CN110572258A - 一种云密码计算平台及计算服务方法 - Google Patents

一种云密码计算平台及计算服务方法 Download PDF

Info

Publication number
CN110572258A
CN110572258A CN201910671174.3A CN201910671174A CN110572258A CN 110572258 A CN110572258 A CN 110572258A CN 201910671174 A CN201910671174 A CN 201910671174A CN 110572258 A CN110572258 A CN 110572258A
Authority
CN
China
Prior art keywords
user
resource management
identity
key
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910671174.3A
Other languages
English (en)
Other versions
CN110572258B (zh
Inventor
林璟锵
王伟
荆继武
郎帆
任良钦
吴鹏一
王琼霄
郑昉昱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Data Assurance and Communication Security Research Center of CAS
Original Assignee
Data Assurance and Communication Security Research Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Data Assurance and Communication Security Research Center of CAS filed Critical Data Assurance and Communication Security Research Center of CAS
Priority to CN201910671174.3A priority Critical patent/CN110572258B/zh
Publication of CN110572258A publication Critical patent/CN110572258A/zh
Application granted granted Critical
Publication of CN110572258B publication Critical patent/CN110572258B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种云密码计算平台及计算服务方法。本方法为:1)将n台物理密码机开机组成密码机集群连接至资源管理模块;2)同步该n台密码机的主密钥,使其共享密码机主密钥Km;3)将收到密钥生成请求发送给一密码机A;4)密码机A用Km对请求中的用户身份处理生成对应的用户主密钥Ki;5)密码机A生成算法密钥AKi,用Ki对AKi加密并将其发送给资源管理模块;6)当用户i请求进行计算服务j时,利用密钥[AKi]Ki其加入用户请求加解密或签名验签的请求中并发送密码机B;7)密码机B根据请求中的身份和Km解密得到Ki,利用Ki对[AKi]Ki进行解密并利用AKi完成计算服务j。

Description

一种云密码计算平台及计算服务方法
技术领域
本发明涉及网络空间安全领域,尤其涉及一种可进行资源管理的云密码计算平台及计算服务方法。
背景技术
云计算:云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源,是分布式计算技术的一种,其最基本的概念,是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。
密码计算设备:为用户提供数据的对称/非对称加解密、数据完整性校验、数字签名和验证以及密钥的生成等密码计算服务的设备。
内存数据库:内存数据库,顾名思义就是将数据放在内存中直接操作的数据库。相对于磁盘,内存的数据读写速度要高出几个数量级,将数据保存在内存中相比从磁盘上访问能够极大地提高应用的性能。通过使用内存数据库,可以实现保持高性能的前提下对流量进行精确控制和资源调度
统一认证架构:统一认证架构是一种通用的架构,它提供了一种通用的鉴权机制,可以将用户接入移动网络时所用的移动认证基础设施用于对新服务的访问授权控制,从而避免为每一种新服务都提供独有的鉴权机制。移动终端和服务提供商都可以通过统一认证架构得到相互之间的最新的可信任信息(即标识符和共享密钥),从而可以相互认证。
云密码服务:云密码服务将密码服务与云计算平台进行结合,通过调度加密机集群动态扩充密码运算能力,使密码运算速度大大提高,系统稳定性得到极大增强,更好的为用户提供集中化、虚拟化、透明化的密码运算服务。云密码服务不仅可面向具有高安全性和高性能需求的电子商务、电子政务领域应用,提高了系统整体的稳健性、高效性和成熟性;而且可应用于各种“云”、“中心”、“云节点”,解决数据的本地存储、网络传输、身份认证、数据完整性等安全问题,防止网上的各种欺诈行为发生。当前的密码云服务方案,在一台物理密码机上通过虚拟化技术运行多台虚拟密码机,其优势在于灵活地切割了密码运算能力,而缺点在于其单台物理密码机计算能力决定了整个平台的计算上限。
发明内容
本发明公开了一种新型的云密码计算平台及计算服务方法。所述的云密码计算平台,包含物理密码机集群、资源管理模块、接入认证模块和数据存储模块。物理密码机对外提供密码计算能力,主要包括国密sm2、sm3、sm4密码运算并使用自身主密钥、用户主密钥和算法密钥实现三层密钥体制进行保护,接入认证模块主要通过第三方统一认证的方式对密码计算请求方的身份进行确认,数据存储模块则对需要储存的各类信息进行存储,资源管理模块配置于云密码计算平台资源管理服务器中用于将物理密码机抽象为密码计算能力并按照用户申请的计算能力将物理密码机虚拟化为虚拟密码机,结合接入认证模块和数据存储模块对密码计算请求进行资源调度、性能控制、请求转发和负载均衡。
此外,本发明还提供了一种结合物理密码机集群和数据存储模块通过资源管理模块对外提供密码计算服务的方法,其步骤包括:
一.n台物理密码机开机组成物理密码机集群连接至资源管理模块。
二.通过使用密码保护卡同步n个物理密码机的主密钥,使其共享密码机主密钥Km;同时主密钥Km仅存在于密码机密码保护卡内。
三.资源管理服务器收到多个密钥生成请求后发送给空闲的物理密码机A进行运算。
四.在收到由资源管理服务器发送的密钥生成请求后,物理密码机A首先对每一密钥生成请求中的用户身份userid使用主密钥Km,运用sm3Hmac算法进行处理生成对应用户的用户主密钥Ki
五.物理密码机A根据请求中的计算类型生成算法密钥AKi,并使用用户主密钥Ki对算法密钥AKi加密得到[AKi]Ki
六.物理密码机群将生成的密钥[AK1]K1到[AKi]Ki共i个密钥发回给资源管理模块,由其与用户身份对应存储至数据库。
七.当用户i请求加解密或签名验证等功能j时,资源管理模块从数据库中取出该用户i对应的密钥[AKi]Ki,将其加入用户请求加解密或签名验签的请求中并再次通过负载均衡策略发送至空闲物理密码机B进行计算。
八.物理密码机B根据请求中的身份userid和主密钥Km经过sm3Hmac算法生成该用户i的用户主密钥Ki,使用用户主密钥Ki利用sm4算法对请求中的[AKi]Ki进行解密并进行密码计算,完成计算服务j。
此外,本发明还提供了一种资源管理模块协同接入认证模块进行认证的方法,包含以下步骤:
一.云用户向资源管理模块请求密码计算。
二.资源管理模块首先判断当前用户是否拥有合法身份,如没有则向云用户返回身份鉴别数据包,其中身份鉴别数据包中的信息包括:client_id标示资源管理服务器身份,redirect_uri标示资源管理服务器用于接收统一认证系统签发的用户身份凭证的地址,response_type标示资源管理服务器请求的统一认证系统的响应格式,scope标示资源管理服务器请求用户授权数据的范围,nonce为每次请求中生成的随机数。
三.云用户获取资源管理模块返回的内容再将自身用户名“username”和口令“password”加入其中转发至认证模块进行认证。
四.统一认证模块解析数据包内容并在认证用户的用户名和口令通过后返回token至云用户,token为jwt格式编码的用户数据,其中包括平台身份“audrence”用于标示请求登陆应用的身份、统一认证地址“issuer”用于标识签发该用户凭据系统的身份、sub用于标示申请此次用户的身份以及请求中的nonce等信息并附带了对上述信息的数字签名。
五.云用户将token转发至资源管理模块。
六.资源管理模块首先提取token中数字签名并验签,同时检查token与请求中“nonce”的一致性。
七.认证通过,则资源管理模块提取用户名“username”作为id(即userId),以及数据存储模块中所属租户身份“tenantid”等内容作为之后步骤二的输入,用于查询租户身份。
本发明还提供了一种资源管理模块协同数据存储模块对密码请求进行用户状态检查和速度限制的方法。其速度限制子步骤如下:
一.获取密钥生成请求的计算类型“codeRequest”。
二.首先根据统一认证流程得到的请求身份“userId”查询云用户当前状态“云用户身份.status”,并根据“身份.tenantid”查询其租户状态“租户身份.status”。当前状态指当前用户是否可以请求计算,只有是或否两种状态,后面租户的status也只有是或否两种状态,指的是用户所属的租户是否可用。
三.根据统一认证流程得到的请求身份“userId”和计算类型“codeRequest”查询redis数据库获取该云用户此计算类型的总速度配额“算法.limit”和当前已使用速度“算法.used”。
四.如当前使用速度小于该云用户此类型计算的总速度配额,则允许本次请求(请求加解密或签名验证的请求),并更新当前使用速度,否则拒绝本次请求。
五.限速模块同时定期查询速度使用情况期限“算法.timevalid”,一旦发现过期,便将清零所有用户全部类型计算的当前使用速度以便对下一秒的请求进行速度限制。
此外,在实际密码计算服务过程中为保障租户及其下属接入身份的可信性,接入认证模块使用OpenId协议通过第三方统一认证的方式验证身份,资源管理模块还对流量进行负载均衡控制并根据云用户的速度配额进行限速,在收到云用户的请求包后还会对其进行格式转换用于向物理密码机集群请求计算。
本发明的优势在于:
本发明将密码计算设备的密码计算能力虚拟化为资源并对外提供,同时对其进行合理高效的资源管理和调度,使密码计算设备可以在云端使用,满足云计算按需计算、弹性伸缩、多用户的特殊需求,提升了密码计算设备的安全性和可用性。
附图说明
图1是本发明的系统结构图。
具体实施方式
下面结合附图对本发明进行进一步详细描述。
如图1所示,本发明的云密码计算平台系统,其主要包含物理密码机集群、资源管理模块、接入认证模块和数据存储模块四个部分。
物理密码机对外提供密码计算能力,主要包括国密sm2、sm3、sm4密码运算,并且使用密码机主要保护用户主密钥,使用用户主密钥保护算法密钥,而密码机主密钥则使用密钥保护卡进行保护,从而使计算平台的安全性得到了有效保障。
部署在资源管理服务器上的资源管理模块根据租户事先分配的性能配额对云用户的密码计算请求进行控制、格式转换并通过负载均衡策略转发给物理密码机请求实际的密码计算。
接入认证模块负责以第三方统一认证的方式对接入的云租户及租户下的人员进行身份认证。
数据存储模块主要负责将租户及其下属的信息和密码机的详细信息进行存储,并对资源管理模块提供查询、增加、删除和修改的功能。
本发明提供了一种云密码计算平台提供密码服务运算的方法,包含以下步骤:
一.物理密码机加载密码计算服务。
二.资源管理模块加载资源管理服务并连接物理密码机,对其计算能力进行统计,按照用户申请的计算能力将物理密码机虚拟化为拥有密码计算能力的云密码机。
三.资源管理模块连接数据存储模块的数据库,其中主要为了获取云租户及其下属云用户的个人信息。
四.启动接入认证服务器作为接入认证模块向云密码计算平台提供第三方统一认证功能从而对云用户及其下属租户进行身份的认证。
五.在上述加载工作完成后,资源管理模块作为云平台对外提供密码计算的服务模块,在其他模块的辅助下对云用户根据不同请求提供不同类型和性能的密码计算服务。
六.云用户向资源管理模块请求密码运算服务,首先进入资源管理服务器的统一认证流程。
七.资源管理模块接收云用户的密码计算请求包并对请求进行分析,而后首先进行限速处理。
八.当限速处理通过后,资源管理模块将对请求包进行格式转换,生成用于向物理密码机实际请求密码计算的请求包。
九.在格式转换结束后,资源管理模块将生成的请求包通过负载均衡策略发送至物理密码机。
十.密码机收到请求包后首先利用密码机主密钥和用户身份“userId”通过sm3hmac生成用户主密钥,再使用用户密钥运用sm4解密算法对算法密钥“keyBits”进行解密,之后进行密码计算。
十一.密码机计算完成后将结果返还给资源管理模块,由资源管理服务器将结果发送给云用户。
十二.服务完成。
通过以上系统和方法,把提供密码服务的传统密码设备统一管理并虚拟为多个逻辑独立的虚拟密码机,使得密码服务满足了云计算按需分配、多用户的特殊需求,可以在云计算的环境下使用并保障了密码设备的安全性。
需要说明的是,对于前述的方式实施,为了描述简单,故将其都表述为一些列的动作组合,但是本领域的相关技术人员都应当知悉,本申请并不受描述的动作的限制,因为依据本申请,某一步骤可以采用其他顺序或者同时进行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、ROM、RAM等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (9)

1.一种计算服务方法,其步骤包括:
1)将n台物理密码机开机组成物理密码机集群连接至资源管理模块;
2)同步该n台物理密码机的主密钥,使其共享密码机主密钥Km
3)资源管理服务器收到密钥生成请求后,从物理密码机集群中选取一物理密码机A;然后将收到的密钥生成请求发送给物理密码机A进行运算;
4)物理密码机A对每一密钥生成请求中的用户身份userid使用主密钥Km,运用密钥生成算法进行处理生成对应用户的用户主密钥Ki
5)物理密码机A根据密钥生成请求的计算类型生成算法密钥AKi,然后使用用户主密钥Ki对算法密钥AKi加密得到[AKi]Ki并将其发送给资源管理模块;
6)当用户i请求进行计算服务j时,资源管理模块利用该用户i对应的密钥[AKi]Ki,将其加入用户请求加解密或签名验签的请求中并发送至物理密码机集群中的物理密码机B进行计算;
7)物理密码机B根据请求中的身份userid和主密钥Km运用密钥生成算法解密得到该用户i的用户主密钥Ki,使用用户主密钥Ki对请求中的[AKi]Ki进行解密并利用AKi完成计算服务j。
2.如权利要求1所述的方法,其特征在于,步骤3)中,资源管理服务器收到密钥生成请求后,首先对发出该密钥生成请求的用户进行认证,如果认证通过,则从物理密码机集群中选取一物理密码机A。
3.如权利要求2所述的方法,其特征在于,对发出该密钥生成请求的用户进行认证的方法为:
31)资源管理服务器判断当前用户是否拥有合法身份,如没有则向用户返回身份鉴别数据包;其中,身份鉴别数据包中的信息包括:资源管理服务器标识client_id,资源管理服务器用于接收统一认证系统签发的用户身份凭证的地址redirect_uri,资源管理服务器请求的统一认证系统的响应格式response_type,资源管理服务器请求用户授权数据的范围scope,随机数nonce;
32)用户根据响应格式response_type将自身用户名username和口令password发送给统一认证系统进行认证;
33)统一认证系统对用户的用户名和口令认证通过后返回token至该用户,token中的信息包括请求登陆应用的身份标识audrence、签发用户凭据系统的身份标识issuer、用户的身份标识sub以及随机数nonce;
34)用户将token转发至资源管理模块;
35)资源管理模块对token进行验签,并检查token中的随机数nonce与身份鉴别数据包中随机数nonce是否一致;如果一致,则认证通过。
4.如权利要求3所述的方法,其特征在于,认证通过后,资源管理模块提取用户的用户名username查询用户当前状态;以及从统一认证系统中获取该用户的租户身份tenantid,根据租户身份tenantid查询租户状态;然后根据用户身份userid和计算类型codeRequest查询该用户此计算类型的总速度配额和当前已使用速度;如当前已使用速度小于该用户此类型计算的总速度配额,则允许本次请求加解密或签名验签的请求,并更新当前已使用速度,然后进行步骤7);否则拒绝本次请求加解密或签名验签的请求。
5.如权利要求1所述的方法,其特征在于,通过使用密码保护卡同步n个物理密码机的主密钥,使其共享密码机主密钥Km;同时主密钥Km仅存在于密码机密码保护卡内。
6.一种云密码计算平台,其特征在于,包括由n台物理密码机组成的物理密码机集群、资源管理模块和资源管理服务器;其中,该n台物理密码机共享密码机主密钥Km
资源管理服务器,用于在收到密钥生成请求后,从物理密码机集群中选取一物理密码机A;然后将收到的密钥生成请求发送给物理密码机A进行运算;
物理密码机,用于对每一密钥生成请求中的用户身份userid使用主密钥Km,运用密钥生成算法进行处理生成对应用户的用户主密钥Ki;以及根据密钥生成请求的计算类型生成算法密钥AKi,然后使用用户主密钥Ki对算法密钥AKi加密得到[AKi]Ki并将其发送给资源管理模块;以及根据请求中的身份userid和主密钥Km运用密钥生成算法解密得到该用户i的用户主密钥Ki,使用用户主密钥Ki对请求中的[AKi]Ki进行解密并利用AKi完成计算服务j;
资源管理模块,用于存储收到的[AKi]Ki;以及当用户i请求进行计算服务j时,利用该用户i对应的密钥[AKi]Ki,将其加入用户请求加解密或签名验签的请求中并发送至物理密码机集群中的一物理密码机B进行计算。
7.如权利要求6所述的云密码计算平台,其特征在于,还包括一认证模块;资源管理服务器收到密钥生成请求后,首先对发出该密钥生成请求的用户进行认证,其方法为:资源管理服务器判断当前用户是否拥有合法身份,如没有则向用户返回身份鉴别数据包;其中,身份鉴别数据包中的信息包括:资源管理服务器标识client_id,资源管理服务器用于接收统一认证系统签发的用户身份凭证的地址redirect_uri,资源管理服务器请求的统一认证系统的响应格式response_type,资源管理服务器请求用户授权数据的范围scope,随机数nonce;然后接收用户根据响应格式response_type发送的用户名username和口令password;认证模块对用户的用户名和口令认证通过后返回token至该用户,token中的信息包括请求登陆应用的身份标识audrence、签发用户凭据系统的身份标识issuer、用户的身份标识sub以及随机数nonce;然后资源管理模块接收用户发送的token,并对token验签通过后检查token中的随机数nonce与身份鉴别数据包中随机数nonce是否一致;如果一致,则认证通过。
8.如权利要求7所述的云密码计算平台,其特征在于,还包括一限速模块;认证通过后,资源管理模块提取用户的用户名username查询用户当前状态;限速模块从统一认证系统中获取该用户的租户身份tenantid,根据租户身份tenantid查询租户状态;然后根据用户身份userid和计算类型codeRequest查询该用户此计算类型的总速度配额和当前已使用速度;如当前已使用速度小于该用户此类型计算的总速度配额,则允许本次请求加解密或签名验签的请求,并更新当前已使用速度;否则拒绝本次请求加解密或签名验签的请求。
9.如权利要求6所述的云密码计算平台,其特征在于,通过使用密码保护卡同步n个物理密码机的主密钥,使其共享密码机主密钥Km;同时主密钥Km仅存在于密码机密码保护卡内。
CN201910671174.3A 2019-07-24 2019-07-24 一种云密码计算平台及计算服务方法 Active CN110572258B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910671174.3A CN110572258B (zh) 2019-07-24 2019-07-24 一种云密码计算平台及计算服务方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910671174.3A CN110572258B (zh) 2019-07-24 2019-07-24 一种云密码计算平台及计算服务方法

Publications (2)

Publication Number Publication Date
CN110572258A true CN110572258A (zh) 2019-12-13
CN110572258B CN110572258B (zh) 2021-12-14

Family

ID=68773803

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910671174.3A Active CN110572258B (zh) 2019-07-24 2019-07-24 一种云密码计算平台及计算服务方法

Country Status (1)

Country Link
CN (1) CN110572258B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111245813A (zh) * 2020-01-07 2020-06-05 北京数字认证股份有限公司 密码资源池系统、加密方法、电子设备及存储介质
CN113821305A (zh) * 2021-09-15 2021-12-21 中国电信集团系统集成有限责任公司 基于Docker的云密码服务调用方法及中间件系统
CN114741169A (zh) * 2022-03-30 2022-07-12 天津大学 负荷聚合公共服务平台异构密码计算服务多任务调度算法
CN114866346A (zh) * 2022-07-06 2022-08-05 北京神州安付科技股份有限公司 一种基于分散式的密码服务平台
CN115189896A (zh) * 2022-09-13 2022-10-14 中安网脉(北京)技术股份有限公司 一种虚拟云密码服务系统及方法
CN116893903A (zh) * 2023-09-11 2023-10-17 北京格尔国信科技有限公司 一种加密资源分配方法、系统、设备及存储介质
CN117077123A (zh) * 2023-08-18 2023-11-17 长春吉大正元信息技术股份有限公司 一种多密码卡的业务处理方法、装置及电子设备

Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080253308A1 (en) * 2003-10-22 2008-10-16 Speedus Corp. Wireless Broadband Licensed Networking System for Local and Wide Area Networking
US20120131338A1 (en) * 2010-11-19 2012-05-24 International Business Machines Corporation Authentication and authorization of a device by a service using broadcast encryption
CN103297428A (zh) * 2013-05-20 2013-09-11 南京邮电大学 一种云存储系统数据保护方法
CN103634339A (zh) * 2012-08-22 2014-03-12 中国银联股份有限公司 虚拟加密机装置、金融加密机及加密报文的方法
EP2805470A1 (en) * 2012-01-20 2014-11-26 Interdigital Patent Holdings, Inc. Identity management with local functionality
CN104202421A (zh) * 2014-09-19 2014-12-10 浪潮电子信息产业股份有限公司 一种基于云计算的密码服务系统
CN105072180A (zh) * 2015-08-06 2015-11-18 武汉科技大学 一种有权限时间控制的云存储数据安全共享方法
CN105678156A (zh) * 2016-01-04 2016-06-15 成都卫士通信息产业股份有限公司 一种基于虚拟化技术的云密码服务平台及其工作流程
CN205427860U (zh) * 2016-03-12 2016-08-03 福建博士通信息有限责任公司 一种金融加密机
US20170034172A1 (en) * 2015-07-30 2017-02-02 Cisco Technology, Inc. Token scope reduction
CN106603243A (zh) * 2016-04-08 2017-04-26 数安时代科技股份有限公司 数字签名的私钥处理方法和系统
CN107040589A (zh) * 2017-03-15 2017-08-11 西安电子科技大学 通过虚拟化密码设备集群提供密码服务的系统及方法
CN107483191A (zh) * 2017-08-16 2017-12-15 济南浪潮高新科技投资发展有限公司 一种sm2算法密钥分割签名系统及方法
CN108259175A (zh) * 2017-12-28 2018-07-06 成都卫士通信息产业股份有限公司 一种分布式密码服务方法和系统
CN108306972A (zh) * 2018-02-06 2018-07-20 山东渔翁信息技术股份有限公司 一种云密码服务方法、平台、系统及计算机可读存储介质
CN108429735A (zh) * 2018-02-11 2018-08-21 众算(上海)数据科技有限公司 一种数据加密方法
CN109525544A (zh) * 2018-06-01 2019-03-26 中央军委后勤保障部信息中心 一种基于密码机集群的业务系统访问方法及系统

Patent Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080253308A1 (en) * 2003-10-22 2008-10-16 Speedus Corp. Wireless Broadband Licensed Networking System for Local and Wide Area Networking
US20120131338A1 (en) * 2010-11-19 2012-05-24 International Business Machines Corporation Authentication and authorization of a device by a service using broadcast encryption
EP2805470A1 (en) * 2012-01-20 2014-11-26 Interdigital Patent Holdings, Inc. Identity management with local functionality
CN103634339A (zh) * 2012-08-22 2014-03-12 中国银联股份有限公司 虚拟加密机装置、金融加密机及加密报文的方法
CN103297428A (zh) * 2013-05-20 2013-09-11 南京邮电大学 一种云存储系统数据保护方法
CN104202421A (zh) * 2014-09-19 2014-12-10 浪潮电子信息产业股份有限公司 一种基于云计算的密码服务系统
US20170034172A1 (en) * 2015-07-30 2017-02-02 Cisco Technology, Inc. Token scope reduction
CN105072180A (zh) * 2015-08-06 2015-11-18 武汉科技大学 一种有权限时间控制的云存储数据安全共享方法
CN105678156A (zh) * 2016-01-04 2016-06-15 成都卫士通信息产业股份有限公司 一种基于虚拟化技术的云密码服务平台及其工作流程
CN205427860U (zh) * 2016-03-12 2016-08-03 福建博士通信息有限责任公司 一种金融加密机
CN106603243A (zh) * 2016-04-08 2017-04-26 数安时代科技股份有限公司 数字签名的私钥处理方法和系统
CN107040589A (zh) * 2017-03-15 2017-08-11 西安电子科技大学 通过虚拟化密码设备集群提供密码服务的系统及方法
CN107483191A (zh) * 2017-08-16 2017-12-15 济南浪潮高新科技投资发展有限公司 一种sm2算法密钥分割签名系统及方法
CN108259175A (zh) * 2017-12-28 2018-07-06 成都卫士通信息产业股份有限公司 一种分布式密码服务方法和系统
CN108306972A (zh) * 2018-02-06 2018-07-20 山东渔翁信息技术股份有限公司 一种云密码服务方法、平台、系统及计算机可读存储介质
CN108429735A (zh) * 2018-02-11 2018-08-21 众算(上海)数据科技有限公司 一种数据加密方法
CN109525544A (zh) * 2018-06-01 2019-03-26 中央军委后勤保障部信息中心 一种基于密码机集群的业务系统访问方法及系统

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
SUN LEI: ""Research and design of cryptography cloud framework"", 《RESEARCH AND DESIGN OF CRYPTOGRAPHY CLOUD FRAMEWORK》 *
寇文龙等: "通用高性能密码服务系统模型", 《微电子学与计算机》 *
张永强: ""一种高效实用的基于云服务的数字签名方案研究"", 《信息网络安全》 *
林璟镪: ""密钥安全研究进展"", 《信息安全研究》 *
薛矛等: "一种云存储环境下的安全存储系统", 《计算机学报》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111245813A (zh) * 2020-01-07 2020-06-05 北京数字认证股份有限公司 密码资源池系统、加密方法、电子设备及存储介质
CN111245813B (zh) * 2020-01-07 2022-04-29 北京数字认证股份有限公司 密码资源池系统、加密方法、电子设备及存储介质
CN113821305A (zh) * 2021-09-15 2021-12-21 中国电信集团系统集成有限责任公司 基于Docker的云密码服务调用方法及中间件系统
CN113821305B (zh) * 2021-09-15 2023-02-10 中电信数智科技有限公司 基于Docker的云密码服务调用方法及中间件系统
CN114741169A (zh) * 2022-03-30 2022-07-12 天津大学 负荷聚合公共服务平台异构密码计算服务多任务调度算法
CN114741169B (zh) * 2022-03-30 2024-02-13 天津大学 负荷聚合公共服务平台异构密码计算服务多任务调度方法
CN114866346A (zh) * 2022-07-06 2022-08-05 北京神州安付科技股份有限公司 一种基于分散式的密码服务平台
CN114866346B (zh) * 2022-07-06 2022-09-13 北京神州安付科技股份有限公司 一种基于分散式的密码服务平台
CN115189896A (zh) * 2022-09-13 2022-10-14 中安网脉(北京)技术股份有限公司 一种虚拟云密码服务系统及方法
CN117077123A (zh) * 2023-08-18 2023-11-17 长春吉大正元信息技术股份有限公司 一种多密码卡的业务处理方法、装置及电子设备
CN116893903A (zh) * 2023-09-11 2023-10-17 北京格尔国信科技有限公司 一种加密资源分配方法、系统、设备及存储介质
CN116893903B (zh) * 2023-09-11 2023-12-08 北京格尔国信科技有限公司 一种加密资源分配方法、系统、设备及存储介质

Also Published As

Publication number Publication date
CN110572258B (zh) 2021-12-14

Similar Documents

Publication Publication Date Title
CN110572258B (zh) 一种云密码计算平台及计算服务方法
CN112989415B (zh) 一种基于区块链的隐私数据存储与访问控制方法及系统
Almadhoun et al. A user authentication scheme of IoT devices using blockchain-enabled fog nodes
CN111488598B (zh) 访问控制方法、装置、计算机设备和存储介质
CN112580102A (zh) 基于区块链的多维度数字身份鉴别系统
CN111212084B (zh) 一种面向边缘计算的属性加密访问控制方法
EP3596680A1 (en) Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication
CN103780607B (zh) 基于不同权限的重复数据删除的方法
CN103259663A (zh) 一种云计算环境下的用户统一认证方法
CN101834853A (zh) 匿名资源共享方法和系统
Liu et al. EMK-ABSE: Efficient multikeyword attribute-based searchable encryption scheme through cloud-edge coordination
Rana et al. Secure and ubiquitous authenticated content distribution framework for IoT enabled DRM system
WO2022242572A1 (zh) 一种个人数字身份管理系统与方法
Guo et al. Using blockchain to control access to cloud data
Khan et al. A brief review on cloud computing authentication frameworks
Chen et al. A self-sovereign decentralized identity platform based on blockchain
Su et al. A User‐Centric Data Secure Creation Scheme in Cloud Computing
CN115021927B (zh) 一种面向密码机集群的管理员身份管控方法及系统
Hammami et al. Security issues in cloud computing and associated alleviation approaches
Xie et al. A blockchain-based proxy oriented cloud storage public audit scheme for low-performance terminal devices
CN117879819B (zh) 密钥管理方法、装置、存储介质、设备及算力服务系统
Wu et al. Verified CSAC-based CP-ABE access control of cloud storage in SWIM
AU2021104564A4 (en) Smart framework for providing privacy and protection in block chain based private transactions using cloud computing approach
AU2021106271A4 (en) A method for secured data sharing in an untrusted cloud storage
CN117118759B (zh) 用户控制服务器端密钥可靠使用的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant