[发明专利]一种基于代理机制的密码设备安全虚拟化方法及系统

说明书

本发明公开了一种基于代理机制的密码设备安全虚拟化方法及系统，实现基于代理签名机制的密码算法接口后；密码设备与虚拟机之间通过上述密码算法接口签订代理协议，将密码设备的密码服务委托给多台虚拟机；当接收到用户的密码服务请求后，直接调用密码设备执行与密码服务请求对应的密码服务，或者将任务转发至授权的虚拟机，以使授权的虚拟机执行与密码服务请求对应的密码服务。本发明的方法及系统可以通过代理签名算法接口签订代理协议，将密码设备的密码服务委托给多台虚拟机，扩展服务资源，解决密码设备性能瓶颈问题。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于代理机制的密码设备安全虚拟化方法及系统。

背景技术

随着互联网和信息技术的飞速发展，网络通信已经成了人们日常工作生活中必不可少的一部分，人们将越来越多的信息保存在网上，利用互联网处理各种事务，在信息时代如何保障人们的信息安全，是一个任重道远的难题。

密码技术是信息安全的关键技术，对于确保数据安全性具有特别重要和特别有效的作用。为了保证数据传输过程的机密性、完整性、可认证性以及不可否认性，通信双方往往会对通信数据进行加密和生成数字签名。随着数据时代的到来，业务网络变得越来越庞大及错综复杂，在通信过程中的加密解密、签名验签运算需求变得越来越大，私钥使用量越来越大，如何解决密码运算功能提供方的性能瓶颈，亦是一个问题。

密码设备作为当前市场上提供密钥管理和密码服务的主要产品，其重要地位不言而喻。尽管云密码设备已经被提出并且发展迅速，但在大多行业领域应用中，仍然使用的是实体密码设备。一方面，人们仍然对云密码设备的安全保障有所疑虑，另一方面，由于升级改造的成本问题，还有很多产业还未过渡到云时代。而随着业务的不断扩张、服务速度提升的需求越来越大，对密码设备的服务性能也提出了更高的要求，如何在保障密码设备安全的情况下尽可能地提升机器性能，成为了一个热点研究问题。

本申请发明人在实施本发明的过程中，发现现有技术的方法，至少存在如下技术问题：

传统的虚拟化技术能够将底层硬件资源抽象化后透明地给用户提供服务，尽管它能够在一定程度上提升部分性能，但基于密码设备特性，如访问私钥进行操作等接口，其最终压力仍然还是在存储私钥的密码设备上，无论如何抽象，都无法有效提高服务性能。拓展密码设备资源能够有效解决性能问题，但鉴于实体密码设备价格过高，因此如何找到一个经济高效的解决方法，必然会成为信息安全产业发展新方向。

发明内容

本发明提出一种基于代理机制的密码设备安全虚拟化方法及系统，用于解决或者至少部分解决现有技术中的方法存在的服务性能不佳的技术问题。

为了解决上述技术问题，本发明第一方面提供了一种基于代理机制的密码设备安全虚拟化方法，包括：

实现基于代理签名机制的密码算法接口；

密码设备与虚拟机之间通过上述密码算法接口签订代理协议，将密码设备的密码服务委托给多台虚拟机；

当接收到用户的密码服务请求后，直接调用密码设备执行与密码服务请求对应的密码服务，或者将任务转发至授权的虚拟机，以使授权的虚拟机执行与密码服务请求对应的密码服务。

在一种实施方式中，基于代理签名机制的密码算法包括带代理授权信息的代理签名算法和不带代理授权信息的代理签名算法。

在一种实施方式中，带代理授权信息的代理签名算法包括如下步骤：

系统参数准备；其中，原签名者身份信息为ID_A，具有密钥对：P_A＝[d_A]G，代理签名者的身份信息为ID_B、代理有效期限Time_AB、代理的密钥的编号NUM(8位)、组合成代理签名者的代理授权信息w＝ID_A||ID_B||Time_AB||NUM；