CN114244565B - 密钥分发方法、装置、设备及存储介质 - Google Patents
密钥分发方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114244565B CN114244565B CN202111356201.1A CN202111356201A CN114244565B CN 114244565 B CN114244565 B CN 114244565B CN 202111356201 A CN202111356201 A CN 202111356201A CN 114244565 B CN114244565 B CN 114244565B
- Authority
- CN
- China
- Prior art keywords
- cipher machine
- key
- cipher
- server
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种密钥分发方法、装置、设备及存储介质,本地服务终端对用户登录本地服务终端时使用的登录凭证进行验证;在验证通过的情况下,获取用户选择密码资源;然后,向服务器密码机发送密码机镜像请求,以指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;最后,通过虚拟密码机实现用户数据的密钥分发处理;其中,不同密码资源对应的可用于对数据加密的密钥数量不同。采用上述方法可以提升数据传输的安全性,降低设备投资成本,简化服务器密码机的运行管理,并且可以同时满足不同用户的密钥分发处理需求。
Description
技术领域
本申请涉及数据加密技术领域,特别是涉及一种密钥分发方法、装置、设备及存储介质。
背景技术
随着计算机网络技术的高速发展,人们广泛使用互联网进行学习、工作以及日常生活,网络已经成为一个时代的代名词,也是开展科研工作的一个重要支撑条件。如何保证网络传输中的数据安全,避免非法入侵、病毒感染、恶意篡改、信息泄漏等安全风险,是网络信息安全建设中必须解决的难题"。计算机设备可以采用加密技术确保所传输信息的完整性和可靠性,防止信息在传输过程中被泄露或被篡改。在信息加密系统中,服务器密码机可以实现数据加解密、数字签名、身份认证、随机数生成等安全功能。
传统方法中,服务器密码机对数据进行加密之后,将加密后的数据和解密的密钥发送至数据接收方,导致数据传输安全性差。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提升数据传输安全性的密钥分发方法、装置、设备及存储介质。
第一方面,本申请提供了一种密钥分发方法。方法包括:
对用户登录本地服务终端时使用的登录凭证进行验证;
在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
向服务器密码机发送密码机镜像请求;密码机镜像请求用于指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;
通过虚拟密码机实现用户数据的密钥分发处理。
在其中一个实施例中,登录凭证为开机卡,方法还包括:
获取开机卡注册请求;
生成与开机卡对应的设备密钥以及一组随机字符串;
采用设备密钥对随机字符串进行签名处理,获得签名结果;
将签名结果写入开机卡中,以完成开机卡注册。
在其中一个实施例中,采用设备密钥对随机字符串进行签名处理,获得签名结果,包括:
生成与开机卡对应的保护密钥;
采用保护密钥对设备密钥进行加密,获得加密后的设备密钥;
采用加密后的设备密钥对随机字符串进行签名处理,获得签名结果。
在其中一个实施例中,对用户登录本地服务终端时使用的登录凭证进行验证,包括:
读取开机卡中携带的签名结果;
采用开机卡对应的设备密钥对签名结果进行验签;
若验签通过,则确定开机卡验证通过。
在其中一个实施例中,上述方法还包括:
在虚拟密码机被迁移的情况下,采用设备密钥登录新的虚拟密码机,以恢复新的虚拟密码机上的密钥分发处理业务。
在其中一个实施例中,对用户登录本地服务终端时使用的登录凭证进行验证之后,还包括:
采用设备密钥备份服务器密码机中的数据加密信息;数据加密信息包括登录凭证的编号、登录凭证的登录指令以及服务器密码机处理登录凭证对应的数据时使用的备份密钥。
第二方面,本申请还提供了一种密钥分发装置,装置包括:
验证模块,用于对用户登录本地服务终端时使用的登录凭证进行验证;
获取模块,用于在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
发送模块,用于向服务器密码机发送密码机镜像请求;密码机镜像请求用于指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;
处理模块,用于通过虚拟密码机实现用户数据的密钥分发处理。
第三方面,本申请还提供了一种计算机设备。计算机设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
对用户登录本地服务终端时使用的登录凭证进行验证;
在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
向服务器密码机发送密码机镜像请求;密码机镜像请求用于指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;
通过虚拟密码机实现用户数据的密钥分发处理。
第四方面,本申请还提供了一种计算机可读存储介质。计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
对用户登录本地服务终端时使用的登录凭证进行验证;
在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
向服务器密码机发送密码机镜像请求;密码机镜像请求用于指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;
通过虚拟密码机实现用户数据的密钥分发处理。
第五方面,本申请还提供了一种计算机程序产品。计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
对用户登录本地服务终端时使用的登录凭证进行验证;
在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
向服务器密码机发送密码机镜像请求;密码机镜像请求用于指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;
通过虚拟密码机实现用户数据的密钥分发处理。
上述密钥分发方法、装置、设备及存储介质,本地服务终端对用户登录本地服务终端时使用的登录凭证进行验证;在验证通过的情况下,获取用户选择密码资源;然后,向服务器密码机发送密码机镜像请求,以指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;最后,通过虚拟密码机实现用户数据的密钥分发处理;其中,不同密码资源对应的可用于对数据加密的密钥数量不同。由于本地服务终端对用户的登录凭证进行验证,使得非法用户不能随意登录本地服务终端并通过本地服务终端使用服务器密码及提供的密钥分发处理服务,保证了数据传输的私密性;进一步地,本地服务终端通过获取用户选择的密码资源,可以通过服务器密码机生成符合用户需求的虚拟密码机,使得为用户提供密钥分发服务的虚拟密码机与为其它本地服务终端服务的虚拟密码机进行安全隔离,进一步保证了数据传输的安全性;通过在同一个服务器密码及中运行不同用户对应的虚拟密码机,可以降低设备投资成本,简化服务器密码机的运行管理,并且可以同时满足不同用户的密钥分发处理需求。
附图说明
图1为一个实施例中密钥分发方法的应用环境图;
图2为一个实施例中密钥分发方法的流程示意图;
图3为一个实施例中密钥分发方法的流程示意图;
图4为另一个实施例中密钥分发方法的流程示意图;
图5为一个实施例中密钥分发装置的结构框图;
图6为一个实施例中密钥分发装置的结构框图;
图7为一个实施例中密钥分发装置的结构框图;
图8为一个实施例中密钥分发装置的结构框图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的密钥分发方法,可以应用于如图1所示的应用环境中。本地服务终端102可以与服务器密码机104连接。其中,上述本地服务终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。上述服务器密码机104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。上述服务器密码机104可以与数据存储系统连接,上述数据存储系统可以存储服务器密码机104需要处理的数据。数据存储系统可以集成在服务器密码机104上,也可以放在云上或其他网络服务器上。
在一个实施例中,如图2所示,提供了一种密钥分发方法,以该方法应用于图1中的本地服务终端为例进行说明,包括以下步骤:
S101、对用户登录本地服务终端时使用的登录凭证进行验证。
其中,上述本地服务终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。
上述登录凭证可以是用户在本地服务终端中的用户登录界面上输入的用户名和用户密码等,也可以是一种登录设备,例如通过USB (通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的UKey;对于上述登录凭证的类型在此不做限定。可选地,上述登录凭证可以是开机卡,上述开机卡可以是微型电子元器件(Integrated CircuitChip,简称IC)卡形式的登录设备。
本地服务终端可以对登录凭证进行验证,以确定该用户是否具有对本地服务终端以及与本地服务终端连接的服务器密码机等设备的访问权限。
本地服务终端可以读取登录凭证的登录信息,将该登录信息与预设信息列表进行匹配,确定该登录信息是否存在于具有访问权限的信息列表上,若是,则可以确定该登录凭证验证通过;若否,则可以确定该登录凭证验证不同过。或者,本地服务终端可以采用预设验证算法,例如MD5算法等对登录信息进行校验,根据校验结果确定该登录凭证是否验证通过。对于上述登录凭证的验证方式在此不做限定。其中,上述登录凭证可以包括登录凭证的标识,还可以包括登录凭证可以访问的设备标识等,在此不做限定。
S102、在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同。
在登录凭证验证通过之后,本地服务终端可以向用户展示密码资源的选择界面,上述选择界面上可以包括多个可选择的密码资源。上述密码资源可以包括多个用于对数据加密的密码,用户可以根据数据传输需求选择对应的密码资源。另外,上述密码资源还可以对应服务器密码机的不同密码卡。
本地服务终端可以在登录凭证验证通过之后,自动弹出上述选择界面;也可以在用户触发之后显示上述选择界面,在此不做限定。上述选择界面可以显示在登录界面上的其中一个区域,也可以显示在服务器密码机对应的应用程序中。
S103、向服务器密码机发送密码机镜像请求;密码机镜像请求用于指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机。
本地服务终端在确定用户选择的密码资源后,可以基于上述密码资源向服务器密码及发送上述密码机镜像请求。上述密码机镜像请求可以包括用户选择的密码机资源,也可以包括与用户选择的密码机资源匹配的密码卡的标识,还可以包括用户选择的密码机资源所对应的密钥数量等。
服务器密码机接收到上述密码机镜像请求之后,可以基于上述密码机资源获得密码机镜像,然后将上述密码机镜像发送至云存储,获得该用户对应的虚拟密码机。服务器密码机在接收到上述密码机镜像请求,可以确定用户有密钥分发处理需求,可以获取用户在页面提交的配置和性能需求,并根据用户需求镜像出用户所需的密码机镜像,将其保存在云储存中,并加载到云服务密码机中,最终用户可以访问、管理、使用此虚拟密码机。此过程中全部自动化实现,不需管理人员手动设置或管理工作。用户远程管理虚拟密码机时可采用登录凭证进行身份认证,确保过程安全。
服务器密码机的核心是密码卡,上述密码卡可以通过PCI接口与服务器密码机连接,服务器密码机可以基于底层操作系统提供虚拟化支持。服务器密码机生成虚拟密码机时,可以采用不同的虚拟方式。在一种实现方式中,服务器密码机可以将服务器密码机通过全虚拟化的方案,虚拟化成多个虚拟密码机,虚拟化的内容包括处理器、内存、硬盘、密码运算卡;这种虚拟化的方案需要专门开发PCI驱动以实现I/O虚拟化。在另一种实现方式中,服务器密码机可以将密码卡先组成密码运算资源池,再对资源池进行虚拟化,基于不同的颗粒度分配运算资源。
上述服务器密码机可以通过串口连接到本地服务终端,服务器密码机的内网口可以连接到内网交换机的以太网口,服务器密码机的外网口可以连接至路由器的以太网口。服务器密码机可以建立服务器区域网桥,然后建立用户区域网桥,可以按照管理权限设定各本地服务终端对应的终端组,使得终端组与对应的密码资源绑定。
S104、通过虚拟密码机实现用户数据的密钥分发处理。
在确定了用户对应的虚拟密码机的基础上,用户可以通过虚拟密码机实现数据的密钥分发处理。上述密钥分发处理可以包括对用户数据进行加密、解密、分发加密解密过程中使用的密钥、数字签名等。
上述密钥分发方法,本地服务终端对用户登录本地服务终端时使用的登录凭证进行验证;在验证通过的情况下,获取用户选择的包括多个可用于对数据加密的密码的密码资源;然后,向服务器密码机发送密码机镜像请求,以指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;最后,通过虚拟密码机实现用户数据的密钥分发处理。由于本地服务终端对用户的登录凭证进行验证,使得非法用户不能随意登录本地服务终端并通过本地服务终端使用服务器密码及提供的密钥分发处理服务,保证了数据传输的私密性;进一步地,本地服务终端通过获取用户选择的密码资源,可以通过服务器密码机生成符合用户需求的虚拟密码机,使得为用户提供密钥分发服务的虚拟密码机与为其它本地服务终端服务的虚拟密码机进行安全隔离,进一步保证了数据传输的安全性;通过在同一个服务器密码及中运行不同用户对应的虚拟密码机,可以降低设备投资成本,简化服务器密码机的运行管理,并且可以同时满足不同用户的密钥分发处理需求。
图3为一个实施例中密钥分发方法的流程示意图,在上述实施例的基础上,上述登录凭证可以为开机卡,本实施例涉及本地服务终端进行开机卡注册的过程,上述S101之前还包括:
S201、获取开机卡注册请求。
本地服务终端可以自动检测是否有开机卡插入,若是则进一步判断该开机卡是否已完成注册。若该开机卡未注册,则输出开机卡注册请求指令。
在另一种实现方式中,本地服务终端可以获取用户触发的开机卡注册指令,例如用户插入开机卡之后,在登录界面上点击注册控件,生成开机卡注册指令。
S202、生成与开机卡对应的设备密钥以及一组随机字符串。
在获取开机卡注册指令的基础上,本地服务终端可以生成该开机卡对应的设备密钥,以及一组随机字符串。上述随机字符串的位数可以是16位,也可以是8位,可选地上述随机字符串的位数为20位。
上述设备密钥可以是对称密钥,也可以是非对称密钥;可选地,上述设备密钥可以是基于RSA加密算法的非对称密钥对。
S203、采用设备密钥对随机字符串进行签名处理,获得签名结果。
本地服务终端可以采用该设备密钥对随机字符串进行签名处理,获得签名结果。上述签名处理可以生成无法篡改的加密字符串,上述加密字符串可以作为开机卡的有效身份证明。
上述签名处理可以基于公钥密码体制,也可以基于私钥密码体制获得签名结果。本地服务终端可以采用签名算法对随机字符串进行签名处理。上述签名算法可以是RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir等数字签名算法,在此不做限定。
本地服务终端可以直接采用设备密钥对随机字符串进行签名处理;可选地,本地服务终端可以生成与开机卡对应的保护密钥;采用保护密钥对设备密钥进行加密,获得加密后的设备密钥;然后,采用加密后的设备密钥对随机字符串进行签名处理,获得签名结果。
S204、将签名结果写入开机卡中,以完成开机卡注册。
本地服务终端获取签名结果之后,可以将签名结果写入开机卡中,完成开机卡注册。
上述密钥分发方法,本地服务终端通过生成设备密钥对随机字符串进行签名处理,并将签名结果写入开机卡完成开机卡注册,使得注册后的开机卡可以更安全,防止非法用户篡改和使用。
图4为一个实施例中密钥分发方法的流程示意图,本实施例涉及本地服务终端对用户的登录凭证进行验证的一种方式,在上述实施例的基础上,上述S101包括:
S301、读取开机卡中携带的签名结果。
本地服务终端可以检测是否有开机卡插入,若是,则进一步判断该开机卡是否已完成注册。
在确定开机卡完成注册的情况下,可以读取开机卡中携带的签名结果。
S302、采用开机卡对应的设备密钥对签名结果进行验签。
本地服务终端可以获取该开机卡对应对设备密钥,然后采用设备密钥对签名结果进行验签。另外,开机卡中还可以存储注册时为该开机卡生成的随机字符串,本地服务终端可以将验签后的字符串与开机卡中的随机字符串进行比较,根据比较结果确定该开机卡是否验证通过。
S303、若验签通过,则确定开机卡验证通过。
若验签后获得的字符串与随机字符串相同,可以确定该开机卡验证通过。
若验签后获得的字符串与随机字符串不同,可以确定该开机卡验证不通过。
上述密钥分发方法,本地服务终端在用户登录时,对用户使用的开机卡进行验签,进一步提保证了该用户的数据安全。
在一个实施例中,在虚拟密码机被迁移的情况下,本地服务终端可以采用设备密钥登录新的虚拟密码机,以恢复新的虚拟密码机上的密钥分发处理业务,提高了用户使用服务器密码机的可靠性,保证用户数据的顺利传输。
在一个实施例中,本地服务终端对用户登录本地服务终端时使用的登录凭证进行验证之后,还可以采用设备密钥备份服务器密码机中的数据加密信息。其中,上述数据加密信息可以包括登录凭证的编号、登录凭证的登录指令以及服务器密码机处理登录凭证对应的数据时使用的备份密钥。
本地服务终端可以向服务器密码机发起备份请求。服务器密码机接收到备份请求之后,可以导出该本地服务终端对应的开机卡的数据加密信息。上述数据加密信息的备份可以采用二三门限的原理,可以将数据加密信息制作成三个备份数据,分别采用三个口令进行加密;在对该数据加密信息进行恢复时,采用任意两个口令解密后,可以合成完成的数据加密信息,使得数据加密信息的恢复。
上述密钥分发方法,本地服务终端通过备份数据加密信息,可以进一步提升数据处理安全。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的密钥分发方法的密钥分发装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个密钥分发装置实施例中的具体限定可以参见上文中对于密钥分发方法的限定,在此不再赘述。
在一个实施例中,如图5所示,提供了一种密钥分发装置,包括:
验证模块10,用于对用户登录本地服务终端时使用的登录凭证进行验证;
获取模块20,用于在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
发送模块30,用于向服务器密码机发送密码机镜像请求;密码机镜像请求用于指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;
处理模块40,用于通过虚拟密码机实现用户数据的密钥分发处理。
在一个实施例中,在上述实施例的基础上,如图6所示,上述装置还包括注册模块50,用于:获取开机卡注册请求;生成与开机卡对应的设备密钥以及一组随机字符串;采用设备密钥对随机字符串进行签名处理,获得签名结果;将签名结果写入开机卡中,以完成开机卡注册。
在一个实施例中,在上述实施例的基础上,注册模块50具体用于:生成与开机卡对应的保护密钥;采用保护密钥对设备密钥进行加密,获得加密后的设备密钥;采用加密后的设备密钥对随机字符串进行签名处理,获得签名结果。
在一个实施例中,在上述实施例的基础上,验证模块10具体用于:读取开机卡中携带的签名结果;采用开机卡对应的设备密钥对签名结果进行验签;若验签通过,则确定开机卡验证通过。
在一个实施例中,在上述实施例的基础上,如图7所示,上述装置还包括迁移模块60,用于:在虚拟密码机被迁移的情况下,采用设备密钥登录新的虚拟密码机,以恢复新的虚拟密码机上的密钥分发处理业务。
在一个实施例中,在上述实施例的基础上,如图8所示,上述装置还包括备份模块70,用于:采用设备密钥备份服务器密码机中的数据加密信息;数据加密信息包括登录凭证的编号、登录凭证的登录指令以及服务器密码机处理登录凭证对应的数据时使用的备份密钥。
上述密钥分发装置的具体实现原理和技术效果参见上述方法实施例,在此不做赘述。
上述密钥分发装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种密钥分发方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
对用户登录本地服务终端时使用的登录凭证进行验证;
在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
向服务器密码机发送密码机镜像请求;密码机镜像请求用于指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;
通过虚拟密码机实现用户数据的密钥分发处理。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:获取开机卡注册请求;生成与开机卡对应的设备密钥以及一组随机字符串;采用设备密钥对随机字符串进行签名处理,获得签名结果;将签名结果写入开机卡中,以完成开机卡注册。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:生成与开机卡对应的保护密钥;采用保护密钥对设备密钥进行加密,获得加密后的设备密钥;采用加密后的设备密钥对随机字符串进行签名处理,获得签名结果。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:读取开机卡中携带的签名结果;采用开机卡对应的设备密钥对签名结果进行验签;若验签通过,则确定开机卡验证通过。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在虚拟密码机被迁移的情况下,采用设备密钥登录新的虚拟密码机,以恢复新的虚拟密码机上的密钥分发处理业务。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:采用设备密钥备份服务器密码机中的数据加密信息;数据加密信息包括登录凭证的编号、登录凭证的登录指令以及服务器密码机处理登录凭证对应的数据时使用的备份密钥。
本实施例提供的计算机设备,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
对用户登录本地服务终端时使用的登录凭证进行验证;
在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
向服务器密码机发送密码机镜像请求;密码机镜像请求用于指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;
通过虚拟密码机实现用户数据的密钥分发处理。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取开机卡注册请求;生成与开机卡对应的设备密钥以及一组随机字符串;采用设备密钥对随机字符串进行签名处理,获得签名结果;将签名结果写入开机卡中,以完成开机卡注册。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:生成与开机卡对应的保护密钥;采用保护密钥对设备密钥进行加密,获得加密后的设备密钥;采用加密后的设备密钥对随机字符串进行签名处理,获得签名结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:读取开机卡中携带的签名结果;采用开机卡对应的设备密钥对签名结果进行验签;若验签通过,则确定开机卡验证通过。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:在虚拟密码机被迁移的情况下,采用设备密钥登录新的虚拟密码机,以恢复新的虚拟密码机上的密钥分发处理业务。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:采用设备密钥备份服务器密码机中的数据加密信息;数据加密信息包括登录凭证的编号、登录凭证的登录指令以及服务器密码机处理登录凭证对应的数据时使用的备份密钥。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
对用户登录本地服务终端时使用的登录凭证进行验证;
在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
向服务器密码机发送密码机镜像请求;密码机镜像请求用于指示服务器密码机基于密码资源获得密码机镜像,并根据密码机镜像生成虚拟密码机;
通过虚拟密码机实现用户数据的密钥分发处理。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取开机卡注册请求;生成与开机卡对应的设备密钥以及一组随机字符串;采用设备密钥对随机字符串进行签名处理,获得签名结果;将签名结果写入开机卡中,以完成开机卡注册。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:生成与开机卡对应的保护密钥;采用保护密钥对设备密钥进行加密,获得加密后的设备密钥;采用加密后的设备密钥对随机字符串进行签名处理,获得签名结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:读取开机卡中携带的签名结果;采用开机卡对应的设备密钥对签名结果进行验签;若验签通过,则确定开机卡验证通过。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:在虚拟密码机被迁移的情况下,采用设备密钥登录新的虚拟密码机,以恢复新的虚拟密码机上的密钥分发处理业务。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:采用设备密钥备份服务器密码机中的数据加密信息;数据加密信息包括登录凭证的编号、登录凭证的登录指令以及服务器密码机处理登录凭证对应的数据时使用的备份密钥。
在一个实施例中,提供了一种计算机程序产品,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (8)
1.一种密钥分发方法,其特征在于,所述方法包括:
对用户登录本地服务终端时使用的登录凭证进行验证;
在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
向服务器密码机发送密码机镜像请求;所述密码机镜像请求用于指示所述服务器密码机基于所述密码资源获得密码机镜像,并根据所述密码机镜像生成虚拟密码机;
通过所述虚拟密码机实现用户数据的密钥分发处理;
所述登录凭证为开机卡,所述方法还包括:
获取开机卡注册请求;生成与所述开机卡对应的设备密钥以及一组随机字符串;采用所述设备密钥对所述随机字符串进行签名处理,获得签名结果;将所述签名结果写入所述开机卡中,以完成开机卡注册;
所述采用所述设备密钥对所述随机字符串进行签名处理,获得签名结果,包括:
生成与所述开机卡对应的保护密钥;采用所述保护密钥对所述设备密钥进行加密,获得加密后的设备密钥;采用加密后的设备密钥对所述随机字符串进行签名处理,获得签名结果;
所述对用户登录本地服务终端时使用的登录凭证进行验证,包括:
读取所述开机卡中携带的签名结果;采用所述开机卡对应的设备密钥对所述签名结果进行验签;若验签通过,则确定所述开机卡验证通过。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述虚拟密码机被迁移的情况下,采用所述设备密钥登录新的虚拟密码机,以恢复所述新的虚拟密码机上的密钥分发处理业务。
3.根据权利要求1所述的方法,其特征在于,所述对用户登录本地服务终端时使用的登录凭证进行验证之后,还包括:
采用所述设备密钥备份所述服务器密码机中的数据加密信息;所述数据加密信息包括所述登录凭证的编号、所述登录凭证的登录指令以及所述服务器密码机处理所述登录凭证对应的数据时使用的备份密钥。
4.一种密钥分发装置,其特征在于,所述装置包括:
验证模块,用于对用户登录本地服务终端时使用的登录凭证进行验证;
获取模块,用于在验证通过的情况下,获取用户选择的密码资源;不同密码资源对应的可用于对数据加密的密钥数量不同;
发送模块,用于向服务器密码机发送密码机镜像请求;所述密码机镜像请求用于指示所述服务器密码机基于所述密码资源获得密码机镜像,并根据所述密码机镜像生成虚拟密码机;
处理模块,用于通过所述虚拟密码机实现用户数据的密钥分发处理;
注册模块,用于获取开机卡注册请求;生成与所述开机卡对应的设备密钥以及一组随机字符串;采用所述设备密钥对所述随机字符串进行签名处理,获得签名结果;将所述签名结果写入所述开机卡中,以完成开机卡注册;
所述注册模块,具体用于生成与所述开机卡对应的保护密钥;采用所述保护密钥对所述设备密钥进行加密,获得加密后的设备密钥;采用加密后的设备密钥对所述随机字符串进行签名处理,获得签名结果;
