CN115733677A - 一种密码机调度方法及装置 - Google Patents
一种密码机调度方法及装置 Download PDFInfo
- Publication number
- CN115733677A CN115733677A CN202211408974.4A CN202211408974A CN115733677A CN 115733677 A CN115733677 A CN 115733677A CN 202211408974 A CN202211408974 A CN 202211408974A CN 115733677 A CN115733677 A CN 115733677A
- Authority
- CN
- China
- Prior art keywords
- cipher machine
- cipher
- machine
- cryptographic
- grouping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种密码机调度方法及装置,首先接收业务系统发送的业务请求,根据业务请求查询对应的密码机标记,再根据密码机标记确定密码机分组策略中的密码机分组,最后从密码机分组中根据权重值和密码机基本信息确定执行业务请求的密码机。通过从不同的密码机分组中选取执行业务请求的密码机,将密码机通过分组隔离开,能够提高密码机的隔离性,根据权重值和密码机基本信息选择密码机,能够实现针对不同的业务请求对密码机进行调度,实现了密码机的高可用性,在提高利用率的同时便于对密码机进行管理。
Description
技术领域
本申请涉及信息安全技术领域,具体而言,涉及一种密码机调度方法及装置。
背景技术
目前,随着信息安全行业迅速发展,数据的安全也越来越受到关注和重视,保护数据的安全已成为必然趋势。密码技术作为数据安全重要的保障手段,其是基于数学原理和有关计算机算法实现对数据的真实性、完整性和抗抵赖性保护,并基于这三种保护内容进一步开展基于密码技术的身份认证、授权管理、可信时间、电子签章等等安全服务。而密码机又作为密钥存储和密码运算的硬件密码设备,已成为密码技术中极其重要的一部分。通常为物理主机分配独立的密码机来完成密码运算任务,该密码机用于对物理主机上敏感信息的进行传输和存储加密保护。
如今密码机所应对的业务场景越来越复杂、业务系统越来越多、数据处理方式多样化这些问题,衍生出的密码机类型也多种多样,业务系统应对不同的业务场景选择相对应的密码机加解密。
在现有的密码机调用方式中,一个密码机通常会为一个或多个业务系统提供服务,但是随着服务类型的增加,密码机所提供的服务也越来越多,在对多台密码机的调用过程中发现,现有的调用密码机方式,会导致选择密码机不均衡的问题,并且当有密码机发生故障时,会出现调用频繁报错的问题,影响了密码机的调用和使用。为了解决这一问题,研究人员开发出了多种密码机,更好的应对服务类型增加的问题,但是由于密码机类型的多样化,密码机在加解密的过程中很可能会受到其他密码机的影响,需要对不同业务系统使用的密码机相互隔离,这给密码机的管理和调度带来了挑战。因此,如何对不同类型下的密码机进行管理和调度,保障密码机的隔离性和高可用性,这都是目前需要解决的问题。
发明内容
本申请的目的在于,为了克服现有的技术缺陷,提供了一种密码机调度方法,通过从不同的密码机分组中选取执行业务请求的密码机,将密码机通过分组隔离开,能够提高密码机的隔离性。
本申请目的通过下述技术方案来实现:
第一方面,本申请提出了一种密码机调度方法,所述方法包括:
接收所述业务系统发送的业务请求,根据所述业务请求查询对应的密码机标记;
根据所述密码机标记确定密码机分组策略中的密码机分组;
根据所述密码机分组、权重值和密码机基本信息确定执行所述业务请求的密码机。
可选地,所述密码机分组策略包括:
对至少一个密码机的类型进行分类得到至少一个密码机类型组;
对所述密码机类型组进行分组得到至少一个密码机分组;
对所述密码机分组添加所述密码机标记,使得所述密码机标记与所述业务系统对应。
可选地,所述权重值由CPU内存资源占用率、当前连接数量以及CPU数量得出。
可选地,所述密码机基本信息包括IP地址和端口。
第二方面,本申请提出了一种密码机调度装置,所述装置包括:
查询模块,用于接收所述业务系统发送的业务请求,根据所述业务请求查询对应的密码机标记;
分组确定模块,用于根据所述密码机标记确定密码机分组策略中的密码机分组;
密码机确定模块,用于根据所述密码机分组、权重值和密码机基本信息确定执行所述业务请求的密码机。
第三方面,本申请还提出了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如第一方面任一项所述的密码机调度方法。
第四方面,本申请还提出了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如第一方面任一项所述的密码机调度方法。
