhancing provisioning for keygroups using key management interoperability protocol (KMIP) |
-
2018
- 2018-08-22 CN CN201810962729.5A patent/CN109274646B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102461060A (zh) * | 2009-06-11 | 2012-05-16 | 微软公司 | 安全网络包围区中的密钥管理 |
CN101908962A (zh) * | 2009-12-24 | 2010-12-08 | 中国航空工业集团公司第六三一研究所 | 综合化航空电子系统密钥管理方法 |
CN103414558A (zh) * | 2013-07-17 | 2013-11-27 | 电子科技大学 | 一种基于xen云平台的虚拟机块设备隔离方法 |
CN104486307A (zh) * | 2014-12-03 | 2015-04-01 | 中国电子科技集团公司第三十研究所 | 一种基于同态加密的分权密钥管理方法 |
CN105184154A (zh) * | 2015-09-15 | 2015-12-23 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码运算服务的系统和方法 |
CN105337955A (zh) * | 2015-09-22 | 2016-02-17 | 电子科技大学 | 一种虚拟桌面的管理控制系统和方法 |
CN107943556A (zh) * | 2017-11-10 | 2018-04-20 | 中国电子科技集团公司第三十二研究所 | 基于kmip和加密卡的虚拟化数据安全方法 |
Non-Patent Citations (2)
Title |
---|
Mathias Bjorkqvist;Christian Cachin;Felix Engelmann;Alessa.Scalable Key Management for Distributed Cloud Storage.《2018 IEEE International Conference on Cloud Engineering (IC2E)》.2018,第250-256页. * |
证书管理系统研究及实现;余秦勇;《优秀硕士学位论文全文库 信息科技辑》;20040215(第2期);第250-256页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109274646A (zh) | 2019-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111541785B (zh) | 基于云计算的区块链数据处理方法及装置 | |
CN109274646B (zh) | 基于kmip协议的密钥管理客户端服务端方法和系统及介质 | |
US10122713B2 (en) | Method and device for the secure authentication and execution of programs | |
EP3232634B1 (en) | Identity authentication method and device | |
US10726132B2 (en) | Enclave launch and authentication | |
CN105915338B (zh) | 生成密钥的方法和系统 | |
KR101657613B1 (ko) | 보안 저장 장치에 저장된 디지털 컨텐츠의 백업 | |
US20060288232A1 (en) | Method and apparatus for using an external security device to secure data in a database | |
CN109981255B (zh) | 密钥池的更新方法和系统 | |
US8953805B2 (en) | Authentication information generating system, authentication information generating method, client apparatus, and authentication information generating program for implementing the method | |
US11831753B2 (en) | Secure distributed key management system | |
CN106936588B (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
CN107920052B (zh) | 一种加密方法及智能装置 | |
CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
CN103888429A (zh) | 虚拟机启动方法、相关设备和系统 | |
CN109150811B (zh) | 一种实现可信会话的方法及装置、计算设备 | |
US20060143477A1 (en) | User identification and data fingerprinting/authentication | |
CN114329511A (zh) | 一种基于身份认证的虚拟机加密方法、系统、设备和介质 | |
CN113271207A (zh) | 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 | |
KR101711024B1 (ko) | 부정조작방지 장치 접근 방법 및 그 방법을 채용한 단말 장치 | |
CN107070648B (zh) | 一种密钥保护方法及pki系统 | |
CN115600215A (zh) | 系统启动方法、系统信息处理方法、装置、设备及其介质 | |
US11601285B2 (en) | Securely authorizing service level access to a backup system using a specialized access key | |
CN115544583B (zh) | 一种服务器密码机的数据处理方法及装置 | |
CN114553478B (zh) | 一种基于国密的云服务器访问固态硬盘的安全系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |