一种适用于云计算的密钥管理方法
【技术领域】
[0001]本发明属于信息安全密钥管理技术领域,具体涉及一种适用于云计算环境下的的密钥管理方法。
【背景技术】
[0002]云计算源自于商业计算模型,它将计算任务分布到由大量计算机构成的资源池,从而使用户能够根据需要获取计算能力、存储空间和应用服务。“云计算”被看作是驱动下一代互联网的技术应用。“云”是一些可以自我维护和管理的虚拟计算资源。通常是服务集群,包括计算服务器、存储服务器和网络资源等。云计算将计算资源集中起来,并通过专门软件实现自动管理。用户可以动态申请部分资源来支持各种应用程序的运转。这样不仅使用户能够更加专注于自己的业务,也有利于提高效率、降低成本。虽然云计算产业具有巨大市场增长前景,但对于使用这项服务的企业用户来说,云计算服务存在潜在的安全风险。
[0003]当企业或者个人用户使用云计算服务时,他们并不清楚自己数据被放置在哪台服务器上,甚至根本不了解这台服务器放置在哪个地方。在云计算服务平台中,大量企业用户的数据处于共享环境下,出于数据安全考虑,企业或者个人用户在选择使用云计算服务之前,需要保证数据安全存储。
[0004]由以上分析可以看出,云安全的主要问题都与数据的安全性有关,数据安全是云安全的基础性问题,本文在分析云数据安全需要解决问题的基础上,提出适用于云计算数据安全的密钥管理方法。
【发明内容】
[0005]为了克服现有技术的上述缺点,本发明提供了一种适用于云计算的密钥管理方法。
[0006]本发明解决其技术问题所采用的技术方案是:一种适用于云计算的密钥管理方法,包括云计算密钥客户端和云计算密钥管理服务器,所述云计算密钥客户端是驻留在云计算服务器中的密码服务客户端,负责向云计算服务器中的云计算应用提供密钥服务;所述云计算密钥客户端使用统一、标准的密钥管理协议向云计算密钥管理服务器申请密钥管理服务;云计算密钥管理服务器根据业务申请类型向密码管理服务器或数字证书中心获取相应的业务操作,然后向云计算密钥客户端返回业务操作结果。
[0007]与现有技术相比,本发明的积极效果是:面向云计算环境中的数据安全需求、密码服务需求、证书服务需求,可以基于统一管理框架和机制提供全面、有效、可扩展的云计算密钥管理服务,便于云计算环境中密钥集中统一管理和维护,降低密钥维护和管理成本,降低密钥泄露等潜在的风险。
【附图说明】
[0008]本发明将通过例子并参照附图的方式说明,其中:
[0009]图1是本发明的云计算密钥管理框架结构示意图;
[0010]图2是申请加密密钥的流程图。
【具体实施方式】
[0011]在云计算应用环境中,密钥管理的对象具有以下特点:
[0012]1、密钥种类多
[0013]由于云中的应用千差万别.密码应用的需求也是多种多样。因此,需要支持对称密码、非对称密码等多种密码体制和不同密码算法。
[0014]2、密钥数据量大
[0015]每一个用户在云中运算可能需要多个密钥实现数据加密存储、加密传输等多种功能,密钥管理系统需要面向云计算环境中的所有用户和应用。因此,管理密钥数据量将十分巨大。
[0016]3、密钥应用环境复杂
[0017]由于云中应用密码进行加密和认证的应用场景复杂,设计时必须充分考虑密钥应用客户端具有屏蔽应用环境的能力,可通过密钥管理协议解决密钥使用和管理的复杂性。
[0018]基于以上云计算密钥管理设计要求,本发明的云计算密钥管理框架由云计算密钥客户端(Cloud Computing Key Client,CKC)和云计算密钥管理服务器(Cloud ComputingKey Management Server, CKMS)两部分组成,如图1 所示。
[0019]CKC是驻留在云计算服务器中的密码服务客户端,负责向该云计算服务器中的云计算应用提供密钥服务。CKC使用统一、标准的密钥管理协议向CKMS中申请密钥产生、恢复、更新等管理服务。CKMS根据业务申请类型向对称或者非对称密码管理服务器申请、恢复、更新相关密钥,然后向CKC返回密钥业务操作结果;也可以代理CKC向数字证书中心申请、撤销、更新证书。
[0020]以下是对本发明方法的具体描述:
[0021]以申请加密密钥(对称密钥)为例对发明提出的云计算密钥管理方法进行说明(密钥恢复、更新以及数字证书中心申请、撤销、更新证书过程都一样,只是申请中的操作类型标志位不同而已)。云计算服务器需要加密数据,如图2所示,通过CKC向CKMS申请密钥的过程如下:
[0022]1、CKC生成密钥请求包,发送给CKMS,数据包包括请求包头部、操作类型、密钥对象和标识符;头部主要包括数据长度等;操作类型包括申请、撤销、恢复等业务操作;密钥对象包括对称密钥、非对称密钥、证书等;标识符标识申请者的身份ID ;
[0023]2、CKMS收到密钥请求后,根据请求内容,从对称密码服务器获取对称密钥;
[0024]3、CKMS生成密钥回复包,发送给CKC,数据包包括回复包头部、密钥对象、标识符和对称密钥;
[0025]上述CKC和CKMS之间的通信依赖于TLS或HTTPS等安全机制保证密钥管理过程的机密性、完整性和可鉴别。
【主权项】
1.一种适用于云计算的密钥管理方法,其特征在于:包括云计算密钥客户端和云计算密钥管理服务器,所述云计算密钥客户端是驻留在云计算服务器中的密码服务客户端,负责向云计算服务器中的云计算应用提供密钥服务;所述云计算密钥客户端使用统一、标准的密钥管理协议向云计算密钥管理服务器申请密钥管理服务;云计算密钥管理服务器根据业务申请类型向密码管理服务器或数字证书中心获取相应的业务操作,然后向云计算密钥客户端返回业务操作结果。2.根据权利要求1所述的一种适用于云计算的密钥管理方法,其特征在于:所述密钥管理服务包括密钥的产生、恢复或更新,以及数字证书的申请、撤销或更新。3.根据权利要求1所述的一种适用于云计算的密钥管理方法,其特征在于:所述密码管理服务器包括对称或者非对称密码管理服务器。4.根据权利要求1所述的一种适用于云计算的密钥管理方法,其特征在于:所述云计算密钥客户端通过向云计算密钥管理服务器发送数据包申请密钥管理服务,所述数据包包括:头部、操作类型、密钥对象和标识符。5.根据权利要求4所述的一种适用于云计算的密钥管理方法,其特征在于:所述头部包括数据长度;所述操作类型包括申请、撤销或恢复业务操作;所述密钥对象包括对称密钥、非对称密钥或数字证书;所述标识符用于标识申请者的身份ID。
【专利摘要】本发明公开了一种适用于云计算的密钥管理方法,包括云计算密钥客户端和云计算密钥管理服务器,所述云计算密钥客户端是驻留在云计算服务器中的密码服务客户端,负责向云计算服务器中的云计算应用提供密钥服务;所述云计算密钥客户端使用统一、标准的密钥管理协议向云计算密钥管理服务器申请密钥管理服务;云计算密钥管理服务器根据业务申请类型向密码管理服务器或数字证书中心获取相应的业务操作,然后向云计算密钥客户端返回业务操作结果。本发明基于统一管理框架和机制提供全面、有效、可扩展的云计算密钥管理服务,便于云计算环境中密钥集中统一管理和维护,降低密钥维护和管理成本,降低密钥泄露等潜在的风险。
【IPC分类】H04L29/06
【公开号】CN105208044
【申请号】CN201510724741
【发明人】廖成军, 寇建波
【申请人】成都卫士通信息产业股份有限公司
【公开日】2015年12月30日
【申请日】2015年10月29日