一种云平台密钥管理方法和系统与流程

本发明涉及通信技术领域，尤其涉及一种云平台密钥管理方法和系统。

背景技术：

随着信息科学与网络技术的迅猛发展，企事业单位及政府部门等，内部的应用系统越来越多，复杂程度也相应的在增加，给人们带来了诸多不便，云概念应运而生。云计算是一种面向互联网的分布式计算服务，作为IT资源和服务的一种交付使用模型，它可以实现随时随地、便捷的、合理的从可配置计算机共享池中获取所需的资源（如网络、服务器、存储、应用、服务等），这些资源可以被迅速提供并发布,同时最小化管理成本。这样，在用户看来，云计算系统的后台就是一个巨大的云平台，这个云平台被大量用户共享，用户所要做的事情就是通过会话密钥建立安全的通信连接，验证身份信息后，即可获得相对应的权限对应用程序进行操作。所以，在云共享平台，用户的安全登录，密钥安全性管理，成为了云平台的重要安全问题。否则，一旦黑客入侵，云平台会被非法使用或修改，最终导致密钥及数据泄露；

传统的密钥管理方法不仅效率低下，对用户访问权限的密钥管理安全性较差。

技术实现要素：

本发明的实施例提供了一种云平台密钥管理方法和系统，本发明提供了如下方案：

获取用户认证信息；

根据所述用户认证信息生成与所述用户认证信息对应的一级密钥，所述一级密钥用于验证用户对云平台的访问权限；

根据所述一级密钥判断是否为用户授权访问云平台的权限；

根据用户权限生成与所述用户认证信息对应的二级密钥，所述二级密钥用于验证用户在系统中访问一个或多个独立应用的权限；

根据所述一级密钥和所述二级密钥判断是否为用户授权访问所述独立应用的权限。

根据本发明的上述方法，包括：

通过安全会话获取所述用户信息。

根据本发明的上述方法，包括：

建立所述用户认证信息和所述一级密钥的映射关系；

建立所述用户认证信息和所述二级密钥的映射关系。

根据本发明的上述方法，包括：

当用户一级密钥获得验证，分配用户访问权限；

当用户的一级密钥及二级密钥都获得验证，分配用户访问所述独立应用的权限。

根据本发明的上述方法，包括：

记录用户获得所述登录权限以及获得访问所述独立应用的权限后，对数据资源访问的数据，并生成日志保存。

根据本发明的另一方面还提供，一种云平台密钥管理系统，包括：

获取模块：其用于获取用户认证信息；

一级密钥模块：其用于根据所述用户认证信息生成与所述用户认证信息对应的一级密钥，所述一级密钥用于验证用户对云平台的访问权限；

一级授权模块：其用于根据所述一级密钥判断是否为用户授权访问云平台的权限；

二级密钥模块：其用于根据用户权限生成与所述用户认证信息对应的二级密钥，所述二级密钥用于验证用户在系统中访问一个或多个独立应用的权限；

二级授权模块：其用于根据所述一级密钥和所述二级密钥判断是否为用户授权访问所述独立应用的权限。

根据本发明的另一方面，所述获取模块，包括：

会话组件：其用于通过安全会话获取所述用户信息。

根据本发明的另一方面，包括：

所述一级密钥模块包括一级映射组件，

一级映射组件：其用于建立所述用户认证信息和所述一级密钥的映射关系；

所述二级密钥模块包括二级映射组件，

二级映射组件：其用于建立所述用户认证信息和所述二级密钥的映射关系。

根据本发明的另一方面，包括：

所述一级授权模块包括一级分配组件，

一级分配组件：其用于当用户一级密钥获得验证，分配用户访问权限；

所述二级授权模块包括二级分配组件，

二级分配组件：其用于当用户的一级密钥及二级密钥都获得验证，分配用户访问所述独立应用的权限。

根据本发明的另一方面，还包括：

记录模块：其用于记录用户获得所述登录权限以及获得访问所述独立应用的权限后，对数据资源访问的数据，并生成日志保存。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例采用两级密钥管理，获取用户认证信息；根据所述用户认证信息生成与所述用户认证信息对应的一级密钥，所述一级密钥用于验证用户对云平台的访问权限； 根据所述一级密钥判断是否为用户授权访问云平台的权限；根据用户权限生成与所述用户认证信息对应的二级密钥，所述二级密钥用于验证用户在系统中访问一个或多个独立应用的权限；根据所述一级密钥和所述二级密钥判断是否为用户授权访问所述独立应用的权限。克服现有技术中使用不方便和密钥管理安全性差等缺陷,以实现灵活性好、扩展能力强、使用方便和安全性好的优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种云平台密钥管理方法的处理流程图；

图2为本发明实施例一提供的一种云平台密钥管理系统的系统模块图。

具体实施方式

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例一

该实施例提供了一种云平台密钥管理方法的处理流程如图1所示，包括如下的处理步骤：

步骤11、获取用户认证信息；

通过安全会话获取所述用户信息；本实施例中，以路由会话协议作为安全会话为例；通过路由会话协议对用户进行安全会话连接建立，用户从登录入口进行身份认证登录，其中，用户登录认证入口提供了多种级别的用户认证信息录入：包括静态口令和智能卡、生物特征识别、动态口令令牌、CA数字证书等。

