CN105933270B - 一种云加密机的处理方法及装置 - Google Patents

一种云加密机的处理方法及装置 Download PDF

Info

Publication number
CN105933270B
CN105933270B CN201511004741.8A CN201511004741A CN105933270B CN 105933270 B CN105933270 B CN 105933270B CN 201511004741 A CN201511004741 A CN 201511004741A CN 105933270 B CN105933270 B CN 105933270B
Authority
CN
China
Prior art keywords
node
application container
application
container
target internal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201511004741.8A
Other languages
English (en)
Other versions
CN105933270A (zh
Inventor
何朔
华锦芝
杨阳
祖立军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN201511004741.8A priority Critical patent/CN105933270B/zh
Publication of CN105933270A publication Critical patent/CN105933270A/zh
Priority to PCT/CN2016/108657 priority patent/WO2017114103A1/zh
Application granted granted Critical
Publication of CN105933270B publication Critical patent/CN105933270B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种云加密机的处理方法及装置,该方法包括:接收应用程序容器配置命令,所述应用程序容器配置命令中包含目标应用程序标识;获取每个内部运算节点的状态信息,其中,每个应用程序容器用于针对一个应用程序执行安全操作,所述状态信息包括每个内部运算节点包含的应用程序容器信息;根据每个内部运算节点的状态信息和所述应用程序容器配置命令中的目标应用程序标识,确定目标内部运算节点;在所述目标内部运算节点上执行所述应用程序容器配置命令,用以解决现有技术中外部应用调用加密机的运维成本高且加密机的资源利用率低的问题。

Description

一种云加密机的处理方法及装置
技术领域
本发明涉及信息安全领域,尤其涉及一种云加密机的处理方法及装置。
背景技术
目前,随着网络应用的日益广泛以及不同领域的业务种类的日益丰富,借助加密机进行安全性信息(即对安全性要求较高的信息,例如金融卡密码等)的交互变得越来越重要。
现有技术外部应用通常采用以下两种方式调用加密机:(1)应用在需要调用加密机时预先编写生成加密机能够处理的指令,应用对应的应用服务器直接连接加密机,将上述指令传送到该加密机以执行对加密机的调用;(2)应用通过代理服务器调用多个加密机组成的集群中的某个加密机,在这种情况下应用侧需开发与该代理服务器交互的程序,将应用生成的加密机能够处理的指令,通过代理服务器传送到加密机,以执行对加密机的调用。不同应用需要用到的加密机的逻辑处理功能有可能不同,因此每个应用对应开发的代理服务器的交互程序也可能不相同。
然而,上述现有技术外部应用调用加密机的方式存在以下问题:若应用直接连接多个加密机进行指令的发送,需要对每个连接的加密机进行连接的管理和维护,给应用自身带来较高的使用成本;若应用通过代理访问的方式调用加密机,应用也需要根据需求开发相应的代理服务器,同样增加应用的使用成本,同时现有的加密机中是在出厂时设定了密码运算的容器,若需要新增其他应用的密码运算的容器,需要返厂增加,同时也使得一个硬件加密机中的资源没有得到充分的利用。
综上,现有技术的调用加密机的方式存在外部应用调用加密机的运维成本高且加密机的资源利用率低的问题。
发明内容
本发明实施例提供一种云加密机的处理方法及装置,用以解决现有技术中外部应用调用加密机的运维成本高且加密机的资源利用率低的问题。
本发明方法包括一种云加密机的处理方法,该方法包括:接收应用程序容器配置命令,所述应用程序容器配置命令中包含目标应用程序标识;获取每个内部运算节点上的状态信息,其中,每个应用程序容器用于针对一个应用程序执行安全操作,所述状态信息包括每个内部运算节点包含的应用程序容器信息;根据每个内部运算节点的状态信息和所述应用程序容器配置命令中的目标应用程序标识,确定目标内部运算节点;在所述目标内部运算节点上执行所述应用程序容器配置命令。
基于同样的发明构思,本发明实施例进一步地提供一种加密机的处理装置,该装置包括:接收配置命令单元,用于接收应用程序容器配置命令,所述应用程序容器配置命令中包含目标应用程序标识;获取状态信息单元,用于获取每个内部运算节点的状态信息,其中,每个应用程序容器用于针对一个应用程序执行安全操作,所述状态信息包括每个内部运算节点包含的应用程序容器信息;确定单元,用于根据每个内部运算节点的状态信息和所述应用程序容器配置命令中的目标应用程序标识,确定目标内部运算节点;执行单元,用于在所述目标内部运算节点上执行所述应用程序容器配置命令。
本发明实施例通过提供一种新型的云加密机,一方面该云加密机中包含多个内部运算节点,每个内部运算节点中都集成了针对多个应用程序的应用程序容器,因此每个内部运算节点可以针对不同的应用程序的调用请求执行相应的密码运算,充分的提高了资源的利用率;另一方面,云加密机中包含管理中心,外部应用通过调用管理中心,向内部运算节点发生配置命令,完成对应云加密机的每个应用程序容器的逻辑处理功能的配置和应用程序容器的配置。可见,外部应用可以通过管理中心完成云加密机的合理化配置,无需外部应用自身再去开发一套代理服务器,降低了外部应用调用加密机的运维成本。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种新型云加密机结构图;
图2为本发明实施例提供的一种云加密机的密钥管理方法流程示意图;
图3为本发明实施例提供的一种云加密机的报文处理方法流程示意图;
图4为本发明实施例提供的一种云加密机管理中心的结构示意图;
图5为本发明实施例提供的一种云加密机运算中心的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
需要说明的是,本发明实施中云加密机的处理方法,是基于目前的云计算技术,所谓云计算(Cloud Computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源,云是网络、互联网的一种比喻说法。
基于上述云计算技术,本发明实施例提供一种新型的云加密机结构图,参见图1所示,该云加密机结构图中,主要包括两个部分:管理中心和运算中心。
其中,运算中心中有多个内部运算节点,每个内部运算节点中可能包含多个应用程序容器,例如,图中的APP1容器、APPn等,所谓应用程序容器指的是专门处于一个应用的数据处理请求的加解密运算容器,不同的应用程序容器分别处理不同的应用的数据处理请求。每个应用程序容器中包含相应的密钥和运算逻辑。所谓运算逻辑通常指的是鉴权、加密等密码运算。每个内部运算节点的应用程序容器并不一定完全相同,每个内部运算节点中的同一个应用程序容器可能有多个,具体数目根据实际需要确定,但是每个应用程序容器只能执行与之对应的应用的报文处理请求。
管理中心中包括一个配置关系表,该表中包括运算中心要用到的密钥和所有的运算逻辑,针对特定的外部应用需求,可以从该应用的所有的运算逻辑选择部分运算逻辑。另外,管理中心和运算中心均提供了一个统一的接口供外部应用调用。
基于背景技术中提到的现有技术的缺陷,本发明实施例提供一种云加密机的处理方法流程示意图,参见图2所示,具体地实现方法包括:
步骤S101,接收应用程序容器配置命令,所述应用程序容器配置命令中包含目标应用程序标识。
步骤S102,获取每个内部运算节点上设置的各应用程序容器的状态信息,其中,每个应用程序容器用于针对一个应用程序执行安全操作,所述状态信息包括每内部运算节点包含的应用程序容器信息。
步骤S103,根据每个内部运算节点的状态信息和所述应用程序容器配置命令中的目标应用程序标识,确定目标内部运算节点。
步骤S104,在所述目标内部运算节点上执行所述应用程序容器配置命令。
在步骤S101中,上述目标应用程序容器的配置命令可以是某个外部应用或某几个外部应用的初始化指令,也可以是外部应用基于云加密机的工作效率状况,调整云加密机中的应用程序容器数量的指令,也可以是管理中心接收的管理员的指令。
在步骤S102中,云加密机上的内部运算节点周期性向管理中心上报该内部运算节点上各应用程序容器的状态信息;或者在管理中心接收到应用程序容器的配置命令后,向云加密机的各内部运算节点发送状态信息获取请求。
假设外部应用是一个POS收单应用,云加密机中与该外部应用对应的应用程序容器是APP1容器。当POS收单应用需要调用云加密机进行每笔POS交易的加密时,需要预先初始化云加密机中每个APP1容器的运算逻辑为加密,并灌入相应的密钥。具体初始化方法为:POS收单应用向管理中心发送一个包含该收单应用标识的初始化请求,该初始化请求中包含该收单应用的密钥和运算逻辑为加密,然后管理中心从云加密机的每个内部运算节点中获取应用程序容器对应的标识信息,找出所有的APP1容器,然后配置所有APP1容器的运算逻辑为加密,并灌入该收单应用的密钥。至此,该收单应用的初始化过程就完成了,后续POS收单应用可以直接向云加密机的入口发送报文处理请求。
进一步地,若所述应用程序容器配置命令为增加应用程序容器的配置命令;所述每个内部运算节点的状态信息中还包括每个内部运算节点的资源信息;
所述根据每个内部运算节点的状态信息和所述应用程序容器配置命令中的目标应用程序标识,确定目标内部运算节点,包括:
根据每个内部运算节点的资源信息,确定具有空闲资源的目标内部运算节点;
所述在所述目标内部运算节点上执行所述应用程序容器配置命令,包括:
在所述目标内部运算节点上新增所述目标应用程序标识对应的目标应用程序容器;
更新所述目标内部运算节点的配置关系表,所述目标内部运算节点的配置关系表包括目标内部运算节点与目标内部运算节点上的应用程序容器的映射关系。
举例来说,若短时间内POS收单应用中交易量骤增,那么为了要提高云加密机的处理效率,POS收单应用可以向管理中心发送增加目标应用程序容器的配置命令,基于该命令,管理中心和运算中心进行交互,可以实现增加APP1容器的目的。具体为,POS收单应用向管理中心发送增加APP1容器的配置命令,然后管理中心获取云加密机每个内部运算节点的资源信息,从所有内部运算节点中找到仍存在空余资源的目标内部运算节点,然后在这些目标内部运算节点上新增APP1容器,新增的数目基于内部运算节点的空余资源情况以及配置命令的新增数量的要求决定。当云加密机中新增了APP1容器后,管理中心需要根据运算中心此时的状态,更新管理中心中关于内部运算节点和应用程序容器的配置关系表,例如内部运算节点1之前有2个APP1容器,执行完配置命令之后变成了3个APP1容器,此时更新配置关系表,以便于后续运算中心从管理中心获取配置关系表,处理POS收单应用的报文。
进一步地,若所述应用程序容器配置命令为删除应用程序容器的配置命令;
所述根据各应用程序容器的状态信息和所述应用程序容器配置命令中的目标应用程序标识,确定目标内部运算节点,包括:
将包含所述目标应用程序标识对应的应用程序容器的内部运算节点确定为所述目标内部运算节点;
所述在所述目标内部运算节点上执行所述应用程序容器配置命令,包括:
在所述目标内部运算节点上删除所述目标应用程序容器;
更新所述目标内部运算节点的配置关系表,所述目标内部运算节点的配置关系表包括目标内部运算节点与目标内部运算节点上的应用程序容器的映射关系。
比如说,若一段时间内POS收单应用中交易量减少,甚至可以确定在一段时间内该收单应用不会有交易,那么为了释放云加密机中资源供其它应用使用,此时,就需要根据实际需要减少云加密机中的APP1容器的数量,甚至完全删除掉。具体为:POS收单应用向管理中心发送删除全部APP1容器的配置命令,管理中心从云加密机中获取所有包含APP1容器的内部运算节点,然后删除这些内部运算节点上的APP1容器,当然若POS收单应用向管理中心发送删除部分APP1容器的配置命令,管理中心也是从运算中心中获取所有包含APP1容器的内部运算节点,然后删除部分内部运算节点上的APP1容器,当管理中心完成删除之后,同样更新该管理中心中的配置关系表,以便于后续运算中心从管理中心获取配置关系表,处理POS收单应用的报文。
进一步地,管理中心除了利用完成上述配置命令,也可以接收外部应用的新增应用程序容器的配置命令,比如在银联装置中新增了一个网上交易应用,那么目前云加密机中并不存在与之对应的应用程序容器,此时云加密机就无法处理这一网上交易应用,因此该网上交易应用可以向管理中心发送关于该应用的新增应用程序的命令,管理中心接收配置命令后,更新本中心中的配置表,将网上交易应用对应的密钥和运算逻辑发送至运算中心侧,云加密机因此在有空闲资源的内部运算节点上新增网上交易应用对应的应用程序容器。
从上述云加密机的处理过程,可见,通过本发明实施例的处理方法,方便了对云加密机的管理和维护,另外云加密机每个内部运算节点集成了多个应用程序容器,使得云加密机相当于云加密机池,性能得到提高,也避免了资源的浪费,同时假若一个内部运算节点发生故障,其余内部运算节点也可以继续处理报文,起到了负载均衡的作用。
云加密机在完成初始化或者调整应用程序容器的命令后,本发明实施例进一步提供云加密机的报文处理方法流程示意图,如图3所示,图中云加密机可以接收应用发送的待处理的报文,然后基于配置完成的应用程序容器进行运算,具体为:
步骤S201,接收包含应用程序标识的待处理报文;
步骤S202,获取每个内部运算节点的配置关系表和所述应用程序标识对应的目标应用程序容器的忙闲状态;
步骤S203,根据所述配置关系表,确定所述应用程序标识对应的目标应用程序对应的第一内部运算节点;
步骤S204,从所述第一内部运算节点中选择处于空闲状态的目标应用程序容器对应的第二内部运算节点;
步骤S205,将所述待处理报文发送至所述第二内部运算节点中的所述目标应用程序容器,以使所述目标应用程序容器使用密钥对所述待处理报文进行安全操作。
假设接收的是POS收单应用发送的关于每笔交易的报文,云加密机通过对外部应用提供的统一的接口,该接口基于报文中的APP1标识,从管理中心中获取的配置关系表中,查找APP1容器对应的内部运算节点,然后将每条报文分发到一个包含APP1容器的内部运算节点上,然后这些内部运算节点将报文进行相应运算逻辑的安全操作。
考虑到接口需要对报文进行分发处理,假如正在分发处理时,该接口突然崩溃,必然会严重影响后续的处理,因此,本发明实施例,进一步地,在接口新增了备用的接口,备用的接口与之前接口通过HA(负载均衡)机制互联,用的云加密机的目的,避免一个接口出现崩溃带来的影响。
同时,云加密机的接口在分发报文时,也可以主动过滤要处理的报文,具体为:解析所述待处理的报文对应的因特网协议IP地址;判断所述IP地址是否包含于云加密机预设的IP地址白名单中;若是,则根据所述配置关系表,确定所述应用程序标识对应的目标应用程序对应的第一内部运算节点。
具体地,运算中心从管理中心上获取IP地址白名单,这个白名单规定那个IP地址发送过来的报文必须处理,其余IP地址发送过来的报文则过滤掉,不再处理,这样做的效果是在内部运算节点处理之前先进行一定条件的过滤,一来可以增加加密的处理效率,另外也可以主动拦截不要进行处理的报文。
基于相同的技术构思,本发明实施例还提供一种云加密机的处理装置,该装置可执行上述方法实施例。本发明实施例提供的装置如图4所示,包括:接收配置命令单元401、获取状态信息单元402、确定单元403、执行单元404,其中:
接收配置命令单元401,用于接收应用程序容器配置命令,所述应用程序容器配置命令中包含目标应用程序标识;
获取状态信息单元402,用于获取每个内部运算节点的状态信息,其中,每个应用程序容器用于针对一个应用程序执行安全操作,所述状态信息包括每个内部运算节点包含的应用程序容器信息;
确定单元403,用于根据每个内部运算节点的状态信息和所述应用程序容器配置命令中的目标应用程序标识,确定目标内部运算节点;
执行单元404,用于在所述目标内部运算节点上执行所述应用程序容器配置命令。
进一步地,若所述应用程序容器配置命令为增加应用程序容器的配置命令;所述每个内部运算节点的状态信息中还包括各每个内部运算节点的资源信息。
所述确定单元403具体用于:根据每个内部运算节点的资源信息,确定具有空闲资源的目标内部运算节点;
所述执行单元404具体用于:在所述目标内部运算节点上新增所述目标应用程序标识对应的目标应用程序容器;更新所述目标内部运算节点的配置关系表,所述目标内部运算节点的配置关系表包括目标内部运算节点与目标内部运算节点上的应用程序容器的映射关系。
进一步地,若所述应用程序容器配置命令为删除应用程序容器的配置命令;
所述确定单元403具体用于:将包含所述目标应用程序标识对应的应用程序容器的内部运算节点确定为所述目标内部运算节点;
所述执行单元404具体用于:在所述目标内部运算节点上删除所述目标应用程序容器;更新所述目标内部运算节点的配置关系表,所述目标内部运算节点的配置关系表包括目标内部运算节点与目标内部运算节点上的应用程序容器的映射关系。
云加密机在完成初始化或者调整应用程序容器的命令后,本发明实施例进一步提供云加密机的报文处理装置示意图,如图5所示,图中云加密机可以接收应用发送的待处理的报文,然后基于配置完成的应用程序容器进行运算,包括:接收报文单元501、获取关系表和状态单元502、确定第一内部运算节点单元503、确定第二内部运算节点单元504、发送单元505,其中:
接收报文单元501,用于接收包含应用程序标识的待处理报文;
获取关系表和状态单元502,用于获取每个内部运算节点的配置关系表和所述应用程序标识对应的目标应用程序容器的忙闲状态;
确定第一内部运算节点单元503,用于根据所述配置关系表,确定所述应用程序标识对应的目标应用程序对应的第一内部运算节点;
确定第二内部运算节点单元504,用于从所述第一内部运算节点中选择处于空闲状态的目标应用程序容器对应的第二内部运算节点;
发送单元505,用于将所述待处理报文发送至所述第二内部运算节点中的所述目标应用程序容器,以使所述目标应用程序容器使用密钥对所述待处理报文进行安全操作。
进一步地,所述确定第一内部运算节点单元503具体用于:解析所述待处理的报文对应的因特网协议IP地址;判断所述IP地址是否包含于云加密机预设的IP地址白名单中;若是,则根据所述配置关系表,确定所述应用程序标识对应的目标应用程序对应的第一内部运算节点。
综上所述,本发明实施例通过提供一种新型的云加密机,一方面该云加密机中包含多个内部运算节点,每个内部运算节点中都集成了针对多个应用程序的应用程序容器,因此每个内部运算节点可以针对不同的应用程序的调用请求执行相应的密码运算,充分的提高了资源的利用率;另一方面,云加密机中包含管理中心,外部应用通过调用管理中心,向内部运算节点发生配置命令,完成对应云加密机的每个应用程序容器的逻辑处理功能的配置和云加密机中应用程序容器的配置。可见,外部应用可以通过管理中心完成运算中心的合理化配置,无需外部应用自身再开发一套代理服务器,降低了外部应用调用加密机的运维成本。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (8)

1.一种云加密机的处理方法,其特征在于,该方法包括:
接收应用程序容器配置命令,所述应用程序容器配置命令中包含目标应用程序标识;
获取每个内部运算节点上的状态信息,其中,每个应用程序容器用于针对一个应用程序执行安全操作,所述状态信息包括每个内部运算节点包含的应用程序容器信息;
根据每个内部运算节点的状态信息和所述应用程序容器配置命令中的目标应用程序标识,确定目标内部运算节点;在所述目标内部运算节点上执行所述应用程序容器配置命令;其中,若所述应用程序容器配置命令为增加应用程序容器的配置命令;所述每个内部运算节点的状态信息中还包括每个内部运算节点的资源信息;具体的,根据每个内部运算节点的资源信息,确定具有空闲资源的目标内部运算节点;在所述目标内部运算节点上新增所述目标应用程序标识对应的目标应用程序容器;更新所述目标内部运算节点的配置关系表,所述目标内部运算节点的配置关系表包括目标内部运算节点与目标内部运算节点上的应用程序容器的映射关系。
2.如权利要求1所述的方法,其特征在于,若所述应用程序容器配置命令为删除应用程序容器的配置命令;
所述根据每个节点的状态信息和所述应用程序容器配置命令中的目标应用程序标识,确定目标内部运算节点,包括:
将包含所述目标应用程序标识对应的应用程序容器的内部运算节点确定为所述目标内部运算节点;
所述在所述目标内部运算节点上执行所述应用程序容器配置命令,包括:
在所述目标内部运算节点上删除所述目标应用程序容器;
更新所述目标内部运算节点的配置关系表,所述目标内部运算节点的配置关系表包括目标内部运算节点与目标内部运算节点上的应用程序容器的映射关系。
3.如权利要求1或2项所述的方法,其特征在于,所述更新所述目标内部运算节点的配置关系表之后,还包括:
接收包含应用程序标识的待处理报文;
获取每个内部运算节点的配置关系表和所述应用程序标识对应的目标应用程序容器的忙闲状态;
根据所述配置关系表,确定所述应用程序标识对应的目标应用程序容器对应的第一内部运算节点;
从所述第一内部运算节点中选择处于空闲状态的目标应用程序容器对应的第二内部运算节点;
将所述待处理报文发送至所述第二内部运算节点中的所述目标应用程序容器,以使所述目标应用程序容器使用密钥对所述待处理报文进行安全操作。
4.如权利要求3所述的方法,其特征在于,所述根据所述配置关系表,确定所述应用程序标识对应的目标应用程序容器对应的第一内部运算节点,包括:
解析所述待处理的报文对应的因特网协议IP地址;
判断所述IP地址是否包含于云加密机预设的IP地址白名单中;
若是,则根据所述配置关系表,确定所述应用程序标识对应的目标应用程序对应的第一内部运算节点。
5.一种云加密机的处理装置,其特征在于,该装置包括:
接收配置命令单元,用于接收应用程序容器配置命令,所述应用程序容器配置命令中包含目标应用程序标识;
获取状态信息单元,用于获取每个内部运算节点的状态信息,其中,每个应用程序容器用于针对一个应用程序执行安全操作,所述状态信息包括每个内部运算节点包含的应用程序容器信息;
确定单元,用于根据每个内部运算节点的状态信息和所述应用程序容器配置命令中的目标应用程序标识,确定目标内部运算节点;
执行单元,用于在所述目标内部运算节点上执行所述应用程序容器配置命令;其中,若所述应用程序容器配置命令为增加应用程序容器的配置命令;所述每个内部运算节点的状态信息中还包括各每个内部运算节点的资源信息;所述确定单元具体用于:根据每个内部运算节点的资源信息,确定具有空闲资源的目标内部运算节点;所述执行单元具体用于:在所述目标内部运算节点上新增所述目标应用程序标识对应的目标应用程序容器;更新所述目标内部运算节点的配置关系表,所述目标内部运算节点的配置关系表包括目标内部运算节点与目标内部运算节点上的应用程序容器的映射关系。
6.如权利要求5所述的装置,其特征在于,若所述应用程序容器配置命令为删除应用程序容器的配置命令;
所述确定单元具体用于:将包含所述目标应用程序标识对应的应用程序容器的内部运算节点确定为所述目标内部运算节点;
所述执行单元具体用于:在所述目标内部运算节点上删除所述目标应用程序容器;
更新所述目标内部运算节点的配置关系表,所述目标内部运算节点的配置关系表包括目标内部运算节点与目标内部运算节点上的应用程序容器的映射关系。
7.如权利要求5或6所述的装置,其特征在于,还包括:
接收报文单元,用于接收包含应用程序标识的待处理报文;
获取关系表和状态单元,用于获取每个内部运算节点的配置关系表和所述应用程序标识对应的目标应用程序容器的忙闲状态;
确定第一内部运算节点单元,用于根据所述配置关系表,确定所述应用程序标识对应的目标应用程序对应的第一内部运算节点;
确定第二内部运算节点单元,用于从所述第一内部运算节点中选择处于空闲状态的目标应用程序容器对应的第二内部运算节点;
发送单元,用于将所述待处理报文发送至所述第二内部运算节点中的所述目标应用程序容器,以使所述目标应用程序容器使用密钥对所述待处理报文进行安全操作。
8.如权利要求7所述的装置,其特征在于,所述确定第一内部运算节点单元具体用于:
解析所述待处理的报文对应的因特网协议IP地址;
判断所述IP地址是否包含于云加密机预设的IP地址白名单中;
若是,则根据所述配置关系表,确定所述应用程序标识对应的目标应用程序对应的第一内部运算节点。
CN201511004741.8A 2015-12-28 2015-12-28 一种云加密机的处理方法及装置 Active CN105933270B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201511004741.8A CN105933270B (zh) 2015-12-28 2015-12-28 一种云加密机的处理方法及装置
PCT/CN2016/108657 WO2017114103A1 (zh) 2015-12-28 2016-12-06 一种云加密机的处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511004741.8A CN105933270B (zh) 2015-12-28 2015-12-28 一种云加密机的处理方法及装置

Publications (2)

Publication Number Publication Date
CN105933270A CN105933270A (zh) 2016-09-07
CN105933270B true CN105933270B (zh) 2019-01-22

Family

ID=56839964

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511004741.8A Active CN105933270B (zh) 2015-12-28 2015-12-28 一种云加密机的处理方法及装置

Country Status (2)

Country Link
CN (1) CN105933270B (zh)
WO (1) WO2017114103A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105933270B (zh) * 2015-12-28 2019-01-22 中国银联股份有限公司 一种云加密机的处理方法及装置
CN107623699A (zh) * 2017-10-23 2018-01-23 山东渔翁信息技术股份有限公司 一种基于云环境的加密系统
CN111585758A (zh) * 2020-05-07 2020-08-25 成都农村商业银行股份有限公司 一种密钥管理平台及密钥管理方法
CN113282950B (zh) * 2021-07-26 2021-12-21 阿里云计算有限公司 加密机的运维方法、装置、设备及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1662004A (zh) * 2004-02-27 2005-08-31 华为技术有限公司 一种实现会话发起协议应用服务器多业务处理的方法
CN103634339A (zh) * 2012-08-22 2014-03-12 中国银联股份有限公司 虚拟加密机装置、金融加密机及加密报文的方法
CN104683350A (zh) * 2015-03-13 2015-06-03 北京深思数盾科技有限公司 一种可扩展的信息安全服务系统及方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7461166B2 (en) * 2003-02-21 2008-12-02 International Business Machines Corporation Autonomic service routing using observed resource requirement for self-optimization
CN105095317B (zh) * 2014-05-23 2018-09-21 中国银联股份有限公司 分布式数据库服务管理系统
CN105933270B (zh) * 2015-12-28 2019-01-22 中国银联股份有限公司 一种云加密机的处理方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1662004A (zh) * 2004-02-27 2005-08-31 华为技术有限公司 一种实现会话发起协议应用服务器多业务处理的方法
CN103634339A (zh) * 2012-08-22 2014-03-12 中国银联股份有限公司 虚拟加密机装置、金融加密机及加密报文的方法
CN104683350A (zh) * 2015-03-13 2015-06-03 北京深思数盾科技有限公司 一种可扩展的信息安全服务系统及方法

Also Published As

Publication number Publication date
WO2017114103A1 (zh) 2017-07-06
CN105933270A (zh) 2016-09-07

Similar Documents

Publication Publication Date Title
CN106899680B (zh) 多区块链的分片处理方法和装置
US10977079B2 (en) Method and apparatus for implementing acceleration processing on VNF
US10268522B2 (en) Service aggregation using graduated service levels in a cloud network
US20240259327A1 (en) Software load balancer to maximize utilization
US11283858B2 (en) Method and system for coordination of inter-operable infrastructure as a service (IaaS) and platform as a service (PaaS) systems
US9158586B2 (en) Systems and methods for managing cloud computing resources
CN112165691B (zh) 内容分发网络调度方法、装置、服务器和介质
CN105933270B (zh) 一种云加密机的处理方法及装置
CN111741026A (zh) 一种跨链事务请求处理方法、装置、设备以及存储介质
US9456017B2 (en) System and method for a connector being able to adapt to newer features introduced to a messaging provider with only configuration changes
CN114915593B (zh) 基于Redis的流量控制方法、装置、电子设备及存储介质
CN108933829A (zh) 一种负载均衡方法及装置
CN110489139B (zh) 一种基于微服务的实时数据处理方法及其相关设备
US20190306194A1 (en) Firewall management service architecture
CN113014611B (zh) 一种负载均衡方法及相关设备
CN111866092B (zh) 消息传输的方法、装置、电子设备和可读存储介质
CN110691042A (zh) 资源分配方法及装置
CN110808857A (zh) 实现Kubernetes集群的网络互通方法、装置、设备以及存储介质
CN112583734A (zh) 一种突发流量控制方法、装置、电子设备及存储介质
CN109600402A (zh) 服务器负载均衡方法及装置、存储介质、服务器、服务系统
CN113347208B (zh) 用于确定网络节点的方法和装置
CN114285889A (zh) 应用服务的配置信息的处理方法、装置和设备
JP6423491B1 (ja) ネットワークを利用して少なくとも1つの事業者がサービスを顧客に提供する方法およびそのネットワーク
CN106557276A (zh) 存储接管、切换处理方法及装置
JP6511006B2 (ja) リソース割当管理装置および割当て先サーバ決定方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant