CN115694914A - 一种面向物联网的密码服务部署系统及方法 - Google Patents
一种面向物联网的密码服务部署系统及方法 Download PDFInfo
- Publication number
- CN115694914A CN115694914A CN202211218059.9A CN202211218059A CN115694914A CN 115694914 A CN115694914 A CN 115694914A CN 202211218059 A CN202211218059 A CN 202211218059A CN 115694914 A CN115694914 A CN 115694914A
- Authority
- CN
- China
- Prior art keywords
- service
- internet
- server
- things
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向物联网的密码服务部署系统及方法,属于物联网密码服务部署领域,包括步骤:云服务器执行初始化;在设备层中需要加密其数据并将其发送到公共云存储数据库;具有数据加密需求的物联网设备向加密服务器/密钥管理器发送请求;加密服务器选择加密算法,密钥管理器返回一对密钥;当物联网设备接收到此信息时,对数据进行加密,然后将其发送到另一个物联网设备,或发送到云层云服务器以供存储;加密/解密完全在加密服务器或解密服务器上执行;本发明提升了CaaS平台在物联网环境下快速感知、快速部署、快速保障的能力,以及物联网信息共享和服务响应处置能力。
Description
技术领域
本发明涉及物联网密码服务部署领域,更为具体的,涉及一种面向物联网的密码服务部署系统及方法。
背景技术
从对国内外专利检索结果来看,尚未有涉及物联网密码服务部署的相关发明专利,物联网密码服务部署的学术论文也较少。现有方案中,Olanrewaju等人提出了“密码即服务(Cryptography as a Service,CaaS)”的概念,并将其功能与Kerberos协议进行了比较[1],Kerberos协议是一种保护不同网络组件之间通信的网络安全协议。Rahimi等人分析了CaaS平台的效率、构建方法和可能的应用[2]。然而,上述两篇论文没有涵盖CaaS的技术机理,也没有涉及CaaS在物联网中部署的结构以及具体技术方案。本发明旨在对物联网密码服务部署提出新的解决方案。
[1]R.F.Olanrewaju,T.Islam,O.O.Khalifa,F.Anwar,and B.R.Pampori,“Cryptography as a service(CaaS):quantum cryptography for secure cloudcomputing,”Indian Journal of Science and Technology,vol.10,no.7,pp.1–6,2017.
[2]N.Rahimi,J.J.Reed,and B.Gupta,“On the significance of cryptographyas a service,”Journal of Information Security,vol.9,no.4,pp.242–256,2018.
发明内容
本发明的目的在于克服现有技术的不足,提供一种面向物联网的密码服务部署系统及方法,提升了CaaS平台在物联网环境下快速感知、快速部署、快速保障的能力,以及物联网信息共享和服务响应处置能力。
本发明的目的是通过以下方案实现的:
一种面向物联网的密码服务部署系统,包括设备层、雾层和云层,还包括基础设施组件和密码组件;基础设施组件包括云服务器、智能网关和物联网设备;密码组件包括加密服务器、解密服务器和密钥管理器;所述加密服务器、解密服务器和密钥管理器在雾层;所述智能网关在雾层;所述云服务器在云层;所述物联网设备在设备层;
所述云服务器为云环境中的物理或虚拟机,且能够执行任务、能够给物联网提供数据存储空间;
所述智能网关位于基础设施的雾层,位于网络的边缘,作为物联网设备向云服务器请求密码服务的接入网关,具有数据转发、数据存储、数据处理能力;
所述物联网设备作为物联网的终端节点,且还作为请求密码服务的客户端;
所述加密服务器用于使用指定的密钥加密明文以生成密文;
所述解密服务器通过获取密文和密钥执行解密以重新生成明文;
所述密钥管理器用于创建密钥、存储密钥,并执行与密钥管理步骤相关的所有进程。
进一步地,在所述云层中,还包括虚拟基础设施管理器VIM单元,每个网络由一个所述虚拟基础设施管理器VIM单元管理,负责在不同的云网络中创建、管理和编排所有的密码服务实例,每个密码服务运行不同的虚拟机或容器,并利用网络切片在共享硬件资源上创建多个虚拟资源。
进一步地,在所述雾层中,所述智能网关包括密流量控制和监测单元,用于将密码服务流量转发到其加密服务器和解密服务器,加密服务器会生成密码服务请求并将其发送给虚拟基础设施管理器VIM,虚拟基础设施管理器VIM根据接收到请求数量及其密码服务质量的要求,执行密码服务编排操作算法,所述密码服务编排操作算法用于指示加密服务器或解密服务器执行加密/解密,或者限制密流量以避免在保持一定服务级别的同时实现物联网负载均衡。
进一步地,所述虚拟基础设施管理器VIM包括管理规则和策略制定单元,用于为密码服务的实例化和自动缩放制定不同的管理规则和策略,通过将规则和策略传递给加密服务器/解密服务器来强制执行。
进一步地,所述加密服务器/解密服务器包括动态启动密码单元,用于在雾层中动态启动密码服务实例。
进一步地,所述智能网关还包括密流量性能指标监测单元,用于监测密流量的性能指标,以便根据预定义的策略触发操作;所述智能网关与加密服务器/解密服务器通信,以便在相同的垂直位置为不同的物联网设备和云服务器提供连接。
进一步地,所述管理规则和策略制定单元包括扩展策略单元,所述扩增策略单元根据密码服务质量的性能要求和根据密流量负载的行为而设置。
一种基于如上任一项所述面向物联网的密码服务部署系统的部署方法,包括以下步骤:
S0,由云服务器执行初始化步骤,利用云服务器选择智能网关,并向智能网关颁发证书,使智能网关成为可信的服务提供者;设物联网设备A与另一个物联网设备B共享数据,在设备层中加密其数据并将其发送到公共云存储数据库;
S1,物联网设备A要求云服务器提供受信任的加密服务器列表,
S2,云服务器进行响应,反馈物联网设A请求的列表;
S3,物联网设A知道受信任的加密服务器,并选择一个加密服务器C;
S4,A将其加密的原始数据发送到选择的加密服务器C,A还发送一些额外的所需信息,用于选择密码服务;接收数据后,C向云服务器询问密码服务;
S5,云服务器使用密码服务进行响应;
S6,C向密钥管理器D请求一对密钥;
S7,D提供密钥;
S8,C调用密码服务并将加密后的数据发送给A;
S9,在接收到加密数据后,A将加密数据发送到公共云上的存储数据库以存储数据或与其他用户共享数据;
S10,B连接到公共云以获取共享数据;
S11,公共云向B转发A的加密数据;
S12,B将加密的数据发送给一个可信的解密服务器E来解密数据;
S13,当接收到加密数据时,E要求云服务器了解其历史记录,以找出适当的解密服务;
S14,云服务器进行响应;
S15,E要求从D获得密钥或公钥;
S16,D进行响应;
S17,解密数据并将数据发送给B;此时,A和B共享数据的流程结束。
进一步地,步骤S4在雾层中执行,并且利用智能网关控制和监测密流量,利用智能网关将密码服务流量转发到其加密服务器和解密服务器,加密服务器会生成密码服务请求并将其发送给虚拟基础设施管理器VIM,VIM根据接收到请求数量及其密码服务质量的要求,执行密码服务编排操作算法,指示加密服务器或解密服务器执行加密/解密;所述密码服务编排操作算法具体为依据密码服务质量需求选择相应的密码服务,并由VIM处理新的密码服务请求,高于密码服务质量门限则限制密码服务流量。
进一步地,在步骤S5或S14中,云服务器响应时,包括子步骤:设计在VIM上对每个切片执行自动缩放操作算法,利用VIM对外向加密服务器或解密服务器提供的密码服务实例,根据预定义的策略和密流量的性能进行缩放,以便降低密码服务交付所需的成本;
所述自动缩放操作算法需考虑到:VIM启动时间因密码服务类别而变化,受到网络切片类型以及部署VIM的云服务器类型的影响;
通过所述自动缩放算法以及与其服务需求相匹配的优先级级别来管理,从而使三层体系结构更好的支持密码服务的并发性。
本发明的有益效果包括:
本发明技术方案提出一种面向物联网的新的密码服务部署方法基系统,综合集成了5大类、14小类密码服务系列组件,以面向服务的虚拟化平台部署方式实现了物联网数据加密保护,提升了CaaS平台在物联网环境下快速感知、快速部署、快速保障的能力,以及物联网信息共享和服务响应处置能力。
本发明技术方案基于提出的部署系统,还提出了新的面向物联网的密码服务编排操作算法,实现依据密码服务质量需求选择相应的密码服务,并限制密码服务流量以避免在保持一定服务级别的同时实现物联网负载均衡。
本发明技术方案基于提出的部署系统,还提出了新的基于网络切片的密码服务自动缩放算法,以便根据预定义的策略和密流量的性能缩放每个密码服务实例。
本发明技术方案利用了网络切片技术,能够为多样化的密码服务创建不同的切片提供弹性和灵活性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中CaaS平台的工作流程示意图;
图2为本发明实施例基于网络切片的物联网密码服务管理的示意图;
图3为本发明实施例方法设计的密码服务编排算法工作流程图;
图4为本发明实施例方法设计的密码服务自动缩放算法工作流程图。
具体实施方式
本说明书中所有实施例公开的所有特征,或隐含公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合和/或扩展、替换。
如背景技术中所介绍,目前关于物联网密码服务部署的、能够实施的具体部署结构以及方法几乎是空白。然而,随着物联网的发展,安全隐患也在逐步增加。密码是保障网络与信息安全最有效、最可靠、最经济的关键技术。密码即服务概念(Cryptography as aService,CaaS)的提出,是考虑到物联网设备有限的硬件资源和处理能力,以面向服务的虚拟化平台方式向物联网提供满足数据安全差异化需求的细粒度密码服务。
本发明的发明人发现:在传统的C/S网络模式中,加密过程是在服务器端和/或客户端执行的。然而,由于物联网设备自身的硬件资源和处理能力受限,不可能期望所有设备能够执行加密/解密操作,特别是执行复杂和计算密集型的密码算法/协议。此外,为执行这些算法/协议指定一个特定的服务器可能是有风险的,因为它可能是整个加密链中的重点攻击目标。
考虑到物联网的数据具有典型的多源性和异构性的特点,本发明的发明人认为:CaaS对于物联网设备应对其资源和能力瓶颈至关重要,CaaS理念应用在物联网中可以使数据资源变得安全和可用。但是,现有方案中仅有CaaS概念,缺乏CaaS技术机理,更没有涉及CaaS在物联网中部署的结构以及方法方案。鉴于这种情况,本发明技术方案旨在针对物联网密码服务部署提出新的、可落地运行的解决方案。
在本发明技术方案的构思中,主要思路是采用面向服务的虚拟化平台部署方式,通过将加密/解密操作变成一种资源服务赋能给物联网设备应用,根据具体的应用场景、安全需求可实现按需适配细粒度的密码服务即可。因此,在这一思路下,本发明技术方案主要面向物联网信息保密、设备互信以及统一安全管理需求,提供密码服务化的部署方式,为物联网提供安全认证、数据加密保护等多样化的密码服务。
在进一步的发明构思中,本发明技术方案中将密码作为服务,为数据提供身份认证、访问控制、机密性保护、完整性保护和抗抵赖等功能。如表1所示,本发明技术方案通过建立密码服务体系结构(CryptList)来区分为5类服务(即认证服务、访问控制服务、数据机密性服务、数据完整性服务和不可否认性服务),在密码服务体系结构中每一项密码服务提供一个特定的密码功能。
表1
现有方案中,并无密码服务体系结构功能,而是每一项密码服务只是提供一个特定的密码功能,并未集成,这在物联网环境下的感知、部署和保障能力均较弱,而且这种模式显然不适用物联网场景。因此,本发明的发明人经过创造性思考后,构思了建立密码服务体系结构的技术方案,使其能够综合集成5大类、14小类密码服务系列组件,并且以面向服务的虚拟化平台部署方式实现了物联网数据加密保护,目的是用于提升CaaS平台在物联网环境下快速感知、快速部署、快速保障的能力,以及物联网信息共享和服务响应处置能力。
在本发明的进一步发明构思中,基于CaaS的概念,将密码服务和主要密码功能以服务化的方式对外提供,以一种面向物联网的密码服务部署系统进行实施,如图1所示,包括基础设施组件和密码组件,基础设施组件例如云服务器、智能网关、物联网设备等。密码组件例如加密服务器、解密服务器、密钥管理器等。
在本发明技术方案提供的面向物联网的密码服务部署系统中,云服务器是云环境中的物理或虚拟机,具有丰富的资源来执行复杂的任务,并为物联网提供数据存储空间。
在本发明技术方案提供的面向物联网的密码服务部署系统中,智能网关是位于基础设施的雾层,换句话说,位于网络的边缘,可以作为物联网设备向云服务器请求密码服务的接入网关,具有数据转发、数据存储、数据处理能力。
在本发明技术方案提供的面向物联网的密码服务部署系统中,物联网设备是物联网的终端节点,例如智能手机、摄像头、可穿戴设备、智能车辆、门禁设备等,其中大部分的硬件资源和处理能力有限,是请求密码服务的客户端。
在本发明技术方案提供的面向物联网的密码服务部署系统中,加密服务器负责使用指定的密钥加密明文以生成密文。
在本发明技术方案提供的面向物联网的密码服务部署系统中,解密服务器通过获取密文和密钥执行解密以重新生成明文。
在本发明技术方案提供的面向物联网的密码服务部署系统中,密钥管理器创建密钥、存储密钥,并执行与密钥管理步骤相关的所有进程。
本发明技术方案提供的一种面向物联网的密码服务部署系统,基于CaaS平台提出了新的工作流程,如图2所示,具体如下步骤:
在本发明技术方案构思的初始步骤中,初始步骤由云服务器来执行,它选择一些智能网关,并向它们颁发证书,使它们成为可信的服务提供者。假设一个物联网设备A与另一个物联网设备B共享数据,在本发明构思技术方案中,在设备层中需要加密其数据并将其发送到公共云存储数据库。
在上述初始化步骤之后,执行如下步骤:
步骤1:首先,物联网设备A要求云服务器提供受信任的加密服务器列表。
步骤2:然后,云服务器进行响应,反馈物联网设A请求的列表。
步骤3:物联网设A知道受信任的加密服务器,并选择一个加密服务器,例如C,用于进一步的加密通信。在下一步中,A将其必须加密的原始数据发送到C。
步骤4:物联网设A还发送一些额外的所需信息。例如,在一些CaaS平台中,加密服务器需要知道物联网设备的资源状态。此信息可用于选择适当的密码服务。接收数据后,C向云服务器询问适当的密码服务。例如,C将A的资源状态和网络的信道条件发送给云服务器,而云服务器(CS)决定哪个密码服务更适合于A。
步骤5:因此,在下一步中,云服务器使用适当的密码服务进行响应。
步骤6:此外,C还需要一对密钥来加密数据。C向密钥管理器D请求一对密钥。
步骤7:随后,D提供密钥。
步骤8:然后,C调用密码服务并将加密后的数据发送给A。
步骤9:在接收到加密数据后,A将加密数据发送到公共云上的存储数据库以存储数据或与其他用户共享数据。至此,B检索数据,B执行类似于A的步骤1和步骤2,以接收受信任的解密服务器列表。
步骤10:然后,B连接到公共云以获取共享数据。
步骤11:公共云向B转发A的加密数据。
步骤12:在接下来的步骤中,B将加密的数据发送给一个可信的解密服务器E来解密数据。
步骤13:当接收到加密数据时,E要求云服务器了解其历史记录,以找出适当的解密服务。
步骤14:云服务器进行响应。E还需要精确的一对解密密钥。注意,在一些解密方法中,例如非对称加密算法,E只需要公钥。
步骤15:E要求从D获得密钥。
步骤16:D进行响应。
步骤17:最后,解密数据并将数据发送给B。此时,A和B共享数据的流程结束。
本发明技术方案提供的CaaS平台,还设有一些位于雾层上的加密组件,具有数据加密需求的物联网设备向加密服务器/密钥管理器发送请求。加密服务器选择加密算法,密钥管理器返回一对密钥。当物联网设备接收到此信息时,它对数据进行加密,然后将其发送到另一个物联网设备,或发送到云层云服务器以供存储。加密/解密完全在加密服务器和解密服务器上执行。
网络切片是支持物联网密码服务的关键技术,每个密码服务都有一个为该密码服务提供所需资源的专用网络切片。图3表示了基于网络切片的密码服务管理参考体系结构。在本发明的进一步构思中,利用网络切片技术为多样化的密码服务创建不同的切片提供弹性和灵活性。具体而言,在云层中,每个网络由一个虚拟基础设施管理器(VIM)管理,负责在不同的云网络中创建、管理和编排所有的密码服务实例,每个密码服务运行不同的虚拟化技术(例如虚拟机或容器),利用网络切片技术允许在共享硬件资源(例如计算、存储和通信)上创建多个虚拟资源。在雾层中,智能网关负责控制和监测密流量,智能网关可以将密码服务流量转发到其加密服务器和解密服务器,加密服务器会生成密码服务请求并将其发送给VIM(即上述本发明技术方案中CaaS平台工作流程的步骤4),VIM根据接收到请求数量及其密码服务质量的要求,执行本发明技术方案设计的密码服务编排操作算法1,指示加密服务器或解密服务器执行加密/解密(即上述本发明技术方案中CaaS平台工作流程的步骤5或步骤14),或者限制密流量以避免在保持一定服务级别的同时实现物联网负载均衡。利用本发明技术方案设计的密码服务编排算法的部署方法工作流程图如图3所示。
在本发明的进一步构思中,利用VIM为密码服务的实例化和自动缩放制定不同的管理规则和策略,通过将规则和策略传递给加密服务器/解密服务器来强制执行。加密服务器/解密服务器在雾层中动态启动密码服务实例,智能网关监测密流量的性能指标,以便根据预定义的策略触发操作。扩展策略是根据密码服务质量的性能要求和根据密流量负载的行为设置的。此外,智能网关与加密服务器/解密服务器通信,以便在相同的垂直位置为不同的物联网设备和云服务器提供连接。
在本发明的进一步构思中,设计在VIM上对每个切片执行的自动缩放操作算法2,利用VIM对外向加密服务器或解密服务器提供的密码服务实例(即上述本发明技术方案中CaaS平台工作流程的步骤5或步骤14)可以根据预定义的策略和密流量的性能进行缩放,以便降低密码服务交付所需的成本。此外,本发明技术方案设计的自动缩放算法考虑到了VIM启动时间可能因密码服务类别而变化,也可能受到网络切片类型以及部署VIM的云服务器类型的影响,通过自动缩放算法以及与其服务需求相匹配的优先级级别来管理,从而使三层体系结构可以更好的支持密码服务的并发性。利用本发明技术方案设计的密码服务自动缩放算法的部署方法工作流程图如图4所示。
综上,物联网安全的成功取决于对物联网数据的保护。面向物联网信息流通、数据共享需求,本发明技术方案提出一种面向物联网的密码服务部署方法,综合集成了5大类、14小类密码服务系列组件,解决了目前关于面向物联网的密码部署具体结构和具体部署方法空白的技术问题,同时以面向服务的虚拟化平台部署方式实现了物联网数据加密保护,极大的提升了CaaS平台在物联网环境下快速感知、快速部署、快速保障的能力,以及显著的提升了物联网信息共享和服务响应处置能力。
在此基础上,本发明技术方案提出了新的面向物联网的密码服务编排操作算法,依据密码服务质量需求选择相应的密码服务,并限制密码服务流量以避免在保持一定服务级别的同时实现物联网负载均衡。以及,本发明技术方案还提出了基于网络切片的密码服务自动缩放算法,以便根据预定义的策略和密流量的性能缩放每个密码服务实例。
实施例1
一种面向物联网的密码服务部署系统,包括设备层、雾层和云层,包括基础设施组件和密码组件;基础设施组件包括云服务器、智能网关和物联网设备;密码组件包括加密服务器、解密服务器和密钥管理器;所述加密服务器、解密服务器和密钥管理器在雾层;所述智能网关在雾层;所述云服务器在云层;所述物联网设备在设备层;
所述云服务器为云环境中的物理或虚拟机,且能够执行任务、能够给物联网提供数据存储空间;
所述智能网关位于基础设施的雾层,位于网络的边缘,作为物联网设备向云服务器请求密码服务的接入网关,具有数据转发、数据存储、数据处理能力;
所述物联网设备作为物联网的终端节点,且还作为请求密码服务的客户端;
所述加密服务器用于使用指定的密钥加密明文以生成密文;
所述解密服务器通过获取密文和密钥执行解密以重新生成明文;
所述密钥管理器用于创建密钥、存储密钥,并执行与密钥管理步骤相关的所有进程。
实施例2
在实施例1的基础上,在所述云层中,还包括虚拟基础设施管理器VIM单元,每个网络由一个所述虚拟基础设施管理器VIM单元管理,负责在不同的云网络中创建、管理和编排所有的密码服务实例,每个密码服务运行不同的虚拟机或容器,并利用网络切片在共享硬件资源上创建多个虚拟资源。
实施例3
在实施例2的基础上,在所述雾层中,所述智能网关包括密流量控制和监测单元,用于将密码服务流量转发到其加密服务器和解密服务器,加密服务器会生成密码服务请求并将其发送给虚拟基础设施管理器VIM,虚拟基础设施管理器VIM根据接收到请求数量及其密码服务质量的要求,执行密码服务编排操作算法,所述密码服务编排操作算法用于指示加密服务器或解密服务器执行加密/解密,或者限制密流量以避免在保持一定服务级别的同时实现物联网负载均衡。
实施例4
在实施例2的基础上,所述虚拟基础设施管理器VIM包括管理规则和策略制定单元,用于为密码服务的实例化和自动缩放制定不同的管理规则和策略,通过将规则和策略传递给加密服务器/解密服务器来强制执行。
实施例5
在实施例1的基础上,所述加密服务器/解密服务器包括动态启动密码单元,用于在雾层中动态启动密码服务实例。
实施例6
在实施例1的基础上,所述智能网关还包括密流量性能指标监测单元,用于监测密流量的性能指标,以便根据预定义的策略触发操作;所述智能网关与加密服务器/解密服务器通信,以便在相同的垂直位置为不同的物联网设备和云服务器提供连接。
实施例7
在实施例4的基础上,所述管理规则和策略制定单元包括扩展策略单元,所述扩增策略单元根据密码服务质量的性能要求和根据密流量负载的行为而设置。
实施例8
一种基于如实施例1~实施例7任一项所述面向物联网的密码服务部署系统的部署方法,包括以下步骤:
S0,由云服务器执行初始化步骤,利用云服务器选择智能网关,并向智能网关颁发证书,使智能网关成为可信的服务提供者;设物联网设备A与另一个物联网设备B共享数据,在设备层中加密其数据并将其发送到公共云存储数据库;
S1,物联网设备A要求云服务器提供受信任的加密服务器列表,
S2,云服务器进行响应,反馈物联网设A请求的列表;
S3,物联网设A知道受信任的加密服务器,并选择一个加密服务器C;
S4,A将其加密的原始数据发送到选择的加密服务器C,A还发送一些额外的所需信息,用于选择密码服务;接收数据后,C向云服务器询问密码服务;
S5,云服务器使用密码服务进行响应;
S6,C向密钥管理器D请求一对密钥;
S7,D提供密钥;
S8,C调用密码服务并将加密后的数据发送给A;
S9,在接收到加密数据后,A将加密数据发送到公共云上的存储数据库以存储数据或与其他用户共享数据;
S10,B连接到公共云以获取共享数据;
S11,公共云向B转发A的加密数据;
S12,B将加密的数据发送给一个可信的解密服务器E来解密数据;
S13,当接收到加密数据时,E要求云服务器了解其历史记录,以找出适当的解密服务;
S14,云服务器进行响应;
S15,E要求从D获得密钥或公钥;
S16,D进行响应;
S17,解密数据并将数据发送给B;此时,A和B共享数据的流程结束。
实施例9
在实施例8的基础上,步骤S4在雾层中执行,并且利用智能网关控制和监测密流量,利用智能网关将密码服务流量转发到其加密服务器和解密服务器,加密服务器会生成密码服务请求并将其发送给虚拟基础设施管理器VIM,VIM根据接收到请求数量及其密码服务质量的要求,执行密码服务编排操作算法,指示加密服务器或解密服务器执行加密/解密;所述密码服务编排操作算法具体为依据密码服务质量需求选择相应的密码服务,并由VIM处理新的密码服务请求,高于密码服务质量门限则限制密码服务流量。
实施例10
在实施例8的基础上,在步骤S5或S14中,云服务器响应时,包括子步骤:设计在VIM上对每个切片执行自动缩放操作算法,利用VIM对外向加密服务器或解密服务器提供的密码服务实例,根据预定义的策略和密流量的性能进行缩放,以便降低密码服务交付所需的成本;
所述自动缩放操作算法需考虑到:VIM启动时间因密码服务类别而变化,受到网络切片类型以及部署VIM的云服务器类型的影响;
通过所述自动缩放算法以及与其服务需求相匹配的优先级级别来管理,从而使三层体系结构更好的支持密码服务的并发性。
描述于本发明实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
根据本发明的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实现方式中提供的方法。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的方法。
本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。
上述技术方案只是本发明的一种实施方式,对于本领域内的技术人员而言,在本发明公开了应用方法和原理的基础上,很容易做出各种类型的改进或变形,而不仅限于本发明上述具体实施方式所描述的方法,因此前面描述的方式只是优选的,而并不具有限制性的意义。
除以上实例以外,本领域技术人员根据上述公开内容获得启示或利用相关领域的知识或技术进行改动获得其他实施例,各个实施例的特征可以互换或替换,本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种面向物联网的密码服务部署系统,包括设备层、雾层和云层,其特征在于,还包括基础设施组件和密码组件;基础设施组件包括云服务器、智能网关和物联网设备;密码组件包括加密服务器、解密服务器和密钥管理器;所述加密服务器、解密服务器和密钥管理器在雾层;所述智能网关在雾层;所述云服务器在云层;所述物联网设备在设备层;
所述云服务器为云环境中的物理或虚拟机,且能够执行任务、能够给物联网提供数据存储空间;
所述智能网关位于基础设施的雾层,位于网络的边缘,作为物联网设备向云服务器请求密码服务的接入网关,具有数据转发、数据存储、数据处理能力;
所述物联网设备作为物联网的终端节点,且还作为请求密码服务的客户端;
所述加密服务器用于使用指定的密钥加密明文以生成密文;
所述解密服务器通过获取密文和密钥执行解密以重新生成明文;
所述密钥管理器用于创建密钥、存储密钥,并执行与密钥管理步骤相关的所有进程。
2.根据权利要求1所述的面向物联网的密码服务部署系统,其特征在于,在所述云层中,还包括虚拟基础设施管理器VIM单元,每个网络由一个所述虚拟基础设施管理器VIM单元管理,负责在不同的云网络中创建、管理和编排所有的密码服务实例,每个密码服务运行不同的虚拟机或容器,并利用网络切片在共享硬件资源上创建多个虚拟资源。
3.根据权利要求2所述的面向物联网的密码服务部署系统,其特征在于,在所述雾层中,所述智能网关包括密流量控制和监测单元,用于将密码服务流量转发到其加密服务器和解密服务器,加密服务器会生成密码服务请求并将其发送给虚拟基础设施管理器VIM,虚拟基础设施管理器VIM根据接收到请求数量及其密码服务质量的要求,执行密码服务编排操作算法,所述密码服务编排操作算法用于指示加密服务器或解密服务器执行加密/解密,或者限制密流量以避免在保持一定服务级别的同时实现物联网负载均衡。
4.根据权利要求2所述的面向物联网的密码服务部署系统,其特征在于,所述虚拟基础设施管理器VIM包括管理规则和策略制定单元,用于为密码服务的实例化和自动缩放制定不同的管理规则和策略,通过将规则和策略传递给加密服务器/解密服务器来强制执行。
5.根据权利要求1所述的面向物联网的密码服务部署系统,其特征在于,所述加密服务器/解密服务器包括动态启动密码单元,用于在雾层中动态启动密码服务实例。
6.根据权利要求1所述的面向物联网的密码服务部署系统,其特征在于,所述智能网关还包括密流量性能指标监测单元,用于监测密流量的性能指标,以便根据预定义的策略触发操作;所述智能网关与加密服务器/解密服务器通信,以便在相同的垂直位置为不同的物联网设备和云服务器提供连接。
7.根据权利要求4所述的面向物联网的密码服务部署系统,其特征在于,所述管理规则和策略制定单元包括扩展策略单元,所述扩增策略单元根据密码服务质量的性能要求和根据密流量负载的行为而设置。
8.一种基于如权利要求1~7任一项所述面向物联网的密码服务部署系统的部署方法,其特征在于,包括以下步骤:
S0,由云服务器执行初始化步骤,利用云服务器选择智能网关,并向智能网关颁发证书,使智能网关成为可信的服务提供者;设物联网设备A与另一个物联网设备B共享数据,在设备层中加密其数据并将其发送到公共云存储数据库;
S1,物联网设备A要求云服务器提供受信任的加密服务器列表,
S2,云服务器进行响应,反馈物联网设A请求的列表;
S3,物联网设A知道受信任的加密服务器,并选择一个加密服务器C;
S4,A将其加密的原始数据发送到选择的加密服务器C,A还发送一些额外的所需信息,用于选择密码服务;接收数据后,C向云服务器询问密码服务;
S5,云服务器使用密码服务进行响应;
S6,C向密钥管理器D请求一对密钥;
S7,D提供密钥;
S8,C调用密码服务并将加密后的数据发送给A;
S9,在接收到加密数据后,A将加密数据发送到公共云上的存储数据库以存储数据或与其他用户共享数据;
S10,B连接到公共云以获取共享数据;
S11,公共云向B转发A的加密数据;
S12,B将加密的数据发送给一个可信的解密服务器E来解密数据;
S13,当接收到加密数据时,E要求云服务器了解其历史记录,以找出适当的解密服务;
S14,云服务器进行响应;
S15,E要求从D获得密钥或公钥;
S16,D进行响应;
S17,解密数据并将数据发送给B;此时,A和B共享数据的流程结束。
9.根据权利要求8所述的面向物联网的密码服务部署方法,其特征在于,步骤S4在雾层中执行,并且利用智能网关控制和监测密流量,利用智能网关将密码服务流量转发到其加密服务器和解密服务器,加密服务器会生成密码服务请求并将其发送给虚拟基础设施管理器VIM,VIM根据接收到请求数量及其密码服务质量的要求,执行密码服务编排操作算法,指示加密服务器或解密服务器执行加密/解密;所述密码服务编排操作算法具体为依据密码服务质量需求选择相应的密码服务,并由VIM处理新的密码服务请求,高于密码服务质量门限则限制密码服务流量。
10.根据权利要求8所述的面向物联网的密码服务部署方法,其特征在于,在步骤S5或S14中,云服务器响应时,包括子步骤:设计在VIM上对每个切片执行自动缩放操作算法,利用VIM对外向加密服务器或解密服务器提供的密码服务实例,根据预定义的策略和密流量的性能进行缩放,以便降低密码服务交付所需的成本;
所述自动缩放操作算法需考虑到:VIM启动时间因密码服务类别而变化,受到网络切片类型以及部署VIM的云服务器类型的影响;
通过所述自动缩放算法以及与其服务需求相匹配的优先级级别来管理,从而使三层体系结构更好的支持密码服务的并发性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211218059.9A CN115694914A (zh) | 2022-09-30 | 2022-09-30 | 一种面向物联网的密码服务部署系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211218059.9A CN115694914A (zh) | 2022-09-30 | 2022-09-30 | 一种面向物联网的密码服务部署系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115694914A true CN115694914A (zh) | 2023-02-03 |
Family
ID=85065418
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211218059.9A Pending CN115694914A (zh) | 2022-09-30 | 2022-09-30 | 一种面向物联网的密码服务部署系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115694914A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116781428A (zh) * | 2023-08-24 | 2023-09-19 | 湖南马栏山视频先进技术研究院有限公司 | 一种基于虚拟专用网络vpn流量的转发系统 |
-
2022
- 2022-09-30 CN CN202211218059.9A patent/CN115694914A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116781428A (zh) * | 2023-08-24 | 2023-09-19 | 湖南马栏山视频先进技术研究院有限公司 | 一种基于虚拟专用网络vpn流量的转发系统 |
CN116781428B (zh) * | 2023-08-24 | 2023-11-07 | 湖南马栏山视频先进技术研究院有限公司 | 一种基于虚拟专用网络vpn流量的转发系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9830470B2 (en) | Encrypting data for analytical web applications | |
CN110808989B (zh) | 一种基于内容分发网络的https加速方法和系统 | |
EP3720093A1 (en) | Resource acquisition method and apparatus, resource distribution method and apparatus, and resource downloading method and apparatus, and device and storage medium | |
US7860975B2 (en) | System and method for secure sticky routing of requests within a server farm | |
US11303431B2 (en) | Method and system for performing SSL handshake | |
US20130086652A1 (en) | Session sharing in secure web service conversations | |
US11943203B2 (en) | Virtual network replication using staggered encryption | |
US10498529B1 (en) | Scalable node for secure tunnel communications | |
EP2521311A1 (en) | Resource control method, apparatus and system in peer-to-peer network | |
KR102160187B1 (ko) | 에스디엔의 방화벽 전개 장치, 에스디엔의 방화벽 전개 방법, 및 이 장치 또는 방법이 적용되는 네트워크 | |
Tourani et al. | Towards security-as-a-service in multi-access edge | |
CN115694914A (zh) | 一种面向物联网的密码服务部署系统及方法 | |
US11924343B2 (en) | Mechanism for enabling cryptographic agility in legacy applications and services | |
EP3166283B1 (en) | Business access method, system and device | |
CN116166749A (zh) | 数据共享方法、装置、电子设备及存储介质 | |
CN107547478B (zh) | 报文传输方法、装置及系统 | |
Akilandeswari et al. | A review of literature on cloud brokerage services. | |
US20230109647A1 (en) | Context aware cipher solutions in secure communications | |
US20230104102A1 (en) | Policy-governed cryptographic selection system | |
US20230251840A1 (en) | Secured container deployment | |
US20240061731A1 (en) | Cryptographic agility through link layer abstraction | |
Raj | Cloud based End to End Service Security | |
Usharani et al. | Secure Data Storage and Retrieval Operations Using Attribute-Based Encryption for Mobile Cloud Computing | |
ROY et al. | Security and Privacy Issues of FOG Computing: A Survey | |
CN117880282A (zh) | 一种数据包转发方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |