本發(fā)明涉及信息安全加密認(rèn)證技術(shù)和云計(jì)算技術(shù)領(lǐng)域，特別涉及一種云環(huán)境下密碼設(shè)備虛擬化方法。

背景技術(shù)：

近年來(lái)，隨著云計(jì)算和虛擬技術(shù)的推廣普及，涌現(xiàn)出很多優(yōu)秀的云計(jì)算應(yīng)用服務(wù)平臺(tái)，其聚合了大量的物理硬件資源，并采用虛擬化技術(shù)將物理硬件設(shè)備的硬件資源進(jìn)行抽象，實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)計(jì)算資源的統(tǒng)一的分配、調(diào)度和管理，從而達(dá)到充分利用軟硬件資源、提高利用率的目的。

在云計(jì)算給用戶帶來(lái)高效優(yōu)質(zhì)的服務(wù)的同時(shí)，云安全認(rèn)證問(wèn)題成為一個(gè)熱點(diǎn)，已經(jīng)引起了廣泛關(guān)注。傳統(tǒng)安全認(rèn)證解決方案，主要是通過(guò)使用密碼設(shè)備完成相關(guān)的加密、解密、簽名、驗(yàn)簽等密碼相關(guān)操作，來(lái)解決應(yīng)用系統(tǒng)安全認(rèn)證問(wèn)題。這樣，應(yīng)用系統(tǒng)的安全性主要是依賴于密碼硬件設(shè)備，存儲(chǔ)在密碼硬件設(shè)備中的密鑰無(wú)法被導(dǎo)出，并且密碼相關(guān)運(yùn)算都是在設(shè)備中完成。

然而，在云環(huán)境下，傳統(tǒng)的密碼設(shè)備以及應(yīng)用模式無(wú)法滿足現(xiàn)有需求，更充分有效的利用現(xiàn)有安全資源。在這種情況下，如何能將密碼設(shè)備虛擬化，并且能保證密鑰使用和管理的安全性成為亟須解決的問(wèn)題。

基于上述問(wèn)題，本發(fā)明提出了一種云環(huán)境下密碼設(shè)備虛擬化方法。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明為了彌補(bǔ)現(xiàn)有技術(shù)的缺陷，提供了一種簡(jiǎn)單高效的云環(huán)境下密碼設(shè)備虛擬化方法。

本發(fā)明是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的：

一種云環(huán)境下密碼設(shè)備虛擬化方法，其特征在于：將密碼設(shè)備的密鑰存儲(chǔ)分為若干獨(dú)立區(qū)域，并且通過(guò)一次性存儲(chǔ)數(shù)字證書(shū)來(lái)完成與若干設(shè)備密鑰的對(duì)應(yīng)；通過(guò)數(shù)字證書(shū)認(rèn)證訪問(wèn)者身份合法性，通過(guò)合法性驗(yàn)證后才能進(jìn)行密鑰的使用；密碼設(shè)備中的數(shù)字證書(shū)以及對(duì)應(yīng)的密鑰只能同時(shí)擦除，無(wú)法修改；所述密鑰存儲(chǔ)區(qū)域的分割，控制信息的一次性寫入及擦除功能均通過(guò)云環(huán)境下密碼設(shè)備虛擬化裝置實(shí)現(xiàn)。

所述云環(huán)境下密碼設(shè)備虛擬化裝置由設(shè)備主控制器單元，加密芯片，主密鑰存儲(chǔ)區(qū)，密鑰存儲(chǔ)區(qū)域，一次性寫入存儲(chǔ)區(qū)，管理服務(wù)模塊，IO控制模塊，管理端口和應(yīng)用端口組成；

所述設(shè)備主控制器單元是密碼設(shè)備的指揮控制中心；所述加密芯片負(fù)責(zé)完成加解密、數(shù)字簽名、協(xié)議封包等相關(guān)運(yùn)算；所述主密鑰存儲(chǔ)區(qū)用來(lái)存放密碼設(shè)備主密鑰；所述密鑰存儲(chǔ)區(qū)域分割成若干部分，用來(lái)存放密鑰；所述一次性寫入存儲(chǔ)區(qū)是一段只能一次寫入，不能修改的區(qū)域，用來(lái)存放用戶公鑰及對(duì)應(yīng)密鑰的訪問(wèn)權(quán)限列表；所述管理服務(wù)模塊用來(lái)提供密鑰的管理服務(wù)；所述IO控制模塊負(fù)責(zé)整個(gè)終端設(shè)備的輸入輸出控制；所述管理端口用于用戶訪問(wèn)管理服務(wù)；所述應(yīng)用端口用于應(yīng)用系統(tǒng)使用密鑰服務(wù)。

云計(jì)算環(huán)境下虛擬密碼設(shè)備的創(chuàng)建，包括以下步驟：

（1）將密碼設(shè)備進(jìn)行初始化，生成主密鑰；

（2）將密碼設(shè)備的密鑰存儲(chǔ)區(qū)域分割成獨(dú)立的密鑰存儲(chǔ)區(qū)域，并將各個(gè)區(qū)域進(jìn)行編號(hào)；

（3）為申請(qǐng)?zhí)摂M密碼設(shè)備的用戶頒發(fā)數(shù)字證書(shū)，并存儲(chǔ)在外部硬件Key介質(zhì)中；

（4）獲取授權(quán)使用主密鑰認(rèn)證，根據(jù)用戶的請(qǐng)求，將空閑密鑰區(qū)域分配并產(chǎn)生密鑰，同時(shí)將密鑰區(qū)域號(hào)和用戶數(shù)字證書(shū)或公鑰寫入一次性存儲(chǔ)區(qū)域；

（5）用戶利用數(shù)字證書(shū)通過(guò)密碼設(shè)備管理端口為其對(duì)應(yīng)的密鑰設(shè)置訪問(wèn)權(quán)限，并生成憑證碼；

（6）應(yīng)用系統(tǒng)通過(guò)使用憑證碼來(lái)訪問(wèn)密鑰進(jìn)行密碼相關(guān)操作。

云計(jì)算環(huán)境下虛擬密碼設(shè)備密鑰的銷毀，包括以下步驟：

（1）用戶提出密鑰銷毀申請(qǐng)；

（2）驗(yàn)證用戶數(shù)字證書(shū)合法性；

（3）獲取授權(quán)使用主密鑰認(rèn)證，擦除用戶指定密鑰區(qū)域，以及密鑰區(qū)域號(hào)；

（4）當(dāng)用戶刪除密碼設(shè)備中所有的密鑰區(qū)域，則同時(shí)將用戶數(shù)字證書(shū)從一次性存儲(chǔ)區(qū)域中擦除。

該云環(huán)境下密碼設(shè)備虛擬化方法，相對(duì)現(xiàn)有技術(shù)取得的有益效果如下：

（1）有效的解決了云環(huán)境下密碼設(shè)備虛擬化問(wèn)題。用戶訪問(wèn)密碼設(shè)備管理端口，通過(guò)數(shù)字證書(shū)進(jìn)行用戶身份認(rèn)證，有效的控制了設(shè)備密鑰的訪問(wèn)；

（2）盡管用戶密鑰區(qū)域是通過(guò)硬件密碼設(shè)備的主密鑰來(lái)分配的，但是最終訪問(wèn)密鑰是通過(guò)用戶設(shè)置的訪問(wèn)憑證碼，這樣就保證了即使出現(xiàn)硬件設(shè)備主密鑰泄露的情況，也不會(huì)泄露用戶的密鑰，防止了云服務(wù)運(yùn)營(yíng)者的泄密問(wèn)題；

（）3云環(huán)境下密碼設(shè)備虛擬化裝置，可以分割若干密鑰存儲(chǔ)區(qū)域，解決了密鑰設(shè)備虛擬化的問(wèn)題；通過(guò)一次性寫入存儲(chǔ)區(qū)的訪問(wèn)控制列表，有效的保護(hù)了用戶訪問(wèn)密鑰的權(quán)限，并且所有涉及安全的運(yùn)算都在硬件裝置中完成，能保證其運(yùn)算效率。

附圖說(shuō)明

附圖1為本發(fā)明終端設(shè)備安全傳輸認(rèn)證裝置硬件結(jié)構(gòu)示意圖。

附圖2為本發(fā)明創(chuàng)建虛擬密碼設(shè)備流程示意圖。

附圖3為本發(fā)明銷毀虛擬密碼設(shè)備流程示意圖。

具體實(shí)施方式

為了使本發(fā)明所要解決的技術(shù)問(wèn)題、技術(shù)方案及有益效果更加清楚明白，以下結(jié)合附圖和實(shí)施例，對(duì)本發(fā)明進(jìn)行詳細(xì)的說(shuō)明。應(yīng)當(dāng)說(shuō)明的是，此處所描述的具體實(shí)施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

本實(shí)施例中，頒發(fā)的數(shù)字證書(shū)采用國(guó)產(chǎn)算法SM2，密碼設(shè)備可以分割出64個(gè)密鑰存儲(chǔ)區(qū)域，基于此，將一次性寫入存儲(chǔ)區(qū)的用戶列表數(shù)據(jù)格式定義為：64字節(jié)用來(lái)存儲(chǔ)SM2證書(shū)公鑰和8字節(jié)用來(lái)存儲(chǔ)使用區(qū)域。8字節(jié)64個(gè)bit分別表示對(duì)應(yīng)的64個(gè)密鑰區(qū)域，如果該位為1表示擁有訪問(wèn)改密鑰號(hào)的權(quán)限。

需要說(shuō)明的是，除了使用上面描述的數(shù)據(jù)格式之外，根據(jù)本發(fā)明的實(shí)施方式的構(gòu)造也能夠應(yīng)用于其他數(shù)據(jù)協(xié)議之上。

該云環(huán)境下密碼設(shè)備虛擬化方法，將密碼設(shè)備的密鑰存儲(chǔ)分為若干獨(dú)立區(qū)域，并且通過(guò)一次性存儲(chǔ)數(shù)字證書(shū)來(lái)完成與若干設(shè)備密鑰的對(duì)應(yīng)；通過(guò)數(shù)字證書(shū)認(rèn)證訪問(wèn)者身份合法性，通過(guò)合法性驗(yàn)證后才能進(jìn)行密鑰的使用；密碼設(shè)備中的數(shù)字證書(shū)以及對(duì)應(yīng)的密鑰只能同時(shí)擦除，無(wú)法修改；所述密鑰存儲(chǔ)區(qū)域的分割，控制信息的一次性寫入及擦除功能均通過(guò)云環(huán)境下密碼設(shè)備虛擬化裝置實(shí)現(xiàn)。

所述云環(huán)境下密碼設(shè)備虛擬化裝置由設(shè)備主控制器單元，加密芯片，主密鑰存儲(chǔ)區(qū)，密鑰存儲(chǔ)區(qū)域，一次性寫入存儲(chǔ)區(qū)，管理服務(wù)模塊，IO控制模塊，管理端口和應(yīng)用端口組成；

所述設(shè)備主控制器單元是密碼設(shè)備的指揮控制中心；所述加密芯片負(fù)責(zé)完成加解密、數(shù)字簽名、協(xié)議封包等相關(guān)運(yùn)算；所述主密鑰存儲(chǔ)區(qū)用來(lái)存放密碼設(shè)備主密鑰；所述密鑰存儲(chǔ)區(qū)域分割成若干部分，用來(lái)存放密鑰；所述一次性寫入存儲(chǔ)區(qū)是一段只能一次寫入，不能修改的區(qū)域，用來(lái)存放用戶公鑰及對(duì)應(yīng)密鑰的訪問(wèn)權(quán)限列表；所述管理服務(wù)模塊用來(lái)提供密鑰的管理服務(wù)；所述IO控制模塊負(fù)責(zé)整個(gè)終端設(shè)備的輸入輸出控制；所述管理端口用于用戶訪問(wèn)管理服務(wù)；所述應(yīng)用端口用于應(yīng)用系統(tǒng)使用密鑰服務(wù)。

云計(jì)算環(huán)境下虛擬密碼設(shè)備的創(chuàng)建，包括以下步驟：

（1）將密碼設(shè)備進(jìn)行初始化，生成主密鑰；例如主密鑰使用SM4算法；

（2）將密碼設(shè)備的密鑰存儲(chǔ)區(qū)域分割成獨(dú)立的密鑰存儲(chǔ)區(qū)域，并將各個(gè)區(qū)域進(jìn)行編號(hào)；

（3）為申請(qǐng)?zhí)摂M密碼設(shè)備的用戶頒發(fā)數(shù)字證書(shū)，并存儲(chǔ)在外部硬件Key介質(zhì)中；例如密鑰對(duì)算法采用國(guó)密算法SM2，密鑰強(qiáng)度為256位，與同等安全強(qiáng)度的RSA算法相比，可以加快速度、節(jié)省存儲(chǔ)和減少傳輸數(shù)據(jù)大??；

（4）獲取授權(quán)使用主密鑰認(rèn)證，根據(jù)用戶的請(qǐng)求，將空閑密鑰區(qū)域分配并產(chǎn)生密鑰，同時(shí)將密鑰區(qū)域號(hào)和用戶數(shù)字證書(shū)或公鑰寫入一次性存儲(chǔ)區(qū)域；這里的產(chǎn)生的密鑰算法由用戶指定，可以是RSA，也可以是SM2，這里是根據(jù)前述的一次性寫入存儲(chǔ)區(qū)的格式來(lái)進(jìn)行寫入；

（5）用戶利用數(shù)字證書(shū)通過(guò)密碼設(shè)備管理端口為其對(duì)應(yīng)的密鑰設(shè)置訪問(wèn)權(quán)限，并生成憑證碼；這里憑證碼是隨機(jī)數(shù)，用于密碼設(shè)備和應(yīng)用系統(tǒng)間的通訊，用戶可以通過(guò)管理端口隨時(shí)更改；

（6）應(yīng)用系統(tǒng)通過(guò)使用憑證碼來(lái)訪問(wèn)密鑰進(jìn)行密碼相關(guān)操作。

云計(jì)算環(huán)境下虛擬密碼設(shè)備密鑰的銷毀，包括以下步驟：

（1）用戶提出密鑰銷毀申請(qǐng)；

（2）驗(yàn)證用戶數(shù)字證書(shū)合法性，確認(rèn)證書(shū)是否在有效期，是否是受信任的頒發(fā)機(jī)構(gòu)頒發(fā)，并且是否擁有訪問(wèn)該密鑰的權(quán)限；

（3）獲取授權(quán)使用主密鑰認(rèn)證，擦除用戶指定密鑰區(qū)域，以及密鑰區(qū)域號(hào)；這里是將用戶密鑰擦除，并將公鑰對(duì)應(yīng)的密鑰區(qū)域位擦除為0；

（4）當(dāng)用戶刪除密碼設(shè)備中所有的密鑰區(qū)域，則同時(shí)將用戶數(shù)字證書(shū)從一次性存儲(chǔ)區(qū)域中擦除。

該云環(huán)境下密碼設(shè)備虛擬化方法，相對(duì)現(xiàn)有技術(shù)取得的有益效果如下：

（1）有效的解決了云環(huán)境下密碼設(shè)備虛擬化問(wèn)題。用戶訪問(wèn)密碼設(shè)備管理端口，通過(guò)數(shù)字證書(shū)進(jìn)行用戶身份認(rèn)證，有效的控制了設(shè)備密鑰的訪問(wèn)；

（2）盡管用戶密鑰區(qū)域是通過(guò)硬件密碼設(shè)備的主密鑰來(lái)分配的，但是最終訪問(wèn)密鑰是通過(guò)用戶設(shè)置的訪問(wèn)憑證碼，這樣就保證了即使出現(xiàn)硬件設(shè)備主密鑰泄露的情況，也不會(huì)泄露用戶的密鑰，防止了云服務(wù)運(yùn)營(yíng)者的泄密問(wèn)題；

（3）云環(huán)境下密碼設(shè)備虛擬化裝置，可以分割若干密鑰存儲(chǔ)區(qū)域，解決了密鑰設(shè)備虛擬化的問(wèn)題；通過(guò)一次性寫入存儲(chǔ)區(qū)的訪問(wèn)控制列表，有效的保護(hù)了用戶訪問(wèn)密鑰的權(quán)限，并且所有涉及安全的運(yùn)算都在硬件裝置中完成，能保證其運(yùn)算效率。