CN114185649A - 基于密码技术的虚拟密码机容器镜像保护方法 - Google Patents

基于密码技术的虚拟密码机容器镜像保护方法 Download PDF

Info

Publication number
CN114185649A
CN114185649A CN202111551491.5A CN202111551491A CN114185649A CN 114185649 A CN114185649 A CN 114185649A CN 202111551491 A CN202111551491 A CN 202111551491A CN 114185649 A CN114185649 A CN 114185649A
Authority
CN
China
Prior art keywords
vsm
mirror image
image
container
mirror
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111551491.5A
Other languages
English (en)
Inventor
李欣
李元正
唐伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Guotai Netcom Technology Co ltd
Chengdu Guotai Wangxin Technology Co ltd
Original Assignee
Beijing Guotai Netcom Technology Co ltd
Chengdu Guotai Wangxin Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guotai Netcom Technology Co ltd, Chengdu Guotai Wangxin Technology Co ltd filed Critical Beijing Guotai Netcom Technology Co ltd
Priority to CN202111551491.5A priority Critical patent/CN114185649A/zh
Publication of CN114185649A publication Critical patent/CN114185649A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于密码技术的虚拟密码机容器镜像保护方法,属于信息安全技术领域,包括步骤:VSM发布镜像制作准备阶段、VSM发布镜像制作阶段和VSM发布镜像导入阶段;在完成常规VSM容器镜像制作后,采用对称分组密码算法对常规VSM容器镜像进行加密,采用数字签名算法对镜像密文进行签名,将镜像密文与签名值再次制作成容器镜像,最后得到VSM发布镜像;然后再进行VSM发布镜像导入阶段。本发明可以实现VSM容器镜像的机密性、完整性以及来源的可靠性保护;VSM发布镜像仅能在密钥匹配的密码机中完成解密并使用,能够有效防止镜像在分发和使用过程中被分析、篡改和仿冒,保障密码机的运行安全。

Description

基于密码技术的虚拟密码机容器镜像保护方法
技术领域
本发明涉及信息安全技术领域,更为具体的,涉及一种基于密码技术的虚拟密码机容器镜像保护方法。
背景技术
密码技术是保障网络信息安全的核心技术,包括对称密码算法、非对称密码算法以及杂凑密码算法。对称密码主要用于数据加解密,保护数据机密性;杂凑密码和非对称密码算法通常结合使用实现数字签名技术,用于保护数据完整性、认证数据来源等。
伴随着云计算技术的快速发展,容器虚拟化技术逐渐成熟和普及,在密码机中也得到了广泛应用。采用容器技术的密码机中不再是直接运行密码应用程序,而是首先基于容器镜像创建虚拟密码机(VSM),然后在VSM中运行密码应用程序;单台密码机就可提供多台多类型的与传统密码机相一致的密钥管理和密码服务功能,能够更好地适应当前云计算环境中对多租户、按需分配等应用需求。
常规采用容器虚拟化技术的密码机创建VSM所使用的容器镜像与普通容器镜像一致,按照相关规范格式由应用程序和其依赖的运行时环境组成压缩包,可以直接使用压缩工具解压后查看到其内容,存在着被篡改、仿冒以及来源不可靠等安全风险。由于密码机是关键的基础安全设施,当非法的VSM容器镜像导入密码设备后,将影响密码机的稳定运行、加大密钥泄露风险,从而降低系统的可靠性和安全性。
发明内容
本发明的目的在于克服现有技术的不足,提供一种基于密码技术的虚拟密码机容器镜像保护方法,可以实现VSM容器镜像的机密性、完整性以及来源的可靠性保护;能够有效防止镜像在分发和使用过程中被分析、篡改和仿冒,保障密码机的运行安全等。
本发明的目的是通过以下方案实现的:
一种基于密码技术的虚拟密码机容器镜像保护方法,包括步骤:VSM发布镜像制作准备阶段步骤S1、VSM发布镜像制作阶段步骤S2和VSM发布镜像导入阶段步骤S3;且在VSM发布镜像制作准备阶段步骤S1中完成常规VSM容器镜像制作后,在VSM发布镜像制作阶段步骤S2中采用对称分组密码算法对常规VSM容器镜像进行加密,采用数字签名算法对镜像密文进行签名,将镜像密文与签名值再次制作成容器镜像,最后得到VSM发布镜像;然后再执行VSM发布镜像导入阶段步骤S3。
进一步地,在VSM发布镜像制作准备阶段步骤S1中包括子步骤:
S11,创建用于VSM容器镜像签名的非对称密钥对;
S12,使用步骤S11中生成的非对称密钥对的公钥制作证书请求文件,将证书请求文件交由证书管理系统签发镜像保护证书;
S13,创建用于VSM容器镜像加密的对称密钥;
S14,将步骤S13中生成的对称密钥导入到密码机中,并以密文形式存储;
S15,将证书管理系统的证书链、证书吊销列表CRL预置到密码机中。
进一步地,在VSM发布镜像制作阶段步骤S2中包括子步骤:
S21,使用密码应用程序及其依赖的运行时环境制作常规VSM容器镜像;
S22,使用对称分组密码算法和准备阶段步骤S1生成的对称密钥对VSM容器镜像进行加密得到VSM密文镜像;
S23,使用数字签名算法和准备阶段步骤S1生成的非对称密钥对中的私钥对VSM密文镜像进行签名得到VSM密文签名;
S24,使用VSM密文镜像、VSM密文签名和准备阶段步骤S1生成的镜像保护证书按照常规容器制作方式创建用于对外发布的VSM容器镜像,即VSM发布镜像。
进一步地,在VSM发布镜像导入阶段步骤S3中包括子步骤:
S31,通过密码机本地管理系统上传或从镜像仓库下载VSM发布镜像到密码机中;
S32,密码机从VSM发布镜像中解析出VSM密文镜像、VSM密文签名和镜像保护证书;
S33,密码机使用预置的证书链和CRL验证镜像保护证书的有效性;
S34:密码机使用镜像保护证书验证VSM密文签名是否与VSM密文镜像相匹配;
S35:密码机使用准备阶段步骤S1导入的对称密钥解密VSM密文镜像得到明文的VSM本地镜像,至此,VSM本地镜像即能按照常规容器镜像进行导入、存储和使用。
进一步地,在步骤S14中,所述存储包括以密文形式安全存储或采用微电保护存储。
进一步地,在硬件密码模块中创建用于镜像签名的非对称密钥对。
本发明的有益效果是:
通过采用密码技术对常规VSM容器镜像进行加密并签名,可以实现VSM容器镜像的机密性、完整性以及来源的可靠性保护;VSM发布镜像仅能在密钥匹配的密码机中完成解密并使用,能够有效防止镜像在分发和使用过程中被分析、篡改和仿冒,保障密码机的运行安全。
本发明方法针对基于容器虚拟化技术实现的密码机设备,采用数字签名、对称加密等密码技术对虚拟密码机的容器镜像进行机密性、完整性和真实性保护,保障了虚拟密码机的容器镜像安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例VSM发布镜像的组成示意图;
图2为本发明实施例VSM发布镜像制作准备的步骤示意图;
图3为本发明实施例VSM发布镜像制作的步骤示意图;
图4为本发明实施例VSM发布镜像导入的步骤示意图。
具体实施方式
本说明书中所有实施例公开的所有特征,或隐含公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合和/或扩展、替换。
下面根据附图1~图4,对本发明解决的技术构思、工作原理、功效和工作过程作进一步详细说明。
实施例1
本发明针对常规使用的VSM容器镜像存在的安全问题,提出了一种基于密码技术的虚拟密码机容器镜像保护方法,其技术方案包括:VSM发布镜像制作准备阶段步骤S1、VSM发布镜像制作阶段步骤S2和VSM发布镜像导入阶段步骤S3;且在VSM发布镜像制作准备阶段步骤S1中完成常规VSM容器镜像制作后,在VSM发布镜像制作阶段步骤S2中采用对称分组密码算法对常规VSM容器镜像进行加密,采用数字签名算法对镜像密文进行签名,将镜像密文与签名值再次制作成容器镜像,最后得到VSM发布镜像;然后再执行VSM发布镜像导入阶段步骤S3。
如图1所示,VSM发布镜像(IMGVSM)由VSM密文镜像CVSM、密文签名SVSM和镜像保护证书CertIS组成。其中,密文镜像CVSM是使用对称加密算法和对称密钥CK对VSM本地镜像加密得到:CVSM=Enc(CK,VSMRAW);密文签名SVSM是使用数字签名算法和非对称密钥对的私钥SK对密文镜像签名得到:SVSM=Sig(SK,CVSM);镜像保护证书CertIS是由证书管理系统签发,证书中的公钥为非对称密钥对的公钥PK。
实施例2
在实施例1的基础上,如图2所示,VSM发布镜像在制作准备阶段的步骤如下:
步骤1:在专用硬件密码模块中创建用于镜像签名的非对称密钥对,包括公钥PK和私钥SK;
步骤2:使用步骤1中生成的PK制作证书请求文件,将证书请求文件交由CA系统签发证书CertIS
步骤3:在专用硬件密码模块中创建用于镜像加密的对称密钥CK;
步骤4:将步骤3中生成的CK导入到密码机中,并以密文形式安全存储或采用微电保护存储;
步骤5:将CA系统的证书链CertChain、证书吊销列表CRL预置到密码机中。
实施例3
在实施例1的基础上,如图3所示,VSM发布镜像的制作步骤如下:
步骤1:使用密码应用程序及其依赖的运行时环境制作常规的本地VSM容器镜像IMGRAW
步骤2:使用对称分组密码算法和CK对本地VSM容器镜像进行加密得到VSM密文镜像:CVSM=Enc(CK,IMGRAW);
步骤3:使用数字签名算法和SK对CVSM进行签名得到密文签名:SVSM=Sig(SK,CVSM);
步骤4:使用CertIS、CVSM和SVSM按照常规容器制作方式创建用于对外发布的VSM容器镜像IMGVSM
最后得到的VSM发布镜像IMGVSM只能够在密钥匹配的密码机中正常使用。
实施例4
在实施例1的基础上,如图4所示,VSM发布镜像导入步骤如下:
步骤1:通过本地管理系统上传或从镜像仓库下载VSM发布镜像IMGVSM到密码机中;
步骤2:密码机从IMGVSM中解析出CVSM、SVSM和CertIS
步骤3:密码机使用预置的CertChain和CRL验证CertIS的有效性,验证通过则执行下一步;否则结束流程。
步骤4:密码机使用CertIS验证SVSM是否与CVSM相匹配,验证通过则执行下一步;否则结束流程。
步骤5:密码机使用准备阶段导入的对称密钥CK解密CVSM得到明文的VSM本地镜像:IMGRAW=Dec(CK,CVSM)。
本发明功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,在一台计算机设备(可以是个人计算机,服务器,或者网络设备等)以及相应的软件中执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、或者光盘等各种可以存储程序代码的介质,进行测试或者实际的数据在程序实现中存在于只读存储器(Random Access Memory,RAM)、随机存取存储器(Random Access Memory,RAM)等。

