【技术实现步骤摘要】
本专利技术涉及信息安全,具体涉及采用移动终端对云环境租户密钥备份与恢复的系统、方法、设备及存储介质。
技术介绍
1、随着云业务的快速发展,越来越多的租户把自己的业务密钥托管到云服务商密码设备及服务器上,租户的业务密钥是由云服务商密码设备中产生,并使用云服务商密码设备加密后保存在云服务商数据库中。
2、针对租户业务密钥备份与恢复,目前通常做法是由云服务商运维人员对整个数据库进行完整备份,然后通过数据导入到另一个数据库实现密钥恢复。这种方式有诸多缺点:一是在租户业务迁移时,无法满足跨云服务商,进行租户密钥的备份与恢复;二是只能依托云服务商运维人员,在突发情况下,没法做到由租户密钥管理员便捷地密钥备份与恢复。
3、为此,本申请特提出一种基于移动终端的租户密钥备份与恢复的系统及方法以解决上述技术问题,以满足租户密钥可跨云服务商进行安全可靠、随时随地执行备份与恢复的需求。
技术实现思路
1、本专利技术的主要目的在于提供一种基于移动终端的租户密钥备份与恢复的系统及方法,以解决
技术介绍
中所提出的技术问题,以满足租户密钥可跨云服务商进行安全可靠、随时随地执行备份与恢复的需求。
2、本专利技术采用以下技术方案解决上述技术问题:
3、一种基于移动终端的租户密钥备份与恢复的系统,包括密钥管理模块、密钥备份恢复模块、身份鉴权模块及移动密码模块,所述系统基于租户密钥备份文件格式,使用移动密码模块允许租户密钥管理员在移动终端对租户密钥进行备份与恢复,其中:>
4、所述移动密码模块用于在移动互联网下进行签名认证及加解密,保证密钥操作安全性及通信过程完整性和保密性,并同时采用shamir门限密码技术对加密密钥进行保护,有效地控制管理员操作的权限;
5、所述密钥备份文件格式用于对租户的密钥对进行逐条sm4对称加密保护,并通过hmac-sm3保证文件完整性;
6、管理员设置为指定数量,用于对密钥的管理操作,包含产生、删除、备份与恢复密钥。
7、优选的,所述密钥备份文件的数据格式中包括:
8、元数据区域,用于记录每个管理员公钥对主密钥的分量加密后的密文数据,并在备份过程中产生匹配管理员数量的备份分量,同时记录杂凑值检验文件的完整性;
9、密文数据区域,用于存储租户密钥的密文数据。
10、优选的,所述元数据区域中主密钥采用shamir门限密码技术进行密钥拆分,设存在管理员指定数量为n,x代表管理员的编号,x∈[1,n],存在:
11、版本号:代表所记录的当前备份文件版本;
12、分量x的数据长度:代表分量id和分量密文的长度;
13、分量x的id:代表记录在系统内的管理员id;
14、分量x的密文:代表用第x位管理员公钥对密钥加密后的密文;
15、密文区hmac-sm3:代表对整个密钥对密文数据做hmac-sm3后的值,其密钥也是主密钥。
16、优选的,所述密文数据区域中存在i∈[1,n] ,表示第i号密钥数据,共含有n条数据,则其中:
17、密文长度:代表第i号密钥的密文长度;
18、密文的密钥数据:代表使用了主密钥加密得到密文的表示第i号密钥数据内容;
19、在密钥备份过程中,将通过shamir门限密码技术,对主密钥进行分割成管理员指定数量的密钥分量,再使用管理员的公钥对密钥分量进行加密;
20、在密钥恢复时,只需要任意y-2个管理员通过移动密码模块解密得到密钥分量后即可恢复出主密钥,然后对密钥数据的密文数据区域进行解密,y表示为指定管理员数量。
21、优选的,一种基于移动终端的租户密钥备份与恢复的方法,基于上述系统执行,包括以下具体操作步骤:
22、s1.指定数量的管理员在移动终端中进行身份注册;
23、s2.基于移动终端执行租户密钥的备份操作;
24、s3.基于移动终端执行租户密钥的恢复操作。
25、优选的,所述s1步骤的具体操作步骤包括:
26、s11.用户在移动终端中点击添加管理员,通过短信验证码或人脸识别进行身份认证;
27、s12.云服务商密码服务系统鉴别其管理员身份,然后移动终端中的移动密码模块产生密钥对,并将其公钥发送至云服务商密码服务系统,最后云服务商密码服务系统保存其公钥;
28、s13.循环s11-s12步骤操作直至指定数量的管理员均完成注册添加。
29、优选的,所述s2步骤的具体操作步骤包括:
30、s21.租户管理员在移动终端上点击开始备份,通过移动密码模块签名认证其身份;
31、s22.云服务商密码服务系统验证签名值,初始化备份操作,具体为:产生主密钥并采用shamir门限算法将其分割为指定数量的密钥分量,然后依次给对应管理员发出备份通知;
32、s23.管理员在移动终端上收到备份通知,进行签名认证;
33、s24.身份鉴权模块鉴权通过后,云服务商密码服务系统使用管理员公钥对密钥分量加密得到密文,将管理员id、密文密钥分量保存到备份文件中;
34、s25.循环所述s21-s24步骤操作直至指定数量的管理员均通过认证并且各密钥分量均被加密成功;
35、s26.在主密钥的各分量已被加密保护完成后,云服务商密码服务系统将使用主密钥对待保护租户的密钥信息进行加密并写入到备份文件中,最后计算hmac-sm3,然后追加写入到备份文件结构中;
36、s27.生成密钥备份文件并下载返回管理员移动终端中,完成密钥的备份。
37、优选的,所述s3步骤的具体操作步骤包括:
38、s31.管理员在移动终端上点击开始恢复并上传密钥备份文件通过移动密码模块认证其身份;
39、s32.云服务商密码服务系统校验文件的hmac-sm3,解析得到管理员id和对应密文的主密钥分量,然后依次给管理员发出恢复通知;
40、s33.管理员在移动终端上收到恢复通知,进行签名认证;
41、s34.身份鉴权模块鉴权通过后,云服务商密码服务系统采用协同解密方式对各密文的密钥分量进行解密,解密得到密钥分量;
42、s35.循环所述s32-s34操作直到至少z-2个管理员均被认证且各自的密文密钥分量均被成功解密,z表示为已注册的管理员数量;
43、s36.云服务商密码服务系统通过密钥分量采用shamir门限算法还原出主密钥;
44、s37.使用主密钥解密所有租户的密文密钥数据,然后恢复到不同云服务商密码服务系统中,并向移动端发出恢复成功通知。
45、又一方面,本专利技术还公开一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如上述方法的步骤。
46、再一方面,本专利技术还公开一种计算机设备,包括存储器本文档来自技高网...
【技术保护点】
1.一种基于移动终端的租户密钥备份与恢复的系统,包括密钥管理模块、密钥备份恢复模块、身份鉴权模块及移动密码模块,其特征在于,所述系统基于租户密钥备份文件格式,使用移动密码模块允许租户密钥管理员在移动终端对租户密钥进行备份与恢复,其中:
2.如权利要求1所述的一种基于移动终端的租户密钥备份与恢复的系统,其特征在于,所述密钥备份文件的数据格式中包括:
3.如权利要求2所述的一种基于移动终端的租户密钥备份与恢复的系统,其特征在于,所述元数据区域中主密钥采用shamir门限密码技术进行密钥拆分,设存在管理员指定数量为N,X代表管理员的编号,X∈[1,N],存在:
4.如权利要求2所述的一种基于移动终端的租户密钥备份与恢复的系统,其特征在于,所述密文数据区域中存在i∈[1,n] ,表示第i号密钥数据,共含有n条数据,则其中:
5.一种基于移动终端的租户密钥备份与恢复的方法,其特征在于,基于上述权利要求1-4任一项所述的基于移动终端的租户密钥备份与恢复的系统执行,包括以下具体操作步骤:
6.如权利要求5所述的一种基于移动终端的租户密
7.如权利要求5所述的一种基于移动终端的租户密钥备份与恢复的方法,其特征在于,所述S2步骤的具体操作步骤包括:
8.如权利要求5所述的一种基于移动终端的租户密钥备份与恢复的方法,其特征在于,所述S3步骤的具体操作步骤包括:
9.一种计算机可读存储介质,其特征在于,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求5至8中任一项所述方法的步骤。
10.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求5至8中任一项所述方法的步骤。
...【技术特征摘要】
1.一种基于移动终端的租户密钥备份与恢复的系统,包括密钥管理模块、密钥备份恢复模块、身份鉴权模块及移动密码模块,其特征在于,所述系统基于租户密钥备份文件格式,使用移动密码模块允许租户密钥管理员在移动终端对租户密钥进行备份与恢复,其中:
2.如权利要求1所述的一种基于移动终端的租户密钥备份与恢复的系统,其特征在于,所述密钥备份文件的数据格式中包括:
3.如权利要求2所述的一种基于移动终端的租户密钥备份与恢复的系统,其特征在于,所述元数据区域中主密钥采用shamir门限密码技术进行密钥拆分,设存在管理员指定数量为n,x代表管理员的编号,x∈[1,n],存在:
4.如权利要求2所述的一种基于移动终端的租户密钥备份与恢复的系统,其特征在于,所述密文数据区域中存在i∈[1,n] ,表示第i号密钥数据,共含有n条数据,则其中:
5.一种基于移动终端的租户密钥备份与恢复的方法,其特征...
【专利技术属性】
技术研发人员:陈国钦,林昌顺,曾金明,陈木来,吴志勇,林茂,
申请(专利权)人:广东省电子商务认证有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。