技術(shù)領(lǐng)域：

本發(fā)明涉及云計(jì)算的信息安全領(lǐng)域。

背景技術(shù)：

目前，國內(nèi)云計(jì)算的安全系統(tǒng)都采用PKI/CA安全架構(gòu)，PKI/CA技術(shù)是采用非對稱密碼算法和對稱密碼算法，共同來建立用戶身份認(rèn)證、數(shù)據(jù)完整性驗(yàn)證和數(shù)據(jù)加密傳輸系統(tǒng)，但是，PKI/CA的認(rèn)證速度較慢，CA認(rèn)證中心管理用戶的數(shù)量不足，CA認(rèn)證中心建設(shè)成本較高，存放在云計(jì)算平臺里的云用戶的程序及其數(shù)據(jù)，也容易受到外部黑客攻擊或內(nèi)部管理人員的窺探，總之，現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品都不能滿足市場對云計(jì)算信息安全的需求。

發(fā)明內(nèi)容：

一種云計(jì)算安全架構(gòu)的實(shí)現(xiàn)方法，是采用芯片硬件設(shè)備、對稱密碼算法和組合密鑰技術(shù)，在非云計(jì)算環(huán)境下，使用智能卡作為客戶端加密系統(tǒng)的硬件設(shè)備，在智能卡的芯片里，采用對稱密碼算法建立客戶端加密系統(tǒng)，并寫入對稱密碼算法、摘要算法、組合密鑰生成算法、密鑰“基”、客戶端身份認(rèn)證協(xié)議、數(shù)字簽名協(xié)議、簽名驗(yàn)證協(xié)議、加/解密協(xié)議，在網(wǎng)絡(luò)應(yīng)用服務(wù)器端建立認(rèn)證中心，認(rèn)證中心由多臺服務(wù)器、每臺服務(wù)器里插入多塊加密卡或接入多臺加密機(jī)設(shè)備組成，在認(rèn)證中心使用對稱密碼算法來建立認(rèn)證中心端加密系統(tǒng)，在加密卡或加密機(jī)芯片里，寫入對稱密碼算法、摘要算法、一組存儲密鑰K、認(rèn)證中心端身份認(rèn)證協(xié)議、數(shù)字簽名協(xié)議、簽名驗(yàn)證協(xié)議和加/解密協(xié)議，以及超級管理員的密鑰“基”，在認(rèn)證中心的服務(wù)器密鑰“基”數(shù)據(jù)庫里，存儲全體用戶密鑰“基”密文，其中：全體用戶密鑰“基”事先被使用加密卡或加密機(jī)芯片里的存儲密鑰K加密成密文，在網(wǎng)絡(luò)應(yīng)用服務(wù)器里建立用戶的權(quán)限管理系統(tǒng)，為用戶分配工作區(qū)，用戶在客戶端使用智能卡，通過智能卡芯片里的身份認(rèn)證協(xié)議登錄網(wǎng)絡(luò)應(yīng)用服務(wù)器，并根據(jù)權(quán)限管理系統(tǒng)，進(jìn)入的網(wǎng)絡(luò)應(yīng)用服務(wù)器用戶對應(yīng)的工作區(qū)，用戶在客戶端使用智能卡，將客戶端的文件進(jìn)行數(shù)字簽名，再加密成密文，將數(shù)字簽名和密文文件提交到網(wǎng)絡(luò)應(yīng)用服務(wù)器用戶對應(yīng)的工作區(qū)，認(rèn)證中心對送到的密文文件進(jìn)行解密和數(shù)據(jù)完整性驗(yàn)證，將合法明文文件存放在網(wǎng)絡(luò)應(yīng)用服務(wù)器用戶對應(yīng)的工作區(qū)，其中：身份認(rèn)證協(xié)議、數(shù)字簽名協(xié)議、簽名驗(yàn)證協(xié)議和加/解密協(xié)議，都采用對稱密碼算法和組合密鑰技術(shù)建立，組合密鑰技術(shù)是采用一種組合密鑰生成算法，即：由一組隨機(jī)數(shù)，對一組密鑰“基”組成的表中元素進(jìn)行選取，將選出的元素合并成一組對稱密鑰，作為加/解密密鑰、認(rèn)證密鑰或簽名密鑰，從而，實(shí)現(xiàn)在非云計(jì)算環(huán)境下，客戶端與網(wǎng)絡(luò)應(yīng)用服務(wù)器端之間的用戶身份認(rèn)證、數(shù)據(jù)完整驗(yàn)證和數(shù)據(jù)加密傳輸；

本發(fā)明是采用網(wǎng)閘設(shè)備建立云計(jì)算的安全架構(gòu)，實(shí)現(xiàn)云用戶端與云計(jì)算平臺之間的用戶身份認(rèn)證、數(shù)據(jù)完整性驗(yàn)證和數(shù)據(jù)加密傳輸，其方法的技術(shù)特征在于：

在云計(jì)算環(huán)境下，將云計(jì)算平臺分成云計(jì)算中心的前臺和云計(jì)算中心的后臺，在云計(jì)算中心的前臺存儲云用戶的明文文件，在云計(jì)算中心的后臺存儲云用戶的密文文件，云計(jì)算中心的前臺與云計(jì)算的WEB服務(wù)器相連，云計(jì)算中心的前臺和云計(jì)算中心后臺之間由一臺網(wǎng)閘設(shè)備相連，云安全中心分別與云計(jì)算的WEB服務(wù)器和網(wǎng)閘相連接，云用戶使用智能卡，進(jìn)行身份認(rèn)證登錄云計(jì)算中心前臺對應(yīng)云用戶的工作區(qū)，并將擬發(fā)送到云計(jì)算中心前臺的文件即：程序及其數(shù)據(jù)，進(jìn)行數(shù)字簽名和加密，再將密文文件含：數(shù)字簽名，提交到云計(jì)算中心前臺對應(yīng)云用戶的工作區(qū)，云計(jì)算管理系統(tǒng)將云計(jì)算中心的前臺云用戶對應(yīng)的工作區(qū)里，存儲的云用戶的密文文件含：數(shù)字簽名，發(fā)送給網(wǎng)閘，在網(wǎng)閘里，云安全中心對該密文文件含：數(shù)字簽名，進(jìn)行解密和數(shù)據(jù)完整性驗(yàn)證，將合法云用戶的明文文件發(fā)送給云計(jì)算中心的后臺，在云計(jì)算中心的后臺運(yùn)行程序，云計(jì)算管理系統(tǒng)，將程序運(yùn)行“結(jié)果”即明文文件發(fā)送給網(wǎng)閘，在網(wǎng)閘里，云安全中心對該明文文文件進(jìn)行數(shù)字簽名和加密，并將密文文件含：數(shù)字簽名，一并發(fā)送給云計(jì)算中心的前臺云用戶對應(yīng)的工作區(qū)里，云用戶通過身份認(rèn)證登錄云計(jì)算中心的前臺云用戶對應(yīng)的工作區(qū)，將該密文件含：數(shù)字簽名，下載到云用戶端的客戶機(jī)里，在云用戶端智能卡芯片里，對該密文文件含：數(shù)字簽名，進(jìn)行解密和數(shù)據(jù)完整性驗(yàn)證，得到程序運(yùn)行“結(jié)果”的明文，在云安全中心建立登錄日志數(shù)據(jù)庫和操作日志數(shù)據(jù)庫，記錄云用戶和云計(jì)算單位管理員登錄云計(jì)算平臺和操作云用戶文件的有關(guān)參數(shù)，云安全中心采用組合密鑰生成算法，并調(diào)用加密卡或加密機(jī)芯片里存儲的超級管理員的密鑰“基”生成對稱密鑰，將登錄日志數(shù)據(jù)庫和操作日志數(shù)據(jù)庫中的全部記錄分別加密成密文存儲，且每條記錄采用一組對稱密鑰加密，超級管理員使用超級管理員的智能卡，對登錄日志數(shù)據(jù)庫和操作日志數(shù)據(jù)庫中的密文記錄進(jìn)行解密，從而，建立云計(jì)算安全架構(gòu)系統(tǒng)，云計(jì)算安全架構(gòu)系統(tǒng)全部用軟件和硬件結(jié)合方式實(shí)現(xiàn)，具體方法如下：