[发明专利]一种为多业务系统生成全动态密码的方法

说明书

技术领域

本发明属于计算机安全技术领域，特别涉及一种为多业务系统生成全动态密码的方法。

背景技术

随着信息化和电子政务的发展，特别是网络虚拟化技术的异军突起，极大地促进了知识经济的兴起和人类文明的演进。人类在享受信息技术加速社会变革的同时，也面临着巨大的信息安全隐患，尤其是数据和信息系统对安全的需求越来越迫切，而以密码为核心的信息安全服务将是为信息系统提供信息安全保障能力的重要技术。

目前，业务系统一般采用密码机直连的方式应用密码服务，这种方式的扩展性较差、支持的密码算法种类有限，存在密码资源浪费；不同型号、类型的密码设备在管理接口、协议实现方式上有较大差别，无法统一管理和调动。并且，通常的云平台特点是用户量大、用户对密码服务使用多样化、对密码服务创建的时效性有较高要求，那么就要求密码服务系统能够及时提供成百上千的密码服务。因此，当大量用户同时使用密码服务时，为满足用户高性能密码运算需求，一般采用密码设备之间密钥同步的方式，实现密码算法并行运算，但是这样会快速消耗掉密码设备的密钥空间。因此，目前仅利用现有的密码设备自身的密钥同步方案会有很大的局限性。

发明内容

发明目的：本发明针对上述的问题，提出了一种为多业务系统生成全动态密码的方法。该方法将不同厂家、不同形态的密码设备进行统一管理、调度，以整体形态安全可靠的为应用系统提供密码服务，提高设备的复用性和可扩展性，并且把集中管理的密码设备中的所有密码功能和性能，虚拟为各种资源，以资源形态实现密码功能的量身定制服务，实现性能的可控、稳定配给，满足用户的不同密码服务定制化需求，解决了密码服务并行运算时对密码设备的密钥空间同时占用，而导致密码设备的密钥空间不足的问题，能够满足大量用户密钥存储和使用。

技术方案：一种为多业务系统生成全动态密码的方法，包括以下步骤：

S1初始化，完成密码机配置、密钥管理配置、动态资源管理配置和用户配置，然后进入步骤S2；

S2获取密码机的资源信息，然后进入步骤S3；

S3获取用户注册信息和用户密码服务申请信息，并对用户的用户密码服务申请信息进行审核，若审核不通过，结束本次操作，反之，将用户注册信息存储，然后进入步骤S4；

S4获取访问用户的身份认证信息，并判断访问用户是否已经注册成功，若是，生成用户访问虚拟服务的票据，并且将该票据返回给用户，然后进入步骤S5，反之，结束本次操作；

S5依次比较各台调度服务器上正在运行的容器数量、预留资源数量、CPU负载和内存剩余，选出负载最小的调度服务器作为执行密码机，然后步骤S6；

S6在执行密码机上进行密码作业，并将密码作业的结果反馈给访问用户，进入步骤S7，其中：

密码作业的结果即全动态密码；

S7关闭虚拟服务，结束本次操作。

进一步地，步骤S2中，密码机的资源信息包括密码机型号、密码机IP和密码机算法。

进一步地，步骤S4包括以下步骤：

S41获取用户口令Hash、当前负载最小的接入IP、接入时间time和随机数r；

S42用户生成随机数并使用摘要算法进行摘要运算，生成认证请求包，具体认证协议如下：

Hash(用户口令Hash+随机数r+接入时间time+接入IP)+随机数r+接入时间time+用户useid；

S43获取认证请求包，然后进行认证。

更进一步地，步骤S43的认证包括：

S431判断是否在时间有效期之内，若接入时间time在有效期内，进入步骤S432，反之，结束本次操作；

S432根据用户标识从数据库查询用户口令摘要并和获取的随机数r、time值、以及本机IP地址进行摘要后，和传入的摘要值进行对比，查看是否一致，若不一致，结束本次操作，若一致则生成用户访问虚拟服务的票据，并且将该票据返回给用户，票据格式为：

Sign(Hash(随机数r+time2+虚拟服务id))+time2+随机数r，其中：

time2表示步骤S432的操作时间；

虚拟服务id表示统创建的虚拟服务的身份证明。

进一步地，步骤S6包括

S61密码设备权重设置

系统初始化，根据执行密码机的算法权重信息，创建密码算法负载队列，并且对执行密码机的算法设置对应的权重；

S62解析作业请求，获取用户作业的密码算法类型；