本发明专利技术特别涉及一种云环境下密码设备虚拟化方法。该云环境下密码设备虚拟化方法,将密码设备的密钥存储分为若干独立区域,并且通过一次性存储数字证书来完成与若干设备密钥的对应;通过数字证书认证访问者身份合法性,通过合法性验证后才能进行密钥的使用;密码设备中的数字证书以及对应的密钥只能同时擦除,无法修改;所述密钥存储区域的分割,控制信息的一次性写入及擦除功能均通过云环境下密码设备虚拟化装置实现。该云环境下密码设备虚拟化方法,有效的保护了用户访问密钥的权限,并且所有涉及安全的运算都在硬件装置中完成,能保证其运算效率。
【技术实现步骤摘要】
本专利技术涉及信息安全加密认证技术和云计算
,特别涉及一种云环境下密码设备虚拟化方法。
技术介绍
近年来,随着云计算和虚拟技术的推广普及,涌现出很多优秀的云计算应用服务平台,其聚合了大量的物理硬件资源,并采用虚拟化技术将物理硬件设备的硬件资源进行抽象,实现异构网络计算资源的统一的分配、调度和管理,从而达到充分利用软硬件资源、提高利用率的目的。在云计算给用户带来高效优质的服务的同时,云安全认证问题成为一个热点,已经引起了广泛关注。传统安全认证解决方案,主要是通过使用密码设备完成相关的加密、解密、签名、验签等密码相关操作,来解决应用系统安全认证问题。这样,应用系统的安全性主要是依赖于密码硬件设备,存储在密码硬件设备中的密钥无法被导出,并且密码相关运算都是在设备中完成。然而,在云环境下,传统的密码设备以及应用模式无法满足现有需求,更充分有效的利用现有安全资源。在这种情况下,如何能将密码设备虚拟化,并且能保证密钥使用和管理的安全性成为亟须解决的问题。基于上述问题,本专利技术提出了一种云环境下密码设备虚拟化方法。
技术实现思路
本专利技术为了弥补现有技术的缺陷,提供了一种简单高效的云环境下密码设备虚拟化方法。本专利技术是通过如下技术方案实现的:一种云环境下密码设备虚拟化方法,其特征在于:将密码设备的密钥存储分为若干独立区域,并且通过一次性存储数字证书来完成与若干设备密钥的对应;通过数字证书认证访问者身份合法性,通过合法性验证后才能进行密钥的使用;密码设备中的数字证书以及对应的密钥只能同时擦除,无法修改;所述密钥存储区域的分割,控制信息的一次性写入及擦除功能均通过云环境下密码设备虚拟化装置实现。所述云环境下密码设备虚拟化装置由设备主控制器单元,加密芯片,主密钥存储区,密钥存储区域,一次性写入存储区,管理服务模块,IO控制模块,管理端口和应用端口组成;所述设备主控制器单元是密码设备的指挥控制中心;所述加密芯片负责完成加解密、数字签名、协议封包等相关运算;所述主密钥存储区用来存放密码设备主密钥;所述密钥存储区域分割成若干部分,用来存放密钥;所述一次性写入存储区是一段只能一次写入,不能修改的区域,用来存放用户公钥及对应密钥的访问权限列表;所述管理服务模块用来提供密钥的管理服务;所述IO控制模块负责整个终端设备的输入输出控制;所述管理端口用于用户访问管理服务;所述应用端口用于应用系统使用密钥服务。云计算环境下虚拟密码设备的创建,包括以下步骤:(1)将密码设备进行初始化,生成主密钥;(2)将密码设备的密钥存储区域分割成独立的密钥存储区域,并将各个区域进行编号;(3)为申请虚拟密码设备的用户颁发数字证书,并存储在外部硬件Key介质中;(4)获取授权使用主密钥认证,根据用户的请求,将空闲密钥区域分配并产生密钥,同时将密钥区域号和用户数字证书或公钥写入一次性存储区域;(5)用户利用数字证书通过密码设备管理端口为其对应的密钥设置访问权限,并生成凭证码;(6)应用系统通过使用凭证码来访问密钥进行密码相关操作。云计算环境下虚拟密码设备密钥的销毁,包括以下步骤:(1)用户提出密钥销毁申请;(2)验证用户数字证书合法性;(3)获取授权使用主密钥认证,擦除用户指定密钥区域,以及密钥区域号;(4)当用户删除密码设备中所有的密钥区域,则同时将用户数字证书从一次性存储区域中擦除。该云环境下密码设备虚拟化方法,相对现有技术取得的有益效果如下:(1)有效的解决了云环境下密码设备虚拟化问题。用户访问密码设备管理端口,通过数字证书进行用户身份认证,有效的控制了设备密钥的访问;(2)尽管用户密钥区域是通过硬件密码设备的主密钥来分配的,但是最终访问密钥是通过用户设置的访问凭证码,这样就保证了即使出现硬件设备主密钥泄露的情况,也不会泄露用户的密钥,防止了云服务运营者的泄密问题;()3云环境下密码设备虚拟化装置,可以分割若干密钥存储区域,解决了密钥设备虚拟化的问题;通过一次性写入存储区的访问控制列表,有效的保护了用户访问密钥的权限,并且所有涉及安全的运算都在硬件装置中完成,能保证其运算效率。附图说明附图1为本专利技术终端设备安全传输认证装置硬件结构示意图。附图2为本专利技术创建虚拟密码设备流程示意图。附图3为本专利技术销毁虚拟密码设备流程示意图。具体实施方式为了使本专利技术所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图和实施例,对本专利技术进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本实施例中,颁发的数字证书采用国产算法SM2,密码设备可以分割出64个密钥存储区域,基于此,将一次性写入存储区的用户列表数据格式定义为:64字节用来存储SM2证书公钥和8字节用来存储使用区域。8字节64个bit分别表示对应的64个密钥区域,如果该位为1表示拥有访问改密钥号的权限。需要说明的是,除了使用上面描述的数据格式之外,根据本专利技术的实施方式的构造也能够应用于其他数据协议之上。该云环境下密码设备虚拟化方法,将密码设备的密钥存储分为若干独立区域,并且通过一次性存储数字证书来完成与若干设备密钥的对应;通过数字证书认证访问者身份合法性,通过合法性验证后才能进行密钥的使用;密码设备中的数字证书以及对应的密钥只能同时擦除,无法修改;所述密钥存储区域的分割,控制信息的一次性写入及擦除功能均通过云环境下密码设备虚拟化装置实现。所述云环境下密码设备虚拟化装置由设备主控制器单元,加密芯片,主密钥存储区,密钥存储区域,一次性写入存储区,管理服务模块,IO控制模块,管理端口和应用端口组成;所述设备主控制器单元是密码设备的指挥控制中心;所述加密芯片负责完成加解密、数字签名、协议封包等相关运算;所述主密钥存储区用来存放密码设备主密钥;所述密钥存储区域分割成若干部分,用来存放密钥;所述一次性写入存储区是一段只能一次写入,不能修改的区域,用来存放用户公钥及对应密钥的访问权限列表;所述管理服务模块用来提供密钥的管理服务;所述IO控制模块负责整个终端设备的输入输出控制;所述管理端口用于用户访问管理服务;所述应用端口用于应用系统使用密钥服务。云计算环境下虚拟密码设备的创建,包括以下步骤:(1)将密码设备进行初始化,生成主密钥;例如主密钥使用SM4算法;(2)将密码设备的密钥存储区域分割成独立的密钥存储区域,并将各个区域进行编号;(3)为申请虚拟密码设备的用户颁发数字证书,并存储在外部硬件Key介质中;例如密钥对算法采用国密算法SM2,密钥强度为256位,与同等安全强度的RSA算法相比,可以加快速度、节省存储和减少传输数据大小;(4)获取授权使用主密钥认证,根据用户的请求,将空闲密钥区域分配并产生密钥,同时将密钥区域号和用户数字证书或公钥写入一次性存储区域;这里的产生的密钥算法由用户指定,可以是RSA,也可以是SM2,这里是根据前述的一次性写入存储区的格式来进行写入;(5)用户利用数字证书通过密码设备管理端口为其对应的密钥设置访问权限,并生成凭证码;这里凭证码是随机数,用于密码设备和应用系统间的通讯,用户可以通过管理端口随时更改;(6)应用系统通过使用凭证码来访问密钥进行密码相关操作。云计算环境下虚拟密码设备密钥的销毁,包括以下步骤:(1)用户提出密钥销毁申请;(2)验证用本文档来自技高网...
【技术保护点】
一种云环境下密码设备虚拟化方法,其特征在于:将密码设备的密钥存储分为若干独立区域,并且通过一次性存储数字证书来完成与若干设备密钥的对应;通过数字证书认证访问者身份合法性,通过合法性验证后才能进行密钥的使用;密码设备中的数字证书以及对应的密钥只能同时擦除,无法修改;所述密钥存储区域的分割,控制信息的一次性写入及擦除功能均通过云环境下密码设备虚拟化装置实现。
【技术特征摘要】
1.一种云环境下密码设备虚拟化方法,其特征在于:将密码设备的密钥存储分为若干独立区域,并且通过一次性存储数字证书来完成与若干设备密钥的对应;通过数字证书认证访问者身份合法性,通过合法性验证后才能进行密钥的使用;密码设备中的数字证书以及对应的密钥只能同时擦除,无法修改;所述密钥存储区域的分割,控制信息的一次性写入及擦除功能均通过云环境下密码设备虚拟化装置实现。2.根据权利要求1所述的云环境下密码设备虚拟化方法,其特征在于:所述云环境下密码设备虚拟化装置由设备主控制器单元,加密芯片,主密钥存储区,密钥存储区域,一次性写入存储区,管理服务模块,IO控制模块,管理端口和应用端口组成;所述设备主控制器单元是密码设备的指挥控制中心;所述加密芯片负责完成加解密、数字签名、协议封包等相关运算;所述主密钥存储区用来存放密码设备主密钥;所述密钥存储区域分割成若干部分,用来存放密钥;所述一次性写入存储区是一段只能一次写入,不能修改的区域,用来存放用户公钥及对应密钥的访问权限列表;所述管理服务模块用来提供密钥的管理服务;所述IO控制模块负责整个终端设备的输入输出控制;所述管...
【专利技术属性】
技术研发人员:孙善宝,于治楼,金长新,
申请(专利权)人:济南浪潮高新科技投资发展有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。