[发明专利]一种基于身份的封闭式密钥管理方法及系统

说明书

本发明提供一种基于身份的封闭式密钥管理方法及系统，方法：1.用户登录时向身份认证服务器提交身份认证请求，身份认证通过后，返回用户令牌；2.当用户需要加解密服务时，向加解密服务模块提交令牌及用户数据；3.加解密服务模块向密钥管理服务器提交用户令牌，并请求用户数据密钥；4.密钥管理服务器向身份认证服务器请求验证令牌的有效性，验证通过后，密钥管理服务器通过用户ID查找用户数据密钥密文；5.密钥管理服务器解密出用户数据密钥明文，并返回给加解密服务模块；6.加解密服务模块通过用户数据密钥，对用户数据进行加解密操作，并返回结果；系统包括身份认证服务器、密钥管理服务器、硬件安全模块和加解密服务模块。

技术领域

本发明属于信息安全领域，具体涉及一种基于身份的封闭式密钥管理方法及系统。

背景技术

近年来，随着云计算的快速发展与广泛应用， 云计算服务的数据安全问题成为云计算应用与推广的巨大障碍，引起广泛的关注。云计算架构以多租户、分布式及共享资源为特点，使得云计算服务上的数据安全问题的解决成为难点。

传统密钥管理系统以及数据加密方法，通过硬件加密机实现，用户直接负责密钥管理系统及用户IC密钥卡的管理，密钥管理与用户管理分离，成本高，可扩展性差，部署不够灵活，管理和使用繁琐，难以有效防范云管理员恶意窃取用户数据的行为，已经不能适应云计算系统架构下的多租户的用户私有数据安全的需求。如何在云计算多租户、分布式的环境下实现便捷、安全、可扩展的自动化密钥管理，已成为了本领域技术人员亟待解决的技术问题和研究的重点。

此为现有技术的不足，因此，针对现有技术中的上述缺陷，提供一种基于身份的封闭式密钥管理方法及系统，是非常有必要的。

发明内容

本发明的目的在于，针对上述现有的密钥管理方法可扩展性差、使用繁琐缺陷，提供一种基于身份的封闭式密钥管理方法及系统，以解决上述技术问题。

为实现上述目的，本发明给出以下技术方案：

一种基于身份的封闭式密钥管理方法，包括如下步骤：

步骤1.用户登录时向身份认证服务器提交身份认证请求，身份认证通过后，返回用户令牌；

步骤2.当用户需要加解密服务时，向加解密服务模块提交令牌及用户数据；

步骤3.加解密服务模块向密钥管理服务器提交用户令牌，并请求用户数据密钥；

步骤4.密钥管理服务器向身份认证服务器请求验证令牌的有效性，验证通过后，密钥管理服务器通过用户ID查找用户数据密钥密文；

步骤5.密钥管理服务器解密出用户数据密钥明文，并返回给加解密服务模块；

步骤6.加解密服务模块通过用户数据密钥，对用户数据进行加解密操作，并返回结果。

本发明用户身份认证获取的用户令牌请求用户数据密钥，避免用户自己管理密钥卡的繁琐与失误，简化密钥管理流程，提高了密钥管理的实用性。

进一步地，整个密钥管理的网络通信过程，全程采用SSL/TLS协议会话进行加密通信；可实现全自动化、全封闭式，无需用户及管理员的干涉。

本发明采用自动化、封闭式设计，有效防止了传统密钥管理过程中人为干涉引起操作失误及管理员恶意窃取用户数据的行为，提高了密钥管理系统的安全性、可用性。

进一步地，首次注册用户时，身份认证服务器自动生成用户ID，用户上传用户主密钥到密钥管理服务器中与用户ID绑定；

或者，密钥管理服务器调用硬件安全模块采用根密钥加密自动生成用户主密钥，保存在密钥管理服务器中，并绑定用户ID；用户ID是用户身份的唯一标识码。