CN115277709A - 一种服务器密码机的负载均衡方法 - Google Patents
一种服务器密码机的负载均衡方法 Download PDFInfo
- Publication number
- CN115277709A CN115277709A CN202210902651.4A CN202210902651A CN115277709A CN 115277709 A CN115277709 A CN 115277709A CN 202210902651 A CN202210902651 A CN 202210902651A CN 115277709 A CN115277709 A CN 115277709A
- Authority
- CN
- China
- Prior art keywords
- server
- key
- cipher
- cipher machine
- machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 2
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种服务器密码机的负载均衡方法,基于由若干台服务器密码机组建的服务器密码机集群,包括以下步骤:S1:请求密码计算;S2:分配服务器密码机;S3:若密钥所属的服务器密码机A资源不充足,则向服务器密码机A获取密钥;S4:服务器密码机A返回该密钥的密文a;S5:选择一个资源充足的服务器密码机B,将请求转发,并且附带密钥密文a;S6:服务器密码机B将密钥密文a解密后存储到临时索引x;S7:使用临时索引x进行密码计算;S8:返回密码计算结果。本发明不但可将密码计算分配到不同的密码卡中,获得多个密码卡计算能力的扩展,同时还可保证密码计算在密码卡中进行,从而保证密钥明文在所有过程中不出现在服务器密码机的内存中。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种服务器密码机的负载均衡方法。
背景技术
目前,服务器密码机器主要密钥存储与密码计算均在密码卡中进行,单一密码卡的密码计算能力有限,这种情况就需要使用多个密码卡设置多个服务器密码机扩展其计算能力。
通过多个密码卡提高整体的计算能力,还面临如下问题:密钥是存在指定的密码卡中的,其他密码卡无法使用该密钥进行密码计算,这就使得密码计算又回到存储对应密钥的密码卡上,从而导致负载均衡失败,系统整体计算能力扩展失败。
发明内容
本发明需要解决的技术问题是提供一种服务器密码机的负载均衡方法,可获得多个密码卡计算能力的扩展。
为解决上述技术问题,本发明所采取的技术方案如下。
一种服务器密码机的负载均衡方法,包括基于由若干台服务器密码机组建的服务器密码机集群,其中,包括以下步骤:
S1:计算请求用户,请求密码计算;
S2:负载均衡分配服务,进行分配服务器密码机,先读取记录M,判断密钥所属的服务器密码机A资源是否充足,充足则直接分配到服务器密码机A;
S3:若资源不充足,则向服务器密码机A获取密钥;
S4:服务器密码机A返回该密钥的密文a,该密文通过密钥索引x进行加密;
S5:负载均衡分配服务,选择一个资源充足的服务器密码机B,将请求转发,并且附带密钥密文a;
S6:服务器密码机B,分配密码卡,并将密钥密文a解密后存储到临时索引x中;
S7:密码卡使用临时索引x替代记录M中索引,进行密码计算;
S8:服务器密码机B,将密码计算结果返回给计算请求用户,并删除临时索引x。
优选的,每个所述密码卡均设置有密钥索引x以及预留用于转加密使用的计算能力;所有所述密码卡的密钥索引x中存储有相同的、用来做转加密的密钥Y,同时做一组用于记录计算请求使用的密钥的位置的记录M。
优选的,所述记录M包括用户密钥标识、服务器密码机标识、密码卡标识和密钥索引;所述用户密钥标识,用来标识密钥,由服务器密码机生成,每个用户通过拥有多个用户密钥标识,获得多个密钥,服务器密码机通过用户密钥标识,绑定服务器密码机、密码卡以及密钥索引;所述服务器密码机标识,用来标识用户密码计算请求所使用的密钥的所在的服务器密码机的标识;所述密码卡标识,用来标识用户密码计算请求所使用的密钥的所在的密码卡的标识。
优选的,所述服务器密码机集群部署方案采用多活模式,即多个节点对等模式同时提供服务,每个服务器密码机均具备负载分配和密码服务能力;所述服务器密码机采用三个网络进行不同的通信,分别是密码服务网络、集群网络和负载分配网络;所述密码服务网络对外提供密码计算服务,集群网络为服务器密码机之间提供集群组建通信,负载分配网络提供服务器密码机集群内部调度通信。
优选的,所述服务器密码机集群组建策略采用组播/广播模式,各服务器密码机通过连接相同的消息队列Q,绑定相同的交换EX,各自生成队列t并且各自将自己机器的密钥和密钥索引信息向交换EX以广播模式发送,实现各节点均可以获得一份整个集群的密钥情况。
优选的,所述负载均衡的策略采用带有优先级的对等争抢策略。
由于采用了以上技术方案,本发明所取得技术进步如下。
本发明不但可将密码计算分配到不同的密码卡中,获得多个密码卡计算能力的扩展,同时还可保证密码计算在密码卡中进行,从而保证密钥明文在所有过程中不出现在服务器密码机的内存中。
附图说明
图1为本发明的记录M结构框图;
图2为本发明的服务器密码机集群部署示意图;
图3为本发明的消息分发原理图;
图4为本发明的负载均衡流程图。
具体实施方式
下面将结合附图和具体实施方式对本发明进行进一步详细说明。
一种服务器密码机的负载均衡方法,基于由若干台服务器密码机组建的服务器密码机集群,需要对每台服务器密码机的密码卡的计算能力预留,密钥卡的计算能力预留是为了转加密使用,每个密码卡可以预留5%以内的计算能力;所有密码卡均设置有密钥索引x,密钥索引x中存储有相同的密钥Y,用来做转加密,同时做一组记录M用于记录计算请求使用的密钥的位置。
如图1所示,记录M,包括用户密钥标识、服务器密码机标识、密码卡标识和密钥索引,其中,用户密钥标识,用来标识密钥,由服务器密码机生成,每个用户通过拥有多个用户密钥标识,获得多个密钥,服务器密码机通过用户密钥标识,绑定服务器密码机、密码卡以及密钥索引;对于用户使用而言,只需要知道用户密钥标识,就足以使用密钥进行密码计算,系统为用户屏蔽集群内部的设备细节。
服务器密码机标识,用来标识用户密码计算请求所使用的密钥的所在的服务器密码机的标识。
密码卡标识,用来标识用户密码计算请求所使用的密钥的所在的密码卡的标识。
如图2所示,服务器密码机集群部署方案采用多活模式,即多个节点对等模式同时提供服务,每个服务器密码机均具备负载分配和密码服务能力。服务器密码机采用三个网络进行不同的通信,分别是密码服务网络、集群网络和负载分配网络。密码服务网络对外提供密码计算服务,集群网络为服务器密码机之间提供集群组建通信,负载分配网络提供服务器密码机集群内部调度通信。
服务器密码机集群组建策略采用组播/广播模式,如rabbitmq中的fanout模式,各服务器密码机通过连接相同的消息队列Q,绑定相同的交换EX,各自生成队列t并且各自将自己机器的密钥、密钥索引等信息向交换EX以广播模式发送,如此各节点均可以获得一份整个集群的密钥情况,消息分发原理图3所示。
负载均衡策略采用带有优先级的对等争抢策略,带有优先级是指密码计算优先选择密钥所在的服务器密码机和密码卡,如果该设备资源不足,后续则采用对等争抢。对等争抢是指,同时分配,无先后顺序,通过向负载调度的消息队列发送密码计算请求与密钥密文,各服务器密码机争抢,哪个集群抢到该请求,就处理该请求,无需二次调度“优先级”的服务器密码机也参与对等争抢,若争抢到,则此时资源充足,理应处理本次服务,若没有抢到,则由其他设备进行处理。
如图4所示,整体的负载均衡过程为:
S1:计算请求用户,请求密码计算。
S2:负载均衡分配服务,进行分配服务器密码机,先读取记录M,判断密钥所属的服务器密码机A资源是否充足,充足则直接分配到服务器密码机A。
S3:若资源不充足,则向服务器密码机A获取密钥。
S4:服务器密码机A返回该密钥的密文a,该密文通过密钥索引x进行加密。
S5:负载均衡分配服务,选择一个资源充足的服务器密码机B,将请求转发,并且附带密钥密文a。
S6:服务器密码机B,分配密码卡,并将密钥密文a解密后存储到临时索引x中。
S7:密码卡使用临时索引x替代记录M中索引,进行密码计算。
S8:服务器密码机B,将密码计算结果返回给计算请求用户,并删除临时索引x。
本发明在使用时,通过上述的方法不但可将密码计算分配到不同的密码卡中,获得多个密码卡计算能力的扩展,同时还可保证密码计算在密码卡中进行,从而保证密钥明文在所有过程中不出现在服务器密码机的内存中。
Claims (6)
1.一种服务器密码机的负载均衡方法,基于由若干台服务器密码机组建的服务器密码机集群,其特征在于:包括以下步骤:
S1:计算请求用户,请求密码计算;
S2:负载均衡分配服务,进行分配服务器密码机,先读取记录M,判断密钥所属的服务器密码机A资源是否充足,充足则直接分配到服务器密码机A;
S3:若资源不充足,则向服务器密码机A获取密钥;
S4:服务器密码机A返回该密钥的密文a,该密文通过密钥索引x进行加密;
S5:负载均衡分配服务,选择一个资源充足的服务器密码机B,将请求转发,并且附带密钥密文a;
S6:服务器密码机B,分配密码卡,并将密钥密文a解密后存储到临时索引x中;
S7:密码卡使用临时索引x替代记录M中索引,进行密码计算;
S8:服务器密码机B,将密码计算结果返回给计算请求用户,并删除临时索引x。
2.根据权利要求1所述的一种服务器密码机的负载均衡方法,其特征在于:每个所述密码卡均设置有密钥索引x以及预留用于转加密使用的计算能力;所有所述密码卡的密钥索引x中存储有相同的、用来做转加密的密钥Y,同时做一组用于记录计算请求使用的密钥的位置的记录M。
3.根据权利要求2所述的一种服务器密码机的负载均衡方法,其特征在于:所述记录M包括用户密钥标识、服务器密码机标识、密码卡标识和密钥索引;所述用户密钥标识,用来标识密钥,由服务器密码机生成,每个用户通过拥有多个用户密钥标识,获得多个密钥,服务器密码机通过用户密钥标识,绑定服务器密码机、密码卡以及密钥索引;所述服务器密码机标识,用来标识用户密码计算请求所使用的密钥的所在的服务器密码机的标识;所述密码卡标识,用来标识用户密码计算请求所使用的密钥的所在的密码卡的标识。
4.根据权利要求1所述的一种服务器密码机的负载均衡方法,其特征在于:所述服务器密码机集群部署方案采用多活模式,即多个节点对等模式同时提供服务,每个服务器密码机均具备负载分配和密码服务能力;所述服务器密码机采用三个网络进行不同的通信,分别是密码服务网络、集群网络和负载分配网络;所述密码服务网络对外提供密码计算服务,集群网络为服务器密码机之间提供集群组建通信,负载分配网络提供服务器密码机集群内部调度通信。
5.根据权利要求4所述的一种服务器密码机的负载均衡方法,其特征在于:所述服务器密码机集群组建策略采用组播/广播模式,各服务器密码机通过连接相同的消息队列Q,绑定相同的交换EX,各自生成队列t并且各自将自己机器的密钥和密钥索引信息向交换EX以广播模式发送,实现各节点均可以获得一份整个集群的密钥情况。
6.根据权利要求1所述的一种服务器密码机的负载均衡方法,其特征在于:所述负载均衡的策略采用带有优先级的对等争抢策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210902651.4A CN115277709A (zh) | 2022-07-29 | 2022-07-29 | 一种服务器密码机的负载均衡方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210902651.4A CN115277709A (zh) | 2022-07-29 | 2022-07-29 | 一种服务器密码机的负载均衡方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115277709A true CN115277709A (zh) | 2022-11-01 |
Family
ID=83771423
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210902651.4A Pending CN115277709A (zh) | 2022-07-29 | 2022-07-29 | 一种服务器密码机的负载均衡方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115277709A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115664662A (zh) * | 2022-11-07 | 2023-01-31 | 北京数盾信息科技有限公司 | 一种密钥处理方法及装置 |
| CN116074003A (zh) * | 2023-03-06 | 2023-05-05 | 中安云科科技发展(山东)有限公司 | 一种密码机动态多线程负载均衡方法、系统及密码机 |
| CN116566617A (zh) * | 2023-05-10 | 2023-08-08 | 中安云科科技发展(山东)有限公司 | 一种单个虚拟化密码机的计算资源调整方法 |
| CN117319092A (zh) * | 2023-11-29 | 2023-12-29 | 杭州海康威视数字技术股份有限公司 | 分布式密钥管理方法、装置、密码卡及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106341226A (zh) * | 2016-10-11 | 2017-01-18 | 山东渔翁信息技术股份有限公司 | 一种数据加解密方法及系统 |
| CN110572258A (zh) * | 2019-07-24 | 2019-12-13 | 中国科学院数据与通信保护研究教育中心 | 一种云密码计算平台及计算服务方法 |
| CN110830243A (zh) * | 2019-10-18 | 2020-02-21 | 中国第一汽车股份有限公司 | 对称密钥分发方法、装置、车辆及存储介质 |
| CN111082926A (zh) * | 2019-11-06 | 2020-04-28 | 深圳市东进技术股份有限公司 | 密钥同步方法及系统 |
-
2022
- 2022-07-29 CN CN202210902651.4A patent/CN115277709A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106341226A (zh) * | 2016-10-11 | 2017-01-18 | 山东渔翁信息技术股份有限公司 | 一种数据加解密方法及系统 |
| CN110572258A (zh) * | 2019-07-24 | 2019-12-13 | 中国科学院数据与通信保护研究教育中心 | 一种云密码计算平台及计算服务方法 |
| CN110830243A (zh) * | 2019-10-18 | 2020-02-21 | 中国第一汽车股份有限公司 | 对称密钥分发方法、装置、车辆及存储介质 |
| CN111082926A (zh) * | 2019-11-06 | 2020-04-28 | 深圳市东进技术股份有限公司 | 密钥同步方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115664662A (zh) * | 2022-11-07 | 2023-01-31 | 北京数盾信息科技有限公司 | 一种密钥处理方法及装置 |
| CN116074003A (zh) * | 2023-03-06 | 2023-05-05 | 中安云科科技发展(山东)有限公司 | 一种密码机动态多线程负载均衡方法、系统及密码机 |
| CN116566617A (zh) * | 2023-05-10 | 2023-08-08 | 中安云科科技发展(山东)有限公司 | 一种单个虚拟化密码机的计算资源调整方法 |
| CN117319092A (zh) * | 2023-11-29 | 2023-12-29 | 杭州海康威视数字技术股份有限公司 | 分布式密钥管理方法、装置、密码卡及系统 |
| CN117319092B (zh) * | 2023-11-29 | 2024-02-09 | 杭州海康威视数字技术股份有限公司 | 分布式密钥管理方法、装置、密码卡及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115277709A (zh) | 一种服务器密码机的负载均衡方法 | |
| CN109995515B (zh) | 一种量子密钥中继方法 | |
| CN112865964B (zh) | 一种量子密钥分发方法、设备及存储介质 | |
| CN101854625B (zh) | 安全算法选择处理方法与装置、网络实体及通信系统 | |
| CN108462573B (zh) | 一种灵活的量子安全移动通信方法 | |
| CN102869012B (zh) | 无线局域网接入点设备和系统以及相关方法 | |
| EP3813298B1 (en) | Method and apparatus for establishing trusted channel between user and trusted computing cluster | |
| CN109088881B (zh) | 一种实现跨平台数据交换的共享链平台及数据交换方法 | |
| CN109842485B (zh) | 一种有中心的量子密钥服务网络系统 | |
| CN108123800A (zh) | 密钥管理方法、装置、计算机设备及存储介质 | |
| Lai et al. | Toward secure large-scale machine-to-machine comm unications in 3GPP networks: chall enges and solutions | |
| CN112887380B (zh) | 一种跨链互通方法及系统 | |
| CN101252506A (zh) | 一种数据传输系统 | |
| CN103873236B (zh) | 一种可搜索加密方法及设备 | |
| CN111342952B (zh) | 一种安全高效的量子密钥服务方法与系统 | |
| CN112835977A (zh) | 一种基于区块链的数据库管理方法及系统 | |
| CN115632779B (zh) | 一种基于配电网的量子加密通信方法及系统 | |
| CN117220873A (zh) | 一种基于区块链的安全量子通信方法 | |
| CN110569655A (zh) | 一种群组隐私信息发现方法及系统 | |
| Xu et al. | Stochastic resource allocation in quantum key distribution for secure federated learning | |
| CN116388984A (zh) | 一种量子资源优化分配方法及装置 | |
| CN115002756A (zh) | 一种基于区块链和战术云的无人集群自组作战安全系统 | |
| Shan et al. | Blockchain-Based Distributed Addressing for Initial Authentication in Future Network | |
| CN111278009B (zh) | 无线传感器网络中基于物理不可克隆函数的密钥分配方法 | |
| CN116599957A (zh) | 一种新型的物联网密码服务架构及密码组件节点选择方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |