本发明专利技术公开了一种云计算密钥的加密和解密方法及装置,网络侧使用生命周期较长的密钥对生命周期较短的密钥消息进行加密后传给用户侧,用户侧接收到密钥消息后,根据所述生命周期较长的密钥对该密钥消息进行解密以获得相应密钥。采用本发明专利技术所述的方法及装置,可以为IaaS、PaaS和SaaS三个不同层次的云计算服务提供高效、安全的密钥分发,节约系统消耗、降低服务响应时延,保证了用户数据在不同层次的安全性,使得密钥生命周期管理更加方便。
【技术实现步骤摘要】
本专利技术涉及云计算密钥管理领域,特别是一种云计算密钥的加密和解密方法及装置。
技术介绍
2009年被业界称为“云计算”元年,云计算正在备受人们关注,无论是互联网厂商、 运营商,还是通信厂商、基础网络运营商都对云计算表现出极大的热情。狭义云计算是指IT 基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源;广义云计算是指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务,这种服务可以是IT和软件、互联网相关的,也可以是任意其他的服务,它具有超大规模、虚拟化、 可靠安全等独特功效。对于网络运营商而言,可以使得运营成本和操作维护成本大大下降, 达到节能减排的目的。在云计算环境下,一切资源都是可以运营的,都可以作为服务提供, 包括应用程序、软件、平台、处理能力、存储、网络、计算资源以及其他基础设施等;云计算使得用户随时随地消费服务成为可能,用户不需要大量投资而获得运营业务所需的IT资源, 完全可以根据自己的需求来租用,使IT资源在用户眼中如同水、电和煤气一样,按需获取和计费。云计算一般有三种主要的服务模式,分别是软件即服务(SaaS,Softwareas a Service)、平台即服务(PaaS,Platform as a Service)、基础设施即服务(IaaS, Infrastructure as a Service)。从不同服务模式所处的层次而言,SaaS指的是云计算服务提供商即网络侧把应用程序作为一种服务提供给用户,用户可以通过客户端接口如web 浏览器,随时随地使用这些应用程序,而不需要在本地主机进行安装,该层次面对的是不同的应用程序,对用户而言可以提供最为丰富的业务特性,访问频率高,但是扩展性最差,业务的生命周期也较短,因此对安全的需求也是最弱的,往往需要较为频繁的密钥更新。I^aaS指的是云计算服务提供商向用户提供开发应用程序的语言或工具平台,如面向对象、直译式计算机程序设计语言jaVa、Python,以及.Net等,也就是说云计算服务提供商以提供平台服务为自己的主业,用户可以基于I^aaS开发自己的应用程序。I^aaS处于中间层,对用户而言可以提供较为丰富的业务特性,业务特征没有^aS层那么丰富,扩展性较 SaaS优秀,业务的生命周期也较长,因此密钥更新频率较^aS要低。IaaS指的是云服务提供商可以把自己的基础设施作为服务提供给用户,用户根据需要租用处理能力、存储、网络以及其他计算资源等,按需付费,这种服务可以大大减少用户在基础设施上的重复投资和浪费,IaaS作为云计算的基础设施层,对用户而言可以提供的业务特性最不丰富,但是扩展性最好,业务的生命周期也最长,因此对安全的需求最为强烈,密钥更新频率最低。云计算的最终目的是使得一切资源可以运营,并要用户可以有信心把有价值的数据托管于云计算服务提供商,因此在云计算场景下,用户最为关注的是云计算提供商是否能够保证数据的安全;而对数据而言,安全的本质在于健壮的加密算法和可信的密钥管理机制。密钥管理包括密钥的生命周期管理和密钥的分发,传统的密钥管理对于每个层次都是等同的,比如在使用某个层次的云计算服务时,在每个层次上都需要使用一套密钥协商机制,在用户侧与云计算服务提供商之间协商出共享的会话密钥,用于保证该层次服务的安全。但这种做法的缺点是耗费系统资源,同时会大大增加服务响应时延,导致用户体验变差,对于大规模用户而言,就会给云计算服务提供商的密钥管理造成非常大的压力。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种云计算密钥的加密和解密方法及装置,以节约系统消耗、降低服务响应时延,保证密钥分发的安全性。为达到上述目的,本专利技术的技术方案是这样实现的本专利技术提供了一种云计算密钥的加密和解密方法,该方法包括网络侧使用生命周期较长的密钥对生命周期较短的密钥消息进行加密后传给用户侧,用户侧接收到所述密钥消息后,使用所述生命周期较长的密钥对所述密钥消息进行解密以获得相应密钥;所述生命周期较短的密钥消息中携带生命周期较短的密钥。上述方案中,所述网络侧使用生命周期较长的密钥来加密生命周期较短的密钥消息,具体包括在基础设施即服务(IaaS)层次根据用户的订购关系生成IaaS密钥,并使用用户密钥对带有IaaS密钥的IaaS密钥消息进行加密;在平台即服务(PaaS)层次根据用户的订购关系生成I^aaS密钥,并使用IaaS密钥对带有I^aaS密钥的I^aaS密钥消息进行加密;在软件即服务(SaaS)层次根据用户的订购关系生成MaS密钥,并使用I^aaS密钥对带有MaS密钥的MaS密钥消息进行加密。上述方案中,所述用户侧使用生命周期较长的密钥对该密钥消息进行解密以获得相应密钥,具体包括在IaaS层次使用用户密钥对接收到的IaaS密钥消息进行解密以获得 IaaS密钥;在I^aaS层次使用IaaS密钥对接收到的I^aaS密钥消息进行解密以获得I^aaS密钥;在&iaS层次使用I^aaS密钥对接收到的&iaS密钥消息进行解密以获得密钥。上述方案中,所述使用生命周期较长的密钥来加密生命周期较短的密钥消息之前,该方法还包括用户侧与网络侧相互鉴权后生成共享密钥,并根据该共享密钥派生出用户密钥。本专利技术还提供了一种云计算密钥的加密和解密装置,该装置包括位于网络侧的加密单元,以及位于用户侧的解密单元,其中,加密单元用于使用生命周期较长的密钥对传给用户的生命周期较短的密钥消息进行加密;解密单元用于使用所述生命周期较长的密钥对收到的所述密钥消息进行解密以获得相应密钥;所述生命周期较短的密钥消息中携带生命周期较短的密钥。上述方案中,所述网络侧的加密单元包括IaaS密钥模块、PaaS密钥模块、SaaS 密钥模块其中之一,或任意的组合,分别用于使用生命周期较长的密钥对传给用户的生命周期较短的密钥消息进行加密;相应地,位于用户侧的解密单元包括IaaS密钥解密模块、 PaaS密钥解密模块、SaaS密钥解密模块对应之一,或对应的组合,分别用于使用所述生命周期较长的密钥对收到的密钥消息进行解密以获得相应密钥。上述方案中,所述网络侧的加密单元包括IaaS密钥模块、PaaS密钥模块和MaS密钥模块;其中,IaaS密钥模块,用于在IaaS层次上生成IaaS密钥,并使用用户密钥对发送给用户的IaaS密钥消息进行加密;PaaS密钥模块,用于在I^aaS层次上生成I^aaS密钥,并使用IaaS密钥对发送给用户的I^aaS密钥消息进行加密;SaaS密钥模块,用于在MaS层次上生成MaS密钥,并使用I^aaS密钥对发送给用户的^aS密钥消息进行加密;所述用户侧的解密单元相应包括IaaS密钥解密模块、PaaS密钥解密模块和MaS 密钥解密模块;其中,IaaS密钥解密模块,用于使用用户密钥对接收到的IaaS密钥消息进行解密以获得IaaS密钥;PaaS密钥解密模块,用于使用IaaS密钥对接收到的I^aaS密钥消息进行解密以获得PaaS密钥;SaaS密钥解密模块,用于使用I^aaS密钥对接收到的&iaS密钥消息进行解密以获得&iaS密钥。上述方案中,该装置还包括位于网络侧的鉴权模块,以及位于用户侧的鉴权模块;其中,网络侧的鉴权模块,用于鉴权用户身份的合法性并本文档来自技高网...
【技术保护点】
1.一种云计算密钥的加密和解密方法,其特征在于,该方法包括:网络侧使用生命周期较长的密钥对生命周期较短的密钥消息进行加密后传给用户侧,用户侧接收到所述密钥消息后,使用所述生命周期较长的密钥对所述密钥消息进行解密以获得相应密钥;所述生命周期较短的密钥消息中携带生命周期较短的密钥。
【技术特征摘要】
1.一种云计算密钥的加密和解密方法,其特征在于,该方法包括网络侧使用生命周期较长的密钥对生命周期较短的密钥消息进行加密后传给用户侧, 用户侧接收到所述密钥消息后,使用所述生命周期较长的密钥对所述密钥消息进行解密以获得相应密钥;所述生命周期较短的密钥消息中携带生命周期较短的密钥。2.根据权利要求1所述的加密和解密方法,其特征在于,所述网络侧使用生命周期较长的密钥来加密生命周期较短的密钥消息,具体包括在基础设施即服务(IaaS)层次根据用户的订购关系生成IaaS密钥,并使用用户密钥对带有IaaS密钥的IaaS密钥消息进行加密;在平台即服务(PaaS)层次根据用户的订购关系生成I^aaS密钥,并使用IaaS密钥对带有I^aaS密钥的I^aaS密钥消息进行加密;在软件即服务(SaaS)层次根据用户的订购关系生成MaS密钥,并使用I^aaS密钥对带有MaS密钥的MaS密钥消息进行加密。3.根据权利要求2所述的加密和解密方法,其特征在于,所述用户侧使用生命周期较长的密钥对该密钥消息进行解密以获得相应密钥,具体包括在IaaS层次使用用户密钥对接收到的IaaS密钥消息进行解密以获得IaaS密钥;在I^aaS层次使用IaaS密钥对接收到的I^aaS密钥消息进行解密以获得I^aaS密钥;在&iaS层次使用I^aaS密钥对接收到的&iaS密钥消息进行解密以获得&iaS密钥。4.根据权利要求1至3任一项所述的加密和解密方法,其特征在于,所述使用生命周期较长的密钥来加密生命周期较短的密钥消息之前,该方法还包括用户侧与网络侧相互鉴权后生成共享密钥,并根据该共享密钥派生出用户密钥。5.一种云计算密钥的加密和解密装置,其特征在于,该装置包括位于网络侧的加密单元,以及位于用户侧的解密单元,其中,加密单元用于使用生命周期较长的密钥对传给用户的生命周期较短的密钥消息进行加密;解密单元用于使用所述生命周期较长的密钥对收到的所述密钥消息进行解密以获得相应密钥;所述生命周期较短的密钥消息中携带生...
【专利技术属性】
技术研发人员:林兆骥,李媛,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。