一种身份秘钥的处理方法、装置和服务器,包括:身份秘钥的处理装置获取虚拟机的第一身份秘钥,第一身份秘钥用于对虚拟机进行身份鉴权,该处理装置通过高速串行计算机扩展总线标准PCIe接入服务器中,虚拟机部署于服务器中;利用设备秘钥对第一身份秘钥进行加密,获得第二身份秘钥,设备秘钥为根据处理装置的标识生成的全局唯一秘钥,设备秘钥存储于处理装置的存储区域;处理装置将第二身份秘钥存储于第一存储区域;处理装置根据第二身份秘钥对虚拟机的访问请求进行签名,以此能够解决身份秘钥的安全性较低的问题。
【技术实现步骤摘要】
一种身份秘钥的处理方法、装置和服务器
本申请涉及计算机
,尤其涉及一种身份秘钥的处理方法、装置和服务器。
技术介绍
随着云计算技术的发展,尤其是在公有云的快速发展,运营商对企业提供各种类型的云服务,以满足企业用户的需求。而对于部署有多个虚拟机(virtualmachine,VM)的服务器,在某一VM访问云服务时,该服务器需要利用该VM的身份秘钥对访问请求进行签名,以确定该访问请求的合法性。因此,VM的身份秘钥的安全性至关重要。传统技术中,部署有多个VM的服务器在获取到每一VM的身份秘钥时,均直接将该VM的身份秘钥存储于其内存中。当某一VM访问云服务时,该服务器从内存中获取该VM的身份秘钥,并利用该VM的身份秘钥对访问请求进行签名。但是,由于公有云系统复杂,可被攻击的对象较多,一旦服务器被攻击者进行恶意攻击,可以获取其存储于内存中的身份秘钥,进而通过任何设备冒充该服务器的用户读取数据,无法保证身份秘钥的安全性,存在安全问题。
技术实现思路
本申请提供一种身份秘钥的处理方法、装置和服务器,能够解决传统技术中存在的安全问题。为达到上述目的,本申请采用如下技术方案:第一方面,提供一种身份秘钥的处理方法。具体的,第一设备在获取到用于对虚拟机进行身份鉴权的第一身份秘钥后,利用设备秘钥对第一身份秘钥进行加密,以获得第二身份秘钥,并将该第二身份秘钥存储于第一存储区域。这里的设备秘钥为根据第一设备的标识生成的全局唯一秘钥,且设备秘钥存储于第一设备的存储区域,这样,后续在虚拟机发送访问请求的场景中,第一设备可根据该第二身份秘钥对虚拟机的访问请求进行签名。本申请的第一设备通过高速串行计算机扩展总线标准(peripheralcomponentinterconnectexpress,PCIe)总线接入服务器中,上述虚拟机为服务器中的任意一个虚拟机。第一设备通过PCIe总线接入服务器,其内部的硬件资源以及存储地址对服务器中的其他组件不可见,也就是说,服务器中的其他组件与第一设备相互隔离,其他组件无法直接访问该第一设备,第一设备提供了一个安全的环境,这样,即使攻击者恶意攻击了服务器,该攻击者也无法获取到第一设备中存储的数据。由于设备秘钥为根据该第一设备的标识生成的全局唯一秘钥,设备秘钥存储于第一设备的存储空间中,且第一设备的存储地址对其他组件不可见,因此,只有第一设备能够获取到设备秘钥,也就是说,设备秘钥的安全性较高。本申请中的第一设备存储的是第二身份秘钥,该第二身份秘钥为第一设备利用设备秘钥加密过的身份秘钥,即使攻击者恶意攻击了服务器,该攻击者最多也只能获取到第二身份秘钥,而无法获取到设备秘钥,进而,攻击者无法获取到第一身份秘钥,第一身份秘钥的安全性得到有效的保证,也就是说,本申请提供的身份秘钥的处理方法能够有效的提高身份秘钥的安全性。在一种可能的实现方式中,上述第一存储区域为服务器的内存中的存储区域,或者为第一设备中的存储区域。由于第二身份秘钥是根据设备秘钥加密的,因此,不论第一设备将第二身份秘钥存储于服务器的内存,亦或将第二身份秘钥存储于第一设备的存储区域中,均可有效的提高虚拟机的身份秘钥的安全性。在另一种可能的实现方式中,当上述第一存储区域为服务器的内存中的存储区域时,上述“第一设备将第二身份秘钥存储于第一存储区域”的方法为:第一设备经由服务器中用于管理身份秘钥的处理器将第二身份秘钥写入内存。相应的,上述“第一设备根据第二身份秘钥对虚拟机的访问请求进行签名”,具体包括:第一设备在获取到虚拟机发送的访问请求后,通过处理器从内存中获取第二身份秘钥,并利用设备秘钥对第二身份秘钥解密,得到第一身份秘钥,进而,第一设备根据解密得到的第一身份秘钥,对访问请求进行签名。由于设备秘钥存储于第一设备,且只有第一设备能够获取到,因此,本申请提供的处理方法中,只有第一设备能够对第二身份秘钥进行解密。在第二身份秘钥存储于服务器的内存的场景中,第一设备需要从内存中读取第二身份秘钥,并对该第二身份秘钥解密,进而对访问请求进行签名。在第二身份秘钥存储于服务器的内存的场景中,即使攻击者恶意攻击了服务器,该攻击者也只能获取到第二身份秘钥,而无法获取到设备秘钥,进而,攻击者无法获取到第一身份秘钥,第一身份秘钥的安全性得到有效的保证。在另一种可能的实现方式中,在上述第一存储区域为第一设备中的存储区域的情况下,上述“第一设备根据第二身份秘钥对虚拟机的访问请求进行签名”的方法为:第一设备在获取到虚拟机发送的访问请求后,获取第二身份秘钥,并利用设备秘钥对第二身份秘钥解密,得到第一身份秘钥,进而,第一设备根据第一身份秘钥,对访问请求进行签名。由于设备秘钥存储于第一设备,且只有第一设备能够获取到,因此,本申请提供的方法中,只有第一设备能够对第二身份秘钥进行解密。在第二身份秘钥存储于第一设备的存储空间的场景中,第一设备可直接读取第二身份秘钥,并对该第二身份秘钥解密,进而对访问请求进行签名。在第二身份秘钥存储于第一设备的存储空间的场景中,即使攻击者恶意攻击了服务器,该攻击者也无法获取到第二身份秘钥和设备秘钥,进而,攻击者无法获取到第一身份秘钥,第一身份秘钥的安全性得到有效的保证。在另一种可能的实现方式中,本申请中的第一设备预先根据第一设备的标识,采用预设算法计算得到设备秘钥。该预设算法可以为哈希消息认证码(hash-basedmessageauthenticationcode,HMAC)算法。第二方面,提供一种身份秘钥的处理方法。在服务器中独立部署的第一设备,该第一设备通过PCIe总线接入服务器中,其内部的硬件资源以及存储地址对服务器中的其他组件不可见,即服务器中的其他组件与第一设备相互隔离,其他组件无法直接访问该第一设备,第一设备提供了一个安全的环境。第一设备在获取到用于对虚拟机进行身份鉴权的第一身份秘钥后,将该第一身份秘钥存储于第一设备的存储区域。由于服务器中的其他组件与第一设备相互隔离,其他组件无法直接访问第一设备,因此,即使攻击者恶意攻击了服务器,该攻击者也无法获取到第一设备中存储的第一身份秘钥,这样,第一身份秘钥的安全性得到有效的保证,也就是说,本申请提供的身份秘钥的处理方法能够有效的提高身份秘钥的安全性。第三方面,提供一种身份秘钥的处理装置,所述处理装置包括用于执行第一方面、第二方面、或第一方面任一种可能实现方式所述的处理方法的各个模块。在一种可能的实现方式中,可以根据上述第一方面、第二方面或第一方面中任意一种可能的实现方式所提供的处理方法对该处理装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。第四方面,提供一种服务器,所述服务器包括第一设备、处理器、存储器、通信接口、总线,其中,处理器、存储器和通信接口之间通过总线连接并完成相互间的通信,所述第一设备存储有计算机执行指令,所述服务器运行时,所述第一设备执行其存储的计算机执行指令以利用所述服务器中的硬件资源执行第一方面、第二方面或第一方面任一种可能实现方式所述的处理方法的操作步骤。第五方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。第六方面,本申请本文档来自技高网...
【技术保护点】
1.一种身份秘钥的处理方法,其特征在于,包括:第一设备获取虚拟机的第一身份秘钥,所述第一身份秘钥用于对所述虚拟机进行身份鉴权,所述第一设备通过高速串行计算机扩展总线标准PCIe总线接入服务器中,所述虚拟机部署于所述服务器中;所述第一设备利用设备秘钥对所述第一身份秘钥进行加密,获得第二身份秘钥,所述设备秘钥为根据所述第一设备的标识生成的全局唯一秘钥,所述设备秘钥存储于所述第一设备的存储区域;所述第一设备将所述第二身份秘钥存储于第一存储区域;所述第一设备根据所述第二身份秘钥对所述虚拟机的访问请求进行签名。
【技术特征摘要】
1.一种身份秘钥的处理方法,其特征在于,包括:第一设备获取虚拟机的第一身份秘钥,所述第一身份秘钥用于对所述虚拟机进行身份鉴权,所述第一设备通过高速串行计算机扩展总线标准PCIe总线接入服务器中,所述虚拟机部署于所述服务器中;所述第一设备利用设备秘钥对所述第一身份秘钥进行加密,获得第二身份秘钥,所述设备秘钥为根据所述第一设备的标识生成的全局唯一秘钥,所述设备秘钥存储于所述第一设备的存储区域;所述第一设备将所述第二身份秘钥存储于第一存储区域;所述第一设备根据所述第二身份秘钥对所述虚拟机的访问请求进行签名。2.根据权利要求1所述的处理方法,其特征在于,所述第一存储区域为所述服务器的内存中的存储区域,或者为所述第一设备中的存储区域。3.根据权利要求2所述的处理方法,其特征在于,当所述第一存储区域为所述服务器的内存中的存储区域时,所述第一设备根据所述第二身份秘钥对所述虚拟机的访问请求进行签名,包括:所述第一设备获取所述虚拟机发送的访问请求;所述第一设备通过所述服务器的处理器从所述内存中获取所述第二身份秘钥,所述处理器用于管理身份秘钥;所述第一设备利用所述设备秘钥对所述第二身份秘钥解密,得到所述第一身份秘钥;所述第一设备根据所述第一身份秘钥,对所述访问请求进行签名。4.根据权利要求2所述的处理方法,其特征在于,当所述第一存储区域为所述身份秘钥的处理装置中的存储区域时,所述第一设备根据所述第二身份秘钥对所述虚拟机的访问请求进行签名,包括:所述第一设备获取所述虚拟机发送的访问请求;所述第一设备获取所述第二身份秘钥;所述第一设备利用所述设备秘钥对所述第二身份秘钥解密,得到所述第一身份秘钥;所述第一设备根据所述第一身份秘钥,对所述访问请求进行签名。5.根据权利要求1-4中任意一项所述的处理方法,其特征在于,所述身份秘钥的处理方法还包括:所述第一设备根据所述第一设备的标识,采用预设算法计算得到所述设备秘钥。6.一种身份秘钥的处理装置,其特征在于,所述处理装置通过高速串行计算机扩展总线标准PCIe总线接入服务器中,所述处理装置包括:存储单元,用于存储设备秘钥,所述设备秘钥为根据所述处...
【专利技术属性】
技术研发人员:殷鑫,蔡恒,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。