所述验证模块,具体用于读取所述开机卡中携带的签名结果;采用所述开机卡对应的设备密钥对所述签名结果进行验签;若验签通过,则确定所述开机卡验证通过。
5.根据权利要求4所述的装置,其特征在于,所述装置还包括迁移模块,用于在所述虚拟密码机被迁移的情况下,采用所述设备密钥登录新的虚拟密码机,以恢复所述新的虚拟密码机上的密钥分发处理业务。
6.根据权利要求4所述的装置,其特征在于,所述装置还包括备份模块,用于采用所述设备密钥备份所述服务器密码机中的数据加密信息;所述数据加密信息包括所述登录凭证的编号、所述登录凭证的登录指令以及所述服务器密码机处理所述登录凭证对应的数据时使用的备份密钥。
7.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至3中任一项所述的方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至3中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111356201.1A CN114244565B (zh) | 2021-11-16 | 2021-11-16 | 密钥分发方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111356201.1A CN114244565B (zh) | 2021-11-16 | 2021-11-16 | 密钥分发方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114244565A CN114244565A (zh) | 2022-03-25 |
CN114244565B true CN114244565B (zh) | 2023-09-19 |
Family
ID=80749641
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111356201.1A Active CN114244565B (zh) | 2021-11-16 | 2021-11-16 | 密钥分发方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114244565B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117728937B (zh) * | 2023-07-21 | 2024-07-02 | 安徽省大数据中心 | 基于云密码统一服务平台的多类别数据加密系统及方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105812334A (zh) * | 2014-12-31 | 2016-07-27 | 北京华虹集成电路设计有限责任公司 | 一种网络认证方法 |
CN106357396A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 数字签名方法和系统以及量子密钥卡 |
CN108228316A (zh) * | 2017-12-26 | 2018-06-29 | 成都卫士通信息产业股份有限公司 | 一种密码设备虚拟化的方法及设备 |
CN108260102A (zh) * | 2018-01-04 | 2018-07-06 | 西南交通大学 | 基于代理签名的lte-r车-地通信非接入层认证方法 |
CN109361517A (zh) * | 2018-08-21 | 2019-02-19 | 西安得安信息技术有限公司 | 一种基于云计算的虚拟化云密码机系统及其实现方法 |
CN109639424A (zh) * | 2018-12-25 | 2019-04-16 | 山东超越数控电子股份有限公司 | 一种基于不同密钥的虚拟机镜像加密方法及装置 |
CN111782344A (zh) * | 2020-07-02 | 2020-10-16 | 北京数字认证股份有限公司 | 一种提供密码资源的方法、系统及宿主机 |
CN112636927A (zh) * | 2020-12-28 | 2021-04-09 | 郑州信大先进技术研究院 | 一种基于kpi双证书的云平台密码化方法 |
-
2021
- 2021-11-16 CN CN202111356201.1A patent/CN114244565B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105812334A (zh) * | 2014-12-31 | 2016-07-27 | 北京华虹集成电路设计有限责任公司 | 一种网络认证方法 |
CN106357396A (zh) * | 2016-09-23 | 2017-01-25 | 浙江神州量子网络科技有限公司 | 数字签名方法和系统以及量子密钥卡 |
CN108228316A (zh) * | 2017-12-26 | 2018-06-29 | 成都卫士通信息产业股份有限公司 | 一种密码设备虚拟化的方法及设备 |
CN108260102A (zh) * | 2018-01-04 | 2018-07-06 | 西南交通大学 | 基于代理签名的lte-r车-地通信非接入层认证方法 |
CN109361517A (zh) * | 2018-08-21 | 2019-02-19 | 西安得安信息技术有限公司 | 一种基于云计算的虚拟化云密码机系统及其实现方法 |
CN109639424A (zh) * | 2018-12-25 | 2019-04-16 | 山东超越数控电子股份有限公司 | 一种基于不同密钥的虚拟机镜像加密方法及装置 |
CN111782344A (zh) * | 2020-07-02 | 2020-10-16 | 北京数字认证股份有限公司 | 一种提供密码资源的方法、系统及宿主机 |
CN112636927A (zh) * | 2020-12-28 | 2021-04-09 | 郑州信大先进技术研究院 | 一种基于kpi双证书的云平台密码化方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114244565A (zh) | 2022-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101608510B1 (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
CN111708991B (zh) | 服务的授权方法、装置、计算机设备和存储介质 | |
CN110417750B (zh) | 基于区块链技术的文件读取和存储的方法、终端设备和存储介质 | |
US8997198B1 (en) | Techniques for securing a centralized metadata distributed filesystem | |
US9515832B2 (en) | Process authentication and resource permissions | |
CN101103628B (zh) | 主机装置、便携式存储装置以及用于更新元信息的方法 | |
KR102030858B1 (ko) | 디지털 서명 권한자 의존형 플랫폼 기밀 생성 기법 | |
KR20200085724A (ko) | 호스트 시스템과 데이터 처리 가속기 사이의 보안 통신을 제공하기 위한 방법 및 시스템 | |
US20080022099A1 (en) | Information transfer | |
CN110445840B (zh) | 一种基于区块链技术的文件存储和读取的方法 | |
US10382429B2 (en) | Systems and methods for performing secure backup operations | |
TW201942784A (zh) | 資料加密、解密方法及裝置 | |
US20230198760A1 (en) | Verified presentation of non-fungible tokens | |
US20210117546A1 (en) | Secured computer system | |
CN114244565B (zh) | 密钥分发方法、装置、设备及存储介质 | |
CN116049802B (zh) | 应用单点登陆方法、系统、计算机设备和存储介质 | |
CN109923525B (zh) | 用于执行安全备份操作的系统和方法 | |
CN115470525B (zh) | 一种文件保护方法、系统、计算设备及存储介质 | |
US20240089098A1 (en) | Decryption key generation and recovery | |
US20240119168A1 (en) | Blind subpoena protection | |
US20240022418A1 (en) | Cryptographic processing | |
US20240114012A1 (en) | Zero-trust distributed data sharing | |
US20240104229A1 (en) | Verifiable attribute maps | |
CN115795424A (zh) | 端口控制方法、系统、计算机设备和计算机可读存储介质 | |
CN114722410A (zh) | 一种密码模块、密码运算方法、cpu芯片及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |