一种基于代理机制的密码设备安全虚拟化方法及系统技术方案

本发明专利技术公开了一种基于代理机制的密码设备安全虚拟化方法及系统，实现基于代理签名机制的密码算法接口后；密码设备与虚拟机之间通过上述密码算法接口签订代理协议，将密码设备的密码服务委托给多台虚拟机；当接收到用户的密码服务请求后，直接调用密码设备执行与密码服务请求对应的密码服务，或者将任务转发至授权的虚拟机，以使授权的虚拟机执行与密码服务请求对应的密码服务。本发明专利技术的方法及系统可以通过代理签名算法接口签订代理协议，将密码设备的密码服务委托给多台虚拟机，扩展服务资源，解决密码设备性能瓶颈问题。

【技术实现步骤摘要】
一种基于代理机制的密码设备安全虚拟化方法及系统
本专利技术涉及信息安全
，具体涉及一种基于代理机制的密码设备安全虚拟化方法及系统。
技术介绍
随着互联网和信息技术的飞速发展，网络通信已经成了人们日常工作生活中必不可少的一部分，人们将越来越多的信息保存在网上，利用互联网处理各种事务，在信息时代如何保障人们的信息安全，是一个任重道远的难题。密码技术是信息安全的关键技术，对于确保数据安全性具有特别重要和特别有效的作用。为了保证数据传输过程的机密性、完整性、可认证性以及不可否认性，通信双方往往会对通信数据进行加密和生成数字签名。随着数据时代的到来，业务网络变得越来越庞大及错综复杂，在通信过程中的加密解密、签名验签运算需求变得越来越大，私钥使用量越来越大，如何解决密码运算功能提供方的性能瓶颈，亦是一个问题。密码设备作为当前市场上提供密钥管理和密码服务的主要产品，其重要地位不言而喻。尽管云密码设备已经被提出并且发展迅速，但在大多行业领域应用中，仍然使用的是实体密码设备。一方面，人们仍然对云密码设备的安全保障有所疑虑，另一方面，由于升级本文档来自技高网...

【技术保护点】
1.一种基于代理机制的密码设备安全虚拟化方法，其特征在于，包括：/n实现基于代理签名机制的密码算法接口；/n密码设备与虚拟机之间通过上述密码算法接口签订代理协议，将密码设备的密码服务委托给多台虚拟机；/n当接收到用户的密码服务请求后，直接调用密码设备执行与密码服务请求对应的密码服务，或者将任务转发至授权的虚拟机，以使授权的虚拟机执行与密码服务请求对应的密码服务。/n

【技术特征摘要】
1.一种基于代理机制的密码设备安全虚拟化方法，其特征在于，包括：
实现基于代理签名机制的密码算法接口；
密码设备与虚拟机之间通过上述密码算法接口签订代理协议，将密码设备的密码服务委托给多台虚拟机；
当接收到用户的密码服务请求后，直接调用密码设备执行与密码服务请求对应的密码服务，或者将任务转发至授权的虚拟机，以使授权的虚拟机执行与密码服务请求对应的密码服务。


2.如权利要求1所述的密码设备安全虚拟化方法，其特征在于，基于代理签名机制的密码算法包括带代理授权信息的代理签名算法和不带代理授权信息的代理签名算法。


3.如权利要求2所述的密码设备安全虚拟化方法，其特征在于，带代理授权信息的代理签名算法包括如下步骤：
系统参数准备；其中，原签名者身份信息为IDA，具有密钥对：PA＝[dA]G，代理签名者的身份信息为IDB、代理有效期限TimeAB、代理的密钥的编号NUM(8位)、组合成代理签名者的代理授权信息w＝IDA||IDB||TimeAB||NUM；
代理授权；原签名者获取随机数计算椭圆曲线上的点GA＝[kA]G＝(xA,yA)，其中xA，yA分别为GA的x坐标，y坐标，代理授权信息散列值e＝Hash(w)modn，代理私钥dP＝kA·xA+e·dAmodn，将代理秘密信息(w,GA,dP)通过安全信道发送给代理签名者；
代理密钥验证；代理签名者计算代理授权信息散列值e＝Hash(w)modn，验证：代理公钥Pp＝[xA]GA+[e]PA是否成立，成立则(w,GA,dP)是一组有效代理密钥，dP和Pp是一组编号为NUM的原密钥的有效代理密钥；
代理签名生成；利用代理私钥dP，采用公钥密码算法数字签名的生成算法生成代理签名；
代理签名验证；利用代理公钥Pp，采用公钥密码算法数字签名的验证算法验证代理签名。


4.如权利要求2所述的密码设备安全虚拟化方法，其特征在于，不带代理授权信息的代理签名算法包括如下步骤：
系统参数准备；原签名者具有密钥对：PA＝[dA]G，PA为公钥，dA为私钥，G为生成元；
代理授权；原签名者计算：生成随机数计算椭圆曲线上的点GA＝[kA]G＝(xA,yA)，代理私钥dP＝kA·xA+dAmodn，将代理秘密信息(GA,dP)通过安全信道发送给代理签名者；
代理密钥验证；代理签名者验证代理公钥Pp＝[xA]GA+PA是否成立，等式成立则(GA,dP)是一组有效代理密钥；
代理签名生成：利用代理私钥dP，采用公钥密码算法数字签名的生成算法生成代理签名；
代理签名验证：利用代理公钥Pp，采用公钥密码算法数字签名的验证算法验证代理签名。


5.如权利要求1所述的密码设备安全虚拟化方法，其特征在于，在密码设备与虚拟机之间通过上述密码算法接口签订代理协议之前，所述方法还包括：
虚拟机向密码设备服务中心发送注册请求，其中，注册请求中包括虚拟机的身份信息；
密码设备服务中心基于注册请求中的虚拟机身份信息对虚拟机进行身份审核，如果审核通过则登记虚拟的身份信息，注册成功，如果审核不通过，则返回错误信息，当审核通过后码设备与虚拟机之间通过上述密码算法接口签订代理协议，其中代理协议包括代理期限、代理范围。


6.如权利要求1所述的密码设备安全虚拟化方法，其特征在于，密码设备与虚拟机之间通过上述密码算法接口签...

【专利技术属性】
技术研发人员：涂翠，王茜艳，
申请(专利权)人：武汉珈港科技有限公司，
类型：发明
国别省市：湖北;42