CN105678156B - 一种基于虚拟化技术的云密码服务平台及其工作流程 - Google Patents

一种基于虚拟化技术的云密码服务平台及其工作流程 Download PDF

Info

Publication number
CN105678156B
CN105678156B CN201610000454.8A CN201610000454A CN105678156B CN 105678156 B CN105678156 B CN 105678156B CN 201610000454 A CN201610000454 A CN 201610000454A CN 105678156 B CN105678156 B CN 105678156B
Authority
CN
China
Prior art keywords
node
application
key
cryptographic service
administrative center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610000454.8A
Other languages
English (en)
Other versions
CN105678156A (zh
Inventor
廖成军
李元正
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronics Technology Network Security Technology Co ltd
Original Assignee
Chengdu Westone Information Industry Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Westone Information Industry Inc filed Critical Chengdu Westone Information Industry Inc
Priority to CN201610000454.8A priority Critical patent/CN105678156B/zh
Publication of CN105678156A publication Critical patent/CN105678156A/zh
Application granted granted Critical
Publication of CN105678156B publication Critical patent/CN105678156B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于虚拟化技术的云密码服务平台及其工作流程,所述平台包括管理中心及若干节点。所述中心负责应用的基本配置、审核、运算逻辑,应用入口管理、节点的注册、维护和管理,虚拟密码机及镜像管理、应用密钥的全生命周期管理。所述节点由多个相对独立的密码机构成,每个节点上通过虚拟化技术隔离出不同的虚拟密码机,每个容器负责特定应用的密码运算服务。本发明解决了密码机在传统应用模式中的各种弊端,提高密码服务性能,实现密码服务组合式、按需分配,满足云计算下对密码服务的高性能、高可用性的应用需求。

Description

一种基于虚拟化技术的云密码服务平台及其工作流程
技术领域
本发明属于信息安全密码技术领域,其涉及一种基于虚拟化技术的云密码服务平台及其工作流程。
背景技术
虚拟化是一个广义的术语,是指计算元件在虚拟的基础上而不是真实的基础上运行,是一个为了简化管理,优化资源的解决方案。这种把有限的固定的资源根据不同需求进行重新规划以达到最大利用率的思路,在IT领域就叫做虚拟化技术。虚拟化使用软件方法重新定义划分IT资源,可以实现IT资源的动态分配、灵活调度、跨域共享,提高IT资源利用率,使IT资源能够真正成为社会基础设施,服务于各行各业中灵活多变的应用需求。
当前传统的密码机使用模式可归结为两种模式:直连和代理。直连模式:应用系统自行管理与多台密码机之间的连接,探测连接是否可用,并在多个连接中实现负载均衡,因此对应用系统提出了较大的挑战,使用模式复杂。代理模式:由一个访问代理连接密码机集群中的机器,访问代理实现密码机的连接、可用性、负载均衡等功能,应用系统实现与访问代理进行连接即可。但访问代理需要额外的机器、人力进行部署和维护;代理本身的稳定性直接影响了密码服务的稳定性;代理如果配置部署不合适,容易形成性能瓶颈。此外,上述两种模式从整体上缺乏统一、有效的密码机集中管理和维护,且密码机不能重复使用,造成极大的物力和人力资源浪费。
随着信息系统业务的不断发展,密码机在业务系统中的应用不断增加,密码机的种类和数量也随之不断增长。同时,随着越来越多系统向着云上迁移,应用系统由传统固定的资源分配,变为可动态伸缩、迁移。这一系列变化均对密码机的管理系统提出了更强的计算能力、更高的安全强度、更自动化的便捷管理的需求。不同密码机的管理方式、应用模式、设备形态等存在较大差异,缺乏有效的设备集中管理和维护手段,且传统密码机由各个应用独享不能重复使用,造成物力和人力资源浪费。因此,面对众多的密码机如何统一、集中管理与维护,如何为上层密码应用主体提供密码安全服务将成为系统建设的重点。
发明内容
为解决上述问题,本发明提供了一种基于虚拟化技术的云密码服务平台,包括管理中心及若干节点。
管理中心负责应用的基本配置、审核、运算逻辑,应用入口管理、节点的注册、维护和管理,虚拟密码机及镜像管理、应用密钥的全生命周期管理。
节点由多个相对独立的密码机构成,每个节点上通过虚拟化技术隔离出不同的虚拟密码机,每个容器负责特定应用的密码运算服务。
上述的基于虚拟化技术的云密码服务平台的集中密码服务工作流程,所述流程包括如下步骤:
步骤一:管理中心录入各个节点的基本信息,对其进行注册。
步骤二:管理中心录入应用基本信息,所述基本信息包括IP地址,以形成应用IP白名单。
步骤三:管理中心根据应用需求,在节点中创建并分配合适数目的容器,将虚机镜像下发至节点的虚拟密码机,节点利用虚拟化技术完成虚机镜像在虚拟密码机中的装载,节点中形成多个虚拟的、为应用定制化的专用密码机。
步骤四:管理中心为应用产生密钥,形成应用与密钥的映射关系,并将密码机本地主密钥加密存储在数据库中;管理中心根据实际需求,选择应用所需要的密码服务功能、运算资源和密钥存储资源。
步骤五:管理中心选择指定的虚拟密码机,将密文的密钥、应用与密钥的映射关系传送至节点。
步骤六:节点接收信息,利用节点的本地主密钥进行解密,获取密钥明文。
步骤七:节点将密钥明文、应用与密钥映射关系装载到指定虚拟密码机的内存中。
步骤八: HA根据管理中心提供的应用IP白名单,验证请求合法性,并均衡的发送至可用的节点的虚拟密码机中。
步骤九:节点的虚拟密码机对密码服务请求进行密码运算。
步骤十:节点的虚拟密码机将密码运算结果按原路返回给应用,并等待接收下一次密码服务请求。进一步的,节点的基本信息包括厂商、型号、名称、IP地址、端口。
进一步的,应用的基本信息还包括应用账号、应用名称、端口。
进一步的,步骤二中,管理中心还对外提供API接口,供应用动态伸缩时自动更新白名单,以管理应用的合法请求来源。
进一步的,管理中心以图形化方式呈现节点中各容器的运行状态。
进一步的,管理中心负责节点容器的统一管理和维护,包括容器的修改、克隆、销毁。
本发明的有益效果为:
1.统一接入。对上层云服务应用提供统一、通用、友好的访问接口,针对同一种业务功能、不同型号的密码机应采用相同的对外接口,实现上层云服务应用对密码机的透明引用,屏蔽上层多种业务逻辑处理,将应用不关心的后台实现细节、参数等加以屏蔽或自动处理,以简化上层云服务应用的使用。
2.按需分配。根据实际应用需要实现密码按需服务、资源动态分配,灵活支持高峰期的业务密码服务需求。
3.高性能。在云服务环境中,能够实时处理云平台中大量数据产生的密码服务需求,支持高并发访问、高运算速度、高密钥存储容量等特性。
4.高可用性。为云服务环境中各个应用提供不间断、高可用的密码运算服务,避免了单一密码机的单点故障。
5.高利用率。整合密码机资源,形成密码机集群,提高密码硬件资源的利用率,增加投资回报率。
6.高隔离性。在为云服务环境中多个应用提供密码服务时,为防止多个应用同时使用时产生交叉影响,在计算资源使用、数据访问等层面提供良好的隔离措施,杜绝多个应用同时使用时产生的交叉感染问题。
7.运营管理。提供统一的密钥管理及密码安全服务,集中的密码机监控和管理,及时掌握运营状况,并降低运营成本和管理工作量。
附图说明
图1是本发明工作流程图。
具体实施方式
本发明所述基于虚拟化技术的云密码服务平台包括管理中心及若干节点包括管理中心及若干节点。
管理中心负责应用的基本配置、审核、运算逻辑,应用入口管理、节点的注册、维护和管理,容器及镜像管理、应用密钥的全生命周期管理等主要功能。节点由多个相对独立的物理节点(密码机)构成,每个节点上通过虚拟化技术隔离出不同的容器(虚拟密码机),每个容器负责特定应用的密码运算服务。
图1所示为本发明所述云密码服务平台的工作过程展示,下面对各关键工作步骤详细说明。
步骤一:管理中心录入各个节点的基本信息,对其进行注册。
管理中心录入节点(密码机)基本信息(厂商、型号、名称、IP地址、端口等;根据这些信息完成对节点的注册工作;注册工作使得管理中心能够实现对节点的统一管理和维护。
步骤二:管理中心录入应用基本信息,以形成应用IP白名单。
管理中心录入应用基本信息,包括应用账号、应用名称、IP地址、端口等),形成应用IP白名单。
优选的,管理端还对外提供API接口,供应用动态伸缩时自动更新白名单,以管理应用的合法请求来源。
步骤三:管理中心根据应用需求,在节点中创建并分配合适数目的容器,将虚拟镜像下发至节点容器,节点利用虚拟化技术完成虚机镜像在容器中的罐装及加载;在节点中形成多个虚拟的、为应用定制化的专用密码机。
管理中心负责节点容器的统一管理和维护,包括容器的修改、克隆、销毁,管理中心以图形化方式呈现节点中各容器的运行状态。
步骤四:管理中心为应用产生密钥数据,形成应用与密钥的映射关系,并将密码机本地主密钥加密存储在数据库中。
管理中心根据实际需求,选择应用所需要的密码服务功能、运算资源和密钥存储资源等。
步骤五:管理中心选择指定的容器,将密文的密钥、应用与密钥的映射关系传送至节点。
步骤六:节点接收信息,利用节点的本地主密钥进行解密,获取密钥明文。
步骤七:节点将密钥明文、应用与密钥映射关系装载到指定容器的内存中。
管理中心还提供各节点之间的密钥同步处理机制。即以管理中心为核心,从节点1中获取各容器中的密钥及算法处理;选择需求同步的节点2,将从节点1中获取各容器的密钥及算法处理直接装载到指定的节点2中,实现节点1与节点2之间的密钥同步。
步骤八:HA(High Available高可用性集群)根据管理中心提供的应用IP白名单,验证请求合法性,并均衡的发送至可用的节点的虚拟密码机中。
步骤九:节点容器对密码服务请求进行密码运算操作处理。
步骤十:节点容器将的密码运算结果按原路返回给应用,并等待接收下一次密码服务请求。

Claims (6)

1.一种基于虚拟化技术的云密码服务平台的工作流程,其特征在于,所述云密码服务平台包括管理中心及若干节点,
所述中心负责应用的基本配置、审核、运算逻辑,应用入口管理,节点的注册、维护和管理,虚拟密码机及镜像管理,应用密钥的全生命周期管理;
所述节点由多个相对独立的密码机构成,每个节点上通过虚拟化技术隔离出不同的虚拟密码机,每个虚拟密码机负责特定应用的密码运算服务;
所述云密码服务平台的工作流程包括如下步骤:
步骤一:管理中心录入各个节点的基本信息,对其进行注册;
步骤二:管理中心录入应用基本信息,所述基本信息包括IP地址,以形成应用IP白名单;
步骤三:管理中心根据应用需求,在节点中创建并分配合适数目的虚拟密码机,将虚拟密码机镜像下发至节点的虚拟密码机,节点利用虚拟化技术完成虚拟密码机镜像在虚拟密码机中的装载,节点中形成多个虚拟的、为应用定制化的专用密码机;
步骤四:管理中心为应用产生密钥,形成应用与密钥的映射关系,并将密码机本地主密钥加密存储在数据库中;管理中心根据实际需求,选择应用所需要的密码服务功能、运算资源和密钥存储资源;
步骤五:管理中心选择指定的虚拟密码机,将应用的密钥、应用与密钥的映射关系传送至节点;
步骤六:节点接收信息,利用节点的本地主密钥进行解密,获取密钥明文;
步骤七:节点将密钥明文、应用与密钥映射关系装载到指定虚拟密码机的内存中;
步骤八:高可用性集群HA根据管理中心提供的应用IP白名单,验证请求合法性,并均衡的发送至可用的节点的虚拟密码机中;
步骤九:节点的虚拟密码机对密码服务请求进行密码运算;
步骤十:节点的虚拟密码机将密码运算结果按原路返回给应用,并等待接收下一次密码服务请求。
2.如权利要求 1 所述的基于虚拟化技术的云密码服务平台的工作流程,其特征在于,节点的基本信息包括厂商、型号、名称、IP地址、端口。
3.如权利要求 1 所述的基于虚拟化技术的云密码服务平台的工作流程,其特征在于,应用的基本信息还包括应用账号、应用名称、端口。
4.如权利要求 1 所述的基于虚拟化技术的云密码服务平台的工作流程,其特征在于,步骤二中,管理中心还对外提供API接口,供应用动态伸缩时自动更新白名单,以管理应用的合法请求来源。
5.如权利要求 1 所述的基于虚拟化技术的云密码服务平台的工作流程,其特征在于,管理中心以图形化方式呈现节点中各虚拟密码机的运行状态。
6.如权利要求 1 所述的基于虚拟化技术的云密码服务平台的工作流程,其特征在于,管理中心负责节点虚拟密码机的统一管理和维护,包括虚拟密码机的修改、克隆、销毁。
CN201610000454.8A 2016-01-04 2016-01-04 一种基于虚拟化技术的云密码服务平台及其工作流程 Active CN105678156B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610000454.8A CN105678156B (zh) 2016-01-04 2016-01-04 一种基于虚拟化技术的云密码服务平台及其工作流程

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610000454.8A CN105678156B (zh) 2016-01-04 2016-01-04 一种基于虚拟化技术的云密码服务平台及其工作流程

Publications (2)

Publication Number Publication Date
CN105678156A CN105678156A (zh) 2016-06-15
CN105678156B true CN105678156B (zh) 2019-06-28

Family

ID=56298680

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610000454.8A Active CN105678156B (zh) 2016-01-04 2016-01-04 一种基于虚拟化技术的云密码服务平台及其工作流程

Country Status (1)

Country Link
CN (1) CN105678156B (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107040589B (zh) * 2017-03-15 2019-10-25 西安电子科技大学 通过虚拟化密码设备集群提供密码服务的系统及方法
CN106953873B (zh) * 2017-04-19 2020-03-20 讯美科技股份有限公司 一种加密设备加密信息的安全管理系统
CN107528844A (zh) * 2017-08-31 2017-12-29 北京无字天书科技有限公司 一种为多业务系统生成全动态密码的方法
CN108134778B (zh) * 2017-12-04 2021-09-10 中国电子科技集团公司第三十研究所 一种基于密码系统虚拟化切片的多用途密码系统
CN108418856A (zh) * 2018-01-22 2018-08-17 济南浪潮高新科技投资发展有限公司 一种基于云计算技术的政务云密码应用平台建设方法
CN110061983B (zh) * 2019-04-09 2020-11-06 苏宁云计算有限公司 一种数据处理方法及系统
CN110290172B (zh) * 2019-05-17 2022-02-11 平安科技(深圳)有限公司 容器应用克隆方法、装置、计算机设备及存储介质
CN110321695B (zh) * 2019-07-11 2021-07-20 成都卫士通信息产业股份有限公司 大数据系统密码服务方法、装置
CN110572258B (zh) * 2019-07-24 2021-12-14 中国科学院数据与通信保护研究教育中心 一种云密码计算平台及计算服务方法
CN112104614B (zh) * 2020-08-24 2023-02-28 广州江南科友科技股份有限公司 密码机可代理监控方法、装置、设备及存储介质
CN112702210A (zh) * 2020-12-30 2021-04-23 北京数盾信息科技有限公司 密码服务能力扩展的准线性调度机制
CN113949551A (zh) * 2021-10-12 2022-01-18 中安网脉(北京)技术股份有限公司 一种基于通道隔离的虚拟化云密码服务系统及其实现方法
CN114338124B (zh) * 2021-12-23 2024-04-12 成都卫士通信息产业股份有限公司 云密码计算服务的管理方法、系统、电子设备及存储介质
CN115189896B (zh) * 2022-09-13 2023-01-03 中安网脉(北京)技术股份有限公司 一种虚拟云密码服务系统及方法
CN116095149B (zh) * 2023-01-18 2023-09-19 北京安盟信息技术股份有限公司 云环境下密码服务应用配额的方法、系统、介质及设备
CN118193187A (zh) * 2023-12-06 2024-06-14 中国华能集团有限公司北京招标分公司 一种密码资源管理调度方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111264A (zh) * 2009-12-25 2011-06-29 上海格尔软件股份有限公司 非对称密钥管理系统
CN102208001A (zh) * 2010-03-30 2011-10-05 微软公司 硬件支持的虚拟化密码服务
CN103634339A (zh) * 2012-08-22 2014-03-12 中国银联股份有限公司 虚拟加密机装置、金融加密机及加密报文的方法
CN103988467A (zh) * 2011-11-16 2014-08-13 V-Key公司 确保软件加密技术安全的加密系统和方法
CN104320248A (zh) * 2014-11-14 2015-01-28 中国建设银行股份有限公司 一种系统间密钥同步的方法及系统
CN104363090A (zh) * 2014-11-19 2015-02-18 成都卫士通信息产业股份有限公司 一种增强银行终端设备安全性的密钥分发装置和方法
CN105243321A (zh) * 2015-10-27 2016-01-13 成都卫士通信息产业股份有限公司 一种基于容器虚拟化技术的密码机、实现及工作方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7945786B2 (en) * 2007-03-30 2011-05-17 Intel Corporation Method and apparatus to re-create trust model after sleep state

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111264A (zh) * 2009-12-25 2011-06-29 上海格尔软件股份有限公司 非对称密钥管理系统
CN102208001A (zh) * 2010-03-30 2011-10-05 微软公司 硬件支持的虚拟化密码服务
CN103988467A (zh) * 2011-11-16 2014-08-13 V-Key公司 确保软件加密技术安全的加密系统和方法
CN103634339A (zh) * 2012-08-22 2014-03-12 中国银联股份有限公司 虚拟加密机装置、金融加密机及加密报文的方法
CN104320248A (zh) * 2014-11-14 2015-01-28 中国建设银行股份有限公司 一种系统间密钥同步的方法及系统
CN104363090A (zh) * 2014-11-19 2015-02-18 成都卫士通信息产业股份有限公司 一种增强银行终端设备安全性的密钥分发装置和方法
CN105243321A (zh) * 2015-10-27 2016-01-13 成都卫士通信息产业股份有限公司 一种基于容器虚拟化技术的密码机、实现及工作方法

Also Published As

Publication number Publication date
CN105678156A (zh) 2016-06-15

Similar Documents

Publication Publication Date Title
CN105678156B (zh) 一种基于虚拟化技术的云密码服务平台及其工作流程
Gill Quantum and blockchain based Serverless edge computing: A vision, model, new trends and future directions
CN106375101B (zh) 一种生命周期管理方法及装置
US9436813B2 (en) Multi-tenancy support for a product that does not support multi-tenancy
CN103139159B (zh) 云计算架构中的虚拟机之间的安全通信
CN108650182A (zh) 网络通信方法、系统、装置、设备及存储介质
CN102082821B (zh) 基于联邦中心的跨资源池资源安全访问方法与系统
CN109561226A (zh) 一种api混合多租户路由方法、系统和api网关
CN109196474A (zh) 计算系统中的分布式操作控制
US11710206B2 (en) Session coordination for auto-scaled virtualized graphics processing
Iorio et al. Computing without borders: The way towards liquid computing
CN112835977B (zh) 一种基于区块链的数据库管理方法及系统
CN114205072B (zh) 认证方法、装置及系统
JP2022527375A (ja) 仮想分散型台帳ネットワークのためのシステムおよび方法
CN103312801A (zh) 应用装置、应用装置之间数据交互的方法、系统和服务器
CN109559213A (zh) 税务业务的处理方法及装置
US11838406B2 (en) Systems and methods for control-data plane partitioning in virtual distributed ledger networks
CN106961429A (zh) 一种面向混合云计算平台的协同服务方法
Ngo et al. Policy and context management in dynamically provisioned access control service for virtualized cloud infrastructures
CN115129423A (zh) 资源管理方法、装置、设备及存储介质
Huo et al. A blockchain-enabled trusted identifier co-governance architecture for the industrial internet of things
CN107026864A (zh) 基于云计算的孵化在线SaaS平台
CN106850686A (zh) 一种云计算系统
US9699146B1 (en) Secure access to user data
CN109983743A (zh) 云服务安全管理

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: No. 333, Yunhua Road, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan 610041

Patentee after: China Electronics Technology Network Security Technology Co.,Ltd.

Address before: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041

Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc.