CN111600948A - 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序 - Google Patents
基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序 Download PDFInfo
- Publication number
- CN111600948A CN111600948A CN202010405556.4A CN202010405556A CN111600948A CN 111600948 A CN111600948 A CN 111600948A CN 202010405556 A CN202010405556 A CN 202010405556A CN 111600948 A CN111600948 A CN 111600948A
- Authority
- CN
- China
- Prior art keywords
- application
- key
- identification
- file
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Abstract
本发明属于信息安全技术领域,公开了一种基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序,标识密钥生成中心用于生成应用的标识、标识的匹配的私钥、应用的对称根密钥的生成与管理、应用的数据保护密钥、文件保护密钥和MAC密钥的生成及相关加解密计算;安全控制管理子系统用于进行应用的注册管理、验证管理;应用代理端用于进行应用服务与标识密钥生成中心、安全控制管理子系统的通信、应用服务的私钥管理、应用服务的敏感安全参数CSP安全保护、核心数据和日志的安全保护,以及应用之间的传输数据或文件的保护。本发明业务应用能够实现可信识别,数据实现保密传输和存储,大大扩展了云平台的应用,促进云平台业务应用的蓬勃发展。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序。
背景技术
目前,随着云平台广泛普及,云平台的安全风险也日益凸显并复杂化,云平台都存在一个核心问题:如何确保业务应用不被非法访问、如何确保数据不被窃取、不被篡改。如果业务应用实现可信识别,数据实现保密传输和存储,将大大扩展了云平台的应用,甚至促进云平台业务应用的蓬勃发展。
现有的云平台安全技术中,没有利用密码技术,尤其是标识密码技术整体解决云平台业务安全和数据安全问题,并且不能有效实现与业务应用绑定的安全通道、安全存储、数据加密、业务身份认证、日志安全保护等功能,不能确保云平台中业务应用不被非法访问、数据不被窃取与篡改,日志不可信,数据无法保密传输。
现有技术中,业务应用的初始化只依赖本身,存储敏感参数的配置文件安全管理只依赖本身的安全能力,不能由可信的第三方SCM参与控制。
现有的技术中,业务应用之间数据传输没有实现基于应用身份标识的安全管理,无法确保业务数据不被非法使用。
通过上述分析,现有技术存在的问题及缺陷为:(1)现有的云平台安全技术中,没有利用密码技术解决云平台业务安全和数据安全问题,没有有效地解决业务应用标识和安全可信的初始化,并且不能有效实现与业务应用绑定的安全通道、安全存储、数据加密、业务身份认证、日志安全保护等功能,不能确保云平台中业务应用不被非法访问、数据不被窃取与篡改,日志不可信,数据无法保密传输;
(2)业务应用的初始化不能由可信的第三方SCM参与控制,可靠性不高,安全性无保障;
(3)数据传输安全性没有与业务标识绑定并保护,无法保证业务数据不被非法使用。
解决以上问题及缺陷的难度为:(1)基于标识密码体(SM9)建立业务应用的身份标识,以及基于标识验证的初始化。
(2)业务应用中存储的数据库连接密钥等敏感参数的配置文件,如何实现安全保护。
(3)文件存储、数据存储与传输、日志等采用不同的安全策略。
解决以上问题及缺陷的意义为:(1)云平台中的业务应用有自己的唯一标识,采用不同安全级别的加密方式进行保护,方便开展多种业务操作和满足不同操作的安全需求,适应业务要求的需要;
(2)云平台中的业务应用在初始化时,可信的SCM验证应用的IP、端口和HASH,确保应用真实,认证通过后向Agent发送配置文件解密密钥,增强了业务应用的安全可靠性,防止第三方非法使用;
(3)文件、数据采用不同的加密密钥,有利于多业务应用安全需要。
发明内容
