基于密码技术的虚拟密码机容器镜像保护方法与流程

1.本发明涉及信息安全技术领域，更为具体的，涉及一种基于密码技术的虚拟密码机容器镜像保护方法。


背景技术：

2.密码技术是保障网络信息安全的核心技术，包括对称密码算法、非对称密码算法以及杂凑密码算法。对称密码主要用于数据加解密，保护数据机密性；杂凑密码和非对称密码算法通常结合使用实现数字签名技术，用于保护数据完整性、认证数据来源等。
3.伴随着云计算技术的快速发展，容器虚拟化技术逐渐成熟和普及，在密码机中也得到了广泛应用。采用容器技术的密码机中不再是直接运行密码应用程序，而是首先基于容器镜像创建虚拟密码机(vsm)，然后在vsm中运行密码应用程序；单台密码机就可提供多台多类型的与传统密码机相一致的密钥管理和密码服务功能，能够更好地适应当前云计算环境中对多租户、按需分配等应用需求。
4.常规采用容器虚拟化技术的密码机创建vsm所使用的容器镜像与普通容器镜像一致，按照相关规范格式由应用程序和其依赖的运行时环境组成压缩包，可以直接使用压缩工具解压后查看到其内容，存在着被篡改、仿冒以及来源不可靠等安全风险。由于密码机是关键的基础安全设施，当非法的vsm容器镜像导入密码设备后，将影响密码机的稳定运行、加大密钥泄露风险，从而降低系统的可靠性和安全性。


技术实现要素：

5.本发明的目的在于克服现有技术的不足，提供一种基于密码技术的虚拟密码机容器镜像保护方法，可以实现vsm容器镜像的机密性、完整性以及来源的可靠性保护；能够有效防止镜像在分发和使用过程中被分析、篡改和仿冒，保障密码机的运行安全等。
6.本发明的目的是通过以下方案实现的：
7.一种基于密码技术的虚拟密码机容器镜像保护方法，包括步骤：vsm发布镜像制作准备阶段步骤s1、vsm发布镜像制作阶段步骤s2和vsm发布镜像导入阶段步骤s3；且在vsm发布镜像制作准备阶段步骤s1中完成常规vsm容器镜像制作后，在vsm发布镜像制作阶段步骤s2中采用对称分组密码算法对常规vsm容器镜像进行加密，采用数字签名算法对镜像密文进行签名，将镜像密文与签名值再次制作成容器镜像，最后得到vsm发布镜像；然后再执行vsm发布镜像导入阶段步骤s3。
8.进一步地，在vsm发布镜像制作准备阶段步骤s1中包括子步骤：
9.s11，创建用于vsm容器镜像签名的非对称密钥对；
10.s12，使用步骤s11中生成的非对称密钥对的公钥制作证书请求文件，将证书请求文件交由证书管理系统签发镜像保护证书；
11.s13，创建用于vsm容器镜像加密的对称密钥；
12.s14，将步骤s13中生成的对称密钥导入到密码机中，并以密文形式存储；
13.s15，将证书管理系统的证书链、证书吊销列表crl预置到密码机中。
14.进一步地，在vsm发布镜像制作阶段步骤s2中包括子步骤：
15.s21，使用密码应用程序及其依赖的运行时环境制作常规vsm容器镜像；
16.s22，使用对称分组密码算法和准备阶段步骤s1生成的对称密钥对vsm容器镜像进行加密得到vsm密文镜像；
17.s23，使用数字签名算法和准备阶段步骤s1生成的非对称密钥对中的私钥对vsm密文镜像进行签名得到vsm密文签名；
18.s24，使用vsm密文镜像、vsm密文签名和准备阶段步骤s1生成的镜像保护证书按照常规容器制作方式创建用于对外发布的vsm容器镜像，即vsm发布镜像。
19.进一步地，在vsm发布镜像导入阶段步骤s3中包括子步骤：
20.s31，通过密码机本地管理系统上传或从镜像仓库下载vsm发布镜像到密码机中；
21.s32，密码机从vsm发布镜像中解析出vsm密文镜像、vsm密文签名和镜像保护证书；
22.s33，密码机使用预置的证书链和crl验证镜像保护证书的有效性；
23.s34：密码机使用镜像保护证书验证vsm密文签名是否与vsm密文镜像相匹配；
24.s35：密码机使用准备阶段步骤s1导入的对称密钥解密vsm密文镜像得到明文的vsm本地镜像，至此，vsm本地镜像即能按照常规容器镜像进行导入、存储和使用。
25.进一步地，在步骤s14中，所述存储包括以密文形式安全存储或采用微电保护存储。
26.进一步地，在硬件密码模块中创建用于镜像签名的非对称密钥对。
27.本发明的有益效果是：
28.通过采用密码技术对常规vsm容器镜像进行加密并签名，可以实现vsm容器镜像的机密性、完整性以及来源的可靠性保护；vsm发布镜像仅能在密钥匹配的密码机中完成解密并使用，能够有效防止镜像在分发和使用过程中被分析、篡改和仿冒，保障密码机的运行安全。
29.本发明方法针对基于容器虚拟化技术实现的密码机设备，采用数字签名、对称加密等密码技术对虚拟密码机的容器镜像进行机密性、完整性和真实性保护，保障了虚拟密码机的容器镜像安全。
附图说明
30.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
31.图1为本发明实施例vsm发布镜像的组成示意图；
32.图2为本发明实施例vsm发布镜像制作准备的步骤示意图；
33.图3为本发明实施例vsm发布镜像制作的步骤示意图；
34.图4为本发明实施例vsm发布镜像导入的步骤示意图。
具体实施方式
35.本说明书中所有实施例公开的所有特征，或隐含公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合和/或扩展、替换。
36.下面根据附图1～图4，对本发明解决的技术构思、工作原理、功效和工作过程作进一步详细说明。
37.实施例1
38.本发明针对常规使用的vsm容器镜像存在的安全问题，提出了一种基于密码技术的虚拟密码机容器镜像保护方法，其技术方案包括：vsm发布镜像制作准备阶段步骤s1、vsm发布镜像制作阶段步骤s2和vsm发布镜像导入阶段步骤s3；且在vsm发布镜像制作准备阶段步骤s1中完成常规vsm容器镜像制作后，在vsm发布镜像制作阶段步骤s2中采用对称分组密码算法对常规vsm容器镜像进行加密，采用数字签名算法对镜像密文进行签名，将镜像密文与签名值再次制作成容器镜像，最后得到vsm发布镜像；然后再执行vsm发布镜像导入阶段步骤s3。
39.如图1所示，vsm发布镜像(img
vsm
)由vsm密文镜像c
vsm
、密文签名s
vsm
和镜像保护证书cert
is
组成。其中，密文镜像c
vsm
是使用对称加密算法和对称密钥ck对vsm本地镜像加密得到：c
vsm
＝enc(ck,vsm
raw
)；密文签名s
vsm
是使用数字签名算法和非对称密钥对的私钥sk对密文镜像签名得到：s
vsm
＝sig(sk,c
vsm
)；镜像保护证书cert
is
是由证书管理系统签发，证书中的公钥为非对称密钥对的公钥pk。
40.实施例2
41.在实施例1的基础上，如图2所示，vsm发布镜像在制作准备阶段的步骤如下：
42.步骤1：在专用硬件密码模块中创建用于镜像签名的非对称密钥对，包括公钥pk和私钥sk；
43.步骤2：使用步骤1中生成的pk制作证书请求文件，将证书请求文件交由ca系统签发证书cert
is
；
44.步骤3：在专用硬件密码模块中创建用于镜像加密的对称密钥ck；
45.步骤4：将步骤3中生成的ck导入到密码机中，并以密文形式安全存储或采用微电保护存储；
46.步骤5：将ca系统的证书链certchain、证书吊销列表crl预置到密码机中。
47.实施例3
48.在实施例1的基础上，如图3所示，vsm发布镜像的制作步骤如下：
49.步骤1：使用密码应用程序及其依赖的运行时环境制作常规的本地vsm容器镜像img
raw
；
50.步骤2：使用对称分组密码算法和ck对本地vsm容器镜像进行加密得到vsm密文镜像：c
vsm
＝enc(ck,img
raw
)；
51.步骤3：使用数字签名算法和sk对c
vsm
进行签名得到密文签名：s
vsm
＝sig(sk,c
vsm
)；
52.步骤4：使用cert
is
、c
vsm
和s
vsm
按照常规容器制作方式创建用于对外发布的vsm容器镜像img
vsm
。
53.最后得到的vsm发布镜像img
vsm
只能够在密钥匹配的密码机中正常使用。
54.实施例4
55.在实施例1的基础上，如图4所示，vsm发布镜像导入步骤如下：
56.步骤1：通过本地管理系统上传或从镜像仓库下载vsm发布镜像img
vsm
到密码机中；
57.步骤2：密码机从img
vsm
中解析出c
vsm
、s
vsm
和cert
is
；
58.步骤3：密码机使用预置的certchain和crl验证cert
is
的有效性，验证通过则执行下一步；否则结束流程。
59.步骤4：密码机使用cert
is
验证s
vsm
是否与c
vsm
相匹配，验证通过则执行下一步；否则结束流程。
60.步骤5：密码机使用准备阶段导入的对称密钥ck解密c
vsm
得到明文的vsm本地镜像：img
raw
＝dec(ck,c
vsm
)。
61.本发明功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，在一台计算机设备(可以是个人计算机，服务器，或者网络设备等)以及相应的软件中执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、或者光盘等各种可以存储程序代码的介质，进行测试或者实际的数据在程序实现中存在于只读存储器(random access memory，ram)、随机存取存储器(random access memory，ram)等。