[发明专利]一种云密码计算平台及计算服务方法

权利要求书

1.一种计算服务方法，其步骤包括：

1)将n台物理密码机开机组成物理密码机集群连接至资源管理模块；

2)同步该n台物理密码机的主密钥，使其共享密码机主密钥K_m；

3)资源管理服务器收到密钥生成请求后，从物理密码机集群中选取一物理密码机A；然后将收到的密钥生成请求发送给物理密码机A进行运算；

4)物理密码机A对每一密钥生成请求中的用户身份user_id使用主密钥K_m，运用密钥生成算法进行处理生成对应用户的用户主密钥K_i；

5)物理密码机A根据密钥生成请求的计算类型生成算法密钥AK_i，然后使用用户主密钥K_i对算法密钥AK_i加密得到[AK_i]K_i并将其发送给资源管理模块；

6)当用户i请求进行计算服务j时，资源管理模块利用该用户i对应的密钥[AK_i]K_i，将其加入用户请求加解密或签名验签的请求中并发送至物理密码机集群中的物理密码机B进行计算；

7)物理密码机B根据请求中的身份user_id和主密钥K_m运用密钥生成算法解密得到该用户i的用户主密钥K_i，使用用户主密钥K_i对请求中的[AK_i]K_i进行解密并利用AK_i完成计算服务j。

2.如权利要求1所述的方法，其特征在于，步骤3)中，资源管理服务器收到密钥生成请求后，首先对发出该密钥生成请求的用户进行认证，如果认证通过，则从物理密码机集群中选取一物理密码机A。

3.如权利要求2所述的方法，其特征在于，对发出该密钥生成请求的用户进行认证的方法为：

31)资源管理服务器判断当前用户是否拥有合法身份，如没有则向用户返回身份鉴别数据包；其中，身份鉴别数据包中的信息包括：资源管理服务器标识client_id，资源管理服务器用于接收统一认证系统签发的用户身份凭证的地址redirect_uri，资源管理服务器请求的统一认证系统的响应格式response_type，资源管理服务器请求用户授权数据的范围scope，随机数nonce；

32)用户根据响应格式response_type将自身用户名username和口令password发送给统一认证系统进行认证；

33)统一认证系统对用户的用户名和口令认证通过后返回token至该用户，token中的信息包括请求登陆应用的身份标识audrence、签发用户凭据系统的身份标识issuer、用户的身份标识sub以及随机数nonce，并附带对上述信息的数字签名；

34)用户将token转发至资源管理模块；

35)资源管理模块对token进行验签，并检查token中的随机数nonce与身份鉴别数据包中随机数nonce是否一致；如果一致，则认证通过。

4.如权利要求3所述的方法，其特征在于，认证通过后，资源管理模块提取用户的用户名username查询用户当前状态；以及从统一认证系统中获取该用户的租户身份tenant_id，根据租户身份tenant_id查询租户状态；然后根据用户身份user_id和计算类型codeRequest查询该用户此计算类型的总速度配额和当前已使用速度；如当前已使用速度小于该用户此类型计算的总速度配额，则允许本次请求加解密或签名验签的请求，并更新当前已使用速度，然后进行步骤7)；否则拒绝本次请求加解密或签名验签的请求。

5.如权利要求1所述的方法，其特征在于，通过使用密码保护卡同步n个物理密码机的主密钥，使其共享密码机主密钥Km；同时主密钥Km仅存在于密码机密码保护卡内。