【技术实现步骤摘要】
本专利技术涉及密钥分发,特别涉及一种基于密码处理器的云平台密钥配用分发方法及系统。
技术介绍
1、现有场景下,各个云服务提供厂商都提供了基于云平台的国产服务器资源以及国产算法云密码运算服务。其中云密码运算服务能够为应用提供密码运算接口,实现密码能力使用。在当今一些应用数量较大,对密码运算服务性能需求较大的场景下,云平台存在提供多个密码运算服务的需求。在此场景下,应用系统需要调用不同密码运算服务并使用相同的密钥。因此存在将同一个密钥统一分发至每台服务器资源内,并最终分发到每台虚拟机内,提供给用户直接使用的需求。
2、目前主流云服务商提供密码能力,主要通过云服务器上提供密码运算服务接口。服务器与服务器之间无法共用内部密钥,只能通过外部密钥管理系统存储,使用时再从外部密钥管理系统获取密钥调用,无法使用统一的内部密钥进行业务运算。
技术实现思路
1、现有技术场景中,主要通过云服务器提供密码运算服务接口,服务器与服务器之间无法共用内部密钥,无法使用统一的内部密钥进行业务运算。
2、针对上述问题,提出一种基于密码处理器的云平台密钥配用分发方法及系统,通过在云平台和服务器设备上配置密码处理器,增强了密码运算性能,保证密钥能够安全高效的分发到服务器设备上;构建了基于云平台-服务器设备,服务器设备-虚拟机的两段式密钥分发流程,减少了云平台一次性分发的数量,控制在一次性最多分发实体服务器设备的数量;虚拟机的分发则交由服务器设备宿主机分发,减少了分发过程中数据丢失以及遗漏带来的影
3、第一方面,一种基于密码处理器的云平台密钥配用分发方法,包括:
4、步骤100、分别对云平台、服务器群进行初始化,其中,所述云平台与所述服务器群通信连接,所述云平台包括云平台管理模块及第一密码处理器,所述服务器群包括多个服务器设备,所述服务器设备包括高速缓存及第二密码处理器;
5、步骤200、所述云平台管理模块与所述服务器设备采用sm2算法进行身份认证,认证成功后,对要分发的密钥进行加密,所述云平台管理模块将密钥密文发送给每台所述服务器设备,所述服务器设备对所述密钥密文进行解密后进行本地存储;
6、步骤300、所述云平台管理模块将虚拟机的密钥配用配置信息发送给服务器设备,所述服务器设备再将所述密钥配用配置信息推送给自身上的虚拟机。
7、结合本专利技术第一方面所述的基于密码处理器的云平台密钥配用分发方法,第一种可能的实施方式中,所述步骤100包括:
8、步骤110、所述云平台管理模块利用所述第一密码处理器生成国密签名密钥以及加密密钥,并将签发证书进行导入;
9、步骤120、所述服务器设备利用第二密码处理器生成国密设备密钥、签名证书以及加密证书;
10、步骤130、将所述服务器设备信息录入所述云平台管理模块,所述云平台管理模块根据所述服务器设备信息将签发证书发送给所述服务器设备。
11、结合本专利技术第一方面第一种可能的实施方式,第二种可能的实施方式中,所述步骤200包括:
12、步骤210、所述云平台管理模块与服务器设备协商,对要分发的密钥进行加密和解密。
13、结合本专利技术第一方面第二种可能的实施方式,第三种可能的实施方式中,所述步骤210包括:
14、步骤211、所述云平台管理模块与所述服务器设备在身份认证成功后基于双方各自发送的随机数协商出保护密钥;
15、步骤212、所述服务器设备收到所述密钥密文后分别使用与云平台协商出的保护密钥进行解密。
16、结合本专利技术第一方面第一种可能的实施方式,第四种可能的实施方式中,所述步骤200还包括:
17、步骤220、所述云平台管理模块选择任一所述服务器设备作为主服务器设备进行身份认证,身份认证成功后,利用所述主服务器设备对要分发的密钥进行加密;
18、步骤230、每台所述服务器设备采用加密私钥对收到的加密密文进行解密。
19、结合本专利技术第一方面第四种可能的实施方式,第五种可能的实施方式中,所述步骤220包括:
20、步骤221、所述主服务器设备内部生成签名私钥、加密私钥以及证书申请文件;
21、步骤222、所述云平台管理模块将要分发密钥的设备加密证书发送给所述主服务器设备;
22、步骤223、所述主服务器设备将签名私钥以及加密私钥通过加密证书进行加密,返回给云平台管理模块。
23、结合本专利技术第一方面第二种或者第四种可能的实施方式,第六种可能的实施方式中,所述步骤300包括:
24、步骤310、所述虚拟机通过所述第二密码处理器的虚拟化技术获取虚拟处理器;
25、步骤320、所述云平台管理模块将所述虚拟机的密钥配用配置信息发送所述服务器设备;
26、步骤330、所述服务器设备将所述密钥配用配置信息推送给所述虚拟机;
27、步骤340、所述虚拟机将所述配用配置信息进行本地内部存储。
28、结合本专利技术第一方面第六种可能的实施方式,第七种可能的实施方式中,所述方法还包括:
29、步骤400、所述虚拟机通过所述虚拟密码处理器的密码接口调用所述服务器设备的密码处理器进行密码运算;
30、步骤500、密码运算完成,通过所述虚拟密码处理器将运算结果返回给所述虚拟机的应用。
31、结合本专利技术第一方面第七种可能的实施方式,第八种可能的实施方式中,所述步骤400包括:
32、步骤410、所述虚拟机内读取本地密钥配用信息获取密钥号或者密钥标识;
33、步骤420、将所述密钥号或者密钥标识通过虚拟化技术传输到第二密码处理器的密码接口;
34、步骤430、通过所述密码接口调用所述第二密码处理器进行运算。
35、第二方面,一种基于密码处理器的云平台密钥配用分发系统,采用第一方面所述的方法,包括:
36、云平台;
37、服务器群;
38、所述云平台与所述服务器群通信连接;
39、所述云平台包括云平台管理模块、第一密码处理器,所述服务器群包括多个相互通信连接的服务器设备,所述服务器设备包括第二密码处理器;
40、所述云平台管理模块与所述服务器设备采用sm2算法进行身份认证,认证成功后,对要分发的密钥进行加密,所述云平台管理模块将密钥密文发送给每台所述服务器设备,所述服务器设备对所述密钥密文进行解密后进行本地存储;
41、所述云平台管理模块还用于将虚拟机的密钥配用配置信息发送给所述服务器设备,所述服务器设备再推送给自身上的虚拟机。
42、实施本专利技术所述的基于密码处本文档来自技高网...
【技术保护点】
1.一种基于密码处理器的云平台密钥配用分发方法,特征在于,包括:
2.根据权利要求1所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤100包括:
3.根据权利要求1所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤200包括:
4.根据权利要求3所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤210包括:
5.根据权利要求2所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤200还包括:
6.根据权利要求5所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤220包括:
7.根据权利要求3或5所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤300包括:
8.根据权利要求7所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述方法还包括:
9.根据权利要求8所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤400包括:
10.一种基于密码处理器的云平台密
...【技术特征摘要】
1.一种基于密码处理器的云平台密钥配用分发方法,特征在于,包括:
2.根据权利要求1所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤100包括:
3.根据权利要求1所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤200包括:
4.根据权利要求3所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤210包括:
5.根据权利要求2所述的基于密码处理器的云平台密钥配用分发方法,其特征在于,所述步骤200还包括:
6.根据权利...
【专利技术属性】
技术研发人员:顾达晟,张名扬,苏年乐,李大为,
申请(专利权)人:鼎链数字科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。