本發明屬于信息安全，具體涉及一種用于服務器的云密碼服務平臺和方法。

背景技術：

1、目前云平臺的密鑰分發仍然是具有挑戰的問題。

2、cn108540486a公開了一種云密鑰的生成和使用方法，其中，該方法包括：接收用戶發送的第一密鑰對的公鑰和密鑰生成請求；生成第二密鑰對和隨機數；通過隨機數，加密第二密鑰對，得到第二密鑰對的第一密文；通過第一密鑰對的公鑰加密隨機數，得到隨機數的第二密文；保存第一密文和第二密文。本發明通過云端服務器生成密鑰，并采用隨機碼和密鑰對生成的密鑰進行逐層保護，使用戶可以便捷地獲取密鑰的私鑰，同時安全性較高。

3、cn110830242a公開了一種密鑰生成、管理方法和服務器，用以解決密鑰容易泄露的技術問題。密鑰生成方法，包括：每隔一段時間生成相應的一個密鑰對，一個密鑰對包括一個私鑰和一個公鑰；將生成的一個私鑰劃分為多個私鑰片段，分別存儲至多個第二服務器中，并將生成的一個公鑰發送至目標終端。密鑰管理方法包括：存儲相應的一個私鑰片段；接收目標終端發送的采用一個公鑰進行加密的業務請求，確定目標終端的終端標識；分別從各個其他第二服務器中獲取與目標終端相應的私鑰片段，并進行拼接，得到完整的一個私鑰；基于該私鑰進行解密驗證。該密鑰生成、管理方法和服務器，提升了用戶密鑰信息的安全性。

4、cn106603485b公開了一種密鑰協商方法及裝置。其中，該方法包括：生成第一隨機數，應用云端服務器的第一公鑰對第一隨機數和終端設備的標識信息進行加密生成第一密文；向云端服務器發送包括第一密文和終端設備的第二公鑰的密鑰協商請求；接收云端服務器驗證終端設備合法后，應用第二公鑰對包括第一隨機數的會話密鑰加密后發送的包括第二密文的密鑰協商響應；應用第二私鑰對第二密文進行解密，在獲得第一隨機數時應用會話密鑰對預先與云端服務器協商的第一字符串進行加密，向云端服務器發送包括第三密文的密鑰確認響應。該方法可以完成終端設備和云端服務器的雙向身份認證，并建立可靠性的安全連接，降低了成本，其提高了數據傳輸的安全性且效率高。

5、cn116886317b公開了一種服務器和終端設備之間分發密鑰的方法、系統及設備，此方法包括：終端設備和服務器對接收到的對方證書進行驗證合法后各自生成密鑰對，服務器根據終端設備證書驗證終端設備發送的終端設備硬件序列號合法且終端設備根據服務器證書驗證服務器編碼合法后，終端設備和服務器分別根據自身生成的密鑰對私鑰和對方生成的密鑰對公鑰生成中間密鑰，根據中間密鑰、終端設備硬件序列號和服務器編碼生成保護密鑰,服務器根據終端設備信息生成應用主密鑰并存儲，使用保護密鑰加密應用主密鑰得到應用主密鑰密文，將應用主密鑰密文發送給終端設備；終端設備使用保護密鑰解密應用主密鑰密文得到應用主密鑰，將終端設備信息和應用主密鑰對應存儲。

6、wo2025016183a1提供了一種數據處理方法及相關設備，其中方法包括：當檢測到由應用程序發起的業務請求時，獲取為業務請求隨機分配的臨時密鑰；采用證書公鑰對臨時密鑰進行加密處理，得到加密臨時密鑰；證書公鑰被預設置于應用程序的源代碼中；證書公鑰對應的證書私鑰存儲于服務器中；采用臨時密鑰對業務請求的請求數據進行加密處理，得到密文；根據加密臨時密鑰和密文生成網絡響應請求包，向服務器發送網絡響應請求包，網絡響應請求包用于請求服務器響應業務請求。本技術實施例可以保證數據傳輸過程中的數據安全性，且能夠節省服務器的資源開銷。

7、在現有技術的基礎上，希望可以進一步提升系統的安全性。

技術實現思路

1、本發明至少一個方面和優點將在下面的描述中部分地被闡述，或者可以從描述中顯而易見，或者可以通過實踐本公開的主題來獲取密碼的分發。

2、根據本發明的一個實施例，一種用于服務器的云密碼服務方法，包括：

3、第一終端向第一服務器發送第一請求；

4、第一服務器響應第一請求，自第一應用服務器列表內選擇若干應用服務器得到第一應用程序接口列表，根據第一應用程序接口列表生成第一信息，將第一信息發送至第一終端，以及基于第一請求和第一信息生成第一報文，并發送至第一應用程序接口列表；

5、第二服務器至少響應于第一報文生成云密碼，并通過宿主機對目標終端進行密碼設置，在設置完成后將云密碼分段作為秘密發送至第一應用程序接口列表；

6、所述第一終端基于第一應用程序接口列表或通過第一服務器獲取密鑰分片，并基于對密鑰分片的解密獲得云密碼。

7、根據本發明的一個實施例，所述第一請求包括請求實體和用戶的公鑰，所述請求實體包含目標終端的信息；

8、所述第一信息根據如下方法獲取：

9、根據第一終端所處地域確定可用的應用服務器列表，選取應用服務器列表中的若干應用服務器得到第二服務器列表；根據第二服務器列表內應用服務器確定應用程序接口信息列表，基于應用程序接口信息生成第一信息，所述第一信息包括應用程序接口信息和與第二服務器的公鑰。

10、根據本發明的一個實施例，響應于根據第一終端所處地域確定可用的應用服務器列表的數目低于第一閾值，將第一終端所處地域確定可用的應用服務器列表作為第二應用服務器列表，其他地域的應用服務器按照與第一終端地域之間的距離由近及遠進行排序，第一終端的地域由其ip地址確定，并取前ｍ項作為第三應用服務器列表，根據第二應用服務器列表和第三應用服務器列表得到第一應用服務器列表，所述m為不超過20的自然數。

11、根據本發明的一個實施例，所述第二服務器至少響應于第一報文和第二報文生成云密碼；

12、所述第一報文包含第一請求中的目標終端信息和第一信息；

13、所述第二報文的獲取過程包括：

14、所述第一終端從第一應用服務器列表中選取第三服務器，所述第一終端向第三服務器發送第二請求信息，所述第三服務器響應于第二請求信息創建第二報文，并發送至第二服務器，所述第二報文包含第一終端的公鑰。

15、根據本發明的一個實施例，分發子密文時，將m段分割后的子密文和訪問令牌分發至第四應用服務器列表內的應用服務器，其中，所述第四應用服務器列表為第一應用程序接口列表對應的應用服務器的子集，且不包含第三應用服務器。

16、根據本發明的一個實施例，所述第一報文包含第一請求中的目標終端信息、第一信息和第一終端的公鑰。

17、根據本發明的一個實施例，所述第二服務器將云密碼分段作為秘密發送至第一應用程序接口列表包括：

18、云密碼使用第一終端的公鑰進行加密，得到加密后的云密碼，之后使用第二服務器的私鑰對加密后的云密碼進行簽名，得到加密后的云密碼簽名，合并加密后的云密碼和密碼簽名，得到第一密文；

19、第一密文分為m段，使用shamir密碼共享方法將m段分割后的子密文和訪問令牌通過第一應用程序接口列表內的應用程序接口分發至第一應用服務器列表內的應用服務器，所述訪問令牌用于應用服務器對第一終端或第一服務器的鑒權。

20、根據本發明的一個實施例，所述第一終端信息獲取加密后密鑰信息的過程包括：

21、第一終端向第一應用程序接口列表內的應用程序接口發送子密文獲取請求；

22、響應于獲取不低于第一值的子密文，第一終端進行秘密的恢復；

23、在完整獲取第二服務器分發的秘密后，對獲取的秘密進行組合并解密獲得云密碼。

24、根據本發明的一個實施例，所述應用程序接口響應于用戶請求包含的令牌與所保存的令牌對應，將秘密作為響應返回，并刪除應用服務器上第一終端的請求令牌和對應的秘密。

25、根據本發明的一個實施例，所述第一終端基于第一應用程序接口列表或通過第一服務器獲取密鑰分片：

26、第一終端向第一服務器發起密文獲取請求，第一服務器響應第一終端的請求從第二應用服務器獲得第二服務器分享的秘密，并將獲取的秘密發送至第一終端，并基于所獲取的秘密生成第三報文發送至第二服務器。

27、根據本發明的一個實施例，所述第二服務器列表內的服務器響應于第一終端或第一應用服務器的請求發送密文片段，對應的令牌和保存的密文片段，并構建第四請求發送至第二應用服務器，所述第二服務器響應于第四請求的數目達到第一閾值，向第二服務器列表內的服務器發送第四報文，所述第二服務器響應于第四報文刪除密文。

28、根據本發明的一個實施例，所述第二應用服務器響應于用戶的請求、第二服務器的指令或密文的保存時長達到第一時長閾值刪除保存的密文，

29、根據本發明的一個實施例，一種用于服務器的云密碼服務平臺，包括：

30、第一服務器，用于響應用戶使用的第一終端發出的第一請求，自第一應用服務器列表內選擇若干應用服務器得到第一應用程序接口列表，根據第一應用程序接口列表生成第一信息，將第一信息發送至第一終端，以及基于第一請求和第一信息生成第一報文，并發送至第一應用程序接口列表；

31、第二服務器，至少響應于第一報文生成云密碼，并通過宿主機對目標終端進行密碼設置，在設置完成后將云密碼分段作為秘密發送至第一應用程序接口列表；

32、所述第一終端基于第一應用程序接口列表或通過第一服務器獲取密鑰分片，并基于對密鑰分片的解密獲得云密碼。

33、本發明的方法和系統可以提升系統的安全性。