【技术实现步骤摘要】
支持通用/可信双计算体系的软硬协同多层次密码服务方法及系统
本专利技术涉及计算机操作系统领域的密码服务框架技术,具体涉及一种支持通用/可信双计算体系的软硬协同多层次密码服务方法及系统。
技术介绍
密码技术广泛应用于各类信息系统,对信息安全至关重要。许多安全应用直接集成密码算法,通用操作系统环境也可选提供多种密码算法库,还有许多硬件产商推出了繁杂多样的密码硬件加速设备,跨越PCI卡级、芯片组级、CPU级以及集成密码处理的设备。这种各自为政的局面不便于安全应用开发,也增加了安全隐患和安全运维的工作量。为此,在操作系统层面提供密码服务框架成为共识,力图统一各类密码处理资源,包括软件算法和硬件密码加速设备。密码服务框架是应用和密码服务之间的桥梁,它向上为用户提供统一的密码服务调用接口,向下则为密码服务供应商提供统一的密码算法开发接口。然而现有的密码服务框架的各个层次通常位于同一个特权级,甚至与应用位于同一空间,虽然便于应用开发,但由于对密码资源缺乏保护,容易被攻击者获取密码资源或者绕开密码服务框架,无法满足安...
【技术保护点】
1.一种支持通用/可信双计算体系的软硬协同多层次密码服务方法,其特征在于实施步骤包括:/n1)获取调用密码服务框架服务的请求中包含请求密码服务的层级和类型,根据请求密码服务的层级和类型初始化密码服务框架的实例;/n2)建立密码服务路由,调用密码服务路由模块获取具体提供所需密码服务的密码资源的位置,并建立访问相应密码资源的通信路径;/n3)建立密码服务会话,把密码资源相关的信息作为参数,然后调用会话函数打开会话;/n4)执行密码操作,进行相应的密码服务操作;当密码服务完成后,执行下一步;/n5)关闭密码服务会话,释放所使用的密码资源;/n6)关闭密码服务框架。/n
【技术特征摘要】
1.一种支持通用/可信双计算体系的软硬协同多层次密码服务方法,其特征在于实施步骤包括:
1)获取调用密码服务框架服务的请求中包含请求密码服务的层级和类型,根据请求密码服务的层级和类型初始化密码服务框架的实例;
2)建立密码服务路由,调用密码服务路由模块获取具体提供所需密码服务的密码资源的位置,并建立访问相应密码资源的通信路径;
3)建立密码服务会话,把密码资源相关的信息作为参数,然后调用会话函数打开会话;
4)执行密码操作,进行相应的密码服务操作;当密码服务完成后,执行下一步;
5)关闭密码服务会话,释放所使用的密码资源;
6)关闭密码服务框架。
2.根据权利要求1所述的支持通用/可信双计算体系的软硬协同多层次密码服务方法,其特征在于,所述密码服务框架按访问所需的特权等级从高到低划分为内生可信密码服务、可信执行环境应用层密码服务、通用操作系统内核密码服务和通用操作系统应用层密码服务共四个层级,且在每个层级内都设计了完整的密码服务功能组件,该密码服务功能组件包括密码资源、密码服务API和密码服务路由模块,所述密码资源包括加解密服务、证书服务、数据存储服务和扩展服务,其中内生可信密码服务位于内核层的可信计算域中,可信执行环境应用层密码服务位于应用层的可信计算域中,通用操作系统内核密码服务位于内核层的通用计算域中,通用操作系统应用层密码服务位于应用层的通用计算域中。
3.根据权利要求2所述的支持通用/可信双计算体系的软硬协同多层次密码服务方法,其特征在于,所述内生可信密码服务、可信执行环境应用层密码服务、通用操作系统内核密码服务和通用操作系统应用层密码服务均包含密码服务功能模块,该密码服务功能模块位于各层级的密码服务框架内,其核心功能模块组成包括会话管理、密码服务路由和密码资源目录管理;会话管理负责在应用程序和提供密码服务的密码资源之间建立一个逻辑连接,从而提供上下文服务以及保障线程安全;密...
【专利技术属性】
技术研发人员:黄辰林,丁滟,谭郁松,余杰,粟长征,谭霜,蹇松雷,廖湘科,王晓川,陈科文,魏旭鹏,陈金孛,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。