基于云环境的加密机密钥注入系统、方法及装置与流程
本申请涉及加密机技术领域,具体涉及一种基于云环境的加密机密钥注入系统。本申请同时涉及一种用于加密机的密钥注入方法及相应装置,以及一种在云端托管加密机的方法及相应装置。
背景技术:
加密机是传统保障数据隐私的一种很好的方法,其主要功能之一是密钥存储功能,加密机在很多领域,特别是银行业得到了广泛的应用。银行业的密钥体系标准为三层密钥体系:ansi x9.17,该体系对不同层级密钥的功能做了严格的使用限制,第一层是加密机主密钥(Master Key,也称根密钥),第二层是银行主密钥(Bank Master Key,也称用户主密钥),第三层是工作密钥,也称用户工作密钥或者用户数据密钥。
其中,加密机根密钥由三个成分(也称分量)组成,存放在硬件加密机内,用于保护存储在加密机外的各种密钥和关键数据的加密密钥。用户主密钥的作用是加密在通讯线路上需要传递的工作密钥,该密钥处于加密机根密钥的加密保护之下或直接保存在硬件加密机中。用户工作密钥的作用是加密各种不同的数据,从而实现数据的保密、信息的认证,以及数字签名等功能,该密钥处于用户主密钥的加密保护之下或直接保存在硬件加密机中。
加密机在使用之前需要先注入根密钥,加密机通常附带一组IC卡(包括A卡、B卡和C卡),在启动前,管理人员将A卡插入加密机相应的插槽中,通过加密机面板菜单或厂商提供的管理程序注入根密钥3个分量,每个分量为32个十六进制数。之后,保存根密钥至A卡、B卡,再注入用户主密钥,完成相关操作后,保存用户主密钥至C卡。对于不同的加密机来说,上述密钥注入过程可能会有差异,但是都需要执行人工插卡的操作才能够完成。
此外,随着云计算的长足发展,云用户的数据存储、计算及应用日益云化,如何保障云用户的敏感数据以及关键应用的安全性,是公有云必须要妥善解决的重大问题。而前面介绍的加密机是传统保障数据隐私的一种很好的方法,因 此出现了加密机云化的需求,即:很多云用户采用加密机托管的方式,将加密机托管在云提供商的托管区内,以保护自己在相应云上业务数据的隐私问题。
传统的通过手工插卡注入密钥的方式,对于加密机设备比较少、且加密机放置于企业内部是可行的。但在公有云中,加密机通常放置在远离客户建筑物的地方托管,且设备数量大大增加,仍采用传统方式就暴露出很多缺陷:一方面云用户需要远道跑到云提供商托管区来插卡注入密钥,操作步骤繁琐、费时费力;另一方面,由于各类云用户在云托管区的进出,导致云提供商管理效率低下,而且存在安全隐患,降低云用户对在云端托管加密机的信任度。
技术实现要素:
本申请实施例提供一种基于云环境的加密机密钥注入系统,以解决现有的手工插卡方式导致的密钥注入操作步骤繁琐、以及为云端管理带来安全隐患的问题。本申请实施例还提供一种用于加密机的密钥注入方法及装置,以及一种用于在云端托管加密机的方法及装置。
本申请提供一种基于云环境的加密机密钥注入系统,包括:
至少一个密钥注入子系统、以及位于云端的加密机托管子系统;所述加密机托管子系统包括:承载云用户托管的虚拟加密设备的加密机,以及与所述加密机相连的量子密钥分发设备;所述密钥注入子系统包括:密钥生成设备,以及与所述密钥生成设备相连的量子密钥分发设备;
其中,所述密钥注入子系统和所述加密机托管子系统通过各自的量子密钥分发设备相连;所述量子密钥分发设备用于在与之相连的密钥生成设备和加密机之间协商共享密钥对;所述密钥生成设备用于生成所述虚拟加密设备的根密钥分量、以及采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;所述加密机用于根据接收的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
可选的,所述密钥注入子系统的数量为1;
相应的,所述密钥注入子系统的密钥生成设备具体用于,按照预先设定的根密钥分量数目为所述虚拟加密设备生成相应数目的根密钥分量,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机。
可选的,所述密钥注入子系统包括:位于云端的管理子系统、或者位于客 户端的用户子系统。
可选的,所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;每个密钥注入子系统中的密钥生成设备具体用于,生成所述虚拟加密设备的一个根密钥分量;所述加密机还用于,生成所述虚拟加密设备的一个根密钥分量;
相应的,所述加密机用于根据接收的根密钥分量合成所述虚拟加密设备的根密钥具体是指,所述加密机根据从每个密钥注入子系统接收的根密钥分量,以及其生成的根密钥分量,合成所述虚拟加密设备的根密钥。
可选的,所述预先设定的根密钥分量数目为3,所述密钥注入子系统的数量为2,所述密钥注入子系统包括:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统包括:量子密钥分发设备和用于承担所述密钥生成设备功能的管理设备;所述用户子系统包括:量子密钥分发设备和用于承担所述密钥生成设备功能的终端设备。
可选的,所述用户子系统的终端设备还用于生成用户主密钥,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;
相应的,所述加密机还用于,将接收的所述用户主密钥作为所述虚拟加密设备的用户主密钥存储。
可选的,所述用户子系统的终端设备还用于生成用户工作密钥,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;
相应的,所述加密机还用于,将接收的所述用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
可选的,所述用户子系统的量子密钥分发设备包括:在云端租赁的量子密钥分发设备。
可选的,所述加密机托管子系统的量子密钥分发设备和所述管理子系统的量子密钥分发设备通过具有量子密钥中继功能的路由设备相连。
可选的,所述量子密钥分发设备包括:具有数据加解密功能的量子加密机。
可选的,所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥具体是指,所述加密机采用基于门限密钥共享机制的秘密重构算法实现所述合成操作。
可选的,所述系统还包括:维护子系统;所述维护子系统用于,对所述加 密机承载的虚拟加密设备进行初始授权、以及对所述加密机的故障监控及维护。
可选的,所述用户托管的虚拟加密设备为所述加密机。
此外,本申请还提供一种用于加密机的密钥注入方法,所述方法在上述基于云环境的加密机密钥注入系统中实施,包括:
密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对,其中,所述加密机承载云用户托管的待注入根密钥的虚拟加密设备;
所述密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
可选的,所述密钥注入子系统的数量为1;
相应的,所述密钥生成设备生成所述虚拟加密设备的根密钥分量是指,所述密钥生成设备按照预先设定的根密钥分量数目生成所述虚拟加密设备的根密钥分量。
可选的,所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;
相应的,所述密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对包括:每个密钥注入子系统的密钥生成设备和所述加密机分别通过各自的量子密钥分发设备协商彼此之间的共享密钥对;
所述密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机,包括:每个密钥注入子系统的密钥生成设备分别生成所述虚拟加密设备的一个根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
所述方法还包括:所述加密机生成所述虚拟加密设备的一个根密钥分量;
所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥具体是指,所述加密机根据从每个密钥注入子系统接收的根密钥分量、以及其生成的根密钥分量合成所述虚拟加密设备的根密钥。
可选的,所述预先设定的根密钥分量数目为3,所述密钥注入子系统的数量为2,所述密钥注入子系统包括:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统中的密钥生成设备为管理设备;所述用户子系统中的密钥生成设备为终端设备。
可选的,所述方法还包括:
所述终端设备生成用户主密钥,并采用协商好的共享密钥加密传输至所述加密机;
所述加密机将接收的用户主密钥作为所述虚拟加密设备的用户主密钥存储。
可选的,所述方法还包括:
所述终端设备生成用户工作密钥,并采用协商好的共享密钥加密传输至所述加密机;
所述加密机将接收的用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
可选的,在所述管理设备和加密机通过各自的量子密钥分发设备协商共享密钥对的步骤之前,执行下述操作:
在所述管理设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本方法的执行。
可选的,在所述终端设备和加密机通过各自的量子密钥分发设备协商共享密钥对的步骤之前,执行下述操作:
在所述终端设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本方法的执行。
可选的,所述身份认证采用如下方式实现:
请求认证方设备向对端设备发送身份认证请求,所述请求中携带所述请求验证方设备的私钥签名身份证书;
所述对端设备接收所述身份认证请求后,采用对应于所述请求认证方设备的公钥解密所述私钥签名身份证书,若成功,则所述请求认证方设备通过身份认证。
可选的,所述加密机采用基于门限密钥共享机制的秘密重构算法合成所述 虚拟加密设备的根密钥。
相应的,本申请还提供一种用于加密机的密钥注入装置,所述装置部署在上述基于云环境的加密机密钥注入系统中,包括:
共享密钥对协商单元,用于密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对,其中,所述加密机承载云用户托管的待注入根密钥的虚拟加密设备;
分量生成传输单元,用于所述密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
根密钥合成单元,用于所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
可选的,所述密钥注入子系统的数量为1;
相应的,所述分量生成传输单元具体用于,所述密钥生成设备按照预先设定的根密钥分量数目生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至所述加密机。
可选的,所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;
相应的,所述共享密钥对协商单元包括与所述密钥注入子系统的数量相同的共享密钥对协商子单元;所述每个子单元分别用于,不同密钥注入子系统的密钥生成设备和所述加密机分别通过各自的量子密钥分发设备协商彼此之间的共享密钥对;
所述分量生成传输单元包括与所述密钥注入子系统的数量相同的分量生成传输子单元;所述每个子单元分别用于,不同密钥注入子系统的密钥生成设备分别生成所述虚拟加密设备的一个根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;
所述装置还包括:加密机分量生成单元,用于所述加密机生成所述虚拟加密设备的一个根密钥分量;
所述根密钥合成单元具体用于,加密机根据从每个分量生成传输子单元接收的根密钥分量、以及所述加密机分量生成单元生成的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
可选的,所述预先设定的根密钥分量数目为3,所述密钥注入子系统的数量 为2,所述密钥注入子系统包括:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统中的密钥生成设备为管理设备;所述用户子系统中的密钥生成设备为终端设备;
所述共享密钥对协商单元包括两个共享密钥对协商子单元:对应于管理子系统的第一共享密钥对协商子单元、和对应于用户子系统的第二共享密钥对协商子单元;
所述分量生成传输单元包括两个分量生成传输子单元:对应于管理子系统的第一分量生成传输子单元、和对应于用户子系统的第二分量生成传输子单元。
可选的,所述装置还包括:
用户主密钥生成传输单元,用于所述终端设备生成用户主密钥,并采用协商好的共享密钥加密传输至所述加密机;
用户主密钥存储单元,用于所述加密机将接收的用户主密钥作为所述虚拟加密设备的用户主密钥存储。
可选的,所述装置还包括:
用户工作密钥生成传输单元,用于所述终端设备生成用户工作密钥,并采用协商好的共享密钥加密传输至所述加密机;
用户工作密钥存储单元,用于所述加密机将接收的用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
可选的,所述装置还包括:
第一身份认证单元,用于在触发所述第一共享密钥对协商子单元工作之前,在所述管理设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本装置的工作。
可选的,所述装置还包括:
第二身份认证单元,用于在触发所述第二共享密钥对协商子单元工作之前,在所述终端设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本装置的工作。
可选的,所述第一身份认证单元和所述第二身份认证单元具体用于采用以下方式进行身份认证:
请求认证方设备向对端设备发送身份认证请求,所述请求中携带所述请求 验证方设备的私钥签名身份证书;所述对端设备接收所述身份认证请求后,采用对应于所述请求认证方设备的公钥解密所述私钥签名身份证书,若成功,则所述请求认证方设备通过身份认证。
可选的,所述根密钥合成单元具体用于,所述加密机采用基于门限密钥共享机制的秘密重构算法合成所述虚拟加密设备的根密钥,并存储所述根密钥。
此外,本申请还提供一种在云端托管加密机的方法,包括:
云用户通过终端设备向位于云端的管理设备发送加密机托管请求;
所述管理设备根据接收到的请求,为所述云用户分配在云端托管的虚拟加密设备,所述虚拟加密设备由加密机承载;
采用上述用于加密机的密钥注入方法向所述加密机中注入所述虚拟加密设备的根密钥。
可选的,在所述云用户通过终端设备向位于云端的管理设备发送加密机托管请求之前,执行下述初始化操作:
由相应管理者为所述管理设备、以及终端设备预置用于身份认证的公私钥对、和身份证书;
由加密机设备厂商为加密机中承载的虚拟加密设备预置用于身份认证的公私钥对、身份证书、以及设备标识。
可选的,在所述管理设备为所述云用户分配在云端托管的虚拟加密设备之后,执行下述操作:
所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备;
所述终端设备根据接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性;若所述虚拟加密设备通过所述合法性验证,则执行所述向所述加密机中注入所述虚拟加密设备的根密钥的步骤。
可选的,在所述管理设备为所述云用户分配在云端托管的虚拟加密设备之后,执行下述操作:
所述管理设备与所述终端设备通过各自的量子密钥分发设备协商共享密钥对;
相应的,所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备是指,所述管理设备采用协商好的共享密钥加密所述设备标识,并将加密后 的设备标识发送给所述终端设备;
所述终端设备根据接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性是指,所述终端设备采用协商好的共享密钥对接收到的设备标识解密,并用解密后的设备标识执行所述验证操作。
相应的,本申请还提供一种在云端托管加密机的装置,包括:
托管请求发送单元,用于云用户通过终端设备向位于云端的管理设备发送加密机托管请求;
托管设备分配单元,用于所述管理设备根据接收到的请求,为所述云用户分配在云端托管的虚拟加密设备,所述虚拟加密设备由加密机承载;
根密钥注入单元,用于采用上述用于加密机的密钥注入装置向所述加密机中注入所述虚拟加密设备的根密钥。
可选的,所述装置包括:初始化单元,用于在触发所述托管请求发送单元工作之前执行初始化操作;所述初始化单元包括:
管理及终端设备初始化子单元,用于由相应管理者为所述管理设备、以及终端设备预置用于身份认证的公私钥对、和身份证书;
虚拟加密设备初始化子单元,用于由加密机设备厂商为加密机中承载的虚拟加密设备预置用于身份认证的公私钥对、身份证书、以及设备标识。
可选的,所述装置包括:
设备标识发送单元,用于在所述托管设备分配单元完成分配虚拟加密设备的操作后,所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备;
设备合法性验证单元,用于所述终端设备利用接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性;若所述虚拟加密设备通过所述合法性验证,则触发所述根密钥注入单元工作。
可选的,所述装置包括:
共享密钥协商单元,用于在所述托管设备分配单元完成分配虚拟加密设备的操作后,所述管理设备与所述终端设备通过各自的量子密钥分发设备协商共享密钥对;
相应的,所述设备标识发送单元具体用于,管理设备采用协商好的共享密钥加密所述设备标识,并将加密后的设备标识发送给所述终端设备;
所述设备合法性验证单元具体用于,所述终端设备采用协商好的共享密钥对接收到的设备标识解密,并用解密后的设备标识执行所述验证操作。
与现有技术相比,本申请具有以下优点:
本申请提供的基于云环境的加密机密钥注入系统、以及基于该系统的密钥注入方法,将量子密钥技术与加密机云化技术有机结合起来,在根密钥分量生成方与承载用户托管的虚拟加密设备的加密机之间,利用量子密钥分发协议协商出共享密钥对,根密钥分量生成方利用共享密钥将根密钥分量加密传输至加密机中,由加密机合成虚拟加密设备的根密钥。通过上述方式,改变了传统的手工插卡注入根密钥的方式,实现了加密机根密钥的远程注入,而且由量子密码的特性保证了远程注入过程的安全性,从而不仅免除了云用户进出托管区手动插卡的必要,简化了密钥注入的操作过程,而且便于云提供商对托管区进行管理,提升云用户对在云端托管加密机的信任度。
附图说明
图1是本申请实施例提供的基于云环境的加密机密钥注入系统的系统架构图;
图2是本申请的一种用于加密机的密钥注入方法的实施例的流程图;
图3是本申请的一种用于加密机的密钥注入装置的实施例的示意图;
图4是本申请的一种在云端托管加密机的方法的实施例的流程图;
图5是本申请的一种在云端托管加密机的装置的实施例的示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是,本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此,本申请不受下面公开的具体实施的限制。
在本申请中,提供了一种基于云环境的加密机密钥注入系统,一种用于加密机的密钥注入方法及相应装置,以及一种在云端托管加密机的方法及相应装置。在下面的实施例中逐一进行详细说明。
本实施例提供的基于云环境的加密机密钥注入系统包括:至少一个密钥注入子系统、以及位于云端的加密机托管子系统。所述密钥注入子系统包括:密钥生成设备,以及与所述密钥生成设备相连的量子密钥分发设备;所述加密机托管子系统包括:承载云用户托管的虚拟加密设备的加密机,以及与所述加密机相连的量子密钥分发设备。其中,所述密钥注入子系统和所述加密机托管子系统通过各自的量子密钥分发设备相连。
需要说明的是,云用户在云端托管的可以是物理加密机(即本申请所述的加密机),也可以是由加密机承载的虚拟加密设备,即:多个云用户可以共享一台加密机,而共享同一台加密机的每个云用户拥有独立的虚拟加密设备。也可以这样理解,当一台加密机仅分配给一个云用户时,那么云用户在云端托管的虚拟加密设备就是所述加密机。由于上述两种托管方式的差异并不影响本申请技术方案的实施,因此为了便于描述,在本文的实施例中不对上述两种情况加以区分,而是统一采用了云用户在云端托管虚拟加密设备的表述方式。
在上述系统架构的基础上,如果所述系统仅包括一个密钥注入子系统,所述密钥注入子系统和加密机托管子系统中的量子密钥分发设备,用于在与之相连的密钥生成设备和承载虚拟加密设备的加密机之间,采用量子密钥分发协议(例如BB84协议)协商共享密钥对;所述密钥生成设备用于按照预先设定的根密钥分量(也称为根密钥成分)数目,生成所述虚拟加密设备的根密钥分量,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;所述加密机用于用协商好的共享密钥对接收的各根密钥分量解密,用解密后的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。在具体实施时,所述密钥注入子系统可以是位于云端的管理子系统,也可以是位于客户端的用户子系统。
采用上述实施方式,一方面,云用户不用再跑到加密机托管区执行手动插卡操作,实现了虚拟加密设备根密钥的远程注入;另一方面,由于量子密钥作为量子力学和密码学的交叉产物,其安全性基于量子力学原理保证,与攻击者的计算能力和存储能力无关,因此充分地保证了密钥远程注入过程的安全性。
在上述实施方式的基础上,为了进一步保证虚拟加密设备的根密钥的安全性,同时也考虑到云用户对云供应商的信任,本实施例还提供一种优选实施方式:所述密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数;每个密钥注入子系统中的密钥生成设备具体用于生成所述虚拟加密设备的一个 根密钥分量;所述加密机负责生成所述虚拟加密设备的一个根密钥分量,并根据从每个密钥注入子系统接收的根密钥分量、以及其生成的根密钥分量,合成所述虚拟加密设备的根密钥。
下面结合应用比较普及的传统加密机密钥体系,例如金融加密机密钥体系,对本系统的上述优选实施方式作详细说明。由于传统加密机密钥体系由三层组成:根密钥、用户主密钥和用户工作密钥,其中根密钥由三个分量组成。因此本系统包括2个密钥注入子系统:位于云端的管理子系统和位于客户端的用户子系统,所述管理子系统包括:量子密钥分发设备和用于承担所述密钥生成设备功能的管理设备;所述用户子系统包括:量子密钥分发设备和用于承担所述密钥生成设备功能的终端设备。
请参考附图1,其为本实施例提供的基于云环境的加密机密钥注入系统的系统架构图,其中,管理子系统也可以称作云提供商加密机托管平台管理中心,该子系统包括两台管理设备,不仅负责对加密机的安全监控、鉴别、授权托管、审计等,还可以生成根密钥分量并远程注入到承载虚拟加密设备的加密机中,所述管理子系统中还包括与上述管理设备相连的量子密钥分发设备1和2;加密机托管子系统也可以称作加密机托管区,包括承载虚拟加密设备的加密机A和加密机B,以及与上述设备相连的量子密钥分发设备3、4、5和6;本系统架构图中还包括云用户甲、乙分别所在的两个用户子系统,各用户子系统除了包括终端设备外,还分别包括各自的量子密钥分发设备7或8。所述云用户甲以及云用户乙可以是使用云服务的个人,也可以是使用云服务的企业。
在一个具体的例子中,加密机A中承载了云用户甲在云端托管的、待注入根密钥的虚拟加密设备,并且由管理子系统中的第一管理设备负责向所述虚拟加密设备注入一个根密钥分量。具体说,量子密钥分发设备1和3用于,在管理子系统中的第一管理设备和加密机托管子系统中的加密机A之间协商共享密钥对;所述第一管理设备用于通过云提供商管理员的操作或者通过安装的密钥生成及管理程序生成所述虚拟加密设备的第一根密钥分量,并用协商好的共享密钥加密传输至加密机A;加密机A用协商好的同样的共享密钥进行解密,从而获取管理子系统注入的所述第一根密钥分量。
同样的道理,量子密钥分发设备5和7用于,在用户甲的终端设备与加密机A之间协商共享密钥对;用户甲的终端设备用于通过用户甲的操作或者通过安装的密钥生成及管理程序生成所述虚拟加密设备的第二根密钥分量,并用已 经协商好的共享密钥加密传输至加密机A;加密机A用协商好的同样的共享密钥进行解密,从而获取用户子系统注入的所述第二根密钥分量。
加密机A用于通过自带的密钥生成模块或者工具随机生成所述虚拟加密设备的第三根密钥分量;加密机A还用于根据管理子系统和用户子系统注入的第一根密钥分量、第二根密钥分量,以及其自己生成的第三根密钥分量,合成所述虚拟加密设备的根密钥。加密机A可以采用不同的算法合成所述根密钥,例如,可以用所述三个密钥分量通过模2加的方式、或者按位异或的方式合成所述根密钥,也可以采用更为复杂的方式,例如,采用基于门限密钥共享机制的秘密重构算法合成所述根密钥。
通过上面的描述可以看出,由于采用了由云提供商管理子系统、云用户子系统以及加密机分别生成根密钥分量、并由加密机进行合成的方式,相当于将生成根密钥分量的权利分散化,即使出现任意一方泄漏根密钥分量的情况,也不会危及到云用户在云端的业务以及数据的安全,从而在提高安全性的同时提升云用户对云提供商的信任度。
进一步地,由于传统加密机密钥体系中通常还包括用户主密钥,本实施例提供的上述优选实施方式中,还可以将所述用户主密钥保存在加密机中。具体说,所述用户子系统的终端设备还用于通过云用户的操作或者通过安装的密钥生成及管理程序生成用户主密钥,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;相应的,所述加密机还用于,将接收到的所述用户主密钥作为所述虚拟加密设备的用户主密钥存储。
同理,由于传统加密机密钥体系中通常还包括用户工作密钥,本实施例提供的上述优选实施方式中,还可以将所述用户工作密钥保存在加密机中。具体说,所述用户子系统的终端设备还用于通过云用户的操作或者通过安装的密钥生成及管理程序生成用户工作密钥,并采用协商好的共享密钥加密传输至承载所述虚拟加密设备的加密机;相应的,所述加密机还用于,将接收到的所述用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
需要说明的是,上述实施例描述的密钥生成设备(包括管理设备或者终端设备)将根密钥分量或者其他密钥,加密传输至承载虚拟加密设备的加密机,在具体实施时通常包括两种方式:如果量子密钥分发设备不具有数据加解密功能,那么密钥生成设备根据量子密钥分发设备向其提供的协商好的量子密钥, 对根密钥分量或者其他密钥进行加密,然后通过密钥生成设备和加密机之间的经典信道传输至加密机,由加密机执行解密操作;如果量子密钥分发设备具有数据加解密功能,即:量子密钥分发设备是量子加密机,那么密钥生成设备可以将根密钥分量或者其他密钥发送给与其相连的量子密钥分发设备,由量子密钥分发设备用协商好的量子密钥进行加密,并通过经典信道传输至加密机一侧的量子密钥分发设备,由该量子密钥分发设备执行解密操作,并将解密后的根密钥分量或者其他密钥发送给加密机。
在上面描述的实施方式中,所述用户子系统拥有自己的量子密钥分发设备,在其他实施方式中,用户子系统也可以租赁云端的量子密钥分发设备,也就是说用户子系统的量子密钥分发设备的物理位置不是位于客户端一侧,而是位于云端。这种情况下,终端设备可以通过VPN方式登录量子密钥分发设备,实现相应的操作,例如获取协商好的共享密钥或者向其发送待注入的根密钥分量或者用户主密钥等,同样也可以实现本申请技术方案的远程注入功能。
此外,图1仅仅是本申请提出的加密机密钥注入系统的一个示意性的系统架构图,在具体实施方式中,还可以做多种变更。例如,所述管理子系统中的管理设备的数量、以及加密机托管子系统中的加密机的数量都可以根据具体需求进行配置;所述管理子系统和所述加密机托管子系统可以处于云端的同一个网络域中,也可以处于不同的网络域中,两者的量子密钥分发设备可以通过具有量子密钥中继功能的路由设备相连,采用这种远程操作方式,可以提升加密机托管子系统的安全运营及云用户对云提供商的信任。再如,作为一个完备的系统,还可以包括维护子系统,所述维护子系统主要用于,由加密机设备厂商对加密机承载的虚拟加密设备进行初始授权、以及对加密机的故障监控及维护等,当然在具体实施中,也可以由管理子系统承担所述维护子系统的上述功能。
综上所述,本实施例提供的基于云环境的加密机密钥注入系统,将量子密钥技术与加密机云化技术有机结合起来,改变了传统的手工插卡注入根密钥的方式,实现了加密机根密钥的远程注入,而且由量子密码的特性保证了远程注入过程的安全性,从而不仅免除了云用户进出托管区手动插卡的必要,简化了密钥注入的操作过程,而且便于云提供商对托管区进行管理,提升云用户对在云端托管加密机的信任度。特别是,如果由一个以上密钥注入子系统以及加密机共同参与根密钥分量的生成过程,不仅可以提升根密钥的安全性、还可以进一步提升云用户对云提供商的信任度。
在上述实施例中提供了一种基于云环境的加密机密钥注入系统,在此基础上,本申请还提供一种用于加密机的密钥注入方法,所述方法在上述基于云环境的加密机密钥注入系统中实施。在描述本实施例之前,先对本技术方案作简要说明。
对于由加密机承载的待注入根密钥的虚拟加密设备,为了实现其根密钥的远程安全注入,本方法包括以下步骤:
1)密钥注入子系统的密钥生成设备和加密机托管子系统的加密机通过各自的量子密钥分发设备协商共享密钥对,其中,所述加密机承载云用户托管的待注入根密钥的虚拟加密设备;
2)所述密钥生成设备生成所述虚拟加密设备的根密钥分量、并采用协商好的共享密钥加密传输至所述加密机;
3)所述加密机根据接收的根密钥分量合成所述虚拟加密设备的根密钥、并存储所述根密钥。
在本方法的实施过程中,可以仅由一个密钥注入子系统(例如:位于云端的管理子系统或者位于客户端的用户子系统)按照预先设定的根密钥分量数目生成对应于所述虚拟加密设备的全部根密钥分量、并用协商好的共享密钥将所述全部分量加密传输至承载所述虚拟加密设备的加密机,由加密机根据接收到的、解密后的所述全部分量合成所述虚拟加密设备的根密钥并存储。
在本方法的实施过程中,也可以由一个以上密钥注入子系统以及加密机共同参与根密钥分量的生成,在这种情况下,由加密机根据接收到的来自不同密钥注入子系统的根密钥分量以及自己生成的根密钥分量,合成所述根密钥。
为了提升根密钥的安全性以及云用户对云提供商的信任,本实施例重点描述后一种实施方式。采用这种方式,密钥注入子系统的数量为小于预先设定的根密钥分量数目的最大整数,上述步骤1)至3)也可以相应地进行细化,每个密钥注入子系统内的、负责生成根密钥分量的密钥生成设备都与加密机进行量子密钥协商,每个密钥注入子系统的所述密钥生成设备都生成一个根密钥分量并加密传输至加密机,同时增加由加密机生成一个根密钥分量的步骤,并由加密机根据上述根密钥分量合成为所述虚拟加密设备的根密钥。
进一步地,由于目前传统加密机密钥体系应用比较普及,因此本实施例以 传统加密机的密钥体系为例,描述本技术方案的具体实施方式。在传统加密机密钥体系中根密钥分量数目为3,相应的,在实施本方法的系统中包括两个密钥注入子系统,分别为:位于云端的管理子系统和位于客户端的用户子系统;所述管理子系统中的密钥生成设备为管理设备;所述用户子系统中的密钥生成设备为终端设备。
请参考图2,其为本申请提供的一种用于加密机的密钥注入方法的实施例的流程图,本实施例与之前提供的基于云环境的加密机密钥注入系统的实施例内容相同的部分不再赘述,下面重点描述不同之处。本申请提供的用于加密机的密钥注入方法包括:
步骤201:管理设备和加密机通过各自的量子密钥分发设备协商共享密钥对,所述加密机承载云用户托管的待注入根密钥的虚拟加密设备。
为了保证密钥协商过程以及后续根密钥分量注入过程的安全性,在执行本步骤的量子密钥协商之前,可以先在管理设备和虚拟加密设备之间进行双向身份认证。
具体说,管理设备向承载虚拟加密设备的加密机发送身份认证请求,所述请求中携带所述管理设备的私钥签名身份证书,加密机接收到所述身份认证请求后,采用对应于所述管理设备的公钥解密所述私钥签名身份证书,若成功,则说明所述管理设备的身份是合法的。同样的道理,所述加密机也可以向所述管理设备发送其承载的虚拟加密设备的私钥签名身份证书,所述管理设备采用同样的方法对虚拟加密设备的身份进行验证。在上述双向身份认证过程中,如果任一方身份认证失败,则结束本方法的执行。
上面给出了基于公私钥对的身份认证方式,在其他实施方式中,也可以采用其他方式进行身份认证。例如加密机可以向管理设备发送所述虚拟加密设备的设备标识(例如,由设备厂商预置的序列号),管理设备利用该设备标识对虚拟加密设备进行身份验证。所述管理设备和虚拟加密设备的公私钥对和身份证书、以及设备标识等信息可以预置在所述设备中,也可以预先存储在相应设备的专属加密机中。
如果管理设备和虚拟加密设备都通过了对方的身份认证,那么管理设备和承载所述虚拟加密设备的加密机就可以通过各自的量子密钥分发设备,按照量子密钥分发协议,例如:BB84协议,协商共享密钥对。
步骤202:管理设备生成虚拟加密设备的第一根密钥分量,并采用协商好的共享密钥加密传输至所述加密机。
管理设备可以通过云提供商管理员的操作或者通过安装的密钥生成及管理程序生成虚拟加密设备的第一根密钥分量,并采用在步骤201中协商好的共享密钥加密传输至所述加密机,其中数据加解密功能可以由相应的管理设备或加密机完成,也可以由量子密钥分发设备完成,详细说明请参见之前提供的基于云环境的加密机密钥注入系统的实施例中的相关描述。
步骤203:终端设备和加密机通过各自的量子密钥分发设备协商共享密钥对。
同步骤201类似,在执行本步骤的量子密钥协商之前,可以先在终端设备和虚拟加密设备之间进行双向身份认证,具体处理流程请参见步骤201中的说明。如果终端设备和虚拟加密设备都通过了对方的身份认证,那么终端设备和承载所述虚拟加密设备的加密机就可以通过各自的量子密钥分发设备,按照量子密钥分发协议,例如:BB84协议,协商共享密钥对。
步骤204:终端设备生成虚拟加密设备的第二根密钥分量,并采用协商好的共享密钥加密传输至所述加密机。
终端设备可以通过云用户的操作或者通过安装的密钥生成及管理程序生成虚拟加密设备的第二根密钥分量,并采用在步骤203中协商好的共享密钥加密传输至所述加密机,其中数据加解密功能可以由相应的终端设备或加密机完成,也可以由量子密钥分发设备完成,详细说明请参见之前提供的基于云环境的加密机密钥注入系统的实施例中的相关描述。
步骤205:加密机生成所述虚拟加密设备的第三根密钥分量。
加密机可以通过自带的密钥生成模块或者工具随机生成所述虚拟加密设备的第三根密钥分量。
步骤206:加密机根据接收的第一根密钥分量、第二根密钥分量以及自己生成的第三根密钥分量,合成所述虚拟加密设备的根密钥,并存储所述根密钥。
加密机可以采用预先设定的算法完成本步骤的合成根密钥的操作,并将合成的根密钥作为其承载的所述虚拟加密设备的根密钥存储,关于合成算法的说明请参见之前提供的基于云环境的加密机密钥注入系统的实施例中的相关描述。
通过上述步骤201至206,实现了根密钥的远程注入。进一步地,本方法还可以实现用户主密钥和用户工作密钥的远程注入。具体说,在本步骤后还可以执行以下操作:
1)所述终端设备生成用户主密钥,并采用协商好的共享密钥加密传输至所述加密机;所述加密机将接收的用户主密钥作为所述虚拟加密设备的用户主密钥存储。
2)所述终端设备生成用户工作密钥,并采用协商好的共享密钥加密传输至所述加密机;所述加密机将接收的用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
通过上面的描述可以看出,本方法的核心在于,由密钥注入子系统的密钥生成设备生成所述虚拟加密设备的根密钥分量,并采用通过量子密钥分发设备协商好的共享密钥加密传输至加密机,由加密机合成所述虚拟加密设备的根密钥,从而实现了根密钥的远程安全注入,免除了云用户进出托管区手动插卡的必要,简化了密钥注入的操作过程。特别是,如果由一个以上密钥注入子系统以及加密机共同参与根密钥分量的生成过程,不仅可以提升根密钥的安全性、还可以进一步提升云用户对云提供商的信任度。
在上述的实施例中,提供了一种用于加密机的密钥注入方法,与之相对应的,本申请还提供一种用于加密机的密钥注入装置。请参看图3,其为本申请的一种用于加密机的密钥注入装置的实施例的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种用于加密机的密钥注入装置,包括:第一共享密钥对协商单元301,用于管理设备和加密机通过各自的量子密钥分发设备协商共享密钥对;第一分量生成传输单元302,用于管理设备生成虚拟加密设备的第一根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;第二共享密钥对协商单元303,用于终端设备和加密机通过各自的量子密钥分发设备协商共享密钥对;第二分量生成传输单元304,用于终端设备生成虚拟加密设备的第二根密钥分量,并采用协商好的共享密钥加密传输至所述加密机;加密机分量生成单元305,用于所述加密机生成所述虚拟加密设备的第三根密钥分量;根密钥合成单元306,用于加密机根据从每个分量生成传输单元接收的根密钥分量、以及所述 加密机分量生成单元生成的根密钥分量合成所述虚拟加密设备的根密钥,并存储所述根密钥。
可选的,所述装置还包括:
用户主密钥生成传输单元,用于所述终端设备生成用户主密钥,并采用协商好的共享密钥加密传输至所述加密机;
用户主密钥存储单元,用于所述加密机将接收的用户主密钥作为所述虚拟加密设备的用户主密钥存储。
可选的,所述装置还包括:
用户工作密钥生成传输单元,用于所述终端设备生成用户工作密钥,并采用协商好的共享密钥加密传输至所述加密机;
用户工作密钥存储单元,用于所述加密机将接收的用户工作密钥作为所述虚拟加密设备的用户工作密钥存储。
可选的,所述装置还包括:
第一身份认证单元,用于在触发所述第一共享密钥对协商单元工作之前,在所述管理设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本装置的工作。
可选的,所述装置还包括:
第二身份认证单元,用于在触发所述第二共享密钥对协商单元工作之前,在所述终端设备和所述加密机承载的虚拟加密设备之间进行双向身份认证;若任一方身份认证失败,则结束本装置的工作。
可选的,所述第一身份认证单元和所述第二身份认证单元具体用于采用以下方式进行身份认证:
请求认证方设备向对端设备发送身份认证请求,所述请求中携带所述请求验证方设备的私钥签名身份证书;所述对端设备接收所述身份认证请求后,采用对应于所述请求认证方设备的公钥解密所述私钥签名身份证书,若成功,则所述请求认证方设备通过身份认证。
可选的,所述根密钥合成单元具体用于,所述加密机采用基于门限密钥共享机制的秘密重构算法合成所述虚拟加密设备的根密钥,并存储所述根密钥。
在上述实施例中提供了一种基于云环境的加密机密钥注入系统和一种用于加密机的密钥注入方法,在此基础上,本申请还提供一种在云端托管加密机的方法。请参考图4,其为本申请的一种在云端托管加密机的方法实施例的流程图,本实施例与上述实施例内容相同的部分不再赘述,下面重点描述不同之处。本申请提供的在云端托管加密机的方法包括:
步骤401:云用户通过终端设备向位于云端的管理设备发送加密机托管请求。
随着云用户的数据以及业务向云端的迁移,云用户通常也希望在云端拥有自己的加密机,并通过在加密机中存储的密钥对云端存储的其他密钥或者业务数据提供可靠的保护。在上述需求背景下,云提供商可以在云端提供加密机托管服务,云用户则可以根据需要通过终端设备向位于云端的管理设备发送加密机托管请求。
为了便于在后续操作过程中执行与身份认证相关的安全性操作,在云用户通过终端设备向位于云端的管理设备发送加密机托管请求之前,可以执行下述系统初始化操作:
由云提供商管理员为所述管理设备预置用于身份认证的公私钥对、和身份证书;由云用户(包括使用云服务的企业的管理员)为其终端设备预置用于身份认证的公私钥对、和身份证书;由加密机设备厂商为加密机中承载的虚拟加密设备预置用于身份认证的公私钥对、身份证书、以及设备标识。上述公钥是对外公开的,私钥用于签名身份证书。上述与身份认证相关的预置信息可以保存在相应设备专属的加密机中,也可以采用其他方式存储,在执行后续步骤时,可以采用上述身份认证信息对参与操作的设备身份进行验证(请参见步骤403)。
步骤402:管理设备根据接收到的请求,为所述云用户分配在云端托管的虚拟加密设备,所述虚拟加密设备由加密机承载。
管理设备根据接收到的加密机托管请求,为云用户分配相应加密机。管理设备为云用户分配的可以是拥有独立物理空间的加密机,也可以是由加密机承载的虚拟加密设备,即:多个云用户可以共享一台加密机,而共享同一加密机的每个云用户拥有独立的虚拟加密设备。在具体实施时,上述两种分配方式并不影响本技术方案的实施,为了便于描述,本实施例统一采用虚拟加密设备的表述方式。
通常管理设备在完成上述分配操作后,可以向所述终端设备发送已分配完毕的应答,并同时向终端设备发送所述虚拟加密设备的设备标识,以便于云用户在日后随时监管分配给其的虚拟加密设备的使用情况及安全状况。所述虚拟加密设备的设备标识是指,加密机设备厂商在系统初始化阶段为每个可供分配的虚拟加密设备预置的、用于唯一标识虚拟加密设备的标识信息,例如:序列号。
所述终端设备接收所述设备标识信息后,可以向加密机设备厂商验证所述虚拟加密设备的合法性。此处列举两种可以采用的验证方式:所述终端设备向相应的加密机设备厂商发送验证请求,并携带所述待验证的设备标识,所述加密机设备厂商执行验证操作后向终端设备反馈所述验证结果;通过所述终端设备访问加密机设备厂商提供的用于进行设备认证的网站、并根据所述设备标识进行查询。若所述加密机设备厂商反馈的验证结果或者查询结果表明,所述虚拟加密设备通过所述合法性验证,则可以执行后续步骤403向所述加密机中注入所述虚拟加密设备的根密钥;否则,终端设备可以通知管理设备所述虚拟加密设备未通过合法性验证,并且不继续执行后续注入根密钥的步骤。
需要说明的是,作为一种优选实施方式,为了保证所述设备标识信息的安全性,所述管理设备可以在向终端设备发送设备标识之前,与所述终端设备通过各自的量子密钥分发设备协商共享密钥对;然后管理设备采用协商好的共享密钥加密所述设备标识,并将加密后的设备标识发送给所述终端设备。相应的,所述终端设备采用协商好的共享密钥解密接收到的设备标识,并用解密后的设备标识执行所述验证操作。
步骤403:向所述加密机中远程注入所述虚拟加密设备的根密钥。
本步骤采用本申请提供的用于加密机的密钥注入方法完成所述根密钥的注入操作,具体描述请参见相应实施例中的说明,此处不再赘述。
需要说明的是,如果在上述步骤402中根据云用户的需求,为云用户分配了一个以上虚拟加密设备,那么在本步骤中可以采用远程注入的方式依次为每个虚拟加密设备注入根密钥。
本实施例提供的在云端托管加密机的方法,提出了一种实现加密机云化的技术方案,云用户通过终端设备向云端的管理设备发送加密机托管请求,就可以在云端托管虚拟加密设备,并且通过远程注入的方式实现根密钥的注入操作。 由此可见,本方法提供了加密机云化的一种新思路,不仅方便云用户在云端托管虚拟加密设备,而且免除了云用户进出托管区手动插卡的必要,简化了密钥注入的操作过程,便于云提供商对托管区进行管理,提升云用户对在云端托管加密机的信任度。
在上述的实施例中,提供了一种在云端托管加密机的方法,与之相对应的,本申请还提供一种在云端托管加密机的装置。请参看图5,其为本申请的一种在云端托管加密机的装置的实施例的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
本实施例的一种在云端托管加密机的装置,包括:托管请求发送单元501,用于云用户通过终端设备向位于云端的管理设备发送加密机托管请求;托管设备分配单元502,用于所述管理设备根据接收到的请求,为所述云用户分配在云端托管的虚拟加密设备,所述虚拟加密设备由加密机承载;根密钥注入单元503,用于采用上述用于加密机的密钥注入装置,向所述加密机中远程注入所述虚拟加密设备的根密钥。
可选的,所述装置包括:初始化单元,用于在触发所述托管请求发送单元工作之前执行初始化操作;该单元包括:
管理及终端设备初始化子单元,用于由相应管理者为所述管理设备、以及终端设备预置用于身份认证的公私钥对、和身份证书;
虚拟加密设备初始化子单元,用于由加密机设备厂商为加密机中承载的虚拟加密设备预置用于身份认证的公私钥对、身份证书、以及设备标识。
可选的,所述装置包括:
设备标识发送单元,用于在所述托管设备分配单元完成分配虚拟加密设备的操作后,所述管理设备将所述虚拟加密设备的设备标识发送给所述终端设备;
设备合法性验证单元,用于所述终端设备利用接收到的设备标识,向加密机设备厂商验证所述虚拟加密设备的合法性;若所述虚拟加密设备通过所述合法性验证,则触发所述根密钥注入单元工作。
可选的,所述装置包括:
共享密钥协商单元,用于在所述托管设备分配单元完成分配虚拟加密设备的操作后,所述管理设备与所述终端设备通过各自的量子密钥分发设备协商共 享密钥对;
相应的,所述设备标识发送单元具体用于,管理设备采用协商好的共享密钥加密所述设备标识,并将加密后的设备标识发送给所述终端设备;
所述设备合法性验证单元具体用于,所述终端设备采用协商好的共享密钥对接收到的设备标识解密,并用解密后的设备标识执行所述验证操作。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
- 还没有人留言评论。精彩留言会获得点赞!