本發(fā)明涉及信息安全加密認(rèn)證技術(shù)和云計算技術(shù)領(lǐng)域，特別涉及一種云環(huán)境下密碼設(shè)備虛擬化方法。

背景技術(shù)：

近年來，隨著云計算和虛擬技術(shù)的推廣普及，涌現(xiàn)出很多優(yōu)秀的云計算應(yīng)用服務(wù)平臺，其聚合了大量的物理硬件資源，并采用虛擬化技術(shù)將物理硬件設(shè)備的硬件資源進(jìn)行抽象，實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)計算資源的統(tǒng)一的分配、調(diào)度和管理，從而達(dá)到充分利用軟硬件資源、提高利用率的目的。

在云計算給用戶帶來高效優(yōu)質(zhì)的服務(wù)的同時，云安全認(rèn)證問題成為一個熱點(diǎn)，已經(jīng)引起了廣泛關(guān)注。傳統(tǒng)安全認(rèn)證解決方案，主要是通過使用密碼設(shè)備完成相關(guān)的加密、解密、簽名、驗(yàn)簽等密碼相關(guān)操作，來解決應(yīng)用系統(tǒng)安全認(rèn)證問題。這樣，應(yīng)用系統(tǒng)的安全性主要是依賴于密碼硬件設(shè)備，存儲在密碼硬件設(shè)備中的密鑰無法被導(dǎo)出，并且密碼相關(guān)運(yùn)算都是在設(shè)備中完成。

然而，在云環(huán)境下，傳統(tǒng)的密碼設(shè)備以及應(yīng)用模式無法滿足現(xiàn)有需求，更充分有效的利用現(xiàn)有安全資源。在這種情況下，如何能將密碼設(shè)備虛擬化，并且能保證密鑰使用和管理的安全性成為亟須解決的問題。

基于上述問題，本發(fā)明提出了一種云環(huán)境下密碼設(shè)備虛擬化方法。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明為了彌補(bǔ)現(xiàn)有技術(shù)的缺陷，提供了一種簡單高效的云環(huán)境下密碼設(shè)備虛擬化方法。

本發(fā)明是通過如下技術(shù)方案實(shí)現(xiàn)的：

一種云環(huán)境下密碼設(shè)備虛擬化方法，其特征在于：將密碼設(shè)備的密鑰存儲分為若干獨(dú)立區(qū)域，并且通過一次性存儲數(shù)字證書來完成與若干設(shè)備密鑰的對應(yīng)；通過數(shù)字證書認(rèn)證訪問者身份合法性，通過合法性驗(yàn)證后才能進(jìn)行密鑰的使用；密碼設(shè)備中的數(shù)字證書以及對應(yīng)的密鑰只能同時擦除，無法修改；所述密鑰存儲區(qū)域的分割，控制信息的一次性寫入及擦除功能均通過云環(huán)境下密碼設(shè)備虛擬化裝置實(shí)現(xiàn)。

所述云環(huán)境下密碼設(shè)備虛擬化裝置由設(shè)備主控制器單元，加密芯片，主密鑰存儲區(qū)，密鑰存儲區(qū)域，一次性寫入存儲區(qū)，管理服務(wù)模塊，IO控制模塊，管理端口和應(yīng)用端口組成；

所述設(shè)備主控制器單元是密碼設(shè)備的指揮控制中心；所述加密芯片負(fù)責(zé)完成加解密、數(shù)字簽名、協(xié)議封包等相關(guān)運(yùn)算；所述主密鑰存儲區(qū)用來存放密碼設(shè)備主密鑰；所述密鑰存儲區(qū)域分割成若干部分，用來存放密鑰；所述一次性寫入存儲區(qū)是一段只能一次寫入，不能修改的區(qū)域，用來存放用戶公鑰及對應(yīng)密鑰的訪問權(quán)限列表；所述管理服務(wù)模塊用來提供密鑰的管理服務(wù)；所述IO控制模塊負(fù)責(zé)整個終端設(shè)備的輸入輸出控制；所述管理端口用于用戶訪問管理服務(wù)；所述應(yīng)用端口用于應(yīng)用系統(tǒng)使用密鑰服務(wù)。

云計算環(huán)境下虛擬密碼設(shè)備的創(chuàng)建，包括以下步驟：

（1）將密碼設(shè)備進(jìn)行初始化，生成主密鑰；

（2）將密碼設(shè)備的密鑰存儲區(qū)域分割成獨(dú)立的密鑰存儲區(qū)域，并將各個區(qū)域進(jìn)行編號；

（3）為申請?zhí)摂M密碼設(shè)備的用戶頒發(fā)數(shù)字證書，并存儲在外部硬件Key介質(zhì)中；

（4）獲取授權(quán)使用主密鑰認(rèn)證，根據(jù)用戶的請求，將空閑密鑰區(qū)域分配并產(chǎn)生密鑰，同時將密鑰區(qū)域號和用戶數(shù)字證書或公鑰寫入一次性存儲區(qū)域；

（5）用戶利用數(shù)字證書通過密碼設(shè)備管理端口為其對應(yīng)的密鑰設(shè)置訪問權(quán)限，并生成憑證碼；

（6）應(yīng)用系統(tǒng)通過使用憑證碼來訪問密鑰進(jìn)行密碼相關(guān)操作。

云計算環(huán)境下虛擬密碼設(shè)備密鑰的銷毀，包括以下步驟：

（1）用戶提出密鑰銷毀申請；

（2）驗(yàn)證用戶數(shù)字證書合法性；

（3）獲取授權(quán)使用主密鑰認(rèn)證，擦除用戶指定密鑰區(qū)域，以及密鑰區(qū)域號；

（4）當(dāng)用戶刪除密碼設(shè)備中所有的密鑰區(qū)域，則同時將用戶數(shù)字證書從一次性存儲區(qū)域中擦除。

該云環(huán)境下密碼設(shè)備虛擬化方法，相對現(xiàn)有技術(shù)取得的有益效果如下：

（1）有效的解決了云環(huán)境下密碼設(shè)備虛擬化問題。用戶訪問密碼設(shè)備管理端口，通過數(shù)字證書進(jìn)行用戶身份認(rèn)證，有效的控制了設(shè)備密鑰的訪問；

（2）盡管用戶密鑰區(qū)域是通過硬件密碼設(shè)備的主密鑰來分配的，但是最終訪問密鑰是通過用戶設(shè)置的訪問憑證碼，這樣就保證了即使出現(xiàn)硬件設(shè)備主密鑰泄露的情況，也不會泄露用戶的密鑰，防止了云服務(wù)運(yùn)營者的泄密問題；

（）3云環(huán)境下密碼設(shè)備虛擬化裝置，可以分割若干密鑰存儲區(qū)域，解決了密鑰設(shè)備虛擬化的問題；通過一次性寫入存儲區(qū)的訪問控制列表，有效的保護(hù)了用戶訪問密鑰的權(quán)限，并且所有涉及安全的運(yùn)算都在硬件裝置中完成，能保證其運(yùn)算效率。

附圖說明

附圖1為本發(fā)明終端設(shè)備安全傳輸認(rèn)證裝置硬件結(jié)構(gòu)示意圖。

附圖2為本發(fā)明創(chuàng)建虛擬密碼設(shè)備流程示意圖。

附圖3為本發(fā)明銷毀虛擬密碼設(shè)備流程示意圖。

具體實(shí)施方式

為了使本發(fā)明所要解決的技術(shù)問題、技術(shù)方案及有益效果更加清楚明白，以下結(jié)合附圖和實(shí)施例，對本發(fā)明進(jìn)行詳細(xì)的說明。應(yīng)當(dāng)說明的是，此處所描述的具體實(shí)施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

本實(shí)施例中，頒發(fā)的數(shù)字證書采用國產(chǎn)算法SM2，密碼設(shè)備可以分割出64個密鑰存儲區(qū)域，基于此，將一次性寫入存儲區(qū)的用戶列表數(shù)據(jù)格式定義為：64字節(jié)用來存儲SM2證書公鑰和8字節(jié)用來存儲使用區(qū)域。8字節(jié)64個bit分別表示對應(yīng)的64個密鑰區(qū)域，如果該位為1表示擁有訪問改密鑰號的權(quán)限。

需要說明的是，除了使用上面描述的數(shù)據(jù)格式之外，根據(jù)本發(fā)明的實(shí)施方式的構(gòu)造也能夠應(yīng)用于其他數(shù)據(jù)協(xié)議之上。

該云環(huán)境下密碼設(shè)備虛擬化方法，將密碼設(shè)備的密鑰存儲分為若干獨(dú)立區(qū)域，并且通過一次性存儲數(shù)字證書來完成與若干設(shè)備密鑰的對應(yīng)；通過數(shù)字證書認(rèn)證訪問者身份合法性，通過合法性驗(yàn)證后才能進(jìn)行密鑰的使用；密碼設(shè)備中的數(shù)字證書以及對應(yīng)的密鑰只能同時擦除，無法修改；所述密鑰存儲區(qū)域的分割，控制信息的一次性寫入及擦除功能均通過云環(huán)境下密碼設(shè)備虛擬化裝置實(shí)現(xiàn)。

所述云環(huán)境下密碼設(shè)備虛擬化裝置由設(shè)備主控制器單元，加密芯片，主密鑰存儲區(qū)，密鑰存儲區(qū)域，一次性寫入存儲區(qū)，管理服務(wù)模塊，IO控制模塊，管理端口和應(yīng)用端口組成；

