CN117879819A - 密钥管理方法、装置、存储介质、设备及算力服务系统 - Google Patents
密钥管理方法、装置、存储介质、设备及算力服务系统 Download PDFInfo
- Publication number
- CN117879819A CN117879819A CN202410282825.0A CN202410282825A CN117879819A CN 117879819 A CN117879819 A CN 117879819A CN 202410282825 A CN202410282825 A CN 202410282825A CN 117879819 A CN117879819 A CN 117879819A
- Authority
- CN
- China
- Prior art keywords
- service
- key
- target
- trusted
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims abstract description 222
- 238000003860 storage Methods 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 claims description 69
- 238000012545 processing Methods 0.000 claims description 27
- 230000015654 memory Effects 0.000 claims description 17
- 230000002441 reversible effect Effects 0.000 claims description 16
- 238000013507 mapping Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 9
- 238000012790 confirmation Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 41
- 238000005516 engineering process Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 13
- 238000004422 calculation algorithm Methods 0.000 description 12
- 238000013508 migration Methods 0.000 description 11
- 230000005012 migration Effects 0.000 description 11
- 238000011176 pooling Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000001133 acceleration Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000008520 organization Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 101100134058 Caenorhabditis elegans nth-1 gene Proteins 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000013341 scale-up Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种密钥管理方法、装置、存储介质、设备及算力服务系统。可根据业务对象的注册信息生成目标业务的业务密钥;获取目标业务的根密钥标识,并按照根密钥标识对应的目标根密钥将业务密钥中的业务私钥加密得到业务加密私钥;删除业务私钥,并将业务加密私钥发送给业务对象;业务加密私钥在请求运行目标业务时被发送至可信服务端的可信环境空间内;可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的业务加密私钥进行解密,得到针对目标业务的业务私钥;加密根密钥由密钥管理服务端进行多层级加密后预先部署在可信服务端中。以此,可共用一个物理机资源时保护密钥的安全性,提高业务数据的安全性。
Description
技术领域
本申请涉及密码解密技术领域,尤其涉及一种密钥管理方法、装置、存储介质、设备及算力服务系统。
背景技术
互联网技术推动了云服务产业的发展,企业、集体或机构等可将业务服务部署在云服务资源中,目前,为了提高云服务资源利用率,云服务供应商通常采用多租户策略,允许不同租户的计算实例部署在同一物理服务器上运行,共享底层硬件资源,以提高资源利用率。然而,每个租户的数据密钥一般部署在相应的计算机实例上,或者部署在相应的密钥管理端,当多个租户的计算实例共享部署在一个物理机上时,数据安全性得不到保障,比如,租户的数据密钥容易泄露,从而被盗用,影响租户业务数据的安全性。
因此,在云服务环境中,数据密钥代表着租户的身份权限,以及用于对业务数据的加密,当租户的数据密钥得不到保护,会严重影响着租户的业务数据安全性。
发明内容
本申请实施例提供了一种密钥管理方法、装置、存储介质、设备及算力服务系统,可在一个或多个计算实例共用一个物理机资源时保护密钥的安全性,提高业务数据的安全性。
本申请实施例提供的一种密钥管理方法,应用于算力服务系统中的密钥管理服务端,所述算力服务系统至少还包括具有可信环境空间的可信服务端,所述方法包括:
获取业务对象针对目标业务的注册信息,并根据所述注册信息生成针对所述目标业务的业务密钥;
获取所述目标业务的根密钥标识,并按照所述根密钥标识对应的目标根密钥将所述业务密钥中的业务私钥加密得到业务加密私钥;其中,所述目标根密钥和所述根密钥标识在针对所述目标业务进行注册时基于所述业务对象的注册信息预生成;
删除所述业务密钥中的业务私钥,并将所述业务加密私钥发送给所述业务对象;
其中,所述业务加密私钥在请求运行所述目标业务时被发送至所述可信服务端的可信环境空间内;所述可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的所述业务加密私钥进行解密,得到针对所述目标业务的业务私钥;其中,所述加密根密钥由所述密钥管理服务端进行多层级加密后预先部署在所述可信服务端中。
相应的,本申请实施例提供的一种密钥管理装置,应用于算力服务系统中的密钥管理服务端,所述算力服务系统至少还包括具有可信环境空间的可信服务端,所述装置包括:
生成单元,用于获取业务对象针对目标业务的注册信息,并根据所述注册信息生成针对所述目标业务的业务密钥;
加密单元,用于获取所述目标业务的根密钥标识,并按照所述根密钥标识对应的目标根密钥将所述业务密钥中的业务私钥加密得到业务加密私钥;其中,所述目标根密钥和所述根密钥标识在针对所述目标业务进行注册时基于所述业务对象的注册信息预生成;
处理单元,用于删除所述业务密钥中的业务私钥,并将所述业务加密私钥发送给所述业务对象;
其中,所述业务加密私钥在请求运行所述目标业务时被发送至所述可信服务端的可信环境空间内;所述可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的所述业务加密私钥进行解密,得到针对所述目标业务的业务私钥;其中,所述加密根密钥由所述密钥管理服务端进行多层级加密后预先部署在所述可信服务端中。
在一些实施方式中,所述算力服务系统还包括业务服务端,所述可信服务端的可信环境空间中具有密钥运算加速器,所述密钥管理装置还包括业务运行单元,用于:
响应于针对所述目标业务的运行请求,将所述业务对象对应的业务加密私钥发送至所述业务服务端,以使得所述业务服务端将所述业务加密私钥发送至所述可信服务端中的可信环境空间;
其中,所述可信服务端用于将预部署在所述可信环境空间外部的加密根密钥加载至所述可信环境空间内的密钥运算加速器中,以在所述密钥运算加速器中基于所述可信服务端的实体证书公钥和获取到的对称密钥依序对所述加密根密钥进行解密得到所述预部署的目标根密钥,并通过所述预部署的目标根密钥将所述业务加密私钥解密得到业务私钥,按照所述业务私钥对应的身份权限请求所述业务服务端运行所述目标业务;
其中,所述加密根密钥由所述密钥管理服务端根据所述对称密钥和所述实体证书公钥依序对所述目标根密钥进行加密得到,所述对称密钥根据所述业务对象信息和根密钥标识生成;所述实体证书公钥为所述可信服务端的实体证书对应的公钥。
在一些实施方式中,所述注册信息包括针对所述目标业务的密码口令和根密钥标识,所述密钥管理装置还包括部署单元,用于:
根据所述目标业务的密码口令和根密钥标识,生成对称密钥;
根据所述对称密钥对所述目标根密钥进行初步加密处理,得到初始加密结果;
获取所述可信服务端的实体证书,并在对所述实体证书验证通过后,根据所述实体证书对应的实体证书公钥对所述初始加密结果进行加密处理,得到针对所述目标业务的加密根密钥;
获取所述可信服务端针对所述目标业务签发的业务证书,并将针对所述目标业务的加密根密钥和业务证书发送至所述可信服务端,使得所述可信服务端在基于所述业务证书进行权限确认通过后将所述加密根密钥存储至可信环境空间的存储区中。
在一些实施方式中,所述密钥管理装置还包括权限申请单元,用于:
将所述注册信息和所述业务密钥中的业务公钥发送至所述可信服务端,使得所述可信服务端通过内置的实体证书私钥对所述注册信息和所述业务公钥进行签名,得到为所述目标业务签发的业务证书;
接收所述可信服务端反馈的业务证书,并存储针对所述目标业务的所述业务证书和所述注册信息;
其中,所述业务证书用于在所述可信服务端中预部署所述目标根密钥时对所述目标业务关联的业务对象的身份权限认证。
在一些实施方式中,所述密钥管理装置还包括创建单元,用于:
向所述可信服务端发送信任环境创建请求,使得所述可信服务端在响应所述信任环境创建请求时创建可信服务虚拟机;
分别为所述可信服务端签发第一代理信任证书,以及为业务服务端签发第二代理信任证书,使得所述可信服务端上的可信服务虚拟机与所述业务服务端之间基于所述第一代理信任证书与所述第二代理信任证书完成相互认证,并在相互认证通过后创建可信数据通道;
其中,所述可信数据通道至少用于所述可信服务端根据所述业务私钥对应的身份权限向所述业务服务端发送针对所述目标业务的运行请求。
在一些实施方式中,所述目标业务包括多个层级的子业务,每个层级的子业务对应一个业务密钥,所述密钥管理装置还包括多层级加密单元,用于:
针对所述多个层级中每个层级的子业务对应的业务密钥,以倒数第一个层级的业务密钥为起点进行层级逆序加密,直至第二层级的业务密钥加密完成,分别得到所述第二层级至所述倒数第一个层级的各层级的加密业务密钥;
其中,所述层级逆序加密是指按照层级逆向顺序对相邻层级中前一层级的业务密钥对后一层级的业务密钥进行加密,直至第一层级的业务密钥对所述第二层级的业务密钥加密完成;
确定所述根密钥标识对应的目标根密钥,并根据所述目标根密钥对第一层级的业务密钥进行加密,得到第一层级的加密业务密钥;
删除每个业务层级的业务密钥中的明文密钥,并将所述加密业务密钥发送给所述业务对象。
在一些实施方式中,所述目标业务包括多个层级的子业务,所述密钥管理装置还包括多层级解密单元,用于:
响应于针对每个目标子业务的运行请求,将所述加密业务密钥发送至所述业务服务端,使得所述业务服务端将所述加密业务密钥发送至所述可信服务端中的可信环境空间;
其中,所述可信服务端用于将预部署在所述可信环境空间外部的加密根密钥加载至所述可信环境空间内的密钥运算加速器中,并在所述密钥运算加速器中基于所述可信服务端的实体证书公钥和获取到的对称密钥依序对所述加密根密钥进行解密得到所述预部署的目标根密钥;
其中,所述密钥运算加速器用于针对所述多个层级中每个层级的子业务的加密业务密钥,通过所述预部署的目标根密钥将所述第一层级的加密业务密钥解密得到所述第一层级的业务密钥,并以所述第二层级的加密业务密钥为起点执行层级递增的解密处理,直至所述倒数第一个层级的加密业务密钥解密完成,以获得每个层级的业务密钥;每个层级的所述业务密钥用于表示对应的所述目标子业务关联的业务对象的身份权限请求所述业务服务端启动对应的所述目标子业务。
在一些实施方式中,所述算力服务系统包含多个所述可信服务端和多个业务服务端,每个可信服务端与一个业务服务端具有映射关系,所述密钥管理装置还包括迁移单元,用于:
从所述多个业务服务端中为所述目标业务的业务虚拟机选取待迁入的目标业务服务端;
从多个所述可信服务端中确定与所述目标业务服务端具有映射关系的目标可信服务端;
向所述目标可信服务端发送所述注册信息和所述业务密钥中的业务公钥,使得所述目标可信服务端在根据所述注册信息和所述业务公钥为所述目标业务签名业务证书并反馈,所述业务证书表示所述目标业务在所述目标可信服务端的身份权限;
向所述目标可信服务端发送针对所述目标业务的加密根密钥和所述业务证书,使得所述目标可信服务端根据所述业务证书对所述目标业务的验证通过后部署所述加密根密钥,所述加密根密钥由所述目标根密钥加密得到;
当检测到所述目标可信服务端完成对所述加密根密钥的部署时,将所述目标业务的业务虚拟机迁移至所述目标业务服务端。
相应的,本申请实施例还提供一种密钥管理方法,应用于算力服务系统,所述算力服务系统包括密钥管理服务端、业务服务端、具有可信环境空间的可信服务端,所述方法包括:
通过所述密钥管理服务端获取业务对象针对目标业务的注册信息,并根据所述注册信息生成针对所述目标业务的业务密钥;
通过所述密钥管理服务端获取所述目标业务的根密钥标识,并按照所述根密钥标识对应的目标根密钥将所述业务密钥中的业务私钥加密得到业务加密私钥;其中,所述目标根密钥和所述根密钥标识在针对所述目标业务进行注册时基于所述业务对象的注册信息预生成;
通过所述密钥管理服务端删除所述业务密钥中的业务私钥,并将所述业务加密私钥发送给所述业务对象,并在响应针对目标业务的运行请求时,将所述业务对象对应的业务加密私钥发送至所述业务服务端;
通过所述业务服务端将所述业务加密私钥发送至所述可信服务端的可信环境空间中;
通过所述可信服务端预部署在所述可信环境空间外的加密根密钥加载至所述可信环境空间,在所述可信环境空间中将所述加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的所述业务加密私钥进行解密,得到针对所述目标业务的业务私钥;其中,所述加密根密钥由所述密钥管理服务端进行多层级加密后预先部署在所述可信服务端中。
此外,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行上述密钥管理方法。
此外,本申请实施例还提供一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可以在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述密钥管理方法。
此外,本申请实施例还提供一种密钥管理系统,所述算力服务系统包括上述的密钥管理服务器、业务服务端、以及具有可信环境空间的可信服务端,算力服务系统能够执行上述密钥管理方法。
本申请实施例提供的密钥管理方法应用于算力服务系统中的密钥管理服务端,算力服务系统至少还包括具有可信环境空间的可信服务端,通过获取业务对象针对目标业务的注册信息,并根据注册信息生成针对目标业务的业务密钥;获取目标业务的根密钥标识,并按照根密钥标识对应的目标根密钥将业务密钥中的业务私钥加密得到业务加密私钥;其中,目标根密钥和根密钥标识在针对目标业务进行注册时基于业务对象的注册信息预生成;删除针对业务密钥中的业务私钥,并将业务加密私钥发送给业务对象;其中,业务加密私钥在请求运行目标业务时被发送至可信服务端的可信环境空间内;可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的业务加密私钥进行解密,得到针对目标业务的业务私钥;其中,加密根密钥由密钥管理服务端进行多层级加密后预先部署在可信服务端中。由上可得,针对请求部署在算力系统中的每个目标业务的注册信息,可分别生成对应的业务密钥,该业务密钥属于明文密钥,且每个目标业务在注册时都生成有对应的目标根密钥和根密钥标识,一方面,可利用目标根密钥对当前的业务密钥中的业务私钥进行加密,并在加密完成后删除业务密钥中业务私钥,以对业务私钥进行保护;另一方面,利用目标业务的对称密钥和可信服务端的实体证书私钥对位于密钥管理服务端上的目标根密钥进行多重加密保护,并在完成加密后部署存储到可信服务端中,使得目标根密钥能够脱离密钥管理服务端进行保护,后续在请求运行目标业务时,仅可在可信服务端的可信环境空间中利用解密得到的目标根密钥对业务加密私钥进行解密,以保护目标业务的业务私钥的安全性;以此,可在一个或多个计算实例共用一个物理机资源时保护密钥的安全性,提高业务数据的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的密钥管理系统的场景示意图;
图2为本申请实施例提供的密钥管理方法的步骤流程示意图;
图3为本申请实施例提供的密钥管理方法的另一步骤流程示意图;
图4为本申请实施例提供的密钥管理系统的架构示意图;
图5为本申请实施例提供的在可信服务端部署密钥数据的场景示例图;
图6为本申请实施例提供的密钥加密关系的示例图;
图7为本申请实施例提供的算力服务系统中可信服务端池化管理的场景示意图;
图8为本申请实施例提供的密钥管理的迁移的场景示例图;
图9为本申请实施例提供的密钥管理装置的结构示意图;
图10为本申请实施例提供的终端的结构示意图;
图11为本申请实施例提供的服务器的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请的方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
可以理解的是,在本申请的具体实施方式中,涉及到证书、业务密钥、业务私钥、业务公钥等相关的密钥数据,当本申请以上实施例运用到具体产品或技术中时,需要获得对象许可或者同意,且相关数据的收集、使用和处理需要遵守相关法律法规和标准。
此外,当本申请实施例需要获取密钥数据时,会通过弹窗或者跳转到确认页面等方式获得企业标识以及管理员标识等相关的数据的单独许可或者单独同意,在明确获得企业标识以及管理员标识等相关的数据的单独许可或者单独同意之后,再获取用于使本申请实施例能够正常运行的必要的密钥数据。
需要说明的是,在说明书、权利要求书和上述附图所描述的一些流程中,包含了按照特定顺序出现的多个步骤,但应该清楚了解,这些步骤可以不按照其在本文中出现的顺序来执行或并行执行,步骤序号仅仅是用于区分开各个不同的步骤,序号本身不代表任何的执行顺序。此外,本文中的“第一”、“第二”或者“目标”等描述,是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种密钥管理方法、装置、计算机可读存储介质和计算机设备。具体地,本申请实施例将从密钥管理装置的维度进行描述,该密钥管理装置具体可以集成在计算机设备中,该计算机设备可以是服务器,也可以是用户终端等设备。其中,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发服务(CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。其中,用户终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、智能家电、车载终端、智能语音交互设备、飞行器等,但并不局限于此。
需要说明的是,本申请实施例提供的密钥管理方法可适用于云服务租赁、算力网等场景,这些场景不限于通过云技术以及其他方式实现,具体通过如下实施例进行说明:
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。具体的,云技术基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
云计算(cloud computing)是一种计算模式,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。作为云计算的基础能力提供商,会建立云计算资源池(简称云平台,一般称为基础设施即服务(Infrastructure as a Service,IaaS)平台,在资源池中部署多种类型的虚拟资源,供外部客户选择使用。云计算资源池中主要包括:计算设备(为虚拟化机器,包含操作系统)、存储设备、网络设备。
其中,本申请实施例中所涉及的密钥管理服务可以通过云计算来实现。该密钥管理服务可以应用于算力服务的密钥管理领域,具体通过如下实施例进行说明:
在云环境中,保护数据的安全性,尤其是敏感数据,是企业等服务提供商决定将服务迁移到云平台时必须认真考虑的重要问题。云平台具有弹性可扩展的计算资源,这为服务提供商提供了灵活性,同时也在一定程度上降低了总体拥有成本。云服务商通常采用多租户策略,允许不同租户的计算实例(例如虚拟机或容器)在同一物理服务器上运行,共享底层硬件资源,以提高资源利用率。然而,多租户策略也引发了云环境数据安全的新挑战:当多个租户共享物理资源时,租户敏感数据(例如密钥)的安全性成为一个巨大的担忧。这也成为企业迁移到云平台的重要障碍之一。其中,租户私钥作为具备代表性的敏感数据,受到学术界和工业界的重点关注。
本申请实施例为了解决上述问题,针对请求部署在算力系统中的每个目标业务,根据该目标业务的注册信息生成对应的业务密钥,该业务密钥属于明文密钥,且每个目标业务在注册时都生成有对应的目标根密钥和根密钥标识,一方面,可利用目标根密钥对当前的业务密钥中的业务私钥进行加密,并在加密完成后删除业务密钥中业务私钥,以对业务私钥进行保护;另一方面,利用目标业务的对称密钥和可信服务端的实体证书私钥对位于密钥管理服务端上的目标根密钥进行多重加密保护,并在完成加密后部署存储到可信服务端中,使得目标根密钥能够脱离密钥管理服务端进行保护,后续在请求运行目标业务时,仅可在可信服务端的可信环境空间中利用解密得到的目标根密钥对业务加密私钥进行解密,以保护目标业务的业务私钥的安全性。具体请继续参阅下述具体实施例。
例如,参见图1,为本申请实施例提供的密钥管理系统的场景示意图,该场景系统可以为算力服务系统,包括密钥管理服务端、业务服务端、具有可信环境空间的可信服务端,密钥管理服务端可以直接执行本申请实施例的密钥管理方法。
具体的,通过密钥管理服务端获取业务对象针对目标业务的注册信息,并根据注册信息生成针对目标业务的业务密钥;通过密钥管理服务端获取目标业务的根密钥标识,并按照根密钥标识对应的目标根密钥将业务密钥中的业务私钥加密得到业务加密私钥;其中,目标根密钥和根密钥标识在针对目标业务进行注册时基于业务对象的注册信息预生成;通过密钥管理服务端删除业务密钥中的业务私钥,并将业务加密私钥发送给业务对象,并在响应针对目标业务的运行请求时,将业务对象对应的业务加密私钥发送至业务服务端;通过业务服务端将业务加密私钥发送至可信服务端的可信环境空间中;通过可信服务端预部署在可信环境空间外的加密根密钥加载至可信环境空间,在可信环境空间中将加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的业务加密私钥进行解密,得到针对目标业务的业务私钥;其中,加密根密钥由密钥管理服务端进行多层级加密后预先部署在可信服务端中。
示例性的,算力网络系统可以是由多个物理机通过联网建立的分布式服务系统,该分布式服务系统中可包括密钥管理服务端、业务服务端、具有可信环境空间的可信服务端,需要说明的是,业务服务端为用于部署租户的计算实例(业务服务或业务虚拟机)的服务端/服务机,为了提高对算力资源的利用效率,可算力网络云服务上可采用多租户策略中,即允许不同租户的计算实例(如业务的虚拟机或容器)部署在同一业务的物理机/物理服务器上,共享底层硬件资源;对此,为了避免多个租户的计算实例在共享底层硬件资源时发生租户的业务私钥泄露的现象,需要分别对每个租户的业务私钥进行加密保护。具体的,针对每个租户的业务私钥的保护过程如下:首先,针对在算力网络系统注册的每个合法租户,根据其注册信息为该租户(业务对象)的某一目标业务生成一个目标根密钥和对应的根密钥标识,同时,根据注册信息为该租户的目标业务生成一个业务密钥,该业务密钥可以是公私钥对;然后,将注册信息、租户名称、公私钥对中的业务公钥发送给可信服务端,该可信服务端具有可信执行环境,通过可信服务端使用出厂时自带的可信环境实体证书的私钥为租户签发一个业务证书,主要是基于注册信息、业务公钥等进行签发,此处不做限定,在证书签发完毕后,表示该租户已被授权在可信服务端的可信服务环境中部署、存储和管理自己的密钥,该过程相当于为租户申请对可信服务环境的使用权限;进一步的,为了对租户在目标业务的业务私钥进行保护,可使用目标根密钥来对业务密钥中的业务私钥进行加密,使得明文的业务私钥在加密后以密文状态展示,实现保密业务私钥;最后,在利用目标根密钥对业务私钥完成加密后,可根据租户的注册信息和根密钥标识生成一个对称密钥,以及获取可信服务端的可信环境实体证书(实体证书)的公钥,依序使用对称密钥、实体证书公钥先后对目标根密钥进行加密,实现对目标根密钥的多重加密,得到加密根密钥,并将该加密根密钥部署在可信服务端中,以在可信环境中保护目标根密钥。此后,若需要启动/运行目标业务时,则租户可通过密钥管理服务端将业务私钥传输至部署对应业务服务(计算实例)的业务服务端,经过业务服务端发送至可信服务端的可信环境空间(可信执行环境空间)内,并将加密根密钥加载到可信环境空间,从而,获取租户输入的注册信息(如账户与口令)和根密钥标识等数据,以根据租户输入的数据生成用于解密的对称密钥,进而,在可信环境空间中,先根据可信服务端的可信环境实体证书的私钥对加密根密钥进行解密,在根据对称密钥继续解密,以解密得到目标根密钥,此时,利用解密得到的目标根密钥在可信环境空间中对业务加密私钥进行解密,从而,在可信环境空间中解密得到租户在目标业务的业务私钥,该业务私钥可用于后续的身份权限认证、数据加密、请求启动目标业务等,此处不做限定。以上为针对多个租户共享一个物理机资源时的租户的业务私钥的保护示例,在多个租户策略中,每个租户的私钥都是单独保护的,即本申请/示例适用于一个或多个租户的计算实例部署在一个物理机上的情况,因此,无论是一个或多个租户部署在一个物理机上,都可参考以上示例执行。
需要说明的是,以上仅为示例,还可应用于其他密钥管理场景中,此处不做一一赘述。
为了便于理解,以下将分别对密钥管理方法的各步骤进行详细说明。需说明的是,以下实施例的顺序不作为对实施例优选顺序的限定。
在本申请实施例中,将从密钥管理装置的维度进行描述,以该密钥管理装置具体可以集成在计算机设备,如服务器中。参见图2,图2为本申请实施例提供的密钥管理方法的步骤流程示意图,本申请实施例以密钥管理装置具体集成在服务器上为例,该服务器可以是算力服务系统中的密钥管理服务端,该服务器上的处理器执行密钥管理方法对应的程序指令时,具体流程如下:
101、获取业务对象针对目标业务的注册信息,并根据注册信息生成针对目标业务的业务密钥。
在本申请实施例中,算力服务系统可为任意对象的业务服务提供算力资源,支撑相应目标业务的业务服务的运行。具体的,每个业务对象(企业、集体或机构)可将目标业务对应的服务部署到算力服务系统中某一物理机资源上,其中,可将不同业务对象的多个目标业务的业务服务部署在同一物理机上,以提高对云服务资源的利用率;此时,由于多个目标业务的业务服务共享一个物理机资源,容易出现业务数据泄露,从而引发数据安全性的问题。对此,可获取业务对象在针对的目标业务向算力服务系统注册使用权限时的注册信息,并基于注册信息确定业务对象的身份,或者区分业务对象和/或目标业务的身份,从而为业务对象生成针对目标业务的业务密钥,该业务密钥不仅可用于对业务数据的加密保护,还可表示业务对象的身份权限请求运行目标业务,以此,可在一个或多个业务对象的业务服务共享一个物理机资源时,提高数据安全性。
其中,算力服务系统中可包括密钥管理服务端、具有可信环境空间的可信服务端、业务服务端,该业务服务端上部署有针对目标业务的计算实例(虚拟机或容器)。需要说明的是,业务对象在算力服务系统中部署目标业务的业务服务时,主要是在算力服务系统中的业务服务端上部署相应的计算实例(即虚拟机或容器),该业务服务端可以是指系统重任意一个用于业务服务部署的物理机;而业务密钥的生成、管理等相关流程则在密钥管理服务端上实现;此外,可信服务端主要用于保护目标根密钥,而目标根密钥用于加密保护业务密钥。
其中,该业务对象可以是任意一种具有法人身份的对象,比如,可以是技术人员、企业、集体或机构等,业务对象具有对应的目标业务,该目标业务可以是需要后台的运算资源承载运行支撑的业务。示例性的,假设业务对象为科技型企业,该企业开发了一款游戏业务,该游戏业务依赖于后台部署的计算实例/运算资源的承载运行,以支持游戏业务中数据计算、处理等。
其中,目标业务可以是任意类型的需要后台运算资源运行支持的业务,例如,该目标业务可以是游戏类业务、新闻类业务、网购类业务、音频类业务、视频类业务等等。这些目标业务需要占用后台的运算资源来部署对应的目标业务服务(计算实例),以通过目标业务服务支撑目标业务的数据运算,满足目标业务的运行。
其中,该注册信息可以是业务对象向云服务或算力服务系统申请资源使用权限时的相关信息,其不限于包括账号与口令、业务对象的名称/标识、目标业务标识、注册时间、使用权限期限等信息。该注册信息不仅可以用于表示业务对象在向云服务或算力服务系统申请运行资源使用权限时的注册/申请记录,还可以用于表示业务对象和目标业务的属性信息。
其中,该业务密钥可以是任意一种结构类型的密钥,比如,可以是对称密钥,还可以是非对称密钥,如公私密钥对。一方面,该业务密钥可以用于对数据的加密保护,例如,在目标业务运行过程中,可通过业务密钥对数据运算结果进行加密,以避免目标业务的运算数据暴露,保证数据安全性;同时,通过加密数据来实现数据安全通信。此外,另一方面,该业务密钥还可用于对机构的身份认证,可确保通信的机密性和真实性。
