一种基于身份的封闭式密钥管理方法及系统技术方案
【技术实现步骤摘要】
一种基于身份的封闭式密钥管理方法及系统
本专利技术属于信息安全领域,具体涉及一种基于身份的封闭式密钥管理方法及系统。
技术介绍
近年来,随着云计算的快速发展与广泛应用,云计算服务的数据安全问题成为云计算应用与推广的巨大障碍,引起广泛的关注。云计算架构以多租户、分布式及共享资源为特点,使得云计算服务上的数据安全问题的解决成为难点。传统密钥管理系统以及数据加密方法,通过硬件加密机实现,用户直接负责密钥管理系统及用户IC密钥卡的管理,密钥管理与用户管理分离,成本高,可扩展性差,部署不够灵活,管理和使用繁琐,难以有效防范云管理员恶意窃取用户数据的行为,已经不能适应云计算系统架构下的多租户的用户私有数据安全的需求。如何在云计算多租户、分布式的环境下实现便捷、安全、可扩展的自动化密钥管理,已成为了本领域技术人员亟待解决的技术问题和研究的重点。此为现有技术的不足,因此,针对现有技术中的上述缺陷,提供一种基于身份的封闭式密钥管理方法及系统,是非常有必要的。
技术实现思路
本专利技术的目的在于,针对上述现有的密钥管理方法可扩展性差、使用繁琐缺陷,提供一种基于身份的封闭式密钥管理方法及系...
【技术保护点】
一种基于身份的封闭式密钥管理方法,其特征在于,包括如下步骤:步骤1.用户登录时向身份认证服务器提交身份认证请求,身份认证通过后,返回用户令牌;步骤2.当用户需要加解密服务时,向加解密服务模块提交令牌及用户数据;步骤3.加解密服务模块向密钥管理服务器提交用户令牌,并请求用户数据密钥;步骤4.密钥管理服务器向身份认证服务器请求验证令牌的有效性,验证通过后,密钥管理服务器通过用户ID查找用户数据密钥密文;步骤5.密钥管理服务器解密出用户数据密钥明文,并返回给加解密服务模块;步骤6.加解密服务模块通过用户数据密钥,对用户数据进行加解密操作,并返回结果。
【技术特征摘要】
1.一种基于身份的封闭式密钥管理方法,其特征在于,包括如下步骤:步骤1.用户登录时向身份认证服务器提交身份认证请求,身份认证通过后,返回用户令牌;步骤2.当用户需要加解密服务时,向加解密服务模块提交令牌及用户数据;步骤3.加解密服务模块向密钥管理服务器提交用户令牌,并请求用户数据密钥;步骤4.密钥管理服务器向身份认证服务器请求验证令牌的有效性,验证通过后,密钥管理服务器通过用户ID查找用户数据密钥密文;步骤5.密钥管理服务器解密出用户数据密钥明文,并返回给加解密服务模块;步骤6.加解密服务模块通过用户数据密钥,对用户数据进行加解密操作,并返回结果。2.如权利要求1所述的一种基于身份的封闭式密钥管理方法,其特征在于,整个密钥管理的网络通信过程,全程采用SSL/TLS协议会话进行加密通信。3.如权利要求1或2所述的一种基于身份的封闭式密钥管理方法,其特征在于,首次注册用户时,身份认证服务器自动生成用户ID,用户上传用户主密钥到密钥管理服务器中与用户ID绑定;或者,密钥管理服务器调用硬件安全模块采用根密钥加密自动生成用户主密钥,保存在密钥管理服务器中,并绑定用户ID。4.如权利要求1所述的一种基于身份的封闭式密钥管理方法,其特征在于,步骤4中,密钥管理服务器判断是否存在用户ID对应的用户数据密钥密文:如果是,则继续执行步骤5;如果否,则通过用户主密钥自动生成用户数据密钥,并加密保存,再继续执行步骤5。5.如权利要求1所述的一种基于身份的封闭式密钥管理方法,其特征在于,步骤5中,密钥管理服务器通过用户ID查找到用户数据密钥密文后,首先通过硬件安全模块解密出用户主密钥明文,再用用户主密钥解密出用户数据密钥明文。6.一种基于身份的封闭式密钥管理系统,其特征在于,包括身份认证服务器(1)、密钥管理服务器(2)、硬件安全模块(3)和加解密服务模块(4);身份认证服务器(1),用于用户身份认证,发放用户令牌,验证用户令牌的有效性;密钥管理服务器(2),用于用户主密钥和用户数据密钥的密钥生命周期管理,密钥生命周期管理包括密钥的生成、存储及分...
【专利技术属性】
技术研发人员:陈煜文,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。