针对现有技术存在的问题,本发明提供了一种基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序。
本发明是这样实现的,一种基于标识密码的云平台应用和数据安全处理方法,包括:
步骤一,应用服务端初始化,注册所述初始化后应用服务端的IP、端口以及主应用的路径,同时将所述主应用路径进行发送应用代理端;
步骤二,应用代理端对接收到的相关数据计算服务文件的HASH值并发送给标识密钥生成中心,标识密钥生成中心根据IP、端口和HASH值生成应用的应用标识和所述标识的公、私钥对;
步骤三,标识密钥生成中心使用P10封装生成的私钥发送到所述应用服务端的应用代理处,并生成所述应用服务的对称根密钥、数据加密密钥、文件加密密钥、MAC加密密钥并保存;同时在安全控制管理子系统中注册所述应用服务保存敏感参数的配置文件路径,并向标识密钥生成中心请求相应应用的文件加密密钥;
步骤四,标识密钥生成中心使用标识公钥加密文件加密密钥发回安全控制管理子系统,所述安全控制管理子系统将对应文件加密密钥和文件路径发送给应用代理端,所述应用代理端使用所述文件加密密钥加密配置文件;
步骤五,重启应用服务端初始化,应用代理端计算主服务文件的HASH并发送到安全控制管理子系统,比较注册时的HASH值以及IP和端口,相等时请求标识密钥生成中心使用标识公钥加密,生成密钥文件,并发送给应用代理端,使用私钥解密密钥文件,并使用文件密钥解密配置文件。
进一步,步骤四中,所述应用代理端使用所述文件加密密钥加密配置文件包括:使用所述文件加密密钥加密多个配置文件。
进一步,步骤五中,所述加密公钥包括:文件加密密钥、数据加密密钥和MAC密钥。
进一步,所述云平台应用和数据安全处理方法进一步包括:
加密存储数据:应用服务端加密存储数据中,通过应用代理端使用数据密钥加密数据;
保护日志:应用服务端对核心数据操作日志中,通过应用代理端采用日志链进行保护;
数据传递:应用服务端A向应用服务端B传递数据中,应用服务断A先使用数据加密密钥分散生成此次数据传输密钥,使用应用服务端B的标识公钥加密数据传输密钥并发送给应用服务端B,应用服务端B收到后,应用服务端A再使用数据传输密钥加密信息并发送给应用服务端B;应用服务端B使用标识私钥解密传输加密密钥,并使用传输加密密钥解密传输的加密信息。
进一步,所述通过应用代理提供的方法采用日志链进行保护的方法包括:
对第一条操作日志使用MAC密钥为加密,取最后一个加密块的前4个字节作为MAC值,放在记录的结尾,从第二条日志记录起,对前一个MAC和本次的日志记录加密,取最后一个加密块的前4个字节作为MAC值,放在记录的结尾,产生日志链。
进一步,所述MAC的计算方法包括:
采用SM4的CBC模式加密,令IV=0;通过在数据的右端强制添加一个80字节,再添加最少个字节00,扩充数据的长度为16的整数倍;取最后一个加密块的前4个字节作为MAC值。
进一步,所述应用服务标识生成方法包括:
使用标识密钥生成中心的标识种子密钥对应用的IP、端口和业务住应用文件的HASH值进行SM4加密,取最近一个加密块的16进制编码后的32个字符作为所述应用的标识。
本发明的另一目的在于提供一种基于标识密码的云平台应用和数据安全处理系统,包括:
标识密钥生成中心,用于生成应用的标识、标识的匹配的私钥、应用的对称根密钥的生成与管理、应用的数据保护密钥、文件保护密钥和MAC密钥的生成及相关加解密计算;
安全控制管理子系统,用于进行应用的注册管理、验证管理;
应用代理端,用于进行应用服务端与标识密钥生成中心、安全控制管理的通信、应用服务的私钥管理、应用服务的敏感安全参数CSP安全保护、核心数据和日志的安全保护,以及应用之间的传输数据或文件的保护。
本发明的另一目的在于提供一种接收用户输入程序存储介质,所存储的计算机程序使电子设备执行所述云平台应用和数据安全处理方法。
本发明的另一目的在于提供一种存储在计算机可读介质上的计算机程序产品,包括计算机可读程序,供于电子装置上执行时,提供用户输入接口以实施所述云平台应用和数据安全处理方法。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明采用不同安全级别的加密方式进行保护,方便开展多种业务操作和满足不同操作的安全需求,适应业务要求的需要;在初始化时,可信的SCM验证应用的IP、端口和HASH,确保应用真实,认证通过后想Agent发送配置文件解密密钥,增强了业务应用的安全可靠性,防止第三方非法使用;本发明文件、数据采用不同的加密密钥,有利于多业务应用安全需要。