具体的,为了确保目标业务能够安全运行以及目标业务在运行时的数据安全性,需要针对目标业务生成一个业务密钥,具体的,获取业务对象针对目标业务的注册信息,该注册信息为业务对象向算力服务系统申请目标业务的运行资源时的注册信息,只有注册通过才可在算力服务系统为目标业务申请运行资源;进一步的,该注册信息可同时表示业务对象和目标业务的相关属性,可基于注册信息中表示业务对象的子信息和目标业务的子信息,确定业务对象的身份,或者区分业务对象和/或目标业务的身份,从而为业务对象生成一个针对目标业务的业务密钥,比如,以公私密钥对作为业务密钥为例,公私密钥对的生成为例,利用非对称加密算法(如RSA、DSA、ECC)生成业务私钥,在根据业务私钥生成业务公钥,以获得针对目标业务的公私密钥对。以此,以便后续将业务密钥(如,公私密钥对)用于表示业务对象的身份,并在验证通过后对请求运行目标业务密钥,确保目标业务在使用业务密钥进行身份认证通过后安全运行;此外,业务密钥用于对目标业务运行过程中产生的业务数据或业务数据的运行结果等数据进行加密保护,以避免相关业务数据暴露,确保数据安全。
示例性,以RSA算法为例,该业务密钥为公私密钥对,生成私钥的过程为:选择两个不同的大素数p和q;计算n=p* q,n称为模数;计算欧拉函数φ(n)=(p-1)*(q-1);选择一个整数e,使得1<e<φ(n)且e和φ (n)互质;计算私钥d,满足d*e=1 (mod ф(n)),其中,私钥d就是生成的业务私钥。进一步的,生成私钥后,可以根据私钥生成公钥,生成公钥的过程为:根据私钥d和模数n计算公钥e,满足e*d=1(modф(n)),其中,公钥e就是生成的业务公钥。以此,得到公私密钥对。以此,可将公私密钥对应用在目标业务位于算力服务系统中运行时的各种场景,例如,用于数据加密与解密,发送方使用接收方的公钥对数据进行加密,只有接收方的私钥才能解密数据;又如,用于数字签名,发送方使用自己的私钥对数据进行签名,接收方使用发送方的公钥验证签名的有效性;再如,用于身份认证,示例性的,后续可信服务端使用位于可信环境空间中的业务私钥签名所生成的身份证书,业务服务端可使用业务公钥验证身份证书的有效性,以在验证有效时运行目标业务。
通过以上方式,可获取业务对象在针对的目标业务向算力服务系统注册使用权限时的注册信息,并基于注册信息确定业务对象的身份,或者区分业务对象和/或目标业务的身份,从而为业务对象生成针对目标业务的业务密钥,以便后续将业务密钥用于对业务数据的加密保护以及表示业务对象的身份权限请求运行目标业务,以此,可在一个或多个业务对象的业务服务共享一个物理机资源时,提高数据安全性。
102、获取目标业务的根密钥标识,并按照根密钥标识对应的目标根密钥将业务密钥中的业务私钥加密得到业务加密私钥。
在本申请实施例中,在应对多租户策略时的多个租户的计算实例共享一个物理机资源的情况,为了实现对各目标业务之间的安全性,可以对业务私钥进行加密,具体可采用任意一种密钥对该业务私钥进行加密,以对业务私钥进行保护,有效避免业务私钥暴露在算力服务系统中从而导致目标业务被其他对象冒充身份进行认证的现象,以此,通过对业务私钥进行加密保护,可在多租户的计算实例共享一个物理机资源时保证目标业务的安全性,有利于算力服务系统的安全管理和稳定运行,具有可靠性。
其中,目标根密钥可以是一个对称密钥,每个目标根密钥具有对应的根密钥标识,通过该根密钥标识可以查询到对应的目标根密钥,需要说明的是,目标根密钥和根密钥标识在针对目标业务进行注册时基于业务对象的注册信息预生成。具体的,在算力服务系统的租赁场景中,假设一个业务对象在算力服务系统注册合法权限,此时,算力服务系统中的密钥管理服务端会根据该业务对象的注册信息区分其身份,例如,可根据该业务对象在算力服务系统中的登录账号与口令来区分当前业务对象的身份,以基于登录账号与口令,使用对称加密算法(SM4)为该业务对象随机生成唯一的对称密钥的,其大小可以125位或256位,在生成随机对称密钥后,以该随机对称密钥作为该业务对象使用可信服务端的服务(如密钥管理、密钥加密)时的目标根密钥,表示该业务对象针对可信服务端的使用权限。
其中,密钥管理服务端在生成随机对称密钥的同时,还生成该随机对称密钥对应的密钥标识,即该目标根密钥对应的根密钥标识,具体的,在生成根密钥标识时,可使用一些算法基于目标根密钥随机生成一个标识,如使用信息摘要算法为目标根密钥生成一个根密钥标识,并建立目标根密钥与根密钥标识之间的关联性,以实现按照根密钥标识可查询到对应的目标根密钥;此外,密钥管理服务端可按照目标根密钥的生成时间顺序,为该目标根密钥生成一个密钥编号,以作为该目标根密钥对应的根密钥标识,又如,还可按照目标根密钥的生成时间来确定一个时间戳,以时间戳作为该目标根密钥的根密钥标识。
其中,该业务私钥可以是用于数据加密保护中的解密密钥,可以理解的是,在公私密钥对中,公钥一般属于开放性的,或者针对部分机构具有开放性,一般使用业务公钥对业务数据进行加密,以使得加密后的数据具有机密性,保护业务数据的安全,而业务私钥作为一个解密密钥,其仅被对应权限的业务对象所拥有,用于对业务公钥所加密的数据信息进行解密处理,经过解密处理后得到业务数据。
在本申请实施例中,业务私钥不仅可用于业务数据加密中的解密,还可用于后续相关场景的身份权限认证,其作为业务对象的机密信息,为了避免业务私钥的暴露,其在日常状态中以密文状态呈现,且在后续使用过程中也需要保持业务私钥的机密性,以满足安全性需求。因此,对业务密钥的保护过可涉及三方面工作,(A)对业务密钥(或业务私钥)的加密保护;(B)将用于保护业务私钥的目标根密钥进行加密保护,并在加密保护后预部署到可信服务端;(C)在涉及业务私钥的使用场景时,在可信环境空间中利用目标根密钥对业务加密进行解密。以下将分别从这两个方面对业务私钥的保护进行介绍。
(A)是对业务密钥(或业务私钥)的加密保护,以确保业务密钥(或业务私钥)在日常状态下处于加密保护状态,避免业务私钥直接暴露。
对业务密钥进行加密保护是实现安全性管理的第一步,以满足在多个业务对象的目标业务共享一个物理机资源场景时的安全管理需求。其中,在对业务私钥进行加密保护时,可使用前述所生成的目标根密钥来对业务私钥进行加密保护,该业务私钥经过加密处理后到业务加密私钥,从而,使得原处于明文状态的业务私钥在加密后以密文状态进行展示、暴露,任意对象都无法直接获取到当前业务对象的业务私钥,实现对业务私钥的保护,具有安全性。
示例性的,密钥管理服务端在基于业务对象的注册信息区分业务对象的身份之后,为业务对象生成一个业务密钥,该业务密钥可以是业务公私钥对(PK,SK),PK表示业务公钥,SK表示业务私钥。需要说明的是,业务对象的注册信息与根密钥标识之间具有映射关系,在业务私钥的加密阶段,密钥管理服务端可直接根据业务对象的注册信息确定对应的根密钥标识,还可获取由业务对象直接输入的根密钥标识,进而,根据业务对象的根密钥标识查询对应的目标根密钥,并利用查询到的目标根密钥对业务对象的业务私钥进行加密处理,以获得业务加密私钥,以此,实现对业务私钥的加密保护。
通过以上方式,可在一个或多个业务对象的计算实例共享一个物理机资源时,通过对每个业务对象针对各自目标业务的业务私钥进行加密保护,以便后续以密文形式来保存和传输业务私钥,且该业务加密私钥可避免业务私钥后续暴露的问题,有利于业务对象的私钥信息后续在算力服务系统中进行安全传输,有效避免业务私钥暴露在算力服务系统中而导致目标业务被其他对象冒充身份进行认证的现象,确保目标业务的安全性,有利于算力服务系统的安全管理和稳定运行,具有可靠性。
103、删除业务密钥中的业务私钥,并将业务加密私钥发送给业务对象。
在本申请实施例中,当根据目标根密钥对业务私钥加密得到业务加密私钥时,表示该业务对象的业务私钥已经被加密完成,此时,为了进一步保护业务对象的业务私钥,密钥管理服务端还需要删除业务对象在针对目标业务注册时所产生的业务私钥,以使得业务对象针对目标业务的业务私钥在整个算力服务系统中都处于密文状态存储,即有效避免业务对象的业务私钥的暴露现象,解决了业务私钥存在暴露的安全隐患问题,具有可靠性。进一步的,当业务对象的业务私钥被加密保护且删除后,可将该业务加密私钥反馈给业务对象,使得业务对象拥有加密保护的后私钥数据,以用于目标业务后续运行时的各种用途。
其中,在将业务加密私钥发送给业务对象,是指将业务加密私钥传输至业务对象预先指定的目标计算机设备中,比如,通过目标计算机设备上针对算力服务系统所安装的算力服务客户端将业务加密私钥传输给业务对象,以存储在目标计算机设备本地,需要说明的是,该管理服务客户端可以与算力服务系统中的密钥管理服务端之间通信通信连接;此外,还可将业务加密私钥存储在业务对象指定的云盘(云存储空间)中。进一步的,在目标业务的后续运行过程中需要使用到业务私钥时,业务对象可通过相关指令将业务加密私钥传输给密钥管理服务端,以通过密钥管理服务端将该业务加密私钥传输至算力服务系统的可信服务端的可信环境空间中完成解密后使用。
需要说明的是,本申请实施例在完成对业务对象的业务私钥加密保护后,还涉及对用于加密业务私钥的目标根密钥进行保护,以及在涉及使用业务私钥的场景中对业务加密私钥的解密过程中保护业务私钥。例如,在请求启动/运行目标业务时可根据业务私钥完成对业务对象的身份权限的认证。具体的,业务加密私钥在请求运行目标业务时被发送至可信服务端的可信环境空间内;可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的业务加密私钥进行解密,得到针对目标业务的业务私钥;其中,加密根密钥由密钥管理服务端进行多层级加密后预先部署在可信服务端中。
(B)将用于保护业务私钥的目标根密钥进行加密保护,并在加密后预部署到可信服务端,以便后续在可信环境空间对业务加密私钥进行解密使用,确保业务私钥的安全性。
在本申请实施例中,在完成业务对象针对目标业务的业务密钥(或业务密钥中的业务私钥)的加密保护后,针对用于加密保护业务密钥或业务私钥的目标根密钥,也需要对其进行加密保护,实现间接性地对业务私钥做进一步保护。进一步的,在完成对目标根密钥的加密保护之后,将解密后的加密根密钥部署到可信服务端,以便后续在涉及业务私钥的使用场景时,在可信服务端的可信环境空间的保护下对业务加密私钥进行解密。
在一些实施方式中,可对目标根密钥进行多层级的加密处理,并部署到可信服务端中,提高目标根密钥的安全性,从而间接地提高业务私钥的保护力度,具有可靠性。其中,在对目标根密钥进行多层级加密时,可根据业务对象的注册信息以及可信服务端的实体证书两方面对目标根密钥进行完成多层级的加密保护,以从业务对象和可信服务端两个角度对目标根密钥进行多元化保护,具有可靠性。例如,注册信息包括针对目标业务的密码口令和根密钥标识,则目标根密钥的加密保护和部署过程可以包括:
(B.1)根据目标业务的密码口令和根密钥标识,生成对称密钥;
(B.2)根据对称密钥对目标根密钥进行初步加密处理,得到初始加密结果;
(B.3)获取可信服务端的实体证书,并在对实体证书验证通过后,根据实体证书对应的实体证书公钥对初始加密结果进行加密处理,得到针对目标业务的加密根密钥;
(B.4)获取可信服务端针对目标业务签发的业务证书,并将针对目标业务的加密根密钥和业务证书发送至可信服务端,使得可信服务端在基于业务证书进行权限确认通过后将加密根密钥存储至可信环境空间的存储区中。
其中,该注册信息可不限于包括登录账户与口令,还可包括密码口令和根密钥标识,则密码口令、根密钥标识与“登录账户与口令”之间具有映射关系,则可根据当前登录的“登录账户与口令”获取针对目标业务的密码口令和根密钥标识;此外,该密码口令和根密钥标识可由业务对象输入。
其中,该密码口令可以是针对目标业务的身份验证/认证的口令。示例性的,假设一个业务对象在算力服务系统中涉及有多个目标业务,为了区分不同的目标业务,可针对多个目标业务分别单独设定密码口令,具体在针对每个目标业务进行注册时设定,以通过不同的密码口令来区分不同的目标业务;同理,可针对多个目标业务分别单独设定目标根密钥和根密钥标识,即一个目标业务对应一个目标根密钥和根密钥标识,此外,由于不同目标业务之间的密码口令已经不同,也可将同一个目标根密钥和根密钥标识作用于多个不同的目标业务,此处不做限定。当业务对象使用登录账户与口令在算力服务系统中进行登录后,可以根据业务对象输入密码口令和/或根密钥标识,确定当前选择的目标业务。
其中,该对称密钥了可以理解为专用密钥,其限定了数据的加密和解密一般都使用该对称密钥,例如,数据的发送和接收双方都使用相同的密钥进行解密。其中,可通过对称密钥加密算法,使用密码口令和根密钥标识来生成一个对称密钥,以用于对目标根密钥进行解密保护。
其中,该可信服务端可以是带有可信根的物理机/服务器,该带有可信根的可信服务端在出厂时会发放一个实体证书,用于外部认证该可信服务端属于一个可信的硬件实体,该实体证书存放在可信服务端中的一次性烧录存储器内。需要说明的是,该可信服务端中包含有可信环境空间,该可信环境空间为用于保护目标根密钥和业务私钥的可信运算空间。
其中,该业务证书可以是可信服务端为业务对象针对目标业务注册时所签发的证书,用于表示业务对象针对当前目标业务的在可信服务端中具有使用权限,比如,业务对象可在可信服务端中存放和管理当前目标业务的密钥数据的权限。
具体的,对目标根密钥进行多重加密,首先,确定针对当前目标业务的密码口令和根密钥标识,并基于该密码口令和根密钥标识来生成一个对称密钥,并使用该对称密钥来对目标根密钥进场初次解密,得到初始加密结果,该初始加密结果可以理解为目标根密钥在首次加密后的初始加密根密钥;然后,密码管理服务端可向可信服务端请求获取实体证书,以根据实体证书的公钥来对该初始解密结果进行再次加密,得到多重/多层级加密处理的加密根密钥。最后,在针对目标业务的目标根密钥加密得到加密根密钥后,即可获取可信服务端针对目标业务签发的业务证书,该业务证书用于表示业务对象针对目标业务在可信服务端具有密钥数据的存放和管理权限,将针对目标业务的业务证书和加密根密钥一并发送至可信服务端,以使得可信服务端基于接收到的业务证书进行认证,以确定当前业务对象在可信服务端上是否拥有针对该目标业务相关的密钥数据的存放和管理的权限,若认证不通过,则可信服务端拒绝对该目标业务的加密根密钥进行部署,若认证通过,则确认该业务对象在可信服务端上拥有针对该目标业务相关的密钥数据的存放和管理的权限,此时,可将加密根密钥存储至可信环境空间的存储区中,实现对加密根密钥的预部署,以便后续在解密获取需要使用的业务私钥时先在可信环境空间解密该预部署的加密根密钥,并使用。以此,实现进一步提高对业务私钥的保护力度,具有可靠性。
在一些实施方式中,目标业务启动/运行阶段涉及到业务私钥的使用,而可信服务端一般用于对加密根密钥的解密保护,对此,业务对象针对每个目标业务都可单独向可信服务端申请针对密钥数据的存储和管理使用权限。例如,步骤(B.4)之前,还可以包括:将注册信息和业务密钥中的业务公钥发送至可信服务端,使得可信服务端通过内置的实体证书私钥对注册信息和业务公钥进行签名,得到为目标业务签发的业务证书;接收可信服务端反馈的业务证书,并存储针对目标业务的业务证书和注册信息;其中,业务证书用于在可信服务端中预部署目标根密钥时对目标业务关联的业务对象的身份权限认证。
具体的,为了向可信服务端申请针对目标业务相关的密钥数据的存储和管理权限,可将业务对象针对目标业务的注册信息以及针对目标业务的业务密钥发送至可信服务端,具体的,可以将注册信息中的业务对象标识以及业务公私密钥对中的业务公钥发送给可信服务端。而可信服务端在接收到业务对象标识和业务公钥后,利用自身在出厂时的可信环境实体证书(即前述的实体证书)的私钥为目标业务签发一个业务证书,该可信环境实体证书的私钥可表示可信服务端的身份,利用该可信环境实体证书的私钥签发业务证书,表示对当前目标业务的身份定义。最后,该可信服务端会将生成的业务证书返回给密钥管理服务端,而密钥管理服务端会将业务对象的注册信息与业务证书进行绑定,如将登录账户与口令、密码口令、业务对象标识、业务证书之间进行绑定,以建立映射关系并保存,此后,在可信服务端中针对目标业务使用密钥数据的管理权限时,需要将该业务证书一并发送至可信服务端进行身份权限的认证,只有在认证通过后才可在可信服务端中针对目标业务使用密钥数据的管理权限,如将加密根密钥预部署到可信服务端中存储。
(C)在涉及业务私钥的使用场景时,在可信环境空间中利用目标根密钥对业务加密私钥进行解密,以用于后续的使用场景。
在本申请实施例中,除了对业务私钥的日常存储进行直接加密保护以及通过在可信服务端中保护目标根密钥方式对业务私钥进一步加强保护之外,还需要在业务私钥的使用过程中谨慎保护业务私钥,即在非日常存储状态(即使用状态)时也要保护业务私钥。具体的,在需要使用业务私钥时,由于先前已将业务私钥从整个算力服务系统中删除,即在日常存储状态下不存在明文的业务私钥,因此,需要对业务加密私钥进行解密,该业务加密私钥的解密过程一般需要在可信环境空间中执行,以确保业务加密私钥在解密过程中和解密后的机密性和安全性。
在一些实施方式中,以请求运行目标业务为例,需要将业务对象针对目标业务的业务加密私钥传输至可信服务端的可信环境空间中,该可信环境空间中包含硬件密钥运算加速器,实现在可信环境空间中的硬件密钥运算加速器对业务加密私钥进行快速解密,以在解密得到业务私钥后,基于业务私钥请求运行目标业务。例如,算力服务系统还包括业务服务端,可信服务端的可信环境空间中具有密钥运算加速器,步骤103之后,还包括:响应于针对目标业务的运行请求,将业务对象对应的业务加密私钥发送至业务服务端,以使得业务服务端将业务加密私钥发送至可信服务端中的可信环境空间;其中,可信服务端用于将预部署在可信环境空间外部的加密根密钥加载至可信环境空间内的密钥运算加速器中,以在密钥运算加速器中基于可信服务端的实体证书公钥和获取到的对称密钥依序对加密根密钥进行解密得到预部署的目标根密钥,并通过预部署的目标根密钥将业务加密私钥解密得到业务私钥,按照业务私钥对应的身份权限请求业务服务端运行目标业务;其中,加密根密钥由密钥管理服务端根据对称密钥和实体证书公钥依序对目标根密钥进行加密得到,对称密钥根据业务对象信息和根密钥标识生成;实体证书公钥为可信服务端的实体证书对应的公钥。
需要说明的是,该可信服务端中包含有可信环境空间,该可信环境空间为用于保护目标根密钥和业务私钥的可信运算空间,该可信环境空间在可信服务端中的硬件资源上可以是独立的,即可信服务端在硬件资源上可划分为针对可信环境空间的可信运算硬件资源和针对可信环境空间之外的其他环境的运算硬件资源,在可信服务端中,该可信运算硬件资源与运算硬件资源之间可以在物理上隔离。
具体的,密钥管理服务端响应于针对目标业务的运行请求,将业务对象对应的业务加密私钥发送至业务服务端的,通过业务服务端将业务加密私钥发送至可信服务端中的可信环境空间内,以及将部署在可信服务端的可信环境空间外部的加密根密钥加载至可信环境空间内,以利用该可信运算空间对应的运算资源来对加密根密钥进行解密。其中,该可信环境空间内具有硬件的密钥运算加速器,在硬件的密钥运算加速器中对加密根密钥和业务加密私钥进行解密,可提高密钥的解密运算效率。其中,该可信环境空间内硬件的密钥运算加速器针对获取业务私钥的解密过程为:首先,利用可信服务端在出厂时的可信环境实体证书(实体证书)的私钥对加密根密钥进行初次解密,得到初始解密结果,可以理解的是,该初始解密结果与前述多重加密中的“初始加密结果”相对应,这两者可以是一致的,此处不做限定;进一步的,根据利用获取到的对称密钥该初始解密结果再次解密,得到目标根密钥,需要说明的是,该对称密钥主要依赖于业务对象针对目标业务的密码口令和根密钥标识生成,具体的,可信环境空间在获取对称密钥时,可依赖于业务对象调用计算实例的密码接口获取到针对目标业务输入的密码口令和根密钥标识,从而,利用硬件的密钥运算加速器基于密码口令和根密钥标识进行快速运算,按照对称密钥加密算法生成一个用于解密的对称密钥,可以理解的是,该对称密钥与在密钥管理服务端加密时的对称密钥一致,进而,并以硬件的密钥运算加速器的运算资源为基础,实现使用对称密钥将初始解密结果解密得到业务私钥,以按照业务私钥对应的身份权限请求业务服务端运行目标业务。以此,整个解密过程在可信环境空间中进行,实现在解密过程对目标根密钥和业务私钥的保护,确保解密后的目标根密钥和业务私钥的安全性,此外,利用硬件的密钥运算加速器的运算资源,可提高获取业务私钥时的解密效率,有利于后续目标业务的快速启动、运行效率,避免目标业务的启动/运行时滞后性和延误,影响目标业务的运行。
在一些实施方式中,在可信环境空间中解密得到业务私钥后,可按照业务私钥对应的身份权限请求业务服务端运行目标业务,为了避免基于业务私钥对应的身份权限生成针对目标业务的业务运行请求被恶意拦截,可通过专用的数据保护通道来传输该业务运行请求,以保障业务运行请求的实时响应。例如,专用的数据保护通道的创建过程可以包括:向可信服务端发送信任环境创建请求,使得可信服务端在响应信任环境创建请求时创建可信服务虚拟机;分别为可信服务端签发第一代理信任证书,以及为业务服务端签发第二代理信任证书,使得可信服务端上的可信服务虚拟机与业务服务端之间基于第一代理信任证书与第二代理信任证书完成相互认证,并在相互认证通过后创建可信数据通道;其中,可信数据通道至少用于可信服务端根据业务私钥对应的身份权限向业务服务端发送针对目标业务的运行请求。
其中,该可信服务虚拟机主要用于对与目标业务的业务私钥相关的后响应数据进行处理,例如,在可信环境空间中解密得到业务私钥后,需要按照业务私钥表示的身份权限向业务服务端发送针对目标业务的运行请求,则通过该可信服务基于业务私钥生成针对目标业务的业务运行请求,并发送至部署有目标业务的相关计算实例的业务服务端。
具体的,密钥管理服务端向可信服务端发送信任环境创建请求,使得可信服务端响应该信任环境创建请求,以在可信服务端上创建可信服务虚拟机(实例);进而,以密钥管理服务端作为公证中心,该公证中心针对可信服务端上的可信服务虚拟机签发一个第一代理信任证书,以及针对业务服务端签发一个第二代理信任证书,进一步的,分别向可信服务端的可信服务虚拟机和部署在业务服务端上的目标业务服务(目标业务的计算实例)发送可信数据通道创建请求,使得可信服务虚拟机与目标业务的计算实例之间基于第一代理信任证书与第二代理信任证书完成相互认证,比如,该相互认证过程不限于包括:可对比第一代理信任证书与第二代理信任证书之间的一致性,对比签发第一代理信任证书与第二代理信任证书所采用的公钥是否一致,对比第一代理信任证书和第二代理信任证书在签发时的签发时间差(若第一代理信任证书和第二代理信任证书的签发时间一致或者签发的时间差小于预设时间差阈值,则完成相互认证),基于以上对比方式完成相互认证。进一步的,当可信服务虚拟机与目标业务的计算实例之间完成相互认证时,创建立可信服务虚拟机与目标业务的计算实例之间可信数据通道,该可信数据通道至少用于可信服务端根据业务私钥对应的身份权限向业务服务端发送针对目标业务的运行请求,即,在所述可信服务端的可信环境空间中解密得到业务私钥后,根据所述业务私钥对应的身份权限生成针对目标业务的运行请求,并通过可信数据通道同步针对目标业务的运行请求至所述业务服务端,以使得业务服务端运行所述目标业务。以此,有效避免基于业务私钥对应的身份权限生成针对目标业务的业务运行请求被恶意拦截,保障业务运行请求的实时响应,确保目标业务的运行响应效率,具有可靠性。
在本申请实施例中,为了提高算力服务端系统中业务服务端碎片资源利用率,可对目标业务对应的计算实例(虚拟机或容器)进行迁移。具体的,算力服务系统包含多个可信服务端和多个业务服务端,一个可信服务端可用于对接一个或多个业务服务端的密钥服务,在迁移过程中,需要注意所迁移目的业务服务端与可信服务端之间的对应关系,即在选取需要迁移的目标业务服务端时,还需要选取对应的目标可信服务端,并在目标可信服务端上部署密钥管理事项后,开始将目标业务对应的计算实例(虚拟机或容器)迁移到目标业务服务端上。以此,合理使用算力服务系统的可扩展性和实例迁移特性,完成对算力服务系统中对目标业务的迁移,提高算力服务系统中云资源的利用率。
在一些实施方式中,为了提高算力服务系统中业务物理机的资源利用率,可将部署在算力服务系统中目标业务对应的计算实例(虚拟机)进行迁移,避免算力服务系统中业务物理机的资源空余,提高资源利用率。例如,算力服务系统包含多个可信服务端和多个业务服务端,每个可信服务端与一个业务服务端具有映射关系,则该目标业务的计算实例的迁移过程可以包括:从多个业务服务端中为目标业务的业务虚拟机选取待迁入的目标业务服务端;从多个可信服务端中确定与目标业务服务端具有映射关系的目标可信服务端;向目标可信服务端发送注册信息和业务密钥中的业务公钥,使得目标可信服务端在根据注册信息和业务公钥为目标业务签名业务证书并反馈,业务证书表示目标业务在目标可信服务端的身份权限;向目标可信服务端发送针对目标业务的加密根密钥和业务证书,使得目标可信服务端根据业务证书对目标业务的验证通过后部署加密根密钥,加密根密钥由目标根密钥加密得到;当检测到目标可信服务端完成对加密根密钥的部署时,将目标业务的业务虚拟机迁移至目标业务服务端。
具体的,首先,密钥管理服务端从算力服务系统包含的多个业务服务端中为目标业务的业务虚拟机选取准备迁入的目标业务服务端,在选取目标业务服务端时,可确定业务虚拟机的负载或运行时长等方面的第一指标参数,以及确定每个业务服务端上当前负载或已部署虚拟机的运行时长等方面的第二指标参数,按照负载或虚拟机运行时长方面的第一指标参数与第二指标参数之间的差距,为该业务虚拟机排列出各个业务服务端之间的优先排序顺序,以根据优先排序顺序为业务虚拟机选取一个排序在前的目标业务服务端;然后,密钥管理服务端确定与目标业务服务端之间具有映射关系的目标可信服务端,并请求目标可信服务端为目标业务部署密钥数据,具体的,密钥管理服务端向该目标可信服务端发送注册信息和业务密钥中的业务公钥,以请求目标可信服务端使用实体证书私钥为对注册信息和业务公钥进行签名,以为目标业务签发业务证书,并将业务证书返回给密钥管理服务端;进一步的,密钥管理服务端发送针对目标业务的加密根密钥和业务证书给目标可信服务端,以使得目标可信服务端根据目标业务的业务证书进行身份认证, 以在认证通过后将加密根密钥部署在目标可信服务端的可信环境空间外部;最后,在目标业务服务端中重新部署目标业务的密钥数据之后,即可在算力服务系统中对目标业务的业务虚拟机进行迁移,具体为迁移至目标业务服务端。
在本申请实施例中,目标业务可由多个层级的子业务组成,每个层级的子业务对应由一个业务密钥,或者针对每个层级的子业务生成一个业务密钥,在对目标业务的业务密钥加密过程中,可以逐步对每个子层级的业务密钥进行加密处理,以完成对整个目标业务的业务密钥的加密,实现对包含多个层级子业务的业务密钥进行逐层保护,具有可靠性。
在一些实施方式中,目标业务包括多个层级的子业务,每个层级的子业务对应一个业务密钥,在对目标业务的业务密钥进行加密过程总,可使用层级递增方式使用前一层级的加密业务密钥对后一层级的业务密钥进行加密,使得整个目标业务的多个层级的业务密钥之间呈现链式加密状态,使得整个目标业务的业务密钥的机密性更巩固,提高业务密钥保护的安全性。例如,在步骤102中“获取目标业务的根密钥标识”之后,还可以包括:针对多个层级中每个层级的子业务对应的业务密钥,以倒数第一个层级的业务密钥为起点进行层级逆序加密,直至第二层级的业务密钥加密完成,分别得到第二层级至倒数第一个层级的各层级的加密业务密钥;其中,层级逆序加密是指按照层级逆向顺序对相邻层级中前一层级的业务密钥对后一层级的业务密钥进行加密,直至第一层级的业务密钥对第二层级的业务密钥加密完成;确定根密钥标识对应的目标根密钥,并根据目标根密钥对第一层级的业务密钥进行加密,得到第一层级的加密业务密钥;删除每个业务层级的业务密钥中的明文密钥,并将加密业务密钥发送给业务对象。
示例性的,在对目标业务的业务密钥进行加密时,若业务密钥为业务公私密钥对,则对业务公私密钥对中的业务私钥进行加密,该加密过程为:按照层级逆序加密方式,如按照倒数第一个层级、倒数第二层级、...、第一层级的层级逆向顺序,在相邻的两个层级中,依序利用前面层级业务私钥对后面层级的业务私钥进行加密,例如,利用倒数第二个层级的业务私钥对倒数第一个层级的业务私钥进行加密,利用倒数第三个层级的业务私钥对倒数第二个层级的业务私钥进行加密,以此类推,直至第二层级的业务私钥被第一层级的业务加密私钥完成加密保护,进一步的,针对第一层级的业务私钥,使用目标根密钥对第一层级的子业务的业务私钥进行加密,至此,获得各个层级子业务的加密业务私钥;需要说明的是,由于各个层级的子业务的业务私钥属于明文密钥,为了避免各层级的业务私钥暴露,可在对每个层级的业务私钥进行加密后,删除各个层级的业务私钥。另一方面,若业务密钥为对称密钥,同理,按照级逆序加密方式,对各层级的对称密钥进行逐层逆序加密,具体可参见该示例中关于“业务私钥”的加密过程,此处不作赘述。
在一些实施方式中,目标业务由多个层级的子业务组成,每个层级的子业务对应由一个业务密钥,或者针对每个层级的子业务生成一个业务密钥,在对目标业务的业务密钥进行解密时,可以逐步对每个子层级的业务密钥进行解密处理,以完成对整个目标业务的业务密钥的解密。具体的,关于包含多层级子业务的加密业务密钥的解密过程可以包括:响应于针对每个目标子业务的运行请求,将加密业务密钥发送至业务服务端,使得业务服务端将加密业务密钥发送至可信服务端中的可信环境空间;其中,可信服务端用于将预部署在可信环境空间外部的加密根密钥加载至可信环境空间内的密钥运算加速器中,并在密钥运算加速器中基于可信服务端的实体证书公钥和获取到的对称密钥依序对加密根密钥进行解密得到预部署的目标根密钥;其中,密钥运算加速器用于针对多个层级中每个层级的子业务的加密业务密钥,通过预部署的目标根密钥将第一层级的加密业务密钥解密得到第一层级的业务密钥,并以第二层级的加密业务密钥为起点执行层级递增的解密处理,直至倒数第一个层级的加密业务密钥解密完成,以获得每个层级的业务密钥;每个层级的业务密钥用于表示对应的目标子业务关联的业务对象的身份权限请求业务服务端启动对应的目标子业务。
需要说明的是,该层级递增的解密处理是指,在根据预部署的目标根密钥将第一层级的加密业务密钥解密得到第一层级的业务密钥之后,针对第二层级至倒数第一个层级的每个加密业务密钥,以第二层级的加密业务密钥为起点,利用前一层级解密得到的业务密钥对后一层级的加密业务密钥进行解密,直至倒数第一个层级的加密业务密钥完成解密,得到每个层级的业务密钥。
示例性的,以业务公私密钥对作为业务密钥为例,则加密业务密钥为加密业务私钥,在按照层级递增的解密方式对各层级的加密业务私钥进行解密,如按照第一层级、第二层级、...、第N层级的递增顺序,实现逐层级解密。具体的,使用目标根密钥对第一层级的加密业务私钥进行解密,得到第一层级的业务私钥,进一步的,使用第一层级的业务私钥对第二层级的加密业务私钥进行解密,以此类推,直至使用第N-1层级的业务公钥对第N层级的加密业务私钥进行解密,至此,获得各个层级的子业务的业务私钥,每个层级的业务私钥用于表示针对对应子业务的身份权限请求业务服务端启动对应的目标子业务。
需要说明的是,对于多个层级子业务的目标业务,还可确定业务对象在目标时段需要启动/运行的一个或多个待运行子业务,并确定每个待运行子业务所在的目标层级,将第一层级的加密业务密钥和目标层级标识发送至可信服务端的可信环境空间,使得所述可信服务端在可信环境空间中根据预部署的目标根密钥对第一层级的加密业务密钥进行解密,得到第一层级的业务私钥,将第一层级的业务私钥作为层级递增解密处理的启动解密密钥,并基于启动解密密钥执行层级递增解密处理,直至目标层级标识对应的目标层级的加密业务私钥完成解密,得到目标层级以及位于目标层级之前的其他层级的业务私钥, 并按照目标层级对应的业务密钥所代表的身份权限请求业务服务端运行目标业务中目标层级对应的待运行子业务。以此,可实现对目标业务中的子业务进行分层管理,且在解密阶段,有针对性的解密目标层级的密钥,避免其他层级的加密业务密钥被解密出来,减少不必要的安全隐患,且有靶向性地进行解密可减少可信环境空间中运算资源的占用情况,降低可信环境空间的运行负载,提高解密效率,有利于对应业务的快速响应。
由上述可知,本申请实施例的密钥管理方法应用于算力服务系统中的密钥管理服务端,算力服务系统至少还包括具有可信环境空间的可信服务端,通过获取业务对象针对目标业务的注册信息,并根据注册信息生成针对目标业务的业务密钥;获取目标业务的根密钥标识,并按照根密钥标识对应的目标根密钥将业务密钥中的业务私钥加密得到业务加密私钥;其中,目标根密钥和根密钥标识在针对目标业务进行注册时基于业务对象的注册信息预生成;删除针对业务密钥中的业务私钥,并将业务加密私钥发送给业务对象;其中,业务加密私钥在请求运行目标业务时被发送至可信服务端的可信环境空间内;可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的业务加密私钥进行解密,得到针对目标业务的业务私钥;其中,加密根密钥由密钥管理服务端进行多层级加密后预先部署在可信服务端中。因此,针对请求部署在算力系统中的每个目标业务的注册信息,可分别生成对应的业务密钥,该业务密钥属于明文密钥,且每个目标业务在注册时都生成有对应的目标根密钥和根密钥标识,一方面,可利用目标根密钥对当前的业务密钥中的业务私钥进行加密,并在加密完成后删除业务密钥中业务私钥,以对业务私钥进行保护;另一方面,利用目标业务的对称密钥和可信服务端的实体证书私钥对位于密钥管理服务端上的目标根密钥进行多重加密保护,并在完成加密后部署存储到可信服务端中,使得目标根密钥能够脱离密钥管理服务端进行保护,后续在请求运行目标业务时,仅可在可信服务端的可信环境空间中利用解密得到的目标根密钥对业务加密私钥进行解密,以保护目标业务的业务私钥的安全性;以此,可在一个或多个计算实例共用一个物理机资源时保护密钥的安全性,提高业务数据的安全性。
结合上述实施例所描述的方法,以下将举例作进一步详细说明。
图3是本申请实施例提供的密钥管理方法的另一步骤流程示意图。为了便于理解,本申请实施例结合图3进行描述。
在本申请实施例中,将从密钥管理装置的角度进行描述,该密钥管理装置具体可以集成在计算机设备如服务器中。例如,该服务器可以是分布式服务系统形式的算力服务系统,算力服务系统包括密钥管理服务端、业务服务端、具有可信环境空间的可信服务端;进而,该分布式服务系统中个服务端上的处理器执行密钥管理方法对应的程序时,该密钥管理方法的具体流程如下:
201、通过密钥管理服务端获取业务对象针对目标业务的注册信息,并根据注册信息生成针对目标业务的业务密钥。
在本申请实施例中,算力服务系统可为任意对象的业务服务提供算力资源,支撑相应目标业务的业务服务的运行。具体的,每个业务对象(企业、集体或机构)可将目标业务对应的服务部署到算力服务系统中某一物理机资源上,其中,可将不同业务对象的多个目标业务的业务服务部署在同一物理机上,以提高对云服务资源的利用率;此时,由于多个目标业务的业务服务共享一个物理机资源,容易出现业务数据泄露,从而引发数据安全性的问题。对此,可获取业务对象在针对的目标业务向算力服务系统注册使用权限时的注册信息,并基于注册信息确定业务对象的身份,或者区分业务对象和/或目标业务的身份,从而为业务对象生成针对目标业务的业务密钥,该业务密钥不仅可用于对业务数据的加密保护,还可表示业务对象的身份权限请求运行目标业务,以此,可在一个或多个业务对象的业务服务共享一个物理机资源时,提高数据安全性。
具体的,为了确保目标业务能够安全运行以及目标业务在运行时的数据安全性,需要针对目标业务生成一个业务密钥,具体的,获取业务对象针对目标业务的注册信息,该注册信息为业务对象向算力服务系统申请目标业务的运行资源时的注册信息,只有注册通过才可在算力服务系统为目标业务申请运行资源;进一步的,该注册信息可同时表示业务对象和目标业务的相关属性,可基于注册信息中表示业务对象的子信息和目标业务的子信息,确定业务对象的身份,或者区分业务对象和/或目标业务的身份,从而为业务对象生成一个针对目标业务的业务密钥,比如,以公私密钥对作为业务密钥为例,公私密钥对的生成为例,利用非对称加密算法(如RSA、DSA、ECC)生成业务私钥,在根据业务私钥生成业务公钥,以获得针对目标业务的公私密钥对。以此,以便后续将业务密钥(如,公私密钥对)用于表示业务对象的身份,并在验证通过后对请求运行目标业务密钥,确保目标业务在使用业务密钥进行身份认证通过后安全运行;此外,业务密钥用于对目标业务运行过程中产生的业务数据或业务数据的运行结果等数据进行加密保护,以避免相关业务数据暴露,确保数据安全。
202、通过密钥管理服务端获取目标业务的根密钥标识,并按照根密钥标识对应的目标根密钥将业务密钥中的业务私钥加密得到业务加密私钥。
在本申请实施例中,在应对多租户策略时的多个租户的计算实例共享一个物理机资源的情况,为了实现对各目标业务之间的安全性,可以对业务私钥进行加密,具体可采用任意一种密钥对该业务私钥进行加密,例如,使用目标根密钥对业务私钥进行加密保护,有效避免业务私钥暴露在算力服务系统中从而导致目标业务被其他对象冒充身份进行认证的现象,以此,通过对业务私钥进行加密保护,可在多租户的计算实例共享一个物理机资源时保证目标业务的安全性,有利于算力服务系统的安全管理和稳定运行,具有可靠性。
其中,目标根密钥可以是一个对称密钥,每个目标根密钥具有对应的根密钥标识,通过该根密钥标识可以查询到对应的目标根密钥,需要说明的是,目标根密钥和根密钥标识在针对目标业务进行注册时基于业务对象的注册信息预生成。具体的,在算力服务系统的租赁场景中,假设一个业务对象在算力服务系统注册合法权限,此时,算力服务系统中的密钥管理服务端会根据该业务对象的注册信息区分其身份,例如,可根据该业务对象在算力服务系统中的登录账号与口令来区分当前业务对象的身份,以基于登录账号与口令,使用对称加密算法(SM4)为该业务对象随机生成唯一的对称密钥的,其大小可以125位或256位,在生成随机对称密钥后,以该随机对称密钥作为该业务对象使用可信服务端的服务(如密钥管理、密钥加密)时的目标根密钥,表示该业务对象针对可信服务端的使用权限。
203、通过密钥管理服务端删除业务密钥中的业务私钥,并将业务加密私钥发送给业务对象。
在本申请实施例中,当根据目标根密钥对业务私钥加密得到业务加密私钥时,表示该业务对象的业务私钥已经被加密完成,此时,为了进一步保护业务对象的业务私钥,密钥管理服务端还需要删除业务对象在针对目标业务注册时所产生的业务私钥,以使得业务对象针对目标业务的业务私钥在整个算力服务系统中都处于密文状态存储,即有效避免业务对象的业务私钥的暴露现象,解决了业务私钥存在暴露的安全隐患问题,具有可靠性。进一步的,当业务对象的业务私钥被加密保护且删除后,可将该业务加密私钥反馈给业务对象,使得业务对象拥有加密保护的后私钥数据,以用于目标业务后续运行时的各种用途。
需要说明的是,在将业务加密私钥发送给业务对象,是指将业务加密私钥传输至业务对象预先指定的目标计算机设备中,比如,通过目标计算机设备上针对算力服务系统所安装的算力服务客户端将业务加密私钥传输给业务对象,以存储在目标计算机设备本地。
204、通过密钥管理服务端响应针对目标业务的运行请求,将业务对象对应的业务加密私钥发送至业务服务端。
在本申请实施例中,当需要运行目标业务时,密钥管理服务可将业务对象对应的业务加密私钥发送至业务服务端。
205、通过业务服务端将业务加密私钥发送至可信服务端的可信环境空间中。
在本申请实施例中,当需要运行目标业务时,业务服务端可将接收到的业务加密私钥发送至可信服务端的可信环境空间中,以便后续在可信环境空间中对业务加密私钥进行解密,并实现解密后的保护,确保目标业务的业务私钥的安全性。
206、通过可信服务端预部署在可信环境空间外的加密根密钥加载至可信环境空间,在可信环境空间中将加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的业务加密私钥进行解密,得到针对目标业务的业务私钥。
需要说明的是,该可信服务端中包含有可信环境空间,该可信环境空间为用于保护目标根密钥和业务私钥的可信运算空间,该可信环境空间在可信服务端中的硬件资源上可以是独立的,即可信服务端在硬件资源上可划分为针对可信环境空间的可信运算硬件资源和针对可信环境空间之外的其他环境的运算硬件资源,在可信服务端中,该可信运算硬件资源与运算硬件资源之间可以在物理上隔离。
其中,针对目标业务的务加密私钥的解密过程为:密钥管理服务端响应于针对目标业务的运行请求,将业务对象对应的业务加密私钥发送至业务服务端的,通过业务服务端将业务加密私钥发送至可信服务端中的可信环境空间内,以及将部署在可信服务端的可信环境空间外部的加密根密钥加载至可信环境空间内,以利用该可信运算空间对应的运算资源来对加密根密钥进行解密。其中,该可信环境空间内具有硬件的密钥运算加速器,在硬件的密钥运算加速器中对加密根密钥和业务加密私钥进行解密,可提高密钥的解密运算效率。其中,该可信环境空间内硬件的密钥运算加速器针对获取业务私钥的解密过程为:首先,利用可信服务端在出厂时的可信环境实体证书(实体证书)的私钥对加密根密钥进行初次解密,得到初始解密结果,可以理解的是,该初始解密结果与前述多重加密中的“初始加密结果”相对应,这两者可以是一致的,此处不做限定;进一步的,根据利用获取到的对称密钥该初始解密结果再次解密,得到目标根密钥,需要说明的是,该对称密钥主要依赖于业务对象针对目标业务的密码口令和根密钥标识生成,具体的,可信环境空间在获取对称密钥时,可依赖于业务对象调用计算实例的密码接口获取到针对目标业务输入的密码口令和根密钥标识,从而,利用硬件的密钥运算加速器基于密码口令和根密钥标识进行快速运算,按照对称密钥加密算法生成一个用于解密的对称密钥,可以理解的是,该对称密钥与在密钥管理服务端加密时的对称密钥一致,进而,并以硬件的密钥运算加速器的运算资源为基础,实现使用对称密钥将初始解密结果解密得到业务私钥,以按照业务私钥对应的身份权限请求业务服务端运行目标业务。以此,整个解密过程在可信环境空间中进行,实现在解密过程对目标根密钥和业务私钥的保护,确保解密后的目标根密钥和业务私钥的安全性,此外,利用硬件的密钥运算加速器的运算资源,可提高获取业务私钥时的解密效率,有利于后续目标业务的快速启动、运行效率,避免目标业务的启动/运行时滞后性和延误,影响目标业务的运行。
在本申请实施例中,加密根密钥由密钥管理服务端进行多层级加密后预先部署在可信服务端中。具体的,对目标根密钥进行多层级对应的多重加密,首先,确定针对当前目标业务的密码口令和根密钥标识,并基于该密码口令和根密钥标识来生成一个对称密钥,并使用该对称密钥来对目标根密钥进场初次解密,得到初始加密结果,该初始加密结果可以理解为目标根密钥在首次加密后的初始加密根密钥;然后,密码管理服务端可向可信服务端请求获取实体证书,以根据实体证书的公钥来对该初始解密结果进行再次加密,得到多重/多层级加密处理的加密根密钥。最后,在针对目标业务的目标根密钥加密得到加密根密钥后,即可获取可信服务端针对目标业务签发的业务证书,该业务证书用于表示业务对象针对目标业务在可信服务端具有密钥数据的存放和管理权限,将针对目标业务的业务证书和加密根密钥一并发送至可信服务端,以使得可信服务端基于接收到的业务证书进行认证,以确定当前业务对象在可信服务端上是否拥有针对该目标业务相关的密钥数据的存放和管理的权限,若认证不通过,则可信服务端拒绝对该目标业务的加密根密钥进行部署,若认证通过,则确认该业务对象在可信服务端上拥有针对该目标业务相关的密钥数据的存放和管理的权限,此时,可将加密根密钥存储至可信环境空间的存储区中,实现对加密根密钥的预部署,以便后续在解密获取需要使用的业务私钥时先在可信环境空间解密该预部署的加密根密钥,并使用。以此,实现进一步提高对业务私钥的保护力度,具有可靠性。
为了便于对本申请实施例的理解,将以具体的应用场景实例对本申请实施例进行描述。具体的,通过执行以上步骤201-206,对该应用场景实例进行描述。
需要说明的是,该密钥管理方法适用于云技术、智慧交通、辅助驾驶、地图领域、网上购物等场景中的密钥管理实例中。例如,该场景实例的具体如下:
一、该密钥管理场景实例简介如下:
在云环境中,保护数据的安全性,尤其是敏感数据,是企业等服务提供商决定将服务迁移到云平台时必须认真考虑的重要问题。云平台具有弹性可扩展的计算资源,这为服务提供商提供了灵活性,同时也在一定程度上降低了总体拥有成本。云服务商通常采用多租(业务对象)户策略,允许不同租户的计算实例(例如虚拟机或容器)在同一物理服务器上运行,共享底层硬件资源,以提高资源利用率。然而,多租户策略也引发了云环境数据安全的新挑战:当多个租户共享物理资源时,租户敏感数据(例如密钥)的安全性成为一个巨大的担忧。这也成为企业迁移到云平台的重要障碍之一。其中,租户私钥作为具备代表性的敏感数据,受到学术界和工业界的重点关注。
针对以上问题,本密钥管理场景实例基于硬件可信根、资源池化和虚拟化的密钥管理技术,构建规模可按需扩展的高性能密钥管理方案,以保护租户数据和私钥,支持对称密钥保护,按租户身份的授权访问机制,密钥存储失效备援和计算实例实时迁移,保障算力网络海量租户的数据存储及业务的密钥安全,实现密码资源池化、高可用、弹性调度。
二、该密钥管理场景实例的具体实现过程:
结合图4所示,为本申请实施例提供的密钥管理系统的架构示意图,图中场景包括总体架构包括证书与密钥部署工具,密钥管理服务器(Key Management Server,KMS),算力网租户计算实例(可以是虚拟机或容器),带可信执行环境(Trusted ExecutionEnvironment,TEE)和密码运算加速器硬件的云物理服务器(TEE-CAM-SERVER,为本申请的可信服务端),需要注意的是,计算实例与TEE-CAM-SERVER既可以在同一台物理服务器上,也可以不在同一台物理服务器上,计算实例通常位于业务服务器上,而业务服务器可以不是TEE-CAM-SERVER,可以将TEE-CAM-SERVER视为加强版的带独立硬件可信计算环境与密码加速器的特殊业务云物理服务器。
需要说明的是,在整个密钥服务生命周期中,每个业务对象具有唯一的随机对称密钥RK作为该租户使用TEE-CAM-SERVER服务的根密钥,并加密租户的所有其它私钥或秘密密钥。在单一TEE-CAM-SERVER服务器上进行密钥部署与应用的详细流程说明如下:
(1)在初始化阶段,假设一个业务对象注册成算力网(云化网络)的合法租户,算力网的密钥管理服务器KMS利用租户的账号与口令,为该租户生成一个随机对称密钥RK(128bit或256bit),对应的密码算法为分组密码学算法(SM4),以及对应的RK密钥标识,返回租户的账号与口令和标识。需要说明的是,
(2)如果该用户是一个新租户,算力网络的密钥管理服务器(KMS)向可信服务端(TEE-CAM-SERVER)注册租户,TEE-CAM-SERVER为租户生成一个独立的认证证书,表明该租户有权存放和管理密钥(备注:一般在带有可信根的服务器出厂时,TEE-CAM-SERVER的可信环境实体会被发行设置一个初始证书,用于外部认证该可信实体,存放在一次性可编程(One Time Programmable,OTP)的NVM存储器中),其中,可信环境实体,可以为机密计算空间(Software Guard Extensions,SGX)/可信安全模块(Trusted Platform Module,TPM)/安全存储器(Security Element,SE)中的一种。流程如下:
(2.1)密钥管理服务器KMS为租户生成一对公私钥对(pk,sk),将租户名称,公钥,注册信息等发送给TEE-CAM-SERVER。
(2.2)TEE-CAM-SERVER在可信环境实体SGX/TPM/SE中利用其可信环境实体证书对应的私钥为租户签发一个证书,表明该租户已被授权在TEE-CAM-SERVER的可信环境SGX/TPM/SE中存放并管理自己的密钥。需要注意的是,以可信安全模块TPM为例,为租户签发的证书包含TPM设备自身的信息,以及租户的信息,例如租户名称、注册信息以及存放的密钥数量限制等等。返回对应的证书给密钥管理服务器KMS。
(2.3)密钥管理服务器KMS保存租户对应的注册信息,账号与口令,证书。
(3)租户、密钥管理服务器KMS与TEE-CAM-SERVER合作,将根密钥RK部署到TEE-CAM-SERVER的可信环境SGX/TPM/SE中,具体部署子过程如下:
(3.1) 租户在用账号和口令登入后,输入一个新的密码口令和根密钥(RK)标识。
(3.2 )密钥管理服务器(KMS)检索出对应的根密钥RK,使用租户的密码口令和RK密钥标识生成一个对称密钥,并使用该对称密钥来加密RK。在密钥管理服务器认证SGX/TPM/SE实体证书及身份后,使用TEE-CAM-SERVER实体证书对应的公钥再次加密租户的根密钥RK(或者使用私钥进行签密),与租户的认证证书一并提交给TEE-CAM-SERVER。
(3.3) TEE-CAM-SERVER检查租户的认证证书与对应的权限,确认是合法的租户与请求,将加密的根密钥RK存放在可信环境外部的NVM存储器中。
(4)在开启业务计算实例时,如果业务需要专用业务密钥(称为二级密钥)并使用在本地TEE-CAM-SERVER可信服务器上,即租户需要在TEE-CAM-SERVER上管理对应的业务密钥或二级密钥,如果该业务实例还存在子业务,需要更多层级密钥,处理类似,下面以二级业务密钥管理为例进行说明:
(4.1) 以非对称密钥管理为例,业务平台生成公私钥对(PK, SK),并将之提交给密钥管理服务器KMS,或者直接由密钥管理服务器KMS生成业务公私钥对(PK, SK)。
(4.2 )密钥管理服务器KMS根据租户的RK密钥标识,检索并使用根密钥RK加密该租户的业务明文私钥SK,生成的加密私钥ESK,由于根密钥RK是对称加密密钥,经过ECB模式加密后有着和普通明文私钥相同的密钥结构。在加密完成之后,明文私钥SK随即被删除,业务加密私钥ESK被返回给该租户,而RK则安全地存储于密钥管理服务器中。从此,业务平台与用户等非可信环境下以及密钥管理服务器均无法查看明文的业务私钥SK,见到的均是加密的私钥ESK。
(4.3) 在业务启动时,通过部署工具,租户将加密的私钥(ESK)从密钥管理服务器KMS或自身传送给计算实例,计算实例发送私钥处理初始化请求,让TEE-CAM-SERVER从可信环境的NVM存储器中加载加密的RK至密码硬件加速计算单元。另外,租户通过计算实例的密码库OPENSSL或其它密码库引擎ENGINE,经驱动程序将加密的私钥ESK传递给TEE-CAM-SERVER的可信环境SGX/TPM/SE中,由于密文私钥与明文私钥结构相同,直接传递给TEE-CAM-SERVER。
(4.4) TEE-CAM-SERVER在加载完加密的私钥ESK后,租户启动解密请求处理过程,TEE-CAM-SERVER使用证书对应的私钥解密RK,同时,通过密码库(如OPENSSL)的接口让用户输入一个密码口令和RK密钥标识,此时,TEE-CAM-SERVER使用租户的密码口令和RK密钥标识生成一个对称密钥,再次使用该对称密钥解密RK,并将解密的明文RK临时存放在密码硬件加速计算单元的内部寄存器中,同时使用RK解密计算实例加载进来的密文私钥ESK,得到明文SK,将SK存放在密码硬件加速计算单元的内部寄存器中,供后续的业务使用。
(5)在开启业务计算实例时,即在根据业务私钥的身份权限请求运行目标业务的虚拟机时,针对目标业务需要专用业务密钥(即二级密钥,如业务私钥),且该专用业务密钥使用在远程TEE-CAM-SERVER可信服务器上。需要说明的是,业务服务器一般存在本地基本的可信环境SGX或信任区域(TrustedZone),此时,计算实例可以通过在本地业务服务器上创建一个机密计算空间飞地(SGX Enclave),并在其中构建自身的密钥同步服务,同时也在远程TEE-CAM-SERVER上创建一个SGX Enclave,计算实例的SGX Enclave与远程TEE-CAM-SERVER的SGX Enclave进行密钥同步。
示例1,结合图5所示,以较为通用x86服务器为例,两个SGX Enclave 先基于英特尔的SGX 远程认证协议由双方进行相互认证(挑战与响应),确认双方的Enclave可信,再基于DH密钥协商协议协商一个安全保密传输密钥,建立安全传输通道。后续流程与上述流程(2)、(3)、(4)相同,不同的是此情况是计算实例与远程TEE-CAM-SERVER进行密钥部署与应用,另外,所有传输的租户对应的注册信息,账号与口令,证书及加密根密钥RK,业务加密私钥(ESK)均由安全传输通道保护。相当于远程TEE-CAM-SERVER上创建的SGX Enclave是一个代理可信服务环境,专用于远程计算实例的密钥同步服务。
示例2,结合图5所示,以ARM服务器为例,由密钥管理服务器KMS承担CA功能,在远程的可信服务端(TEE-CAM-SERVER)上创建一个TrustedZone实例,用于构建自身的密钥同步服务,同时由密钥管理服务器(KMS)分别为计算实例和远程TEE-CAM-SERVER分发相应证书用于相互认证及建立可信安全通道(线下注册),后续流程与上述流程(2)、(3)、(4)相同,不同的是此情况是计算实例与远程TEE-CAM-SERVER进行密钥部署与应用,所有传输的租户对应的注册信息,账号与口令,证书及加密RK,ESK均由安全传输通道保护。相当于远程TEE-CAM-SERVER上创建的TrustedZone实例是一个代理可信服务环境,专用于远程计算实例的密钥同步服务。
进一步的,在本密钥管理场景实例中,若该业务计算实例还存在子业务,需要更多层级密钥,处理类似,即在TEE-CAM-SERVER使用证书对应的私钥解密RK后,通过用户输入一个密码口令和RK密钥标识,生成对称密钥,使用该对称密钥解密RK,得到明文RK。再通RK解密下一级ESK,得到一个明文的私钥SK,如果还有下一级ESK,使用上一级的私钥SK解密之,直到最后一级ESK被解密,得到最终的业务私钥SK。值得注意的是,上述所有多层级的加密ESK都存放在大容量的外部非易失性(NVM)存储器中,在业务需要的时候才加载并解密存放在密码硬件加速计算单元的内部寄存器中。这可以大大增加密钥管理系统的存储可扩展性,密钥之间的加密关系如图6所示。此外,该密钥管理场景实例中的加密的公私钥对(PK,SK),可以替换成对称密钥,结合图5所示中关于“算力网中带硬件可信环境与密码加速器的云物理服务端”,即实现对称密钥的层级管理,多层级的对称密钥一级加密一级,使用RK加密一级业务密钥,一级业务密钥加密二级业务密钥,以此类推,直至最后一级业务密钥被加密完成。
需要说明的是,TEE-CAM-SERVER需要租户输入密码口令和RK密钥标识,主要用于直接认证用户是否是真正密钥拥有者,也用于加密保密明文的RK,也可以通过远程的硬件安全模块(HSM)或双因子进行认证。根密钥标识用于查询对应的目标根密钥(RK)。一台TEE-CAM-SERVER服务器可以存放多个租户(业务对象)的多个弥补业务的加密根密钥。
进一步的,本密钥管理场景实例支持弹性的密码资源池化,结合图7所示,为本申请实施例提供的支持资源池化的密钥管理场景示例图,该场景包括“云计算数据中心业务服务器群”、“密钥管理服务器”、“算力网云密码资源池管理器”、“算力网的云密码服务器物理机资源池”。
进一步的,在本密钥管理场景实例中,该算力网络中的“云密码服务器物理机资源池”中的多台TEE-CAM-SERVER服务器形成密码池,负责算力网中所有密码资源的分配与密码计算调用服务,“云密码服务器物理机资源池”中的服务器也可以是业务服务器,可视为加强版的带独立硬件可信计算环境与密码加速器的特殊业务云物理服务器,也可以不运行业务逻辑,专用于密码运算。结合图8所示,在算力网应用中,租户可以根据业务需要,按照上节描述的单一TEE-CAM-SERVER服务器上密钥部署与应用流程,将自己的密钥部署在多台TEE-CAM-SERVER服务器上,并按规模进行扩展或缩减,实现弹性密钥管理。
进一步的,本密钥管理场景实例支持计算实例的实时迁移,若“云密码服务器物理机资源池”中的一台TEE-CAM-SERVER服务器失效时,可以随时切换到其它TEE-CAM-SERVER服务器,确保密钥运算的可靠性与连续性。具体的,在TEE-CAM-SERVER服务器硬件中保护私钥时,通过请求密钥服务器在目标物理机的硬件中准备好租户私钥,并确保迁移后的计算实例能直接使用该私钥;“云计算数据中心业务服务器群”中的业务计算实例通过远程密码调用密码加速运算服务,“云计算数据中心业务服务器群”与“云密码服务器物理机资源池”之间通过高速网络互联;“密钥管理服务器”负责RK、ESK、证书与业务私钥的生成与维护,以及密钥与证书的部署;“算力网云密码资源池管理器”负责密码资源管理、调度、监控“云密码服务器物理机资源池”的运行状态。
通过执行以上密钥管理场景实例,可以实现如下效果:基于硬件可信根、资源池化和虚拟化的密钥管理技术,构建规模可按需扩展的高性能密钥管理方案,以保护租户数据和私钥,支持对称密钥保护,按租户身份的授权访问机制,密钥存储失效备援和计算实例实时迁移,保障算力网络海量租户的数据存储及业务的密钥安全,实现密码资源池化、高可用、弹性调度。
由上述可知,本申请实施例针对请求部署在算力系统中的每个目标业务的注册信息,可分别生成对应的业务密钥,该业务密钥属于明文密钥,且每个目标业务在注册时都生成有对应的目标根密钥和根密钥标识,一方面,可利用目标根密钥对当前的业务密钥中的业务私钥进行加密,并在加密完成后删除业务密钥中业务私钥,以对业务私钥进行保护;另一方面,利用目标业务的对称密钥和可信服务端的实体证书私钥对位于密钥管理服务端上的目标根密钥进行多重加密保护,并在完成加密后部署存储到可信服务端中,使得目标根密钥能够脱离密钥管理服务端进行保护,后续在请求运行目标业务时,仅可在可信服务端的可信环境空间中利用解密得到的目标根密钥对业务加密私钥进行解密,以保护目标业务的业务私钥的安全性;以此,可在一个或多个计算实例共用一个物理机资源时保护密钥的安全性,提高业务数据的安全性。
以上各个步骤的具体实施可参见前面的实施例,在此不再赘述。
为便于更好的实施本申请实施例提供的密钥管理方法,本申请实施例还提供一种基于上述密钥管理方法的装置。其中名词的含义与上述密钥管理方法中相同,具体实现细节可以参考方法实施例中的说明。
请参阅图9,图9为本申请实施例提供的密钥管理装置的结构示意图,该密钥管理装置集成于本申请的计算机设备,其中该密钥管理装置可以包括生成单元401、加密单元402和处理单元403。
生成单元401,用于获取业务对象针对目标业务的注册信息,并根据注册信息生成针对目标业务的业务密钥;
加密单元402,用于获取目标业务的根密钥标识,并按照根密钥标识对应的目标根密钥将业务密钥中的业务私钥加密得到业务加密私钥;其中,目标根密钥和根密钥标识在针对目标业务进行注册时基于业务对象的注册信息预生成;
处理单元403,用于删除业务密钥中的业务私钥,并将业务加密私钥发送给业务对象;
其中,业务加密私钥在请求运行目标业务时被发送至可信服务端的可信环境空间内;可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的业务加密私钥进行解密,得到针对目标业务的业务私钥;其中,加密根密钥由密钥管理服务端进行多层级加密后预先部署在可信服务端中。
在一些实施方式中,算力服务系统还包括业务服务端,可信服务端的可信环境空间中具有密钥运算加速器,密钥管理装置还包括业务运行单元,用于:响应于针对目标业务的运行请求,将业务对象对应的业务加密私钥发送至业务服务端,以使得业务服务端将业务加密私钥发送至可信服务端中的可信环境空间;其中,可信服务端用于将预部署在可信环境空间外部的加密根密钥加载至可信环境空间内的密钥运算加速器中,以在密钥运算加速器中基于可信服务端的实体证书公钥和获取到的对称密钥依序对加密根密钥进行解密得到预部署的目标根密钥,并通过预部署的目标根密钥将业务加密私钥解密得到业务私钥,按照业务私钥对应的身份权限请求业务服务端运行目标业务;其中,加密根密钥由密钥管理服务端根据对称密钥和实体证书公钥依序对目标根密钥进行加密得到,对称密钥根据业务对象信息和根密钥标识生成;实体证书公钥为可信服务端的实体证书对应的公钥。
在一些实施方式中,注册信息包括针对目标业务的密码口令和根密钥标识,密钥管理装置还包括部署单元,用于:根据目标业务的密码口令和根密钥标识,生成对称密钥;根据对称密钥对目标根密钥进行初步加密处理,得到初始加密结果;获取可信服务端的实体证书,并在对实体证书验证通过后,根据实体证书对应的实体证书公钥对初始加密结果进行加密处理,得到针对目标业务的加密根密钥;获取可信服务端针对目标业务签发的业务证书,并将针对目标业务的加密根密钥和业务证书发送至可信服务端,使得可信服务端在基于业务证书进行权限确认通过后将加密根密钥存储至可信环境空间的存储区中。
在一些实施方式中,密钥管理装置还包括权限申请单元,用于:将注册信息和业务密钥中的业务公钥发送至可信服务端,使得可信服务端通过内置的实体证书私钥对注册信息和业务公钥进行签名,得到为目标业务签发的业务证书;接收可信服务端反馈的业务证书,并存储针对目标业务的业务证书和注册信息;其中,业务证书用于在可信服务端中预部署目标根密钥时对目标业务关联的业务对象的身份权限认证。
在一些实施方式中,密钥管理装置还包括创建单元,用于:向可信服务端发送信任环境创建请求,使得可信服务端在响应信任环境创建请求时创建可信服务虚拟机;分别为可信服务端签发第一代理信任证书,以及为业务服务端签发第二代理信任证书,使得可信服务端上的可信服务虚拟机与业务服务端之间基于第一代理信任证书与第二代理信任证书完成相互认证,并在相互认证通过后创建可信数据通道;其中,可信数据通道至少用于可信服务端根据业务私钥对应的身份权限向业务服务端发送针对目标业务的运行请求。
在一些实施方式中,目标业务包括多个层级的子业务,每个层级的子业务对应一个业务密钥,密钥管理装置还包括多层级加密单元,用于:针对多个层级中每个层级的子业务对应的业务密钥,以倒数第一个层级的业务密钥为起点进行层级逆序加密,直至第二层级的业务密钥加密完成,分别得到第二层级至倒数第一个层级的各层级的加密业务密钥;其中,层级逆序加密是指按照层级逆向顺序对相邻层级中前一层级的业务密钥对后一层级的业务密钥进行加密,直至第一层级的业务密钥对第二层级的业务密钥加密完成;确定根密钥标识对应的目标根密钥,并根据目标根密钥对第一层级的业务密钥进行加密,得到第一层级的加密业务密钥;删除每个业务层级的业务密钥中的明文密钥,并将加密业务密钥发送给业务对象。
在一些实施方式中,目标业务包括多个层级的子业务,密钥管理装置还包括多层级解密单元,用于:响应于针对每个目标子业务的运行请求,将加密业务密钥发送至业务服务端,使得业务服务端将加密业务密钥发送至可信服务端中的可信环境空间;其中,可信服务端用于将预部署在可信环境空间外部的加密根密钥加载至可信环境空间内的密钥运算加速器中,并在密钥运算加速器中基于可信服务端的实体证书公钥和获取到的对称密钥依序对加密根密钥进行解密得到预部署的目标根密钥;其中,密钥运算加速器用于针对多个层级中每个层级的子业务的加密业务密钥,通过预部署的目标根密钥将第一层级的加密业务密钥解密得到第一层级的业务密钥,并以第二层级的加密业务密钥为起点执行层级递增的解密处理,直至倒数第一个层级的加密业务密钥解密完成,以获得每个层级的业务密钥;每个层级的业务密钥用于表示对应的目标子业务关联的业务对象的身份权限请求业务服务端启动对应的目标子业务。
在一些实施方式中,算力服务系统包含多个可信服务端和多个业务服务端,每个可信服务端与一个业务服务端具有映射关系,密钥管理装置还包括迁移单元,用于:从多个业务服务端中为目标业务的业务虚拟机选取待迁入的目标业务服务端;从多个可信服务端中确定与目标业务服务端具有映射关系的目标可信服务端;向目标可信服务端发送注册信息和业务密钥中的业务公钥,使得目标可信服务端在根据注册信息和业务公钥为目标业务签名业务证书并反馈,业务证书表示目标业务在目标可信服务端的身份权限;向目标可信服务端发送针对目标业务的加密根密钥和业务证书,使得目标可信服务端根据业务证书对目标业务的验证通过后部署加密根密钥,加密根密钥由目标根密钥加密得到;当检测到目标可信服务端完成对加密根密钥的部署时,将目标业务的业务虚拟机迁移至目标业务服务端。
由上述可知,本申请实施例针对请求部署在算力系统中的每个目标业务的注册信息,可分别生成对应的业务密钥,该业务密钥属于明文密钥,且每个目标业务在注册时都生成有对应的目标根密钥和根密钥标识,一方面,可利用目标根密钥对当前的业务密钥中的业务私钥进行加密,并在加密完成后删除业务密钥中业务私钥,以对业务私钥进行保护;另一方面,利用目标业务的对称密钥和可信服务端的实体证书私钥对位于密钥管理服务端上的目标根密钥进行多重加密保护,并在完成加密后部署存储到可信服务端中,使得目标根密钥能够脱离密钥管理服务端进行保护,后续在请求运行目标业务时,仅可在可信服务端的可信环境空间中利用解密得到的目标根密钥对业务加密私钥进行解密,以保护目标业务的业务私钥的安全性;以此,可在一个或多个计算实例共用一个物理机资源时保护密钥的安全性,提高业务数据的安全性。
以上各个单元的具体实施可参见前面的实施例,在此不再赘述。
参照图10,图10为实现本公开实施例的终端140的部分的结构框图,该终端140包括:射频(Radio Frequency,简称RF)电路510、存储器515、输入单元530、显示单元540、传感器550、音频电路560、无线保真(wireless fidelity,简称WiFi)模块570、处理器580、以及电源590等部件。本领域技术人员可以理解,图11示出的终端140结构并不构成对手机或电脑的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
RF电路510可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器580处理;另外,将设计上行的数据发送给基站。
存储器515可用于存储软件程序以及模块,处理器580通过运行存储在存储器515的软件程序以及模块,从而执行终端的各种功能应用以及数据处理。
输入单元530可用于接收输入的数字或字符信息,以及产生与终端的设置以及功能控制有关的键信号输入。具体地,输入单元530可包括触控面板531以及其他输入装置532。
显示单元540可用于显示输入的信息或提供的信息以及终端的各种菜单。显示单元540可包括显示面板541。
音频电路560、扬声器561,传声器562可提供音频接口。
在本实施例中,该终端140所包括的处理器580可以执行前面实施例的密钥管理方法。
本公开实施例的终端140包括但不限于手机、电脑、智能语音交互设备、智能家电、车载终端、飞行器等。本发明实施例可应用于各种场景,包括但不限于云技术、人工智能、智慧交通、辅助驾驶等。
图11为实施本公开实施例的服务器110的部分的结构框图。服务器110可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(CentralProcessing Units,简称CPU)622(例如,一个或一个以上处理器)和存储器632,一个或一个以上存储应用程序642或数据644的存储介质630(例如一个或一个以上海量存储装置)。其中,存储器632和存储介质630可以是短暂存储或持久存储。存储在存储介质630的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器600中的一系列指令操作。更进一步地,中央处理器622可以设置为与存储介质630通信,在服务器600上执行存储介质630中的一系列指令操作。
服务器600还可以包括一个或一个以上电源626,一个或一个以上有线或无线网络接口650,一个或一个以上输入输出接口658,和/或,一个或一个以上操作系统641,例如Windows ServerTM,Mac OS XTM,UnixTM ,LinuxTM,FreeBSDTM等等。
服务器600中的中央处理器622可以用于执行本公开实施例的密钥管理方法,具体如下:
应用于算力服务系统中的密钥管理服务端,算力服务系统至少还包括具有可信环境空间的可信服务端,通过获取业务对象针对目标业务的注册信息,并根据注册信息生成针对目标业务的业务密钥;获取目标业务的根密钥标识,并按照根密钥标识对应的目标根密钥将业务密钥中的业务私钥加密得到业务加密私钥;其中,目标根密钥和根密钥标识在针对目标业务进行注册时基于业务对象的注册信息预生成;删除针对业务密钥中的业务私钥,并将业务加密私钥发送给业务对象;其中,业务加密私钥在请求运行目标业务时被发送至可信服务端的可信环境空间内;可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的业务加密私钥进行解密,得到针对目标业务的业务私钥;其中,加密根密钥由密钥管理服务端进行多层级加密后预先部署在可信服务端中。
本公开实施例还提供一种计算机可读存储介质,计算机可读存储介质用于存储程序代码,程序代码用于执行前述各个实施例的密钥管理方法,具体如下:
应用于算力服务系统中的密钥管理服务端,算力服务系统至少还包括具有可信环境空间的可信服务端,通过获取业务对象针对目标业务的注册信息,并根据注册信息生成针对目标业务的业务密钥;获取目标业务的根密钥标识,并按照根密钥标识对应的目标根密钥将业务密钥中的业务私钥加密得到业务加密私钥;其中,目标根密钥和根密钥标识在针对目标业务进行注册时基于业务对象的注册信息预生成;删除针对业务密钥中的业务私钥,并将业务加密私钥发送给业务对象;其中,业务加密私钥在请求运行目标业务时被发送至可信服务端的可信环境空间内;可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的业务加密私钥进行解密,得到针对目标业务的业务私钥;其中,加密根密钥由密钥管理服务端进行多层级加密后预先部署在可信服务端中。
本公开实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序。计算机设备的处理器读取该计算机程序并执行,使得该计算机设备执行实现上述的密钥管理方法。
此外,术语“包括”和“包含”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或装置不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或装置固有的其它步骤或单元。
应当理解,在本公开中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
应了解,在本公开实施例的描述中,多个(或多项)的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。
在本公开所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)执行本公开各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
还应了解,本公开实施例提供的各种实施方式可以任意进行组合,以实现不同的技术效果。
本申请实施例中,术语“模块”或“单元”是指有预定功能的计算机程序或计算机程序的一部分,并与其他相关部分一起工作以实现预定目标,并且可以通过使用软件、硬件(如处理电路或存储器)或其组合来全部或部分实现。同样的,一个处理器(或多个处理器或存储器)可以用来实现一个或多个模块或单元。此外,每个模块或单元都可以是包含该模块或单元功能的整体模块或单元的一部分。
以上是对本公开的实施方式的具体说明,但本公开并不局限于上述实施方式,熟悉本领域的技术人员在不违背本公开精神的条件下还可作出种种等同的变形或替换,这些等同的变形或替换均包括在本公开权利要求所限定的范围内。
Claims (13)
1.一种密钥管理方法,其特征在于,应用于算力服务系统中的密钥管理服务端,所述算力服务系统至少还包括具有可信环境空间的可信服务端,所述方法包括:
获取业务对象针对目标业务的注册信息,并根据所述注册信息生成针对所述目标业务的业务密钥;
获取所述目标业务的根密钥标识,并按照所述根密钥标识对应的目标根密钥将所述业务密钥中的业务私钥加密得到业务加密私钥;其中,所述目标根密钥和所述根密钥标识在针对所述目标业务进行注册时基于所述业务对象的注册信息预生成;
删除所述业务密钥中的业务私钥,并将所述业务加密私钥发送给所述业务对象;
其中,所述业务加密私钥在请求运行所述目标业务时被发送至所述可信服务端的可信环境空间内;所述可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的所述业务加密私钥进行解密,得到针对所述目标业务的业务私钥;其中,所述加密根密钥由所述密钥管理服务端进行多层级加密后预先部署在所述可信服务端中。
2.根据权利要求1所述的密钥管理方法,其特征在于,所述算力服务系统还包括业务服务端,所述可信服务端的可信环境空间中具有密钥运算加速器,所述将所述业务加密私钥发送给所述业务对象之后,所述方法还包括:
响应于针对所述目标业务的运行请求,将所述业务对象对应的业务加密私钥发送至所述业务服务端,以使得所述业务服务端将所述业务加密私钥发送至所述可信服务端中的可信环境空间;
其中,所述可信服务端用于将预部署在所述可信环境空间外部的加密根密钥加载至所述可信环境空间内的密钥运算加速器中,以在所述密钥运算加速器中基于所述可信服务端的实体证书公钥和获取到的对称密钥依序对所述加密根密钥进行解密得到所述预部署的目标根密钥,并通过所述预部署的目标根密钥将所述业务加密私钥解密得到业务私钥,按照所述业务私钥对应的身份权限请求所述业务服务端运行所述目标业务;
其中,所述加密根密钥由所述密钥管理服务端根据所述对称密钥和所述实体证书公钥依序对所述目标根密钥进行加密得到,所述对称密钥根据所述业务对象信息和根密钥标识生成;所述实体证书公钥为所述可信服务端的实体证书对应的公钥。
3.根据权利要求1所述的密钥管理方法,其特征在于,所述注册信息包括针对所述目标业务的密码口令和根密钥标识,所述方法还包括:
根据所述目标业务的密码口令和根密钥标识,生成对称密钥;
根据所述对称密钥对所述目标根密钥进行初步加密处理,得到初始加密结果;
获取所述可信服务端的实体证书,并在对所述实体证书验证通过后,根据所述实体证书对应的实体证书公钥对所述初始加密结果进行加密处理,得到针对所述目标业务的加密根密钥;
获取所述可信服务端针对所述目标业务签发的业务证书,并将针对所述目标业务的加密根密钥和业务证书发送至所述可信服务端,使得所述可信服务端在基于所述业务证书进行权限确认通过后将所述加密根密钥存储至可信环境空间的存储区中。
4.根据权利要求3所述的密钥管理方法,其特征在于,所述获取所述可信服务端针对所述目标业务签发的业务证书之前,所述方法还包括:
将所述注册信息和所述业务密钥中的业务公钥发送至所述可信服务端,使得所述可信服务端通过内置的实体证书私钥对所述注册信息和所述业务公钥进行签名,得到为所述目标业务签发的业务证书;
接收所述可信服务端反馈的业务证书,并存储针对所述目标业务的所述业务证书和所述注册信息;
其中,所述业务证书用于在所述可信服务端中预部署所述目标根密钥时对所述目标业务关联的业务对象的身份权限认证。
5.根据权利要求1所述的密钥管理方法,其特征在于,所述方法还包括:
向所述可信服务端发送信任环境创建请求,使得所述可信服务端在响应所述信任环境创建请求时创建可信服务虚拟机;
分别为所述可信服务端签发第一代理信任证书,以及为业务服务端签发第二代理信任证书,使得所述可信服务端上的可信服务虚拟机与所述业务服务端之间基于所述第一代理信任证书与所述第二代理信任证书完成相互认证,并在相互认证通过后创建可信数据通道;
其中,所述可信数据通道至少用于所述可信服务端根据所述业务私钥对应的身份权限向所述业务服务端发送针对所述目标业务的运行请求。
6.根据权利要求1所述的密钥管理方法,其特征在于,所述目标业务包括多个层级的子业务,每个层级的子业务对应一个业务密钥,所述获取所述目标业务的根密钥标识之后,所述方法还包括:
针对所述多个层级中每个层级的子业务对应的业务密钥,以倒数第一个层级的业务密钥为起点进行层级逆序加密,直至第二层级的业务密钥加密完成,分别得到所述第二层级至所述倒数第一个层级的各层级的加密业务密钥;
其中,所述层级逆序加密是指按照层级逆向顺序对相邻层级中前一层级的业务密钥对后一层级的业务密钥进行加密,直至第一层级的业务密钥对所述第二层级的业务密钥加密完成;
确定所述根密钥标识对应的目标根密钥,并根据所述目标根密钥对第一层级的业务密钥进行加密,得到第一层级的加密业务密钥;
删除每个业务层级的业务密钥中的明文密钥,并将所述加密业务密钥发送给所述业务对象。
7.根据权利要求6所述的密钥管理方法,其特征在于,所述方法还包括:
响应于针对每个目标子业务的运行请求,将所述加密业务密钥发送至所述业务服务端,使得所述业务服务端将所述加密业务密钥发送至所述可信服务端中的可信环境空间;
其中,所述可信服务端用于将预部署在所述可信环境空间外部的加密根密钥加载至所述可信环境空间内的密钥运算加速器中,并在所述密钥运算加速器中基于所述可信服务端的实体证书公钥和获取到的对称密钥依序对所述加密根密钥进行解密得到所述预部署的目标根密钥;
其中,所述密钥运算加速器用于针对所述多个层级中每个层级的子业务的加密业务密钥,通过所述预部署的目标根密钥将所述第一层级的加密业务密钥解密得到所述第一层级的业务密钥,并以所述第二层级的加密业务密钥为起点执行层级递增的解密处理,直至所述倒数第一个层级的加密业务密钥解密完成,以获得每个层级的业务密钥;每个层级的所述业务密钥用于表示对应的所述目标子业务关联的业务对象的身份权限请求所述业务服务端启动对应的所述目标子业务。
8.根据权利要求1所述的密钥管理方法,其特征在于,所述算力服务系统包含多个所述可信服务端和多个业务服务端,每个可信服务端与一个业务服务端具有映射关系,所述方法还包括:
从所述多个业务服务端中为所述目标业务的业务虚拟机选取待迁入的目标业务服务端;
从多个所述可信服务端中确定与所述目标业务服务端具有映射关系的目标可信服务端;
向所述目标可信服务端发送所述注册信息和所述业务密钥中的业务公钥,使得所述目标可信服务端在根据所述注册信息和所述业务公钥为所述目标业务签名业务证书并反馈,所述业务证书表示所述目标业务在所述目标可信服务端的身份权限;
向所述目标可信服务端发送针对所述目标业务的加密根密钥和所述业务证书,使得所述目标可信服务端根据所述业务证书对所述目标业务的验证通过后部署所述加密根密钥,所述加密根密钥由所述目标根密钥加密得到;
当检测到所述目标可信服务端完成对所述加密根密钥的部署时,将所述目标业务的业务虚拟机迁移至所述目标业务服务端。
9.一种密钥管理方法,其特征在于,应用于算力服务系统,所述算力服务系统包括密钥管理服务端、业务服务端、具有可信环境空间的可信服务端,所述方法包括:
通过所述密钥管理服务端获取业务对象针对目标业务的注册信息,并根据所述注册信息生成针对所述目标业务的业务密钥;
通过所述密钥管理服务端获取所述目标业务的根密钥标识,并按照所述根密钥标识对应的目标根密钥将所述业务密钥中的业务私钥加密得到业务加密私钥;其中,所述目标根密钥和所述根密钥标识在针对所述目标业务进行注册时基于所述业务对象的注册信息预生成;
通过所述密钥管理服务端删除所述业务密钥中的业务私钥,并将所述业务加密私钥发送给所述业务对象,并在响应针对目标业务的运行请求时,将所述业务对象对应的业务加密私钥发送至所述业务服务端;
通过所述业务服务端将所述业务加密私钥发送至所述可信服务端的可信环境空间中;
通过所述可信服务端预部署在所述可信环境空间外的加密根密钥加载至所述可信环境空间,在所述可信环境空间中将所述加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的所述业务加密私钥进行解密,得到针对所述目标业务的业务私钥;其中,所述加密根密钥由所述密钥管理服务端进行多层级加密后预先部署在所述可信服务端中。
10.一种密钥管理装置,其特征在于,应用于算力服务系统中的密钥管理服务端,所述算力服务系统至少还包括具有可信环境空间的可信服务端,所述装置包括:
生成单元,用于获取业务对象针对目标业务的注册信息,并根据所述注册信息生成针对所述目标业务的业务密钥;
加密单元,用于获取所述目标业务的根密钥标识,并按照所述根密钥标识对应的目标根密钥将所述业务密钥中的业务私钥加密得到业务加密私钥;其中,所述目标根密钥和所述根密钥标识在针对所述目标业务进行注册时基于所述业务对象的注册信息预生成;
处理单元,用于删除所述业务密钥中的业务私钥,并将所述业务加密私钥发送给所述业务对象;
其中,所述业务加密私钥在请求运行所述目标业务时被发送至所述可信服务端的可信环境空间内;所述可信环境空间用于对预部署的加密根密钥进行多层级解密,并根据解密得的目标根密钥对接收到的所述业务加密私钥进行解密,得到针对所述目标业务的业务私钥;其中,所述加密根密钥由所述密钥管理服务端进行多层级加密后预先部署在所述可信服务端中。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至9任一项所述的密钥管理方法。
12.一种计算机设备,其特征在于,包括存储器、处理器以及存储在所述存储器中并可以在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1至9任一项所述的密钥管理方法。
13.一种算力服务系统,其特征在于,所述算力服务系统包括如权利要求1-9中的所述的密钥管理服务器、业务服务端、以及具有可信环境空间的可信服务端,算力服务系统能够执行如权利要求1至9任意一项所述的密钥管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410282825.0A CN117879819B (zh) | 2024-03-13 | 2024-03-13 | 密钥管理方法、装置、存储介质、设备及算力服务系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410282825.0A CN117879819B (zh) | 2024-03-13 | 2024-03-13 | 密钥管理方法、装置、存储介质、设备及算力服务系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117879819A true CN117879819A (zh) | 2024-04-12 |
CN117879819B CN117879819B (zh) | 2024-06-04 |
Family
ID=90585091
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410282825.0A Active CN117879819B (zh) | 2024-03-13 | 2024-03-13 | 密钥管理方法、装置、存储介质、设备及算力服务系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117879819B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111181720A (zh) * | 2019-12-31 | 2020-05-19 | 支付宝(杭州)信息技术有限公司 | 基于可信执行环境的业务处理方法及装置 |
CN112613051A (zh) * | 2020-12-24 | 2021-04-06 | 金蝶软件(中国)有限公司 | 数据加密存储方法、装置、计算机设备和存储介质 |
CN113098849A (zh) * | 2021-03-23 | 2021-07-09 | 鹏城实验室 | 基于属性及身份加密的访问控制方法、终端及存储介质 |
US20220391494A1 (en) * | 2022-07-01 | 2022-12-08 | Intel Corporation | Sharing container data inside a tenant's pod under different trusted execution environments (tees) |
CN116346341A (zh) * | 2023-03-29 | 2023-06-27 | 阿里云计算有限公司 | 私钥保护和服务端访问方法、系统、设备及存储介质 |
CN117155549A (zh) * | 2023-06-28 | 2023-12-01 | 中国建设银行股份有限公司 | 密钥分发方法、装置、计算机设备和存储介质 |
CN117439744A (zh) * | 2022-07-13 | 2024-01-23 | 国网重庆市电力公司营销服务中心 | 基于业务安全等级的业务数据传输方法及装置 |
-
2024
- 2024-03-13 CN CN202410282825.0A patent/CN117879819B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111181720A (zh) * | 2019-12-31 | 2020-05-19 | 支付宝(杭州)信息技术有限公司 | 基于可信执行环境的业务处理方法及装置 |
CN112613051A (zh) * | 2020-12-24 | 2021-04-06 | 金蝶软件(中国)有限公司 | 数据加密存储方法、装置、计算机设备和存储介质 |
CN113098849A (zh) * | 2021-03-23 | 2021-07-09 | 鹏城实验室 | 基于属性及身份加密的访问控制方法、终端及存储介质 |
US20220391494A1 (en) * | 2022-07-01 | 2022-12-08 | Intel Corporation | Sharing container data inside a tenant's pod under different trusted execution environments (tees) |
CN117439744A (zh) * | 2022-07-13 | 2024-01-23 | 国网重庆市电力公司营销服务中心 | 基于业务安全等级的业务数据传输方法及装置 |
CN116346341A (zh) * | 2023-03-29 | 2023-06-27 | 阿里云计算有限公司 | 私钥保护和服务端访问方法、系统、设备及存储介质 |
CN117155549A (zh) * | 2023-06-28 | 2023-12-01 | 中国建设银行股份有限公司 | 密钥分发方法、装置、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117879819B (zh) | 2024-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11997083B2 (en) | Secure authentication of a device through attestation by another device | |
US11604901B2 (en) | Systems and methods for using extended hardware security modules | |
US11258780B2 (en) | Securing a data connection for communicating between two end-points | |
US20230344647A1 (en) | Systems and methods for providing authentication to a plurality of devices | |
JP6121049B2 (ja) | プロキシを使用したリソースへの安全なアクセス | |
US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
US20140270179A1 (en) | Method and system for key generation, backup, and migration based on trusted computing | |
EP3284236A2 (en) | Authentication of a client device based on entropy from a server or other device | |
US8977857B1 (en) | System and method for granting access to protected information on a remote server | |
US10931453B2 (en) | Distributed encryption keys for tokens in a cloud environment | |
US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system | |
CN115280718B (zh) | 用于授权实例之间的安全私钥分发的方法和系统 | |
US11032708B2 (en) | Securing public WLAN hotspot network access | |
WO2022206203A1 (en) | Connection resilient multi-factor authentication | |
Albaroodi et al. | A proposed framework for outsourcing and secure encrypted data on OpenStack object storage (Swift) | |
US11750397B2 (en) | Attribute-based encryption keys as key material for key-hash message authentication code user authentication and authorization | |
Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
CN117879819B (zh) | 密钥管理方法、装置、存储介质、设备及算力服务系统 | |
US11977620B2 (en) | Attestation of application identity for inter-app communications | |
Shelke et al. | An enhanced authentication strategy for multiservice authorization over mobile cloud | |
Srikanth et al. | Proxy-Based Re-Encryption Design for the IoT Ecosystem | |
CN117176367A (zh) | 基于区块链的应用共享方法、文件共享方法、装置 | |
Majumdar | Cloud Computing and Its Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |