密码服务方法、装置、设备、介质及产品与流程

本申请涉及网络安全，特别是涉及一种密码服务方法、装置、设备、介质及产品。

背景技术：

1、随着信息技术不断发展和应用，各应用系统对密码机的需求越来越多。为支撑众多应用系统对密码机的安全需求，充分发挥密码机在保障应用系统各环节身份认证、机密性、完整性和抗抵赖性等方面的重要作用，需要提供统一的统一密码机资源池化能力。

2、当前有许多密码服务平台，能在一定安全程度上调用密码机资源池服务能力，实现多应用共享密码机资源池，为应用提供基于密码机的安全密钥管理能力和密码运算能力。该密码服务平台在接收到不同的应用发送的密码服务请求时，需要将密码服务请求发送至密码机，从而使得密码机进行响应，在这过程中，不同的应用之间的密码信息容易被泄露，存在较高的安全风险。

技术实现思路

1、本申请提供的一种密码服务方法、装置、设备、介质及产品，能够提高密码服务过程中密码信息的安全性。

2、第一方面，本申请实施例提供一种密码服务方法，应用于第一密码机，所述第一密码机设置有第一安全节点，所述方法包括：

3、通过所述第一安全节点接收第一密码服务平台的第二安全节点发送的操作请求，其中，所述操作请求包括待操作的第一数据，以及操作所述第一数据需求使用的密码信息；

4、获取所述第一数据的敏感级别、所述操作请求的请求类型、具有所述密码信息的访问权限的至少一个安全节点以及所述第二安全节点的风险数据；

5、根据所述风险数据对所述第二安全节点进行信任评估，得到所述第二安全节点的信任度；

6、生成与所述信任度、所述敏感级别、所述请求类型相对应的动态密码策略；

7、在所述至少一个安全节点包括所述第二安全节点的情况下，根据所述动态密码策略，采用所述密码信息对所述第一数据操作，得到操作的第二数据；

8、通过所述第一安全节点向所述第二安全节点发送所述第二数据。

9、第二方面，本申请实施例提供一种密码服务方法，应用于第一密码服务平台，所述第一密码服务平台设置有第二安全节点，所述方法包括：

10、通过所述第二安全节点接收应用的第三安全节点发送的操作请求，其中，所述操作请求包括待操作的第一数据，以及操作所述第一数据需求使用的密码信息；

11、通过所述第二安全节点向第一密码机的第一安全节点发送所述操作请求；

12、通过所述第二安全节点接收所述第一安全节点发送的第二数据，所述第二数据为所述第一密码机采用所述密码信息对所述第一数据进行操作得到的；

13、通过所述第二安全节点向所述第三安全节点发送所述第二数据。

14、第三方面，本申请实施例提供一种密码服务装置，应用于第一密码机，所述第一密码机这只有第一安全节点，所述装置包括：

15、第一接收模块，用于通过所述第一安全节点接收第一密码服务平台的第二安全节点发送的操作请求，其中，所述操作请求包括待操作的第一数据，以及操作所述第一数据需求使用的密码信息；

16、获取模块，用于获取所述第一数据的敏感级别、所述操作请求的请求类型以及具有所述密码信息的访问权限的至少一个安全节点以及所述第二安全节点的风险数据；

17、评估模块，用于根据所述风险数据对所述第二安全节点进行信任评估，得到所述第二安全节点的信任度；

18、生成模块，用于生成与所述信任度、所述敏感级别、所述请求类型相对应的动态密码策略；

19、操作模块，用于在所述至少一个安全节点包括所述第二安全节点的情况下，根据所述动态密码策略，采用所述密码信息对所述第一数据操作，得到操作的第二数据；

20、第一发送模块，用于通过所述第一安全节点向所述第二安全节点发送所述第二数据。

21、第四方面，本申请实施例提供一种密码服务装置，应用于第一密码服务平台，所述第一密码服务平台设置有第二安全节点，所述装置包括：

22、第二发送模块，用于通过所述第二安全节点接收应用的第三安全节点发送的操作请求，其中，所述操作请求包括待操作的第一数据，以及操作所述第一数据需求使用的密码信息；

23、第三发送模块，用于通过所述第二安全节点向第一密码机的第一安全节点发送所述操作请求；

24、第二接收模块，用于通过所述第二安全节点接收所述第一安全节点发送的第二数据，所述第二数据为所述第一密码机采用所述密码信息对所述第一数据进行操作得到的；

25、第四发送模块，用于通过所述第二安全节点向所述第三安全节点发送所述第二数据。

26、第五方面，本申请实施例提供了一种电子设备，该电子设备包括：处理器以及存储有计算机程序指令的存储器；

27、处理器执行计算机程序指令时实现如第一方面和第二方面中任意一个实施例中的密码服务方法。

28、第六方面，本申请实施例提供了一种计算机存储介质，计算机存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现如第一方面和第二方面中任意一个实施例中的密码服务方法。

29、第七方面，本申请实施例提供了一种计算机程序产品，计算机程序产品中的指令由电子设备的处理器执行时，使得电子设备执行实现如上述第一方面和第二方面中任意一个实施例中的密码服务方法。

30、在本申请实施例的密码服务方法、装置、设备、介质及产品，通过在密码机和密码服务平台中设置安全节点，采用安全节点进行数据传输，保证了密码机和密码服务平台能够实现一对一的数据传输。同时获取所述第一数据的敏感级别、所述操作请求的请求类型以及具有所述密码信息的访问权限的至少一个安全节点以及所述第二安全节点的风险数据，并生成与第二安全节点的信任度、敏感级别、所述请求类型相对应的动态密码策略，能够实现对第一数据的差异密码服务，提高第一数据的安全性。以及通过密码机获取密码服务平台的第二安全节点所对应的访问权限，只有在第二安全节点具有对密码机中存储的密码信息具有访问权限的情况下，才采用该密码信息执行密码服务平台所需要执行的操作，实现对密码服务平台访问密码机中的加密信息的访问控制，防止密码机中的密码信息被不具备访问权限的平台所获取的问题，防止了密码信息泄露，确保只有经过授权的密码服务平台才能访问和操作密码信息，提高了密码服务过程中的安全性。

技术特征：

1.一种密码服务方法，其特征在于，应用于第一密码机，所述第一密码机设置有第一安全节点，所述方法包括：

2.根据权利要求1所述的密码服务方法，其特征在于，所述第一安全节点绑定有第一数字证书，所述第二安全节点绑定有第二数字证书，其中，所述第一数字证书携带于所述操作请求中；

3.根据权利要求1所述的密码服务方法，其特征在于，所述第一密码机设置有白名单，所述白名单包括允许调用所述第一密码机的密码服务平台的地址信息；

4.根据权利要求1所述的密码服务方法，其特征在于，所述第一密码机为第一局域网内的密码机；

5.根据权利要求1-4中任一项所述的密码服务方法，其特征在于，所述密码信息包括密钥和操作指令；

6.根据权利要求1所述的密码服务方法，其特征在于，所述第一密码机为第一密码机资源池中的密码机，所述第一密码机资源池包括多个密码机；

7.一种密码服务方法，其特征在于，应用于第一密码服务平台，所述第一密码服务平台设置有第二安全节点，所述方法包括：

8.根据权利要求7所述的密码服务方法，其特征在于，所述第二安全节点绑定有第二数字证书，所述第一安全节点绑定有第一数字证书，其中，所述第一数字证书携带于所述操作请求中；

9.根据权利要求7所述的密码服务方法，其特征在于，所述通过所述第二安全节点接收应用的第三安全节点发送的操作请求之后，所述方法还包括：

10.一种密码服务装置，其特征在于，应用于第一密码机，所述第一密码机这只有第一安全节点，所述装置包括：

11.一种密码服务装置，其特征在于，应用于第一密码服务平台，所述第一密码服务平台设置有第二安全节点，所述装置包括：

12.一种电子设备，其特征在于，所述设备包括：处理器以及存储有计算机程序指令的存储器；

13.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如权利要求1-9中任意一项所述的密码服务方法。

14.一种计算机程序产品，其特征在于，所述计算机程序产品中的指令由电子设备的处理器执行时，使得所述电子设备执行如权利要求1-9中任意一项所述的密码服务方法。

技术总结本申请提供了一种密码服务方法、装置、设备、介质及产品，涉及网络安全技术领域，其中方法包括：通过第一安全节点接收第一密码服务平台的第二安全节点发送的操作请求；获取第一数据的敏感级别、操作请求的请求类型、具有密码信息的访问权限的至少一个安全节点以及第二安全节点的风险数据；根据风险数据对所述第二安全节点进行信任评估，得到信任度；生成与所述信任度、敏感级别、请求类型相对应的动态密码策略；在至少一个安全节点包括第二安全节点的情况下，根据动态密码策略，采用密码信息对第一数据操作，得到操作的第二数据；通过第一安全节点向第二安全节点发送第二数据。采用上述步骤可以提高密码服务过程中密码信息的安全性。技术研发人员：李爱宏,闫党军,颜荣镇,吴猛,陈德锋,李婧受保护的技术使用者：中国建设银行股份有限公司技术研发日：技术公布日：2024/9/12