所述設(shè)備主控制器單元是密碼設(shè)備的指揮控制中心；所述加密芯片負(fù)責(zé)完成加解密、數(shù)字簽名、協(xié)議封包等相關(guān)運(yùn)算；所述主密鑰存儲區(qū)用來存放密碼設(shè)備主密鑰；所述密鑰存儲區(qū)域分割成若干部分，用來存放密鑰；所述一次性寫入存儲區(qū)是一段只能一次寫入，不能修改的區(qū)域，用來存放用戶公鑰及對應(yīng)密鑰的訪問權(quán)限列表；所述管理服務(wù)模塊用來提供密鑰的管理服務(wù)；所述IO控制模塊負(fù)責(zé)整個終端設(shè)備的輸入輸出控制；所述管理端口用于用戶訪問管理服務(wù)；所述應(yīng)用端口用于應(yīng)用系統(tǒng)使用密鑰服務(wù)。

云計算環(huán)境下虛擬密碼設(shè)備的創(chuàng)建，包括以下步驟：

（1）將密碼設(shè)備進(jìn)行初始化，生成主密鑰；例如主密鑰使用SM4算法；

（2）將密碼設(shè)備的密鑰存儲區(qū)域分割成獨(dú)立的密鑰存儲區(qū)域，并將各個區(qū)域進(jìn)行編號；

（3）為申請?zhí)摂M密碼設(shè)備的用戶頒發(fā)數(shù)字證書，并存儲在外部硬件Key介質(zhì)中；例如密鑰對算法采用國密算法SM2，密鑰強(qiáng)度為256位，與同等安全強(qiáng)度的RSA算法相比，可以加快速度、節(jié)省存儲和減少傳輸數(shù)據(jù)大??；

（4）獲取授權(quán)使用主密鑰認(rèn)證，根據(jù)用戶的請求，將空閑密鑰區(qū)域分配并產(chǎn)生密鑰，同時將密鑰區(qū)域號和用戶數(shù)字證書或公鑰寫入一次性存儲區(qū)域；這里的產(chǎn)生的密鑰算法由用戶指定，可以是RSA，也可以是SM2，這里是根據(jù)前述的一次性寫入存儲區(qū)的格式來進(jìn)行寫入；

（5）用戶利用數(shù)字證書通過密碼設(shè)備管理端口為其對應(yīng)的密鑰設(shè)置訪問權(quán)限，并生成憑證碼；這里憑證碼是隨機(jī)數(shù)，用于密碼設(shè)備和應(yīng)用系統(tǒng)間的通訊，用戶可以通過管理端口隨時更改；

（6）應(yīng)用系統(tǒng)通過使用憑證碼來訪問密鑰進(jìn)行密碼相關(guān)操作。

云計算環(huán)境下虛擬密碼設(shè)備密鑰的銷毀，包括以下步驟：

（1）用戶提出密鑰銷毀申請；

（2）驗(yàn)證用戶數(shù)字證書合法性，確認(rèn)證書是否在有效期，是否是受信任的頒發(fā)機(jī)構(gòu)頒發(fā)，并且是否擁有訪問該密鑰的權(quán)限；

（3）獲取授權(quán)使用主密鑰認(rèn)證，擦除用戶指定密鑰區(qū)域，以及密鑰區(qū)域號；這里是將用戶密鑰擦除，并將公鑰對應(yīng)的密鑰區(qū)域位擦除為0；

（4）當(dāng)用戶刪除密碼設(shè)備中所有的密鑰區(qū)域，則同時將用戶數(shù)字證書從一次性存儲區(qū)域中擦除。

該云環(huán)境下密碼設(shè)備虛擬化方法，相對現(xiàn)有技術(shù)取得的有益效果如下：

（1）有效的解決了云環(huán)境下密碼設(shè)備虛擬化問題。用戶訪問密碼設(shè)備管理端口，通過數(shù)字證書進(jìn)行用戶身份認(rèn)證，有效的控制了設(shè)備密鑰的訪問；

（2）盡管用戶密鑰區(qū)域是通過硬件密碼設(shè)備的主密鑰來分配的，但是最終訪問密鑰是通過用戶設(shè)置的訪問憑證碼，這樣就保證了即使出現(xiàn)硬件設(shè)備主密鑰泄露的情況，也不會泄露用戶的密鑰，防止了云服務(wù)運(yùn)營者的泄密問題；

（3）云環(huán)境下密碼設(shè)備虛擬化裝置，可以分割若干密鑰存儲區(qū)域，解決了密鑰設(shè)備虛擬化的問題；通過一次性寫入存儲區(qū)的訪問控制列表，有效的保護(hù)了用戶訪問密鑰的權(quán)限，并且所有涉及安全的運(yùn)算都在硬件裝置中完成，能保證其運(yùn)算效率。