一種雲計算密鑰的加密和解密方法及裝置的製作方法
2023-12-07 01:36:06 5
專利名稱:一種雲計算密鑰的加密和解密方法及裝置的製作方法
技術領域:
本發明涉及雲計算密鑰管理領域,特別是一種雲計算密鑰的加密和解密方法及裝置。
背景技術:
2009年被業界稱為「雲計算」元年,雲計算正在備受人們關注,無論是網際網路廠商、 運營商,還是通信廠商、基礎網絡運營商都對雲計算表現出極大的熱情。狹義雲計算是指IT 基礎設施的交付和使用模式,指通過網絡以按需、易擴展的方式獲得所需的資源;廣義雲計算是指服務的交付和使用模式,指通過網絡以按需、易擴展的方式獲得所需的服務,這種服務可以是IT和軟體、網際網路相關的,也可以是任意其他的服務,它具有超大規模、虛擬化、 可靠安全等獨特功效。對於網絡運營商而言,可以使得運營成本和操作維護成本大大下降, 達到節能減排的目的。在雲計算環境下,一切資源都是可以運營的,都可以作為服務提供, 包括應用程式、軟體、平臺、處理能力、存儲、網絡、計算資源以及其他基礎設施等;雲計算使得用戶隨時隨地消費服務成為可能,用戶不需要大量投資而獲得運營業務所需的IT資源, 完全可以根據自己的需求來租用,使IT資源在用戶眼中如同水、電和煤氣一樣,按需獲取和計費。雲計算一般有三種主要的服務模式,分別是軟體即服務(SaaS,Softwareas a Service)、平臺即服務(PaaS,Platform as a Service)、基礎設施即服務(IaaS, Infrastructure as a Service)。從不同服務模式所處的層次而言,SaaS指的是雲計算服務提供商即網絡側把應用程式作為一種服務提供給用戶,用戶可以通過客戶端接口如web 瀏覽器,隨時隨地使用這些應用程式,而不需要在本地主機進行安裝,該層次面對的是不同的應用程式,對用戶而言可以提供最為豐富的業務特性,訪問頻率高,但是擴展性最差,業務的生命周期也較短,因此對安全的需求也是最弱的,往往需要較為頻繁的密鑰更新。I^aaS指的是雲計算服務提供商向用戶提供開發應用程式的語言或工具平臺,如面向對象、直譯式電腦程式設計語言jaVa、Python,以及.Net等,也就是說雲計算服務提供商以提供平臺服務為自己的主業,用戶可以基於I^aaS開發自己的應用程式。I^aaS處於中間層,對用戶而言可以提供較為豐富的業務特性,業務特徵沒有^aS層那麼豐富,擴展性較 SaaS優秀,業務的生命周期也較長,因此密鑰更新頻率較^aS要低。IaaS指的是雲服務提供商可以把自己的基礎設施作為服務提供給用戶,用戶根據需要租用處理能力、存儲、網絡以及其他計算資源等,按需付費,這種服務可以大大減少用戶在基礎設施上的重複投資和浪費,IaaS作為雲計算的基礎設施層,對用戶而言可以提供的業務特性最不豐富,但是擴展性最好,業務的生命周期也最長,因此對安全的需求最為強烈,密鑰更新頻率最低。雲計算的最終目的是使得一切資源可以運營,並要用戶可以有信心把有價值的數據託管於雲計算服務提供商,因此在雲計算場景下,用戶最為關注的是雲計算提供商是否能夠保證數據的安全;而對數據而言,安全的本質在於健壯的加密算法和可信的密鑰管理機制。密鑰管理包括密鑰的生命周期管理和密鑰的分發,傳統的密鑰管理對於每個層次都是等同的,比如在使用某個層次的雲計算服務時,在每個層次上都需要使用一套密鑰協商機制,在用戶側與雲計算服務提供商之間協商出共享的會話密鑰,用於保證該層次服務的安全。但這種做法的缺點是耗費系統資源,同時會大大增加服務響應時延,導致用戶體驗變差,對於大規模用戶而言,就會給雲計算服務提供商的密鑰管理造成非常大的壓力。
發明內容
有鑑於此,本發明的主要目的在於提供一種雲計算密鑰的加密和解密方法及裝置,以節約系統消耗、降低服務響應時延,保證密鑰分發的安全性。為達到上述目的,本發明的技術方案是這樣實現的本發明提供了一種雲計算密鑰的加密和解密方法,該方法包括網絡側使用生命周期較長的密鑰對生命周期較短的密鑰消息進行加密後傳給用戶側,用戶側接收到所述密鑰消息後,使用所述生命周期較長的密鑰對所述密鑰消息進行解密以獲得相應密鑰;所述生命周期較短的密鑰消息中攜帶生命周期較短的密鑰。上述方案中,所述網絡側使用生命周期較長的密鑰來加密生命周期較短的密鑰消息,具體包括在基礎設施即服務(IaaS)層次根據用戶的訂購關係生成IaaS密鑰,並使用用戶密鑰對帶有IaaS密鑰的IaaS密鑰消息進行加密;在平臺即服務(PaaS)層次根據用戶的訂購關係生成I^aaS密鑰,並使用IaaS密鑰對帶有I^aaS密鑰的I^aaS密鑰消息進行加密;在軟體即服務(SaaS)層次根據用戶的訂購關係生成MaS密鑰,並使用I^aaS密鑰對帶有MaS密鑰的MaS密鑰消息進行加密。上述方案中,所述用戶側使用生命周期較長的密鑰對該密鑰消息進行解密以獲得相應密鑰,具體包括在IaaS層次使用用戶密鑰對接收到的IaaS密鑰消息進行解密以獲得 IaaS密鑰;在I^aaS層次使用IaaS密鑰對接收到的I^aaS密鑰消息進行解密以獲得I^aaS密鑰;在&iaS層次使用I^aaS密鑰對接收到的&iaS密鑰消息進行解密以獲得密鑰。上述方案中,所述使用生命周期較長的密鑰來加密生命周期較短的密鑰消息之前,該方法還包括用戶側與網絡側相互鑑權後生成共享密鑰,並根據該共享密鑰派生出用戶密鑰。本發明還提供了一種雲計算密鑰的加密和解密裝置,該裝置包括位於網絡側的加密單元,以及位於用戶側的解密單元,其中,加密單元用於使用生命周期較長的密鑰對傳給用戶的生命周期較短的密鑰消息進行加密;解密單元用於使用所述生命周期較長的密鑰對收到的所述密鑰消息進行解密以獲得相應密鑰;所述生命周期較短的密鑰消息中攜帶生命周期較短的密鑰。上述方案中,所述網絡側的加密單元包括IaaS密鑰模塊、PaaS密鑰模塊、SaaS 密鑰模塊其中之一,或任意的組合,分別用於使用生命周期較長的密鑰對傳給用戶的生命周期較短的密鑰消息進行加密;相應地,位於用戶側的解密單元包括IaaS密鑰解密模塊、 PaaS密鑰解密模塊、SaaS密鑰解密模塊對應之一,或對應的組合,分別用於使用所述生命周期較長的密鑰對收到的密鑰消息進行解密以獲得相應密鑰。
上述方案中,所述網絡側的加密單元包括IaaS密鑰模塊、PaaS密鑰模塊和MaS密鑰模塊;其中,IaaS密鑰模塊,用於在IaaS層次上生成IaaS密鑰,並使用用戶密鑰對發送給用戶的IaaS密鑰消息進行加密;PaaS密鑰模塊,用於在I^aaS層次上生成I^aaS密鑰,並使用IaaS密鑰對發送給用戶的I^aaS密鑰消息進行加密;SaaS密鑰模塊,用於在MaS層次上生成MaS密鑰,並使用I^aaS密鑰對發送給用戶的^aS密鑰消息進行加密;所述用戶側的解密單元相應包括IaaS密鑰解密模塊、PaaS密鑰解密模塊和MaS 密鑰解密模塊;其中,IaaS密鑰解密模塊,用於使用用戶密鑰對接收到的IaaS密鑰消息進行解密以獲得IaaS密鑰;PaaS密鑰解密模塊,用於使用IaaS密鑰對接收到的I^aaS密鑰消息進行解密以獲得PaaS密鑰;SaaS密鑰解密模塊,用於使用I^aaS密鑰對接收到的&iaS密鑰消息進行解密以獲得&iaS密鑰。上述方案中,該裝置還包括位於網絡側的鑑權模塊,以及位於用戶側的鑑權模塊;其中,網絡側的鑑權模塊,用於鑑權用戶身份的合法性並生成共享密鑰;用戶側的鑑權模塊,用於鑑權網絡身份的合法性並生成共享密鑰。上述方案中,該裝置還包括分別位於網絡側和用戶側的用戶密鑰模塊,用於根據共享密鑰生成用戶密鑰。本發明所提供的一種雲計算密鑰的加密和解密方法及裝置,網絡側使用生命周期較長的密鑰對生命周期較短的密鑰消息進行加密後傳給用戶側,用戶側接收到密鑰消息後,根據所述生命周期較長的密鑰對該密鑰消息進行解密以獲得相應密鑰。採用本發明所述的方法及裝置,可以為IaaS、PaaS和MaS三個不同層次的雲計算服務提供高效、安全的密鑰分發,節約系統消耗、降低服務響應時延,保證了用戶數據在不同層次的安全性,使得密鑰生命周期管理更加方便。
圖1為本發明雲計算密鑰的加密和解密方法流程圖;圖2為本發明雲計算服務系統密鑰層次關係示意圖;圖3為本發明雲計算密鑰的加密和解密裝置結構示意圖。
具體實施例方式本發明的基本思想是在雲計算服務中使用生命周期較長的密鑰來加密生命周期較短的密鑰消息,以提高密鑰分發的安全性。下面以雲計算提供的全部三種服務即IaaS、PaaS和MaS為實施例對本發明方案進行詳細說明。
所述生命周期較長的密鑰,是一個相對的概念,如在上述三種服務中,IaaS密鑰生命周期一般長達幾天到幾個月,PaaS密鑰生命周期一般在幾小時到幾天,SaaS密鑰生命周期只有幾分鐘甚至幾秒鐘到幾小時,可見,IaaS密鑰生命周期較其他兩者最長,而I^aaS密鑰生命周期較^aS密鑰生命周期長;所述生命周期較短的密鑰,也是一個相對的概念,如 SaaS密鑰的生命周期較其他兩者最短,而I^aaS密鑰生命周期較IaaS密鑰生命周期短。本發明提供的雲計算密鑰的加密和解密方法,如圖1所示,該方法包括以下步驟步驟101 用戶側與網絡側相互鑑權並生成用戶密鑰;本步驟中,在用戶訪問雲計算服務提供商即網絡側的時候,為了保證用戶和網絡的安全,需要進行用戶側和網絡側的相互鑑權;其中,鑑權認證有很多方式,主要分為基於共享秘密和基於公鑰證書的鑑權認證方式;鑑權認證通過後,雙方生成一個共享密鑰,通過該共享密鑰,可以在用戶側和網絡側生成用戶密鑰,該用戶密鑰可以用於後續IaaS密鑰的加密傳輸;其中,用戶密鑰是根據一定的算法或參數由共享密鑰派生而來,共享密鑰和用戶密鑰的生成方式為現有技術,在此不做詳細描述。步驟102 網絡側生成IaaS密鑰並使用用戶密鑰進行加密傳給用戶,用戶側使用用戶密鑰對接收到的IaaS密鑰消息進行解密以獲得IaaS密鑰;本步驟中,當用戶使用網絡側提供的IaaS服務時,網絡側根據用戶的訂購關係即用戶所訂購的業務特徵,在該層次上根據一定的算法或參數生成具有相應生命周期的IaaS 密鑰,並根據安全協議選擇相應的消息格式,將帶有IaaS密鑰的IaaS密鑰消息通過加密方式傳給用戶。其中,網絡側使用用戶密鑰對IaaS密鑰消息進行加密;用戶側使用用戶密鑰對接收到的IaaS密鑰消息進行解密以獲得IaaS密鑰。IaaS密鑰的生成方式為現有技術, 在此不做詳細描述。步驟103 網絡側生成I^aaS密鑰並使用IaaS密鑰進行加密傳給用戶,用戶側使用 IaaS密鑰對接收到的I^aaS密鑰消息進行解密以獲得I^aaS密鑰;本步驟中,當用戶使用網絡側提供的I^aaS服務時,網絡側在該層次上根據用戶的訂購關係、並根據一定的算法或參數生成具有相應生命周期的I^aaS密鑰,並將帶有I^aaS密鑰的I^aaS密鑰消息通過加密方式傳給用戶。其中,網絡側使用IaaS密鑰對I^aaS密鑰消息進行加密;用戶側使用IaaS密鑰對接收到的I^aaS密鑰消息進行解密以獲得I^aaS密鑰。 PaaS密鑰的生成方式為現有技術,在此不做詳細描述。步驟104 網絡側生成&iaS密鑰並使用I^aaS密鑰進行加密傳給用戶,用戶側使用 PaaS密鑰對接收到的&iaS密鑰消息進行解密以獲得&iaS密鑰。本步驟中,當用戶使用網絡側提供的^aS服務時,網絡側在該層次上根據用戶的訂購關係、並根據一定的算法或參數生成具有相應生命周期的^aS密鑰,並將帶有^aS密鑰的&iaS密鑰消息通過加密方式傳給用戶。其中,網絡側使用I^aaS密鑰對&iaS密鑰消息進行加密;用戶側使用I^aaS密鑰對接收到的MaS密鑰消息進行解密以獲得MaS密鑰。 SaaS密鑰的生成方式為現有技術,在此不做詳細描述。通過該實例可以得出,在雲計算服務系統中,密鑰的層次關係從上到下是用戶密鑰、IaaS密鑰、PaaS密鑰、SaaS密鑰,上一層的密鑰可以用於加密下一層的密鑰,以實現下一層密鑰的安全分發。雲計算服務提供商可以提供三種服務,也可以僅僅提供一種或兩種服務,但是無論如何,密鑰的層次關係始終是保持不變的,其密鑰的層次關係如圖2所示。例如,雲計算服務提供商僅僅提供IaaS服務或I^aaS服務或MaS服務,那麼密鑰的層次關係從上到下是用戶密鑰、IaaS密鑰,或用戶密鑰、PaaS密鑰,或用戶密鑰、SaaS密鑰;如果雲計算服務提供商同時提供IaaS和I^aaS服務或IaaS和MaS服務,那麼密鑰的層次關係從上到下是用戶密鑰、IaaS密鑰、I^aaS密鑰,或用戶密鑰、IaaS密鑰、MaS密鑰;如果雲計算服務提供商同時提供I^aaS和MaS服務,那麼密鑰的層次關係從上到下是用戶密鑰、 PaaS密鑰、SaaS密鑰。基於上述方法,本發明還提供了一種雲計算密鑰的加密和解密裝置,如圖3所示, 該裝置包括位於網絡側的加密單元,以及位於用戶側的解密單元,其中,加密單元用於使用生命周期較長的密鑰對傳給用戶的生命周期較短的密鑰消息進行加密;解密單元用於使用所述生命周期較長的密鑰對收到的密鑰消息進行解密以獲得相應密鑰。位於網絡側的加密單元可以包括IaaS密鑰模塊、PaaS密鑰模塊、SaaS密鑰模塊其中之一,或任意的組合,分別用於使用生命周期較長的密鑰對傳給用戶的生命周期較短的密鑰消息進行加密;相應地,位於用戶側的解密單元包括IaaS密鑰解密模塊、PaaS密鑰解密模塊、SaaS密鑰解密模塊對應之一,或對應的組合,分別用於使用所述生命周期較長的密鑰對收到的密鑰消息進行解密以獲得相應密鑰。