Claims (6)

1.一种基于密码技术的虚拟密码机容器镜像保护方法,其特征在于,包括步骤:VSM发布镜像制作准备阶段步骤S1、VSM发布镜像制作阶段步骤S2和VSM发布镜像导入阶段步骤S3;且在VSM发布镜像制作准备阶段步骤S1中完成常规VSM容器镜像制作后,在VSM发布镜像制作阶段步骤S2中采用对称分组密码算法对常规VSM容器镜像进行加密,采用数字签名算法对镜像密文进行签名,将镜像密文与签名值再次制作成容器镜像,最后得到VSM发布镜像;然后再执行VSM发布镜像导入阶段步骤S3。
2.根据权利要求1所述的基于密码技术的虚拟密码机容器镜像保护方法,其特征在于,在VSM发布镜像制作准备阶段步骤S1中包括子步骤:
S11,创建用于VSM容器镜像签名的非对称密钥对;
S12,使用步骤S11中生成的非对称密钥对的公钥制作证书请求文件,将证书请求文件交由证书管理系统签发镜像保护证书;
S13,创建用于VSM容器镜像加密的对称密钥;
S14,将步骤S13中生成的对称密钥导入到密码机中,并以密文形式存储;
S15,将证书管理系统的证书链、证书吊销列表CRL预置到密码机中。
3.根据权利要求1所述的基于密码技术的虚拟密码机容器镜像保护方法,其特征在于,在VSM发布镜像制作阶段步骤S2中包括子步骤:
S21,使用密码应用程序及其依赖的运行时环境制作常规VSM容器镜像;
S22,使用对称分组密码算法和准备阶段步骤S1生成的对称密钥对VSM容器镜像进行加密得到VSM密文镜像;
S23,使用数字签名算法和准备阶段步骤S1生成的非对称密钥对中的私钥对VSM密文镜像进行签名得到VSM密文签名;
S24,使用VSM密文镜像、VSM密文签名和准备阶段步骤S1生成的镜像保护证书按照常规容器制作方式创建用于对外发布的VSM容器镜像,即VSM发布镜像。
4.根据权利要求1所述的基于密码技术的虚拟密码机容器镜像保护方法,其特征在于,在VSM发布镜像导入阶段步骤S3中包括子步骤:
S31,通过密码机本地管理系统上传或从镜像仓库下载VSM发布镜像到密码机中;
S32,密码机从VSM发布镜像中解析出VSM密文镜像、VSM密文签名和镜像保护证书;
S33,密码机使用预置的证书链和CRL验证镜像保护证书的有效性;
S34:密码机使用镜像保护证书验证VSM密文签名是否与VSM密文镜像相匹配;
S35:密码机使用准备阶段步骤S1导入的对称密钥解密VSM密文镜像得到明文的VSM本地镜像,至此,VSM本地镜像即能按照常规容器镜像进行导入、存储和使用。
5.根据权利要求1所述的基于密码技术的虚拟密码机容器镜像保护方法,其特征在于,在步骤S14中,所述存储包括以密文形式安全存储或采用微电保护存储。
6.根据权利要求1所述的基于密码技术的虚拟密码机容器镜像保护方法,其特征在于,在硬件密码模块中创建用于镜像签名的非对称密钥对。
CN202111551491.5A 2021-12-17 2021-12-17 基于密码技术的虚拟密码机容器镜像保护方法 Pending CN114185649A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111551491.5A CN114185649A (zh) 2021-12-17 2021-12-17 基于密码技术的虚拟密码机容器镜像保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111551491.5A CN114185649A (zh) 2021-12-17 2021-12-17 基于密码技术的虚拟密码机容器镜像保护方法

Publications (1)

Publication Number Publication Date
CN114185649A true CN114185649A (zh) 2022-03-15

Family

ID=80544318

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111551491.5A Pending CN114185649A (zh) 2021-12-17 2021-12-17 基于密码技术的虚拟密码机容器镜像保护方法

Country Status (1)

Country Link
CN (1) CN114185649A (zh)

Similar Documents

Publication Publication Date Title
US9054880B2 (en) Information processing device, controller, key issuing authority, method for judging revocation list validity, and key issuing method
CN102129532B (zh) 一种数字版权保护方法和系统
US20100005318A1 (en) Process for securing data in a storage unit
US7831831B2 (en) Authentication communication system, authentication communication apparatus, and authentication communication method
CA3164765A1 (en) Secure communication method and device based on identity authentication
CN104580250A (zh) 一种基于安全芯片进行可信身份认证的系统和方法
CN110958219B (zh) 一种面向医疗云共享数据的sm2代理重加密方法与装置
CN103067170B (zh) 一种基于ext2文件系统的加密方法
JP2006211349A (ja) ファイルの暗号化・複合化プログラム、プログラム格納媒体
CN108809936B (zh) 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统
CN109905384B (zh) 数据迁移方法及系统
CN103560892A (zh) 密钥生成方法和密钥生成装置
CN114692218A (zh) 一种面向个人用户的电子签章方法、设备和系统
CN113094725B (zh) 用于远程、集中开标的投标文件的加解密方法及系统
CN114697040A (zh) 一种基于对称密钥的电子签章方法和系统
JP2010231404A (ja) 秘密情報管理システム、秘密情報管理方法、および秘密情報管理プログラム
CN110233729A (zh) 一种基于puf的加密固态盘密钥管理方法
CN111866547B (zh) 一种新型视频防篡改的方法
CN112583772B (zh) 一种数据采集存储平台
KR20140071775A (ko) 암호키 관리 시스템 및 방법
CN107404476B (zh) 一种大数据云环境中数据安全的保护方法与装置
CN112968774B (zh) 一种组态存档加密及解密方法、装置存储介质及设备
CN114185649A (zh) 基于密码技术的虚拟密码机容器镜像保护方法
CN116232639A (zh) 数据传输方法、装置、计算机设备和存储介质
TWI430643B (zh) Secure key recovery system and method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination