CN108063813A - 一种集群环境下密码服务网络并行化的方法与系统 - Google Patents
一种集群环境下密码服务网络并行化的方法与系统 Download PDFInfo
- Publication number
- CN108063813A CN108063813A CN201711344522.3A CN201711344522A CN108063813A CN 108063813 A CN108063813 A CN 108063813A CN 201711344522 A CN201711344522 A CN 201711344522A CN 108063813 A CN108063813 A CN 108063813A
- Authority
- CN
- China
- Prior art keywords
- cryptographic
- cryptographic service
- unit
- service
- crypto
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000004364 calculation method Methods 0.000 claims abstract description 93
- 238000012545 processing Methods 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims description 41
- 238000001514 detection method Methods 0.000 claims description 39
- 238000004590 computer program Methods 0.000 claims description 6
- 230000006978 adaptation Effects 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 4
- 238000004891 communication Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000001629 sign test Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000000686 essence Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于数据处理技术领域,公开了一种集群环境下密码服务网络并行化的方法与系统,方法为:在多密码模块‑多密码服务器下,客户端通过密码请求分发控制单元向密码服务器提交密码服务请求,由密码服务器选取本单元上响应最快的密码模块完成密码请求处理并返回处理结果;系统包括密码服务中间件、密码服务控制调度单元、密码计算单元、密码模块、接口协议模块。本发明构建了集群密码服务的新模式,为系统提供高可用、低延迟、可扩展和高性能的信息传输密码服务;本发明支持多个密码服务单元(每个密码服务单元上含多个密码模块)和多个密码模块同时工作,提高了密码服务的并行处理能力和性能。
Description
技术领域
本发明属于数据处理技术领域,尤其涉及一种集群环境下密码服务网络并行化的方法与系统。
背景技术
随着经济的持续发展以及各行业规模的扩大,对大量数据的处理和存储需求显著增长,数据中心行业得到了飞速发展。目前,数据中心已经广泛应用于金融、电信、交通、政府和军队等各个行业中。数据中心的核心思想是将信息系统的资源池化,形成计算、网络和存储等资源池,然后根据“按需分配”的策略,以虚拟机和数据服务等方式提供给用户使用。
在数据中心环境下,有大量用户登录系统和访问系统资源的操作,这些操作需要加解密和签名/验签服务,才能保证登录和资源访问操作的安全性,现有信息系统多采用密码服务软件系统(如:证书中心,加解密算法服务器等)来实现大量的加解密和签名/验签服务。在一些对密码服务有特殊要求的应用领域 (如:政府和军事等),要求使用硬件密码模块完成密码服务,并且不同模块内的密码资源相同且统一采用离线的方式更新密码资源。在这种情况下,就无法通过纯软件的方式(密码服务软件系统)满足这些特殊应用领域数据中心的密码服务需求。
在如上描述的特殊应用领域的数据中心中,通常采用硬件密码模块完成密码服务请求的处理。硬件密码模块是一块密码芯片,其单次运算时间虽然较短,但其密码处理过程是串行的,单块密码芯片不支持密码处理的并发执行。为了解决密码处理并发执行的问题,现有一些产品和技术引入“双机热备”的概念,将两台加密服务器(每台加密服务器中含有多块密码芯片)设置为“主备”工作模式,这样既能通过加密服务器同时使用多块密码芯片,又能通过“主备”工作的加密服务器保证数据中心密码服务的可靠性。
但是在“双机热备”模式下,加密服务器的数量和单台加密服务器使用密码芯片的数量均受限制,当有大量密码服务请求时,其密码服务处理能力和时延仍不能满足数据中心的要求。
综上所述,现有技术存在的问题是:
在对密码服务有高安全性和其它特殊要求的应用领域中,纯软件的密码服务系统和“双(密码)机热备”不能满足数据中心等集群环境下对大量密码服务请求处理的高性能和实时性要求,因此需要一种集群环境下高可用、低延迟、可扩展和高性能的密码服务网络并行化方法。
发明内容
针对现有技术存在的问题,本发明提供了一种集群环境下密码服务网络并行化的方法与系统,该方法在保证密码服务系统可靠性和低延时的前提下,通过增强密码服务系统的可扩展性,从而提高了密码服务系统对密码服务请求的并行处理能力。
本发明是这样实现的,一种集群环境下密码服务网络并行化的方法,包括:
在多密码模块-多密码服务器下,当客户端提交密码服务请求时,首先由密码服务控制调度单元(以下亦简称:控制节点)接收密码服务请求;一方面,采用双密码服务控制调度单元形成“主备工作模式”分发客户端的密码服务请求;另一方面,处于“主工作模式”的密码服务控制调度单元采用“先检测密码计算单元是否可用,再转发密码服务请求”(以下简称“先检测,再转发”) 的策略,选取检测响应时间最短的密码计算单元(以下亦简称:密码服务器) 作为转发密码服务请求的对象,并忽略其它密码计算单元的检测响应;
然后,密码计算单元接收到由密码服务控制调度单元转发而来的密码服务请求,通过“先检测密码计算单元上密码模块是否可用,再转发密码服务请求”的策略,选取检测响应时间最短的密码模块作为密码服务请求的处理模块,并忽略其它密码模块的检测响应;
最后,密码模块处理完密码服务请求后,将相应的密码服务响应返回给密码计算单元,再由密码服务计算单元返回给密码服务控制调度单元,并最终由密码服务控制调度单元返回给客户端。
进一步,所述集群环境下密码服务网络并行化的方法在多密码模块-多密码服务器下,客户端通过密码服务控制调度单元向密码计算单元提交密码服务请求,由密码计算单元选取本单元上响应最快的密码模块完成密码请求处理并返回处理结果;
具体包括:
采用双密码服务控制调度单元分发客户端的密码请求,双密码服务控制调度单元形成主备工作模式;主密码服务控制调度单元出现故障,备密码服务控制调度单元立刻接管密码请求分发服务;
密码服务控制调度单元对密码计算单元的选取和密码服务器对密码模块的选取采取先检测是否可用,再转发密码服务请求的策略;在只有一台密码计算单元在线,所述密码计算单元只有一块密码模块正常工作下,客户端密码服务请求得到响应。
进一步,所述集群环境下密码服务网络并行化的方法进一步包括:
先检测是否可用,再转发密码服务请求的策略,选取检测响应最快的密码计算单元和密码模块作为转发密码服务请求的对象,丢弃其它密码计算单元和密码模块的响应,进行密码服务请求处理。
进一步,所述先检测是否可用,再转发密码服务请求的策略选取密码计算单元进行服务,对每次密码服务请求,在线的密码计算单元数目不同;
密码计算单元为多个密码计算单元;每个密码计算单元上含多个密码模块。
本发明的另一目的在于提供一种集群环境下密码服务网络并行化系统包括:
密码服务中间件,用于向应用系统(即客户端)提供密码服务接口,适配网络后台密码服务设备(含密码服务调度控制单元和密码计算单元);向密码服务调度控制单元发送密码服务请求;
密码服务控制调度单元,采用主备工作模式,每个密码服务控制调度单元对客户端实施身份认证、接收并分发来自客户端的密码服务请求,选取响应最快的密码计算单元转发密码服务请求;
密码计算单元,密码服务控制调度单元的调度,选取本单元上响应最快的密码模块完成密码运算任务,并将密码运算结果返回给密码服务控制调度单元;
密码模块,用于进行密码运算,并将运算结果返回给密码计算单元;
接口协议模块,包含密码服务接口、密码服务中间件与密码服务控制调度单元、密码服务控制调度单元间、密码服务控制调度单元与密码计算单元之间的信息交互协议,以及密码计算单元与密码模块之间的交互的协议。
本发明另一目的在于提供一种利用上述的集群环境下密码服务网络并行化的方法的商业化运行平台。
本发明另一目的在于提供一种实现所述集群环境下密码服务网络并行化的方法的计算机程序。
本发明另一目的在于提供一种搭载有所述计算机程序的计算机。
本发明另一目的在于提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行所述的集群环境下密码服务网络并行化的方法。
本发明的优点及积极效果为:
本发明构建集群密码服务的新模式,为系统提供高性能、高可用、低延迟、可扩展的信息传输密码服务,为开发新型密码服务系统提供了技术支撑。
本发明提供的集群环境下密码服务网络并行化系统具有以下优点:
高可用。一方面,采用双密码服务控制调度单元分发客户端的密码请求,双密码服务控制调度单元节点形成主备工作模式,即:主密码服务控制调度单元出现故障,备密码服务控制调度单元立刻接管密码请求分发服务;另一方面,密码服务控制调度单元对密码计算单元的选取和密码计算单元对密码模块的选取采取“先检测是否可用,再转发密码服务请求”(以下简称“先检测,再转发”)的策略,保证在“只有一台密码计算单元在线,该密码计算单元只有一块密码模块正常工作”的情况下,客户端的密码服务能够得到响应。
低延迟。基于“先检测,再转发”的策略,选取检测响应最快的密码计算单元和密码模块作为转发密码服务请求的对象,丢弃其它密码计算单元和密码模块的响应,检测开销与网络故障时等待开销相比,可以忽略不计,因此达到密码服务请求处理低延迟的目的。
可扩展,即支持密码服务单元的在线接入和退出。由于每次密码服务请求采用“先检测、再转发”的策略选取密码计算单元进行服务,所以针对每次密码服务请求,在线的密码计算单元数目可以不同。一个密码计算单元的加入或退出系统,并不影响其它密码计算单元和整个系统的工作。
高性能。系统支持多个密码计算单元(每个密码计算单元上含多个密码模块)和多个密码模块同时工作,提高了密码服务的并行处理能力和性能。
附图说明
图1是本发明实施例提供的集群环境下密码服务网络并行化的方法流程图。
图2是本发明实施例提供的集群环境下密码服务网络并行化系统示意图。
图3是本发明实施例提供的集群密码服务器的密码服务软件流程图。
图4是本发明实施例提供的集群环境下密码服务网络并行化系统软件分布图。
图5是本发明实施例提供的应用与密码服务中间件处理流程图。
图6是本发明实施例提供的集群控制节点的高可用故障切换图。
图中:(a)、两个控制节点服务正常图;(b)、单控制节点服务出现故障图。
图7是本发明实施例提供的密码计算节点选取与发送请求方法示意图。
图中:表示用户请求与响应;表示检测与响应信息。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
下面结合附图及具体实施例对本发明的应用原理作进一步描述。
图1,本发明实施例提供的集群环境下密码服务网络并行化的方法,包括:
S101:在多密码模块-多密码服务器下,当客户端提交密码服务请求时,首先由密码服务控制调度单元接收密码服务请求;一方面,采用双密码服务控制调度单元形成“主备工作模式”分发客户端的密码服务请求;另一方面,处于“主工作模式”的密码服务控制调度单元采用“先检测密码计算单元是否可用,再转发密码服务请求”(以下简称“先检测,再转发”)的策略,选取检测响应时间最短的密码计算单元作为转发密码服务请求的对象,并忽略其它密码计算单元的检测响应;
S102:然后,密码计算单元接收到由密码服务控制调度单元转发而来的密码服务请求,通过“先检测密码计算单元上密码模块是否可用,再转发密码服务请求”的策略,选取检测响应时间最短的密码模块作为密码服务请求的处理模块,并忽略其它密码模块的检测响应;
S103:最后,密码模块处理完密码服务请求后,将相应的密码服务响应返回给密码计算单元,再由密码服务计算单元返回给密码服务控制调度单元,并最终由密码服务控制调度单元返回给客户端。
下面结合具体分析对本发明作进一步描述。
本发明实施例提供的集群环境下密码服务网络并行化的方法,在多密码模块-多密码服务器下,客户端通过密码请求分发控制单元向密码服务器提交密码服务请求;
由密码服务器选取本单元上响应最快的密码模块完成密码请求处理并返回处理结果。
包括:
采用双控制节点分发客户端的密码请求,双控制节点形成主备工作模式;主控制节出现故障,备控制节点立刻接管密码请求分发服务;
控制节点对密码服务器的选取和密码服务器对密码模块的选取采取先检测是否可用,再转发密码服务请求的策略;在只有一台密码服务器在线,所述密码服务器只有一块密码模块正常工作下,客户端密码服务得到响应。
所述集群环境下密码服务网络并行化的方法进一步包括:
先检测是否可用,再转发密码服务请求的策略,选取检测响应最快的密码服务器和密码模块作为转发密码服务请求的对象,丢弃其它密码服务器和密码模块的响应,进行密码服务请求处理。
所述先检测是否可用,再转发密码服务请求的策略选取密码服务器进行服务,对每次密码服务请求,在线的密码服务器元数目不同;
密码服务器为多个密码服务器;每个密码服务器上含多个密码模块。
如图2所示,本发明提供的集群环境下密码服务网络并行化系统包括:
密码服务中间件,用于向应用系统提供密码服务接口和身份认证接口,适配网络后台密码服务设备;向控制中心发送密码服务请求;
密码服务控制调度单元,采用主备工作模式,每个控制节点对密码服务调用者实施身份认证、接收密码计算任务和密码运算任务分发处理,选取响应最快的密码计算单元转发密码服务请求;与密码计算节点处于同一个物理实体上,或单独存在于一台计算机上;
密码计算单元,用于接受控制单元的调度,选取本单元上响应最快的密码模块完成密码运算任务,并将密码运算结果返回给控制单元;
密码模块,用于进行密码运算,并将运算结果返回给密码计算单元;
接口协议模块,包含密码服务接口、密码服务中间件与控制节点、控制节点间、控制节点与计算节点之间的信息交互协议,以及密码计算单元与密码模块之间的交互的协议。
下面结合附图及具体实施例对本发明的应用原理作进一步描述。
图2,本发明实施例提供的集群环境下密码服务网络并行化系统,
主要由以下要素构成:
a.密码服务中间件【与调用密码服务的“应用软件”部署在同一台计算机中】:向应用系统提供密码服务接口和身份认证接口,适配网络后台密码服务设备;向控制中心发送密码服务请求。
b.密码服务控制调度单元【逻辑实体,包含密码服务控制调度软件】:采用主备工作模式,每个控制节点具备对密码服务调用者实施身份认证、接收密码计算任务和密码运算任务分发处理的功能,选取响应最快的密码计算单元转发密码服务请求。该实体为逻辑实体,可与密码计算节点处于同一个物理实体上,也可以单独存在于一台计算机上。
c.密码计算单元【逻辑实体,包含密码计算服务软件】:接受控制单元的调度,选取本单元上响应最快的密码模块完成密码运算任务,并将密码运算结果返回给控制单元。
d.密码模块:完成密码运算任务,并将运算结果返回给密码计算单元。
e.接口协议:包含密码服务接口、密码服务中间件与控制节点、控制节点间、控制节点与计算节点之间的信息交互协议,以及密码计算服务软件与密码模块之间的交互的协议。
由于采用通用的本地接口调用方法和消息传递系统,所以本方法适用于操作系统类型没有限制。
下面结合软件组成对本发明作进一步描述。
软件组成
集群密码服务器软件主要组成如下所示。
(1)密码服务中间件;
(2)密码服务调度控制软件;
(3)密码计算服务软件;
(4)密码模块驱动;
(5)操作系统。
根据软件组成,集群密码服务器的密码服务软件流程如图3所示。
下面结合软件分布对本发明作进一步描述。
本发明实施例提供的集群环境下密码服务网络并行化系统,软件之间的网络连接全部采用TCP/IP连接,保证连接的可靠性;同时,通过采用心跳检测和响应检测的方法,保证连接的高可靠性和低延迟。
本发明实施例提供的集群环境下密码服务网络并行化系统软件分布如图4 所示,其中:
(1)密码服务中间件:向上为应用系统提供身份认证接口和密码服务请求接口,向下转发应用的密码服务请求交由集群密码服务器处理。注意:只有通过身份认证的应用,密码服务中间件才将密码服务请求转发给控制节点。
(2)密码调度控制软件:一方面,在主控制节点和备用控制节点之间发送心跳信息,实时检测两个控制节点是否可用;另一方面,接收并转发来自客户端(密码服务中间件)的密码服务请求,选取响应时间最短的密码计算节点作为服务节点;
(3)密码计算服务软件:接收来自控制节点转发的密码服务请求,选取本地响应最快的密码模块作为服务模块,并向控制节点返回密码模块的计算结果。
下面结合密码服务中间件对本发明作进一步描述。
1、密码服务中间件,如图5应用与密码服务中间件处理流程图。
密码服务中间件向上为应用系统提供身份认证接口和密码服务请求接口,向下转发应用的密码服务请求交由集群密码服务器处理,处理流程如图5所示。
(1)应用调用“身份认证接口”,向密码服务中间件发送“身份认证请求” (具体实现形式:预置的数字证书),等待身份认证结果;
(2)密码服务中间件将应用发送的“身份认证请求”,转发给控制节点,并等待控制节点返回身份认证请求的验证结果;
(3)如果证书验证失败,则身份认证不通过,控制节点将验证失败信息返回给密码服务中间件,密码服务中间件拒绝向应用提供密码服务,密码服务停止;
(4)如果证书验证成功,则身份认证通过,控制节点将验证成功信息返回给密码服务中间件,则应用调用“密码服务接口”,向密码服务中间件发送“密码服务请求”;
(5)密码服务中间件接收到应用发送的“密码服务请求”后,将请求转发给控制节点上运行的密码调度控制软件进行处理;
(6)密码服务中间件接收返回的密码调度控制软件的“密码服务请求”的计算结果,并将请求的计算结果返回给应用。
下面结合密码调度控制软件对本发明作进一步描述。
如图6所示,图中:(a)、两个控制节点服务正常图;(b)、单控制节点服务出现故障图。
密码调度控制软件,一方面,在主控制节点和备用控制节点之间发送心跳信息,实时检测两个控制节点是否可用,保证集群密码服务器的高可用性;另一方面,接收并转发来自客户端(密码服务中间件)的密码服务请求,选取响应时间最短的密码计算节点作为服务节点,保证集群密码服务器的低延迟。
其中,在高可用方面。通过组建高可用集群,当其中一台密码调度控制单元发生故障时,另一台密码调度控制单元能够通过接管密码调度和控制服务。同时,可以保证在2台(数量可扩展)密码计算单元组成的密码服务器集群中的任意一台密码计算单元出现故障时,其它密码计算单元仍能保持对外不间断地(极小的时延)提供服务。
在整个过程中,对于外部用户来说都感觉不到应用出现了故障,如图6所示。最后,当集群中出现故障的密码计算单元和密码调度控制单元从故障中恢复后,高可用集群又能够重新恢复工作。通过这种部署方式,在充分利用硬件资源的情况下,最大限度地保证的集群的高可用性。
在低延迟方面,密码服务作为密码应用和服务的安全关键操作,其传输和处理的延时大小直接关系到密码业务处理流程的实时性。因此,对于密码服务请求处理流程来说,低延时是一个非常重要的指标。在本发明中,当有服务请求到达控制节点时,控制节点实时检测后端所有密码计算节点的密码请求响应状况,选请求响应时间最短的密码计算节点作为服务节点,自动屏蔽响应慢或者因故障无法提供服务的节点,从而保证密码网络服务的高可靠和低延迟。上述控制调度结构如图7所示,选取检测响应时间最快的节点,作为服务节点。此处示例为1号节点响应最快。
图中:表示用户请求与响应;表示检测与响应信息。
下面结合密码计算服务软件对本发明作进一步描述。
密码计算服务软件接收来自控制节点转发的密码服务请求,选取本地响应最快的密码模块作为服务模块,并向控制节点返回密码模块的计算结果。
密码模块的选取和密码服务请求发送的原理、方法和过程与图7类似,
图7是通过网络检测和转发密码服务请求,而密码模块的选取是通过操作系统下打开、使用和关闭设备的方法,向密码模块传送密码服务请求,并接收相应返回。
下面结合接口协议设计对本发明作进一步描述。
1、密码服务接口
因为密码服务中间件在操作系统下以动态链接库的形式存在,所以应用通过操作系统下调用动态链接库的方法,调用密码服务中间件提供的密码服务接口,具体接口调用格式包括:客户端函数名、请求类型、密钥句柄和密码操作正文,其中:请求类型、密钥句柄和密码操作正文3个部分共同组成“密码服务请求正文”。
2、密码服务中间件与控制节点之间通信协议内容与格式:
密码服务中间件将转发应用发送的密码请求,并包装成约定的内容和格式,具体内容和格式如下。
密码服务请求:[客户请求标记][密码服务请求序号][密码服务请求正文];
密码服务返回:[客户返回标记][密码服务请求序号][密码服务返回正文] 控制节点之间心跳同步通信协议内容与格式
控制节点之间主要存在心跳检测通信和日志信息同步通信,两种通信都是定时通信,其中,心跳检测通信是1000ms的发送周期,如果2000ms无法检测到心跳,则判断控制节点故障,完成控制节点的主备切换。
控制节点之间的心跳检测报文内容和格式如下。
心跳检测报文格式:[心跳检测标记][本节点运行状态];
心跳应答报文格式:[心跳响应标记][OK]。
3、控制节点与计算节点之间的通信协议内容与格式:
控制节点与计算节点之间主要存在低延迟检测报文和密码服务请求报文。
其中,低延迟检测报文是控制节点实时检测后端所有密码计算节点的密码请求响应状况所用的报文,由于可能多次的检测查询,因此需要使用“检测序号”对每个低延迟检测报文进行编号,同时每个低延迟检测请求需要带上“密码服务请求池序号”,以区分不同密码服务请求的检测信号。
低延迟检测的应答报文的内容和格式如下。
低延迟检测:[低延迟检测标记][密码服务请求序号][检测序号];
低延迟应答:[低延迟响应标记][密码服务请求序号][检测序号][OK]。
在确定服务的密码服务器之后,控制节点将转发应用发送的密码服务请求,格式与之前的密码服务请求相同;在密码服务器处理完请求之后,密码服务响应携带了“返回正文”,密码服务请求和返回报文的内容和格式如下。
密码服务请求:[密码服务请求标记][密码服务请求序号][密码服务请求正文]。
密码服务响应:[密码服务返回标记][密码服务请求序号][密码服务返回正文]。
4、密码计算服务软件与密码模块之间交互的协议内容和格式:
密码计算服务软件是通过操作系统下打开、使用和关闭设备的方法选取和使用密码模块的。
其中,对密码模块的检测是通过调用密码模块提供的自检命令完成的。
对密码模块传递的密码服务请求内容和格式如下:
密码服务请求:[请求类型][密钥句柄][密码操作正文];
密码服务响应:[请求类型][密码操作返回正文];
由“密码操作返回正文”组成“密码服务返回正文”。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如, DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种集群环境下密码服务网络并行化的方法,其特征在于,所述集群环境下密码服务网络并行化的方法包括:
在多密码模块-多密码服务器下,当客户端提交密码服务请求时,首先由密码服务控制调度单元接收密码服务请求;一方面,采用双密码服务控制调度单元形成“主备工作模式”分发客户端的密码服务请求;另一方面,处于“主工作模式”的密码服务控制调度单元采用“先检测密码计算单元是否可用,再转发密码服务请求”的策略,选取检测响应时间最短的密码计算单元作为转发密码服务请求的对象,并忽略其它密码计算单元的检测响应;
然后,密码计算单元接收到由密码服务控制调度单元转发而来的密码服务请求,通过“先检测密码计算单元上密码模块是否可用,再转发密码服务请求”的策略,选取检测响应时间最短的密码模块作为密码服务请求的处理模块,并忽略其它密码模块的检测响应;
最后,密码模块处理完密码服务请求后,将相应的密码服务响应返回给密码计算单元,再由密码服务计算单元返回给密码服务控制调度单元,并最终由密码服务控制调度单元返回给客户端。
2.如权利要求1所述的集群环境下密码服务网络并行化的方法,其特征在于,所述集群环境下密码服务网络并行化的方法在多密码模块-多密码服务器下,客户端通过密码服务控制调度单元向密码计算单元提交密码服务请求,由密码计算单元选取本单元上响应最快的密码模块完成密码请求处理并返回处理结果;
具体包括:
采用双密码服务控制调度单元分发客户端的密码请求,双密码服务控制调度单元形成主备工作模式;主密码服务控制调度单元出现故障,备密码服务控制调度单元立刻接管密码请求分发服务;
密码服务控制调度单元对密码计算单元的选取和密码服务器对密码模块的选取采取先检测是否可用,再转发密码服务请求的策略;在只有一台密码计算单元在线,所述密码计算单元只有一块密码模块正常工作下,客户端密码服务请求得到响应。
3.如权利要求2所述的集群环境下密码服务网络并行化的方法,其特征在于,所述集群环境下密码服务网络并行化的方法进一步包括:
先检测是否可用,再转发密码服务请求的策略,选取检测响应最快的密码计算单元和密码模块作为转发密码服务请求的对象,丢弃其它密码计算单元和密码模块的响应,进行密码服务请求处理。
4.如权利要求2所述的集群环境下密码服务网络并行化的方法,其特征在于,所述先检测是否可用,再转发密码服务请求的策略选取密码计算单元进行服务,对每次密码服务请求,在线的密码计算单元数目不同;
密码计算单元为多个密码计算单元;每个密码计算单元上含多个密码模块。
5.一种如权利要求1所述的集群环境下密码服务网络并行化的方法的集群环境下密码服务网络并行化系统,其特征在于,所述集群环境下密码服务网络并行化系统包括:
密码服务中间件,用于向应用系统提供密码服务接口,适配网络后台密码服务设备;向密码服务调度控制单元发送密码服务请求;
密码服务控制调度单元,采用主备工作模式,每个密码服务控制调度单元对客户端实施身份认证、接收并分发来自客户端的密码服务请求,选取响应最快的密码计算单元转发密码服务请求;
密码计算单元,密码服务控制调度单元的调度,选取本单元上响应最快的密码模块完成密码运算任务,并将密码运算结果返回给密码服务控制调度单元;
密码模块,用于进行密码运算,并将运算结果返回给密码计算单元;
接口协议模块,包含密码服务接口、密码服务中间件与密码服务控制调度单元、密码服务控制调度单元间、密码服务控制调度单元与密码计算单元之间的信息交互协议,以及密码计算单元与密码模块之间的交互的协议。
6.一种利用权利要求1所述的集群环境下密码服务网络并行化的方法的商业化运行平台。
7.一种实现权利要求1~4任意一项所述集群环境下密码服务网络并行化的方法的计算机程序。
8.一种搭载有权利要求7所述计算机程序的计算机。
9.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-4任意一项所述的集群环境下密码服务网络并行化的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711344522.3A CN108063813B (zh) | 2017-12-15 | 2017-12-15 | 一种集群环境下密码服务网络并行化的方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711344522.3A CN108063813B (zh) | 2017-12-15 | 2017-12-15 | 一种集群环境下密码服务网络并行化的方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108063813A true CN108063813A (zh) | 2018-05-22 |
| CN108063813B CN108063813B (zh) | 2020-09-08 |
Family
ID=62138943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711344522.3A Active CN108063813B (zh) | 2017-12-15 | 2017-12-15 | 一种集群环境下密码服务网络并行化的方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108063813B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109684081A (zh) * | 2018-12-11 | 2019-04-26 | 北京数盾信息科技有限公司 | 一种集群内负载均衡的分配处理方法 |
| CN110798834A (zh) * | 2019-11-05 | 2020-02-14 | 上海汉邦京泰数码技术有限公司 | 一种为延迟敏感应用提供低延迟加密服务的方法 |
| CN110866264A (zh) * | 2019-11-15 | 2020-03-06 | 成都卫士通信息产业股份有限公司 | 一种多芯片多板卡协同运算方法、装置及设备 |
| CN112003690A (zh) * | 2019-08-16 | 2020-11-27 | 华控清交信息科技(北京)有限公司 | 密码服务系统、方法及装置 |
| CN112000493A (zh) * | 2020-08-24 | 2020-11-27 | 成都卫士通信息产业股份有限公司 | 一种数据处理系统、方法及电子设备和存储介质 |
| CN115134423A (zh) * | 2022-06-28 | 2022-09-30 | 北京东进华安技术有限公司 | 密码卡通信系统及方法 |
| CN117527220A (zh) * | 2023-11-20 | 2024-02-06 | 江苏新质信息科技有限公司 | 一种云密码服务方法及系统 |
| CN118473679A (zh) * | 2024-07-15 | 2024-08-09 | 印信数安(成都)科技有限公司 | 一种基于云原生的密码服务高可用集群系统及实现方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701587A (zh) * | 2013-12-10 | 2014-04-02 | 中国船舶重工集团公司第七0九研究所 | 一种多接口密码模块并行调度方法 |
| CN103825698A (zh) * | 2014-01-20 | 2014-05-28 | 中国建设银行股份有限公司 | 一种密码安全管理系统和方法 |
| CN104202421A (zh) * | 2014-09-19 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的密码服务系统 |
| CN107040589A (zh) * | 2017-03-15 | 2017-08-11 | 西安电子科技大学 | 通过虚拟化密码设备集群提供密码服务的系统及方法 |
| US20170279615A1 (en) * | 2016-03-28 | 2017-09-28 | Symantec Corporation | Cloud-based code signing service - hybrid model to avoid large file uploads |
-
2017
- 2017-12-15 CN CN201711344522.3A patent/CN108063813B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701587A (zh) * | 2013-12-10 | 2014-04-02 | 中国船舶重工集团公司第七0九研究所 | 一种多接口密码模块并行调度方法 |
| CN103825698A (zh) * | 2014-01-20 | 2014-05-28 | 中国建设银行股份有限公司 | 一种密码安全管理系统和方法 |
| CN104202421A (zh) * | 2014-09-19 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的密码服务系统 |
| US20170279615A1 (en) * | 2016-03-28 | 2017-09-28 | Symantec Corporation | Cloud-based code signing service - hybrid model to avoid large file uploads |
| CN107040589A (zh) * | 2017-03-15 | 2017-08-11 | 西安电子科技大学 | 通过虚拟化密码设备集群提供密码服务的系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 容晓峰, 苏锐丹, 刘平, 周利华: "高性能密码服务器的并行数据处理", 《系统工程与电子技术》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109684081A (zh) * | 2018-12-11 | 2019-04-26 | 北京数盾信息科技有限公司 | 一种集群内负载均衡的分配处理方法 |
| CN109684081B (zh) * | 2018-12-11 | 2023-11-07 | 北京数盾信息科技有限公司 | 一种集群内负载均衡的分配处理方法 |
| CN112003690A (zh) * | 2019-08-16 | 2020-11-27 | 华控清交信息科技(北京)有限公司 | 密码服务系统、方法及装置 |
| CN112003690B (zh) * | 2019-08-16 | 2024-01-12 | 华控清交信息科技(北京)有限公司 | 密码服务系统、方法及装置 |
| CN110798834A (zh) * | 2019-11-05 | 2020-02-14 | 上海汉邦京泰数码技术有限公司 | 一种为延迟敏感应用提供低延迟加密服务的方法 |
| CN110866264A (zh) * | 2019-11-15 | 2020-03-06 | 成都卫士通信息产业股份有限公司 | 一种多芯片多板卡协同运算方法、装置及设备 |
| CN112000493A (zh) * | 2020-08-24 | 2020-11-27 | 成都卫士通信息产业股份有限公司 | 一种数据处理系统、方法及电子设备和存储介质 |
| CN115134423A (zh) * | 2022-06-28 | 2022-09-30 | 北京东进华安技术有限公司 | 密码卡通信系统及方法 |
| CN115134423B (zh) * | 2022-06-28 | 2024-06-04 | 北京东进华安技术有限公司 | 密码卡通信系统及方法 |
| CN117527220A (zh) * | 2023-11-20 | 2024-02-06 | 江苏新质信息科技有限公司 | 一种云密码服务方法及系统 |
| CN117527220B (zh) * | 2023-11-20 | 2024-07-02 | 江苏新质信息科技有限公司 | 一种云密码服务方法及系统 |
| CN118473679A (zh) * | 2024-07-15 | 2024-08-09 | 印信数安(成都)科技有限公司 | 一种基于云原生的密码服务高可用集群系统及实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108063813B (zh) | 2020-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108063813A (zh) | 一种集群环境下密码服务网络并行化的方法与系统 | |
| CN114787781B (zh) | 用于启用高可用性受管理故障转移服务的系统和方法 | |
| KR102199278B1 (ko) | 가속 자원 처리 방법 및 장치, 및 네트워크 기능 가상화 시스템 | |
| US8195743B2 (en) | Extensible and programmable multi-tenant service architecture | |
| Collins et al. | Online payments by merely broadcasting messages | |
| US9350682B1 (en) | Compute instance migrations across availability zones of a provider network | |
| EP2454679B1 (en) | Management of an instant message session | |
| CN111164938A (zh) | 使用选择性多路径分组流喷射的弹性网络通信 | |
| US10083098B1 (en) | Network function virtualization (NFV) virtual network function (VNF) crash recovery | |
| Doan et al. | FAST: Flexible and low-latency state transfer in mobile edge computing | |
| US10817327B2 (en) | Network-accessible volume creation and leasing | |
| US10567492B1 (en) | Methods for load balancing in a federated identity environment and devices thereof | |
| CN104158707A (zh) | 一种检测并处理集群脑裂的方法和装置 | |
| US8606908B2 (en) | Wake-up server | |
| JP2013187707A (ja) | ホスト提供システム及び通信制御方法 | |
| TW200928777A (en) | Data processing method and apparatus based on cluster | |
| CN113709220B (zh) | 虚拟负载均衡器的高可用实现方法、系统及电子设备 | |
| US10218659B1 (en) | Persistent connections for email web applications | |
| KR102110099B1 (ko) | 퍼블릭 클라우드 및 프라이빗 클라우드를 포함하는 컨테이너 기반의 클라우드 서비스 제공 시스템 | |
| US20170223045A1 (en) | Method of forwarding data between computer systems, computer network infrastructure and computer program product | |
| WO2022193885A1 (zh) | 一种用户上线的处理方法以及相关装置 | |
| CN107395765B (zh) | 一种分布式文件系统、网络通信方法、平台及其创建方法 | |
| CN110351122A (zh) | 容灾方法、装置、系统与电子设备 | |
| KR20200118798A (ko) | 전자 디바이스들, 시스템들 및 방법들 | |
| CN111905361B (zh) | 游戏服务系统、游戏处理方法、存储介质及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200813 Address after: 430071 21 / F, building F3, phase I, Longshan Innovation Park, No. 999, Gaoxin Avenue, Donghu New Technology Development Zone, Wuhan, Hubei Province Applicant after: WUHAN DONGHU BIG DATA TRADING CENTER Co.,Ltd. Address before: 430070 No. 1 Lion Rock street, Hongshan District, Hubei, Wuhan Applicant before: HUAZHONG AGRICULTURAL University |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Room 1101, 11th Floor, Building B4, Future Science and Technology City, No. 999 Gaoxin Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province, 430000 Patentee after: Wuhan Donghu Big Data Technology Co.,Ltd. Country or region after: China Address before: 430071, 21st Floor, Building F3, Phase I, Longshan Innovation Park, No. 999 Gaoxin Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee before: WUHAN DONGHU BIG DATA TRADING CENTER Co.,Ltd. Country or region before: China |
|
| CP03 | Change of name, title or address |