各模塊所使用加密或解密的生命周期較長的密鑰可以參考圖2所示的層次關係來確定。具體地,位於網絡側的加密單元可以包括IaaS密鑰模塊、PaaS密鑰模塊和MaS密鑰模塊;其中,IaaS密鑰模塊,用於在IaaS層次上生成IaaS密鑰,並使用用戶密鑰對發送給用戶的IaaS密鑰消息進行加密;PaaS密鑰模塊,用於在I^aaS層次上生成I^aaS密鑰,並使用IaaS密鑰對發送給用戶的I^aaS密鑰消息進行加密;SaaS密鑰模塊,用於在MaS層次上生成MaS密鑰,並使用I^aaS密鑰對發送給用戶的&iaS密鑰消息進行加密。位於用戶側的解密單元相應包括IaaS密鑰解密模塊、PaaS密鑰解密模塊和MaS 密鑰解密模塊;其中,IaaS密鑰解密模塊,用於使用用戶密鑰對接收到的IaaS密鑰消息進行解密以獲得IaaS密鑰;PaaS密鑰解密模塊,用於使用IaaS密鑰對接收到的I^aaS密鑰消息進行解密以獲得PaaS密鑰;SaaS密鑰解密模塊,用於使用I^aaS密鑰對接收到的&iaS密鑰消息進行解密以獲得&iaS密鑰。該裝置還包括位於網絡側的鑑權模塊和用戶密鑰模塊,以及位於用戶側的鑑權模塊和用戶密鑰模塊;其中,網絡側的鑑權模塊,用於鑑權用戶身份的合法性;用戶側的鑑權模塊,用於鑑權網絡身份的合法性;網絡側的用戶密鑰模塊和用戶側的用戶密鑰模塊,分別用於根據共享密鑰生成用戶密鑰。以上所述,僅為本發明的較佳實施例而已,並非用於限定本發明的保護範圍,凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等,均應包含在本發明的保護範圍之內。
權利要求
1.一種雲計算密鑰的加密和解密方法,其特徵在於,該方法包括網絡側使用生命周期較長的密鑰對生命周期較短的密鑰消息進行加密後傳給用戶側, 用戶側接收到所述密鑰消息後,使用所述生命周期較長的密鑰對所述密鑰消息進行解密以獲得相應密鑰;所述生命周期較短的密鑰消息中攜帶生命周期較短的密鑰。
2.根據權利要求1所述的加密和解密方法,其特徵在於,所述網絡側使用生命周期較長的密鑰來加密生命周期較短的密鑰消息,具體包括在基礎設施即服務(IaaS)層次根據用戶的訂購關係生成IaaS密鑰,並使用用戶密鑰對帶有IaaS密鑰的IaaS密鑰消息進行加密;在平臺即服務(PaaS)層次根據用戶的訂購關係生成I^aaS密鑰,並使用IaaS密鑰對帶有I^aaS密鑰的I^aaS密鑰消息進行加密;在軟體即服務(SaaS)層次根據用戶的訂購關係生成MaS密鑰,並使用I^aaS密鑰對帶有MaS密鑰的MaS密鑰消息進行加密。
3.根據權利要求2所述的加密和解密方法,其特徵在於,所述用戶側使用生命周期較長的密鑰對該密鑰消息進行解密以獲得相應密鑰,具體包括在IaaS層次使用用戶密鑰對接收到的IaaS密鑰消息進行解密以獲得IaaS密鑰;在I^aaS層次使用IaaS密鑰對接收到的I^aaS密鑰消息進行解密以獲得I^aaS密鑰;在&iaS層次使用I^aaS密鑰對接收到的&iaS密鑰消息進行解密以獲得&iaS密鑰。
4.根據權利要求1至3任一項所述的加密和解密方法,其特徵在於,所述使用生命周期較長的密鑰來加密生命周期較短的密鑰消息之前,該方法還包括用戶側與網絡側相互鑑權後生成共享密鑰,並根據該共享密鑰派生出用戶密鑰。
5.一種雲計算密鑰的加密和解密裝置,其特徵在於,該裝置包括位於網絡側的加密單元,以及位於用戶側的解密單元,其中,加密單元用於使用生命周期較長的密鑰對傳給用戶的生命周期較短的密鑰消息進行加密;解密單元用於使用所述生命周期較長的密鑰對收到的所述密鑰消息進行解密以獲得相應密鑰;所述生命周期較短的密鑰消息中攜帶生命周期較短的密鑰。
6.根據權利要求5所述的加密和解密裝置,其特徵在於,所述網絡側的加密單元包括IaaS密鑰模塊、PaaS密鑰模塊、SaaS密鑰模塊其中之一, 或任意的組合,分別用於使用生命周期較長的密鑰對傳給用戶的生命周期較短的密鑰消息進行加密;相應地,位於用戶側的解密單元包括IaaS密鑰解密模塊、PaaS密鑰解密模塊、SaaS密鑰解密模塊對應之一,或對應的組合,分別用於使用所述生命周期較長的密鑰對收到的密鑰消息進行解密以獲得相應密鑰。
7.根據權利要求6所述的加密和解密裝置,其特徵在於,所述網絡側的加密單元包括 IaaS密鑰模塊、PaaS密鑰模塊和MaS密鑰模塊;其中,IaaS密鑰模塊,用於在IaaS層次上生成IaaS密鑰,並使用用戶密鑰對發送給用戶的 IaaS密鑰消息進行加密;PaaS密鑰模塊,用於在I^aaS層次上生成I^aaS密鑰,並使用IaaS密鑰對發送給用戶的 PaaS密鑰消息進行加密;SaaS密鑰模塊,用於在MaS層次上生成MaS密鑰,並使用I^aaS密鑰對發送給用戶的SaaS密鑰消息進行加密;所述用戶側的解密單元相應包括IaaS密鑰解密模塊、PaaS密鑰解密模塊和&iaS密鑰解密模塊;其中,IaaS密鑰解密模塊,用於使用用戶密鑰對接收到的IaaS密鑰消息進行解密以獲得 IaaS密鑰;PaaS密鑰解密模塊,用於使用IaaS密鑰對接收到的I^aaS密鑰消息進行解密以獲得 PaaS密鑰;SaaS密鑰解密模塊,用於使用I^aaS密鑰對接收到的MaS密鑰消息進行解密以獲得 &iaS密鑰。
8.根據權利要求5至7任一項所述的加密和解密裝置,其特徵在於,該裝置還包括位於網絡側的鑑權模塊,以及位於用戶側的鑑權模塊;其中,網絡側的鑑權模塊,用於鑑權用戶身份的合法性並生成共享密鑰;用戶側的鑑權模塊,用於鑑權網絡身份的合法性並生成共享密鑰。
9.根據權利要求8所述的加密和解密裝置,其特徵在於,該裝置還包括分別位於網絡側和用戶側的用戶密鑰模塊,用於根據共享密鑰生成用戶密鑰。
全文摘要
本發明公開了一種雲計算密鑰的加密和解密方法及裝置,網絡側使用生命周期較長的密鑰對生命周期較短的密鑰消息進行加密後傳給用戶側,用戶側接收到密鑰消息後,根據所述生命周期較長的密鑰對該密鑰消息進行解密以獲得相應密鑰。採用本發明所述的方法及裝置,可以為IaaS、PaaS和SaaS三個不同層次的雲計算服務提供高效、安全的密鑰分發,節約系統消耗、降低服務響應時延,保證了用戶數據在不同層次的安全性,使得密鑰生命周期管理更加方便。
文檔編號H04L9/08GK102195775SQ201010126059
公開日2011年9月21日 申請日期2010年3月15日 優先權日2010年3月15日
發明者李媛, 林兆驥 申請人:中興通訊股份有限公司