【技術實現步驟摘要】
本專利技術涉及計算機安全,具體涉及一種基于機密計算技術的分布式密碼服務系統及方法。
技術介紹
1、當前,越來越多的業務系統使用密碼技術,以實現數據的機密性、完整性、不可抵賴性保護。為實現系統的合規建設和高可用建設,很多業務系統調用硬件密碼設備集群的方式實現其密碼運算。密碼設備集群為集中的密碼服務入口,存在密碼資源無法動態調配、網絡消耗大、可靠性低等問題。尤其在大型密碼需求密集的系統中,單筆業務需調用多次密碼服務,則需多次將網絡流量發送至密碼設備集群,密碼設備集群加密后,將密文返回業務集群,這樣占用了很大的網絡資源,并且調用密碼設備集群的入口,將成為網絡瓶頸所在。且密碼設備集群的調用無授權管理,只要網絡可達,內部業務皆可調用密碼設備集群,可能造成密碼資源濫用或未授權使用等風險,為業務系統的建設和安全防護帶來脆弱性。
2、分布式密碼服務和集中式密碼服務相對應,傳統業務系統在調用密碼服務時,大多使用密碼設備集群的方式提供服務,即為集中式密碼服務。分布式密碼服務指在不同的、獨立的節點提供密碼服務。業務系統使用密碼服務時可不再調用集中的密碼設備集群,密碼服務對外的入口不再是集中的一個,而是分散的多個,每一個密碼服務節點都具有密碼運算能力,可為業務系統提供分布式的密碼服務。
3、cn108259175a公開了一種分布式密碼服務系統,包括主控服務器、本地服務代理服務器和多個密碼機,以上單元通過以太網方式連接組網,實現相互訪問。該方案可以避免入口瓶頸,具有負荷分擔的功能,同時能為用戶提供安全透明、可用性高的集群式密碼服務
4、(1)用戶、密碼機之間的調用仍采用網絡連接,在密碼需求密集型系統,用戶需要反復、多次調用密碼機,用戶調用密碼機需占用大量網絡資源。
5、根據網絡帶寬資源計算公式:nb(bit/s)=n*qps(次/s)*db(bit/次),根據公式可知,單筆業務請求調用密碼機次數n越多、每秒需完成業務請求的次數qps越多、待加密的數據包db越大,則占用帶寬資源nb越多。
6、(2)用戶調用密碼設備提供的密碼服務時,沒有授權管理,用戶知道密碼設備ip,即可調用密碼設備,可能造成密碼資源的濫用。
技術實現思路
1、針對現有技術的不足,本專利技術旨在提供一種基于機密計算技術的分布式密碼服務系統及方法。
2、為了實現上述目的,本專利技術采用如下技術方案:
3、一種基于機密計算技術的分布式密碼服務系統,包括機密計算服務器、機密計算設備管理系統和用戶應用管理中心;機密計算服務器、機密計算設備管理系統和用戶應用管理中心之間通過網絡通訊連接,可通過網絡相互傳輸數據;
4、機密計算服務器部署有用戶應用和密碼套件,并具有安全處理器,所述安全處理器用于安全存儲密鑰;密碼套件用于為用戶應用提供密碼運算服務,用戶應用無需通過網絡即可將待加密數據傳送給密碼套件,實現對密碼套件的本地化的調用;所述密碼套件從機密計算服務器本地的授權管理配置中讀取配置信息,配置信息包括用戶應用的severid和密碼套件的密碼服務接口間的授權關系;密碼套件根據讀取的配置信息,對用戶應用進行授權管理,沒經過授權的用戶應用,無法調用密碼套件的密碼運算服務;
5、所述機密計算設備管理系統包括設備注冊模塊和密碼套件分發模塊;設備注冊模塊用于實現機密計算服務器的管理,將機密計算服務器的ip錄入并注冊,形成設備信息列表,若機密計算服務器發生變更,則設備信息列表發生變更;設備注冊模塊將設備信息列表同步發布給密碼套件分發模塊,密碼套件分發模塊根據設備信息列表內的機密計算服務器的ip信息,將密碼套件通過網絡分發至對應的機密計算服務器上;
6、用戶應用管理中心包括應用注冊模塊和授權管理模塊;應用注冊模塊用于提供對用戶應用的管理,應用注冊模塊為每個用戶應用分配全局唯一的serverid,并形成用戶應用列表,將用戶應用列表發布給授權管理模塊;授權管理模塊具有用戶應用列表、密碼套件接口服務列表及用戶應用和密碼套件的密碼服務接口之間的授權關系列表;授權管理模塊將授權關系列表通過網絡發布到每臺機密計算服務器,在機密計算服務器本地形成授權管理配置。
7、進一步地,若設備信息列表發生變更,密碼套件分發模塊將向新增的分發密碼套件,或將密碼套件從刪除的機密計算服務器上刪除。
8、進一步地,授權管理模塊定期計算并檢查授權關系列表的哈希值,若有變化代表授權關系有變化,則將新的授權關系列表發布給每臺機密計算服務器,更新其授權管理配置。
9、本專利技術還提供一種利用上述系統的分布式密碼服務方法,具體過程為:
10、用戶應用管理中心收到用戶應用的密碼服務調用請求,為其分配全局唯一的serverid,并根據其需求情況,授權用戶應用可調用的密碼套件的密碼服務接口,記錄在授權關系列表;
11、機密計算設備管理系統的設備注冊模塊將管理范圍內的機密計算服務器的ip進行注冊,形成設備信息列表,并將設備信息列表通過網絡發布給用戶應用管理中心;機密計算設備管理系統的密碼套件分發模塊分發密碼套件至注冊的每臺機密計算服務器;
12、用戶應用管理中心根據設備信息列表的信息,將授權關系列表通過網絡推送給每臺機密計算服務器,每臺機密計算服務器在本地形成授權管理配置;
13、用戶應用在所在的機密計算服務器內部調用本地的密碼套件,調用時,密碼套件查詢本地的授權管理配置,確認該用戶應用的severid和密碼套件的密碼服務接口間的授權關系,若存在授權關系,則允許用戶應用調用密碼套件,為用戶提供密碼服務。
14、本專利技術的有益效果在于:
15、(1)本專利技術消除了傳統的密碼設備集群的統一入口,因此不存在瓶頸限制,且不存在故障點,可以提高密碼服務運行的穩定,提高系統可靠性。
16、(2)本專利技術中,用戶應用調用機密計算服務器本地部署的密碼套件的密碼服務,是本地內部調用,不需要網絡連接,不占用網絡資源帶寬。
17、(3)本專利技術中,通過用戶應用管理中心實現應用的注冊和應用調用密碼套件的權限分配,在用戶應用調用密碼套件的服務時,密碼套件先查看用戶應用管理中心分配的權限信息,如果權限有效,則為其提供相應的密碼服務,若無權限,則拒絕提供密碼服務,從而可以提高密碼服務使用的安全性。
本文檔來自技高網...【技術保護點】
1.一種基于機密計算技術的分布式密碼服務系統,其特征在于,包括機密計算服務器、機密計算設備管理系統和用戶應用管理中心;機密計算服務器、機密計算設備管理系統和用戶應用管理中心之間通過網絡通訊連接,可通過網絡相互傳輸數據;
2.根據權利要求1所述的系統,其特征在于,若設備信息列表發生變更,密碼套件分發模塊將向新增的分發密碼套件,或將密碼套件從刪除的機密計算服務器上刪除。
3.根據權利要求1所述的系統,其特征在于,授權管理模塊定期計算并檢查授權關系列表的哈希值,若有變化代表授權關系有變化,則將新的授權關系列表發布給每臺機密計算服務器,更新其授權管理配置。
4.一種利用權利要求1-3任一所述系統的分布式密碼服務方法,其特征在于,具體過程為:
【技術特征摘要】
1.一種基于機密計算技術的分布式密碼服務系統,其特征在于,包括機密計算服務器、機密計算設備管理系統和用戶應用管理中心;機密計算服務器、機密計算設備管理系統和用戶應用管理中心之間通過網絡通訊連接,可通過網絡相互傳輸數據;
2.根據權利要求1所述的系統,其特征在于,若設備信息列表發生變更,密碼套件分發模塊將向新增的分發密碼套件,...
【專利技術屬性】
技術研發人員:鄧晨,邱旭華,趙婧,張紫薇,劉斌,劉情,吳國英,國偉,顏挺,周衛東,劉冰,宋杰,李志遠,劉欣瑜,周震東,王蕾,鄭昊琳,田強,梁煜博,王鳳,宋世達,
申請(專利權)人:公安部第一研究所,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。