CN108574599B - 密码资源池、密码资源池管理方法、管理平台及管理系统 - Google Patents

密码资源池、密码资源池管理方法、管理平台及管理系统 Download PDF

Info

Publication number
CN108574599B
CN108574599B CN201711336938.0A CN201711336938A CN108574599B CN 108574599 B CN108574599 B CN 108574599B CN 201711336938 A CN201711336938 A CN 201711336938A CN 108574599 B CN108574599 B CN 108574599B
Authority
CN
China
Prior art keywords
password
service
cryptographic
standard
resource pool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711336938.0A
Other languages
English (en)
Other versions
CN108574599A (zh
Inventor
罗俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronics Technology Network Security Technology Co ltd
Original Assignee
Chengdu Westone Information Industry Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Westone Information Industry Inc filed Critical Chengdu Westone Information Industry Inc
Priority to CN201711336938.0A priority Critical patent/CN108574599B/zh
Publication of CN108574599A publication Critical patent/CN108574599A/zh
Application granted granted Critical
Publication of CN108574599B publication Critical patent/CN108574599B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及信息安全领域,实施例具体公开一种密码资源池、密码资源池管理方法、管理平台及管理系统,通过设定密码资源池的标准密码服务单元;接收密码资源池中的密码设备上报的各标准密码服务单元的状态信息;将密码资源池与分布式协调服务系统进行信息同步;接收密码服务客户端的密码服务资源申请,判断是否接受密码服务客户端的密码服务资源申请;若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象的方法,解决了由云管理平台进行调度和管理密码资源池存在的安全性和易用性问题,实现了对若干个密码设备组成的密码资源池的统一调度管理和状态监控,以及接受不同密码服务客户端对密码服务的统一调用。

Description

密码资源池、密码资源池管理方法、管理平台及管理系统
技术领域
本发明涉及信息安全领域,具体涉及一种密码资源池、密码资源池管理方法、管理平台及管理系统。
背景技术
云计算具有按需计算、弹性伸缩和多租户的特点,资源池实现了计算资源、存储资源、网络资源等软硬件资源的动态分配和调度使用,满足了云计算基础设施的需求。当在云计算环境之中部署密码设备时,为了适应云计算环境的以上特点,需要把多个密码设备(物理或虚拟密码设备)组成资源池,由云计算管理平台进行统一的调度。
分布式协调服务系统,如Zookeeper或Etcd,是基于共识算法的、分布式的应用程序协调服务,为分布式应用服务提供一致性服务,包括配置维护、域名服务、分布式同步、组服务等。分布式协调服务系统是云计算中常用的信息同步方式。
目前在云计算环境中部署密码设备,将密码设备组成资源池并与计算资源、存储资源、网络资源等各种软硬件资源一样无差别的由云管理平台进行调度和管理,在一定程度上对密码设备自身的特殊性有所忽视,同时要求用户对密码设备有较深入的了解,在安全性和易用性上面都存在不足。
基于密码设备自身的特殊性,为了保障其安全性,同时降低用户使用密码设备的难度,亟需对密码资源池进行独立的管理,并对不同的用户提供统一的调用入口。
发明内容
有鉴于此,本申请提供一种对多个逻辑上独立的密码设备组成的密码资源池进行统一的管理调度,对外提供统一的密码服务的密码资源池、密码资源池管理方法、管理平台及管理系统,解决上述存在的问题。
为解决以上技术问题,本发明提供的技术方案是一种密码资源池管理方法,所述密码资源池包括至少一个密码设备,所述管理方法包括:
设定所述密码资源池的标准密码服务单元;
接收所述密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
将所述密码资源池与分布式协调服务系统进行信息同步;
接收密码服务客户端的密码服务资源申请,根据所述密码资源池中各标准密码服务单元的状态信息判断是否接受所述密码服务客户端的密码服务资源申请;
若接受所述密码服务客户端的密码服务资源申请,建立所述密码服务客户端对应的独立密码服务对象;所述独立密码服务对象包括和分配给所述密码服务客户端的若干个标准密码服务单元建立的连接池。
优选地,所述管理方法还包括:
建立所述密码资源池的公共密码服务对象,所述公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池。
优选地,所述管理方法还包括:
当所述密码服务客户端的密码服务资源请求超过所述密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从所述公共密码服务对象中提取空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中。
优选地,所述管理方法还包括:
当所述密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将所述空闲标准密码服务单元放入所述公共密码服务对象中。
优选地,所述从所述公共密码服务对象中提取空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中的方法,包括:
从所述公共密码服务对象中优先提取与所述密码服务客户端对应的独立密码服务对象中包含的标准密码服务单元位于同一密码设备的空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中。
优选地,所述管理方法还包括:
接收密码设备的注册申请,根据所述密码资源池管理平台的处理能力判断是否接受所述密码设备的注册申请。
本发明还提供一种密码资源池管理平台,所述密码资源池包括至少一个密码设备,所述密码资源池管理平台包括密码资源池设置模块、密码设备监控模块、信息同步模块和密码服务客户端管理模块,其中:
所述密码资源池设置模块,用于设定所述密码资源池的标准密码服务单元;
所述密码设备监控模块,用于接收所述密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
所述信息同步模块,用于将所述密码资源池与分布式协调服务系统进行信息同步;
所述密码服务客户端管理模块,用于接收密码服务客户端的密码服务资源申请,根据所述密码资源池中各标准密码服务单元的状态信息判断是否接受所述密码服务客户端的密码服务资源申请;若接受所述密码服务客户端的密码服务资源申请,建立所述密码服务客户端对应的独立密码服务对象;所述独立密码服务对象包括和分配给所述密码服务客户端的若干个标准密码服务单元建立的连接池。
优选地,所述密码服务客户端管理模块,还用于建立所述密码资源池的公共密码服务对象,所述公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池。
优选地,所述密码资源池管理平台还包括:
密码服务客户端监控模块,用于当所述密码服务客户端的密码服务资源请求超过所述密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从所述公共密码服务对象中提取空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中。
优选地,所述密码服务客户端监控模块,还用于当所述密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将所述空闲标准密码服务单元放入所述公共密码服务对象中。
优选地,所述密码资源池管理平台还包括:
密码设备管理模块,用于接收密码设备的注册申请,根据所述密码资源池管理平台的处理能力判断是否接受所述密码设备的注册申请。
本发明还提供一种密码资源池,包括至少一个密码设备,还包括上述方案所述的密码资源池管理平台。
本发明还提供一种密码资源池管理系统,包括至少一个上述方案所述的密码资源池。
本申请与现有技术相比,其有益效果详细说明如下:本发明实施例提供的密码资源池、密码资源池管理方法、管理平台及管理系统,通过设定密码资源池的标准密码服务单元;接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;将密码资源池与分布式协调服务系统进行信息同步;接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受密码服务客户端的密码服务资源申请;若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象;独立密码服务对象包括和分配给密码服务客户端的若干个标准密码服务单元建立的连接池的方法,解决了由云管理平台进行调度和管理密码资源池存在的安全性和易用性问题,实现了对若干个密码设备组成的密码资源池的统一调度管理和状态监控,以及接受不同密码服务客户端对密码服务的统一调用。
附图说明
图1为本发明实施例一密码资源池管理方法流程示意图;
图2为本发明实施例二密码资源池管理方法流程示意图;
图3为本发明实施例三密码资源池管理方法流程示意图;
图4为本发明实施例四密码资源池管理平台结构示意图;
图5为本发明实施例五密码资源池管理平台结构示意图;
图6为本发明实施例六密码资源池管理平台结构示意图;
图7为本发明实施例应用的密码资源池管理系统结构示意图。
具体实施方式
为了使本领域的技术人员更好地理解本发明的技术方案,下面结合附图和具体实施例对本发明作进一步的详细说明。
如图1所示,本发明实施例一提供了一种密码资源池管理方法,该密码资源池包括至少一个密码设备,该密码资源池管理方法具体包括:
S11:设定密码资源池的标准密码服务单元;
S12:接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
S13:将密码资源池与分布式协调服务系统进行信息同步;
S14:接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受密码服务客户端的密码服务资源申请;
S15:若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象;该独立密码服务对象包括和分配给密码服务客户端的若干个标准密码服务单元建立的连接池。
需要说明的是,该密码资源池管理方法把多个逻辑上独立的密码设备组成的独立密码资源池进行统一的调度,对外提供统一的密码服务。
步骤S11中,按照对称加解密、非对称加解密、签名验签等密码运算指标(一般以每秒交易数(TPS)或运算量(BPS)表示)和密钥存储指标(一般以密钥对的数量表示)设定最小密码服务单元,该最小密码服务单元即为设定的密码资源池的标准密码服务单元,该标准密码服务单元包括密码运算指标和密钥存储指标。
步骤S12中,接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息。在设定了密码资源池的标准密码服务单元后,资源池中的密码设备根据自身的密码运算、密钥存储能力和标准密码服务单元设定的指标,以标准密码服务单元为标准调度单位,为每个标准密码服务单元启动容器运行密码服务代理,并以标准密码服务单元为单位上报空闲的标准密码服务单元以及正在运行的标准密码服务单元的使用率。
步骤S13中,将密码资源池与分布式协调服务系统进行信息同步,例如,可以将密码资源池的实例通过zookeeper或etcd等分布式协调服务系统的名字服务节点进行注册,通过与分布式协调服务系统的信息同步,更新密码资源池在分布式协调系统的状态信息,同时获得分布式协调服务系统上的密码服务客户端的密码服务资源申请信息和密码设备注册申请信息。密码资源池管理平台在云计算环境中可以部署多个实例,每个实例管理和调度一定数量的密码设备所构成的密码资源池,构成多个密码资源池并注册到分布式协调服务系统,形成密码资源池列表。
步骤S14中,接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受密码服务客户端的密码服务资源申请。密码服务客户端的密码服务资源申请也是以对称加解密、非对称加解密、签名验签等密码运算指标和密钥对数量等密钥存储指标来表示。不同的用户通过不同的密码服务客户端远程调用密码服务,密码服务客户端程序运行于用户的程序空间,负责从分布式协调服务系统的密码资源池列表中随机选择一个密码资源池进行密码运算和密钥存储资源的申请,进一步建立SSL(安全套接层协议)连接,并监控其状态。
这里,可以根据密码资源池中空闲的标准密码服务单元数量决定是否接受密码服务客户端的密码服务资源申请,对于超过密码资源池自身密码服务能力的申请进行拒绝。例如,如果空闲的标准密码服务单元的密码运算能力之和和密钥存储能力之和能够满足密码服务客户端的密码服务资源申请中的密码运算指标和密钥存储指标需求,则可以接受密码服务客户端的密码服务资源申请;如果空闲的标准密码服务单元的密码运算能力之和或者密钥存储能力之和小于密码服务客户端的密码服务资源申请中的密码运算指标或密钥存储指标需求,则拒绝该密码服务客户端的密码服务资源申请。
密码服务客户端在密码服务资源申请被拒绝或者当前连接的密码资源池因故障断开时,重新获取密码资源池列表并重新进行密码服务资源申请,建立新的连接。
步骤S15中,若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象。这里需要为每一个接受密码服务资源申请的密码服务客户端建立对应的独立密码服务对象,独立密码服务对象包括和该密码服务客户端建立的安全通道(SSL)、分配给该密码服务客户端的若干个标准密码服务单元建立的连接池、调用不同厂家密码设备的密码服务适配层以及对各种密码服务调用的历史/实时统计数据。例如,可以根据密码服务客户端的密码服务资源申请中的密码运算指标和密钥存储指标需求对标准密码服务单元中相应指标的最大倍数决定分配给密码服务客户端的标准密码服务单元数量。
如图2所示,本发明实施例二提供了另一种密码资源池管理方法,该密码资源池包括至少一个密码设备,该密码资源池管理方法具体包括:
S11:设定密码资源池的标准密码服务单元;
S12:接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
S13:将密码资源池与分布式协调服务系统进行信息同步;
S14:接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受密码服务客户端的密码服务资源申请;
S15:若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象;该独立密码服务对象包括和分配给该密码服务客户端的若干个标准密码服务单元建立的连接池;
S16:建立密码资源池的公共密码服务对象,该公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池;
S17:当密码服务客户端的密码服务资源请求超过密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从公共密码服务对象中提取空闲标准密码服务单元加入密码服务客户端对应的独立密码服务对象中;
S18:当密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将空闲标准密码服务单元放入公共密码服务对象中。
需要说明的是,实施例二与实施例一相比增加了步骤S16至S18,具体区别如下:
步骤S16中,建立密码资源池的公共密码服务对象,该公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池。通过设置公共密码服务对象,既可以方便对空闲标准密码服务单元的管理,也可以用于补充独立密码服务对象的密码服务能力,实现了标准密码服务单元的灵活调度。
步骤S17中,当密码服务客户端的密码服务资源请求超过密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从公共密码服务对象中提取空闲标准密码服务单元加入密码服务客户端对应的独立密码服务对象中。例如,当密码服务客户端的密码运算请求超过该密码服务客户端对应的独立密码服务对象中所包含的标准密码服务单元的密码运算能力之和时,从公共密码服务对象中提取空闲标准密码服务单元加入该密码服务客户端对应的独立密码服务对象中,为该密码服务客户端提供密码服务。
这里,优先提取与密码服务客户端对应的独立密码服务对象中所包含的标准密码服务单元位于同一密码设备的空闲标准密码服务单元加入该密码服务客户端对应的独立密码服务对象中。
步骤S18中,当密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将空闲标准密码服务单元放入公共密码服务对象中。例如,当密码服务客户端对应的独立密码服务对象中所包含的空闲密码服务单元连接闲置一段时间之后,可以根据密码服务资源请求将预设最低运算阈值之上部分的空闲标准密码服务单元放入公共密码服务对象之中。
如图3所示,本发明实施例三提供了另一种密码资源池管理方法,该密码资源池包括至少一个密码设备,该密码资源池管理方法具体包括:
S11:设定密码资源池的标准密码服务单元;
S12:接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
S13:将密码资源池与分布式协调服务系统进行信息同步;
S14:接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受密码服务客户端的密码服务资源申请;
S15:若接受密码服务客户端的密码服务资源申请,建立密码服务客户端对应的独立密码服务对象;该独立密码服务对象包括和分配给密码服务客户端的若干个标准密码服务单元建立的连接池;
S16:建立密码资源池的公共密码服务对象,该公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池;
S17:当密码服务客户端的密码服务资源请求超过密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从公共密码服务对象中提取空闲标准密码服务单元加入密码服务客户端对应的独立密码服务对象中;
S18:当密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将空闲标准密码服务单元放入公共密码服务对象中;
S19:接收密码设备的注册申请,根据密码资源池管理平台的处理能力判断是否接受密码设备的注册申请。
需要说明的是,实施例三与实施例二相比增加了步骤19,具体区别如下:
步骤S19中,接收密码设备的注册申请,根据密码资源池管理平台的处理能力判断是否接受密码设备的注册申请。密码设备从分布式协调服务系统获取密码资源池列表,并随机选择密码资源池进行注册申请。密码资源池管理平台对于超过自身处理能力的密码设备的注册申请进行拒绝。例如,当密码资源池管理平台空闲的内存、CPU和网络连接等资源已经低于一定的阈值,拒绝该密码设备的注册申请。当密码资源池管理平台空闲的内存、CPU和网络连接等资源高于一定的阈值,接受该密码设备的注册申请,建立与该密码设备的连接。密码设备在注册申请被拒绝或者当前连接的密码资源池因故障断开时,重新获取密码资源池列表并重新选择其他密码资源池进行注册申请,建立新的连接。
如图4所示,本发明实施例四提供了一种密码资源池管理平台,该密码资源池包括至少一个密码设备,该密码资源池管理平台包括:密码资源池设置模块、密码设备监控模块、信息同步模块和密码服务客户端管理模块,其中:
密码资源池设置模块,用于设定密码资源池的标准密码服务单元;
密码设备监控模块,用于接收密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;
信息同步模块,用于将密码资源池与分布式协调服务系统进行信息同步;
密码服务客户端管理模块,用于接收密码服务客户端的密码服务资源申请,根据密码资源池中各标准密码服务单元的状态信息判断是否接受该密码服务客户端的密码服务资源申请;若接受该密码服务客户端的密码服务资源申请,建立该密码服务客户端对应的独立密码服务对象;独立密码服务对象包括和分配给该密码服务客户端的若干个标准密码服务单元建立的连接池。
如图5所示,本发明实施例五在实施例四的基础上,提供了另一种密码资源池管理平台,该密码资源池管理平台包括:密码资源池设置模块、密码设备监控模块、信息同步模块、密码服务客户端管理模块和密码服务客户端监控模块,与实施例四的密码资源池管理平台相比,区别如下:
密码服务客户端管理模块,还用于建立密码资源池的公共密码服务对象,公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池。
密码资源池管理平台还包括密码服务客户端监控模块。该密码服务客户端监控模块,用于当密码服务客户端的密码资源请求超过密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从公共密码服务对象中提取空闲标准密码服务单元加入密码服务客户端对应的独立密码服务对象中。这里,优先提取与密码服务客户端对应的独立密码服务对象中所包含的标准密码服务单元位于同一密码设备的空闲标准密码服务单元加入密码服务客户端对应的独立密码服务对象中。
密码服务客户端监控模块,还用于当密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将空闲标准密码服务单元放入公共密码服务对象中。
如图6所示,本发明实施例六在实施例五的基础上,提供了另一种密码资源池管理平台,该密码资源池管理平台包括:密码资源池设置模块、密码设备监控模块、密码设备管理模块、信息同步模块、密码服务客户端管理模块和密码服务客户端监控模块,与实施例五的密码资源池管理平台相比,区别如下:
密码资源池管理平台还包括密码设备管理模块,该密码设备管理模块,用于接收密码设备的注册申请,根据密码资源池管理平台的处理能力判断是否接受该密码设备的注册申请。
如图7所示,本发明实施例七为一种将本发明实施例的密码资源池管理平台应用在密码资源池管理系统的系统结构图。该密码资源池管理系统包括若干个密码资源池、若干个密码服务客户端、zookeeper集群和云管理平台。其中每个密码资源池包括密码资源池管理平台和若干个密码设备。
在云计算环境下,将所有的密码设备以及密码资源池管理平台统一划入一个独立的分区(available zone),密码资源池管理平台作为每个密码资源池的调度器,实现所在云管理平台的管理规范和命令、服务、消息接口,接受云管理平台的管理和调度。密码资源池管理平台包括管理监控模块和信息同步模块,管理监控模块包括密码设备监控模块、密码设备管理模块、密码服务客户端管理模块和密码服务客户端监控模块。其中:
各密码资源池管理平台将各密码资源池的不同实例通过zookeeper或etcd等分布式协调服务系统的名字服务节点进行注册,并根据用户对密码运算和密钥存储的最低或平均需求,按照对称加解密、非对称加解密、签名验签等密码运算指标(以每秒交易数(TPS)和运算量(BPS)表示)以及密钥存储指标(密钥对数量)设定最小密码服务单元,即标准密码服务单元。密码资源池管理平台在云计算环境中可以部署多个实例,每个密码资源池管理平台实例管理和调度一定数量的密码设备,构成多个密码资源池实例。
密码设备从zookeeper或etcd等分布式协调服务系统的名字服务节点获取在线的密码资源池列表,并根据就近原则(同一机柜优先)随机选择密码资源池进行注册。密码设备根据标准密码服务单元中设定的密码运算和密钥存储能力指标以及本密码设备自身的密码运算部件和密钥存储部件最大能力指标,计算本密码设备支持的标准密码服务单元的最大数量(密码运算部件和密钥存储部件最大能力也是以对称加解密、非对称加解密、签名验签等密码运算指标和密钥对存储数量等密钥存储指标来表示,密码设备根据以上各项对标准密码服务单元中相应指标的最大倍数得出本密码设备支持的标准密码服务单元最大数量)并启动相同数量的容器运行密码服务代理。密码服务代理运行于密码设备上的容器中,接受所属密码资源池的密码资源池管理平台发过来的密码服务调用,对密码设备上的密码运算部件和密钥存储部件进行调用。密码服务代理根据标准密码服务单元的指标定义,对密码服务客户端请求的对称加解密、非对称加解密、签名验签等密码运算进行流控,超出标准密码服务单元处理能力的交易和数据将被排队等待并通知所属密码资源池的资源池管理平台从公共密码服务对象中进行调剂。
用户向云管理平台进行身份鉴别并申请密码服务资源,获得授权后得到密码资源使用令牌,该令牌包含用户身份、IP地址、密码运算和密钥存储资源需求等信息。用户再通过密码服务客户端从zookeeper或etcd等分布式协调服务系统获取在线的密码资源池列表,并随机选择密码资源池进行密码运算和密钥存储资源的申请。
密码资源池管理平台验证密码服务客户端提交的令牌,根据该密码资源池的空闲标准密码服务单元数量决定是否接受该密码服务客户端的密码服务资源申请,接受申请就为该密码服务客户端建立独立密码服务对象,并从注册到该密码资源池的密码设备中随机选择相应数量尚未分配的标准密码服务单元,建立到各标准密码服务单元对应的密码服务代理的连接并放入连接池待用。密码服务客户端和该密码资源池的密码资源池管理平台建立SSL连接进行密码服务的调用。
密码服务客户端和密码资源池管理平台建立SSL安全连接,通过密码服务客户端应用程序->密码服务客户端API->SSL通道->独立密码服务对象->密码服务代理->密码运算部件的调用链进行用户业务需要的密码服务调用。密码服务客户端负责与密码资源池管理平台建立安全并长期存在的SSL连接通道,将用户的应用通过密码服务客户端API传递的命令及参数、数据通过SSL通道传递给密码资源池管理平台并传回处理结果。命令传输方式采用REST或SOAP格式,参数与数据采用JSON或XML编码。用户的应用通过密码服务客户端API以及SSL通道传递到密码资源池管理平台的命令及参数、数据,在密码资源池管理平台通过调用密码服务适配层,根据所调用的不同厂家密码设备提供的不同接口和数据包格式进行转换和封装,然后通过独立密码服务对象中预先建立好的永久连接SSL通道传递给密码设备上的密码服务单元处理并传回处理结果。
本发明实施例的密码资源池管理平台,能够把多个逻辑上独立的密码设备组成密码资源池进行统一的调度和管理,接受云管理平台的调度和管理,接受不同用户的密码服务的调用,既保障了密码资源池的安全性,提高了密码服务的可用性,同时也降低了用户使用密码设备的难度。
以上仅是本发明的优选实施方式,应当指出的是,上述优选实施方式不应视为对本发明的限制,本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说,在不脱离本发明的精神和范围内,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (13)

1.一种密码资源池管理方法,应用于密码资源池管理平台,所述密码资源池包括至少一个密码设备,其特征在于,所述管理方法包括:
设定所述密码资源池的标准密码服务单元,所述标准密码服务单元包括密码运算指标和密钥存储指标;
接收所述密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息;所述密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息的方法包括:所述密码资源池中的密码设备根据自身的密码运算、密钥存储能力和标准密码服务单元设定的密码运算、密钥存储指标,以标准密码服务单元为标准调度单位,为每个标准密码服务单元启动容器运行密码服务代理,并以标准密码服务单元为单位上报空闲的标准密码服务单元以及正在运行的标准密码服务单元的使用率;
将所述密码资源池与分布式协调服务系统进行信息同步;
接收密码服务客户端的密码服务资源申请,根据所述密码资源池中各标准密码服务单元的状态信息判断是否接受所述密码服务客户端的密码服务资源申请;
若接受所述密码服务客户端的密码服务资源申请,建立所述密码服务客户端对应的独立密码服务对象;所述独立密码服务对象包括和分配给所述密码服务客户端的若干个标准密码服务单元建立的连接池。
2.根据权利要求1所述的密码资源池管理方法,其特征在于,所述管理方法还包括:
建立所述密码资源池的公共密码服务对象,所述公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池。
3.根据权利要求2所述的密码资源池管理方法,其特征在于,所述管理方法还包括:
当所述密码服务客户端的密码服务资源请求超过所述密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从所述公共密码服务对象中提取空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中。
4.根据权利要求3所述的密码资源池管理方法,其特征在于,所述管理方法还包括:
当所述密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将所述空闲标准密码服务单元放入所述公共密码服务对象中。
5.根据权利要求3所述的密码资源池管理方法,其特征在于,所述从所述公共密码服务对象中提取空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中的方法,包括:
从所述公共密码服务对象中优先提取与所述密码服务客户端对应的独立密码服务对象中包含的标准密码服务单元位于同一密码设备的空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中。
6.根据权利要求1所述的密码资源池管理方法,其特征在于,所述管理方法还包括:
接收密码设备的注册申请,根据所述密码资源池管理平台的处理能力判断是否接受所述密码设备的注册申请。
7.一种密码资源池管理平台,所述密码资源池包括至少一个密码设备,其特征在于,所述密码资源池管理平台包括密码资源池设置模块、密码设备监控模块、信息同步模块和密码服务客户端管理模块,其中:
所述密码资源池设置模块,用于设定所述密码资源池的标准密码服务单元,所述标准密码服务单元包括密码运算指标和密钥存储指标;
所述密码设备监控模块,用于接收所述密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息,所述密码资源池中的密码设备以标准密码服务单元为单位上报的各标准密码服务单元的状态信息的方法包括:所述密码资源池中的密码设备根据自身的密码运算、密钥存储能力和标准密码服务单元设定的密码运算、密钥存储指标,以标准密码服务单元为标准调度单位,为每个标准密码服务单元启动容器运行密码服务代理,并以标准密码服务单元为单位上报空闲的标准密码服务单元以及正在运行的标准密码服务单元的使用率;
所述信息同步模块,用于将所述密码资源池与分布式协调服务系统进行信息同步;
所述密码服务客户端管理模块,用于接收密码服务客户端的密码服务资源申请,根据所述密码资源池中各标准密码服务单元的状态信息判断是否接受所述密码服务客户端的密码服务资源申请;若接受所述密码服务客户端的密码服务资源申请,建立所述密码服务客户端对应的独立密码服务对象;所述独立密码服务对象包括和分配给所述密码服务客户端的若干个标准密码服务单元建立的连接池。
8.根据权利要求7所述的密码资源池管理平台,其特征在于,所述密码服务客户端管理模块,还用于建立所述密码资源池的公共密码服务对象,所述公共密码服务对象包括和若干个空闲标准密码服务单元建立的连接池。
9.根据权利要求8所述的密码资源池管理平台,其特征在于,所述密码资源池管理平台还包括:
密码服务客户端监控模块,用于当所述密码服务客户端的密码服务资源请求超过所述密码服务客户端对应的独立密码服务对象中所包含的若干个标准密码服务单元的密码服务能力之和时,从所述公共密码服务对象中提取空闲标准密码服务单元加入所述密码服务客户端对应的独立密码服务对象中。
10.根据权利要求9所述的密码资源池管理平台,其特征在于,所述密码服务客户端监控模块,还用于当所述密码服务客户端对应的独立密码服务对象中所包含的空闲标准密码服务单元空闲预设时间后,将所述空闲标准密码服务单元放入所述公共密码服务对象中。
11.根据权利要求7所述的密码资源池管理平台,其特征在于,所述密码资源池管理平台还包括:
密码设备管理模块,用于接收密码设备的注册申请,根据所述密码资源池管理平台的处理能力判断是否接受所述密码设备的注册申请。
12.一种密码资源池,包括至少一个密码设备,其特征在于,还包括权利要求7-11中任一项所述的密码资源池管理平台。
13.一种密码资源池管理系统,包括至少一个权利要求12所述的密码资源池。
CN201711336938.0A 2017-12-14 2017-12-14 密码资源池、密码资源池管理方法、管理平台及管理系统 Active CN108574599B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711336938.0A CN108574599B (zh) 2017-12-14 2017-12-14 密码资源池、密码资源池管理方法、管理平台及管理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711336938.0A CN108574599B (zh) 2017-12-14 2017-12-14 密码资源池、密码资源池管理方法、管理平台及管理系统

Publications (2)

Publication Number Publication Date
CN108574599A CN108574599A (zh) 2018-09-25
CN108574599B true CN108574599B (zh) 2021-10-08

Family

ID=63575912

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711336938.0A Active CN108574599B (zh) 2017-12-14 2017-12-14 密码资源池、密码资源池管理方法、管理平台及管理系统

Country Status (1)

Country Link
CN (1) CN108574599B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756334A (zh) * 2018-11-26 2019-05-14 西安得安信息技术有限公司 面向密钥管理的运维监控系统
CN109936580A (zh) * 2018-11-26 2019-06-25 西安得安信息技术有限公司 面向智能终端及应用系统的密码管理服务平台
CN111245813B (zh) * 2020-01-07 2022-04-29 北京数字认证股份有限公司 密码资源池系统、加密方法、电子设备及存储介质
CN115086015B (zh) * 2022-06-10 2024-05-24 深圳市东进技术股份有限公司 基于OAuth认证的云密码服务平台及密码资源分配方法
CN115208764B (zh) * 2022-07-27 2024-08-16 济南浪潮数据技术有限公司 一种基于资源池的请求响应方法、装置及其介质
CN116095149B (zh) * 2023-01-18 2023-09-19 北京安盟信息技术股份有限公司 云环境下密码服务应用配额的方法、系统、介质及设备
CN116707806B (zh) * 2023-08-09 2023-10-31 中电信量子科技有限公司 密码设备管理方法及管理平台

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506304A (zh) * 2014-11-20 2015-04-08 成都卫士通信息产业股份有限公司 一种增强密码设备按需服务能力的适配控制系统及方法
CN105306576A (zh) * 2015-11-10 2016-02-03 中国电子科技集团公司第三十研究所 一种密码运算单元的调度方法及系统
CN107040589A (zh) * 2017-03-15 2017-08-11 西安电子科技大学 通过虚拟化密码设备集群提供密码服务的系统及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9939981B2 (en) * 2013-09-12 2018-04-10 Commvault Systems, Inc. File manager integration with virtualization in an information management system with an enhanced storage manager, including user control and storage management of virtual machines
CN107086908B (zh) * 2016-02-15 2021-07-06 阿里巴巴集团控股有限公司 一种量子密钥分发方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506304A (zh) * 2014-11-20 2015-04-08 成都卫士通信息产业股份有限公司 一种增强密码设备按需服务能力的适配控制系统及方法
CN105306576A (zh) * 2015-11-10 2016-02-03 中国电子科技集团公司第三十研究所 一种密码运算单元的调度方法及系统
CN107040589A (zh) * 2017-03-15 2017-08-11 西安电子科技大学 通过虚拟化密码设备集群提供密码服务的系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
云计算环境下密码资源池系统的应用;张晏等;《信息安全研究》;20160605;第2卷(第6期);全文 *

Also Published As

Publication number Publication date
CN108574599A (zh) 2018-09-25

Similar Documents

Publication Publication Date Title
CN108574599B (zh) 密码资源池、密码资源池管理方法、管理平台及管理系统
EP3048774B1 (en) Service processing method, system and device
CN109151906A (zh) 通信方法、网络设备、终端设备和系统
CN105335229B (zh) 一种业务资源的调度方法和装置
CN110958281B (zh) 基于物联网的数据传输方法及通信装置
CN111083519A (zh) 基于云和边缘计算的vr内容分发系统及方法
CN112637354B (zh) 基于云存储的数据传输管理方法、系统与设备
CN102388575B (zh) 在订户同意情况下的动态dsl线路带宽管理方法、系统及设备
CN104572302B (zh) 一种实现资源分配的方法及装置
CN108037978A (zh) 一种基于虚拟化技术的计算资源管理方法
WO2016095524A1 (zh) 资源分配方法及装置
CN109862119A (zh) 存储容量共享方法、装置、业务服务器、用户终端和系统
CN110519750A (zh) 报文处理方法、设备及系统
CN109936515B (zh) 接入配置方法、信息提供方法及装置
CN106161652A (zh) 基于Zstack请求的私有云平台及其调度方法
US11700189B2 (en) Method for performing task processing on common service entity, common service entity, apparatus and medium for task processing
CN106686635B (zh) 基于无线接入点的控制和配置协议的数据传输方法和装置
CN104936306A (zh) Mtc设备组小数据安全传输连接建立方法、hss与系统
CN113840330A (zh) 建立连接的方法、网关设备、网络系统及调度中心
CN103220347A (zh) Crp云交互方法
WO2016198007A1 (zh) 热点设备控制方法及装置
WO2014101692A1 (zh) 带宽分配方法及系统
US10616792B2 (en) Communications system and networking method of application driven network, and controller
WO2014056387A1 (zh) 文本聊天会话的转移方法、系统以及装置和坐席客户端
WO2017092403A1 (zh) 集团上网的控制方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041

Patentee after: China Electronics Technology Network Security Technology Co.,Ltd.

Address before: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041

Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc.

CP01 Change in the name or title of a patent holder