信息安全保护的方法以及计算设备技术

本申请提供了一种信息安全保护的方法以及计算设备，该计算设备上连接有硬件装置，该方法包括：计算设备向统一身份认证IAM发送计算设备上的第一信息以及硬件装置的身份信息；计算设备接收IAM发送的IAM的公钥以及第一数字签名结果，该第一数字签名结果为IAM基于IAM的私钥对第一信息和硬件装置的身份信息进行数字签名的结果。本申请的技术方案可以防止所述计算设备上的信息被篡改。述计算设备上的信息被篡改。述计算设备上的信息被篡改。

【技术实现步骤摘要】
信息安全保护的方法以及计算设备


[0001]本申请涉及信息技术安全
，更具体地，涉及一种信息安全保护的方法以及计算设备。

技术介绍

[0002]现有的云上租户的身份认证保护，云上通常使用的是统一身份认证(identity and access management，IAM)。IAM管理系统是诸多云服务基础设施提供厂商提供权限管理的基础服务，可以帮助租户安全地控制租户购买的云服务和资源的访问权限。
[0003]但是，IAM无法实现对云服务基础设施，例如计算设备进行强身份信息保护。也就是说，计算设备上的身份信息容易被别人容易篡改、替换，或者云服务基础设施提供的运维人员可以有意无意的更改计算设备的身份信息。
[0004]因此，如何防止所述计算设备上的身份信息被篡改成为亟需要解决的问题。

技术实现思路

[0005]本申请提供一种信息安全保护的方法以及计算设备，可以防止所述计算设备上的信息被篡改。
[0006]第一方面，提供了一种信息安全保护的方法，包括：计算设备向统一身份认证IAM发送计算设备上的第一信息以及硬件装置的身份信息；计算设备接收IAM发送的IAM的公钥以及第一数字签名结果，该第一数字签名结果为IAM基于IAM的私钥对第一信息和硬件装置的身份信息进行数字签名的结果。
[0007]上述技术方案中，硬件装置在出厂前会生成硬件装置的身份信息并烧入所述硬件装置，因此，硬件装置的身份信息是固定不变的。这样，通过IAM的私钥对计算设备的第一信息以及硬件装置的身份信息进行数字签名，硬件装置的身份信息固定不变，计算设备的第一信息也会固定不变，从而防止该计算设备出厂后被攻击者篡改、替换，或者被云服务基础设施提供的运维人员更改，从而实现了计算设备上信息的安全保护。
[0008]在一种可能的实现方式中，所述方法还包括：所述计算设备接收所述硬件装置发送的所述硬件装置的身份信息。
[0009]在另一种可能的实现方式中，所述方法还包括：所述计算设备向所述硬件装置发送所述IAM的公钥以及所述第一数字签名结果。
[0010]在另一种可能的实现方式中，所述硬件装置为基板管理控制器BMC，所述硬件装置的身份信息为所述BMC的标识ID。
[0011]在另一种可能的实现方式中，所述第一信息包括如下的任一种或多种组合：所述计算设备的名称、所述计算设备的互联网协议IP地址、所述计算设备上运行的软件ID。
[0012]在另一种可能的实现方式中，所述方法还包括：所述计算设备和所述硬件装置协商通信密钥，所述通信密钥用于对所述计算设备和所述硬件装置之间传输的数据进行加密。
[0013]上述技术方案中，计算设备和所述硬件装置之间可以通过协商的通信密钥对传输的数据进行加密，从而进一步的实现计算设备和所述硬件装置之间信息传递的安全性。
[0014]在另一种可能的实现方式中，所述计算设备接收所述硬件装置发送的第一密钥生成信息，所述第一密钥生成信息是所述硬件装置根据第一随机数确定的；所述计算设备根据所述第一密钥生成信息以及第二密钥生成信息确定出第一密钥，其中，所述第二密钥生成信息是所述计算设备根据第二随机数确定的，所述第一密钥用于所述计算设备对向所述硬件装置发送的数据进行加密。
[0015]在另一种可能的实现方式中，所述方法还包括：所述计算设备向所述硬件装置发送所述第二密钥生成信息，以便于所述硬件装置根据所述第一密钥生成信息以及所述第二密钥生成信息生成第二密钥，所述第二密钥用于所述硬件装置对向所述计算设备发送的数据进行加密。
[0016]在另一种可能的实现方式中，所述方法还包括：所述计算设备基于所述通信密钥对数据和身份密钥进行加密；所述计算设备向所述硬件装置发送加密后的数据和身份密钥；所述计算设备接收所述硬件装置发送的第二数字签名结果，所述第二数字签名结果为所述硬件装置基于所述身份密钥对所述数据进行数字签名的结果。
[0017]第二方面，提供了一种计算设备，所述计算设备上连接有硬件装置，所述计算设备包括：
[0018]发送模块，用于向统一身份认证IAM发送所述计算设备上的第一信息以及所述硬件装置的身份信息；
[0019]接收模块，用于接收所述IAM发送的所述IAM的公钥以及第一数字签名结果，所述第一数字签名结果为所述IAM基于所述IAM的私钥对所述第一信息和所述硬件装置的身份信息进行数字签名的结果。
[0020]在一种可能的实现方式中，所述接收模块还用于：接收所述硬件装置发送的所述硬件装置的身份信息。
[0021]在另一种可能的实现方式中，所述发送模块还用于：向所述硬件装置发送所述IAM的公钥以及所述第一数字签名结果。
[0022]在另一种可能的实现方式中，所述硬件装置为基板管理控制器BMC，所述硬件装置的身份信息为所述BMC的标识ID。
[0023]在另一种可能的实现方式中，所述第一信息包括如下的任一种或多种组合：所述计算设备的名称、所述计算设备的互联网协议IP地址、所述计算设备上运行的软件ID。
[0024]在另一种可能的实现方式中，所述计算设备还包括：
[0025]处理模块，用于和所述硬件装置协商通信密钥，所述通信密钥用于对所述计算设备和所述硬件装置之间传输的数据进行加密。
[0026]在另一种可能的实现方式中，所述接收模块还用于：接收所述硬件装置发送的第一密钥生成信息，所述第一密钥生成信息是所述硬件装置根据第一随机数确定的；
[0027]所述处理模块具体用于：根据所述第一密钥生成信息以及第二密钥生成信息确定出第一密钥，其中，所述第二密钥生成信息是所述计算设备根据第二随机数确定的，所述第一密钥用于所述计算设备对向所述硬件装置发送的数据进行加密。
[0028]在另一种可能的实现方式中，所述发送模块还用于：向所述硬件装置发送所述第
二密钥生成信息，以便于所述硬件装置根据所述第一密钥生成信息以及所述第二密钥生成信息生成第二密钥，所述第二密钥用于所述硬件装置对向所述计算设备发送的数据进行加密。
[0029]在另一种可能的实现方式中，所述处理模块还用于：基于所述通信密钥对数据和身份密钥进行加密；
[0030]所述发送模块还用于：向所述硬件装置发送加密后的数据和身份密钥；
[0031]所述接收模块还用于：接收所述硬件装置发送的第二数字签名结果，所述第二数字签名结果为所述硬件装置基于所述身份密钥对所述数据进行数字签名的结果。
[0032]在上述第一方面中对相关内容的扩展、限定、解释、说明和效果也适用于第二方面中相同的内容。
[0033]第三方面，提供了一种计算设备，包括：处理器和存储器，所述处理器运行所述存储器中的指令，使得所述计算设备执行如上述第一方面或第一方面的任意一种可能的实现方式中所执行的方法步骤。
[0034]第四方面，提供了一种计算机可读存储介质，包括指令；所述指令用于实现如第一方面或第一方面的任意一种可能的实现方式中所执行的方法本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种信息安全保护的方法，其特征在于，计算设备上连接有硬件装置，所述方法包括：所述计算设备向统一身份认证IAM发送所述计算设备上的第一信息以及所述硬件装置的身份信息；所述计算设备接收所述IAM发送的所述IAM的公钥以及第一数字签名结果，所述第一数字签名结果为所述IAM基于所述IAM的私钥对所述第一信息和所述硬件装置的身份信息进行数字签名的结果。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述计算设备接收所述硬件装置发送的所述硬件装置的身份信息。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：所述计算设备向所述硬件装置发送所述IAM的公钥以及所述第一数字签名结果。4.根据权利要求1至3中任一项所述的方法，其特征在于，所述硬件装置为基板管理控制器BMC，所述硬件装置的身份信息为所述BMC的标识ID。5.根据权利要求1至4中任一项所述的方法，其特征在于，所述第一信息包括如下的任一种或多种组合：所述计算设备的名称、所述计算设备的互联网协议IP地址、所述计算设备上运行的软件ID。6.根据权利要求1至5中任一项所述的方法，其特征在于，所述方法还包括：所述计算设备和所述硬件装置协商通信密钥，所述通信密钥用于对所述计算设备和所述硬件装置之间传输的数据进行加密。7.根据权利要求6所述的方法，其特征在于，所述计算设备和所述硬件装置协商通信密钥，包括：所述计算设备接收所述硬件装置发送的第一密钥生成信息，所述第一密钥生成信息是所述硬件装置根据第一随机数确定的；所述计算设备根据所述第一密钥生成信息以及第二密钥生成信息确定出第一密钥，其中，所述第二密钥生成信息是所述计算设备根据第二随机数确定的，所述第一密钥用于所述计算设备对向所述硬件装置发送的数据进行加密。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：所述计算设备向所述硬件装置发送所述第二密钥生成信息，以便于所述硬件装置根据所述第一密钥生成信息以及所述第二密钥生成信息生成第二密钥，所述第二密钥用于所述硬件装置对向所述计算设备发送的数据进行加密。9.根据权利要求6至8中任一项所述的方法，其特征在于，所述方法还包括：所述计算设备基于所述通信密钥对数据和身份密钥进行加密；所述计算设备向所述硬件装置发送加密后的数据和身份密钥；所述计算设备接收所述硬件装置发送的第二数字签名结果，所述第二数字签名结果为所述硬件装置基于所述身份密钥对所述数据进行数字签名的结果。10.一种计算设备，其特征在于，所述计算设备上连接有硬件装置，所述计算设备包括：发送模块，用于向统一身份认证IAM发送所述计算设备上的第一信息以及所述硬件装...

【专利技术属性】
技术研发人员：胡荣，胡红山，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：