一种云计算密钥的加密和解密方法及装置

1.一种云计算密钥的加密和解密方法，其特征在于，该方法包括：
网络侧使用生命周期较长的密钥对生命周期较短的密钥消息进行加密后传给用户侧，用户侧接收到所述密钥消息后，使用所述生命周期较长的密钥对所述密钥消息进行解密以获得相应密钥；所述生命周期较短的密钥消息中携带生命周期较短的密钥；其中，所述网络侧使用生命周期较长的密钥对生命周期较短的密钥消息进行加密后传给用户侧，包括：
网络侧生成IaaS密钥并使用用户密钥进行加密传给用户；生成PaaS密钥并使用IaaS密钥进行加密传给用户；生成SaaS密钥并使用PaaS密钥进行加密传给用户。
2.根据权利要求1所述的加密和解密方法，其特征在于，所述网络侧使用生命周期较长的密钥来加密生命周期较短的密钥消息，具体包括：
在基础设施即服务(IaaS)层次根据用户的订购关系生成IaaS密钥，并使用用户密钥对带有IaaS密钥的IaaS密钥消息进行加密；
在平台即服务(PaaS)层次根据用户的订购关系生成PaaS密钥，并使用IaaS密钥对带有PaaS密钥的PaaS密钥消息进行加密；
在软件即服务(SaaS)层次根据用户的订购关系生成SaaS密钥，并使用PaaS密钥对带有SaaS密钥的SaaS密钥消息进行加密。
3.根据权利要求2所述的加密和解密方法，其特征在于，所述用户侧使用生命周期较长的密钥对该密钥消息进行解密以获得相应密钥，具体包括：
在IaaS层次使用用户密钥对接收到的IaaS密钥消息进行解密以获得IaaS密钥；
在PaaS层次使用IaaS密钥对接收到的PaaS密钥消息进行解密以获得PaaS密钥；
在SaaS层次使用PaaS密钥对接收到的SaaS密钥消息进行解密以获得SaaS密钥。
4.根据权利要求1至3任一项所述的加密和解密方法，其特征在于，所述使用生命周期较长的密钥来加密生命周期较短的密钥消息之前，该方法还包括：用户侧与网络侧相互鉴权后生成共享密钥，并根据该共享密钥派生出用户密钥。
5.一种云计算密钥的加密和解密装置，其特征在于，该装置包括：位于网络侧的加密单元，以及位于用户侧的解密单元，其中，加密单元用于使用生命周期较长的密钥对传给用户的生命周期较短的密钥消息进行加密；解密单元用于使用所述生命周期较长的密钥对收到的所述密钥消息进行解密以获得相应密钥；所述生命周期较短的密钥消息中携带生命周期较短的密钥；其中，
所述加密单元使用生命周期较长的密钥对传给用户的生命周期较短的密钥消息进行加密，包括：
生成IaaS密钥并使用用户密钥进行加密传给用户；生成PaaS密钥并使用IaaS密钥进行加密传给用户；生成SaaS密钥并使用PaaS密钥进行加密传给用户。
6.根据权利要求5所述的加密和解密装置，其特征在于，
所述网络侧的加密单元包括IaaS密钥模块、PaaS密钥模块、SaaS密钥模块其中之一，或任意的组合，分别用于使用生命周期较长的密钥对传给用户的生命周期较短的密钥消息进行加密；
相应地，位于用户侧的解密单元包括IaaS密钥解密模块、PaaS密钥解密模块、SaaS密钥解密模块对应之一，或对应的组合，分别用于使用所述生命周期较长的密钥对收到的密钥消息进行解密以获得相应密钥。
7.根据权利要求6所述的加密和解密装置，其特征在于，所述网络侧的加密单元包括IaaS密钥模块、PaaS密钥模块和SaaS密钥模块；其中，
IaaS密钥模块，用于在IaaS层次上生成IaaS密钥，并使用用户密钥对发送给用户的IaaS密钥消息进行加密；
PaaS密钥模块，用于在PaaS层次上生成PaaS密钥，并使用IaaS密钥对发送给用户的PaaS密钥消息进行加密；
SaaS密钥模块，用于在SaaS层次上生成SaaS密钥，并使用PaaS密钥对发送给用户的SaaS密钥消息进行加密；
所述用户侧的解密单元相应包括：IaaS密钥解密模块、PaaS密钥解密模块和SaaS密钥解密模块；其中，
IaaS密钥解密模块，用于使用用户密钥对接收到的IaaS密钥消息进行解密以获得IaaS密钥；
PaaS密钥解密模块，用于使用IaaS密钥对接收到的PaaS密钥消息进行解密以获得PaaS密钥；
SaaS密钥解密模块，用于使用PaaS密钥对接收到的SaaS密钥消息进行解密以获得SaaS密钥。
8.根据权利要求5至7任一项所述的加密和解密装置，其特征在于，该装置还包括：位于网络侧的鉴权模块，以及位于用户侧的鉴权模块；其中，
网络侧的鉴权模块，用于鉴权用户身份的合法性并生成共享密钥；
用户侧的鉴权模块，用于鉴权网络身份的合法性并生成共享密钥。
9.根据权利要求8所述的加密和解密装置，其特征在于，该装置还包括：分别位于网络侧和用户侧的用户密钥模块，用于根据共享密钥生成用户密钥。

一种云计算密钥的加密和解密方法及装置\n技术领域\n[0001] 本发明涉及云计算密钥管理领域，特别是一种云计算密钥的加密和解密方法及装置。\n背景技术\n[0002] 2009年被业界称为“云计算”元年，云计算正在备受人们关注，无论是互联网厂商、运营商，还是通信厂商、基础网络运营商都对云计算表现出极大的热情。狭义云计算是指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的资源；广义云计算是指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的服务，这种服务可以是IT和软件、互联网相关的，也可以是任意其他的服务，它具有超大规模、虚拟化、可靠安全等独特功效。对于网络运营商而言，可以使得运营成本和操作维护成本大大下降，达到节能减排的目的。在云计算环境下，一切资源都是可以运营的，都可以作为服务提供，包括应用程序、软件、平台、处理能力、存储、网络、计算资源以及其他基础设施等；云计算使得用户随时随地消费服务成为可能，用户不需要大量投资而获得运营业务所需的IT资源，完全可以根据自己的需求来租用，使IT资源在用户眼中如同水、电和煤气一样，按需获取和计费。\n[0003] 云计算一般有三种主要的服务模式，分别是：软件即服务(SaaS，Softwareas a Service)、平台即服务(PaaS，Platform as a Service)、基础设施即服务(IaaS，Infrastructure as a Service)。从不同服务模式所处的层次而言，SaaS指的是云计算服务提供商即网络侧把应用程序作为一种服务提供给用户，用户可以通过客户端接口如web浏览器，随时随地使用这些应用程序，而不需要在本地主机进行安装，该层次面对的是不同的应用程序，对用户而言可以提供最为丰富的业务特性，访问频率高，但是扩展性最差，业务的生命周期也较短，因此对安全的需求也是最弱的，往往需要较为频繁的密钥更新。\n[0004] PaaS指的是云计算服务提供商向用户提供开发应用程序的语言或工具平台，如面向对象、直译式计算机程序设计语言java、Python，以及.Net等，也就是说云计算服务提供商以提供平台服务为自己的主业，用户可以基于PaaS开发自己的应用程序。PaaS处于中间层，对用户而言可以提供较为丰富的业务特性，业务特征没有SaaS层那么丰富，扩展性较SaaS优秀，业务的生命周期也较长，因此密钥更新频率较SaaS要低。\n[0005] IaaS指的是云服务提供商可以把自己的基础设施作为服务提供给用户，用户根据需要租用处理能力、存储、网络以及其他计算资源等，按需付费，这种服务可以大大减少用户在基础设施上的重复投资和浪费，IaaS作为云计算的基础设施层，对用户而言可以提供的业务特性最不丰富，但是扩展性最好，业务的生命周期也最长，因此对安全的需求最为强烈，密钥更新频率最低。\n[0006] 云计算的最终目的是使得一切资源可以运营，并要用户可以有信心把有价值的数据托管于云计算服务提供商，因此在云计算场景下，用户最为关注的是云计算提供商是否能够保证数据的安全；而对数据而言，安全的本质在于健壮的加密算法和可信的密钥管理机制。\n[0007] 密钥管理包括密钥的生命周期管理和密钥的分发，传统的密钥管理对于每个层次都是等同的，比如：在使用某个层次的云计算服务时，在每个层次上都需要使用一套密钥协商机制，在用户侧与云计算服务提供商之间协商出共享的会话密钥，用于保证该层次服务的安全。\n[0008] 但这种做法的缺点是耗费系统资源，同时会大大增加服务响应时延，导致用户体验变差，对于大规模用户而言，就会给云计算服务提供商的密钥管理造成非常大的压力。\n发明内容\n[0009] 有鉴于此，本发明的主要目的在于提供一种云计算密钥的加密和解密方法及装置，以节约系统消耗、降低服务响应时延，保证密钥分发的安全性。\n[0010] 为达到上述目的，本发明的技术方案是这样实现的：\n[0011] 本发明提供了一种云计算密钥的加密和解密方法，该方法包括：网络侧使用生命周期较长的密钥对生命周期较短的密钥消息进行加密后传给用户侧，用户侧接收到所述密钥消息后，使用所述生命周期较长的密钥对所述密钥消息进行解密以获得相应密钥；所述生命周期较短的密钥消息中携带生命周期较短的密钥。\n[0012] 上述方案中，所述网络侧使用生命周期较长的密钥来加密生命周期较短的密钥消息，具体包括：在基础设施即服务(IaaS)层次根据用户的订购关系生成IaaS密钥，并使用用户密钥对带有IaaS密钥的IaaS密钥消息进行加密；在平台即服务(PaaS)层次根据用户的订购关系生成PaaS密钥，并使用IaaS密钥对带有PaaS密钥的PaaS密钥消息进行加密；在软件即服务(SaaS)层次根据用户的订购关系生成SaaS密钥，并使用PaaS密钥对带有SaaS密钥的SaaS密钥消息进行加密。\n[0013] 上述方案中，所述用户侧使用生命周期较长的密钥对该密钥消息进行解密以获得相应密钥，具体包括：在IaaS层次使用用户密钥对接收到的IaaS密钥消息进行解密以获得IaaS密钥；在PaaS层次使用IaaS密钥对接收到的PaaS密钥消息进行解密以获得PaaS密钥；在SaaS层次使用PaaS密钥对接收到的SaaS密钥消息进行解密以获得SaaS密钥。\n[0014] 上述方案中，所述使用生命周期较长的密钥来加密生命周期较短的密钥消息之前，该方法还包括：用户侧与网络侧相互鉴权后生成共享密钥，并根据该共享密钥派生出用户密钥。\n[0015] 本发明还提供了一种云计算密钥的加密和解密装置，该装置包括：位于网络侧的加密单元，以及位于用户侧的解密单元，其中，加密单元用于使用生命周期较长的密钥对传给用户的生命周期较短的密钥消息进行加密；解密单元用于使用所述生命周期较长的密钥对收到的所述密钥消息进行解密以获得相应密钥；所述生命周期较短的密钥消息中携带生命周期较短的密钥。\n[0016] 上述方案中，所述网络侧的加密单元包括IaaS密钥模块、PaaS密钥模块、SaaS密钥模块其中之一，或任意的组合，分别用于使用生命周期较长的密钥对传给用户的生命周期较短的密钥消息进行加密；相应地，位于用户侧的解密单元包括IaaS密钥解密模块、PaaS密钥解密模块、SaaS密钥解密模块对应之一，或对应的组合，分别用于使用所述生命周期较长的密钥对收到的密钥消息进行解密以获得相应密钥。\n[0017] 上述方案中，所述网络侧的加密单元包括IaaS密钥模块、PaaS密钥模块和SaaS密钥模块；其中，\n[0018] IaaS密钥模块，用于在IaaS层次上生成IaaS密钥，并使用用户密钥对发送给用户的IaaS密钥消息进行加密；\n[0019] PaaS密钥模块，用于在PaaS层次上生成PaaS密钥，并使用IaaS密钥对发送给用户的PaaS密钥消息进行加密；\n[0020] SaaS密钥模块，用于在SaaS层次上生成SaaS密钥，并使用PaaS密钥对发送给用户的SaaS密钥消息进行加密；\n[0021] 所述用户侧的解密单元相应包括：IaaS密钥解密模块、PaaS密钥解密模块和SaaS密钥解密模块；其中，\n[0022] IaaS密钥解密模块，用于使用用户密钥对接收到的IaaS密钥消息进行解密以获得IaaS密钥；\n[0023] PaaS密钥解密模块，用于使用IaaS密钥对接收到的PaaS密钥消息进行解密以获得PaaS密钥；\n[0024] SaaS密钥解密模块，用于使用PaaS密钥对接收到的SaaS密钥消息进行解密以获得SaaS密钥。\n[0025] 上述方案中，该装置还包括：位于网络侧的鉴权模块，以及位于用户侧的鉴权模块；其中，\n[0026] 网络侧的鉴权模块，用于鉴权用户身份的合法性并生成共享密钥；\n[0027] 用户侧的鉴权模块，用于鉴权网络身份的合法性并生成共享密钥。\n[0028] 上述方案中，该装置还包括：分别位于网络侧和用户侧的用户密钥模块，用于根据共享密钥生成用户密钥。\n[0029] 本发明所提供的一种云计算密钥的加密和解密方法及装置，网络侧使用生命周期较长的密钥对生命周期较短的密钥消息进行加密后传给用户侧，用户侧接收到密钥消息后，根据所述生命周期较长的密钥对该密钥消息进行解密以获得相应密钥。采用本发明所述的方法及装置，可以为IaaS、PaaS和SaaS三个不同层次的云计算服务提供高效、安全的密钥分发，节约系统消耗、降低服务响应时延，保证了用户数据在不同层次的安全性，使得密钥生命周期管理更加方便。\n附图说明\n[0030] 图1为本发明云计算密钥的加密和解密方法流程图；\n[0031] 图2为本发明云计算服务系统密钥层次关系示意图；\n[0032] 图3为本发明云计算密钥的加密和解密装置结构示意图。\n具体实施方式\n[0033] 本发明的基本思想是：在云计算服务中使用生命周期较长的密钥来加密生命周期较短的密钥消息，以提高密钥分发的安全性。\n[0034] 下面以云计算提供的全部三种服务即IaaS、PaaS和SaaS为实施例对本发明方案进行详细说明。\n[0035] 所述生命周期较长的密钥，是一个相对的概念，如在上述三种服务中，IaaS密钥生命周期一般长达几天到几个月，PaaS密钥生命周期一般在几小时到几天，SaaS密钥生命周期只有几分钟甚至几秒钟到几小时，可见，IaaS密钥生命周期较其他两者最长，而PaaS密钥生命周期较SaaS密钥生命周期长；所述生命周期较短的密钥，也是一个相对的概念，如SaaS密钥的生命周期较其他两者最短，而PaaS密钥生命周期较IaaS密钥生命周期短。\n[0036] 本发明提供的云计算密钥的加密和解密方法，如图1所示，该方法包括以下步骤：\n[0037] 步骤101：用户侧与网络侧相互鉴权并生成用户密钥；\n[0038] 本步骤中，在用户访问云计算服务提供商即网络侧的时候，为了保证用户和网络的安全，需要进行用户侧和网络侧的相互鉴权；其中，鉴权认证有很多方式，主要分为基于共享秘密和基于公钥证书的鉴权认证方式；鉴权认证通过后，双方生成一个共享密钥，通过该共享密钥，可以在用户侧和网络侧生成用户密钥，该用户密钥可以用于后续IaaS密钥的加密传输；其中，用户密钥是根据一定的算法或参数由共享密钥派生而来，共享密钥和用户密钥的生成方式为现有技术，在此不做详细描述。\n[0039] 步骤102：网络侧生成IaaS密钥并使用用户密钥进行加密传给用户，用户侧使用用户密钥对接收到的IaaS密钥消息进行解密以获得IaaS密钥；\n[0040] 本步骤中，当用户使用网络侧提供的IaaS服务时，网络侧根据用户的订购关系即用户所订购的业务特征，在该层次上根据一定的算法或参数生成具有相应生命周期的IaaS密钥，并根据安全协议选择相应的消息格式，将带有IaaS密钥的IaaS密钥消息通过加密方式传给用户。其中，网络侧使用用户密钥对IaaS密钥消息进行加密；用户侧使用用户密钥对接收到的IaaS密钥消息进行解密以获得IaaS密钥。IaaS密钥的生成方式为现有技术，在此不做详细描述。\n[0041] 步骤103：网络侧生成PaaS密钥并使用IaaS密钥进行加密传给用户，用户侧使用IaaS密钥对接收到的PaaS密钥消息进行解密以获得PaaS密钥；\n[0042] 本步骤中，当用户使用网络侧提供的PaaS服务时，网络侧在该层次上根据用户的订购关系、并根据一定的算法或参数生成具有相应生命周期的PaaS密钥，并将带有PaaS密钥的PaaS密钥消息通过加密方式传给用户。其中，网络侧使用IaaS密钥对PaaS密钥消息进行加密；用户侧使用IaaS密钥对接收到的PaaS密钥消息进行解密以获得PaaS密钥。\nPaaS密钥的生成方式为现有技术，在此不做详细描述。\n[0043] 步骤104：网络侧生成SaaS密钥并使用PaaS密钥进行加密传给用户，用户侧使用PaaS密钥对接收到的SaaS密钥消息进行解密以获得SaaS密钥。\n[0044] 本步骤中，当用户使用网络侧提供的SaaS服务时，网络侧在该层次上根据用户的订购关系、并根据一定的算法或参数生成具有相应生命周期的SaaS密钥，并将带有SaaS密钥的SaaS密钥消息通过加密方式传给用户。其中，网络侧使用PaaS密钥对SaaS密钥消息进行加密；用户侧使用PaaS密钥对接收到的SaaS密钥消息进行解密以获得SaaS密钥。\nSaaS密钥的生成方式为现有技术，在此不做详细描述。\n[0045] 通过该实例可以得出，在云计算服务系统中，密钥的层次关系从上到下是：用户密钥、IaaS密钥、PaaS密钥、SaaS密钥，上一层的密钥可以用于加密下一层的密钥，以实现下一层密钥的安全分发。云计算服务提供商可以提供三种服务，也可以仅仅提供一种或两种服务，但是无论如何，密钥的层次关系始终是保持不变的，其密钥的层次关系如图2所示。\n例如，云计算服务提供商仅仅提供IaaS服务或PaaS服务或SaaS服务，那么密钥的层次关系从上到下是：用户密钥、IaaS密钥，或用户密钥、PaaS密钥，或用户密钥、SaaS密钥；如果云计算服务提供商同时提供IaaS和PaaS服务或IaaS和SaaS服务，那么密钥的层次关系从上到下是：用户密钥、IaaS密钥、PaaS密钥，或用户密钥、IaaS密钥、SaaS密钥；如果云计算服务提供商同时提供PaaS和SaaS服务，那么密钥的层次关系从上到下是：用户密钥、PaaS密钥、SaaS密钥。\n[0046] 基于上述方法，本发明还提供了一种云计算密钥的加密和解密装置，如图3所示，该装置包括：位于网络侧的加密单元，以及位于用户侧的解密单元，其中，加密单元用于使用生命周期较长的密钥对传给用户的生命周期较短的密钥消息进行加密；解密单元用于使用所述生命周期较长的密钥对收到的密钥消息进行解密以获得相应密钥。\n[0047] 位于网络侧的加密单元可以包括IaaS密钥模块、PaaS密钥模块、SaaS密钥模块其中之一，或任意的组合，分别用于使用生命周期较长的密钥对传给用户的生命周期较短的密钥消息进行加密；相应地，位于用户侧的解密单元包括IaaS密钥解密模块、PaaS密钥解密模块、SaaS密钥解密模块对应之一，或对应的组合，分别用于使用所述生命周期较长的密钥对收到的密钥消息进行解密以获得相应密钥。各模块所使用加密或解密的生命周期较长的密钥可以参考图2所示的层次关系来确定。\n[0048] 具体地，位于网络侧的加密单元可以包括IaaS密钥模块、PaaS密钥模块和SaaS密钥模块；其中，\n[0049] IaaS密钥模块，用于在IaaS层次上生成IaaS密钥，并使用用户密钥对发送给用户的IaaS密钥消息进行加密；\n[0050] PaaS密钥模块，用于在PaaS层次上生成PaaS密钥，并使用IaaS密钥对发送给用户的PaaS密钥消息进行加密；\n[0051] SaaS密钥模块，用于在SaaS层次上生成SaaS密钥，并使用PaaS密钥对发送给用户的SaaS密钥消息进行加密。\n[0052] 位于用户侧的解密单元相应包括：IaaS密钥解密模块、PaaS密钥解密模块和SaaS密钥解密模块；其中，\n[0053] IaaS密钥解密模块，用于使用用户密钥对接收到的IaaS密钥消息进行解密以获得IaaS密钥；\n[0054] PaaS密钥解密模块，用于使用IaaS密钥对接收到的PaaS密钥消息进行解密以获得PaaS密钥；\n[0055] SaaS密钥解密模块，用于使用PaaS密钥对接收到的SaaS密钥消息进行解密以获得SaaS密钥。\n[0056] 该装置还包括：位于网络侧的鉴权模块和用户密钥模块，以及位于用户侧的鉴权模块和用户密钥模块；其中，\n[0057] 网络侧的鉴权模块，用于鉴权用户身份的合法性；\n[0058] 用户侧的鉴权模块，用于鉴权网络身份的合法性；\n[0059] 网络侧的用户密钥模块和用户侧的用户密钥模块，分别用于根据共享密钥生成用户密钥。\n[0060] 以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。