步骤12、根据所述用户认证信息生成与所述用户认证信息对应的一级密钥，所述一级密钥用于验证用户对云平台的访问权限；

根据所获取的用户认证信息，生成与所述用户认证信息对应的一级密钥，建立所述用户认证信息和所述一级密钥的映射关系；优选地，所述用户认证信息与所述一级密钥是一一映射关系，一级密钥用于验证用户对系统的访问权限。

优选地，对用户登录系统时输入的用户认证信息进行哈希运算，产生一级密钥key；

步骤13、根据所述一级密钥判断是否为用户授权访问云平台的权限；

当用户一级密钥获得验证，分配用户访问云平台的权限；

步骤14、根据用户权限生成与所述用户认证信息对应的二级密钥，所述二级密钥用于验证用户在系统中访问一个或多个独立应用的权限；

建立所述用户认证信息和所述二级密钥的映射关系，可以是多个独立应用对应一个二级密钥，当多个独立应用对应一个二级密钥，采用一个二级密钥通过验证即可获得对系统所有应用访问权限；

具体地，各个独立应用存储在云平台系统上，对于在平台上对各个独立应用打包进行总体加密，通过随机密钥生成算法产生密钥key0，并利用所述密钥key0将文件明文转化成文件密文；对用户登录系统时输入的用户认证信息进行哈希运算，将运算结果作为密钥来对密钥key0进行加密，产生二级密钥KEY；将所述文件密文和二级密钥KEY 以所需存储格式存储在云计算平台。

优选地，每个独立应用对应一个二级密钥， 当用户对每个独立应用需要访问时，均需要通过二级密钥验证。

具体地，各个独立应用存储在云平台系统上，对于在平台上对各个独立应用分别进行加密，以某个独立应用为例，通过随机密钥生成算法产生密钥key0，并利用所述密钥key0将文件明文转化成文件密文；对用户登录系统时输入的用户认证信息进行哈希运算，将运算结果作为密钥来对密钥key0进行加密，产生二级密钥KEY；将所述文件密文和二级密钥KEY 以所需存储格式存储在云计算平台。

步骤15、根据所述一级密钥和所述二级密钥判断是否为用户授权访问所述独立应用的权限。

当用户的一级密钥及二级密钥都获得验证，分配用户访问所述独立应用的权限。

例如，当用户从云平台访问某独立应用时，系统将抽取出密钥KEY ，通过用户名和密码，解密得到密钥key ，利用所述密钥key ，获得对某项独立应用访问权限。

优选地，本实施例还记录用户获得所述登录权限以及获得访问所述独立应用的权限后，对数据资源访问的数据，并生成日志保存。方便审计管理人员进行核查校验，并通过统计功能得出各应用系统的访问频率及访问者的角色权限。

实施例二

该实施例提供了一种云平台密钥管理系统，其具体实现结构如图2所示，具体可以包括如下的模块：

获取模块21：其用于获取用户认证信息；

一级密钥模块22：其用于根据所述用户认证信息生成与所述用户认证信息对应的一级密钥，所述一级密钥用于验证用户对云平台的访问权限；

一级授权模块23：其用于根据所述一级密钥判断是否为用户授权访问云平台的权限；

二级密钥模块24：其用于根据用户权限生成与所述用户认证信息对应的二级密钥，所述二级密钥用于验证用户在系统中访问一个或多个独立应用的权限；

二级授权模块25：其用于根据所述一级密钥和所述二级密钥判断是否为用户授权访问所述独立应用的权限。

所述获取模块21，包括：

会话组件211：其用于通过安全会话获取所述用户信息。

所述一级密钥模块22，包括：一级映射组：221，

一级映射组件221：其用于建立所述用户认证信息和所述一级密钥的映射关系；

所述二级密钥模块24，包括：二级映射组件241，

二级映射组件241：其用于建立所述用户认证信息和所述二级密钥的映射关系。

所述一级授权模块23，包括：一级分配组件231，

一级分配组件231：其用于当用户一级密钥获得验证，分配用户访问权限；

所述二级授权模块25，包括：二级分配组件251，

二级分配组件251：其用于当用户的一级密钥及二级密钥都获得验证，分配用户访问所述独立应用的权限。

本发明的云平台密钥管理系统，还包括：

记录模块26：其用于记录用户获得所述登录权限以及获得访问所述独立应用的权限后，对数据资源访问的数据，并生成日志保存。

用本发明实施例的系统进行云平台密钥管理的具体过程与前述方法实施例类似，此处不再赘述。

综上所述，本发明实施例通过采用两级密钥管理，获取用户认证信息；根据所述用户认证信息生成与所述用户认证信息对应的一级密钥，所述一级密钥用于验证用户对云平台的访问权限； 根据所述一级密钥判断是否为用户授权访问云平台的权限；根据用户权限生成与所述用户认证信息对应的二级密钥，所述二级密钥用于验证用户在系统中访问一个或多个独立应用的权限；根据所述一级密钥和所述二级密钥判断是否为用户授权访问所述独立应用的权限。克服现有技术中使用不方便和密钥管理安全性差等缺陷,以实现灵活性好、扩展能力强、使用方便和安全性好的优点。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。