上述本申请主方案及其各进一步选择方案可以自由组合以形成多个方案,均为本申请可采用并要求保护的方案;且本申请,(各非冲突选择)选择之间以及和其他选择之间也可以自由组合。本领域技术人员在了解本申请方案后根据现有技术和公知常识可明了有多种组合,均为本申请所要保护的技术方案,在此不做穷举。
本申请的有益效果在于:
通过从不同的密码机分组中选取执行业务请求的密码机,将密码机通过分组隔离开,能够提高密码机的隔离性,根据权重值和密码机基本信息选择密码机,能够实现针对不同的业务请求对密码机进行调度,实现了密码机的高可用性,在提高利用率的同时便于对密码机进行管理。
附图说明
图1示出了本申请实施例提出的密码机调度方法的流程示意图。
图2示出了本申请实施例提供的一种密码机调度装置的结构示意图。
具体实施方式
以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现如今随着业务系统的发展,密码设备也越来越多,一个业务系统内往往同时分布多个不同种类、不同型号的密码机。但是随着服务类型的增加,密码机所提供的服务也越来越多,在对多台密码机的调用过程中发现,现有的调用密码机方式,会导致选择密码机不均衡的问题,并且当有密码机发生故障时,会出现调用频繁报错的问题,影响了密码机的调用和使用。为了解决这一问题,研究人员开发出了多种密码机,更好的应对服务类型增加的问题,但是由于密码机类型的多样化,密码机在加解密的过程中很可能会受到其他密码机的影响,需要对不同业务系统使用的密码机相互隔离,这给密码机的管理和调度带来了挑战。因此,如何对不同类型下的密码机进行管理和调度,保障密码机的隔离性和高可用性,这都是目前需要解决的问题。
针对上述问题,本申请实施例提出了一种密码机调度方法,通过从不同的密码机分组中选取执行业务请求的密码机,将密码机通过分组隔离开,能够提高密码机的隔离性,根据权重值和密码机基本信息选择密码机,能够实现针对不同的业务请求对密码机进行调度,实现了密码机的高可用性,在提高利用率的同时便于对密码机进行管理,下面对此进行详细的介绍。
首先请参照图1,图1示出了本申请实施例提出的密码机调度方法的流程示意图,如图所示,该密码机调度方法包括以下步骤:
S110、接收业务系统发送的业务请求,根据业务请求查询对应的密码机标记。
业务系统为企业达成定位所需要的业务环节、各合作伙伴扮演的角色以及利益相关者合作与交易的方式和内容。业务系统会向密码机发送业务请求,通过密码机来执行业务请求来达到相应的目的。其中业务请求可以包括营销规划、销售进程管理、财务系统管理以及风险防范等请求,而不同的业务请求则会对应不同的密码机标记,而密码机标记又会与密码机来对应。
在一种可能的实施例中,如果业务系统发送的业务请求为密码运算任务时,通过该业务请求找到密码机标记对应的服务器密码机来执行上述的密码运算任务。
S120、根据密码机标记确定密码机分组策略中的密码机分组。
其中密码机分组策略包括:对至少一个密码机的类型进行分类得到至少一个密码机类型组,对密码机类型组进行分组得到至少一个密码机分组,对密码机分组添加密码机标记,使得密码机标记与所述业务系统对应。
其中,密码机的类型包括服务器密码机、签名验签密码机、金融数据密码机、标识密码机等。
首先,由于不同类型的密码机会执行不同的功能,所以需要对密码机进行区分,具体操作流程为:工作人员会对所有的密码机进行登记,然后按照类型进行分类得到不同的密码机类型组。例如服务器密码机类型组中就是所有的服务器密码机,同样金融数据密码机类型组中也有所有的金融数据密码机。
在得到多个密码机类型组之后,会对每个密码机类型组中的密码机进行分组得到多个密码机分组,每个密码机分组中都是同一类型的密码机。分组的策略可以按照分组名称、编号、类型、业务系统标识以及密码机列表进行分组,值得说明的是,本申请实施例所采用的分组策略不唯一,可以按照实际情况对相同类型下的不同密码机进行分组。
在得到多个密码机分组之后,会对每个密码机分组添加唯一的密码机标记,通过该密码机标记即可找到对应的密码机分组。
当业务系统与密码机标记配对之后,该密码机标记所对应的密码机分组即可执行该业务系统,这与其他业务系统所使用的密码机分组隔离,提高密码机的隔离性,
S130、从密码机分组中根据权重值和密码机基本信息确定执行业务请求的密码机。
权重值由CPU内存资源占用率、当前连接数量以及CPU数量得出。
在业务系统发起请求,查询密码机标记所对应的密码机分组时,会先获取到该密码机分组中的密码机列表,密码机列表中会显示出每个密码机状态是正常还是异常,如果密码机状态为异常时,会将该密码机从整个密码机列表中移除,即可得到可用的正常状态的密码机列表。
值得说明的是,上述的密码机状态是由业务系统调用密码机状态接口获取的,每调用一次都会产生不同的密码机状态,也可将密码机状态进行缓存以提升整个业务系统的性能。
接下来对密码机列表中可用的密码机进行权重值计算,按照CPU内存资源占用率、当前连接数量以及CPU数量等负载情况生成权重值,值得说明的是,权重值的生成方式不唯一,其所选取的负载情况也不唯一。权重值与密码机选取的概率成正相关,即密码机的权重值越小,则表示该密码机的负载约高,其被选取的概率也会相应减小。
密码机基本信息包括IP地址和端口,业务系统会优先选取端口一致的密码机,以免执行业务请求的密码机与预期不符,也可以优先选取IP地址较近的密码机。
与现有技术相比,本申请实施例具有以下有益效果:
(1)、通过从不同的密码机分组中选取执行业务请求的密码机,将密码机通过分组隔离开,能够提高密码机的隔离性。
(2)、根据权重值和密码机基本信息选择密码机,能够实现针对不同的业务请求对密码机进行调度,实现了密码机的高可用性,在提高利用率的同时便于对密码机进行管理。
(3)、在特定情况之下,密码机需要实时添加、修改和删除时,该方法也能对密码机进行相应的操作,进而实现了对密码机的动态扩展。
此外,本申请实施例还提出了一种密码机调度装置,请参照图2,图2示出了本申请实施例提供的一种密码机调度装置的结构示意图。该装置包括:
查询模块,用于接收业务系统发送的业务请求,根据业务请求查询对应的密码机标记。
分组确定模块,用于根据密码机标记确定密码机分组策略中的密码机分组;
密码机确定模块,用于根据密码机分组、权重值和密码机基本信息确定执行业务请求的密码机。
本申请实施例提供了一种计算机设备,该计算机设备可以实现本申请实施例所提供的密码机调度方法任一实施例中的步骤,因此,可以实现本申请实施例所提供的密码机调度方法的有益效果,详见前面的实施例,在此不再赘述。
实施例
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。为此,本申请实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请实施例所提供的密码机调度方法中任一实施例的步骤。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本申请实施例所提供的任一密码机调度方法实施例中的步骤,因此,可以实现本申请实施例所提供的任一密码机调度方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本申请的保护范围之内。
Claims (7)
1.一种密码机调度方法,其特征在于,所述方法包括:
接收所述业务系统发送的业务请求,根据所述业务请求查询对应的密码机标记;
根据所述密码机标记确定密码机分组策略中的密码机分组;
从所述密码机分组中根据权重值和密码机基本信息确定执行所述业务请求的密码机。
2.如权利要求1所述的密码机调度方法,其特征在于,所述密码机分组策略包括:
对至少一个密码机的类型进行分类得到至少一个密码机类型组;
对所述密码机类型组进行分组得到至少一个密码机分组;
对所述密码机分组添加所述密码机标记,使得所述密码机标记与所述业务系统对应。
3.如权利要求1所述的密码机调度方法,其特征在于,所述权重值由CPU内存资源占用率、当前连接数量以及CPU数量得出。
4.如权利要求1所述的密码机调度方法,其特征在于,所述密码机基本信息包括IP地址和端口。
5.一种密码机调度装置,其特征在于,所述装置包括:
查询模块,用于接收所述业务系统发送的业务请求,根据所述业务请求查询对应的密码机标记;
分组确定模块,用于根据所述密码机标记确定密码机分组策略中的密码机分组;
密码机确定模块,用于根据所述密码机分组、权重值和密码机基本信息确定执行所述业务请求的密码机。
6.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如权利要求1-4任一项所述的密码机调度方法。
7.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如权利要求1-4任一项所述的密码机调度方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211408974.4A CN115733677A (zh) | 2022-11-11 | 2022-11-11 | 一种密码机调度方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211408974.4A CN115733677A (zh) | 2022-11-11 | 2022-11-11 | 一种密码机调度方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115733677A true CN115733677A (zh) | 2023-03-03 |
Family
ID=85295185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211408974.4A Pending CN115733677A (zh) | 2022-11-11 | 2022-11-11 | 一种密码机调度方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115733677A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116800756A (zh) * | 2023-08-22 | 2023-09-22 | 三未信安科技股份有限公司 | 大规模密码设备集群的全局调度方法、系统、设备及介质 |
| CN117527220A (zh) * | 2023-11-20 | 2024-02-06 | 江苏新质信息科技有限公司 | 一种云密码服务方法及系统 |
-
2022
- 2022-11-11 CN CN202211408974.4A patent/CN115733677A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116800756A (zh) * | 2023-08-22 | 2023-09-22 | 三未信安科技股份有限公司 | 大规模密码设备集群的全局调度方法、系统、设备及介质 |
| CN116800756B (zh) * | 2023-08-22 | 2023-12-01 | 三未信安科技股份有限公司 | 大规模密码设备集群的全局调度方法、系统、设备及介质 |
| CN117527220A (zh) * | 2023-11-20 | 2024-02-06 | 江苏新质信息科技有限公司 | 一种云密码服务方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115733677A (zh) | 一种密码机调度方法及装置 | |
| CN111478961B (zh) | 多租户的服务调用方法及装置 | |
| JP5024999B2 (ja) | 暗号管理装置、暗号管理方法、暗号管理プログラム | |
| US12073405B2 (en) | Backend architecture method and system for aggregate payment, computer device, and storage medium | |
| CN101473335B (zh) | 信息处理终端、安全设备、在信息处理终端中使用的方法 | |
| US11025415B2 (en) | Cryptographic operation method, method for creating working key, cryptographic service platform, and cryptographic service device | |
| CN110336833A (zh) | 基于区块链的图片内容共识方法、服务器 | |
| CN109583226A (zh) | 数据脱敏处理方法、装置及电子设备 | |
| TWI603206B (zh) | Server cluster based data processing method and cluster based data processing system | |
| CN110289999B (zh) | 一种数据处理方法、系统及装置 | |
| CA3176858A1 (en) | Data processing method and system | |
| CN102468961A (zh) | 一种分布式企业认证鉴权方法、系统及嵌入终端 | |
| CN110445765A (zh) | 基于区块链的数据共享方法、终端设备及介质 | |
| CN112039893B (zh) | 私密交易处理方法、装置、电子设备及可读存储介质 | |
| CN111949726A (zh) | 一种基于区块链的关系型数据库同步方法及同步系统 | |
| CN114780982A (zh) | 一种流程业务流转方法、装置和系统 | |
| CN117319212B (zh) | 云环境下多租户隔离的密码资源自动化调度系统及其方法 | |
| CN113987062A (zh) | 一种数据上链存储方法、系统、装置以及存储介质 | |
| CN112037055B (zh) | 交易处理方法、装置、电子设备及可读存储介质 | |
| CN115238320B (zh) | 一种电力数据存储管理方法 | |
| CN114826725A (zh) | 数据交互方法、装置、设备及存储介质 | |
| CN113946857A (zh) | 一种基于数据路由的分布式跨链调度方法及装置 | |
| CN110708165B (zh) | 一种基于请求响应的多ca自动调度方法 | |
| Bissiriou et al. | Towards secure tag-MapReduce framework in cloud | |
| CN116760632B (zh) | 数据处理方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |