本发明专利技术公开了一种基于同态加密的分权密钥管理方法,包括如下步骤:步骤一、用户主密钥生成;步骤二、云服务实例密钥生成;步骤三、针对不同的数据实例进行密钥分发。本发明专利技术的积极效果是:本发明专利技术利用同态加密的密文计算特点实现了安全的密钥管理,分散了密钥管理中心的密钥权限,提升了用户的控制权。密钥管理中心在不用获取用户主密钥的情况,能够完成对云计算服务密钥的分发;实现云服务密钥的可变性和细粒度的密钥分发功能,可根据不同的云服务类型、业务数据类型,分发不同的密钥;部门审计可以随时对用户的业务行为和数据的监控;密钥管理中心只能完成密钥管理功能,无法获知用户主密钥、以及云计算服务的密钥。
【技术实现步骤摘要】
一种基于同态加密的分权密钥管理方法
本专利技术涉及一种基于同态加密的分权密钥管理方法。
技术介绍
1、云计算密钥管理的特点云计算是能够动态伸缩的虚拟化资源,通过互联网以服务的方式提供给用户的一种计算模式。在云计算模式下,用户不必构建或管理这些资源,而是可以直接按需付费使用云计算服务商提供的资源。云计算把IT资源、数据、应用作为一种服务,通过网络提供给用户,这是服务方式的变革,是共享数据模式的改变。在这种模式下云环境中密钥管理主要特点是:(1)用户等级多样,对密码和密钥的安全要求等级也不尽相同,安全要求包括加密算法的形式,密钥的长度、安全强度、管理力度等方面。(2)密钥种类繁多,由于云中应用千差万别,应用密码的需求也是多种多样,因此需要实现对对称、公钥密码等多种密码体制的密钥管理,密钥种类包括对称密钥和公钥,公钥又包括签名认证密钥、会话加密密钥和存储加密密钥。(3)密钥数据量庞大,云计算运行在一个不断复杂化、多用户的环境中,每一个用户在云中可能需要多个密钥实现数据加密存储、加密传输等多种功能。(4)密码应用场景复杂,相对于现有密码应用场景,云环境的密码应用场景比较复杂,需要采用密码技术实现对云环境中用户虚拟机的标识和认证,实现对用户虚拟机的加密,包括虚拟机镜像存储、虚拟机迁移过程和虚拟机之间通讯的加密。2、云计算密钥管理需求云计算作为一种新兴的计算模式,利用虚拟化技术,将大量计算资源构成可共享、可分配的资源池,使各种应用能够按需获取计算资源、存储资源和信息资源,针对军队不同系统用户的信息也将在“云端”实现集中,军用云计算安全需要特点主要有以下几个方面:(1)一个独立的云计算密钥管理中心。云计算主要特点是用户等级多样,为了保证用户私密信息的安全,因此我们需要对用户的数据进行加密,但是由于数据种类的多样性以及用户对密钥的安全要求等级不尽相同,云计算中的密钥种类繁多,密钥数据量庞大。为了应对庞大密钥量的管理问题,应该采用中心化的密钥管理中心来统一管理云计算中产生的各种密钥。除此之外,为了能够抵抗云计算平台可以获得用户的私密信息,因此,我们需要一个独立于云计算平台的密钥管理平台用于单独保护用户在加密过程中产生的各种密钥。(2)用户不同的应用产生的数据使用不同的加密密钥加密。在云计算平台中,每个用户都会根据自己的需求使用各种不同的应用,同时将这些应用使用过程中产生的数据进行存储,为了提高安全性,云计算平台希望用户的不同应用产生的数据使用不同的加密密钥。同时用户自身所掌握的密钥应该尽可能简单,也就是说,用户可以通过一个主密钥扩展出多个针对于不同应用的加密密钥。(3)军方部门可以对本部门的用户数据进行监控和审计。在保证安全性的过程中,每个用户存储在云端的数据都是经过加密的,这样可以防止云端获得用户的秘密信息,但是军方部门希望可以实现对本部门用户的数据进行监控和审计,从而进一步地了解部门成员的工作状况和生活动态。以上便是军用云计算安全的需求特点。3、云计算中密钥管理国内外现状在云计算中,国内外著名的云计算平台有亚马逊云(AWS:AmazonWebSerives),谷歌云等,另外做云服务安全的企业有Dell,RSA,Symplified,HYTRUST,Safenet等。谷歌云服务的密钥管理机制网上调查所得的资料相对较少,在谷歌云安全白皮书中也没有涉及到有关密钥管理方面的知识,因此此处也就不做相关介绍,亚马逊云服务密钥管理机制是建立在Safenet云安全公司的密钥管理机制上的,我们在后边将会对Safenet云密钥管理机制进行相关介绍。在Dell云服务中通过建立Enstratius机制从而保障其安全性,所有的通信过程的安全均是采用SSH协议来完成的,而所有存储在云端的文件都是通过加密的。其密钥管理措施主要是采用隔离的方式来进行保护的,任何云中的操作环境都不可能与云中的密钥进行接触,密钥管理设施以及云操作服务器是保证绝对分开的,同时采取密钥备份技术用于进行密钥恢复。RSA云设施主要通过云连接网关(CloudLinkGateways)来保证整个云服务的安全,它将云连接网关中所使用到的加密密钥存储在RSADPM(数据保护管理中心中),这种机制可以保证在密钥被保护的同时,方便云连接及时使用密钥。Symplified主要研究的是云中的访问控制策略,它通过提供一个单点登录的机制,从而让用户通过一个信息便可访问云中所有关于他的信息以及应用。同时随着云中应用的逐渐增多,每一个用户的应用以及数据都会随之增加,Symplified同时为用户以后应用和数据的增加也预留了一定的空间。HyTrust通过建立一个安全高效的密钥管理系统HyTrustKeyControl。这个管理系统主要的特点易于配置和便于使用,并且它是一个便于管理的虚拟应用,可以将其配置在物理设备上。由于HyTrustKeyControl的特点,那么它的安装位置是可变的,也就是说,我们既可以将其安装在企业内部,也可以将其布置在服务提供商上。至于密钥管理中的密钥的周期以及生成方式可以根据具体的应用进行改变从而满足各种应用的需求。Safenet为亚马逊云服务建立了虚拟密钥安全管理机制,通过加入虚拟密钥安全(VirtualKeysecure)进行加密密钥管理和存储,同时该虚拟密钥机制同时也支持亚马逊云中的相关硬件资源服务,在Safenet云安全防护系统中每个用户只需要持有一个主密钥,并且可以通过简单的操作将主密钥配置在云硬件资源中,用于相关数据的加密和解密。在亚马逊云硬件资源中也可以安全地存储通过虚拟密钥安全机制的密钥加密过的数据。另外,Safenet还提供一种互用型密钥管理协议(KMIP:KeyManagementInteroperabilityProtocol),该协议允许在不进行委托的条件下安全地运行在各种不同的密码环境中,同时支持不同的密钥管理者。国内的云计算比较著名的厂家主要有阿里云、百度云等。由于国内的云计算发展相对国外较晚,目前所主要推广的产品还是以存储为主,对云中大规模的应用及开发的推广还处于试验阶段,并没有投入实际的生产和生活中,这便也决定了目前国内云计算主要解决的问题还是云服务可靠性,访问控制以及通信方面,对于云服务中产生的相关数据的安全性防护及加密都涉及相对较少,因此对于云密钥管理的方案还没有被真正的提出,更难说应用。以阿里云来说,它的白皮书中主要包含的内容是组织安全,合规安全,数据安全,访问控制,人员安全,物力和环境安全,基础安全,系统和软件开发及维护安全,灾难恢复及业务连续性等。其数据安全主要从访问与隔离、存储与销毁两个方面来谈的,其中提到“阿里云管理的数据资产,包括客户和企业自身在安全政策下管理的数据资产。所有阿里云员工在处理数据资产时,必须遵守数据分类原则下的数据处理流程和准则。阿里云的数据分类不同于传统IT环境下基于数据密级的分类模式,不但在分类对象方面覆盖数据资产和包含数据的对象,而且在数据类型方面也通过明确定义数据处理权限、管理者的区域、前后关系、法律上的约束条件、合同上的限定条件、第三方的义务来防止数据未经授权地披露或滥用”,从这个方面来看,阿里云的数据安全还是对于阿里云服务提供商自己是公开的,因此也不可以防止来自于阿里云内部的攻击,他们本文档来自技高网...
【技术保护点】
一种基于同态加密的分权密钥管理方法,其特征在于:包括如下步骤:步骤一、用户主密钥生成:(1)建立同态加密的系统参数;(2)根据系统参数,部门生成自己的公私钥对(pkD,skD),并将公钥pkD发送给用户;(3)用户A根据系统参数,生成自己的公私钥对(pkA,skA),并对自己的ID进行hash运算,得到h;并使用pkA对h进行加密使用pkD对用户的私钥skA进行加密然后将pkA发送给部门;(4)部门存储并根据密钥申请时间t,选择一个随机数rA,计算存储元组(ctA,rA),并将ctA发送给用户A;(5)用户A接收到ctA,并使用自己的私钥skA解密,获得主密钥KA;步骤二、云服务实例密钥生成:(1)建立同态加密的系统参数;(2)密钥管理中心根据系统参数和云服务实例生成自己的公私钥对(pki,ski),并将公钥pki发送给云服务实例;(3)云服务实例将密钥管理中心的公钥pki发送给用户A;(4)用户A随机选择一个随机数ri,计算KA,i=KAоri,然后使用公钥pki对KA,i进行加密,得到将发送给云服务实例;(5)云服务实例随机选择一个数γi,使用公钥pki对其加密得到然后计算将cki发送给密钥管理中心;(6)密钥管理中心使用私钥ski解密cki,得到KAоriоγi;步骤三、针对不同的数据实例进行密钥分发。...
【技术特征摘要】
1.一种基于同态加密的分权密钥管理方法,其特征在于:包括如下步骤:步骤一、用户主密钥生成:(1)建立同态加密的系统参数;(2)根据系统参数,部门生成自己的公私钥对(pkD,skD),并将公钥pkD发送给用户;(3)用户A根据系统参数,生成自己的公私钥对(pkA,skA),并对自己的ID进行hash运算,得到h;并使用pkA对h进行加密使用pkD对用户的私钥skA进行加密然后将pkA发送给部门;(4)部门存储并根据密钥申请时间t,选择一个随机数rA,计算存储元组(ctA,rA),并将ctA发送给用户A;(5)用户A接收到ctA,并使用自己的私钥skA解密,获得主密钥KA;步骤二、云服务实例密钥生成:(1)建立同态加密的系统参数;(2)密钥管理中心根据系统参数和云服务实例生成自己的公私钥对(pki,ski),并将公钥pki发送给云服务实例;(3)云服务实例将密钥管理中心的公钥pki发送给用户A;(4)用户A随机选择一个随机数ri,计算KA,i=KAоri,然后使用公钥pki对KA,i进行加密,得到...
【专利技术属性】
技术研发人员:汤殿华,安红章,白健,何远杭,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。