CN102238134B - 一种调度扩展密码模块增强密码机运算能力的方法 - Google Patents

一种调度扩展密码模块增强密码机运算能力的方法 Download PDF

Info

Publication number
CN102238134B
CN102238134B CN201010154139.3A CN201010154139A CN102238134B CN 102238134 B CN102238134 B CN 102238134B CN 201010154139 A CN201010154139 A CN 201010154139A CN 102238134 B CN102238134 B CN 102238134B
Authority
CN
China
Prior art keywords
module
crypto
cipher
cipher machine
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201010154139.3A
Other languages
English (en)
Other versions
CN102238134A (zh
Inventor
李元正
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
In Dianke Beijing Network Information Security Co ltd
Original Assignee
Chengdu Westone Information Industry Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Westone Information Industry Inc filed Critical Chengdu Westone Information Industry Inc
Priority to CN201010154139.3A priority Critical patent/CN102238134B/zh
Publication of CN102238134A publication Critical patent/CN102238134A/zh
Application granted granted Critical
Publication of CN102238134B publication Critical patent/CN102238134B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开一种调度扩展密码模块增强密码机运算能力的方法,有下述内容:密码机应有插入式密码模块结构设计;密码机至少具有两个密码模块插入接口;在密码机内部增设:密码模块的状态实时检测模块、调度密码模块工作模块和密码模块状态管理模块,当应用服务器要升级需要密码机有更高的处理能力时,通过密码模块状态实时检测模块,实时检测机内密码模块的型号、数量、有效性、故障情况,通过调度密码模块工作模块,按照每个密码模块执行运算的分配比例,调度各密码模块执行所分配的密码运算,通过密码模块的状态管理模块,对密码机运行进行状态监管,保障密码机的正常运行,实时而极大的提高了密码机的运算处理能力并节省了改造密码机的投入成本。

Description

一种调度扩展密码模块增强密码机运算能力的方法
技术领域
本发明属于信息安全密码技术领域,涉及在不改变已部署密码机的硬件与插入式密码模块结构的基础上,通过扩展插入式密码模块数量,由密码机调度密码模块工作,从而有效提高密码机运算处理能力的方法。
背景技术
密码技术是信息安全的基础技术,密码机是密码技术安全应用的基础和信息化安全的核心。随着我国信息化产业高速全面发展,作为信息安全基础核心的密码设备,在为信息产业及现代服务业发展提供安全密码技术的同时,也面临越来越高的性能要求和及时响应要求。
当前的密码机,通常采用固化密码模块和插入式密码模块实现密码功能,工作时由应用服务器向密码机发起密码运算请求,密码机接收请求后调用密码机内部的密码模块(固化密码模块或插入式密码模块)进行密码运算,运算完成后将结果返回应用服务器。
固化密码模块,由于采用与密码机一体化的设计而不能扩展密码模块数量,当应用服务器增加或升级需要更高的处理性能要求时,会因增加密码机的数量而造成用户成本大幅度提高;采用插入式密码模块的密码机,由于在设计初期就已经根据密码机的已有结构限制了密码模块的数量、运算能力及服务能力。当应用服务器要增加或升级需要密码机有更高的处理能力时,采用插入式密码模块设计的密码机,需要生产厂商对该密码机软件系统进行改造,甚至要对其硬件结构进行大的调整,也造成了用户成本大幅度的提高。
发明内容
本发明的目的在于:为用户提供一种能有效调度扩展密码模块增强密码机运算能力的方法,它是在不改变已有密码机硬件与插入式密码模块结构的基础上,通过扩展插入式密码模块数量,由密码机调度密码模块,从而有效地提高密码机运算处理能力的方法,解决了密码机在实际应用中,无法及时满足应用性能提升要求的技术难题,实现了在密码机能及时满足应用性能提升要求的同时,又极大地降低了用户的投入成本。
本发明的目的是通过下述技术方案来实现的:
一种调度扩展密码模块增强密码机运算能力的方法,包括下述内容:
(一)所用密码机应具有如下技术特点:
1.密码机应该具有插入式密码模块的结构设计;
2.密码机的物理结构应具备n个密码模块插入接口,其中n≥2的正整数;
(二)在所用密码机内部增设:密码模块的状态实时检测模块、调度密码模块工作模块和密码模块状态管理模块,并执行如下操作方法;其中:
所述密码模块的状态实时检测模块,在运行过程中:1)首先,要对已插入密码机中的密码模块的型号进行检测,确定其是否为设计许可的型号;2)接着,要根据已插入密码机中确定许可型号的密码模块及其特点,检测每个密码模块的功能有效性;3)然后,根据已检测出的功能有效的密码模块型号,计算已插入密码机中有效密码模块的各种型号及其有效数量;4)再根据密码机中有效密码模块的型号及其有效数量,按照各型号密码模块的特点逐一加载每个密码模块,使之进入工作状态;
所述调度密码模块工作的模块,在运行过程中:a)首先,要从密码模块状态实时检测结果中,获取插入密码机中的有效密码模块的各种型号及其有效数量;b)接着,要标记每个密码模块的当前工作状态;c)然后,要计算当前请求调度工作的密码运算指令总数,并利用分配算法计算出每个密码模块执行运算的分配比例;d)再根据已计算出的每个密码模块执行运算的分配比例,调度各密码模块执行所分配的密码运算;
所述密码模块的状态管理模块,在运行过程中:要实时的根据密码模块状态实时检测的结果,报告已插入密码机中密码模块的型号、数量、有效性、故障情况;当检测结果发现密码机中密码模块有效数量为0时,锁定密码机并报告故障。
本发明的优点在于:由于在装有插入式密码模块的密码机内部,增设了用于实时检测密码模块状态、调度密码模块工作、以及对密码模块状态进行管理的三个操作模块,当应用服务器要增加或升级需要密码机具有更高的处理能力时,密码机通过其机内的密码模块状态实时检测模块,实时检测机内密码模块的型号、数量、有效性、故障情况,通过调度密码模块工作模块,按照每个密码模块执行运算的分配比例,调度各密码模块执行所分配的密码运算,通过密码模块的状态管理模块,对密码机运行过程进行状态监管,保障密码机的正常运行,实时而极大的提高了密码机的运算处理能力,也大大节省了要改造密码机硬件及密码模块软件所需要投入的费用。
具体实施方式
某数字认证中心在建设时,由于该中心的证书发放量(即用户数)较少,其提供用户证书有效性查询的在线证书状态查询系统,只需要每秒提供100次服务,因此使用了具有一块插入式密码模块的密码机,以其150次/秒的签名运算处理能力,能够满足该中心的当期业务需要。建设完成后该中心的证书发放量大量增加,用户使用率也开始频繁使用在线证书状态查询系统的查询服务,峰值达到350次/秒,此时密码机的运算处理能力就不能满足该中心因业务增长所要求的处理能力,需要进行升级。
实施例:一种能调度3块密码模块增强密码机计算能力的方法
(一)所用密码机应具有如下技术特点:
1.密码机应该具有插入式密码模块的结构设计;
2.密码机的物理结构应具备3个密码模块插入接口;
3.在密码机内部增设密码模块状态实时检测模块、调度密码模块工作模块和密码模块状态管理模块;
(二)调度3块插入式密码模块增强密码机计算能力的方法,按下述步骤进行:
第一步,密码模块状态实时检测模块,逐一检测已插入密码机中的3块密码模块的型号,将检测结果与设计许可的型号进行比对,判断插入的密码模块是否正确,当型号正确时记录下3个型号(可以为相同型号)并进入下一步;
第二步,密码模块状态实时检测模块,根据型号逐一向3个密码模块发送检测指令和检测数据,并根据预期结果判断密码模块反馈的运算结果是否正确,当运算结果正确时记录下有效的密码模块的数量为3,并进入下一步;
第三步,密码模块状态实时检测模块,向3个有效密码模块逐一发送加载指令,使3个密码模块逐一进入工作状态,接收到3个密码模块正常进入工作状态反馈结果后,通知调度密码模块工作模块开始工作;
第四步,调度密码模块工作模块,从密码模块状态实时检测模块获取当前有效密码模块的数量(数量为3);
第五步,调度密码模块工作模块,逐一标记3个密码模块为空闲状态,密码机开始处理密码运算指令;
第六步,调度密码模块工作模块,计算出密码机当前请求调度工作的密码运算指令总数,并利用分配算法计算出每个密码模块执行密码运算指令的分配比例;
第七步,调度密码模块工作模块,按照密码模块的状态和分配比例,将密码机接收到的密码运算指令逐一发送给3个密码模块,并将3个密码模块逐一标记为运算状态;
第八步,3个密码模块同时按指令进行密码运算,运算结束后反馈运算结果并通知调度密码模块工作模块,调度密码模块工作模块,逐一将3个密码模块标记为空闲状态,操作结束。
密码模块状态管理模块在密码机运行过程中,实时获取密码模块状态的实时检测结果,按密码机使用者的需要报告已插入密码机中密码模块的型号、数量、有效性、故障情况,一旦检测结果发现密码机中密码模块有效数量为0时,将马上锁定密码机并向使用者报告故障。
(三)效果比较
密码机利用已插入的3块密码模块并行工作,能够同时运算3条密码运算指令,密码机的整体处理性能提高了3倍,按照1块密码模块能够进行150次/秒签名运算计算,3块密码模块能够达到450次/秒签名运算,从而满足了所述某数字认证中心的服务要求与服务能力。

Claims (1)

1.一种调度扩展密码模块增强密码机运算能力的方法,包括:密码机应具有扩展3
密码模块的插入式物理结构, 在密码机内部增设有3个密码模块的状态实时检测模块、调度密码模块的工作模块和密码模块的状态管理模块;密码机工作时增强其运算能力的方法按下述步骤进行:
1)开机后,由状态实时检测模块,对已插入密码机中的3个密码模块,逐—地检测其型号,将检测结果与设计许可的型号进行比对,判断插入的密码模块是否正确定,当型号正确时记录下3个型号,并进入下一步;
2)状态实时检测模块,依据密码模块的型号逐一向3个密码模块发送检测指令和检测数据,并根据预期结果判断各密码模块反馈的运算结果是否正确,当运算结果正确时记录下功能有效的密码模块数量为3,并进入下一步;
3)状态实时检测模块,向3个有效密码模块逐一发送加载指令,使3个密码模块逐一
进入工作状态,当接受到3个密码模块已正常进入工作状态的反馈信息后,通知调度密码模块的工作模块开始工作;
4) 调度密码模块的工作模块,当接受到3个密码模块已正常进入工作状态后,从状态实时检测模块获取当前有效密码模块的数量3,然后逐一标记3个密码模块为空闲状态,密码机即开始处理密码运算指令;
5) 调度密码模块的工作模块,计算出密码机当前请求调度工作的密码运算指令总数,并利用分配算法计算出每个密码模块执行密码运算指令的分配比例;
6) 调度密码模块的工作模块,按照密码模块的状态和分配比例,将密码机接收到的密码运算指令逐一发给3个密码模块,并将3个密码模块逐一标记为运算状态,并进入下一步;
7)接着,3个密码模块同时按着指令进行密码运算,运算结束后反馈运算结果并通知调度密码模块的工作模块, 调度密码模块的工作模块逐一地将3个密码模块标记为空闲状态,运算操作结束;
所述密码模块的状态管理模块,在密码机运行过程中,实时的从状态实时检测模块获取密码模块状态的实时检测结果,按密码机使用者的需要报告已插入密码机中密码模块的型号、数量、有效性、故障情况,一旦检测结果发现密码机中密码模块有效数量为0时,马上锁定密码机并向使用者报告故障。
CN201010154139.3A 2010-04-21 2010-04-21 一种调度扩展密码模块增强密码机运算能力的方法 Expired - Fee Related CN102238134B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010154139.3A CN102238134B (zh) 2010-04-21 2010-04-21 一种调度扩展密码模块增强密码机运算能力的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010154139.3A CN102238134B (zh) 2010-04-21 2010-04-21 一种调度扩展密码模块增强密码机运算能力的方法

Publications (2)

Publication Number Publication Date
CN102238134A CN102238134A (zh) 2011-11-09
CN102238134B true CN102238134B (zh) 2014-02-12

Family

ID=44888358

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010154139.3A Expired - Fee Related CN102238134B (zh) 2010-04-21 2010-04-21 一种调度扩展密码模块增强密码机运算能力的方法

Country Status (1)

Country Link
CN (1) CN102238134B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105227294B (zh) * 2015-09-29 2018-08-03 北京江南天安科技有限公司 密码机及其实现方法和加解密系统及其方法
CN113873029B (zh) * 2021-09-24 2023-12-12 奇安信科技集团股份有限公司 密码服务监控方法、服务器、密码机、系统和存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1650180A (zh) * 2002-05-03 2005-08-03 通用仪表公司 安全扫描
CN1815947A (zh) * 2005-01-31 2006-08-09 成都卫士通信息产业股份有限公司 网络密码机的帧组加密方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100484209B1 (ko) * 1998-09-24 2005-09-30 삼성전자주식회사 디지털컨텐트암호화/해독화장치및그방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1650180A (zh) * 2002-05-03 2005-08-03 通用仪表公司 安全扫描
CN1815947A (zh) * 2005-01-31 2006-08-09 成都卫士通信息产业股份有限公司 网络密码机的帧组加密方法

Also Published As

Publication number Publication date
CN102238134A (zh) 2011-11-09

Similar Documents

Publication Publication Date Title
CN102624677B (zh) 一种网络用户行为监控方法及服务器
US10140142B2 (en) Grouping and placement of virtual machines based on similarity and correlation of functional relations
CN102136043B (zh) 一种计算机系统及其度量方法
CN113645229B (zh) 一种基于可信确认的认证系统及方法
CN1937822B (zh) 用于控制移动应用中能量利用的系统和方法
CN102144193B (zh) 在自动化系统中同意对基于计算机的对象的访问权限的方法、设备和自动化系统
CN111556059A (zh) 异常检测方法、异常检测装置及终端设备
CN103460216B (zh) 软件许可控制
CN103258151A (zh) 一种实时授权的软件License控制方法
CN102999716A (zh) 虚拟机器监控系统及方法
CN100449562C (zh) 一种License控制方法及装置
CN102682245A (zh) 用于检测与系统应用处理相关联的欺诈的系统和方法
CN102811239A (zh) 一种虚拟机系统及其安全控制方法
CN103984536B (zh) 一种云计算平台中的 i/o 请求计数系统及其方法
CN111159657A (zh) 一种应用程序鉴权方法及系统
CN102238134B (zh) 一种调度扩展密码模块增强密码机运算能力的方法
CN106383771A (zh) 一种主机集群监控方法及装置
CN111651121A (zh) 数据逻辑计算方法、装置、电子设备及存储介质
CN112866285B (zh) 网关拦截方法、装置、电子设备及存储介质
CN101980175A (zh) 基于OSGi的软件构件监测方法与系统
CN101727548B (zh) 一种计算机安全监控系统和方法以及综合决策装置
CN103220166A (zh) 服务器集群的license管理方法
CN103186738A (zh) 软件资源的软件许可证管控方法、系统及创建和启动装置
CN105550566B (zh) 一种多用户共享软件授权usb设备的方法
CN111813518A (zh) 机器人预警方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20211110

Address after: 100071 101, floors 1-9, building 6, District 18, No. 188, South Fourth Ring West Road, Fengtai District, Beijing

Patentee after: In Dianke (Beijing) Network Information Security Co.,Ltd.

Address before: 610041 No. 8 Chuangye Road, high tech Zone, Chengdu, Sichuan

Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc.

TR01 Transfer of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20140212

CF01 Termination of patent right due to non-payment of annual fee