本发明业务应用能够实现可信识别,数据实现保密传输和存储,大大扩展了云平台的应用,促进云平台业务应用的蓬勃发展。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的基于标识密码的云平台应用和数据安全处理系统结构示意图。
图中:1、标识密钥生成中心;2、安全控制管理子系统;3、应用代理端。
图2是本发明实施例提供的基于标识密码的云平台应用和数据安全处理方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的基于标识密码的云平台应用和数据安全处理系统包括:
标识密钥生成中心KGC、安全控制管理子系统SCM和应用代理端Agent;
标识密钥生成中心1,用于生成应用的标识、标识的匹配的私钥、应用的对称根密钥的生成与管理、应用的数据保护密钥、文件保护密钥和MAC密钥的生成及相关加解密计算;
安全控制管理子系统2,用于进行应用的注册管理、验证管理;
应用代理端3,用于进行应用服务端与标识密钥生成中心、安全控制管理的通信、应用服务的私钥管理、应用服务的敏感安全参数CSP安全保护、核心数据和日志的安全保护,以及应用之间的传输数据或文件的保护。
如图2所示,本发明实施例提供的基于标识密码的云平台应用和数据安全处理方法包括:
S101,应用服务在云平台部署完成并进行首次启动初始化,在标识密钥生成中心注册所述应用服务的IP、端口以及主应用的路径,同时标识密钥生成中心将应用服务主应用路径发送给所述应用服务集成的的应用代理。
S102,应用代理基于接收到的相关数据计算服务文件的HASH值并发送给标识密钥生成中心,标识密钥生成中心根据IP、端口和HASH值生成应用的应用标识和所述标识的公、私钥对。
S103,标识密钥生成中心使用P10封装生成的私钥发送到所述应用服务的应用代理处,并生成所述应用服务的对称根密钥、数据加密密钥、文件加密密钥、MAC加密密钥并保存;同时在安全控制管理子系统中注册所述应用服务保存敏感参数的配置文件路径,并向标识密钥生成中心请求相应应用的文件加密密钥。
S104,标识密钥生成中心使用标识公钥加密文件加密密钥发回安全控制管理子系统,安全控制管理子系统将对应文件加密密钥和文件路径发送给应用代理,应用代理使用所述文件加密密钥加密配置文件。
S105,进行系统重启,重启后应用服务进行启动初始化,应用代理计算主服务文件的HASH并发送到安全控制管理子系统,安全控制管理子系统比较注册时的HASH值以及IP和端口,相等时请求标识密钥生成中心使用标识公钥加密,生成密钥文件,并发送给应用代理,应用代理使用私钥解密密钥文件,并使用文件密钥解密配置文件。
步骤S104中,本发明实施例提供的应用代理使用所述文件加密密钥加密配置文件包括:
所述应用代理可使用所述文件加密密钥加密多个配置文件。
步骤S105中,本发明实施例提供的加密公钥包括:文件加密密钥、数据加密密钥和MAC密钥。
本发明实施例提供的基于标识密码的云平台应用和数据安全处理方法还包括:
加密存储数据:当应用服务需要加密存储数据时,通过应用代理提供的方法使用数据密钥加密数据。
保护日志:当应用服务需要保护对核心数据操作的日志时,通过应用代理提供的方法采用日志链的方式保护。
数据传递:应用服务A需要向应用服务B传递数据时,应用服务A先使用数据加密密钥分散生成此次数据传输密钥,使用应用B的标识公钥加密数据传输密钥并发送给应用服务B,B收到后,A再使用数据传输密钥加密信息并发送给B;B使用标识私钥解密传输加密密钥,并使用传输加密密钥解密传输的加密信息。
本发明实施例提供的通过应用代理提供的方法采用日志链的方式保护包括:
对第一条操作日志使用MAC密钥为加密,取最后一个加密块的前4个字节作为MAC值,放在记录的结尾,从第二条日志记录起,对前一个MAC和本次的日志记录加密,取最后一个加密块的前4个字节作为MAC值,放在记录的结尾,产生日志链。
本发明实施例提供的MAC的计算方法包括:
采用SM4的CBC模式加密,令IV=0;通过在数据的右端强制添加一个80字节,再添加最少个字节00,扩充数据的长度为16的整数倍;取最后一个加密块的前4个字节作为MAC值。
本发明实施例提供的应用服务标识生成方法包括:
使用标识密钥生成中心的标识种子密钥对应用的IP、端口和业务住应用文件的HASH值进行SM4加密,取最近一个加密块的16进制编码后的32个字符作为所述应用的标识。
具体包括:采用SM4的CBC模式加密,令IV=0;通过在数据的右端强制添加一个80字节,再添加最少个字节00,将数据的长度填充为16的整数倍;取最后一个加密块16个字节,再转化成16进制得到32个字符的应用标识。
下面结合具体实施例对本发明的技术方案作进一步说明。
实施例:
本发明提供一种基于标识密码的云平台应用和数据安全处理系统,包括:
标识密钥生成中心(KGC)、安全控制管理(SCM)子系统和应用代理(Agent)。
云平台中的应用服务需要集成应用代理(Agent),应用代理负责应用服务与KGC、SCM的通信、应用服务的私钥管理、应用服务的敏感安全参数(CSP)安全保护、核心数据和日志的安全保护,以及应用之间的传输数据或文件的保护等。
标识密钥生成中心(KGC)负责生成应用的标识、标识的匹配的私钥、应用的对称根密钥的生成与管理、应用的数据保护密钥、文件保护密钥和MAC密钥的生成及相关加解密计算;
SCM负责应用的注册管理、验证管理。
应用服务在云平台部署完成后首次启动初始化时,在KGC注册该应用服务的IP、端口以及主应用的路径,KGC将此路径发送给此应用服务集成的的Agent,Agent计算此服务文件的HASH值并传回KGC,KGC根据IP、端口和HASH值生成该应用的应用标识和该标识的公/私钥对,并使用P10封装私钥发送到该应用服务的Agent,并生成该应用服务的对称根密钥、数据加密密钥、文件加密密钥、MAC加密密钥并保存;同时在SCM中注册该应用服务保存敏感参数的配置文件路径,并向KGC请求此应用的文件加密密钥,KGC使用标识公钥加密文件加密密钥发回SCM,SCM将此文件加密密钥和此文件路径发送给Agent,Agent使用此文件加密密钥加密配置文件,进一步,可以加密多个配置文件,完成后,系统重启后注册生效。
应用服务每次启动初始化时,Agent先计算主服务文件的HASH并发送到SCM,SCM比较注册时的HASH值以及IP和端口,相等时请求KGC使用标识公钥加密:文件加密密钥、数据加密密钥和MAC密钥,生成密钥文件,并发送给Agent,Agent使用私钥解密密钥文件,并使用文件密钥解密配置文件。
应用服务需要加密存储数据时,通过Agent提供的方法使用数据密钥加密数据;需要保护对核心数据操作的日志时,通过Agent提供的方法采用日志链的方式保护,即对第一条操作日志使用MAC密钥为加密,取最后一个加密块的前4个字节作为MAC值,放在此记录的结尾,从第二条日志记录起,对前一个MAC和本次的日志记录加密,取最后一个加密块的前4个字节作为MAC值,放在此记录的结尾,以此方法产生日志链;MAC的计算方法如下:
采用SM4的CBC模式加密,相关要求如下:
1、IV=0;
2、填充方式:
在数据的右端强制添加一个’80’字节,再添加最少个字节‘00’,使数据的长度为16的整数倍;
3、取最后一个加密块的前4个字节作为MAC值。
同样,应用服务A需要向应用服务B传递数据时,应用服务A先使用数据加密密钥分散生成此次数据传输密钥,使用应用B的标识公钥加密数据传输密钥并发送给应用服务B,B收到后,A再使用数据传输密钥加密信息并发送给B;B使用标识私钥解密传输加密密钥,并使用传输加密密钥解密传输的加密信息。
应用服务标识的产生方法是,使用KGC的标识种子密钥对应用的IP、端口和业务住应用文件的HASH值进行SM4加密,取最近一个加密块的16进制编码后的32个字符作为本应用的标识,即:
采用SM4的CBC模式加密,相关要求如下:
1、IV=0;
2、填充方式:
在数据的右端强制添加一个’80’字节,再添加最少个字节‘00’,使数据的长度为16的整数倍;
3、取最后一个加密块16个字节,再转化成16进制得到32个字符的应用标识。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种基于标识密码的云平台应用和数据安全处理方法,其特征在于,所述基于标识密码的云平台应用和数据安全处理方法包括:
步骤一,应用服务端注册初始化后的IP、端口以及主应用的路径,同时将所述主应用路径进行发送;
步骤二,应用代理端对接收到的应用服务端发送的相关数据进行计算,将计算的服务文件的HASH值并发送给标识密钥生成中心,根据IP、端口和HASH值生成应用标识和所述应用标识的公、私钥对;
步骤三,标识密钥生成中心封装生成私钥,发送到所述应用服务端的应用代理处,并生成所述应用服务的对称根密钥、数据加密密钥、文件加密密钥、MAC加密密钥并保存;同时在安全控制管理子系统中注册所述应用服务保存敏感参数的配置文件路径,并向标识密钥生成中心请求相应应用的文件加密密钥;
步骤四,标识密钥生成中心使用标识公钥加密文件加密密钥发回安全控制管理子系统,所述安全控制管理子系统将对应文件加密密钥和文件路径发送给应用代理端,所述应用代理端使用所述文件加密密钥加密配置文件;
步骤五,重启应用服务端初始化,应用代理端计算主服务文件的HASH并发送到安全控制管理子系统,比较注册时的HASH值以及IP和端口,相等时请求标识密钥生成中心使用标识公钥加密,生成密钥文件,并发送给应用代理端,使用私钥解密密钥文件,并使用文件密钥解密配置文件。
2.如权利要求1所述基于标识密码的云平台应用和数据安全处理方法,其特征在于,步骤四中,所述应用代理端使用所述文件加密密钥加密配置文件包括:使用所述文件加密密钥加密多个配置文件。
3.如权利要求1所述基于标识密码的云平台应用和数据安全处理方法,其特征在于,步骤五中,所述加密公钥包括:文件加密密钥、数据加密密钥和MAC密钥。
4.如权利要求1所述基于标识密码的云平台应用和数据安全处理方法,其特征在于,所述云平台应用和数据安全处理方法进一步包括:
加密存储数据:应用服务端加密存储数据中,通过应用代理端使用数据密钥加密数据;
保护日志:应用服务端对核心数据操作日志中,通过应用代理端采用日志链进行保护;
数据传递:应用服务端A向应用服务端B传递数据中,应用服务断A先使用数据加密密钥分散生成此次数据传输密钥,使用应用服务端B的标识公钥加密数据传输密钥并发送给应用服务端B,应用服务端B收到后,应用服务端A再使用数据传输密钥加密信息并发送给应用服务端B;应用服务端B使用标识私钥解密传输加密密钥,并使用传输加密密钥解密传输的加密信息。
5.如权利要求4所述基于标识密码的云平台应用和数据安全处理方法,其特征在于,所述通过应用代理提供的方法采用日志链进行保护的方法包括:
对第一条操作日志使用MAC密钥为加密,取最后一个加密块的前4个字节作为MAC值,放在记录的结尾,从第二条日志记录起,对前一个MAC和本次的日志记录加密,取最后一个加密块的前4个字节作为MAC值,放在记录的结尾,产生日志链。
6.如权利要求4所述基于标识密码的云平台应用和数据安全处理方法,其特征在于,所述MAC的计算方法包括:
采用SM4的CBC模式加密,令IV=0;通过在数据的右端强制添加一个80字节,再添加最少个字节00,扩充数据的长度为16的整数倍;取最后一个加密块的前4个字节作为MAC值。
7.如权利要求4所述基于标识密码的云平台应用和数据安全处理方法,其特征在于,所述应用服务标识生成方法包括:
使用标识密钥生成中心的标识种子密钥对应用的IP、端口和业务住应用文件的HASH值进行SM4加密,取最近一个加密块的16进制编码后的32个字符作为所述应用的标识。
8.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如下步骤:
步骤一,应用服务端注册初始化后的IP、端口以及主应用的路径,同时将所述主应用路径进行发送;
步骤二,应用代理端对接收到的应用服务端发送的相关数据进行计算,将计算的服务文件的HASH值并发送给标识密钥生成中心,根据IP、端口和HASH值生成应用标识和所述应用标识的公、私钥对;
步骤三,标识密钥生成中心封装生成私钥,发送到所述应用服务端的应用代理处,并生成所述应用服务的对称根密钥、数据加密密钥、文件加密密钥、MAC加密密钥并保存;同时在安全控制管理子系统中注册所述应用服务保存敏感参数的配置文件路径,并向标识密钥生成中心请求相应应用的文件加密密钥;
步骤四,标识密钥生成中心使用标识公钥加密文件加密密钥发回安全控制管理子系统,所述安全控制管理子系统将对应文件加密密钥和文件路径发送给应用代理端,所述应用代理端使用所述文件加密密钥加密配置文件;
步骤五,重启应用服务端初始化,应用代理端计算主服务文件的HASH并发送到安全控制管理子系统,比较注册时的HASH值以及IP和端口,相等时请求标识密钥生成中心使用标识公钥加密,生成密钥文件,并发送给应用代理端,使用私钥解密密钥文件,并使用文件密钥解密配置文件。
9.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:
步骤一,应用服务端注册初始化后的IP、端口以及主应用的路径,同时将所述主应用路径进行发送;
步骤二,应用代理端对接收到的应用服务端发送的相关数据进行计算,将计算的服务文件的HASH值并发送给标识密钥生成中心,根据IP、端口和HASH值生成应用标识和所述应用标识的公、私钥对;
步骤三,标识密钥生成中心封装生成私钥,发送到所述应用服务端的应用代理处,并生成所述应用服务的对称根密钥、数据加密密钥、文件加密密钥、MAC加密密钥并保存;同时在安全控制管理子系统中注册所述应用服务保存敏感参数的配置文件路径,并向标识密钥生成中心请求相应应用的文件加密密钥;
步骤四,标识密钥生成中心使用标识公钥加密文件加密密钥发回安全控制管理子系统,所述安全控制管理子系统将对应文件加密密钥和文件路径发送给应用代理端,所述应用代理端使用所述文件加密密钥加密配置文件;
步骤五,重启应用服务端初始化,应用代理端计算主服务文件的HASH并发送到安全控制管理子系统,比较注册时的HASH值以及IP和端口,相等时请求标识密钥生成中心使用标识公钥加密,生成密钥文件,并发送给应用代理端,使用私钥解密密钥文件,并使用文件密钥解密配置文件。
10.一种运行权利要求1~7任意一项所述基于标识密码的云平台应用和数据安全处理方法的云平台应用和数据安全处理方法的系统,其特征在于,所述基于标识密码的云平台应用和数据安全处理系统包括:
标识密钥生成中心,用于生成应用的标识、标识的匹配的私钥、应用的对称根密钥的生成与管理、应用的数据保护密钥、文件保护密钥和MAC密钥的生成及相关加解密计算;
安全控制管理子系统,用于进行应用的注册管理、验证管理;
应用代理端,用于进行应用服务端与标识密钥生成中心、安全控制管理的通信、应用服务的私钥管理、应用服务的敏感安全参数CSP安全保护、核心数据和日志的安全保护,以及应用之间的传输数据或文件的保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010405556.4A CN111600948B (zh) | 2020-05-14 | 2020-05-14 | 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010405556.4A CN111600948B (zh) | 2020-05-14 | 2020-05-14 | 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111600948A true CN111600948A (zh) | 2020-08-28 |
| CN111600948B CN111600948B (zh) | 2022-11-18 |
Family
ID=72188836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010405556.4A Active CN111600948B (zh) | 2020-05-14 | 2020-05-14 | 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111600948B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822021A (zh) * | 2020-12-30 | 2021-05-18 | 中国农业银行股份有限公司 | 一种密钥管理方法和相关装置 |
| CN113472528A (zh) * | 2021-06-28 | 2021-10-01 | 深圳供电局有限公司 | 一种机构间数据安全传输方法及系统 |
| CN113923170A (zh) * | 2021-09-30 | 2022-01-11 | 深信服科技股份有限公司 | 一种应用识别管理方法及系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020116622A1 (en) * | 2000-07-24 | 2002-08-22 | Takumi Okaue | Data processing system, data processing method, data processing apparatus, and program providing medium |
| CN103853340A (zh) * | 2014-03-28 | 2014-06-11 | 广东华大集成技术有限责任公司 | 一种采用国密sm1加密芯片的触摸键盘及其加密方法 |
| US20140380057A1 (en) * | 2013-06-05 | 2014-12-25 | Huawei Technologies Co., Ltd. | Method, Server, Host, and System for Protecting Data Security |
| CN105553662A (zh) * | 2014-10-29 | 2016-05-04 | 航天信息股份有限公司 | 基于标识密码的动态数字版权保护方法和系统 |
| CN105635049A (zh) * | 2014-10-29 | 2016-06-01 | 航天信息股份有限公司 | 基于客户端标识密码的防伪税控方法和装置 |
| CN106534092A (zh) * | 2016-11-02 | 2017-03-22 | 西安电子科技大学 | 基于消息依赖于密钥的隐私数据加密方法 |
| US20190130122A1 (en) * | 2017-10-26 | 2019-05-02 | Lawrence Livermore National Security, Llc | Accessing protected data by a high-performance computing cluster |
| WO2019101134A1 (zh) * | 2017-11-23 | 2019-05-31 | 云图有限公司 | 一种多分布式的sm9解密方法与介质及密钥生成方法 |
| CN110519238A (zh) * | 2019-08-08 | 2019-11-29 | 北京安御道合科技有限公司 | 一种基于密码技术的物联网安全系统和通信方法 |
-
2020
- 2020-05-14 CN CN202010405556.4A patent/CN111600948B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020116622A1 (en) * | 2000-07-24 | 2002-08-22 | Takumi Okaue | Data processing system, data processing method, data processing apparatus, and program providing medium |
| US20140380057A1 (en) * | 2013-06-05 | 2014-12-25 | Huawei Technologies Co., Ltd. | Method, Server, Host, and System for Protecting Data Security |
| CN103853340A (zh) * | 2014-03-28 | 2014-06-11 | 广东华大集成技术有限责任公司 | 一种采用国密sm1加密芯片的触摸键盘及其加密方法 |
| CN105553662A (zh) * | 2014-10-29 | 2016-05-04 | 航天信息股份有限公司 | 基于标识密码的动态数字版权保护方法和系统 |
| CN105635049A (zh) * | 2014-10-29 | 2016-06-01 | 航天信息股份有限公司 | 基于客户端标识密码的防伪税控方法和装置 |
| CN106534092A (zh) * | 2016-11-02 | 2017-03-22 | 西安电子科技大学 | 基于消息依赖于密钥的隐私数据加密方法 |
| US20190130122A1 (en) * | 2017-10-26 | 2019-05-02 | Lawrence Livermore National Security, Llc | Accessing protected data by a high-performance computing cluster |
| WO2019101134A1 (zh) * | 2017-11-23 | 2019-05-31 | 云图有限公司 | 一种多分布式的sm9解密方法与介质及密钥生成方法 |
| CN110519238A (zh) * | 2019-08-08 | 2019-11-29 | 北京安御道合科技有限公司 | 一种基于密码技术的物联网安全系统和通信方法 |
Non-Patent Citations (3)
| Title |
|---|
| 周传玉等: "物联网中标识密码应用研究", 《信息安全研究》 * |
| 李文等: "基于标识密码的密级标签控制模型", 《计算机应用与软件》 * |
| 李新玉: "基于身份的密码体制中密钥托管问题的研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822021A (zh) * | 2020-12-30 | 2021-05-18 | 中国农业银行股份有限公司 | 一种密钥管理方法和相关装置 |
| CN112822021B (zh) * | 2020-12-30 | 2022-10-21 | 中国农业银行股份有限公司 | 一种密钥管理方法和相关装置 |
| CN113472528A (zh) * | 2021-06-28 | 2021-10-01 | 深圳供电局有限公司 | 一种机构间数据安全传输方法及系统 |
| CN113472528B (zh) * | 2021-06-28 | 2023-12-01 | 深圳供电局有限公司 | 一种机构间数据安全传输方法及系统 |
| CN113923170A (zh) * | 2021-09-30 | 2022-01-11 | 深信服科技股份有限公司 | 一种应用识别管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111600948B (zh) | 2022-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110249332B (zh) | 使用加密密钥寻址可信执行环境 | |
| US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
| CN111600948B (zh) | 基于标识密码的云平台应用和数据安全处理方法、系统、存储介质、程序 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| US8904195B1 (en) | Methods and systems for secure communications between client applications and secure elements in mobile devices | |
| CN112597523B (zh) | 文件处理方法、文件转换加密机、终端、服务器及介质 | |
| CN109684129B (zh) | 数据备份恢复方法、存储介质、加密机、客户端和服务器 | |
| CN112861089A (zh) | 授权认证的方法、资源服务器、资源用户端、设备和介质 | |
| CN114244508B (zh) | 数据加密方法、装置、设备及存储介质 | |
| EP2414983B1 (en) | Secure Data System | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| CN114448624A (zh) | 基于白盒密码服务的透明化物联网安全传输方法及装置 | |
| CN116614599B (zh) | 一种安全加密的视频监控方法、装置及存储介质 | |
| CN112689014A (zh) | 一种双全工通信方法、装置、计算机设备和存储介质 | |
| CN113395406A (zh) | 一种基于电力设备指纹的加密认证方法及系统 | |
| CN110519238B (zh) | 一种基于密码技术的物联网安全系统和通信方法 | |
| CN116709325B (zh) | 一种基于高速加密算法的移动设备安全认证方法 | |
| CN113904767A (zh) | 一种基于ssl建立通信的系统 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN115766119A (zh) | 通信方法、装置、通信系统及存储介质 | |
| CN113438074B (zh) | 基于量子安全密钥的接收邮件的解密方法 | |
| CN111431846B (zh) | 数据传输的方法、装置和系统 | |
| KR0171003B1 (ko) | 정보보호 프로토콜 및 그를 이용한 정보 보호방법 | |
| CN116866029B (zh) | 随机数加密数据传输方法、装置、计算机设备及存储介质 | |
| CN114554485B (zh) | 异步会话密钥协商和应用方法、系统、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |