[发明专利]一种云计算安全架构的实现方法

摘要

一种云计算安全架构的实现方法，是用网闸将云计算平台分成云计算中心的前台和云计算中心的后台，在云计算中心的前台存储云用户的明文文件，在云计算中心的后台存储云用户的密文文件，在云用户端与云计算中心的后台之间建立加密通道，保证云用户将程序及其数据，通过加密通道安全、完整传输到云计算中心的后台，并在云计算中心的后台运行程序，再将程序运行“结果”通过加密通道，安全、完整传输到云用户端的客户机里，在云安全中心建立登录日志数据库和操作日志数据库，监控外部黑客对云计算平台的攻击，监控云计算平台来自内部管理人员的非法操作，从而，建立云计算的安全系统。

主权项

一种云计算安全架构的实现方法，是采用芯片硬件设备、对称密码算法和组合密钥技术，在非云计算环境下，使用智能卡作为客户端加密系统的硬件设备，在智能卡的芯片里，采用对称密码算法建立客户端加密系统，并写入对称密码算法、摘要算法、组合密钥生成算法、密钥“基”、客户端身份认证协议、数字签名协议、签名验证协议、加/解密协议，在网络应用服务器端建立认证中心，认证中心由多台服务器、每台服务器里插入多块加密卡或接入多台加密机设备组成，在认证中心使用对称密码算法来建立认证中心端加密系统，在加密卡或加密机芯片里，写入对称密码算法、摘要算法、一组存储密钥K、认证中心端身份认证协议、数字签名协议、签名验证协议和加/解密协议，以及超级管理员的密钥“基”，在认证中心的服务器密钥“基”数据库里，存储全体用户密钥“基”密文，其中：全体用户密钥“基”事先被使用加密卡或加密机芯片里的存储密钥K加密成密文，在网络应用服务器里建立用户的权限管理系统，为用户分配工作区，用户在客户端使用智能卡，通过智能卡芯片里的身份认证协议登录网络应用服务器，并根据权限管理系统，进入的网络应用服务器用户对应的工作区，用户在客户端使用智能卡，将客户端的文件进行数字签名，再加密成密文，将数字签名和密文文件提交到网络应用服务器用户对应的工作区，认证中心对送到的密文文件进行解密和数据完整性验证，将合法明文文件存放在网络应用服务器用户对应的工作区，其中：身份认证协议、数字签名协议、签名验证协议和加/解密协议，都采用对称密码算法和组合密钥技术建立，组合密钥技术是采用一种组合密钥生成算法，即：由一组随机数，对一组密钥“基”组成的表中元素进行选取，将选出的元素合并成一组对称密钥，作为加/解密密钥、认证密钥或签名密钥，从而，实现在非云计算环境下，客户端与网络应用服务器端之间的用户身份认证、数据完整验证和数据加密传输；本发明是采用网闸设备建立云计算的安全架构，实现云用户端与云计算平台之间的用户身份认证、数据完整性验证和数据加密传输，其方法的技术特征在于：在云计算环境下，将云计算平台分成云计算中心的前台和云计算中心的后台，在云计算中心的前台存储云用户的明文文件，在云计算中心的后台存储云用户的密文文件，云计算中心的前台与云计算的WEB服务器相连，云计算中心的前台和云计算中心后台之间由一台网闸设备相连，云安全中心分别与云计算的WEB服务器和网闸相连接，云用户使用智能卡，进行身份认证登录云计算中心前台对应云用户的工作区，并将拟发送到云计算中心前台的文件即：程序及其数据，进行数字签名和加密，再将密文文件含：数字签名，提交到云计算中心前台对应云用户的工作区，云计算管理系统将云计算中心的前台云用户对应的工作区里，存储的云用户的密文文件含：数字签名，发送给网闸，在网闸里，云安全中心对该密文文件含：数字签名，进行解密和数据完整性验证，将合法云用户的明文文件发送给云计算中心的后台，在云计算中心的后台运行程序，云计算管理系统，将程序运行“结果”即明文文件发送给网闸，在网闸里，云安全中心对该明文文文件进行数字签名和加密，并将密文文件含：数字签名，一并发送给云计算中心的前台云用户对应的工作区里，云用户通过身份认证登录云计算中心的前台云用户对应的工作区，将该密文件含：数字签名，下载到云用户端的客户机里，在云用户端智能卡芯片里，对该密文文件含：数字签名，进行解密和数据完整性验证，得到程序运行“结果”的明文，在云安全中心建立登录日志数据库和操作日志数据库，记录云用户和云计算单位管理员登录云计算平台和操作云用户文件的有关参数，云安全中心采用组合密钥生成算法，并调用加密卡或加密机芯片里存储的超级管理员的密钥“基”生成对称密钥，将登录日志数据库和操作日志数据库中的全部记录分别加密成密文存储，且每条记录采用一组对称密钥加密，超级管理员使用超级管理员的智能卡，对登录日志数据库和操作日志数据库中的密文记录进行解密，从而，建立云计算安全架构系统。